CN116746188A - 使用允许性指示来支持应用认证和密钥管理(akma)的方法和系统 - Google Patents

使用允许性指示来支持应用认证和密钥管理(akma)的方法和系统 Download PDF

Info

Publication number
CN116746188A
CN116746188A CN202180090689.XA CN202180090689A CN116746188A CN 116746188 A CN116746188 A CN 116746188A CN 202180090689 A CN202180090689 A CN 202180090689A CN 116746188 A CN116746188 A CN 116746188A
Authority
CN
China
Prior art keywords
akma
subscriber
authentication
admissibility
indication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180090689.XA
Other languages
English (en)
Inventor
龙鸿遐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of CN116746188A publication Critical patent/CN116746188A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

实施例包括使用允许性指示来支持应用认证和密钥管理(AKMA)的方法、网络节点、存储介质和指令。在一个实施例中,一种方法包括:向数据库发送(704)查询,该查询包括订户的标识符并要求关于订户的AKMA允许性的信息;以及响应地接收(706)订户的AKMA允许性指示,其中,基于对存储在数据库中的用于订户的信息的检索来提供AKMA允许性指示。

Description

使用允许性指示来支持应用认证和密钥管理(AKMA)的方法和 系统
技术领域
本发明的实施例涉及无线网络领域;更具体地,涉及使用允许性指示来支持应用认证和密钥管理(AKMA)。
背景技术
应用认证和密钥管理(AKMA)提供认证和密钥分发服务,其中对应用服务器的访问基于用户的蜂窝订阅。在第三代合作伙伴计划(3GPP)中,AKMA将支持针对应用和3GPP服务的认证和密钥管理方面,包括第五代(5G)系统中的基于3GPP凭证的物联网(IoT)用例。在AKMA中,用AKMA应用功能(AF)表示的应用提供商将AF用户的认证委托给该用户的归属网络(HN),该归属网络是其中该用户具有有效订阅的3GPP网络。因此,应用提供商要维护的敏感数据较少,并且订户要记住的密码较少。
图1示出了包括逻辑实体以及它们之间的接口的AKMA架构的网络模型。在图1中,AKMA锚功能(AAnF)是支持AKMA服务所需的新的逻辑实体。虽然AAnF在图1中被示出为被部署为独立的功能,但是,部署可以根据运营商的部署场景来选择将AAnF与认证服务器功能(AUSF)或网络开放功能(NEF)共址。
图2A示出了用于内部应用功能(AF)的采用参考点表示的AKMA架构,并且图2B示出了用于外部AF的采用参考点表示的AKMA架构。注意,在这两种情况下,应用功能(AF)和UE是支持AKMA服务的对等体。AKMA架构在3GPP TS 33.535“Technical Specification GroupServices and System Aspects;Authentication and Key Management forApplications (AKMA)based on 3GPP credentials in the 5G System(技术规范组服务和系统方面;5G系统中的基于3GPP凭证的应用认证和密钥管理(AKMA))”中进行了讨论。
然而,在当前的AKMA架构中,统一数据管理(UDM)实体没有关于AKMA是否被允许用于订户的信息,因此,它不能根据请求提供该信息。
发明内容
实施例包括使用允许性指示来支持应用认证和密钥管理(AKMA)的方法。在一个实施例中,一种方法包括:向数据库发送查询,该查询包括订户的标识符并要求关于订户的AKMA允许性的信息;以及响应地接收订户的AKMA允许性指示,其中,基于对存储在数据库中的用于订户的信息的检索来提供AKMA允许性指示。
实施例包括使用允许性指示来支持应用认证和密钥管理(AKMA)的网络节点。在一个实施例中,网络节点包括处理器和提供指令的机器可读存储介质,指令在由处理器执行时使得网络节点执行:向数据库发送查询,该查询包括订户的标识符并要求关于订户的AKMA允许性的信息;以及响应地接收订户的AKMA允许性指示,其中,基于对存储在数据库中的用于订户的信息的检索来提供AKMA允许性指示。
实施例包括使用允许性指示来支持应用认证和密钥管理(AKMA)的机器可读存储介质。在一个实施例中,机器可读存储介质存储指令,该指令在执行时能够使得网络节点执行操作,该操作包括:向数据库发送查询,该查询包括订户的标识符并要求关于订户的AKMA允许性的信息;以及响应地接收订户的AKMA允许性指示,其中,基于对存储在数据库中的用于订户的信息的检索来提供AKMA允许性指示。
通过实现如所描述的实施例,查询方可以获得订户的AKMA允许性指示,并且认证订户(诸如UE)支持AKMA功能可以作为现有的认证过程的一部分来执行。现有的认证过程的这种增强促进AKMA在诸如5G网络的无线网络中的适配。
附图说明
通过参考用于说明本发明的实施例的以下描述和附图可以最好地理解本发明。在附图中:
图1示出了包括逻辑实体的AKMA架构的模型。
图2A至2B分别示出了用于内部和外部应用功能(AF)的采用参考点表示的AKMA架构。
图3示出了根据一些实施例的包括AKMA认证的主认证的操作。
图4示出了根据一些实施例的提供AKMA允许性的操作。
图5示出了根据一些实施例的获得AKMA允许性的操作。
图6示出了根据一些实施例的包括检索AKMA允许性指示的主认证的操作。
图7是示出根据一些实施例的支持应用认证和密钥管理(AKMA)的操作的流程图。
图8示出了根据一些实施例的支持应用认证和密钥管理(AKMA)的网络节点。
图9示出了根据本发明的一个实施例的无线网络。
图10示出了根据本发明的一个实施例的虚拟化环境。
图11示出了根据本发明的一个实施例的经由中间网络连接到主机计算机的电信网络。
具体实施方式
通常,本文中所使用的所有术语将根据它们在相关技术领域中的普通含义来解释,除非明确给出不同的含义和/或在使用它的上下文中隐含不同的含义。除非另外明确说明,否则,所有对元件、装置、组件、手段、步骤等的引用将被开放地解释为是指元件、装置、组件、手段、步骤等中的至少一个实例。本文所公开的任何方法的步骤并不必需按所公开的准确顺序执行,除非步骤被明确描述为在另一步骤之后或者之前和/或隐含了步骤必须在另一步骤之后或者之前。只要合适,本文所公开的任何实施例的任何特征可适用于任何其他实施例。同样地,任何实施例的任何优点可以适用于任何其他实施例,反之亦然。从以下描述中,所公开的实施例的其他目标、特征和优点将是明显的。
在主认证之后导出AKMA密钥:期望操作的示例
AKMA锚功能(AAnF)是在归属公共陆地移动网络(HPLMN)中的锚功能,其生成要在用户设备(UE)与应用功能(AF)之间使用的密钥材料并维持UE AKMA上下文。AAnF使得能够针对AKMA服务进行AKMA锚密钥(KAKMA)导出。在调用AKMA服务之前,UE应已成功地注册到第五代(5G)核心网络(也称为5G核心),这导致在成功的5G主认证之后KAUSF被存储在认证服务器功能(AUSF)和UE处。注意,虽然5G网络中的UE被用作使用AKMA服务的无线网络的订户的示例,但是,诸如图QQ1中所示的无线设备的其他无线设备也可以使用本申请的实施例以在不同的无线网络(例如,4G网络)中使用AKMA服务。
认证UE支持AKMA功能不需要单独的过程。相反,AKMA可以重用(例如,在UE注册期间)所执行的5G主认证过程来认证UE。成功的5G主认证导致KAUSF被存储在AUSF和UE处。图3示出了根据一些实施例的包括AKMA认证的主认证的操作。在标记320处,执行主认证,并且如果主认证被扩展为包括对支持AKMA功能的UE的认证,则主认证包括UE 352、接入和移动性管理功能(AMF)354、AUSF 355、统一数据管理(UDM)356和AAnF 359。标记392列出了图中的缩写词的图例。
为了执行主认证320,AUSF 355与UDM 356交互以便获取认证信息。认证信息可以包括订阅凭证,诸如认证和密钥协议(AKA)认证向量(AV),并且认证方法可以使用Nudm_UEAuthentication_Get请求服务操作。认证向量(AV)是至少包括预期结果(XRES)、网络认证令牌(AUTN)、两个密钥(CK和IK)以及网络质询(RAND)的向量。它是在主认证过程期间要使用的认证数据,用于基于所选择的认证方法在UE和网络之间进行相互认证。
如图所示,在步骤1处,AUSF 355向UDM 356发送诸如Nudm_UEAuthentication_Get请求的认证请求,并且认证请求包括UE 352的标识。该标识可以采用如在5G网络中使用的订阅永久标识符(SUPI)或订阅隐藏标识符(SUCI)的形式,但它也可以是4G/5G网络中的全局唯一临时标识符(GUTI)或4G网络中的国际移动用户标识(IMSI)。
为了认证UE 352支持AKMA功能,AUSF需要得到指示AKMA是否被允许用于UE 352的响应(例如,AKMA订阅是否被包括在订户的蜂窝订阅中)。在标记324处,示出了在步骤2处返回的响应,并且响应Nudm_UEAuthentication_Get响应包括订阅凭证(诸如AV)和可选的AKMA_Ind,其指示AKMA是否被允许用于UE 352。注意,如下面本文更详细地解释的,这种AKMA允许性指示当前未被实现在UDM(诸如UDM 356)中。本申请的实施例提供了在标记324处的响应中包括这种AKMA允许性指示的方式。
假设主认证320被成功完成并且AUSF 355从UDM 356接收到指示AKMA是允许的(AKMA_Ind=真)的AKMA允许性指示(AKMA_Ind),AUSF 355将存储AUSF密钥KAUSF,并生成AKMA材料,诸如在标记326(步骤3a)处生成AKMA锚密钥(KAKMA)和在标记328(步骤3b)处生成AKMA标识符(A-KID)。类似地,UE 352将生成AKMA材料,诸如在标记325(步骤3a)处生成对应的(KAKMA)和在标记327(步骤3b)处生成AKMA标识符(A-KID)。
在生成了AKMA材料之后,在标记330(步骤4)处,AUSF 355可以将所生成的AKMA材料(诸如KAKMA和A-KID)连同UE标识(例如,SUPI或SUCI)一起发送到AAnF 359。标记330示出了注册请求(诸如包括(SUPI、A-KID、KAKMA)的Naanf_AKMA_KeyRegistration请求服务操作的),被发送到AAnF 359,然后,AAnF 359存储用于UE 352的来自AUSF 355的最新注册信息。
注意,在递送到AAnF 359之后,AUSF 355不需要存储任何AKMA密钥材料。而且,当重新认证运行时,AUSF 355生成新的A-KID和新的KAKMA,并将新生成的A-KID和KAKMA发送到AAnF 359。在接收到新生成的A-KID和KAKMA之后,AAnF 359删除它注册中的旧的A-KID和KAKMA,并存储新生成的A-KID与KAKMA
在标记340处(步骤5),AAnF 359向AUSF 355发送响应,并且它可以使用如图所示的Naanf_AKMA_AnchorKey_Register响应服务操作,指示注册是否成功。
注意,A-KID标识UE 352的KAKMA密钥,并且A-KID可以采用网络接入标识符(NAI)格式,例如,username@realm。username部分应包括路由标识符和A-TID(AKMA临时UE标识符),并且realm部分应包括归属网络标识符。A-KID和KAKMA可以根据标准从KAUSF导出,因此在本文中未详细讨论。A-KID和KAKMA都可以仅通过新的成功的主认证(诸如主认证320)来刷新。
在响应中,UDM还可以向AUSF指示是否需要针对UE生成AKMA锚密钥。
图3示出了通过使用现有主认证的扩展来针对AKMA服务认证UE的期望操作的序列,然而目前步骤2没有返回任何AKMA允许性指示。因此,在步骤3至5中的操作如图3中的虚线所示,指明了这些操作的暂定性质。本申请的实施例提供了对现有主认证的增强,以使得主认证可以针对AKMA服务认证UE,如本文更详细地讨论的(参见图4至图6)。
提供和检索订户的AKMA允许性
本申请的实施例允许诸如UDM 356的UDM(或另一网络实体)提供关于订户的AKMA允许性的信息,并且订户的允许性被提供并存储在数据库中。图4示出了根据一些实施例的AKMA允许性的提供操作。该提供可以是订户的AKMA允许性的初始设置或者是订户的AKMA允许性的更新。提供可以被提供给无线网络的运营商。
在标记452处,运营商发出提供(也称为配置)订户的认证订阅数据的请求,并且该提供的请求包括设置订户的AKMA允许性的请求。提供请求可以通过无线网络的管理接口来发出。管理接口可以是图形用户接口(GUI)、命令行接口(CLI)、或其他管理接口。提供请求可以被提交到提供系统404,诸如运营商的业务支持系统(BSS)。针对认证订阅数据的提供请求可以指示设置如下文更详细地讨论的其他值的请求。设置订户的AKMA允许性的提供请求可以被转换为设置布尔值的请求,其中在一些实施例中,“真”意味着AKMA被允许用于订户,而“假”意味着AKMA不被允许(或者在可替代实施例中,该值可以意味着相反的)。
在标记454处,提供请求可以被提交到UDR 406。UDR 406维护运营商402管理的无线网络中的订户的订阅数据。在标记412处,UDR 406处理该提供请求以提供订户的认证订阅数据,并且UDR 406在UDR 406中存储所产生的包括订户的AKMA允许性的期望允许性的认证订阅数据。在UDR 406被显示为无线网络中的实现数据库以存储包括AKMA允许性的订户的认证订阅数据的实体的示例的情况下,数据库可以在无线网络中其他地方实现。
在标记462处,UDR 406向提供系统404提供响应,提供系统404进而向运营商402提供响应。运营商402将获悉提供认证订阅数据的请求是否成功,并且可以检索订户或另一订户的当前认证订阅数据。
数据库可以以各种方式存储订户的认证订阅数据。在一些实施例中,订户的认证订阅数据具有不同的类型,每个数据类型具有它自己的值范围。表1示出了根据一些实施例的订户的认证订阅数据。
表1.包括AKMA允许性指示的认证订阅数据
注意,AKMA允许性指示akmaAllowed是被添加到认证订阅数据的数据类型,如表1所示(最后一行并用粗体字体)。如表1所示的认证订阅数据可以被包括在数据库中存储用于订户的信息的数据结构中。订户的认证订阅数据可以包括所有强制性数据(在表1的第三列中用“M”指示)、一个或多个条件数据(在表1的第三列中用“C”表示)、以及一个或多个可选数据(在表1的第三列中用“O”指示)。订户的AKMA允许性可以是可选的(但在一些实施例中,它可以变成有条件的或强制性的),并且它作为值是0或1的布尔数据被存储在信息元素(IE)中。当布尔值指示真时,它指示订户被允许使用AKMA,而当布尔值指示假时,它指示订户不被允许使用AKMA。当布尔值不存在时,它可意味订户不被允许使用AKMA。
注意,表1中所示的订户的认证订阅数据包括本领域中已知的数据类型,并因此未详细讨论。例如,认证订阅数据包括认证方法(authenticationMethod)、永久认证密钥的加密值(encPermanentKey)、标识可用于解密永久认证密钥的参数集的保护参数标识符(protectionParameterId)、如在标准中所定义的序列号(sequenceNumber)、认证管理字段(authenticationManagementField)、标识提供关于用于生成一个或多个认证向量以认证订户的算法和参数的细节的参数集的算法标识符(algorithmId)、加密的运营商代码(encOpcKey)、加密的TOPC密钥、认证向量是否需要被检索的指示(vectorGenerationInHss)、当订户不支持5G时要使用的认证方法的指示(n5gcDeviceAuthMethod)、是否需要归属网络的认证的指示(rgAuthenticationInd),以及订户的标识符(SUPI)。
一旦提供了订户的认证订阅数据,则它可以由网络功能(NF)服务消费者检索。图5示出了根据一些实施例的检索包括订户的AKMA允许性的认证订阅数据的操作。NF服务消费者是如图所示的AUSF 502,但是在可替代实施例中,它可以是不同的NF服务消费者。AUSF502可以通过在标记532处向表示订户的认证订阅数据的资源发出的POST请求来获得订户的认证订阅数据。请求可以包括订户的标识符(例如,SUPI或SUCI),并且当提供SUCI时,UDM504根据SUCI计算SUPI。该方法可以被指定为生成认证数据(generate-auth-data),并且服务网络名称和重新同步信息也可以在POST请求中提供。注意,生成认证数据(generate-auth-data)是自定义方法。
在标记534处,UDM 504响应地提供认证信息结果。结果可以是确认(例如,HTTP状态码200,OK),其中消息主体包含认证订阅数据,其包括AKMA允许性指示,如表1所示。然后,AUSF 502存储认证订阅数据以用于后续认证处理。如果AUSF 502被配置为存储KAUSF(例如,基于它支持漫游保护(SoRProtection)、UE参数保护(UPUProtection)服务操作的引导,或在主认证之后导出AKMA密钥),在完成主认证之后,AUSF 502可以保留KAUSF和相关信息(例如,SUPI),可选地包括AKMA允许性指示。
结果可以是失败(例如,HTTP状态码403,被禁止),其中请求由于各种原因而未被授权。例如,订户可能不具有所要求的认证订阅数据,CAG小区中的封闭接入组标识符(CAGID)与允许的CAG列表、接入禁止或漫游限制中的任何CAG ID都不匹配。可以在响应主体中返回包括附加错误信息的HTTP状态码,以使得AUSF 502可以知道为什么不返回包括AKMA允许性指示的所请求的认证订阅数据,并且相应地继续。
本章节的实施例示出了订户的AKMA允许性的提供和检索。通过这些实施例,运营商可以允许订户使用AKMA服务,并且可以主认证会话中检索这种允许性,如图3中的标记324(步骤2)或图5中的标记532所示。在现有的认证订阅数据中包括允许性指示导致对现有认证过程的最小改变,并且它使得实现AKMA服务高效,并且对于运营商的维护操作的中断最小。
具有AKMA认证的主认证的示例性操作
图6示出了根据一些实施例的包括检索AKMA允许性指示的主认证的操作。图6与图3类似,并且具有相同参考标记的实体具有相同的功能和/或特征。图6提供了关于AKMA认证和检索AKMA允许性指示的更多细节,并且它包括表示其中可以实现具有包括AKMA允许性指示的认证订阅数据的数据库的实体的统一数据存储库(UDR)357。
在标记602(步骤1)处,发起主认证过程。它可以是UE 352的初始注册或重新授权。在标记604(步骤2)处,AUSF 355在主认证过程期间与UDM 356交互,以获得认证信息,诸如订阅凭证(例如,AKA认证向量)和认证方法,并且该交互可以使用Nudm_UEAuthentication_Get请求服务操作,类似于图3种的标记322处。
在标记606(步骤3)处,UDM 356向UDR 357查询订户的认证订阅数据以选择认证方法并生成认证向量,并且该查询也针对订户的AKMA订阅数据以知道AKMA是否被允许用于订户。查询包括UE标识(例如,如上面所讨论的SUPI、SUCI或其他标识)。注意,如表1所示,数据库中的更新的订户的认证订阅数据现在包括AKMA允许性指示。响应地,UDR 357将在数据库中查询订户的认证订阅数据,并获得订户的AKMA允许性指示。例如,AKMA允许性指示为真指示订户被允许使用AKMA服务(即,用户已经订阅了AKMA服务),而为假则指示订户不被允许使用AKMA服务(即,订户尚未订阅AKMA服务)。
在标记608(步骤4)处,基于向数据库的查询,UDR 357向UDM 356分别提供针对认证订阅数据和AKMA订阅数据(AKMA订阅是否被包括在订户的蜂窝订阅中)的查询结果,authenticationSubscription和akmaSubscription。前者基于从没有最后一行的表1中的认证订阅数据获得的信息,而后者基于在表1的最后一行中的AKMA允许性指示符。在一个实施例中,UDM 356向AUSF指示在主认证过程成功完成之后是否需要针对UE生成AKMA密钥材料(例如,KAKMA和A-KID)。在标记609(步骤5)处,UDM 356生成用于主认证的认证向量(AV)。
步骤6至10是用于第一替代方案(在标记672处的Alt 1),其中查询结果指示AKMA被允许(AKMA订阅指示akmaAllowed=真)。在标记610(步骤6)处,UDM 356提供针对它在标记604处接收的请求的响应,并且该响应包括在标记609处生成的AV以及AKMA允许性指示(例如,akmaInd=真)。注意,图6的标记610(步骤6)用于实现图3的标记324(步骤2),即期望操作,并且不同之处在于UDM 356现在可以提供AKMA允许性指示。
在标记612(步骤7)处,在UE 352与AUSF 355之间继续进行主认证。在标记614(步骤8)处,在主认证过程成功完成之后,AUSF 335生成AKMA密钥材料,包括AKMA锚密钥(KAKMA)和来自KAUSF的A-KID。注意,标记614实现在图3的标记326和328处的步骤3a-3b。类似地,UE在发起与AKMA应用功能(在图6中未示出)的通信之前,从KAUSF生成AKMA锚密钥(KAKMA)和A-KID,并且操作类似于在图3中的标记325和327处的步骤3a-3b。
在图6的标记616(步骤9)和618(步骤10)处的操作与在标记330(步骤4)和340(步骤5)处的操作相同,并且它们在此不重复。
步骤11至13是用于第二替代方案(在标记674处的Alt 2),其中查询结果指示AKMA不被允许(AKMA订阅指示akmaAllowed=假)。在标记632(步骤11)处,响应连同所生成的AV一起提供指示。在标记634(步骤12)处,在UE 352与AUSF 355之间继续进行主认证。在标记636(步骤13)处,AUSF跳过AKMA密钥材料的生成(与步骤8相反)。
根据一些实施例的操作
图7是示出根据一些实施例的支持应用认证和密钥管理(AKMA)的操作的流程图。操作可以在无线网络中的支持AKMA的电子设备中实现,其中AKMA向无线网络的订户提供认证和密钥分发服务,以基于订户的蜂窝订阅来访问应用服务器。电子设备可以实现统一数据管理(UDM)实体、策略控制功能(PCF)、网络存储库功能(NRF)、服务通信代理(SCP)或网络开放功能(NEF),以执行支持AKMA的操作,如图7所示。
在操作702处,接收针对订户的认证请求,其中在订户与认证服务器功能(AUSF)的主认证初始化期间针对订户生成认证请求。该操作在此与标记604相关地讨论。
在标记704处,包括订户的标识符并且要求关于订户的AKMA允许性的信息的查询被发送到数据库。该操作在此与标记322和606相关地讨论。在标记706处,响应地接收订户的AKMA允许性的指示,其中,基于对存储在数据库中的用于订户的信息的检索来提供AKMA允许性指示。操作在此与标记324和608相关地讨论。
在标记708处,一个或多个认证向量和订户的AKMA允许性指示被提供给AUSF,当订户的AKMA允许性指示表明允许性为真时,AUSF在成功完成的主认证之后生成包括AKMA密钥和AKMA密钥标识符(A-KID)的AKMA密钥材料。此外,当订户的AKMA允许性指示表明允许性为假时,AUSF继续订户的主认证,并且在成功完成的主认证之后不生成AKMA密钥材料。该操作在此与在标记672和674处的第一和第二替代方案相关地讨论。
在一些实施例中,存储在数据库中的用于订户的信息包括布尔数据条目,它的一个值指示订户被允许使用AKMA,而相反的值指示订户不被允许使用AKMA。在一些实施例中,存储在数据库中的用于订户的信息被存储在信息元素(IE)中,该信息元素(IE)用于指示订户的AKMA允许性。在一些实施例中,存储在数据库中的用于订户的信息被存储为用于订户的认证订阅数据的一部分,其中,用于订户的认证订阅数据还包括认证方法、永久认证密钥的加密值、标识可用于解密永久认证密钥的参数集的保护参数标识符、以及标识提供关于用于生成一个或多个认证向量以认证订户的算法和参数的细节的参数集的算法标识符。这些实施例在此与表1相关地讨论。
在一些实施例中,AUSF将AKMA密钥材料发送到AKMA锚功能(AAnF),该锚功能在接收到AKMA密钥材料后用注册响应进行确认。操作在此与标记616和618相关地讨论。
在一些实施例中,通过无线网络的管理接口来提供订户的AKMA允许性指示。在一些实施例中,订户的AKMA允许性指示的提供使用无线网络的业务支持系统(BSS)。该提供在此与图4相关地讨论。
在一些实施例中,数据库被实现在统一数据存储库(UDR)中,该数据库存储用于订户的信息,基于该信息提供AKMA允许性指示。
注意,关于图1至图7所讨论的网络实体/功能可以被实现为在专用硬件上的网络元件、在专用硬件上运行的软件实例、或在适当平台(例如,在云基础设施上)上实例化的虚拟化功能。
本申请的实施例增强了存储认证订阅数据的数据库,以包括关于AKMA是否被允许用于订户的信息。数据库可以被实现在UDR中或无线网络中(或云中)的其他地方。本申请的实施例为提供系统提供了提供除了认证订阅数据之外的订户的AKMA订阅数据的服务,以配置AKMA是否被允许用于订户(参见图4相关的讨论)。
此外,除了为UDM提供查询订户的AKMA订阅数据以知道除了认证订阅数据之外AKMA是否被允许用于订户的服务之外,实施例还可以为PCF、NRF、SCP、NEF或另一网络功能提供相同的服务。在这些实施例中,其他网络功能代表并执行UDM的操作,如诸如图3和图6的图所示。
术语
通常,本文中使用的所有术语将根据它们在相关技术领域中的普通含义来解释,除非明确给出不同的含义和/或在使用它的上下文中隐含不同的含义。除非另外明确说明,否则,所有对元件、装置、组件、方法、步骤等的引用将被开放地解释为是指元件、装置、组件、方法、步骤等中的至少一个实例。本文所公开的任何方法的步骤并不必需按所公开的准确顺序执行,除非步骤被明确描述为在另一步骤之后或者之前和/或隐含了步骤必须在另一步骤之后或者之前。只要合适,本文所公开的任何实施例的任何特征可适用于任何其他实施例。同样地,任何实施例的任何优点可以适用于任何其他实施例,反之亦然。从以下描述中,所公开的实施例的其他目标、特征和优点将是明显的。
在说明书中对“一个实施例”、“实施例”、“示例实施例”等的引用指示所描述的实施例可以包括特定特征、结构或特点,但是每个实施例可以不必包括特定特征、结构或特点。而且,这样的短语不必指代相同的实施例。进一步地,当在结合实施例描述特定特征、结构或特点时,认为结合其他实施例(无论是否明确描述)实现这样的特征、结构或特点在本领域技术人员的知识内。
说明书和权利要求书可以使用术语“耦接”和“连接”以及它们的派生词。这些术语不旨在作为用于彼此的同义词。“耦接”用于指示两个或更多元件相互协作或相互作用,这两个或两个以上元件可以或可以不彼此直接物理或电气接触。“连接”用于指示在彼此耦接的两个或两个以上元件之间建立无线或有线通信。如本文所使用的,“集合”是指包括一个项目的任何正整数的项目,。
电子设备使用机器可读介质(也称为计算机可读介质)存储和发送(在内部和/或通过网络与其他电子设备一起)代码(其由软件指令组成,并且其有时被称为计算机程序代码或计算机程序)和/或数据,诸如机器可读存储介质(例如,磁盘、光盘、固态驱动器、只读存储器(ROM)、闪存设备、相变存储器)和机器可读传输介质(也称为载体)(例如,电、光、无线电、声学或其他形式的传播信号-诸如载波、红外信号)。因此,电子设备(例如,计算机)包括硬件和软件,诸如一组一个或多个处理器(例如,其中处理器是微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、其他电子电路、或前述的一个或多个的组合),其耦接到一个或多个机器可读存储介质,以存储用于在该组处理器上执行的代码和/或存储数据。例如,电子设备可以包括包含代码的非易失性存储器,因为即使在电子设备被关闭时(当电源被移除时),非易失性存储器也可以保持代码/数据。当电子设备被接通时,将由电子设备的(一个或多个)处理器执行的代码的该部分通常从较慢的非易失性存储器被复制到电子设备的易失性存储器(例如,动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM))中。典型的电子设备还包括一组一个或多个物理网络接口(NI),以建立与其他电子设备的网络连接(使用传播信号发送和/或接收代码和/或数据)。例如,该组物理NI(或与执行代码的该组处理器组合的该组物理NI)可以执行任何格式化、编码或翻译,以允许电子设备是否通过有线和/或无线连接发送和接收数据。在一些实施例中,物理NI可以包括能够(1)通过无线连接从其他电子设备接收数据和/或(2)通过无线连接向其他设备发送出数据的无线电电路。该无线电电路可以包括适合于射频通信的(一个或多个)发射机、(一个或多个)接收机和/或(一个或多个)收发机。无线电电路可以将数字数据转换为具有适当参数(例如,频率、定时、信道、带宽等)的无线电信号。然后可以通过天线将无线电信号发送到适当的(一个或多个)接收者。在一些实施例中,该组物理NI可包括(一个或多个)网络接口控制器(NIC),也称为网络接口卡、网络适配器或局域网(LAN)适配器。(一个或多个)NIC可以促进将电子设备连接到其他电子设备,从而允许它们通过将电缆插入连接到NIC的物理端口来进行有线通信。本发明的实施例的一个或多个部分可以使用软件、固件和/或硬件的不同组合来实现。
无线通信网络(或“无线网络”,并且这两个术语可互换使用)是使用无线电波(在频率30KHz–300GHz内的电磁波)进行通信的电子设备的网络。无线通信可以遵循无线通信标准,诸如新无线电(NR)、LTE-Advanced(LTE-A)、LTE、宽带码分多址(WCDMA)、高速分组访问(HSPA)。此外,无线通信网络中的诸如网络设备和终端设备的电子设备之间的通信可以根据任何适合代的通信协议执行,包括但不限于第一代(1G)、第二代(2G)、2.5G、2.75G、第三代(3G)、第四代(4G)、4.5G、第五代(5G)通信协议,和/或当前已知或未来待开发的任何其他协议。虽然LTE和NR被用作描述本发明的实施例的示例,但是本发明可以应用于其他无线通信网络,包括在未授权频谱中操作的LTE、Multefire系统和IEEE 802.11系统。
网络节点或节点(也称为网络设备(ND),并且这些术语在本公开中可互换地使用)是无线通信网络中的电子设备,无线设备经由该电子设备接入网络并从其中接收服务。一种类型的网络节点可以是指基站(BS)或接入点(AP),例如,节点B(NodeB或NB)、演进型节点B(eNodeB或eNB)、下一代节点B(gNB)、远程射频单元(RRU)、射频头(RH)、远程射频头(RRH)、中继、以及低功率节点(诸如毫微微小区和微微小区)。
无线设备(WD)可以接入无线通信网络,并且通过网络节点从无线通信网络接收服务。无线设备也可以被称为终端设备,并且这两个术语在本公开中可互换地使用。无线设备可以是订户站(SS)、便携式订户站、移动站(MS)、接入终端(AT)或其他终端用户设备。终端用户设备(也称为终端设备,并且这两个术语可互换使用)可以是移动电话、蜂窝电话、智能电话、平板电脑、可穿戴设备、个人数字助理(PDA)、便携式计算机、图像捕获终端设备(例如,数码相机)、游戏终端设备、音乐存储和播放设备、智能设备、车载无线终端设备、智能扬声器和物联网(IoT)设备。终端设备可以被耦接(例如,通过(有线或无线地)耦接到接入网络的用户端设备)到边缘ND,边缘ND被耦接(例如,通过一个或多个核心ND)到其他边缘ND,其他边缘ND被耦接到充当服务器的电子设备。
实现本发明的实施例的网络节点
图8示出了根据一些实施例的支持应用认证和密钥管理(AKMA)的网络节点。网络节点802可以使用定制的专用集成电路(ASIC)作为处理器和专用操作系统(OS)、或者通用现货(COTS)处理器和标准OS来实现。在一些实施例中,网络节点802实现图1至图3和图6所示的AKMA架构的一个或多个逻辑实体,以与无线设备(UE)进行交互。例如,网络节点802可以实现AUSF、UDM、UDR、AAnF、NEF和AMF中的一个或多个。
网络节点802包括硬件840,硬件840包括一组一个或多个处理器842(其通常是COTS处理器或处理器核心或ASIC)和物理NI 846、以及其中存储有软件850的非暂时性机器可读存储介质849。在操作期间,一个或多个处理器842可以执行软件850以实例化一个或多个应用864A-R的一个或多个集合。虽然一个实施例不实现虚拟化,但是可替代实施例可以使用不同形式的虚拟化。例如,在一个这种可替代实施例中,虚拟化层854表示操作系统的内核(或在基本操作系统上执行的垫片),其允许创建被称为软件容器的多个实例862A-R,每个实例可以用于执行应用864A-R集合中的一个(或多个)应用。多个软件容器(也称为虚拟化引擎、虚拟专用服务器或jail)是彼此分离并与运行操作系统的内核空间分离的用户空间(通常是虚拟存储器空间)。除非明确允许,否则在给定用户空间中运行的应用集合无法访问其他进程的存储器。在另一个这种可替代实施例中,虚拟化层854表示管理程序)或在主机操作系统之上执行的管理程序(有时称为虚拟机监视器(VMM),并且应用864A-R集合中的每一个应用运行在被称为虚拟机(其在一些情况下可以被认为是严格隔离形式的软件容器)的实例862A-R内的客机操作系统之上,该实例运行在管理程序之上-客机操作系统和应用可以不知道它们运行在虚拟机上,与运行在“裸金属”主机电子设备上相反,或者通过准虚拟化,操作系统和/或应用可知道用于优化目的的虚拟化的存在。在又一可替代实施例中,应用中的一个、一些或全部被实现为(一个或多个)单核,其可以通过仅用应用直接编译提供应用所需的特定OS服务的有限库集合(例如,来自包括OS服务的驱动程序/库的库操作系统(LibOS))来生成。由于单核可以被实现为直接在硬件840上、直接在管理程序上运行(在这种情况下,单核有时被描述为在LibOS虚拟机内运行)或在软件容器中运行,因此,实施例可以完全用在由虚拟化层854表示的管理程序上直接运行的单核、在由实例862A-R表示的软件容器内运行的单核、或者作为单核和上文所描述的技术的组合(例如,单核和虚拟机两者直接在管理程序上运行,单核,以及在不同软件容器中运行的应用集)来实现。
软件850包含AKMA允许性协调器855,该协调器执行参考图1至图7所描述的操作。例如,AKMA允许性协调器855可以执行本文所讨论的UDM、UDR、AUSF或者UDM、UDP和AUSF中的两个或更多个的组合的操作。AKMA允许性协调器855可以在应用864A-R内被实例化。一个或多个应用864A-R的一个或多个集合的实例化以及虚拟化(如果实现)统称为(一个或多个)软件实例852。每个应用864A-R集合、对应的虚拟化构造(例如,实例862A-R)(如果实现)以及执行它们的硬件840的该部分(无论是专用于该执行的硬件还是临时共享的硬件的时间切片)形成单独的虚拟电子设备860A-R。
网络接口(NI)可以是物理的或虚拟的。在IP的上下文中,接口地址是分配给NI的IP地址,无论是物理NI还是虚拟NI。虚拟NI可以与物理NI相关联,与另一个虚拟接口相关联,或者独立的(例如,环回接口、点对点协议接口)。NI(物理或虚拟)可以被编号(具有IP地址的NI)或不被编号(没有IP地址的NI)。
根据一些实施例的无线网络
虽然本文所描述的主题可以被实现在使用任何适合的组件的任何适当类型的系统中,但是本文所公开的实施例是相对于无线网络描述的,诸如图9示出的示例无线网络。为了简单起见,图9的无线网络仅描绘了网络906、网络节点961和960b、以及WD 910、910b、和910c。实际上,无线网络还可包括适合于支持无线设备之间或无线设备与另一个通信设备(诸如陆线电话、服务提供商、或任何其他网络节点或终端设备)之间的通信的任何附加元件。关于示出的组件,以附加细节示出了网络节点960和无线设备(WD)910。无线网络可以向一个或多个无线设备提供通信和其他类型的服务以促进无线设备接入无线网络或者使用由或经由无线网络所提供的服务。在一个实施例中,网络节点961和960b、WD910、910b和910c中的一个或多个被安装在固定位置,因此,无线网络用作固定无线网络。
无线网络906可包括任何类型的通信、电信、数据、蜂窝、和/或无线电网络或其他类似类型的系统和/或与之进行接口。在一些实施例中,无线网络可以被配置为根据特定标准或其他类型的预定义规则或过程进行操作。因此,无线网络的特定实施例可实现通信标准,诸如全球移动通信系统(GSM)、通用移动通信系统(UMTS)、长期演进(LTE)、和/或其他适合的2G、3G、4G、或5G标准;无线局域网(WLAN)标准,诸如IEEE 802.11标准;和/或任何其他适当的无线通信标准,诸如微波存取全球互通(WiMax)、蓝牙、Z波、和/或ZigBee标准。
网络906可包括一个或多个回程网络、核心网络、IP网络、公共交换电话网络(PSTN)、分组数据网络、光网络、广域网(WAN)、局域网(LAN)、无线局域网(WLAN)、有线网络、无线网络、城域网、和使能设备之间的通信的其他网络。
网络节点960和WD 910包括下文更详细地描述的各种组件。这些组件一起工作以便提供网络节点和/或无线设备功能,诸如提供无线网络中的无线连接。在不同的实施例中,无线网络可包括任何数量的有线或无线网络、网络节点、基站、控制器、无线设备、中继站、和/或可促进或参与经由有线或无线连接的数据和/或信号的通信的任何其他组件或系统。
网络节点960和WD 910包括下文更详细地描述的各种组件。这些组件一起工作以便提供网络节点和/或无线设备功能,诸如提供无线网络中的无线连接。在不同的实施例中,无线网络可包括任何数量的有线或无线网络、网络节点、基站、控制器、无线设备、中继站、和/或可促进或参与经由有线或无线连接的数据和/或信号的通信的任何其他组件或系统。
如本文所使用的,网络节点是指能够、被配置、被布置、和/或可操作以与无线设备和/或与无线网络中的其他网络节点或设备直接或间接通信以使能和/或提供对无线设备的无线访问和/或执行无线网络中的其他功能(例如,管理)的设备。网络节点的示例包括但不限于接入点(AP)(例如,无线电接入点)、基站(BS)(例如,无线电基站、Node B、演进型Node B(eNB)、和NR NodeB(gNB))。基站可以基于它们提供的覆盖量(或者,换句话说,它们的发射功率水平)来分类,然后也可以被称为毫微微基站、微微基站、微基站、或宏基站。基站可以是中继节点或控制中继的中继施主节点。
网络节点还可包括分布式无线电基站的一个或多个(或所有)部分,诸如集中式数字单元和/或远程无线电单元(RRU),有时被称为远程射频头(RRH)。这样的远程无线电单元可以或可以不与天线集成作为天线集成无线电。分布式无线电基站的部分还可以被称为分布式天线系统(DAS)中的节点。网络节点的更进一步示例包括多标准无线电(MSR)设备(诸如MSR BS)、网络控制器(诸如无线电网络控制器(RNC))或基站控制器(BSC)、基站收发台(BTS)、传输点、传输节点、多小区/多播协调实体(MCE)、核心网络节点(例如,MSC、MME)、O&M节点、OSS节点、SON节点、定位节点(例如,E-SMLC)、和/或MDT。作为另一示例,网络节点可以是如下文更详细描述的虚拟网络节点。更一般地,然而,网络节点可表示能够、被配置、被布置和/或可操作以使能和/或提供无线设备接入无线网络或者向已经接入无线网络的无线设备提供某种服务的任何适合的设备(或设备组)。
在图9中,网络节点960包括处理电路970、设备可读介质980、接口990、辅助设备984、电源986、电源电路987、和天线962。虽然在图9的示例无线网络中示出的网络节点960可以表示包括所示的硬件组件组合的设备,但是,其他实施例可以包括具有不同组件组合的网络节点。应理解,网络节点包括执行本文所公开的任务、特征、功能和方法所需的任何适合的硬件和/或软件的组合。而且,虽然网络节点960的组件被描绘为位于较大框内或嵌套在多个框内的单个框,但是实际上,网络节点可以包括组成单个所示组件的多个不同的物理组件(例如,设备可读介质980可以包括多个单独的硬盘驱动器以及多个RAM模块)。
类似地,网络节点960可以包括多个物理上分离的组件(例如,NodeB组件和RNC组件、或BTS组件和BSC组件等),其可以各自具有自己的相应组件。在网络节点960包括多个单独的组件(例如,BTS和BSC组件)的某些场景中,可以在多个网络节点之间共享单独的组件中的一个或多个。例如,单个RNC可以控制多个NodeB。在这样的场景中,在一些实例中,每个唯一的NodeB和RNC对可以被认为是单个单独的网络节点。在一些实施例中,网络节点960可以被配置为支持多种无线电接入技术(RAT)。在这样的实施例中,一些组件可以被复制(例如,用于不同RAT的单独的设备可读介质980),并且一些组件可以被重新使用(例如,相同天线962可以由RAT共享)。网络节点960还可以包括针对集成到网络节点960中的不同无线技术的各种示出组件的多个集合,诸如例如GSM、WCDMA、LTE、NR、WiFi、或蓝牙无线技术。这些无线技术可以被集成到网络节点960内的相同或者不同的芯片或芯片集中。
处理电路970被配置为执行在本文中被描述为由网络节点提供的任何确定、计算、或类似操作(例如,某些获得操作)。由处理电路970执行的这些操作可以包括处理由处理电路970获得的信息,通过例如将所获得的信息转换为其他信息、将所获得的信息或所转换的信息与存储在网络节点中的信息相比较、和/或基于所获得的信息或所转换的信息来执行一个或多个操作,以及作为处理的结果,做出确定。
处理电路970可以包括以下各项中的一项或多项的组合:微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列、或任何其他适合的计算设备、资源、或可操作以单独或者结合其他网络节点960组件(诸如设备可读介质980)来提供网络节点960功能的硬件、软件和/或编码逻辑的组合。例如,处理电路970可以执行在设备可读介质980或者处理电路970内的存储器中存储的指令。这样的功能可以包括提供本文所讨论的各种无线特征、功能或者益处中的任一个。在一些实施例中,处理电路970可以包括片上系统(SoC)。
在一些实施例中,处理电路970可以包括射频(RF)收发机电路972和基带处理电路974中的一个或多个。在一些实施例中,射频(RF)收发机电路972和基带处理电路974可以在单独的芯片(或者芯片集)、板、或单元(诸如无线电单元和数字单元)上。在可替代的实施例中,RF收发机电路972和基带处理电路974的一部分或全部可以在相同芯片或芯片集、板、或单元上。
在某些实施例中,如在本文中被描述为由网络节点、基站、eNB、或其他这样的网络设备所提供的一些或全部功能可以由执行存储在处理电路970内的设备可读介质980或存储器上的指令的处理电路970执行。在可替代的实施例中,一些或全部功能可以由处理电路970不执行在单独或独立的设备可读介质上存储的指令来提供,诸如以硬连线的方式。在那些实施例中的任一个中,无论是否执行在设备可读存储介质上存储的指令,处理电路970可以被配置为执行所描述的功能。由这样的功能所提供的益处并不单独限于处理电路或者网络节点960的其他组件,但是他们由网络节点960整体和/或通常由终端用户和无线网络享有。
设备可读介质980可以包括任何形式的易失性或非易失性计算机可读存储器,包括但不限于永久性存储设备、固态存储器、远程安装的存储器、磁介质、光介质、随机存取存储器(RAM)、只读存储器(ROM)、大容量存储介质(例如,硬盘)、可移除存储介质(例如,闪存驱动器、光盘(CD)或数字视频光盘(DVD))、和/或存储可由处理电路970使用的信息、数据和/或指令的任何其他易失性或非易失性非暂时性设备可读存储器设备和/或计算机可执行存储器设备。设备可读介质980可以存储任何适合的指令、数据或者信息,包括计算机程序、软件、包括逻辑、规则、代码、表等中的一个或多个的应用、和/或能够由处理电路970执行并且由网络节点960利用的其他指令。设备可读介质980可用于存储由处理电路970进行的任何计算和/或经由接口990接收的任何数据。在一些实施例中,处理电路970和设备可读介质980可以被认为是集成的。在一些实施例中,设备可读介质980可以包括上述本文讨论的AKMA允许性协调器855。
在网络节点960、网络906、和/或WD 910之间的信令和/或数据的有线或无线通信中使用接口990。如图所示,接口990包括例如通过有线连接向网络906发送数据和从网络906接收数据的端口/端子994。接口990还包括无线电前端电路992,该无线电前端电路992可以耦合到天线962或者在某些实施例中是天线962的一部分。无线电前端电路992包括滤波器998和放大器996。无线电前端电路992可以连接到天线962和处理电路970。无线电前端电路可以被配置为调节天线962与处理电路970之间传递的信号。无线电前端电路992可以接收将要经由无线连接发送到其他网络节点或WD的数字数据。无线电前端电路992可以使用滤波器998和/或放大器996的组合将数字数据转换成具有适当的信道和带宽参数的无线电信号。然后,无线电信号可经由天线962发送。类似地,当接收数据时,天线962可收集无线电信号,然后,无线电信号被无线电前端电路992转换成数字数据。数字数据可以被传递到处理电路970。在其他实施例中,接口可以包括不同的组件和/或不同的组件组合。
在某些可替代的实施例中,网络节点960可以不包括单独的无线电前端电路992;相反,处理电路970可包括无线电前端电路,并可连接到天线962,而无需单独的无线电前端电路992。类似地,在一些实施例中,RF收发机电路972的全部或一部分可被认为是接口990的一部分。在其他实施例中,接口900可包括一个或多个端口或端子994、无线电前端电路992和RF收发机电路972作为无线电单元(未示出)的一部分,并且接口990可与基带处理电路974通信,该基带处理电路974是数字单元(未示出)的一部分。
天线962可包括一个或多个天线或者天线阵列,被配置为发送和/或接收无线信号。天线962可以耦合到无线电前端电路992,并且可以是能够无线发送和接收数据和/或信号的任何类型的天线。在一些实施例中,天线962可以包括可操作以例如在2GHz与66GHz之间发送/接收无线电信号的一个或多个全向、扇形或平板天线。全向天线可用于在任何方向上发送/接收无线电信号,扇形天线可用于发送/接收来自特定区域内的设备的无线电信号,平板天线可以是用于在相对直的线上发送/接收无线电信号的视线天线。在一些实例中,使用超过一个天线可以被称为MIMO。在某些实施例中,天线962可以与网络节点960分离,并可通过接口或者端口连接到网络节点960。
天线962、接口990和/或处理电路970可以被配置为执行在本文中被描述为由网络节点执行的任何接收操作和/或某些获得操作。任何信息、数据和/或信号可以从无线设备、另一网络节点和/或任何其他网络设备接收。类似地,天线962、接口990和/或处理电路970可以被配置为执行在本文中被描述为由网络节点执行的任何发送操作。任何信息、数据和/或信号可被发送到无线设备、另一网络节点和/或任何其他网络设备。
电源电路987可包括或者耦接到电源管理电路,并被配置为向网络节点960的组件供电以用于执行本文所描述的功能。电源电路987可以从电源986接收电力。电源986和/或电源电路987可被配置为以适合于相应组件的形式向网络节点960的各种组件提供电力(例如,以每个相应的组件需要的电压和电流级别)。电源986可被包括在电源电路987和/或网络节点960中,或者可在电源电路987和/或网络节点960的外部。例如,网络节点960可经由输入电路或者接口(诸如电缆)连接到外部电源(例如,电插座),由此,外部电源向电源电路987供电。作为另一示例,电源986可以包括采用电池或电池组形式的电源,其连接到或者集成在电源电路987中。如果外部电源故障,则电池可以提供备用电力。也可以使用其他类型的电源,诸如光伏器件。
网络节点960的可替代实施例可以包括除了图9所示的之外的可负责提供网络节点的功能的某些方面的附加组件,其中网络节点的功能包括本文所描述的任一个功能和/或支持本文所描述的主题所需要的任何功能。例如,网络节点960可以包括允许将信息输入到网络节点960中并且允许信息从网络节点960输出的用户接口设备。这可以允许用户执行针对网络节点960的诊断、维护、修理和其他管理功能。
如本文所使用的,无线设备(WD)是指能够、被配置、被布置和/或可操作以与网络节点和/或其他WD无线通信的设备。除非另外说明,否则,术语WD在本文中可以与用户设备(UE)可交换地使用。无线通信可以涉及使用电磁波、无线电波、红外波、和/或适合于通过空气传达信息的其他类型的信号发送和/或接收无线信号。在一些实施例中,WD可以被配置为在没有直接人类交互的情况下发送和/或接收信息。例如,WD可以被设计为当由内部或外部事件触发时或者响应于来自网络的请求,根据预定调度向网络发送信息。WD的示例包括但不限于智能电话、移动电话、手机、IP语音(VoIP)电话、无线本地环路电话、台式计算机、个人数字助理(PDA)、无线摄像头、游戏控制台或设备、音乐存储设备、播放设备、可穿戴终端设备、无线端点、移动站、平板电脑、膝上型电脑、膝上型嵌入式设备(LEE)、膝上型安装设备(LME)、智能设备、无线用户端设备(CPE)、车载无线终端设备等。WD可支持设备到设备(D2D)通信,例如通过实现侧链通信的3GPP标准、车辆对车辆(V2V)、车辆对基础设施(V2I)、车辆对一切(V2X),并且在这种情况下可以被称为D2D通信设备。作为又一特定示例,在物联网(IoT)场景中,WD可表示执行监视和/或测量并且将这样的监视和/或测量的结果发送到另一个WD和/或网络节点的机器或其他设备。在这种情况下,WD可以是机器到机器(M2M)设备,其可以在3GPP上下文中被称为MTC设备。作为一个特定示例,WD可以是实现3GPP窄带物联网(NB-IoT)标准的UE。这样的机器或者设备的特定示例是传感器、计量设备(诸如功率计)、工业机械、或家庭或个人电器(例如,电冰箱、电视等)、个人可穿戴设备(例如,手表、健身追踪器等)。在其他场景中,WD可表示能够监视和/或报告其操作状态或与其操作相关联的其他功能的车联或其他设备。如上文所描述的WD可表示无线连接的端点,在该情况下,设备可以被称为无线终端。此外,如上文所描述的WD可以是移动的,在该情况下,该WD还可以被称为移动设备或移动终端。
如图所示,无线设备910包括天线911、接口914、处理电路920、设备可读介质930、用户接口设备932、辅助设备934、电源936和电源电路937。WD 910可以包括针对由WD 910支持的不同无线技术的示出组件中的一个或多个的多个集合,诸如例如GSM、WCDMA、LTE、NR、WiFi、WiMAX、或蓝牙无线技术,仅举几例。这些无线技术可以集成到WD 910内的相同或者不同的芯片或芯片集中。
天线2011可包括一个或多个天线或者天线阵列,被配置为发送和/或接收无线信号,并且连接到接口914。在某些可替代的实施例中,天线911可以与WD 910分离,并且可通过接口或者端口连接到WD 910。天线911、接口914、和/或处理电路920可以被配置为执行在本文中被描述为由WD执行的任何接收或发送操作。任何信息、数据、和/或信号可以从网络节点和/或另一个WD接收。在一些实施例中,无线电前端电路和/或天线911可以被认为是接口。
如图所示,接口914包括无线电前端电路912和天线911。无线电前端电路912包括一个或多个滤波器918和放大器916。无线电前端电路912连接到天线911和处理电路920并且被配置为调节在天线911与处理电路920之间传递的信号。无线电前端电路912可以耦合到天线911或者天线311的一部分。在一些实施例中,WD 910可以不包括单独的无线电前端电路912;相反,处理电路920可包括无线电前端电路并且可连接到天线911。类似地,在一些实施例中,RF收发机电路922的全部或一些可被认为是接口914的一部分。无线电前端电路912可以接收将要经由无线连接发送到其他网络节点或WD的数字数据。无线电前端电路912可以使用滤波器918和/或放大器916的组合将数字数据转换成具有适当的信道和带宽参数的无线电信号。然后,无线电信号可经由天线911发送。类似地,当接收数据时,天线911可收集无线电信号,然后,无线电信号被无线电前端电路912转换成数字数据。数字数据可以被传递到处理电路920。在其他实施例中,接口可以包括不同的组件和/或不同的组件组合。
处理电路920可以包括以下各项中的一项或多项的组合:微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列、或任何其他适合的计算设备、资源、或可操作以单独或者结合其他WD 910组件(诸如设备可读介质930)来提供WD 910功能的硬件、软件、和/或编码逻辑的组合。这样的功能可以包括提供本文所讨论的各种无线特征或者益处中的任一个。例如,处理电路920可以执行在设备可读介质930或者处理电路920内的存储器中存储的指令以提供本文中所公开的功能。
如图所示,处理电路920包括RF收发机电路922、基带处理电路924、和应用处理电路926中的一个或多个。在其他实施例中,处理电路可包括不同的组件和/或不同的组件组合。在某些实施例中,WD 910的处理电路920可包括SoC。在一些实施例中,RF收发机电路922、基带处理电路924、和应用处理电路926可以在单独的芯片或芯片集上。在可替代的实施例中,基带处理电路924和应用处理电路926的一部分或全部可以组合为一个芯片或芯片集,并且RF收发机电路922可以在单独的芯片或芯片集上。在其他可替代的实施例中,RF收发机电路922和基带处理电路924的一部分或全部可以在相同芯片或芯片集上,并且应用处理电路926可以在单独的芯片或芯片集上。在其他可替代的实施例中,RF收发机电路922、基带处理电路924、和应用处理电路926的一部分或全部可以组合在单个芯片或芯片集中。在一些实施例中,RF收发机电路922可以是接口914的一部分。RF收发机电路922可调节用于处理电路920的RF信号。
在某些实施例中,如在本文中被描述为由WD执行的功能中的一些或全部可以由执行存储在设备可读介质930上的指令的处理电路920提供,该设备可读介质930在某些实施例中可以是计算机可读存储介质。在可替代的实施例中,一些或全部功能可以由处理电路920不执行在单独或独立的设备可读存储介质上存储的指令来提供,诸如以硬连线的方式。在那些特定实施例中的任一个中,无论是否执行在设备可读存储介质上存储的指令,处理电路920可以被配置为执行所描述的功能。由这样的功能所提供的益处并不单独限于处理电路920或者WD 910的其他组件,但是由WD 910整体和/或通常由终端用户和无线网络享有。
处理电路920可以被配置为执行在本文中被描述为由WD执行的任何确定、计算、或类似操作(例如,某些获得操作)。如由处理电路920执行的这些操作可以包括处理由处理电路920获得的信息,通过例如将所获得的信息转换为其他信息、将所获得的信息或所转换的信息与由WD 910存储的信息相比较、和/或基于所获得的信息或所转换的信息来执行一个或多个操作,以及作为处理的结果,做出确定。
设备可读介质930可以可操作以存储计算机程序、软件、应用,包括逻辑、规则、代码、表等中的一个或多个和/或能够由处理电路920执行的其他指令。设备可读介质930可包括计算机存储器(例如,随机存取存储器(RAM)或只读存储器(ROM))、大容量存储介质(例如,硬盘)、可移除存储介质(例如,光盘(CD)或数字视频光盘(DVD))、和/或存储可以由处理电路920使用的信息、数据和/或指令的任何其他易失性或非易失性、非暂时性计算机可读和/或计算机可执行存储器设备。在一些实施例中,处理电路920和设备可读介质930可以被认为是集成的。
用户接口设备932可以提供允许人类用户与WD 910交互的组件。这样的交互可以具有许多形式,诸如视觉、听觉、触觉等。用户接口设备932可以可操作以向用户产生输出并且允许用户向WD 910提供输入。交互的类型可以取决于安装在WD 910中的用户接口设备932的类型而变化。例如,如果WD 910是智能电话,则交互可以经由触摸屏;如果WD 910是智能仪表,则交互可以通过提供用量(例如,所使用的加仑数量)的屏幕或者提供听觉警报(例如,如果检测到烟雾)的扬声器。用户接口设备932可包括输入接口、设备和电路、和输出接口、设备和电路。用户接口设备932被配置为允许将信息输入到WD 910中,并且连接到处理电路920以允许处理电路920处理输入信息。用户接口设备932可包括例如麦克风、接近度或其他传感器、键/按钮、触摸显示器、一个或多个摄像头、USB端口、或其他输入电路。用户接口设备932还被配置为允许输出来自WD 910的信息并且允许处理电路920输出来自WD 910的信息。用户接口设备932可以包括例如扬声器、显示器、振动电路、USB端口、耳机接口、或其他输出电路。使用用户接口设备932的一个或多个输入和输出接口、设备、和电路,WD 910可以与终端用户和/或无线网络通信,并且允许他们受益于本文所描述的功能。
辅助设备934可操作以提供可以不通常由WD执行的更特定的功能。这可以包括用于出于各种目的进行测量的专业化传感器、用于附加类型的通信(诸如有线通信)的接口等。辅助设备934的组件的包含物和类型可以取决于实施例和/或场景而变化。
在一些实施例中,电源936可以以电池或电池组的形式。还可以使用其他类型的电源,诸如外部电源(例如,电插座)、光伏器件或电池。WD 910还可包括用于将电力从电源936输送到WD 910的各部分的电源电路937,该WD 710的各部分需要来自电源936的电力以执行本文所描述或指示的任何功能。在某些实施例中,电源电路937可包括电源管理电路。电源电路937可以附加地或者可替代地可操作以接收来自外部电源的电力;在该情况下,WD 910可以可经由输入电路或诸如电源电缆的接口连接到外部电源(诸如电插座)。在某些实施例中,电源电路937还可以可操作以将电力从外部电源输送到电源936。这可以例如用于电源936的充电。电源电路937可以对来自电源936的电力执行任何格式化、转换、或其他修改以产生适合于供电的WD 910的相应组件的电力。
根据一些实施例的虚拟化环境
图10是示出可以虚拟化由一些实施例实现的功能的虚拟化环境1000的示意性框图。在目前上下文中,虚拟化意味着创建装置或设备的虚拟版本,其可包括虚拟化硬件平台、存储设备、和网络资源。如本文所使用的,虚拟化可以应用于节点(例如,虚拟化基站或虚拟化无线电接入节点)或设备(例如,UE、无线设备、或任何其他类型的通信设备)或其组件并且涉及功能的至少一部分被实现为一个或多个虚拟组件(例如,经由一个或多个应用、组件、功能、虚拟机、或在一个或多个网络中的一个或多个物理处理节点上执行的容器)的实现。
在一些实施例中,本文所描述的功能中的一些或全部可以被实现为由在由硬件节点1030中的一个或多个托管的一个或多个虚拟环境1000中实现的一个或多个虚拟机执行的虚拟组件。进一步地,在虚拟节点不是无线电接入节点或不要求无线电连接(例如,核心网络节点)的实施例中,网络节点则可以完全虚拟化。
功能可以由一个或多个应用1020(其可以可替代地被称为软件实例、虚拟设备、网络功能、虚拟节点、虚拟网络功能等)实现,该应用920可操作以实现本文所公开的实施例中的一些的特征、功能、和/或益处中的一些。应用1020在虚拟化环境1000中运行,该虚拟化环境1000提供包括处理电路1060和存储器1090的硬件1030。存储器1090包含可由处理电路1060执行的指令1095,其中,应用1020可操作以提供本文所公开的特征、益处、和/或功能中的一个或多个。
虚拟化环境1000包括通用或者专用网络硬件设备1030,该通用或者专用网络硬件设备1030包括一组一个或多个处理器或者处理电路1060,其可以是商用现货(COTS)处理器、专用集成电路(ASIC)、或包括数字或模拟硬件组件或专用处理器的任何其他类型的处理电路。每个硬件设备可以包括存储器1090-1,该存储器1090-1可以是用于暂时存储由处理电路1060执行的指令1095或软件的非持久性存储器。每个硬件设备可以包括一个或多个网络接口控制器(NIC)1070(也称为网络接口卡),该网络接口控制器(NIC)1070包括物理网络接口1080。每个硬件设备还可以包括在其中存储了可由处理电路1060执行的软件1095和/或指令的非暂时性持久性机器可读存储介质1090-2。软件1095可以包括任何类型的软件,其包括用于实例化一个或多个虚拟化层1050的软件(也称为管理程序)、执行虚拟机1040的软件以及允许执行与本文所描述的一些实施例相关描述的功能、特征和/或益处的软件。
虚拟机1040包括虚拟处理虚拟存储器、虚拟联网或者接口、以及虚拟存储,并且可以由对应的虚拟化层1050或管理程序运行。虚拟设备1020的实例的不同实施例可在一个或多个虚拟机1040上实现,并且这些实现可以以不同的方式完成。
在操作期间,处理电路1060执行实例化管理程序或虚拟化层1050的软件1095,它有时可被称为虚拟机监视器(VMM)。虚拟化层1050可向虚拟机1040呈现看起来像网络硬件的虚拟操作平台。
如图10所示,硬件1030可以是具有一般或者特定组件的独立网络节点。硬件1030可以包括天线10225,并可经由虚拟化实现一些功能。可替代地,硬件1030可以是较大硬件集群(例如,在数据中心或者客户终端设备(CPE)中)的一部分,其中,许多硬件节点一起工作并经由管理和编排(MANO)10100来管理,管理和编排(MANO)10100尤其监督应用1020的生命周期管理。
硬件的虚拟化在一些上下文中被称为网络功能虚拟化(NFV)。NFV可用于将许多网络设备类型合并到工业标准大容量服务器硬件、物理交换机和物理存储设备上,它们可位于数据中心和客户终端设备中。
在NFV的上下文中,虚拟机1040可以是物理机器的软件实现,其运行程序就好像它们在物理的非虚拟化机器上执行一样。每个虚拟机1040和硬件1030的执行该虚拟机的部分(即专用于该虚拟机的硬件和/或由该虚拟机与其它虚拟机1040共享的硬件)形成单独的虚拟网络元件(VNE)。
仍然在NFV的上下文中,虚拟网络功能(VNF)负责处理在硬件网络基础设施1030之上的一个或多个虚拟机1040中运行的特定网络功能,并对应于图10中的应用1020。
在一些实施例中,各自包括一个或多个发射机10220和一个或多个接收机10210的一个或多个无线电单元10200可以耦接到一个或多个天线10225。无线电单元10200可以经由一个或多个适当的网络接口与硬件节点1030直接通信,并且可与虚拟组件相组合以用于提供具有无线电能力的虚拟节点,诸如无线接入节点或基站。
在一些实施例中,一些信令可以使用控制系统8230实现,可替代地,该控制系统8230可用于硬件节点1030与无线电单元10200之间的通信。
根据一些实施例的经由中间网络连接到主机计算机的电信网络
参考图11,根据实施例,通信系统包括电信网络1110,诸如3GPP型蜂窝网络,该电信网络1110包括接入网络1111(诸如无线电接入网络)以及核心网络1114。接入网络1111包括多个基站1112a、1112b、1112c,诸如NB、eNB、GNB或其他类型的无线接入点,每个基站1112a、1112b、1112c定义对应的覆盖区域1113a、1113b、1113c。每个基站1112a、1112b、1112c可通过有线或者无线连接1115连接到核心网络1114。位于覆盖区域1113c中的第一UE1191被配置为无线连接到对应的基站1112c或由对应的基站1112c寻呼。覆盖区域1113a中的第二UE 1192可无线连接到对应的基站1112a。虽然在该示例中示出了多个UE 1191、1192,但是,所公开的实施例同样适用于单独的UE在覆盖区域中或者单独的UE连接到对应的基站1112的情况。
电信网络1110自身连接到主机计算机1130,该主机计算机1030可在独立服务器、云实现的服务器、分布式服务器的硬件和/或软件中实现或者作为服务器群中的处理资源。主机计算机1130可以在服务提供商的所有权或者控制下,或者它可以通过服务提供商或者代表服务提供商操作。电信网络1110与主机计算机1130之间的连接1121和1122可以从核心网络1114直接延伸到主机计算机1130或者可以经由可选的中间网络1120进行。中间网络1120可以是公共、私有或主机网络中的一个或公共私有或主机网络中的超过一个的组合;如果有的话,中间网络1120可以是骨干网或因特网;特别地,中间网络1120可包括两个或更多子网络(未示出)。
图11的通信系统作为整体启用所连接的UE 1191、1192与主机计算机1130之间的连接性。连接性可以被描述为过顶(over-the-top(OTT))连接1150。主机计算机1130和所连接的UE 1191、1192被配置为使用接入网络1010、核心网络1114、任何中间网络1120和可能的进一步的基础设施(未示出)作为中间体经由OTT连接1150传递数据和/或信令。在OTT连接1150穿过的参与通信设备不知道上行链路和下行链路通信的路由的意义上,OTT连接1150可以是透明的。例如,基站1112可以不或不需要被通知与源自主机计算机1130的待转发(例如,移交)到所连接的UE 1191的数据的输入下行链路通信的过去路由。类似地,基站1112不需要知道源自UE 1191的朝向主机计算机1130的输出上行链路通信的未来路由。
参考附图更充分地描述上述本文中预期的实施例中的一些实施例。然而,其他实施例被包含在本文所公开的主题范围内,所公开的主题不应当被解释为仅限于本文中阐述的实施例;相反,这些实施例仅作为示例提供以将主题范围传达给本领域技术人员。
本文所公开的任何适当的步骤、方法、特征、功能、或益处可以通过一个或多个虚拟装置的一个或多个功能单元或模块执行。每个虚拟装置可包括许多这些功能单元。这些功能单元可以经由处理电路实现,该处理电路可包括一个或多个微处理器或微控制器,以及其他数字硬件,该数字硬件可包括数字信号处理器(DSP)、专用数字逻辑等。处理电路可以被配置为执行存储在存储器中的程序代码,该存储器可包括一种或几种类型的存储器,诸如只读存储器(ROM)、随机存取存储器(RAM)、高速缓存存储器、闪存设备、光学存储设备等。存储在存储器中的程序代码包括用于执行一个或多个电信和/或数据通信协议的程序指令以及用于执行本文所描述的技术中的一个或多个的指令。在一些实施方式中,处理电路可以用于使得相应功能单元执行根据本公开的一个或多个实施例的对应功能。
术语单元可以具有电子装置、电气设备、和/或电子设备的领域中的常规意思,并且可包括例如电气和/或电子电路、设备、模块、处理器、存储器、逻辑固态和/或分立设备、用于执行相应任务、过程、计算、输出、和/或显示功能等的计算机程序或指令,诸如本文所描述的。

Claims (39)

1.一种在无线网络中支持应用认证和密钥管理AKMA的方法,其中,AKMA向所述无线网络的订户提供认证和密钥分发服务以基于所述订户的蜂窝订阅来访问应用服务器,所述方法包括:
向数据库发送(704)查询,所述查询包括所述订户的标识符并要求关于所述订户的AKMA允许性的信息;以及
响应地接收(706)所述订户的AKMA允许性指示,其中,基于对存储在所述数据库中的用于所述订户的信息的检索来提供所述AKMA允许性指示。
2.根据权利要求1所述的方法,其中,存储在所述数据库中的用于所述订户的所述信息包括布尔数据条目,它的一个值指示所述订户被允许使用AKMA,而相反的值指示所述订户不被允许使用AKMA。
3.根据权利要求1或2所述的方法,其中,存储在所述数据库中的用于所述订户的所述信息被存储在信息元素(IE)中,所述信息元素用于指示所述订户的AKMA允许性。
4.根据权利要求1或2所述的方法,其中,存储在所述数据库中的用于所述订户的所述信息被存储为用于所述订户的认证订阅数据的一部分,其中,用于所述订户的所述认证订阅数据还包括认证方法、永久认证密钥的加密值、标识能够用于解密所述永久认证密钥的参数集的保护参数标识符、以及标识提供关于用于生成一个或多个认证向量以认证所述订户的算法和参数的细节的参数集的算法标识符。
5.根据权利要求4所述的方法,其中,响应于接收到针对所述订户的认证请求,所述查询被发送到所述数据库,其中,在所述订户与认证服务器功能AUSF的主认证初始化期间针对所述订户生成所述认证请求。
6.根据权利要求5所述的方法,其中,所述一个或多个认证向量和所述订户的所述AKMA允许性指示被提供给所述AUSF,当所述订户的所述AKMA允许性指示表明允许性为真时,所述AUSF在成功完成的主认证之后生成包括AKMA密钥和AKMA密钥标识符(A-KID)的AKMA密钥材料。
7.根据权利要求6所述的方法,其中,所述一个或多个认证向量和所述订户的所述AKMA允许性指示被提供给所述AUSF,当所述订户的所述AKMA允许性指示表明允许性为假时,所述AUSF继续所述订户的主认证,并且在成功完成的主认证之后不生成所述AKMA密钥材料。
8.根据权利要求6所述的方法,其中,所述AUSF将所述AKMA密钥材料发送到AKMA锚功能(AAnF),所述AKMA锚功能在接收到所述AKMA密钥材料时用注册响应进行确认。
9.根据权利要求1或2所述的方法,其中,通过所述无线网络的管理接口来提供所述订户的所述AKMA允许性指示。
10.根据权利要求1或2所述的方法,其中,所述订户的所述AKMA允许性指示的提供使用所述无线网络的业务支持系统(BSS)。
11.根据权利要求1或2所述的方法,其中,所述订户的所述标识符是订阅永久标识符(SUPI)或订阅隐藏标识符(SUCI)中的一个。
12.根据权利要求1或2所述的方法,其中,电子设备实现统一数据管理(UDM)实体或网络开放功能(NEF)以执行发送所述查询和接收所述订户的所述AKMA允许性指示。
13.根据权利要求1或2所述的方法,其中,所述数据库被实现在统一数据存储库(UDR)中,所述数据库存储用于所述订户的所述信息,基于所述信息提供所述AKMA允许性指示。
14.一种在无线网络中支持应用认证和密钥管理AKMA的网络节点(802),其中,AKMA向所述无线网络的订户提供认证和密钥分发服务以基于所述订户的蜂窝订阅来访问应用服务器,所述网络节点包括:
处理器(842);以及非暂时性机器可读存储介质(849),其提供指令,所述指令在由所述处理器执行时使得所述网络节点执行:
向数据库发送(704)查询,所述查询包括所述订户的标识符并要求关于所述订户的AKMA允许性的信息;以及
响应地接收(706)所述订户的AKMA允许性指示,其中,基于对存储在所述数据库中的用于所述订户的信息的检索来提供所述AKMA允许性指示。
15.根据权利要求14所述的网络节点(802),其中,存储在所述数据库中的用于所述订户的所述信息包括布尔数据条目,它的一个值指示所述订户被允许使用AKMA,而相反的值指示所述订户不被允许使用AKMA。
16.根据权利要求14或15所述的网络节点(802),其中,存储在所述数据库中的用于所述订户的所述信息被存储在信息元素(IE)中,所述信息元素用于指示所述订户的AKMA允许性。
17.根据权利要求14或15所述的网络节点(802),其中,存储在所述数据库中的用于所述订户的所述信息被存储为用于所述订户的认证订阅数据的一部分,其中,用于所述订户的所述认证订阅数据还包括认证方法、永久认证密钥的加密值、标识能够用于解密所述永久认证密钥的参数集的保护参数标识符、以及标识提供关于用于生成一个或多个认证向量以认证所述订户的算法和参数的细节的参数集的算法标识符。
18.根据权利要求17所述的网络节点(802),其中,响应于接收到针对所述订户的认证请求,所述查询被发送到所述数据库,其中,在所述订户与认证服务器功能AUSF的主认证初始化期间针对所述订户生成所述认证请求。
19.根据权利要求18所述的网络节点(802),其中,所述一个或多个认证向量和所述订户的所述AKMA允许性指示被提供给所述AUSF,当所述订户的所述AKMA允许性指示表明允许性为真时,所述AUSF在成功完成的主认证之后生成包括AKMA密钥和AKMA密钥标识符(A-KID)的AKMA密钥材料。
20.根据权利要求19所述的网络节点(802),其中,所述一个或多个认证向量和所述订户的所述AKMA允许性指示被提供给所述AUSF,当所述订户的所述AKMA允许性指示表明允许性为假时,所述AUSF继续所述订户的主认证,并且在成功完成的主认证之后不生成所述AKMA密钥材料。
21.根据权利要求19所述的网络节点(802),其中,所述AUSF将所述AKMA密钥材料发送到AKMA锚功能(AAnF),所述AKMA锚功能在接收到所述AKMA密钥材料时用注册响应进行确认。
22.根据权利要求14或15所述的网络节点(802),其中,通过所述无线网络的管理接口来提供所述订户的所述AKMA允许性指示。
23.根据权利要求14或15所述的网络节点(802),其中,所述订户的所述AKMA允许性指示的提供使用所述无线网络的业务支持系统(BSS)。
24.根据权利要求14或15所述的网络节点(802),其中,所述订户的所述标识符是订阅永久标识符(SUPI)或订阅隐藏标识符(SUCI)中的一个。
25.根据权利要求14或15所述的网络节点(802),其中,电子设备实现统一数据管理(UDM)实体或网络开放功能(NEF)以执行发送所述查询和接收所述订户的所述AKMA允许性指示。
26.根据权利要求14或15所述的网络节点(802),其中,所述数据库被实现在统一数据存储库(UDR)中,所述数据库存储用于所述订户的所述信息,基于所述信息提供所述AKMA允许性指示。
27.一种提供指令的非暂时性时性机器可读存储介质(849),所述指令在由处理器执行时使得网络节点执行:
向数据库发送(704)查询,所述查询包括无线网络的订户的标识符并要求关于所述订户的应用认证和密钥管理AKMA允许性的信息,其中,AKMA向所述订户提供认证和密钥分发服务以基于所述订户的蜂窝订阅来访问应用服务器;以及
响应地接收(706)所述订户的AKMA允许性指示,其中,基于对存储在所述数据库中的用于所述订户的信息的检索来提供所述AKMA允许性指示。
28.根据权利要求27所述的非暂时性机器可读存储介质(849),其中,存储在所述数据库中的用于所述订户的所述信息包括布尔数据条目,它的一个值指示所述订户被允许使用AKMA,而相反的值指示所述订户不被允许使用AKMA。
29.根据权利要求27或28所述的非暂时性机器可读存储介质(849),其中,存储在所述数据库中的用于所述订户的所述信息被存储在信息元素(IE)中,所述信息元素用于指示所述订户的AKMA允许性。
30.根据权利要求27或28所述的非暂时性机器可读存储介质(849),其中,存储在所述数据库中的用于所述订户的所述信息被存储为用于所述订户的认证订阅数据的一部分,其中,用于所述订户的所述认证订阅数据还包括认证方法、永久认证密钥的加密值、标识能够用于解密所述永久认证密钥的参数集的保护参数标识符、以及标识提供关于用于生成一个或多个认证向量以认证所述订户的算法和参数的细节的参数集的算法标识符。
31.根据权利要求30所述的非暂时性机器可读存储介质(849),其中,响应于接收到针对所述订户的认证请求,所述查询被发送到所述数据库,其中,在所述订户与认证服务器功能AUSF的主认证初始化期间针对所述订户生成所述认证请求。
32.根据权利要求31所述的非暂时性机器可读存储介质(849),其中,所述一个或多个认证向量和所述订户的所述AKMA允许性指示被提供给所述AUSF,当所述订户的所述AKMA允许性指示表明允许性为真时,所述AUSF在成功完成的主认证之后生成包括AKMA密钥和AKMA密钥标识符(A-KID)的AKMA密钥材料。
33.根据权利要求32所述的非暂时性机器可读存储介质(849),其中,所述一个或多个认证向量和所述订户的所述AKMA允许性指示被提供给所述AUSF,当所述订户的所述AKMA允许性指示表明允许性为假时,所述AUSF继续所述订户的主认证,并且在成功完成的主认证之后不生成所述AKMA密钥材料。
34.根据权利要求32所述的非暂时性机器可读存储介质(849),其中,所述AUSF将所述AKMA密钥材料发送到AKMA锚功能(AAnF),所述AKMA锚功能在接收到所述AKMA密钥材料时用注册响应进行确认。
35.根据权利要求27或28所述的非暂时性机器可读存储介质(849),其中,通过所述无线网络的管理接口来提供所述订户的所述AKMA允许性指示。
36.根据权利要求27或28所述的非暂时性机器可读存储介质(849),其中,所述订户的所述AKMA允许性指示的提供使用所述无线网络的业务支持系统(BSS)。
37.根据权利要求27或28所述的非暂时性机器可读存储介质(849),其中,所述订户的所述标识符是订阅永久标识符(SUPI)或订阅隐藏标识符(SUCI)中的一个。
38.根据权利要求27或28所述的非暂时性机器可读存储介质(849),其中,电子设备实现统一数据管理(UDM)实体或网络开放功能(NEF)以执行发送所述查询和接收所述订户的所述AKMA允许性指示。
39.根据权利要求27或28所述的非暂时性机器可读存储介质(849),其中,所述数据库被实现在统一数据存储库(UDR)中,所述数据库存储用于所述订户的所述信息,基于所述信息提供所述AKMA允许性指示。
CN202180090689.XA 2021-01-15 2021-10-29 使用允许性指示来支持应用认证和密钥管理(akma)的方法和系统 Pending CN116746188A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2021072114 2021-01-15
CNPCT/CN2021/072114 2021-01-15
PCT/EP2021/080097 WO2022152423A1 (en) 2021-01-15 2021-10-29 Method and system to support authentication and key management for applications (akma) using an allowability indication

Publications (1)

Publication Number Publication Date
CN116746188A true CN116746188A (zh) 2023-09-12

Family

ID=78528924

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180090689.XA Pending CN116746188A (zh) 2021-01-15 2021-10-29 使用允许性指示来支持应用认证和密钥管理(akma)的方法和系统

Country Status (4)

Country Link
US (1) US20240080674A1 (zh)
EP (1) EP4278642A1 (zh)
CN (1) CN116746188A (zh)
WO (1) WO2022152423A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024050692A1 (zh) * 2022-09-06 2024-03-14 Oppo广东移动通信有限公司 无线通信的方法及装置

Also Published As

Publication number Publication date
WO2022152423A1 (en) 2022-07-21
EP4278642A1 (en) 2023-11-22
US20240080674A1 (en) 2024-03-07

Similar Documents

Publication Publication Date Title
CN113396610B (zh) 用于归属路由漫游的pdu会话建立时的辅助授权
KR102600917B1 (ko) 고정 네트워크 가정용 게이트웨이들에 대한 인증 결정
CN112823564B (zh) 提供动态nef隧道分配的方法和相关的网络节点
US20220360982A1 (en) Authentication server function selection in authentication and key management
JP7185788B2 (ja) 5gにおける複数の認証手続のハンドリング
CN113302960A (zh) 用于无线通信网络中的认证和密钥管理的方法以及相关装置
US20230232356A1 (en) Storage of network slice authorization status
US20220394473A1 (en) Methods for trust information in communication network and related communication equipment and communication device
CN116868601A (zh) 基于UE标识符(UE ID)支持受限的基于邻近的服务(ProSe)直接发现的方法和系统
US20220086620A1 (en) Methods for providing regulation compliant privacy and related apparatuses
CN116746188A (zh) 使用允许性指示来支持应用认证和密钥管理(akma)的方法和系统
CN117241370A (zh) 处理用户设备在不同通信网络中的注册
US20240107389A1 (en) Privacy in a Wireless Communication Network
JP2024513720A (ja) プロキシミティサービス検出ユーザ装置識別情報プロビジョニング

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination