CN115942305A - 一种会话建立方法和相关装置 - Google Patents
一种会话建立方法和相关装置 Download PDFInfo
- Publication number
- CN115942305A CN115942305A CN202110905128.2A CN202110905128A CN115942305A CN 115942305 A CN115942305 A CN 115942305A CN 202110905128 A CN202110905128 A CN 202110905128A CN 115942305 A CN115942305 A CN 115942305A
- Authority
- CN
- China
- Prior art keywords
- key
- session establishment
- akma
- layer
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
Abstract
本申请实施例公开了一种会话建立方法和相关装置,该方法包括:用户设备UE向应用功能AF网元发送携带第一密钥标识的第一会话建立请求,并接收来自AF网元的对于第一会话建立请求的第一会话建立响应;在第一会话建立响应指示第一会话建立失败的情况下,UE获取第二密钥标识,并比较第一密钥标识与第二密钥标识;在第一密钥标识与第二密钥标识不同的情况下,UE向AF网元发送携带第二密钥标识的第二会话建立请求,以建立第二会话;这样,便可以避免第一密钥标识与第二密钥标识相同,而导致第二会话建立再次失败的情况,以防止造成额外的信令开销。
Description
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种会话建立方法和相关装置。
背景技术
目前,3GPP定义了基于签约凭证的应用的认证和密钥管理(authentication andkey management for application,AKMA)架构和流程。
在AKMA机制中,UE根据AF发送的AKMA发起消息或配置发起AKMA的应用会话建立请求,以使得AF向网络发起获取应用密钥流程。在UE发起的应用会话建立请求失败时,UE可以重新发起新的应用会话建立请求。若UE发起的应用会话建立失败,就重新发起新的建立流程,会造成额外的信令开销。
发明内容
本申请实施例提供了一种会话建立方法和相关装置,该方法能够避免会话建立多次失败的情况,以防止造成额外的信令开销。
本申请实施例第一方面提供了一种会话建立方法,包括:用户设备UE向应用功能AF网元发送第一会话建立请求,第一会话建立请求携带第一密钥标识,第一密钥标识用于标识UE的应用的认证和密钥管理AKMA锚点密钥Kakma;UE接收来自AF网元的对于第一会话建立请求的第一会话建立响应;在第一会话建立响应指示第一会话建立失败的情况下,UE获取第二密钥标识,具体可以理解为UE的上层从底层获取第二密钥标识;在第一密钥标识与第二密钥标识不同的情况下,UE向AF网元发送第二会话建立请求,以请求建立与AF之间的第二会话,其中,第二会话建立请求中携带第二密钥标识。
第一会话建立失败,可能是UE和网络侧的上下文不同步导致的,即应用的认证和密钥管理锚点功能中不存在与第一密钥标识对应的Kakma,但可能存在与第二密钥标识对应的Kakma,因此,在第一密钥标识与第二密钥标识不同的情况下,UE向AF网元发送携带第二密钥标识的第二会话建立请求,可能成功建立与AF之间的第二会话,从而避免第二会话建立请求携带与第一密钥标识相同的第二密钥标识,而导致第二会话建立再次失败的情况,防止第二会话建立再次失败带来额外的信令开销。
作为一种可实现的方式,方法还包括:UE将第一密钥标识存储在第一层的上下文中,第一层是应用层;相应地,UE从第一层的上下文中获取第一密钥标识;由于第一层的上下文通常存储在第一层的存储空间中,因此也可以说是UE将第一密钥标识存储在第一层的存储空间中;相应地,UE可以从第一层的存储空间中获取第一密钥标识;另外,第一密钥标识用于建立第一会话,所以认为是UE将第一密钥标识存储在第一会话的上下文中,而第一会话的上下文可以是第一层的上下文的一部分;相应地,UE可以从第一会话的上下文中获取第一密钥标识;其中,UE存储第一密钥标识的操作一般在发送第一会话请求之前进行。
UE将第一密钥标识存储在第一层的上下文中,方便在第一会话建立失败的情况下获取第一密钥标识并比较第一密钥标识与第二密钥标识确定是否不同。
作为一种可实现的方式,UE获取第二密钥标识包括:UE从第二层的上下文获取第二密钥标识,第二层为应用层的下层,例如,第二层可以为非接入(NAS)层;具体地,UE从第二层的上下文获取第二密钥标识,也可以理解为,UE从第二层的存储空间中获取第二密钥标识。
UE从第二层的上下文获取第二密钥标识,从而可以比较第一密钥标识与第二密钥标识,以在第一密钥标识与第二密钥标识不同的情况下发送第二会话建立请求。
作为一种可实现的方式,方法还包括:第一会话建立响应携带第一密钥标识,相应地,UE便可以从第一会话建立响应中获取第一密钥标识。
第一会话建立响应携带第一密钥标识,使得UE可以从第一会话建立响应中获取第一密钥标识,而不需要预先存储第一密钥标识,省去存储的操作,并且可以节省存储空间。
作为一种可实现的方式,方法还包括:在第一密钥标识与第二密钥标识相同的情况下,UE停止与AF网元间的会话建立。
可以理解的是,第一会话建立失败,可能是应用的认证和密钥管理锚点功能中不存在与第一密钥标识对应的Kakma,所以在第一密钥标识与第二密钥标识相同的情况下,若仍发送携带第二密钥标识的第二会话建立请求,则可能导致会话建立再次失败;因此,UE停止与AF网元间的会话建立,能够避免会话建立再次失败而产生额外的信令开销的问题。其中UE停止与AF网元的会话建立可以理解为UE不再发起AKMA服务的流程与AF建立会话。
作为一种可实现的方式,方法还包括:在第一密钥标识与第二密钥标识相同的情况下,UE向AF网元发送第三会话建立请求,第三会话建立请求指示不支持应用的认证和密钥管理AKMA服务,具体可以理解为指示UE不支持AKMA服务;需要说明的是,第三会话建立请求可以通过多种方式指示UE不支持AKMA服务,例如,第三会话建立请求携带指示UE不支持AKMA服务的指示信息,该指示信息可以是位于消息头中的一位或多位二进制(例如01);再例如,第三会话建立请求不携带指示支持AKMA服务的指示信息,该指示信息也可以是位于消息头中的一位或多位二进制(例如00)。
第一会话建立失败的原因可能是UE未与签约AKMA服务,即UE不支持AKMA服务,为了使得UE快速接入AF,UE可以通过其他方式建立与AF之间的会话;所以,第三会话建立请求指示UE不支持AKMA服务,使得AF与UE通过其他方式建立会话,以避免仍通过AKMA服务建立会话而导致会话建立再次失败。
作为一种可实现的方式,方法还包括:UE的第一层从UE的第二层获取AKMA锚点密钥和第一密钥标识,第一层是应用层,第二层为应用层的下层;UE的第一层根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
由于UE的第一层从UE的第二层获取AKMA锚点密钥,所以UE的第一层可以自行选择推演AKMA应用密钥的时间。
作为一种可实现的方式,方法还包括:UE的第一层从UE的第二层获取AKMA应用密钥和第一密钥标识,第一层是应用层,第二层为应用层的下层。
AKMA应用密钥是从UE的第二层获取,这样,UE的第一层可以不从UE的第二层获取AKMA锚点密钥,以防止在获取过程中,恶意程序获取AKMA锚点密钥而根据AKMA锚点密钥推演其他应用的密钥的情况。作为一种可实现的方式,方法还包括:UE的第一层向UE的第二层发送第一信息请求,其中,第一信息请求用于获取AKMA锚点密钥和第一密钥标识,第一层是应用层;响应于第一信息请求,UE的第二层向UE的第一层发送AKMA锚点密钥和第一密钥标识,第二层为应用层的下层;UE的第一层根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
在该实施例中,通过一个第一信息请求即可获取到AKMA锚点密钥和第一密钥标识,可以减少信令开销。
作为一种可实现的方式,方法还包括:UE的第一层向UE的第二层发送第二信息请求,其中,第二信息请求用于获取AKMA应用密钥和第一密钥标识,第二信息请求携带AF网元的标识,第一层是应用层;响应于第二信息请求,UE的第二层根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥;UE的第二层向UE的第一层发送AKMA应用密钥和第一密钥标识。
在该实施例中,通过一个第一信息请求即可获取到AKMA应用密钥和第一密钥标识,可以减少信令开销;并且,AKMA应用密钥是由UE的第二层推演得到,所以UE的第二层不需要向UE的第一层发送AKMA锚点密钥,以防止恶意程序获取AKMA锚点密钥而根据AKMA锚点密钥推演其他应用的密钥的情况。
作为一种可实现的方式,方法还包括:UE的第一层向UE的第二层发送第三信息请求,其中,第三信息请求用于获取第一密钥标识,第一层是应用层;响应于第三信息请求,UE的第二层向UE的第一层发送第一密钥标识,第二层为应用层的下层;UE的第一层向UE的第二层发送第四信息请求;
响应于第四信息请求,UE的第二层向UE的第一层发送AKMA锚点密钥,其中,第四信息请求用于获取AKMA锚点密钥;UE的第一层根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
由于发送会话请求只需要密钥标识,AKMA锚点密钥是用于推演AKMA应用密钥的,AKMA应用密钥是用于会话建立成功后的数据传输,所以若会话建立失败则不需要AKMA应用密钥,那也不需要获取AKMA锚点密钥;而在该实施例中,由于AKMA锚点密钥和第一密钥标识是通过两个信息请求分开获取的,那么,AKMA锚点密钥的获取操作可以在第一会话建立成功执行;而若第一会话建立失败,则不执行AKMA锚点密钥的获取操作,从而避免第一会话建立失败但又获取AKMA锚点密钥的情况。
作为一种可实现的方式,方法还包括:UE的第一层向UE的第二层发送第五信息请求,其中,第五信息请求用于获取第一密钥标识,第一层是应用层;响应于第五信息请求,UE的第二层向UE的第一层发送第一密钥标识,第二层为应用层的下层;UE的第一层向UE的第二层发送第六信息请求,第六信息请求携带AF网元的标识,其中,第六信息请求用于获取AKMA应用密钥;响应于第六信息请求,UE的第二层根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥;UE的第二层向UE的第一层发送AKMA应用密钥和第一密钥标识。
由于发送会话请求只需要密钥标识,AKMA应用密钥是用于会话建立成功后的数据传输,所以若会话建立失败则不需要获取AKMA应用密钥;而在该实施例中,由于AKMA锚点密钥和第一密钥标识是通过两个信息请求分开获取的,那么,AKMA应用密钥的获取操作可以在第一会话建立成功执行;而若第一会话建立失败,则不执行AKMA应用密钥的获取操作,从而避免第一会话建立失败但又获取AKMA应用密钥的情况。
并且,AKMA应用密钥是由UE的第二层推演得到,所以UE的第二层不需要向UE的第一层发送AKMA锚点密钥,以防止恶意程序获取AKMA锚点密钥而根据AKMA锚点密钥获取其他应用的密钥情况。
本申请实施例第二方面提供了一种会话建立方法,包括:应用功能AF网元接收来自于用户设备UE的第一会话建立请求,第一会话建立请求携带第一密钥标识;在网络侧不存在与第一密钥标识对应的AKMA锚点密钥的情况下,AF网元向UE发送第一会话建立响应,第一会话建立响应指示第一会话建立失败,且携带第一密钥标识。
第一会话建立响应携带第一密钥标识,使得UE可以从第一会话建立响应中获取第一密钥标识,而不需要预先存储第一密钥标识,省去存储的操作,并且可以节省存储空间。
作为一种可实现的方式,方法还包括:AF网元向应用的认证和密钥管理锚点功能网元发送应用密钥获取请求,应用密钥获取请求携带第一密钥标识;AF网元接收应用的认证和密钥管理锚点功能网元发送的应用密钥获取响应,应用密钥获取响应指示获取密钥失败。
AF网元在接收第一会话建立请求后,可以在本地寻找是否存在与第一密钥表示关联的上下文,若不存在与第一密钥表示关联的上下文,则可以确定无法建立第一会话;而该实现方式提供了AF确定无法建立第一会话另外一种方式,即从AAnF网元中获取该第一密钥标识,若密钥获取失败,则确定无法建立第一会话,尤其适用于AF中不存在与第一密钥表示关联的上下文的场景。
作为一种可实现的方式,方法还包括:应用密钥获取响应中携带第一密钥标识。
应用密钥获取响应中携带第一密钥标识,使得AF网元在与第一会话建立请求对应的第一回话建立响应中携带第一密钥标识;这样,UE便可以与获取的第二密钥标识比较,从而判断UE是否再次发起与AF网元之间的会话建立。
作为一种可实现的方式,AF网元接收来自于用户设备UE的第二会话建立请求,第二会话建立请求中携带第二密钥标识。
本申请实施例第三方面提供了一种会话建立方法,包括:统一数据管理UDM网元根据用户设备UE的应用的认证和密钥管理AKMA的签约信息,确定UE支持AKMA服务,其中,签约信息可以是在主鉴权流程前存入UDM网元的,也可以是在主鉴权流程后存入UDM网元的;UDM网元向接入和移动性管理功能AMF网元发送第一数据传输消息,第一数据传输消息包括第一指示信息,第一指示信息指示UE支持AKMA服务,第一指示信息用于确定支持通过AKMA服务建立UE与应用功能AF网元之间的会话。其中UE支持AKMA服务,可以理解为UE支持使用AKMA服务,或者UE授权使用AKMA服务,或者UE签约AKMA服务。
若UE支持AKMA服务,UDM网元向AMF网元发送第一指示信息,使得AMF网元将第一指示信息传递至UE,这样,UE便可以感知到自身是否支持AKMA服务,以避免由于无法感知自身是否支持AKMA服务,而在不支持AKMA服务的情况下发起会话建立请求,进而导致额外的信令开销的问题。
作为一种可实现的方式,方法还包括:UDM网元从AUSF网元获取第一验证数据,第一验证数据用于验证第一指示信息的完整性,具体地,UDM网元可以向AUSF网元发送请求消息,以指示AUSF网元计算第一验证数据,并接收AUSF网元返回的第一验证数据;第一数据传输消息中还携带第一验证数据,使得AMF网元可以将该第一验证数据发送至UE。
UDM网元从AUSF网元获取第一验证数据,并将该第一验证数据发送至AMF网元,这样,UE便可以根据该第一验证数据验证第一指示信息的完整性。
作为一种可实现的方式,方法还包括:UDM网元从认证服务功能AUSF网元获取第二验证数据,第二验证数据用于确定UE成功接收到第一指示信息,第二验证数据的获取过程与第一验证数据的获取过程类似,具体可参照上述实施例中第一验证数据的获取过程进行理解;UDM网元接收来AMF网元的第三验证数据,第三验证数据是UE生成的,且用于确定UE成功接收到第一指示信息;在第二验证数据和第三验证数据一致的情况下,UDM网元确定UE成功接收到第一指示信息。
UDM网元从认证服务功能AUSF网元获取第二验证数据,并接收来AMF网元的第三验证数据,若第二验证数据和第三验证数据一致,便可以确定UE成功接收到第一指示信息。
本申请实施例第四方面提供了一种会话建立方法,包括:移动性管理功能AMF网元接收来自统一数据管理UDM网元的第一数据传输消息,第一数据传输消息包括第一指示信息,第一指示信息指示UE支持AKMA服务,第一指示信息用于确定通过AKMA服务建立UE与应用功能AF网元之间的会话;AMF网元向UE发送第二数据传输消息,第二数据传输消息中携带第一指示信息。
AMF网元接收第一指示信息,并将第一指示信息传递至UE,这样,UE便可以感知到自身是否支持AKMA服务,以避免由于无法感知自身是否支持AKMA服务,而在不支持AKMA服务的情况下发起会话建立请求,进而导致额外的信令开销的问题。
作为一种可实现的方式,第一数据传输消息中还携带第一验证数据,第一验证数据用于验证第一指示信息的完整性;第二数据传输消息中还携带第一验证数据。
AMF网元接收第一验证数据,并将第一验证数据递至UE,这样,UE便可以根据该第一验证数据验证第一指示信息的完整性。
作为一种可实现的方式,方法还包括:AMF网元接收来自UE的第三验证数据,第三验证数据用于确定UE成功接收到第一指示信息;AMF网元向UDM网元发送第三验证数据。
AMF网元接收第三验证数据,并将第三验证数据递至UDM网元,这样,UDM网元便可以根据该第三验证数据确定UE成功接收到第一指示信息。
本申请实施例第五方面提供了一种会话建立方法,包括:用户设备UE接收来自接入和移动性管理功能AMF网元的第二数据传输消息,第二数据传输消息中携带第一指示信息;在第一指示信息指示UE支持AKMA服务的情况下,UE推演第一密钥标识,第一密钥标识用于建立UE和应用功能AF网元间的会话。
在第一指示信息指示UE支持AKMA服务的情况下,UE才推演第一密钥标识,这样,UE才能发送携带第一密钥标识的第一会话建立请求;若第一指示信息指示UE不支持AKMA服务,或UE未接收到指示UE支持AKMA服务的第一指示信息,则UE就不会进行推演;相应地,UE也不会得到第一密钥标识,那就无法发送携带第一密钥标识的第一会话建立请求,从而可以避免由于UE不支持AKMA服务而造成多次会话建立失败的情况。
作为一种可实现的方式,UE包括全球用户身份模块USIM和移动设备ME,其中,移动设备ME可以理解为未插USIM的终端设备;在第一指示信息指示UE支持AKMA服务的情况下,UE推演第一密钥标识包括:在第一指示信息指示UE支持AKMA服务的情况下,USIM向ME发送目标指令,目标指令包含AKMA密钥素材,其中,目标指令可以直接指示ME推演第一密钥标识,目标指令也可以通过携带第一指示信息而指示ME推演第一密钥标识;AKMA密钥素材可以理解为用于推演第一密钥标识和AKMA锚点密钥所需的参数,例如,AKMA密钥素材可以包括SUPI;响应于目标指令,ME根据AKMA密钥素材推演第一密钥标识。
在第一指示信息指示UE支持AKMA服务的情况下,USIM才会向ME发送目标指令,以指示ME推演第一密钥标识;否则,USIM不会向ME发送目标指令,这样ME就不会推演第一密钥标识,相应地,UE也不会得到第一密钥标识,那就无法发送携带第一密钥标识的第一会话建立请求,从而可以避免由于UE不支持AKMA服务而造成多次会话建立失败的情况。
作为一种可实现的方式,UE包括全球用户身份模块USIM和移动设备ME;在第一指示信息指示UE支持AKMA服务的情况下,UE推演第一密钥标识包括:ME向USIM发送第七信息请求,第七信息请求用于请求AKMA密钥素材,其中,AKMA密钥素材可以理解为用于推演第一密钥标识和AKMA锚点密钥所需的参数,例如,AKMA密钥素材可以包括SUPI;在第一指示信息指示UE支持AKMA服务的情况下,响应于第七信息请求,USIM向ME发送AKMA密钥素材;ME根据AKMA密钥素材推演第一密钥标识。
在第一指示信息指示UE支持AKMA服务的情况下,若接收到了用于请求AKMA密钥素材的第七信息请求,USIM才会向ME发送第一指示信息,以指示ME推演第一密钥标识;否则,若UE不支持AKMA服务,即使接收到了用于请求AKMA密钥素材的第七信息请求,USIM也不会向ME发送AKMA密钥素材,这样ME就不会根据AKMA密钥素材推演第一密钥标识,相应地,UE也不会得到第一密钥标识,那就无法发送携带第一密钥标识的第一会话建立请求,从而可以避免由于UE不支持AKMA服务而造成多次会话建立失败的情况。
作为一种可实现的方式,第二数据传输消息中还携带第一验证数据,第一验证数据用于验证第一指示信息的完整性;方法还包括:UE生成用于验证第一指示信息的完整性的第四验证数据;在第一验证数据和第四验证数据一致的情况下,UE确定第一指示信息的完整性。
UE生成用于验证第一指示信息的完整性的第四验证数据,并比较第一验证数据和第四验证数据,从而可以在第一验证数据和第四验证数据一致的情况下,确定第一指示信息的完整性。
作为一种可实现的方式,方法还包括:UE生成第三验证数据,第三验证数据用于确定UE成功接收到第一指示信息;UE向AMF网元第三验证数据。
UE向AMF网元第三验证数据,使得AMF网元将第三验证数据递至UDM网元,这样,UDM网元便可以根据该第三验证数据确定UE成功接收到第一指示信息。
本申请实施例第六方面提供了一种用户设备,包括:收发单元,用于向应用功能AF网元发送第一会话建立请求,第一会话建立请求携带第一密钥标识;收发单元,用于接收来自AF网元的对于第一会话建立请求的第一会话建立响应;处理单元,用于在第一会话建立响应指示第一会话建立失败的情况下,获取第二密钥标识;收发单元,用于在第一密钥标识与第二密钥标识不同的情况下,向AF网元发送第二会话建立请求,第二会话建立请求中携带第二密钥标识。
作为一种可实现的方式,处理单元,还用于将第一密钥标识存储在第一层的上下文中,第一层是应用层;从第一层的上下文中获取第一密钥标识。
作为一种可实现的方式,处理单元,还用于从第二层的上下文获取第二密钥标识,第二层为应用层的下层。
作为一种可实现的方式,第一会话建立响应携带第一密钥标识。
作为一种可实现的方式,处理单元,还用于在第一密钥标识与第二密钥标识相同的情况下,停止与AF网元间的会话建立。
作为一种可实现的方式,收发单元,还用于在第一密钥标识与第二密钥标识相同的情况下,向AF网元发送第三会话建立请求,第三会话建立请求指示不支持AKMA服务。
作为一种可实现的方式,处理单元包括第一子单元和第二子单元,第一子单元属于第一层,第一层是应用层;第二子单元属于第二层,第二层为应用层的下层。
第一子单元用于从第二子单元获取AKMA锚点密钥和第一密钥标识;第一子单元根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
作为一种可实现的方式,处理单元包括第一子单元和第二子单元,第一子单元属于第一层,第一层是应用层;第二子单元属于第二层,第二层为应用层的下层。
第一子单元用于从第二子单元获取AKMA应用密钥和第一密钥标识。
作为一种可实现的方式,处理单元包括第一子单元和第二子单元,第一子单元属于第一层,第一层是应用层;第二子单元属于第二层,第二层为应用层的下层。
第一子单元用于向第二子单元发送第一信息请求;第二子单元用于响应于第一信息请求,向第一子单元发送AKMA锚点密钥和第一密钥标识;第一子单元用于根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
作为一种可实现的方式,处理单元包括第一子单元和第二子单元,第一子单元属于第一层,第一层是应用层;第二子单元属于第二层,第二层为应用层的下层。
第一子单元用于向第二子单元发送第二信息请求,第二信息请求携带AF网元的标识;第二子单元用于响应于第二信息请求,根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥;第二子单元用于向第一子单元发送AKMA应用密钥和第一密钥标识。
作为一种可实现的方式,处理单元包括第一子单元和第二子单元,第一子单元属于第一层,第一层是应用层;第二子单元属于第二层,第二层为应用层的下层。
第一子单元用于向第二子单元发送第三信息请求;第二子单元用于响应于第三信息请求,向第一子单元发送第一密钥标识;第一子单元用于向第二子单元发送第四信息请求;第二子单元用于响应于第四信息请求,向第一子单元发送AKMA锚点密钥;第一子单元用于根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
作为一种可实现的方式,处理单元包括第一子单元和第二子单元,第一子单元属于第一层,第一层是应用层;第二子单元属于第二层,第二层为应用层的下层。
第一子单元用于向第二子单元发送第五信息请求;响应于第五信息请求,第二子单元用于向第一子单元发送第一密钥标识;第一子单元用于向第二子单元发送第六信息请求,第六信息请求携带AF网元的标识;第二子单元用于响应于第六信息请求,根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥;第二子单元用于向第一子单元发送AKMA应用密钥和第一密钥标识。
其中,以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例第一方面的描述。
本申请实施例第七方面提供了一种通信装置,包括:收发单元,用于接收来自于用户设备UE的第一会话建立请求,第一会话建立请求携带第一密钥标识;收发单元,用于在网络侧不存在与第一密钥标识对应的AKMA锚点密钥的情况下,向UE发送第一会话建立响应,第一会话建立响应指示第一会话建立失败,且携带第一密钥标识,还用于接收来自于用户设备UE的第二会话建立请求,第二会话建立请求中携带第二密钥标识。
作为一种可实现的方式,收发单元,还用于向应用的认证和密钥管理锚点功能网元发送应用密钥获取请求,应用密钥获取请求携带第一密钥标识;接收应用的认证和密钥管理锚点功能网元发送的应用密钥获取响应,应用密钥获取响应指示获取密钥失败。
作为一种可实现的方式,应用密钥获取响应中携带第一密钥标识。
作为一种可实现的方式,收发单元,还用于接收来自于UE的第二会话建立请求,第二会话建立请求中携带第二密钥标识。
其中,以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例第二方面的描述。
本申请实施例第八方面提供了一种通信装置,包括:处理单元,用于根据用户设备UE的密钥管理AKMA的签约信息,确定UE支持AKMA服务;收发单元,用于向接入和移动性管理功能AMF网元发送第一数据传输消息,第一数据传输消息包括第一指示信息,
第一指示信息指示UE支持AKMA服务,第一指示信息用于确定通过AKMA服务建立UE与应用功能AF网元之间的会话。
示UE支持AKMA服务作为一种可实现的方式,收发单元,还用于从AUSF网元获取第一验证数据,第一验证数据用于验证第一指示信息的完整性;相应地,第一数据传输消息中还携带第一验证数据。
作为一种可实现的方式,收发单元,还用于从认证服务功能AUSF网元获取第二验证数据,第二验证数据用于确定UE成功接收到第一指示信息;接收来AMF网元的第三验证数据,第三验证数据是UE生成的,且用于确定UE成功接收到第一指示信息;处理单元,还用于在第二验证数据和第三验证数据一致的情况下,确定UE成功接收到第一指示信息。
其中,以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例第三方面的描述。
本申请实施例第九方面提供了一种通信装置,包括:收发单元,用于接收来自统一数据管理UDM网元的第一数据传输消息,第一数据传输消息包括第一指示信息,第一指示信息指示UE支持AKMA服务,第一指示信息用于确定通过AKMA服务建立UE与应用功能AF网元之间的会话;收发单元,用于向UE发送第二数据传输消息,第二数据传输消息中携带第一指示信息。
作为一种可实现的方式,第一数据传输消息中还携带第一验证数据,第一验证数据用于验证第一指示信息的完整性;第二数据传输消息中还携带第一验证数据。
作为一种可实现的方式,收发单元,还用于接收来自UE的第三验证数据,第三验证数据用于确定UE成功接收到第一指示信息;向UDM网元发送第三验证数据。
其中,以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例第四方面的描述。
本申请实施例第十方面提供了一种用户设备,包括:第一收发单元,用于接收来自接入和移动性管理功能AMF网元的第二数据传输消息,第二数据传输消息中携带第一指示信息;处理单元,用于在第一指示信息指示UE支持AKMA服务的情况下,推演第一密钥标识,第一密钥标识用于建立UE和应用功能AF网元间的会话。
作为一种可实现的方式,UE包括全球用户身份模块USIM和移动设备ME,USIM包括第二收发单元,ME包括第三收发单元;第二收发单元在第一指示信息指示UE支持AKMA服务的情况下,第二收发单元用于向ME发送目标指令,目标指令包含AKMA密钥素材;响应于目标指令,处理单元用于根据AKMA密钥素材推演第一密钥标识。
作为一种可实现的方式,UE包括全球用户身份模块USIM和移动设备ME,USIM包括第二收发单元,ME包括第三收发单元;第三收发单元,用于向USIM发送第七信息请求,第七信息请求用于请求AKMA密钥素材;第二收发单元用于,在第一指示信息指示UE支持AKMA服务的情况下,响应于第七信息请求,USIM向ME发送AKMA密钥素材;处理单元,用于根据AKMA密钥素材推演第一密钥标识。
作为一种可实现的方式,第二数据传输消息中还携带第一验证数据,第一验证数据用于验证第一指示信息的完整性;处理单元还用于,生成用于验证第一指示信息的完整性的第四验证数据;在第一验证数据和第四验证数据一致的情况下,确定第一指示信息的完整性。
作为一种可实现的方式,处理单元还用于,生成第三验证数据,第三验证数据用于确定UE成功接收到第一指示信息;第一收发单元,还用于向AMF网元第三验证数据。
其中,以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例第五方面的描述。
本申请实施例第十一方面提供一种用户设备,通信装置包括:处理器、存储器以及与处理器连接的收发器。存储器中存储有计算机程序或计算机指令,处理器还用于调用并运行存储器中存储的计算机程序或计算机指令,使得处理器实现如第一方面或第五方面中的任意一种实现方式。
本申请实施例第十二方面提供一种通信装置,通信装置包括:处理器、存储器以及与处理器连接的收发器。存储器中存储有计算机程序或计算机指令,处理器还用于调用并运行存储器中存储的计算机程序或计算机指令,使得处理器实现如第二方面至第四方面中的任意一种实现方式。
本申请实施例第十三方面提供一种包括计算机指令的计算机程序产品,其特征在于,当其在计算机上运行时,使得计算机执行如第一方面至第五方面中的任意一种实现方式。
本申请实施例第十四方面提供一种计算机可读存储介质,包括计算机指令,当计算机指令在计算机上运行时,使得计算机执行如第一方面至第五方面中的任意一种实现方式。
本申请实施例第十五方面提供一种通信装置,通信装置包括网络设备、终端设备或芯片等实体,通信装置包括处理器,用于调用存储器中的计算机程序或计算机指令,以使得处理器执行如第一方面至第五方面中的任意一种实现方式。
可选的,处理器通过接口与存储器耦合。
本申请实施例第十六方面提供一种通信系统,通信系统包括第六方面的用户设备和/或第七方面的通信装置;或包括第八方面的通信装置、第九方面的通信装置和/或第十方面的用户设备。
作为一种可实现的方式,通信系统包括第七方面的通信装置,通信系统还包括认证和密钥管理锚点功能AAnF网元;第七方面的通信装置还用于从AAnF网元中查找是否存在与第一密钥标识对应的AKMA锚点密钥。
作为一种可实现的方式,通信系统还包括网络开放功能NEF网元;第七方面的通信装置还用于通过NEF网元,从AAnF网元中查找是否存在与第一密钥标识对应的AKMA锚点密钥。
本申请实施例第十七方面还提供一种处理器,用于执行上述各种方法。在执行这些方法的过程中,上述方法中有关发送上述信息和接收上述信息的过程,可以理解为由处理器输出上述信息的过程,以及处理器接收输入的上述信息的过程。在输出上述信息时,处理器将该上述信息输出给收发器,以便由收发器进行发射。该上述信息在由处理器输出之后,还可能需要进行其他的处理,然后才到达收发器。类似的,处理器接收输入的上述信息时,收发器接收该上述信息,并将其输入处理器。更进一步的,在收发器收到该上述信息之后,该上述信息可能需要进行其他的处理,然后才输入处理器。
对于处理器所涉及的发射、发送和接收等操作,如果没有特殊说明,或者,如果未与其在相关描述中的实际作用或者内在逻辑相抵触,则均可以更加一般性的理解为处理器输出和接收、输入等操作,而不是直接由射频电路和天线所进行的发射、发送和接收操作。
在实现过程中,上述处理器可以是专门用于执行这些方法的处理器,也可以是执行存储器中的计算机指令来执行这些方法的处理器,例如通用处理器。上述存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
本申请实施例第十八方面提供了一种芯片系统,该芯片系统包括处理器和接口,所述接口用于获取程序或指令,所述处理器用于调用所述程序或指令以实现或者支持网络设备实现第一、第二、第三、第四和/或第五方面所涉及的功能,例如,确定或处理上述方法中所涉及的数据和信息中的至少一种。
在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存网络设备必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
附图说明
图1a为一种通信系统的网络架构示意图;
图1(b)为AKMA流程涉及的网络架构示意图;
图2为本申请实施例中通信装置的硬件结构示意图;
图3为UE通过转发的接入流程示意图;
图4为UE和AF间的会话建立过程的流程示意图;
图5为本申请实施例提供的会话建立方法的第一实施例示意图;
图6为UE获取第一A-KID和AKMA应用密钥的第一实施例示意图;
图7为UE获取第一A-KID和AKMA应用密钥的第二实施例示意图;
图8为UE获取第一A-KID和AKMA应用密钥的第三实施例示意图;
图9为UE获取第一A-KID和AKMA应用密钥的第四实施例示意图;
图10(a)为本申请实施例提供的会话建立方法的第二实施例示意图;
图10(b)为本申请实施例提供的会话建立方法的第三实施例示意图;
图11为UE推演第一A-KID的实施例示意图;
图12为本申请实施例提供的用户设备的一个实施例的结构示意图;
图13为本申请实施例提供的通信装置的一个实施例的结构示意图;
图14为本申请实施例提供的通信装置的一个实施例的结构示意图;
图15为本申请实施例提供的通信装置的一个实施例的结构示意图;
图16为本申请实施例提供的用户设备的另一个实施例的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、第二”以及相应术语标号等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
在本申请的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;本申请中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,在本申请的描述中,“至少一项”是指一项或者多项,“多项”是指两项或两项以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
本申请实施例的技术方案可以应用于各种通信系统,例如:宽带码分多址(Wideband Code Division Multiple Access,WCDMA)系统,通用分组无线业务(generalpacket radio service,GPRS),长期演进(Long Term Evolution,LTE)系统,LTE频分双工(frequency division duplex,FDD)系统,LTE时分双工(time division duplex,TDD),通用移动通信系统(universal mobile telecommunication system,UMTS),全球互联微波接入(worldwide interoperability for microwave access,WiMAX)通信系统,第五代(5thgeneration,5G)系统或NR以及未来的第六代通信系统等。
各种通信系统中由运营者运营的部分可称为运营商网络。运营商网络也可称为公用陆地移动网(public land mobile network,PLMN)网络,是由政府或政府所批准的经营者,以为公众提供陆地移动通信业务为目的而建立和经营的网络,主要是移动网络运营商(mobile network operator,MNO)为用户提供移动宽带接入服务的公共网络。本申请实施例中所描述的运营商网络或PLMN网络,可以为符合第三代合作伙伴项目(3rd generationpartnership project,3GPP)标准要求的网络,简称3GPP网络。通常3GPP网络由运营商来运营,包括但不限于第五代移动通信(5th-generation,5G)网络(简称5G网络),第四代移动通信(4th-generation,4G)网络(简称4G网络)或第三代移动通信技术(3rd-generation,3G)网络(简称3G网络)。还包括未来的6G网络。为了方便描述,本申请实施例中将以运营商网络(如移动网络运营商(mobile network operator,MNO)网络)为例进行说明。
为了便于理解本申请实施例,以图1a所示的5G网络架构为例对本申请使用的应用场景进行说明,可以理解的是对其他通信网络与5G网络架构相似,因此不做赘述。请参阅图1a,图1a为一种通信系统的网络架构示意图,所述网络架构中可以包括:用户设备110(userequipment,UE),运营商网络部分和数据网络(data network,DN)部分。
本申请实施例中所涉及的UE110作为一种具有无线收发功能的设备,可以经(无线)接入网((radio)access network,(R)AN)140中的接入网设备与一个或多个核心网(core network,CN)进行通信。UE110也可称为接入终端,终端,用户单元,用户站,移动站,移动台,远方站,远程终端,用户终端,无线网络设备,用户代理或用户装置等。UE110可以部署在陆地上,包括室内或室外,手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机,气球和卫星上等)。UE110可以是蜂窝电话(cellular phone),无绳电话,会话启动协议(session initiation protocol,SIP)电话,智能电话(smart phone),手机(mobile phone),无线本地环路(wireless local loop,WLL)站,个人数字处理(personaldigital assistant,PDA),可以是具有无线通信功能的手持设备,计算设备或连接到无线调制解调器的其它设备,车载设备,可穿戴设备,无人机设备或物联网,车联网中的终端,第五代移动通信(fifth generation,5G)网络以及未来网络中的任意形态的终端,中继用户设备或者未来演进的公用陆地移动通信网络(public land mobile network,PLMN)中的终端等,其中,中继用户设备例如可以是5G家庭网关(residential gateway,RG)。例如UE110可以是虚拟现实(virtual reality,VR)终端,增强现实(augmented reality,AR)终端,工业控制(industrial control)中的无线终端,无人驾驶(self driving)中的无线终端,远程医疗(remote medical)中的无线终端,智能电网(smart grid)中的无线终端,运输安全(transportation safety)中的无线终端,智慧城市(smart city)中的无线终端,智慧家庭(smart home)中的无线终端等。本申请实施例对此并不限定。
运营商网络可以包括统一数据管理(unified data management,UDM)网元134,鉴权服务功能(authentication server function,AUSF)136,接入和移动性管理功能(access and mobility management function,AMF)137,会话管理功能(sessionmanagement function,SMF)138,用户面功能(user plane function,UPF)139以及(R)AN140等。上述运营商网络中,除(R)AN 140部分之外的其他部分可以称为核心网络(corenetwork,CN)部分或核心网部分。为方便说明,本申请实施例中以(R)AN 140为RAN为例进行说明。
数据网络DN 120,也可以称为协议数据网络(protocol data network,PDN),通常是位于运营商网络之外的网络,例如第三方网络。运营商网络可以接入多个数据网络DN120,数据网络DN 120上可部署多种业务,可为UE110提供数据和/或语音等服务。例如,数据网络DN 120可以是某智能工厂的私有网络,智能工厂安装在车间的传感器可以是UE110,数据网络DN 120中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,基于指令将采集的传感器数据传送给控制服务器等。又例如,数据网络DN 120可以是某公司的内部办公网络,该公司员工的手机或者电脑可为UE110,员工的手机或者电脑可以访问公司内部办公网络上的信息,数据资源等。
UE110可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接,使用运营商网络提供的数据和/或语音等服务。UE110还可通过运营商网络访问数据网络DN 120,使用数据网络DN 120上部署的运营商业务,和/或第三方提供的业务。其中,上述第三方可为运营商网络和UE110之外的服务方,可为UE110提供其他数据和/或语音等服务。其中,上述第三方的具体表现形式,具体可基于实际应用场景确定,在此不做限制。
下面对运营商网络中的网络功能进行简要介绍。
(R)AN 140可以看作是运营商网络的子网络,是运营商网络中业务节点与UE110之间的实施系统。UE110要接入运营商网络,首先是经过(R)AN 140,进而可通过(R)AN 140与运营商网络的业务节点连接。本申请实施例中的接入网设备(RAN设备),是一种为UE110提供无线通信功能的设备,也可以称为网络设备,RAN设备包括但不限于:5G系统中的下一代基站节点(next generation node base station,gNB),长期演进(long term evolution,LTE)中的演进型节点B(evolved node B,eNB),无线网络控制器(radio networkcontroller,RNC),节点B(node B,NB),基站控制器(base station controller,BSC),基站收发台(base transceiver station,BTS),家庭基站(例如,home evolved nodeB,或homenode B,HNB),基带单元(base band unit,BBU),传输点(transmitting and receivingpoint,TRP),发射点(transmitting point,TP),小基站设备(pico),移动交换中心,或者未来网络中的网络设备等。采用不同无线接入技术的系统中,具备接入网设备功能的设备的名称可能会有所不同。为方便描述,本申请所有实施例中,上述为UE110提供无线通信功能的装置统称为接入网设备或简称为RAN或AN。应理解,本文对接入网设备的具体类型不作限定。
接入与移动性管理功能AMF(也可以称为AMF网元,AMF网络功能或AMF网络功能实体)137是由运营商网络提供的控制面网络功能,负责UE110接入运营商网络的接入控制和移动性管理,例如包括移动状态管理,分配用户临时身份标识,认证和授权用户等功能。
会话管理功能SMF(也可以称为SMF网元,SMF网络功能或SMF网络功能实体)138是由运营商网络提供的控制面网络功能,负责管理UE110的协议数据单元(protocol dataunit,PDU)会话。PDU会话是一个用于传输PDU的通道,终端设备需要通过PDU会话与数据网络DN 120互相传送PDU。PDU会话由SMF网络功能138负责建立,维护和删除等。SMF网络功能138包括会话管理(如会话建立,修改和释放,包含用户面功能UPF 139和(R)AN140之间的隧道维护),UPF网络功能139的选择和控制,业务和会话连续性(service and sessioncontinuity,SSC)模式选择,漫游等会话相关的功能。
用户面功能UPF(也可以称为UPF网元,UPF网络功能或UPF网络功能实体)139是由运营商提供的网关,是运营商网络与数据网络DN 120通信的网关。UPF网络功能139包括数据包路由和传输,数据包检测,业务用量上报,服务质量(quality of service,QoS)处理,合法监听,上行数据包检测,下行数据包存储等用户面相关的功能。
统一数据管理网元UDM(也可以称为UDM网元,UDM网络功能或UDM网络功能实体)134是由运营商提供的控制面功能,负责存储运营商网络中签约用户的永久身份标识(subscriber permanent identifier,SUPI),签约用户的公开使用的签约标识(genericpublic subscription identifier,GPSI),信任状(credential)等信息。其中SUPI在传输过程中会先进行加密,加密后的SUPI被称为隐藏的用户签约标识符(subscriptionconcealed identifier,SUCI)。UDM 134所存储的这些信息可用于UE110接入运营商网络的认证和授权。其中,上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户,例如使用“中国电信”的手机芯卡的用户,或者使用“中国移动”的手机芯卡的用户等。上述签约用户的信任状可以是:该手机芯卡存储的长期密钥或者跟该手机芯卡加密相关的信息等存储的小文件,用于认证和/或授权。需要说明的是,永久标识符,信任状,安全上下文,认证数据(cookie),以及令牌等同验证/认证,授权相关的信息,在本申请实施例中,为了描述方便起见不做区分限制。
鉴权服务功能(authentication server function,AUSF)(也可以称为AUSF网元、AUSF网络功能或AUSF网络功能实体)136是由运营商提供的控制面功能,通常用于主认证,即UE110(签约用户)与运营商网络之间的认证。AUSF 136接收到签约用户发起的认证请求之后,可通过UDM网络功能134中存储的认证信息和/或授权信息对签约用户进行认证和/或授权,或者通过UDM网络功能134生成签约用户的认证和/或授权信息。AUSF网络功能136可向签约用户反馈认证信息和/或授权信息。在应用的认证和密钥管理(Authentication andkey management for Application,AKMA)场景中,会为应用的认证和密钥管理锚点功能(Authentication and key management for Application(AKMA)Anchor Function,AAnF)130生成AKMA锚点密钥Kakma(该密钥也称为AKMA根密钥),并且负责为应用功能(application Function,AF)135生成AF 135使用的应用密钥Kaf和Kaf的有效时间。
网络开放功能(Network Exposure Function,NEF)131,做为中间网元为外部应用功能(application Function,AF)135和核心网内部的认证和密钥管理锚点功能(Authentication and key management for Application(AKMA)Anchor Function,AAnF)130提供交互服务。
网络存储功能(Network Repository Function,NRF)132,用于进行网络功能(Network Function,NF)登记、管理,或状态检测,实现所有NF的自动化管理,每个NF启动时,必须要到NRF进行注册登记才能提供服务,登记信息包括NF类型、地址,或服务列表等。
策略控制实体(policy control function,PCF)133,PCF 133与AF 135交互获得服务质量(Quality of Service,Qos)参数,或者提供QoS参数给AF 135,进而实现一种可以影响应用程序数据传输的作用。
应用功能(application function,AF)135,AF 135与第三代合作伙伴计划(3rdGeneration Partnership Project,3GPP)核心网交互,用于提供应用层服务。比如:提供关于应用层数据路由,提供接入网络能力。AF 135可以与NEF 131交互,可以与PCF 133交互。在认证和密钥管理(Authentication and key management for Application,AKMA)场景中,AF135需要与AAnF 130交互,获得Kaf和Kaf的有效时间。AF 135的位置可以在5G核心网内部,此时,可以称AF135为运营商可信的AF;也可以在5G核心网外部,此时,可以称AF135为运营商不可信的AF。如果AF在5G核心网内部,那么他可以直接与PCF 133交互。如果AF 135在5G核心网外部,则NEF 131作为中间节点转发AF 135与PCF 133的交互内容。比如通过NEF转发。
认证和密钥管理AKMA锚点功能AAnF 130位于HPLMN(Home Public Land MobileNetwork,本地公共陆地移动网),AAnF 130会跟AUSF 136交互获得AKMA根密钥(Kakma),并且负责为AF 135生成AF 135使用的Kaf和Kaf的有效时间。
图1a中Nausf、Nudm、Namf、Nsmf、Nnrf、Nnef、Naanf、Naf、N1、N2、N3、N4,以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义,在此不做赘述。需要说明的是,图1a中仅以UE110为UE作出了示例性说明,图1a中的各个网络功能之间的接口名称也仅仅是一个示例,在具体实现中,该系统架构的接口名称还可能为其他名称,本申请实施例对此不做具体限定。
需要说明的是,对应不同的场景,上述网元的名称可能不同;例如,AMF网元在5G和6G中的名称不同
本申请提供的一种会话建立方法可以应用于各类通信系统中,例如,可以是物联网(internet of things,IoT)、窄带物联网(narrow band internet of things,NB-IoT)、长期演进(long term evolution,LTE),也可以是第五代(5G)通信系统,还可以是LTE与5G混合架构、也可以是5G新无线(new radio,NR)系统以及未来通信发展中出现的新的通信系统等。本申请的5G通信系统可以包括非独立组网(non-standalone,NSA)的5G通信系统、独立组网(standalone,SA)的5G通信系统中的至少一种。通信系统还可以是公共陆地移动网络(public land mobile network,PLMN)网络、设备到设备(device-to-device,D2D)网络、机器到机器(machine to machine,M2M)网络或者其他网络。
此外,本申请实施例还可以适用于面向未来的其他通信技术,例如6G等。本申请描述的网络架构以及业务场景是为了更加清楚的说明本申请的技术方案,并不构成对本申请提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请涉及的各个网络功能可能发生变更,本申请提供的技术方案对于类似的技术问题,同样适用。
基于上述5G网络架构,AKMA流程涉及的架构如图1(b)所示,UE与AF之间的接口为Ua*,在具体实现中,该接口名称还可能为其他名称,对此不做具体限定;需要说明的是,可参照图1(a)的相关说明对该架构中的网元进行理解。
图2为本申请实施例中通信装置的硬件结构示意图。该通信装置可以是本申请实施例中网络设备或终端设备的一种可能的实现方式。如图2所示,通信装置至少包括处理器204,存储器203,和收发器202,存储器203进一步用于存储指令2031和数据2032。可选的,该通信装置还可以包括天线206,I/O(输入/输出,Input/Output)接口210和总线212。收发器202进一步包括发射器2021和接收器2022。此外,处理器204,收发器202,存储器203和I/O接口210通过总线212彼此通信连接,天线206与收发器202相连。
处理器204可以是通用处理器,例如但不限于,中央处理器(Central ProcessingUnit,CPU),也可以是专用处理器,例如但不限于,数字信号处理器(Digital SignalProcessor,DSP),应用专用集成电路(Application Specific Integrated Circuit,ASIC)和现场可编程门阵列(Field Programmable Gate Array,FPGA)等。该处理器204还可以是神经网络处理单元(neural processing unit,NPU)。此外,处理器204还可以是多个处理器的组合。特别的,在本申请实施例提供的技术方案中,处理器204可以用于执行,后续方法实施例中密钥标识的生成方法的相关步骤。处理器204可以是专门设计用于执行上述步骤和/或操作的处理器,也可以是通过读取并执行存储器203中存储的指令2031来执行上述步骤和/或操作的处理器,处理器204在执行上述步骤和/或操作的过程中可能需要用到数据2032。
收发器202包括发射器2021和接收器2022,在一种可选的实现方式中,发射器2021用于通过天线206发送信号。接收器2022用于通过天线206之中的至少一根天线接收信号。特别的,在本申请实施例提供的技术方案中,发射器2021具体可以用于通过天线206之中的至少一根天线执行,例如,后续方法实施例中密钥标识的生成方法应用于网络设备或终端设备时,网络设备或终端设备中接收模块或发送模块所执行的操作。
在本申请实施例中,收发器202用于支持通信装置执行前述的接收功能和发送功能。将具有处理功能的处理器视为处理器204。接收器2022也可以称为输入口、接收电路等,发射器2021可以称为发射器或者发射电路等。
处理器204可用于执行该存储器203存储的指令,以控制收发器202接收消息和/或发送消息,完成本申请方法实施例中通信装置的功能。作为一种实现方式,收发器202的功能可以考虑通过收发电路或者收发的专用芯片实现。本申请实施例中,收发器202接收消息可以理解为收发器202输入消息,收发器202发送消息可以理解为收发器202输出消息。
存储器203可以是各种类型的存储介质,例如随机存取存储器(Random AccessMemory,RAM),只读存储器(Read Only Memory,ROM),非易失性RAM(Non-Volatile RAM,NVRAM),可编程ROM(Programmable ROM,PROM),可擦除PROM(Erasable PROM,EPROM),电可擦除PROM(Electrically Erasable PROM,EEPROM),闪存,光存储器和寄存器等。存储器203具体用于存储指令2031和数据2032,处理器204可以通过读取并执行存储器203中存储的指令2031,来执行本申请方法实施例中所述的步骤和/或操作,在执行本申请方法实施例中操作和/或步骤的过程中可能需要用到数据2032。
可选的,该通信装置还可以包括I/O接口210,该I/O接口210用于接收来自外围设备的指令和/或数据,以及向外围设备输出指令和/或数据。
下面,介绍本申请实施例涉及的一些技术。
(1)、AKMA。
为了便于理解,请参阅图3,图3为UE通过转发的接入流程示意图。以图3为例说明AKMA流程,具体的:
步骤301、UE与核心网之间进行主鉴权流程。
步骤301中,UE与核心网之间进行主鉴权(Primary authentication)流程。该主鉴权流程需要使用鉴权向量(authentication vector,AV),该鉴权向量用于主鉴权流程中传递主鉴权流程的验证参数。具体的,通过步骤302,AUSF获取该鉴权向量。
本申请实施例中,该主鉴权流程也称为鉴权流程,此处不作限制,具体可参见3GPP的TS33.501规范中定义的主鉴权流程。
步骤302、AUSF向UDM发送鉴权向量获取请求消息。
步骤302中,AUSF向UDM发送鉴权向量获取请求消息,该鉴权向量获取请求消息例如“Numd_UEAuthentication Get Request”。该鉴权向量获取请求消息用于向UDM请求鉴权向量。该鉴权向量获取请求消息中携带SUPI或SUCI。具体的,当AMF向AUSF发送的消息中携带SUPI时,该鉴权向量获取请求消息中携带SUPI;当AMF向AUSF发送的消息中携带SUCI时,该鉴权向量获取请求消息中携带SUCI。
SUCI可以理解为是SUPI的一种加密形式。SUCI的具体生成方法可以参考3GPP标准TS 33.501。概括地说,SUCI的密文部分是由全球用户身份模块(universal subscriberidentity module,USIM)或移动设备(mobile equipment,ME)对SUPI的部分或全部内容进行加密计算得到SUCI中的加密部分。
步骤303、AUSF接收UDM发送的鉴权向量获取响应消息。
步骤303中,UDM收到步骤302的鉴权向量获取请求消息后,UDM确定对应的鉴权向量。UDM向AUSF发送鉴权向量获取响应消息,该鉴权向量获取响应消息中携带鉴权向量。该鉴权向量获取响应消息例如:“Num_UEAuthentication_Get Response”。
可选的,UDM基于SUPI对应的签约信息判断该主鉴权流程对应的UE是否支持AKMA服务。当该UE支持AKMA服务,则该鉴权向量获取响应消息中携带AKMA服务指示信息和路由指示符(Routing InDicator,RID),该AKMA服务指示信息可以是“AKMA Indication”或“AKMA ID”,本申请实施例中不作限定。AKMA服务指示信息用于指示AUSF需要为这个UE生成AKMA锚点密钥Kakma和A-KID。也可以理解为:该AKMA服务指示信息用于指示该UE支持AKMA服务。当该UE不支持AKMA服务,则该鉴权向量获取请求消息中不携带AKMA服务指示信息和RID。
其中,UE不支持AKMA服务可以指UE未签约AKMA服务,也可以指UE不可以使用AKMA流程与AF建立共享密钥。
需要说明的是:AKMA indication与AKMA ID可以采用相同的信元,也可以采用不同信元,此处不作限制。
步骤304a、UE基于AUSF根密钥生成AKMA锚点密钥Kakma。
步骤304a中,当UE的主鉴权流程成功完成后,UE基于与AUSF使用的相同的根密钥(Kausf)生成AKMA锚点密钥(Kakma),根密钥(Kausf)是UE与AUSF共享的。可选的,进一步地,UE要发起AKMA业务前,UE基于与AUSF使用的相同的根密钥(Kausf)生成AKMA锚点密钥(Kakma)。
其中,生成Kakma的过程也可以称为推演Kakma的过程,所述推演Kakma的方法可以参考TS33.535,在此不做详述。
步骤304b、UE生成应用的认证和密钥管理-密钥临时身份标识A-KID。
步骤304b中,当UE的主鉴权流程成功完成后,UE要发起AKMA业务前,UE基于与AUSF使用的相同的根密钥(Kausf)生成应用的认证和密钥管理-密钥临时身份标识(AKMA-KeyIdentifier,A-KID)。A-KID用于标识UE的AKMA锚点密钥Kakma。可选的,进一步地,UE要发起AKMA业务前,UE基于与AUSF使用的相同的根密钥(Kausf)生成A-KID。具体地,UE基于与AUSF使用的相同的根密钥(Kausf)生成A-KID中的密钥管理-密钥临时身份标识(AKMATemporary UE Identifier,A-TID)部分。
A-KID格式为“username@exmaple”。“username”部分包括路由标识,和认证和密钥管理-密钥临时身份标识(AKMA Temporary UE Identifier,A-TID)。“example”部分包括家乡网络标识,例如:移动国家代码(mobile country code,MCC)和移动网络代码(mobilenetwork code,MNC)。A-TID是基于Kausf生成的一个临时标识。
其中,生成A-TID的过程也可以称为推演A-TID的过程,由于推演A-TID的方法为较成熟的技术,故在此不做详述。
需要说明的是,步骤304a与步骤304b执行顺序不作限制。
步骤305a、AUSF基于AUSF根密钥生成AKMA锚点密钥Kakma。
步骤305a与前述步骤304a类似,不作赘述。与304a不同的地方在于,AUSF在收到所述鉴权向量获取响应消息后,如果消息中携带有AKMA服务指示信息,则AUSF使用AUSF获取到的Kausf生成Kakma和A-KID。如果所述鉴权向量获取响应消息没有携带有AKMA服务指示信息,则AUSF可以不生成Kakma和A-KID。
步骤305b、AUSF生成认证和密钥管理-密钥临时身份标识A-KID。
步骤305b中,当步骤303中,UDM发送的鉴权向量获取响应消息中携带AKMA服务指示信息时,AUSF基于该AKMA服务指示信息确定需要生成A-KID。
步骤306、AUSF向AAnF发送AKMA锚定密钥注册请求消息。
步骤306中,AUSF选择一个AAnF后,AUSF向该AAnF发送AKMA锚定密钥注册请求消息。AKMA锚定密钥注册请求消息例如:“Naanf_AKMA_AnchorKey_Register Request”。具体的,该AKMA锚定密钥注册请求消息中携带SUPI、A-KID和Kakma。
相应地,AAnF会保存A-KID和Kakma。
步骤307、AUSF接收AAnF发送的AKMA锚定密钥注册响应消息。
步骤307中,AAnF基于步骤306的AKMA锚定密钥注册请求消息,向AUSF发送AKMA锚定密钥注册响应消息。该AKMA锚定密钥注册响应消息例如:“Naanf_AKMA_AnchorKey_Register Response”。
如上文所述,若UE签约了AKMA服务,则UDM会检测到UE的签约信息,该签约信息指示UE支持AKMA服务;其中UE支持AKMA服务可以理解为,UE签约AKMA服务或者UE授权使用AKMA服务或UE支持使用AKMA服务等。基于图3的相关说明可知,在这种情况下,会AAnF注册AKMA锚定密钥,相应地,AAnF中会存储Kakma和A-KID。
(2)、路由指示符RID。
RID由UDM提供,由1~4个十进制数字表示。
(3)、UE和AF间的会话建立过程
如图4所示,UE和AF间的会话建立过程包括:
步骤401,UE向AF发送会话建立请求。
该会话建立请求中携带A-KID。
步骤402,在AF中不包含与A-KID关联的激活的上下文(active context)的情况下,AF向AAnF发送密钥获取请求,请求中包含A-KID。
其中,该请求可以是“Naanf_AKMA_ApplicationKey_Get request”。
需要说明的是,当AF是运营商可信的AF时,AF可以直接向AAnF发送密钥获取请求;当AF是运营商不可信的AF时,AF可以通过NEF向AAnF发送密钥获取请求。其中AF通过NEF向AAnF发送密钥获取请求,具体的可以为:AF向NEF发送第一密钥获取请求,NEF根据第一密钥获取请求生成密钥获取请求,并向AAnF发送密钥获取请求。
步骤403,AAnF判断是否存在与A-KID对应的Kakma。
步骤404,若存在与A-KID对应的Kakma,AAnF根据Kakma推演Kaf。
步骤405,AAnF向AF发送密钥获取响应,该密钥获取响应中携带Kaf以及Kaf的终止时间。
该密钥获取响应可以是“Naanf_AKMA_ApplicationKey_Get Response”。
步骤406,在密钥获取响应中携带Kaf以及Kaf的终止时间的情况下,AF向UE发送会话建立响应,该会话建立响应指示会话建立成功。
步骤407,若不存在于A-KID对应的Kakma,AAnF向AF发送密钥获取响应。
该密钥获取响应指示密钥获取失败,例如密钥获取响应携带失败指示信息或者又可以叫做错误指示信息。
步骤408,AF接收该密钥获取响应,在该密钥获取响应指示密钥获取失败的情况下,AF向UE发送会话建立响应,该会话建立响应指示会话建立失败。
在上述过程中,步骤404至步骤406表示AAnF中存在与A-KID对应的Kakma时的处理过程,步骤407和步骤408表示AAnF中不存在与A-KID对应的Kakma时的处理过程,且在图4中通常两个虚线框示出;在会话建立过程中,会执行两个处理过程中的一个处理过程。
根据图4的相关说明可知,若网络侧不存在与A-KID对应的Kakma,则会导致UE与AF间的会话建立失败AF向UE发送指示会话建立失败的会话建立响应。
在会话建立失败后,UE会重新获取A-KID,然后再次执行步骤401,从而再次触发图4所示的流程,若AAnF中不存在与A-KID对应的Kakma,UE与AF间的会话建立仍会失败,从而导致UE与AF之间的信令开销很大。进一步地,除了通过AKMA服务外,UE还可以通过其他方法建立与AF之间的会话,UE多次通过AKMA服务建立会话失败还会延迟UE通过其他方法建立与AF之间的会话,导致UE延迟接入AF获取服务,甚至会导致UE无法从AF获取服务。
为此,本申请实施例提供了一种会话建立方法,该方法使得UE在AKMA服务的第一会话建立失败后,会将用于建立第一会话的第一A-KID与获取到的第二A-KID比较,在两个A-KID不同的情况下,UE发送携带第二A-KID的第二会话建立请求;这样,可以减轻UE在没有授权AKMA服务的情况下,重复通过同一个A-KID请求与AF建立会话而导致的信令开销。
需要说明的是,存在多种场景会导致UE与AF间的会话建立失败,下面列举其中的两种场景。
第一种场景为:UE未签约AKMA服务。
由于UE未签约AKMA服务,基于图3的相关说明可知,该情况下AAnF中不存在与A-KID对应的Kakma,结合图4的相关说明可知,这会导致UE与AF间的会话建立失败。
第二种场景为:UE使用A-KID发起应用会话建立请求后,网络侧生成了新的A-KID。
在UE和网络层执行主鉴权的过程中,UE使用A-KID发起应用会话建立请求。这可能导致AUSF生成了新的Kausf,并根据新的Kausf推演新的A-KID发送给AAnF。此时AAnF无法根据UE发生送的A-KID获取到密钥。这样,即使UE签约AKMA服务,也会导致AAnF中不存在与UE中的未更新的A-KID对应的Kakma,从而UE与AF间的会话建立失败。
由于存在第二种场景的可能,所以在本申请实施例中,若新获取到的第二A-KID与用于建立第一会话的第一A-KID不同,则会再次发送会话请求,以避免由于UE中的Kausf未及时更新而导致会话建立失败。
下面对本申请实施例提供的方法进行具体介绍。
如图5所示,本申请实施例提供了一种会话建立方法的第一实施例,包括:
步骤501,UE获取第一密钥标识。
其中,该密钥标识可以存在多种表示方式,例如,密钥标识可以为A-KID;相应地,第一密钥标识便可以表示为第一A-KID。下文以密钥标识为A-KID为例,对本申请实施例提供的方法进行说明。
第一密钥标识用于标识与UE关联的密钥或获取与UE关联的密钥。
需要说明的是,在UE发起会话请求前,UE先获取第一A-KID,该第一A-KID用于标识UE的AKMA锚点密钥Kakma,使得AAnF可以根据第一A-KID查找UE的Kakma。
除此之外,UE还可以获取AKMA应用密钥Kaf,Kaf为UE和AF之间的共享密钥,UE和AF可以基于该Kaf建立UE与AF之间的安全连接。
其中,Kaf的获取操作可以在发起会话请求前执行,也可以在会话建立成功后执行,本申请实施例对此不做具体限定;下面以在发起会话请求前执行Kaf的获取操作为例,对Kaf的获取过程进行介绍,其他情况下也是类似的。
上述会话建立成功也可以理解为UE与AF之间成功建立了共享密钥,即UE和AF拥有相同的密钥Kaf。
在本申请实施例中,UE获取第一A-KID主要是指,UE的第一层从UE的第二层获取第一A-KID。
其中,第一层通常是应用层,第二层通常是应用层的下层;需要说明的是,第二层可以包括多种层,例如,第二层可以是NAS层、操作系统层或中间件层等。
在本申请实施例中,也可以将第一层称为上层,将第二层称为下层或者底层。
UE获取第一A-KID和AKMA应用密钥的方法有多种,本申请实施例对此不做具体限定,下文会结合图6至图9对其中的四种方法进行具体介绍。
步骤502,UE存储第一A-KID。
基于步骤501的相关说明可知,UE获取第一A-KID是指UE的第一层获取第一A-KID;而UE的第一层和UE的第二层通常会建立各自的上下文(context),因此,步骤502可以理解为:UE的第一层将第一A-KID存入第一层的上下文中。不同的上下文可以存储在不同的存储空间,或者不同的上下文存储在同一个存储空间的不同的位置。
又由于第一A-KID用于建立第一会话,所以步骤502还可以理解为:UE的第一层将第一A-KID作为第一会话的上下文,其中第一会话的上下文可以通过第一会话的标识查找。第一会话的上下文指的是与第一会话相关的信息,例如第一会话的标识、UE标识、AF的标识等等。
需要说明的是,UE和AF建立第一会话,可以理解为UE和AF建立第一连接;或者UE与AF之间建立第一会话上下文或第一上下文,该上下文可以用于UE和AF之间进行通信。或者UE与AF之间建立第一连接上下文。或者UE与AF之间建立共享密钥。
需要说明的是,UE存储第一A-KID的目的,是为了步骤505中第一A-KID的再次获取;除此之外,也存在其他方式能够实现第一A-KID的再次获取,因此,步骤502是可选的。
另外,本申请实施例对步骤502与步骤503之间的执行顺序,以及步骤502与步骤504之间的执行顺序不做具体限定,只需在步骤505之前执行步骤502即可。
步骤503,用户设备UE向应用功能AF网元发送第一会话建立请求,第一会话建立请求携带第一密钥标识A-KID。
相应地,应用功能AF网元接收来自于用户设备UE的第一会话建立请求,第一会话建立请求携带第一密钥标识A-KID。
AF在接收到第一会话建立请求所执行的操作,可参照图4的相关说明进行理解,具体如步骤402-408的描述。
需要说明的是,若AAnF中不存在与A-KID对应的Kakma,则在步骤408中,AAnF可以向AF发送携带第一密钥标识A-KID的密钥获取响应,以使得AF向UE发送携带第一密钥标识A-KID的第一会话建立响应;类似地,若AF通过NEF与AAnF通信,则AAnF可以向NEF发送携带第一密钥标识A-KID的第一密钥获取响应,相应地,NEF也向AF发送携带第一密钥标识A-KID的第二密钥获取响应,以使得AF向UE发送携带第一密钥标识A-KID的第一会话建立响应。
步骤504,在网络侧不存在所述第一A-KID对应的AKMA锚点密钥的情况下,AF网元向UE发送第一会话建立响应,第一会话建立响应指示第一会话建立失败。作为一种可实现的方式,AF接收来自NEF或AAnF的指示密钥获取失败的应用密钥获取响应,AF向UE发送第一会话建立响应,第一会话建立响应指示第一会话建立失败。
相应地,UE接收来自AF网元的对于第一会话建立请求的第一会话建立响应。
作为一种可实现的方式,第一会话建立响应携带第一A-KID,这样,UE便可以从第一会话建立响应获取第一A-KID,该第一A-KID用于判断是否再次发起与所述AF网元之间的会话建立,具体可参见步骤507-509的描述。该第一A-KID可以来自AAnF或AF从AF本地获取的。
由此可见,执行步骤502和/或第一会话建立响应携带第一A-KID,都可以使得UE能够获取到用于请求建立第一会话的第一A-KID。具体地,若选择执行步骤502,则AF可以不在第一会话建立响应中添加第一A-KID。若选择在第一会话建立响应中添加第一A-KID,则可以不执行步骤502。
步骤505,在第一会话建立响应指示第一会话建立失败的情况下,UE再次获取第一A-KID。
UE再次获取第一A-KID的目的在于,比较建立第一会话所用的第一A-KID和最新的第二A-KID是否相同。
需要说明的是,UE再次获取第一A-KID的方法包括多种,本申请实施例对此不做具体限定。
作为一种可实现的方式,在执行了步骤502的情况下,步骤505可以包括:UE获取存储的第一A-KID。具体地,UE从第一层的上下文中获取第一A-KID,或者说,UE从第一会话的上下文中获取第一A-KID,再或者说,UE第一层从第一层的存储空间中获取第一A-KID。
作为另一种可实现的方式,在第一会话建立响应携带第一A-KID的情况下,步骤505可以包括:UE从第一会话建立响应获取第一A-KID。
步骤506,在第一会话建立响应指示第一会话建立失败的情况下,UE获取第二A-KID。
作为一种可实现的方式,步骤506包括:UE从第二层的上下文获取第二A-KID,第二层为应用层的下层。
需要说明的是,步骤506与步骤501类似,不同的是,步骤501是在请求建立第一会话之前执行的,而步骤506是在第一会话建立失败的情况下执行的,所以通过步骤506获取的第二A-KID可能与通过步骤501获取的第一A-KID不同;故可参照步骤501的相关说明对步骤506进行理解。
其中,第二A-KID可以认为是UE第一层能够从UE第二层获取的最新的A-KID;该最新的A-KID可以理解为在UE上层执行第二A-KID的获取操作时,UE第二层提供的A-KID。具体地,该UE第二层提供的A-KID可以是存储在第二层中的A-KID,也可以是在接收到请求后推演的A-KID,还可以是在接收到请求后第二层确定正在执行主认证流程,等待主认证完成之后推演的A-KID。
步骤507,在第一A-KID与第二A-KID不同的情况下,UE向AF网元发送第二会话建立请求,第二会话建立请求中携带第二A-KID。
可以理解的是,第一会话建立失败,可能是由于AAnF中不存在与第一A-KID对应的Kakma,但可能存在与第二A-KID对应的Kakma。因此,在第一A-KID与第二A-KID不同的情况下,UE利用第二A-KID再次发起会话建立请求,也即是UE向AF网元发送携带第二A-KID的第二会话建立请求。
相反地,在第一A-KID与第二A-KID相同的情况下,则UE不会向AF网元发送携带第二A-KID的第二会话建立请求,以避免第二会话建立请求携带与第一A-KID相同的第二A-KID,而导致第二会话建立再次失败的情况,从而减小信令开销。具体地,UE可以利用除AKMA服务以外的方式请求与AF网元建立会话,例如步骤508。或者,UE不再向AF网元发起会话请求,例如步骤509。
这种场景下,若第二会话建立再次失败,则UE终止使用AKMA服务与AF建立连接。或者UE向AF发送第四会话请求,第四会话请求指示UE不支持AKMA服务。或者第四会话请求指示使用AKMA服务之外的其他安全机制,如GBA、证书机制等。
步骤508,在第一A-KID与第二A-KID相同的情况下,UE向AF网元发送第三会话建立请求,第三会话建立请求指示UE不支持AKMA服务。
第三会话建立请求指示UE不支持AKMA服务具体可以是第三会话建立请求指示UE本次请求建立会话不采用AKMA服务、或者第三会话建立请求指示UE还未授权AKMA服务、或者第三会话建立请求指示UE支持采用通用引导构架(Generic BootstrappingArchitecture,GBA)、证书机制等等方式建立连接。
示例性地,若UE支持AKMA服务建立会话,则可以在第三会话建立请求的消息头中添加一种指示信息,该指示信息指示UE支持AKMA服务建立会话;该指示信息可以采用具体的一位或多位二进制值表示,例如,这一指示信息可以采用00表示。
基于此,第三会话建立请求指示UE不支持AKMA服务的方式可以包括多种。
第一种方式:若UE不支持AKMA服务,则不在第三会话建立请求的消息头中添加上述指示信息,这样,第三会话建立请求便指示UE不支持AKMA服务;例如,当上述指示信息为00时,若第三会话建立请求的消息头中不包含指示信息00,则说明UE不支持AKMA服务。
第二种方式:若UE不支持AKMA服务,则在第三会话建立请求的消息头中添加不同于上述指示信息的另一种指示信息,这另一种指示信息用于指示UE不支持AKMA服务;例如,当上述指示信息为00时,可以在第三会话建立请求的消息头中添加二进制值01,二进制值01指示UE不支持AKMA服务。
或者,第三会话建立请求还可以直接携带建立会话采用的其他方式例如GBA或证书机制。
基于前述说明可知,第一会话建立失败的原因可能是UE未与签约AKMA服务,即UE不支持AKMA服务,为了使得UE快速接入AF,UE可以通过其他方式建立与AF之间的会话;所以,第三会话建立请求指示UE不支持AKMA服务,使得AF与UE通过其他方式建立会话,以避免仍通过AKMA服务建立会话而导致会话建立再次失败。
步骤509,在第一A-KID与第二A-KID相同的情况下,UE停止与AF网元间的会话建立。
可以理解的是,第一会话建立失败,可能是AAnF中不存在与第一A-KID对应的Kakma,所以在第一A-KID与第二A-KID相同的情况下,若仍发送携带第二A-KID的第二会话建立请求,则可能导致会话建立再次失败,从而产生额外的信令开销。
为此,在该实施例中,UE可以停止与AF网元间的会话建立;可选地,在停止会话建立之后,可以确定会话建立失败的原因,然后采用相应的措施,之后再次发起会话建立。
例如,第一会话建立失败的原因可能是UE未与签约AKMA服务,在第一A-KID与第二A-KID相同的情况下,UE停止与AF网元间的会话建立,然后签约AKMA服务;在签约AKMA服务之后,UE可以再次向AF发送会话建立请求,以通过AKMA服务建立与AF之间的会话。
需要说明的是,步骤508和步骤509都是在第一A-KID与第二A-KID相同的情况下执行的,所以当第一A-KID与第二A-KID相同时,选择步骤508和步骤509中的一个步骤执行即可。
在本申请实施例中,若执行了步骤507,则UE会接收到对于第二会话建立请求的第二会话建立响应;若第二会话建立响应仍指示会话建立失败,则可以采用与第一会话建立失败后的相同操作进行处理,具体不做详述。
下面结合图6至图9对UE获取第一A-KID的方法进行介绍,同时,也对UE获取AKMA应用密钥的方法进行介绍。
作为一种可实现的方式,请参阅图6,步骤501包括:
步骤601,UE的第一层向UE的第二层发送第一信息请求,第一层是应用层。
其中,第一信息请求用于获取AKMA锚点密钥和第一A-KID。
步骤602,响应于第一信息请求,UE的第二层向UE的第一层发送AKMA锚点密钥和第一A-KID,第二层为应用层的下层。
步骤603,UE的第一层根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
推演AKMA应用密钥可以包括:将C=0x82;P0=AF网元的标识;L0=AF网元的标识的长度作为输入参数,AKMA锚点密钥作为输入键,生成AKMA应用密钥。在该实施例中,通过一个第一信息请求即可获取到AKMA锚点密钥和第一A-KID,可以减少信令开销。
作为一种可实现的方式,请参阅图7,步骤501包括:
步骤701,UE的第一层向UE的第二层发送第二信息请求,第二信息请求携带AF网元的标识,第一层是应用层。
其中,第二信息请求用于获取AKMA应用密钥和第一A-KID。
步骤702,响应于第二信息请求,UE的第二层根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
步骤703,UE的第二层向UE的第一层发送AKMA应用密钥和第一A-KID。
在该实施例中,通过一个第一信息请求即可获取到AKMA应用密钥和第一A-KID,可以减少信令开销;并且,AKMA应用密钥是由UE的第二层推演得到,所以UE的第二层不需要向UE的第一层发送AKMA锚点密钥,以防止恶意程序截获AKMA锚点密钥而根据AKMA锚点密钥盗取大量信息的情况。
作为一种可实现的方式,请参阅图8,步骤501包括:
步骤801,UE的第一层向UE的第二层发送第三信息请求,第一层是应用层;
其中,第三信息请求用于获取第一A-KID。
步骤802,响应于第三信息请求,UE的第二层向UE的第一层发送第一A-KID,第二层为应用层的下层;
步骤803,UE的第一层向UE的第二层发送第四信息请求;
其中,第四信息请求用于获取AKMA锚点密钥。
步骤804,响应于第四信息请求,UE的第二层向UE的第一层发送AKMA锚点密钥;
步骤805,UE的第一层根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
由于会话建立请求携带A-KID,AKMA锚点密钥是用于推演AKMA应用密钥的,AKMA应用密钥是用于会话建立成功后的数据传输,所以若会话建立失败则不需要AKMA应用密钥,那也不需要获取AKMA锚点密钥。而在该实施例中,由于AKMA锚点密钥和第一A-KID是通过两个信息请求分开获取的,那么,AKMA锚点密钥的获取操作可以在第一会话建立成功执行。而若第一会话建立失败,则不执行AKMA锚点密钥的获取操作,从而避免第一会话建立失败但又获取AKMA锚点密钥的情况。
作为一种可实现的方式,请参阅图9,步骤501包括:
步骤901,UE的第一层向UE的第二层发送第五信息请求,第一层是应用层;
步骤902,响应于第五信息请求,UE的第二层向UE的第一层发送第一A-KID,第二层为应用层的下层;
其中,第五信息请求用于获取第一A-KID。
步骤903,UE的第一层向UE的第二层发送第六信息请求,第六信息请求携带AF网元的标识;
步骤904,响应于第六信息请求,UE的第二层根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥;
其中,第六信息请求用于获取AKMA应用密钥。
步骤905,UE的第二层向UE的第一层发送AKMA应用密钥和第一A-KID。
关于AKMA锚点密钥是否获取、和/或获取的时间可以参见图8所示实施例描述,这里不再赘述。
另外,AKMA应用密钥是由UE的第二层推演得到,所以UE的第二层不需要向UE的第一层发送AKMA锚点密钥,以防止恶意程序截获AKMA锚点密钥而根据AKMA锚点密钥盗取大量信息的情况。
需要说明的是,由于前文对UE的第一层和UE的第二层进行了说明,故在上述四个实施例中不做赘述。
另外,图6和图8所示的实施例可以简单概括为:UE的第一层从UE的第二层获取AKMA锚点密钥和第一密钥标识,第一层是应用层,第二层为应用层的下层;UE的第一层根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
由于UE的第一层从UE的第二层获取AKMA锚点密钥,所以UE的第一层可以自行选择推演KMA应用密钥的时间。
图7和图9所示的实施例可以简单概括为:UE的第一层从UE的第二层获取AKMA应用密钥和第一密钥标识,第一层是应用层,第二层为应用层的下层。
AKMA应用密钥是从UE的第二层获取,这样,UE的第一层可以不从UE的第二层获取AKMA锚点密钥,以防止在获取过程中,恶意程序截获AKMA锚点密钥而根据AKMA锚点密钥盗取大量信息的情况。
在上述实施例中,UE是在确定第一会话建立失败后,执行相应的操作,以避免会话多次建立失败的情况;除了这种方法外,还可以通过执行相应的操作,使得UE具备感知AKMA服务的能力,这样,若UE感知到不支持AKMA服务,便不会或无法发送会话建立请求,从而避免由于UE不支持AKMA服务而造成多次会话建立失败的情况。下面对此进行具体介绍。
如图10(a)所示,申请实施例还提供了一种会话建立方法第二实施例,该实施例能够使得UE感知到自身支持AKMA服务,具体包括:
步骤10A,UDM网元检测到UE的AKMA签约信息。
UDM网元检测到UE的AKMA签约信息的情况可以包括以下两种:第一种情况是,在UE进入主鉴权流程前,UE已经签约了AKMA服务,相应地,UDM网元中便存在UE的AKMA签约信息;第二种情况是,在UE进入主鉴权流程前,UE未签约AKMA服务,而UE通过主鉴权流程完成注册后,UE签约了AKMA服务,此时,UDM网元便会检测到签约信息变更,即检测到的AKMA签约信息。
检测到UE的AKMA签约信息,则说明UE支持AKMA服务,为此,UDM网元会通过AMF网元,向UE发送第一指示信息,以通知UE支持AKMA服务,从而使得UE感知到自身支持AKMA服务。
步骤10B,UDM网元向UE发送第一指示信息,该第一指示信息指示UE支持AKMA服务。
具体地,UDM网元通过AMF网元向UE发送第一指示信息。
相应地,UE会接收到第一指示信息。
为了对第一指示消息进行完整性保护,UDM网元还可以从AUSF网元获取验证数据,具体地,该验证数据可以包括第一验证数据和第二验证数据,下文会对此进行具体介绍。
步骤10C,在第一指示信息指示UE支持AKMA服务情况下,UE推演第一A-KID。
在推演之前,UE还可以生成验证数据,并与UDM网元发送的验证数据进行比较,以验证第一指示信息的完整性,并在第一指示信息完整的情况下,进行推演。
步骤10D,UE发送包含第一A-KID的第一会话建立请求,以请求建立与AF之间的会话。
这样,UE在通过第一指示信息感知到自身支持AKMA服务,然后生成第一A-KID,以用于建立会话;若未收到第一指示信息,则UE可以不生成第一A-KID,这样就无法通过AKMA服务请求会话建立,从而避免未签约AKMA服务而导致会话建立失败,防止不必要的信令开销。
若UE接收到第一会话建立响应,且第一会话建立响应指示第一会话建立失败,则可以获取第二A-KID,然后再次发送会话建立请求,当发送会话请求的次数达到目标次数后停止会话建立;也或者可以采用图5所示的实施例中步骤506至步骤509的方法进行处理,本申请实施例对此不做限定。
下面通过第三实施例对上述过程进行进一步的介绍。
如图10(b)所示,本申请实施例还提供了一种会话建立方法的第三实施例,该实施例包括:
步骤1001,UDM网元从AUSF网元获取第一验证数据,第一验证数据用于验证第一指示信息的完整性。
获取第一验证数据有多种,本申请实施例对此不做具体限定。
作为一种可实现的方式,UDM网元可以向AUSF网元发送“Nausf_UPU Protection”消息,该消息中携带SUPI、UE参数更新(UE Parameters Update,UPU)数据和确认指示(ACKindication),其中,UPU数据中包括第一指示信息。
AUSF网元根据SUPI获取Kausf,并使用Kausf对UPU数据进行完整性保护,即根据Kausf生成UPU-MAC-IAUSF(第一验证数据),其中,MAC全称为Message Authenticationcode。AUSF向UDM网元发送“Nausf_UPU Protection”响应,响应中携带UPU-MAC-IAUSF和CounterUPU,其中CounterUPU用于生成UPU-MAC-IAUSF。
步骤1002,UDM网元从认证服务功能AUSF网元获取第二验证数据,第二验证数据用于确定UE成功接收到第一指示信息。
第二验证数据的获取方法与第一验证数据的获取方法类似,具体可参照步骤1001的相关说明理解;相应地,AUSF网元根据Kausf生成UPU-MAC-IUE(第二验证数据),“Nausf_UPU Protection”响应还携带UPU-MAC-IUE。
此外,UDM网元在接收到“Nausf_UPU Protection”响应中,会保存UPU-MAC-IUE。
需要说明的是,步骤1001和步骤1002是可选的,并且可以合并执行。
步骤1003,统一数据管理UDM网元根据用户设备UE的密钥管理AKMA的签约信息,确定UE支持AKMA服务。
需要说明的是,UE可以在步骤301的主鉴权流程之前签约AKMA服务,相应地,AKMA的签约信息便存储在UDM网元中;UE也可以在步骤301的主鉴权流程之后(也可以理解为UE注册到网络)签约AKMA服务,相应地,UDM网元便可以在主鉴权流程之后检测到UE的签约信息发生了变更,变更后的签约信息中包含AKMA的签约信息;基于此,UDM网元便可以确定UE支持AKMA服务。
此外,若UDM网元检测到UE的签约信息发生了变更,且变更后的签约信息中包含AKMA的签约信息,则UDM网元可以向AUSF网元发送“Nudm_UEAKMA_Info_notify”消息,该消息中包含指示UE支持AKMA服务的信息以及RID,以使得AUSF网元在AAnF中注册AKMA锚定密钥。
步骤1004,UDM网元向接入和移动性管理功能AMF网元发送第一数据传输消息,第一数据传输消息包括第一指示信息,第一指示信息指示UE支持AKMA服务。
该第一数据传输消息可以是“Nudm_SDM_Nofitication”消息,相应地,“Nudm_SDM_Nofitication”消息中携带UPU数据,UPU数据中包含第一指示信息。
相应地,移动性管理功能AMF网元接收来自统一数据管理UDM网元的第一数据传输消息,第一数据传输消息包括第一指示信息,第一指示信息指示用户设备UE支持AKMA服务;
作为一种可实现的方式,在执行步骤1001的情况下,第一数据传输消息中还携带第一验证数据。
例如,当第一数据传输消息是“Nudm_SDM_Nofitication”消息时,Nudm_SDM_Nofitication”消息不仅携带包含第一指示信息的UPU数据,还携带第一验证数据UPU-MAC-IAUSF和CounterUPU。
步骤1005,AMF网元向UE发送第二数据传输消息,第二数据传输消息中携带第一指示信息。
相应地,用户设备UE接收来自接入和移动性管理功能AMF网元的第二数据传输消息,第二数据传输消息中携带第一指示信息。
其中,第二数据传输消息可以是DL NAS传输消息。
需要说明的是,若第一数据传输消息中还携带第一验证数据,则第二数据传输消息中还携带第一验证数据。
例如,若第一数据传输消息包含第一指示信息的UPU数据、第一验证数据UPU-MAC-IAUSF和CounterUPU,则第二数据传输消息也携带包含第一指示信息的UPU数据、第一验证数据UPU-MAC-IAUSF和CounterUPU。
步骤1006,在第一指示信息指示UE支持AKMA服务的情况下,UE推演第一A-KID,第一A-KID用于建立UE和应用功能AF网元间的会话。
需要说明的是,由于UE接收到了第一指示信息,所以若第一指示信息指示UE支持AKMA服务,则UE便能够感知到自身具有AKMA服务的能力。
在该实施例中,在第一指示信息指示UE支持AKMA服务的情况下,UE才推演第一A-KID,这样,UE才能发送携带第一A-KID的第一会话建立请求;若第一指示信息指示UE不支持AKMA服务,或UE未接收到指示UE支持AKMA服务的第一指示信息,则UE就不会进行推演;相应地,UE也不会得到第一A-KID,那就无法发送携带第一A-KID的第一会话建立请求,从而可以避免由于UE不支持AKMA服务而造成多次会话建立失败的情况。
实现步骤1006的方法有多种,本申请实施例对此不做限定,下面介绍其中的两种方法。
作为一种可实现的方式,UE包括全球用户身份模块USIM和移动设备ME。
移动设备ME可以理解为未插USIM的终端设备。
需要说明的是,UE在接收到第一指示信息后,会将第一指示信息保存到USIM中。
基于此,步骤1006包括:
在第一指示信息指示UE支持AKMA服务的情况下,USIM向ME发送目标指令,目标指令包含AKMA密钥素材;
响应于目标指令,ME根据AKMA密钥素材推演第一A-KID。
其中,目标指令可以直接指示ME推演第一A-KID,目标指令也可以通过携带第一指示信息而指示ME推演第一A-KID;AKMA密钥素材可以理解为用于推演第一A-KID和AKMA锚点密钥所需的参数,例如,AKMA密钥素材可以包括SUPI;响应于目标指令,ME根据AKMA密钥素材推演第一A-KID。
若USIM中配置了RID,AKMA密钥素材还可以包括RID;若AKMA密钥素材未包含RID,则ME可以将RID设置为默认值。
ME根据SUPI进行推演的过程可以具体包括:ME根据SUPI、RID和本地存储的Kausf推演第一A-KID。
另外,ME还可以推演AKMA锚点密钥。
在第一指示信息指示UE支持AKMA服务的情况下,USIM才会向ME发送目标指令,以指示ME推演第一A-KID;否则,USIM不会向ME发送目标指令,这样ME就不会推演第一A-KID,相应地,UE也不会得到第一A-KID,那就无法发送携带第一A-KID的第一会话建立请求,从而可以避免由于UE不支持AKMA服务而造成多次会话建立失败的情况。
作为另一种可实现的方式,UE包括全球用户身份模块USIM和移动设备ME。
移动设备ME可以理解为未插USIM的终端设备。
需要说明的是,UE在接收到第一指示信息后,会将第一指示信息保存到USIM中。
基于此,如图11所示,步骤1006包括:
步骤1006a,ME向USIM发送第七信息请求,第七信息请求用于请求AKMA密钥素材。
通常情况下,UE的第一层(即应用层)确定使用AKMA服务时,便会向ME底层请求AKMA服务信息,该AKMA服务信息可以包括AKMA锚点密钥、第一A-KID或Kakma。
需要说明的是,请求AKMA服务信息的过程可以参照图6至图9的相关说明进行理解。
ME底层在收到上述请求后,便会向USIM发送第七信息请求,以请求AKMA密钥素材。
其中,AKMA密钥素材可以理解为用于推演第一A-KID和AKMA锚点密钥所需的参数,例如,AKMA密钥素材可以包括SUPI和RID。
步骤1006b,在第一指示信息指示UE支持AKMA服务的情况下,响应于第七信息请求,USIM向ME发送AKMA密钥素材。
该AKMA密钥素材可以包括用户永久标识符SUPI;若USIM中配置了RID,AKMA密钥素材还可以包括RID;若AKMA密钥素材未包含RID,则ME可以将RID设置为默认值。
步骤1006c,ME根据该AKMA密钥素材推演第一A-KID。
同样的,ME根据该AKMA密钥素材进行推演的过程可以具体包括:ME根据SUPI、RID和本地存储的Kausf推演第一A-KID。
另外,ME还可以推演AKMA锚点密钥。
在该实施例中,在第一指示信息指示UE支持AKMA服务的情况下,若接收到了用于请求AKMA密钥素材的第七信息请求,USIM才会向ME发送第一指示信息,以指示ME推演第一A-KID;否则,若UE不支持AKMA服务,即使接收到了用于请求AKMA密钥素材的第七信息请求,USIM也不会向ME发送AKMA密钥素材,这样ME就不会根据AKMA密钥素材推演第一A-KID,相应地,UE也不会得到第一A-KID,那就无法发送携带第一A-KID的第一会话建立请求,从而可以避免由于UE不支持AKMA服务而造成多次会话建立失败的情况。
若第二数据传输消息中还携带第一验证数据,第一验证数据用于验证第一指示信息的完整性,则UE还会执行步骤1007和步骤1008。
步骤1007,UE生成用于验证第一指示信息的完整性的第四验证数据。
具体地,若第二数据传输消息也携带包含第一指示信息的UPU数据、第一验证数据UPU-MAC-IAUSF和CounterUPU,则UE可以根据包含第一指示信息的UPU数据、CounterUPU和本地存储的Kausf推演第四验证数据UPU-MAC-IAUSF。
步骤1008,在第一验证数据和第四验证数据一致的情况下,UE确定第一指示信息的完整性。
具体地,若第二数据传输消息中携带的第一指示信息的UPU数据和UE推演的第四验证数据UPU-MAC-IAUSF一致,则验证成功,说明数据是完整的。
步骤1007和步骤1008是可选的,是在执行了步骤1001的前提下才会执行的。
步骤1009,UE生成第三验证数据,第三验证数据用于确定UE成功接收到第一指示信息。
该第三验证数据可以表示为UPU-MAC-IUE。
步骤1010,UE向AMF网元发送第三验证数据。
具体地,UE可以向AMF网元上行NAS传输消息,该上行NAS传输消息携带第三验证数据。
相应地,AMF网元接收来自UE的第三验证数据,第三验证数据用于确定UE成功接收到第一指示信息。
步骤1011,AMF网元向UDM网元发送第三验证数据。
具体地,AMF网元可以向UDM网元发送“Nudm_SDM_info”消息,“Nudm_SDM_info”消息中携带第三验证数据。
相应地,UDM网元接收来AMF网元的第三验证数据,第三验证数据是UE生成的,且用于确定UE成功接收到第一指示信息。
在接收到第三验证数据后,UDM网元便可以根据第三验证数据验证UE是否成功接收到第一指示信息;具体地,UDM网元可以通过比较第二验证数据和第三验证数据是否一致,来验证UE是否成功接收到第一指示信息。
例如,第二验证数据UPU-MAC-IUE是AUSF网元生成的,而第三验证数据UPU-MAC-IUE是由UE生成,所以可以通过比较第二验证数据UPU-MAC-IUE第三验证数据UPU-MAC-IUE是否一致,来验证UE是否成功接收到第一指示信息。
步骤1012,在第二验证数据和第三验证数据一致的情况下,UDM网元确定UE成功接收到第一指示信息。
需要说明的是,步骤1009至步骤1012是可选的,是在执行了步骤1002的情况下执行的。
如图12所示,本申请实施例提供了一种用户设备的一个实施例,包括:收发单元10,用于向应用功能AF网元发送第一会话建立请求,第一会话建立请求携带第一密钥标识A-KID;收发单元10,用于接收来自AF网元的对于第一会话建立请求的第一会话建立响应;处理单元20,用于在第一会话建立响应指示第一会话建立失败的情况下,获取第二A-KID;收发单元10,用于在第一A-KID与第二A-KID不同的情况下,向AF网元发送第二会话建立请求,第二会话建立请求中携带第二A-KID。
作为一种可实现的方式,处理单元20,还用于将第一A-KID存储在第一层的上下文中,第一层是应用层;从第一层的上下文中获取第一A-KID。
作为一种可实现的方式,处理单元20,还用于从第二层的上下文获取第二A-KID,第二层为应用层的下层。
作为一种可实现的方式,第一会话建立响应携带第一A-KID。
作为一种可实现的方式,处理单元20,还用于在第一A-KID与第二A-KID相同的情况下,停止与AF网元间的会话建立。
作为一种可实现的方式,收发单元10,还用于在第一A-KID与第二A-KID相同的情况下,向AF网元发送第三会话建立请求,第三会话建立请求指示UE不支持AKMA服务。
作为一种可实现的方式,处理单元20包括第一子单元201和第二子单元202,第一子单元201属于第一层,第一层是应用层;第二子单元202属于第二层,第二层为应用层的下层。
第一子单元201用于从第二子单元202获取AKMA锚点密钥和第一密钥标识;第一子单元201根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
作为一种可实现的方式,处理单元20包括第一子单元201和第二子单元202,第一子单元201属于第一层,第一层是应用层;第二子单元202属于第二层,第二层为应用层的下层。
第一子单元201用于从第二子单元202获取AKMA应用密钥和第一密钥标识。
作为一种可实现的方式,处理单元20包括第一子单元201和第二子单元202,第一子单元201属于第一层,第一层是应用层;第二子单元202属于第二层,第二层为应用层的下层。
第一子单元201用于向第二子单元202发送第一信息请求;第二子单元202用于响应于第一信息请求,向第一子单元201发送AKMA锚点密钥和第一A-KI;第一子单元201用于根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
作为一种可实现的方式,处理单元20包括第一子单元201和第二子单元202,第一子单元201属于第一层,第一层是应用层;第二子单元202属于第二层,第二层为应用层的下层。
第一子单元201用于向第二子单元202发送第二信息请求,第二信息请求携带AF网元的标识;第二子单元202用于响应于第二信息请求,根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥;第二子单元202用于向第一子单元201发送AKMA应用密钥和第一A-KID。
作为一种可实现的方式,处理单元20包括第一子单元201和第二子单元202,第一子单元201属于第一层,第一层是应用层;第二子单元202属于第二层,第二层为应用层的下层。
第一子单元201用于向第二子单元202发送第三信息请求;第二子单元202用于响应于第三信息请求,向第一子单元201发送第一A-KID;第一子单元201用于向第二子单元202发送第四信息请求;第二子单元202用于响应于第四信息请求,向第一子单元201发送AKMA锚点密钥;第一子单元201用于根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥。
作为一种可实现的方式,处理单元20包括第一子单元201和第二子单元202,第一子单元201属于第一层,第一层是应用层;第二子单元202属于第二层,第二层为应用层的下层。
第一子单元201用于向第二子单元202发送第五信息请求;响应于第五信息请求,第二子单元202用于向第一子单元201发送第一A-KID;第一子单元201用于向第二子单元202发送第六信息请求,第六信息请求携带AF网元的标识;第二子单元202用于响应于第六信息请求,根据AF网元的标识以及AKMA锚点密钥推演AKMA应用密钥;第二子单元202用于向第一子单元201发送AKMA应用密钥和第一A-KID。
其中,以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例方法的描述。
如图13所示,本申请实施例提供了一种通信装置,包括:
收发单元30,用于接收来自于用户设备UE的第一会话建立请求,第一会话建立请求携带第一密钥标识A-KID;收发单元30,用于在网络侧不存在与第一密钥标识对应的AKMA锚点密钥的情况下,向UE发送第一会话建立响应,第一会话建立响应指示第一会话建立失败,且携带第一密钥标识。
作为一种可实现的方式,收发单元30,还用于向应用的认证和密钥管理锚点功能网元发送应用密钥获取请求,应用密钥获取请求携带第一密钥标识;接收应用的认证和密钥管理锚点功能网元发送的应用密钥获取响应,应用密钥获取响应指示获取密钥失败。
作为一种可实现的方式,应用密钥获取响应中携带第一密钥标识。
作为一种可实现的方式,收发单元30,还用于接收来自于UE的第二会话建立请求,第二会话建立请求中携带第二密钥标识。
其中,以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例方法的描述。
如图14所示,本申请实施例提供了一种通信装置,包括:处理单元40,用于根据用户设备UE的密钥管理AKMA的签约信息,确定UE支持AKMA服务;收发单元50,用于向接入和移动性管理功能AMF网元发送第一数据传输消息,第一数据传输消息包括第一指示信息,第一指示信息指示UE支持AKMA服务,第一指示信息用于确定通过AKMA服务建立UE与应用功能AF网元之间的会话。
作为一种可实现的方式,收发单元50,还用于从AUSF网元获取第一验证数据,第一验证数据用于验证第一指示信息的完整性;相应地,第一数据传输消息中还携带第一验证数据。
作为一种可实现的方式,收发单元50,还用于从认证服务功能AUSF网元获取第二验证数据,第二验证数据用于确定UE成功接收到第一指示信息;接收来AMF网元的第三验证数据,第三验证数据是UE生成的,且用于确定UE成功接收到第一指示信息;处理单元40,还用于在第二验证数据和第三验证数据一致的情况下,确定UE成功接收到第一指示信息。
其中,以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例方法的描述。
如图15所示,本申请实施例提供了一种通信装置,包括:收发单元60,用于接收来自统一数据管理UDM网元的第一数据传输消息,第一数据传输消息包括第一指示信息,第一指示信息指示用户设备UE支持AKMA服务;收发单元60,用于向UE发送第二数据传输消息,第二数据传输消息中携带第一指示信息。
作为一种可实现的方式,第一数据传输消息中还携带第一验证数据,第一验证数据用于验证第一指示信息的完整性;第二数据传输消息中还携带第一验证数据。
作为一种可实现的方式,收发单元60,还用于接收来自UE的第三验证数据,第三验证数据用于确定UE成功接收到第一指示信息;向UDM网元发送第三验证数据。
其中,以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例方法的描述。
如图16所示,本申请实施例提供了一种用户设备,包括:第一收发单元70,用于接收来自接入和移动性管理功能AMF网元的第二数据传输消息,第二数据传输消息中携带第一指示信息;处理单元80,用于在第一指示信息指示UE支持AKMA服务的情况下,推演第一A-KID,第一A-KID用于建立UE和应用功能AF网元间的会话。
作为一种可实现的方式,UE包括全球用户身份模块USIM和移动设备ME,USIM包括第二收发单元90,ME包括第三收发单元100;第二收发单元90在第一指示信息指示UE支持AKMA服务的情况下,第二收发单元90用于向ME发送目标指令,目标指令包含AKMA密钥素材;响应于目标指令,处理单元80用于根据AKMA密钥素材推演第一A-KID。
作为一种可实现的方式,UE包括全球用户身份模块USIM和移动设备ME,USIM包括第二收发单元90,ME包括第三收发单元100;第三收发单元100,用于向USIM发送第七信息请求,第七信息请求用于请求AKMA密钥素材;第二收发单元90用于,在第一指示信息指示UE支持AKMA服务的情况下,响应于第七信息请求,USIM向ME发送AKMA密钥素材;处理单元80,用于根据AKMA密钥素材推演第一A-KID。
作为一种可实现的方式,第二数据传输消息中还携带第一验证数据,第一验证数据用于验证第一指示信息的完整性;处理单元80还用于,生成用于验证第一指示信息的完整性的第四验证数据;在第一验证数据和第四验证数据一致的情况下,确定第一指示信息的完整性。
作为一种可实现的方式,处理单元80还用于,生成第三验证数据,第三验证数据用于确定UE成功接收到第一指示信息;第一收发单元70,还用于向AMF网元第三验证数据。
其中,以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例方法的描述。
本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
在一个例子中,以上任一通信装置和用户设备中的单元可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(application specificintegrated circuit,ASIC),或,一个或多个微处理器(digital singnal processor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA),或这些集成电路形式中至少两种的组合。再如,当通信装置中的单元可以通过处理元件调度程序的形式实现时,该处理元件可以是通用处理器,例如中央处理器(central processingunit,CPU)或其它可以调用程序的处理器。再如,这些单元可以集成在一起,以片上系统(system-on-a-chip,SOC)的形式实现。
本申请还提供一种通信系统,其包括用户设备或通信装置中的至少一种或多种。
作为一种可实现的方式,通信系统还包括AAnF网元。
作为一种可实现的方式,通信系统还包括网络开放功能NEF网元。
本申请实施例还提供的一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机控制网络设备或终端设备执行如前述方法实施例所示任一项实现方式。
本申请实施例还提供的一种计算机程序产品,计算机程序产品包括计算机程序代码,当计算机程序代码在计算机上运行时,使得计算机执行如前述方法实施例所示任一项实现方式。
本申请实施例还提供一种芯片系统,包括存储器和处理器,存储器用于存储计算机程序,处理器用于从存储器中调用并运行计算机程序,使得芯片执行如前述方法实施例所示任一项实现方式。
本申请实施例还提供一种芯片系统,包括处理器,处理器用于调用并运行计算机程序,使得芯片执行如前述方法实施例所示任一项实现方式。
本申请实施例提供的技术方案可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、AI节点、接入网设备、终端设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,数字视频光盘(digital video disc,DVD))、或者半导体介质等。
在本申请实施例中,在无逻辑矛盾的前提下,各实施例之间可以相互引用,例如方法实施例之间的方法和/或术语可以相互引用,例如装置实施例之间的功能和/或术语可以相互引用,例如装置实施例和方法实施例之间的功能和/或术语可以相互引用。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (22)
1.一种会话建立方法,其特征在于,包括:
用户设备UE向应用功能AF网元发送第一会话建立请求,所述第一会话建立请求携带第一密钥标识;
所述UE接收来自所述AF网元的对于所述第一会话建立请求的第一会话建立响应;
在所述第一会话建立响应指示所述第一会话建立失败的情况下,所述UE获取第二密钥标识;
在所述第一密钥标识与所述第二密钥标识不同的情况下,所述UE向所述AF网元发送第二会话建立请求,所述第二会话建立请求中携带所述第二密钥标识。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述UE将所述第一密钥标识存储在第一层的上下文中,所述第一层是应用层;
所述UE从所述第一层的上下文中获取所述第一密钥标识。
3.根据权利要求1或2所述的方法,其特征在于,所述UE获取第二密钥标识包括:所述UE从第二层的上下文获取所述第二密钥标识,所述第二层为应用层的下层。
4.根据权利要求1或3所述的方法,其特征在于,所述方法还包括:所述第一会话建立响应携带所述第一密钥标识。
5.根据权利要求1至4中任意一项所述的方法,其特征在于,所述方法还包括:
在所述第一密钥标识与所述第二密钥标识相同的情况下,所述UE停止与所述AF网元间的会话建立。
6.根据权利要求1至4中任意一项所述的方法,其特征在于,所述方法还包括:
在所述第一密钥标识与所述第二密钥标识相同的情况下,所述UE向AF网元发送第三会话建立请求,所述第三会话建立请求指示不支持应用的认证和密钥管理AKMA服务。
7.根据权利要求1至6中任意一项所述的方法,其特征在于,所述方法还包括:
所述UE的第一层从所述UE的第二层获取AKMA锚点密钥和所述第一密钥标识,所述第一层是应用层,所述第二层为应用层的下层;
所述UE的第一层根据所述AF网元的标识以及所述AKMA锚点密钥推演AKMA应用密钥。
8.根据权利要求1至6中任意一项所述的方法,其特征在于,所述方法还包括:
所述UE的第一层从所述UE的第二层获取所述AKMA应用密钥和所述第一密钥标识,所述第一层是应用层,所述第二层为应用层的下层。
9.一种会话建立方法,其特征在于,包括:
应用功能AF网元接收来自于用户设备UE的第一会话建立请求,所述第一会话建立请求携带第一密钥标识;
在网络侧不存在与所述第一密钥标识对应的AKMA锚点密钥的情况下,所述AF网元向所述UE发送第一会话建立响应,所述第一会话建立响应指示所述第一会话建立失败,且携带所述第一密钥标识。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述AF网元向应用的认证和密钥管理锚点功能网元或网络能力开放网元发送应用密钥获取请求,所述应用密钥获取请求携带所述第一密钥标识;
所述AF网元接收所述应用的认证和密钥管理锚点功能网元或网络能力开放网元发送的应用密钥获取响应,所述应用密钥获取响应指示获取密钥失败。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
所述应用密钥获取响应中携带所述第一密钥标识。
12.根据权利要求9至11中任意一项所述的方法,其特征在于,所述方法还包括:所述AF网元接收来自于所述UE的第二会话建立请求,所述第二会话建立请求中携带第二密钥标识。
13.一种用户设备,其特征在于,包括:
收发单元,用于向应用功能AF网元发送第一会话建立请求,所述第一会话建立请求携带第一密钥标识;
所述收发单元,用于接收来自所述AF网元的对于所述第一会话建立请求的第一会话建立响应;
处理单元,用于在所述第一会话建立响应指示所述第一会话建立失败的情况下,获取第二密钥标识;
所述收发单元,用于在所述第一密钥标识与所述第二密钥标识不同的情况下,向所述AF网元发送第二会话建立请求,所述第二会话建立请求中携带所述第二密钥标识。
14.一种通信装置,其特征在于,包括:
收发单元,用于接收来自于用户设备UE的第一会话建立请求,所述第一会话建立请求携带第一密钥标识;
所述收发单元,用于在网络侧不存在与所述第一密钥标识对应的AKMA锚点密钥的情况下,所述AF网元向所述UE发送第一会话建立响应,所述第一会话建立响应指示所述第一会话建立失败,且携带所述第一密钥标识;
所述收发单元,用于接收来自于所述UE的第二会话建立请求,所述第二会话建立请求中携带第二密钥标识。
15.一种用户设备,其特征在于,所述用户设备包括:处理器;
所述处理器,用于执行存储器中存储的计算机程序或指令,以使所述通信装置执行如权利要求1-8中任一项所述的方法。
16.一种通信装置,其特征在于,所述通信装置包括:处理器;
所述处理器,用于执行存储器中存储的计算机程序或指令,以使所述通信装置执行如权利要求9-12中任一项所述的方法。
17.一种通信系统,其特征在于,包括:权利要求13中所述的用户设备和/或权利要求14所述的通信装置。
18.根据权利要求17所述的通信系统,其特征在于,所述通信系统包括权利要求16所述的通信装置,所述通信系统还包括应用的认证和密钥管理锚点功能网元;
所述通信装置还用于从所述应用的认证和密钥管理锚点功能网元中查找是否存在与第一密钥标识对应的AKMA锚点密钥。
19.根据权利要求18所述的通信系统,其特征在于,所述通信系统还包括网络开放功能网元;
所述通信装置还用于通过所述网络开放功能网元,从所述应用的认证和密钥管理锚点功能网元中查找是否存在与第一密钥标识对应的AKMA锚点密钥。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质具有程序指令,当所述程序指令被直接或者间接执行时,使得如权利要求1至12中任一所述的方法被实现。
21.一种芯片系统,其特征在于,所述芯片系统包括至少一个处理器,所述处理器用于执行存储器中存储的计算机程序或指令,当所述计算机程序或所述指令在所述至少一个处理器中执行时,使得如权利要求1至12中任一所述的方法被实现。
22.一种计算机程序产品,其特征在于,包括指令,当所述指令在计算机上运行时,使得计算机执行权利要求1至12中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110905128.2A CN115942305A (zh) | 2021-08-08 | 2021-08-08 | 一种会话建立方法和相关装置 |
| PCT/CN2022/104840 WO2023016160A1 (zh) | 2021-08-08 | 2022-07-11 | 一种会话建立方法和相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110905128.2A CN115942305A (zh) | 2021-08-08 | 2021-08-08 | 一种会话建立方法和相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115942305A true CN115942305A (zh) | 2023-04-07 |
Family
ID=85200527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110905128.2A Pending CN115942305A (zh) | 2021-08-08 | 2021-08-08 | 一种会话建立方法和相关装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN115942305A (zh) |
| WO (1) | WO2023016160A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116600289B (zh) * | 2023-07-17 | 2023-09-29 | 中国电信股份有限公司 | 应用密钥获取方法、装置、通信设备、存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112399412B (zh) * | 2019-08-19 | 2023-03-21 | 阿里巴巴集团控股有限公司 | 会话建立的方法及装置、通信系统 |
| WO2020215104A2 (en) * | 2019-10-24 | 2020-10-22 | Futurewei Technologies, Inc. | Methods and apparatus for transport context translation |
| CN110768795B (zh) * | 2019-10-30 | 2022-09-13 | 迈普通信技术股份有限公司 | 一种会话建立方法及装置 |
-
2021
- 2021-08-08 CN CN202110905128.2A patent/CN115942305A/zh active Pending
-
2022
- 2022-07-11 WO PCT/CN2022/104840 patent/WO2023016160A1/zh unknown
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116600289B (zh) * | 2023-07-17 | 2023-09-29 | 中国电信股份有限公司 | 应用密钥获取方法、装置、通信设备、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023016160A1 (zh) | 2023-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10454686B2 (en) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network | |
| CN109788480B (zh) | 一种通信方法及装置 | |
| CN110495199B (zh) | 无线网络中的安全小区重定向 | |
| US20230319556A1 (en) | Key obtaining method and communication apparatus | |
| CN113676904B (zh) | 切片认证方法及装置 | |
| CN113498057A (zh) | 通信系统、方法及装置 | |
| WO2023016160A1 (zh) | 一种会话建立方法和相关装置 | |
| US20230362636A1 (en) | Key identifier generation method and related apparatus | |
| JP6861285B2 (ja) | 緊急アクセス中のパラメータ交換のための方法およびデバイス | |
| US11159944B2 (en) | Wireless-network attack detection | |
| WO2022147846A1 (zh) | 一种生成设备间通信的密钥的方法、系统和装置 | |
| WO2021195816A1 (zh) | 一种通信方法、装置及系统 | |
| CN114600487B (zh) | 身份认证方法及通信装置 | |
| WO2023213191A1 (zh) | 安全保护方法及通信装置 | |
| US20230336992A1 (en) | Method and apparatus for authenticating user equipment in wireless communication system | |
| WO2021254172A1 (zh) | 一种通信方法以及相关装置 | |
| CN115250469A (zh) | 一种通信方法以及相关装置 | |
| CN116074828A (zh) | 管理安全上下文的方法和装置 | |
| WO2023055342A1 (en) | Enabling distributed non-access stratum terminations | |
| CN115884187A (zh) | 消息传输方法及通信装置 | |
| CN115915114A (zh) | 注册方法及装置 | |
| CN116546489A (zh) | 用于随机接入过程中数据处理的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |