CN115398946A - 认证与密钥协商中的认证服务器功能选择 - Google Patents
认证与密钥协商中的认证服务器功能选择 Download PDFInfo
- Publication number
- CN115398946A CN115398946A CN202080098518.7A CN202080098518A CN115398946A CN 115398946 A CN115398946 A CN 115398946A CN 202080098518 A CN202080098518 A CN 202080098518A CN 115398946 A CN115398946 A CN 115398946A
- Authority
- CN
- China
- Prior art keywords
- network function
- identifier
- terminal
- function
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Abstract
本申请涉及与数字通信相关的方法、系统和设备,并且更具体地,涉及在AKMA双重注册的情况下与AUSF选择相关的技术。一种示例数据通信方法包括:由第一网络功能接收请求,以从第三功能中检索对终端进行了认证的第二网络功能的标识符,该请求包括参数。该方法还包括:由第一网络功能向第三网络功能发送响应,该响应包括第二网络功能的标识符,该第二网络功能对基于该参数标识的终端进行了认证。
Description
技术领域
本专利申请总体上涉及数字通信。
背景技术
移动通信技术正在将世界推向日益互联和网络化的社会。移动通信的快速发展和技术的进步已经导致了对容量和连接性的更大需求。诸如能量消耗、设备成本、频谱效率和时延之类的其他方面对于满足各种通信场景的要求也很重要。包括提供更高服务质量的新方法在内的各种技术正在讨论之中。
发明内容
本专利申请公开了与数据通信相关的方法、系统和设备,并且更具体地,公开了在AKMA中的双重注册的情况下与AUSF选择相关的技术。
在一个示例性方面,公开了一种用于数据通信的方法。该方法包括:由第一网络功能接收请求,以从第三功能中检索对终端进行了认证的第二网络功能的标识符,该请求包括参数。该方法还包括:由第一网络功能向第三网络功能发送响应,该响应包括第二网络功能的标识符,该第二网络功能对基于该参数标识的终端进行了认证。
在另一个示例性方面,公开了一种用于数据通信的方法。该方法包括:由第一网络功能发送请求,以从第三网络功能中检索对终端进行了认证的第二网络功能的标识符,该请求包括参数。该方法还包括:由第一网络功能从第三网络功能接收响应,该响应包括第二网络功能的标识符,该第二网络功能对基于该参数标识的终端进行了认证。
在另一个示例性方面,公开了一种通信装置,该通信装置包括处理器。该处理器被配置为实施根据本文所述的方法。
在又一个示例性方面,本文所述的各种技术可以被体现为处理器可执行代码,并且被存储在计算机可读程序介质上。
一些实施例可以优选地实施以条款格式书写的以下解决方案。
1、一种用于数据通信的解决方案,包括:由第一网络功能接收请求,以从第三功能中检索对终端进行了认证的第二网络功能的标识符,所述请求包括参数;以及由所述第一网络功能向所述第三网络功能发送响应,所述响应包括所述第二网络功能的标识符,所述第二网络功能对基于所述参数标识的所述终端进行了认证。
2、根据条款1所述的解决方案,其中,所述第一网络功能包括统一数据管理(UDM)功能。
3、根据条款1和2中的任一项所述的解决方案,其中,所述第二网络功能包括认证服务器功能(AUSF)。
4、根据条款1、2和3中的任一项所述的解决方案,其中,所述第三网络功能包括认证和密钥管理应用(AKMA)锚点功能(AAnF)。
5、根据条款1所述的解决方案,其中,所述响应包括用户永久标识符(SUPI)。
6、根据条款1所述的解决方案,其中,所述参数包括服务网络名称。
7、根据条款1所述的解决方案,其中,所述请求包括所述终端的标识符。
8、根据条款1所述的解决方案,其中,所述参数包括服务网络名称网络标识符。
9、根据条款1、2、3和5中的任一项所述的解决方案,还包括:由所述第一网络功能识别数据库中的记录,该数据库中的记录对应于基于所述参数对所述终端进行了认证的所述第二网络功能;并且由所述第一网络功能检索对所述终端进行了认证的所述第二网络功能的标识符,以及检索被包括在所述数据库的记录中的SUPI。
10、根据条款1、3、4和5中的任一项所述的解决方案,其中,所述第三网络功能被配置为:向第二网络功能发送密钥请求消息,所述第二网络功能基于对所述终端进行了认证的所述第二网络功能的标识符来标识,所述密钥请求消息包括所述SUPI。
11、根据条款1、3和4所述的解决方案,其中,所述第二网络功能被配置为从第四网络功能接收AKMA密钥标识符、所述终端的标识符和所述参数。
12、根据条款11所述的解决方案,其中,所述第四网络功能是AKMA应用功能(AF)。
13、根据条款11和12中的任一项所述的解决方案,其中,所述第四网络功能被配置为从所述终端接收所述AKMA密钥标识符、所述终端的标识符和所述参数。
14、一种用于数据通信的解决方案,包括:由第一网络功能发送请求,以从第三网络功能中检索对终端进行了认证的第二网络功能的标识符,所述请求包括参数;以及由所述第一网络功能从所述第三网络功能接收响应,所述响应包括所述第二网络功能的标识符,所述第二网络功能对基于所述参数标识的所述终端进行了认证。
15、根据条款14所述的解决方案,其中,所述第一网络功能包括认证和密钥管理应用(AKMA)锚点功能(AAnF)。
16、根据条款14至15中的任一项所述的解决方案,其中,所述第二网络功能包括认证服务器功能(AUSF)。
17、根据条款14至16中的任一项所述的解决方案,其中,所述第三网络功能包括统一数据管理(UDM)功能。
18、根据条款14所述的解决方案,其中,所述响应包括用户永久标识符(SUPI)。
19、根据条款14所述的解决方案,其中,所述参数包括服务网络名称。
20、根据条款14所述的解决方案,其中,所述请求包括所述终端的标识符。
21、根据条款14所述的解决方案,其中,所述参数包括服务网络名称网络标识符。
22、根据条款14至18中的任一项所述的解决方案,其中,所述第三网络功能被配置为:识别数据库中的记录,所述数据库中的记录对应于基于所述参数对所述终端进行了认证的所述第二网络功能;并且检索对所述终端进行了认证的所述第二网络功能的标识符,以及检索被包括在所述数据库的记录中的SUPI。
23、根据条款14至18中的任一项所述的解决方案,还包括:由所述第一网络功能向第二网络功能发送密钥请求消息,所述第二网络功能基于对所述终端进行了认证的所述第二网络功能的标识符来标识,所述密钥请求消息包括SUPI。
24、根据条款14和20中的任一项所述的解决方案,还包括:由所述第一网络功能从第四网络功能接收AKMA密钥标识符、所述终端的标识符和所述参数。
25、根据条款24所述的解决方案,其中,所述第四网络功能包括AKMA应用功能。
26、根据条款24和25中的任一项所述的解决方案,其中,所述第四网络功能被配置为从所述终端接收所述AKMA密钥标识符、所述终端的标识符和所述参数。
27、一种用于通信的装置,所述装置包括处理器,所述处理器被配置为执行根据条款1至26中的任一项所述的解决方案。
28、一种非暂时性计算机可读介质,其上存储有代码,在由处理器执行时,所述代码致使所述处理器实施根据条款1至26中的任一项所述的解决方案。
一个或多个实施方式的细节在随附的附件、附图和下面的描述中阐述。根据描述和附图以及条款,其他特征应当是显而易见的。
附图说明
图1是用于AF密钥生成过程的示例信令流程。
图2是用于KAF导出流程的示例信令处理。
图3是示例AKMA架构的框图。
图4是AKMA的示例密钥层次结构的框图。
图5是在UE注册期间用于导出AKMA根密钥的示例信令流程。
图6是在AKMA双重注册的情况下用于AUSF选择的示例信令流程。
图7是在AKMA双重注册的情况下用于AUSF选择的示例方法。
图8示出了无线通信系统的示例,在其中可以应用根据本技术的一个或多个实施例的技术。
图9是硬件平台的一部分的框图表示。
具体实施方式
新一代无线通信——5G新空口(NR)通信的发展是持续的移动宽带演进过程的一部分,以满足日益增长的网络需求的要求。NR将提供更大的吞吐量以允许更多的用户同时连接。诸如能量消耗、设备成本、频谱效率和时延之类的其他方面对于满足各种通信场景的需求也很重要。
用于应用的认证与密钥协商(AKMA)框架能够被用于支持UE与应用服务器的安全通信和数据交换。在AKMA架构中,AKMA认证可以是初级/接入认证的结果,以保护UE与应用服务器之间的通信。
应用功能(AF)密钥生成过程可以根据图1提供。图1是用于AF密钥生成过程的示例信令流程。
当用户设备(UE)(或简称为“终端”)发起与AKMA AF的通信时,它可以在消息中包括导出的AKMA密钥标识符。
AKMA密钥标识符(ID)(KAKMA ID)可以被用于定位认证服务器功能(AUSF),KAKMA被存储在认证服务器功能(AUSF)中,并且还能够被用于在该AUSF中定位KAKMA。然而,因为密钥标识符可能不包括与具体AUSF实例相关的任何信息,所以AAnF可能不会基于密钥标识符正确地选择适当的AUSF实例。
在许多情况下,解决此问题的尝试可以包括调用统一数据管理(UDM)节点来定位持有KAKMA的AUSF。该尝试中的密钥ID可被设计为包括UE ID信息(例如,通用公共订阅标识符(GPSI))。
如图1所示,作为先决条件,UE 102和AKMA应用功能108可以实施AKMA密钥的主认证和建立(110)。UE 102可以向AKMA应用功能108发送应用会话建立请求(AKMA密钥ID)(112)。
AKA应用功能108可以向AANF 106发送包括AKMA密钥ID和AF标识符的密钥请求(114)。AANF 106可以向AUSF 104发送包括AKMA密钥ID的AKMA密钥请求(116)。AUSF 104可以向AANF 106发送包括K-AKMA的AKMA密钥响应(118)。AANF 106可以从K-AKMA中导出AF密钥(120)。
AANF 106可以向AKMA应用功能108发送包括AF密钥和超时时间的密钥响应(122)。AKMA应用功能108可以向UE 102发送应用会话建立响应(124)。
图2是用于KAF导出流程的示例信令处理。AKMA锚点功能(AAnF)可以检查它是否具有由KAKMA密钥标识符标识的UE特定的KAKMA密钥。如果KAKMA在AAnF中可用,则AAnF可以继续从KAKMA中导出KAKMA和密钥。如果KAKMA不可用,则AAnF可以基于被包括在KAKMA密钥标识符中的归属网络标识符和路由指示符和/或从AF接收到的GPSI,经由NRF为UE选择合适的UDM。
AAnF可以向UDM发送Nudm_UEAuth_ResultStatus请求,以检索对UE进行了认证的最新AUSF的标识符。AAnF可以提供UE标识符。如果AAnF仅具有在步骤3中由AF提供的UEGPSI,则AAnF可以包括GPSI。如果AAnF已经从先前与UDM的交互中获得了UE GPSI及其相应的订阅永久标识符(SUPI),则它可以包括SUPI。
UDM可以检查AAnF是否已经提供了GPSI或SUPI作为UE标识符。如果AAnF已经提供了GPSI,则UDM可以将GPSI转换成SUPI,并且应当使用SUPI来检索对UE进行了认证的AUSF实例的标识符的信息。如果AAnF已经提供GPSI作为UE标识符,则UDM可以发送Nudm_UEAuth_ResultStatus响应,该响应包括向UDM上报了成功的主认证的最后AUSF的AUSF实例标识符以及UE SUPI。UE SUPI可以被提供用于对AUSF的后续AKMA密钥请求,以及经由UDM对同一UE的未来AUSF选择过程。
通过提供UE SUPI,AAnF可以向AUSF发送KAKMA密钥请求。然而,在UE在到两个公共地面移动网络(PLMN)的3GPP和非3GPP接入两者上具有两个单独的注册的情况下,可能有两个对UE进行了认证的AUSF实例。因此,SUPI可以被用于检索在Nudm_UEAuth_ResultStatusResponse消息中未成功对UE进行认证的AUSF实例的标识符的信息。UDM中的查询可能命中两个AUSF实例的结果,但是可能无法识别哪一个持有KAKMA。
如图2所示,作为先决条件,UE 202和AUSF 204可以实施主认证过程(212)。UE 202可以导出KAKMA和KAKMA密钥ID(214)。UE 202可以向AF 210发送包括GPSI和KAKMA密钥ID的应用会话建立请求(216)。AF 210可以执行AANF选择(218)。AF 210可以向AANF 208发送包括GPSI以及KAKMA密钥ID和AF标识符的KAF密钥请求(220)。
AANF 208可以执行UDM选择(222)。AANF 208可以向UDM 206发送包括GPSI和SUPI的Nudm_UEAuth_ResultStatusRequest消息(224)。UDM 206可以向AANF 208发送包括AUSFID和SUPI的Nudm_UEAuth_ResultStatusResponse消息(226)。AANF 208可以向AUSF 204发送包括SUPI的AKMA密钥请求(228)。AUSF 204可以导出KAKMA和KAKMA密钥ID(230)。
AUSF 204可以向AANF 208发送包括KAKMA和KAKMA密钥ID的AKMA密钥响应(232)。AANF 208可以导出KAKMA和来自KAKMA的密钥(234)。AANF 208可以向AF 210发送包括KAF、KAF超时时间和KAF新鲜度参数的KAF密钥响应(236)。AF 210可以向UE 202发送应用会话建立响应(238)。然后,UE可以从KAKMA中导出KAF(240)。
图3是示例AKMA架构300的框图。架构300可以包括NEF、AAnF、AUSF、AMF、AF、RAN和UE中的任何一个。这些节点可以经由Nnef、Naanf、Nausf、Namf、Naf、N1、N2和UA*中的任何一个连接。
图4是AKMA400的示例密钥层次结构的框图。密钥层次结构可以包括KAUSF、KAKMA和KAF中的任何一个。HPLMN可以包括AUSF和AAnF。层次结构可以包括AF和ME中的任何一个。
AKMA服务可能需要新的逻辑实体:AKMA锚点功能(AAnF)。AAnF可以包括归属公共地面移动网络(HPLMN)中的锚点功能,其可以生成要在UE与AF之间使用的密钥材料,并维持要用于后续自举(bootstrapping)请求的UE AKMA上下文。
可能没有单独的UE认证来支持AKMA功能性。反而,AKMA功能性可以重新使用在UE注册期间执行的主认证过程来认证UE。成功的主认证可以导致KAUSF被存储在AUSF和UE处。
图5是在UE注册期间用于导出AKMA根密钥的示例信令流程500。UE 502和AUSF 506可以执行主认证(508)。UE 502和/或AUSF 506可以根据K-AUSF生成K-AKMA(510、512)。UE502和/或AUSF 506可以为K-AKMA生成密钥标识符(514、416)。作为UE注册过程的一部分,UE和AUSF可以根据KAUSF生成AKMA锚点密钥(KAKMA)和相关联的密钥标识符。KAKMA密钥标识符可以标识UE的KAKMA密钥,其他AKMA密钥从该KAKMA密钥中被导出。
系统概述
无线设备已经变得无处不在,并且用户越来越依赖于无线通信进行机密数据的传输和接收。机密数据的示例包括来自电话交谈、金融交易等的数据。对于即将到来的5G部署,数据安全变得愈加重要,这不仅是因为无线通信的使用越来越多,还因为许多无线设备将彼此靠近,并将能够接收(在物理层级别)来自相邻无线设备的信号。此外,不同于当今的无线系统,由于更为密集的部署,无线设备可能会在不同基站的覆盖区域中移动。因此,增强的安全性同时允许无缝移动性对于无线技术的成功运行将尤为重要。
本申请中描述的技术将使能解决这些技术问题以及其他问题。
本实施例涉及在AKMA双重注册的情况下用于AUSF选择的方法和系统。图6是在AKMA双重注册的情况下用于AUSF选择的示例信令流程600。
在步骤612中,UE 602、AUSF 604、UDM 606和/或AANF 608可以实施主认证过程,该主认证过程包括UDM和UE存储RAN信息。成功的5G主认证可以导致KAUSF被存储在AUSF和UE处。UDM可以存储在主认证中的认证向量(AV)中生成和使用的RAND,以及存储具有UE的认证状态(例如,SUPI、认证结果、时间戳和服务网络名称)的AUSF ID。UE可以存储在主认证中的认证向量(AV)中生成和使用的该RAND。
在步骤614中,UE 602可以生成KAKMA,并且KAKMA ID=MCC、MNC、路由指示符、AaNFID和/或RAND。UE可以在UE注册过程之后或者作为UE注册过程的一部分而生成AKMA锚点密钥(KAKMA)。KAKMA可以根据KAUSF导出。此外,UE可以生成AKMA锚点密钥标识符KAKMA ID。
KAKMA ID可以包括UE用于向AF的后续请求的标识符。KAKMA ID可以包括MCC、MNC、路由指示符、AAnF ID和RAND的组合,其中MCC可以唯一识别国家,MNC可以识别归属PLMN,路由指示符可用于将具有KAKMA ID的网络信令路由到UDM实例,AAnF ID可以是用于标识AAnF实体的标识符,或者在初始情况下(当UE没有AAnF的信息时)AAnF ID可以是默认值,RAND可以在主认证中的认证向量(AV)中生成和使用。UE可以存储KAKMA和KAKMA标识符KAKMA ID。
在步骤616中,UE 602可以将向AF 610发送包括KAKMA ID、UE ID和/或SNN的应用会话建立请求消息。UE可以利用应用会话建立请求来开始与AF的通信。该请求可以包括其中UE注册到的且启用了AKMA的网络的KAKMA ID、UE ID和服务网络名称(SNN)。
在步骤618中,AF 610可以将向AANF 608发送带有KAKMA密钥ID、UE ID和/或SNN的KAF密钥请求。AF可以向AAnF发送带有从UE接收到的KAKMA ID、UE ID和SNN的密钥请求,以请求用于UE的AF特定密钥。AF也可以在该请求中包括其身份(例如,AF标识符)。AF可以基于KAKMA ID选择AAnF。
在步骤620中,AANF 608可以向UDM 606发送包括UE ID和SNN中的任何一个的Nudm_UEAuth_ResultsStatusRequest消息。AAnF可以通过KAKMA ID检查它是否具有UE特定的KAKMA密钥。如果KAKMA在AAnF中可用,则AAnF可以前进至操作步骤630,这将在下文更详细地讨论。如果KAKMA不可用,则AAnF可以向UDM发送Nudm_UEAuth_ResultsStatusRequest,以检索对UE进行了认证的最新AUSF的标识符和UE的SUPI。AAnF可以提供UE ID和SNN。
在步骤622中,UDM 606可以向AANF 608发送Nudm_UEAuth_ResultStatus响应消息。UDM可以基于UE ID和SNN来检索对UE进行了认证的AUSF实例的标识符和UE的SUPI的信息。UDM可以发送Nudm_UEAuth_ResultStatus响应,该响应包括向UDM上报了成功的主认证的最后AUSF的AUSF实例标识符以及UE SUPI。
在步骤624中,AANF 608可以向AUSF 604发送包括SUPI的AKMA密钥请求。AAnF可以通过提供UE SUPI向AUSF发送密钥请求。AANF可以基于被包括在Nudm_UEAuth_ResultStatus响应中的AUSF ID而识别特定的AUSF。
在步骤626中,AUSF 604可以生成KAKMA。AUSF可以根据SUPI检索KAUSF,并且根据KAUSF生成KAKMA。
在步骤628中,AUSF 604可以向AANF 608发送包括KAKMA的AKMA密钥响应。
在步骤630中,AANF 608可以导出新RAND,将新KAKMA ID与KAKMA一起生成并存储,根据KAKMA导出KAF,并且设置KAF超时时间。AAnF可以生成新RAND,并且基于该新RAND进一步生成新的KAKMA ID。新KAKMA ID可以包括MCC、MNC、路由指示符、AAnF ID和新RAND的组合。MCC、MNC和路由指示符可以与旧的KAKMA ID的对应部分相同。AAnF ID可以是当前AAnF的身份。AAnF可以将KAKMA和KAKMA标识符与新的KAKMA ID一起存储。AAnF可以基于KAKMA导出KAF。AAnF可以设置KAF超时时间。AAnF还可以基于KAKMA和由AAnF生成的新RAND而导出KAF。
在步骤632中,AANF 608可以向AF 610发送KAF密钥响应,该KAF密钥响应包括新RAND、KAKMA ID、KAF和/或KAF超时时间中的任何一个。AAnF可以向AF发送密钥响应信息。该密钥响应信息可以包括AAnF ID、新RAND、新KAKMA ID、KAF和密钥超时时间。AAnF ID可以包括AAnF的身份,其中AAnF ID可以是域名(例如,AAnF_server_domain_name)。
在步骤634中,AF 610可以向UE 602发送应用会话建立响应,该应用会话建立响应包括新RAND、新KAKMA ID和/或KAF超时时间中的任何一个。AF可以接收并存储AAnF ID、KAF和密钥超时时间。此外,AF可以向UE发送应用会话建立响应信息。该应用会话建立响应信息可以包括新KAKMA ID和KAF密钥超时时间。
在步骤636中,UE 602可以利用新的KAKMA ID更新旧的KAKMA ID,根据KAKMA或从新的RAND和KAKMA导出KAF。UE可以利用接收到的新的KAKMA ID更新旧的KAKMA ID。UE可以存储KAKMA和新的KAKMA ID,并且可以删除旧的KAKMA ID。UE可以基于KAKMA导出KAF。UE还可以基于KAKMA和接收到的由AAnF生成的新RAND而导出KAF。
服务网络名称(SNN)可以包括由冒号分隔的SNN服务代码和SNN网络标识符。SNN网络标识符可以标识服务PLMN或服务SNPN。
SNN-PLMN-ID中的MCC和MNC可以是服务PLMN的MCC和MNC。如果服务PLMN的MNC具有两位数,则可以在开头添加零。SNN-SNPN-ID中的MCC和MNC可以是服务SNPN的MCC和MNC。如果服务SNPN的MNC具有两位数,则可以在开头添加零。SNN-NID可以包括十六进制数字的NID。下表说明了SNN的ABNF句法。
SNN=SNN服务代码":"SNN网络标识符
SNN服务代码=%x35.47;"5G"
SNN网络标识符=SNN-PLMN-ID/SNN-SNPN-ID
SNN-PLMN-ID=SNN-mnc-string SNN-mnc-digits"."SNN-mcc-stringSNN-mcc-digits"."SNN-3gppnetwork-string"."SNN-org-string;适用于不在SNPN接入模式下操作时.
SNN-SNPN-ID=SNN-mnc-string SNN-mnc-digits"."SNN-mcc-stringSNN-mcc-digits"."SNN-3gppnetwork-string"."SNN-org-string":"SNN-NID;适用于在SNPN接入模式下操作时.
SNN-mnc-digits=DIGIT DIGIT DIGIT;PLMN ID的MNC
SNN-mcc-digits=DIGIT DIGIT DIGIT;PLMN ID的MCC
SNN-mnc-string=%x6d.6e.63;小写的"mnc"
SNN-mcc-string=%x6d.63.63;小写的"mcc"
SNN-3gppnetwork-string=%x33.67.70.70.6e.65.74.77.6f.72.6b;小写的"3gppnetwork"
SNN-org-string=%x6f.72.67;小写的"org"
SNN-NID=11SNN-hexadecimal-digit;十六进制数字的NID
SNN-hexadecimal-digit=DIGIT/%x41/%x42/%x43/%x44/%x45/%x46
表1
SNN服务代码可以允许将ANID和SNN区分开来,因为无论是SNN还是ANID都可以在AT_KDF_INPUT属性中携带。
在第一示例中,在PLMN的情况下,如果PLMN ID包含MCC=234和MNC=15,则SNN可以是5G:mnc015.mcc234.3gppnetwork.org。
如本文所述的参数可以是SNN或SNN网络标识符。服务网络名称(SNN)可以与KAKMAID和UE ID一起从UE被发送给AF。然后,SNN和UE ID可以被发送给AAnF和UDM。UDM可以同时使用SNN和UE ID两者,以检索持有KAKMA的AUSF实例的标识符。在双重注册的情况下,SNN可以被用于完成UDM中的AUSF选择。该参数可以是SNN或SNN网络标识符。
图7是在AKMA双重注册的情况下用于AUSF选择的示例方法700。该方法可以包括:由第一网络功能接收请求,以从第三功能中检索对终端进行了认证的第二网络功能的标识符(框702)。该请求可以包括参数。
该方法还可以包括:由第一网络功能向第三网络功能发送响应,该响应包括第二网络功能的标识符(框704),该第二网络功能对基于该参数标识的终端进行了认证。
在一些实施例中,第一网络功能包括统一数据管理(UDM)功能。
在一些实施例中,第二网络功能包括认证服务器功能(AUSF)。
在一些实施例中,第三网络功能包括认证和密钥管理应用(AKMA)锚点功能(AAnF)。
在一些实施例中,该响应包括用户永久标识符(SUPI)。
在一些实施例中,该参数包括服务网络名称。
在一些实施例中,该请求包括该终端的标识符。
在一些实施例中,该参数包括服务网络名称网络标识符。
在一些实施例中,该方法包括:由第一网络功能识别数据库中的记录,该数据库中的记录对应于基于该参数对终端进行了认证的第二网络功能;并且由第一网络功能检索对终端进行了认证的第二网络功能的标识符,以及检索被包括在数据库的记录中的SUPI。
在一些实施例中,第三网络功能被配置为:向第二网络功能发送密钥请求消息,该第二网络功能基于对终端进行了认证的该第二网络功能的标识符来标识,该密钥请求消息包括SUPI。
在一些实施例中,第二网络功能被配置为从第四网络功能接收AKMA密钥标识符、终端标识符和参数。
在一些实施例中,第四网络功能是AKMA应用功能(AF)。
在一些实施例中,第四网络功能被配置为从终端接收AKMA密钥标识符、终端标识符和参数。
在另一个示例性实施例中,一种用于通信的方法包括:由第一网络功能发送请求,以从第三网络功能中检索对终端进行了认证的第二网络功能的标识符,该请求包括参数;以及由第一网络功能从第三网络功能接收响应,该响应包括第二网络功能的标识符,该第二网络功能对基于该参数标识的终端进行了认证。
在一些实施例中,第一网络功能包括认证和密钥管理应用(AKMA)锚点功能(AAnF)。
在一些实施例中,第二网络功能包括认证服务器功能(AUSF)。
在一些实施例中,第三网络功能包括统一数据管理(UDM)功能。
在一些实施例中,该响应包括用户永久标识符(SUPI)。
在一些实施例中,该参数包括服务网络名称。
在一些实施例中,该请求包括该终端的标识符。
在一些实施例中,该参数包括服务网络名称网络标识符。
在一些实施例中,第三网络功能被配置为:识别数据库中的记录(该数据库中的记录对应于基于参数对终端进行了认证的第二网络功能);并且检索对终端进行了认证的第二网络功能的标识符,以及检索被包括在数据库的记录中的SUPI。
在一些实施例中,该方法包括:向第二网络功能发送密钥请求消息,该第二网络功能基于对终端进行了认证的该第二网络功能的标识符来标识,该密钥请求消息包括SUPI。
在一些实施例中,该方法包括:由第一网络功能从第四网络功能接收AKMA密钥标识符、终端标识符和参数。
在一些实施例中,第四网络功能包括AKMA应用功能。
在一些实施例中,第四网络功能被配置为从终端接收AKMA密钥标识符、终端标识符和参数。
示例无线系统
图8示出了无线通信系统的示例,在该系统中,可以应用根据本技术的一个或多个实施例的技术。无线通信系统800可以包括一个或多个基站(BS)805a、805b,一个或多个无线设备810a、810b、810c、810d以及核心网825。基站805a、805b可以向一个或多个无线扇区中的无线设备810a、810b、810c和810d提供无线服务。在一些实施方式中,基站805a、805b包括产生两个或更多个定向波束的定向天线,以在不同扇区中提供无线覆盖。
核心网825可以与一个或多个基站805a、805b通信。核心网825提供与其他无线通信系统和有线通信系统的连接性。核心网可以包括一个或多个业务签约数据库,以存储与签约的无线设备810a、810b、810c和810d相关的信息。第一基站805a可以基于第一无线接入技术提供无线服务,而第二基站805b可以基于第二无线接入技术提供无线服务。基站805a和805b可以准协同定位,或者可以根据部署场景在现场单独安装。无线设备810a、810b、810c和810d可以支持多种不同的无线接入技术。
在一些实施方式中,无线通信系统可以包括使用不同无线技术的多个网络。双模或多模无线设备包括两种或更多种可用于连接到不同无线网络的无线技术。
图9是硬件平台的一部分的框图表示。诸如,网络设备或基站或无线设备(或UE)之类的硬件平台905可以包括实施本申请呈现的无线技术中的一种或多种诸如微处理器之类的处理器电子器件910,。硬件平台905可以包括收发机电子器件915,以用于通过诸如天线920或有线接口之类的一个或多个通信接口发送和/或接收有线/无线信号。硬件平台905可以利用为发送和接收数据定义的协议而实施其他通信接口。硬件平台905可以包括一个或多个存储器(未明确示出),其被配置为存储诸如数据和/或指令的信息。在一些实施方式中,处理器电子器件910可以包括收发机电子器件915的至少一部分。在一些实施例中,所公开的技术、模块或功能中的至少一些使用硬件平台905来实施。
结论
根据上述内容,应当理解,为了说明的目的,本文已经描述了当前所公开的技术的具体实施例,但是在不偏离本发明的范围的情况下,可以进行各种修改。因此,除了所附权利要求的限制之外,当前所公开的技术不受限制。
本申请中描述的所公开以及其他的实施例、模块和功能性操作可以在数字电子电路中实施,或者在计算机软件、固件或硬件(包括本申请所公开的结构及其等同结构)中实施,或者在它们的一个或多个的组合中实施,。所公开以及其他的实施例可以实施为一个或多个计算机程序产品,即,编码在计算机可读介质上以用于由数据处理装置执行或控制数据处理装置的操作的计算机程序指令的一个或多个模块。计算机可读介质可以是机器可读存储设备、机器可读存储基板、存储器设备、影响机器可读传播信号的物质的组合物或者一个或多个它们的组合。术语“数据处理装置”涵盖用于处理数据的所有装置、设备和机器,包括例如可编程处理器、计算机或者多个处理器或计算机。除硬件之外,该装置还可以包括创建用于为所讨论的计算机程序创建执行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统或者它们中的一个或多个的组合的代码。所传播的信号是人工生成的信号,例如,机器生成的电、光或电磁信号,其被生成以对用于向合适的接收器装置传输的信息进行编码。
计算机程序(也被称为程序、软件、软件应用、脚本或代码)可以用任何形式的编程语言(包括编译型或解释型语言)来编写,并且可以用任何形式(包括作为独立程序或者作为适用于计算环境中的模块、组件、子例程或其他单元)来部署。计算机程序不一定对应于文件系统中的文件。程序可以存储在保存其他程序或数据的文件(例如,在标记语言文档中存储的一个或多个脚本)的一部分中,存储在专用于所讨论的程序的单个文件中,或存储在多个协同文件(例如,存储一个或多个模块、子程序或部分代码的文件)中。计算机程序可以被部署为在一台计算机上执行,或者在位于一个站点处或分布在多个站点处并且通过通信网络互连的多台计算机上执行。
本申请所描述的过程和逻辑流程可以由一个或多个可编程处理器执行,该可编程处理器运行一个或多个计算机程序,以通过对输入数据进行计算并生成输出而执行功能。过程和逻辑流程也可以由例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)的专用逻辑电路执行,并且装置也可以被实施为专用逻辑电路。
适合于执行计算机程序的处理器包括例如通用微处理器和专用微处理器两者,以及任何种类的数字计算机的任何一个或多个处理器。通常,处理器将从只读存储器或随机存取存储器或其两者接收指令和数据。计算机的基本单元是用于执行指令的处理器以及用于存储指令和数据的一个或多个存储器设备。通常,计算机也将包括或者可操作地耦合到用于存储数据的一个或多个大容量存储设备(例如磁盘、磁光盘或光盘),以从该大容量存储设备中接收数据或向该大容量存储设备传递数据,或者两者兼有。然而,计算机不必具有这种设备。适合于存储计算机程序指令和数据的计算机可读介质包括:所有形式的非易失性存储器、介质和存储器设备,包括例如半导体存储器设备,例如EPROM、EEPROM和闪存设备;磁盘,例如内部硬盘或可移动磁盘;磁光盘;以及CD ROM和DVD-ROM磁盘。处理器和存储器可由专用逻辑电路补充,或并入到专用逻辑电路中。
尽管本专利申请包含许多细节,但是这些细节不应被解释为对任何发明或可以所要求保护的范围的限制,而是对可以特定于具体发明的具体实施例的特征的描述。本专利申请在单独的实施例的上下文中所描述的某些特征也可以在单个实施例中的组合中被实施。相反,在单个实施例的上下文中所描述的各种特征也可以被单独在多个实施例中或者被实施在任何合适的子组合中实施。此外,虽然特征可以在上文被描述为在某些组合中起作用,并且甚至最初被如此要求保护,但来自所要求保护的组合中的一个或多个特征可以在一些情况下从组合中删除,并且所要求保护的组合可以针对子组合或子组合的变型。
类似地,尽管在附图中以特定顺序描绘了各操作,但是这不应理解为要求以所示的特定顺序或以连续的顺序执行这些操作,或者执行所有说明的操作以实现期望的结果。此外,本专利申请所描述的实施例中的各种系统组件的分离不应被理解为在所有实施例中都要求这样的分离。
仅描述了少许实施方式和示例,并且基于本专利申请所描述和说明的内容可以作出其他实施方式、增强和变型。
Claims (28)
1.一种用于数据通信的方法,包括:
由第一网络功能接收请求,以从第三功能中检索对终端进行了认证的第二网络功能的标识符,所述请求包括参数;以及
由所述第一网络功能向所述第三网络功能发送响应,所述响应包括所述第二网络功能的标识符,所述第二网络功能对基于所述参数标识的所述终端进行了认证。
2.根据权利要求1所述的方法,其中,所述第一网络功能包括统一数据管理(UDM)功能。
3.根据权利要求1和2中的任一项所述的方法,其中,所述第二网络功能包括认证服务器功能(AUSF)。
4.根据权利要求1、2和3中的任一项所述的方法,其中,所述第三网络功能包括认证和密钥管理应用(AKMA)锚点功能(AAnF)。
5.根据权利要求1所述的方法,其中,所述响应包括用户永久标识符(SUPI)。
6.根据权利要求1所述的方法,其中,所述参数包括服务网络名称。
7.根据权利要求1所述的方法,其中,所述请求包括所述终端的标识符。
8.根据权利要求1所述的方法,其中,所述参数包括服务网络名称网络标识符。
9.根据权利要求1、2、3和5中的任一项所述的方法,还包括:
由所述第一网络功能识别数据库中的记录,所述数据库中的记录对应于基于所述参数对所述终端进行了认证的所述第二网络功能;并且
由所述第一网络功能检索对所述终端进行了认证的所述第二网络功能的标识符,以及检索被包括在所述数据库的记录中的SUPI。
10.根据权利要求1、3、4和5中的任一项所述的方法,其中,所述第三网络功能被配置为:向所述第二网络功能发送密钥请求消息,所述第二网络功能基于对所述终端进行了认证的所述第二网络功能的标识符来标识,所述密钥请求消息包括所述SUPI。
11.根据权利要求1、3和4所述的方法,其中,所述第二网络功能被配置为从第四网络功能接收AKMA密钥标识符、所述终端的标识符和所述参数。
12.根据权利要求11所述的方法,其中,所述第四网络功能是AKMA应用功能(AF)。
13.根据权利要求11和12中的任一项所述的方法,其中,所述第四网络功能被配置为从所述终端接收所述AKMA密钥标识符、所述终端的标识符和所述参数。
14.一种用于数据通信的方法,包括:
由第一网络功能发送请求,以从第三网络功能中检索对终端进行了认证的第二网络功能的标识符,所述请求包括参数;以及
由所述第一网络功能从所述第三网络功能接收响应,所述响应包括所述第二网络功能的标识符,所述第二网络功能对基于所述参数标识的所述终端进行了认证。
15.根据权利要求14所述的方法,其中,所述第一网络功能包括认证和密钥管理应用(AKMA)锚点功能(AAnF)。
16.根据权利要求14至15中的任一项所述的方法,其中,所述第二网络功能包括认证服务器功能(AUSF)。
17.根据权利要求14至16中的任一项所述的方法,其中,所述第三网络功能包括统一数据管理(UDM)功能。
18.根据权利要求14所述的方法,其中,所述响应包括用户永久标识符(SUPI)。
19.根据权利要求14所述的方法,其中,所述参数包括服务网络名称。
20.根据权利要求14所述的方法,其中,所述请求包括所述终端的标识符。
21.根据权利要求14所述的方法,其中,所述参数包括服务网络名称网络标识符。
22.根据权利要求14至18中的任一项所述的方法,其中,所述第三网络功能被配置为:识别数据库中的记录,所述数据库中的记录对应于基于所述参数对所述终端进行了认证的所述第二网络功能;并且检索对所述终端进行了认证的所述第二网络功能的标识符,以及检索被包括在所述数据库的记录中的SUPI。
23.根据权利要求14至18中的任一项所述的方法,还包括:
由所述第一网络功能向第二网络功能发送密钥请求消息,所述第二网络功能基于对所述终端进行了认证的所述第二网络功能的标识符来标识,所述密钥请求消息包括SUPI。
24.根据权利要求14和20中的任一项所述的方法,还包括:
由所述第一网络功能从第四网络功能接收AKMA密钥标识符、所述终端的标识符和所述参数。
25.根据权利要求24所述的方法,其中,所述第四网络功能包括AKMA应用功能。
26.根据权利要求24和25中的任一项所述的方法,其中,所述第四网络功能被配置为从所述终端接收所述AKMA密钥标识符、所述终端的标识符和所述参数。
27.一种用于通信的装置,所述装置包括处理器,所述处理器被配置为执行根据权利要求1至26中的任一项所述的方法。
28.一种非暂时性计算机可读介质,其上存储有代码,在由处理器执行时,所述代码致使所述处理器实施根据权利要求1至26中的任一项所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2020/087507 WO2021109436A1 (en) | 2020-04-28 | 2020-04-28 | Authentication server function selection in an authentication and key agreement |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115398946A true CN115398946A (zh) | 2022-11-25 |
Family
ID=76221343
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080098518.7A Pending CN115398946A (zh) | 2020-04-28 | 2020-04-28 | 认证与密钥协商中的认证服务器功能选择 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220295272A1 (zh) |
CN (1) | CN115398946A (zh) |
WO (1) | WO2021109436A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023008929A1 (en) * | 2021-07-28 | 2023-02-02 | Samsung Electronics Co., Ltd. | Apparatus and method for communication establishment in authentication and key management for applications (akma) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110167013B (zh) * | 2018-02-13 | 2020-10-27 | 华为技术有限公司 | 一种通信方法及装置 |
CN109842880B (zh) * | 2018-08-23 | 2020-04-03 | 华为技术有限公司 | 路由方法、装置及系统 |
-
2020
- 2020-04-28 WO PCT/CN2020/087507 patent/WO2021109436A1/en active Application Filing
- 2020-04-28 CN CN202080098518.7A patent/CN115398946A/zh active Pending
-
2022
- 2022-05-26 US US17/804,168 patent/US20220295272A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2021109436A1 (en) | 2021-06-10 |
US20220295272A1 (en) | 2022-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11304170B2 (en) | Apparatus and method for registration on network in wireless communication system | |
US11722891B2 (en) | User authentication in first network using subscriber identity module for second legacy network | |
CN109587688B (zh) | 系统间移动性中的安全性 | |
US20220295269A1 (en) | Network access authentication method and device | |
JP6962432B2 (ja) | 通信方法、コントロールプレーン装置、コントロールプレーン装置もしくは通信端末のための方法、及び通信端末 | |
US10979903B2 (en) | Key generation and distribution method based on identity-based cryptography | |
US20220060896A1 (en) | Authentication Method, Apparatus, And System | |
WO2021087973A1 (en) | Wireless communication method for registration procedure | |
US20220295272A1 (en) | Authentication server function selection in an authentication and key agreement | |
CN114731563B (zh) | 无线通信中注册的安全处理 | |
WO2022070140A1 (en) | N3iwf selection procedure when accessing snpn via plmn | |
WO2011003227A1 (en) | Managing respective sequence numbers for different networks independently | |
WO2023040995A1 (zh) | 通信方法和通信设备 | |
US20240154803A1 (en) | Rekeying in authentication and key management for applications in communication network | |
EP4322480A1 (en) | Secure identification of applications in communication network | |
JP7355225B2 (ja) | 無線アクセスネットワークノード装置及び無線アクセスネットワークノード装置により行われる方法 | |
WO2024092624A1 (en) | Encryption key transfer method and device for roaming users in communication networks | |
WO2024077598A1 (en) | Protecting capability indication in ue initiated visited public land mobile network (vplmn) slice-based steering of roaming (sor) | |
WO2023142097A1 (en) | User equipment-to-network relay security for proximity based services | |
US20230336992A1 (en) | Method and apparatus for authenticating user equipment in wireless communication system | |
CN116896746A (zh) | 用于akma认证服务的丰富的a-kid | |
CN114125834A (zh) | 一种应用层密钥确定的方法、终端、网络侧设备及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |