CN115915124A - 密钥更新方法、网元、用户设备及存储介质 - Google Patents

密钥更新方法、网元、用户设备及存储介质 Download PDF

Info

Publication number
CN115915124A
CN115915124A CN202110949003.XA CN202110949003A CN115915124A CN 115915124 A CN115915124 A CN 115915124A CN 202110949003 A CN202110949003 A CN 202110949003A CN 115915124 A CN115915124 A CN 115915124A
Authority
CN
China
Prior art keywords
key
application key
network element
application
updating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110949003.XA
Other languages
English (en)
Inventor
游世林
刘宇泽
蔡继燕
邢真
彭锦
林兆骥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN202110949003.XA priority Critical patent/CN115915124A/zh
Priority to EP22857263.2A priority patent/EP4391613A1/en
Priority to JP2024506211A priority patent/JP2024528153A/ja
Priority to PCT/CN2022/082520 priority patent/WO2023019944A1/zh
Publication of CN115915124A publication Critical patent/CN115915124A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供一种密钥更新方法、网元、用户设备及存储介质。该方法在会话建立请求中携带的密钥标识对应的应用密钥无效的情况下,根据用户标识向第二网元发送应用密钥更新请求;根据所述应用密钥更新请求关联的消息确定更新的应用密钥。

Description

密钥更新方法、网元、用户设备及存储介质
技术领域
本申请涉及无线通信网络技术领域,例如涉及一种密钥更新方法、网元、用户设备及存储介质。
背景技术
第五代移动通信(Fifth Generation,5G)网络架构由若干网络功能(NetworkFunction,NF)构成。例如,统一数据管理功能(Unified Data Management,UDM)网元是用户签约数据的永久存放地点,位于用户签约的归属网;接入管理功能(Access ManagementFunction,AMF)网元可对用户接入到网络的需求进行管理,负责设备到网络的NAS层(Non-Access Stratum,非接入层)信令管理、用户移动性管理等功能;AMF网元还具有安全锚点功能(Security Anchor Function),通过与身份认证服务功能(Authentication ServerFunction,AUSF)网元以及用户设备(User Equipment,UE)交互,接收为UE认证过程而建立的中间密钥(记为KAMF)和密钥集标识(Key Set Identity,KSI),从AUSF获取安全相关数据等;应用功能(Application Function,AF)网元管理UE的会话。此外,5G网络架构还引入了应用身份认证和密钥管理服务(Authentication and Key Management forApplications,AKMA)密钥锚定功能(AKMA Anchor Function,AAnF)实体,AAnF实体位于归属网络,主要用于生成UE与AF实体之间的会话密钥,以及维护和UE之间的安全上下文。AKMA技术为5G网络提供了用户到应用的端到端的安全保护。
UE向AF发起应用会话建立请求后,AF可根据其中携带的密钥标识向AAnF请求获取对应的应用密钥,应用密钥由AAnF利用AKMA密钥和应用服务器标识生成,应用密钥的密钥生成函数参数中只涉及到应用服务器标识和AKMA密钥两个参数,在应用密钥无效的情况下,AF不能获得正确的应用密钥,应用会话无法安全进行,用户无法获得可靠的服务。
发明内容
本申请提供一种密钥更新方法、网元、用户设备及存储介质,以提高应用会话的可靠性和安全性。
本申请实施例提供一种密钥更新方法,应用于第一网元,包括:
在会话建立请求中携带的密钥标识对应的应用密钥无效的情况下,根据用户标识向第二网元发送应用密钥更新请求;
根据所述应用密钥更新请求关联的消息确定更新的应用密钥。
本申请实施例还提供了一种密钥更新方法,应用于第二网元,包括:
接收第一网元根据用户标识发送的应用密钥更新请求;
根据所述应用密钥更新请求发送更新应用密钥的指示信息。
本申请实施例还提供了一种密钥更新方法,应用于用户设备,包括:
接收更新应用密钥的指示信息;
根据所述指示信息更新无效的应用密钥。
本申请实施例还提供了一种网元,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述应用于第一网元或应用于第二网元的密钥更新方法。
本申请实施例还提供了一种用户设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述应用于用户设备的密钥更新方法。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现上述的密钥更新方法。
附图说明
图1为一实施例提供的一种生成应用密钥的示意图;
图2为一实施例提供的一种密钥更新方法的流程图;
图3为一实施例提供的一种密钥更新方法的实现示意图;
图4为一实施例提供的另一种密钥更新方法的实现示意图;
图5为一实施例提供的另一种密钥更新方法的流程图;
图6为一实施例提供的又一种密钥更新方法的流程图;
图7为一实施例提供的一种密钥更新装置的结构示意图;
图8为一实施例提供的另一种密钥更新装置的结构示意图;
图9为一实施例提供的又一种密钥更新装置的结构示意图;
图10为一实施例提供的一种网元的硬件结构示意图;
图11为一实施例提供的一种用户设备的硬件结构示意图。
具体实施方式
下面结合附图和实施例对本申请进行说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限定。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部结构。
在AKMA场景中,当UE接入5G网络,通过5G-认证和密钥协商(Authentication andKey Agreement,AKA),即5G-AKA,或者可扩展认证协议(Extensible AuthenticationProtocol)-AKA’,即EAP-AKA’,成功认证后,在AUSF和移动设备(Mobile Equipment,简称ME)产生中间密钥(记为KAUSF),由密钥KAUSF可推衍出AKMA锚定密钥KAKMA,并产生AKMA锚定密钥KAKMA相关密钥标识A-KID。
图1为一实施例提供的一种生成应用密钥的示意图。如图1所示,UE(或ME)与AAnF首先完成主认证流程,由KAUSF推衍出KAKMA,并产生A-KID。在此基础上,生成应用密钥的过程包括:
a.UE向应用AF发起应用会话建立请求,该请求携带UE生成的A-KID。
b.如果AF没有查找到与A-KID相关的上下文,且AF位于运营商网络中,则AF向AAnF发送密钥获取请求(Naanf_AKMA_ApplicationKey_Get Request),该密钥获取请求携带AF收到的A-KID以及AF自身的标识AF ID;如果AF属于第三方运用,位于运营商网络之外,则AF可以通过网络开放功能(Network Exposure Function,NEF)向AAnF发送该密钥获取请求。
c.AAnF收到AF(或AF通过NEF)发来的密钥获取请求后,基于KAKMA生成KAF,具体的,KAF=KDF(AF ID,KAKMA),其中KDF表示密钥产生函数;
d.AAnF发送密钥获取响应消息(Naanf_AKMA_ApplicationKey_Get Response)给AF,该响应消息包括生成的KAF以及相应的有效时间(expTime);如果AF位于运营商网络中,该响应消息还携带用户永久标识(Subscription Permanent Identifier,SUPI)或者通用公共用户标识(Generic Public Subscription Identifier,GPSI);如果AF属于第三方运用,位于运营商网络之外,则AAnF可通过NEF向AF发送响应该响应消息,且携带用户标识GPSI。
e.AF发送应用会话建立响应消息给UE。
在上述生成应用密钥的过程中,由于应用密钥KAF的密钥产生函数参数中只涉及到AF ID和KAKMA两个参数,在KAF有效期超时或者KAF失效的情况下,AF无法更新KAF,导致应用会话建立失败,无法保证服务质量。
在本申请实施例中,提供一种密钥更新方法,该方法可应用于第一网元,第一网元为用于管理UE的会话的网元,例如为AF。
图2为一实施例提供的一种密钥更新方法的流程图,如图2所示,本实施例提供的方法包括步骤110和步骤120。
在步骤110中,在会话建立请求中携带的密钥标识对应的应用密钥无效的情况下,根据用户标识向第二网元发送应用密钥更新请求。
本实施例中,UE向第一网元发起会话建立请求,其中携带密钥标识A-KID,第一网元可根据A-KID查询对应的应用密钥KAF。在KAF无效的情况下,例如在KAF的有效期超时的情况下,或者在业务提供方认为KAF不安全的情况下,第一网元向第二网元发送应用密钥更新请求,其中携带用户标识,用于指示请求建立应用会话的UE。其中,用户标识可以为SUPI或者GPSI。第二网元为存储用户签约数据的网元,例如UDM。
在步骤120中,根据所述应用密钥更新请求关联的消息确定更新的应用密钥。
本实施例中,应用密钥更新请求关联的消息可以是第二网元返回的密钥更新响应消息,该密钥更新响应消息指示第一网元利用指定的参数更新KAF,此外,第二网元还可以指示UE利用指定的参数更新KAF,以保证UE与第一网元使用的应用密钥一致。应用密钥更新请求关联的消息也可以是在UE完成重注册流程后重新发起的会话建立请求,在重注册流程中UE与AUSF已经生成了新的A-KID’和KAKMA’,AAnF基于KAKMA’生成KAF’,第一网元接收到UE重发的会话建立请求后可以根据A-KID’从AAnF重新获取更新的KAF’。
本实施例的密钥更新方法,在应用密钥无效的情况下,可以向第二网元请求获取更新的应用密钥,并根据应用密钥更新请求关联的消息确定更新的应用密钥,从而保证应用会话的安全性和服务可靠性。
在一实施例中,该方法还包括:
步骤100:生成密钥更新参数,密钥更新参数携带在应用密钥更新请求中。
本实施例中,第一网元生成用于更新应用密钥的密钥更新参数,并携带在应用密钥更新请求中,在此基础上,第二网元可以将密钥更新参数通知给UE,供UE基于密钥更新参数更新KAF,从而保证UE与第一网元的应用密钥一致。在一些实施例中,第一网元可以在确定UE已经获得密钥更新参数的情况下更新KAF,例如,在UE向第二网元返回确认消息、且第二网元向第一网元返回应用密钥更新响应消息的情况下,更新KAF,进一步保证UE与第一网元的应用密钥一致。
在一实施例中,应用密钥更新请求关联的消息包括第二网元发送的应用密钥更新响应消息;
步骤120,根据应用密钥更新请求关联的消息确定更新的应用密钥,包括:在接收到第二网元发送的应用密钥更新响应消息的情况下,基于密钥更新参数确定更新的应用密钥。
本实施例中,应用密钥更新请求关联的消息可以是第二网元返回的密钥更新响应消息,该密钥更新响应消息指示第一网元利用指定的参数(即密钥更新参数)更新KAF。第一网元发现A-KID对应的KAF无效,可生成一个密钥更新参数(可以为一个随机数,记为RANDAF),AF根据用户标识(GPSI or SUPI)向第二网元发起应用密钥更新请求,消息携带用户标识和RANDAF。在接收到第二网元发送的应用密钥更新响应消息的情况下,利用该RANDAF更新KAF。在此基础上,第二网元还可向UE发起UE参数更新请求,该UE参数更新请求携带RANDAF,以指示UE使用RANDAF更新KAF
在一实施例中,基于密钥更新参数确定更新的应用密钥,包括:基于密钥产生函数,对密钥更新参数和无效的应用密钥进行运算,得到更新的应用密钥。
本实施例中,可以利用基于KAKMA生成KAF的密钥产生函数(KDF),对RANDAF与无效的KAF进行运算,以得到更新的KAF’。具体的,可以按照如下方式得到:KAF’=KDF(RANDAF,KAF)。
在一实施例中,该方法还包括:步骤130:配置更新的应用密钥的有效期。
本实施例中,第一网元为更新的KAF’配置有效期,在有效期内,KAF’可用于应用会话的建立;如果过了有效期,则KAF’失效,不能用于应用会话的建立,从而保证会话的安全性。
在一实施例中,密钥更新参数为基于哈希函数生成的随机数。
在一实施例中,步骤110中,根据用户标识向第二网元发送应用密钥更新请求,包括:在第一网元位于运营商网络之外的情况下,通过网络开放功能NEF网元向第二网元发送应用密钥更新请求。在此基础上,运营商网络之外的第一网元也可以实现应用密钥更新。
图3为一实施例提供的一种密钥更新方法的实现示意图。如图3所示,第一网元为AF,第二网元为UDM。UE与AAnF首先完成主认证流程,由KAUSF推衍出KAKMA,并产生A-KID。在此基础上,密钥更新过程主要包括:AF发现A-KID对应的KAF无效,则生成一个密钥更新参数RANDAF;AF根据用户标识向UDM发送应用密钥更新请求,其中携带用户标识和RANDAF;UDM向UE发送UE参数更新请求,其中携带RANDAF;UE使用RANDAF更新KAF,得到KAF’;AF使用RANDAF更新KAF,得到KAF’,并设置KAF’的有效期。具体如下:
步骤201:UE向应用AF发起应用会话建立请求,该应用会话建立请求携带UE生成的A-KID。
步骤202:AF发现A-KID对应的KAF无效,例如KAF有效期超时或者业务提供商认为KAF不安全,AF将KAF置为无效。
步骤203:AF生成应用密钥更新参数RANDAF,RANDAF可以是基于哈希函数生成的随机数。
步骤204:AF根据用户标识向UDM发送应用密钥更新消息(Nudm_APP_Key_UpdateRequest),应用密钥更新消息携带RANDAF;此外,如果AF位于运营商网络中,应用密钥更新消息还携带用户标识(SUPI或者GPSI);如果AF为第三方应用,位于运营商网络之外,AF也可以通过NEF向UDM发送应用密钥更新消息,其中携带GPSI。
步骤205,UDM发起UE参数更新过程,具体的,向AMF发起用户数据管理通知(Nudm_SDM_Notification),其中携带密钥更新参数RANDAF。可选的,用户数据管理通知中可包括回送指示,用于指示UE需要回送确认消息(ACK)。
步骤206,AMF向UE发送下行非接入层传输消息(DL NAS TRANSPORT)。其中包含从UDM接收的透明容器。UE验证UDM的密钥更新参数,如果对UDM的密钥更新参数的安全性检查成功,则UE存储密钥更新参数并从该位置开始使用RANDAF,或者将密钥更新参数转发给全球用户身份模块(Universal Subscriber Identity Module,USIM);如果安全性检查失败,则UE丢弃密钥更新参数的内容。
步骤207,若UE已确认密钥更新参数,且UDM已要求UE向UDM发送ACK,则UE向AMF发送上行非接入层传输消息(UL NAS TRANSPORT),其中携带包括ACK的透明容器。
步骤208,UE使用RANDAF更新KAF,具体的,KAF’=KDF(RANDAF,KAF)。
步骤209,如果AMF收到的上行非接入层传输消息中携带了ACK,则AMF向UDM发送用户数据管理响应消息(Nudm_SDM_Info),其中携带包括ACK的透明容器。
步骤210,UDM(或UDM通过NEF)向AF回送应用密钥更新响应消息(Nudm_APPKey_Update Response)。
步骤211,AF使用RANDAF更新应用密钥KAF,具体的,KAF’=KDF(RANDAF,KAF)。此外,AF可为KAF’设置有效期。
在UE和AF生成KAF’,可使用KAF’进行会话通信,在本实施例中,AF还可向UE回送应用会话建立请求响应消息。
可以理解的是,如果用户数据管理通知中不包括回送指示,步骤207、步骤209可以省略。
在一实施例中,应用密钥更新请求关联的消息包括用户设备重发的会话建立请求消息;
根据应用密钥更新请求关联的消息确定更新的应用密钥,包括:根据重发的会话建立请求消息查询更新的应用密钥。
本实施例中,应用密钥更新请求关联的消息可以是UE重发的会话建立请求消息,该重发的会话建立请求消息指示第一网元获取更新的应用密钥。具体的,第一网元发现A-KID对应的KAF无效,可根据用户标识(GPSI or SUPI)向第二网元发起应用密钥更新请求,第二网元可向UE发起UE参数更新请求,其中携带重注册指示和应用密钥更新指示,UE发起重注册流程,在重注册流程后会产生新的KAKMA’、A-KID’以及KAF’。UE利用A-KID’发送新的会话建立请求消息,第一网元接收到新的会话建立请求消息后,可根据其中的A-KID’查询KAF’。
此外,UE在发起重注册流程之前,可以将密钥集标识(ngKSI)设置为指定值,用于指示应用密钥无效或网络层密钥无效。
在一实施例中,该方法还包括:步骤112:在接收到第二网元发送的应用密钥更新响应消息的情况下,向用户设备发送会话建立失败的消息。
本实施例中,第一网元在接收到第二网元发送的应用密钥更新响应消息的情况下,可向UE发送会话建立失败的消息,UE可在接收到会话建立失败的消息的情况下发起重注册流程。
图4为一实施例提供的另一种密钥更新方法的实现示意图。如图4所示,第一网元为AF,第二网元为UDM。UE与AAnF首先完成主认证流程,由KAUSF推衍出KAKMA,并产生A-KID。在此基础上,密钥更新过程主要包括:AF发现A-KID对应的KAF无效,根据用户标识(GPSI或SUPI)向UDM发起应用密钥更新请求;UDM向UE发起UE参数更新请求,其中携带重注册指示和应用密钥更新指示;UE修改ngKSI为无效,携带ngKSI向网络发起重注册流程。具体流程如下:
步骤301,UE向应用AF发起应用会话建立请求,该请求携带UE生成的A-KID。
步骤302,AF发现A-KID对应的应用密钥KAF无效,所述无效为KAF有效期超时或者业务提供商认为KAF不安全,AF将KAF置为无效。
步骤303,AF根据用户标识向UDM发送应用密钥更新消息(Nudm_APP_Key_UpdateRequest),应用密钥更新消息携带RANDAF;此外,如果AF位于运营商网络中,应用密钥更新消息还携带用户标识(SUPI或者GPSI);如果AF为第三方应用,位于运营商网络之外,AF也可以通过NEF向UDM发送应用密钥更新消息,其中携带GPSI。
步骤304,UDM发起UE参数更新过程,具体的,向AMF发送用户数据管理通知(Nudm_SDM_Notification),其中携带重注册指示信息和应用密钥更新指示信息。
可选的,用户数据管理通知中可包括回送指示,用于指示UE需要回送确认消息(ACK)。
步骤305,AMF向UE发送下行非接入层传输消息(DL NAS TRANSPORT),其中包含从UDM接收的透明容器。UE验证UDM的更新数据,如果对UDM的更新数据的安全性检查成功,则UE可根据更新数据更新应用密钥;如果安全性检查失败,则UE丢弃更新数据的内容。
步骤306,若UE已确认更新数据,且UDM已要求UE向UDM发送ACK,则UE向AMF发送上行非接入层传输消息(UL NAS TRANSPORT),其中携带包括ACK的透明容器。
步骤307,UE修改ngKSI为无效,即,将ngKSI修改为7,如果UE不需要回送ACK,则可在回到空闲态后,根据重注册指示,携带ngKSI向网络发起重注册过程。
如果UE需要回送ACK,则可在步骤309后,并在UE收到应用会话建立失败的消息后,携带ngKSI向网络发起重注册过程。
步骤308,如果AMF收到的上行非接入层传输消息中携带了ACK,则AMF向UDM发送用户数据管理响应消息(Nudm_SDM_Info),其中携带包括ACK的透明容器。
步骤309,UDM(或UDM通过NEF)向AF回送应用密钥更新响应消息(Nudm_APPKey_Update Response)。
AF收到应用密钥更新响应消息后,向UE发送应用会话建立失败消息。需要说明的是,在重注册流程后会产生新的KAKMA’、A-KID’以及KAF’。在完成重新注册后,UE可使用A-KID’重新发起应用会话建立请求。
可以理解的是,如果用户数据管理通知中不包括回送指示,步骤306、步骤308可以省略。
在本申请实施例中,还提供一种密钥更新方法,该方法可应用于第二网元,第二网元为用于存储用户签约数据的网元,例如UDM。
图5为一实施例提供的另一种密钥更新方法的流程图,如图5所示,本实施例提供的方法包括步骤410和步骤420。
在步骤410中,接收第一网元根据用户标识发送的应用密钥更新请求。
本实施例中,UE向第一网元发起会话建立请求,其中携带密钥标识A-KID,第一网元可根据A-KID查询对应的应用密钥KAF。在KAF无效的情况下,第一网元向第二网元发送应用密钥更新请求,其中携带用户标识,用于标识请求建立应用会话的UE。第二网元接收到应用密钥更新请求后,指示相应的UE更新KAF。其中,用户标识可以为SUPI或者GPSI。
在步骤420中,根据所述应用密钥更新请求发送更新应用密钥的指示信息。
本实施例中,更新应用密钥的指示信息用于指示相应UE更新KAF,具体可以通过AMF指示相应UE更新KAF
本实施例的密钥更新方法,在应用密钥无效的情况下,根据第一网元的应用密钥更新请求指示UE更新KAF,从而保证应用会话的安全性和服务可靠性。
在一实施例中,根据应用密钥更新请求发送更新应用密钥的指示信息,包括:根据应用密钥更新请求向AMF网元发送用户数据管理通知,并通过AMF网元向用户设备发送下行非接入层传输消息。
本实施例中,第二网元指示UE更新KAF,具体可通过AMF指示。发送更新应用密钥的指示信息,可以指第二网元向AMF发送用户数据管理通知,用户数据管理通知中可以携带第一网元生成的密钥更新参数RANDAF,从而指示UE根据密钥更新参数更新KAF,也可以携带重注册指示信息和应用密钥更新指示信息,从而指示UE发起重注册流程,并获得新的A-KID’和KAF’。此外,用户数据管理通知中还可以携带需要UE返回确认信息的回送指示。
在一实施例中,应用密钥更新请求包括第一网元生成的密钥更新参数;用户数据管理通知包括密钥更新参数;下行非接入层传输消息用于指示用户设备根据密钥更新参数更新应用密钥。
本实施例中,第一网元生成用于更新应用密钥的密钥更新参数RANDAF,并携带在应用密钥更新请求中,在此基础上,第二网元可以通过用户数据管理通知,将密钥更新参数通知给AMF,AMF通过下行非接入层传输消息,将密钥更新参数通知给UE,供UE基于密钥更新参数更新KAF(参见图3步骤203至206),从而保证UE与第一网元的应用密钥一致。
在一实施例中,用户数据管理通知还包括确认信息的回送指示;该方法还包括:
步骤4310:接收AMF发送的用户数据管理响应消息,其中,用户数据管理响应消息由AMF在接收到用户设备的上行非接入层传输消息后发送,上行非接入层传输消息包括用户设备回送的确认信息;
步骤4320:向第一网元发送应用密钥更新响应消息,应用密钥更新响应消息用于指示第一网元基于密钥更新参数确定更新的应用密钥。
本实施例中,用户数据管理通知还包括回送指示,在第二网元在通过AMF将密钥更新参数通知给UE后,UE一方面利用密钥更新参数更新KAF,另一方面可通过上行非接入层传输消息向AMF回送确认信息,然后AMF可向第二网元发送用户数据管理响应消息,第二网元在接收到用户数据管理响应消息后,可向第一网元发送应用密钥更新响应消息,以指示第一网元利用密钥更新参数更新KAF(参见图3步骤207至211)。
在一实施例中,用户数据管理通知包括重注册指示信息和应用密钥更新指示信息;下行非接入层传输消息用于指示用户设备发起重注册流程并获得更新的应用密钥。
本实施例中,用户数据管理通知包括重注册指示信息和应用密钥更新指示信息,重注册指示信息用于指示UE发起重注册流程,在重注册流程中会产生新的KAKMA’、A-KID’以及KAF’,应用密钥更新指示信息用于指示UE获取KAF’,在此基础上,UE可利用新的A-KID重新发起应用会话建立请求。具体的,第二网元可以通过用户数据管理通知,将重注册指示信息和应用密钥更新指示信息发送给AMF,AMF通过下行非接入层传输消息,将重注册指示信息和应用密钥更新指示信息发送给UE,指示UE发起重注册流程并获取更新的应用密钥(参见图4步骤304至305),从而保证UE与第一网元的应用密钥一致。
本实施例中,UE在发起重注册流程之前,可以将密钥集标识(ngKSI)设置为指定值,用于指示应用密钥无效或网络层密钥无效。
在一实施例中,用户数据管理通知还包括确认信息的回送指示;该方法还包括:
步骤4410:接收AMF发送的用户数据管理响应消息,其中,用户数据管理响应消息由AMF在接收到用户设备的上行非接入层传输消息后发送,上行非接入层传输消息包括确认信息;
步骤4420:向第一网元发送应用密钥更新响应消息,应用密钥更新响应消息用于指示第一网元向用户设备回送会话建立失败消息,并接收用户设备重发的会话建立请求。
本实施例中,用户数据管理通知还包括回送指示,在第二网元在通过AMF将重注册指示信息和应用密钥更新指示信息发送给UE后,UE一方面发起重注册流程以获取更新的应用密钥,另一方面可通过上行非接入层传输消息向AMF回送确认信息,然后AMF可向第二网元发送用户数据管理响应消息,第二网元在接收到用户数据管理响应消息后,可向第一网元发送应用密钥更新响应消息,以通知第一网元UE已确认发起重注册流程(参见图4步骤306至309)。
在本申请实施例中,还提供一种密钥更新方法,该方法可应用于用户设备。图6为一实施例提供的又一种密钥更新方法的流程图,如图6所示,本实施例提供的方法包括步骤510和步骤520。
在步骤510中,接收更新应用密钥的指示信息。
在步骤520中,根据所述指示信息更新无效的应用密钥。
本实施例中,UE可以根据更新应用密钥的指示信息更新无效的应用密钥,更新的应用密钥可为应用会话的安全性和服务可靠性提供保证。其中,更新应用密钥的指示信息可以是第二网元通过AMF发给UE的,其中可以携带第一网元生成的密钥更新参数RANDAF,UE根据密钥更新参数更新KAF,也可以携带重注册指示信息和应用密钥更新指示信息,UE据此发起重注册流程,并获得新的应用密钥。此外,指示信息中还可以携带需要UE返回确认信息的回送指示。
在一实施例中,接收更新应用密钥的指示信息,包括:接收AMF网元发送的下行非接入层传输消息,其中,下行非接入层传输消息由AMF根据第二网元的用户数据管理通知发送。
在一实施例中,下行非接入层传输消息包括第一网元生成的密钥更新参数;
步骤520,根据指示信息更新无效的应用密钥,包括:
通过密钥产生函数,对密钥更新参数和无效的应用密钥进行运算,得到更新的应用密钥。
本实施例中,第一网元生成用于更新应用密钥的密钥更新参数RANDAF,并携带在应用密钥更新请求中,在此基础上,第二网元可以通过用户数据管理通知,将密钥更新参数通知给AMF,AMF通过下行非接入层传输消息,将密钥更新参数通知给UE,在此基础上,UE基于密钥更新参数更新KAF(参见图3步骤203至206),具体可以利用基于KAKMA生成KAF的密钥产生函数KDF,对无效的KAF和RANDAF进行运算,得到更新的KAF’。从而保证UE与第一网元的应用密钥一致。
在一实施例中,下行非接入层传输消息包括重注册指示信息和应用密钥更新指示信息;
下行非接入层传输消息用于指示用户设备发起重注册流程并获得更新的应用密钥。
本实施例中,用户数据管理通知包括重注册指示信息和应用密钥更新指示信息,重注册指示信息用于指示UE发起重注册流程,在重注册流程中会产生新的KAKMA’、A-KID’以及KAF’,应用密钥更新指示信息用于指示UE获取KAF’,在此基础上,UE可利用新的A-KID重新发起应用会话建立请求。具体的,第二网元可以通过用户数据管理通知,将重注册指示信息和应用密钥更新指示信息发送给AMF,AMF通过下行非接入层传输消息,将重注册指示信息和应用密钥更新指示信息发送给UE,指示UE发起重注册流程并获取更新的KAF(参见图4步骤304至305),从而保证UE与第一网元的应用密钥一致。
在一实施例中,下行非接入层传输消息还包括确认信息的回送指示;该方法还包括:步骤512:向AMF网元发送上行非接入层传输消息,上行非接入层传输消息包括用户设备回送的确认信息。
本实施例中,如果第二网元发给AMF的用户数据管理通知中包含回送指示,则UE向AMF网元发送的上行非接入层传输消息中包含确认信息(ACK)。
在一实施例中,根据指示信息更新无效的应用密钥,包括:
步骤5210:将密钥集标识设置为指定值,指定值用于指示应用密钥无效或网络层密钥无效,其中,网络层密钥包括中间密钥或者非接入层密钥;
步骤5220:在处于空闲态的情况下,根据密钥集标识发起重注册流程并获得更新的应用密钥。
本实施例中,UE将密钥集标识ngSKI设置为指定值7,表示应用密钥KAF无效或者网络层密钥(中间密钥KAUSF或者非接入层密钥)无效;在用户数据管理通知中不包含回送指示的情况下,UE不需要回送确认信息,可以在空闲态根据密钥集标识发起重注册流程并获得更新的应用密钥。
在一实施例中,根据指示信息更新无效的应用密钥,包括:
步骤5230:将密钥集标识设置为指定值,指定值用于指示网络密钥无效或网络层密钥无效,其中,网络层密钥包括中间密钥或者非接入层密钥;
步骤5240:在接收到第一网元回送的会话建立失败消息的情况下,根据密钥集标识发起重注册流程并获得更新的应用密钥。
本实施例中,UE将密钥集标识ngSKI设置为指定值7,表示应用密钥KAF无效或者网络层密钥(中间密钥KAUSF或者非接入层密钥)无效;在用户数据管理通知中包含回送指示的情况下,UE需要回送确认信息,具体可以通过上行非接入层传输消息向AMF发送ACK,AMF向第二网元发送用户数据管理响应消息,第二网元向第一网元发送应用密钥更新响应消息(参见图4中步骤306至309),第一网元确认UE准备发起重注册流程后,可向UE发送会话建立失败的消息,然后UE可根据密钥集标识发起重注册流程并获得更新的应用密钥。
本申请实施例还提供一种密钥更新装置。图7为一实施例提供的一种密钥更新装置的结构示意图。如图7所示,所述密钥更新装置包括:
请求模块610,设置为在会话建立请求中携带的密钥标识对应的应用密钥无效的情况下,根据用户标识向第二网元发送应用密钥更新请求;
密钥确定模块620,设置为根据所述应用密钥更新请求关联的消息确定更新的应用密钥。
本实施例的密钥更新装置,在应用密钥无效的情况下,可以向第二网元请求获取更新的应用密钥,并根据应用密钥更新请求关联的消息确定更新的应用密钥,从而保证应用会话的安全性和服务可靠性。
在一实施例中,该装置还包括:
生成模块,设置为生成密钥更新参数,所述密钥更新参数携带在所述应用密钥更新请求中。
在一实施例中,所述应用密钥更新请求关联的消息包括所述第二网元发送的应用密钥更新响应消息;
密钥确定模块620,具体设置为:
在接收到所述第二网元发送的应用密钥更新响应消息的情况下,基于所述密钥更新参数确定更新的应用密钥。
在一实施例中,密钥确定模块620,具体设置为:
基于密钥产生函数,对所述密钥更新参数和无效的应用密钥进行运算,得到所述更新的应用密钥。
在一实施例中,该装置还包括:
配置模块,设置为配置所述更新的应用密钥的有效期。
在一实施例中,密钥更新参数为基于哈希函数生成的随机数。
在一实施例中,请求模块610,具体设置为:在所述第一网元位于运营商网络之外的情况下,通过网络开放功能NEF网元向所述第二网元发送所述应用密钥更新请求。
在一实施例中,应用密钥更新请求关联的消息包括用户设备重发的会话建立请求消息;
密钥确定模块620,具体设置为:根据所述重发的会话建立请求消息查询所述更新的应用密钥。
在一实施例中,该装置还包括:失败消息发送模块,设置为在接收到所述第二网元发送的应用密钥更新响应消息的情况下,向用户设备发送会话建立失败的消息。
本实施例提出的密钥更新装置与上述实施例提出的密钥更新方法属于同一发明构思,未在本实施例中详尽描述的技术细节可参见上述任意实施例,并且本实施例具备与执行密钥更新方法相同的有益效果。
本申请实施例还提供一种密钥更新装置。图8为一实施例提供的另一种密钥更新装置的结构示意图。如图8所示,所述密钥更新装置包括:
请求接收模块710,设置为接收第一网元根据用户标识发送的应用密钥更新请求;
指示模块720,设置为根据所述应用密钥更新请求发送更新应用密钥的指示信息。
本实施例的密钥更新装置,在应用密钥无效的情况下,根据第一网元的应用密钥更新请求指示UE更新KAF,从而保证应用会话的安全性和服务可靠性。
在一实施例中,指示模块720具体设置为:根据所述应用密钥更新请求向接入管理功能AMF网元发送用户数据管理通知,并通过所述AMF网元向所述用户设备发送下行非接入层传输消息。
在一实施例中,应用密钥更新请求包括所述第一网元生成的密钥更新参数;所述用户数据管理通知包括所述密钥更新参数;所述下行非接入层传输消息用于指示所述用户设备根据所述密钥更新参数更新所述应用密钥。
在一实施例中,用户数据管理通知还包括确认信息的回送指示;
该装置还包括:
第一接收模块,设置为接收所述AMF发送的用户数据管理响应消息,其中,所述用户数据管理响应消息由所述AMF在接收到所述用户设备的上行非接入层传输消息后发送,所述上行非接入层传输消息包括所述用户设备回送的确认信息;
第一发送模块,设置为向所述第一网元发送应用密钥更新响应消息,所述应用密钥更新响应消息用于指示所述第一网元基于所述密钥更新参数确定更新的应用密钥。
在一实施例中,用户数据管理通知包括重注册指示信息和应用密钥更新指示信息;
所述下行非接入层传输消息用于指示所述用户设备发起重注册流程并获得更新的应用密钥。
在一实施例中,用户数据管理通知还包括确认信息的回送指示;该装置还包括:
第二接收模块,设置为接收所述AMF发送的用户数据管理响应消息,其中,所述用户数据管理响应消息由所述AMF在接收到所述用户设备的上行非接入层传输消息后发送,所述上行非接入层传输消息包括确认信息;
第二发送模块,设置为向所述第一网元发送应用密钥更新响应消息,所述应用密钥更新响应消息用于指示所述第一网元向所述用户设备回送会话建立失败消息,并接收所述用户设备重发的会话建立请求。
本实施例提出的密钥更新装置与上述实施例提出的密钥更新方法属于同一发明构思,未在本实施例中详尽描述的技术细节可参见上述任意实施例,并且本实施例具备与执行密钥更新方法相同的有益效果。
本申请实施例还提供一种密钥更新装置。图9为一实施例提供的又一种密钥更新装置的结构示意图。如图9所示,所述密钥更新装置包括:
指示接收模块810,设置为接收更新应用密钥的指示信息;
更新模块820,设置为根据所述指示信息更新无效的应用密钥。
本实施例的密钥更新装置,可以根据更新应用密钥的指示信息更新无效的应用密钥,更新的应用密钥可为应用会话的安全性和服务可靠性提供保证。
在一实施例中,指示接收模块810,具体设置为:接收AMF网元发送的下行非接入层传输消息,其中,所述下行非接入层传输消息由所述AMF根据第二网元的用户数据管理通知发送。
在一实施例中,所述下行非接入层传输消息包括所述第一网元生成的密钥更新参数;
更新模块820,具体设置为:通过密钥产生函数,对所述密钥更新参数和所述无效的应用密钥进行运算,得到更新的应用密钥。
在一实施例中,下行非接入层传输消息包括重注册指示信息和应用密钥更新指示信息;
所述下行非接入层传输消息用于指示所述用户设备发起重注册流程并获得更新的应用密钥。
在一实施例中,下行非接入层传输消息还包括确认信息的回送指示;该装置还包括:
确认模块,设置为向所述AMF网元发送上行非接入层传输消息,所述上行非接入层传输消息包括所述用户设备回送的确认信息。
在一实施例中,更新模块820,包括:
第一设置模块,设置为将密钥集标识设置为指定值,所述指定值用于指示应用密钥无效或网络层密钥无效,其中,所述网络层密钥包括协商中间密钥或者非接入层密钥;
第一重注册模块,设置为在处于空闲态的情况下,根据所述密钥集标识发起重注册流程并获得更新的应用密钥。
在一实施例中,更新模块820,包括:
第二设置模块,设置为将密钥集标识设置为指定值,所述指定值用于指示网络密钥无效或网络层密钥无效,其中,所述网络层密钥包括协商中间密钥或者非接入层密钥;
第二重注册模块,设置为在接收到第一网元回送的会话建立失败消息的情况下,根据所述密钥集标识发起重注册流程并获得更新的应用密钥。
本实施例提出的密钥更新装置与上述实施例提出的密钥更新方法属于同一发明构思,未在本实施例中详尽描述的技术细节可参见上述任意实施例,并且本实施例具备与执行密钥更新方法相同的有益效果。
本申请实施例还提供了一种网元,图10为一实施例提供的一种网元的硬件结构示意图,如图10所示,本申请提供的网元,包括存储器902、处理器901以及存储在存储器上并可在处理器上运行的计算机程序,处理器901执行所述程序时实现上述应用于第一网元或应用于第二网元的密钥更新方法。
网元还可以包括存储器902;该网元中的处理器901可以是一个或多个,图10中以一个处理器901为例;存储器902用于存储一个或多个程序;所述一个或多个程序被所述一个或多个处理器901执行,使得所述一个或多个处理器901实现如本申请实施例中所述的应用于第一网元或应用于第二网元的密钥更新方法。
网元还包括:通信装置903、输入装置904和输出装置905。
网元中的处理器901、存储器902、通信装置903、输入装置904和输出装置905可以通过总线或其他方式连接,图10中以通过总线连接为例。
输入装置904可用于接收输入的数字或字符信息,以及产生与网元的用户设置以及功能控制有关的按键信号输入。输出装置905可包括显示屏等显示设备。
通信装置903可以包括接收器和发送器。通信装置903设置为根据处理器901的控制进行信息收发通信。
存储器902作为一种计算机可读存储介质,可设置为存储软件程序、计算机可执行程序以及模块,如本申请实施例所述密钥更新方法对应的程序指令/模块(例如,密钥更新装置中的请求模块610和密钥确定模块620)。存储器902可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据网元的使用所创建的数据等。此外,存储器902可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器902可进一步包括相对于处理器901远程设置的存储器,这些远程存储器可以通过网络连接至网元。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例还提供了一种用户设备,图11为一实施例提供的一种用户设备的硬件结构示意图,如图11所示,本申请提供的用户设备,包括存储器912、处理器911以及存储在存储器上并可在处理器上运行的计算机程序,处理器911执行所述程序时实现上述应用于用户设备的密钥更新方法。
用户设备还可以包括存储器912;该用户设备中的处理器911可以是一个或多个,图11中以一个处理器911为例;存储器912用于存储一个或多个程序;所述一个或多个程序被所述一个或多个处理器911执行,使得所述一个或多个处理器911实现如本申请实施例中应用于用户设备的密钥更新方法。
用户设备还包括:通信装置913、输入装置914和输出装置915。
用户设备中的处理器911、存储器912、通信装置913、输入装置914和输出装置915可以通过总线或其他方式连接,图11中以通过总线连接为例。
输入装置914可用于接收输入的数字或字符信息,以及产生与用户设备的用户设置以及功能控制有关的按键信号输入。输出装置915可包括显示屏等显示设备。
通信装置913可以包括接收器和发送器。通信装置913设置为根据处理器911的控制进行信息收发通信。
存储器912作为一种计算机可读存储介质,可设置为存储软件程序、计算机可执行程序以及模块,如本申请实施例所述密钥更新方法对应的程序指令/模块(例如,密钥更新装置中的指示接收模块810和更新模块820)。存储器912可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据用户设备的使用所创建的数据等。此外,存储器912可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器912可进一步包括相对于处理器911远程设置的存储器,这些远程存储器可以通过网络连接至用户设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例还提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本申请实施例中任一所述的密钥更新方法。该方法,包括:在会话建立请求中携带的密钥标识对应的应用密钥无效的情况下,根据用户标识向第二网元发送应用密钥更新请求;根据所述应用密钥更新请求关联的消息确定更新的应用密钥。
或者,该方法包括:接收第一网元根据用户标识发送的应用密钥更新请求;根据所述应用密钥更新请求发送更新应用密钥的指示信息。
或者,该方法包括:接收更新应用密钥的指示信息;根据所述指示信息更新无效的应用密钥。
本申请实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是,但不限于:电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read Only Memory,ROM)、可擦式可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、闪存、光纤、便携式CD-ROM、光存储器件、磁存储器件、或者上述的任意合适的组合。计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于:电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、无线电频率(Radio Frequency,RF)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
以上所述,仅为本申请的示例性实施例而已,并非用于限定本申请的保护范围。
本领域内的技术人员应明白,术语用户终端涵盖任何适合类型的无线用户设备,例如移动电话、便携数据处理装置、便携网络浏览器或车载移动台。
一般来说,本申请的多种实施例可以在硬件或专用电路、软件、逻辑或其任何组合中实现。例如,一些方面可以被实现在硬件中,而其它方面可以被实现在可以被控制器、微处理器或其它计算装置执行的固件或软件中,尽管本申请不限于此。
本申请的实施例可以通过移动装置的数据处理器执行计算机程序指令来实现,例如在处理器实体中,或者通过硬件,或者通过软件和硬件的组合。计算机程序指令可以是汇编指令、指令集架构(Instruction Set Architecture,ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码。
本申请附图中的任何逻辑流程的框图可以表示程序步骤,或者可以表示相互连接的逻辑电路、模块和功能,或者可以表示程序步骤与逻辑电路、模块和功能的组合。计算机程序可以存储在存储器上。存储器可以具有任何适合于本地技术环境的类型并且可以使用任何适合的数据存储技术实现,例如但不限于只读存储器(Read-Only Memory,ROM)、随机访问存储器(Random Access Memory,RAM)、光存储器装置和系统(数码多功能光碟(Digital Video Disc,DVD)或光盘(Compact Disk,CD)等。计算机可读介质可以包括非瞬时性存储介质。数据处理器可以是任何适合于本地技术环境的类型,例如但不限于通用计算机、专用计算机、微处理器、数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑器件(Field-Programmable Gate Array,FGPA)以及基于多核处理器架构的处理器。
通过示范性和非限制性的示例,上文已提供了对本申请的示范实施例的详细描述。但结合附图和权利要求来考虑,对以上实施例的多种修改和调整对本领域技术人员来说是显而易见的,但不偏离本申请的范围。因此,本申请的恰当范围将根据权利要求确定。

Claims (25)

1.一种密钥更新方法,应用于第一网元,其特征在于,包括:
在会话建立请求中携带的密钥标识对应的应用密钥无效的情况下,根据用户标识向第二网元发送应用密钥更新请求;
根据所述应用密钥更新请求关联的消息确定更新的应用密钥。
2.根据权利要求1所述的方法,其特征在于,还包括:
生成密钥更新参数,所述密钥更新参数携带在所述应用密钥更新请求中。
3.根据权利要求2所述的方法,其特征在于,所述应用密钥更新请求关联的消息包括所述第二网元发送的应用密钥更新响应消息;
所述根据所述应用密钥更新请求关联的消息确定更新的应用密钥,包括:
在接收到所述第二网元发送的应用密钥更新响应消息的情况下,基于所述密钥更新参数确定更新的应用密钥。
4.根据权利要求3所述的方法,其特征在于,所述基于所述密钥更新参数确定更新的应用密钥,包括:
基于密钥产生函数,对所述密钥更新参数和无效的应用密钥进行运算,得到所述更新的应用密钥。
5.根据权利要求2所述的方法,其特征在于,还包括:配置所述更新的应用密钥的有效期。
6.根据权利要求2所述的方法,其特征在于,所述密钥更新参数为基于哈希函数生成的随机数。
7.根据权利要求2所述的方法,其特征在于,所述根据用户标识向第二网元发送应用密钥更新请求,包括:
在所述第一网元位于运营商网络之外的情况下,通过网络开放功能NEF网元向所述第二网元发送所述应用密钥更新请求。
8.根据权利要求1所述的方法,其特征在于,所述应用密钥更新请求关联的消息包括用户设备重发的会话建立请求消息;
所述根据所述应用密钥更新请求关联的消息确定更新的应用密钥,包括:
根据所述重发的会话建立请求消息查询所述更新的应用密钥。
9.根据权利要求8所述的方法,其特征在于,还包括:
在接收到所述第二网元发送的应用密钥更新响应消息的情况下,向用户设备发送会话建立失败的消息。
10.一种密钥更新方法,应用于第二网元,其特征在于,包括:
接收第一网元根据用户标识发送的应用密钥更新请求;
根据所述应用密钥更新请求发送更新应用密钥的指示信息。
11.根据权利要求10所述的方法,其特征在于,所述根据所述应用密钥更新请求发送更新应用密钥的指示信息,包括:
根据所述应用密钥更新请求向接入管理功能AMF网元发送用户数据管理通知,并通过所述AMF网元向所述用户设备发送下行非接入层传输消息。
12.根据权利要求11所述的方法,其特征在于,所述应用密钥更新请求包括所述第一网元生成的密钥更新参数;
所述用户数据管理通知包括所述密钥更新参数;
所述下行非接入层传输消息用于指示所述用户设备根据所述密钥更新参数更新所述应用密钥。
13.根据权利要求12所述的方法,其特征在于,所述用户数据管理通知还包括确认信息的回送指示;
所述方法还包括:
接收所述AMF发送的用户数据管理响应消息,其中,所述用户数据管理响应消息由所述AMF在接收到所述用户设备的上行非接入层传输消息后发送,所述上行非接入层传输消息包括所述用户设备回送的确认信息;
向所述第一网元发送应用密钥更新响应消息,所述应用密钥更新响应消息用于指示所述第一网元基于所述密钥更新参数确定更新的应用密钥。
14.根据权利要求11所述的方法,其特征在于,所述用户数据管理通知包括重注册指示信息和应用密钥更新指示信息;
所述下行非接入层传输消息用于指示所述用户设备发起重注册流程并获得更新的应用密钥。
15.根据权利要求14所述的方法,其特征在于,所述用户数据管理通知还包括确认信息的回送指示;
所述方法还包括:
接收所述AMF发送的用户数据管理响应消息,其中,所述用户数据管理响应消息由所述AMF在接收到所述用户设备的上行非接入层传输消息后发送,所述上行非接入层传输消息包括确认信息;
向所述第一网元发送应用密钥更新响应消息,所述应用密钥更新响应消息用于指示所述第一网元向所述用户设备回送会话建立失败消息,并接收所述用户设备重发的会话建立请求。
16.一种密钥更新方法,应用于用户设备,其特征在于,包括:
接收更新应用密钥的指示信息;
根据所述指示信息更新无效的应用密钥。
17.根据权利要求16所述的方法,其特征在于,所述接收更新应用密钥的指示信息,包括:
接收AMF网元发送的下行非接入层传输消息,其中,所述下行非接入层传输消息由所述AMF根据第二网元的用户数据管理通知发送。
18.根据权利要求17所述的方法,其特征在于,所述下行非接入层传输消息包括第一网元生成的密钥更新参数;
根据所述指示信息更新无效的应用密钥,包括:
通过密钥产生函数,对所述密钥更新参数和所述无效的应用密钥进行运算,得到更新的应用密钥。
19.根据权利要求17所述的方法,其特征在于,所述下行非接入层传输消息包括重注册指示信息和应用密钥更新指示信息;
所述下行非接入层传输消息用于指示所述用户设备发起重注册流程并获得更新的应用密钥。
20.根据权利要求18或19所述的方法,其特征在于,所述下行非接入层传输消息还包括确认信息的回送指示;
所述方法还包括:
向所述AMF网元发送上行非接入层传输消息,所述上行非接入层传输消息包括所述用户设备回送的确认信息。
21.根据权利要求19所述的方法,其特征在于,根据所述指示信息更新无效的应用密钥,包括:
将密钥集标识设置为指定值,所述指定值用于指示应用密钥无效或网络层密钥无效,其中,所述网络层密钥包括中间密钥或者非接入层密钥;
在处于空闲态的情况下,根据所述密钥集标识发起重注册流程并获得更新的应用密钥。
22.根据权利要求19所述的方法,其特征在于,根据所述指示信息更新无效的应用密钥,包括:
将密钥集标识设置为指定值,所述指定值用于指示网络密钥无效或网络层密钥无效,其中,所述网络层密钥包括中间密钥或者非接入层密钥;
在接收到第一网元回送的会话建立失败消息的情况下,根据所述密钥集标识发起重注册流程并获得更新的应用密钥。
23.一种网元,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-9中任一项所述的密钥更新方法或如权利要求10-15中任一项所述的密钥更新方法。
24.一种用户设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求16-22中任一项所述的密钥更新方法。
25.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-22中任一所述的密钥更新方法。
CN202110949003.XA 2021-08-18 2021-08-18 密钥更新方法、网元、用户设备及存储介质 Pending CN115915124A (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN202110949003.XA CN115915124A (zh) 2021-08-18 2021-08-18 密钥更新方法、网元、用户设备及存储介质
EP22857263.2A EP4391613A1 (en) 2021-08-18 2022-03-23 Key update method, network element, user equipment, and storage medium
JP2024506211A JP2024528153A (ja) 2021-08-18 2022-03-23 鍵更新方法、ネットワーク要素、ユーザ機器、及び記憶媒体
PCT/CN2022/082520 WO2023019944A1 (zh) 2021-08-18 2022-03-23 密钥更新方法、网元、用户设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110949003.XA CN115915124A (zh) 2021-08-18 2021-08-18 密钥更新方法、网元、用户设备及存储介质

Publications (1)

Publication Number Publication Date
CN115915124A true CN115915124A (zh) 2023-04-04

Family

ID=85239999

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110949003.XA Pending CN115915124A (zh) 2021-08-18 2021-08-18 密钥更新方法、网元、用户设备及存储介质

Country Status (4)

Country Link
EP (1) EP4391613A1 (zh)
JP (1) JP2024528153A (zh)
CN (1) CN115915124A (zh)
WO (1) WO2023019944A1 (zh)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109819439B (zh) * 2017-11-19 2020-11-17 华为技术有限公司 密钥更新的方法及相关实体
CN110830996B (zh) * 2018-08-08 2022-04-19 大唐移动通信设备有限公司 一种密钥更新方法、网络设备及终端
CN113016202A (zh) * 2018-11-02 2021-06-22 苹果公司 5g系统中的初始非接入层协议消息的保护
US11019491B2 (en) * 2019-05-09 2021-05-25 Samsung Electronics Co., Ltd. Apparatus and method for providing mobile edge computing services in wireless communication system
CN114846764A (zh) * 2020-01-16 2022-08-02 中兴通讯股份有限公司 为与服务应用的加密通信更新通信网络中锚密钥的方法、设备和系统
CN113163402B (zh) * 2020-01-23 2022-10-28 华为技术有限公司 一种通信方法、装置及系统
JP2023515428A (ja) * 2020-02-20 2023-04-13 テレフオンアクチーボラゲット エルエム エリクソン(パブル) アプリケーションのための認証および鍵管理のための鍵材料生成最適化
CN112512043A (zh) * 2020-10-22 2021-03-16 中兴通讯股份有限公司 一种会话请求方法、装置、终端及存储介质

Also Published As

Publication number Publication date
WO2023019944A1 (zh) 2023-02-23
JP2024528153A (ja) 2024-07-26
EP4391613A1 (en) 2024-06-26

Similar Documents

Publication Publication Date Title
US11743718B2 (en) Security context handling in 5G during connected mode
CN112449315B (zh) 一种网络切片的管理方法及相关装置
EP3737032B1 (en) Key updating method and apparatus
CN113163402B (zh) 一种通信方法、装置及系统
WO2015029945A1 (ja) 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置
US20230422032A1 (en) Session request method and apparatus, terminal, and storage medium
CN113676901B (zh) 密钥管理方法、设备及系统
EP4271015A1 (en) Registration method and apparatus, authentication method and apparatus, routing indicator determining method and apparatus, entity, and terminal
CN113541925A (zh) 通信系统、方法及装置
CN113727341A (zh) 安全通信方法、相关装置及系统
CN109936444B (zh) 一种密钥生成方法及装置
CN110167191B (zh) 一种通信方法及装置
KR20230079179A (ko) 무선 네트워크에서 보안 키 동기화를 처리하기 위한 방법, 단말, 및 네트워크 개체
CN115915124A (zh) 密钥更新方法、网元、用户设备及存储介质
CN110830996B (zh) 一种密钥更新方法、网络设备及终端
CN115865316A (zh) 应用密钥删除方法、密钥锚定节点、服务器、系统及介质
WO2018137671A1 (zh) 认证方法、基站、用户设备、核心网及系统、装置及存储介质
CN115706663A (zh) 更新方法、网络侧设备、终端和计算机可读存储介质
OA19349A (en) Security context handling in 5G during connected mode
CN116965003A (zh) 基于路由信息的网络安全

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination