CN114846764A - 为与服务应用的加密通信更新通信网络中锚密钥的方法、设备和系统 - Google Patents
为与服务应用的加密通信更新通信网络中锚密钥的方法、设备和系统 Download PDFInfo
- Publication number
- CN114846764A CN114846764A CN202080085232.5A CN202080085232A CN114846764A CN 114846764 A CN114846764 A CN 114846764A CN 202080085232 A CN202080085232 A CN 202080085232A CN 114846764 A CN114846764 A CN 114846764A
- Authority
- CN
- China
- Prior art keywords
- key
- anchor
- request
- application
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
- H04L9/0836—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开一般地涉及终端设备和服务应用之间经由通信网络的加密通信。这种加密通信可以基于由通信网络生成和管理的加密密钥的各种分层级别。这种加密通信和密钥管理可以由通信网络作为可以订阅的服务提供给终端设备。可以管理各种级别的加密密钥以提高通信网络的灵活性并减少潜在的安全漏洞。
Description
技术领域
本公开涉及用于通信网络中终端设备和服务应用之间的加密通信的锚密钥和应用密钥生成和管理。
背景技术
在通信网络中,可以建立通信会话和数据路径以支持终端设备和服务应用之间的数据流传输。这种数据流的传输可以通过加密/解密密钥进行保护。各种级别的加密/解密密钥的生成和有效性管理可以由通信网络中的各种网络功能或网络节点在向通信网络认证终端设备的注册过程期间以及在终端设备和服务应用之间的活动通信会话期间的协作努力来提供。
发明内容
本文公开涉及用于通信网络中终端设备和服务应用之间的加密通信的锚密钥和服务密钥生成和管理。
在一些实现中,公开了一种在终端设备中重新生成用于通信网络中的所述终端设备和服务应用之间的加密通信的密钥的方法。所述方法可以包括检测先前根据所述终端设备向所述通信网络的第一次注册认证生成的用于实现与所述服务应用的加密通信的第一密钥已变得无效;向所述通信网络发送对第二次注册认证的请求;当所述第二次注册认证成功时,生成用于实现与所述服务应用的加密通信的第二密钥;用所述第二密钥替换所述第一密钥;以及基于所述第二密钥与所述服务应用交换数据。在一些其他实现中,公开了一种重新生成用于通信网络中的终端设备和服务应用之间的加密通信的密钥的方法。所述方法可以由应用密钥管理网络节点执行并且可以包括:在所述服务应用接收到来自所述终端设备的通信请求之后,接收来自所述服务应用的对锚密钥的第一请求;确定所请求的锚密钥无效;以及向所述服务应用发送对所述锚密钥的第一请求的响应,指示所请求的锚密钥无效,使服务应用向所述终端设备发送第二响应,指示所请求的锚密钥无效,并使所述终端设备向所述通信网络发起对注册认证过程的请求以获得对所述锚密钥的替换。
在一些其他实现中,公开了一种网络设备。所述网络设备包括一个或多个处理器和一个或多个存储器,其中所述一个或多个处理器被配置为从所述一个或多个存储器读取计算机代码以实现上述方法中的任一种。
在另外的一些其他实现中,公开了一种计算机程序产品。所述计算机程序产品包括其上存储有计算机代码的非瞬态计算机可读程序介质,当由一个或多个处理器执行时,所述计算机代码使得所述一个或多个处理器实现上述方法中的任一种。
上述实施例和其他方面及其实现的替代在下面的附图、描述和权利要求中进行更详细的描述。
附图说明
图1示出了包括终端设备、运营商网络、数据网络和服务应用的示例性通信网络。
图2示出了通信网络中的示例性网络功能或网络节点。
图3示出了无线通信网络中的示例性网络功能或网络节点。
图4示出了无线通信网络中的用户认证和应用锚密钥生成的示例性实现。
图5示出了各种网络节点和网络功能的示例性功能视图,用于在各个级别生成密钥以实现无线通信网络中终端设备和服务应用之间的加密通信。
图6示出了用于生成各种级别的加密密钥以实现无线通信网络中终端设备和服务应用之间的加密通信的示例性逻辑流程。
图7示出了用于订阅应用密钥管理服务和在各个级别生成密钥以实现无线通信网络中终端设备和服务应用之间的加密通信的示例性架构视图和各种网络节点和网络功能。
图8示出了用于订阅应用密钥管理服务、认证用户和生成应用锚密钥以实现无线通信网络中终端设备和服务应用之间的加密通信的示例性逻辑流程。
图9示出了用于订阅应用密钥管理服务、认证用户和生成各种级别的加密密钥以实现无线通信网络中终端设备和服务应用之间的加密通信的示例性逻辑流程。
图10示出了用于订阅应用密钥管理服务、认证用户和生成各种级别的加密密钥以实现无线通信网络中终端设备和服务应用之间的加密通信的另一示例性逻辑流程。
图11示出了用于订阅应用密钥管理服务、认证用户和生成各种级别的加密密钥以实现无线通信网络中终端设备和服务应用之间的加密通信的另一示例性逻辑流程。
图12示出了用于订阅应用密钥管理服务、认证用户和生成各种级别的加密密钥以实现无线通信网络中终端设备和服务应用之间的加密通信的又一示例性逻辑流程。
图13示出了用于在无线通信网络中更新无效应用锚密钥或应用密钥的示例性逻辑流程。
图14示出了在各个级别的加密密钥变得无效的各种场景中进行重新认证/注册的示例性逻辑流程。
具体实施方式
如图1中的100所示的示例性通信网络可以包括终端设备110和112、运营商网络102、各种服务应用140和其他数据网络150。运营商网络102例如可以包括接入网络120和核心网络130。运营商网络102可以被配置为在终端设备110和112之间、在终端设备110和112与服务应用140之间、或者在终端设备110和112与其他数据网络150之间传输语音、数据和其他信息(统称为数据业务)。可以为这种数据传输建立和配置通信会话和相应的数据路径。接入网络120可以被配置为向终端设备110和112提供对核心网络130的网络接入。核心网络130可以包括被配置为控制通信会话并执行网络接入管理和数据业务路由的各种网络节点或网络功能。服务应用140可以由各种应用服务器托管,终端设备110和112可以通过运营商网络102的核心网络130访问这些服务器。服务应用140可以被部署为核心网络130之外的数据网络。同样,其他数据网络150可以由终端设备110和112通过核心网络130访问,并且可以表现为在运营商网络102中实例化的特定通信会话的数据目的地或数据源。
图1的核心网络130可以包括在地理上分布和互连以提供对运营商网络102的服务区域的网络覆盖的各种网络节点或功能。这些网络节点或功能可以实现为专用硬件网络元件。或者,这些网络节点或功能可以被虚拟化并实现为虚拟机或软件实体。每个网络节点可以配置有一种或多种类型的网络功能。这些网络节点或网络功能可以共同提供核心网络130的供应和路由功能。术语“网络节点”和“网络功能”在本公开中可互换使用。
图2进一步示出了通信网络200的核心网络130中的网络功能的示例性划分。虽然图2仅示出了网络节点或功能的单个实例,但是本领域普通技术人员理解,这些网络节点中的每一个可以被实例化为分布在整个核心网络130中的多个网络节点实例。如图2所示,核心网络130可以包括但不限于网络节点,例如接入管理网络节点(AMNN)230、认证网络节点(AUNN)260、网络数据管理网络节点(NDMNN)270、会话管理网络节点(SMNN))240、数据路由网络节点(DRNN)250、策略控制网络节点(PCNN)220和应用数据管理网络节点(ADMNN)210。通过各种通信接口在各种类型的网络节点之间进行的示例性信令和数据交换由图2中的各种实线连接线指示。这种信令和数据交换可以通过遵循预定格式或协议的信令或数据消息来承载。
以上在图1和图2中描述的实现可以同时应用于无线和有线通信系统。图3示出了基于图2的通信网络200的一般实现的示例性蜂窝无线通信网络300。图3示出了无线通信网络300可以包括用户设备(UE)310(用作图2的终端设备110)、无线电接入网络(RAN)320(用作图2的接入网络120)、服务应用140、数据网络(DN)150和核心网络130,该核心网络130包括接入管理功能(AMF)330(用作图2的AMNN 230)、会话管理功能(SMF)340(用作图2的SMNN240)、应用功能(AF)390(用作图2的ADMNN 210)、用户平面功能(UPF)350(用作图2的DRNN 250)、策略控制功能322(用作图2的PCNN 220)、认证服务器功能(AUSF)360(用作图2的AUNN 260)和通用数据管理(UDM)功能370(用作图2的UDMNN 270)。同样,虽然在图3中仅示出了无线通信网络300(特别是核心网络130)的一些网络功能或节点的单个实例,但是本领域普通技术人员理解。这些网络节点或功能中的每一个可以具有分布在整个无线通信网络300中的多个实例。
在图3中,UE 310可以被实现为各种类型的移动设备,这些移动设备被配置为通过RAN 320接入核心网络130。UE 310可以包括但不限于移动电话、膝上型计算机、平板计算机、物联网(IoT)设备、分布式传感器网络节点、可穿戴设备等。例如,RAN 320可以包括分布在整个运营商网络的服务区域中的多个无线电基站。UE 310和RAN 320之间的通信可以在图3的311指示的空中(OTA)无线电接口中承载。
继续图3,UDM 370可以形成用于用户合同和订阅数据的永久存储或数据库。UDM还可以包括认证凭据存储库和处理功能(ARPF,如图3的370所示),用于存储用于用户认证的长期安全凭据,以及使用这种长期安全凭据作为输入来执行加密密钥计算,如下更详细描述的。为了防止未经授权的UDM/ARPF数据暴露,UDM/ARPF 370可以位于网络运营商或第三方的安全网络环境中。
AMF/SEAF 330可以通过由连接RAN 320、SMF 340、AUSF 360、UDM/ARPF 370和PCF322的各种实线指示的通信接口与这些网络节点或功能通信。AMF/SEAF 330可以负责UE到非接入层(NAS)的信令管理,以及提供UE 310向核心网络130的注册和接入以及分配SMF340以支持特定UE的通信需求用户。AMF/SEAF 330可以进一步负责UE移动性管理。AMF还可以包括安全锚功能(SEAF,如图3的330所示),如下文更详细描述的,该功能与AUSF 360和UE310交互以用于用户认证和管理各种级别的加密/解密密钥。AUSF 360可以作为来自AMF/SEAF 330的用户注册/认证/密钥生成请求的终端,并与UDM/ARPF 370交互以完成这样的用户注册/认证/密钥生成。
AMF/SEAF 330可以为在无线通信网络300中实例化的特定通信会话分配SMF 340。SMF 340可以负责分配UPF 350以支持用户数据平面中的通信会话和其中的数据流,以及用于配置/调节分配的UPF 350(例如,用于为分配的UPF 350制定数据包检测和转发规则)。除了由SMF 340分配之外,UPF 350还可以由AMF/SEAF 330分配来实现特定的通信会话和数据流。由SMF 340和AMF/SEAF 330分配和提供的UPF 350可以负责数据路由和转发以及报告特定通信会话的网络使用情况。例如,UPF 350可以负责在UE 310和DN 150之间、在UE 310和服务应用140之间路由端到端数据流。DN 150和服务应用140可以包括但不限于由无线通信网络300的运营商或第三方数据网络和服务提供商提供的数据网络和服务。
服务应用140可以由AF 390经由例如由核心网络130提供的网络公开功能(图3中未示出,但在下文描述的图7中示出)来管理和提供。在管理涉及服务应用140的特定通信会话(例如,在UE 310和服务应用140之间)时,SMF 340可以通过由313指示的通信接口与服务应用140的相关联的AF 390交互。
PCF 322可以负责管理适用于与UE 310相关联的通信会话的各种级别的策略和规则并将其提供给AMF/SEAF 330和SMF 340。因此,例如,AMF/SEAF 330可以分配SMF 340以根据与UE 310相关联并从PCF 322获得的策略和规则进行通信会话。同样,SMF 340可以分配UPF 350以根据从PCF 322获得的策略和规则来处理通信会话的数据路由和转发。
尽管图2-14和下文描述的各种示例性实现基于蜂窝无线通信网络,但本公开的范围不受此限制,并且基本原理适用于其他类型的无线和有线通信网络。
图3的无线通信网络300中的网络身份和数据安全性可以通过AMF/SEAF 330、AUSF360和UDM/ARPF 370提供的用户认证过程来管理。特别地,UE 310可以首先与AMF/SEAF 330通信以进行网络注册,然后可以由AUSF 360根据UDM/ARPF 370中的用户合同和订阅数据来认证。在向无线通信网络300的用户认证之后为UE 310建立的通信会话然后可以通过各种级别的加密/解密密钥来保护。各种密钥的生成和管理可以由AUSF 360和通信网络中的其他网络功能来协调。
UE 310向无线通信网络300的认证可以基于与UE 310相关联的网络身份的验证。在一些实现中,除了主移动设备(ME)之外,UE 310还可以包括识别模块。例如,ME可以包括具有信息处理能力(一个或多个处理器和一个或多个存储器)并安装有移动操作系统和其他软件组件以为UE 310提供通信和处理需求的主终端设备。UE 310可以包括身份模块,用于识别用户并向通信网络认证用户,以及将用户与ME进行关联。身份模块可以实现为不同代的用户识别模块(SIM)。例如,身份模块可以实现为通用用户身份模块(USIM)或通用集成电路卡(UICC)。身份模块可以包括用户标识或其衍生物。当用户最初订阅无线通信网络300时,可以由通信网络的运营商分配用户标识。
例如,用户标识可以包括由无线通信网络的运营商分配给用户的订阅永久标识符(SUPI)。在一些实现中,SUPI可以包括国际移动用户识别码(IMSI)或网络接入标识符(NAI)。作为SUPI的替代,用户标识可以以隐藏标识的形式提供,例如订阅隐藏标识符(SUCI)。在SUCI中,用户的标识可以通过加密隐藏和保护。例如,SUCI可以包括:1)SUPI类型,其可以占用预定数量的信息比特(例如,值0-7占用三个比特,其中值0可以指示用户标识是IMSI类型,值1可以指示用户标识是NAI类型,其他值可以保留给其他可能的类型);2)用户订阅的无线网络的归属网络标识,当用户的SUPI为IMSI类型时,可以包括无线通信网络300的运营商的移动国家代码(MCC)和移动网络代码(MNC),并且当用户的SUPI为NAI类型时,可以替代地包括在例如IETF RFC 7542的第2.2节中指定的标识符;3)由无线通信网络300的运营商分配的路由指示符(RID),其与上述归属网络标识符一起确定与UE 310相关联的AUSF和UDM;4)保护方案标识符(PSI),用于指示在无保护(null-scheme)或有保护(non-null-scheme)之间进行选择;5)归属网络公钥标识符,用于指定归属网络提供的用于保护SUPI的公钥的标识符(当上述PSI指示null-scheme时,该标识符值可以设置为零);6)方案输出,当上述PSI指示non-null-scheme时,其可以包括由归属网络公钥加密的IMSI的移动用户识别号(MSIN)部分或NAI,使用例如椭圆曲线加密,并且当上述PSI指示null-scheme时,其可以包括MSIN或NAI(未加密)。以SUCI为例,当IMSI为234150999999999时,即MCC=234,MNC=15,MSIN=0999999999,假设RID为678,归属网络公钥标识符为27,则未受保护的SUCI可能包括{0,(234,15),678,0,0和0999999999},受保护的SUCI可能包括{0,(234,15),678,1,27,<使用由公钥标识符27指示的公钥的0999999999的椭圆曲线加密>}。
因为UE 310经由核心网络130与其他UE、DN 150或服务应用140之间的通信会话的部分数据路径可能在例如核心网络130内的安全通信环境之外,因此,在这些数据路径中传输的用户身份和用户数据可能会暴露在不安全的网络环境中,并可能受到安全漏洞的影响。因此,优选使用各种级别的加密/解密密钥来进一步保护在通信会话中传输的数据。如上所述,这些密钥可以由AUSF 360结合向无线通信网络300的用户认证过程来管理。这些加密/解密密钥可以以多个级别和分层方式组织。例如,AUSF 360可以在初始订阅无线通信网络300的服务时为UE 310生成第一级基本密钥。可以在每次向无线通信网络注册和认证时为UE 310配置第二级基本密钥。这样的第二级基本密钥可以在UE 310的注册会话期间有效并且可以用作用于生成其他更高级别密钥的基本密钥。这种更高级别密钥的示例可以包括锚密钥,其可以用于导出甚至更高级别的密钥以用作在通信会话中传输数据的实际加密/解密密钥。
这种多级密钥方案对于涉及UE 310和服务应用140的通信会话可能特别有用。具体而言,应用锚密钥可以基于基本密钥生成并作为安全锚点进行管理,以用于UE 310和多种服务应用之间的通信。UE 310与不同服务应用140的不同通信会话可以使用不同的数据加密/解密密钥。这些不同的数据加密/解密密钥可以基于锚密钥分别独立生成和管理。
在一些实现中,核心网络130可以被配置为包含用于服务应用的认证和密钥管理(AKMA)的特殊架构。例如,无线通信网络300可以在其核心网络130中进一步包括AKMA锚功能(AAnF)或网络节点。示例性AAnF 380在图3中示出。AAnF 380可负责生成和管理数据加密/解密密钥以便于各种服务应用与AUSF 360以及与各种服务应用相关联的各种AF 390的协作。AAnF 380还可以负责维护UE 310的安全上下文。例如,AAnF 380的功能可以类似于通用引导架构(GBA)中的引导服务器功能(BSF)。多个AAnF 380可以部署在核心网络130中,并且每个AAnF 380可以与一个或多个服务应用和相应的AF 390相关联并负责其密钥管理。
图4和5示出了上述分层AKMA的示例性实现。例如,图4示出了用于为涉及服务应用的通信会话生成基本密钥和锚密钥的实现400。具体地,实现400可以包括用户认证过程402和锚密钥生成过程404。用户认证过程402例如可以涉及来自UE 310、AMF/SEAF 330、AUSF360和UDM/ARPF 370的动作。例如,在进入无线通信网络时,UE 310可以将网络注册和认证请求传送给AMF/SEAF 330。这样的请求可以由AMF/SEAF 330转发给AUSF 360进行处理。在认证过程中,AUSF 360可以从UDM/ARPF 370获得用户合同和订阅信息。例如,5G无线系统的认证过程可以基于5G-AKA(认证和密钥协议)协议或EAP-AKA(扩展认证协议-AKA)。在成功认证时,UDM/ARPF 370可以生成认证向量,并且可以将这种认证向量发送到AUSF 360。在成功的用户认证过程402之后,可以同时在UE 310侧和网络侧的AUSF 360处生成基本密钥360。这样的基本密钥可以称为KAUSF。
如图4中的410和420进一步所示,可以在锚密钥生成过程404中基于UE 310和AUSF360两者处的基本密钥KAUSF来导出锚密钥。这样的锚密钥可以被称为KAKMA。如图4中的412和422进一步所示,可以在UE 310和AUSF 360处生成用于锚密钥KAKMA的标识符。这样的标识符可以被称为KID。
除了生成基本密钥KAUSF 502和锚密钥KAKMA 504之外,图5还示出了生成用于UE和服务应用之间的加密通信的应用密钥506的示例性实现500。如图5所示,表示为KAF的应用密钥506可以同时在网络侧和UE侧基于锚密钥KAKMA504生成。特别是在网络侧,锚密钥KAKMA 504可以由AUSF 360基于基本密钥KAUSF 502生成,应用密钥KAF 506的生成可能涉及AAnF 380。在图5的UE侧,锚密钥KAKMA 504和应用密钥KAF 506的生成被示为由UE的ME(移动设备)部分510执行。特别地,UE侧的这种密钥生成可以主要涉及在完成涉及UE内的身份模块(例如,SIM)的用户认证过程402之后利用ME的处理能力和功能。
在图4和5所示的应用密钥管理方案中,一个或多个AAnF 380可以分布在核心网络中,并且一个或多个AAnF 380中的每一个可以与一个或多个AF 390相关联。因此,一个或多个AAnF 380中的每一个可以与一个或多个服务应用相关联,并且可以负责生成和管理用于涉及这些服务应用的加密通信的应用密钥。虽然这些服务应用中的每一个的应用密钥都可以基于相同的锚密钥KAKMA 504生成,但是这些应用密钥在网络侧可以由相应的AAnF 380独立生成。
图6进一步示出了用于生成与服务应用相关联的应用密钥以实现UE 310和对应的AF 390之间的加密通信的示例性逻辑流程600。在步骤601-1,UE 310可以首先被AMF/SEAF330、AUSF 360和UDM/ARPF 370成功注册和认证(类似于图4中的402)。在UE注册和认证之后,可以生成基本密钥KAUSF。在步骤601-2,可以同时在UE侧和网络侧生成锚密钥KAKMA和对应的标识KID(类似于图4的410、412、420和422)。在步骤602,UE 310通过发送通信请求消息来发起与AF 390的相关联的服务应用的通信会话。该请求可以包括在步骤601-2生成并与在步骤601-1生成的锚密钥KAKMA相关联的标识符KID。在步骤603,AF 390可以向AAnF 380发送密钥请求消息,其中密钥请求消息包括锚密钥标识符KID和AF 390的标识符AFID。在步骤604,AAnF 380确定与锚密钥标识符KID相关联的锚密钥KAKMA是否可以位于AAnF 380中。如果在AAnF 380中找到KAKMA,则逻辑流程600继续到步骤607。否则,AAnF 380可以在步骤604向AUSF 360发送携带锚密钥标识符KID的锚密钥请求,并在AUSF 360响应于来自AAnF 380的锚密钥请求而根据锚密钥标识符KID识别锚密钥KAKMA之后,在步骤605从AUSF 360接收锚密钥KAKMA。在步骤606,如果KAF之前尚未在AAnF 380处导出或已经过期,则AAnF 380基于锚密钥KAKMA导出应用密钥KAF。导出的KAKMA可以与应用密钥有效期(或到期时间)相关联。在步骤607,AAnF 380可以将应用密钥KAF和相应的到期时间发送到AF 390。在从AAnF 380获得KAKMA之后,AF最终可以对在步骤602发送自UE 310的通信请求做出响应。例如,步骤608中的响应可以包括KAF的到期时间,并且这样的到期时间可以由UE 310记录和存储。
图7示出了通过上面公开的各种网络功能实现AKMA的另一示例性架构视图700。诸如AMF/SEAF 330、AUSF 360、AF 390、UDM/ARPF 370、UE 310和AAnF 380之类的各种功能被示出为根据上述示例性实现,经由与这些网络功能相关联的各种接口(例如,如图7所示,用于AMF/SEAF 330的Namf接口、用于AUSF 360的Nausf接口、用于AF 390的Naf接口、用于UDM/ARPF 370的Nudm接口和用于AAnF 380的Naanf接口)相互交互。图7进一步示出了作为网关的网络公开功能(NEF)702,用于向与服务应用相关联的AF 390提供核心网络的功能公开。在图7的示例性架构视图700中,UE 310可以通过Ua接口与AF 390通信,并且通过N1接口与AMF/SEAF 330通信。从UE 310到核心网络的通信由RAN 320中继。
在上述实现中,AUSF、UDM、AUSF和AAnF属于UE 310的归属网络。它们可以位于由运营商或授权第三方提供的安全网络环境中,并且可以不暴露未授权的网络访问。在漫游场景中,归属UDM和AUSF为UE提供认证信息,维护UE的漫游位置,向访问网络提供订阅信息。
在与服务应用的通信会话中传输的数据的应用密钥生成和加密/解密可能涉及需要大量计算能力和能量消耗的大量数据处理。如果上述数据加密/解密是强制性的,则一些不具备这种计算能力的低端UE可能无法与服务应用通信。在下面描述的一些进一步的实现中,可以提供选项,使得UE可以与服务应用通信,其中的数据流受到应用密钥的保护或不受保护。因此,不能及时执行应用密钥生成和数据加密/解密的低端UE仍然可以选择请求与服务应用的不受保护的通信会话,从而避免必须执行任何复杂的密钥生成和数据加密/解密。
这样的选项可以通过服务订阅机制来提供。例如,AKMA可以作为可以由UE订阅的服务来提供。例如,UE可以订阅或不订阅AKMA服务。当UE订阅AKMA服务时,UE可以请求与服务应用的受保护的通信会话。UE和各种网络功能(例如AAnF 380)可以相应地执行数据加密/解密所需的应用密钥生成。否则,当UE没有订阅AKMA服务时,UE只能请求与服务应用的不受保护的通信会话,并且不需要应用密钥和数据加密/解密。
又例如,UE可以不订阅AKMA服务的全部,而是针对经由网络公开功能可用并且向通信网络注册的一些或全部服务应用,或者不针对该服务应用订阅AKMA服务。当UE针对特定服务应用订阅了AKMA服务时,UE可以请求与该服务应用的受保护的通信会话。UE和各种网络功能(例如AAnF 380)可以相应地执行数据加密/解密所需的应用密钥生成。否则,当UE未针对特定服务应用订阅AKMA服务时,UE只能请求与该服务应用的不受保护的通信会话,并且不需要应用密钥和数据加密/解密来进行与该特定服务应用的通信。
用于服务应用的AKMA服务的UE订阅信息可以在网络侧由UDM/ARPF 370管理。具体地,UDM/ARPF 370可以跟踪每个UE的AKMA服务订阅信息。UDM/ARPF 370可以被配置为为通信网络的其他网络功能(例如AUSF 360)提供接口,以请求特定UE的AKMA服务订阅信息。例如,UDM/ARPF 370可以在请求时通过图7所示的Nudm接口将UE AKMA服务订阅信息传递给AUSF 360。在这些实现中,除了其他用户数据管理功能之外,UDM/ARPF 370基本上被配置为充当AKMA服务订阅信息的存储库。或者,可以将与UDM/ARPF 370分开和不同的专用网络功能包括在核心网络中,并将其配置为管理AKMA服务订阅。
这样的订阅信息可以以各种形式记录在UDM/ARPF 370中。订阅信息可以由UE索引。例如,每个AKMA服务订阅可以与UE标识符相关联。每个AKMA服务订阅还可以包括以下一项或多项:(1)有关UE是否订阅AKMA服务的指示符,(2)与UE的订阅相关联的一个或多个AAnF的标识符,以及(3)与AAnF对应的锚密钥KAKMA的有效期(或到期时间)。AAnF的标识符可以以AAnF的网络地址的形式提供。或者,可以以AAnF的完全限定域名(FQDN)的形式提供AAnF的标识符。每个UE可以对应于它所订阅的一个或多个AAnF。
相应地,UE的身份模块(例如,全球用户身份模块(USIM)或通用集成身份卡(UICC))可以包括UE的AKMA服务订阅信息。这样的订阅信息可以包括以下一项或多项:(1)有关UE是否订阅AKMA服务的指示符,(2)与UE的AKMA服务订阅相关联的一个或多个AAnF的标识符,(3)对应于AAnF的锚密钥KAKMA的有效期,以及(4)与UE订阅的应用服务对应的AF标识符。同样,可以以AAnF的网络地址的形式提供AAnF的标识符。或者,可以以AAnF的FQDN的形式提供AAnF的标识符。每个UE可以对应于一个或多个订阅的AAnF。同样,AF的标识符可以以AF的网络地址的形式提供。或者,AF的标识符可以以AF的FQDN的形式提供。每个UE可以对应于一个或多个AF。在一些实现中,多个AF可以与同一个AAnF相关联,但是每个AF可以仅与一个AAnF相关联。
图8示出了当UE订阅AKMA服务时用于认证用户和生成锚密钥KAKMA生成的示例性逻辑流程800、850和860。逻辑流程800示出了示例性UE注册和认证过程,而逻辑流程850示出了用于生成锚密钥KAKMA的示例性过程,并且逻辑流程860示出了替代逻辑流程850的用于生成锚密钥KAKMA的另一示例性过程。如840所示,UE 310可以订阅AKMA服务,并且与UE 310相对应的AKMA服务订阅信息可以记录在UE 310中。这样的订阅信息可以包括以下项的一个或多个组合:有关UE 310是否订阅AKMA服务的指示符;一个或多个AAnF标识符;一个或多个AF标识符;以及AKMA锚密钥有效期。如842进一步所示,UDM/ARPF 370中记录的相应用户订阅信息可以包括以下一项或多项:有关UE 310是否订阅AKMA服务的指示符;一个或多个AAnF标识符;以及AKMA锚密钥有效期。在UE注册和认证过程中,UDM/ARPF 370可以将AKMA服务订阅信息发送到AUSF 360。在UE注册和认证成功后,AUSF 360可以基于从UDM/ARPF 370接收的AKMA服务订阅信息导出AKMA锚密钥。同时,UE 310也可以基于存储在UE 310中的AKMA服务订阅信息导出AKMA锚密钥。
UE注册/认证以及AKMA锚密钥生成的具体示例性步骤由图8中的步骤801至810说明。在步骤801,UE 310向AMF/SEAF 330发送请求消息以启动UE 310向网络的注册/认证。AMF/SEAF 330可以由UE的归属网络提供,或者在UE漫游的场景中由访问网络提供。该请求消息可以包括UE 310的用户标识符,例如SUCI或5G-全球唯一临时UE身份(5G-GUTI)。在步骤802,AMF/SEAF 330向AUSF 360发送AUSF认证请求(例如,Nausf_UEAuthentication_Authenticate Request)。这样的AUSF请求可以包括UE 310的SUCI或SUPI。在步骤801中的注册/认证请求包括5G-GUTI的情况下,AMF/SEAF 330可以首先从UE的归属AMF获得SUPI。如果失败,则AMF/SEAF 330可以从UE 310获得SUCI。AUSF请求还可以包括UE 310的服务网络(SN)的身份或名称。在步骤803,在AUSF 360(UE的归属AUSF)确定SNname有效之后,AUSF360向UDM/ARPF 370发起用户认证请求消息(例如,Nudm_UEAuthentication_GetRequest)。这样的用户认证请求消息可以包括UE 310的SUCI或SUPI,并且还可以包括SN名称。
继续图8,在步骤804,UDM/ARPF 370接收到步骤803的用户认证请求消息,并且可以对消息中包含的SUCI进行解密以获得SUPI。然后,UDM/ARPF 370确定用户认证的类型(例如,5G-AKA或EAP-AKA)并生成认证向量。UDM/ARPF 370进一步查询其订阅数据存储库以确定UE 310是否已订阅AKMA服务,如果是,则获取UE 310的AKMA服务订阅信息。然后UDM/ARPF370通过将包括认证向量、从SUCI解密的SUPI和/或UE 310的AKMA服务订阅信息的消息返回到AUSF 360来对步骤803的用户认证请求做出响应(例如,Nudm_UEAuthentication_Getthe response)。由UDM/ARPF 370生成并且包括在返回消息中的认证向量例如可以包括认证令牌(AUTN)、随机数(RAND)和/或各种认证密钥。UE的AKMA服务订阅信息例如可以包括一个或多个AAnF的标识符,和/或AKMA锚密钥的有效期。
此外,在步骤805,AUSF 360验证在步骤804从UDM/ARPF 370发送的认证向量并启动主要认证过程。例如,这种认证过程可以基于5G-AKA或EAP-AKA。在成功完成主要认证过程之后,UE 310和AUSF 360都将生成基本密钥KAUSF。UE 310和AMF/SEAF 330将进一步生成层和非层访问密钥。
图8中步骤805之后的逻辑流程850示出了用于锚密钥生成的示例性实现。具体地,在步骤806,在UE主要认证逻辑流程850成功之后,UE 310和AUSF 360可以生成AKMA锚密钥KAKMA=KDF(KAUSF,AKMA Type,RAND,SUPI,AAnF标识符)。术语“KDF”表示涉及HMAC-SHA-256(用于安全散列算法的256位基于散列的消息验证码)的示例性密钥生成算法。KAUSF表示基本密钥。“AKMA Type”参数表示各种AKMA类型,例如AKMA可以基于ME(UE的ME部分负责密钥生成和加密/解密计算)。又例如,AKMA可以基于UICC,其中UE的UICC中的处理能力用于密钥生成和加密/解密。“RAND”参数表示由UDM/ARPF 370在上述步骤804中生成的认证向量中的随机数。AAnF标识符可以包括AAnF的网络地址或AAnF的FQDN。虽然上面的示例性KDF计算列出了上面讨论的所有参数,但并非所有这些参数都需要包括在计算中。任何这些参数的任何组合都可以用于KDF计算和KAKMA的生成。在一些实现中,KAUSF参数可以是强制性的,而其他参数可以是可选的。在一些其他实现中,可以使KAUSF参数和AKMA订阅信息的至少一部分(例如,AKMA Type、AAnF标识符)成为强制性的,并且可以使其他参数成为可选的。
在步骤807,UE 310和AUSF 360可以生成AKMA锚密钥的标识符,例如KID=RAND@AAnF标识符,或KID=base64encode(RAND)@AAnF标识符。这里,RAND是从上述UDM/ARPF 370获得的认证向量中的随机数,AAnF标识符包括AAnF网络地址或FQDN地址。例如,在IEFT RFC3548协议中指定了由“base64encode”定义的示例性编码方法。此外在步骤808,在步骤806中计算AKMA锚密钥和在步骤807中计算AKMA锚密钥标识符之后,AUSF 360可以向AAnF 380发送推送消息。推送消息例如可以包括锚密钥KAKMA,另一锚密钥标识符KID。推送消息还可以包括锚密钥KAKMA的有效期。AAnF 380然后可以存储锚密钥KAKMA和锚密钥标识符KID。AAnF380可以进一步识别根据AAnF 380处的本地密钥管理策略确定的锚密钥KAKMA的本地有效期。AAnF 380可以比较锚密钥的本地有效期和在步骤808从AUSF 360接收到的密钥,并将较小的值用作锚密钥的实际有效期。如果锚密钥的有效期不在步骤808中从AUSF 360发送到AAnF 380的消息中,则AAnF 380可以使用本地有效期作为锚密钥的实际有效期。如果在AAnF 380中没有找到锚密钥的本地有效期,则在步骤808中从AUSF 360接收到的有效期可以用作锚密钥的实际有效期。此外,在步骤809,当在步骤808中成功地完成从AUSF 360向AAnF 380成功传输推送消息时,AAnF 380向AUSF 360发送响应。
逻辑流程860进一步示出了替代上述逻辑流程850的用于锚密钥生成的示例性实现。逻辑流程860的步骤806A、807A、808A和809A分别对应于步骤806、807、808和809。逻辑流程860类似于逻辑流程850,除了锚密钥KAKMA的标识符KID由网络侧的AAnF 380而不是AUSF360生成(如由AAnF 380执行的步骤808A所示)。相应地,从AUSF 360发送到AAnF 380的推送消息可以包括参数RAND,该参数可以用作在步骤808A由AAnF 380用于生成KID的组件之一。逻辑流程860中的各种其他步骤的细节可以在上面对逻辑流程850的描述中找到。
在根据上述逻辑流程850或860成功生成锚密钥之后,UE 310可以发起与AF 390的通信,如下文更详细描述的。最后对于图8,如步骤810所示,AMF/SEAF 330可以向UE 310发送响应消息,指示成功完成步骤801的注册/认证请求以及成功完成订阅的AAnF的锚密钥生成。在一些其他替代实现中,步骤810可以在步骤806之前执行,用于指示步骤801的注册/认证请求的成功完成。
在上述图8的实现中,AKMA服务作为选项提供而不是强制提供,并提供给UE以供订阅。订阅信息可以由归属网络侧的UDM/ARPF 370和在UE 310中存储和管理。因此,为UE 310提供了订阅AKMA服务或不订阅AKMA服务的选项。在UE未订阅AKMA服务的情况下(例如,当UE缺乏处理密钥生成和数据加密的能力时),UE可以放弃生成应用锚密钥的过程,并可以不使用任何应用密钥,直接与应用服务器通信。在UE订阅AKMA的情况下,可以选择性地使用订阅信息,如步骤806、806A、807和807A中的可选参数AAnF ID和AKMA Type所示,用于生成AKMA锚密钥及其标识符。
应用锚密钥KAKMA一旦如上文在图8中描述的那样生成,便可以被用作生成用于UE310和UE 310已订阅的AKMA服务中的服务应用之间的加密通信的应用密钥的基础。如上面关于图8所示,诸如由UDM/ARPF 370生成的认证向量中的随机数RAND之类的参数可以用于构建KID(例如,参见图8中的步骤807和808)。在UE 310和服务应用之间的每次通信期间,标识符KID还可以用作搜索索引以识别对应的AKMA锚密钥。通过核心网络安全环境之外的数据路径频繁传输诸如RAND参数之类的这些参数可导致安全漏洞或这些参数的泄露。在图9-12的逻辑流程中所示,并且在下文描述的用于与服务应用进行加密通信的应用密钥生成的示例性实现可以提供用于降低这些参数的安全风险的方案。
在图9-12中,在UE 310的主要注册和认证以及应用锚密钥的生成(例如,根据图8所示的认证和锚密钥生成步骤801-806)之后,UE 310可以生成初始应用密钥并向与服务应用相关联的AF发送通信请求。AF可以从AAnF获取初始应用密钥。同时,AAnF可以生成新的随机数(NewRAND)或新的锚密钥标识符,并通过AF将NewRAND或新的锚密钥标识符发送到UE310。UE然后可以基于NewRAND或新的锚密钥标识符生成新的应用密钥,并使用新的应用密钥来请求和建立与服务应用的实际通信会话。用于生成新的应用密钥的NewRAND和新的锚密钥标识符可以称为用于生成新的应用密钥的密钥种子。
如图9-12中的840所示,假设UE 310已订阅AKMA服务,并且存储在UE 310中的AKMA服务订阅信息可以包括以下项的一个或多个组合:有关UE 310是否订阅AKMA服务的指示符;一个或多个AAnF标识符;一个或多个AF标识符;以及AKMA锚密钥有效期。如图9-12中的842进一步所示,UDM/ARPF 370中记录的相应用户订阅信息可以包括以下一项或多项:有关UE 310是否订阅AKMA服务的指示符;一个或多个AAnF标识符;以及AKMA锚密钥有效期。AAnF的标识符可以以AAnF的网络地址的形式提供。或者,AAnF的标识符可以以AAnF的FQDN的形式提供。每个UE可以对应于一个或多个订阅的AAnF。同样,AF的标识符可以以AF的网络地址的形式提供。或者,AF的标识符可以以AF的FQDN的形式提供。每个UE可以对应于一个或多个AF。在一些实现中,多个AF可以与同一个AAnF相关联,但是每个AF可以仅与一个AAnF相关联。
转向图9的逻辑流程900并且如901所示,UE 310、AMF/SEAF 330、AUSF 360和UDM/ARPF 370可以首先执行UE 310的主要注册和认证以及AKMA锚密钥的生成(根据图8所示的认证和锚密钥生成步骤801-806)。主要认证和AKMA锚密钥生成的细节在上面参考图8进行了描述。在步骤907,UE 310和AUSF 360生成AKMA锚密钥的初始标识符,例如KID=RAND@AAnFID,或KID=base64encode(RAND)@AAnFID。在UE注册和认证成功后,在步骤908,AMF/SEAF 330向UE 310传送响应消息以指示注册和认证成功。步骤908可以在其他时间执行。例如,步骤908可以在程序901中的步骤806之前执行。
继续图9,在步骤909,UE 310可以生成初始应用密钥Kin-AF=KDF(KAKMA,RAND,AFID),其中KDF表示关于图8的步骤806描述的示例性密钥生成算法。在步骤910,UE 310向与服务应用相关联的AF 390发送初始通信请求。初始通信请求例如可以包括用于AKMA锚密钥的标识符KID。进一步在步骤911,AF 390从UE 310接收初始通信请求,并根据KID中包含的AAnF ID向AAnF 380发送对初始应用密钥Kin-AF的请求。例如,来自AF 390的对初始应用密钥Kin-AF的请求可以包括KID和AF的标识符AFID。AAnF 380可以根据在步骤911从AF 390发送的KID查询AKMA锚密钥KAKMA。如果AAnF 380找到AKMA锚密钥KAKMA,则逻辑流程900可以进行到914。如果AAnF 380没有找到AKMA锚密钥KAKMA,则可以在步骤912向AUSF 360发送对AKMA锚密钥请求。这样的请求可以包括KID。在接收到步骤912的请求后,AUSF 360可以根据KID识别所请求的AKMA锚密钥KAKMA,并在步骤913以KAKMA及其有效期对AAnF 380做出响应。然后在步骤914,AAnF 380可以存储锚密钥KAKMA及其有效期。AAnF 380可以进一步识别根据AAnF 380处的本地密钥管理策略确定的锚密钥KAKMA的本地有效期。AAnF 380可以比较锚密钥的本地有效期和在步骤808从AUSF 360接收到的锚密钥的有效期,并将较小的值用作锚密钥的实际有效期。如果在步骤808从AUSF 360发送到AAnF 380的消息中不包括锚密钥的有效期,则AAnF 380可以使用本地有效期作为锚密钥的实际有效期。如果在AAnF 380中没有找到锚密钥的本地有效期,则在步骤808从AUSF 360接收到的有效期可以用作锚密钥的实际有效期。此外,在步骤914,AAnF 380可以基于Kin-AF=KDF(KAKMA,RAND,AFID)生成Kin-AF。示例性密钥计算KDF算法先前关于图9的步骤909和图8中的步骤806进行了描述。
继续图9,在步骤915,AAnF 380可以生成新的随机数,表示为NewRAND。AAnF 380还可以生成AKMA锚密钥的新标识符,例如KID-New=NewRAND@AAnF ID,或KID-New=Base64Encode(NewRAND)@AAnF ID。在步骤916,AAnF 308发送针对步骤911中的对初始Kin-AF的请求的响应。这样的响应可以包括初始应用密钥Kin-AF、NewRAND、KID-New和/或KID-New的有效期。在一些实现中,KID-New的有效期不长于AKMA锚密钥的有效期。如果在步骤916之前执行了步骤917(见下文描述),则步骤916的响应还可以包括在下面的步骤917中生成的新的KAF。
在步骤917,AAnF 380生成新的应用密钥KAF-New,如KAF-New=KDF(KAKMA,NewRAND,AFID)。KDF算法类似于上面已经描述的那些。可以在步骤916之前替代地执行步骤917。在步骤918,AF 390可以记录KAF-New和KID-New对。AF 390可以进一步对步骤910的请求做出响应,并将响应消息发送到UE310。这样的响应消息可以包括新的随机数NewRAND和/或新的AKMA锚密钥标识符KID-New。响应消息还可以包括KAF-New的有效期。在一些实现中,该响应消息的传输可以使用Kin-AF进行加密。换言之,可以使用Kin-AF对步骤918中的响应的各种传输分量进行加密。之后,AF 390可以移除初始Kin-AF。
在步骤919,UE 310接收步骤918的响应。如果响应通过Kin-AF加密,则UE 310可以使用它在步骤909导出的Kin-AF对响应进行解密。如果响应包括NewRAND,则UE 310可以在解密后获得响应中包含的NewRAND分量。UE 310然后可以生成AKMA锚密钥的新标识符KID-New,例如Kin-AF=NewRAND@AAnF ID。如果加密的KID-New已经包含在步骤918的响应中,则UE 310可以对该响应进行解密以直接获得KID-New。
在步骤920,UE 310可以生成新的应用密钥KAF-New,例如KAF-New=KDF(KAKMA,newRAND,AF ID),其中KDF是上面关于图8的步骤806描述的密钥生成算法。UE 310可以存储新的AKMA锚密钥ID KID-New和新的应用密钥KAF-New。如果新应用密钥KAF-New的有效期包含在步骤918的响应中,则UE 310还可以对响应进行解密以获得KAF-New的有效期并将其存储在本地。
在步骤921,UE 310可以向AF 390发起另一通信请求。请求消息可以包括AKMA锚密钥的新标识符KID-New,并且UE 310可以使用新的应用密钥KAF-New进一步加密请求消息。在步骤922,AF 390接收步骤921的通信请求,并且可以首先确定本地是否存在新的应用密钥KAF-New。如果本地存在KAF-New,则AF 290可以在步骤921使用这样的KAF-New来解密来自UE 310的通信请求。如果AF 390没有找到KAF-New,则它可以发送请求消息到AAnF 380以获取新的应用密钥KAF-New。请求消息可以包括AKMA锚密钥的新标识符KID-New和AFID。在步骤923,AAnF 380接收来自步骤922的请求消息,并基于KID-New查询新的应用密钥KAF-New,然后将KAF-New返回给AF 390作为响应。如果步骤916不包括KAF-New的任何有效期,则该有效期可以包括在步骤923中对AF 390的响应消息中。最后在步骤924,AF 390可以使用KAF-New来对在步骤921从UE 310发送通信请求进行解密,然后对UE 310做出响应以与UE 310建立通信。这种响应可以包括新的应用密钥KAF-New的有效期。
图10示出了作为图9的替代实现的逻辑流程1000。逻辑流程1000类似于图9的逻辑流程900(如图9和图10中相同的标记所示),除了图9的步骤907从图10中去除(如1002所示)。因此,图10中的AUSF 360不需要生成AKMA锚密钥的初始标识符KID。因此,在图10中的步骤1012(显示为带下划线的步骤)代替了图9的步骤912。具体而言,因为在AUSF 360处未生成初始KID,所以可以根据RAND而不是KID查询从AAnF 380到AUSF 360的对AKMA锚密钥信息的请求。AAnF 380可以从它在图10的步骤911从AF 390接收的KID导出RAND参数。
图11示出了替代图9和图10的逻辑流程900和1000的另一逻辑流程1100。逻辑流程1100类似于图9的逻辑流程900(如图9和图10中的相同标记所示),其中图11中的注释不同于图9。例如,在逻辑流程1100中添加了步骤1102和1104(图11中带下划线的步骤)。具体地,在步骤1102,一旦AKMA锚密钥由AUSF 360生成,便会被从AUSF 360主动推送到AAnF 380,而不是由AAnF 380从AUSF 360被动请求,如图9的步骤912和913中实现(这两个步骤从图11的实现中移除,如1106所示)。在步骤1104,如果AKMA锚密钥被AAnF 380成功接收,则AAnF 380向AUSF 360提供响应。此外,当与图10中的相同步骤比较时,图11的步骤914可以如图11所示进行修改,这是因为,由于在步骤1102从AUSF 360主动推送,AAnF 380已经具有AKMA锚密钥。
图12示出了替代图9、10和11的逻辑流程900、1000和1100的又一逻辑流程1200。逻辑流程1200同时遵循图10的逻辑流程1000和图11的逻辑流程1100的实现,因为图9的步骤907、912和913已被移除,如1201和1206所示,步骤914与图9相比已被修改,如图11所示,并且添加了推送步骤1202和1204。因此,在图12的实现中,AKMA锚密钥被从AUSF 360主动推送到AAnF 380,正如图11中的实现。此外,不需要在AUSF 360处生成任何初始KID,因为作为步骤1202和1204中信息推送的结果,不需要稍后将请求定向到AUSF 360以查询AKMA锚密钥。
在图9-12所示的实现中,新随机数由AAnF 380生成并用于生成新的应用密钥和AKMA锚密钥的新标识符。由UDM/ARPF 370作为认证向量的一部分生成的原始RAND只能以有限的方式在各种网络功能之间传输,因此暴露给安全漏洞的机会较少。可以为UE 310和AF390之间的每次通信生成新的随机数,因此一个新的随机数的安全漏洞不会对单独的通信会话造成风险。因此在图9-12的实现中,通信安全性得到提升。
如上所述,为了进一步提升通信安全性,在UE 310和服务应用之间的加密通信中涉及的各种密钥可以与有效期(或到期时间)相关联。换言之,这些密钥仅在这样的有效期内有效。特别地,当这些密钥变得无效时,UE 310和服务应用之间的通信可能不受加密保护。因此,当这些密钥变得无效时,可能需要更新它们。下面描述的图13-14示出了当各种密钥无效或变得无效时更新它们(例如,包括AKMA锚密钥和应用密钥)的各种实现。
图13示出了用于更新无效密钥的UE发起的实现1300。用户认证过程402和步骤410、412、420、422与关于图4描述的对应步骤完全相同。上面的图4的描述适用于图13中的这些步骤。按照这些步骤,可以生成AKMA锚密钥。在步骤1301,UE 310确定AKMA锚密钥或AKMA应用密钥无效或变得无效。UE 310然后移除无效的AKMA锚密钥或应用密钥、相应的有效期以及无效AKMA锚密钥的标识符。
在步骤1302,当UE处于空闲状态时,UE可以向无线网络(向诸如AMF/SEAF 330或AUSF 360等网络功能)发起注册请求消息。这样的注册请求消息可以包括SUCI或5G-GUTI和ngKSI(安全上下文索引,例如为7),指示UE安全上下文无效。当UE 310处于处理非紧急服务或非高优先级服务的激活状态,并且UE 310进入空闲状态时,UE可以向网络发起注册请求。当UE 310处于处理紧急服务或高优先级服务的活动状态时,UE可以等待直到紧急或高优先级服务完成,然后进入空闲状态并向网络发起注册请求。在一些其他实现中,当UE处于活动状态时,UE可以等待活动服务的完成,然后向网络发起注册请求,而不管活动服务的紧急性或优先级。
在步骤1303,UE可以向网络进行主要认证和注册,然后生成新的AKMA锚密钥和/或应用密钥,并确定这些新密钥的有效期和标识符。UE和网络都记录这些密钥、有效期和标识符。
图14示出了网络发起的无效AKMA密钥的更新。在图14中,UE可能已订阅AKMA服务。在图14的840中,可以在UE中记录对应于UE的AKMA服务订阅信息。这样的订阅信息可以包括以下项的一个或多个组合:有关UE是否订阅AKMA服务的指示符;一个或多个AAnF标识符;一个或多个AF标识符;以及AKMA锚密钥有效期。在图14的842中,UDM/ARPF 370中记录的对应的用户订阅信息可以包括以下一项或多项:有关UE是否订阅AKMA服务的指示符;一个或多个AAnF标识符;以及AKMA锚密钥有效期。在UE注册和认证过程中,UDM/ARPF 370可以将AKMA服务订阅信息发送到AUSF 360。
在图14的步骤1401中,UE和网络完成主要认证过程并生成AKMA锚密钥KAKMA和对应的标识符KID、AKMA应用密钥KAF以及这些密钥的有效期。由于各种原因,这些密钥可能无效。在图14中,逻辑流程1460、1470和1480示出了在这些密钥中的至少一个变得无效的各种示例性场景下的密钥更新。
对于示例性逻辑流程1460,AKMA锚密钥可能无效。在步骤1402,UE 310可以向AF390发起通信请求。通信请求可以包括AKMA锚密钥的标识符KID。在步骤1403,AF 390可以根据KID中的AAnF标识符向AAnF 380发送包括KID和AFID的初始应用密钥请求消息。在步骤1404,AAnF 380可以根据KID查询AKMA锚密钥KAKMA。如果AAnF 380没有找到AKMA锚密钥KAKMA,则可以向AUSF 360发送AKMA锚密钥请求消息。请求消息可以包括KID。在步骤1405,AUSF 360可以根据KID查询有效的AKMA锚密钥并且可能无法找到有效的AKMA锚密钥。然后,AUSF 360可以用失败消息向AAnF 380做出响应,指示没有找到有效的AKMA锚密钥。在步骤1406,AAnF380以指示没有找到有效AKMA锚密钥的失败消息对AF 390做出响应。在步骤1407,AF 390可以用失败消息对UE 310做出响应,指示没有找到有效的AKMA锚密钥。在步骤1408,UE 310向网络发起另一注册请求。这样的注册请求消息可以包括UE的SUCI,或者UE的5G-GUTI和ngKSI(安全上下文索引,例如为7),指示UE安全上下文无效。在步骤1409,在UE 310和网络完成另一主要认证和注册之后,可以生成新的AKMA锚密钥和/或AKMA应用密钥、它们的标识符和/或它们的有效期。UE 310和网络可以保存这些密钥、有效期和标识符。
对于示例性逻辑流程1470,应用密钥可能已过期。在步骤1410,UE 310可以向AF390发起通信请求。通信请求可以包括AKMA锚密钥的标识符KID。在步骤1411,AF 390可以确定应用密钥已过期。在步骤1412,AF 390可以用失败消息对UE 310做出响应,指示应用密钥已过期。在步骤1413,UE 310向网络发起另一注册请求。这样的注册请求消息可以包括UE的SUCI,或者UE的5G-GUTI和ngKSI(安全上下文索引,例如为7),指示UE安全上下文无效。在步骤1414,在UE 310和网络完成另一主要认证和注册之后,可以生成新的AKMA锚密钥和/或AKMA应用密钥,它们的标识符和/或它们的有效期。UE 310和网络可以保存这些密钥、有效期和标识符。
对于示例性逻辑流程1480,AKMA锚密钥可能已过期。在步骤1415,UE 310可以向AF390发起通信请求。通信请求可以包括AKMA锚密钥的标识符KID。在步骤1416,AF 390可以根据KID中的AAnF标识符向AAnF 380发送包括KID和AFID的应用密钥请求消息。在步骤1417,AAnF 380可以确定AKMA锚密钥KAKMA已过期。在步骤1418,AAnF 380可以用失败消息对AF390做出响应,指示AKMA锚密钥已过期。在步骤1419,AF 390可以用失败消息对UE 310做出响应,指示AKMA锚密钥已过期。在步骤1420,UE 310向网络发起另一注册请求。这样的注册请求消息可以包括UE的SUCI,或者UE的5G-GUTI和ngKSI(安全上下文索引,例如为7),指示UE安全上下文无效。在步骤1421,在UE 310和网络完成另一主要认证和注册之后,可以生成新的AKMA锚密钥和/或AKMA应用密钥、它们的标识符和/或它们的有效期。UE 310和网络可以保存这些密钥、有效期和标识符。
因此,上面针对图1-14描述的实现提供了一种用于通信网络的架构,以提供可由终端设备订阅的应用密钥服务。这些实现进一步提供了用于生成、管理和更新各种层次级别的密钥的各种方案,以使终端设备和服务应用能够通过通信网络进行加密通信。所公开的实现促进了与服务应用通信的灵活性,并降低了安全漏洞的风险。
上面的附图和描述提供了具体的示例实施例和实现。然而,所描述的主题可以以各种不同的形式体现,因此,所涵盖或要求保护的主题旨在被解释为不限于本文阐述的任何示例实施例。旨在为要求保护或涵盖的主题提供合理广泛的范围。其中,例如,主题可以体现为方法、设备、组件、系统或用于存储计算机代码的非暂时性计算机可读介质。因此,实施例例如可以采用硬件、软件、固件、存储介质或其任何组合的形式。例如,上述方法实施例可以由包括存储器和处理器的组件、设备或系统通过执行存储在存储器中的计算机代码来实现。
在整个说明书和权利要求书中,术语可能具有在上下文中隐含或暗示的细微含义,超出了明确陈述的含义。同样,这里使用的短语“在一个实施例/实现中”不一定指相同的实施例,并且这里使用的短语“在另一实施例/实现中”不一定指不同的实施例。例如,要求保护的主题旨在全部或部分地包括示例实施例的组合。
一般而言,术语可以至少部分地从上下文中的使用来理解。例如,如本文所用,诸如“和”、“或”或“和/或”之类的术语可以包括多种含义,这些含义可以至少部分地取决于使用这些术语的上下文。通常,如果在诸如A、B或C之类的关联列表中使用,则“或”旨在表示A、B和C,此处用于包容性意义;以及旨在表示A、B或C,此处用于排他性的含义。此外,本文使用的术语“一个或多个”至少部分地取决于上下文,可用于在单数意义上描述任何特征、结构或特性,或可用于在复数意义上描述特征、结构或特性的组合。类似地,至少部分地取决于上下文,诸如“一”、“一个”或“该”之类的术语可以被理解为传达单数用法或传达复数用法。此外,再次至少部分地取决于上下文,术语“基于”可以被理解为不一定旨在传达一组排他的因素,可以相反地允许存在不一定明确描述的附加因素。
在整个说明书中对特征、优点或类似语言的引用并不意味着可以用本解决方案实现的所有特征和优点都应该包含在或包含在其任何单个实现中。相反,提及特征和优点的语言被理解为意味着结合实施例描述的特定特征、优点或特性被包括在本解决方案的至少一个实施例中。因此,在整个说明书中对特征和优点以及类似语言的讨论可以但不一定指同一实施例。
此外,本解决方案的所描述的特征、优点和特性可以以任何合适的方式组合在一个或多个实施例中。根据本文的描述,相关领域的普通技术人员将认识到,可以在没有特定实施例的一个或多个特定特征或优点的情况下实践本解决方案。在其他情况下,可以在某些实施例中认识到附加特征和优点,这些特征和优点可能不存在于本解决方案的所有实施例中。
Claims (24)
1.一种在终端设备中重新生成用于通信网络中的所述终端设备和服务应用之间的加密通信的密钥的方法,包括:
检测先前根据所述终端设备向所述通信网络的第一次注册认证生成的用于实现与所述服务应用的加密通信的第一密钥已变得无效;
向所述通信网络发送对第二次注册认证的请求;
当所述第二次注册认证成功时,生成用于实现与所述服务应用的加密通信的第二密钥;
用所述第二密钥替换所述第一密钥;以及
基于所述第二密钥与所述服务应用交换数据。
2.根据权利要求1所述的方法,其中所述第一密钥和所述第二密钥分别包括在所述终端设备向所述通信网络执行所述第一次注册认证和第二次注册认证期间分别生成的第一锚密钥和第二锚密钥。
3.根据权利要求2所述的方法,其中:
所述第一锚密钥和第二锚密钥中的每一个被配置为由所述通信网络提供给所述终端设备以供订阅的应用密钥服务管理;以及
所述第一锚密钥和第二锚密钥中的每一个被配置为用作生成用于所述终端设备和所述服务应用之间的加密通信的应用密钥的基础。
4.根据权利要求3所述的方法,其中所述第一锚密钥和所述第二锚密钥中的每一个都与密钥有效期和密钥标识符相关联。
5.根据权利要求1所述的方法,其中所述第一密钥和所述第二密钥包括用于所述终端设备和所述服务应用之间的加密通信的第一应用密钥和第二应用密钥。
6.根据权利要求5所述的方法,其中:
当所述第一次注册认证和所述第二次注册认证成功时,所述第一应用密钥和所述第二应用密钥中的每一个分别根据第一锚密钥和第二锚密钥生成;以及
其中所述第一应用密钥、所述第二应用密钥、所述第一锚密钥和所述第二锚密钥由所述通信网络提供给所述终端设备以供订阅的应用密钥服务管理。
7.根据权利要求6所述的方法,其中所述第一锚密钥、所述第二锚密钥、所述第一应用密钥和所述第二应用密钥中的至少一个与密钥有效期和密钥标识符相关联。
8.根据权利要求1所述的方法,其中检测到所述第一密钥已变得无效包括根据预定的有效期确定所述第一密钥已到期。
9.根据权利要求1所述的方法,其中检测到所述第一密钥已变得无效包括确定所述第一密钥不能被识别。
10.根据权利要求1所述的方法,其中检测到所述第一密钥已变得无效包括:
向所述服务应用发送包括与所述第一密钥对应的标识符的通信请求;以及
从所述服务应用接收指示所述第一密钥已变得无效的响应;以及
基于来自所述服务应用的所述响应确定所述第一密钥已变得无效;
11.根据权利要求1所述的方法,其中所述第二次注册认证请求包括用于识别所述终端设备的订阅隐藏标识符(SUCI)。
12.根据权利要求1所述的方法,其中对所述第二次注册认证的请求包括具有指示所述终端设备的安全上下文无效的密钥集标识符的全局唯一临时标识符(GUTI)。
13.根据权利要求1所述的方法,其中当所述终端设备空闲时,开始对所述第二次注册认证的请求的发送。
14.根据权利要求1所述的方法,其中所述终端设备处于活动通信会话中,并且其中通过在所述活动通信会话完成之前将所述终端设备切换到空闲状态来开始对所述第二次注册认证的请求的发送。
15.根据权利要求1所述的方法,其中所述终端设备处于活动通信会话中,并且其中当所述活动通信会话紧急并处于高优先级时,在所述终端设备完成所述活动通信会并切换到空闲状态之后开始对所述第二次注册认证的请求的发送,如果所述活动通信会话不紧急并处于低优先级,则无需完成所述活动通信会话便可开始所述第二次注册认证请求的发送。
16.根据权利要求1所述的方法,其中所述终端设备处于活动通信会话中,并且其中在所述终端设备完成所述活动通信会话并切换到空闲状态之后开始对所述第二次注册认证的请求的发送。
17.一种重新生成用于通信网络中的终端设备和服务应用之间的加密通信的密钥的方法,所述方法由应用密钥管理网络节点执行并且包括:
在所述服务应用接收到来自所述终端设备的通信请求之后,接收来自所述服务应用的对锚密钥的第一请求;
确定所请求的锚密钥无效;以及
向所述服务应用发送对所述锚密钥的第一请求的响应,指示所请求的锚密钥无效,使服务应用向所述终端设备发送第二响应,指示所请求的锚密钥无效,并使所述终端设备向所述通信网络发起对注册认证过程的请求以获得对所述锚密钥的替换。
18.根据权利要求17所述的方法,其中对所述锚密钥的所述第一请求包括所述锚密钥的第一标识符。
19.根据权利要求18所述的方法,其中确定所请求的锚密钥无效包括:
确定与所述第一标识对应的所述锚密钥不存在于所述应用密钥管理网络节点中;
向认证网络节点发送对锚密钥的第二请求,其中所述第二请求包括第一标识符;
接收来自所述认证网络节点的对所述第二请求的响应,指示与所述第一标识符对应的所述锚密钥无效;以及
基于来自所述认证网络节点的所述响应确定所请求的锚密钥无效。
20.根据权利要求17所述的方法,其中所请求的锚密钥与有效期相关联,并且所请求的锚密钥由于所述有效期的结束而变得无效。
21.根据权利要求17所述的方法,其中对所述注册认证过程的请求包括用于识别所述终端设备的订阅隐藏标识符(SUCI)。
22.根据权利要求17所述的方法,其中对所述注册认证过程的请求包括具有指示所述终端设备的安全上下文无效的密钥集标识符的全局唯一临时标识符(GUTI)。
23.一种包括一个或多个处理器和一个或多个存储器的设备,其中所述一个或多个处理器被配置为从所述一个或多个存储器读取计算机代码以实现权利要求1-22中任一项所述的方法。
24.一种计算机程序产品,包括其上存储有计算机代码的非瞬态计算机可读程序介质,当由一个或多个处理器执行时,所述计算机代码使得所述一个或多个处理器实现根据权利要求1-22中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2020/072448 WO2021093164A1 (en) | 2020-01-16 | 2020-01-16 | Method, device, and system for updating anchor key in a communication network for encrypted communication with service applications |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114846764A true CN114846764A (zh) | 2022-08-02 |
Family
ID=75911717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080085232.5A Pending CN114846764A (zh) | 2020-01-16 | 2020-01-16 | 为与服务应用的加密通信更新通信网络中锚密钥的方法、设备和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20220345307A1 (zh) |
| EP (1) | EP4078894A4 (zh) |
| KR (1) | KR20220114638A (zh) |
| CN (1) | CN114846764A (zh) |
| TW (1) | TWI837450B (zh) |
| WO (1) | WO2021093164A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024103509A1 (en) * | 2023-01-05 | 2024-05-23 | Zte Corporation | Enabling authentication and key management for application service for roaming users |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220143734A (ko) * | 2020-02-20 | 2022-10-25 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 애플리케이션들을 위한 인증 및 키 관리에 대한 키 자료 생성 최적화 |
| WO2021165111A1 (en) * | 2020-02-20 | 2021-08-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Key change notification for authentication and key management for applications |
| CN115915124A (zh) * | 2021-08-18 | 2023-04-04 | 中兴通讯股份有限公司 | 密钥更新方法、网元、用户设备及存储介质 |
| US11696124B2 (en) | 2021-10-08 | 2023-07-04 | Cisco Technology, Inc. | Secure communications for a client device involving authentication and key management for applications (AKMA) |
| WO2023178529A1 (zh) * | 2022-03-22 | 2023-09-28 | Oppo广东移动通信有限公司 | 生成密钥的方法及装置 |
| CN117296373A (zh) * | 2022-04-25 | 2023-12-26 | 北京小米移动软件有限公司 | 跨网络的切换认证方法和装置 |
| WO2023245387A1 (zh) * | 2022-06-20 | 2023-12-28 | 北京小米移动软件有限公司 | 用户设备ue漫游条件下的应用认证与密钥管理akma应用程序密钥请求方法及装置 |
| CN118844079A (zh) * | 2022-06-20 | 2024-10-25 | 中兴通讯股份有限公司 | 刷新基于邻近的服务的认证密钥 |
| CN117336714A (zh) * | 2022-06-24 | 2024-01-02 | 华为技术有限公司 | 通信方法、通信装置及通信系统 |
| EP4366239A1 (en) * | 2022-11-04 | 2024-05-08 | Nokia Technologies Oy | Anonymous registration with a communication network |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200423675A (en) * | 2002-11-08 | 2004-11-01 | Gen Instrument Corp | Certificate renewal in a certificate authority infrastructure |
| CN101267309B (zh) * | 2008-03-29 | 2012-11-21 | 华为技术有限公司 | 一种网络授权认证方法、装置和系统 |
| CN101848425A (zh) * | 2010-04-23 | 2010-09-29 | 深圳市戴文科技有限公司 | Ptt数据处理方法、终端、ptt服务器及ptt系统 |
| US8713314B2 (en) * | 2011-08-30 | 2014-04-29 | Comcast Cable Communications, Llc | Reoccuring keying system |
| KR20180106998A (ko) | 2017-03-21 | 2018-10-01 | 한국전자통신연구원 | 등록 지역을 최적화하는 통신 시스템 및 상기 통신 시스템에서의 등록 방법 |
| CN111133728B (zh) | 2017-07-25 | 2022-06-14 | 瑞典爱立信有限公司 | 订阅隐藏标识符 |
| US11589228B2 (en) | 2018-05-11 | 2023-02-21 | Apple Inc. | Subscriber identity privacy protection against fake base stations |
| CN109194473B (zh) * | 2018-09-25 | 2021-06-11 | 北京金山安全软件有限公司 | 一种数据传输方法、系统、装置、终端及存储介质 |
| CN110635905B (zh) * | 2019-09-30 | 2022-04-08 | 重庆小雨点小额贷款有限公司 | 一种密钥管理方法、相关设备及计算机可读存储介质 |
-
2020
- 2020-01-16 WO PCT/CN2020/072448 patent/WO2021093164A1/en unknown
- 2020-01-16 EP EP20888615.0A patent/EP4078894A4/en active Pending
- 2020-01-16 KR KR1020227024684A patent/KR20220114638A/ko active Search and Examination
- 2020-01-16 CN CN202080085232.5A patent/CN114846764A/zh active Pending
-
2021
- 2021-01-14 TW TW110101492A patent/TWI837450B/zh active
-
2022
- 2022-07-06 US US17/858,694 patent/US20220345307A1/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024103509A1 (en) * | 2023-01-05 | 2024-05-23 | Zte Corporation | Enabling authentication and key management for application service for roaming users |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4078894A4 (en) | 2022-12-28 |
| TW202133587A (zh) | 2021-09-01 |
| TWI837450B (zh) | 2024-04-01 |
| EP4078894A1 (en) | 2022-10-26 |
| KR20220114638A (ko) | 2022-08-17 |
| US20220345307A1 (en) | 2022-10-27 |
| WO2021093164A1 (en) | 2021-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI837450B (zh) | 密鑰再生方法及終端裝置 | |
| CN109511115B (zh) | 一种授权方法和网元 | |
| US20220368684A1 (en) | Method, Device, and System for Anchor Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
| US11588626B2 (en) | Key distribution method and system, and apparatus | |
| KR102315881B1 (ko) | 사용자 단말과 진화된 패킷 코어 간의 상호 인증 | |
| US20220337408A1 (en) | Method, Device, and System for Application Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
| CN111147421A (zh) | 一种基于通用引导架构gba的认证方法及相关设备 | |
| EP3485624A1 (en) | Operation related to user equipment using secret identifier | |
| WO2022078214A1 (zh) | 签约数据更新方法、装置、节点和存储介质 | |
| WO2016166529A1 (en) | Security improvements in a cellular network | |
| US20210204118A1 (en) | Privacy Key in a Wireless Communication System | |
| RU2801267C1 (ru) | Способ, устройство и система для обновления привязочного ключа в сети связи для зашифрованной связи с приложениями предоставления услуг | |
| WO2023142102A1 (en) | Security configuration update in communication networks | |
| WO2022151464A1 (en) | Method, device, and system for authentication and authorization with edge data network | |
| US20240373215A1 (en) | Security configuration update in communication networks | |
| JP7268239B2 (ja) | 通信ネットワークコンポーネント及び方法 | |
| WO2023082161A1 (en) | Secure information pushing by service applications in communication networks | |
| WO2024092624A1 (en) | Encryption key transfer method and device for roaming users in communication networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |