CN117336714A - 通信方法、通信装置及通信系统 - Google Patents
通信方法、通信装置及通信系统 Download PDFInfo
- Publication number
- CN117336714A CN117336714A CN202210730849.9A CN202210730849A CN117336714A CN 117336714 A CN117336714 A CN 117336714A CN 202210730849 A CN202210730849 A CN 202210730849A CN 117336714 A CN117336714 A CN 117336714A
- Authority
- CN
- China
- Prior art keywords
- network element
- akma
- information
- function network
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 280
- 238000004891 communication Methods 0.000 title claims abstract description 153
- 230000006870 function Effects 0.000 claims description 365
- 230000004044 response Effects 0.000 claims description 93
- 238000004590 computer program Methods 0.000 claims description 11
- 230000009286 beneficial effect Effects 0.000 abstract description 4
- 238000012545 processing Methods 0.000 description 27
- 238000007726 management method Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 10
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 7
- 238000002955 isolation Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 230000007774 longterm Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 101150119040 Nsmf gene Proteins 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000005314 correlation function Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请一种提供通信方法、通信装置及通信系统。该方法中,当终端设备处于漫游状态,则网络存储功能网元选择一个拜访AKMA锚点功能网元,该拜访AKMA锚点功能网元既可以作为中转节点,也可以生成终端设备与应用功能网元之间进行安全通信的应用密钥,使得应用功能网元能够准确获取到应用密钥,便于终端设备与应用功能网元之间使用应用密钥对通信内容进行加密,有助于提升通信安全性。
Description
技术领域
本申请涉及无线通信技术领域,尤其涉及通信方法、通信装置及通信系统。
背景技术
为了提升通信的安全性,终端设备与应用功能(application function,AF)网元进行通信时,双方需要使用应用密钥对传输的内容进行加密。其中,终端设备使用的该应用密钥是由终端设备生成的,AF网元使用的该应用密钥是由应用的认证和密钥管理(authentication and key management for applications,AKMA)锚点功能(AKMA anchorfunction,AAnF)网元生成并发送给AF网元的。
当终端设备处于非漫游状态,AF网元与AAnF网元位于同一个公共陆地移动网络内,因此AF网元能够连接到AAnF网元并向AAnF网元请求获取应用密钥。
然而,当终端设备处于漫游状态,则与终端设备进行通信的AF网元可能无法直接连接终端设备的家乡AAnF(home AAnF,hAAnF)网元,导致AF网元可能无法获取到应用密钥,进而造成通信不安全。
发明内容
本申请提供通信方法、通信装置及通信系统,用以保障终端设备与AF网元之间的安全通信。
第一方面,本申请实施例提供一种通信方法,该方法可以由网络存储功能网元或应用于网络存储功能网元的模块来执行。以网络存储功能网元执行该方法为例,网络存储功能网元接收来自第一网元的请求消息,该请求消息包括选择参数;当终端设备处于漫游状态,该网络存储功能网元根据该选择参数,选择为该终端设备提供服务的拜访AKMA锚点功能网元;该网络存储功能网元向该第一网元发送响应消息,该响应消息包括该拜访AKMA锚点功能网元的信息。
上述方案,当终端设备处于漫游状态,则网络存储功能网元选择一个拜访AKMA锚点功能网元,该拜访AKMA锚点功能网元既可以作为中转节点,也可以生成终端设备与应用功能网元之间进行安全通信的应用密钥,使得应用功能网元能够准确获取到应用密钥,便于终端设备与应用功能网元之间使用应用密钥对通信内容进行加密,有助于提升通信安全性。
一种可能的实现方法中,该网络存储功能网元根据该选择参数,选择为该终端设备提供服务的拜访AKMA锚点功能网元,包括:当该网络存储功能网元存储有该选择参数对应的AKMA锚点功能网元,则该网络存储功能网元选择该选择参数对应的AKMA锚点功能网元,作为该拜访AKMA锚点功能网元;或者,当该网络存储功能网元未存储该选择参数对应的AKMA锚点功能网元,则该网络存储功能网元选择默认的AKMA锚点功能网元,作为该拜访AKMA锚点功能网元。
上述方案,可以实现选择一个合适的拜访AKMA锚点功能网元。
一种可能的实现方法中,该选择参数包括该终端设备的路由标识、该终端设备的家乡公共陆地移动网络HPLMN的信息、该第一网元所在的拜访公共陆地移动网络VPLMN的信息或该终端设备的VPLMN的信息中的一个或多个。
通过该方案,通过选择参数,可以确定合适的拜访AKMA锚点功能网元。
一种可能的实现方法中,该选择参数包括该终端设备的HPLMN的信息、该第一网元所在的VPLMN的信息或该终端设备的VPLMN的信息中的一个或多个;该网络存储功能网元根据该终端设备的HPLMN的信息、该第一网元所在的VPLMN的信息或该终端设备的VPLMN的信息中的一个或多个,确定该终端设备处于漫游状态。
通过该方案,可以准确判断终端设备是否处于漫游状态,有助于实现准确判断是否需要选择拜访AKMA锚点功能网元。
一种可能的实现方法中,该网络存储功能网元根据收到的指示信息,确定该终端设备处于漫游状态。
通过该方案,可以准确判断终端设备是否处于漫游状态,有助于实现准确判断是否需要选择拜访AKMA锚点功能网元。
一种可能的实现方法中,该网络存储功能网元根据该网络存储功能网元的PLMN的信息和该终端设备的HPLMN的信息,确定该终端设备处于漫游状态。
通过该方案,可以准确判断终端设备是否处于漫游状态,有助于实现准确判断是否需要选择拜访AKMA锚点功能网元。
一种可能的实现方法中,该终端设备处于漫游状态指的是该终端设备位于拜访网络,或者是与该终端设备进行通信的应用功能网元无法直接连接该终端设备的家乡AKMA锚点功能网元。
第二方面,本申请实施例提供一种通信方法,该方法可以由第一网元或应用于第一网元的模块来执行,该第一网元可以是网络开放功能网元或应用功能网元。以执行第一网元该方法为例,当终端设备处于漫游状态,第一网元确定选择参数;该第一网元向网络存储功能网元发送该选择参数,该选择参数用于选择为该终端设备提供服务的拜访AKMA锚点功能网元;该第一网元接收来自该网络存储功能网元的该拜访AKMA锚点功能网元的信息;该第一网元根据该拜访AKMA锚点功能网元的信息,向该拜访AKMA锚点功能网元发送请求消息,该请求消息请求用于拜访应用功能网元与该终端设备之间进行安全通信的应用密钥。
上述方案,当终端设备处于漫游状态,则第一网元请求网络存储功能网元选择一个拜访AKMA锚点功能网元,该拜访AKMA锚点功能网元既可以作为中转节点,也可以生成终端设备与应用功能网元之间进行安全通信的应用密钥,使得应用功能网元能够准确获取到应用密钥,便于终端设备与应用功能网元之间使用应用密钥对通信内容进行加密,有助于提升通信安全性。
一种可能的实现方法中,该选择参数包括该终端设备的路由标识、该终端设备的家乡公共陆地移动网络HPLMN的信息、该第一网元所在的拜访公共陆地移动网络VPLMN的信息或该终端设备的VPLMN的信息中的一个或多个。
通过该方案,通过选择参数,可以确定合适的拜访AKMA锚点功能网元。
一种可能的实现方法中,该第一网元根据该终端设备的HPLMN的信息、该第一网元所在的VPLMN的信息或该终端设备的VPLMN的信息中的一个或多个,确定该终端设备处于漫游状态。
通过该方案,可以准确判断终端设备是否处于漫游状态,有助于实现准确判断是否需要选择拜访AKMA锚点功能网元。
一种可能的实现方法中,该第一网元向该终端设备发送指示信息,该指示信息指示该终端设备处于漫游状态。
通过该方案,可以准确判断终端设备是否处于漫游状态,有助于实现准确判断是否需要选择拜访AKMA锚点功能网元。
一种可能的实现方法中,该第一网元确定选择参数,包括:该第一网元根据第一AKMA密钥标识或第二AKMA密钥标识,确定该选择参数;其中,该第一AKMA密钥标识包括该终端设备的路由标识、该终端设备的AKMA临时标识、该终端设备的HPLMN的信息和该终端设备的VPLMN的信息;该第二AKMA密钥标识包括该终端设备的路由标识、该终端设备的AKMA临时标识和该终端设备的HPLMN的信息。
一种可能的实现方法中,该第一网元是该拜访应用功能网元,该拜访应用功能网元接收来自该终端设备的应用会话建立请求消息;或者,该第一网元是该网络开放功能网元,该网络开放功能网元接收来自该拜访应用功能网元的应用密钥请求消息。
第三方面,本申请实施例提供一种通信方法,该方法可以由终端设备或应用于终端设备的模块来执行。以终端设备执行该方法为例,终端设备判断该终端设备是否处于漫游状态;当该终端设备处于漫游状态,该终端设备确定第一AKMA根密钥,该第一AKMA根密钥用于确定第一应用密钥,该第一应用密钥用于该终端设备与拜访应用功能网元之间进行安全通信。
上述方案,当终端设备处于漫游状态,则终端设备生成第一AKMA根密钥,该第一AKMA根密钥用于确定第一应用密钥,该第一应用密钥用于该终端设备与拜访应用功能网元之间进行安全通信,有助于实现准确确定与拜访应用功能网元之间进行通信的密钥。
一种可能的实现方法中,该终端设备确定第一AKMA根密钥,包括:该终端设备根据第二AKMA根密钥,以及该终端设备的HPLMN的信息和/或该终端设备的VPLMN的信息,确定该第一AKMA根密钥,该第二AKMA根密钥用于确定第二应用密钥,该第二应用密钥用于该终端设备与家乡应用功能网元之间进行安全通信。
一种可能的实现方法中,该终端设备确定第一AKMA根密钥,包括:该终端设备根据该终端设备的VPLMN的信息、该终端设备的用户永久标识SUPI和鉴权服务器功能根密钥,确定该AKMA根密钥。
一种可能的实现方法中,该终端设备根据收到的指示信息,确定该终端设备处于漫游状态。
第四方面,本申请实施例提供一种通信方法,该方法可以由拜访AKMA锚点功能网元或应用于拜访AKMA锚点功能网元的模块来执行。以拜访AKMA锚点功能网元执行该方法为例,拜访AKMA锚点功能网元接收来自家乡AKMA锚点功能网元的第一AKMA根密钥;该拜访AKMA锚点功能网元根据该第一AKMA根密钥,确定用于拜访应用功能网元与终端设备之间进行安全通信的第一应用密钥。
一种可能的实现方法中,该拜访AKMA锚点功能网元存储该AKMA根密钥。
第五方面,本申请实施例提供一种通信方法,该方法可以由家乡AKMA锚点功能网元或应用于家乡AKMA锚点功能网元的模块来执行。以家乡AKMA锚点功能网元执行该方法为例,家乡AKMA锚点功能网元获取第一AKMA根密钥;该家乡AKMA锚点功能网元向拜访AKMA锚点功能网元发送该第一AKMA根密钥,该第一AKMA根密钥用于确定第一应用密钥,该第一应用密钥用于终端设备与拜访应用功能网元之间进行安全通信。
一种可能的实现方法中,该家乡AKMA锚点功能网元获取第一AKMA根密钥,包括:该家乡AKMA锚点功能网元根据第二AKMA根密钥,确定该第一AKMA根密钥,该第二AKMA根密钥用于确定第二应用密钥,该第二应用密钥用于该终端设备与家乡应用功能网元之间进行安全通信。
一种可能的实现方法中,该家乡AKMA锚点功能网元根据第二AKMA根密钥,确定该第一AKMA根密钥,包括:该家乡AKMA锚点功能网元根据该第二AKMA根密钥,以及该终端设备的HPLMN的信息和/或该终端设备的VPLMN的信息,确定该第一AKMA根密钥。
一种可能的实现方法中,该家乡AKMA锚点功能网元获取第一AKMA根密钥,包括:该家乡AKMA锚点功能网元接收来自鉴权服务器功能网元的该第一AKMA根密钥。
第六方面,本申请实施例提供一种通信方法,该方法可以由家乡AKMA锚点功能网元或应用于家乡AKMA锚点功能网元的模块来执行。以家乡AKMA锚点功能网元执行该方法为例,家乡AKMA锚点功能网元判断终端设备是否处于漫游状态;当该终端设备处于漫游状态,家乡AKMA锚点功能网元根据第二AKMA根密钥,确定第一AKMA根密钥;其中,该第一AKMA根密钥用于确定第一应用密钥,该第一应用密钥用于该终端设备与拜访应用功能网元之间进行安全通信;该第二AKMA根密钥用于确定第二应用密钥,该第二应用密钥用于该终端设备与家乡应用功能网元之间进行安全通信。
上述方案,家乡AKMA锚点功能网元确定UE处于漫游状态之后,可以为拜访AKMA锚点功能网元生成AKMA根密钥,并向拜访AKMA锚点功能网元发送AKMA根密钥,该AKMA根密钥由拜访AKMA锚点功能网元使用,从而实现不同AKMA锚点功能网元之间的密钥隔离,即拜访AKMA锚点功能网元与家乡AKMA锚点功能网元使用不同的AKMA根密钥,有助于保证密钥安全性,进而提升通信的安全性。
一种可能的实现方法中,该家乡AKMA锚点功能网元存储该第一AKMA根密钥。
一种可能的实现方法中,该家乡AKMA锚点功能网元向拜访AKMA锚点功能网元发送该第一AKMA根密钥。
一种可能的实现方法中,该家乡AKMA锚点功能网元接收来自该拜访AKMA锚点功能网元的请求消息,该请求消息用于请求获取AKMA根密钥;该家乡AKMA锚点功能网元向拜访AKMA锚点功能网元发送该第一AKMA根密钥,包括:该家乡AKMA锚点功能网元基于该请求消息,向该拜访AKMA锚点功能网元发送该第一AKMA根密钥。
一种可能的实现方法中,该家乡AKMA锚点功能网元根据第二AKMA根密钥,确定第一AKMA根密钥,包括:该家乡AKMA锚点功能网元根据该第二AKMA根密钥,以及该终端设备的HPLMN的信息和/或该终端设备的VPLMN的信息,确定该第一AKMA根密钥。
一种可能的实现方法中,该家乡AKMA锚点功能网元判断终端设备是否处于漫游状态,包括:该家乡AKMA锚点功能网元接收来自鉴权服务器功能网元的指示信息,该指示信息指示该终端设备处于漫游状态;该家乡AKMA锚点功能网元根据该指示信息,确定该终端设备处于漫游状态。
一种可能的实现方法中,该家乡AKMA锚点功能网元判断终端设备是否处于漫游状态,包括:该家乡AKMA锚点功能网元根据该终端设备的HPLMN的信息和/或该终端设备的VPLMN的信息,判断该终端设备是否处于漫游状态。
第七方面,本申请实施例提供一种通信方法,该方法可以由鉴权服务器功能网元或应用于鉴权服务器功能网元的模块来执行。以鉴权服务器功能网元执行该方法为例,鉴权服务器功能网元判断终端设备是否处于漫游状态;当该终端设备处于漫游状态,鉴权服务器功能网元根据该终端设备的VPLMN的信息,确定AKMA根密钥;其中,该AKMA根密钥用于确定应用密钥,该应用密钥用于该终端设备与拜访应用功能网元之间进行安全通信。
上述方案,鉴权服务器功能网元确定终端设备处于漫游状态之后,可以生成AKMA根密钥,并经由家乡AKMA锚点功能网元向拜访AKMA锚点功能网元发送AKMA根密钥,该AKMA根密钥由拜访AKMA锚点功能网元使用,从而实现不同AKMA锚点功能网元之间的密钥隔离,即拜访AKMA锚点功能网元与家乡AKMA锚点功能网元使用不同的AKMA根密钥,有助于保证密钥安全性,进而提升通信的安全性。
一种可能的实现方法中,该鉴权服务器功能网元存储该AKMA根密钥。
一种可能的实现方法中,该鉴权服务器功能网元向家乡AKMA锚点功能网元发送该AKMA根密钥。
一种可能的实现方法中,该鉴权服务器功能网元根据该终端设备的VPLMN的信息,确定AKMA根密钥,包括:该鉴权服务器功能网元根据该终端设备的VPLMN的信息、该终端设备的用户永久标识SUPI和鉴权服务器功能根密钥,确定该AKMA根密钥。
一种可能的实现方法中,该鉴权服务器功能网元判断终端设备是否处于漫游状态,包括:该鉴权服务器功能网元根据该终端设备的HPLMN的信息、该鉴权服务器功能网元所在的VPLMN的信息或该终端设备的VPLMN的信息中的一个或多个,判断该终端设备是否处于漫游状态。
第八方面,本申请实施例提供一种通信装置,该装置可以是网络存储功能网元,还可以是用于网络存储功能网元的芯片。该装置具有实现上述第一方面的任意实现方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第九方面,本申请实施例提供一种通信装置,该装置可以是第一网元,还可以是用于第一网元的芯片。该装置具有实现上述第二方面的任意实现方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十方面,本申请实施例提供一种通信装置,该装置可以是终端设备,还可以是用于终端设备的芯片。该装置具有实现上述第三方面的任意实现方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十一方面,本申请实施例提供一种通信装置,该装置可以是拜访AKMA锚点功能网元,还可以是用于拜访AKMA锚点功能网元的芯片。该装置具有实现上述第四方面的任意实现方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十二方面,本申请实施例提供一种通信装置,该装置可以是家乡AKMA锚点功能网元,还可以是用于家乡AKMA锚点功能网元的芯片。该装置具有实现上述第五方面或第六方面的任意实现方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十三方面,本申请实施例提供一种通信装置,该装置可以是鉴权服务器功能网元,还可以是用于鉴权服务器功能网元的芯片。该装置具有实现上述第七方面的任意实现方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十四方面,本申请实施例提供一种通信装置,包括与存储器耦合的处理器,该处理器用于调用所述存储器中存储的程序,以执行上述第一方面至第七方面中的任意实现方法。该存储器可以位于该装置之内,也可以位于该装置之外。且该处理器可以是一个或多个。
第十五方面,本申请实施例提供一种通信装置,包括处理器和存储器;该存储器用于存储计算机指令,当该装置运行时,该处理器执行该存储器存储的计算机指令,以使该装置执行上述第一方面至第七方面中的任意实现方法。
第十六方面,本申请实施例提供一种通信装置,包括用于执行上述第一方面至第七方面中的任意实现方法的各个步骤的单元或手段(means)。
第十七方面,本申请实施例提供一种通信装置,包括处理器和接口电路,所述处理器用于通过接口电路与其它装置通信,并执行上述第一方面至第七方面中的任意实现方法。该处理器包括一个或多个。
第十八方面,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在通信装置上运行时,使得上述第一方面至第七方面中的任意实现方法被执行。
第十九方面,本申请实施例还提供一种计算机程序产品,该计算机程序产品包括计算机程序或指令,当计算机程序或指令被通信装置运行时,使得上述第一方面至第七方面中的任意实现方法被执行。
第二十方面,本申请实施例还提供一种芯片系统,包括:处理器,用于执行上述第一方面至第七方面中的任意实现方法。
第二十一方面,本申请实施例还提供了一种通信系统,该通信系统包括用于执行上述第一方面任意实现方法的网络存储功能网元,和用于执行上述第二方面任意实现方法的第一网元。
第二十二方面,本申请实施例还提供了一种通信系统,该通信系统包括用于执行上述第四方面任意实现方法的拜访AKMA锚点功能网元,和用于执行上述第五方面任意实现方法的家乡AKMA锚点功能网元。
第二十三方面,本申请实施例还提供一种通信方法,包括:当终端设备处于漫游状态,第一网元确定选择参数;所述第一网元向网络存储功能网元发送第一请求消息,所述第一请求消息包括所述选择参数;所述网络存储功能网元根据所述第一请求消息中的所述选择参数,选择为所述终端设备提供服务的拜访AKMA锚点功能网元;所述网络存储功能网元向所述第一网元发送响应消息,所述响应消息包括所述拜访AKMA锚点功能网元的信息。
附图说明
图1为本申请实施例提供的一种通信系统示意图;
图2为基于服务化架构的5G网络架构示意图;
图3为基于点对点接口的5G网络架构示意图;
图4为5G网络中增加AKMA相关功能的架构示意图;
图5为本申请实施例提供的一种KAKMA的生成方法的示意图;
图6为本申请实施例提供的一种KAKMA的使用方法的示意图;
图7为本申请实施例提供的一种KAKMA的使用方法的示意图;
图8为本实施例提供的AKMA漫游架构示意图;
图9(a)为本申请实施例提供的一种通信方法的流程示意图;
图9(b)为本申请实施例提供的一种通信方法的流程示意图;
图9(c)为本申请实施例提供的一种通信方法的流程示意图;
图10为本申请实施例提供的一种通信方法的流程示意图;
图11为本申请实施例提供的一种通信方法的流程示意图;
图12为本申请实施例提供的一种通信方法的流程示意图;
图13为本申请实施例提供的一种通信装置示意图;
图14为本申请实施例提供的一种通信装置示意图。
具体实施方式
为实现保障终端设备与AF网元之间的安全通信,本申请提供一种通信系统,参考图1,该系统包括网络存储功能网元和第一网元,可选的该系统还包括家乡AKMA锚点功能网元和拜访AKMA锚点功能网元。图1所示的系统可以用在图2至图4所示的第五代(5thgeneration,5G)网络架构中,当然,也可以用在未来网络架构,比如第六代(6thgeneration,6G)网络架构等,本申请不做限定。
该第一网元,用于当终端设备处于漫游状态,确定选择参数;向网络存储功能网元发送第一请求消息,该第一请求消息包括该选择参数。该网络存储功能网元,用于接收来自该第一网元的该第一请求消息;根据该第一请求消息中的该选择参数,选择为该终端设备提供服务的拜访AKMA锚点功能网元;向该第一网元发送响应消息,该响应消息包括该拜访AKMA锚点功能网元的信息。该第一网元,还用于接收该响应消息。
一种可能的实现方法中,该第一网元,还用于根据该拜访AKMA锚点功能网元的信息,向该拜访AKMA锚点功能网元发送第二请求消息,该第二请求消息请求用于拜访应用功能网元与该终端设备之间进行安全通信的第一应用密钥;该拜访AKMA锚点功能网元,用于接收该第二请求消息;获取第一AKMA根密钥;根据该第一AKMA根密钥确定该第一应用密钥;以及向该第一网元发送该第一应用密钥。
一种可能的实现方法中,该家乡AKMA锚点功能网元,用于获取该第一AKMA根密钥;以及向该拜访AKMA锚点功能网元发送该第一AKMA根密钥;该拜访AKMA锚点功能网元,具体用于接收来自该家乡AKMA锚点功能网元的该第一AKMA根密钥。
一种可能的实现方法中,该家乡AKMA锚点功能网元,具体用于根据第二AKMA根密钥,确定该第一AKMA根密钥,该第二AKMA根密钥用于确定第二应用密钥,该第二应用密钥用于该终端设备与家乡应用功能网元之间进行安全通信。
一种可能的实现方法中,该家乡AKMA锚点功能网元,具体用于根据该第二AKMA根密钥,以及该终端设备的HPLMN的信息和/或该终端设备的VPLMN的信息,确定该第一AKMA根密钥。
一种可能的实现方法中,该家乡AKMA锚点功能网元,具体用于接收来自鉴权服务器功能网元的该第一AKMA根密钥。
一种可能的实现方法中,该第一网元是拜访应用功能网元;该拜访应用功能网元,还用于接收来自该终端设备的应用会话建立请求消息,该应用会话建立请求消息包括用于确定该选择参数的信息。
一种可能的实现方法中,该第一网元是网络开放功能网元;该网络开放功能网元,还接收来自拜访应用功能网元的应用密钥请求消息,该应用密钥请求消息包括用于确定该选择参数的信息。
一种可能的实现方法中,该网络存储功能网元,具体用于当该网络存储功能网元存储有该选择参数对应的AKMA锚点功能网元,则选择该选择参数对应的AKMA锚点功能网元,作为该拜访AKMA锚点功能网元;或者,当该网络存储功能网元未存储该选择参数对应的AKMA锚点功能网元,则选择默认的AKMA锚点功能网元,作为该拜访AKMA锚点功能网元。
一种可能的实现方法中,该选择参数包括该终端设备的HPLMN的信息、该第一网元所在的VPLMN的信息或该终端设备的VPLMN的信息中的一个或多个;该网络存储功能网元,还用于根据该终端设备的HPLMN的信息、该第一网元所在的VPLMN的信息或该终端设备的VPLMN的信息中的一个或多个,确定该终端设备处于漫游状态。
一种可能的实现方法中,该网络存储功能网元,还用于根据收到的指示信息,确定该终端设备处于漫游状态。
一种可能的实现方法中,该网络存储功能网元,还用于根据该网络存储功能网元的PLMN的信息和该终端设备的HPLMN的信息,确定该终端设备处于漫游状态。
一种可能的实现方法中,该第一网元,还用于根据该终端设备的HPLMN的信息、该第一网元所在的VPLMN的信息或该终端设备的VPLMN的信息中的一个或多个,确定该终端设备处于漫游状态。
一种可能的实现方法中,该第一网元,还用于向该终端设备发送指示信息,该指示信息指示该终端设备处于漫游状态。
一种可能的实现方法中,该第一网元,具体用于根据第一AKMA密钥标识或第二AKMA密钥标识,确定该选择参数;其中,该第一AKMA密钥标识包括该终端设备的路由标识、该终端设备的AKMA临时标识、该终端设备的HPLMN的信息和该终端设备的VPLMN的信息;该第二AKMA密钥标识包括该终端设备的路由标识、该终端设备的AKMA临时标识和该终端设备的HPLMN的信息。
系统中各个网元之间的交互,以及具体的执行,可以参考下面方法实施例,这里不再赘述。为了应对无线宽带技术的挑战,保持3GPP网络的领先优势,3GPP标准组制定了下一代移动通信网络系统(Next Generation System)架构,称为5G网络架构。该架构不但支持3GPP标准组定义的无线接入技术(如长期演进(long term evolution,LTE)接入技术,5G无线接入网(radio access network,RAN)接入技术等)接入到5G核心网(core network,CN),而且支持使用非3GPP(non-3GPP)接入技术通过非3GPP转换功能(non-3GPP interworkingfunction,N3IWF)或下一代接入网关(next generation packet data gateway,ngPDG)接入到核心网。
图2为基于服务化架构的5G网络架构示意图。图2所示的5G网络架构中可包括接入网设备以及核心网设备。终端设备通过接入网设备和核心网设备接入数据网络(datanetwork,DN)。其中,核心网设备包括但不限于以下网元中的部分或者全部:鉴权服务器功能(authentication server function,AUSF)网元(图中未示出)、统一数据管理(unifieddata management,UDM)网元、统一数据库(unified data repository,UDR)网元、网络存储功能(network repository function,NRF)网元(图中未示出)、网络开放功能(networkexposure function,NEF)网元(图中未示出)、应用功能(application function,AF)网元、策略控制功能(policy control function,PCF)网元、接入与移动性管理功能(access andmobility management function,AMF)网元、会话管理功能(session managementfunction,SMF)网元、用户面功能(user plane function,UPF)网元、绑定支持功能(binding support function,BSF)网元(图中未示出)。
终端设备可以是用户设备(user equipment,UE)、移动台、移动终端设备等。终端设备可以广泛应用于各种场景,例如,设备到设备(device-to-device,D2D)、车物(vehicleto everything,V2X)通信、机器类通信(machine-type communication,MTC)、物联网(internet of things,IOT)、虚拟现实、增强现实、工业控制、自动驾驶、远程医疗、智能电网、智能家具、智能办公、智能穿戴、智能交通、智慧城市等。终端设备可以是手机、平板电脑、带无线收发功能的电脑、可穿戴设备、车辆、城市空中交通工具(如无人驾驶机、直升机等)、轮船、机器人、机械臂、智能家居设备等。终端设备中存储有长期密钥和相关函数。终端设备在与核心网网元(如AMF网元、AUSF网元)进行双向鉴权的时候,会使用长期密钥和相关函数验证网络的真实性。
接入网设备可以是无线接入网设备(RAN设备)或有线接入网设备。其中,无线接入网设备包括3GPP接入网设备、非可信非3GPP接入网设备和可信非3GPP接入网设备。3GPP接入网设备包括但不限于:LTE中的演进型基站(evolved NodeB,eNodeB)、5G移动通信系统中的下一代基站(next generation NodeB,gNB)、未来移动通信系统中的基站或完成基站部分功能的模块或单元,如集中式单元(central unit,CU),分布式单元(distributed unit,DU)等。非可信非3GPP接入网设备包括但不限于:非可信非3GPP接入网关或N3IWF设备、非可信无线局域网(wireless local area network,WLAN)接入点(access point,AP)、交换机、路由器。可信非3GPP接入网设备包括但不限于:可信非3GPP接入网关、可信WLAN AP、交换机、路由器。有线接入网设备包括但不限于:有线接入网关(wireline access gateway)、固定电话网络设备、交换机、路由器。
接入网设备和终端设备可以是固定位置的,也可以是可移动的。接入网设备和终端设备可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上;还可以部署在空中的飞机、气球和人造卫星上。本申请的实施例对接入网设备和终端设备的应用场景不做限定。
AMF网元,包含执行移动性管理、接入鉴权/授权等功能。此外,还负责在终端设备与PCF间传递用户策略。
SMF网元,包含执行会话管理、执行PCF网元下发的控制策略、选择UPF网元或分配终端设备的互联网协议(internet protocol,IP)地址等功能。
UPF网元,包含完成用户面数据转发、基于会话/流级的计费统计或带宽限制等功能。
UDM网元,包含执行管理签约数据或用户接入授权等功能。
UDR,包含执行签约数据、策略数据或应用数据等类型数据的存取功能。
NEF网元,用于支持能力和事件的开放。
AF网元,传递应用侧对网络侧的需求,例如,QoS需求或用户状态事件订阅等。AF可以是第三方功能实体,也可以是运营商部署的应用服务,如IP多媒体子系统(IPMultimedia Subsystem,IMS)语音呼叫业务。其中,AF网元包括核心网内的AF网元(即运营商的AF网元)和第三方AF网元(如某个企业的应用服务器)。
PCF网元,包含负责针对会话、业务流级别进行计费、QoS带宽保障及移动性管理或终端设备策略决策等策略控制功能。PCF网元包括接入与移动性管理策略控制网元(accessand mobility management policy control function,AM PCF)网元和会话管理策略控制功能(session management PCF,SM PCF)网元。其中,AM PCF网元用于为终端设备制定AM策略和用户策略,AM PCF网元也可以称为为终端设备提供服务的策略控制网元(PCF foraUE))。SM PCF网元用于为会话制定会话管理策略(session management policy,SM策略),SM PCF网元也可以称为为会话提供服务的策略控制网元((PCF for a PDU session))。
NRF网元,可用于提供网元发现功能,基于其他网元的请求,提供网元类型对应的网元信息。NRF网元还提供网元管理服务,如网元注册、更新、去注册以及网元状态订阅和推送等。
BSF网元,可提供BSF服务注册/注销/更新,与NRF网元连接检测,会话绑定信息创建,终端设备信息的获取,或IP地址重复的会话绑定信息查询等功能。
AUSF网元,负责对用户进行鉴权,以确定是否允许用户或设备接入网络。
DN,是位于运营商网络之外的网络,运营商网络可以接入多个DN,DN上可部署多种业务,可为终端设备提供数据和/或语音等服务。例如,DN是某智能工厂的私有网络,智能工厂安装在车间的传感器可为终端设备,DN中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,根据指令将采集的传感器数据传送给控制服务器等。又例如,DN是某公司的内部办公网络,该公司员工的手机或者电脑可为终端设备,员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。
图2中Npcf、Nudr、Nudm、Naf、Namf、Nsmf分别为上述PCF、UDR、UDM、AF、AMF和SMF提供的服务化接口,用于调用相应的服务化操作。N1、N2、N3、N4以及N6为接口序列号,这些接口序列号的含义如下:
1)、N1:AMF网元与终端设备之间的接口,可以用于向终端设备传递非接入层(nonaccess stratum,NAS)信令(如包括来自AMF网元的QoS规则)等。
2)、N2:AMF网元与接入网设备之间的接口,可以用于传递核心网侧至接入网设备的无线承载控制信息等。
3)、N3:接入网设备与UPF网元之间的接口,主要用于传递接入网设备与UPF网元间的上下行用户面数据。
4)、N4:SMF网元与UPF网元之间的接口,可以用于控制面与用户面之间传递信息,包括控制面向用户面的转发规则、QoS规则、流量统计规则等的下发以及用户面的信息上报。
5)、N6:UPF网元与DN的接口,用于传递UPF网元与DN之间的上下行用户数据流。
图3为基于点对点接口的5G网络架构示意图,其中的网元的功能的介绍可以参考图2中对应的网元的功能的介绍,不再赘述。图3与图2的主要区别在于:图2中的各个控制面网元之间的接口是服务化的接口,图3中的各个控制面网元之间的接口是点对点的接口。
在图3所示的架构中,各个网元之间的接口名称及功能如下:
1)、N1、N2、N3、N4和N6接口的含义可以参考前述描述。
2)、N5:AF网元与PCF网元之间的接口,可以用于应用业务请求下发以及网络事件上报。
3)、N7:PCF网元与SMF网元之间的接口,可以用于下发PDU会话粒度以及业务数据流粒度控制策略。
4)、N8:AMF网元与UDM网元间的接口,可以用于AMF网元向UDM网元获取接入与移动性管理相关签约数据与鉴权数据,以及AMF向UDM注册终端设备移动性管理相关信息等。
5)、N9:UPF网元和UPF网元之间的用户面接口,用于传递UPF网元间的上下行用户数据流。
6)、N10:SMF网元与UDM网元间的接口,可以用于SMF网元向UDM网元获取会话管理相关签约数据,以及SMF网元向UDM注册终端设备会话相关信息等。
7)、N11:SMF网元与AMF网元之间的接口,可以用于传递接入网设备和UPF网元之间的PDU会话隧道信息、传递发送给终端设备的控制消息、传递发送给接入网设备的无线资源控制信息等。
8)、N15:PCF网元与AMF网元之间的接口,可以用于下发终端设备策略及接入控制相关策略。
9)、N35:UDM网元与UDR网元间的接口,可以用于UDM网元从UDR网元中获取用户签约数据信息。
10)、N36:PCF网元与UDR网元间的接口,可以用于PCF网元从UDR网元中获取策略相关签约数据以及应用数据相关信息。
图4为5G网络中增加AKMA相关功能的架构示意图。该图4是在图1所示的5G架构中增加AKMA相关功能,当然也可以在图2所示的5G架构中增加AKMA相关功能,其原理也是类似的,不再赘述。
图4中新增了AAnF网元,该AAnF网元可以向AUSF请求AKMA根密钥(即KAKMA),然后AAnF网元根据KAKMA确定AF使用的应用密钥(即KAF)和KAF的有效时间。
在图4所示的AKMA场景中,AF网元需要与AAnF网元交互,获得KAF和KAF的有效时间。AF网元的位置可以在5G核心网内部,也可以在5G核心网外部。如果AF网元在5G核心网内部,则AF网元可以直接与PCF网元交互。如果AF网元在5G核心网外部,则AF网元可以经由NEF网元与PCF网元交互,也即NEF网元作为AF网元与PCF网元之间的中间网元。
在图4所示的AKMA场景中,AUSF网元可以为AAnF网元生成KAKMA。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。可选的,上述网元或者功能可以由一个设备实现,也可以由多个设备共同实现,还可以是一个设备内的一个功能模块,本申请实施例对此不作具体限定。
为便于说明,本申请实施例以UE作为终端设备的一个示例进行说明,以下描述的UE均可以替换为终端设备。以及,本申请实施例将AUSF网元、UDM网元、AMF网元、AAnF网元、AF网元、NEF网元、NRF网元分别简称为AUSF、UDM、AMF、AAnF、AF、NEF、NRF。
为便于理解本发明,下面结合图5至图7,介绍一种KAKMA的生成方法以及KAKMA的使用方法。
图5为本申请实施例提供的一种KAKMA的生成方法的示意图。该方法包括以下步骤:
步骤501,AUSF向UDM发送认证请求消息。相应地,UDM接收该认证请求消息。
该认证请求消息中包括签约永久标识(Subscription Permanent Identifier,SUPI)或者签约隐藏标识(subscription concealed identifier,SUCI),该消息认证请求用于向UDM请求鉴权向量,该鉴权向量用于触发核心网与UE之间的主鉴权(Primaryauthentication)。当AMF向AUSF提供的是SUCI,则该认证请求消息中包括SUCI。当AMF向AUSF提供的是SUPI,则该认证请求消息中包括SUPI。
该认证请求消息可以是Numd_UEAuthentication Get Request消息。
步骤502,UDM向AUSF发送认证响应消息。相应地,AUSF接收该认证响应消息。
该认证响应消息中包括鉴权向量。
如果UDM根据UE的签约信息,确定UE支持AKMA业务,则该认证响应消息还包含AKMA指示信息。其中,UE支持AKMA业务指的是UE具备AKMA能力且UE的业务能够使用AKMA。
该认证响应消息可以是Num_UEAuthentication_Get Response消息。
步骤503,如果AUSF从UDM收到AKMA指示信息,则AUSF在主鉴权流程成功完成后,根据AUSF根密钥(KAUSF)生成KAKMA和AKMA密钥标识(AKMA key identifier,A-KID)。
其中,A-KID用于标识KAKMA。
A-KID是网络接入标识(Network Access Identifier,NAI)格式,即username@exmaple。其中,username部分包括路由标识(routing Identifier,RID)和AKMA临时标识(AKMA Temporary UE Identifier,A-TID)。RID是SUCI中的一部分,由1~4个十进制数字表示。A-TID是根据KAUSF生成的一个临时标识。example部分包括家乡网络标识(HomeNetworkIdentifier),家乡网络标识具体可以是家乡公共陆地移动网络的标识信息(Home Public Land Mobile NetworkIdentifier,HPLMN ID)。其中,家乡公共陆地移动网络也称为归属公共陆地移动网络或归属地公共陆地移动网络。
需要说明的是,该RID可以用于AMF选择AUSF,比如AMF根据RID和HPLMN ID选择AUSF。该RID还可以用于AUSF选择UDM,比如AUSF根据RID和HPLMN ID选择UDM。
相应地,UE在主鉴权流程之后,也按照与AUSF相同的方法,根据KAUSF生成KAKMA和A-KID。
步骤504,AUSF选择一个AAnF,并向选择的AAnF发送密钥注册请求消息。相应地,AAnF接收该密钥注册请求消息。
该密钥注册请求消息中包括SUPI,A-KID和KAKMA。
该密钥注册请求消息可以是Naanf_AKMA_AnchorKey_Register Request消息。
步骤505,AAnF向AUSF发送密钥注册响应消息。相应地,AUSF接收该密钥注册响应消息。
该密钥注册响应消息可以是Naanf_AKMA_AnchorKey_RegisterResponse消息。
步骤506,AUSF删除KAKMA和A-KID。
通过上述方案,UE和AAnF生成相同的KAKMA,便于后续UE和AF使用该KAKMA推衍得到其它密钥。
图6为本申请实施例提供的一种KAKMA的使用方法的示意图。该方法中,AF属于3GPP核心网中的一个网元。该方法包括以下步骤:
步骤601,UE向AF发送应用会话建立请求(Application Session EstablishmentRequest)消息。相应地,AF接收该应用会话建立请求消息。
该应用会话建立请求消息中包括A-KID,该A-KID用于AAnF查找A-KID对应的KAKMA。
该A-KID是在步骤601之前,在主鉴权流程以及KAKMA生成流程中,由UE生成的。其中,主鉴权流程以及KAKMA生成流程即为图5所示的流程。
步骤602,AF向AAnF发送应用密钥请求消息。相应地,AAnF接收该应用密钥请求消息。
该应用密钥请求消息中包括A-KID和AF ID。该A-KID来自步骤601。该AFID用于标识AF。
其中,AF可以根据UE的RID选择AAnF。
该应用密钥请求消息可以是Naanf_AKMA_ApplicationKey_Get_Request消息。
步骤603,AAnF根据A-KID获取KAKMA,并根据KAKMA以及AF ID生成KAF,以及确定KAF的有效时间。
其中,AAnF是在主鉴权流程以及KAKMA生成流程中获取到A-KID和A-KID对应的KAKMA。
步骤604,AAnF向AF发送应用密钥响应消息。相应地,AF接收该应用密钥响应消息。
该应用密钥响应消息中包括KAF以及KAF的有效时间。
该应用密钥响应消息可以是Naanf_AKMA_ApplicationKey_Get Response消息。
步骤605,AF向UE发送应用会话建立响应(Application Session EstablishmentResponse)消息。相应地,UE接收应用会话建立响应消息。
需要说明的是,UE在主鉴权流程以及KAKMA生成流程之后的任意步骤中,也按照与AAnF相同的方法,生成KAF并确定KAF的有效时间。
上述方案,UE和AAnF根据KAKMA确定相同的KAF和KAF的有效时间,以及AAnF向AF发送该KAF和KAF的有效时间,后续UE和AF之间可以使用该KAF对UE与AF之间的传输内容进行加密,有助于提升通信安全。
图7为本申请实施例提供的一种KAKMA的使用方法的示意图。该方法中,AF属于3GPP核心网之外的一个网元。该方法包括以下步骤:
步骤701,UE向AF发送应用会话建立请求消息。相应地,AF接收该应用会话建立请求消息。
该应用会话建立请求消息中包括A-KID,该A-KID用于AAnF查找A-KID对应的KAKMA。
该A-KID是在步骤701之前,在主鉴权流程以及KAKMA生成流程中,由UE生成的。其中,主鉴权流程以及KAKMA生成流程即为图5所示的流程。
步骤702,AF向NEF发送应用密钥请求消息。相应地,NEF接收该应用密钥请求消息。
该应用密钥请求消息中包括A-KID和AF ID。该A-KID来自步骤701。该AFID用于标识AF。
该应用密钥请求消息可以是Nnef_AKMA_AFKey_Request消息。
步骤703,NEF选择AAnF。
其中,NEF可以根据UE的RID选择AAnF。
步骤704,NEF向AAnF发送应用密钥请求消息。相应地,AAnF接收该应用密钥请求消息。
该应用密钥请求消息中包括A-KID和AF ID。
该应用密钥请求消息可以是Naanf_AKMA_AFKey_Request消息。
步骤705,AAnF根据A-KID获取KAKMA,并根据KAKMA以及AF ID生成KAF,以及确定KAF的有效时间。
其中,AAnF是在主鉴权流程以及KAKMA生成流程中获取到A-KID和A-KID对应的KAKMA。
步骤706,AAnF向NEF发送应用密钥响应消息。相应地,NEF接收该应用密钥响应消息。
该应用密钥响应消息中包括KAF以及KAF的有效时间。
该应用密钥响应消息可以是Naanf_AKMA_AFKey_Response消息。
步骤707,NEF向AF发送应用密钥响应消息。相应地,AF接收该应用密钥响应消息。
该应用密钥响应消息中包括KAF以及KAF的有效时间。
该应用密钥响应消息可以是Nnef_AKMA_AFKey_Response消息。
步骤708,AF向UE发送应用会话建立响应消息。相应地,UE接收应用会话建立响应消息。
需要说明的是,UE在主鉴权流程以及KAKMA生成流程之后的任意步骤中,也按照与AAnF相同的方法,生成KAF并确定KAF的有效时间。
上述方案,UE和AAnF根据KAKMA确定相同的KAF和KAF的有效时间,以及AAnF向AF发送该KAF和KAF的有效时间,后续UE和AF之间可以使用该KAF对UE与AF之间的传输内容进行加密,有助于提升通信安全。
图8为本实施例提供的AKMA漫游架构示意图。该架构中,当UE位于VPLMN,此时不管AF是位于VPLMN,还是位于HPLMN,该UE均处于漫游状态。在另外一种场景中(图中未示出),当UE位于HPLMN,AF位于VPLMN,则该UE也称为处于漫游状态。
因此本申请实施例中UE处于漫游状态具体包括以下三种情形:
情形1,UE位于拜访网络(即VPLMN),AF位于拜访网络(即VPLMN)。
情形2,UE位于拜访网络(即VPLMN),AF位于家乡网络(即HPLMN)。
情形3,UE位于家乡网络(即HPLMN),AF位于拜访网络(即VPLMN)。
其中,UE位于HPLMN,是指正在为UE提供服务的运营商是UE签约的运营商。UE位于VPLMN,是指正在为UE提供服务的运营商不是UE签约的运营商。AF位于HPLMN,是指AF与UE的HPLMN有签约,或者预配置有连接到UE的HPLMN的相关信息,该相关信息比如是UE的HPLMN的NEF的地址信息。AF位于VPLMN,是指AF无法与UE所在的HPLMN进行直接交互,比如AF没有与UE的HPLMN进行签约,或者没有预配置连接到UE的HPLMN的相关信息,或者AF只配置有AF所在PLMN的信息。
针对上述情形1和3,与UE进行通信的vAF位于VPLMN,如果是由hAAnF为vAF生成用于UE与vAF之间进行安全通信的应用密钥(即KAF),由于vAF与hAAnF归属于不同的PLMN,因此vAF可能无法直接连接到hAAnF,导致vAF无法向hAAnF请求获取应用密钥。
针对上述情形2,与UE进行通信的hAF位于HPLMN,UE位于VPLMN,一般情况下,可以由hAAnF为hAF生成用于UE与hAF之间进行安全通信的应用密钥(即KAF),然后在hAF与hAAnF不能连接的情况下,hAAnF可能无法为hAF提供应用密钥。
综上,当UE处于漫游状态,与UE进行通信的AF可能无法获取到应用密钥,导致UE与AF之间通信时无法对传输内容进行加密,造成通信不安全。
为解决该问题,本申请实施例中通过在拜访网络选择一个AAnF,该AAnF称为拜访AAnF(visited AAnF,vAAnF)。该vAAnF可以作为中转节点,将来自AF的密钥请求转发至hAAnF,以及将hAAnF分配的应用密钥转发至AF,从而AF能够获取到应用密钥。或者该vAAnF自身具备分配应用密钥的功能,则vAAnF也可以为AF(可以是vAF,也可以是hAF)分配应用密钥。此外,本申请实施例还可以解决vAAnF与hAAnF之间的密钥隔离的问题。
图9(a)为本申请实施例提供的一种通信方法的流程示意图,该方法包括以下步骤:
步骤901a,当UE处于漫游状态,第一网元确定选择参数。
该第一网元是NEF或AF。
当第一网元是AF,则可以由AF判断UE是否处于漫游状态。比如,AF接收来自UE的应用会话建立请求消息,该应用会话建立请求消息中包括A-KID,或者包括A-KID和VPLMN ID,或者包括A-KID'。本申请实施例中,A-KID'也称为第一AKMA密钥标识,A-KID也称为第二AKMA密钥标识。其中,A-KID包括RID、A-TID和HPLMN的信息,A-KID'包括RID、A-TID、HPLMN的信息和VPLMN的信息,其中,HPLMN的信息可以是HPLMN ID,或者其他可以识别HPLMN的信息,VPLMN的信息可以是VPLMN ID,或者其他可以识别VPLMN的信息。因此AF可以根据从UE收到的UE的HPLMN的信息、UE的VPLMN的信息或AF所在的PLMN的信息(可以是PLMN ID)中的一个或多个,确定UE处于漫游状态,其中PLMN的信息可以是PLMN ID,或者其他可以识别PLMN的信息。比如AF从UE收到UE的VPLMN ID,则AF确定UE处于漫游状态。再比如,AF从UE收到UE的HPLMN ID,则AF将AF所在的PLMN的信息与UE的HPLMN ID进行比较,如果二者相同,则AF确定UE处于非漫游状态,如果二者不同,则AF确定UE处于漫游状态。再比如,如果AF从UE收到HPLMN ID,但没有从UE收到VPLMN ID,则AF确定UE处于非漫游状态。
当第一网元是NEF,可以由AF判断UE是否处于漫游状态,当UE处于漫游状态,则AF向NEF发送指示信息,该指示信息指示UE处于漫游状态。
或者当第一网元是NEF,也可以由NEF判断UE是否处于漫游状态。比如,UE向AF发送应用会话建立请求消息,该应用会话建立请求消息中包括A-KID,或者包括A-KID和VPLMNID,或者包括A-KID'。然后AF向NEF发送应用密钥请求消息,该应用密钥请求消息包括A-KID,或者包括A-KID和VPLMN ID,或者包括A-KID',进而NEF根据UE的HPLMN的信息、UE的VPLMN的信息或NEF所在的PLMN的信息中的一个或多个,确定UE处于漫游状态。比如NEF收到UE的VPLMN ID,则NEF确定UE处于漫游状态。再比如,NEF收到UE的HPLMN ID,则NEF将NEF所在的PLMN的信息与UE的HPLMN ID进行比较,如果二者相同,则NEF确定UE处于非漫游状态,如果二者不同,则NEF确定UE处于漫游状态。再比如,如果NEF收到HPLMN ID,但没有收到VPLMN ID,则NEF确定UE处于非漫游状态。
其中,第一网元确定的选择参数包括UE的路由标识(RID)、UE的HPLMN的信息、第一网元所在的VPLMN的信息或UE的VPLMN的信息中的一个或多个。
步骤902a,第一网元向NRF发送请求消息。相应地,NRF接收该请求消息。
该请求消息包括选择参数。
步骤903a,当UE处于漫游状态,NRF根据选择参数,选择为UE提供服务的vAAnF。
其中,NRF需要判断UE是否处于漫游,其具体判断方法可以参考前述第一网元判断UE是否处于漫游状态的方法,不做赘述。
当NRF存储有与该选择参数对应的AAnF,则NRF选择与该选择参数对应的AAnF作为vAAnF。或者,当NRF未存储与该选择参数对应的AAnF,则选择默认的AAnF作为vAAnF。
步骤904a,NRF向第一网元发送响应消息。相应地,第一网元接收该响应消息。
该响应消息包括vAAnF的信息,该vAAnF的信息用于第一网元向vAAnF请求用于AF与UE之间进行安全通信的应用密钥(KAF)。其中,vAAnF的信息可以是vAAnF的标识信息,也可以是vAAnF的地址信息或AAnF的instanceID信息等,本申请不做限定。
步骤905a,第一网元根据vAAnF的信息向vAAnF发送请求消息。相应地,vAAnF接收该请求消息。
该请求消息请求用于AF与UE之间进行安全通信的应用密钥(KAF)。
如果该vAAnF仅作为中转节点,则vAAnF将该请求消息发送至hAAnF,由hAAnF生成应用密钥,然后hAAnF将应用密钥发送给vAAnF,vAAnF再将应用密钥发送给第一网元。需要说明的是,如果第一网元是NEF,则NEF还需要进一步将应用密钥发送给AF。
如果该vAAnF能够生成应用密钥,则vAAnF基于该请求消息生成应用密钥。一种实现方法中,vAAnF收到该请求消息后,向hAAnF请求AKMA根密钥,然后hAAnF向vAAnF发送最新的AKMA根密钥(称为KAKMA*),从而vAAnF根据KAKMA*生成用于vAF与UE之间安全通信的应用密钥。可选的,vAAnF还存储KAKMA*,便于后续继续使用该KAKMA*。
其中,hAAnF可以根据以下任一方法获取到KAKMA*:
方法1,hAAnF根据KAKMA,确定KAKMA*。
该KAKMA可用于生成hAF与UE之间进行安全通信的应用密钥。
方法2,hAAnF根据KAKMA,以及UE的HPLMN的信息和/或UE的VPLMN的信息,确定KAKMA*。
方法3,AUSF根据UE的VPLMN的信息、SUPI和KAUSF确定KAKMA*,然后AUSF向hAAnF发送KAKMA*。
一种实现方法中,第一网元还可以向UE发送指示信息,该指示信息指示UE处于漫游状态,该指示信息可以是第一网元所在的VPLMN的信息,或者是二进制比特信息,或者是枚举型比特信息。UE收到该指示信息后,触发UE生成KAKMA*,该KAKMA*与vAAnF或hAAnF生成的KAKMA*相同。该方法有助于实现UE与AF能够使用相同的应用密钥。
上述方案,当UE处于漫游状态,则NRF选择一个vAAnF,该vAAnF既可以作为中转节点,也可以生成UE与AF之间进行安全通信的应用密钥,使得AF能够准确获取到应用密钥,便于UE与AF之间使用应用密钥对通信内容进行加密,有助于提升通信安全性。
图9(b)为本申请实施例提供的一种通信方法的流程示意图。该方法包括以下步骤:
步骤901b,hAAnF判断UE是否处于漫游状态。
一种实现方法中,由AUSF判断UE是否处于漫游状态,然后AUSF向hAAnF发送指示信息,当该指示信息指示UE处于漫游状态,则hAAnF根据该指示信息确定UE处于漫游状态。
又一种实现方法中,hAAnF根据UE的HPLMN的信息和/或UE的VPLMN的信息,判断UE是否处于漫游状态。比如hAAnF收到来自UE的该UE的VPLMN ID,则hAAnF确定UE处于漫游状态。再比如,hAAnF收到来自UE的该UE的HPLMN ID,则hAAnF将hAAnF所在的PLMN的信息与UE的HPLMN ID进行比较,如果二者相同,则hAAnF确定UE处于非漫游状态,如果二者不同,则hAAnF确定UE处于漫游状态。再比如,如果hAAnF收到来自UE的该UE的HPLMN ID,但没有收到来自UE的该UE的VPLMN ID,则hAAnF确定UE处于非漫游状态。
步骤902b,当UE处于漫游状态,hAAnF根据第二AKMA根密钥(也称为KAKMA),确定第一AKMA根密钥(也称为KAKMA*)。
KAKMA*用于确定第一应用密钥,该第一应用密钥用于UE与拜访AF(即vAF)之间进行安全通信。KAKMA用于确定第二应用密钥,该第二应用密钥用于UE与家乡AF(即hAF)之间进行安全通信。
一种实现方法中,hAAnF根据KAKMA,以及UE的HPLMN的信息和/或UE的VPLMN的信息,确定KAKMA*。
hAAnF确定KAKMA*之后,hAAnF可以主动向hAAnF发送KAKMA*,或者hAAnF接收来自vAAnF的请求消息,该请求消息用于请求获取AKMA根密钥,则hAAnF可以基于该请求消息向vAAnF发送KAKMA*。hAAnF收到KAKMA*后,可以根据KAKMA*生成第一应用密钥,然后向vAF发送第一应用密钥,后续UE与vAF之间使用该第一应用密钥进行加密通信。可选的,hAAnF可以存储该KAKMA*。
上述方案,hAAnF确定UE处于漫游状态之后,可以为vAAnF生成AKMA根密钥,并向vAAnF发送AKMA根密钥,该AKMA根密钥由vAAnF使用,从而实现不同AAnF之间的密钥隔离,即vAAnF与hAAnF使用不同的AKMA根密钥,有助于保证密钥安全性,进而提升通信的安全性。
图9(c)为本申请实施例提供的一种通信方法的流程示意图。该方法包括以下步骤:
步骤901c,AUSF判断UE是否处于漫游状态。
一种实现方法中,AUSF根据UE的HPLMN的信息和/或UE的VPLMN的信息,判断UE是否处于漫游状态。比如AUSF收到来自UE的该UE的VPLMN ID,则AUSF确定UE处于漫游状态。再比如,AUSF收到来自UE的该UE的HPLMN ID,则AUSF将AUSF所在的PLMN的信息与UE的HPLMN ID进行比较,如果二者相同,则AUSF确定UE处于非漫游状态,如果二者不同,则AUSF确定UE处于漫游状态。再比如,如果AUSF收到来自UE的该UE的HPLMN ID,但没有收到来自UE的该UE的VPLMN ID,则AUSF确定UE处于非漫游状态。
步骤902c,当UE处于漫游状态,AUSF根据UE的VPLMN的信息,确定AKMA根密钥(KAKMA*)。
其中,KAKMA*用于确定应用密钥,该应用密钥用于UE与拜访AF(即vAF)之间进行安全通信。
一种实现方法中,AUSF根据UE的VPLMN的信息、UE的SUPI和KAUSF确定KAKMA*。
可选的,AUSF可以存储KAKMA*。
可选的,AUSF还可以向hAAnF发送KAKMA*,从而后续hAAnF可以主动向hAAnF发送KAKMA*,或者hAAnF接收来自AAVnF的请求消息,该请求消息用于请求获取AKMA根密钥,则hAAnF可以基于该请求消息向vAAnF发送KAKMA*。hAAnF收到KAKMA*后,可以根据KAKMA*生成第一应用密钥,然后向vAF发送第一应用密钥,后续UE与vAF之间使用该第一应用密钥进行加密通信。
上述方案,AUSF确定UE处于漫游状态之后,可以生成AKMA根密钥,并经由hAAnF向vAAnF发送AKMA根密钥,该AKMA根密钥由vAAnF使用,从而实现不同AAnF之间的密钥隔离,即vAAnF与hAAnF使用不同的AKMA根密钥,有助于保证密钥安全性,进而提升通信的安全性。
图10为本申请实施例提供的一种通信方法的流程示意图。该方法中,AF是位于5G核心网内的一个网元。该方法包括以下步骤:
步骤1000,AF上预配置该AF所在的PLMN的信息。
AF所在的PLMN的信息,是指AF可以连接到的PLMN的信息。该PLMN的信息可以是一个或者多个,即代表AF可以接入一个或者多个PLMN。PLMN的信息可以是相应PLMN的网元的信息,比如PLMN中的NEF的地址信息,AAnF的地址信息,或者AMF等其他核心网网元的地址信息。
该AF可以是拜访网络的AF(也称为拜访AF或vAF)或家乡网络的AF(也称为家乡AF或hAF)。具体地,当该AF无法连接到UE签约的HPLMN的时候,则称为AF是拜访网络的AF。当该AF可以连接到UE签约的HPLMN的时候,则称为AF为家乡网络的AF。
当AF是vAF,且vAF上预配置该vAF所在的PLMN的信息,则该PLMN的信息可以是VPLMN ID。
当AF是hAF,且hAF上预配置该hAF所在的PLMN的信息,则该PLMN的信息可以是HPLMN ID。
步骤1001,UE向AF发送应用会话建立请求消息。相应地,AF接收该应用会话建立请求消息。
该应用会话建立请求消息中包括A-KID,该AKID包括RID、HPLMN ID和A-TID。
在一种方法中,如果UE当前位于拜访网络,该应用会话建立请求消息中包括A-KID,但不包括UE所在的拜访网络的VPLMN ID。
在另一种方法中,如果UE当前位于拜访网络,则UE还向AF发送UE所在的拜访网络的VPLMN ID。其中,UE向AF发送VPLMN ID的方法包括但限于:
方法1,在该应用会话建立请求消息中包括VPLMN ID,也即VPLMN ID与A-KID并列携带于应用会话建立请求消息。
方法2,UE单独向AF发送一个消息,即不同于应用会话建立请求消息的一个消息,该消息中包括VPLMN ID。
方法3,在该应用会话建立请求消息的A-KID中新增VPLMN字段。当UE当前位于拜访网络,则该VPLMN字段包括VPLMN ID,当UE当前位于家乡网络,该VPLMN字段设置为默认值。为便于描述,以下将新增了VPLMN字段的A-KID称为A-KID'。
需要说明的是,如果UE生成A-KID',则AUSF也需要生成相同的A-KID',因此AUSF在生成A-KID'时,需要确定判断是否收到了VPLMN ID。如果AUSF收到了VPLMN ID,则AUSF在A-KID'的VPLMN字段中添加VPLMN ID,如果没有收到VPLMN ID,则AUSF将A-KID'的VPLMN字段设置为默认值。其中,UE是在步骤1001前生成A-KID'。
一种实现方法中,AUSF根据以下方法获取VPLMN ID:当UDM确定UE位于拜访网络且UE能够使用AKMA业务,则UDM向AUSF发送UE的VPLMN ID。
步骤1002,AF判断UE是否处于漫游状态。
该步骤为可选步骤。
UE处于漫游状态具体包括以下三种情形,具体可以参考前述描述。
一种实现方法中,在应用会话建立请求消息中包括A-KID,但UE没有向AF发送VPLMN ID的情况下,AF判断AF所在的PLMN的信息与UE发送的A-KID中的HPLMN ID是否相同,如果相同则确定UE未处于漫游状态,如果不同则确定UE处于漫游状态。可以理解为,“相同”具体是指“包含”。具体地,如果UE发送的HPLMN ID包含在AF所在的PLMN的信息中,则UE未处于漫游状态;如果UE发送的HPLMN ID没有被包含在AF所在的PLMN的信息中,则UE处于漫游状态。
又一种实现方法中,在该应用会话建立请求消息中包括A-KID,且UE还向AF发送了VPLMN ID的情况下,AF判断UE是否处于漫游状态的方法包括但不限于以下方法1和方法2。
方法1,AF判断UE是否向AF发送了VPLMN ID。如果UE向AF发送了VPLMN ID,则AF确定UE处于漫游状态。如果UE没有向AF发送VPLMN ID,则AF进一步判断AF所在的PLMN的信息与UE发送的HPLMN ID是否相同,如果相同则确定UE未处于漫游状态,如果不同则确定UE处于漫游状态。
需要说明的是,针对步骤1001中描述的发送VPLMN ID的方法3,当新增的VPLMN字段设置为默认值,则该步骤1002中AF确定VPLMN字段中是默认值,进而确定UE未处于漫游状态。当新增的VPLMN字段不是默认值,比如设置为AF所在的PLMN的信息,则该步骤1002中AF确定UE处于漫游状态。
方法2,AF将预先配置的AF所在的PLMN的信息,与A-KID或A-KID'中的HPLMN ID进行比较。如果二者相同,则AF确定UE未处于漫游状态。如果二者不同,则AF确定UE处于漫游状态。
步骤1003,AF确定选择参数。
该选择参数也称为用于选择AAnF的参数。
一种实现方法中,如果不执行步骤1002,即AF不需要判断UE是否处于漫游状态,则AF确定的选择参数包括RID,或者包括RID和HPLMN ID,或者包括RID,HPLMN ID和VLPMN ID。
又一种实现方法中,如果执行步骤1002,即AF需要判断UE是否处于漫游状态。当UE未处于漫游状态,AF确定的选择参数包括RID。当UE处于漫游状态,AF确定的选择参数包括HPLMN ID、VPLMN ID或RID中的一个或多个。可选的,当UE处于漫游状态,AF还生成指示信息,该指示信息指示UE处于漫游状态。需要说明的是,在另一种实现方法中,当UE处于漫游状态,AF确定的选择参数也可以为空,或者理解为不确定选择参数。
步骤1004,AF向NRF发送发现请求消息。相应地,NRF接收该发现请求消息。
该发现请求消息可以是Nnrf_NFDiscovery_Request消息。
该发现请求消息包括AAnF类型信息,用于请求一个AAnF信息。AAnF信息用于连接到一个AAnF,比如是AAnF的地址信息,AAnF的instanceID信息等。
该发现请求消息中还包括选择参数。可选地,该发现请求消息还包括指示信息,该指示信息指示UE处于漫游状态。
示例性地,以下表1展示在不执行步骤1002,也即AF不需要判断UE是否处于漫游状态的情形下,AF确定的选择参数以及在发现请求消息中携带的内容。
表1
| 步骤1003确定的选择参数 | 步骤1004的发现请求消息携带的参数 | |
| 方法1 | RID | RID |
| 方法2 | RID和HPLMN ID | RID和HPLMN ID |
| 方法3 | RID,HPLMN ID和VLPMN ID | RID,HPLMN ID和VLPMN ID |
示例性地,以下表2展示在执行步骤1002,也即AF需要判断UE是否处于漫游状态的情形下,AF确定的选择参数以及在发现请求消息中携带的内容。
表2
步骤1005,NRF确定UE处于漫游状态,则选择vAAnF。
其中,该NRF是拜访网络中的NRF。NRF根据步骤1004中携带的参数,选择AAnF。
下面分情形说明NRF选择AAnF的方法。
情形一,当不执行上述步骤1002。
参考表1,当不执行步骤1002,则步骤1004的发现请求消息中携带的参数有三种实现方法,下面针对上述表1的三种不同方法分别说明。
针对表1的方法1,当步骤1004的发现请求消息中携带RID,一种可能的实现方法是:NRF先判断UE是否处于漫游状态。如果UE处于漫游状态,则NRF判断NRF中是否存储有与该RID对应的AAnF,如果有则确定该AAnF为vAAnF,如果没有则确定默认的AAnF为vAAnF。另一种可能的实现方法是:NRF先判断NRF中是否存储有与该RID对应的AAnF,如果有则确定该AAnF为vAAnF,如果没有,则NRF判断UE是否处于漫游状态,如果UE处于漫游状态,则确定默认的AAnF为vAAnF。再一种可能的实现方法是:NRF先判断UE是否处于漫游状态,如果UE处于漫游状态则确定默认的AAnF为vAAnF。
针对表1的方法2,当步骤1004的发现请求消息中携带RID和HPLMN ID,则NRF先判断UE是否处于漫游状态。具体地,NRF可以根据HPLMN ID判断该UE是否处于漫游态。如果UE处于漫游状态,则NRF判断NRF中是否存储有与该RID和/或HPLMN ID对应的AAnF,如果有则确定该AAnF为vAAnF,如果没有则确定默认的AAnF为vAAnF。
针对表1的方法3,当步骤1004的发现请求消息中携带RID、HPLMN ID和VPLMN ID,则NRF先判断UE是否处于漫游状态。如果UE处于漫游状态,则NRF判断NRF中是否存储有与该RID、HPLMN ID或VPLMN ID中的至少一个相对应的AAnF,如果有则确定该AAnF为vAAnF,如果没有则确定默认的AAnF为vAAnF。
针对上述三种方法,其中NRF判断UE是否处于漫游状态的方法,可以是:NRF将NRF的PLMN的信息与UE的HPLMN ID进行对比,如果相同则表示UE未处于漫游状态,如果不同则表示UE处于漫游状态。
情形二,当执行上述步骤1002。
参考表2,当执行步骤1002,则步骤1004的发现请求消息中携带的参数至少有七种实现方法,下面针对上述表2的七种不同方法分别说明。
针对表2的方法1,当步骤1002中确定UE未处于漫游状态,且步骤1004的发现请求消息中携带RID,则NRF先确定出UE未处于漫游状态,进而NRF判断NRF中是否存储有与该RID对应的AAnF,如果有则确定该AAnF,如果没有则确定默认的AAnF。其中,NRF确定UE未处于漫游状态的方法可以参考上述情形一中的方法。需要说明的是,该场景中,由于UE未处于漫游状态,因此NRF不需要确定vAAnF,而是确定一个AAnF即可,该AAnF可以理解为是hAAnF。
针对表2的方法2,当步骤1002中确定UE处于漫游状态,且步骤1004的发现请求消息中携带RID,一种可能的实现方法是:NRF先判断UE是否处于漫游状态。如果UE处于漫游状态,则NRF判断NRF中是否存储有与该RID对应的AAnF,如果有则确定该AAnF为vAAnF,如果没有则确定默认的AAnF为vAAnF。另一种可能的实现方法是:NRF先判断NRF中是否存储有与该RID对应的AAnF,如果有则确定该AAnF为vAAnF,如果没有,则NRF判断UE是否处于漫游状态,如果UE处于漫游状态,则确定默认的AAnF为vAAnF。再一种可能的实现方法是:NRF先判断UE是否处于漫游状态,如果UE处于漫游状态则确定默认的AAnF为vAAnF。其中,NRF确定UE处于漫游状态的方法可以参考上述情形一中的方法。
针对表2的方法3,当步骤1002中确定UE处于漫游状态,且步骤1004的发现请求消息中携带RID和指示信息,则NRF先根据收到的指示信息,确定UE处于漫游状态,然后NRF判断NRF中是否存储有与该RID对应的AAnF,如果有则确定该AAnF为vAAnF,如果没有则确定默认的AAnF为vAAnF。
针对表2的方法4,当步骤1002中确定UE处于漫游状态,且步骤1004的发现请求消息中携带HPLMN ID和/或VPLMN ID,则NRF先根据收到的HPLMN ID和/或VPLMN ID,确定UE处于漫游状态。然后NRF判断NRF中是否存储有与该HPLMN ID和/或VPLMN ID对应的AAnF,如果有则确定该AAnF为vAAnF,如果没有则确定默认的AAnF为vAAnF。
针对表2的方法5,当步骤1002中确定UE处于漫游状态,且步骤1004的发现请求消息中携带RID,以及HPLMN ID和/或VPLMN ID,则NRF先根据收到的HPLMN ID和/或VPLMN ID,确定UE处于漫游状态。然后NRF判断NRF中是否存储有与RID、HPLMN ID或VPLMN ID中的至少一个相对应的AAnF,如果有则确定该AAnF为vAAnF,如果没有则确定默认的AAnF为vAAnF。
针对表2的方法6,当步骤1002中确定UE处于漫游状态,且步骤1004的发现请求消息中携带RID,以及HPLMN ID和/或VPLMN ID,以及指示信息,则NRF先根据收到的指示信息,确定UE处于漫游状态。然后NRF判断NRF中是否存储有与RID、HPLMN ID或VPLMN ID中的至少一个相对应的AAnF,如果有则确定该AAnF为vAAnF,如果没有则确定默认的AAnF为vAAnF。
针对表2的方法7,当步骤1002中确定UE处于漫游状态,且步骤1004的发现请求消息中携带指示信息,则NRF先根据收到的指示信息,确定UE处于漫游状态。然后NRF确定默认的AAnF为vAAnF。
需要说明的是,在vAAnF需要保存AKMA安全上下文的情况下,NRF需要保证每次选择的vAAnF是相同的。否则,如果vAAnF只是作为中转节点,不需要保存AKMA安全上下文,则NRF可以选择任意的AAnF作为vAAnF。
步骤1006,NRF向AF发送发现响应消息。相应地,AF接收该发现响应消息。
该发现响应消息可以是Nnrf_NFDiscovery_Response消息。
该发现响应消息中包括vAAnF的信息。
步骤1007,AF向vAAnF发送应用密钥请求消息。相应地,vAAnF接收该应用密钥请求消息。
该应用密钥请求消息可以是Naanf_AKMA_ApplicationKey_Get_Request消息。
一种实现方法中,该应用密钥请求消息中包括AF ID和A-KID,该A-KID包括RID,A-TID和HPLMN ID。可选的,该应用密钥请求消息还包括VPLMIN ID。其中,当UE处于拜访网络且UE在步骤1001中向AF发送了VPLMN ID,则该应用密钥请求消息中的VPLMN ID可以来自步骤1001。当UE处于家乡网络且AF处于拜访网络,则AF可以从AF中获取VPLMN ID。其中,当vAAnF需要存储AKMA安全上下文,该应用密钥请求消息可以携带VPLMN ID。当AAnF不需要存储AKMA安全上下文,该应用密钥请求消息可以不携带VPLMN ID。或者,当vAAnF能够自己获取VPLMN ID,该应用密钥请求消息也可以不携带VPLMN ID。
另一种实现方法中,该应用密钥请求消息中包括AF ID和A-KID',该A-KID'包括RID,A-TID,HPLMN ID以及VPLMN ID。该情形是针对上述步骤1001的消息中携带A-KID'的场景。
步骤1008,vAAnF向hAAnF发送应用密钥请求消息。相应地,hAAnF接收该应用密钥请求消息。
该应用密钥请求消息中的内容与上述步骤1007的应用密钥请求消息中的内容相同。
其中,vAAnF根据A-KID中的RID或A-KID'中的RID,选择hAAnF。
需要说明的是,vAAnF在选择hAAnF之前,还需要确定UE处于漫游状态,vAAnF确定UE处于漫游状态的方法与NRF确定UE处于漫游状态的方法相同,可以参考前述描述。
步骤1009,hAAnF确定KAF和KAF的有效时间,或者确定KAKMA*。
在vAAnF不需要存储AKMA安全上下文的情况下,hAAnF确定KAF和KAF的有效时间。在vAAnF需要存储AKMA安全上下文的情况下,hAAnF获取KAKMA*。
其中,hAAnF确定KAF和KAF的有效时间的方法可以参考图6或图7的实施例的描述。
hAAnF确定KAKMA*的方法包括但不限于:如果hAAnF可能已经获取KAKMA*,则直接确定使用该KAKMA*。如果hAAnF没有新生成KAKMA*,则hAAnF先生成KAKMA*。具体地,在hAAnF确定UE处于漫游状态后,hAAnF获取KAKMA*。在一种可能的实现方法中,如果hAAnF已经获取KAKMA*,则直接确定使用该KAKMA*。在另一种可能的实现方法中,如果hAAnF没有新生成KAKMA*,则hAAnF先生成KAKMA*。KAKMA*可以根据KAKMA获取,也可以根据获取。
hAAnF已经获取KAKMA*,包括hAAnF已经生成KAKMA*了,或者KAKMA*是AUSF生成并传递给hAAnF,hAAnF在收到KAKMA*后存储该KAKMA*。AUSF或者hAAnF生成KAKMA*的方法包为KAKMA*=KDF(KAKMA或KAUSF,第一参数,第二参数)。本实施例不限制第一参数和第二参数中具体参数的个数,也不限制第一参数和第二参数的使用顺序。
本申请实施例中,hAAnF生成KAKMA*,或者AUSF生成KAKMA*并向hAAnF发送KAKMA*,因而hAAnF可以获取到KAKMA*。其中,AUSF或hAAnF生成KAKMA*的方法包括但不限于:
方法1,hAAnF根据VPLMN ID和KAKMA确定KAKMA*。此时,VPLMNID是第一参数。第二参数可以是其他内容,或者不需要。本实施例不限制是否使用第二参数,以及第二参数的具体内容。
其中,hAAnF可以从AUSF获取VPLMN ID,例如hAAnF接收来自AUSF的Naanf_AKMA_AnchorKey_Registerrequest消息,该消息中包括VPLMN ID。或者,hAAnF可以从UE获取VPLMN ID,例如hAAnF接收来自UE的A-KID',该A-KID'中包含VPLMN ID。或者,hAAnF可以从AF获取VPLMN ID,例如hAAnF接收来自AF的Naanf_AKMA_ApplicationKey_GetserviceRequest消息,该消息中包含VPLMN ID。
方法2,hAAnF根据VPLMN ID、HPLMN ID和KAKMA确定KAKMA*。此时,VPLMNID是第一参数或第二参数。HPLMN ID是第二参数或第一参数。
其中,hAAnF可以从AUSF获取VPLMN ID,例如hAAnF接收来自AUSF的Naanf_AKMA_AnchorKey_Registerrequest消息,该消息中包括VPLMN ID。或者,hAAnF可以从UE获取VPLMN ID,例如hAAnF接收来自UE的A-KID',该A-KID'中包含VPLMN ID。或者,hAAnF可以从AF获取VPLMN ID,例如hAAnF接收来自AF的Naanf_AKMA_ApplicationKey_GetserviceRequest消息,该消息中包含VPLMN ID。
其中,hAAnF可以从hAAnF获取HPLMN ID,比如从hAAnF的配置信息中获取HPLMNID。或者,hAAnF可以从UE获取HPLMN ID,例如hAAnF接收来自UE的A-KID或A-KID',该A-KID或A-KID'中包含HPLMN ID。
方法3,AUSF根据VPLMN ID、SUPI和KAUSF确定KAKMA*。此时,VPLMNID是第一参数或第二参数。SUPI是第二参数或第一参数。
方法4,hAAnF根据一个计数器值和KAKMA确定KAKMA*。该计数器值每使用一次需要自动加1。此时,第一参数是计数器值,第二参数可以是其他内容,或者不需要。本实施例不限制是否使用第二参数,以及第二参数的具体内容。
方法5,hAAnF根据一个字符串和KAKMA确定KAKMA*。比如字符串“roaming”,字符串“VPLMN”。本实施例不限制具体的字符串内容。该字符串提前被UE和hAAnF记录此时,第一参数是字符串,第二参数可以是其他内容,或者不需要。本实施例不限制是否使用第二参数,以及第二参数的具体内容。
方法6,hAAnF根据区分符和KAKMA确定KAKMA*。该区分符可以为一个具体值,该值提前被UE和hAAnF记录。比如0x01。此时,第一参数是区分符,第二参数可以是其他内容,或者不需要。本实施例不限制是否使用第二参数,以及第二参数的具体内容。
方法7,AUSF根据一个计数器值和KAKMA确定KAKMA*,或者根据一个计数器值和KAUSF确定KAKMA*。该计数器值每使用一次需要自动加1。此时,第一参数是计数器值,第二参数可以是其他内容,或者不需要。本实施例不限制是否使用第二参数,以及第二参数的具体内容。
方法8,AUSF根据一个字符串和KAKMA确定KAKMA*,或者根据一个字符串和KAUSF确定KAKMA*,该字符串提前被UE和AUSF记录。比如字符串“roaming”,字符串“VPLMN”。本实施例不限制具体的字符串内容。此时,第一参数是字符串,第二参数可以是其他内容,或者不需要。本实施例不限制是否使用第二参数,以及第二参数的具体内容。
方法9,AUSF根据区分符和KAKMA确定KAKMA*。该区分符可以为一个具体值,该值提前被UE和AUSF记录。该区分符可以为具体值,比如0x01。此时,第一参数是区分符,第二参数可以是其他内容,或者不需要。本实施例不限制是否使用第二参数,以及第二参数的具体内容。
方法10,AUSF根据区分符和KAUSF确定KAKMA*。该区分符可以为一个具体值,该值提前被UE和AUSF记录。该区分符可以为具体值,比如0x01。此时,第一参数是区分符,第二参数可以是其他内容,或者不需要。本实施例不限制是否使用第二参数,以及第二参数的具体内容。
方法11,AUSF根据区分符和KAUSF分别确定KAKMA和KAKMA*。此时,该区分符需要至少2个值,分别在生成KAKMA和KAKMA*的时候使用。该值提前被UE和AUSF记录。比如,当UE未处于漫游状态时,使用0x01生成KAKMA,并且当UE处于未漫游状态时,使用0x02生成KAKMA*。此时,第一参数是区分符,本实施例不限制是否使用第二参数,以及第二参数的具体内容。比如,使用0x01,“AKMA”,SUPI和KAUSF生成KAKMA,使用0x02,“AKMA”,SUPI和KAUSF生成KAKMA*。因此,在该示例中,第一参数是区分符,第二参数AKMA”和SUPI。
方法12:AUSF根据一个新的FC值和KAUSF确定KAKMA*,具体地,AUSF使用新的FC值,“AKMA”,SUPI和KAUSF生成KAKMA*。该FC值当前在标准TS 33.220v17.3.0中记录。本实施例不限制新的FC值的具体数值。此时,该新的FC值为第一参数,第二参数可以是其他内容,或者不需要。本实施例不限制是否使用第二参数,以及第二参数的具体内容。
其中,VPLMNID可以来自UDM,比如AUSF接收来自UDM的Nudm_UEAuthentication_Get Response消息,该消息中包含VPLMN ID。或者,VPLMN ID来自于AMF,比如AUSF接收来自AMF的Nausf_UEAuthenticate_AuthenticationRequest消息,该消息中包含VPLMN ID。
其中,KAKMA用于生成UE与家乡网络的AF(即hAF)进行通信时需要的密钥。KAKMA*用于生成UE与拜访网络的AF(即vAF)进行通信时需要的密钥。
需要说明的是,如果是AUSF生成KAKMA*,则UE也将按照AUSF生成KAKMA*时所使用的方法来生成KAKMA*,也即UE与AUSF按照相同方法生成相同的KAKMA*。如果是hAAnF生成KAKMA*,则UE也将按照hAAnF生成KAKMA*时所使用的方法来生成KAKMA*,也即UE与hAAnF按照相同方法生成相同的KAKMA*。
其中,AUSF或hAAnF所生成的KAKMA*,是被vAAnF用来生成应用密钥,然后vAAnF将应用密钥发送给vAF,当然也可以发送给hAF。UE所生成的KAKMA*,是被UE用来生成应用密钥,UE与vAAnF生成的应用密钥相同。UE与vAF/hAF之间使用该应用密钥进行安全通信。
步骤1010,hAAnF向vAAnF发送应用密钥响应消息。相应地,vAAnF接收该应用密钥响应消息。
该应用密钥响应消息可以是Naanf_AKMA_ApplicationKey_Get_Response消息。
在vAAnF不需要存储AKMA安全上下文的情况下,该应用密钥响应消息中包括KAF和KAF的有效时间。
在vAAnF需要存储AKMA安全上下文的情况下,该应用密钥响应消息中包括KAKMA*。
步骤1011,vAAnF存储KAKMA*,根据KAKMA*确定KAF,以及确定KAF的有效时间。
当步骤1010的应用密钥响应消息中包括KAF和KAF的有效时间,则不执行该步骤1011。
当步骤1010的应用密钥响应消息中包括KAKMA*,则执行该步骤1011。其中,根据KAKMA*确定KAF,比如可以是根据AF ID和KAKMA*确定KAF。
步骤1012,vAAnF向AF发送应用密钥响应消息。相应地,AF接收该应用密钥响应消息。
该应用密钥响应消息可以是Naanf_AKMA_ApplicationKey_Get_Response消息。
该应用密钥响应消息中包括KAF和KAF的有效时间,该KAF和KAF的有效时间是hAAnF或vAAnF确定的。
步骤1013,AF向UE发送应用会话建立响应消息。相应地,UE接收应用会话建立响应消息。
一种实现方法中,在vAAnF存储AKMA安全上下文的情况下,当UE处于漫游状态,则该应用会话建立响应消息携带VPLMN ID或指示信息。
其中,该VPLMN ID可以来自上述步骤1001的消息,也可以是AF从本地获取的。
该指示信息指示UE使用KAKMA*,或者指示UE处于漫游状态,或者指示AF所在的PLMN与UE的HPLMN不同。
步骤1014,UE确定使用KAKMA*或KAKMA。
在vAAnF不需要存储AKMA安全上下文的情况下,UE确定使用KAKMA,此时,UE不生成KAKMA*。
在vAAnF需要存储AKMA安全上下文的情况下,UE确定使用KAKMA*。
在一种可能实现方式中,当步骤1013的消息中携带指示信息或VPLMN ID,则UE确定使用KAKMA*,并按照与步骤1009中相同方法,确定KAKMA*。当步骤1013的消息中没有携带指示信息,也没有携带VPLMN ID,则UE确定使用KAKMA。在另一种可能的实现方式中,当步骤1013的消息中不携带指示信息或VPLMN ID时,UE可以判断AF所在PLMN与UE的HPLMN是否相同。如果不同,则UE确定使用KAKMA*,如果相同,则UE确定使用KAKMA。在又一种实现方式中,当UE确定UE处于漫游状态时,则UE确定使用KAKMA*。
后续,UE根据KAKMA*或KAKMA确定KAF和KAF的有效时间,并基于KAF和KAF的有效时间,与AF之间进行安全通信。此时,KAKMA*和根据KAKMA*生成的KAF和KAF的有效时间用于UE所在PLMN与AF所在PLMN不同的场景中,KAKMA和根据KAKMA生成的KAF和KAF的有效时间用于UE所在PLMN和AF所在PLMN相同的场景中。
需要说明的是,在vAAnF需要存储AKMA安全上下文且UE需要使用KAKMA*的情况下,UE可以在步骤1013后生成KAKMA*,或者UE也可以在步骤1013之前的任意步骤前任意时刻生成KAKMA*。在UE在步骤1013之前的任意步骤前任意时刻生成KAKMA*的情况下,本实施例不限制生成KAKMA*的具体时机。一种可能的实现方式中,UE在步骤1013之前的任意步骤先生成KAKMA*,和KAKMA,后续如果在步骤1013中收到指示信息或VPLMN ID,则UE确定使用KAKMA*确定KAF和KAF的有效时间,则UE可以使用KAKMA*确定的KAF和KAF的有效时间,与AF之间进行安全通信。如果在步骤1013中没有收到指示信息,也没有收到VPLMN ID,则UE确定使用KAKMA根据KAKMA确定KAF和KAF的有效时间,并使用根据KAKMA确定的KAF和KAF的有效时间与AF之间进行安全通信。又一种可能的实现方式中,UE也可以在步骤1013之前的任意步骤,先生成KAKMA,后续如果在步骤1013中没有收到指示信息,也没有收到VPLMN ID,则UE可以使用KAKMA确定KAF和KAF的有效时间,并使用KAKMA确定的KAF和KAF的有效时间与AF之间进行安全通信。如果在步骤1013中收到指示信息或VPLMN ID,则UE确定使用KAKMA*,如果KAKMA*还没有生成,则先生成KAKMA*,然后根据KAKMA*确定KAF和KAF有效时间,并使用根据KAKMA*确定的KAF和KAF的有效时间与AF之间进行安全通信。再一种可能的实现方式中,UE也可以在步骤1013之前的任意步骤,先生成KAKMA*,后续如果在步骤1013中没有收到指示信息,也没有收到VPLMN ID,则UE确定使用KAKMA,如果KAKMA还没有生成,则先生成KAKMA,然后UE使用KAKMA确定KAF和KAF的有效时间,并使用根据KAKMA确定的KAF和KAF的有效时间与AF之间进行安全通信。如果在步骤1013中收到指示信息或VPLMN ID,则UE确定使用KAKMA*,则UE根据KAKMA*确定KAF和KAF有效时间,并使用根据KAKMA*确定的KAF和KAF的有效时间与AF之间进行安全通信。
需要说明的是,在UE也可以在步骤1013之前的任意步骤生成KAKMA*的情况下,UE可以根据处于漫游状态确定需要或者只生成KAKMA*。具体地,在一种实现方式中,UE根据收到的PLMNID与自己的HPLMN ID进行对比。如果不同,则表示UE处于漫游状态。比如,UE可以从基站发送的广播消息中收到UE所在网络的PLMNID,然后UE将该PLMN ID与UE的SUPI中的HPLMN ID进行对比,如果不同则表示UE处于漫游状态,如果相同则表示UE未处于漫游状态。
上述方案,当UE处于漫游状态,可以实现为UE选择一个合适的vAAnF。其中,在AF需要判断UE是否处于漫游状态的情况下,AF根据UE是否处于漫游状态,向NRF发送不同的选择参数,可选的还发送指示信息,以使得NRF选择合适的vAAnF。在AF不需要判断UE是否处于漫游状态的情况下,为了使得NRF能够选择合适的vAAnF,则需要增强NRF的选择逻辑。并且,上述方案还实现了AKMA安全上下文在不同PLMN之间的隔离,即在vAAnF需要存储AKMA密钥的情况下,hAAnF存储KAKMA,而hAAnF存储KAKMA*,实现不同的AAnF存储不同的AKMA密钥。图11为本申请实施例提供的一种通信方法的流程示意图。该方法中,AF是位于5G核心网之外的一个网元。该方法包括以下步骤:
步骤1100至步骤1103,同前述图10实施例中的步骤1000至步骤1003。
其中,步骤1100、步骤1102、步骤1103均为可选步骤。
如果NEF具有判断UE是否处于漫游状态的能力,则可以不执行步骤1102。如果NEF不具有判断UE是否处于漫游状态的能力,则执行步骤1102并且AF向NEF发送用于指示UE处于漫游状态的信息。其中,指示UE处于漫游状态的信息可以参考步骤1004相关描述。
步骤1104,AF向NEF发送应用密钥请求消息。相应地,NEF接收该应用密钥请求消息。
该应用密钥请求消息中包括AF ID,以及还包括A-KID或A-KID'。该AFID用于标识AF。其中,该A-KID包括RID,A-TID和HPLMN ID。该A-KID'包括RID,A-TID,HPLMN ID以及VPLMN ID。
该应用密钥请求消息可以是Nnef_AKMA_AFKey_Request消息。
该NEF可以是拜访网络的NEF(即vNEF)或家乡网络的NEF(即hNEF)。
其中,如果执行上述步骤1102,则该应用密钥请求消息中还包括指示信息或VPLMNID,该指示信息指示UE处于漫游状态,指示信息可以是二进制指示信息、枚举型指示信息等,该VPLMN ID也是用于指示UE处于漫游状态。
需要说明的是,如果执行上述步骤1103,则该步骤1104的应用密钥请求消息中还包括选择参数。在应用密钥请求消息中包含选择参数的情况下,该应用密钥请求消息中可以包含A-KID或A-KID',也可以不包含A-KID或A-KID'。关于选择参数的具体实现方法,可以参考图10的实施例的描述。
步骤1105,NEF判断UE是否处于漫游状态。
步骤1105为可选步骤。该步骤1105与上述步骤1102为二选一执行。
该步骤1105的具体实现方法与步骤1102类似,只需要将步骤1102中由AF执行的操作替换为由NEF执行。例如,NEF可以将NEF所在的PLMN的标识信息与A-KID或A-KID'中的HPLMN ID进行对比,如果二者不同,则确定UE处于漫游状态,如果二者相同,则确定UE未处于漫游状态。
步骤1106,NEF确定选择参数。
步骤1106为可选步骤。该步骤1106与上述步骤1103为二选一执行。
该步骤1106的具体实现方法与步骤1103类似,只需要将步骤1103中由AF执行的操作替换为由NEF执行。
步骤1107,NEF向NRF发送发现请求消息。相应地,NRF接收该发现请求消息。
该发现请求消息可以是Nnrf_NFDiscovery_Request消息。
一种实现方法中,该步骤1107的发现请求消息与步骤1004中的发现请求消息是同一个消息,即NEF转发来自AF的发现请求消息。
又一种实现方法中,该步骤1107的发现请求消息与步骤1004中的发现请求消息是不同的消息,但该两个消息中包含相同的内容。
步骤1108,NRF确定UE处于漫游状态,则根据选择参数选择vAAnF。
该步骤1108的具体实现,同前述图10实施例中的步骤1005。
步骤1109,NRF向NEF发送发现响应消息。相应地,NEF接收该发现响应消息。
该发现响应消息可以是Nnrf_NFDiscovery_Response消息。
该发现响应消息中包括vAAnF的信息。
步骤1110,NEF向vAAnF发送应用密钥请求消息。相应地,vAAnF接收该应用密钥请求消息。
该应用密钥请求消息可以是Naanf_AKMA_ApplicationKey_Get_Request消息。
该应用密钥请求消息的具体实现,同前述图10实施例中的步骤1007中的应用密钥请求消息。
步骤1111至步骤1114,同前述图10实施例中的步骤1008至步骤1011。
步骤1115,vAAnF向NEF发送应用密钥响应消息。相应地,NEF接收该应用密钥响应消息。
该应用密钥响应消息可以是Naanf_AKMA_ApplicationKey_Get_Response消息。
该应用密钥响应消息中包括KAF和KAF的有效时间,该KAF和KAF的有效时间是hAAnF或vAAnF确定的。
步骤1116,NEF向AF发送应用密钥响应消息。相应地,AF接收该应用密钥响应消息。
该应用密钥响应消息可以是Naanf_AKMA_ApplicationKey_Get_Response消息。
该应用密钥响应消息中包括KAF和KAF的有效时间,该KAF和KAF的有效时间是hAAnF或vAAnF确定的。
步骤1117至步骤1118,同前述图10实施例中的步骤1013至步骤1014。
上述方案,当UE处于漫游状态,可以实现为UE选择一个合适的vAAnF。其中,在AF/NEF需要判断UE是否处于漫游状态的情况下,NEF根据UE是否处于漫游状态,向NRF发送不同的选择参数,可选的还发送指示信息,以使得NRF选择合适的vAAnF。在AF/NEF不需要判断UE是否处于漫游状态的情况下,为了使得NRF能够选择合适的vAAnF,则需要增强NRF的选择逻辑。并且,上述方案还实现了AKMA安全上下文在不同PLMN之间的隔离,即在vAAnF需要存储AKMA密钥的情况下,hAAnF存储KAKMA,而hAAnF存储KAKMA*,实现不同的AAnF存储不同的AKMA密钥。
图12为本申请实施例提供的一种通信方法的流程示意图。图12中涉及hNRF,vNRF和vAAnF的相关步骤是可选步骤。具体的,在vAAnF存储AKMA安全上下文的情况下,需要执行这些步骤,否则不需要执行这些步骤。并且,在执行涉及hNRF,vNRF和vAAnF的相关步骤的情况下,该图12的实施例中是hAAnF在确定UE处于漫游状态后,主动将KAKMA*发送给vAAnF,而上述图10和图11的实施例中,hAAnF是基于vAAnF的请求,将KAKMA*发送给vAAnF。
该方法包括以下步骤:
步骤1201,UE与AUSF之间完成主鉴权流程。
该过程可以参考图6或图7的实施例。
在UE与AUSF之间完成主鉴权流程之后,UE和AUSF均生成并存储KAKMA和A-KID。
步骤1202,AUSF判断UE是否处于漫游状态。
一种实现方法中,AUSF向UDM发送认证请求消息,该认证请求消息包括UE的SUPI或SUCI。UDM从UE的SNname中获取SNID,该SNID为AMF所在的PLMN的标识信息,该AMF是UE当前所在网络的AMF,因此如果UE在VPLMN,则SNID为VPLMN ID。当UDM确定SNID为VPLMN ID,则确定UE处于漫游状态,进而在向AUSF发送的认证响应消息中携带VPLMN ID。从而AUSF根据认证响应消息中的VPLMN ID,确定UE处于漫游状态。
又一种实现方法中,AUSF对比从AF所在的网络的PLMN ID与从UE收到的HPLMN ID。如果相同,则确定UE未处于漫游状态,如果不同,表明UE处于漫游状态。
再一种实现方法中,AUSF从AMF获得SNID。如果UE在VPLMN,则SNID为VPLMN ID。当AUSF确定SNID为VPLMN ID,则确定UE处于漫游状态,并且保存SNID。
步骤1203,在UE处于漫游状态的情况下,AUSF和UE生成KAKMA*或KAKMA,以及生成A-KID'或A-KID。
在vAAnF不需要存储AKMA安全上下文的情况下,UE生成KAKMA和A-KID,或者KAKMA和A-KID'。
在vAAnF需要存储AKMA安全上下文的情况下,UE确定生成KAKMA*和A-KID',或者KAKMA*和A-KID。同时,UE生成KAKMA。并且,生成KAKMA*和A-KID'是可选步骤。
其中,生成KAKMA,A-KID,KAKMA*和A-KID'的实现方法,可以参考前述实施例描述。
在vAAnF不需要存储AKMA安全上下文的情况下,KAKMA由A-KID'或A-KID标识。
在vAAnF需要存储AKMA安全上下文的情况下,KAKMA*由A-KID'或A-KID标识。
因此,A-KID可以既标识KAKMA,又标识KAKMA*;或者A-KID只标识KAKMA,同时A-KID’只标识KAKMA*;或者A-KID’既标识KAKMA,又标识KAKMA*。
其中,A-KID'包括RID,A-TID和HPLMN ID,A-KID'包括RID,A-TID、HPLMN ID和VPLMN ID。
一种实现方法中,AUSF/UE是否生成A-KID'与UE是否处于漫游状态没有关系。也即不管UE是否处于漫游状态,AUSF/UE都生成A-KID',但UE是否漫游状态会导致生成的A-KID'的内容不同。其中,如果UE处于漫游状态,则A-KID'中的VPLMN字段为VPLMN ID。如果UE未处于漫游状态,则A-KID'中的VPLMN字段为默认值。其中,AUSF可以从UDM或AMF收到VPLMN ID。此时,AUSF/UE不再生成A-KID。
又一种实现方法中,AUSF/UE是否生成A-KID'与UE是否处于漫游状态有关系。具体的,如果UE处于漫游状态,则AUSF/UE生成A-KID',且A-KID'中的VPLMN字段为VPLMN ID。如果UE未处于漫游状态,则AUSF生成A-KID。
需要说明的是,在生成A-KID'与UE是否处于漫游状态有关系的情况下,则AUSF可以既生成A-KID,也生成A-KID'。则A-KID用于标识KAKMA,A-KID'用于标识KAKMA*。在只生成A-KID,不生成A-KID'的情况下,则A-KID用于标识KAKMA*和KAKMA。或者,在只生成A-KID',不生成A-KID的情况下,则A-KID'用于标识KAKMA*和KAKMA。
步骤1204,AUSF向hAAnF发送密钥注册请求消息。相应地,hAAnF接收该密钥注册请求消息。
该密钥注册请求消息可以是Naanf_AKMA_AnchorKey_Register Request消息。
一种实现方法中,在vAAnF存储AKMA安全上下文并且生成了KAKMA*的情况下,则该密钥注册请求消息中包括SUPI、KAKMA、A-KID、KAKMA*和A-KID',或者包括SUPI、KAKMA、A-KID和KAKMA*,或者包括SUPI、KAKMA、KAKMA*和A-KID'。
又一种实现方法中,在vAAnF不需要存储AKMA安全上下文的情况下,或者没有生成KAKMA*的情况下,则该密钥注册请求消息中包括SUPI、KAKMA和A-KID。
可选的,该密钥注册请求消息还包括漫游指示信息,该漫游指示信息可以是UE所在的VPLMN的信息,即VPLMN ID。在没有生成KAKMA*的情况下,当hAAnF根据漫游指示信息判断UE处于漫游状态后,则生成KAKMA*,或A-KID'(即步骤1211)。KAKMA*和A-KID'的生成实现方法,可以参考前述实施例描述。
在vAAnF存储AKMA安全上下文,且需要提前将AKMA安全上下文发给vAAnF的情况下,需要执行以下步骤1205到步骤1213中的部分或全部步骤,否则不需要执行步骤1205到步骤1213。
步骤1205,hAAnF选择vAAnF。
该步骤为可选步骤。
hAAnF可以根据选择参数(该选择参数也称为用于选择vAAnF的参数),选择vAAnF。关于根据选择参数选择vAAnF的不同实现方法,可以参考图10的实施例中的描述。
如果执行该步骤1205,则不需要执行以下步骤1206至步骤1209以及步骤1210a和步骤1210b。如果没有执行该步骤1205,则需要执行以下步骤1206至步骤1209以及步骤1210a和步骤1210b。
步骤1206,hAAnF向hNRF发送发现请求消息。相应地,hNRF接收该发现请求消息。
该发现请求消息中包括VPLMN ID和选择参数。该选择参数也称为用于选择vAAnF的参数,该选择参数的具体实现方法可以参考图10的实施例的描述。
该发现请求消息可以是Nnrf_NFDiscovery_Request消息。
步骤1207,hNRF根据VPLMN ID,选择vNRF。
步骤1208,hNRF向vAAnF发送发现请求消息。相应地,vAAnF接收该发现请求消息。
该发现请求消息中包括选择参数。
该发现请求消息可以是Nnrf_NFDiscovery_Request消息。
步骤1209,vNRF选择vAAnF。
vNRF根据选择参数选择vAAnF,具体可以参考图10的实施例的描述。
步骤1210a,vNRF向hNRF发送发现响应消息。相应地,hNRF接收该发现响应消息。
该发现响应消息中包括vAAnF的信息。
该发现响应消息可以是Nnrf_NFDiscovery_Response消息。
步骤1210b,hNRF向hAAnF发送发现响应消息。相应地,hAAnF接收该发现响应消息。
该发现响应消息中包括vAAnF的信息。
该发现响应消息可以是Nnrf_NFDiscovery_Response消息。
步骤1211,在UE处于漫游状态的情况下,UE和hAAnF生成KAKMA*或A-KID'。
在上述步骤1203没有生成KAKMA*,并且在执行步骤1211前UE没有生成KAKMA*的情况下,则需要在该步骤1211中生成KAKMA*。生成KAKMA*的具体实现方法类似于步骤1203。
在上述步骤1203没有生成A-KID',并且在执行步骤1211前UE没有生成A-KID'的情况下,则需要在步骤1211中生成A-KID'。生成A-KID'的具体实现方法类似于步骤1203。
需要说明的是,如果执行该步骤1211,则该步骤1211与前述步骤之间没有先后顺序的限制,该步骤1211只需要在步骤1212之前执行即可。
步骤1212,hAAnF向vAAnF发送密钥注册请求消息。相应地,vAAnF接收该密钥注册请求消息。
该密钥注册请求消息可以是Naanf_AKMA_AnchorKey_Register Request消息。
该密钥注册请求消息中包括SUPI,KAKMA*和A-KID'。
步骤1213,vAAnF存储SUPI,KAKMA*和A-KID'。
需要说明的是,在该实施例中,如果是AUSF生成KAKMA*或KAKMA,则UE也将按照AUSF生成KAKMA*或KAKMA时所使用的方法来生成KAKMA*或KAKMA,也即UE与AUSF按照相同方法生成相同的KAKMA*或KAKMA。如果是hAAnF生成KAKMA*或KAKMA,则UE也将按照hAAnF生成KAKMA*或KAKMA时所使用的方法来生成KAKMA*或KAKMA,也即UE与hAAnF按照相同方法生成相同的KAKMA*或KAKMA。
其中,AUSF或hAAnF所生成的KAKMA*,是被vAAnF用来生成应用密钥,然后vAAnF将应用密钥发送给vAF,当然也可以发送给hAF。UE所生成的KAKMA*,是被UE用来生成应用密钥,UE与vAAnF生成的应用密钥相同。UE与vAF/hAF之间使用该应用密钥进行安全通信。
上述方案,可以实现由AUSF或hAAnF生成KAKMA*和A-KID',并主动向vAAnF发送KAKMA*和A-KID',实现在vAAnF上存储KAKMA*和A-KID',便于后续vAAnF使用KAKMA*生成用于UE与vAF之间通信的安全密钥(即KAF),实现了在UE处于漫游状态下的密钥更新。
可以理解的是,为了实现上述实施例中功能,网络存储功能网元(NRF)、第一网元(如AF、NEF)、终端设备(如UE)、家乡AKMA锚点功能网元(hAAnF)、拜访AKMA锚点功能网元(vAAnF)或鉴权服务器功能网元(AUSF)包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本申请中所公开的实施例描述的各示例的单元及方法步骤,本申请能够以硬件或硬件和计算机软件相结合的形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用场景和设计约束条件。
图13和图14为本申请的实施例提供的可能的通信装置的结构示意图。这些通信装置可以用于实现上述方法实施例中网络存储功能网元(NRF)、第一网元(如AF、NEF)、终端设备(如UE)、家乡AKMA锚点功能网元(hAAnF)、拜访AKMA锚点功能网元(vAAnF)或鉴权服务器功能网元(AUSF)的功能,因此也能实现上述方法实施例所具备的有益效果。在本申请的实施例中,该通信装置可以是网络存储功能网元(NRF)、第一网元(如AF、NEF)、终端设备(如UE)、家乡AKMA锚点功能网元(hAAnF)、拜访AKMA锚点功能网元(vAAnF)或鉴权服务器功能网元(AUSF),也可以是应用于网络存储功能网元(NRF)、第一网元(如AF、NEF)、终端设备(如UE)、家乡AKMA锚点功能网元(hAAnF)、拜访AKMA锚点功能网元(vAAnF)或鉴权服务器功能网元(AUSF)的模块(如芯片)。
图13所示的通信装置1300包括处理单元1310和收发单元1320。通信装置1300用于实现上述方法实施例中网络存储功能网元(NRF)、第一网元(如AF、NEF)、终端设备(如UE)、家乡AKMA锚点功能网元(hAAnF)、拜访AKMA锚点功能网元(vAAnF)或鉴权服务器功能网元(AUSF)的功能。
当通信装置1300用于实现上述方法实施例中网络存储功能网元(NRF)的功能,收发单元1320,用于接收来自第一网元的请求消息,该请求消息包括选择参数;处理单元1310,用于当终端设备处于漫游状态,根据该选择参数,选择为该终端设备提供服务的拜访AKMA锚点功能网元;收发单元1320,还用于向该第一网元发送响应消息,该响应消息包括该拜访AKMA锚点功能网元的信息。
一种可能的实现方法中,处理单元1310,具体用于当该网络存储功能网元存储有该选择参数对应的AKMA锚点功能网元,则该网络存储功能网元选择该选择参数对应的AKMA锚点功能网元,作为该拜访AKMA锚点功能网元;或者,当该网络存储功能网元未存储该选择参数对应的AKMA锚点功能网元,则选择默认的AKMA锚点功能网元,作为该拜访AKMA锚点功能网元。
一种可能的实现方法中,处理单元1310,还用于根据收到的指示信息,确定该终端设备处于漫游状态。
一种可能的实现方法中,处理单元1310,还用于根据该网络存储功能网元的PLMN的信息和该终端设备的HPLMN的信息,确定该终端设备处于漫游状态。
当通信装置1300用于实现上述方法实施例中第一网元(如AF或NEF)的功能,处理单元1310,用于当终端设备处于漫游状态,确定选择参数;收发单元1320,用于向网络存储功能网元发送该选择参数,该选择参数用于选择为该终端设备提供服务的拜访AKMA锚点功能网元;接收来自该网络存储功能网元的该拜访AKMA锚点功能网元的信息;以及根据该拜访AKMA锚点功能网元的信息,向该拜访AKMA锚点功能网元发送请求消息,该请求消息请求用于拜访应用功能网元与该终端设备之间进行安全通信的应用密钥。
一种可能的实现方法中,处理单元1310,还用于根据该终端设备的HPLMN的信息、该第一网元所在的VPLMN的信息或该终端设备的VPLMN的信息中的一个或多个,确定该终端设备处于漫游状态。
一种可能的实现方法中,处理单元1310,具体用于根据第一AKMA密钥标识或第二AKMA密钥标识,确定该选择参数;其中,该第一AKMA密钥标识包括该终端设备的路由标识、该终端设备的AKMA临时标识、该终端设备的HPLMN的信息和该终端设备的VPLMN的信息;该第二AKMA密钥标识包括该终端设备的路由标识、该终端设备的AKMA临时标识和该终端设备的HPLMN的信息。
当通信装置1300用于实现上述方法实施例中终端设备的功能,处理单元1310,用于判断该终端设备是否处于漫游状态;当该终端设备处于漫游状态,确定第一AKMA根密钥,该第一AKMA根密钥用于确定第一应用密钥,该第一应用密钥用于该终端设备与拜访应用功能网元之间进行安全通信。
一种可能的实现方法中,处理单元1310,具体用于根据第二AKMA根密钥,以及该终端设备的HPLMN的信息和/或该终端设备的VPLMN的信息,确定该第一AKMA根密钥,该第二AKMA根密钥用于确定第二应用密钥,该第二应用密钥用于该终端设备与家乡应用功能网元之间进行安全通信。
一种可能的实现方法中,处理单元1310,具体用于根据该终端设备的VPLMN的信息、该终端设备的用户永久标识SUPI和鉴权服务器功能根密钥,确定该AKMA根密钥。
一种可能的实现方法中,处理单元1310,还用于根据收到的指示信息,确定该终端设备处于漫游状态。
当通信装置1300用于实现上述方法实施例中拜访AKMA锚点功能网元的功能,收发单元1320,用于接收来自家乡AKMA锚点功能网元的AKMA根密钥;处理单元1310,用于根据该AKMA根密钥,确定用于拜访应用功能网元与终端设备之间进行安全通信的应用密钥。
当通信装置1300用于实现上述方法实施例中家乡AKMA锚点功能网元的功能,处理单元1310,用于获取第一AKMA根密钥;收发单元1320,用于向拜访AKMA锚点功能网元发送该第一AKMA根密钥,该第一AKMA根密钥用于确定第一应用密钥,该第一应用密钥用于终端设备与拜访应用功能网元之间进行安全通信。
一种可能的实现方法中,处理单元1310,具体用于根据第二AKMA根密钥,确定该第一AKMA根密钥,该第二AKMA根密钥用于确定第二应用密钥,该第二应用密钥用于该终端设备与家乡应用功能网元之间进行安全通信。
一种可能的实现方法中,处理单元1310,具体用于根据该第二AKMA根密钥,以及该终端设备的HPLMN的信息和/或该终端设备的VPLMN的信息,确定该第一AKMA根密钥。
当通信装置1300用于实现上述方法实施例中家乡AKMA锚点功能网元的功能,处理单元1310,用于判断终端设备是否处于漫游状态;当该终端设备处于漫游状态,根据第二AKMA根密钥,确定第一AKMA根密钥;其中,该第一AKMA根密钥用于确定第一应用密钥,该第一应用密钥用于该终端设备与拜访应用功能网元之间进行安全通信;该第二AKMA根密钥用于确定第二应用密钥,该第二应用密钥用于该终端设备与家乡应用功能网元之间进行安全通信。
一种可能的实现方法中,收发单元1320,用于向拜访AKMA锚点功能网元发送该第一AKMA根密钥。
一种可能的实现方法中,收发单元1320,用于接收来自该拜访AKMA锚点功能网元的请求消息,该请求消息用于请求获取AKMA根密钥;基于该请求消息,向该拜访AKMA锚点功能网元发送该第一AKMA根密钥。
一种可能的实现方法中,处理单元1310,具体用于根据该第二AKMA根密钥,以及该终端设备的HPLMN的信息和/或该终端设备的VPLMN的信息,确定该第一AKMA根密钥。
一种可能的实现方法中,收发单元1320,用于接收来自鉴权服务器功能网元的指示信息,该指示信息指示该终端设备处于漫游状态;处理单元1310,用于根据该指示信息,确定该终端设备处于漫游状态。
一种可能的实现方法中,处理单元1310,用于根据该终端设备的HPLMN的信息和/或该终端设备的VPLMN的信息,判断该终端设备是否处于漫游状态。
当通信装置1300用于实现上述方法实施例中鉴权服务器功能网元的功能,处理单元1310,用于判断终端设备是否处于漫游状态;当该终端设备处于漫游状态,根据该终端设备的VPLMN的信息,确定AKMA根密钥;其中,该AKMA根密钥用于确定应用密钥,该应用密钥用于该终端设备与拜访应用功能网元之间进行安全通信。
一种可能的实现方法中,收发单元1320,用于向家乡AKMA锚点功能网元发送该AKMA根密钥。
一种可能的实现方法中,处理单元1310,用于根据该终端设备的VPLMN的信息、该终端设备的SUPI和鉴权服务器功能根密钥,确定该AKMA根密钥。
一种可能的实现方法中,处理单元1310,用于根据该终端设备的HPLMN的信息、该鉴权服务器功能网元所在的VPLMN的信息或该终端设备的VPLMN的信息中的一个或多个,判断该终端设备是否处于漫游状态。
有关上述处理单元1310和收发单元1320更详细的描述可以直接参考上述方法实施例中相关描述直接得到,这里不加赘述。
图14所示的通信装置1400包括处理器1410和接口电路1420。处理器1410和接口电路1420之间相互耦合。可以理解的是,接口电路1420可以为收发器或输入输出接口。可选的,通信装置1400还可以包括存储器1430,用于存储处理器1410执行的指令或存储处理器1410运行指令所需要的输入数据或存储处理器1410运行指令后产生的数据。
当通信装置1400用于上述方法实施例时,处理器1410用于实现上述处理单元1310的功能,接口电路1420用于实现上述收发单元1320的功能。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中的方法步骤可以通过硬件的方式来实现,也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器、闪存、只读存储器、可编程只读存储器、可擦除可编程只读存储器、电可擦除可编程只读存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于基站或终端设备中。当然,处理器和存储介质也可以作为分立组件存在于基站或终端设备中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行所述计算机程序或指令时,全部或部分地执行本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、基站、用户设备或者其它可编程装置。所述计算机程序或指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机程序或指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,例如,软盘、硬盘、磁带;也可以是光介质,例如,数字视频光盘;还可以是半导体介质,例如,固态硬盘。该计算机可读存储介质可以是易失性或非易失性存储介质,或可包括易失性和非易失性两种类型的存储介质。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。在本申请的文字描述中,字符“/”,一般表示前后关联对象是一种“或”的关系;在本申请的公式中,字符“/”,表示前后关联对象是一种“相除”的关系。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。
Claims (30)
1.一种通信方法,其特征在于,包括:
网络存储功能网元接收来自第一网元的请求消息,所述请求消息包括选择参数;
当终端设备处于漫游状态,所述网络存储功能网元根据所述选择参数,选择为所述终端设备提供服务的拜访AKMA锚点功能网元;
所述网络存储功能网元向所述第一网元发送响应消息,所述响应消息包括所述拜访AKMA锚点功能网元的信息。
2.如权利要求1所述的方法,其特征在于,所述网络存储功能网元根据所述选择参数,选择为所述终端设备提供服务的拜访AKMA锚点功能网元,包括:
当所述网络存储功能网元存储有所述选择参数对应的AKMA锚点功能网元,则所述网络存储功能网元选择所述选择参数对应的AKMA锚点功能网元,作为所述拜访AKMA锚点功能网元;或者,
当所述网络存储功能网元未存储所述选择参数对应的AKMA锚点功能网元,则所述网络存储功能网元选择默认的AKMA锚点功能网元,作为所述拜访AKMA锚点功能网元。
3.如权利要求1或2所述的方法,其特征在于,所述选择参数包括所述终端设备的路由标识、所述终端设备的家乡公共陆地移动网络HPLMN的信息、所述第一网元所在的拜访公共陆地移动网络VPLMN的信息或所述终端设备的VPLMN的信息中的一个或多个。
4.如权利要求1至3中任一项所述的方法,其特征在于,所述选择参数包括所述终端设备的HPLMN的信息、所述第一网元所在的VPLMN的信息或所述终端设备的VPLMN的信息中的一个或多个;
所述方法还包括:
所述网络存储功能网元根据所述终端设备的HPLMN的信息、所述第一网元所在的VPLMN的信息或所述终端设备的VPLMN的信息中的一个或多个,确定所述终端设备处于漫游状态。
5.如权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:
所述网络存储功能网元根据收到的指示信息,确定所述终端设备处于漫游状态。
6.如权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:
所述网络存储功能网元根据所述网络存储功能网元的PLMN的信息和所述终端设备的HPLMN的信息,确定所述终端设备处于漫游状态。
7.如权利要求1至6中任一项所述的方法,其特征在于,所述终端设备处于漫游状态指的是所述终端设备位于拜访网络,或者是与所述终端设备进行通信的应用功能网元无法直接连接所述终端设备的家乡AKMA锚点功能网元。
8.一种通信方法,其特征在于,包括:
当终端设备处于漫游状态,第一网元确定选择参数;
所述第一网元向网络存储功能网元发送所述选择参数,所述选择参数用于选择为所述终端设备提供服务的拜访AKMA锚点功能网元;
所述第一网元接收来自所述网络存储功能网元的所述拜访AKMA锚点功能网元的信息;
所述第一网元根据所述拜访AKMA锚点功能网元的信息,向所述拜访AKMA锚点功能网元发送请求消息,所述请求消息请求用于拜访应用功能网元与所述终端设备之间进行安全通信的应用密钥。
9.如权利要求8所述的方法,其特征在于,所述选择参数包括所述终端设备的路由标识、所述终端设备的家乡公共陆地移动网络HPLMN的信息、所述第一网元所在的拜访公共陆地移动网络VPLMN的信息或所述终端设备的VPLMN的信息中的一个或多个。
10.如权利要求8或9所述的方法,其特征在于,所述方法还包括:
所述第一网元根据所述终端设备的HPLMN的信息、所述第一网元所在的VPLMN的信息或所述终端设备的VPLMN的信息中的一个或多个,确定所述终端设备处于漫游状态。
11.如权利要求8至10中任一项所述的方法,其特征在于,所述方法还包括:
所述第一网元向所述终端设备发送指示信息,所述指示信息指示所述终端设备处于漫游状态。
12.如权利要求8至11中任一项所述的方法,其特征在于,所述第一网元确定选择参数,包括:
所述第一网元根据第一AKMA密钥标识或第二AKMA密钥标识,确定所述选择参数;
其中,所述第一AKMA密钥标识包括所述终端设备的路由标识、所述终端设备的AKMA临时标识、所述终端设备的HPLMN的信息和所述终端设备的VPLMN的信息;
所述第二AKMA密钥标识包括所述终端设备的路由标识、所述终端设备的AKMA临时标识和所述终端设备的HPLMN的信息。
13.如权利要求8至12中任一项所述的方法,其特征在于,
所述第一网元是所述拜访应用功能网元;所述方法还包括:所述拜访应用功能网元接收来自所述终端设备的应用会话建立请求消息;或者,
所述第一网元是所述网络开放功能网元;所述方法还包括:所述网络开放功能网元接收来自所述拜访应用功能网元的应用密钥请求消息。
14.一种通信方法,其特征在于,包括:
终端设备判断所述终端设备是否处于漫游状态;
当所述终端设备处于漫游状态,所述终端设备确定第一AKMA根密钥,所述第一AKMA根密钥用于确定第一应用密钥,所述第一应用密钥用于所述终端设备与拜访应用功能网元之间进行安全通信。
15.如权利要求14所述的方法,其特征在于,所述终端设备确定第一AKMA根密钥,包括:
所述终端设备根据第二AKMA根密钥,以及所述终端设备的HPLMN的信息和/或所述终端设备的VPLMN的信息,确定所述第一AKMA根密钥,所述第二AKMA根密钥用于确定第二应用密钥,所述第二应用密钥用于所述终端设备与家乡应用功能网元之间进行安全通信。
16.如权利要求14所述的方法,其特征在于,所述终端设备确定第一AKMA根密钥,包括:
所述终端设备根据所述终端设备的VPLMN的信息、所述终端设备的用户永久标识SUPI和鉴权服务器功能根密钥,确定所述AKMA根密钥。
17.如权利要求14至16中任一项所述的方法,其特征在于,所述方法还包括:
所述终端设备根据收到的指示信息,确定所述终端设备处于漫游状态。
18.一种通信装置,其特征在于,包括用于执行如权利要求1至7中任一项所述方法的模块,或用于执行如权利要求8至13中任一项所述方法的模块,或用于执行如权利要求14至17中任一项所述方法的模块。
19.一种通信装置,其特征在于,包括:处理器和存储器;所述存储器用于存储计算机指令,当所述通信装置运行时,所述处理器执行所述存储器存储的所述计算机指令,以使所述通信装置执行如权利要求1至7中任一项所述方法,或执行如权利要求8至13中任一项所述方法,或执行如权利要求14至17中任一项所述方法。
20.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序或指令,当所述计算机程序或指令在处理器上运行时,使得处理器执行如权利要求1至7中任一项所述方法,或执行如权利要求8至13中任一项所述方法,或执行如权利要求14至17中任一项所述方法。
21.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序或指令,当所述计算机程序或指令被通信装置执行时,实现如权利要求1至7中任一项所述方法,或实现如权利要求8至13中任一项所述方法,或实现如权利要求14至17中任一项所述方法。
22.一种通信系统,其特征在于,包括第一网元和网络存储功能网元;
所述第一网元,用于当终端设备处于漫游状态,确定选择参数;向网络存储功能网元发送第一请求消息,所述第一请求消息包括所述选择参数;
所述网络存储功能网元,用于接收来自所述第一网元的所述第一请求消息;根据所述第一请求消息中的所述选择参数,选择为所述终端设备提供服务的拜访AKMA锚点功能网元;向所述第一网元发送响应消息,所述响应消息包括所述拜访AKMA锚点功能网元的信息;
所述第一网元,还用于接收所述响应消息。
23.如权利要求22所述的系统,其特征在于,所述系统还包括所述拜访AKMA锚点功能网元;
所述第一网元,还用于根据所述拜访AKMA锚点功能网元的信息,向所述拜访AKMA锚点功能网元发送第二请求消息,所述第二请求消息请求用于拜访应用功能网元与所述终端设备之间进行安全通信的第一应用密钥;
所述拜访AKMA锚点功能网元,用于接收所述第二请求消息;获取第一AKMA根密钥;根据所述第一AKMA根密钥确定所述第一应用密钥;以及向所述第一网元发送所述第一应用密钥。
24.如权利要求23所述的系统,其特征在于,所述系统还包括家乡AKMA锚点功能网元;
所述家乡AKMA锚点功能网元,用于获取所述第一AKMA根密钥;以及向所述拜访AKMA锚点功能网元发送所述第一AKMA根密钥;
所述拜访AKMA锚点功能网元,具体用于接收来自所述家乡AKMA锚点功能网元的所述第一AKMA根密钥。
25.如权利要求24所述的系统,其特征在于,所述家乡AKMA锚点功能网元,具体用于根据第二AKMA根密钥,确定所述第一AKMA根密钥,所述第二AKMA根密钥用于确定第二应用密钥,所述第二应用密钥用于所述终端设备与家乡应用功能网元之间进行安全通信。
26.如权利要求25所述的系统,其特征在于,所述家乡AKMA锚点功能网元,具体用于根据所述第二AKMA根密钥,以及所述终端设备的HPLMN的信息和/或所述终端设备的VPLMN的信息,确定所述第一AKMA根密钥。
27.如权利要求24所述的系统,其特征在于,所述家乡AKMA锚点功能网元,具体用于接收来自鉴权服务器功能网元的所述第一AKMA根密钥。
28.如权利要求22至27中任一项所述的系统,其特征在于,所述第一网元是拜访应用功能网元;
所述拜访应用功能网元,还用于接收来自所述终端设备的应用会话建立请求消息,所述应用会话建立请求消息包括用于确定所述选择参数的信息。
29.如权利要求22至27中任一项所述的系统,其特征在于,所述第一网元是网络开放功能网元;
所述网络开放功能网元,还接收来自拜访应用功能网元的应用密钥请求消息,所述应用密钥请求消息包括用于确定所述选择参数的信息。
30.一种通信方法,其特征在于,包括:
当终端设备处于漫游状态,第一网元确定选择参数;
所述第一网元向网络存储功能网元发送第一请求消息,所述第一请求消息包括所述选择参数;
所述网络存储功能网元根据所述第一请求消息中的所述选择参数,选择为所述终端设备提供服务的拜访AKMA锚点功能网元;
所述网络存储功能网元向所述第一网元发送响应消息,所述响应消息包括所述拜访AKMA锚点功能网元的信息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210730849.9A CN117336714A (zh) | 2022-06-24 | 2022-06-24 | 通信方法、通信装置及通信系统 |
| PCT/CN2023/100763 WO2023246649A1 (zh) | 2022-06-24 | 2023-06-16 | 通信方法、通信装置及通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210730849.9A CN117336714A (zh) | 2022-06-24 | 2022-06-24 | 通信方法、通信装置及通信系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117336714A true CN117336714A (zh) | 2024-01-02 |
Family
ID=89281724
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210730849.9A Pending CN117336714A (zh) | 2022-06-24 | 2022-06-24 | 通信方法、通信装置及通信系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN117336714A (zh) |
| WO (1) | WO2023246649A1 (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114846764A (zh) * | 2020-01-16 | 2022-08-02 | 中兴通讯股份有限公司 | 为与服务应用的加密通信更新通信网络中锚密钥的方法、设备和系统 |
| BR112022015769A2 (pt) * | 2020-02-21 | 2023-03-14 | Ericsson Telefon Ab L M | Métodos realizados por uma função de âncora, por um servidor de gerenciamento de chaves, por uma função de aplicativo, por uma função de servidor de autenticação e por uma função de gerenciamento de dados unificado, funções de gerenciamento de chave, de aplicativo, de servidor de autenticação e de gerenciamento de dados unificado, meio legível por computador não transitório, e, produto de programa de computador |
| WO2022038008A1 (en) * | 2020-08-17 | 2022-02-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Security establishment for non-public networks in 5g |
-
2022
- 2022-06-24 CN CN202210730849.9A patent/CN117336714A/zh active Pending
-
2023
- 2023-06-16 WO PCT/CN2023/100763 patent/WO2023246649A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023246649A1 (zh) | 2023-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111010744B (zh) | 建立会话的方法和装置以及发送报文的方法和装置 | |
| EP3963825A1 (en) | Service authorization for indirect communication in a communication system | |
| JP6936393B2 (ja) | パラメータ保護方法及びデバイス、並びに、システム | |
| WO2020029730A1 (zh) | 一种身份信息的处理方法、设备及系统 | |
| WO2022027492A1 (zh) | 一种通信方法、设备及系统 | |
| WO2022033558A1 (zh) | 一种中继管理方法及通信装置 | |
| WO2021212939A1 (zh) | 通信方法、装置及系统 | |
| US20230354463A1 (en) | State Transition of Wireless Device | |
| JP2022535933A (ja) | マルチユーザモバイル端末のためのサービス配信を実行するための装置、システム、方法、およびコンピュータ可読媒体 | |
| WO2022222745A1 (zh) | 一种通信方法及装置 | |
| US20230171672A1 (en) | Route configuration method and apparatus | |
| US20240235866A1 (en) | Location-Based Policy for Wireless Device | |
| JP2023527193A (ja) | サービス取得方法、装置、通信機器及び可読記憶媒体 | |
| WO2023071885A1 (zh) | 一种通信方法及通信装置 | |
| WO2021203794A1 (zh) | 通信方法、装置及系统 | |
| WO2021168713A1 (zh) | 通信方法及装置 | |
| WO2021138784A1 (zh) | 一种接入网络的方法、装置及系统 | |
| CN117336714A (zh) | 通信方法、通信装置及通信系统 | |
| WO2023082858A1 (zh) | 确定移动性管理策略的方法、通信装置及通信系统 | |
| WO2024092624A1 (en) | Encryption key transfer method and device for roaming users in communication networks | |
| KR20200044592A (ko) | 다중 경로 전송 시스템, 그리고 이의 다중 경로 전송 방법 | |
| WO2023216274A1 (zh) | 密钥管理方法、装置、设备和存储介质 | |
| WO2024078305A1 (zh) | 通信方法、通信装置及通信系统 | |
| WO2023197737A1 (zh) | 报文发送方法、pin管理方法、通信装置及通信系统 | |
| WO2023030077A1 (zh) | 一种通信方法、通信装置及通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |