CN117413554A - 密钥管理方法、装置、设备及存储介质 - Google Patents

密钥管理方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117413554A
CN117413554A CN202280001756.0A CN202280001756A CN117413554A CN 117413554 A CN117413554 A CN 117413554A CN 202280001756 A CN202280001756 A CN 202280001756A CN 117413554 A CN117413554 A CN 117413554A
Authority
CN
China
Prior art keywords
akma
key
network
application
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202280001756.0A
Other languages
English (en)
Inventor
梁浩然
陆伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Xiaomi Mobile Software Co Ltd
Original Assignee
Beijing Xiaomi Mobile Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Xiaomi Mobile Software Co Ltd filed Critical Beijing Xiaomi Mobile Software Co Ltd
Publication of CN117413554A publication Critical patent/CN117413554A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种密钥管理方法、装置、设备及存储介质,涉及通信领域。所述方法应用于漫游场景中,由服务网络中的代理实体执行的密钥管理法包括:接收服务网络中的AF发送的应用密钥获取请求;向服务网络中的AF反馈AKMA应用密钥响应,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。

Description

密钥管理方法、装置、设备及存储介质 技术领域
本申请涉及通信领域,特别涉及一种密钥管理方法、装置、设备及存储介质。
背景技术
目前,基于3GPP凭证的应用认证与密钥管理(Authentication and Key Management for Applications based on 3GPP credentials,AKMA)已在邻近服务(Proximity based Service,ProSe)和第五代移动通信技术消息业务(Message within 5G,MSGin5G)等场景中,作为一种解决方式来保护终端与应用功能(Application Function,AF)之间通信。但相关技术中,漫游场景下如何进行AKMA尚没有可行方案。
发明内容
本申请实施例提供了一种密钥管理方法、装置、设备及存储介质,用于在漫游场景下,基于服务网络中的代理实体进行密钥请求。所述技术方案如下:
根据本申请的一个方面,提供了一种密钥管理方法,应用于漫游场景中,所述方法由服务网络中的代理实体执行,所述方法包括:
接收服务网络中的AF发送的AKMA应用密钥请求;
向服务网络中的AF反馈AKMA应用密钥响应,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
根据本申请的一个方面,提供了一种密钥管理方法,应用于漫游场景中,所述方法由归属网络中的AAnF执行,所述方法包括:
接收服务网络中的代理实体发送的应用密钥获取请求;
在归属网络中的AAnF中存储有终端的AKMA密钥的情况下,基于终端的AKMA密钥生成服务网络中的AF的AKMA应用密钥;
向服务网络中的代理实体反馈应用密钥获取响应,应用密钥获取响应包括服务网络中的AF的AKMA应用密钥信息。
根据本申请的一个方面,提供了一种密钥管理方法,应用于漫游场景中,所述方法由服务网络中的应用功能执行,所述方法包括:
接收终端发送的服务网络标识符和AKMA密钥标识符;
在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求;
接收服务网络中的代理实体反馈的AKMA应用密钥响应,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
根据本申请的一个方面,提供了一种密钥管理方法,应用于漫游场景中,所述方法由终端执行,所述方法包括:
向服务网络中的AF发送服务网络标识符和AKMA密钥标识符,服务网络标识符用于触发服务网络中的AF在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求。
根据本申请的一个方面,提供了一种密钥管理装置,所述装置包括:
接收模块,用于接收服务网络中的AF发送的AKMA应用密钥请求;
发送模块,还用于向服务网络中的AF反馈AKMA应用密钥响应,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
根据本申请的一个方面,提供了一种密钥管理装置,所述装置包括:
接收模块,用于接收服务网络中的代理实体发送的应用密钥获取请求;
生成模块,用于在归属网络中的AAnF中存储有终端的AKMA密钥的情况下,基于终端的AKMA密钥生成服务网络中的AF的AKMA应用密钥;
发送模块,用于向服务网络中的代理实体反馈应用密钥获取响应,应用密钥获取响应包括服务网络中的AF的AKMA应用密钥信息。
根据本申请的一个方面,提供了一种密钥管理装置,所述装置包括:
接收模块,用于接收终端发送的服务网络标识符和AKMA密钥标识符;
发送模块,用于在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求;
接收模块,还用于接收服务网络中的代理实体反馈的AKMA应用密钥响应,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
根据本申请的一个方面,提供了一种密钥管理装置,所述装置包括:
发送模块,用于向服务网络中的AF发送服务网络标识符和AKMA密钥标识符,服务网络标识符用于触发服务网络中的AF在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求。
根据本申请的一个方面,提供了一种代理实体,所述代理实体包括通信组件;
通信组件,用于接收服务网络中的AF发送的AKMA应用密钥请求;
向服务网络中的AF反馈AKMA应用密钥响应,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
根据本申请的一个方面,提供了一种AAnF,所述AAnF包括通信组件和处理器;
通信组件,用于接收服务网络中的代理实体发送的应用密钥获取请求;
处理器,用于在归属网络中的AAnF中存储有终端的AKMA密钥的情况下,基于终端的AKMA密钥生成服务网络中的AF的AKMA应用密钥;
通信组件,还用于向服务网络中的代理实体反馈应用密钥获取响应,应用密钥获取响应包括服务网络中的AF的AKMA应用密钥信息。
根据本申请的一个方面,提供了一种AF,所述AF包括通信组件;
通信组件,用于接收终端发送的服务网络标识符和AKMA密钥标识符;
在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求;
接收服务网络中的代理实体反馈的AKMA应用密钥响应,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
根据本申请的一个方面,提供了一种终端,所述终端包括收发器;
收发器,用于向服务网络中的AF发送服务网络标识符和AKMA密钥标识符,服务网络标识符用于触发服务网络中的AF在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求。
根据本申请的一个方面,提供了一种计算机可读存储介质,存储介质中存储有计算机程序,所述计算机程序用于被处理器执行,以实现如上所述的密钥管理方法。
根据本申请的一个方面,提供了一种芯片,芯片包括可编程逻辑电路和/或程序指令,当芯片运行时,用于实现如上所述的密钥管理方法。
根据本申请的一个方面,提供了一种计算机程序产品,计算机程序产品包括计算机指令,计算机指令存储在计算机可读存储介质中,处理器从计算机可读存储介质读取并执行计算机指令,以实现如上所述的密钥管理方法。
本申请实施例提供的技术方案至少包括如下有益效果:
提供了一种应用于漫游场景下的密钥管理方法,基于服务网络中的代理实体、服务网络中的应用功能和归属网络中的应用认证与密钥管理的锚点功能网元之间的交互,能够实现AKMA应用密钥请求和AKMA应用密钥响应,以使得终端能够获取到服务网络中的应用功能的AKMA应用密钥信息。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一个示例性实施例提供的AKMA服务的网络架构示意图;
图2是本申请一个示例性实施例提供的生成AKMA密钥的流程图;
图3是本申请一个示例性实施例提供的密钥管理方法的流程图;
图4是本申请一个示例性实施例提供的密钥管理方法的流程图;
图5是本申请一个示例性实施例提供的密钥管理方法的流程图;
图6是本申请一个示例性实施例提供的密钥管理方法的流程图;
图7是本申请一个示例性实施例提供的密钥管理方法的流程图;
图8是本申请一个示例性实施例提供的密钥管理方法的流程图;
图9是本申请一个示例性实施例提供的密钥管理方法的流程图;
图10是本申请一个示例性实施例提供的密钥管理方法的流程图;
图11是本申请一个示例性实施例提供的密钥管理方法的流程图;
图12是本申请一个示例性实施例提供的密钥管理方法的流程图;
图13是本申请一个示例性实施例提供的密钥管理装置的示意图;
图14是本申请一个示例性实施例提供的密钥管理装置的示意图;
图15是本申请一个示例性实施例提供的密钥管理装置的示意图;
图16是本申请一个示例性实施例提供的密钥管理装置的示意图;
图17是本申请一个示例性实施例提供的通信设备的结构示意图;
图18是本申请一个示例性实施例提供的网元设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,对本申请实施例涉及的相关技术背景进行介绍:
第五代移动通信(5th Generation Mobile Communication Technology,5G)系统:
5G系统包括终端、接入网和核心网。其中,终端是具有无线收发功能的设 备,该终端可以部署在陆地上、水面上和空中等。该终端可以应用于无人驾驶(Self Driving)、远程医疗(Remote Medical)、智能电网(Smart Grid)、运输安全(Transportation Safety)、智慧城市(Smart City)、智慧家庭(Smart Home)等中的至少一个场景中。
其中,接入网用于实现接入有关的功能,可以为特定区域的授权用户提供入网功能。接入网在终端设备与核心网之间转发控制信号和用户数据。接入网可以包括接入网络设备,接入网络设备可以是为终端设备提供接入的设备,可以包括无线接入网(Radio Access Network,RAN)设备和AN设备。RAN设备主要是3GPP网络中的无线网络设备,AN设备可以是非3GPP定义的接入网络设备。在采用不同的无线接入技术的系统中,具备基站功能的设备的名称可能会有所不同,例如,在5G系统中,称为R AN或者下一代基站(Next Generation Node Basestation,gNB);在长期演进(Long Term Evolution,LTE)系统中,称为演进的节点B(evolved NodeB,eNB或eNodeB)。
其中,核心网负责维护移动网络的签约数据,为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。核心网可以包括如下网元:用户面功能(User Plane Function,UPF)、认证服务功能(Authentication Server Function,AUSF)、接入和移动性管理功能(Access and Mobility Management Function,AMF)、会话管理功能(Session Management Function,SMF)、网络开放功能(Network Exposure Function,NEF)、网络功能仓储功能(Network Function Repository Function,NRF)、策略控制功能(Policy Control Function,PCF)和统一数据管理(Unified Data Management,UDM),可选的,还可以包括应用功能(Application Function,AF)和统一数据存储库(Unified Data Repository,UDR)。本申请实施例中,将UDM和UDR统称为数据管理网元。
AMF,主要负责移动网络中的移动性管理,例如用户位置更新、用户注册网络、用户切换等。SMF,主要负责移动网络中的会话管理,例如会话建立、修改、释放。UPF,负责终端设备中用户数据的转发和接收,可以从数据网络接收用户数据,通过接入网络设备传输给终端设备;还可以通过接入网络设备从终端设备接收用户数据,转发至数据网络。PCF,主要支持提供统一的策略框架来控制网络行为,提供策略规则给控制层网络功能,同时负责获取与策略决策相关的用户签约信息。AUSF,用于执行终端的安全认证。NEF,主要用于支持能力和事件的开放。NRF,用于为其它网元提供网络功能实体信息的存储功能和选择功能。UDM,用于存储用户数据,例如签约数据、鉴权/授权数据等。AF与3GPP核心网交互用于提供应用层服务,例如提供关于应用层数据路由,提供接入网络能力开放功能,与策略框架进行交互以提供策略控制,与5G网络的IP多媒体子系统(IP Multimedia Subsystem,IMS)交互等。
其中,数据网络(Data Network,DN)用于为用户提供业务服务,可以是私有网络,例如局域网;也可以是不受运营商管控的外部网络,例如互联网(Internet);还可以是运营商共同部署的专有网络,例如IMS的网络。终端设备可通过建立的协议数据单元(Protocol Data Unit,PDU)会话,来访问DN。
应当理解,在本申请的一些实施例中,“5G”也可以称为“5G新空口(New Radio,NR)”或“NR”,“终端”也可以称为“终端设备”或“用户设备(User Equipment,UE)”。本申请的一些实施例中描述的技术方案可以适用于5G系统,也可以适用于5G系统后续的演进系统,还可以适用于6G以及后续的演进系统。
基于3GPP凭证的应用认证与密钥管理(Authentication and Key Management for Applications based on 3GPP credentials,AKMA)服务:
支持AKMA服务的UE,在与支持AKMA服务的AF进行数据传输时,可以基于AKMA流程的安全保护以提高数据传输的安全性。例如,AF对应于某个视频应用服务器,支持AKMA服务的UE与该AF进行数据传输时,相比于传统UE和AF的无保护的传输方法,使用AKMA服务可提高数据传输的安全性。示例性的,可参见图1所示的AKAM服务的网络架构示意图。图1所示的网络架构包括UE、接入网(Radio Access Network,(R)AN)、AUSF、AMF、AF、NEF、AKMA的锚点功能网元(AKMA Anchor Function,AAnF)和UDM。
图1示出了本申请一个示例性实施例提供的AKMA服务的网络架构示意图,图2示出了本申请一个示例性实施例提供的生成AKMA密钥的流程图。
参考图1,UE与AF进行通信存在三种方式,一种是UE通过(R)AN和AMF与AF进行通信,一种是UE通过AMF与AF进行通信,一种是UE通过Ua*接口直接与AF进行通信。其中,Ua*接口为UE与AF之间的通信接口。
参考图1,在AKMA服务中,AUSF可以生成AKMA服务的密钥(即AKMA密钥),并向AAnF提供UE的AKMA服务的密钥。其中,AKMA服务的密钥可以是K AKMA,也可以称为AKMA服务的根密钥。UE侧也会自己生成相同的AKMA服务的密钥,即生成相同的K AKMA
示例性的,生成AKMA服务的密钥的过程可参见图2所示。UE在向5G核心网注册的过程中,UE通过RAN向AMF发送注册请求,注册请求携带UE的身份信息,AMF根据UE的身份信息(例如隐藏的身份标识(Subscriber Concealed Identifier,SUCI))选择AUSF,向该AUSF发送消息触发主鉴权流程;该AUSF对UE进行鉴权,向AMF发送鉴权参数;AMF通过RAN向UE发送鉴权参数,UE根据鉴权参数对AUSF进行鉴权,通过RAN向AMF发送响应,AMF对比响应,符合则鉴权成功。图2中的主鉴权(Primary Authentication),即为注册过程中,AUSF对UE进行鉴权,UE对AUSF进行鉴权的过程,主鉴权也可以描述为双向鉴权,具体可以参考3GPP TS33.501-g106.1章节相关描述。图2中,在主鉴权之后,AUSF可以使用主鉴权过程中生成的中间密钥,如K AUSF,生成K AKMA,以及为K AKMA生成密钥标识信息。密钥标识信息可用于标识K AKMA,例如可以是K AKMA标识符(K AKMA Identifier,A-KID)。UE可在主鉴权之后,发起AKMA服务之前,使用主鉴权过程中生成的中间密钥,如K AUSF,生成K AKMA和以及为K AKMA生成密钥标识信息。可以理解的是,UE和AUSF分别在本地生成相同的K AUSF、K AKMA以及密钥标识信息。
图1中,AAnF可以与AUSF进行交互,从AUSF获取AKMA服务的密钥,并根据AKMA服务的密钥和AF的标识,生成该AF与UE之间的通信密钥以 及该通信密钥的有效时间。AAnF可将该通信密钥以及该通信密钥的有效时间发送至该AF,以便该AF可以使用该通信密钥与UE进行数据传输,从而提高该AF与UE之间的数据传输的安全性。其中,AF与UE之间的通信密钥可称之为AF对应的AKMA应用密钥(AKMA Application Key,K AF)。
对于不同AF与同一UE之间的K AF可以不同,例如AF1与UE1之间的K AF为K AF1,AF2与UE1之间的K AF为K AF2。图1中,AF可以与3GPP核心网网元交互。例如,AF可以从PCF获得服务质量(Quality of Service,QoS)参数,或者AF向PCF提供QoS参数,进而可以影响应用程序的数据传输。再例如,AF可以与NEF交互。在AKMA服务的场景中,AF从AAnF获取该AF与UE之间的通信密钥以及该通信密钥的有效时间。AF可以位于5G核心网内部,也可以位于5G核心网外部。若AF位于5G核心网内部,那么AF可直接与PCF进行交互;若AF位于5G核心网外部,那么AF可通过NEF与PCF进行交互。
本申请实施例提供了一种密钥管理方法,用于生成位于服务网络中的AF与终端之间的通信密钥。其中,同一个终端与不同的AF之间的通信密钥可以相同或不同,本申请实施例仅针对位于服务网络中的某一个AF与终端之间的通信密钥。
在本申请实施例提供的密钥管理方法中,存在至少一个终端、至少一个AF、至少一个AAnF、至少一个代理实体。示意性的,本申请实施例提供的密钥管理方法应用于漫游场景中,AAnF位于终端的归属网络中,终端、AF和代理实体位于服务网络中。
其中,终端可使用UE表示,服务网络中的代理实体可使用AAnFProxy表示;归属网络与服务网络的覆盖范围不同,或相同,或有重合。
在一些实施例中,该AAnFProxy是服务网络中的单独的网络功能(Nextwork Function,NF);或者,该AAnFProxy是服务网络中任一NF中的一部分;或者,该AAnFProxy是3GPP运营商域内的可信应用功能(Trusted AF)。
在一些实施例中,该终端类型包括但不限于手持设备、可穿戴设备、车载设备和物联网设备等,该终端可以是手机、平板电脑、电子书阅读器、膝上便携计算机、台式计算机、电视机、游戏机、增强现实(Augmented Reality,AR)终端、虚拟现实(Virtual Reality,VR)终端和混合现实(Mixed Reality,MR)终端、可穿戴设备、手柄和控制器等中的至少一种。
图3示出了本申请一个示例性实施例提供的密钥管理方法的流程图,用于生成位于服务网络中的AF和终端之间的通信密钥,该方法包括如下步骤中的至少部分步骤:
步骤101:UE向服务网络中的AF发送应用会话建立请求。
示意性的,在服务网络中的AF与UE进行通信之前,需要确定二者之间是否可以使用AKMA服务。在步骤101之前,通过UE与AUSF之间的主鉴权流程,以使得UE和AUSF分别在本地生成相同的K AUSF、K AKMA以及A-KID。
其中,主鉴权流程可参考前述内容,不再赘述。
可选地,服务网络中的AF与UE进行通信的先决条件是隐式特定应用于终端和AF的,或是由AF向终端显式指示的。
示意性的,应用会话建立请求用于触发应用会话的建立请求,应用会话建立请求可用Application Session Establishment Request表示。其中,应用会话建立请求中携带有AKMA密钥标识符和/或服务网络标识符,AKMA密钥标识符可用A-KID表示。
其中,A-KID用于指示终端的AKMA密钥的标识符;服务网络标识符用于指示终端的服务网络,用于触发服务网络中的AF在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送密钥管理请求。
可选的,TS 33.535中限定了A-KID应采用IETF RFC 7542中条款2.2规定的归属网络标识(Network Access Identifier,NAI)格式,比如:用户名@安全域。该用户名部分应包含路由指示(Routing Indicator,RID)和AKMA临时终端标识(AKMA Temporary UE Identifier,A-TID),该安全域部分应包含归属网络标识。
在一些实施例中,应用会话建立请求中包括A-KID,A-KID中携带有终端的服务网络标识符;或者,应用会话建立请求中包括A-KID和终端的服务网络标识符;或者,应用会话建立请求中包括A-KID,终端在应用会话建立请求之前或之后发送终端的服务网络标识符,可选地,该服务网络标识符指示有对应的应用会话建立请求或A-KID。
步骤102:服务网络中的AF向服务网络中的代理实体发送AKMA应用密钥请求。
示意性的,AKMA应用密钥请求用于向服务网络中的代理实体请求服务网络中的AF的AKMA应用密钥信息,AKMA应用密钥请求包括A-KID和/或AF标识符(AF Identifier,AF_ID)。其中,代理实体可用AAnFProxy表示;A-KID有服务网络中的AF从终端处获取;AF_ID用于指示服务网络中的AF的标识符。
可选的,AF_ID包含AF的全限定域名(Fully Qualified Domain Name,FQDN)和Ua*安全协议标识符。其中,Ua*安全协议标识符用于指示AF将与UE一起使用的安全协议。
可选的,服务网络中的代理实体是服务网络中单独的NF;或者,服务网络中的代理实体是服务网络中任一NF中的一部分;或者,服务网络中的代理实体是可信应用功能(Trusted AF),比如3GPP运营商域内的可信应用功能。
在接收到的终端的服务网络标识符和终端的归属网络标识一致的情况下,终端对应的服务网络为终端的归属网络,AF可根据TS 33.535中条款6.3所描述地从AAnf获取K AF
在接收到的终端的服务网络标识符和终端的归属网络标识不一致的情况下,终端对应的服务网络不是终端的归属网络,此时的终端处于漫游场景下,AF向服务网络中的代理实体发送AKMA应用密钥请求,以请求K AF
服务网络中的AF向服务网络中的代理实体发送的AKMA应用密钥请求,根据服务网络中的AF中的策略的不同而不同。
可选的,服务网络中的AF向归属网络中的代理实体发送第一AKMA应用密钥请求。其中,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识。
可选的,第一AKMA应用密钥请求可使用AKMA Application Key Request表示。
可选的,服务网络中的AF向归属网络中的代理实体发送第二AKMA应用密钥请求。其中,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识。
可选的,第二AKMA应用密钥请求可使用AKMA Application Key AnonUser Request表示。
步骤103:服务网络中的代理实体向归属网络中的AAnF发送应用密钥获取请求。
示意性的,应用密钥获取请求用于向归属网络中的AAnF请求服务网络中的AF的AKMA应用密钥信息,应用密钥获取请求包括A-KID和/或AF_ID。
A-KID和/AF_ID的相关描述可参考前述内容,不再赘述。
在步骤102中,根据服务网络中的AF中的策略的不同,服务网络中的AF向服务网络中的代理实体发送的AKMA应用密钥请求不同,相应的,服务网络中的代理实体向归属网络中的AAnF发送的应用密钥获取请求也不同。
可选的,服务网络中的代理实体接收到第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识;随后,服务网络中的代理实体向归属网络中的AAnF发送第一应用密钥获取请求。
可选的,第一应用密钥获取请求可使用Naanf_AKMA_ApplicationKey_Get Request表示。
可选的,服务网络中的代理实体接收到第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识;随后,服务网络中的代理实体向归属网络中的AAnF发送第二应用密钥获取请求。
可选的,第二应用密钥获取请求可使用 Naanf_AKMA_ApplicationKey_AnonUser_Get Request表示。
可选的,在执行步骤103之前,服务网络中的代理实体还需要确定归属网络中的AAnF,本申请实施例提供的密钥管理方法,还包括:
服务网络中的代理实体通过服务网络和归属网络中的NRF发现归属网络中的AAnF。
其中,以归属网络中的NRF使用hNRF表示,服务网络中的NRF使用vNRF表示为例,服务网络中的代理实体发现归属网络中的AAnF的过程可实现为如下:服务网络中的代理实体通过服务网络标识符确定vNRF;vNRF根据服务网络中的代理实体传送的归属网络标识符,能够确定hNRF;hNRF根据预设策略判断归属网络中的AAnF有权为服务网络中的AAnFProxy及AF服务,随后授权归属网络中的代理实体访问归属网络中的AAnF。
步骤104:归属网络中的AAnF基于终端的AKMA密钥生成服务网络中的AF的AKMA应用密钥。
其中,AKMA应用密钥(AKMA Application Key,K AF)用于指示UE和服务网络中的AF之间的通信密钥。
示意性的,AKMA应用密钥基于终端的AKMA密钥生成。因此,执行步骤104需要满足如下条件:归属网络中的AAnF存储有终端的AKMA密钥。
其中,AKMA应用密钥的生成可通过如下方式实现:归属网络中的AAnF根据应用密钥获取请求得到A-KID和AF_ID;随后,归属网络中的AAnF可基于AKMA密钥和AF_ID生成AKMA应用密钥。
可选的,归属网络中的AAnF可根据A-KID对应的终端的AKMA密钥的存在,来验证UE是否被授权使用AKMA服务。
可选的,在执行步骤104之前,归属网络中的AAnF还需要执行如下步骤:根据授权信息或策略,确定归属网络中的AAnF是否向服务网络中的AF及服务网络中的代理实体提供服务。
其中,在归属网络中的AAnF可以向服务网络中的AF及服务网络中的代理实体提供服务的情况下,执行步骤104;在归属网络中的AAnF不可以向服务网络中的AF及服务网络中的代理实体提供服务的情况下,归属网络中的AAnF可拒绝执行步骤104,并向服务网络中的代理实体反馈错误响应。
可选的,授权信息或策略,由本地策略或归属网络中的NRF提供。
步骤105:归属网络中的AAnF向服务网络中的代理实体发送应用密钥获取响应。
示意性的,应用密钥获取响应包括服务网络中的AF的AKMA应用密钥信息,AKMA应用密钥信息至少包括AKMA应用密钥。
根据步骤103,服务网络中的代理实体向归属网络中的AAnF发送的应用密 钥获取请求不同。相应的,归属网络中的AAnF向服务网络中的代理实体发送的应用密钥获取响应也不同。
可选的,在服务网络中的AF需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的代理实体发送的第一应用密钥获取请求;在生成AKMA应用密钥后,归属网络中的AAnF向服务网络中的代理实体发送第一应用密钥获取响应。
可选的,第一应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_Get Response表示。
其中,第一应用密钥获取响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间、终端的签约永久标识符(Subscription Permanent Identifier,SUPI);AKMA应用密钥的过期时间可使用K AF expTime表示。
可选的,在服务网络中的AF不需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的代理实体发送的第二应用密钥获取请求;在生成AKMA应用密钥后,归属网络中的AAnF向服务网络中的代理实体发送第二应用密钥获取响应。
可选的,第二应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_AnonUser_Get Response表示。
其中,第二应用密钥获取响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
根据步骤105,服务网络中的代理实体在不同的情况下可获取到不同的AF的AKMA应用密钥信息,并将其反馈给服务网络中的AF。
根据前述内容,步骤103、104和105给出了服务网络中的AF的AKMA应用密钥信息由归属网络中的AAnF生成的实现方式。
在一种可选的实现场景下,服务网络中的AF的AKMA应用密钥信息还可由服务网络中的代理实体生成。比如,服务网络中的代理实体根据应用密钥获取请求得到A-KID和AF_ID;随后,服务网络中的代理实体可基于AKMA密钥和AF_ID生成AKMA应用密钥。
应当理解的是,该实施例仅示出了服务网络中的AF的AKMA应用密钥信息由归属网络中的AAnF生成的实现方式,并不对本申请造成限定。
步骤106:服务网络中的代理实体向服务网络中的AF发送AKMA应用密钥响应。
示意性的,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
其中,AF的AKMA应用密钥信息的相关描述可参考前述内容,不再赘述。
根据步骤102,服务网络中的AF向服务网络中的代理实体发送的AKMA应用密钥请求不同。相应的,服务网络中的代理实体向服务网络中的AF发送的AKMA应用密钥响应也不同。
可选的,服务网络中的代理实体接收服务网络中的AF发送的第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识;随后,服务网络中的代理实体向服务网络中的AF发送第一AKMA应用密钥响应。
可选的,第一AKMA应用密钥响应可使用AKMA Application Key Response表示。
其中,第一AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
可选的,服务网络中的代理实体接收服务网络中的AF发送的第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识;随后,服务网络中的代理实体向服务网络中的AF发送第二AKMA应用密钥响应。
可选的,第二AKMA应用密钥响应可使用AKMA Application Key AnonUser表示。
其中,第二AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
步骤107:服务网络中的AF向访问UE发送应用会话建立响应。
其中,应用会话建立响应与应用会话建立请求对应,用于反馈服务网络中的AF的AKMA应用密钥信息,可用Application Session Establishment Response表示。
UE在接收到应用会话建立响应后,可根据AKMA应用密钥响应中携带的AF的AKMA应用密钥信息,确定AKMA应用密钥。
在一种实现场景下,归属网络中的AAnF中未携带终端的AKMA密钥。
可选的,归属网络中的AAnF向服务网络中的代理实体发送错误响应;服务网络中的代理实体向服务网络中的AF发送该错误响应;服务网络中的AF向UE反馈应用会话的拒绝信息,该拒绝信息中包括响应失败原因。基于此,服务网络中的AF通过包含响应失败原因来拒绝建立应用会话。
可选的,在UE接收到服务网络中的AF反馈的应用会话的拒绝信息后,UE可重新发送应用会话建立请求,该应用会话建立请求中携带有新的A-KID和/或服务网络标识符。
应当理解的是,上述内容中给出的实施例中,UE一侧的步骤可单独成为应用于终端中的密钥管理方法的一个实施例,归属网络中的AAnF一侧的步骤可 单独成为应用于归属网络中的AAnF中的密钥管理方法的一个实施例,服务网络中的AF一侧的步骤可单独成为应用于服务网络中的AF中的密钥管理方法的一个实施例,服务网络中的代理实体一侧的步骤可单独成为应用于服务网络中的代理实体中的密钥管理方法的一个实施例。其中,密钥管理方法的步骤的具体阐释可参考上述内容,不再赘述。
综上所述,本申请实施例提供了一种密钥管理方法,基于服务网络中的代理实体、服务网络中的AF和归属网络中的AAnF之间的交互,能够实现AKMA应用密钥请求和AKMA应用密钥响应,以使得终端能够获取到服务网络中的AF的AKMA应用密钥信息。
图4示出了本申请一个示例性实施例提供的密钥管理方法的流程图,该方法应用于漫游场景下,该方法由服务网络中的代理实体执行,代理实体可用AAnFProxy表示。示意性的,本申请实施例提供的密钥管理方法包括如下步骤:
步骤202:接收服务网络中的AF发送的AKMA应用密钥请求。
示意性的,AKMA应用密钥请求用于向服务网络中的代理实体请求服务网络中的AF的AKMA应用密钥信息。可选的,AKMA应用密钥请求包括AKMA密钥标识符和/或AF标识符。
其中,代理实体可用AAnFProxy表示;AKMA密钥标识符可用A-KID表示,用于指示终端的AKMA密钥的标识符;AF标识符可用AF_ID表示,用于指示服务网络中的AF的标识符。
可选的,服务网络中的代理实体是服务网络中单独的NF;或者,服务网络中的代理实体是服务网络中任一NF中的一部分;或者,服务网络中的代理实体是可信应用功能(Trusted AF),比如3GPP运营商域内的可信应用功能。
本申请实施例提供的密钥管理方法中,终端处于漫游场景下,终端对应的服务网络为服务网络,服务网络与终端的归属网络不一致,此时需要服务网络中的AF向服务网络中的代理实体发送AKMA应用密钥请求,以请求K AF
根据前述内容,服务网络中的AF向服务网络中的代理实体发送的AKMA应用密钥请求,根据服务网络中的AF中的策略的不同而不同。
可选的,服务网络中的AF向归属网络中的代理实体发送第一AKMA应用密钥请求。其中,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识。
可选的,第一AKMA应用密钥请求可使用AKMA Application Key Request表示。
可选的,服务网络中的AF向归属网络中的代理实体发送第二AKMA应用密钥请求。其中,第二AKMA应用密钥请求用于指示服务网络中的AF不需要 终端标识。
可选的,第二AKMA应用密钥请求可使用AKMA Application Key AnonUser Request表示。
步骤204:向服务网络中的AF反馈AKMA应用密钥响应。
示意性的,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息,AKMA应用密钥响应与AKMA应用密钥请求对应。
根据步骤202,服务网络中的AF向服务网络中的代理实体发送的AKMA应用密钥请求不同。相应的,服务网络中的代理实体向服务网络中的AF发送的AKMA应用密钥响应也不同。
可选的,服务网络中的代理实体接收服务网络中的AF发送的第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识;随后,服务网络中的代理实体向服务网络中的AF发送第一AKMA应用密钥响应。
可选的,第一AKMA应用密钥响应可使用AKMA Application Key Response表示。
可选的,第一AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
可选的,服务网络中的代理实体接收服务网络中的AF发送的第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识;随后,服务网络中的代理实体向服务网络中的AF发送第二AKMA应用密钥响应。
可选的,第二AKMA应用密钥响应可使用AKMA Application Key AnonUser表示。
可选的,第二AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
其中,服务网络中的AF的AKMA应用密钥信息由多种生成方式。
可选的,服务网络中的AF的AKMA应用密钥信息由服务网络中的代理实体生成;或者,服务网络中的AF的AKMA应用密钥信息由归属网络中的AAnF生成。
在服务网络中的AF的AKMA应用密钥信息由归属网络中的AAnF生成的情况下,本申请实施例提供的密钥管理方法还包括如下两个步骤:
步骤1:向归属网络中的AAnF发送应用密钥获取请求。
应用密钥获取请求用于向归属网络中的AAnF请求服务网络中的AF的AKMA应用密钥信息。可选的,应用密钥获取请求包括A-KID和/或AF_ID。
与AKMA应用密钥请求类似,服务网络中的代理实体向归属网络中的AAnF发送的应用密钥获取请求也根据服务网络中的AF中的策略的不同而改变。
可选的,服务网络中的代理实体接收到第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识;随后,服务网络中的代理实体向归属网络中的AAnF发送第一应用密钥获取请求。
可选的,第一应用密钥获取请求可使用Naanf_AKMA_ApplicationKey_Get Request表示。
可选的,服务网络中的代理实体接收到第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识;随后,服务网络中的代理实体向归属网络中的AAnF发送第二应用密钥获取请求。
可选的,第二应用密钥获取请求可使用Naanf_AKMA_ApplicationKey_AnonUser_Get Request表示。
步骤2:接收归属网络中的AAnF反馈的应用密钥获取响应。
示意性的,应用密钥获取响应包括服务网络中的AF的AKMA应用密钥信息。
其中,应用密钥获取响应与应用密钥获取请求对应,用于归属网络中的AAnF向服务网络中的代理实体反馈AF的AKMA应用密钥信息。
根据步骤1,服务网络中的代理实体向归属网络中的AAnF发送的应用密钥获取请求不同。相应的,归属网络中的AAnF向服务网络中的代理实体发送的应用密钥获取响应也不同。
可选的,在服务网络中的AF需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的代理实体发送的第一应用密钥获取请求;在生成AKMA应用密钥后,归属网络中的AAnF向服务网络中的代理实体发送第一应用密钥获取响应。
可选的,第一应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_Get Response表示。可选的,第一应用密钥获取响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
可选的,在服务网络中的AF不需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的代理实体发送的第二应用密钥获取请求;在生成AKMA应用密钥后,归属网络中的AAnF向服务网络中的代理实体发送第二应用密钥获取响应。
可选的,第二应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_AnonUser_Get Response表示。可选的,第二应用密钥获取响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种: AKMA应用密钥、AKMA应用密钥的过期时间。
应当理解的是,步骤1和步骤2的时序位置应当位于步骤202和步骤204之间,在接收到归属网络中的AAnF反馈的应用密钥获取响应后,服务网络中的代理实体将应用密钥回去响应中携带的服务网络中的AF的AKMA应用密钥信息反馈给服务网络中的AF。
综上所述,本申请实施例提供了一种密钥管理方法,基于服务网络中的代理实体、服务网络中的AF和归属网络中的AAnF之间的交互,能够实现AKMA应用密钥请求和AKMA应用密钥响应,以使得服务网络中的AF能够获取到AF的AKMA应用密钥信息。
其中,根据服务网络中的AF中的策略的不同,服务网络中的AF向服务网络中的代理实体发送的AKMA应用密钥请求也不同,从而使得服务网络中的AF得到的AKMA应用密钥响应内携带的AKMA应用密钥信息也不同。
比如,在服务网络中的AF需要终端标识的情况下,AKMA应用密钥响应内携带的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI;又如,在服务网络中的AF不需要终端标识的情况下,AKMA应用密钥响应内携带的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
可选的,本申请实施例提供的密钥管理方法中,服务网络中的AF的AKMA应用密钥信息可由服务网络中的代理实体或者归属网络中的AAnF生成。
可选的,本申请实施例提供的密钥管理方法,还给出了归属网络中的AAnF生成AKMA应用密钥信息的具体方式。
图5示出了本申请一个示例性实施例提供的密钥管理方法的流程图,该方法应用于漫游场景下,该方法由归属网络中的AAnF执行,该方法包括如下步骤:
步骤302:接收服务网络中的代理实体发送的应用密钥获取请求。
应用密钥获取请求用于向归属网络中的AAnF请求服务网络中的AF的AKMA应用密钥信息。可选的,应用密钥获取请求包括A-KID和/或AF_ID。
根据前述内容,服务网络中的代理实体向归属网络中的AAnF发送的应用密钥获取请求根据服务网络中的AF中的策略的不同而改变。
可选的,服务网络中的代理实体接收到第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识;随后,服务网络中的代理实体向归属网络中的AAnF发送第一应用密钥获取请求。
可选的,第一应用密钥获取请求可使用Naanf_AKMA_ApplicationKey_Get Request表示。
可选的,服务网络中的代理实体接收到第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识;随后,服务网络中的代理实体向归属网络中的AAnF发送第二应用密钥获取请求。
可选的,第二应用密钥获取请求可使用Naanf_AKMA_ApplicationKey_AnonUser_Get Request表示。
步骤304:在归属网络中的AAnF中存储有终端的AKMA密钥的情况下,基于终端的AKMA密钥生成服务网络中的AF的AKMA应用密钥(Derive AF key from K AKMA)。
其中,AKMA应用密钥用于指示UE和服务网络中的AF之间的通信密钥,可使用K AF表示。
可选的,AKMA应用密钥的生成可通过如下方式实现:归属网络中的AAnF根据应用密钥获取请求得到A-KID和AF_ID;随后,归属网络中的AAnF可基于AKMA密钥和AF_ID生成AKMA应用密钥。
可选的,归属网络中的AAnF可根据A-KID对应的终端的AKMA密钥的存在,来验证UE是否被授权使用AKMA服务。
在执行步骤304之前,归属网络中的AAnF还需要确定是否可向服务网络中的AF提供服务。可选的,本申请实施例提供的密钥管理方法,还包括:
根据授权信息或策略,确定归属网络中的AAnF是否向服务网络中的AF及服务网络中的代理实体提供服务。
其中,在归属网络中的AAnF可以向服务网络中的AF及服务网络中的代理实体提供服务的情况下,执行步骤304;在归属网络中的AAnF不可以向服务网络中的AF及服务网络中的代理实体提供服务的情况下,归属网络中的AAnF可拒绝执行步骤304,并向服务网络中的代理实体反馈错误响应。
可选的,授权信息或策略,由本地策略或归属网络中的NRF提供。
步骤306:向服务网络中的代理实体反馈应用密钥获取响应。
示意性的,应用密钥获取响应包括服务网络中的AF的AKMA应用密钥信息。
其中,应用密钥获取响应与应用密钥获取请求对应,用于归属网络中的AAnF向服务网络中的代理实体反馈AF的AKMA应用密钥信息;AF的AKMA应用密钥信息的相关描述可参考前述内容,不再赘述。
根据步骤304,服务网络中的代理实体向归属网络中的AAnF发送的应用密钥获取请求不同。相应的,归属网络中的AAnF向服务网络中的代理实体发送的应用密钥获取响应也不同。
可选的,在服务网络中的AF需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的代理实体发送的第一AKMA应用密钥请求;在生成AKMA 应用密钥后,归属网络中的AAnF向服务网络中的代理实体发送第一应用密钥获取响应。
可选的,第一应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_Get Response表示。
可选的,第一应用密钥获取响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
可选的,在服务网络中的AF不需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的代理实体发送的第二AKMA应用密钥请求;在生成AKMA应用密钥后,归属网络中的AAnF向服务网络中的代理实体发送第二应用密钥获取响应。
可选的,第二应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_AnonUser_Get Response表示。
可选的,第二应用密钥获取响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
综上所述,本申请实施例提供了一种密钥管理方法,基于服务网络中的代理实体、服务网络中的AF和归属网络中的AAnF之间的交互,能够实现AKMA应用密钥请求和AKMA应用密钥响应,以使得服务网络中的代理实体能够获取到服务网络中的AF的AKMA应用密钥信息。
其中,根据服务网络中的AF中的策略的不同,归属网络中的AAnF向服务网络中的代理实体反馈的应用密钥获取响应中携带的AF的AKMA应用密钥信息也不同。
图6示出了本申请一个示例性实施例提供的密钥管理方法的流程图,该方法应用于漫游场景下,该方法由服务网络中的AAnF执行,该方法包括如下步骤:
步骤402:接收终端发送的服务网络标识符和AKMA密钥标识符。
示意性的,服务网络标识符用于指示终端的服务网络,用于触发服务网络中的AF在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送密钥管理请求。其中,服务网络标识符可能携带在应用会话建立请求中的A-KID字段或单独字段。
在一种可选的实现场景下,终端发生移动,从归属网络的覆盖区域移动到服务网络的覆盖区域内。此时,终端向服务网络中的AF发送服务网络标识符,该服务网络标识符与服务网络对应,由此可判断终端处于漫游场景下。
服务网络标识符可由终端单独发送给服务网络中的AF,也可以在终端向服务网络中的AF发送的应用会话建立请求中携带。
可选的,步骤402可实现为:接收终端发送的应用会话建立请求,应用会话建立请求中携带有服务网络标识符和AKMA密钥标识符。
其中,服务网络标识符可由应用会话建立请求中的AKMA密钥标识符携带,也可由专用字段携带。比如,应用会话建立请求包括AKMA密钥标识符,AKMA密钥标识符携带有服务网络标识符;又如,应用会话建立请求包括AKMA密钥标识符和服务网络标识符。
其中,应用会话建立请求用于触发应用会话的建立请求,应用会话建立请求可用Application Session Establishment Request表示。
步骤404:在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求。
示意性的,AKMA应用密钥请求用于向服务网络中的代理实体请求服务网络中的AF的AKMA应用密钥信息。可选的,AKMA应用密钥请求包括AKMA密钥标识符和/或AF标识符。
本申请实施例提供的密钥管理方法中,终端处于漫游场景下,终端对应的服务网络为服务网络,服务网络与终端的归属网络不一致,此时需要服务网络中的AF向服务网络中的代理实体发送AKMA应用密钥请求,以请求K AF
根据前述内容,服务网络中的AF向服务网络中的代理实体发送的AKMA应用密钥请求,根据服务网络中的AF中的策略的不同而不同。
可选的,服务网络中的AF向归属网络中的代理实体发送第一AKMA应用密钥请求。其中,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识。
可选的,第一AKMA应用密钥请求可使用AKMA Application Key Request表示。
可选的,服务网络中的AF向归属网络中的代理实体发送第二AKMA应用密钥请求。其中,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识。
可选的,第二AKMA应用密钥请求可使用AKMA Application Key AnonUser Request表示。
步骤406:接收服务网络中的代理实体反馈的AKMA应用密钥响应。
示意性的,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
其中,AKMA应用密钥响应与AKMA应用密钥请求对应;AF的AKMA应用密钥信息的相关描述可参考前述内容,不再赘述。
根据步骤404,服务网络中的AF向服务网络中的代理实体发送的AKMA应用密钥请求不同。相应的,服务网络中的代理实体向服务网络中的AF发送的 AKMA应用密钥响应也不同。
可选的,服务网络中的代理实体接收服务网络中的AF发送的第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识;随后,服务网络中的代理实体向服务网络中的AF发送第一AKMA应用密钥响应。
可选的,第一AKMA应用密钥响应可使用AKMA Application Key Response表示。
可选的,第一AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
可选的,服务网络中的代理实体接收服务网络中的AF发送的第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识;随后,服务网络中的代理实体向服务网络中的AF发送第二AKMA应用密钥响应。
可选的,第二AKMA应用密钥响应可使用AKMA Application Key AnonUser表示。
可选的,第二AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
可选的,服务网络中的AF的AKMA应用密钥信息可由服务网络中的代理实体或者归属网络中的AAnF生成。其中,服务网络中的AF的AKMA应用密钥信息的生成过程可参考前述内容,不再赘述。
综上所述,本申请实施例提供了一种密钥管理方法,基于服务网络中的代理实体、服务网络中的AF和归属网络中的AAnF之间的交互,能够实现AKMA应用密钥请求和AKMA应用密钥响应,以使得服务网络中的AF能够获取到AF的AKMA应用密钥信息。
其中,根据服务网络中的AF中的策略的不同,服务网络中的AF向服务网络中的代理实体发送的AKMA应用密钥请求也不同,从而使得服务网络中的AF得到的AKMA应用密钥响应内携带的AKMA应用密钥信息也不同。
图7示出了本申请一个示例性实施例提供的密钥管理方法的流程图,该方法应用于漫游场景下,该方法由终端执行,该方法包括如下步骤:
步骤502:向服务网络中的AF发送服务网络标识符和AKMA密钥标识符。
示意性的,服务网络标识符用于触发服务网络中的AF在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求。其中,服务网络标识符可能携带在应用会话建立请求中的A-KID 字段或单独字段。
在一种可选的实现场景下,终端发生移动,从归属网络的覆盖区域移动到服务网络的覆盖区域内。此时,终端向服务网络中的AF发送服务网络标识符,该服务网络标识符与服务网络对应,由此可判断终端处于漫游场景下。
服务网络标识符可由终端单独发送给服务网络中的AF,也可以在终端向服务网络中的AF发送的应用会话建立请求中携带。
可选的,步骤502可实现为如下:向服务网络中的AF发送应用会话建立请求,应用会话建立请求携带有服务网络标识符和AKMA密钥标识符。
其中,服务网络标识符可由应用会话建立请求中的AKMA密钥标识符携带,也可由专用字段携带。比如,应用会话建立请求包括AKMA密钥标识符,AKMA密钥标识符携带有服务网络标识符;又如,应用会话建立请求包括AKMA密钥标识符和服务网络标识符。
其中,应用会话建立请求用于触发应用会话的建立请求,应用会话建立请求可用Application Session Establishment Request表示。
综上所述,本申请实施例提供了一种密钥管理方法,通过终端向服务网络中的AF发送服务网络标识符,以使得服务网络中的AF能够判断终端是否处于漫游场景下;并在服务网络标识符与归属网络标识不一致的情况下,触发服务网络中的AF向服务网络中的代理实体发送AKMA应用密钥请求,以便于服务网络中的AF能够获取到AF的AKMA应用密钥信息。
可选的,服务网络标识符可携带在终端向服务网络中的AF发送的应用会话建立请求中。
根据前述内容,服务网络中的AF的AKMA应用密钥信息可由服务网络中的代理实体或者归属网络中的AAnF生成。
以下将根据AKMA应用密钥信息的不同生成方式展开描述。其中,图8是服务网络中的代理实体生成服务网络中的AF的AKMA应用密钥信息的实施例,图9是归属网络中的AAnF生成服务网络中的AF的AKMA应用密钥信息的实施例。
参考图4-7,图8示出了本申请一个示例性实施例提供的密钥管理方法的流程图,应用于漫游场景下,该方法包括如下步骤:
步骤601:UE向服务网络中的AF发送服务网络标识符和AKMA密钥标识符。
示意性的,服务网络标识符用于指示终端的服务网络,服务网络标识符可能携带在应用会话建立请求中的A-KID字段或单独字段。
在一种可选的实现场景下,终端发生移动,从归属网络的覆盖区域移动到 服务网络的覆盖区域内。此时,终端向服务网络中的AF发送服务网络标识符,该服务网络标识符与服务网络对应,由此可判断终端处于漫游场景下。
服务网络标识符可由终端单独发送给服务网络中的AF,也可以在终端向服务网络中的AF发送的应用会话建立请求中携带。
步骤602:在UE的服务网络标识符与归属网络标识不一致的情况下,服务网络中的AF向服务网络中的AAnFProxy发送AKMA应用密钥请求。
示意性的,AKMA应用密钥请求用于向服务网络中的AAnFProxy请求服务网络中的AF的AKMA应用密钥信息。可选的,AKMA应用密钥请求包括AKMA密钥标识符和/或AF标识符。
本申请实施例提供的密钥管理方法中,终端处于漫游场景下,终端对应的服务网络为服务网络,服务网络与终端的归属网络不一致,此时需要服务网络中的AF向服务网络中的AAnFProxy发送AKMA应用密钥请求,以请求K AF
根据前述内容,服务网络中的AF向服务网络中的AAnFProxy发送的AKMA应用密钥请求,根据服务网络中的AF中的策略的不同而不同。
可选的,服务网络中的AF向归属网络中的AAnFProxy发送第一AKMA应用密钥请求。其中,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识。
可选的,第一AKMA应用密钥请求可使用AKMA Application Key Request表示。
可选的,服务网络中的AF向归属网络中的AAnFProxy发送第二AKMA应用密钥请求。其中,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识。
可选的,第二AKMA应用密钥请求可使用AKMA Application Key AnonUser Request表示。
步骤603:服务网络中的AAnFProxy生成服务网络中的AF的AKMA应用密钥。
其中,AKMA应用密钥用于指示UE和服务网络中的AF之间的通信密钥,可使用K AF表示。
可选的,AKMA应用密钥的生成可通过如下方式实现:服务网络中的AAnFProxy根据应用密钥获取请求得到A-KID和AF_ID;随后,服务网络中的AAnFProxy可基于AKMA密钥和AF_ID生成AKMA应用密钥。
步骤604:服务网络中的AAnFProxy向服务网络中的AF发送AKMA应用密钥响应。
示意性的,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
其中,AKMA应用密钥响应与AKMA应用密钥请求对应;AF的AKMA应用密钥信息的相关描述可参考前述内容,不再赘述。
根据步骤602,服务网络中的AF向服务网络中的AAnFProxy发送的AKMA应用密钥请求不同。相应的,服务网络中的AAnFProxy向服务网络中的AF发送的AKMA应用密钥响应也不同。
可选的,服务网络中的AAnFProxy接收服务网络中的AF发送的第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识;随后,服务网络中的AAnFProxy向服务网络中的AF发送第一AKMA应用密钥响应。
可选的,第一AKMA应用密钥响应可使用AKMA Application Key Response表示。
可选的,第一AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
可选的,服务网络中的AAnFProxy接收服务网络中的AF发送的第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识;随后,服务网络中的AAnFProxy向服务网络中的AF发送第二AKMA应用密钥响应。
可选的,第二AKMA应用密钥响应可使用AKMA Application Key AnonUser表示。
可选的,第二AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
应当理解的是,上述内容中给出的实施例中,UE一侧的步骤可单独成为应用于终端中的密钥管理方法的一个实施例,服务网络中的AF一侧的步骤可单独成为应用于服务网络中的AF中的密钥管理方法的一个实施例,服务网络中的AAnFProxy一侧的步骤可单独成为应用于服务网络中的AAnFProxy中的密钥管理方法的一个实施例。其中,密钥管理方法的步骤的具体阐释可参考上述内容,不再赘述。
综上所述,本申请实施例提供了一种密钥管理方法,给出了服务网络中的AF的AKMA应用密钥信息由服务网络中的AAnFProxy生成的实现方式。其中,基于服务网络中的AAnFProxy和服务网络中的AF之间的交互,能够实现AKMA应用密钥请求和AKMA应用密钥响应,以使得服务网络中的AF能够获取到的AF的AKMA应用密钥信息。
参考图4-7,图9示出了本申请一个示例性实施例提供的密钥管理方法的流 程图,应用于漫游场景下,该方法包括如下步骤:
步骤701:UE向服务网络中的AF发送服务网络标识符和AKMA密钥标识符。
示意性的,服务网络标识符用于指示终端的服务网络,服务网络标识符可能携带在应用会话建立请求中的A-KID字段或单独字段。
在一种可选的实现场景下,终端发生移动,从归属网络的覆盖区域移动到服务网络的覆盖区域内。此时,终端向服务网络中的AF发送服务网络标识符,该服务网络标识符与服务网络对应,由此可判断终端处于漫游场景下。
服务网络标识符可由终端单独发送给服务网络中的AF,也可以在终端向服务网络中的AF发送的应用会话建立请求中携带。
步骤702:在UE的服务网络标识符与归属网络标识不一致的情况下,服务网络中的AF向服务网络中的AAnFProxy发送AKMA应用密钥请求。
示意性的,AKMA应用密钥请求用于向服务网络中的AAnFProxy请求服务网络中的AF的AKMA应用密钥信息。可选的,AKMA应用密钥请求包括AKMA密钥标识符和/或AF标识符。
本申请实施例提供的密钥管理方法中,终端处于漫游场景下,终端对应的服务网络为服务网络,服务网络与终端的归属网络不一致,此时需要服务网络中的AF向服务网络中的AAnFProxy发送AKMA应用密钥请求,以请求K AF
根据前述内容,服务网络中的AF向服务网络中的AAnFProxy发送的AKMA应用密钥请求,根据服务网络中的AF中的策略的不同而不同。
可选的,服务网络中的AF向归属网络中的AAnFProxy发送第一AKMA应用密钥请求。其中,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识。
可选的,第一AKMA应用密钥请求可使用AKMA Application Key Request表示。
可选的,服务网络中的AF向归属网络中的AAnFProxy发送第二AKMA应用密钥请求。其中,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识。
可选的,第二AKMA应用密钥请求可使用AKMA Application Key AnonUser Request表示。
步骤703:服务网络中的AAnFProxy向归属网络中的AAnF发送应用密钥获取请求。
应用密钥获取请求用于向归属网络中的AAnF请求服务网络中的AF的AKMA应用密钥信息。可选的,应用密钥获取请求包括A-KID和/或AF_ID。
根据前述内容,服务网络中的AAnFProxy向归属网络中的AAnF发送的应 用密钥获取请求根据服务网络中的AF中的策略的不同而改变。
可选的,服务网络中的AAnFProxy接收到第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识;随后,服务网络中的AAnFProxy向归属网络中的AAnF发送第一应用密钥获取请求。
可选的,第一应用密钥获取请求可使用Naanf_AKMA_ApplicationKey_Get Request表示。
可选的,服务网络中的AAnFProxy接收到第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识;随后,服务网络中的AAnFProxy向归属网络中的AAnF发送第二应用密钥获取请求。
可选的,第二应用密钥获取请求可使用Naanf_AKMA_ApplicationKey_AnonUser_Get Request表示。
可选的,在执行步骤703之前,服务网络中的代理实体还需要确定归属网络中的AAnF,本申请实施例提供的密钥管理方法,还包括:
服务网络中的代理实体通过服务网络和归属网络中的NRF发现归属网络中的AAnF。
其中,以归属网络中的NRF使用hNRF表示,服务网络中的NRF使用vNRF表示为例,服务网络中的代理实体发现归属网络中的AAnF的过程可实现为如下:
服务网络中的代理实体通过服务网络标识符确定vNRF;vNRF根据服务网络中的代理实体传送的归属网络标识符,能够确定hNRF;hNRF根据预设策略判断归属网络中的AAnF有权为服务网络中的AAnFProxy及AF服务,随后授权归属网络中的代理实体访问归属网络中的AAnF。
其中,服务网络标识符可由终端向服务网络中的AF提供,由服务网络中的AF传送给服务网络中的代理实体。
步骤704:在归属网络中的AAnF中存储有终端的AKMA密钥的情况下,归属网络中的AAnF基于终端的AKMA密钥生成服务网络中的AF的AKMA应用密钥。
其中,AKMA应用密钥用于指示UE和服务网络中的AF之间的通信密钥,可使用K AF表示。
可选的,AKMA应用密钥的生成可通过如下方式实现:归属网络中的AAnF根据应用密钥获取请求得到A-KID和AF_ID;随后,归属网络中的AAnF可基于AKMA密钥和AF_ID生成AKMA应用密钥。
可选的,归属网络中的AAnF可根据A-KID对应的终端的AKMA密钥的存在,来验证UE是否被授权使用AKMA服务。
步骤705:归属网络中的AAnF向服务网络中的AAnFProxy发送应用密钥 获取响应。
示意性的,应用密钥获取响应包括服务网络中的AF的AKMA应用密钥信息。
其中,应用密钥获取响应与应用密钥获取请求对应,用于归属网络中的AAnF向服务网络中的AAnFProxy反馈AF的AKMA应用密钥信息;AF的AKMA应用密钥信息的相关描述可参考前述内容,不再赘述。
根据步骤703,服务网络中的AAnFProxy向归属网络中的AAnF发送的应用密钥获取请求不同。相应的,归属网络中的AAnF向服务网络中的AAnFProxy发送的应用密钥获取响应也不同。
可选的,在服务网络中的AF需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的AAnFProxy发送的第一应用密钥获取请求;在生成AKMA应用密钥后,归属网络中的AAnF向服务网络中的AAnFProxy发送第一应用密钥获取响应。
可选的,第一应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_Get Response表示。
可选的,第一应用密钥获取响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
可选的,在服务网络中的AF不需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的AAnFProxy发送的第二应用密钥获取请求;在生成AKMA应用密钥后,归属网络中的AAnF向服务网络中的AAnFProxy发送第二应用密钥获取响应。
可选的,第二应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_AnonUser_Get Response表示。
可选的,第二应用密钥获取响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
步骤706:服务网络中的AAnFProxy向服务网络中的AF发送AKMA应用密钥响应。
示意性的,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
其中,AKMA应用密钥响应与AKMA应用密钥请求对应;AF的AKMA应用密钥信息的相关描述可参考前述内容,不再赘述。
根据步骤702,服务网络中的AF向服务网络中的AAnFProxy发送的AKMA应用密钥请求不同。相应的,服务网络中的AAnFProxy向服务网络中的AF发送的AKMA应用密钥响应也不同。
可选的,服务网络中的AAnFProxy接收服务网络中的AF发送的第一AKMA 应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识;随后,服务网络中的AAnFProxy向服务网络中的AF发送第一AKMA应用密钥响应。
可选的,第一AKMA应用密钥响应可使用AKMA Application Key Response表示。
可选的,第一AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
可选的,服务网络中的AAnFProxy接收服务网络中的AF发送的第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识;随后,服务网络中的AAnFProxy向服务网络中的AF发送第二AKMA应用密钥响应。
可选的,第二AKMA应用密钥响应可使用AKMA Application Key AnonUser表示。
可选的,第二AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
应当理解的是,上述内容中给出的实施例中,UE一侧的步骤可单独成为应用于终端中的密钥管理方法的一个实施例,归属网络中的AAnF一侧的步骤可单独成为应用于归属网络中的AAnF中的密钥管理方法的一个实施例,服务网络中的AF一侧的步骤可单独成为应用于服务网络中的AF中的密钥管理方法的一个实施例,服务网络中的AAnFProxy一侧的步骤可单独成为应用于服务网络中的AAnFProxy中的密钥管理方法的一个实施例。其中,密钥管理方法的步骤的具体阐释可参考上述内容,不再赘述。
综上所述,本申请实施例提供了一种密钥管理方法,给出了服务网络中的AF的AKMA应用密钥信息由归属网络中的AAnF生成的实现方式。其中,基于服务网络中的AAnFProxy、服务网络中的AF和归属网络中的AAnF之间的交互,能够实现AKMA应用密钥请求和AKMA应用密钥响应,以使得服务网络中的AF能够获取到的AF的AKMA应用密钥信息。
根据前述内容,根据服务网络中的AF中的策略的不同,AKMA应用密钥请求、应用密钥获取请求、AKMA应用密钥响应和应用密钥获取响应存在差异,由此导致服务网络中的AF的AKMA应用密钥信息也存在差异。
可选的,AKMA应用密钥信息包括如下中的至少一种:服务网络中的AF的AKMA应用密钥;AKMA应用密钥的过期时间;终端的SUPI。其中,该种情况是在服务网络中的AF需要终端标识的情况下实现的。
可选的,AKMA应用密钥信息包括如下中的至少一种:服务网络中的AF的AKMA应用密钥;AKMA应用密钥的过期时间。其中,该种情况是在服务网络中的AF不需要终端标识的情况下实现的。
上述两种实现方式中,基于服务网络中的AF的策略的不同,来确定服务网络中的AF是否需要终端标识,从而确定需要请求的AF的AKMA应用密钥信息。以下将根据服务网络中的AF是否需要终端标识进行举例:
一、服务网络中的AF需要终端标识的情况。
参考图9,图10示出了本申请一个示例性实施例提供的密钥管理方法的流程图。其中,步骤701、702、703、705、706分别可实现为步骤7011、7021、7031、7051、7061,该方法还包括步骤707和步骤708。上述步骤如下:
步骤7011:UE向服务网络中的AF发送应用会话建立请求。
示意性的,应用会话建立请求用于触发应用会话的建立请求,应用会话建立请求可用Application Session Establishment Request表示;应用会话建立请求携带有服务网络标识符。
其中,服务网络标识符可由应用会话建立请求中的AKMA密钥标识符携带,也可由专用字段携带。可选的,应用会话建立请求包括AKMA密钥标识符,AKMA密钥标识符携带有服务网络标识符;或者,应用会话建立请求包括AKMA密钥标识符和服务网络标识符。其中,AKMA密钥标识符是用于指示终端的AKMA密钥的标识符。
步骤7021:在UE的服务网络标识符与归属网络标识不一致的情况下,服务网络中的AF向服务网络中的AAnFProxy发送第一AKMA应用密钥请求。
示意性的,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识。
其中,AKMA应用密钥请求用于向服务网络中的AAnFProxy请求服务网络中的AF的AKMA应用密钥信息。可选的,第一AKMA应用密钥请求可使用AKMA Application Key Request表示。
可选的,第一AKMA应用密钥请求包括AKMA密钥标识符和/或AF标识符。其中,AKMA密钥标识符是用于指示终端的AKMA密钥的标识符,可用A-KID表示;AF标识符是用于指示服务网络中的AF的标识符,可用AF_ID表示。
可选的,服务网络中的AAnFProxy是服务网络中单独的NF;或者,服务网络中的AAnFProxy是服务网络中任一NF中的一部分;或者,服务网络中的AAnFProxy是可信应用功能(Trusted AF),比如3GPP运营商域内的可信应用功能。
步骤7031:服务网络中的AAnFProxy向归属网络中的AAnF发送第一应用 密钥获取请求。
示意性的,第一应用密钥获取请求用于在服务网络中的AF需要终端标识的情况下,向归属网络中的AAnF请求服务网络中的AF的AKMA应用密钥信息。
其中,AF的AKMA应用密钥信息包括如下中的至少一种:服务网络中的AF的AKMA应用密钥;AKMA应用密钥的过期时间;终端的SUPI。
根据步骤7021,服务网络中的AAnFProxy能够确定服务网络中的AF需要终端标识;随后,服务网络中的AAnFProxy向归属网络中的AAnF发送第一应用密钥获取请求。
可选的,第一应用密钥获取请求可使用Naanf_AKMA_ApplicationKey_Get Request表示。
可选的,第一应用密钥获取请求包括A-KID和/或AF_ID。
步骤707:根据授权信息或策略,归属网络中的AAnF确定AAnF是否向服务网络中的AF及服务网络中的代理实体提供服务。
其中,授权信息或策略与AF标识符相关联,AF标识符是用于指示服务网络中的AF的标识符。
在生成服务网络中的AF的AKMA应用密钥之前,需要执行步骤707,以确定归属网络中的AAnF是否可以向服务网络中的AF及服务网络中的代理实体提供服务。在归属网络中的AAnF可以向服务网络中的AF及服务网络中的代理实体提供服务的情况下,执行步骤704;在归属网络中的AAnF不可以向服务网络中的AF及服务网络中的代理实体提供服务的情况下,归属网络中的AAnF可拒绝执行步骤704,并向服务网络中的AAnFProxy反馈错误响应。
可选的,授权信息或策略,由本地策略或归属网络中的NRF提供。
步骤7051:归属网络中的AAnF向服务网络中的AAnFProxy发送第一应用密钥获取响应。
其中,第一应用密钥获取响应与第一应用密钥获取请求对应,用于在服务网络中的AF需要终端标识的情况下,归属网络中的AAnF向服务网络中的AAnFProxy反馈AF的AKMA应用密钥信息;AF的AKMA应用密钥信息的相关描述可参考前述内容,不再赘述。
根据步骤7031,在服务网络中的AF需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的AAnFProxy发送的第一应用密钥获取请求;根据步骤707和步骤704,在生成AKMA应用密钥后,归属网络中的AAnF向服务网络中的AAnFProxy发送第一应用密钥获取响应。可选的,第一应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_Get Response表示。
其中,第一应用密钥获取响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
步骤7061:服务网络中的AAnFProxy向服务网络中的AF发送第一AKMA应用密钥响应。
其中,第一AKMA应用密钥响应与第一AKMA应用密钥请求对应;AF的AKMA应用密钥信息的相关描述可参考前述内容,不再赘述。
根据步骤7021,服务网络中的AAnFProxy接收服务网络中的AF发送的第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识;随后,服务网络中的AAnFProxy向服务网络中的AF发送第一AKMA应用密钥响应。可选的,第一AKMA应用密钥响应可使用AKMA Application Key Response表示。
其中,第一AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
步骤708:服务网络中的AF向UE发送应用会话建立响应。
示意性的,应用会话建立响应与应用会话建立请求对应,用于反馈服务网络中的AF的AKMA应用密钥信息,可用Application Session Establishment Response表示。
UE在接收到应用会话建立响应后,可根据AKMA应用密钥响应中携带的AF的AKMA应用密钥信息。其中,第一AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
在一种可选的实现场景下,归属网络中的AAnF中未携带终端的AKMA密钥。
可选的,归属网络中的AAnF向服务网络中的AAnFProxy发送错误响应;服务网络中的AAnFProxy向服务网络中的AF发送该错误响应;服务网络中的AF向UE反馈应用会话的拒绝信息,该拒绝信息中包括响应失败原因。基于此,服务网络中的AF通过包含响应失败原因来拒绝建立应用会话。
可选的,在UE接收到服务网络中的AF反馈的应用会话的拒绝信息后,UE可重新发送应用会话建立请求,该应用会话建立请求中携带有新的A-KID和/或服务网络标识符。
应当理解的是,上述内容中给出的实施例中,UE一侧的步骤可单独成为应用于终端中的密钥管理方法的一个实施例,归属网络中的AAnF一侧的步骤可单独成为应用于归属网络中的AAnF中的密钥管理方法的一个实施例,服务网络中的AF一侧的步骤可单独成为应用于服务网络中的AF中的密钥管理方法的一个实施例,服务网络中的AAnFProxy一侧的步骤可单独成为应用于服务网络中的AAnFProxy中的密钥管理方法的一个实施例。其中,密钥管理方法的步骤的具体阐释可参考上述内容,不再赘述。
综上所述,本申请实施例提供了一种密钥管理方法,在服务网络中的AF需要终端标识的情况下,基于服务网络中的AAnFProxy、服务网络中的AF和归属网络中的AAnF之间的交互,通过第一AKMA应用密钥请求和第一AKMA应用密钥响应,能够使得终端获取到对应的AKMA应用密钥信息。其中,该AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。
二、服务网络中的AF不需要终端标识的情况。
参考图9,图11示出了本申请一个示例性实施例提供的密钥管理方法的流程图。其中,步骤701、702、703、705、706分别可实现为步骤7011、7022、7032、7052、7062,该方法还包括步骤707和步骤708。步骤7011、步骤707和步骤708的相关描述可参考前述内容,不再赘述,剩余步骤如下:
步骤7022:在UE的服务网络标识符与归属网络标识不一致的情况下,服务网络中的AF向服务网络中的AAnFProxy发送第二AKMA应用密钥请求。
示意性的,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识。
其中,AKMA应用密钥请求用于向服务网络中的AAnFProxy请求服务网络中的AF的AKMA应用密钥信息。可选的,第二AKMA应用密钥请求可使用AKMA Application Key AnonUser Request表示。
可选的,第二AKMA应用密钥请求包括A-KID和/或AF_ID。
可选的,服务网络中的AAnFProxy是服务网络中单独的NF;或者,服务网络中的AAnFProxy是服务网络中任一NF中的一部分;或者,服务网络中的AAnFProxy是3GPP运营商域内的可信应用功能。
步骤7032:服务网络中的AAnFProxy向归属网络中的AAnF发送第二应用密钥获取请求。
示意性的,第二应用密钥获取请求用于在服务网络中的AF不需要终端标识的情况下,向归属网络中的AAnF请求服务网络中的AF的AKMA应用密钥信息。其中,第二应用密钥获取请求可用Naanf_AKMA_ApplicationKey_AnonUser_Get Request表示。
其中,AF的AKMA应用密钥信息包括如下中的至少一种:服务网络中的AF的AKMA应用密钥;AKMA应用密钥的过期时间。
根据步骤7022,服务网络中的AAnFProxy能够确定服务网络中的AF不需要终端标识;服务网络中的AAnFProxy向归属网络中的AAnF发送第二应用密钥获取请求。
可选的,第二应用密钥获取请求包括A-KID和/或AF_ID。
步骤7052:归属网络中的AAnF向服务网络中的AAnFProxy发送第二应用密钥获取响应。
其中,第二应用密钥获取响应与第二应用密钥获取请求对应,用于在服务网络中的AF不需要终端标识的情况下,归属网络中的AAnF向服务网络中的AAnFProxy反馈AF的AKMA应用密钥信息;AF的AKMA应用密钥信息的相关描述可参考前述内容,不再赘述。
根据步骤7032,在服务网络中的AF不需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的AAnFProxy发送的第二应用密钥获取请求;根据步骤707和步骤704,在生成AKMA应用密钥后,归属网络中的AAnF向服务网络中的AAnFProxy发送第二应用密钥获取响应。可选的,第二应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_AnonUser_Get Response表示。
其中,第二应用密钥获取响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
步骤7062:服务网络中的AAnFProxy向服务网络中的AF发送第二AKMA应用密钥响应。
其中,第二AKMA应用密钥响应与第二AKMA应用密钥请求对应;AF的AKMA应用密钥信息的相关描述可参考前述内容,不再赘述。
根据步骤7022,服务网络中的AAnFProxy接收服务网络中的AF发送的第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识;随后,服务网络中的AAnFProxy向服务网络中的AF发送第二AKMA应用密钥响应。可选的,第二AKMA应用密钥响应可使用AKMA Application Key AnonUser Response表示。
其中,第二AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
应当理解的是,上述内容中给出的实施例中,UE一侧的步骤可单独成为应用于终端中的密钥管理方法的一个实施例,归属网络中的AAnF一侧的步骤可单独成为应用于归属网络中的AAnF中的密钥管理方法的一个实施例,服务网络中的AF一侧的步骤可单独成为应用于服务网络中的AF中的密钥管理方法的一个实施例,服务网络中的AAnFProxy一侧的步骤可单独成为应用于服务网络中的AAnFProxy中的密钥管理方法的一个实施例。其中,密钥管理方法的步骤的具体阐释可参考上述内容,不再赘述。
综上所述,本申请实施例提供了一种密钥管理方法,在服务网络中的AF不需要终端标识的情况下,基于服务网络中的AAnFProxy、服务网络中的AF和归属网络中的AAnF之间的交互,通过第二AKMA应用密钥请求和第二AKMA应用密钥响应,能够使得终端获取到对应的AKMA应用密钥信息。其中,该 AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
应当理解的是,图10和图11是基于图9示出的密钥管理方法的两种不同的实现方式,对于图8示出的密钥管理方法,同样有与之类似的实现方式,不再赘述。
比如,步骤601也可实现为步骤7011,图8示出的密钥管理方法还可以包括步骤708,以使得UE通过应用会话建立请求携带服务网络标识符。
又如,步骤602也可实现为步骤7021或7022,步骤604也可实现为步骤7061或7062,使得服务网络中的AF和服务网络中的AAnFProxy能够基于不同的情况实现不同的AKMA应用密钥请求和AKMA应用密钥响应。
图12示出了本申请一个示例性实施例提供的密钥管理方法的流程图,应用于漫游场景下,该方法包括如下步骤:
示意性的,在服务网络中的AF与UE进行通信之前,需要确定二者之间是否可以使用AKMA服务。在步骤801之前,通过UE与AUSF之间的主鉴权流程,以使得UE和AUSF分别在本地生成相同的K AUSF、K AKMA以及A-KID。
其中,主鉴权流程可参考前述内容,不再赘述。
可选地,服务网络中的AF与UE进行通信的先决条件是隐式特定应用于终端和AF的,或是由AF向终端显式指示的。
步骤801:UE向服务网络中的AF发送应用会话建立请求。
示意性的,应用会话建立请求用于触发应用会话的建立请求,应用会话建立请求可用Application Session Establishment Request表示。
其中,应用会话建立请求中携带有A-KID和/或服务网络标识符,A-KID用于指示终端的AKMA密钥的标识符;服务网络标识符用于指示终端的服务网络,用于触发服务网络中的AF在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的AAnFProxy发送密钥管理请求。
在一些实施例中,应用会话建立请求中包括A-KID,A-KID中携带有终端的服务网络标识符;或者,应用会话建立请求中包括A-KID和终端的服务网络标识符;或者,应用会话建立请求中包括A-KID,终端在应用会话建立请求之前或之后发送终端的服务网络标识符,可选地,该服务网络标识符指示有对应的应用会话建立请求或A-KID。
可选的,TS 33.535中限定了A-KID应采用IETF RFC 7542中条款2.2规定的NAI格式,比如:用户名@安全域。
步骤8021:服务网络中的AF向服务网络中的AAnFProxy发送第一AKMA应用密钥请求。
示意性的,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识,第一AKMA应用密钥请求包括A-KID和/或AF_ID。(If the AF does not have an active context associated with the A-KID,then the AF selects the AAnFProxy in the serving network and sends request to AAnFProxy with the A-KID to request the K AF.The AF also includes its identity(AF_ID)in the request.The AF sends AKMA Application Key Request if the policy in AF indicates it needs the UE identity.)
其中,AKMA应用密钥请求用于向服务网络中的AAnFProxy请求服务网络中的AF的AKMA应用密钥信息。可选的,第一AKMA应用密钥请求可使用AKMA Application Key Request表示。
可选的,服务网络中的AAnFProxy是服务网络中单独的NF;或者,服务网络中的AAnFProxy是服务网络中任一NF中的一部分;或者,服务网络中的AAnFProxy是3GPP运营商域内的可信应用功能。
步骤8022:服务网络中的AF向服务网络中的AAnFProxy发送第二AKMA应用密钥请求。
示意性的,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识,第二AKMA应用密钥请求包括A-KID和/或AF_ID。(The AF sends the request via the AKMA Application Key AnonUser Request if the policy in AF indicates the AF does not need the UE identity.)
其中,AKMA应用密钥请求用于向服务网络中的AAnFProxy请求服务网络中的AF的AKMA应用密钥信息。可选的,第二AKMA应用密钥请求可使用AKMA Application Key AnonUser Request表示。
应当理解的是,步骤8021和步骤8022择一执行,不能同时执行。
步骤8031:服务网络中的AAnFProxy向归属网络中的AAnF发送第一应用密钥获取请求。
示意性的,第一应用密钥获取请求用于在服务网络中的AF需要终端标识的情况下,向归属网络中的AAnF请求服务网络中的AF的AKMA应用密钥信息。可选的,第一应用密钥获取请求可使用Naanf_AKMA_ApplicationKey_Get Request表示。(The AAnFProxy sends the request via the Naanf_AKMA_ApplicationKey_Get service operation if it receives AKMA Application Key Request from the AF.)
根据步骤8021,服务网络中的AAnFProxy能够确定服务网络中的AF需要终端标识;服务网络中的AAnFProxy向归属网络中的AAnF发送第一应用密钥获取请求,第一应用密钥获取请求包括A-KID和/或AF_ID。
步骤8032:服务网络中的AAnFProxy向归属网络中的AAnF发送第二应用 密钥获取请求。
示意性的,第二应用密钥获取请求用于在服务网络中的AF不需要终端标识的情况下,向归属网络中的AAnF请求服务网络中的AF的AKMA应用密钥信息,第二应用密钥获取请求可用Naanf_AKMA_ApplicationKey_AnonUser_Get Request表示。(The AAnFProxy sends the request via the Naanf_AKMA_ApplicationKey_AnonUser_Get service operation if it receives AKMA Application Key AnonUser Request from the AF.)
根据步骤8022,服务网络中的AAnFProxy能够确定服务网络中的AF不需要终端标识;服务网络中的AAnFProxy向归属网络中的AAnF发送第二应用密钥获取请求,第二应用密钥获取请求包括A-KID和/或AF_ID。
应当理解的是,步骤8031和步骤8032择一执行,不能同时执行。
可选的,在执行步骤8031或步骤8032之前,服务网络中的AAnFProxy还需要确定归属网络中的AAnF,本申请实施例提供的密钥管理方法,还包括:
服务网络中的AAnFProxy通过服务网络和归属网络中的NRF发现归属网络中的AAnF。
其中,以归属网络中的NRF使用hNRF表示,服务网络中的NRF使用vNRF表示为例,服务网络中的AAnFProxy发现归属网络中的AAnF的过程可实现为如下:服务网络中的AAnFProxy通过服务网络标识符确定vNRF;vNRF根据服务网络中的AAnFProxy传送的归属网络标识符,能够确定hNRF;hNRF根据预设策略判断归属网络中的AAnF有权为服务网络中的AAnFProxy及AF服务,随后授权归属网络中的AAnFProxy访问归属网络中的AAnF。
步骤804:在归属网络中的AAnF存储有终端的AKMA密钥的情况下,归属网络中的AAnF基于终端的AKMA密钥生成服务网络中的AF的AKMA应用密钥。
其中,AKMA应用密钥用于指示UE和服务网络中的AF之间的通信密钥,可用K AF表示。
示例性的,AKMA应用密钥的生成可通过如下方式实现:归属网络中的AAnF根据应用密钥获取请求得到A-KID和AF_ID;随后,归属网络中的AAnF可基于AKMA密钥和AF_ID生成AKMA应用密钥。
可选的,归属网络中的AAnF可根据A-KID对应的终端的AKMA密钥的存在,来验证UE是否被授权使用AKMA服务。(The AAnF shall verify whether the subscriber is authorized to use AKMA based on the presence of the UE specific K AKMA key identified by the A-KID.)
可选的,在执行步骤804之前,归属网络中的AAnF还需要执行如下步骤:根据授权信息或策略,确定归属网络中的AAnF是否可以向服务网络中的AF及 服务网络中的代理实体提供服务。
其中,在归属网络中的AAnF可以向服务网络中的AF及服务网络中的代理实体提供服务的情况下,执行步骤804;在归属网络中的AAnF不可以向服务网络中的AF及服务网络中的代理实体提供服务的情况下,归属网络中的AAnF可拒绝执行步骤804,并向服务网络中的AAnFProxy反馈错误响应。(The AAnF in the home network shall check whether the AAnF can provide the service to the AF and AAnFProxy based on the configured local policy or based on the authorization information or policy provided by the NRF using the AF_ID of AF.If it succeeds,the following procedures are executed.Otherwise,the AAnF shall reject the procedure.)
可选的,授权信息或策略,由本地策略或归属网络中的NRF提供。
在一种实现场景下,归属网络中的AAnF可能存储有终端的AKMA密钥,也可未存储终端的AKMA密钥。归属网络中的AAnF存储有终端的AKMA密钥的情况下,归属网络中的AAnF基于终端的AKMA密钥生成服务网络中的AF的AKMA应用密钥(If K AKMA is present in AAnF,the AAnF shall derive K AF for the AF.);在归属网络中的AAnF未存储有终端的AKMA密钥的情况下,归属网络中的AAnF反馈错误响应(If K AKMA is not present in the AAnF,the AAnF shall continue with step 4 with an error response.)。
步骤8051:归属网络中的AAnF向服务网络中的AAnFProxy发送第一应用密钥获取响应。
其中,第一应用密钥获取响应与第一应用密钥获取请求对应,用于在服务网络中的AF需要终端标识的情况下,归属网络中的AAnF向服务网络中的AAnFProxy反馈AF的AKMA应用密钥信息。(The AAnF sends Naanf_AKMA_ApplicationKey_Get response to the AAnFProxy with SUPI,K AF,the K AF expiration time,and the SUPI of UE.)
可选的,第一应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_Get Response表示。可选的,AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥(K AF)、AKMA应用密钥的过期时间(K AF expTime)和SUPI。
根据步骤8031,在服务网络中的AF需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的AAnFProxy发送的第一应用密钥获取请求;在生成AKMA应用密钥后,归属网络中的AAnF向服务网络中的AAnFProxy发送第一应用密钥获取响应。
步骤8052:归属网络中的AAnF向服务网络中的AAnFProxy发送第二应用密钥获取响应。
示意性的,第二应用密钥获取响应与第一应用密钥获取请求对应,用于在 服务网络中的AF不需要终端标识的情况下,归属网络中的AAnF向服务网络中的AAnFProxy反馈AF的AKMA应用密钥信息。(The AAnF sends Naanf_AKMA_ApplicationKey_AnonUser_Get response to the AAnFProxy with K AF and the K AF expiration time.)
可选的,第一应用密钥获取响应可使用Naanf_AKMA_ApplicationKey_AnonUser_Get Response表示。可选的,AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥(K AF)和AKMA应用密钥的过期时间(K AF expTime)。
根据步骤8032,在服务网络中的AF需要终端标识的情况下,归属网络中的AAnF接收到服务网络中的AAnFProxy发送的第一应用密钥获取请求;在生成AKMA应用密钥后,归属网络中的AAnF向服务网络中的AAnFProxy发送第一应用密钥获取响应。
应当理解的是,步骤8051和步骤8052择一执行,不能同时执行。
根据前述内容,步骤8031/8032、804和8051/8052给出了服务网络中的AF的AKMA应用密钥信息由归属网络中的AAnF生成的实现方式。
在一种可选的实现场景下,服务网络中的AF的AKMA应用密钥信息还可由服务网络中的AAnFProxy生成。比如,服务网络中的AAnFProxy根据应用密钥获取请求得到A-KID和AF_ID;随后,服务网络中的AAnFProxy可基于AKMA密钥和AF_ID生成AKMA应用密钥。
应当理解的是,该实施例仅示出了服务网络中的AF的AKMA应用密钥信息由归属网络中的AAnF生成的实现方式,并不对本申请造成限定。
步骤8061:服务网络中的AAnFProxy向服务网络中的AF发送第一AKMA应用密钥响应。
其中,第一AKMA应用密钥响应与第一AKMA应用密钥请求对应。
可选的,第一AKMA应用密钥响应可使用AKMA Application Key Response表示;AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI。(The AAnFProxy sends AKMA Application Key Response to AF in the serving network with SUPI,K AF,the K AF expiration time,and the SUPI of UE.)
根据步骤8021,服务网络中的AAnFProxy接收服务网络中的AF发送的第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识;随后,服务网络中的AAnFProxy向服务网络中的AF发送第一AKMA应用密钥响应。
步骤8062:服务网络中的AAnFProxy向服务网络中的AF发送第二AKMA应用密钥响应。
其中,第二AKMA应用密钥响应与第二AKMA应用密钥请求对应。
可选的,第二AKMA应用密钥响应可使用AKMA Application Key AnonUser Response表示;AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。(The AAnFProxy sends AKMA Application Key AnonUser Response to the AF with K AF and K AF expiration time.)
根据步骤8022,服务网络中的AAnFProxy接收服务网络中的AF发送的第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识;随后,服务网络中的AAnFProxy向服务网络中的AF发送第二AKMA应用密钥响应。
应当理解的是,步骤8061和步骤8062择一执行,不能同时执行。
步骤807:服务网络中的AF向访问UE发送应用会话建立响应。
其中,应用会话建立响应与应用会话建立请求对应,用于反馈服务网络中的AF的AKMA应用密钥信息,可用Application Session Establishment Response表示。
UE在接收到应用会话建立响应后,可根据AKMA应用密钥响应中携带的AF的AKMA应用密钥信息,根据接收到的不同的AKMA应用密钥响应,获取到的AF的AKMA应用密钥信息也不同。其中,第一AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间和SUPI;第二AKMA应用密钥响应中携带的AF的AKMA应用密钥信息包括如下信息中的至少一种:AKMA应用密钥、AKMA应用密钥的过期时间。
在一种可选的实现场景下,归属网络中的AAnF中未携带终端的AKMA密钥。
可选的,归属网络中的AAnF向服务网络中的AAnFProxy发送错误响应;服务网络中的AAnFProxy向服务网络中的AF发送该错误响应;服务网络中的AF向UE反馈应用会话的拒绝信息,该拒绝信息中包括响应失败原因。基于此,服务网络中的AF通过包含响应失败原因来拒绝建立应用会话。
可选的,在UE接收到服务网络中的AF反馈的应用会话的拒绝信息后,UE可重新发送应用会话建立请求,该应用会话建立请求中携带有新的A-KID和/或服务网络标识符。(If the information in step 8061 or 8062 indicates failure of AKMA key request,the AF shall reject the Application Session Establishment by including a failure cause.Afterwards,UE may trigger a new Application Session Establishment request with the latest A-KID to the AKMA AF.)
应当理解的是,上述内容中给出的实施例中,UE一侧的步骤可单独成为应用于终端中的密钥管理方法的一个实施例,归属网络中的AAnF一侧的步骤可 单独成为应用于归属网络中的AAnF中的密钥管理方法的一个实施例,服务网络中的AF一侧的步骤可单独成为应用于服务网络中的AF中的密钥管理方法的一个实施例,服务网络中的AAnFProxy一侧的步骤可单独成为应用于服务网络中的AAnFProxy中的密钥管理方法的一个实施例。其中,密钥管理方法的步骤的具体阐释可参考上述内容,不再赘述。
示意性的,参考图12,不同的执行主体具有如下不同的功能。
1、UE一侧(UE side):
终端能够向服务网络中的AF发送服务网络标识符(The UE should be able to send serving network identifier to the AF)。
2、归属网络中的AAnF一侧((AAnF side):
归属网络中的AAnF能够从服务网络中的AAnFProxy接收A-KID、AF_ID(AAnF should be able to receive A-KID,AF_ID from the AAnFProxy)。
归属网络中的AAnF能够将UE的K AF、K AF的过期时间和SUPI发送给服务网络中的AAnFProxy(AAnF should be able to send K AF,K AF expiration time,and SUPI of the UE to the AAnFProxy)。
归属网络中的AAnF能够向服务网络中的AAnFProxy发送错误响应(AAnF should be able to send error response to the AAnFProxy)。
3、服务网络中的AF(AF side):
服务网络中的AF能够从UE接收A-KID(AF should be able to receive A-KID from the UE)。
服务网络中的AF能够通过向服务网络中的服务网络中的AAnFProxy发送A-KID和AF_ID来向UE的归属网络中的AAnF请求K AF(AF should be able to request K AF from AAnF in the home network of UE by sending A-KID and AF_ID to AAnFProxy in the serving network)。
服务网络中的AF能够从服务网络中的AAnFProxy中获取UE的K AF、K AF的过期时间和SUPI(AF should be able to obtain K AF,K AF expiration,and SUPI of the UE from the AAnFProxy)。
服务网络中的AF能够从服务网络中的AAnFProxy获得错误响应(AF should be able to obtain error responsefrom the AAnFProxy)。
当服务网络中的AF需要UE的身份信息时,AF应该能够向服务网络中的AAnFProxy发送第一AKMA应用密钥请求(AF should be able to send AKMA ApplicationKey Request to AAnFProxy when the AF needs the identity information of the UE)。
当服务网络中的AF不需要UE的身份信息时,AF应该能够向服务网络中的AAnFProxy发送第二AKMA应用密钥请求(AF should be able to send AKMA ApplicationKey AnonUser Request to AAnFProxy when the AF does not need the identity information of the UE)。
4、服务网络中的AAnFProxy一侧(AAnFProxy side):
服务网络中的AAnFProxy功能可以实现为服务网络中单独的网络功能,或者是服务网络中任何NF的一部分,或者是3GPP运营商域内的可信应用功能(AAnfProxy functionality may be implemented as a separate network function in the serving network,or be part of any NF in the serving network,or as a trusted AF)。
服务网络中的AAnFProxy能够从服务网络中的AF接收A-KID和AF_ID(AAnFProxy should be able to receive A-KID and AF_ID from the AF)。
服务网络中的AAnFProxy能够通过服务网络和归属网络中的NRF发现UE归属网络中的AAnF(AAnFProxy should be able to discover AAnF in the home network of UE via NRFs in the serving network and home network)。
服务网络中的AAnFProxy能够通过向UE归属网络中的AAnF发送A-KID和AF_ID来请求AF的K AF和K AF的过期时间(AAnFProxy should be able to request K AF and K AF expiration time for AF by send A-KID and AF_ID to the AAnF in the home network of UE)。
服务网络中的AAnFProxy能够从UE归属网络中的AAnF获取K AF、K AF过期时间和SUPI(AAnFProxy should be able to obtain K AF,K AF expiration time,and SUPI from AAnF in the home network of UE)。
服务网络中的AAnFProxy能够从UE的归属网络中的AAnF获得错误响应(AAnFProxy should be able to obtain error response from AAnF in the home network of UE)。
服务网络中的AAnFProxy能够在UE的归属网络中向AAnF请求Naanf_AKMA_ApplicationKey_AnonUser_Get服务(AAnFProxy should be able to request Naanf_AKMA_ApplicationKey_AnonUser_Get service from AAnF in the home network of UE)。
服务网络中的AAnFProxy能够在UE的归属网络中向AAnF请求Naanf_AKMA_ApplicationKey_Get服务(AAnFProxy should be able to request Naanf_AKMA_ApplicationKey_Get service from AAnF in the home network of UE)。
服务网络中的AAnFProxy能够将UE的K AF、K AF过期和SUPI发送给服务网络中的AF(AAnFProxy should be able to send K AF,K AF expiration,and SUPI of the UE to the AF)。
服务网络中的AAnFProxy能够向服务网络中的AF发送错误响应(AAnFProxy should be able to send error responseto the AF)。
综上所述,本申请实施例提供了一种密钥管理方法,基于服务网络中的AAnFProxy、服务网络中的AF和归属网络中的AAnF之间的交互,能够实现AKMA应用密钥请求和AKMA应用密钥响应,以使得终端能够获取到服务网络中的AF的AKMA应用密钥信息。
以下为本申请的装置实施例,对于装置实施例中未详细描述的细节,可以结合参考上述方法实施例中相应的记载,本文不再赘述。
图13示出了本申请一个示例性实施例提供的密钥管理装置的示意图,该装置包括:
接收模块1310,用于接收服务网络中的AF发送的AKMA应用密钥请求;
发送模块1320,用于向服务网络中的AF反馈AKMA应用密钥响应,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
可选的,服务网络中的AF的AKMA应用密钥信息由服务网络中的代理实体生成;或者,服务网络中的AF的AKMA应用密钥信息由归属网络中的AAnF生成。
可选的,服务网络中的AF的AKMA应用密钥信息由归属网络中的AAnF生成,发送模块1320,还用于向归属网络中的AAnF发送应用密钥获取请求;接收模块1310,还用于接收归属网络中的AAnF反馈的应用密钥获取响应,应用密钥获取响应包括服务网络中的AF的AKMA应用密钥信息。
可选的,AKMA应用密钥信息包括如下中的至少一种:服务网络中的AF的AKMA应用密钥;AKMA应用密钥的过期时间;SUPI。
可选的,发送模块1320,用于在服务网络中的AF需要终端标识的情况下,向归属网络中的AAnF发送第一应用密钥获取请求。
可选的,第一应用密钥获取请求包括如下中的至少一种:AKMA密钥标识符,AKMA密钥标识符是用于指示终端的AKMA密钥的标识符;AF标识符,AF标识符是用于指示服务网络中的AF的标识符。
可选的,接收模块1310,用于接收服务网络中的AF发送的第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识。
可选的,AKMA应用密钥信息包括如下中的至少一种:服务网络中的AF的AKMA应用密钥;AKMA应用密钥的过期时间。
可选的,发送模块1320,用于在服务网络中的AF不需要终端标识的情况下,向归属网络中的AAnF发送第二应用密钥获取请求。
可选的,第二应用密钥获取请求包括如下中的至少一种:AKMA密钥标识符,AKMA密钥标识符是用于指示终端的AKMA密钥的标识符;AF标识符, AF标识符是用于指示服务网络中的AF的标识符。
可选的,接收模块1310,用于接收服务网络中的AF发送的第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识。
可选的,AKMA密钥标识符由服务网络中的AF从终端处获取。
可选的,接收模块1310,还用于接收归属网络中的AAnF反馈的错误响应,错误响应是在归属网络中的AAnF中未存储有终端的AKMA密钥的情况下发送的;发送模块1320,还用于向服务网络中的AF发送错误响应。
可选的,该装置还包括发现模块1330,用于通过服务网络和归属网络中的NRF发现归属网络中的AAnF。
可选的,服务网络中的代理实体是服务网络中单独的NF;或者,服务网络中的代理实体是服务网络中任一NF的一部分;或者,服务网络中的代理实体是可信应用功能。
图14示出了本申请一个示例性实施例提供的密钥管理装置的示意图,该装置包括:
接收模块1410,用于接收服务网络中的代理实体发送的应用密钥获取请求;
生成模块1420,用于在归属网络中的AAnF中存储有终端的AKMA密钥的情况下,基于终端的AKMA密钥生成服务网络中的AF的AKMA应用密钥;
发送模块1430,用于向服务网络中的代理实体反馈应用密钥获取响应,应用密钥获取响应包括服务网络中的AF的AKMA应用密钥信息。
可选的,AKMA应用密钥信息包括如下中的至少一种:AKMA应用密钥;AKMA应用密钥的过期时间;SUPI。
可选的,接收模块1410,用于接收服务网络中的代理实体发送的第一应用密钥获取请求,第一应用密钥获取请求用于指示服务网络中的AF需要终端标识。
可选的,第一应用密钥获取请求包括如下中的至少一种:AKMA密钥标识符,AKMA密钥标识符是用于指示终端的AKMA密钥的标识符;AF标识符,AF标识符是用于指示服务网络中的AF的标识符。
可选的,AKMA应用密钥信息包括如下中的至少一种:AKMA应用密钥;AKMA应用密钥的过期时间。
可选的,接收模块1410,用于接收服务网络中的代理实体发送的第二应用密钥获取请求,第二应用密钥获取请求用于指示服务网络中的AF不需要终端标识。
可选的,第二应用密钥获取请求包括如下中的至少一种:AKMA密钥标识符,AKMA密钥标识符是用于指示终端的AKMA密钥的标识符;AF标识符, AF标识符是用于指示服务网络中的AF的标识符。
可选的,发送模块1430,还用于在归属网络中的AAnF中未存储有终端的AKMA密钥的情况下,向服务网络中的代理实体反馈错误响应。
可选的,生成模块1420,还用于根据授权信息或策略,确定归属网络中的AAnF是否向服务网络中的AF及服务网络中的代理实体提供服务;在归属网络中的AAnF中存储有终端的AKMA密钥且归属网络中的AAnF向服务网络中的AF及服务网络中的代理实体提供服务的情况下,基于终端的AKMA密钥生成服务网络中的AF的AKMA应用密钥。
可选的,授权信息或策略,由本地策略或归属网络中的NRF提供。
图15示出了本申请一个示例性实施例提供的密钥管理装置的示意图,该装置包括:
接收模块1510,用于接收终端发送的服务网络标识符和AKMA密钥标识符;
发送模块1520,用于在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求;
接收模块1510,还用于接收服务网络中的代理实体反馈的AKMA应用密钥响应,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
可选的,服务网络中的AF的AKMA应用密钥信息由服务网络中的代理实体生成;或者,服务网络中的AF的AKMA应用密钥信息由归属网络中的AAnF生成。
可选的,AKMA应用密钥信息包括如下中的至少一种:服务网络中的AF的AKMA应用密钥;AKMA应用密钥的过期时间;SUPI。
可选的,发送模块1520,用于向服务网络中的代理实体发送第一AKMA应用密钥请求,第一AKMA应用密钥请求用于指示服务网络中的AF需要终端标识。
可选的,第一AKMA应用密钥请求包括如下中的至少一种:AKMA密钥标识符,AKMA密钥标识符是用于指示终端的AKMA密钥的标识符;AF标识符,AF标识符是用于指示服务网络中的AF的标识符。
可选的,AKMA应用密钥信息包括如下中的至少一种:服务网络中的AF的AKMA应用密钥;AKMA应用密钥的过期时间。
可选的,发送模块1520,用于向服务网络中的代理实体发送第二AKMA应用密钥请求,第二AKMA应用密钥请求用于指示服务网络中的AF不需要终端标识。
可选的,第二AKMA应用密钥请求包括如下中的至少一种:AKMA密钥标识符,AKMA密钥标识符是用于指示终端的AKMA密钥的标识符;AF标识符, AF标识符是用于指示服务网络中的AF的标识符。
可选的,接收模块1510,还用于接收服务网络中的代理实体反馈的错误响应,错误响应是归属网络中的AAnF在未存储有终端的AKMA密钥的情况下发送给服务网络中的代理实体的。
可选的,接收模块1510,用于接收终端发送的应用会话建立请求,应用会话建立请求携带有服务网络标识符和AKMA密钥标识符;发送模块1520,还用于向终端反馈应用会话建立响应。
可选的,应用会话建立请求包括AKMA密钥标识符,AKMA密钥标识符携带有服务网络标识符;或者,应用会话建立请求包括AKMA密钥标识符和服务网络标识符;其中,AKMA密钥标识符是用于指示终端的AKMA密钥的标识符。
可选的,发送模块1520,还用于在接收到服务网络中的代理实体反馈的错误响应的情况下,向终端反馈应用会话的拒绝信息,拒绝信息中包括响应失败原因。
可选的,AKMA密钥标识符采用NAI格式。
图16示出了本申请一个示例性实施例提供的密钥管理装置的示意图,该装置包括:
发送模块1610,用于向服务网络中的应用功能AF发送服务网络标识符和AKMA密钥标识符,服务网络标识符用于触发服务网络中的AF在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求。
可选的,发送模块1610,用于向服务网络中的AF发送应用会话建立请求,应用会话建立请求携带有服务网络标识符和AKMA密钥标识符;该装置还包括接收模块1620,用于接收服务网络中的AF反馈的应用会话建立响应。
可选的,应用会话建立请求包括AKMA密钥标识符,AKMA密钥标识符携带有服务网络标识符;或者,应用会话建立请求包括AKMA密钥标识符和服务网络标识符;其中,AKMA密钥标识符是用于指示终端的AKMA密钥的标识符。
图17示出了本申请一个示例性实施例提供的通信设备(终端或网络设备)的结构示意图,该通信设备包括:处理器1701、接收器1702、发射器1703、存储器1704和总线1705。
处理器1701包括一个或者一个以上处理核心,处理器1701通过运行软件程序以及模块,从而执行各种功能应用以及信息处理。
接收器1702和发射器1703可以实现为一个通信组件,该通信组件可以是一块通信芯片。
存储器1704通过总线1705与处理器1701相连。
存储器1704可用于存储至少一个指令,处理器1701用于执行该至少一个指令,以实现上述方法实施例中由终端执行的密钥管理方法的各个步骤。
此外,存储器1704可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,易失性或非易失性存储设备包括但不限于:磁盘或光盘,电可擦除可编程只读存储器(Electrically-Erasable Programmable Read Only Memory,EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM),静态随时存取存储器(Static Random Access Memory,SRAM),只读存储器(Read-Only Memory,ROM),磁存储器,快闪存储器,可编程只读存储器(Programmable Read-Only Memory,PROM)。
图18示出了本申请一个示例性实施例提供的网元设备的结构示意图,该网元设备包括:处理器1801、存储器1802和通信组件1803。
处理器1801与存储器1802相连,存储器1802与通信组件1803相连。
存储器1802可用于存储至少一个指令和计算机程序,处理器1801用于执行该至少一个指令和计算机程序,以实现上述方法实施例中由核心网网元执行的密钥管理方法的处理步骤。其中,处理步骤是指除接收步骤和发送步骤之外的其他步骤。
通信组件1803用于实现上述方法实施例中由核心网网元执行的密钥管理方法的接收步骤和发送步骤。
本申请实施例还提供了一种代理实体,代理实体包括通信组件;通信组件,用于接收服务网络中的AF发送的AKMA应用密钥请求;向服务网络中的AF反馈AKMA应用密钥响应,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
本申请实施例还提供了一种AAnF,AAnF包括通信组件和处理器;通信组件,用于接收服务网络中的代理实体发送的应用密钥获取请求;处理器,用于在归属网络中的AAnF中存储有终端的AKMA密钥的情况下,基于终端的AKMA密钥生成服务网络中的AF的AKMA应用密钥;通信组件,还用于向服务网络中的代理实体反馈应用密钥获取响应,应用密钥获取响应包括服务网络中的AF的AKMA应用密钥信息。
本申请实施例还提供了一种AF,AF包括通信组件;通信组件,用于接收终端发送的服务网络标识符和AKMA密钥标识符;在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求;接收服务网络中的代理实体反馈的AKMA应用密钥响应,AKMA应用密钥响应包括服务网络中的AF的AKMA应用密钥信息。
本申请实施例还提供了一种终端,终端包括收发器;收发器,用于:向服务网络中的AF发送服务网络标识符和AKMA密钥标识符,服务网络标识符用于触发服务网络中的AF在终端的服务网络标识符与归属网络标识不一致的情况下,向服务网络中的代理实体发送AKMA应用密钥请求。
本申请实施例还提供了一种计算机可读存储介质,存储介质中存储有计算机程序,计算机程序用于被处理器执行,以实现如上所述的密钥管理方法。
本申请实施例还提供了一种芯片,芯片包括可编程逻辑电路和/或程序指令,当芯片运行时,用于实现如上所述的密钥管理方法。
本申请实施例还提供了一种计算机程序产品或计算机程序,计算机程序产品或计算机程序包括计算机指令,计算机指令存储在计算机可读存储介质中,处理器从计算机可读存储介质读取并执行计算机指令,以实现如上所述的密钥管理方法。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (52)

  1. 一种密钥管理方法,其特征在于,所述方法应用于漫游场景中,所述方法由服务网络中的代理实体执行,所述方法包括:
    接收所述服务网络中的应用功能AF发送的应用认证与密钥管理AKMA应用密钥请求;
    向所述服务网络中的AF反馈AKMA应用密钥响应,所述AKMA应用密钥响应包括所述服务网络中的AF的AKMA应用密钥信息。
  2. 根据权利要求1所述的方法,其特征在于,
    所述服务网络中的AF的AKMA应用密钥信息由所述服务网络中的代理实体生成;
    或者,所述服务网络中的AF的AKMA应用密钥信息由归属网络中的AKMA的锚点功能网元AAnF生成。
  3. 根据权利要求2所述的方法,其特征在于,所述服务网络中的AF的AKMA应用密钥信息由所述归属网络中的AAnF生成,所述方法还包括:
    向所述归属网络中的AAnF发送应用密钥获取请求;
    接收所述归属网络中的AAnF反馈的应用密钥获取响应,所述应用密钥获取响应包括所述服务网络中的AF的AKMA应用密钥信息。
  4. 根据权利要求3所述的方法,其特征在于,所述AKMA应用密钥信息包括如下中的至少一种:
    所述服务网络中的AF的AKMA应用密钥;
    所述AKMA应用密钥的过期时间;
    终端的签约永久标识符SUPI。
  5. 根据权利要求4所述的方法,其特征在于,所述向归属网络中的AAnF发送应用密钥获取请求,包括:
    在所述服务网络中的AF需要终端标识的情况下,向所述归属网络中的AAnF发送第一应用密钥获取请求。
  6. 根据权利要求5所述的方法,其特征在于,所述第一应用密钥获取请求包括如下中的至少一种:
    AKMA密钥标识符,所述AKMA密钥标识符是用于指示所述终端的AKMA密钥的标识符;
    AF标识符,所述AF标识符是用于指示所述服务网络中的AF的标识符。
  7. 根据权利要求5所述的方法,其特征在于,所述接收所述服务网络中的AF发送的AKMA应用密钥请求,包括:
    接收所述服务网络中的AF发送的第一AKMA应用密钥请求,所述第一AKMA应用密钥请求用于指示所述服务网络中的AF需要所述终端标识。
  8. 根据权利要求3所述的方法,其特征在于,所述AKMA应用密钥信息包括如下中的至少一种:
    所述服务网络中的AF的AKMA应用密钥;
    所述AKMA应用密钥的过期时间。
  9. 根据权利要求8所述的方法,其特征在于,所述向归属网络中的AAnF发送应用密钥获取请求,包括:
    在所述服务网络中的AF不需要终端标识的情况下,向所述归属网络中的AAnF发送第二应用密钥获取请求。
  10. 根据权利要求9所述的方法,其特征在于,所述第二应用密钥获取请求包括如下中的至少一种:
    AKMA密钥标识符,所述AKMA密钥标识符是用于指示终端的AKMA密钥的标识符;
    AF标识符,所述AF标识符是用于指示所述服务网络中的AF的标识符。
  11. 根据权利要求9所述的方法,其特征在于,所述接收所述服务网络中的AF发送的AKMA应用密钥请求,包括:
    接收所述服务网络中的AF发送的第二AKMA应用密钥请求,所述第二AKMA应用密钥请求用于指示所述服务网络中的AF不需要所述终端标识。
  12. 根据权利要求6或10所述的方法,其特征在于,
    所述AKMA密钥标识符由所述服务网络中的AF从终端处获取。
  13. 根据权利要求1至12任一所述的方法,其特征在于,所述方法还包括:
    接收所述归属网络中的AAnF反馈的错误响应,所述错误响应是在所述归属网络中的AAnF中未存储有终端的AKMA密钥的情况下发送的;
    向所述服务网络中的AF发送所述错误响应。
  14. 根据权利要求1至12任一所述的方法,其特征在于,所述方法还包括:
    通过所述服务网络和所述归属网络中的网络存储功能NRF发现所述归属网络中的AAnF。
  15. 根据权利要求1至12任一所述的方法,其特征在于,
    所述服务网络中的代理实体是所述服务网络中单独的网络功能NF;
    或者,所述服务网络中的代理实体是所述服务网络中任一NF的一部分;
    或者,所述服务网络中的代理实体是3GPP运营商域内的可信应用功能。
  16. 一种密钥管理方法,其特征在于,所述方法应用于漫游场景中,所述方法由归属网络中的应用认证与密钥管理AKMA的锚点功能网元AAnF执行,所述方法包括:
    接收服务网络中的代理实体发送的应用密钥获取请求;
    在所述归属网络中的AAnF中存储有终端的AKMA密钥的情况下,基于终端的AKMA密钥生成所述服务网络中的应用功能AF的AKMA应用密钥;
    向所述服务网络中的代理实体反馈应用密钥获取响应,所述应用密钥获取响应包括所述服务网络中的AF的应用认证与密钥管理AKMA应用密钥信息。
  17. 根据权利要求16所述的方法,其特征在于,所述AKMA应用密钥信息包括如下中的至少一种:
    所述AKMA应用密钥;
    所述AKMA应用密钥的过期时间;
    所述终端的签约永久标识符SUPI。
  18. 根据权利要求17所述的方法,其特征在于,所述接收服务网络中的代理实体发送的应用密钥获取请求,包括:
    接收所述服务网络中的代理实体发送的第一应用密钥获取请求,所述第一应用密钥获取请求用于指示所述服务网络中的AF需要终端标识。
  19. 根据权利要求18所述的方法,其特征在于,所述第一应用密钥获取请求包括如下中的至少一种:
    AKMA密钥标识符,所述AKMA密钥标识符是用于指示所述终端的AKMA密钥的标识符;
    AF标识符,所述AF标识符是用于指示所述服务网络中的AF的标识符。
  20. 根据权利要求16所述的方法,其特征在于,所述AKMA应用密钥信息包括如下中的至少一种:
    所述AKMA应用密钥;
    所述AKMA应用密钥的过期时间。
  21. 根据权利要求20所述的方法,其特征在于,所述接收服务网络中的代理实体发送的应用密钥获取请求,包括:
    接收所述服务网络中的代理实体发送的第二应用密钥获取请求,所述第二应用密钥获取请求用于指示所述服务网络中的AF不需要终端标识。
  22. 根据权利要求21所述的方法,其特征在于,所述第二应用密钥获取请求 包括如下中的至少一种:
    AKMA密钥标识符,所述AKMA密钥标识符是用于指示所述终端的AKMA密钥的标识符;
    AF标识符,所述AF标识符是用于指示所述服务网络中的AF的标识符。
  23. 根据权利要求16至22任一所述的方法,其特征在于,所述方法还包括:
    在所述归属网络中的AAnF中未存储有所述终端的AKMA密钥的情况下,向所述服务网络中的代理实体反馈错误响应。
  24. 根据权利要求16至22任一所述的方法,其特征在于,所述方法还包括:
    根据授权信息或策略,确定所述归属网络中的AAnF是否向所述服务网络中的AF及所述服务网络中的代理实体提供服务;
    所述在所述归属网络中的AAnF中存储有终端的AKMA密钥的情况下,基于终端的AKMA密钥生成所述服务网络中的应用功能AF的AKMA应用密钥,包括:
    在所述归属网络中的AAnF中存储有终端的AKMA密钥且所述归属网络中的AAnF向所述服务网络中的AF及所述服务网络中的代理实体提供服务的情况下,基于终端的AKMA密钥生成所述服务网络中的AF的AKMA应用密钥。
  25. 根据权利要求24所述的方法,其特征在于,
    所述授权信息或策略,由本地策略或所述归属网络中的网络存储功能NRF提供。
  26. 一种密钥管理方法,其特征在于,所述方法应用于漫游场景中,所述方法由服务网络中的应用功能AF执行,所述方法包括:
    接收终端发送的服务网络标识符和应用认证与密钥管理AKMA密钥标识符;
    在所述终端的服务网络标识符与归属网络标识不一致的情况下,向所述服务网络中的代理实体发送AKMA应用密钥请求;
    接收所述服务网络中的代理实体反馈的AKMA应用密钥响应,所述AKMA应用密钥响应包括所述服务网络中的AF的AKMA应用密钥信息。
  27. 根据权利要求26所述的方法,其特征在于,
    所述服务网络中的AF的AKMA应用密钥信息由所述服务网络中的代理实体生成;
    或者,所述服务网络中的AF的AKMA应用密钥信息由归属网络中的AKMA的锚点功能网元AAnF生成。
  28. 根据权利要求26或27所述的方法,其特征在于,所述AKMA应用密钥信息包括如下中的至少一种:
    所述服务网络中的AF的AKMA应用密钥;
    所述AKMA应用密钥的过期时间;
    终端的签约永久标识符SUPI。
  29. 根据权利要求28所述的方法,其特征在于,所述向所述服务网络中的代理实体发送AKMA应用密钥请求,包括:
    向所述服务网络中的代理实体发送第一AKMA应用密钥请求,所述第一AKMA应用密钥请求用于指示所述服务网络中的AF需要终端标识。
  30. 根据权利要求29所述的方法,其特征在于,所述第一AKMA应用密钥请求包括如下中的至少一种:
    AKMA密钥标识符,所述AKMA密钥标识符是用于指示所述终端的AKMA密钥的标识符;
    AF标识符,所述AF标识符是用于指示所述服务网络中的AF的标识符。
  31. 根据权利要求26或27所述的方法,其特征在于,所述AKMA应用密钥信息包括如下中的至少一种:
    所述服务网络中的AF的AKMA应用密钥;
    所述AKMA应用密钥的过期时间。
  32. 根据权利要求31所述的方法,其特征在于,所述向所述服务网络中的代理实体发送AKMA应用密钥请求,包括:
    向所述服务网络中的代理实体发送第二AKMA应用密钥请求,所述第二AKMA应用密钥请求用于指示所述服务网络中的AF不需要终端标识。
  33. 根据权利要求32所述的方法,其特征在于,所述第二AKMA应用密钥请求包括如下中的至少一种:
    AKMA密钥标识符,所述AKMA密钥标识符是用于指示终端的AKMA密钥的标识符;
    AF标识符,所述AF标识符是用于指示所述服务网络中的AF的标识符。
  34. 根据权利要求26至33任一所述的方法,其特征在于,所述方法还包括:
    接收所述服务网络中的代理实体反馈的错误响应,所述错误响应是归属网络中的应用认证与密钥管理AKMA的锚点功能网元AAnF在未存储有所述终端的AKMA密钥的情况下发送给所述服务网络中的代理实体的。
  35. 根据权利要求26至33任一所述的方法,其特征在于,所述接收终端发送的服务网络标识符和AKMA密钥标识符,包括:
    接收所述终端发送的应用会话建立请求,所述应用会话建立请求携带有所 述服务网络标识符和所述AKMA密钥标识符;
    所述方法还包括:
    向所述终端反馈应用会话建立响应。
  36. 根据权利要求35所述的方法,其特征在于,
    所述应用会话建立请求包括所述AKMA密钥标识符,所述AKMA密钥标识符携带有所述服务网络标识符;
    或者,所述应用会话建立请求包括所述AKMA密钥标识符和所述服务网络标识符;
    其中,所述AKMA密钥标识符是用于指示所述终端的AKMA密钥的标识符。
  37. 根据权利要求35所述的方法,其特征在于,所述方法还包括:
    在接收到所述服务网络中的代理实体反馈的错误响应的情况下,向所述终端反馈应用会话的拒绝信息,所述拒绝信息中包括响应失败原因。
  38. 根据权利要求35所述的方法,其特征在于,
    所述AKMA密钥标识符采用NAI格式。
  39. 一种密钥管理方法,其特征在于,所述方法应用于漫游场景中,所述方法由终端执行,所述方法包括:
    向服务网络中的应用功能AF发送服务网络标识符和应用认证与密钥管理AKMA密钥标识符,所述服务网络标识符用于触发所述服务网络中的AF在所述终端的服务网络标识符与归属网络标识不一致的情况下,向所述服务网络中的代理实体发送AKMA应用密钥请求。
  40. 根据权利要求39所述的方法,其特征在于,所述向服务网络中的应用功能AF发送服务网络标识符和AKMA密钥标识符,包括:
    向所述服务网络中的AF发送应用会话建立请求,所述应用会话建立请求携带有所述服务网络标识符和所述AKMA密钥标识符;
    所述方法还包括:
    接收所述服务网络中的AF反馈的应用会话建立响应。
  41. 根据权利要求40所述的方法,其特征在于,
    所述应用会话建立请求包括所述密钥标识符,所述AKMA密钥标识符携带有所述服务网络标识符;
    或者,所述应用会话建立请求包括所述AKMA密钥标识符和所述服务网络标识符;
    其中,所述AKMA密钥标识符是用于指示所述终端的AKMA密钥的标识 符。
  42. 一种密钥管理装置,其特征在于,所述装置包括:
    接收模块,用于接收所述服务网络中的应用功能AF发送的应用认证与密钥管理AKMA应用密钥请求;
    发送模块,用于向所述服务网络中的AF反馈AKMA应用密钥响应,所述AKMA应用密钥响应包括所述服务网络中的AF的AKMA应用密钥信息。
  43. 一种密钥管理装置,其特征在于,所述装置包括:
    接收模块,用于接收服务网络中的代理实体发送的应用密钥获取请求;
    生成模块,用于在所述归属网络中的AAnF中存储有终端的AKMA密钥的情况下,基于终端的AKMA密钥生成所述服务网络中的应用功能AF的AKMA应用密钥;
    发送模块,用于向所述服务网络中的代理实体反馈应用密钥获取响应,所述应用密钥获取响应包括所述服务网络中的AF的应用认证与密钥管理AKMA应用密钥信息。
  44. 一种密钥管理装置,其特征在于,所述装置包括:
    接收模块,用于接收终端发送的服务网络标识符和应用认证与密钥管理AKMA密钥标识符;
    发送模块,用于在所述终端的服务网络标识符与归属网络标识不一致的情况下,向所述服务网络中的代理实体发送AKMA应用密钥请求;
    所述接收模块,还用于接收所述服务网络中的代理实体反馈的AKMA应用密钥响应,所述AKMA应用密钥响应包括所述服务网络中的AF的AKMA应用密钥信息。
  45. 一种密钥管理装置,其特征在于,所述装置包括:
    发送模块,用于向服务网络中的应用功能AF发送服务网络标识符和应用认证与密钥管理AKMA密钥标识符,所述服务网络标识符用于触发所述服务网络中的AF在所述终端的服务网络标识符与归属网络标识不一致的情况下,向所述服务网络中的代理实体发送AKMA应用密钥请求。
  46. 一种代理实体,其特征在于,所述代理实体包括通信组件;
    所述通信组件,用于接收所述服务网络中的应用功能AF发送的应用认证与密钥管理AKMA应用密钥请求;
    向所述服务网络中的AF反馈AKMA应用密钥响应,所述AKMA应用密钥响应包括所述服务网络中的AF的AKMA应用密钥信息。
  47. 一种应用认证与密钥管理AKMA的锚点功能网元AAnF,其特征在于, 所述AAnF包括通信组件和处理器;
    所述通信组件,用于接收服务网络中的代理实体发送的应用密钥获取请求;
    所述处理器,用于在所述归属网络中的AAnF中存储有终端的AKMA密钥的情况下,基于终端的AKMA密钥生成所述服务网络中的应用功能AF的AKMA应用密钥;
    所述通信组件,还用于向所述服务网络中的代理实体反馈应用密钥获取响应,所述应用密钥获取响应包括所述服务网络中的AF的应用认证与密钥管理AKMA应用密钥信息。
  48. 一种应用功能AF,其特征在于,所述AF包括通信组件;
    所述通信组件,用于接收终端发送的服务网络标识符和应用认证与密钥管理AKMA密钥标识符;
    在所述终端的服务网络标识符与归属网络标识不一致的情况下,向所述服务网络中的代理实体发送AKMA应用密钥请求;
    接收所述服务网络中的代理实体反馈的AKMA应用密钥响应,所述AKMA应用密钥响应包括所述服务网络中的AF的AKMA应用密钥信息。
  49. 一种终端,其特征在于,所述终端包括收发器;
    所述收发器,用于:向服务网络中的应用功能AF发送服务网络标识符和应用认证与密钥管理AKMA密钥标识符,所述服务网络标识符用于触发所述服务网络中的AF在所述终端的服务网络标识符与归属网络标识不一致的情况下,向所述服务网络中的代理实体发送AKMA应用密钥请求。
  50. 一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序,所述计算机程序用于被处理器执行,以实现如权利要求1至41中任一项所述的密钥管理方法。
  51. 一种芯片,其特征在于,所述芯片包括可编程逻辑电路和/或程序指令,当所述芯片运行时,用于实现如权利要求1至41中任一项所述的密钥管理方法。
  52. 一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机指令,所述计算机指令存储在计算机可读存储介质中,处理器从所述计算机可读存储介质读取并执行所述计算机指令,以实现如权利要求1至41中任一项所述的密钥管理方法。
CN202280001756.0A 2022-05-13 2022-05-13 密钥管理方法、装置、设备及存储介质 Pending CN117413554A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2022/092885 WO2023216272A1 (zh) 2022-05-13 2022-05-13 密钥管理方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117413554A true CN117413554A (zh) 2024-01-16

Family

ID=88729498

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202280001756.0A Pending CN117413554A (zh) 2022-05-13 2022-05-13 密钥管理方法、装置、设备及存储介质

Country Status (2)

Country Link
CN (1) CN117413554A (zh)
WO (1) WO2023216272A1 (zh)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111147231B (zh) * 2018-11-05 2022-03-11 华为技术有限公司 一种密钥协商的方法、相关装置及系统

Also Published As

Publication number Publication date
WO2023216272A1 (zh) 2023-11-16

Similar Documents

Publication Publication Date Title
CN111543073B (zh) 用于用户认证的装置和方法
US11716621B2 (en) Apparatus and method for providing mobile edge computing services in wireless communication system
US20200153830A1 (en) Network authentication method, related device, and system
US8626708B2 (en) Management of user data
CN113541925B (zh) 通信系统、方法及装置
US20230024999A1 (en) Communication system, method, and apparatus
US20230239686A1 (en) Secure communication method, apparatus, and system
US20230396602A1 (en) Service authorization method and system, and communication apparatus
US20200382959A1 (en) User authentication in wireless access network
US20230232228A1 (en) Method and apparatus for establishing secure communication
JP2019533951A (ja) 次世代システムの認証
US20240179525A1 (en) Secure communication method and apparatus
WO2023213301A1 (zh) 鉴权方法、通信装置和计算机可读存储介质
WO2020208294A1 (en) Establishing secure communication paths to multipath connection server with initial connection over public network
JP2024517897A (ja) Nswoサービスの認証のための方法、デバイス、および記憶媒体
WO2023216272A1 (zh) 密钥管理方法、装置、设备及存储介质
CN115942305A (zh) 一种会话建立方法和相关装置
CN116391377A (zh) 用于ue接入的使用数字标识符的认证
WO2023216273A1 (zh) 密钥管理方法、装置、设备及存储介质
WO2023216274A1 (zh) 密钥管理方法、装置、设备和存储介质
KR20200044592A (ko) 다중 경로 전송 시스템, 그리고 이의 다중 경로 전송 방법
WO2024092624A1 (en) Encryption key transfer method and device for roaming users in communication networks
US20240356742A1 (en) Verification of service based architecture parameters
WO2024105542A1 (en) Snn for security keys in ue-to-network relay
CN117616792A (zh) 安全通信方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination