CN113163402B - 一种通信方法、装置及系统 - Google Patents
一种通信方法、装置及系统 Download PDFInfo
- Publication number
- CN113163402B CN113163402B CN202010078309.8A CN202010078309A CN113163402B CN 113163402 B CN113163402 B CN 113163402B CN 202010078309 A CN202010078309 A CN 202010078309A CN 113163402 B CN113163402 B CN 113163402B
- Authority
- CN
- China
- Prior art keywords
- key
- application
- network element
- authentication
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种通信方法、装置及系统,用于解决现有技术中应用密钥更新引起的用户数据中断问题。该方法的原理为:使应用服务器在密钥过期前提前获得与新密钥对应的密钥标识信息,在密钥到期时,应用服务器可以直接利用密钥标识信息向AKMA锚点网元请求信密钥,保证了业务连续性。
Description
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种通信方法、装置及系统。
背景技术
目前,终端设备可支持应用程序的身份验证和密钥管理(authentication andkey management for applications,AKMA)服务。一般采用以下方式对终端设备进行AKMA鉴权:在终端设备注册成功,主鉴权完成后,即同时完成对终端设备的AKMA鉴权。AKMA鉴权后,终端设备和鉴权服务功能(Authentication Server Function,AUSF)分别生成应用程序的身份验证和密钥管理根密钥Kakma和密钥标识信息key identifier。终端设备会向应用服务网元 (Application function,AF)请求会话服务,应用服务网元则使用终端设备发送的密钥标识信息向应用程序的身份验证和密钥管理的锚点功能网元(AKMA anchorfunction,AAnF)请求应用密钥Kaf。AAnF则继续携带密钥标识信息向AUSF请求Kakma。AUSF根据密钥标识信息确定Kakma,并将Kakma发送给AAnF。最终,应用服务网元会从应用程序的身份验证和密钥管理的锚点功能网元处获得应用密钥和应用密钥的有效期。
因为Kakma是生成kaf的输入参数。Kaf有明确的有效期,但是kakma的有效期与主鉴权绑定。即主鉴权发生,Kakma就需要重新生成,同时密钥标识信息也会重新生成。但是重新生成kakma并不会影响正在使用的kaf。也就是说,Kaf的刷新和Kakma的刷新是彼此独立的。因此,在Kaf有效期到期的时候,Kakma可能已经刷新,密钥标识信息也进行了刷新。密钥标识信息的刷新会导致AUSF无法识别旧的密钥标识,因此会导致AF在使用旧的密钥标识请求kaf密钥更新时失败,使服务中断。
发明内容
本申请实施例提供一种通信方法、装置及系统,确保主鉴权发生后,终端和AUSF密钥标识符更新了的情况下,UE和AF在业务不终端的情况下进行Kaf密钥更新。
本申请提供的实施例包括如下图2-图6任一实施例(本部分提供的各实施例的编号与本文其他部分提供的各实施例的编号并无明确的对应关系,仅为了此部分在表述上的方便)。
本申请实施例提供了一种网络设备,该网络设备具有实现上述任一方法实施例中网络设备的行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能中各个子功能相对应的模块。该网络设备可以是应用功能网元AF、应用鉴权和密钥管理服务网元AAnF或者鉴权服务网元AUSF。
本申请实施例提供了一种终端设备,该终端设备具有实现上述任一方法实施例中终端设备的行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能中各个子功能相对应的模块。该终端设备可以是用户设备。
本申请实施例还提供了一种通信系统,该系统包括上述任一实施例所述的网络设备和终端设备。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机执行时实现上述任一方法实施例中与终端设备相关的方法流程。具体地,该计算机可以为上述终端设备。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机执行时实现上述任一方法实施例中与网络设备相关的方法流程。具体地,该计算机可以为上述网络设备。
本申请实施例还提供了一种计算机程序或包括计算机程序的一种计算机程序产品,该计算机程序在某一计算机上执行时,将会使所述计算机实现上述任一方法实施例中与终端设备相关的方法流程。具体地,该计算机可以为上述终端设备。
本申请实施例还提供了一种计算机程序或包括计算机程序的一种计算机程序产品,该计算机程序在某一计算机上执行时,将会使所述计算机实现上述任一方法实施例中与网络设备相关的方法流程。具体地,该计算机可以为上述网络设备。
本申请实施例还提供了一种装置,应用于终端设备中,所述装置与存储器耦合,用于读取并执行所述存储器中存储的指令,使得所述终端设备能执行上述任一方法实施例中与终端设备相关的方法流程。所述存储器可以集成在所述处理器中,也可以独立于所述处理器之外。所述装置可以为所述用户终端上的芯片(如片上系统SoC(System on a Chip))。
本申请实施例还提供了一种装置,应用于网络设备中,所述装置与存储器耦合,用于读取并执行所述存储器中存储的指令,使得所述网络设备能执行上述任一方法实施例中与网络设备相关的方法流程。所述存储器可以集成在所述处理器中,也可以独立于所述处理器之外。所述装置可以为所述网络设备上的芯片(如片上系统SoC(System on a Chip))。
附图说明
图1为本申请实施例提供的网络架构的一示意图;
图2为本申请实施例提供的Kaf密钥分发的一示意图;
图3为本申请实施例提供的Kaf密钥分发的一示意图;
图4为本申请实施例提供的Kaf密钥分发的一示意图;
图5为本申请实施例提供的Kaf密钥分发的一示意图;
图6为本申请实施例提供的Kaf密钥分发的一示意图;
图7至图8为本申请实施例提供的通信装置的示意图;
图9为本申请实施例提供的通信装置的结构示意图。
具体实施方式
本申请实施例可以适用于4G(第四代移动通信系统)演进系统,如长期演进(longterm evolution,LTE)系统,或者还可以为5G(第五代移动通信系统)系统,如采用新型无线接入技术(new radio access technology,New RAT)的接入网;云无线接入网(cloudradio access network,CRAN)等,或者,甚至未来的6G(第六代移动通信系统)等通信系统。
参见图1,为本申请实施例提供的网络架构,该网络架构至少包括终端设备、接入网 (access network,AN)、核心网和数据服务网络。可以理解的是,图1仅为示意性说明,并不作为对本申请的限定。
其中,终端设备可以简称为终端,是一种具有无线收发功能的设备,终端设备可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端设备、增强现实(augmented reality, AR)终端设备、工业控制(industrial control)中的无线终端设备、无人驾驶(self driving) 中的无线终端设备、远程医疗(remote medical)中的无线终端设备、智能电网(smart grid) 中的无线终端设备、运输安全(transportation safety)中的无线终端设备、智慧城市(smart city) 中的无线终端设备、智慧家庭(smart home)中的无线终端设备,以及还可以包括用户设备 (user equipment,UE)等。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字助理 (personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来第五代(the 5th generation,5G)网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network,PLMN) 中的终端设备等。终端设备有时也可以称为终端设备、用户设备(user equipment,UE)、接入终端设备、车载终端设备、工业控制终端设备、UE单元、UE站、移动站、移动台、远方站、远程终端设备、移动设备、UE终端设备、终端设备、无线通信设备、UE代理或UE装置等。终端设备也可以是固定的或者移动的。本申请实施例对此并不限定。
接入网AN,可以采用不同类型的接入技术。比如,接入网可采用第三代合作伙伴计划 (3rd Generation Partnership Project,3GPP)接入技术(例如3G、4G或5G系统中采用的无线接入技术)。或者,非第三代合作伙伴计划(none 3rd Generation PartnershipProject,non-3GPP) 接入技术。其中,采用3GPP接入技术的接入网称为无线接入网(radioaccess network,RAN)。例如,5G系统中的接入网设备称为下一代基站节点(nextgeneration Node Basestation,gNB) 等。非3GPP接入技术是指不符合3GPP标准规范的接入技术,例如,以无线保真接入点 (wireless fidelity access point,WIFI AP)为代表的空口技术等。
核心网可包括鉴权服务器功能网元、移动管理网元、会话功能网元、应用程序的身份验证和密钥管理(authentication and key management for applications,AKMA)锚点功能网元、统一数据管理网元或用户面功能网元等中的一个或多个。其中,用户面功能网元为用户面数据出口,主要用于连接外部网络。鉴权功能服务器网元,为网络认证UE的功能实体,主要用于网络验证UE的真实性。移动管理网元,主要负责移动性管理。会话功能网元主要用于为用户面分配会话资源。统一数据管理网元,用于存储用户的签约数据,生成用于鉴权用户的长期密钥。AKMA锚点功能网元,主要用于提供Kaf和Kaf有效期给AKMA应用功能网元的功能。
需要说明的是,在不同的通信系统中,上述核心网中的网元可有不同的名称。比如,在第四代移动通信系统中,上述移动管理网元可称为移动管理实体(mobilitymanagement entity, MME)。在第五代移动通信系统中,上述移动管理网元可称为接入和移动性管理功能(access and mobility management function,AMF)等。在本申请实施例中,以第五代移动通信系统为例,介绍上述核心网网元,并不作为对本申请实施例的限定。比如,在第五代移动通信系统中,用户面功能网元可称为用户功能(user plane function,UPF),鉴权服务器功能网元可称为鉴权服务器功能(authentication server function,AUSF)、移动管理网元可称为AMF、会话管理功能网元可称为会话管理功能(sessionmanagement function,SMF)、统一数据管理网元可称为统一数据管理(unified datamanagement,UDM)、AKMA的锚点功能网元,又可以成为AKMA的鉴权功能网元可称为AKMA的鉴权功能(AKMA authentication function,AAuF) 等。
可以理解的是,图1的核心网网元仅为示意性的说明,并不作为限定。比如,在本申请实施例中核心网,除包括图1所示的核心网网元外,还可包括网络切片选择功能(NetworkSlice Selection Function,NSSF)、网络开放功能(Network Exposure Function,NEF)、网络存储器功能(Network Repository Function,NRF)、策略控制功能(Policy ControlFunction,PCF)、应用功能(Application Function,AF)或SCP等中的一个或多个网元。
数据服务网络可具体为数据网络(data network,DN)等。AKMA应用功能(AKMAapplication function,AApF)网元,又可以直接叫做应用功能(Application,Function)可以部署在DN中的一个或多个服务器中,为3GPP用户终端提供数据服务。可以理解的是,AKMA应用功能网元可部署在DN的服务器中,还可布署于核心网内,不作限定。在本申请实施例中,是以AKMA应用网元部署在DN的服务器中为例进行说明的。
针对图1所示的架构,本申请实施例提供一种应用场景,在该应用场景中,终端设备可支持AKMA服务,核心网设备可对终端设备进行AKMA鉴权。如图2所示,提供一种AKMA 密钥分发流程,在该流程中UE可具体为上述图1所示架构中的终端设备,AAnF可具体为上述图1所示架构中的AKMA鉴权功能网元,AUSF可具体为上述图1所示架构中的鉴权功能服务网元,该流程包括:
S201:UE与鉴权服务网元AUSF完成主鉴权流程。主鉴权的流程又可以叫做双向鉴权流程在标准TS33.501中第6章进行了定义。主鉴权的作用是完成UE和网络的双向鉴权.根据TS33.501标准定义。AUSF和UE之间进行双向鉴权,所述双向鉴权可具体为可扩展鉴权协议(extensible authentication protocol,EAP)交换(exchange)具体方法为EAP-AKA’,或者 5G鉴权和密钥管理协议(5G authentication and key management,5G AkA)。UE和AUSF双向鉴权成功,可认为终端设备的AKMA鉴权成功。
S202:在完成主鉴权后,AUSF会获得Kausf,UE会自己生成Kausf。这2个Kausf是相同的。之后,UE和AUSF分别使用Kausf生成第一应用程序的鉴权和密钥管理根密钥Kakma-1和第一密钥标识信息Key identifier-1。具体Kakma和Key identifier的生成方法与本发明无关,在此不做过多解释。
具体的,密钥标识信息用于标识UE的应用程序的鉴权和密钥管理根密钥Kakma,Kakma 作为根密钥用于生成其他AKMA密钥(例如,UE对应的不同应用的应用密钥)。密钥标识信息还可以用于AF和AAnF识别UE,密钥标识信息是AF和AAnF在5GC内确定具体UE的标识。
S203:在UE和AUSF分别生成Kakma-1和Key identifier-1后,当UE要使用一个业务的时候,UE向AF发送应用会话建立请求(Application session establishment request)消息。消息中携带第一密钥标识信息Key identifier-1。
S204:AF在确定本地没有第一密钥标识信息对应的应用密钥Kaf后,会向应用程序的身份验证和密钥管理服务网元(AKMA anchor function,AAnF)发送密钥请求(keyrequest)消息。消息中携带第一密钥标识信息和AF身份信息AF ID。
S205:AAnF向AUSF发送应用程序的鉴权和密钥管理密钥请求(AKMA KeyNotification Request)消息,消息中携带有第一密钥标识信息。
S206:AUSF回复应用程序的鉴权和密钥管理密钥响应(AKMA Key NotificationResponse) 消息。消息携带第一应用服务的第一应用程序的鉴权和密钥管理根密钥Kakma-1。
S207:AAnF根据收到的Kakma-1,为所述UE生成第一应用密钥Kaf-1,并确定第一密钥有效期。
S208:AAnF回复密钥响应(key response)消息。消息中携带第一应用密钥Kaf-1和第一应用密钥有效期。
S209:AF回复应用会话建立响应(Application session establishmentresponse)消息。
S210:AUSF收到鉴权请求消息。鉴权请求消息用于触发网络和UE的双向鉴权。
S211:AUSF在鉴权成功后,生成第二应用服务的鉴权和密钥管理根密钥Kakma-2和第二密钥标识信息key identifier-2。
S212:可选的,Kakma-2和key identifier-2的生成不需要影响Kaf-1的使用。因此不需要通知AF进行密钥更新。
S213:Kaf-1密钥到期,则AF删除Kaf-1。
通过上述方法,可以发现,Kakma的更新与Kaf的更新是独立开的。Kaf在密钥到期后,会直接被删除。如果UE和AF有正在进行的业务,那么业务会因为密钥的过期而中断。这样会影响UE的体验。
基于此,本申请提供一种通信方法,该通信方法的原理为:让AF在密钥Kaf过期前获得UE的最新的key Identifier,AF可以基于最新的key identifier向AUSF请求更新Kaf。这样可以保证UE和AF的业务不中断,提升了用户的体验。
需要说明的是,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序,例如,“第一请求消息”和“第二请求消息”等。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如, A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单个或者多个。a、b、或c中的至少一项(个),可以表示:a;b;c;a和b;a和c;b和c;或a、b和c。其中,a、b、c可以是单个,也可以是多个。
参照图3所示,提供一种通信方法的流程,该流程中的终端设备可为图1架构中的终端设备,移动管理网元可为图1架构中的移动管理网元,鉴权服务器功能网元可为图1架构中的鉴权服务器功能网元,统一数据管理网元可为图1架构中的统一数据管理网元,该流程具体为:
S300:终端设备和鉴权服务网元完成双向鉴权,并分别获得应用程序的鉴权和密钥管理根密钥Kakma-1和密钥标识信息key identifier-1。UE发起业务,应用功能网元获得Kaf-1和 Kaf-1的有效期。具体流程可以参考步骤S201到S208的描述。
S301:在AAnF向AUSF请求Kakma后,AUSF本地保存一个映射关系。映射关系用于体现哪个AAnF请求了哪个key identifer对应的Kakma。这个映射关系的存储的作用是当主鉴权发生的时候,AUSF可以通知使用了key identifier-的AAnF,以便于AAnF及时获知 Kakma不可以再继续使用。
一种可选的实现方法是:AUSF内部保存AAnF ID,key identifier,Kakma的对应关系。其中,AAnF ID的形式本发明不做规定。比如,其可以是运营商分配的ID,也可以是一个全球统一的ID,还可以是IP地址。总之,AUSF可以根据AAnF ID唯一定位到过去根据keyidentifier请求Kakma的那个AAnF。其中,Key identifier和Kakma是在主鉴权后生成的。在本发明中,AUSF在第一次鉴权后,生成key identifier-1,Kakma-1。如果网络中只有一个AAnF,则AAnF的信息可以不显示的保存在映射关系中。
S302:AUSF收到鉴权请求消息。鉴权请求消息用于触发网络和UE的双向鉴权。
可选的,UE和AUSF会删除Kakma-1和key identifier-1。
S303:AUSF向相关的AAnF发送应用服务的鉴权和密钥管理通知请求(AKMA keyNotification Request)消息。
具体的,AKMA key Notification Request中携带key identifier-1。可选地,AUSF根据步骤301保存的映射关系确定请求过key identifier-1的AAnF。需要说明的是,如果网络中只有 1个AAnF,那么AUSF不需要根据映射关系,可以直接确定AAnF,然后发送消息。如果网络有多个AAnF,则AUSF要向不同的AAnF发送KMA key Notification Request消息。可选地,该AKMA key Notification Request中携带一个指示信息,指示信息用于指示key identifier-1对应的kakma-1不再有效。指示信息的具体形式本发明不做规定,比如可以是 indicator,可以是原因值(cause value)。如果AKMA Key Notification Request消息只有告知 AAnF删除密钥一个作用,那么指示信息不需要携带。如果AKMA KeyNotification Request 消息有多种不同的作用,那么指示信息是必选的。
S304:AAnF根据AKMA key Notification Request,或根据AKMA keyNotification Request 中携带的指示信息,删掉Kakma-1和Key identifier-1;或者将Kakma-1与Key identifier-1标识为无效的;亦或者是删除Kakma-1,并将Key identifier-1标识为无效的。
即,本实施例规定key identifier的有效期与Kakma一样。与直接删掉相比,标识无效的可以方便后面的流程。具体地,AAnF本地可以保持一个映射关系,映射关系至少包括key identifier-1,Kakma-1,Kaf,Kaf的有效期和AF ID中的至少4项。在AAnF收到步骤303消息后,将key identifier-1和Kakma-1标识为invlaid,这样在kaf到期的时候,AAnF可以在本发明的步骤309直接回复identifier过期的指示信息。然后再删掉key identifier-1,Kakma-1和Kaf。如果没有这种标识,AAnF可能不清楚是AF请求的key identifier是错误的,还是过期的。也就是会造成原因不明。因此,将key identifier-1多保留一段时间,并且标记为Invalid可以使 AAnF明确的知道原因。
S305:AAnF在删除Kakma-1和Key identifier-1后,回复应用服务的鉴权和密钥管理通知响应(AKMA Key Notification Response)消息。
S306:UE和AUSF完成主鉴权,又生成了Kakma-2和对应的key identifier-2.。需要说明的是,步骤S303到S305可以发生在步骤S306之前,也可以之后。本发明不做具体规定。步骤S303到S305发生在步骤S306之前,是因为鉴权发生,需要删除Kakma-1,因此没必要等鉴权结果。比如,AUSF可以在发送鉴权向量给UE后,就发起步骤S303。再比如,AUSF 在收到步骤S302消息后,立即发起步骤S303。步骤S303到S305发生在步骤S306之后,会使AUSF的处理逻辑变得简单。
S307:AF确定Kaf-1即将到期。
例如,AF可以根据Kaf-1有效期提前预设时长,确定Kaf-1即将到期的时间点。
S308:AF根据Key identifier-1,向AAnF发送key update消息。消息中携带keyidentifier-1。该消息的目的是向AAnF请求更新的应用密钥Kaf。
S309:如果步骤304中AAnF中将Key identifier-1设置为无效的,则AAnF确定keyupdate 消息中的key identifier-1是无效的。或者如果步骤304中Key identifier-1被删除,则AAnF 无法再找到key identifier-1对应的Kakma。
S310:AAnF回复key response消息给AF。消息中指示key identifier-1对应的Kakma 无法找到,或者无效或者不携带更新的应用密钥。
当AAnF向AF发送的key response消息中不携带更新的应用密钥时,可以隐式的指示 key identifier-1对应的Kakma无法找到,或者无效。
S311:AF向UE发送应用服务的密钥标识信息请求(AKMA Identifier Request)消息。该消息的作用是使UE知道Kaf-1到期,需要生成新的kaf-2。该消息还可以触发UE发送新的key identifier给AF。消息的名称本发明不做具体限制,即不需要一定叫做AKMAIdentifier Request。可选地,消息中携带指示信息,指示信息用于告知UE过去使用的keyidentifier-1 已经失效和/或Kaf-1已失效。指示信息的形式本发明不做限制,比如,可以是indicator,也可以是原因值(cause value)。
可选地,消息携带key identifier-1.
可选地,消息携带AF ID。因为UE和AF之前已经有过交互,并且提供了AF ID,所以消息中也可以不用提供AF ID。
S312:UE发送应用服务的密钥标识信息响应(AKMA Identifier Response)消息给AF。消息中携带最新的Key identifier-2。
这里,最新的是指如果在UE收到第11步消息前,发生了多次主鉴权。那么UE在收到第步骤S311步消息后,将最后一次主鉴权生成的key identifier发送给AF。在本实施例中,因为只发生了一次主鉴权,因此最新的是Key identifier-2。
可选地,在步骤S312发生前,UE需要确定kaf-2。如果已经通过Kakma-2已经获得了Kaf-2,则UE可以直接确定将要使用这个kaf-2。如果之前没有获得kaf-2,则Kakma-2生成新的Kaf-2。准备使用Kaf-2。可选地,如果消息携带Key identifier-1,则UE确定keyidentifier-1 对应的kakma-1。如果key identifier-1无法找到,则UE确定最新的keyidentifier-2.
S313到S317的过程参考步骤S204到S208。区别在于,S313过程使用的是从UE收到的最新的密钥标识消息。
S318:AF在获取新的Kaf-2后,再向UE发送Application key update Request消息,使 UE同步开始使用Kaf-2。若UE之前没有生成Kaf-2,则新生成Kaf-2。如果在之前生成了Kaf-2,则直接使用。
S319:UE回复Application key update Acknowledge消息给AF。
需要说明的是:步骤S318和步骤S319可以是执行具体安全协议的应用层消息进行替代。比如为TLS相关的应用层消息。
通过上述方法,AF在密钥过期的时候,可以通过终端设备最新的密钥标识符向AAnF请求更新Kaf。这样保证了终端设备和AF之间的业务连续性。
在本申请实施例中,在发生主鉴权之后,AUSF和UE分别更新UE对应的应用程序的鉴权和密钥管理根密钥Kakma-new以及密钥标识信息key identifier-new。AUSF通知AAnFkey identifier-old对应的应用程序的鉴权和密钥管理根密钥无效/过期,AAnF将原先保存的key identifier-old和Kakma-old的对应关系设置为无效或者删除。
后续当AF确定UE的应用密钥Kaf即将过期时,AF使用key identifier-old向AAnF请求更新应用密钥,由于AAnF已经将key identifier-old删除或者将key identifier-old设置为无效,所以AAnF无法为AF更新应用密钥,此时AAnF通知AF密钥更新失败,可选的可以携带密钥更新失败的原因值。AF确定应用密钥更新失败的情况下,向UE请求获取新的密钥标识信息key identifier-new,并使用key identifier-new重新向AAnF请求更新应用密钥。在从AAnF 获得新的应用密钥和对应的有效期之后,触发UE也更新应用密钥。
参见图4所示,提供一种通信方法的流程,该流程中的终端设备可为图1架构中的终端设备,移动管理网元可为图1架构中的移动管理网元,鉴权服务器功能网元可为图1架构中的鉴权服务器功能网元,统一数据管理网元可为图1架构中的统一数据管理网元,该流程具体为:
S401同图3实施例中S301,相关步骤请参考图3实施例相关描述,这里不再赘述。
S402同图2实施例中S209,相关步骤请参考图2实施例相关描述,这里不同之处在于, AF会将Kaf-1的有效期发送给终端设备。
可选的,在步骤402之前还包括步骤201-步骤208的相关步骤。
S403-S407同图3实施例中S302-S306,相关步骤请参考图3实施例相关描述,这里不再赘述。
S408 UE在发现Kaf-1即将过期的时候,UE主动触发应用服务的密钥标识信息更新请求消息。
例如,UE可以根据Kaf-1有效期提前预设时长,确定Kaf-1即将到期的时间点。
S409:UE向AF发送应用服务的密钥标识信息更新请求(AKMA Identifier UpdateRequest) 消息。消息携带最新的key identifier。该消息的作用是使AF知道最新的keyidentifier。本发明以Key identifier-2举例。消息的名称本发明不做具体限制,即不需要一定叫做AKMA Identifier Request。可选地,消息还携带Key identifier-1。
若在Kaf-1到期之前,UE和网络侧进行了多次主认证,并且UE和AF的业务还一直在使用的情况下,UE将最新的key identifier携带在本步消息中。
S410:AF保存收到的新的key identifier-2.可选地,AF将key identifier-1标识为无效的,或删除key identifier-1。
S411:AF发送应用服务的密钥标识信息更新响应(AKMA Identifier Response)消息给UE。
S412:AF确定Kaf-1即将到期。
例如,AF可以根据Kaf-1有效期提前预设时长,确定Kaf-1即将到期的时间点。
需要说明的是,UE侧判断kaf-1即将到期的时间要早于AF侧。比如,AF发送的Kaf-1过期时间要比从AAnF收到的早,这样便于UE侧提早触发。再比如,通过具体配置实现UE 侧触发发送步骤S409的时机要早于AF侧触发Kaf-1的时机(例如,AF判断Kaf-1即将到期的提前时长小于UE判断Kaf-1即将到期的提前时长)。具体的实现方法本发明不做规定。
S413-S420同图3实施例中S313-S319,相关步骤请参考图3实施例相关描述,这里不再赘述。
由于在现有技术中,将Kaf过期时间发送给UE,使UE侧在即将过期前发送最新的密钥标识符给AF,整个过程更流畅,与图3实施例相比进一步减少了时延。
在本申请实施例中,在UE建立到AF的会话过程中,AF将UE的应用密钥有效期告诉UE。在发生主鉴权之后,AUSF和UE分别更新UE对应的应用程序的鉴权和密钥管理根密钥Kakma-new以及密钥标识信息key identifier-new。AUSF通知AAnFkey identifier-old对应的应用程序的鉴权和密钥管理根密钥无效/过期,AAnF将原先保存的key identifier-old和 Kakma-old的对应关系设置为无效或者删除。当UE确定自身的应用密钥即将过期时,UE主动将key identifier-new通知给AF。后续在UE对应的应用密钥Kaf即将过期时,AF使用Kakma-new向AAnF请求更新的应用密钥,并且从AAnF获得更新的应用密钥和对应的有效期之后,触发UE也更新应用密钥。
参见图5所示,提供一种通信方法的流程,该流程中的终端设备可为图1架构中的终端设备,移动管理网元可为图1架构中的移动管理网元,鉴权服务器功能网元可为图1架构中的鉴权服务器功能网元,统一数据管理网元可为图1架构中的统一数据管理网元,该流程具体为:
S501-S506同图3实施例中S301-S306,相关步骤请参考图3实施例相关描述,这里不再赘述。
S507-S509同图4实施例中S409-S411,相关步骤请参考图4实施例相关描述,区别在于,当UE发现主鉴权完成,生成新的密钥标识信息后,主动发起AKMA identifier更新流程,将最新的identifier发送给AF。具体地,如果在Kaf到期前,发生了多次主鉴权,则UE每次都要将最新的key identifier发送给AF。在本实施例中,只有一次主鉴权发生,因此只触发一遍 AKMA identifier更新流程。
S510-S517同图4实施例中S412-S419,相关步骤请参考图4实施例相关描述,区别在于使用的key identifier要是UE侧发送的最新的key identifier。可选地AF在步骤S508中只保留最新的密钥标识信息。
需要说明的是,在本申请实施例中,通过上述图3、图4和图5的方法,AF要从终端设备处获得最新的密钥标识信息。在下述图6中,将继续描述,AF可以从AAnF处获得最新的密钥标识信息的方法,以确保UE和AF之间的业务连续性。。
在本申请实施例中,在发生主鉴权之后,AUSF更新UE对应的应用程序的鉴权和密钥管理根密钥Kakma-new以及密钥标识信息key identifier-new。AUSF通知AAnFkeyidentifier-old 对应的应用程序的鉴权和密钥管理根密钥无效/过期,AAnF将原先保存的key identifier-old和 Kakma-old的对应关系设置为无效或者删除。当UE生成新的应用程序的鉴权和密钥管理根密钥Kakma-new核密钥标识信息key identifier-new之后,UE主动将key identifier-new通知给 AF。后续在UE对应的应用密钥Kaf即将过期时,AF使用Kakma-new向AAnF请求更新的应用密钥,并且从AAnF获得更新的应用密钥和对应的有效期之后,触发UE也更新应用密钥。S601-S602同图3实施例中S301-S302,相关步骤请参考图3实施例相关描述,这里不再赘述。
S603:鉴权服务网元向终端设备发送鉴权成功消息。
S604同图3实施例中S306,相关步骤请参考图3实施例相关描述,这里不再赘述。
S605:AUSF向相关的AAnF发送应用服务的鉴权和密钥管理通知请求(AKMA keyNotification Request)消息。消息中携带key identifier-1,S604生成的keyidentifier-2和Kakma-2。
S606:AAnF将新收到的Key identifier-2和Kakma-2进行保存。可选地,AF可以将Key identifier-2和Kakma-2保存,继续保存Key identifier-1和Kakma-1并将它们标记为无效的 (invalid)。或者,将Key identifier-1继续保存并标记为无效的,将kakma-1删掉。
S607:AAnF回复应用服务的鉴权和密钥管理通知响应(AKMA key NotificationResponse) 消息。
S608:AF侧的Kaf-1即将到期。
例如,AF可以根据Kaf-1有效期提前预设时长,确定Kaf-1即将到期的时间点。
S609:AF根据Key identifier-1,向AAnF发送key update消息。消息中携带keyidentifier-1. 该消息的目的是向AAnF请求更新应用密钥Kaf。
S610:AAnF根据Key identifier-1确定出Kakma-2,并且删除Key identifier-1。AAnF 根据Kakma-2生成Kaf-2,并确定Kaf-2的有效期。
S611:AAnF回复key response消息给AF。消息中携带第二应用密钥Kaf-2和Kaf-2有效期。
S612-S613同图3实施例中S318-S319,相关步骤请参考图3实施例相关描述,这里不再赘述
在本申请实施例中,在发生主鉴权之后,AUSF更新UE对应的应用程序的鉴权和密钥管理根密钥Kakma-new以及密钥标识信息key identifier-new。AUSF把更新之后的Kakma-new,key identifier-new以及UE对应的老的密钥标识信息key identifier-old一起发送给AAnF。AAnF 收到AUSF发送的key identifier-new、Kakma-new以及keyidentifier-old之后,保存key identifier-new、Kakma-new和key identifier-old的对应关系。可选的,AAnF将原先保持的key identifier-old和Kakma-old的对应关系设置为无效或者删除。后续AF在确定UE的应用密钥 Kaf即将过期的时候,使用key identifier-old向AAnF请求应用密钥更新。AAnF可以根据key identifier-old以及自身保持的keyidentifier-new、Kakma-new和key identifier-old的对应关系,确定所述UE更新后的应用程序的鉴权和密钥管理根密钥Kakma-new,并使用Kakma-new生成新的应用密钥Kaf_new,且确定Kaf_new对应的有效期。AAnF将新的应用密钥Kaf_new 和对应的有效期发送给AF。AF收到新的应用密钥Kaf_new和对应的有效期之后,触发UE 更新对应的应用密钥Kaf。
基于与方法实施例同一发明构思,本申请实施例还提供一种装置800,用于执行上述图3 至图6所示的方法实施例中终端设备执行的方法,相关特征可参见上述方法实施例,在此不再赘述。作为一种示例,如图7所示,所述装置800包括收发模块801和处理模块802。
关于收发模块801和处理模块802的具体功能,可参见上述方法实施例中的记载,在此不再说明。
基于与方法实施例同一发明构思,本申请实施例还提供一种装置900,用于执行上述图3 至图6所示的方法实施例中其他网元(例如应用功能网元AF、应用鉴权和密钥管理服务网元 AAnF或者鉴权服务网元AUSF)执行的方法,相关特征可参见上述方法实施例,在此不再赘述。作为一种示例,如图8所示,所述装置900包括收发模块901和处理模块902。
关于收发模块901和处理模块902的具体功能,可参见上述方法实施例中的记载,在此不再说明。
在此不再说明。本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能单元可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是个人计算机,手机,或者网络设备等)或处理器(processor)执行本申请各个实施例该方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-onlymemory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请实施例中,终端设备、应用功能网元AF、应用鉴权和密钥管理服务网元AAnF 或者鉴权服务网元AUSF均可以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。
在一个简单无实施例中,如图9所示的通信装置1200,包括至少一个处理器1201、存储器1202,可选的,还可包括通信接口1203。
存储器1202可以是易失性存储器,例如随机存取存储器;存储器也可以是非易失性存储器,例如只读存储器,快闪存储器,硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1202是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1202可以是上述存储器的组合。
本申请实施例中不限定上述处理器1201以及存储器1202之间的具体连接介质。本申请实施例在图中以存储器1202和处理器1201之间通过总线1204连接,总线1204在图中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线1204可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器1201可以具有数据收发功能,能够与其他设备进行通信,在如图9装置中,也可以设置独立的数据收发模块,例如通信接口1203,用于收发数据;处理器1201在与其他设备进行通信时,可以通过通信接口1203进行数据传输。
一种示例中,当所述终端设备采用图9所示的形式时,图9中的处理器可以通过调用存储器1202中存储的计算机执行指令,使得所述终端设备执行上述任一方法实施例中的所述终端设备执行的方法。
具体的,图7的处理模块和收发模块的功能/实现过程均可以通过图9中的处理器1201 调用存储器1202中存储的计算机执行指令来实现。或者,图7的处理模块的功能/实现过程可以通过图9中的处理器1201调用存储器1202中存储的计算机执行指令来实现,图7的收发模块的功能/实现过程可以通过图9中的通信接口1203来实现。
另一种示例中,当所述应用功能网元AF、应用鉴权和密钥管理服务网元AAnF或者鉴权服务网元AUSF采用图9所示的形式时,图9中的处理器可以调用存储器1202中存储的计算机执行指令,使得所述鉴权服务器功能执行上述任一方法实施例中的所述鉴权服务器功能执行的方法。
本申请实施例还提供一种通信系统,该通信系统可包括应用功能网元AF、应用鉴权和密钥管理服务网元AAnF或者鉴权服务网元AUSF中的至少一个。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (11)
1.一种密钥更新方法,其特征在于,所述方法包括:
应用功能网元接受终端设备发送的第二密钥标识信息;
所述应用功能网元向应用鉴权和密钥管理锚点功能实体发送第一应用鉴权和密钥管理密钥更新请求消息,所述第一应用鉴权和密钥管理密钥更新请求消息中携带第二密钥标识信息;
所述应用功能网元从应用鉴权和密钥管理锚点功能实体接收第一应用鉴权和密钥管理密钥更新响应消息,所述第一应用鉴权和密钥管理密钥更新响应消息携带有第二密钥标识信息对应的第二应用密钥;
所述应用功能网元向UE发起应用密钥更新流程,所述应用功能网元删掉第一应用密钥,开始使用所述第二应用密钥;
在所述应用功能网元接受终端发送的最新的第二密钥标识信息之前,所述方法包括:
所述应用功能网元接收所述终端设备发送应用鉴权和密钥管理标识符请求消息,所述应用鉴权和密钥管理标识符请求消息包括第二密钥标识信息;
所述应用功能网元向所述终端设备发送应用鉴权和密钥管理标识符响应消息。
2.根据权利要求1所述的方法,其特征在于,在所述应用功能网元接受终端发送的最新的第二密钥标识信息之前,所述方法包括:
所述应用功能网元向所述终端设备发送应用鉴权和密钥管理标识符请求消息,所述消息用于向终端设备请求最新的密钥标识信息;
所述应用功能网元接收所述终端设备发送应用鉴权和密钥管理标识符响应消息,所述响应消息包括所述第二密钥标识信息。
3.根据权利要求2所述的方法,其特征在于,在所述应用功能网元向所述终端设备发送应用鉴权和密钥管理标识符请求消息之前,所述方法包括:
所述应用功能网元向所述应用鉴权和密钥管理锚点功能实体发送第二应用鉴权和密钥管理密钥更新请求消息,所述第二应用鉴权和密钥管理密钥更新请求消息携带第一密钥标识信息;
所述应用功能网元接收所述应用鉴权和密钥管理锚点功能实体发送的第二应用鉴权和密钥管理密钥更新响应消息,所述响应消息不携带更新的应用密钥。
4.根据权利要求1所述方法,其特征在于,在所述应用功能网元接收所述终端设备发送应用鉴权和密钥管理标识符请求消息之前,所述方法包括:
所述应用功能网元向所述终端发送第一密钥标识对应的第一应用密钥的过期时间。
5.根据权利要求1所述方法,其特征在于,
所述应用功能网元保存所述第二密钥标识信息;删掉第一密钥标识信息。
6.一种密钥更新方法,其特征在于,所述方法包括:
终端设备获取第二密钥标识信息;
所述终端设备将所述第二密钥标识信息发送给应用功能网元;
所述终端设备获取第二密钥标识信息符对应的第二应用密钥;
所述终端设备删除第一应用密钥,使用第二应用密钥;
在终端设备将第二密钥标识信息发送给所述应用功能网元前,所述方法包括:
所述终端设备接受所述应用功能网元发送的第一密钥标识对应的第一应用密钥的过期时间;
所述终端根据所述第一应用密钥的过期时间判断所述第一应用密钥即将过期;
所述终端设备向所述应用功能网元发送第一应用鉴权和密钥管理密钥更新请求消息,所述第一应用鉴权和密钥管理密钥更新请求消息携带所述第二密钥标识信息。
7.根据权利要求6所述方法,其特征在于,在终端设备将第二密钥标识信息发送给所述应用功能网元前,所述方法包括:
所述终端设备接受所述应用功能网元发送的第一应用鉴权和密钥管理密钥更新请求消息,所述请求消息用于请求终端设备的最新的密钥标识信息。
8.根据权利要求6或7所述方法,其特征在于,所述方法还包括:
所述终端设备获取第二密钥标识信息对应的第二应用密钥。
9.根据权利要求6或7所述方法,其特征在于,所述方法还包括:
所述终端设备接受所述应用功能网元发送的应用密钥更新消息后,所述终端设备开始使用第二密钥标识信息对应的第二应用密钥。
10.一种网络设备,其特征在于,所述网络设备包括:
存储器,用于存储指令;
处理器,用于调用并执行所述存储器中的指令,使得所述网络设备执行上述权利要求1-5任一所述的方法。
11.一种终端设备,其特征在于,所述终端设备包括:
存储器,用于存储指令;
处理器,用于调用并执行所述存储器中的指令,使得所述终端设备执行上述权利要求6-9任一所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010078309.8A CN113163402B (zh) | 2020-01-23 | 2020-01-23 | 一种通信方法、装置及系统 |
| PCT/CN2021/073594 WO2021148027A1 (zh) | 2020-01-23 | 2021-01-25 | 一种通信方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010078309.8A CN113163402B (zh) | 2020-01-23 | 2020-01-23 | 一种通信方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113163402A CN113163402A (zh) | 2021-07-23 |
| CN113163402B true CN113163402B (zh) | 2022-10-28 |
Family
ID=76882083
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010078309.8A Active CN113163402B (zh) | 2020-01-23 | 2020-01-23 | 一种通信方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113163402B (zh) |
| WO (1) | WO2021148027A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115915121A (zh) * | 2021-08-05 | 2023-04-04 | 华为技术有限公司 | 一种通信方法以及相关装置 |
| CN115706663A (zh) * | 2021-08-09 | 2023-02-17 | 中国移动通信有限公司研究院 | 更新方法、网络侧设备、终端和计算机可读存储介质 |
| CN115915124A (zh) * | 2021-08-18 | 2023-04-04 | 中兴通讯股份有限公司 | 密钥更新方法、网元、用户设备及存储介质 |
| US11696124B2 (en) | 2021-10-08 | 2023-07-04 | Cisco Technology, Inc. | Secure communications for a client device involving authentication and key management for applications (AKMA) |
| CN114339745B (zh) * | 2021-12-28 | 2024-01-26 | 中国电信股份有限公司 | 密钥分发方法、系统和相关设备 |
| WO2023125642A1 (zh) * | 2021-12-31 | 2023-07-06 | 中国移动通信有限公司研究院 | 认证和/或密钥管理方法、第一设备、终端及通信设备 |
| CN115865316A (zh) * | 2022-04-27 | 2023-03-28 | 中兴通讯股份有限公司 | 应用密钥删除方法、密钥锚定节点、服务器、系统及介质 |
| CN117858082A (zh) * | 2022-09-30 | 2024-04-09 | 中国移动通信有限公司研究院 | 认证处理方法、装置、设备及可读存储介质 |
| CN117596588B (zh) * | 2024-01-18 | 2024-03-26 | 中国电子科技集团公司第三十研究所 | 移动通信网络长期密钥动态更新方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043328A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 通用引导框架中密钥更新方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5412723A (en) * | 1994-03-01 | 1995-05-02 | International Business Machines Corporation | Mechanism for keeping a key secret from mobile eavesdroppers |
| CN101237444B (zh) * | 2007-01-31 | 2013-04-17 | 华为技术有限公司 | 密钥处理方法、系统和设备 |
| WO2010095988A1 (en) * | 2009-02-18 | 2010-08-26 | Telefonaktiebolaget L M Ericsson (Publ) | User authentication |
| US10574457B2 (en) * | 2017-05-12 | 2020-02-25 | Nokia Technologies Oy | Indicator for determination of key for processing message in communication system |
-
2020
- 2020-01-23 CN CN202010078309.8A patent/CN113163402B/zh active Active
-
2021
- 2021-01-25 WO PCT/CN2021/073594 patent/WO2021148027A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043328A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 通用引导框架中密钥更新方法 |
Non-Patent Citations (1)
| Title |
|---|
| Clause 6.Y – Deriving AF key for a specific Application function;Nokia等;《3GPP TSG-SA3 Meeting #97 ,S3-194229》;20191111;第6节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113163402A (zh) | 2021-07-23 |
| WO2021148027A1 (zh) | 2021-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113163402B (zh) | 一种通信方法、装置及系统 | |
| US10602438B2 (en) | Network slice selection method and apparatus | |
| EP3402253B1 (en) | Core network control plane device selection method and apparatus | |
| US11297542B2 (en) | Base station handover method, system, and computer storage medium | |
| CN110392422B (zh) | 一种确定时钟源的方法及装置 | |
| US11432349B2 (en) | Group creation method, apparatus, and system | |
| CN111567113A (zh) | 会话建立方法、中继设备的选择方法和注册方法及设备 | |
| EP3687259B1 (en) | Communication method and device | |
| EP2290875A1 (en) | Generating method and system for key identity identifier at the time when user device transfers | |
| CN110881185A (zh) | 一种通信的方法及装置 | |
| WO2021197489A1 (zh) | 通信系统、方法及装置 | |
| CN110351683B (zh) | 参数传输方法及装置 | |
| CN112822678A (zh) | 一种服务化架构授权的方法 | |
| CN108632855B (zh) | 一种在基站间建立接口的方法及装置 | |
| CN108112015B (zh) | 一种语音业务的切换方法、装置及移动终端 | |
| CN109936444B (zh) | 一种密钥生成方法及装置 | |
| CN109788446B (zh) | 一种短消息发送方法及装置 | |
| CN114208111B (zh) | 一种通信方法、装置及系统 | |
| CN110087338B (zh) | 一种窄带物联网进行鉴权的方法及设备 | |
| CN111405553B (zh) | 一种基于5g网络建立会话的方法及装置 | |
| CN110546978B (zh) | 获取上下文配置信息的方法、终端设备和接入网设备 | |
| CN113950121B (zh) | 一种上下文恢复方法及装置 | |
| CN117062071A (zh) | 鉴权方法、通信装置和计算机可读存储介质 | |
| CN107005962B (zh) | 无线通信网络注册方法、通信装置及系统 | |
| CN108307457B (zh) | 一种消息路由的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |