CN115865316A - 应用密钥删除方法、密钥锚定节点、服务器、系统及介质 - Google Patents

应用密钥删除方法、密钥锚定节点、服务器、系统及介质 Download PDF

Info

Publication number
CN115865316A
CN115865316A CN202210455638.9A CN202210455638A CN115865316A CN 115865316 A CN115865316 A CN 115865316A CN 202210455638 A CN202210455638 A CN 202210455638A CN 115865316 A CN115865316 A CN 115865316A
Authority
CN
China
Prior art keywords
key
application
application server
deleting
akma
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210455638.9A
Other languages
English (en)
Inventor
游世林
蔡继燕
王继刚
林兆骥
刘宇泽
邢真
刘敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN202210455638.9A priority Critical patent/CN115865316A/zh
Priority to PCT/CN2022/103550 priority patent/WO2023206809A1/zh
Publication of CN115865316A publication Critical patent/CN115865316A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种应用密钥删除方法、密钥锚定节点、服务器、系统及介质。该方法接收AKMA上下文删除请求,所述AKMA上下文删除请求中携带用户标识;根据所述用户标识查找对应的AKMA上下文以及所述AKMA上下文对应的应用服务器标识;在查找到所述应用服务器标识的情况下,发送删除应用密钥请求消息,并删除所述AKMA上下文。

Description

应用密钥删除方法、密钥锚定节点、服务器、系统及介质
技术领域
本申请涉及无线通信网络技术领域,例如涉及一种应用密钥删除方法、密钥锚定节点、服务器、系统及介质。
背景技术
第五代移动通信(Fifth Generation,5G)网络架构中,应用身份认证和密钥管理服务(Authentication and Key Management for Applications,AKMA)为5G网络提供了用户到应用的端到端的安全保护。具体的,应用功能(Application Function,AF)可用于管理终端(User Equipment,UE)的会话;AKMA密钥锚定功能(AKMA Anchor Function,AAnF)可用于生成UE与AF实体之间的会话密钥,以及维护和UE之间的安全上下文。UE向AF发起业务建立请求后,AF可根据其中携带的密钥标识向AAnF请求获取对应的应用密钥,应用密钥由AAnF利用AKMA密钥和应用服务器标识生成。
当用户签约数据发生更新时,需要删除AKMA业务产生的上下文。例如,在用户退网、用户不使用AKMA业务、5G网络中的网元因为某些原因(比如:欠费)不能提供服务、或者运营商根据本地策略需要删除AKMA上下文等情况下,虽然AAnF可以删除AKMA上下文,但由于AF获取了对应的应用密钥,用户终端依然能够使用应用密钥与AF进行相关业务,给网络服务和管理造成麻烦,影响了网络的安全和业务可靠性。
发明内容
本申请提供一种应用密钥删除方法、密钥锚定节点、服务器、系统及介质。
本申请实施例提供一种应用密钥删除方法,应用于密钥锚定节点,包括:
接收AKMA上下文删除请求,所述AKMA上下文删除请求中携带用户标识;
根据所述用户标识查找对应的AKMA上下文以及所述AKMA上下文对应的应用服务器标识;
在查找到所述应用服务器标识的情况下,发送删除应用密钥请求消息,并删除所述AKMA上下文。
本申请实施例还提供了一种应用密钥删除方法,应用于应用服务器,包括:
接收删除应用密钥请求消息,所述删除应用密钥请求消息携带密钥标识;
根据所述删除应用密钥请求消息删除所述密钥标识对应的应用密钥。
本申请实施例还提供了一种密钥锚定节点,包括:存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述的应用密钥删除方法。
本申请实施例还提供了一种应用服务器,包括:存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述的应用密钥删除方法。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现上述的应用密钥删除方法。
附图说明
图1为一实施例提供的一种应用密钥删除方法的流程图;
图2为一实施例提供的一种删除应用密钥的示意图;
图3为一实施例提供的一种请求位于运营商网络内的目标应用服务器删除应用密钥的示意图;
图4为一实施例提供的一种请求位于运营商网络外的目标应用服务器删除应用密钥的示意图;
图5为一实施例提供的一种位于运营商网络内的应用服务器获取应用密钥的示意图;
图6为一实施例提供的一种位于运营商网络外的应用服务器获取应用密钥的示意图;
图7为一实施例提供的另一种应用密钥删除方法的流程图;
图8为一实施例提供的一种应用密钥删除装置的结构示意图;
图9为一实施例提供的另一种应用密钥删除装置的结构示意图;
图10为一实施例提供的一种密钥锚定节点的硬件结构示意图;
图11为一实施例提供的一种应用服务器的硬件结构示意图;
图12为一实施例提供的一种应用密钥删除系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请进行说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限定。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部结构。
在AKMA密钥推衍过程中,当UE接入5G网络,通过5G-认证和密钥协商(Authentication and Key Agreement,AKA),即5G-AKA,或者可扩展认证协议(ExtensibleAuthentication Protocol)-AKA’,即EAP-AKA’的成功认证后,AUSF和UE产生密钥(KAUSF),同时由KAUSF推衍出AKMA锚定密钥(KAKMA),UE和AAnF由KAKMA推衍出应用密钥(KAF),同时也产生了AKMA锚定密钥KAKMA相关密钥标识(KID)。具体的,认证过程包括:
a.UE向应用服务器(AF)发起业务建立请求(即应用会话建立请求,ApplicationSession Establishment Request),该请求携带UE生成的密钥标识(A-KID);
b.如果AF没有查找到与A-KID相关的上下文,则AF向AAnF发送应用密钥获取请求(Naanf_AKMA_ApplicationKey_Get Request),该密钥获取请求携带AF收到的A-KID;
c.AAnF收到AF(或AF通过NEF)发来的应用密钥获取请求后,基于KAKMA生成KAF,具体的,KAF=KDF(AF ID,KAKMA),其中KDF表示密钥产生函数;
d.AAnF发送应用密钥获取响应消息(Naanf_AKMA_ApplicationKey_GetResponse)给AF,该响应消息包括生成的KAF以及相应的有效期(expTime)。
e.AF发送应用会话建立响应消息(Application Session EstablishmentResponse)给UE。
当用户签约数据发生更新时,需要删除AKMA业务产生的上下文。虽然AAnF可以删除AKMA上下文(KAKMA,A-KID和用户标识等),但由于AF获取了对应的KAF,UE依然能够使用KAF与AF进行相关业务,给网络服务和管理造成麻烦,影响了网络的安全和业务可靠性。
在本申请实施例中,提供一种应用密钥删除方法,应用于密钥锚定节点,密钥锚定节点也可以理解为AAnF节点、AAnF网元或AAnF服务器。密钥锚定节点可以在需要删除AKMA业务产生的上下文的情况下,指示相关的AF删除对应的KAF,从而阻止UE继续使用KAF与AF进行相关业务,提高网络服务和管理的安全可靠性。
图1为一实施例提供的一种应用密钥删除方法的流程图。该方法可应用于密钥锚定节点。如图1所示,本实施例提供的方法包括步骤110、步骤120和步骤130。
在步骤110中,接收AKMA上下文删除请求,所述AKMA上下文删除请求中携带用户标识。
在步骤120中,根据所述用户标识查找对应的AKMA上下文以及所述AKMA上下文对应的应用服务器标识。
在步骤130中,在查找到所述应用服务器标识的情况下,发送删除应用密钥请求消息,并删除所述AKMA上下文。
本实施例中,AAnF在接收到AKMA上下文删除请求时,可根据AKMA上下文删除请求中的用户标识查找对应的AKMA上下文以及对应的应用服务器标识(AF_ID),如果查找到AF_ID,则向相应的AF发送删除应用密钥请求消息,删除应用密钥请求消息中携带密钥标识(A-KID),以指示该AF删除其获得的应用密钥(KAF)。
其中,用户标识可以为用户永久标识(Subscription Permanent Identifier,SUPI)。
可以理解的是,在UE应用会话建立的过程中,AF向AAnF获取应用密钥时,AAnF保存该AF的AF_ID,以便在需要AKMA上下文删除请求时向相应的AF发送删除应用密钥请求消息。
在一实施例中,该方法还包括:在未查找到应用服务器标识的情况下,删除AKMA上下文。
本实施例中,如果根据用户标识未查找到对应的AF_ID,则直接删除AKMA上下文即可,不需要指示相应的AF删除应用密钥。
在一实施例中,发送删除应用密钥请求消息,包括:
根据应用服务器标识确定目标应用服务器;
向目标应用服务器发送删除应用密钥请求消息,删除应用密钥请求消息携带密钥标识,密钥标识用于指示目标应用服务器删除对应的应用密钥。
图2为一实施例提供的一种删除应用密钥的示意图。如图2所示,在运营商取消用户签约,或者根据用户的意愿取消用户的AKMA签约,或者根据本地策略删除AKMA上下文的情况下,运营商统一数据管理(Unified Data Management,UDM)网元或者操作维护管理(Operation Administration and Maintenance,OAM)网元根据用户标识SUPI或者路由标识(Routing Indicator,RID)选择用户对应的AAnF,AAnF删除UE订阅数据,并根据用户标识查询到对应AKMA上下文,如果AKMA上下文只有A-KID、KAKMA和SUPI,表明中的没有做AKMA业务,则AAnF删除对应地AKMA上下文即可;如果AKMA上下文不仅包括A-KID、KAKMA和SUPI,还包括对应的至少一个AF_ID,则AAnF根据AF_ID确定相应的目标AF,向目标AF发送删除应用密钥请求消息,删除应用密钥请求消息携带A-KID,以指示目标AF删除该A-KID对应的KAF;同时AAnF删除AKMA上下文(A-KID、KAKMA和SUPI),还可以删除对应的AF_ID。其中,如果目标AF位于运营商网络内,则AAnF直接指示AF删除对应的KAF;如果目标AF在运营商网络外,AAnF则通过NEF向目标AF请求删除对应的KAF
在一实施例中,密钥标识还用于指示目标应用服务器删除对应的应用密钥的有效期。
本实施例中,删除应用密钥请求消息中携带的A-KID,还可用于指示目标AF删除对应的KAF的有效期。
在一实施例中,向目标应用服务器发送删除应用密钥请求消息,包括:
目标应用服务器位于运营商网络内,则向目标应用服务器发送删除应用密钥请求消息;
目标应用服务器位于运营商网络外,则通过网络开放功能(Network ExposureFunction,NEF)向目标应用服务器发送删除应用密钥请求消息。
图3为一实施例提供的一种请求位于运营商网络内的目标应用服务器删除应用密钥的示意图。本实施例中,目标AF处于运营商网络内,AAnF收到AKMA上下文删除请求时,AAnF根据AKMA上下文删除请求中的SUPI查找对应的AKMA上下文,同时查找AKMA上下文对应的AF_ID,如果不存在AF_ID,则直接删除AKMA上下文;如果存在AF_ID,则根据AF_ID查找到对应的目标AF,向目标AF发送删除应用密钥请求消息,请求目标AF根据A-KID删除对应的KAF。如图3所示,删除KAF的过程包括:
步骤101.NF(UDM或者OAM)根据本地策略(比如欠费等),或者用户订阅数据(或者仅仅包括AKMA订阅数据)被删除时,向AAnF发起AKMA上下文删除流程,删除AAnF中的AKMA上下文;
步骤102.NF根据本地配置或通过A-KID中的RID参数,经过网络仓储功能(NetworkRepository Function,NRF)来发现和选择用户的AAnF,向AAnF发送AKMA上下文删除(Naanf_AKMA_Context_Remove)请求,以请求删除用户的AKMA上下文,其中携带用户标识SUPI;
步骤103.AAnF根据AKMA上下文删除请求中携带的SUPI查找对应的AKMA上下文,同时查找AKMA上下文对应的AF_ID,如果AAnF未查找到对应的AF_ID,择执行步骤107;如果查到找至少一个AF_ID,则执行步骤104;
步骤104.AAnF根据查找到的AF_ID向目标AF发送删除应用密钥(Application KeyRemove)请求消息,其中携带A-KID,该消息也可以是一种通知消息,通知目标AF删除应用密钥,如果是通知消息,则直接执行步骤107;
步骤105.目标AF根据A-KID查询对应的KAF,如果查询到,则删除KAF,还可以删除KAF对应的有效期;如果未查询到,则在步骤106中回送相应的失败原因值,失败原因值可以为未发现对应的应用密钥;
步骤106.AF向AAnF回送删除应用密钥响应消息,其中携带应用密钥删除成功的响应或者失败原因值;
步骤107.如果未查找到对应的AF_ID,AAnF删除AKMA上下文,包括SUPI、A-KID和KAKMA;如果查找到对应的AF_ID,则AAnF删除AKMA上下文的同时还可以删除查询到的AF_ID。
步骤108.AAnF向NF回送AKMA上下文删除响应消息。
图4为一实施例提供的一种请求位于运营商网络外的目标应用服务器删除应用密钥的示意图。本实施例中,目标AF处于运营商网络外,AAnF收到AKMA上下文删除请求时,AAnF根据AKMA上下文删除请求中的SUPI查找对应的AKMA上下文,同时查找AKMA上下文对应的AF_ID,如果不存在AF_ID,则直接删除AKMA上下文;如果存在AF_ID,则根据AF_ID查找到对应的目标AF,通过NEF向目标AF发送删除应用密钥请求消息,请求目标AF根据A-KID删除对应的KAF。如图3所示,删除KAF的过程包括:
步骤200.NF(UDM或者OAM)根据本地策略(比如欠费等),或者用户订阅数据(或者仅仅包括AKMA订阅数据)被删除时,向AAnF发起AKMA上下文删除流程,删除AAnF中的AKMA上下文。
步骤201.NF根据本地配置或通过A-KID中的RID参数,经过NRF来发现和选择用户的AAnF,向AAnF发送AKMA上下文删除请求,以请求删除用户的AKMA上下文,其中携带用户标识SUPI;
步骤202.AAnF根据AKMA上下文删除请求中携带的SUPI查找对应的AKMA上下文,同时查找AKMA上下文对应的AF_ID,如果AAnF未查找到对应的AF_ID,执行步骤209;如果查到找至少一个AF_ID,则执行步骤204;
步骤203.AAnF根据查找到的AF_ID查询目标AF,如果发现目标AF位于运营商网络外,则向NEF发送删除应用密钥请求消息(Nnef_AKMA_AFKey_Remove),其中携带A-KID,该消息也可以是一种通知消息,通知NEF将删除应用密钥请求消息转发到目标AF,如果是通知消息,则直接执行步骤209;
步骤204.NEF向AF发送删除应用密钥请求消息,消息携带A-KID,所述消息也可以是一种通知消息,通知目标AF删除应用密钥;
步骤205.目标AF根据A-KID查询对应的KAF,如果查询到,则删除KAF,还可以删除KAF对应的有效期;如果未查询到,则在步骤106中回送相应的失败原因值,失败原因值可以为未发现对应的应用密钥;
步骤206.目标AF向NEF回送删除应用密钥响应消息,其中携带应用密钥删除成功的响应或者失败原因值;
步骤207.NEF向AAnF回送删除应用密钥响应消息,其中携带应用密钥删除成功的响应或者失败原因值;
步骤208.如果步骤203未查询到对应的AF_ID,AAnF删除AKMA上下文,AKMA上下文包括SUPI、A-KID和KAKMA;如果查询到对应的AF_ID,则AAnF删除AKMA上下文同时删除查询到的AF_ID。
步骤209.AAnF向NF回送AKMA上下文删除响应消息。
需要说明的是,如果AAnF查找到的目标AF既包括运营商网络内的目标AF,也包括运营商网络外的目标AF,则图3和图4的流程对应执行,即,向运营商网络内的目标AF发送删除应用密钥请求消息,也通过NEF向运营商网络外的目标AF发送删除应用密钥请求消息,分别指示各目标AF删除对应的应用密钥。
在一实施例中,在接收AKMA上下文删除请求之前,还包括:
接收发起业务建立请求的应用服务器的应用密钥获取消息,应用密钥获取消息携带密钥标识和应用服务器的应用服务器标识;存储应用服务器标识。
本实施例中,在UE应用会话建立的过程中,AF向AAnF获取应用密钥时,AAnF保存该AF的AF_ID,以便在需要AKMA上下文删除请求时向相应的AF发送删除应用密钥请求消息。
在一实施例中,接收发起业务建立请求的应用服务器的应用密钥获取消息,包括:
应用服务器位于运营商网络内,则接收应用服务器的应用密钥获取请求;
应用服务器位于运营商网络外,则通过NEF接收应用服务器的应用密钥获取请求。
图5为一实施例提供的一种位于运营商网络内的应用服务器获取应用密钥的示意图。本实施例中,AF处于运营商网络内,UE和AF发起业务建立请求后,AF向AAnF获取应用密钥时,AAnF需要保存AF对应的AF_ID。如图5所示,获取应用密钥的过程包括:
步骤301.UE应在与AKMA的AF交互之前,从KAUSF推衍出KAKMA和A-KID。当UE启动与AF的通信时,应在业务建立请求(即应用会话建立请求)中携带A-KID,UE可能在发送该业务建立请求之前或之后推衍KAF
步骤302.如果AF中没有与A-KID相关联的可用KAF,则AF根据本地配置或通过A-KID中的RID参数,经过NRF来发现和选择AAnF,向AAnF发送应用密钥获取请求,请求获取UE的KAF,应用密钥获取请求携带A-KID和AF_ID。AAnF应根据配置的本地策略,或NRF提供的授权信息或策略,使用AF_ID检查AAnF是否可以向AF提供服务,如果是,则执行以下操作:
AAnF可通过验证是否能够通过A-KID来找到相对应的KAKMA来确定用户是否被授权使用AKMA;
如果AAnF中存在有效的KAKMA,AAnF应继续执行步骤303。
如果AAnF中没有有效的KAKMA,AAnF应继续执行步骤305并发送错误响应。
步骤303.如果AAnF没有KAF,则AAnF由KAKMA推衍出KAF,KAF=KDF(AF_ID,KAKMA);
步骤304.AAnF存储AF_ID,对应于AKMA上下文A-KID、KAKMA和SUPI;
步骤305.AAnF向AF发送应用密钥获取响应消息,其中携带SUPI、KAF和以及KAF对应的有效期,或者可能携带AKMA密钥请求失败的信息;
步骤306.AF向UE发送应用会话建立响应消息。
如果步骤305中的信息表明AKMA密钥请求失败,则AF应拒绝业务建立请求,并在应用会话建立响应消息中携带错误原因。之后,UE可能会向AF发起新的业务建立请求,携带最新的A-KID。
图6为一实施例提供的一种位于运营商网络外的应用服务器获取应用密钥的示意图。本实施例中,AF处于运营商网络外。UE和AF发起业务建立请求后,AF通过NEF向AAnF获取应用密钥时,AAnF需要保存AF对应的AF_ID。如图6所示,获取应用密钥的过程包括:
步骤401.当AF向AAnF请求应用密钥时,比如,当UE发起了应用会话建立请求时,AF通过A-KID来发现当前UE所属的本地公用陆地移动网络(Home Public Land MobileNetwork,HPLMN),然后通过NEF服务向AAnF发送应用密钥获取请求(Nnef_AKMA_AF KeyRequest),请求应当携带A-KID和AF_ID;
步骤402.如果AF经过了NEF授权后来请求KAF,NEF根据本地配置或通过A-KID中的RID参数,经过NRF来发现和选择AAnF;
步骤403.NEF向AAnF发送应用密钥获取请求,请求获取UE的KAF,应用密钥获取请求携带A-KID和AF_ID。AAnF应根据配置的本地策略,或NRF提供的授权信息或策略,使用AF_ID检查AAnF是否可以向AF提供服务,如果是,则执行以下操作:
AAnF可通过验证是否能够通过A-KID来找到相对应的KAKMA来确定用户是否被授权使用AKMA;
如果AAnF中存在有效的KAKMA,AAnF应继续执行步骤404。
如果AAnF中没有有效的KAKMA,AAnF应继续执行步骤405并发送错误响应。
步骤404.AAnF存储AF_ID,对应于AKMA上下文A-KID、KAKMA和SUPI;
步骤405.AAnF由KAKMA推衍出AKMAKAF,KAF=KDF(AF_ID,KAKMA),中KDF为密钥推衍函数,并携带KAF、KAF的有效期以及SUPI将应用密钥获取响应消息返回给NEF;
步骤406.NEF发送应用密钥获取响应消息(Nnef_AKMA_AFKey Response)给AF,消息携带通用公共用户标识(Generic Public Subscription Identifier,GPSI)、KAF和以及KAF对应的有效期。其中GPSI为NEF通过本地策略,使用UDM提供的用户数据签约管理(Nudm_SubscriberDataManagement)服务将SUPI转换为外部标识的GPSI。
在一实施例中,应用服务器标识包括应用服务器的全限定域名(Fully QualifiedDomain Name,FQDN);或者,应用服务器标识包括应用服务器的FQDN和协议标识符,其中,协议标识符用于标识应用服务器与终端之间的安全协议。
本实施例中,应用服务器标识至少包括AF的FQDN,还可以包括Ua*协议标识符。其中Ua*协议标识符用于标识AF与UE之间使用的安全协议。
在本申请实施例中,还提供一种应用密钥删除方法,应用于应用服务器,应用服务器也可以理解为AF节点、AF网元或AF服务器。应用服务器可以根据应用密钥请求消息中携带的密钥标识删除对应的KAF,从而阻止UE继续使用KAF与AF进行相关业务,提高网络服务和管理的安全可靠性。
图7为一实施例提供的另一种应用密钥删除方法的流程图,如图7所示,本实施例提供的方法包括步骤210和步骤220。
在步骤210中,接收删除应用密钥请求消息,所述删除应用密钥请求消息携带密钥标识。
在步骤220中,根据所述删除应用密钥请求消息删除所述密钥标识对应的应用密钥。
在一实施例中,该方法还包括:删除密钥标识对应的应用密钥的有效期。
在一实施例中,删除应用密钥请求消息由密钥锚定节点在查找到AKMA上下文对应的应用服务器标识的情况下发送,AKMA上下文与AKMA上下文删除请求中的用户标识对应。
在一实施例中,接收删除应用密钥请求消息,包括:
应用服务器位于运营商网络内,则接收删除应用密钥请求消息;
应用服务器位于运营商网络外,则通过NEF接收删除应用密钥请求消息。
在一实施例中,在接收删除应用密钥请求消息之前,还包括:
向密钥锚定节点发送应用密钥获取消息,应用密钥获取消息携带密钥标识和应用服务器的应用服务器标识。
在一实施例中,向密钥锚定节点发送应用密钥获取消息,包括:
应用服务器位于运营商网络内,则向密钥锚定节点发送应用密钥获取消息;
应用服务器位于运营商网络外,则通过NEF向密钥锚定节点发送应用密钥获取消息。
在一实施例中,应用服务器标识包括应用服务器的FQDN;或者,
应用服务器标识包括应用服务器的FQDN和协议标识符,其中,协议标识符用于标识应用服务器与终端之间的安全协议。
本申请实施例还提供一种应用密钥删除装置。图8为一实施例提供的一种应用密钥删除装置的结构示意图。如图8所示,所述应用密钥删除装置包括:
请求接收模块310,设置为接收AKMA上下文删除请求,所述AKMA上下文删除请求中携带用户标识;
查找模块320,设置为根据所述用户标识查找对应的AKMA上下文以及所述AKMA上下文对应的应用服务器标识;
上下文删除模块330,设置为在查找到所述应用服务器标识的情况下,发送删除应用密钥请求消息,并删除所述AKMA上下文。
本实施例的应用密钥删除装置,通过在需要删除AKMA业务产生的上下文的情况下,指示相关的AF删除对应的KAF,从而阻止UE继续使用KAF与AF进行相关业务,提高网络服务和管理的安全可靠性。
在一实施例中,上下文删除模块330还设置为:
在未查找到所述应用服务器标识的情况下,删除所述AKMA上下文。
在一实施例中,上下文删除模块330包括:
确定单元,设置为根据所述应用服务器标识确定目标应用服务器;
删除请求单元,设置为向所述目标应用服务器发送所述删除应用密钥请求消息,所述删除应用密钥请求消息携带密钥标识,所述密钥标识用于指示所述目标应用服务器删除对应的应用密钥。
在一实施例中,所述密钥标识还用于指示所述目标应用服务器删除对应的应用密钥的有效期。
在一实施例中,删除请求单元,设置为:
所述目标应用服务器位于运营商网络内,则向所述目标应用服务器发送所述删除应用密钥请求消息;
所述目标应用服务器位于运营商网络外,则通过NEF向所述目标应用服务器发送所述删除应用密钥请求消息。
在一实施例中,该装置还包括:
接收模块,设置为在接收AKMA上下文删除请求之前,接收发起业务建立请求的应用服务器的应用密钥获取消息,所述应用密钥获取消息携带密钥标识和所述应用服务器的应用服务器标识;
存储模块,设置为存储所述应用服务器标识。
在一实施例中,接收模块,设置为:
所述应用服务器位于运营商网络内,则接收所述应用服务器的应用密钥获取请求;
所述应用服务器位于运营商网络外,则通过NEF接收所述应用服务器的应用密钥获取请求。
在一实施例中,所述应用服务器标识包括应用服务器的FQDN;或者,
所述应用服务器标识包括应用服务器的FQDN和协议标识符,其中,所述协议标识符用于标识所述应用服务器与终端之间的安全协议。
本实施例提出的应用密钥删除装置与上述实施例提出的应用密钥删除方法属于同一发明构思,未在本实施例中详尽描述的技术细节可参见上述任意实施例,并且本实施例具备与执行应用密钥删除方法相同的有益效果。
本申请实施例还提供一种应用密钥删除装置。图9为一实施例提供的另一种应用密钥删除装置的结构示意图。如图9所示,所述应用密钥删除装置包括:
消息接收模块410,设置为接收删除应用密钥请求消息,所述删除应用密钥请求消息携带密钥标识;
密钥删除模块420,设置为根据所述删除应用密钥请求消息删除所述密钥标识对应的应用密钥。
本实施例的应用密钥删除装置,通过可以根据应用密钥请求消息中携带的密钥标识删除对应的应用密钥,从而阻止UE继续使用应用密钥与AF进行相关业务,提高网络服务和管理的安全可靠性。
在一实施例中,密钥删除模块420还设置为:删除所述密钥标识对应的应用密钥的有效期。
在一实施例中,所述删除应用密钥请求消息由密钥锚定节点在查找到AKMA上下文对应的应用服务器标识的情况下发送,所述AKMA上下文与AKMA上下文删除请求中的用户标识对应。
在一实施例中,消息接收模块410,设置为:
所述应用服务器位于运营商网络内,则接收删除应用密钥请求消息;
所述应用服务器位于运营商网络外,则通过NEF接收删除应用密钥请求消息。
在一实施例中,该装置还包括:
发送模块,设置为在接收删除应用密钥请求消息之前,向密钥锚定节点发送应用密钥获取消息,所述应用密钥获取消息携带所述密钥标识和所述应用服务器的应用服务器标识。
在一实施例中,发送模块,设置为:
所述应用服务器位于运营商网络内,则向所述密钥锚定节点发送应用密钥获取消息;
所述应用服务器位于运营商网络外,则通过NEF向所述密钥锚定节点发送应用密钥获取消息。
在一实施例中,所述应用服务器标识包括应用服务器的FQDN;或者,
所述应用服务器标识包括应用服务器的FQDN和协议标识符,其中,所述协议标识符用于标识所述应用服务器与终端之间的安全协议。
本实施例提出的应用密钥删除装置与上述实施例提出的应用密钥删除方法属于同一发明构思,未在本实施例中详尽描述的技术细节可参见上述任意实施例,并且本实施例具备与执行应用密钥删除方法相同的有益效果。
本申请实施例还提供了一种密钥锚定节点,图10为一实施例提供的一种密钥锚定节点的硬件结构示意图,如图10所示,本申请提供的密钥锚定节点,包括处理器510以及存储器520;该密钥锚定节点中的处理器510可以是一个或多个,图10中以一个处理器510为例;存储器520配置为存储一个或多个程序;所述一个或多个程序被所述一个或多个处理器510执行,使得所述一个或多个处理器510实现如本申请实施例中所述的应用密钥删除方法。
密钥锚定节点还包括:通信装置530、输入装置540和输出装置550。
密钥锚定节点中的处理器510、存储器520、通信装置530、输入装置540和输出装置550可以通过总线或其他方式连接,图10中以通过总线连接为例。
输入装置540可用于接收输入的数字或字符信息,以及产生与密钥锚定节点的用户设置以及功能控制有关的按键信号输入。输出装置550可包括显示屏等显示设备。
通信装置530可以包括接收器和发送器。通信装置530设置为根据处理器510的控制进行信息收发通信。
存储器520作为一种计算机可读存储介质,可设置为存储软件程序、计算机可执行程序以及模块,如本申请实施例所述应用密钥删除方法对应的程序指令/模块(例如,请求接收模块310、查找模块320以及上下文删除模块330)。存储器520可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据密钥锚定节点的使用所创建的数据等。此外,存储器520可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器520可进一步包括相对于处理器510远程设置的存储器,这些远程存储器可以通过网络连接至密钥锚定节点。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例还提供了一种应用服务器,图11为一实施例提供的一种应用服务器的硬件结构示意图,如图11所示,本申请提供的应用服务器,包括处理器610以及存储器620;该应用服务器中的处理器610可以是一个或多个,图11中以一个处理器610为例;存储器620配置为存储一个或多个程序;所述一个或多个程序被所述一个或多个处理器610执行,使得所述一个或多个处理器610实现如本申请实施例中所述的应用密钥删除方法。
应用服务器还包括:通信装置630、输入装置640和输出装置650。
应用服务器中的处理器610、存储器620、通信装置630、输入装置640和输出装置650可以通过总线或其他方式连接,图11中以通过总线连接为例。
输入装置640可用于接收输入的数字或字符信息,以及产生与应用服务器的用户设置以及功能控制有关的按键信号输入。输出装置650可包括显示屏等显示设备。
通信装置630可以包括接收器和发送器。通信装置630设置为根据处理器610的控制进行信息收发通信。
存储器620作为一种计算机可读存储介质,可设置为存储软件程序、计算机可执行程序以及模块,如本申请实施例所述应用密钥删除方法对应的程序指令/模块(例如,消息接收模块410以及密钥删除模块420)。存储器620可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据应用服务器的使用所创建的数据等。此外,存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器620可进一步包括相对于处理器610远程设置的存储器,这些远程存储器可以通过网络连接至应用服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例还提供了一种应用密钥删除系统。图12为一实施例提供的一种应用密钥删除系统的结构示意图。如图12所示,该系统包括:如上述任意实施例所述的密钥锚定节点710,以及上述任意实施例所述的应用服务器720。
可选的,该系统还包括:NEF节点。
本实施例提出的应用密钥删除系统与上述实施例提出的应用密钥删除方法属于同一发明构思,未在本实施例中详尽描述的技术细节可参见上述任意实施例,并且本实施例具备与执行应用密钥删除方法相同的有益效果。
本申请实施例还提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本申请实施例中任一所述的应用密钥删除方法。该方法,包括:接收AKMA上下文删除请求,所述AKMA上下文删除请求中携带用户标识;根据所述用户标识查找对应的AKMA上下文以及所述AKMA上下文对应的应用服务器标识;在查找到所述应用服务器标识的情况下,发送删除应用密钥请求消息,并删除所述AKMA上下文。
或者,该方法包括:接收删除应用密钥请求消息,所述删除应用密钥请求消息携带密钥标识;根据所述删除应用密钥请求消息删除所述密钥标识对应的应用密钥。
本申请实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是,但不限于:电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read Only Memory,ROM)、可擦式可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、闪存、光纤、便携式CD-ROM、光存储器件、磁存储器件、或者上述的任意合适的组合。计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于:电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、无线电频率(Radio Frequency,RF)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
以上所述,仅为本申请的示例性实施例而已,并非用于限定本申请的保护范围。
本领域内的技术人员应明白,术语用户终端涵盖任何适合类型的无线用户设备,例如移动电话、便携数据处理便携网络浏览器或车载移动台。
一般来说,本申请的多种实施例可以在硬件或专用电路、软件、逻辑或其任何组合中实现。例如,一些方面可以被实现在硬件中,而其它方面可以被实现在可以被控制器、微处理器或其它计算装置执行的固件或软件中,尽管本申请不限于此。
本申请的实施例可以通过移动装置的数据处理器执行计算机程序指令来实现,例如在处理器实体中,或者通过硬件,或者通过软件和硬件的组合。计算机程序指令可以是汇编指令、指令集架构(Instruction Set Architecture,ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码。
本申请附图中的任何逻辑流程的框图可以表示程序步骤,或者可以表示相互连接的逻辑电路、模块和功能,或者可以表示程序步骤与逻辑电路、模块和功能的组合。计算机程序可以存储在存储器上。存储器可以具有任何适合于本地技术环境的类型并且可以使用任何适合的数据存储技术实现,例如但不限于只读存储器(Read-Only Memory,ROM)、随机访问存储器(Random Access Memory,RAM)、光存储器装置和系统(数码多功能光碟(Digital Video Disc,DVD)或光盘(Compact Disk,CD)等。计算机可读介质可以包括非瞬时性存储介质。数据处理器可以是任何适合于本地技术环境的类型,例如但不限于通用计算机、专用计算机、微处理器、数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑器件(Field-Programmable Gate Array,FGPA)以及基于多核处理器架构的处理器。
通过示范性和非限制性的示例,上文已提供了对本申请的示范实施例的详细描述。但结合附图和权利要求来考虑,对以上实施例的多种修改和调整对本领域技术人员来说是显而易见的,但不偏离本申请的范围。因此,本申请的恰当范围将根据权利要求确定。

Claims (19)

1.一种应用密钥删除方法,应用于密钥锚定节点,其特征在于,包括:
接收应用身份认证和密钥管理服务AKMA上下文删除请求,所述AKMA上下文删除请求中携带用户标识;
根据所述用户标识查找对应的AKMA上下文以及所述AKMA上下文对应的应用服务器标识;
在查找到所述应用服务器标识的情况下,发送删除应用密钥请求消息,并删除所述AKMA上下文。
2.根据权利要求1所述的方法,其特征在于,还包括:
在未查找到所述应用服务器标识的情况下,删除所述AKMA上下文。
3.根据权利要求1所述的方法,其特征在于,发送删除应用密钥请求消息,包括:
根据所述应用服务器标识确定目标应用服务器;
向所述目标应用服务器发送所述删除应用密钥请求消息,所述删除应用密钥请求消息携带密钥标识,所述密钥标识用于指示所述目标应用服务器删除对应的应用密钥。
4.根据权利要求3所述的方法,其特征在于,所述密钥标识还用于指示所述目标应用服务器删除对应的应用密钥的有效期。
5.根据权利要求3所述的方法,其特征在于,向所述目标应用服务器发送所述删除应用密钥请求消息,包括:
所述目标应用服务器位于运营商网络内,则向所述目标应用服务器发送所述删除应用密钥请求消息;
所述目标应用服务器位于运营商网络外,则通过网络开放功能NEF向所述目标应用服务器发送所述删除应用密钥请求消息。
6.根据权利要求1所述的方法,其特征在于,在接收AKMA上下文删除请求之前,还包括:
接收发起业务建立请求的应用服务器的应用密钥获取消息,所述应用密钥获取消息携带密钥标识和所述应用服务器的应用服务器标识;
存储所述应用服务器标识。
7.根据权利要求6所述的方法,其特征在于,接收发起业务建立请求的应用服务器的应用密钥获取消息,包括:
所述应用服务器位于运营商网络内,则接收所述应用服务器的应用密钥获取请求;
所述应用服务器位于运营商网络外,则通过NEF接收所述应用服务器的应用密钥获取请求。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述应用服务器标识包括应用服务器的全限定域名FQDN;或者,
所述应用服务器标识包括应用服务器的FQDN和协议标识符,其中,所述协议标识符用于标识所述应用服务器与终端之间的安全协议。
9.一种应用密钥删除方法,应用于应用服务器,其特征在于,包括:
接收删除应用密钥请求消息,所述删除应用密钥请求消息携带密钥标识;
根据所述删除应用密钥请求消息删除所述密钥标识对应的应用密钥。
10.根据权利要求9所述的方法,其特征在于,还包括:
删除所述密钥标识对应的应用密钥的有效期。
11.根据权利要求9所述的方法,其特征在于,所述删除应用密钥请求消息由密钥锚定节点在查找到应用身份认证和密钥管理服务AKMA上下文对应的应用服务器标识的情况下发送,所述AKMA上下文与AKMA上下文删除请求中的用户标识对应。
12.根据权利要求9所述的方法,其特征在于,接收删除应用密钥请求消息,包括:
所述应用服务器位于运营商网络内,则接收删除应用密钥请求消息;
所述应用服务器位于运营商网络外,则通过网络开放功能NEF接收删除应用密钥请求消息。
13.根据权利要求9所述的方法,其特征在于,在接收删除应用密钥请求消息之前,还包括:
向密钥锚定节点发送应用密钥获取消息,所述应用密钥获取消息携带所述密钥标识和所述应用服务器的应用服务器标识。
14.根据权利要求13所述的方法,其特征在于,向密钥锚定节点发送应用密钥获取消息,包括:
所述应用服务器位于运营商网络内,则向所述密钥锚定节点发送应用密钥获取消息;
所述应用服务器位于运营商网络外,则通过NEF向所述密钥锚定节点发送应用密钥获取消息。
15.根据权利要求9-14任一项所述的方法,其特征在于,所述应用服务器标识包括应用服务器的全限定域名FQDN;或者,
所述应用服务器标识包括应用服务器的FQDN和协议标识符,其中,所述协议标识符用于标识所述应用服务器与终端之间的安全协议。
16.一种密钥锚定节点,其特征在于,包括:存储器,以及一个或多个处理器;
所述存储器,配置为存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-8中任一项所述的应用密钥删除方法。
17.一种应用服务器,其特征在于,包括:存储器,以及一个或多个处理器;
所述存储器,配置为存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求9-15中任一项所述的应用密钥删除方法。
18.一种应用密钥删除系统,其特征在于,包括:如权利要求16所述的密钥锚定节点,以及如权利要求17所述的应用服务器。
19.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-15中任一所述的应用密钥删除方法。
CN202210455638.9A 2022-04-27 2022-04-27 应用密钥删除方法、密钥锚定节点、服务器、系统及介质 Pending CN115865316A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210455638.9A CN115865316A (zh) 2022-04-27 2022-04-27 应用密钥删除方法、密钥锚定节点、服务器、系统及介质
PCT/CN2022/103550 WO2023206809A1 (zh) 2022-04-27 2022-07-04 应用密钥删除方法、密钥锚定节点、服务器、系统及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210455638.9A CN115865316A (zh) 2022-04-27 2022-04-27 应用密钥删除方法、密钥锚定节点、服务器、系统及介质

Publications (1)

Publication Number Publication Date
CN115865316A true CN115865316A (zh) 2023-03-28

Family

ID=85660090

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210455638.9A Pending CN115865316A (zh) 2022-04-27 2022-04-27 应用密钥删除方法、密钥锚定节点、服务器、系统及介质

Country Status (2)

Country Link
CN (1) CN115865316A (zh)
WO (1) WO2023206809A1 (zh)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113163402B (zh) * 2020-01-23 2022-10-28 华为技术有限公司 一种通信方法、装置及系统
US20230292112A1 (en) * 2020-07-21 2023-09-14 Samsung Electronics Co., Ltd. A method for managing an authentication and key management for applications service for a user equipment

Also Published As

Publication number Publication date
WO2023206809A1 (zh) 2023-11-02

Similar Documents

Publication Publication Date Title
CN111865598B (zh) 网络功能服务的身份校验方法及相关装置
US20220360980A1 (en) Security Context Handling in 5G During Connected Mode
CN110519824B (zh) 一种终端路由选择策略更新的方法和装置
WO2020088026A1 (zh) 一种基于通用引导架构gba的认证方法及相关设备
US20230422032A1 (en) Session request method and apparatus, terminal, and storage medium
US11418951B2 (en) Method for identifying encrypted data stream, device, storage medium and system
CN111132305B (zh) 5g用户终端接入5g网络的方法、用户终端设备及介质
EP4271015A1 (en) Registration method and apparatus, authentication method and apparatus, routing indicator determining method and apparatus, entity, and terminal
JP7100153B2 (ja) サービスapi呼び出し方法および関連装置
WO2022078214A1 (zh) 签约数据更新方法、装置、节点和存储介质
CN109891921A (zh) 下一代系统的认证
CN111770123B (zh) 通信方法、设备及存储介质
US20230232228A1 (en) Method and apparatus for establishing secure communication
CN114900833B (zh) 鉴权方法、装置、存储介质和电子设备
US9723436B2 (en) Mobile device location
CN115865316A (zh) 应用密钥删除方法、密钥锚定节点、服务器、系统及介质
US20230083529A1 (en) Selection of service-providing network functions in a 3gpp communication network
WO2023019944A1 (zh) 密钥更新方法、网元、用户设备及存储介质
WO2023216274A1 (zh) 密钥管理方法、装置、设备和存储介质
WO2023168620A1 (zh) 获取用户同意的方法、装置、设备及存储介质
WO2024067955A1 (en) Initiation of seconday authentication for a subscriber entity
CN115190580A (zh) 网络功能注册方法、发现方法、装置、设备及介质
CN116321144A (zh) 5g核心网sepp认证nf的方法、装置、设备及介质
WO2024067993A1 (en) Pdu session modification for a subscriber entity
WO2023144681A1 (en) Resource owner consent information management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication