CN117295068A - 一种通信方法、装置、通信设备和计算机存储介质 - Google Patents

一种通信方法、装置、通信设备和计算机存储介质 Download PDF

Info

Publication number
CN117295068A
CN117295068A CN202210701088.4A CN202210701088A CN117295068A CN 117295068 A CN117295068 A CN 117295068A CN 202210701088 A CN202210701088 A CN 202210701088A CN 117295068 A CN117295068 A CN 117295068A
Authority
CN
China
Prior art keywords
terminal
information
message
roaming
aanf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210701088.4A
Other languages
English (en)
Inventor
黄晓婷
庄小君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN202210701088.4A priority Critical patent/CN117295068A/zh
Priority to PCT/CN2023/100416 priority patent/WO2023246614A1/zh
Publication of CN117295068A publication Critical patent/CN117295068A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例公开了一种通信方法、装置、通信设备和计算机存储介质。所述方法包括:应用层认证和密钥管理(AKMA)锚点功能(AAnF)接收应用功能(AF)发送的第一消息,或者,经第一设备接收AF发送的第一消息,所述第一消息用于获取密钥;在所述AAnF检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,或者,经所述第一设备向所述AF发送第二消息,所述第二消息中至少包括密钥。

Description

一种通信方法、装置、通信设备和计算机存储介质
技术领域
本发明涉及通信技术领域,具体涉及一种通信方法、装置、通信设备和计算机存储介质。
背景技术
目前,应用层认证和密钥管理(AKMA,Authentication and Key Management forApplications)的处理流程仅针对用户设备(UE,User Equipment)在归属地,针对UE漫游到拜访网络(即漫游场景),目前并无有效解决方案。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种通信方法、装置、通信设备和计算机存储介质。
为达到上述目的,本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供了一种通信方法,所述方法包括:
AKMA锚点功能(AAnF,AKMA Anchor Function)接收应用功能(AF,ApplicationFunction)发送的第一消息,或者,经第一设备接收AF发送的第一消息,所述第一消息用于获取密钥KAF
在所述AAnF检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,或者,经所述第一设备向所述AF发送第二消息,所述第二消息中至少包括密钥KAF
上述方案中,所述AAnF位于归属网络(HPLMN,Home Public Land MobileNetwork),和/或,所述第一设备位于拜访网络(VPLMN,Visit Public Land MobileNetwork),和/或,所述AF位于VPLMN。
上述方案中,所述第一消息包括AKMA密钥标识(A-KID,AKMA-Key Identifier)和/或所述AF的标识。
上述方案中,所述方法还包括:所述AAnF基于AKMA锚点密钥(KAKMA)推衍得到所述KAF
上述方案中,所述第二消息还包括以下至少之一:
所述KAF的有效时间信息;
订阅永久标识(SUPI,Subscription Permanent Identifier);
通用公共订阅标识符(GPSI,Generic Public Subscription Identifier)。
上述方案中,所述方法还包括:所述AAnF接收鉴权服务器功能(AUSF,Authentication Server Function)发送的第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:A-KID、KAKMA、SUPI、终端的漫游信息。
上述方案中,所述终端的漫游信息包括以下至少之一:表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
上述方案中,所述终端的漫游信息是所述AUSF从统一数据管理(UDM,UnifiedData Management)处获取到的。
上述方案中,所述AUSF从UDM处获取到的所述终端的漫游信息,是与所述终端SUPI相关联的所述终端的漫游信息。
上述方案中,在接收到所述第一消息后,所述方法还包括:所述AAnF从UDM处获取终端的漫游信息,其中,所述终端的漫游信息与所述第一消息中的A-KID对应的终端相关。
上述方案中,所述AAnF检查是否能够为所述AF提供服务,包括:所述AAnF根据所述终端的漫游信息,检查是否能够为所述AF提供服务。
第二方面,本发明实施例还提供了一种通信方法,所述方法包括:
第一设备接收AF发送的第一消息,发送所述第一消息至AAnF;所述第一消息用于获取密钥KAF
在所述AAnF能够为所述AF提供服务的情况下,所述第一设备接收所述AAnF发送的第二消息,发送所述第二消息至所述AF,所述第二消息中至少包括所述KAF
上述方案中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
上述方案中,所述第一消息包括A-KID和/或所述AF的标识。
上述方案中,所述第二消息还包括以下至少之一:
所述KAF的有效时间信息;SUPI;GPSI。
第三方面,本发明实施例还提供了一种通信方法,所述方法包括:
第一设备接收AF发送的第一消息,所述第一消息用于获取密钥KAF
在所述第一设备检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,所述第二消息中至少包括所述KAF
上述方案中,所述第一消息包括A-KID和/或所述AF的标识。
上述方案中,所述方法还包括:所述第一设备接收AAnF发送的第一信息,所述第一信息包括AKMA上下文信息。
上述方案中,所述第一信息包括以下至少之一:A-KID、AKMA锚点密钥(KAKMA)、SUPI。
上述方案中,所述方法还包括:所述第一设备基于KAKMA推衍得到所述KAF
上述方案中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
第四方面,本发明实施例还提供了一种通信方法,所述方法包括:
AAnF向第一设备发送第一信息,所述第一信息包括AKMA上下文信息。
上述方案中,所述第一信息包括以下至少之一:A-KID、AKMA锚点密钥(KAKMA)、SUPI。
上述方案中,所述方法还包括:所述AAnF接收AUSF发送的第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:
A-KID、KAKMA、SUPI、终端的漫游信息。
上述方案中,所述终端的漫游信息包括以下至少之一:
表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
上述方案中,所述终端的漫游信息是所述AUSF从UDM处获取到的。
上述方案中,所述AUSF从UDM处获取到的所述终端的漫游信息,是与所述终端SUPI相关联的所述终端的漫游信息。
上述方案中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN。
第五方面,本发明实施例还提供了一种通信方法,所述方法包括:
AF向第一设备或AAnF发送第一消息,所述第一消息用于获取密钥KAF
在所述第一设备或所述AAnF检查能够为所述AF提供服务的情况下,所述AF接收所述第一设备或所述AAnF发送的第二消息,所述第二消息中至少包括密钥KAF
上述方案中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
上述方案中,所述第一消息包括AKMA密钥标识A-KID和/或所述AF的标识。
上述方案中,所述第二消息还包括以下至少之一:
所述KAF的有效时间信息;SUPI;GPSI。
第六方面,本发明实施例还提供了一种通信方法,所述方法包括:
AUSF从UDM获得认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为终端生成AKMA密钥材料的第四指示信息、所述终端的路由标识(RID)信息、所述终端的漫游信息。
上述方案中,所述终端的漫游信息包括以下至少之一:
表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
上述方案中,所述方法还包括:所述AUSF向AAnF发送第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:
A-KID、KAKMA、SUPI、所述终端的漫游信息。
第七方面,本发明实施例还提供了一种通信方法,所述方法包括:
UDM向AUSF发送认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为所述终端生成AKMA密钥材料的第四指示信息、所述终端的RID信息、所述终端的漫游信息。
上述方案中,所述终端的漫游信息包括以下至少之一:
表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
上述方案中,所述方法还包括:所述UDM接收AAnF发送的第四消息,所述第四消息用于请求终端的漫游信息;所述UDM向所述AAnF发送第五消息,所述第五消息包括所述终端的漫游信息。
第八方面,本发明实施例还提供了一种通信装置,所述装置应用于AAnF;所述装置包括:第一通信单元和第一处理单元;其中,
所述第一通信单元,用于接收AF发送的第一消息,或者,经第一设备接收AF发送的第一消息,所述第一消息用于获取密钥KAF
所述第一处理单元,用于检查是否能够为所述AF提供服务;
所述第一通信单元,还用于在所述第一处理单元检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,或者,经所述第一设备向所述AF发送第二消息,所述第二消息中至少包括密钥KAF
第九方面,本发明实施例还提供了一种通信装置,所述装置应用于第一设备;所述装置包括:第一接收单元和第一发送单元;其中,
所述第一接收单元,用于接收AF发送的第一消息,发送所述第一消息至AAnF;所述第一消息用于获取密钥KAF
所述第一发送单元,用于在所述AAnF能够为所述AF提供服务的情况下,所述第一设备接收所述AAnF发送的第二消息,发送所述第二消息至所述AF,所述第二消息中至少包括所述KAF
第十方面,本发明实施例还提供了一种通信装置,所述装置应用于第一设备;所述装置包括:第二通信单元和第二处理单元;其中,
所述第二通信单元,用于接收AF发送的第一消息,所述第一消息用于获取密钥KAF
所述第二处理单元,用于检查是否能够为所述AF提供服务;
所述第二通信单元,还用于在所述第二处理单元检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,所述第二消息中至少包括所述KAF
第十一方面,本发明实施例还提供了一种通信装置,所述装置应用于AAnF;所述装置包括:第二发送单元,用于向第一设备发送第一信息,所述第一信息包括AKMA上下文信息。
第十二方面,本发明实施例还提供了一种通信装置,所述装置应用于AF;所述装置包括:第三发送单元和第三接收单元;其中,
所述第三发送单元,用于向第一设备或AAnF发送第一消息,所述第一消息用于获取密钥KAF
所述第三接收单元,用于在所述第一设备或所述AAnF检查能够为所述AF提供服务的情况下,接收所述第一设备或所述AAnF发送的第二消息,所述第二消息中至少包括密钥KAF
第十三方面,本发明实施例还提供了一种通信装置,所述装置应用于AUSF;所述装置包括:第四接收单元,用于从UDM获得认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为终端生成AKMA密钥材料的第四指示信息、所述终端的RID信息、所述终端的漫游信息。
第十四方面,本发明实施例还提供了一种通信装置,所述装置应用于UDM;所述装置包括第五发送单元,用于向AUSF发送认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为所述终端生成AKMA密钥材料的第四指示信息、所述终端的RID信息、所述终端的漫游信息。
第十五方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例上述第一方面至第七方面任意方面所述通信方法的步骤。
第十六方面,本发明实施例还提供了一种通信设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明实施例上述第一方面至第七方面任意方面所述通信方法的步骤。
本发明实施例提供的通信方法、装置、通信设备和计算机存储介质,一方面,所述方法包括:AAnF接AF发送的第一消息,或者,经第一设备接收AF发送的第一消息,所述第一消息用于获取密钥KAF;在所述AAnF检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,或者,经所述第一设备向所述AF发送第二消息,所述第二消息中至少包括密钥KAF。通过上述交互流程实现了终端漫游到拜访网络的AKMA业务的实现。
另一方面,通过第一设备接收AF发送的第一消息,所述第一消息用于获取密钥KAF;在所述第一设备检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,所述第二消息中至少包括所述KAF。本实施方式通过在网络架构中引入第一设备,用于管理和存储从归属网络得到的AKMA密钥材料,以为在该拜访地的终端和AF提供AKMA密钥服务,减少了AF与各归属网络的交互和管理成本。
附图说明
图1为AKMA网络架构的一种示意图;
图2为AKMA网络架构的另一种示意图;
图3为本发明实施例的通信方法应用的系统架构的一种示意图;
图4a和图4b分别为本发明实施例的通信方法应用的系统架构的模型示意图;
图5为本发明实施例的通信方法的流程示意图一;
图6为本发明实施例的通信方法的流程示意图二;
图7为本发明实施例的通信方法的流程示意图三;
图8为本发明实施例的通信方法的流程示意图四;
图9为本发明实施例的通信方法的流程示意图五;
图10为本发明实施例的通信方法的流程示意图六;
图11为本发明实施例的通信方法的流程示意图七;
图12为本发明实施例的通信方法的交互流程示意图一;
图13为本发明实施例的通信方法的交互流程示意图二;
图14为本发明实施例的通信方法的交互流程示意图三;
图15为本发明实施例的通信装置的组成结构示意图一;
图16为本发明实施例的通信装置的组成结构示意图二;
图17为本发明实施例的通信装置的组成结构示意图三;
图18为本发明实施例的通信装置的组成结构示意图四;
图19为本发明实施例的通信装置的组成结构示意图五;
图20为本发明实施例的通信装置的组成结构示意图六;
图21为本发明实施例的通信装置的组成结构示意图七;
图22为本发明实施例的通信设备的硬件组成结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细的说明。
本发明实施例的技术方案可以应用于各种通信系统,例如:全球移动通讯(GSM,Global System of Mobile communication)系统、长期演进(LTE,Long Term Evolution)系统或5G系统等。可选地,5G系统或5G网络还可以称为新无线(NR,New Radio)系统或NR网络。
示例性的,本发明实施例应用的通信系统可包括网络设备和终端设备(也可称为终端、通信终端等等);网络设备可以是与终端设备通信的设备。其中,网络设备可以为一定区域范围内提供通信覆盖,并且可以与位于该区域内的终端进行通信。可选地,网络设备可以是各通信系统中的基站,例如LTE系统中的演进型基站(eNB,Evolutional Node B),又例如5G系统或NR系统中的基站(gNB)。
应理解,本申请实施例中网络/系统中具有通信功能的设备可称为通信设备。通信设备可包括具有通信功能的网络设备和终端,网络设备和终端设备可以为上文所述的具体设备,此处不再赘述;通信设备还可包括通信系统中的其他设备,例如网络控制器、移动管理实体等其他网络实体,本发明实施例中对此不做限定。
应理解,本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在对本发明实施例的技术方案进行详细说明之前,首先对AKMA的相关技术进行简要说明。
图1为AKMA网络架构示意图;如图1所示,AKMA网络架构的核心网网元主要包括:AAnF、AF、AUSF等等;其中,
AAnF是部署在归属运营商(或归属网络)内的锚点功能,AAnF为AKMA服务存储AKMA锚点密钥(KAKMA),在UE与AUSF之间成功完成5G主认证之后,由AUSF将该密钥发送给AAnF。AAnF同时也产生供UE和AF之间使用的密钥KAF,且维持UE的AKMA上下文。
具备AKMA服务的AF能够通过AKMA密钥标识(A-KID)向AAnF请求AKMA应用密钥KAF。AF在通过运营商网络的认证和授权后才能获取KAF
AUSF向AAnF提供UE的标识及AKMA密钥材料,例如包括A-KID和KAKMA等等。
目前并没有提出AKMA漫游场景下的网络架构以及响应的处理流程,而基于图1所示的AKMA网络架构,可以推向到每当UE漫游到拜访网络时,若AF也是与该拜访网络签约的应用功能时,AKMA服务的架构可能如图2所示,这样的网络架构下,一方面,对于同一个AF来讲,其会为归属于多个公共陆地移动网络(PLMN,Public Land Mobile Network)的UE提供应用服务,意味着当这些UE漫游到该AF所在拜访PLMN(VPLMN)时,且UE使用AKMA业务时,该AF需要与这些UE的归属PLMN(HPLMN)进行交互,以获取AKMA密钥材料(如KAF等)。其中,HPLMN也可称为归属网络或归属地网络,VPLMN也可称为拜访网络或拜访地网络。
另一方面,针对同一UE,可能会与其所在的拜访地的多个AF签约AKMA服务,意味着这些AF会在UE使用AKMA服务时,分别与该UE所在的HPLMN进行交互以获取AKMA密钥材料。
这样面临的问题是:1)AF需要与多个HPLMN进行交互以获取AKMA密钥材料,即AF需要与多个HPLMN有相对应的AKMA漫游协议签约,增加了AF的管理成本;2)UE与AF进行交互使用AKMA业务时,AF需要与HPLMN进行交互以获取密钥材料,增加了AKMA业务的时延。
图3为本发明实施例的通信方法应用的系统架构的示意图;图4a和图4b分别为本发明实施例的通信方法应用的系统架构的模型示意图。参照图3、图4a和图4b所示,本发明实施例中增加了部署在VPLMN的第一设备,其功能至少包括:1)作为拜访地的AF(vAF)和归属地的AAnF(HAAnF)之间的代理;2)寻址UE所对应的归属网络及HAAnF,并与该HAAnF建立安全通信;3)验证vAF的合法性,并对vAF请求AKMA密钥材料进行授权。
本发明各实施例中,所述第一设备有多种可行的实施方式,所述第一设备例如也可称为代理、代理功能、代理网元、网元、proxy、proxy function、proxy NF、网络功能(NF,Network Function)等,还可以是具有代理功能、管理功能、转发功能、密钥管理功能、密钥存储功能、密钥分发功能中的至少一个功能的设备。该第一设备可以仅具备上述网络功能,也可以具备其他网络功能,也即上述网络功能和其他网络功能合设。
实际部署或实现时,第一设备可以与VPLMN内的其他网元合设或由其他网元实现该逻辑功能。示例性的,如果VPLMN部署了AKMA业务,该代理功能可以为该VPLMN的AAnF;如果该VPLMN并未部署AKMA业务,则代理功能可以为一个独立的网元,或与该VPLMN的NEF、UPF或其他网元合设或由其他网元实现代理功能的逻辑功能。
另外,第一设备也可以为可选功能,VPLMN可以按需部署第一设备。比如,VPLMN中有多个部署在本地的AF使用了HPLMN提供的AKMA服务,为了管理和签约方便,VPLMN可选择在本地部署第一设备,用于代理这些AF与HPLMN的AANF进行交互以获取AKMA密钥;或者,部署在VPLMN的AF为多个HPLMN的UE提供服务并使用了AKMA业务,VPLMN也可选择在本地部署第一设备,用于代理这个AF与这些UE的HPLMN的AAnF进行交互以获取AKMA密钥。
在AF为第三方的AF的情况下,AF通过网络开放功能(NEF,Network ExposureFunction)与第一设备或AAnF进行交互,如图4b所示。
至少基于上述网络架构,提出本发明以下各实施例。
本发明实施例提供了一种通信方法。图5为本发明实施例的通信方法的流程示意图一;如图5所示,所述方法包括:
步骤101:AAnF接收AF发送的第一消息,或者,经第一设备接收AF发送的第一消息,所述第一消息用于获取密钥KAF
步骤102:在所述AAnF检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,或者,经所述第一设备向所述AF发送第二消息,所述第二消息中至少包括密钥KAF
在一些可选实施例中,所述AAnF位于归属网络(HPLMN),和/或,所述第一设备位于拜访网络(VPLMN),和/或,所述AF位于VPLMN。
示例性的,本实施例适用于AKMA漫游场景。例如UE漫游到拜访网络,AF也是该拜访网络签约的应用功能,则UE使用AKMA业务时,AF需要获取AKMA密钥材料,如密钥KAF。归属网络的AAnF接收来自AF的用于获取密钥KAF的第一消息,并在检查能够为所述AF提供服务的情况下,向AF发送至少包括密钥KAF的第二消息。
在一种实施方式中,在部署了第一设备的情况下,第一设备通过寻址UE对应的归属网络及AAnF,并与AAnF之间建立安全通信,第一消息经第一设备传输至AAnF;相应的,第二消息经第一设备发送至AF。在另一种实施方式中,在没有部署第一设备的情况下,则AF可查找UE对应的归属网络的AAnF,并与AAnF之间建立安全通信,AF可直接发送第一消息至AAnF;相应的,AAnF直接向AF发送第二消息。可选地,AF可向网络存储功能(NRF,NetworkRepository Function)发送查询消息,获得AAnF的相关信息(如AAnF的地址),进而基于获得的AAnF的相关信息发送第一消息。
在一些可选实施例中,所述第一消息包括A-KID和/或所述AF的标识。
在一些可选实施例中,所述方法还包括:所述AAnF基于KAKMA推衍得到所述KAF
本实施例中,在终端(或UE)与AUSF之间完成认证过程中或完成认证后,AUSF将AKMA锚点密钥(KAKMA)发送至AAnF;AAnF是归属运营商(或归属网络)内的功能,为AKMA服务存储KAKMA。AAnF在接收到第一消息后,可基于KAKMA推衍得到KAF,KAF也可称为应用密钥。
在一些可选实施例中,所述第二消息还包括以下至少之一:
所述KAF的有效时间信息;SUPI;GPSI。
本实施例中,所述KAF的有效时间信息表示KAF的有效期,或者KAF的过期时间,或者也可表示为KAF expiration time。
在本发明的一些可选实施例中,所述方法还包括:所述AAnF接收AUSF发送的第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:A-KID、KAKMA、SUPI、终端的漫游信息。
本实施例中,AAnF接收到第三消息后,对密钥进行注册。可选地,所述方法还包括:所述AAnF向AUSF发送所述第三消息的响应消息。
在一些可选实施例中,所述终端的漫游信息包括以下至少之一:表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
本实施例中,在终端未处于漫游状态的情况下,也即终端在归属网络的情况下,所述终端的漫游信息中可包括表示终端不处于漫游状态的第二指示信息。在终端处于漫游状态的情况下,也即终端在拜访网络的情况下,所述终端的漫游信息中可包括表示终端处于漫游状态的第一指示信息、漫游地信息、所述终端在漫游地的签约信息和所述终端在漫游地的策略信息中的至少一种信息。
其中,所述漫游地信息可以为指示漫游地网络(或拜访网络)的信息,例如可以为漫游地网络名称/标识等,例如服务网络名称(SN name,Service Network name)。
上述终端在漫游地的签约信息具体可以包括:终端与漫游地的业务签约列表、终端与漫游地的签约策略等。
上述终端在漫游地的策略信息具体可以包括:归属网络是否允许该终端在拜访地使用AKMA业务、拜访网络是否允许该终端使用AKMA业务、归属网络与拜访网络的业务协议、归属网络的合法监听策略、拜访网络的合法监听策略等。
在一些可选实施例中,所述终端的漫游信息是所述AUSF从UDM处获取到的。
可选地,所述AUSF从UDM处获取到的所述终端的漫游信息,是与所述终端SUPI相关联的所述终端的漫游信息。
在本发明的一些可选实施例中,在接收到所述第一消息后,所述方法还包括:所述AAnF从UDM处获取终端的漫游信息,其中,所述终端的漫游信息与所述第一消息中的A-KID对应的终端相关。
本实施例中,AAnF接收到第一消息后,可以根据第一消息中的A-KID查找到对应终端的SUPI,利用该SUPI从UDM处获取对应的终端的漫游信息。
在一些可选实施例中,所述AAnF检查是否能够为所述AF提供服务,包括:所述AAnF根据所述AF的标识,检查是否能够为所述AF提供服务。
在另一些可选实施例中,所述AAnF检查是否能够为所述AF提供服务,包括:所述AAnF根据所述终端的漫游信息,检查是否能够为所述AF提供服务。
本实施例中,所述AAnF可根据所述AF的标识,进一步结合所述终端的漫游信息(例如终端在漫游地的签约信息和/或终端在漫游地的策略信息),检查是否能够为所述AF提供服务。
基于上述实施例,本发明实施例还提供了一种通信方法。图6为本发明实施例的通信方法的流程示意图二;如图6所示,所述方法包括:
步骤201:第一设备接收AF发送的第一消息,发送所述第一消息至AAnF;所述第一消息用于获取密钥KAF
步骤202:在所述AAnF能够为所述AF提供服务的情况下,所述第一设备接收所述AAnF发送的第二消息,发送所述第二消息至所述AF,所述第二消息中至少包括所述KAF
在一些可选实施例中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
本实施例中,第一设备作为位于拜访网络的代理功能或代理设备,具有拜访地的AF和归属地的AAnF之间的代理功能,在接收到AF发送的第一消息后,通过寻址对应的归属地的AAnF,向AAnF发送所述第一消息;以及在所述AAnF能够为所述AF提供服务的情况下,接收AAnF发送的第二消息,并将第二消息发送至所述AF。
在一些可选实施例中,所述第一消息包括A-KID和/或所述AF的标识。
本实施例中,A-KID作为AKMA密钥标识,第一设备接收到第一消息后,可以根据第一消息中的A-KID查找到对应终端的标识,如SUPI,则进一步可根据终端的标识查找确定对应的归属地的AAnF的信息(如AAnF的标识和/或地址)。
在一些可选实施例中,所述第二消息还包括以下至少之一:所述KAF的有效时间信息;SUPI;GPSI。
本实施例中,所述KAF的有效时间信息表示KAF的有效期,或者KAF的过期时间,或者也可表示为KAF expiration time。
本发明实施例还提供了一种通信方法。图7为本发明实施例的通信方法的流程示意图三;如图7所示,所述方法包括:
步骤301:第一设备接收AF发送的第一消息,所述第一消息用于获取密钥KAF
步骤302:在所述第一设备检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,所述第二消息中至少包括所述KAF
在一些可选实施例中,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
示例性的,本实施例适用于AKMA漫游场景。例如UE漫游到拜访网络,AF也是该拜访网络签约的应用功能,则UE使用AKMA业务时,AF需要获取AKMA密钥材料,如密钥KAF。则第一设备作为部署于拜访网络的代理功能或代理设备,其具有验证AF的合法性,并对AF请求的AKMA密钥材料进行授权的功能。
在一些可选实施例中,所述第一消息包括A-KID和/或所述AF的标识。
本实施例中,第一设备可基于所述AF的标识检查是否能够为所述AF提供服务,并在确定能够为所述AF提供服务的情况下,确定允许将密钥KAF发送至AF。
可选地,第一设备确定没有密钥KAF的情况下,所述方法还可以包括:所述第一设备基于KAKMA推衍得到所述KAF
本实施例中,所述第一设备作为拜访地AF和归属地AAnF之间的代理,预先从AAnF获得KAKMA并存储;在检查能够为所述AF提供服务的情况下,根据预先获得的KAKMA推衍得到所述KAF
在一些可选实施例中,所述方法还包括:所述第一设备接收AAnF发送的第一信息,所述第一信息包括AKMA上下文信息。
本实施例中,第一设备接收AAnF发送的第一信息,包括几种可行的实现方式。作为一种实施方式,第一设备向AAnF发送请求消息,该请求消息用于请求AKMA上下文信息;第一设备接收AAnF发送的第一信息。作为另一种实施方式,第一设备接收AAnF主动推送的第一信息。对于上述第二种实施方式,本发明实施例中并不限定第一设备收到AAnF主动推送的第一信息与接收AF发送的第一消息的时间先后顺序。
在一些可选实施例中,所述第一信息包括以下至少之一:A-KID、KAKMA、SUPI。
可选地,所述AAnF位于HPLMN。
基于上述实施例,本发明实施例还提供了一种通信方法。图8为本发明实施例的通信方法的流程示意图四;如图8所示,所述方法包括:
步骤401:AAnF向第一设备发送第一信息,所述第一信息包括AKMA上下文信息。
在一些可选实施例中,所述第一信息包括以下至少之一:A-KID、KAKMA、SUPI。
本实施例中,AAnF向第一设备发送第一信息,可包括几种可行的实现方式。作为一种实施方式,AAnF接收第一设备发送的请求消息,该请求消息用于请求AKMA上下文信息;AAnF基于所述请求消息向第一设备发送第一信息。作为另一种实施方式,AAnF主动向第一设备推送所述第一信息。
本实施例中,AAnF可在密钥注册完成后,采用上述任一种实施方式向第一设备发送AKMA上下文信息。
在一些可选实施例中,所述方法还包括:所述AAnF接收AUSF发送的第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:A-KID、KAKMA、SUPI、终端的漫游信息。
本实施例中,上述密钥注册过程,是AUSF向AAnF发起的密钥注册过程,AUSF向AAnF发送终端的标识信息(如SUPI)以及AKMA密钥材料(如A-KID、KAKMA)等信息用于密钥注册,可选地,AUSF还可向AAnF提供终端的漫游信息。
可选地,所述终端的漫游信息包括以下至少之一:表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
本实施例中,在终端未处于漫游状态的情况下,也即终端在归属网络的情况下,所述终端的漫游信息中可包括表示终端不处于漫游状态的第二指示信息。在终端处于漫游状态的情况下,也即终端在拜访网络的情况下,所述终端的漫游信息中可包括表示终端处于漫游状态的第一指示信息、漫游地信息、所述终端在漫游地的签约信息和所述终端在漫游地的策略信息中的至少一种信息。
其中,所述漫游地信息可以为指示漫游地网络(或拜访网络)的信息,例如可以为漫游地网络名称/标识等,例如SN name。
上述终端在漫游地的签约信息具体可以包括:终端与漫游地的业务签约列表、终端与漫游地的签约策略等。
上述终端在漫游地的策略信息具体可以包括:归属网络是否允许该终端在拜访地使用AKMA业务、拜访网络是否允许该终端使用AKMA业务、归属网络与拜访网络的业务协议、归属网络的合法监听策略、拜访网络的合法监听策略等。
在一些可选实施例中,所述终端的漫游信息是所述AUSF从UDM处获取到的。
可选地,所述AUSF从UDM处获取到的所述终端的漫游信息,是与所述终端SUPI相关联的所述终端的漫游信息。
在一些可选实施例中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN。
基于上述实施例,本发明实施例还提供了一种通信方法。图9为本发明实施例的通信方法的流程示意图五;如图9所示,所述方法包括:
步骤501:AF向第一设备或AAnF发送第一消息,所述第一消息用于获取密钥KAF
步骤502:在所述第一设备或所述AAnF检查能够为所述AF提供服务的情况下,所述AF接收所述第一设备或所述AAnF发送的第二消息,所述第二消息中至少包括密钥KAF
在一些可选实施例中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
在一些可选实施例中,所述第一消息包括A-KID和/或所述AF的标识。
在一些可选实施例中,所述第二消息还包括以下至少之一:所述KAF的有效时间信息;SUPI;GPSI。
本实施例中,所述KAF的有效时间信息表示KAF的有效期,或者KAF的过期时间,或者也可表示为KAF expiration time。
本发明实施例还提供了一种通信方法。图10为本发明实施例的通信方法的流程示意图六;如图10所示,所述方法包括:
步骤601:AUSF从UDM获得认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为终端生成AKMA密钥材料的第四指示信息、所述终端的路由标识(RID,Router ID)信息、所述终端的漫游信息。
本实施例中,AUSF和UDM均位于归属网络(HPLMN)。在终端与AUSF之间的认证过程中,AUSF向UDM发送与该终端相关的认证请求,所述认证请求中可包括终端标识;UDM可基于该认证请求中的终端标识进行检查,确定所述终端的认证相关信息(或认证信息),通过认证响应向AUSF发送该认证相关信息。
本实施例中,AUSF可基于上述第三指示信息确定需要为终端生成AKMA密钥材料,例如由KAUSF推衍出KAKMA和A-KID。或者,AUSF可基于上述第四指示信息确定不需要为终端生成AKMA密钥材料。
其中,可选地,所述终端标识可以是SUPI和/或订阅隐藏标识(SUCI,SubscriptionConcealed Identifier)。
在一些可选实施例中,所述终端的漫游信息包括以下至少之一:表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
本实施例中,在终端未处于漫游状态的情况下,也即终端在归属网络的情况下,所述终端的漫游信息中可包括表示终端不处于漫游状态的第二指示信息。在终端处于漫游状态的情况下,也即终端在拜访网络的情况下,所述终端的漫游信息中可包括表示终端处于漫游状态的第一指示信息、漫游地信息、所述终端在漫游地的签约信息和所述终端在漫游地的策略信息中的至少一种信息。
其中,所述漫游地信息可以为指示漫游地网络(或拜访网络)的信息,例如可以为漫游地网络名称/标识等,例如SN name。
上述终端在漫游地的签约信息具体可以包括:终端与漫游地的业务签约列表、终端与漫游地的签约策略等。
上述终端在漫游地的策略信息具体可以包括:归属网络是否允许该终端在拜访地使用AKMA业务、拜访网络是否允许该终端使用AKMA业务、归属网络与拜访网络的业务协议、归属网络的合法监听策略、拜访网络的合法监听策略等。
在一些可选实施例中,所述方法还包括:所述AUSF向AAnF发送第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:
A-KID、KAKMA、SUPI、所述终端的漫游信息。
基于上述实施例,本发明实施例还提供了一种通信方法。图11为本发明实施例的通信方法的流程示意图七;如图11所示,所述方法包括:
步骤701:UDM向AUSF发送认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为所述终端生成AKMA密钥材料的第四指示信息、所述终端的RID信息、所述终端的漫游信息。
本实施例中,AUSF和UDM均位于归属网络(HPLMN)。在终端与AUSF之间的认证过程中,AUSF向UDM发送与该终端相关的认证请求,所述认证请求中可包括终端标识;UDM可基于该认证请求中的终端标识进行检查,确定所述终端的认证相关信息(或认证信息),通过认证响应向AUSF发送该认证相关信息。
其中,可选地,所述终端标识可以是SUPI和/或SUCI。
在一些可选实施例中,所述终端的漫游信息包括以下至少之一:表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
本实施例中,在终端未处于漫游状态的情况下,也即终端在归属网络的情况下,所述终端的漫游信息中可包括表示终端不处于漫游状态的第二指示信息。在终端处于漫游状态的情况下,也即终端在拜访网络的情况下,所述终端的漫游信息中可包括表示终端处于漫游状态的第一指示信息、漫游地信息、所述终端在漫游地的签约信息和所述终端在漫游地的策略信息中的至少一种信息。
其中,所述漫游地信息可以为指示漫游地网络(或拜访网络)的信息,例如可以为漫游地网络名称/标识等,例如SN name。
上述终端在漫游地的签约信息具体可以包括:终端与漫游地的业务签约列表、终端与漫游地的签约策略等。
上述终端在漫游地的策略信息具体可以包括:归属网络是否允许该终端在拜访地使用AKMA业务、拜访网络是否允许该终端使用AKMA业务、归属网络与拜访网络的业务协议、归属网络的合法监听策略、拜访网络的合法监听策略等。
在一些可选实施例中,所述方法还包括:所述UDM接收AAnF发送的第四消息,所述第四消息用于请求终端的漫游信息;所述UDM向所述AAnF发送第五消息,所述第五消息包括所述终端的漫游信息。
下面结合具体的示例对本发明实施例的通信方法进行详细说明。
示例一
图12为本发明实施例的通信方法的交互流程示意图一;如图12所示,所述方法包括:
步骤801:在UE与AUSF之间的主认证过程中,AUSF向UDM发送UE认证请求,所述UE认证请求中可包括UE标识。
这里,UE标识可包括SUPI和/或SUCI。
步骤802:UDM向AUSF发送UE认证响应,所述UE认证响应中可包括订阅凭证(例如AKA认证向量)和认证方法。
这里,UDM除了向AUSF返回AKMA指示(AKMA Ind)(即指示AUSF是否需要为UE生成AKMA密钥材料,例如包括A-KID和KAKMA等)和UE的RID信息外,还可能携带UE的漫游信息(即终端的漫游信息),如表示UE处于漫游状态的第一指示信息、表示UE不处于漫游状态的第二指示信息、漫游地信息(如漫游地的标识或名称)、所述UE在漫游地的签约信息、所述UE在漫游地的策略信息等。
步骤803:AUSF根据从UDM接收到的AKMA指示,AUSF在主认证过程成功完成后,由密钥KAUSF推衍出KAKMA和A-KID。相应的,UE由密钥KAUSF推衍出KAKMA和A-KID。
步骤804:AUSF寻址归属网络的AAnF并向该AAnF发送密钥注册请求,该请求消息可携带A-KID、KAKMA和UE的SUPI,还可能携带该UE的漫游信息(即终端的漫游信息),如表示UE处于漫游状态的第一指示信息、表示UE不处于漫游状态的第二指示信息、漫游地信息(如漫游地的标识或名称)、所述UE在漫游地的签约信息、所述UE在漫游地的策略信息等等。
步骤805:AAnF向AUSF发送密钥注册响应。
步骤806:UE与AF建立通信,UE向AF发送应用会话建立请求(Application SessionEstablishment Request),该请求消息中可包括A-KID。
步骤807a:在拜访网络中部署第一设备的情况下,如果AF中没有与A-KID相关联的AKMA上下文,则AF根据本地配置或策略,或根据从其他网元(如NRF)获得的策略,寻址部署在本地的第一设备,并向第一设备发送密钥获取请求,第一设备接收到该密钥获取请求后,向AAnF发送该密钥获取请求,该请求消息中可携带A-KID和AF的标识(AF ID)。
步骤807b:在拜访网络中未部署第一设备的情况下,如果AF中没有与A-KID相关联的AKMA上下文,则AF根据本地配置或策略,或根据从其他网元(如NRF)获得的策略,选择寻址归属网络的AAnF,并向AAnF发送密钥获取请求,该请求消息中可携带A-KID和AF的标识(AF ID)。
步骤808:AAnF中没有KAF的情况下,根据KAKMA推衍出AKMA应用密钥(KAF)
步骤809a:在拜访网络中部署第一设备的情况下,AAnF向第一设备发送密钥获取响应,第一设备接收到该密钥获取响应后,向AF发送该密钥获取响应,该响应消息中可携带KAF、KAF的有效时间信息(如生命周期)及SUPI。
步骤809b:在拜访网络中未部署第一设备的情况下,AAnF向AF发送密钥获取响应,该响应消息中可携带KAF、KAF的有效时间信息(如生命周期)及SUPI。
本示例中,AAnF根据配置的本地策略,或NRF提供的授权信息或策略,使用AF ID检查AAnF是否可以向AF提供服务,或者使用AF ID结合UE的漫游信息(例如UE在漫游地的签约信息和/或UE在漫游地的策略信息)检查AAnF是否可以向AF提供服务。在确定可以向AF提供服务的情况下,则执行步骤808及以后流程。否则,AAnF拒绝执行步骤808及以后流程。
步骤810:AF向UE发送应用会话建立响应(Application Session EstablishmentResponse)。
示例二
图13为本发明实施例的通信方法的交互流程示意图二;如图13所示,所述方法包括:
步骤901:在UE与AUSF之间的主认证过程中,AUSF向UDM发送UE认证请求,所述UE认证请求中可包括UE标识。
这里,UE标识可包括SUPI和/或SUCI。
步骤902:UDM向AUSF发送UE认证响应,所述UE认证响应中可包括订阅凭证(例如AKA认证向量)和认证方法。
这里,UDM除了向AUSF返回AKMA指示(AKMA Ind)(即指示AUSF是否需要为UE生成AKMA密钥材料,例如包括A-KID和KAKMA等)和UE的RID信息外,还可能携带UE的漫游信息(即终端的漫游信息),如表示UE处于漫游状态的第一指示信息、表示UE不处于漫游状态的第二指示信息、漫游地信息(如漫游地的标识或名称)、所述UE在漫游地的签约信息、所述UE在漫游地的策略信息等。
步骤903:AUSF根据从UDM接收到的AKMA指示,AUSF在主认证过程成功完成后,由KAUSF推衍出KAKMA和A-KID。相应的,UE由KAUSF推衍出KAKMA和A-KID。
步骤904:AUSF寻址归属网络的AAnF并向该AAnF发送密钥注册请求,该请求消息可携带A-KID、KAKMA和UE的SUPI,还可能携带该UE的漫游信息(即终端的漫游信息),如表示UE处于漫游状态的第一指示信息、表示UE不处于漫游状态的第二指示信息、漫游地信息(如漫游地的标识或名称)、所述UE在漫游地的签约信息、所述UE在漫游地的策略信息等等。
步骤905:AAnF向AUSF发送密钥注册响应。
步骤906:AAnF根据本地策略,向第一设备发送该UE的AKMA上下文信息,所述AKMA上下文信息包括A-KID、KAKMA等。
这里,步骤906可在步骤905之前完成,或者也可与步骤905同时执行。
步骤907:UE与AF建立通信,UE向AF发送应用会话建立请求(Application SessionEstablishment Request),该请求消息中可包括A-KID。
步骤908:如果AKMA AF中没有与A-KID相关联的AKMA上下文,则AF根据本地配置或策略,或根据从其他网元(如NRF)获得的策略,寻址部署在本地的第一设备,并向第一设备发送密钥获取请求,该请求消息中可携带A-KID和AF的标识(AF ID)。
步骤909:第一设备根据配置的本地策略,或NRF提供的授权信息或策略,使用AFID检查第一设备是否可以向AF提供服务。在确定可以向AF提供服务的情况下,执行后续流程;否则,第一设备拒绝执行后续流程。第一设备中没有KAF的情况下,根据KAKMA推衍出AKMA应用密钥(KAF)
步骤910:第一设备向AF发送密钥获取响应,该响应消息中可携带KAF、KAF的有效时间信息(如生命周期)及SUPI。
步骤911:AF向UE发送应用会话建立响应(Application Session EstablishmentResponse)。
示例三
图14为本发明实施例的通信方法的交互流程示意图三;如图14所示,所述方法包括:
步骤1001:在UE与AUSF之间的主认证过程中,AUSF向UDM发送UE认证请求,所述UE认证请求中可包括UE标识。
这里,UE标识可包括SUPI和/或SUCI。
步骤1002:UDM向AUSF发送UE认证响应,所述UE认证响应中可包括订阅凭证(例如AKA认证向量)和认证方法。
这里,UDM除了向AUSF返回AKMA指示(AKMA Ind)(即指示AUSF是否需要为UE生成AKMA密钥材料,例如包括A-KID和KAKMA等)和UE的RID信息外,还可能携带UE的漫游信息(即终端的漫游信息),如表示UE处于漫游状态的第一指示信息、表示UE不处于漫游状态的第二指示信息、漫游地信息(如漫游地的标识或名称)、所述UE在漫游地的签约信息、所述UE在漫游地的策略信息等。
步骤1003:AUSF根据从UDM接收到的AKMA指示,AUSF在主认证过程成功完成后,由KAUSF推衍出KAKMA和A-KID。相应的,UE由KAUSF推衍出KAKMA和A-KID。
步骤1004:AUSF寻址归属网络的AAnF并向该AAnF发送密钥注册请求,该请求消息可携带A-KID、KAKMA和UE的SUPI,还可能携带该UE的漫游信息(即终端的漫游信息),如表示UE处于漫游状态的第一指示信息、表示UE不处于漫游状态的第二指示信息、漫游地信息(如漫游地的标识或名称)、所述UE在漫游地的签约信息、所述UE在漫游地的策略信息等等。
步骤1005:AAnF向AUSF发送密钥注册响应。
步骤1006:UE与AF建立通信,UE向AF发送应用会话建立请求(ApplicationSession Establishment Request),该请求消息中可包括A-KID。
步骤1007a:在拜访网络中部署第一设备的情况下,如果AF中没有与A-KID相关联的AKMA上下文,则AF根据本地配置或策略,或根据从其他网元(如NRF)获得的策略,寻址部署在本地的第一设备,并向第一设备发送密钥获取请求,第一设备接收到该密钥获取请求后,向AAnF发送该密钥获取请求,该请求消息中可携带A-KID和AF的标识(AF ID)。
步骤1007b:在拜访网络中未部署第一设备的情况下,如果AF中没有与A-KID相关联的AKMA上下文,则AF根据本地配置或策略,或根据从其他网元(如NRF)获得的策略,选择寻址归属网络的AAnF,并向AAnF发送密钥获取请求,该请求消息中可携带A-KID和AF的标识(AF ID)。
步骤1008至步骤1009:AAnF接收到密钥获取请求后,向UDM发送漫游信息获取请求,请求消息中可包括SUPI;UDM可根据SUPI查询获得对应的UE的漫游信息(即终端的漫游信息),向AAnF发送漫游信息获取响应,该响应消息中包括UE的漫游信息(即终端的漫游信息)。
其中,UE的漫游信息(即终端的漫游信息)可包括:表示UE处于漫游状态的第一指示信息、表示UE不处于漫游状态的第二指示信息、漫游地信息(如漫游地的标识或名称)、所述UE在漫游地的签约信息、所述UE在漫游地的策略信息等等。
步骤1010:AAnF中没有KAF的情况下,根据KAKMA推衍出AKMA应用密钥(KAF)
步骤1011a:在拜访网络中部署第一设备的情况下,AAnF向第一设备发送密钥获取响应,第一设备接收到该密钥获取响应后,向AF发送该密钥获取响应,该响应消息中可携带KAF、KAF的有效时间信息(如生命周期)及SUPI。
步骤1011b:在拜访网络中未部署第一设备的情况下,AAnF向AF发送密钥获取响应,该响应消息中可携带KAF、KAF的有效时间信息(如生命周期)及SUPI。
本示例中,AAnF根据配置的本地策略,或NRF提供的授权信息或策略,使用AF ID检查AAnF是否可以向AF提供服务,或者使用AF ID结合UE的漫游信息(例如UE在漫游地的签约信息和/或UE在漫游地的策略信息)检查AAnF是否可以向AF提供服务。在确定可以向AF提供服务的情况下,则执行步骤1010及以后流程。否则,AAnF拒绝执行步骤1010及以后流程。
步骤1012:AF向UE发送应用会话建立响应(Application Session EstablishmentResponse)。
基于上述实施例,本发明实施例还提供了一种通信装置,所述装置应用于AAnF。图15为本发明实施例的通信装置的组成结构示意图一;如图15所示,所述装置包括:第一通信单元11和第一处理单元12;其中,
所述第一通信单元11,用于接收应用功能AF发送的第一消息,或者,经第一设备接收AF发送的第一消息,所述第一消息用于获取密钥KAF
所述第一处理单元12,用于检查是否能够为所述AF提供服务;
所述第一通信单元11,还用于在所述第一处理单元12检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,或者,经所述第一设备向所述AF发送第二消息,所述第二消息中至少包括密钥KAF
在本发明的一些可选实施例中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
在本发明的一些可选实施例中,所述第一消息包括A-KID和/或所述AF的标识。
在本发明的一些可选实施例中,所述第一处理单元12,还用于基于KAKMA推衍得到所述KAF
在本发明的一些可选实施例中,所述第二消息还包括以下至少之一:
所述KAF的有效时间信息;SUPI;GPSI。
在本发明的一些可选实施例中,所述第一通信单元11,还用于接收AUSF发送的第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:
A-KID、KAKMA、SUPI、终端的漫游信息。
在本发明的一些可选实施例中,所述终端的漫游信息包括以下至少之一:
表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
在本发明的一些可选实施例中,所述终端的漫游信息是所述AUSF从UDM处获取到的。
在本发明的一些可选实施例中,所述AUSF从UDM处获取到的所述终端的漫游信息,是与所述终端SUPI相关联的所述终端的漫游信息。
在本发明的一些可选实施例中,所述第一通信单元11,还用于在接收到所述第一消息后,从UDM处获取终端的漫游信息,其中,所述终端的漫游信息与所述第一消息中的A-KID对应的终端相关。
在本发明的一些可选实施例中,所述第一处理单元12,用于根据所述终端的漫游信息,检查是否能够为所述AF提供服务。
本发明实施例中,所述装置中的第一处理单元12,在实际应用中可由中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital Signal Processor)、微控制单元(MCU,Microcontroller Unit)或可编程门阵列(FPGA,Field-ProgrammableGate Array)实现;所述装置中的第一通信单元11,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
本发明实施例还提供了一种通信装置,所述装置应用于第一设备。图16为本发明实施例的通信装置的组成结构示意图二;如图16所示,所述装置包括:第一接收单元21和第一发送单元22;其中,
所述第一接收单元21,用于接收AF发送的第一消息,发送所述第一消息至AAnF;所述第一消息用于获取密钥KAF
所述第一发送单元22,用于在所述AAnF能够为所述AF提供服务的情况下,所述第一设备接收所述AAnF发送的第二消息,发送所述第二消息至所述AF,所述第二消息中至少包括所述KAF
在本发明的一些可选实施例中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
在本发明的一些可选实施例中,所述第一消息包括A-KID和/或所述AF的标识。
在本发明的一些可选实施例中,所述第二消息还包括以下至少之一:
所述KAF的有效时间信息;SUPI;GPSI。
本发明实施例中,所述装置中的第一接收单元21和第一发送单元22,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
本发明实施例还提供了一种通信装置,所述装置应用于第一设备。图17为本发明实施例的通信装置的组成结构示意图三;如图17所示,所述装置包括:第二通信单元31和第二处理单元32;其中,
所述第二通信单元31,用于接收AF发送的第一消息,所述第一消息用于获取密钥KAF
所述第二处理单元32,用于检查是否能够为所述AF提供服务;
所述第二通信单元31,还用于在所述第二处理单元32检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,所述第二消息中至少包括所述KAF
在本发明的一些可选实施例中,所述第一消息包括A-KID和/或所述AF的标识。
在本发明的一些可选实施例中,所述第二通信单元31,还用于接收AAnF发送的第一信息,所述第一信息包括AKMA上下文信息。
在本发明的一些可选实施例中,所述第一信息包括以下至少之一:A-KID、KAKMA、SUPI。
在本发明的一些可选实施例中,所述第二处理单元32,还用于基于KAKMA推衍得到所述KAF
在本发明的一些可选实施例中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
本发明实施例中,所述装置中的第二处理单元32,在实际应用中可由CPU、DSP、MCU或FPGA实现;所述装置中的第二通信单元31,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
本发明实施例还提供了一种通信装置,所述装置应用于AAnF。图18为本发明实施例的通信装置的组成结构示意图四;如图18所示,所述装置包括:第二发送单元41,用于向第一设备发送第一信息,所述第一信息包括AKMA上下文信息。
在本发明的一些可选实施例中,所述第一信息包括以下至少之一:A-KID、KAKMA、SUPI。
在本发明的一些可选实施例中,所述装置还包括第二接收单元42,用于接收AUSF发送的第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:
A-KID、KAKMA、SUPI、终端的漫游信息。
在本发明的一些可选实施例中,所述终端的漫游信息包括以下至少之一:
表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
在本发明的一些可选实施例中,所述终端的漫游信息是所述AUSF从UDM处获取到的。
在本发明的一些可选实施例中,所述AUSF从UDM处获取到的所述终端的漫游信息,是与所述终端SUPI相关联的所述终端的漫游信息。
在本发明的一些可选实施例中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN。
本发明实施例中,所述装置中的第二接收单元42和第二发送单元41,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
本发明实施例还提供了一种通信装置,所述装置应用于AF。图19为本发明实施例的通信装置的组成结构示意图五;如图19所示,所述装置包括:第三发送单元51和第三接收单元52;其中,
所述第三发送单元51,用于向第一设备或AAnF发送第一消息,所述第一消息用于获取密钥KAF
所述第三接收单元52,用于在所述第一设备或所述AAnF检查能够为所述AF提供服务的情况下,接收所述第一设备或所述AAnF发送的第二消息,所述第二消息中至少包括密钥KAF
在本发明的一些可选实施例中,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
在本发明的一些可选实施例中,所述第一消息包括A-KID和/或所述AF的标识。
在本发明的一些可选实施例中,所述第二消息还包括以下至少之一:
所述KAF的有效时间信息;SUPI;GPSI。
本发明实施例中,所述装置中的第三接收单元52和第三发送单元51,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
本发明实施例还提供了一种通信装置,所述装置应用于AUSF。图20为本发明实施例的通信装置的组成结构示意图六;如图20所示,所述装置包括:第四接收单元61,用于从UDM获得认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为终端生成AKMA密钥材料的第四指示信息、所述终端的RID信息、所述终端的漫游信息。
在本发明的一些可选实施例中,所述终端的漫游信息包括以下至少之一:
表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
在本发明的一些可选实施例中,所述装置还包括第四发送单元62,用于向AAnF发送第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:
A-KID、KAKMA、SUPI、所述终端的漫游信息。
本发明实施例中,所述装置中的第四接收单元61和第四发送单元62,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
本发明实施例还提供了一种通信装置,所述装置应用于UDM。图21为本发明实施例的通信装置的组成结构示意图七;如图21所示,所述装置包括第五发送单元71,用于向AUSF发送认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为所述终端生成AKMA密钥材料的第四指示信息、所述终端的RID信息、所述终端的漫游信息。
在本发明的一些可选实施例中,所述终端的漫游信息包括以下至少之一:
表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
在本发明的一些可选实施例中,所述装置还包括第五接收单元72,用于接收AAnF发送的第四消息,所述第四消息用于请求终端的漫游信息;
所述UDM向所述AAnF发送第五消息,所述第五消息包括所述终端的漫游信息。
本发明实施例中,所述装置中的第五接收单元72和第五发送单元71,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
需要说明的是:上述实施例提供的通信装置在进行通信时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的通信装置与通信方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例还提供了一种通信设备,所述通信设备例如为AAnF、第一设备、AF、AUSF或UDM。图22为本发明实施例的通信设备的硬件组成结构示意图,如图22所示,所述通信设备包括存储器82、处理器81及存储在存储器82上并可在处理器81上运行的计算机程序,所述处理器81执行所述程序时实现本发明实施例应用于AAnF中的通信方法的步骤;或者,所述处理器81执行所述程序时实现本发明实施例应用于第一设备中的通信方法的步骤;或者,所述处理器81执行所述程序时实现本发明实施例应用于AF中的通信方法的步骤;或者,所述处理器81执行所述程序时实现本发明实施例应用于AUSF中的通信方法的步骤;或者,所述处理器81执行所述程序时实现本发明实施例应用于UDM中的通信方法的步骤。
可选地,通信设备还包括至少一个网络接口83。其中,通信设备中的各个组件通过总线系统84耦合在一起。可理解,总线系统84用于实现这些组件之间的连接通信。总线系统84除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图22中将各种总线都标为总线系统84。
可以理解,存储器82可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,Ferromagnetic Random Access Memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器82旨在包括但不限于这些和任意其它适合类型的存储器。
上述本发明实施例揭示的方法可以应用于处理器81中,或者由处理器81实现。处理器81可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器81中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器81可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器81可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器82,处理器81读取存储器82中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,通信设备可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、MCU、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述方法。
在示例性实施例中,本发明实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器82,上述计算机程序可由通信设备的处理器81执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
本发明实施例还提供的计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例应用于AAnF的所述通信方法的步骤;或者,该程序被处理器执行时实现本发明实施例应用于第一设备的所述通信方法的步骤;或者,该程序被处理器执行时实现本发明实施例应用于AF的所述通信方法的步骤;或者,该程序被处理器执行时实现本发明实施例应用于AUSF的所述通信方法的步骤;或者,该程序被处理器执行时实现本发明实施例应用于UDM的所述通信方法的步骤。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (47)

1.一种通信方法,其特征在于,所述方法包括:
应用层认证和密钥管理AKMA锚点功能AAnF接收应用功能AF发送的第一消息,或者,经第一设备接收AF发送的第一消息,所述第一消息用于获取密钥KAF
在所述AAnF检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,或者,经所述第一设备向所述AF发送第二消息,所述第二消息中至少包括密钥KAF
2.根据权利要求1所述的方法,其特征在于,所述AAnF位于归属网络HPLMN,和/或,所述第一设备位于拜访网络VPLMN,和/或,所述AF位于拜访网络VPLMN。
3.根据权利要求1所述的方法,其特征在于,所述第一消息包括AKMA密钥标识A-KID和/或所述AF的标识。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述AAnF基于AKMA锚点密钥KAKMA推衍得到所述KAF
5.根据权利要求1所述的方法,其特征在于,所述第二消息还包括以下至少之一:
所述KAF的有效时间信息;
订阅永久标识SUPI;
通用公共订阅标识符GPSI。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述方法还包括:
所述AAnF接收鉴权服务器功能AUSF发送的第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:
A-KID、KAKMA、SUPI、终端的漫游信息。
7.根据权利要求6所述的方法,其特征在于,所述终端的漫游信息包括以下至少之一:
表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
8.根据权利要求6所述的方法,其特征在于,所述终端的漫游信息是所述AUSF从统一数据管理UDM处获取到的。
9.根据权利要求8所述的方法,其特征在于,所述AUSF从UDM处获取到的所述终端的漫游信息,是与所述终端SUPI相关联的所述终端的漫游信息。
10.根据权利要求3所述的方法,其特征在于,在接收到所述第一消息后,所述方法还包括:
所述AAnF从UDM处获取终端的漫游信息,其中,所述终端的漫游信息与所述第一消息中的A-KID对应的终端相关。
11.根据权利要求6至10任一项所述的方法,其特征在于,所述AAnF检查是否能够为所述AF提供服务,包括:
所述AAnF根据所述终端的漫游信息,检查是否能够为所述AF提供服务。
12.一种通信方法,其特征在于,所述方法包括:
第一设备接收AF发送的第一消息,发送所述第一消息至AAnF;所述第一消息用于获取密钥KAF
在所述AAnF能够为所述AF提供服务的情况下,所述第一设备接收所述AAnF发送的第二消息,发送所述第二消息至所述AF,所述第二消息中至少包括所述KAF
13.根据权利要求12所述的方法,其特征在于,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
14.根据权利要求12所述的方法,其特征在于,所述第一消息包括AKMA密钥标识A-KID和/或所述AF的标识。
15.根据权利要求12所述的方法,其特征在于,所述第二消息还包括以下至少之一:
所述KAF的有效时间信息;
订阅永久标识SUPI;
通用公共订阅标识符GPSI。
16.一种通信方法,其特征在于,所述方法包括:
第一设备接收AF发送的第一消息,所述第一消息用于获取密钥KAF
在所述第一设备检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,所述第二消息中至少包括所述KAF
17.根据权利要求16所述的方法,其特征在于,所述第一消息包括A-KID和/或所述AF的标识。
18.根据权利要求16所述的方法,其特征在于,所述方法还包括:
所述第一设备接收AAnF发送的第一信息,所述第一信息包括AKMA上下文信息。
19.根据权利要求18所述的方法,其特征在于,所述第一信息包括以下至少之一:A-KID、AKMA锚点密钥KAKMA、SUPI。
20.根据权利要求19所述的方法,其特征在于,所述方法还包括:
所述第一设备基于KAKMA推衍得到所述KAF
21.根据权利要求18所述的方法,其特征在于,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
22.一种通信方法,其特征在于,所述方法包括:
AAnF向第一设备发送第一信息,所述第一信息包括AKMA上下文信息。
23.根据权利要求22所述的方法,其特征在于,所述第一信息包括以下至少之一:A-KID、AKMA锚点密钥KAKMA、SUPI。
24.根据权利要求22所述的方法,其特征在于,所述方法还包括:
所述AAnF接收AUSF发送的第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:
A-KID、KAKMA、SUPI、终端的漫游信息。
25.根据权利要求24所述的方法,其特征在于,所述终端的漫游信息包括以下至少之一:
表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
26.根据权利要求25所述的方法,其特征在于,所述终端的漫游信息是所述AUSF从UDM处获取到的。
27.根据权利要求26所述的方法,其特征在于,所述AUSF从UDM处获取到的所述终端的漫游信息,是与所述终端SUPI相关联的所述终端的漫游信息。
28.根据权利要求22所述的方法,其特征在于,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN。
29.一种通信方法,其特征在于,所述方法包括:
AF向第一设备或AAnF发送第一消息,所述第一消息用于获取密钥KAF
在所述第一设备或所述AAnF检查能够为所述AF提供服务的情况下,所述AF接收所述第一设备或所述AAnF发送的第二消息,所述第二消息中至少包括密钥KAF
30.根据权利要求29所述的方法,其特征在于,所述AAnF位于HPLMN,和/或,所述第一设备位于VPLMN,和/或,所述AF位于VPLMN。
31.根据权利要求29所述的方法,其特征在于,所述第一消息包括AKMA密钥标识A-KID和/或所述AF的标识。
32.根据权利要求29所述的方法,其特征在于,所述第二消息还包括以下至少之一:
所述KAF的有效时间信息;
订阅永久标识SUPI;
通用公共订阅标识符GPSI。
33.一种通信方法,其特征在于,所述方法包括:
AUSF从统一数据管理UDM获得认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为终端生成AKMA密钥材料的第四指示信息、所述终端的路由标识RID信息、所述终端的漫游信息。
34.根据权利要求33所述的方法,其特征在于,所述终端的漫游信息包括以下至少之一:
表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
35.根据权利要求33所述的方法,其特征在于,所述方法还包括:
所述AUSF向AAnF发送第三消息,所述第三消息用于注册密钥;所述第三消息包括以下至少之一:
A-KID、KAKMA、SUPI、所述终端的漫游信息。
36.一种通信方法,其特征在于,所述方法包括:
UDM向AUSF发送认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为所述终端生成AKMA密钥材料的第四指示信息、所述终端的RID信息、所述终端的漫游信息。
37.根据权利要求36所述的方法,其特征在于,所述终端的漫游信息包括以下至少之一:
表示终端处于漫游状态的第一指示信息、表示终端不处于漫游状态的第二指示信息、漫游地信息、所述终端在漫游地的签约信息、所述终端在漫游地的策略信息。
38.根据权利要求36或37所述的方法,其特征在于,所述方法还包括:
所述UDM接收AAnF发送的第四消息,所述第四消息用于请求终端的漫游信息;
所述UDM向所述AAnF发送第五消息,所述第五消息包括所述终端的漫游信息。
39.一种通信装置,其特征在于,所述装置应用于AAnF;所述装置包括:第一通信单元和第一处理单元;其中,
所述第一通信单元,用于接收应用功能AF发送的第一消息,或者,经第一设备接收AF发送的第一消息,所述第一消息用于获取密钥KAF
所述第一处理单元,用于检查是否能够为所述AF提供服务;
所述第一通信单元,还用于在所述第一处理单元检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,或者,经所述第一设备向所述AF发送第二消息,所述第二消息中至少包括密钥KAF
40.一种通信装置,其特征在于,所述装置应用于第一设备;所述装置包括:第一接收单元和第一发送单元;其中,
所述第一接收单元,用于接收AF发送的第一消息,发送所述第一消息至AAnF;所述第一消息用于获取密钥KAF
所述第一发送单元,用于在所述AAnF能够为所述AF提供服务的情况下,所述第一设备接收所述AAnF发送的第二消息,发送所述第二消息至所述AF,所述第二消息中至少包括所述KAF
41.一种通信装置,其特征在于,所述装置应用于第一设备;所述装置包括:第二通信单元和第二处理单元;其中,
所述第二通信单元,用于接收AF发送的第一消息,所述第一消息用于获取密钥KAF
所述第二处理单元,用于检查是否能够为所述AF提供服务;
所述第二通信单元,还用于在所述第二处理单元检查能够为所述AF提供服务的情况下,向所述AF发送第二消息,所述第二消息中至少包括所述KAF
42.一种通信装置,其特征在于,所述装置应用于AAnF;所述装置包括:第二发送单元,用于向第一设备发送第一信息,所述第一信息包括AKMA上下文信息。
43.一种通信装置,其特征在于,所述装置应用于AF;所述装置包括:第三发送单元和第三接收单元;其中,
所述第三发送单元,用于向第一设备或AAnF发送第一消息,所述第一消息用于获取密钥KAF
所述第三接收单元,用于在所述第一设备或所述AAnF检查能够为所述AF提供服务的情况下,接收所述第一设备或所述AAnF发送的第二消息,所述第二消息中至少包括密钥KAF
44.一种通信装置,其特征在于,所述装置应用于AUSF;所述装置包括:第四接收单元,用于从UDM获得认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为终端生成AKMA密钥材料的第四指示信息、所述终端的RID信息、所述终端的漫游信息。
45.一种通信装置,其特征在于,所述装置应用于UDM;所述装置包括第五发送单元,用于向AUSF发送认证相关信息,所述认证相关信息包括以下至少之一:
表示需要为终端生成AKMA密钥材料的第三指示信息、表示不需要为所述终端生成AKMA密钥材料的第四指示信息、所述终端的RID信息、所述终端的漫游信息。
46.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至11任一项所述方法的步骤;或者,
该程序被处理器执行时实现权利要求12至15任一项所述方法的步骤;或者,
该程序被处理器执行时实现权利要求16至21任一项所述方法的步骤;或者,
该程序被处理器执行时实现权利要求22至28任一项所述方法的步骤;或者,
该程序被处理器执行时实现权利要求29至32任一项所述方法的步骤;或者,
该程序被处理器执行时实现权利要求33至35任一项所述方法的步骤;或者,
该程序被处理器执行时实现权利要求36至38任一项所述方法的步骤。
47.一种通信设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至11任一项所述方法的步骤;或者,
所述处理器执行所述程序时实现权利要求12至15任一项所述方法的步骤;或者,
所述处理器执行所述程序时实现权利要求16至21任一项所述方法的步骤;或者,
所述处理器执行所述程序时实现权利要求22至28任一项所述方法的步骤;或者,
所述处理器执行所述程序时实现权利要求29至32任一项所述方法的步骤;或者,
所述处理器执行所述程序时实现权利要求33至35任一项所述方法的步骤;或者,
所述处理器执行所述程序时实现权利要求36至38任一项所述方法的步骤。
CN202210701088.4A 2022-06-20 2022-06-20 一种通信方法、装置、通信设备和计算机存储介质 Pending CN117295068A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210701088.4A CN117295068A (zh) 2022-06-20 2022-06-20 一种通信方法、装置、通信设备和计算机存储介质
PCT/CN2023/100416 WO2023246614A1 (zh) 2022-06-20 2023-06-15 一种通信方法、装置、通信设备和计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210701088.4A CN117295068A (zh) 2022-06-20 2022-06-20 一种通信方法、装置、通信设备和计算机存储介质

Publications (1)

Publication Number Publication Date
CN117295068A true CN117295068A (zh) 2023-12-26

Family

ID=89243202

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210701088.4A Pending CN117295068A (zh) 2022-06-20 2022-06-20 一种通信方法、装置、通信设备和计算机存储介质

Country Status (2)

Country Link
CN (1) CN117295068A (zh)
WO (1) WO2023246614A1 (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113225176B (zh) * 2020-02-04 2022-09-16 华为技术有限公司 密钥获取方法及装置
KR20220159991A (ko) * 2020-03-30 2022-12-05 삼성전자주식회사 무선 통신 시스템에서 akma 서비스를 제공하는 방법 및 장치
CN113543126B (zh) * 2020-03-31 2023-02-28 华为技术有限公司 密钥获取方法及装置

Also Published As

Publication number Publication date
WO2023246614A1 (zh) 2023-12-28

Similar Documents

Publication Publication Date Title
US11844014B2 (en) Service authorization for indirect communication in a communication system
US9596593B2 (en) eUICC subscription change
US20210234706A1 (en) Network function authentication based on public key binding in access token in a communication system
US20080108321A1 (en) Over-the-air (OTA) device provisioning in broadband wireless networks
CN108540973B (zh) 漫游场景下的数据业务处理方法、装置和系统
US7885640B2 (en) Authentication in communication networks
WO2017147772A1 (zh) 一种消息传输方法及核心网接口设备
EP3651432A1 (en) Selection of ip version
CN113541925B (zh) 通信系统、方法及装置
CN109561429B (zh) 一种鉴权方法及设备
US20190253461A1 (en) Security management in communication systems with provisioning based mechanism to identify information elements
JPWO2020067112A1 (ja) コアネットワーク装置、通信端末、コアネットワーク装置の方法、プログラム、及び通信端末の方法
US20220360670A1 (en) System and method to enable charging and policies for a ue with one or more user identities
CN113498060B (zh) 一种控制网络切片认证的方法、装置、设备及存储介质
CN115004635A (zh) 签约信息获取方法及装置
EP3574671A1 (en) Attachment of a wireless device to a mobile network operator
WO2021090171A1 (en) Authorization in a service communication proxy
WO2020208294A1 (en) Establishing secure communication paths to multipath connection server with initial connection over public network
CN117295068A (zh) 一种通信方法、装置、通信设备和计算机存储介质
JP2024517897A (ja) Nswoサービスの認証のための方法、デバイス、および記憶媒体
WO2024067146A1 (zh) 一种通信方法、装置、通信设备和计算机存储介质
WO2020208295A1 (en) Establishing secure communication paths to multipath connection server with initial connection over private network
CN109963280B (zh) 双向认证方法、装置和系统、计算机可读存储介质
EP3939200A1 (en) Communication network-anchored cryptographic key sharing with third-party application
US20230354166A1 (en) Method and apparatus for using proximity service discovery ue id, and storage medium

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination