CN117204000A - 用于邻近服务的授权的系统与方法 - Google Patents
用于邻近服务的授权的系统与方法 Download PDFInfo
- Publication number
- CN117204000A CN117204000A CN202180097412.XA CN202180097412A CN117204000A CN 117204000 A CN117204000 A CN 117204000A CN 202180097412 A CN202180097412 A CN 202180097412A CN 117204000 A CN117204000 A CN 117204000A
- Authority
- CN
- China
- Prior art keywords
- wireless communication
- communication device
- pbsf
- message
- remote
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 73
- 238000013475 authorization Methods 0.000 title abstract description 12
- 238000004891 communication Methods 0.000 claims abstract description 452
- 230000006854 communication Effects 0.000 claims abstract description 452
- 102100021669 Stromal cell-derived factor 1 Human genes 0.000 claims abstract description 286
- 101710088580 Stromal cell-derived factor 1 Proteins 0.000 claims abstract description 286
- LUYQYZLEHLTPBH-UHFFFAOYSA-N perfluorobutanesulfonyl fluoride Chemical compound FC(F)(F)C(F)(F)C(F)(F)C(F)(F)S(F)(=O)=O LUYQYZLEHLTPBH-UHFFFAOYSA-N 0.000 claims abstract description 280
- 230000006870 function Effects 0.000 claims description 50
- 230000004044 response Effects 0.000 description 45
- 238000007726 management method Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 10
- 238000012546 transfer Methods 0.000 description 10
- 238000012795 verification Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 230000007774 longterm Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000000877 morphologic effect Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/04—Terminal devices adapted for relaying to or from another terminal or user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/18—Interfaces between hierarchically similar devices between terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
呈现了用于对邻近服务的授权的系统和方法。第一无线通信设备可以向第二无线通信设备发送消息,以使用至少一个认证和密钥管理(AKMA)服务,经由作为中继节点的第二无线通信设备来接入网络。该消息可以包括AKMA密钥标识符(A‑KID)和新鲜度参数。第一无线通信设备可以生成验证令牌,以对照第二无线通信设备的另一验证令牌进行验证。第一无线通信设备可以使用新鲜度参数和邻近服务网络功能(PBSF)密钥(KPBSF)来生成验证令牌。
Description
技术领域
本公开总体上涉及无线通信,包括但不限于用于邻近服务的授权的系统和方法。
背景技术
标准化组织第三代合作伙伴计划(Third Generation Partnership Project,3GPP)目前正在指定称作5G新空口(5G New Radio,5G NR)的新空口接口以及下一代分组核心网(Next Generation Packet Core Network,NG-CN或NGC)的过程中。5G NR将有三个主要组成部分:5G接入网(5G Access Network,5G-AN)、5G核心网(5G Core Network,5GC)和用户设备(User Equipment,UE)。为了便于使能实现不同的数据服务和要求,5GC的网元(也被称作网络功能)已经被简化,其中有些网元是基于软件的,有些是基于硬件的,以便它们可以根据需要进行调整。
发明内容
本文中公开的示例实施例旨在解决与现有技术中呈现的一个或多个难题相关的问题,以及提供在结合附图时通过参照以下详细描述将变得显而易见的附加特征。根据各种实施例,本文中公开了示例系统、方法、设备和计算机程序产品。然而,可以理解,这些实施例是通过示例的方式呈现的,而且不是限制性的,并且对于阅读过本公开的本领域普通技术人员而言将显而易见的是,可以对所公开的实施例进行各种修改,同时保留在本公开的范围内。
至少一个方面针对一种系统、方法、装置或计算机可读介质。第一无线通信设备可以向第二无线通信设备发送消息,以使用至少一个认证和密钥管理(authentication andkey management for applications,AKMA)服务,经由作为中继节点的第二无线通信设备来接入网络。该消息可以包括AKMA密钥标识符(AKMA key identifier,A-KID)和新鲜度(freshness)参数。第一无线通信服务可以生成验证令牌,以针对第二无线通信设备的另一个验证令牌进行验证。第一无线通信设备可以使用新鲜度参数和邻近服务网络功能(proximity based service function,PBSF)密钥(KPBSF)来生成验证令牌。
在一些实施例中,第一无线通信设备可以包括远程用户设备(UE)。第二无线通信设备可以包括中继UE。在一些实施例中,第一无线通信设备可以在向远程PBSF发送应用会话建立请求消息之前或在向远程PBSF发送应用会话建立请求消息之后生成KPBSF。在一些实施例中,第一无线通信设备可以使用KPBSF对新鲜度参数执行加密,以输出新鲜度参数的加密版本。第一无线通信设备可以向第二无线通信设备发送消息。该消息可以包括新鲜度参数的加密版本。在一些实施例中,第一无线通信设备可以使用KPBSF对A-KID执行加密,以输出A-KID的加密版本。第一无线通信设备可以向第二无线通信设备发送消息。该消息可以包括A-KID的加密版本。
在一些实施例中,消息还可以包括远程PBSF的标识符。在一些实施例中,远程PBSF可以使用来自第二无线通信设备或第二无线通信设备的中继PBSF的新鲜度参数以及来自AKMA锚功能(AKMA anchor function,AAnF)的KPBSF来生成另一个验证令牌。在一些实施例中,远程PBSF可以从第二无线通信设备或中继PBSF接收新鲜度参数的加密版本,并使用来自AAnF的KPBSF来对新鲜度参数进行恢复。在一些实施例中,第二无线通信设备可以直接地从远程PBSF接收另一个验证令牌,或者经由中继PBSF间接地从远程PBSF接收另一个验证令牌。在一些实施例中,第一无线通信设备可以向第二无线通信设备发送直接安全模式完成消息。第一无线通信设备可以从第二无线通信设备接收直接通信接受消息。
在一些实施例中,第一无线通信设备可以从第二无线通信设备接收与验证令牌相关联的第二新鲜度参数。第一无线通信设备可以使用该第二新鲜度参数来为第一无线通信设备和第二无线通信设备之间的通信会话生成会话密钥(Ksession)。在一些实施例中,消息可以包括服务代码。在一些实施例中,KPBSF可以与服务代码相关联,该服务代码被配置为指定或限制使用特定服务来接入网络。在一些实施例中,验证令牌可以包括验证密钥(KDIRECT)或KDIRECT的标识符(identifier,ID)中的至少一个。
至少一个方面涉及系统、方法、装置或计算机可读介质。远程邻近服务网络功能(PBSF)可以生成验证令牌,该验证令牌将由第一无线通信设备对照另一验证令牌进行验证。远程PBSF可以使用新鲜度参数和PBSF密钥(KPBSF)来生成验证令牌。第一无线通信设备可以向第二无线通信设备发送消息,以使用至少一种认证和密钥管理(AKMA)服务,经由作为中继节点的第二无线通信设备接入网络。该消息可以包括AKMA密钥标识符(A-KID)和新鲜度参数。
在一些实施例中,第一无线通信设备可以包括远程用户设备(UE)。第二无线通信设备可以包括中继UE。在一些实施例中,第一无线通信设备可以在向远程PBSF发送应用会话建立请求消息之前或在向远程PBSF发送应用会话建立请求消息之后生成KPBSF。在一些实施例中,第一无线通信设备可以使用KPBSF对新鲜度参数执行加密,以输出新鲜度参数的加密版本。第一无线通信设备可以向第二无线通信设备发送消息,该消息包括新鲜度参数的加密版本。在一些实施例中,第一无线通信设备可以使用KPBSF对A-KID执行加密,以输出A-KID的加密版本。第一无线通信设备可以向第二无线通信设备发送消息,该消息包括A-KID的加密版本。在一些实施例中,该消息还可以包括远程PBSF的标识符。在一些实施例中,远程PBSF可以使用来自第二无线通信设备或第二无线通信设备的中继PBSF的新鲜度参数以及来自AKMA锚功能(AAnF)的KPBSF来生成验证令牌。在一些实施例中,远程PBSF可以从第二无线通信设备或中继PBSF接收新鲜度参数的加密版本。远程PBSF可以使用来自AAnF的KPBSF对新鲜度参数进行恢复。
在一些实施例中,远程PBSF可以将验证令牌直接发送至第二无线通信设备,或者经由中继PBSF间接发送至第二无线通信设备。在一些实施例中,第一无线通信设备可以从第二无线通信设备接收直接安全模式完成消息。第一无线通信设备可以向第二无线通信设备发送直接通信接受消息。在一些实施例中,第一无线通信设备可以从第二无线通信设备接收与验证令牌相关联的第二新鲜度参数。第一无线通信设备可以使用该第二新鲜度参数来为第一无线通信设备和第二无线通信设备之间的通信会话生成会话密钥(Ksession)。在一些实施例中,消息可以包括服务代码,或者KPBSF可以与服务代码相关联。服务代码可以被配置为指定或限制使用特定服务来接入网络。在一些实施例中,验证令牌可以包括验证密钥(KDIRECT)或KDIRECT的标识符(ID)中的至少一个。
本文中提出的系统和方法包括第一无线通信设备使用AKMA服务经由作为中继节点的第二无线通信设备来接入网络的新颖方法(例如,UE和/或PBSF可以使用AKMA服务)。如果第一无线通信设备(例如,远程UE)尝试使用第二无线通信设备(例如,UE到网络中继)接入网络,则第一无线通信设备可以经由消息(例如,直接通信请求消息)发送/传输/传送AKMA密钥标识符(A-KID)、新鲜度参数(例如,随机数1)和/或远程PBSF的标识符(例如,远程DDNMF ID)。第一无线通信设备和/或远程PBSF可以使用KPBSF和/或新鲜度参数来单独地/独立地导出/计算/生成验证令牌(例如,KDIRECT和/或KDIRECT ID)。远程PBSF可以直接地和/或经由中继PBSF向第二无线通信设备(例如,中继UE)发送/指定/提供/传送验证令牌(例如,KDIRECT)。
附图说明
本解决方案的各种示例实施例将在下文中参考以下附图进行详细描述。提供附图仅仅是为了说明的目的,并且仅仅描述了本解决方案的示例实施例,以便于读者理解本解决方案。因此,附图不应被认为是对本解决方案的广度、范围或适用性的限制。应该注意的是,为了清楚和便于说明,这些附图不一定按比例绘制。
图1示出了根据本公开的实施例的示例蜂窝通信网络,在该示例蜂窝通信网络中可以实施本文中公开的技术;
图2示出了根据本公开的一些实施例的示例基站和用户设备终端的框图;
图3示出了根据本公开的一些实施例的用于基于用户面的架构的实施例的示例配置;
图4示出了根据本公开的一些实施例的用于认证和密钥管理(AKMA)服务的实施例的示例配置;
图5示出了根据本公开的一些实施例的用于建立应用会话的示例过程的通信图;
图6-9示出了根据本公开的一些实施例的用于通过使用另一个无线通信设备作为中继节点来接入网络的一个或多个示例过程的通信图;以及
图10示出了根据本公开的实施例的用于邻近服务的授权的示例方法的流程图。
具体实施方式
1、移动通信技术和环境
图1示出了根据本公开的实施例的示例无线通信网络和/或系统100,在该示例无线通信网络和/或系统100中可以实施本文中公开的技术。在接下来的讨论中,无线通信网络100可以是诸如蜂窝网络或窄带物联网(Narrowband Internet of Things,NB-IoT)网络之类的任意无线网络,并且在本文中被称为“网络100”。这样的示例网络100包括基站102(以下称为“BS102”;也被称为无线通信节点)和用户设备终端104(以下称为“UE 104”;也被称为无线通信设备),其可以经由通信链路110(例如,无线通信信道)以及覆盖地理区域101的小区126、130、132、134、136、138和140的簇(cluster)彼此通信。在图1中,BS102和UE 104包含在小区126的相应的地理边界内。其他小区130、132、134、136、138和140中的每一个都可以包括至少一个基站,该基站在其分配的带宽下运行,以向其预期用户提供充足的无线覆盖。
例如,BS102可以在所分配的信道传输带宽下运行,以向UE 104提供充足的覆盖。BS102和UE 104可以分别经由下行链路无线帧118和上行链路无线帧124进行通信。每个无线帧118/124可以被进一步划分成子帧120/127,子帧120/127可以包括数据符号122/128。在本公开中,BS102和UE 104在本文中被描述为“通信节点”的非限制性示例,其通常可以实践本文中公开的方法。根据本解决方案的各种实施例,这样的通信节点可以能够进行无线和/或有线通信。
图2示出了根据本解决方案的一些实施例的用于发送和接收无线通信信号(例如,OFDM/OFDMA信号)的示例无线通信系统200的框图。系统200可以包括被配置为支持本文中无需详述的公知或常规操作特征的组件和元件。在一个示出性实施例中,如上所述,系统200可以被用于在诸如图1的无线通信环境100之类的无线通信环境中传输(例如,发送和接收)数据符号,如上文描述的那样。
系统200一般地包括基站202(以下称为“BS202”)和用户设备终端204(以下称为“UE 204”)。BS202包括BS(基站)收发机模块210、BS天线212、BS处理器模块214、BS存储器模块216和网络通信模块218,每个模块根据需要经由数据通信总线220彼此耦合和互连。UE204包括UE(用户设备)收发机模块230、UE天线232、UE存储器模块234和UE处理器模块236,每个模块根据需要经由数据通信总线240彼此耦合和互连。BS202经由通信信道250与UE204通信,该通信信道250可以是任何无线信道或适合于如本文所述的数据传输的其他介质。
如本领域普通技术人员所理解,除了图2所示的模块以外,系统200还可以包括任意数量的模块。本领域技术人员应当理解的是,结合本文中公开的实施例所描述的各种说明性块、模块、电路和处理逻辑可以在硬件、计算机可读软件、固件或其任意实际组合中实施。为了清楚地说明硬件、固件和软件的这种可互换性和兼容性,各种说明性的组件、块、模块、电路和步骤通常根据其功能来描述。这样的功能性是被实施为硬件、固件,还是被实施为软件可以取决于特定应用和施加在整个系统上的设计约束。熟悉本文中描述的概念的技术人员可以针对每个特定应用以合适的方式实施这样的功能性,但是这样的实施方式的决策不应该被解释为限制本公开的范围。
根据一些实施例,UE收发机230可以在本文中被称为“上行链路”收发机230,其包括射频(radio frequency,RF)发射机和RF接收机,每个发射机和接收机均包括耦合到天线232的电路。双工开关(未显示)可以可替选地以时间双工方式将上行链路发射机或接收机耦合到上行链路天线。类似地,根据一些实施例,BS收发机210可以在本文中被称为“下行链路”收发机210,其包括射频(RF)发射机和RF接收机,每个RF发射机和接收机均包括耦合到天线212的电路。下行链路双工开关可以可替选地以时间双工方式将下行链路发射机或接收机耦合到下行链路天线212。两个收发机模块210和230的操作可以在时间上被协调,使得在下行链路发射机被耦合到下行链路天线212的同时,上行链路接收机电路被耦合到上行链路天线232,以用于接收无线传输链路250上的传输。反过来说,两个收发机模块210和230的操作可以在时间上被协调,使得在上行链路发射机被耦合到上行链路天线232的同时,下行链路接收机被耦合到下行链路天线212,以用于接收无线传输链路250上的传输。在一些实施例中,在双工方向上的变化之间存在具有最小保护时间(guard time)的紧密时间同步。
UE收发机230和基站收发机210被配置为经由无线数据通信链路250进行通信,并且与能够支持特定的无线通信协议和调制方案的适当配置的RF天线布置212/232协作。在一些说明性实施例中,UE收发机230和基站收发机210被配置为支持诸如长期演进(LongTerm Evolution,LTE)和新兴5G标准等之类的行业标准。然而,应当理解,本公开在应用上不必限于特定的标准及相关联的协议。更确切地说,UE收发机230和基站收发机210可以被配置为支持可替选的或另外的无线数据通信协议,包括未来的标准或其变体。
根据各种实施例,BS202可以是例如演进型节点B(evolved node B,eNB)、服务eNB、目标eNB、毫微微站或微微站。根据一些实施例,UE 204可以被体现在诸如移动电话、智能电话、个人数字助理(personal digital assistant,PDA)、平板电脑、膝上型计算机,可穿戴计算设备等之类的各种类型的用户设备中。处理器模块214和236可以用被设计为执行本文中描述的功能的通用处理器、内容可寻址存储器、数字信号处理器、专用集成电路、现场可编程门阵列、任何合适的可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其任意组合来实施或实现。以这种方式,处理器可以被实现为微处理器、控制器、微控制器、状态机或诸如此类。处理器也可以被实施为计算设备的组合,例如,数字信号处理器和微处理器的组合、多个微处理器、与数字信号处理器内核结合的一个或多个微处理器、或任何其他这样的配置。
此外,结合本文中公开的实施例所描述的方法或算法的步骤可以直接被体现在硬件、固件、分别由处理器模块214和236执行的软件模块、或其任意实际组合中。存储器模块216和234可以被实现为RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域公知的任何其他形式的存储介质。在这方面,存储器模块216和234可以分别被耦合到处理器模块210和230,使得处理器模块210和230可以分别从存储器模块216和234读取信息和向其写入信息。存储器模块216和234也可以被集成到它们相应的处理器模块210和230中。在一些实施例中,存储器模块216和234可以各自包括高速缓存存储器,以用于在分别由处理器模块210和230执行的指令的执行期间存储临时变量或其他中间信息。存储器模块216和234也可以各自包括非易失性存储器,以用于存储分别要由处理器模块210和230执行的指令。
网络通信模块218一般地表示基站202的硬件、软件、固件、处理逻辑、和/或其他组件,这些组件使得在基站收发机210和配置为与基站202通信的其他网络组件和通信节点之间能够进行双向通信。例如,网络通信模块218可以被配置为支持互联网或WiMAX流量。在非限制性的典型部署中,网络通信模块218提供802.3以太网接口,使得基站收发机210可以与传统的基于以太网的计算机网络进行通信。以这种方式,网络通信模块218可以包括用于到计算机网络(例如,移动交换中心(Mobile Switching Center,MSC))的连接的物理接口。如本文中相对于指定的操作或功能所用的术语“被配置用于…”、“被配置为…”及其词形变化,是指设备、组件、电路、结构、机器、信号等,其被物理地构造、编程、格式化和/或布置为执行指定的操作或功能。
开放系统互连(Open Systems Interconnection,OSI)模型(在本文中被称为“开放系统互连模型”)是一种概念和逻辑布局,其定义了开放与其他系统互连和通信的系统(例如,无线通信设备、无线通信节点)所使用的网络通信。该模型被分解成七个子组件或层,其中的每一个代表向其上下的层提供的服务的概念集合。OSI模型还定义了逻辑网络,并且通过使用不同的层协议有效地描述了计算机数据包传输。OSI模型也可以被称为七层OSI模型或七层模型。在一些实施例中,第一层可以是物理层。在一些实施例中,第二层可以是介质访问控制(Medium Access Control,MAC)层。在一些实施例中,第三层可以是无线链路控制(Radio Link Control,RLC)层。在一些实施例中,第四层可以是分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)层。在一些实施例中,第五层可以是无线资源控制(RRC)层。在一些实施例中,第六层可以是非接入层(Non Access Stratum,NAS)层或互联网协议(Internet Protocol,IP)层,而第七层是另一个层。
下文参照附图描述了本解决方案的各种示例实施例,以使本领域普通技术人员能够制造和使用本解决方案。对于本领域普通技术人员而言将显而易见的是,在阅读完本公开之后,在不脱离本解决方案的范围的情况下,可以对本文中描述的示例进行各种改变或修改。因此,本解决方案不限于本文中描述和图示的示例实施例和应用。另外,本文中公开的方法中的各步骤的具体顺序和/或层次仅仅是示例途径。基于设计偏好,所公开的方法或过程的各步骤的具体顺序或层次可以被重新布置,同时保留在本解决方案的范围内。因此,本领域普通技术人员应当理解,本文中公开的方法和技术以样本顺序呈现了各种步骤或动作,除非另有明确说明,否则本解决方案不限于呈现的具体顺序或层次。
2、用于邻近服务的授权的系统和方法
某些系统(例如,5G新空口(NR)、下一代(NG)系统、3GPP系统、和/或其他系统)可以允许/授权第一无线通信设备(例如,UE、终端、或被服务的节点)经由作为中继节点的第二无线通信设备接入网络(例如,5GC网络和/或其他网络)。例如,3GPP系统可以授权第一UE经由5G UE到网络中继(例如经由第二UE)接入5GC网络。在又一个示例中,某些系统可以授权第二UE作为中继UE来操作,以向第一UE提供对网络(例如5GC网络)的接入。在没有适当授权/认证/验证的情况下,未经授权的实体可以经由第二无线通信设备(例如UE到网络中继)接入网络(例如5GC网络和/或其他网络)。在一些实施例中,未经授权的实体可以作为第二无线通信设备操作,以不适当地提供对网络的接入(例如,未经授权的接入)。没有适当授权技术/服务的系统可能会容易受到未经授权的接入网络的尝试/攻击(例如,分布式拒绝服务(distributed denial-of-service,DDoS)攻击和/或其他类型的攻击),这可能导致(或引起)网络/系统(例如5G系统(5GS))和/或无线通信设备(例如UE到网络中继)的未经授权的服务使用。
现在参照图3,描绘了用于基于用户面的架构的实施例的配置300。在某些网络(例如5GC网络)中,一个或多个功能(诸如5G直接发现名称管理功能(5G direct discoveryname management function,DDNMF))可以被用作网络功能。5GC网络(或其他网络)可以包括诸如统一数据管理(unified data management,UDM)、用户数据存储库(user datarepository,UDR)、策略控制功能(policy control function,PCF)、接入和移动性管理功能(access and mobility management function,AMF)、网络开放功能(network exposurefunction,NEF)、会话管理功能(session management function,SMF)、用户面功能(userplane function,UPF)、和/或5G DDNMF之类的一个或多个组件/网元。从架构的角度来看,5G DDNMF可以包括/执行与由其他网络功能(例如,邻近服务(ProSe)功能的DDNMF组件))执行的一个或多个功能类似的一个或多个功能。在一些实施例中,ProSe功能可以允许多个无线通信设备(例如UE A和/或UE B)彼此检测/识别,和/或彼此直接通信。在一些实施例中,基于用户面的5G ProSe架构可以重用某些参考点,诸如图3所示的PC2和/或PC3参考点。
现在参照图4,描绘了用于认证和密钥管理(AKMA)服务的实施例的配置400。AKMA锚功能(AAnF)可以包括或对应于(或被称为)归属公共陆地移动网络(home public landmobile network,HPLMN)中的锚功能。在实施例中,AKMA AF可能无法从UE获得密钥以解密消息。因此,AKMA AF应该找个地方来拿到密钥。网络可以只有一个用于AKMA服务的AAnF(或锚功能),并且所有AAnF AF都可以连接到这个锚功能以获得密钥。AAnF可以为AKMA服务存储/维护AKMA锚定密钥(KAKMA)和/或其他网络密钥。认证服务器功能(authenticationserver function,AUSF)可以响应于由无线通信设备完成成功的主认证(例如,5G主认证)而提供/指示/指定KAKMA。在一些实施例中,AAnF可以生成/配置/创建/提供要由无线通信设备(例如,UE)和/或应用功能(application function,AF)使用的密钥材料。AAnF可以维护/存储无线通信设备的AKMA上下文。
现在参照图5,描绘了用于请求一个或多个密钥(例如,AKMA密钥)的过程500的实施例的通信图。例如,AF(例如,AKMA AF)可以经由过程500向AAnF请求一个或多个AF专用AKMA密钥。在步骤502中,无线通信设备(例如,UE)可以生成/创建/确定/配置至少一个KAKMA和/或至少一个AKMA密钥标识符(A-KID)。无线通信设备可以根据(或基于)由AUSF存储/维护的中间密钥(KAUSF)来生成/创建/配置/确定KAKMA和/或A-KID。在一些实施例中,无线通信设备可以在发起与AKMA AF的通信之前生成KAKMA和/或A-KID。如果无线通信设备发起了与AKMA AF的通信,则无线通信设备可以经由消息(例如,应用会话建立请求消息和/或其他消息)提供/指定/指示所导出的A-KID。无线通信设备可以在发送消息之前(或之后)导出/计算/确定AKMA应用密钥(KAF)。
在步骤504中,AF可以具有/访问/维护与A-KID相关联(或与之相关)的激活的上下文(active context)。如果AF(例如,AKMA AF)不具有与A-KID相关联的激活的上下文,则AF可以向具有A-KID的AAnF发送/传输/传送/广播请求(例如,Naanf_AKMA_ApplicationKey_Get请求和/或其他请求)。AF可以发送请求以获得/获取/接收用于无线通信设备的KAF。在一些实施例中,AF可以经由请求,向AAnF提供/指定/指示AF的身份(AF_ID)。例如,该请求可以包括/提供AF_ID。AF_ID可以包括或对应于AF的完全限定域名(fully qualified domainname,FQDN)、Ua*安全协议标识符和/或其他信息。Ua*安全协议标识符可以识别/指定/指示由AF和/或无线通信设备所使用的安全协议。在一些实施例中,AAnF可以验证/确认AAnF是否能够向AF提供服务。AAnF可以使用AF_ID,基于(或根据)已配置的本地策略和/或由网络存储库功能(network repository function,NRF)提供的授权信息/策略来验证AAnF是否能够提供服务。如果AAnF确认AAnF能够向AF提供服务,则执行以下过程中的一个或多个。相反,如果AAnF确认AAnF不能向AF提供服务,则AAnF可以拒绝/驳回该过程。在一些实施例中,AAnF可以验证/确认订户是否被授权使用AKMA。例如,AAnF可以根据(或基于)由A-KID所标识的KAKMA(特定于无线通信设备)的存在(或不存在),来确认订户是否被授权使用AKMA。如果KAKMA存在于AAnF中,则AAnF可以继续步骤506。如果KAKMA不存在于AAnF中,则AAnF可以继续步骤508(例如,具有错误响应)。
在步骤506中,AAnF可以根据(或基于)KAKMA来导出/计算/生成/运算KAF(例如,如果AAnF还没有KAF的话)。在步骤508中,AAnF可以向AF发送/传输/传送响应(例如,Naanf_AKMA_ApplicationKey_Get响应)。在一些实施例中,该响应可以包括/提供/指定/指示KAF和/或KAF的超时时间。KAF的超时时间可以指定/提供KAF有效的时间段。在步骤510中,AF可以向无线通信设备发送/传输/传送响应(例如,应用会话建立响应)。如果步骤508中的信息(例如,KAF和/或KAF的超时时间)指示AKMA密钥请求失败,则AF可以通过包括失败原因来拒绝/驳回该响应(例如,应用会话建立响应)。如果AF拒绝该响应,则无线通信设备可以向AKMA AF触发/发送/传送另一个请求(例如,另一个应用会话建立请求)。另一个请求可以包括/提供/指定到AKMA AF的最新A-KID。
在一些实施例中,第一无线通信设备(例如,远程UE)可以利用AKMA服务,和/或可以导出/计算/生成/确定/运算邻近服务网络功能(PBSF)密钥(KPBSF)。KPBSF可以被用作长期的邻近服务密钥。在一些实施例中,PBSF可以包括DDNMF、ProSe密钥管理功能(PKMF)和/或其他功能。第一无线通信设备可以尝试经由中继节点(例如,UE到网络中继)接入网络(例如,5GC网络)。在一些实施例中,第一无线通信设备可以通过向第二无线通信设备(例如,中继UE)发送消息(例如,直接通信请求消息和/或其他消息)来尝试接入网络(例如,经由中继节点)。该消息(例如,直接通信请求消息)可以包括/提供/指定/指示A-KID、新鲜度参数(例如,Nonce_1和/或其他新鲜度参数)、和/或远程PBSF的标识符(例如,远程DDNMF ID和/或其他标识符)。远程PBSF的标识符(和/或其他标识符)可以被用于识别/定位/找到用于第一无线通信设备的正确/合适的PBSF。
现在参照图6,描绘了用于通过使用另一无线通信设备(例如,中继UE)作为中继节点(例如,UE到网络中继)来接入网络的过程600的实施例的通信图。在步骤602中,第一无线通信设备(例如,远程UE)可以通过向远程PBSF(例如,远程DDNMF)发送消息(例如,应用会话建立请求消息和/或其他消息)来发起与远程PBSF的通信。该消息可以包括/提供/指示所导出/计算/生成的A-KID(例如,由第一无线通信设备生成)。第一无线通信设备可以在向远程PBSF发送消息之前或在向远程PBSF发送消息之后导出/生成/创建/确定KPBSF。
从步骤604到步骤608,远程PBSF可以确定远程PBSF是否具有(或能够访问)与A-KID相关联的激活的上下文。如果远程PBSF不具有(或不能访问)激活的上下文,则远程PBSF可以向远程AAnF发送/传输/传送请求(例如,Naanf_AKMA_ApplicationKey_Get请求和/或其他请求)。在一些实施例中,该请求可以包括/指示A-KID和/或其他信息。远程PBSF可以向远程AAnF发送请求,以获得/接收用于第一无线通信设备的KPBSF。在一些实施例中,远程PBSF可以在该请求中包括远程PBSF的标识符。远程AAnF可以从KAKMA中导出/计算/确定KPBSF(例如,如果远程AAnF还没有KPBSF的话)。远程AAnF可以向远程PBSF发送/传输/传送响应(例如,Naanf_AKMA_ApplicationKey_Get响应)。在特定实施例中,该响应可以包括/提供/指定/指示KPBSF和/或KPBSF的超时时间。
从步骤610到步骤612,远程PBSF可以存储/维护KPBSF和/或向第一无线通信设备(例如,远程UE)发送/传输响应(例如,应用会话建立响应)。在步骤614中,第一无线通信设备可以导出/生成/创建/确定KPBSF。在特定实施例中,如果第一无线通信设备在步骤602之前(例如,在向远程PBSF发送应用会话建立请求消息之前)没有导出KPBSF,则第一无线通信设备可以生成KPBSF。在步骤616中,第一无线通信设备可以基于(或通过使用)多种方法(例如,模型A和/或模型B)中的至少一种来发现/识别第二无线通信设备(例如,中继UE)。在步骤618中,第一无线通信设备可以向第二无线通信设备发送/传输/传送请求/消息(例如,直接通信请求)。在一些实施例中,该消息/请求可以包括/提供/指定/指示A-KID、新鲜度参数(例如,Nonce_1)和/或服务代码。该服务代码可以被配置为指定和/或限制使用特定服务来接入网络。特定服务可以通过诸如费率(例如,收费/记帐)、数据速率/限制、服务质量和/或其他方面之类的方面来描述/定义/表征,并可以由服务提供商提供/绑定/指定。服务代码可以被用于识别ProSe UE到网络中继UE(例如,中继/第二无线通信设备)提供的连接性服务,以及ProSe UE到网络中继UE将向授权用户提供服务,并且可以选择相关的安全策略或信息,例如远程UE(例如,远程/第一无线通信设备)与ProSe UE到网络中继UE之间的认证和授权所必需的安全策略或信息。第一无线通信设备可以使用KPBSF对新鲜度参数进行加密(例如,输出新鲜度参数的加密版本,从而防止第二无线通信设备获知新鲜度参数)。在一些实施例中,该消息/请求可以包括A-KID、新鲜度参数和/或远程PBSF的标识符(例如,远程DDNMF ID)。第一无线通信设备可以根据(或通过使用)KPBSF来对A-KID进行加密。
在步骤620中,第二无线通信设备(例如,中继UE)可以向中继PBSF(例如,中继DDNMF)发送/传输/传送消息(例如,直接密钥请求消息)。该消息可以包括/提供/指定被包括在从第一无线通信设备到第二无线通信设备的先前消息(例如,直接通信请求)中的一个或多个参数(例如,A-KID、新鲜度参数和/或远程PBSF的标识符)。在步骤622中,中继PBSF可以从接收到的消息(例如,直接密钥请求消息)中获得远程PBSF的标识符。中继PBSF可以向远程PBSF(例如,使用远程PBSF的标识符来标识的)发送/传输/传送Nddnmf_key_request消息(或其他消息)。在一些实施例中,中继PBSF可以从接收到的消息(例如,直接密钥请求消息)中获得/确定远程PBSF的标识符,如果该标识符被包括在接收到的消息中的话。在一些实施例中,中继PBSF可以通过使用(或根据)A-KID来获得远程PBSF的标识符(例如,如果被包括在接收到的消息(直接密钥请求消息)中的A-KID是未加密的话)。Nddnmf_key_request消息可以包括/提供/指定/指示A-KID、新鲜度参数(例如,Nonce 1和/或其他新鲜度参数)和/或其他信息。如果服务代码被包括在步骤618中(例如,在从第一无线通信设备到第二无线通信设备的直接通信请求中),则Nddnmf_key_request消息(或其他消息)可以包括服务代码。
在步骤624中,远程PBSF可以使用KPBSF(例如,在步骤610中所存储的)来对加密的A-KID、新鲜度参数和/或其他信息进行解密/恢复。远程PBSF可以导出/确定/生成第二无线通信设备的另一个验证令牌(例如,KDIRECT)。远程PBSF可以根据(或通过使用)新鲜度参数(例如,Nonce 1)和/或KPBSF(例如,由AAnF提供给远程PBSF的)来生成另一个验证令牌(例如,KDIRECT)。在一些实施例中,远程PBSF可以确定/生成诸如KDIRECT的标识符(ID)(KDIRECT ID)之类的其他验证令牌。如果远程PBSF(例如,经由Nddnmf_key_request消息)接收到服务代码,则远程PBSF可以确定第一无线通信设备是否可以使用由服务代码所指示的服务。在步骤626中,远程PBSF可以经由Nddnmf_key_response消息(或其他响应消息)向中继PBSF发送/提供/传输另一验证令牌(例如,KDIRECT和/或KDIRECT ID)。如果KDIRECT ID也是由远程PBSF导出的,则Nddnmf_key_response消息可以包括KDIRECT ID和/或向中继PBSF提供/指定KDIRECTID。在步骤628中,中继PBSF可以在响应消息(例如,直接密钥响应消息)中向第二无线通信设备转发/提供/传送/发送另一验证令牌(例如,KDIRECT和/或KDIRECT ID)。如果中继PBSF接收到KDIRECT ID,则响应消息(例如,从中继PBSF到第二无线通信设备的)可以包括/指示KDIRECTID。
在步骤630中,第二无线通信设备(例如,中继UE)可以向第一无线通信设备(例如,远程UE)发送/传输/提供命令消息(例如,直接安全模式命令消息和/或其他消息)。第二无线通信设备可以经由命令消息发送/提供/传输第二新鲜度参数。第二新鲜度参数可以被用于(例如,由第一无线通信设备)生成/创建/确定用于第一无线通信设备与第二无线通信设备之间的通信会话的会话密钥(Ksession)。如果第二无线通信设备接收到KDIRECT ID,则该命令消息可以包括/提供/指定KDIRECT ID。可以根据(或通过使用)从另一个验证令牌(例如,KDIRECT和/或KDIRECT ID)导出的(或基于)安全密钥来保护该命令消息的完整性。
在步骤632中,第一无线通信设备可以导出/生成/创建/确定至少一个验证令牌(例如,KDIRECT)。第一无线通信设备可以通过使用(或根据)新鲜度参数(例如,Nonce 1)和/或KPBSF来确定一个或多个验证令牌。第一无线通信设备可以将(例如,由第一无线通信设备生成的)一个或多个验证令牌与(例如,由第二无线通信设备导出/生成的)另外一个或多个验证令牌进行验证/比较/匹配。如果一个或多个验证令牌和另外一个或多个验证令牌匹配(或彼此对应),则经由第二无线通信设备接入网络的尝试(例如,由第一无线通信设备进行的尝试)可以被认证/验证。第二无线通信设备可以使用另一验证令牌(和/或从另一验证令牌导出的另一密钥)来对命令消息(例如,直接安全命令消息)进行保护/加密。如果第二无线通信设备向第一无线通信设备发送/提供/指示第二新鲜度参数,则第一无线通信设备可以使用该一个或多个新鲜度参数来导出/生成/确定新的密钥,以确认/验证该消息的安全性。否则,第一无线通信设备可以使用一个或多个验证令牌来确认/验证该消息的安全性。
在一些实施例中,第一无线通信设备可以导出/确定/生成KDIRECT ID。如果第二无线通信设备经由命令消息(例如,直接安全模式命令消息)发送/提供第二新鲜度参数,则第一无线通信设备可以生成/确定/创建Ksession。在一些实施例中,第二无线通信设备可以使用安全密钥(例如,KDIRECT和/或从KDIRECT导出的另一密钥)来对命令消息进行保护/加密/确保。第一无线通信设备可以执行该命令消息的安全验证。如果第一无线通信设备从第二无线通信设备接收到KDIRECT ID,则第一无线通信设备可以将接收到的KDIRECT ID(例如,从第二无线通信设备接收到的)与所生成/确定的KDIRECT ID(例如,由第一无线通信设备生成的)进行比较/匹配。如果接收到的KDIRECT ID和所生成的KDIRECT ID匹配(或彼此对应),则经由第二无线通信设备接入网络的尝试(例如,由第一无线通信设备进行的尝试)可以被认证/验证。在步骤634中,第一无线通信设备可以用完整的消息(例如,直接安全模式完成消息和/或其他消息)来响应第二无线通信设备。在步骤638中,第二无线通信设备可以向第一无线通信设备发送/传输/提供直接通信接受消息(或其他消息)。
现在参照图7,描绘了用于通过使用另一无线通信设备(例如,中继UE)作为中继节点(例如,UE到网络中继)来接入网络的过程700的实施例的通信图。在步骤702中,第一无线通信设备(例如,远程UE)可以通过向远程PBSF(例如,远程DDNMF)发送消息(例如,应用会话建立请求消息和/或其他消息)来发起与远程PBSF的通信。该消息可以包括/提供/指示所导出/计算/生成的A-KID(例如,由第一无线通信设备生成)。第一无线通信设备可以在向远程PBSF发送消息之前或在向远程PBSF发送消息之后导出/生成/创建/确定KPBSF。
从步骤704到步骤708,远程PBSF可以确定远程PBSF是否具有(或能够访问)与A-KID相关联的激活的上下文。如果远程PBSF不具有(或不能访问)激活的上下文,则远程PBSF可以向远程AAnF发送/传输/传送请求(例如,Naanf_AKMA_ApplicationKey_Get请求和/或其他请求)。在一些实施例中,该请求可以包括/指示A-KID和/或其他信息。远程PBSF可以向远程AAnF发送请求,以获得/接收用于第一无线通信设备的KPBSF。在一些实施例中,远程PBSF可以在该请求中包括远程PBSF的标识符。远程AAnF可以从KAKMA中导出/计算/确定KPBSF(例如,如果远程AAnF还没有KPBSF的话)。远程AAnF可以向远程PBSF发送/传输/传送响应(例如,Naanf_AKMA_ApplicationKey_Get响应)。在特定实施例中,该响应可以包括/提供/指定/指示KPBSF和/或KPBSF的超时时间。
从步骤710到步骤712,远程PBSF可以存储/维护KPBSF和/或向第一无线通信设备(例如,远程UE)发送/传输响应(例如,应用会话建立响应)。在步骤714中,第一无线通信设备可以导出/生成/创建/确定KPBSF。在特定实施例中,如果第一无线通信设备在步骤702之前(例如,在向远程PBSF发送应用会话建立请求消息之前)没有导出KPBSF,则第一无线通信设备可以生成KPBSF。在步骤716中,第一无线通信设备可以基于(或通过使用)多种方法(例如,模型A和/或模型B)中的至少一种来发现/识别第二无线通信设备(例如,中继UE)。在步骤718中,第一无线通信设备可以向第二无线通信设备发送/传输/传送请求/消息(例如,直接通信请求)。在一些实施例中,该消息/请求可以包括/提供/指定/指示A-KID、新鲜度参数(例如,Nonce_1)和/或服务代码。第一无线通信设备可以使用KPBSF对新鲜度参数进行加密(例如,输出新鲜度参数的加密版本,从而防止第二无线通信设备获知新鲜度参数)。在一些实施例中,该消息/请求消息(例如,直接通信请求)可以包括A-KID、新鲜度参数和/或远程PBSF的标识符(例如,远程DDNMF ID)。第一无线通信设备可以根据(或通过使用)KPBSF对A-KID进行加密。
在步骤720中,第二无线通信设备(例如,中继UE)可以向远程PBSF(例如,远程DDNMF)发送/传输/传送消息(例如,直接密钥请求消息)。在一些实施例中,如果远程PBSF的标识符被包括在接收到的消息中(例如,由第二无线通信设备接收),则第二无线通信设备可以根据(或基于)接收到的消息(例如,直接通信请求消息)中获得/获取/确定远程PBSF的标识符。在一些实施例中,第二无线通信设备可以根据(或通过使用)A-KID(例如,如果由直接通信请求消息提供的A-KID未加密的话)来获得/获取/确定远程PBSF的标识符。在一些实施例中,从第二无线通信设备到远程PBSF的消息(例如,直接密钥请求消息)可以包括/指示A-KID、新鲜度参数(例如,Nonce 1)和/或其他信息。在步骤722中,远程PBSF可以使用KPBSF(例如,在步骤710中所存储的)来对加密的A-KID、新鲜度参数和/或其他信息进行解密/恢复。远程PBSF可以导出/确定/生成第二无线通信设备的另一个验证令牌(KDIRECT)。远程PBSF可以根据(或通过使用)新鲜度参数(例如,Nonce 1)和/或KPBSF(例如,由AAnF提供给远程PBSF的)来生成另一验证令牌(例如,KDIRECT)。在一些实施例中,远程PBSF可以确定/生成诸如KDIRECT ID之类的其他验证令牌。如果远程PBSF(例如,经由直接密钥请求消息)接收到服务代码,则远程PBSF可以确定第一无线通信设备是否可以使用由服务代码所指示的服务。在步骤724中,远程PBSF可以向第二无线通信设备发送/传输/提供/指定另外一个或多个验证令牌(例如,KDIRECT和/或KDIRECT ID)。远程PBSF可以经由响应消息(例如,在直接密钥响应消息和/或其他消息中)指示另外一个或多个验证令牌。
在步骤726中,第二无线通信设备(例如,中继UE)可以向第一无线通信设备(例如,远程UE)发送/传输/提供命令消息(例如,直接安全模式命令消息和/或其他消息)。第二无线通信设备可以经由命令消息发送/提供/传输第二新鲜度参数(例如,包括在命令消息中)。第二新鲜度参数可以被用于(例如,由第一无线通信设备)生成/创建/确定Ksession(例如,用于第一无线通信设备与第二无线通信设备之间的通信会话的会话密钥)。如果第二无线通信设备接收到KDIRECT ID,则该命令消息可以包括/提供/指定KDIRECT ID。可以根据(或通过使用)从另一个验证令牌(例如,KDIRECT和/或KDIRECT ID)导出的(或基于)安全密钥来保护该命令消息的完整性。
在步骤728中,第一无线通信设备可以导出/生成/创建/确定至少一个验证令牌(例如,KDIRECT)。第一无线通信设备可以通过使用(或根据)新鲜度参数(例如,Nonce 1)和/或KPBSF来确定一个或多个验证令牌。第一无线通信设备可以将一个或多个验证令牌(例如,由第一无线通信设备生成的)与另外一个或多个验证令牌(例如,由第二无线通信设备导出/生成的)进行比较/验证/匹配。如果一个或多个验证令牌和另外一个或多个验证令牌匹配(或彼此对应),则经由第二无线通信设备接入网络的尝试(例如,由第一无线通信设备进行的尝试)可以被认证/验证。第二无线通信设备可以使用另外一个或多个验证令牌(和/或从另一个验证令牌导出的另一个密钥)来对命令消息(例如,直接安全命令消息)进行保护/加密。如果第二无线通信设备向第一无线通信设备发送/提供/指示第二新鲜度参数,则第一无线通信设备可以使用该一个或多个新鲜度参数来导出/生成/确定新的密钥,以确认/验证消息的安全性。否则,第一无线通信设备可以使用一个或多个验证令牌。
在一些实施例中,第一无线通信设备可以导出/确定/生成KDIRECT ID。如果第二无线通信设备经由命令消息(例如,直接安全模式命令消息)发送/提供第二新鲜度参数,则第一无线通信设备可以生成/确定/创建Ksession。在一些实施例中,第二无线通信设备可以使用安全密钥(例如,KDIRECT和/或从KDIRECT导出的另一个密钥)来对命令消息进行保护/加密/确保。第一无线通信设备可以执行命令消息的安全验证。如果第一无线通信设备从第二无线通信设备接收到KDIRECT ID,则第一无线通信设备可以将接收到的KDIRECT ID(例如,从第二无线通信设备接收到的)与所生成/确定的KDIRECT ID(例如,由第一无线通信设备生成的)进行比较/验证/匹配。如果接收到的KDIRECT ID和所生成的KDIRECT ID匹配(或彼此对应),则经由第二无线通信设备接入网络的尝试(例如,由第一无线通信设备进行的尝试)可以被认证/验证。在步骤730中,第一无线通信设备可以用完整的消息(例如,直接安全模式完成消息和/或其他消息)来响应第二无线通信设备。在步骤732中,第二无线通信设备可以向第一无线通信设备发送/传输/提供直接通信接受消息(或其他消息)。
现在参照图8,描绘了用于通过使用另一无线通信设备(例如,中继UE)作为中继节点(例如,UE到网络中继)来接入网络的过程800的实施例的通信图。在步骤802中,第一无线通信设备(例如,远程UE)可以在发送/传输消息之前确定/生成/导出KPBSF。在步骤804中,第一无线通信设备可以基于(或通过使用)多种方法(例如,模型A和/或模型B)中的至少一种来发现/识别/选择第二无线通信设备(例如,中继UE)。在步骤806中,第一无线通信设备可以向第二无线通信设备发送/传输/传送请求/消息(例如,直接通信请求)。在一些实施例中,该消息/请求可以包括/提供/指定/指示A-KID、新鲜度参数(例如,Nonce_1)和/或服务代码。第一无线通信设备可以使用KPBSF来对新鲜度参数进行加密(例如,输出新鲜度参数的加密版本,从而防止第二无线通信设备获知新鲜度参数)。在一些实施例中,消息/请求可以包括A-KID、新鲜度参数和/或远程PBSF的标识符(例如,远程DDNMF ID)。第一无线通信设备可以根据(或通过使用)KPBSF对A-KID进行加密。
在步骤808中,第二无线通信设备(例如,中继UE)可以向中继PBSF(例如,中继DDNMF)发送/传输/传送消息(例如,直接密钥请求消息)。该消息可以包括/提供/指定被包括在从第一无线通信设备到第二无线通信设备的先前消息(例如,直接通信请求)中的一个或多个参数(例如,A-KID、新鲜度参数和/或远程PBSF的标识符)。在步骤810中,中继PBSF可以从接收到的消息(例如,直接密钥请求消息)中获得远程PBSF的标识符。中继PBSF可以根据(或基于)远程PBSF的标识符向远程PBSF发送/传输/传送Nddnmf_key_request消息(或其他消息)。Nddnmf_key_request消息可以包括/指示/指定A-KID、新鲜度参数和/或其他信息。在一些实施例中,中继PBSF可以从接收到的消息(例如,直接密钥请求消息)中获得/确定远程PBSF的标识符,如果该标识符被包括在接收到的消息中的话。在一些实施例中,中继PBSF可以通过使用(或根据)A-KID来获得远程PBSF的标识符(例如,如果被包括在接收到的消息(直接密钥请求消息)中的A-KID是未加密的话)。Nddnmf_key_request消息可以包括/提供/指定/指示A-KID、新鲜度参数(例如,Nonce 1和/或其他新鲜度参数)和/或其他信息。如果服务代码被包括在步骤806中(例如,在从第一无线通信设备到第二无线通信设备的直接通信请求中),则Nddnmf_key_request消息(或其他消息)可以包括服务代码。
在步骤812到步骤816中,远程PBSF可以确定远程PBSF是否具有(或能够访问)与A-KID相关联的激活的上下文。如果远程PBSF不具有(或不能访问)激活的上下文,则远程PBSF可以向远程AAnF发送/传输/传送请求(例如,Naanf_AKMA_ApplicationKey_Get请求和/或其他请求)。在一些实施例中,该请求可以包括/指示A-KID和/或其他信息。远程PBSF可以向远程AAnF发送请求,以获得/接收用于第一无线通信设备的KPBSF。在一些实施例中,远程PBSF可以在该请求中包括远程PBSF的标识符。远程AAnF可以从KAKMA中导出/计算/确定KPBSF(例如,如果远程AAnF还没有KPBSF的话)。远程AAnF可以向远程PBSF发送/传输/传送响应(例如,Naanf_AKMA_ApplicationKey_Get响应)。在特定实施例中,该响应可以包括/提供/指定/指示KPBSF和/或KPBSF的超时时间。
在步骤818中,远程PBSF可以存储/维护KPBSF。远程PBSF可以使用新鲜度参数(例如,Nonce 1)、KPBSF和/或其他信息来导出/生成诸如KDIRECT和/或KDIRECT ID之类的另一验证令牌。在步骤820中,远程PBSF可以向中继PBSF发送/传输/提供/指示另外一个或多个验证令牌。远程PBSF可以经由Nddnmf_key_response消息(或其他消息)提供另外一个或多个验证令牌(例如,KDIRECT和/或KDIRECT ID)。在步骤822中,中继PBSF可以在响应消息(例如,直接密钥响应消息)中向第二无线通信设备转发/提供/发送/传输另外一个或多个验证令牌(例如,KDIRECT和/或KDIRECT ID)。如果中继PBSF接收到KDIRECT ID,则响应消息(例如,从中继PBSF到第二无线通信设备)可以包括/指示KDIRECT ID。
在步骤824中,第二无线通信设备(例如,中继UE)可以向第一无线通信设备(例如,远程UE)发送/传输/提供命令消息(例如,直接安全模式命令消息和/或其他消息)。第二无线通信设备可以经由命令消息发送/提供/传输第二新鲜度参数。第二新鲜度参数可以被用于(例如,由第一无线通信设备)生成/创建/确定用于第一无线通信设备与第二无线通信设备之间的通信会话的会话密钥(Ksession)。如果第二无线通信设备接收到KDIRECT ID,则该命令消息可以包括/提供/指定KDIRECT ID。可以根据(或通过使用)从另一个验证令牌(例如,KDIRECT和/或KDIRECT ID)导出的(或基于)安全密钥来保护该命令消息的完整性。
在步骤826中,第一无线通信设备可以导出/生成/创建/确定至少一个验证令牌(例如,KDIRECT)。第一无线通信设备可以通过使用(或根据)新鲜度参数(例如,Nonce 1)和/或KPBSF来确定一个或多个验证令牌。在一些实施例中,第一无线通信设备可以导出/确定/生成KDIRECT ID。如果第二无线通信设备经由命令消息(例如,直接安全模式命令消息)发送/提供第二新鲜度参数,则第一无线通信设备可以生成/确定/创建Ksession。在一些实施例中,第二无线通信设备可以使用安全密钥(例如,KDIRECT和/或从KDIRECT中导出的另一密钥)来对命令消息进行保护/加密。如果第一无线通信设备从第二无线通信设备接收到KDIRECT ID,则第一无线通信设备可以将接收到的KDIRECT ID(例如,从第二无线通信设备接收到的)与所生成/确定的KDIRECT ID(例如,由第一无线通信设备生成的)进行比较/验证/匹配。如果接收到的KDIRECT ID和所生成的KDIRECT ID匹配(或彼此对应),则经由第二无线通信设备接入网络的尝试(例如,第一无线通信设备的尝试)可以被认证/验证。在步骤828中,第一无线通信设备可以用完整的消息(例如,直接安全模式完成消息和/或其他消息)来响应第二无线通信设备。在步骤830中,第二无线通信设备可以向第一无线通信设备发送/传输/提供直接通信接受消息(或其他消息)。
现在参照图9,描绘了用于通过使用另一无线通信设备(例如,中继UE)作为中继节点(例如,UE到网络中继)来接入网络的过程900的实施例的通信图。在步骤902中,第一无线通信设备(例如,远程UE)可以在发送/传输消息之前确定/生成/导出KPBSF(或其他信息)。在步骤904中,第一无线通信设备可以基于(或者通过使用)多种方法(例如,模型A和/或模型B)中的至少一种来发现/识别/选择/参与第二无线通信设备(例如,中继UE)。在步骤906中,第一无线通信设备可以向第二无线通信设备发送/传输/传送请求/消息(例如,直接通信请求)。在一些实施例中,该消息/请求可以包括/提供/指定/指示A-KID、新鲜度参数(例如,Nonce_1)和/或服务代码。第一无线通信设备可以使用KPBSF对新鲜度参数进行加密(例如,输出新鲜度参数的加密版本,从而防止第二无线通信设备获知新鲜度参数)。在一些实施例中,该消息/请求可以包括A-KID、新鲜度参数和/或远程PBSF的标识符(例如,远程DDNMFID)。第一无线通信设备可以根据(或者通过使用)KPBSF对A-KID进行加密。
在步骤908中,第二无线通信设备(例如,中继UE)可以向远程PBSF PBSF(例如,远程DDNMF)发送/传输/传送消息(例如,直接密钥请求消息)。第二无线通信设备可以从接收到的消息(例如,直接通信请求消息)中获得远程PBSF的标识符。在一些实施例中,第二无线通信设备可以从接收到的消息(例如,直接密钥请求消息)中获得/确定远程PBSF的标识符,如果该标识符被包括在接收到的消息中的话。在一些实施例中,第二无线通信设备可以通过使用(或根据)A-KID来获得远程PBSF的标识符(例如,如果被包括在接收到的消息(直接通信请求消息)中的A-KID是未加密的话)。接收到的消息(例如,直接通信请求消息)消息可以包括/提供/指定/指示A-KID、新鲜度参数(例如,Nonce1和/或其他新鲜度参数)和/或其他信息。如果服务代码被包括在步骤906中(例如,在从第一无线通信设备到第二无线通信设备的直接通信请求中),则接收到的消息可以包括服务代码。在一些实施例中,直接密钥请求消息可以包括A-KID、新鲜度参数和/或其他信息。
在步骤910到步骤914中,远程PBSF可以确定远程PBSF是否具有(或能够访问)与A-KID相关联的激活的上下文。如果远程PBSF不具有(或不能访问)激活的上下文,则远程PBSF可以向远程AAnF发送/传输/传送请求(例如,Naanf_AKMA_ApplicationKey_Get请求和/或其他请求)。在一些实施例中,该请求可以包括/指示A-KID和/或其他信息。远程PBSF可以向远程AAnF发送请求,以获得/接收用于第一无线通信设备的KPBSF。在一些实施例中,远程PBSF可以在该请求中包括远程PBSF的标识符。远程AAnF可以从KAKMA中导出/计算/确定KPBSF(例如,如果远程AAnF还没有KPBSF的话)。远程AAnF可以向远程PBSF发送/传输/传送响应(例如,Naanf_AKMA_ApplicationKey_Get响应)。在特定实施例中,该响应可以包括/提供/指定/指示KPBSF和/或KPBSF的超时时间。
在步骤916中,远程PBSF可以存储/维护KPBSF(或其他信息)。远程PBSF可以使用新鲜度参数(例如,Nonce 1)、KPBSF和/或其他信息来导出/生成诸如KDIRECT和/或KDIRECT ID之类的另一验证令牌。在步骤918中,远程PBSF可以向第二无线通信设备发送/传输/提供/指示另外一个或多个验证令牌。远程PBSF可以经由直接密钥响应消息(或其他消息)提供另外一个或多个验证令牌(例如,KDIRECT和/或KDIRECT ID)。在步骤920中,第二无线通信设备(例如,中继UE)可以向第一无线通信设备(例如,远程UE)发送/传输/提供命令消息(例如,直接安全模式命令消息和/或其他消息)。第二无线通信设备可以经由命令消息发送/提供/传输第二新鲜度参数。第二新鲜度参数可以被用于(例如,由第一无线通信设备)生成/创建/确定用于第一无线通信设备与第二无线通信设备之间的通信会话的会话密钥(Ksession)。如果第二无线通信设备接收到KDIRECT ID,则该命令消息可以包括/提供/指定KDIRECT ID。可以根据(或通过使用)从另一个验证令牌(例如,KDIRECT和/或KDIRECT ID)导出的(或基于)安全密钥来保护该命令消息的完整性。
在步骤922中,第一无线通信设备可以导出/生成/创建/确定至少一个验证令牌(例如,KDIRECT和/或KDIRECT ID)。第一无线通信设备可以通过使用(或根据)新鲜度参数(例如,Nonce 1)和/或KPBSF来确定一个或多个验证令牌。在一些实施例中,第一无线通信设备可以导出/确定/生成KDIRECT ID。如果第二无线通信设备经由命令消息(例如,直接安全模式命令消息)发送/提供第二新鲜度参数,则第一无线通信设备可以生成/确定/创建Ksession。在步骤924中,第一无线通信设备可以用完整的消息(例如,直接安全模式完成消息和/或其他消息)来响应第二无线通信设备。在步骤926中,第二无线通信设备可以向第一无线通信设备发送/传输/提供直接通信接受消息(或其他消息)。
I.对邻近服务的授权
图10示出了用于邻近服务的授权的方法1050的流程图。方法1050可以使用本文中结合图1-9详述的组件和设备中的任一个来实施。综述,方法1050可以包括发送消息以使用至少一个AKMA服务接入网络(1052)。方法1050可以包括生成验证令牌以对照另一验证令牌进行验证。
现在参照操作(1052),并且在一些实施例中,第一无线通信设备(例如,远程UE)可以向第二无线通信设备(例如,中继UE)发送/传输/传送/提供消息。该消息可以包括或对应于使用至少一个AKMA服务经由作为中继节点的第二无线通信设备(例如,通过使用UE到网络中继)接入网络(例如,5GC网络)的消息。该消息可以包括/指定/指示A-KID、新鲜度参数(例如,Nonce 1)和/或其他信息。在一些实施例中,该消息可以包括服务代码。服务代码可以被配置为指定和/或限制使用特定服务来接入网络。在一些实施例中,KPBSF可以与服务代码相关联(或与之相关)。在一些实施例中,第一无线通信设备可以包括远程用户设备(UE)。在一些实施例中,第二无线通信设备可以包括中继UE。
现在参照操作(1054),并在一些实施例中,第一无线通信设备可以生成/配置/创建/导出/运算/计算验证令牌(例如,KDIRECT和/或KDIRECT ID)。在一些实施例中,该验证令牌可以包括验证密钥(KDIRECT)和/或KDIRECT的标识符(ID)中的至少一个。第一无线通信设备可以使用新鲜度参数、KPBSF和/或其他信息来生成验证令牌。KPBSF可以包括或对应于诸如DDNMF和/或ProSe密钥管理功能(PKMF)之类的PBSF功能的密钥。验证令牌可以与第二无线通信设备的另一验证令牌进行验证/认证。另一验证令牌可以包括或对应于由远程PBSF所生成/导出的KDIRECT和/或KDIRECT ID。例如,远程PBSF可以使用新鲜度参数、KPBSF和/或其他信息来生成验证令牌。KDIRECT和/或KDIRECT ID(例如,由远程PBSF生成)可以直接地(例如,经由来自远程PBSF的消息)和/或间接地(例如,经由中继PBSF)从远程PBSF提供给第二无线通信设备。在一些实施例中,该另一验证令牌可以是从KDIRECT和/或KDIRECT ID中导出(或通过使用KDIRECT和/或KDIRECT ID生成)的密钥。
在一些实施例中,第一无线通信设备可以在向远程PBSF发送应用会话建立请求消息之前或在向远程PBSF发送应用会话建立请求消息之后生成/计算/导出/确定KPBSF。例如,第一无线通信设备可以向远程PBSF发送/传输/传送应用会话建立请求消息,该应用会话建立请求消息提供/指定A-KID(和/或其他信息)。响应于接收到该应用会话建立请求消息,远程PBSF可以与远程AAnF通信,以生成/确定/配置KPBSF,其中远程PBSF可以存储/维护所生成的KPBSF。一旦远程PBSF存储KPBSF(例如,由远程AAnF生成),远程PBSF就可以向第一无线通信设备发送/传输响应(例如,应用会话建立响应)。在接收到响应时,第一无线通信设备可以生成/确定/导出其自身的KPBSF。
在一些实施例中,第一无线通信设备可以对新鲜度参数(例如,Nonce 1)和/或A-KID执行加密。例如,第一无线通信设备可以使用KPBSF(或其他密钥)来对新鲜度参数执行加密。第一无线通信设备可以执行对新鲜度参数的加密,以提供防止第二无线通信设备接入/获知新鲜度参数的保护。在另一个示例中,第一无线通信设备可以使用KPBSF来对A-KID执行加密。对新鲜度参数和/或A-KID执行加密可以输出新鲜度参数和/或A-KID的加密版本。在一些实施例中,该消息(例如,从第一无线通信设备发送到第二无线通信设备的消息)可以包括/提供/指示新鲜度参数和/或A-KID的加密版本。在一些实施例中,该消息还可以包括/提供/指定/指示远程PBSF的标识符(例如,远程DDNMF ID)。在一些实施例中,远程PBSF可以使用新鲜度参数、KPBSF和/或其他信息来生成/创建/确定另一验证令牌。例如,远程PBSF可以根据(或通过使用)来自第二无线通信设备的新鲜度参数(例如,经由直接密钥请求消息或其他消息提供的新鲜度参数)和/或来自AAnF的KPBSF(例如,经由Naanf_AKMA_ApplicationKey_Get响应或其他消息提供的KPBSF)来生成/确定另一验证令牌(例如,KDIRECT和/或KDIRECT ID)。在另一个示例中,远程PBSF可以基于(或通过使用)来自第二无线通信设备的中继PBSF的新鲜度参数(例如,经由Nddnmf_key_request消息或其他消息提供的新鲜度参数)和/或来自AAnF的KPBSF来生成另一验证令牌。
在一些实施例中,远程PBSF可以从第二无线通信设备接收/获得新鲜度参数的加密版本(例如,由第一无线通信设备根据KPBSF进行加密)。在特定实施例中,远程PBSF可以从中继PBSF接收新鲜度参数的加密版本。远程PBSF可以根据(或通过使用)来自AAnF(例如,由AAnF生成)的KPBSF来对新鲜度参数进行恢复/解密。在一些实施例中,第二无线通信设备可以直接地从远程PBSF接收/获得(例如,经由消息诸如直接密钥响应消息)另外一个或多个验证令牌(例如,KDIRECT和/或KDIRECT ID)。在特定实施例中,第二无线通信设备可以经由中继PBSF(例如,使用直接密钥响应消息,诸如在图6的步骤628中的)间接地从远程PBSF接收另外一个或多个验证令牌。在一些实施例中,第一无线通信设备可以向第二无线通信设备发送/传输/发送直接安全模式完成消息(例如,响应于第一无线通信设备生成验证令牌)。在一些实施例中,第一无线通信设备可以从第二无线通信设备接收/获得直接通信接受消息(例如,响应于第二无线通信设备接收直接安全模式完成消息)。在一些实施例中,第一无线通信设备可以从第二无线通信设备接收/获得第二新鲜度参数。该第二新鲜度参数可以与验证令牌相关联(或与之相关)。例如,第一无线通信设备可以经由使用KDIRECT(和/或从KDIRECT导出的另一个密钥)而保护/加密的消息来接收第二新鲜度参数。在一些实施例中,第一无线通信设备可以使用(或根据)第二新鲜度参数来生成/确定Ksession。第一无线通信设备可以使用Ksession来对直接安全模式命令消息(或其他消息)进行保护/加密。
尽管在上文已经描述了本解决方案的各种实施例,但是应该理解,它们只是通过示例的方式而不是通过限制的方式来呈现的。同样地,各种图可以描绘示例架构或配置,提供这些示例架构或配置是为了使本领域普通技术人员能够理解本解决方案的示例特征和功能。然而,这些人员应当理解,本解决方案不受限于所说明的示例架构或配置,而是可以使用多种可替选架构和配置来实施。此外,如本领域普通技术人员应当理解,一个实施例的一个或多个特征可以与本文所描述的另一个实施例的一个或多个特征组合。因此,本公开的广度和范围不应该受到任何上述说明性实施例的限制。
还应当理解,本文中使用诸如“第一”、“第二”等名称对元件的任何指代通常并不限制那些元件的数量或顺序。相反,这些名称可以在本文中用作在两个或更多个元件或元件实例之间进行区分的便利手段。因此,对第一和第二元件的指代并不意味着只能使用两个元件,或者第一元件必须以某种方式先于第二元件。
此外,本领域的普通技术人员应当理解,可以使用多种不同技术和工艺中的任意一种来表示信息和信号。例如,可以在上文的描述中参照的例如数据、指令、命令、信息、信号、比特和符号可以由电压、电流、电磁波、磁场或磁性粒子、光场或光学粒子,或者它们的任意组合来表示。
本领域普通技术人员还应当理解,结合本文所公开的方面描述的各种说明性逻辑块、模块、处理器、装置、电路、方法和功能中的任意一个都可以通过电子硬件(例如,数字实施方式、模拟实施方式或其二者的组合)、固件、各种形式的程序或包含指令的设计代码(为了方便起见,在本文中可以被称为“软件”或“软件模块”)、或者这些技术的任意组合来实施。为了清楚地说明这种硬件、固件和软件的可互换性,各种说明性的组件、块、模块、电路和步骤在上文已经依据其功能性进行了大体描述。这种功能性被实施为硬件、固件,还是被实施为软件,或者是被实施为这些技术的组合,取决于特定应用和对整个系统施加的设计约束。熟练的技术人员可以针对每个特定应用以各种方式实施所描述的功能性,但是这种实施方式的决策并不会导致背离本公开的范围。
此外,本领域普通技术人员应当理解,本文所述的各种说明性的逻辑块、模块、设备、组件和电路可以在集成电路(IC)内实施或由该集成电路(IC)执行,该集成电路(IC)可以包括通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑设备,或者其任意组合。逻辑块、模块和电路还可以包括天线和/或收发机,以与网络内或设备内的各种组件进行通信。通用处理器可以是微处理器,但在可替选方案中,处理器可以是任何常规的处理器、控制器或状态机。处理器也可以被实施为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器的组合、与DSP内核的结合的一个或多个微处理器、或执行本文所述的功能的任何其他合适的配置的组合。
如果以软件实施,则功能可以被存储为计算机可读介质上的一个或多个指令或代码。因此,本文所公开的方法或算法的步骤可以被实施为存储在计算机可读介质上的软件。计算机可读介质包括计算机存储介质和通信介质两者,通信介质包括使能将计算机程序或代码从一个地方传递到另一个地方的任何介质。存储介质可以是可由计算机接入的任何可用介质。作为示例而非限制,这类计算机可读介质可以包括:RAM、ROM、EEPROM、CD-ROM或其他光盘存储器、磁盘存储器或其他磁存储设备、或者可以被用于以指令或数据结构形式存储预期的程序代码并可由计算机接入的任何其他介质。
在本文档中,如本文中使用的的术语“模块”是指用于执行本文所述的关联功能的软件、固件、硬件以及这些元件的任意组合。此外,出于讨论的目的,各种模块被描述为分立的模块;然而,对于本领域的普通技术人员而言将显而易见的是,两个或更多个模块可以被组合,以形成根据本解决方案的实施例而执行关联功能的单个模块。
此外,在本解决方案的实施例中可以采用存储器或其他存储设备以及通信组件。应当理解,为了清楚起见,上文的描述参照不同的功能单元和处理器已经描述了本解决方案的实施例。然而,将显而易见的是,在不背离本解决方案的情况下,可以使用不同的功能单元、处理逻辑元件或域之间的任意合适的功能性分布。例如,被示出为由单独的处理逻辑元件或控制器要执行的功能性可以由相同的处理逻辑元件或控制器来执行。因此,对具体功能单元的参照只是对用于提供所述功能性的合适装置的参照,而不是对严格的逻辑或者物理结构或组织的指示。
对本公开所描述的实施方式的各种修改对于本领域技术人员而言将是显而易见的,并且在不脱离本公开的范围的情况下,本文所定义的一般原理可以应用于其他实施例。因此,本公开不旨在限于本文所示出的实施例,而是应当被赋予与如本文所公开的新颖特征和原理一致的最广范围,正如下文的权利要求书所陈述的。
Claims (28)
1.一种方法,包括:
由第一无线通信设备向第二无线通信设备发送消息,以使用至少一个认证和密钥管理(AKMA)服务,经由作为中继节点的所述第二无线通信设备来接入网络,所述消息包括AKMA密钥标识符(A-KID)和新鲜度参数;以及
由所述第一无线通信设备使用所述新鲜度参数和邻近服务网络功能(PBSF)密钥(KPBSF)来生成验证令牌,以对照所述第二无线通信设备的另一个验证令牌进行验证。
2.根据权利要求1所述的方法,其中,所述第一无线通信设备包括远程用户设备(UE),并且所述第二无线通信设备包括中继UE。
3.根据权利要求1所述的方法,包括:由所述第一无线通信设备在向远程PBSF发送应用会话建立请求消息之前或在向远程PBSF发送应用会话建立请求消息之后生成所述KPBSF。
4.根据权利要求3所述的方法,包括:
由所述第一无线通信设备使用所述KPBSF对所述新鲜度参数执行加密,以输出所述新鲜度参数的加密版本;以及
由所述第一无线通信设备向所述第二无线通信设备发送所述消息,所述消息包括所述新鲜度参数的加密版本。
5.根据权利要求3所述的方法,包括:
由所述第一无线通信设备使用所述KPBSF对所述A-KID执行加密,以输出所述A-KID的加密版本;以及
由所述第一无线通信设备向所述第二无线通信设备发送所述消息,所述消息包括所述A-KID的加密版本。
6.根据权利要求3所述的方法,其中,所述消息还包括所述远程PBSF的标识符。
7.根据权利要求3所述的方法,其中,所述远程PBSF使用来自所述第二无线通信设备或所述第二无线通信设备的中继PBSF的所述新鲜度参数,以及来自AKMA锚功能(AAnF)的所述KPBSF来生成另一验证令牌。
8.根据权利要求7所述的方法,其中,所述远程PBSF从所述第二无线通信设备或所述中继PBSF接收所述新鲜度参数的加密版本,并使用来自所述AAnF的KPBSF恢复所述新鲜度参数。
9.根据权利要求7所述的方法,其中,所述第二无线通信设备直接地从所述远程PBSF接收另一个验证令牌,或者经由所述中继PBSF间接地从所述远程PBSF接收另一验证令牌。
10.根据权利要求1所述的方法,包括:
由所述第一无线通信设备向所述第二无线通信设备发送直接安全模式完成消息;以及
由所述第一无线通信设备从所述第二无线通信设备接收直接通信接受消息。
11.根据权利要求1所述的方法,包括:
由所述第一无线通信设备从所述第二无线通信设备接收与所述验证令牌相关联的第二新鲜度参数;以及
由所述第一无线通信设备使用所述第二新鲜度参数来生成用于所述第一无线通信设备与所述第二无线通信设备之间的通信会话的会话密钥(Ksession)。
12.根据权利要求1所述的方法,其中,所述消息包括服务代码,或者所述KPBSF与所述服务代码相关联,所述服务代码被配置为指定或限制使用特定服务来接入网络。
13.根据权利要求1所述的方法,其中,所述验证令牌包括验证密钥(KDIRECT)或KDIRECT的标识符(ID)中的至少一个。
14.一种方法,包括:
由远程邻近服务网络功能(PBSF)使用新鲜度参数和PBSF密钥(KPBSF)来生成验证令牌,所述验证令牌将由第一无线通信设备对照另一验证令牌进行验证,
其中,所述第一无线通信设备向第二无线通信设备发送消息,以使用至少一个认证和密钥管理(AKMA)服务,经由作为中继节点的所述第二无线通信设备接入网络,所述消息包括AKMA密钥标识符(A-KID)和所述新鲜度参数。
15.根据权利要求14所述的方法,其中,所述第一无线通信设备包括远程用户设备(UE),并且所述第二无线通信设备包括中继UE。
16.根据权利要求14所述的方法,其中,所述第一无线通信设备在向远程PBSF发送应用会话建立请求消息之前或在向远程PBSF发送应用会话建立请求消息之后生成所述KPBSF。
17.根据权利要求16所述的方法,其中,所述第一无线通信设备使用所述KPBSF对所述新鲜度参数执行加密,以输出所述新鲜度参数的加密版本,并且向所述第二无线通信设备发送所述消息,所述消息包括所述新鲜度参数的加密版本。
18.根据权利要求16所述的方法,其中,所述第一无线通信设备使用所述KPBSF对所述A-KID执行加密,以输出所述A-KID的加密版本,并且向所述第二无线通信设备发送所述消息,所述消息包括所述A-KID的加密版本。
19.根据权利要求16所述的方法,其中,所述消息还包括所述远程PBSF的标识符。
20.根据权利要求16所述的方法,包括:
由所述远程PBSF使用来自所述第二无线通信设备或所述第二无线通信设备的中继PBSF的新鲜度参数,以及来自AKMA锚功能(AAnF)的KPBSF来生成验证令牌。
21.根据权利要求20所述的方法,包括:
由所述远程PBSF从所述第二无线通信设备或所述中继PBSF接收新鲜度参数的加密版本;以及
由所述远程PBSF使用来自所述AAnF的KPBSF对新鲜度参数进行恢复。
22.根据权利要求20所述的方法,包括:
由所述远程PBSF将所述验证令牌直接地发送至所述第二无线通信设备,或者经由所述中继PBSF间接地发送至所述第二无线通信设备。
23.根据权利要求14所述的方法,其中,所述第一无线通信设备向所述第二无线通信设备发送直接安全模式完成消息,并从所述第二无线通信设备接收直接通信接受消息。
24.根据权利要求14所述的方法,其中,所述第一无线通信设备从所述第二无线通信设备接收与所述验证令牌相关联的第二新鲜度参数,并且使用所述第二新鲜度参数生成用于所述第一无线通信设备与所述第二无线通信设备之间的通信会话的会话密钥(Ksession)。
25.根据权利要求14所述的方法,其中,所述消息包括服务代码,或者所述KPBSF与所述服务代码相关联,所述服务代码被配置为指定或限制使用特定服务来接入所述网络。
26.根据权利要求14所述的方法,其中,所述验证令牌包括验证密钥(KDIRECT)或KDIRECT的标识符(ID)中的至少一个。
27.一种存储指令的计算机可读存储介质,在所述指令被一个或多个处理器执行时,能够致使所述一个或多个处理器执行根据权利要求1至26中任一项所述的方法。
28.一种装置,包括一个或多个处理器,所述一个或多个处理器被配置为执行根据权利要求1至26中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2021/092674 WO2022236543A1 (en) | 2021-05-10 | 2021-05-10 | Systems and methods for authorization of proximity based services |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117204000A true CN117204000A (zh) | 2023-12-08 |
Family
ID=84027859
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180097412.XA Pending CN117204000A (zh) | 2021-05-10 | 2021-05-10 | 用于邻近服务的授权的系统与方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20240137757A1 (zh) |
| EP (1) | EP4285623A1 (zh) |
| CN (1) | CN117204000A (zh) |
| WO (1) | WO2022236543A1 (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106134232B (zh) * | 2014-03-21 | 2019-11-26 | 瑞典爱立信有限公司 | 设备到设备发现中的认证 |
| JP6773653B2 (ja) * | 2015-06-29 | 2020-10-21 | シャープ株式会社 | UE、UEの通信制御方法、ProSe機能を備える装置及びProSe機能を備える装置の通信制御方法 |
| CN106470420A (zh) * | 2015-08-17 | 2017-03-01 | 中兴通讯股份有限公司 | 业务处理方法及装置 |
| WO2017028901A1 (en) * | 2015-08-17 | 2017-02-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for direct communication key establishment |
| CN110809892B (zh) * | 2017-06-30 | 2021-12-14 | 华为技术有限公司 | 一种认证方法及终端、网络设备 |
-
2021
- 2021-05-10 WO PCT/CN2021/092674 patent/WO2022236543A1/en active Application Filing
- 2021-05-10 EP EP21941119.6A patent/EP4285623A1/en active Pending
- 2021-05-10 CN CN202180097412.XA patent/CN117204000A/zh active Pending
-
2023
- 2023-08-30 US US18/240,998 patent/US20240137757A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20240137757A1 (en) | 2024-04-25 |
| WO2022236543A1 (en) | 2022-11-17 |
| EP4285623A1 (en) | 2023-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10681545B2 (en) | Mutual authentication between user equipment and an evolved packet core | |
| US10943005B2 (en) | Secure authentication of devices for internet of things | |
| CN108781366B (zh) | 用于5g技术的认证机制 | |
| CN108028758B (zh) | 在通信系统中下载简档的方法和装置 | |
| KR101256887B1 (ko) | 티켓-기반 구성 파라미터들 확인 | |
| US11805409B2 (en) | System and method for deriving a profile for a target endpoint device | |
| US9668139B2 (en) | Secure negotiation of authentication capabilities | |
| US9515824B2 (en) | Provisioning devices for secure wireless local area networks | |
| KR20210121301A (ko) | 무선 네트워크에서 서비스 거부 공격을 완화하기 위한 방법 및 시스템 | |
| JP6757845B2 (ja) | 秘密識別子を使用するユーザ機器に関連した動作 | |
| US20150256335A1 (en) | Encryption Realization Method and System | |
| EP3777266A1 (en) | Subscriber identity privacy protection and network key management | |
| US11523277B2 (en) | Method of dynamically provisioning a key for authentication in relay device | |
| CN113615124B (zh) | 与无线设备的认证有关的方法和装置 | |
| US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
| WO2020146998A1 (en) | Method and device for preventing user tracking, storage medium and electronic device | |
| WO2011128014A1 (en) | A wireless telecommunications network, and a method of authenticating a message | |
| US20240137757A1 (en) | Systems and methods for authorization of proximity based services | |
| Santos et al. | Cross-federation identities for IoT devices in cellular networks | |
| CN115706997A (zh) | 授权验证的方法及装置 | |
| WO2023142097A1 (en) | User equipment-to-network relay security for proximity based services | |
| US20230017260A1 (en) | Access control method and communications device | |
| WO2023223118A1 (en) | Subscription identification in networks | |
| CN117203935A (zh) | 用于在按需网络中进行设置、认证、授权和用户设备(ue)密钥生成和分发的方法和装置 | |
| CN117997541A (zh) | 通信方法和通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |