CN117158010A - 组播广播服务密钥 - Google Patents

组播广播服务密钥 Download PDF

Info

Publication number
CN117158010A
CN117158010A CN202180006299.XA CN202180006299A CN117158010A CN 117158010 A CN117158010 A CN 117158010A CN 202180006299 A CN202180006299 A CN 202180006299A CN 117158010 A CN117158010 A CN 117158010A
Authority
CN
China
Prior art keywords
mbs
network function
session
key
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180006299.XA
Other languages
English (en)
Inventor
郭姝
张大伟
许芳丽
胡海静
梁华瑞
L·陈
X·乔
陈玉芹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Apple Inc
Original Assignee
Apple Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Apple Inc filed Critical Apple Inc
Publication of CN117158010A publication Critical patent/CN117158010A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/76Group identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种用户设备(UE)被配置为加入组播广播服务(MBS)会话。该UE向网络功能发送协议数据单元(PDU)修改请求,该PDU修改请求包括加入组播广播服务(MBS)会话的请求;生成第一密钥(KMBS‑UE);接收包括加密的第二密钥(KMBS)和对应于KMBS的密钥识别(KID)的PDU会话修改完成消息;以及使用KMBS‑UE解密KMBS

Description

组播广播服务密钥
背景技术
5G新空口(NR)网络可支持单播服务和组播服务两者。组播是指点对多点通信方案,其中相同数据同时从单个源传输到多个端点。与组播相比,单播是指其中数据从源传输到单个端点的点对点通信方案。用户设备(UE)可被配置为在连接到5G NR网络时经由单播和/或组播接收数据。
发明内容
一些示例性实施方案涉及一种被配置为执行操作的用户设备(UE)的处理器。所述操作包括向网络功能发送协议数据单元(PDU)修改请求,所述PDU修改请求包括加入组播广播服务(MBS)会话的请求;生成第一密钥(KMBS-UE);接收包括加密的第二密钥(KMBS)和对应于所述KMBS的密钥识别(KID)的PDU会话修改完成消息;以及使用所述KMBS-UE解密所述KMBS
其他示例性实施方案涉及被配置为执行操作的第一网络功能。所述操作包括接收用户设备(UE)正请求加入组播广播服务(MBS)会话的指示;响应于接收到所述指示,向第二网络功能发送MBS密钥请求;响应于所述MBS密钥请求,从所述第二网络功能接收包括第一密钥(KMBS-UE)的MBS密钥响应;从第三网络功能接收与所述MBS会话相关的信息,其中所述信息包括第二密钥(KMBS)和对应于所述KMBS的密钥识别(KID);生成包括所述KMBS和所述KID的PDU会话修改完成消息,其中至少所述KMBS使用所述KMBS-UE加密;以及向所述UE发送所述PDU会话修改完成消息。
另外的示例性实施方案涉及一种被配置为执行操作的第一网络功能。所述操作包括:从用户设备(UE)接收协议数据单元(PDU)修改请求,所述PDU修改请求包括加入组播广播服务(MBS)会话的请求;向第二网络功能发送对与所述MBS会话相关的信息的请求;从所述第二网络功能接收与所述MBS会话相关的所述信息,其中所述信息包括所述MBS会话的密钥(KMBS)和对应于所述KMBS的密钥识别(KID);以及向第三网络功能发送与所述MBS会话相关的所述信息。
附加的示例性实施方案涉及一种被配置为执行操作的第一网络功能。所述操作包括生成密钥(KMBS)和对应于MBS会话的所述KMBS的密钥识别(KID),以及在用户设备(UE)加入所述MBS会话的过程期间向第二网络功能发送所述KMBS和所述KID。
另外的示例性实施方案涉及一种被配置为执行操作的第一网络功能。所述操作包括从第二网络功能接收组播广播服务(MBS)密钥请求,响应于接收到所述MBS密钥请求而生成第一密钥(KMBS-UE),以及向所述第二网络功能发送包括所述KMBS-UE的MBS密钥响应。
附图说明
图1示出了根据各种示例性实施方案的示例性网络布置。
图2示出了根据各种示例性实施方案的示例性UE。
图3示出了根据各种示例性实施方案的用于MBS组播服务的密钥生成和分配的示例性信令图。
具体实施方式
参考以下描述及相关附图可进一步理解示例性实施方案,其中类似的元件具有相同的附图标号。示例性实施方案涉及实现5G新空口(NR)的组播的组播广播服务(MBS)增强的密钥分配。
MBS通常是指能够向多个接收者递送相同内容的5G NR网络的一个方面。在整个说明书中,参照组播描述了MBS功能的示例。组播是指点对多点通信方案,其中数据同时从单个源递送到多个端点。然而,对组播服务的引用仅是出于说明的目的而提供的,本领域的技术人员将理解,本文所述的示例性概念也适用于广播服务。
还参照MBS会话描述了示例性实施方案。在整个说明书中,术语“MBS会话”可以是指被配置为经由组播将数据递送到UE的通信会话。MBS会话可包括“MBS承载”。类似于协议数据单元(PDU)会话的功能,MBS承载可通过5G NR网络将数据从源递送到UE。对MBS会话或MBS承载的任何引用仅是出于说明的目的而提供的。不同的实体可通过不同的名称来指代类似的概念。
5G NR网络应支持对MBS流量的机密性保护、完整性保护和反重放保护。这可以通过使用用于MBS服务的密钥来完成。也应保护密钥分配和MBS流量。这导致与密钥分配和授权相关的各种问题,诸如如何支持UE接入组播通信服务的必要授权水平以及UE可如何加入/离开(包括被授权接入或撤销接入)组播通信服务。
示例性实施方案包括各种技术以安全地分配密钥以保护MBS流量。存在UE加入MBS会话的现有过程。此现有过程基于来自UE的PDU会话修改请求。然而,PDU会话修改完成消息可能不被加密。如果在该消息上没有保护,则密钥递送不安全。对于MBS,对数据流进行加密可能是重要的。因此,示例性实施方案包括使用共享密钥库保护MBS密钥KMBS的过程。示例性过程的具体示例将在下文进行更详细描述。
图1示出了根据各种示例性实施方案的示例性网络布置100。示例性网络布置100包括UE 110。本领域技术人员将理解,UE 110可为被配置为经由网络通信的任何类型的电子部件,例如,移动电话、平板电脑、台式计算机、智能电话、平板手机、嵌入式设备、可穿戴设备、Cat-M设备、Cat-M1设备、MTC设备、eMTC设备、其他类型的物联网(IoT)设备等。实际网络布置可包括由任意数量的用户使用的任意数量的UE。因此,单个UE 110的示例仅仅是为了说明的目的而提供。
UE 110可被配置为与一个或多个网络通信。在网络配置100的示例中,UE 110可与其进行无线通信的网络是5G NR无线电接入网络(RAN)120。然而,UE 110还可与其他类型的网络(例如,5G云RAN、LTE RAN、传统蜂窝网络、WLAN等)通信,并且UE 110还可通过有线连接来与网络通信。关于示例性实施方案,UE 110可与5G NR RAN 120建立连接。因此,UE 110可具有5G NR芯片组以与NR RAN 120通信。
5G NR RAN 120可以是可由网络运营商(例如,Verizon、AT&T、T-Mobile等)部署的蜂窝网络的一部分。5G NR RAN 120可例如包括被配置为从配备有适当蜂窝芯片组的UE发送和接收通信流量的小区或基站(节点B、eNodeB、HeNB、eNBS、gNB、gNodeB、宏蜂窝基站、微蜂窝基站、小蜂窝基站、毫微微蜂窝基站等)。
在网络布置100中,5G NR RAN 120包括表示gNB的小区120A。然而,实际网络布置可包括任何数量的不同类型的小区,该不同类型的小区由任何数量的RAN进行部署。因此,出于说明的目的,只提供了具有单个小区120A的示例。
UE 110可经由基站例如下一代节点B(gNB)120A连接至5G NR RAN 120。本领域的技术人员将理解,可执行任何相关过程用于UE 110连接至5G NR-RAN 120。例如,如上所述,可使5G NR-RAN 120与特定的蜂窝提供商相关联,在提供商处,UE 110和/或其用户具有协议和凭据信息(例如,存储在SIM卡上)。在检测到5G NR-RAN 120的存在时,UE 110可传输对应的凭据信息,以便与5G NR-RAN 120相关联。更具体地,UE 110可与特定基站(例如,gNB120A)相关联。然而,如上所述,对5G NR-RAN 120的标引是为了进行示意性的说明,并且可使用任何适当类型的RAN。
网络布置100还包括蜂窝核心网130。蜂窝核心网130可被视为管理蜂窝网络的操作和流量的部件或功能的互连集合。在此示例中,部件或功能包括认证服务器功能(AUSF)131、接入和移动性管理功能(AMF)132、会话管理功能(SMF)133、组播广播SMF(MB-SMF)134、组播广播服务功能(MBSF)135和组播广播用户平面功能(MB-UPF)136。然而,实际蜂窝核心网可包括各种其他部件执行多种不同功能中的任何功能。
AUSF 131可存储用于认证UE的数据并处理与认证相关的功能。AUSF 131可配备有一个或多个通信接口以与其他网络部件(例如,网络功能、RAN、UE等)通信。示例性实施方案不限于执行上述参考操作的AUSF。本领域的技术人员将理解AUSF可执行的各种不同类型的操作。此外,对单个AUSF 131的引用仅仅是为了进行示意性的说明,实际网络布置可包括任何适当数量的AUSF。
AMF 132可以从UE接收连接和会话相关信息,并且可以负责处理连接和移动性管理任务。会话管理相关消息可以转发到SMF 133。本领域的技术人员将理解AMF可执行的各种不同类型的操作。此外,对单个AMF 132的引用仅仅是为了进行示意性的说明,实际网络布置可包括任何适当数量的AMF。
SMF 133执行与会话管理相关的操作,诸如但不限于会话建立、会话释放、IP地址分配、策略和服务质量(QoS)实施等。SMF 133可配备有一个或多个通信接口以与其他网络部件(例如,网络功能、RAN、UE等)通信。示例性实施方案不限于执行上述参考操作的SMF。本领域的技术人员将理解SMF可执行的各种不同类型的操作。此外,对单个SMF 133的引用仅仅是为了进行示意性的说明,实际网络布置可包括任何适当数量的SMF。
MB-SMF 134执行特别地支持MBS功能性的功能。通常,MB-SMF 134支持MBS会话管理(包括QoS控制)并且基于来自策略控制功能(PCF)(未示出)或本地策略的组播和广播服务的策略规则来配置MB-UPF 136以用于组播和广播流传输。关于广播会话,MB-SMF 134经由AMF 132与5G NR-RAN 120交互,以使用5GC共享MBS流量递送方法控制数据传输。关于组播会话,MB-SMF与SMF 133交互以修改与MBS相关联的PDU会话并与5G NR RAN 120(经由AMF132和SMF 133)交互以在所述MB-UPF 136与所述5G NR RAN 120的节点之间建立数据传输资源,以用于5GC共享MBS流量递送方法。本领域的技术人员将理解MB-SMF可执行的各种不同类型的操作。此外,对单个MB-SMF 134的引用仅仅是为了进行示意性的说明,实际网络布置可包括任何适当数量的MB-SMF。
MBSF 135执行特别地支持MBS功能性的功能。例如,MBSF 135提供服务级别功能以支持MBS并与LTE MBMS互通,与应用功能(AF)(未示出)和MB-SMF 134交互以用于MBS会话操作,确定传输参数以及会话传输。MBSF 135还可以选择用于MBS会话的服务MB-SMF 134,并且确定用于MBS会话的发送者IP组播地址。本领域的技术人员将理解MBSF可执行的各种不同类型的操作。此外,对单个MBSF 135的引用仅仅是为了进行示意性的说明,实际网络布置可包括任何适当数量的MBSF。
MB-UPF 136执行特别地支持MBS功能性的功能。通常,对于组播和广播会话,MB-UPF 136执行对组播和广播流、QoS执行和计数/报告的传入下行链路分组的分组过滤,与MB-SMF 134交互以用于接收组播和广播数据,并且将组播和广播数据递送到5GC共享MBS流量递送方法的RAN节点。关于组播会话,MB-UPF 136可以将组播数据递送到用户平面功能(UPF)(未示出),用于5GC个别MBS流量递送方法。本领域的技术人员将理解MB-UPF可执行的各种不同类型的操作。此外,对单个MB-UPF 136的引用仅仅是为了进行示意性的说明,实际网络布置可包括任何适当数量的MB-UPF。
以上描述提供了可由示例性核心网功能支持的各种操作。然而,应当理解,这些操作仅是示例性的,并且每个功能可以执行其他操作。关于与分配密钥以保护MBS流量相关的示例性实施方案,将在下文更详细地描述由示例性核心网功能执行的各种操作。
网络布置100还包括互联网140、IP多媒体子系统(IMS)150和网络服务主干160。蜂窝核心网130管理在蜂窝网络与互联网140之间流动的流量。IMS 150通常可被描述为用于使用IP协议将多媒体服务递送至UE 110的架构。IMS 150可与蜂窝核心网130和互联网140通信以将多媒体服务提供至UE 110。网络服务主干160与互联网140和蜂窝核心网130直接或间接通信。网络服务主干160可通常被描述为一组部件(例如,服务器、网络存储布置等),其实施一套可用于扩展UE 110与各种网络通信的功能的服务。
图2示出了根据各种示例性实施方案的示例性UE 110。将参照图1的网络布置100来描述UE 110。UE 110可表示任何电子设备,并且可包括处理器205、存储器布置210、显示设备215、输入/输出(I/O)设备220、收发器225以及其他部件230。其他部件230可包括例如音频输入设备、音频输出设备、电池、数据采集设备、用于将UE 110电连接到其他电子设备的端口、用于检测UE 110的状况的传感器等。
处理器205可被配置为执行UE 110的多个引擎。例如,引擎可包括MBS引擎235。MBS引擎235可以执行与UE 110加入MBS会话相关的各种操作,包括接收一个或多个密钥以用于加密和解密与MBS会话相关的数据的目的。
上述引擎作为由处理器205执行的应用程序(例如,程序)仅是示例性的。与引擎相关联的功能也可被表示为UE 110的独立的结合部件,或者可为耦接到UE 110的模块化部件,例如,具有或不具有固件的集成电路。例如,集成电路可包括用于接收信号的输入电路和用于处理信号和其他信息的处理电路。引擎也可被体现为一个应用程序或分开的多个应用程序。此外,在一些UE中,针对处理器205描述的功能性在两个或更多个处理器诸如基带处理器和应用处理器之间分担。可以按照UE的这些或其他配置中的任何配置实施示例性实施方案。
存储器210可以是被配置为存储与由UE 110执行的操作相关的数据的硬件部件。显示设备215可以是被配置为向用户显示数据的硬件部件,而I/O设备220可以是使得用户能够进行输入的硬件部件。显示设备215和I/O设备220可以是独立的部件或者可被集成在一起(诸如触摸屏)。收发器225可以是被配置为与5G NR RAN 120、122和其他类型的无线网络建立连接的硬件部件。因此,收发器225可在各种不同的频率或信道(例如,连续频率组)上操作。
图3示出了根据各种示例性实施方案的用于MBS组播服务的密钥生成和分配的示例性信令图300。如上所述,存在基于来自UE的PDU会话修改请求来使UE加入MBS会话的现有过程。然而,PDU会话修改完成消息可能不被加密,从而导致未保护的数据流。示例性信令图300示出了使用共享密钥库来保护和加密MBS密钥KMBS的过程。
在描述信令图300之前,可以认为存在可以在UE 110尝试加入MBS会话之前发生的若干操作。这些操作可以包括例如MBS会话已经被配置,UE 110在公用陆地移动网络(PLMN)中注册并建立PDU会话。还可以认为UE 110至少知道UE 110可以加入的组播组的MBS会话ID。如下文将描述,此知识可以基于由可由5G NR RAN 120的一个或多个节点(例如,gNB120A)广播的核心网功能生成的服务通告。
在305中,UE 110可以发起主要认证并建立主认证密钥KAUSF,其中AUSF 131在归属PLMN(HPLMN)中。建立主要认证是一个定义的过程,并且在本公开的范围之外。然而,应注意,主要认证与服务相关认证之间存在差异。用于加入MBS会话的目的由UE和网络执行的认证是基于在主要认证过程中使用的被递送到UE的密钥而不是预编程的密钥(例如,存储在UE的SIM中)的服务相关认证。
在310中,存在用于MBS会话的服务通告。同样,此服务通告是一个定义的过程,并且在本公开的范围之外。服务通告的过程是在3GPP TS 23.247条款7.1.1中定义的过程。
在315中,MB-SMF 134生成密钥KMBS和对于特定的MBS对应于KMBS的密钥识别(KID)。在该示例性实施方案中,MB-SMF生成KMBS。然而,在其他示例性实施方案中,不同网络功能可以生成KMBS,例如,MBSF 135、MB-UPF 136等。生成密钥的网络功能可以基于来自服务和系统方面(SA)SA2的定义。
在320中,UE 110开始加入特定组播组的过程。如上所述,过程开始于UE 110向SMF133发送PDU会话修改请求,所述PDU会话修改请求包括指示UE 110想要加入的组播组的MBS会话ID。
在325中,AMF 132向AUSF 131发送MBS密钥请求以请求共享密钥。如信令图300中所示,PDU会话修改请求穿过AMF 132和AUSF 131,并且因此,这些功能将了解UE 110正尝试加入MBS会话。另外,如下文将描述,AMF 132是将最终将PDU会话修改完成消息传送到UE110的网络功能。
在330中,AUSF 131使用KAUSF和临时移动组识别(TMGI)生成密钥KMBS-UE。在对应的操作335中,UE还使用KAUSF和TMGI生成密钥KMBS-UE。KMBS-UE是用于在AMF和UE之间安全地递送KMBS的新的密钥。在示例性实施方案中,KMBS-UE由UE 110和AUSF 131使用KAUSF和TMGI生成,因为UE 110和AUSF 131独立地具有该信息,例如,其是UE 110与AUSF 131之间的公共信息。在340中,响应于MBS密钥请求320,AUSF 131向AMF 132提供包括KMBS-UE的MBS密钥响应。
如上所述,UE 110向SMF 133发送包括MBS会话ID的PDU会话修改请求320。SMF 133基于接收到的MBS会话ID识别为MBS会话加入请求的请求,这就是SMF识别。在345中,SMF133发送包括MBS会话ID的Nsmf_MBSSession_Create请求。这允许SMF 133与MB-SMF 134交互以检索所指示的MBS会话的组播QoS流信息。
响应于345,MB-SMF 134使用Nsmf_MBSSession_Create响应350向SMF 133发送KMBS和KID。如上所述,在该示例中,MB-SMF 134生成KMBS和KID,并且因此将该信息发送到SMF133。在其他示例性实施方案中,KMBS和KID可由其他网络功能生成,例如MBSF 135、MB-UPF136等。在这些其他实施方案中,KMBS和KID可以被传送到MB-SMF 134,使得MB-SMF 134可以在350中将该信息传送到SMF 133。在替代方案中,SMF 133可以与生成KMBS和KID的其他网络功能通信以检索该信息。在任何情况下,SMF 133将获得KMBS和KID。
在360中,SMF 133使用Nsmf_PDUSession_UpdateSMContext响应对AMF 132做出响应,所述响应可以包括N2 SM信息和N1 SM容器信息。N2 SM信息可以包括例如PDU会话ID、MBS会话ID、MB-SMF ID、组播QoS流信息、更新的PDU会话信息、单播QoS流与组播QoS流信息之间的映射。N1 SM容器信息可以包括PDU会话修改命令、KMBS和KID。因此,在360完成时,AMF132将具有KMBS、KID(在360中接收)和KMBS-UE(在340中接收)。
在365中,AMF 132向UE 110发送PDU会话修改完成消息,其指示UE 110已加入所请求的MBS会话。在一些示例性实施方案中,PDU会话修改完成消息365包括加密的KMBS(EKMBS-UE (KMBS))和/或加密的KID。在其他示例性实施方案中,包括KMBS和KID的PDU会话修改完成消息365使用KMBS-UE加密。如上所述,UE 110先前已经生成KMBS-UE并且可以使用其来解密PDU会话修改完成消息365以获得之后可以用于解密递送到UE 110的MBS数据流量的KMBS和KID。KMBS也可以用于导出用于加密MBS会话数据的会话密钥。因此,以这种方式,KMBS和KID被安全并加密地递送到UE 110,使得恶意反应器无法获得KMBS和KID以访问MBS数据流量。
本领域的技术人员将理解,可以任何合适的软件配置或硬件配置或它们的组合来实现上文所述的示例性实施方案。用于实现示例性实施方案的示例性硬件平台可包括例如具有兼容操作系统的基于Intel x86的平台、Windows OS、Mac平台和MAC OS、具有操作系统诸如iOS、Android等的移动设备。在其他示例中,上述方法的示例性实施方案可被体现为包括存储在非暂态计算机可读存储介质上的代码行的程序,在进行编译时,该程序可在处理器或微处理器上执行。
尽管本专利申请描述了各自具有不同特征的各种实施方案的各种组合,本领域的技术人员将会理解,一个实施方案的任何特征均可以任何未被公开否定的方式与其他实施方案的特征或者在功能上或逻辑上不与本发明所公开的实施方案的设备的操作或所述功能不一致的特征相组合。
众所周知,使用个人可识别信息应遵循公认为满足或超过维护用户隐私的行业或政府要求的隐私政策和做法。具体地,应管理和处理个人可识别信息数据,以使无意或未经授权的访问或使用的风险最小化,并应当向用户明确说明授权使用的性质。
对本领域的技术人员而言将显而易见的是,可在不脱离本公开的实质或范围的前提下对本公开进行各种修改。因此,本公开旨在涵盖本公开的修改形式和变型形式,但前提是这些修改形式和变型形式在所附权利要求及其等同形式的范围内。

Claims (20)

1.一种用户设备(UE)的处理器,被配置为执行包括下列各项的操作:
向网络功能发送协议数据单元(PDU)修改请求,所述PDU修改请求包括加入组播广播服务(MBS)会话的请求;
生成第一密钥(KMBS-UE);
接收包括加密的第二密钥(KMBS)和对应于所述KMBS的密钥识别(KID)的PDU会话修改完成消息;以及
使用所述KMBS-UE解密所述KMBS
2.根据权利要求1所述的处理器,其中所述PDU修改请求包括所述UE正请求加入的所述MBS会话的MBS会话识别。
3.根据权利要求1所述的处理器,其中使用主认证密钥和临时移动组识别(TMGI)生成所述KMBS-UE,其中在所述UE和第二网络功能之间建立所述主认证密钥。
4.根据权利要求1所述的处理器,其中所述KMBS和所述KID中的至少一者由所述UE使用以解密MBS会话数据。
5.根据权利要求1所述的处理器,其中所述KMBS用于导出用于加密所述MBS会话数据的会话密钥。
6.一种第一网络功能,被配置为执行包括下列各项的操作:
接收用户设备(UE)正请求加入组播广播服务(MBS)会话的指示;
响应于接收到所述指示,向第二网络功能发送MBS密钥请求;
响应于所述MBS密钥请求,从所述第二网络功能接收包括第一密钥(KMBS-UE)的MBS密钥响应;
从第三网络功能接收与所述MBS会话相关的信息,其中所述信息包括第二密钥(KMBS)和对应于所述KMBS的密钥识别(KID);
生成包括所述KMBS和所述KID的PDU会话修改完成消息,其中至少所述KMBS使用所述KMBS-UE加密;以及
向所述UE发送所述PDU会话修改完成消息。
7.根据权利要求6所述的第一网络功能,其中所述第一网络功能包括接入和移动性管理功能(AMF)。
8.根据权利要求6所述的第一网络功能,其中所述KMBS和所述KID中的至少一者用于解密MBS会话数据并且所述KMBS用于导出用于加密所述MBS会话数据的会话密钥。
9.根据权利要求6所述的第一网络功能,其中所述第二网络功能包括认证服务器功能(AUSF)。
10.根据权利要求6所述的第一网络功能,其中所述第三网络功能包括会话管理功能(SMF)。
11.根据权利要求6所述的第一网络功能,其中所述指示包括由所述UE进行的PDU会话修改请求。
12.一种第一网络功能,被配置为执行包括下列各项的操作:
从用户设备(UE)接收协议数据单元(PDU)修改请求,所述PDU修改请求包括加入组播广播服务(MBS)会话的请求;
向第二网络功能发送对与所述MBS会话相关的信息的请求;
从所述第二网络功能接收与所述MBS会话相关的所述信息,其中所述信息包括所述MBS会话的密钥(KMBS)和对应于所述KMBS的密钥识别(KID);以及
向第三网络功能发送与所述MBS会话相关的所述信息。
13.根据权利要求12所述的第一网络功能,其中所述PDU修改请求包括所述UE正请求加入的所述MBS会话的MBS会话识别,并且其中所述请求包括所述MBS会话识别。
14.根据权利要求12所述的第一网络功能,其中所述第一网络功能包括会话管理功能(SMF),所述第二网络功能包括组播广播SMF(MB-SMF),并且所述第三网络功能包括接入和移动性管理功能(AMF)。
15.一种第一网络功能,所述第一网络功能被配置为执行包括下列各项的操作:
生成密钥(KMBS)和对应于MBS会话的所述KMBS的密钥识别(KID);以及
在用户设备(UE)加入所述MBS会话的过程期间向第二网络功能发送所述KMBS和所述KID。
16.根据权利要求15所述的第一网络功能,其中所述第一网络功能包括组播广播SMF(MB-SMF)、组播广播服务功能(MBSF)或组播广播用户平面功能(MB-UPF)中的一者。
17.根据权利要求15所述的第一网络功能,其中所述操作还包括:
向所述第二网络功能发送所述MBS会话的服务质量(QoS)流信息。
18.一种第一网络功能,被配置为执行包括下列各项的操作:
从第二网络功能接收组播广播服务(MBS)密钥请求;
响应于接收到所述MBS密钥请求生成第一密钥(KMBS-UE);以及
向所述第二网络功能发送包括所述KMBS-UE的MBS密钥响应。
19.根据权利要求18所述的第一网络功能,其中使用主认证密钥和临时移动组识别(TMGI)生成所述KMBS-UE,其中在UE和所述第一网络功能之间建立所述主认证密钥。
20.根据权利要求18所述的第一网络功能,其中所述第一网络功能包括认证服务器功能(AUSF)。
CN202180006299.XA 2021-05-07 2021-05-07 组播广播服务密钥 Pending CN117158010A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2021/092126 WO2022233029A1 (en) 2021-05-07 2021-05-07 Multicast broadcast service keys

Publications (1)

Publication Number Publication Date
CN117158010A true CN117158010A (zh) 2023-12-01

Family

ID=83932530

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180006299.XA Pending CN117158010A (zh) 2021-05-07 2021-05-07 组播广播服务密钥

Country Status (3)

Country Link
US (1) US20240187849A1 (zh)
CN (1) CN117158010A (zh)
WO (1) WO2022233029A1 (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9918225B2 (en) * 2014-11-03 2018-03-13 Qualcomm Incorporated Apparatuses and methods for wireless communication
US11601805B2 (en) * 2019-08-26 2023-03-07 Qualcomm Incorporated 5G broadcast/multicast security
CN112311543B (zh) * 2020-11-17 2023-04-18 中国联合网络通信集团有限公司 Gba的密钥生成方法、终端和naf网元

Also Published As

Publication number Publication date
WO2022233029A1 (en) 2022-11-10
US20240187849A1 (en) 2024-06-06

Similar Documents

Publication Publication Date Title
US11627515B2 (en) Method for supporting lawful interception of remote ProSe UE in network
EP1713289B1 (en) A method for establishing security association between the roaming subscriber and the server of the visited network
US10631162B2 (en) Method and apparatus to perform device to device communication in wireless communication network
US7995510B2 (en) Method for implementing broadcast/multicast area management in a wireless communication system
KR100836028B1 (ko) 멀티캐스트 브로드캐스트 서비스 제공 방법
US10362451B2 (en) Methods, devices, and computer program products for facilitating device-to-device communication among wireless communication devices
EP2903322B1 (en) Security management method and apparatus for group communication in mobile communication system
US20200228977A1 (en) Parameter Protection Method And Device, And System
KR102094216B1 (ko) 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템
JP2022003780A (ja) ミッションクリティカルプッシュツートーク・マルチメディアブロードキャストマルチキャストサービスサブチャネル制御メッセージの保護
KR102088848B1 (ko) 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템
US20220303767A1 (en) User Equipment Authentication and Authorization Procedure for Edge Data Network
CN116235524A (zh) 一种安全通信方法以及装置
CN116210252A (zh) 接收用于边缘计算的用户同意的网络操作
WO2010124569A1 (zh) 用户接入控制方法和系统
WO2016134543A1 (zh) 一种小区接入方法、汇聚终端和接入终端
US20240187849A1 (en) Multicast Broadcast Service Keys
US20240236675A9 (en) User Equipment Authentication and Authorization Procedure for Edge Data Network
US20240137764A1 (en) User Equipment Authentication and Authorization Procedure for Edge Data Network
WO2022032525A1 (zh) 一种组密钥分发方法及装置
CN116506810A (zh) 一种验证方法、通信装置及通信系统
CN117812590A (zh) 一种通信方法及装置、计算机可读存储介质和通信系统
WO2023223118A1 (en) Subscription identification in networks
CN116918300A (zh) 用于操作蜂窝网络的方法
CN115843447A (zh) 用户装备对边缘数据网络的接入的网络认证

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination