CN117641337A - 应用层密钥确定的方法、终端及网络侧设备 - Google Patents

应用层密钥确定的方法、终端及网络侧设备 Download PDF

Info

Publication number
CN117641337A
CN117641337A CN202210956488.XA CN202210956488A CN117641337A CN 117641337 A CN117641337 A CN 117641337A CN 202210956488 A CN202210956488 A CN 202210956488A CN 117641337 A CN117641337 A CN 117641337A
Authority
CN
China
Prior art keywords
application layer
layer key
generation mechanism
key generation
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210956488.XA
Other languages
English (en)
Inventor
郭茂文
卢燕青
张�荣
黎艳
胡鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210956488.XA priority Critical patent/CN117641337A/zh
Publication of CN117641337A publication Critical patent/CN117641337A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本公开提供一种应用层密钥确定的方法、终端及网络侧设备;涉及无线通信技术领域。方法包括:响应于接收到应用服务器返回的应用访问响应消息,向应用层密钥服务网元发送包括第一能力参数和/或第二能力参数的应用层密钥请求消息,以使根据第一能力参数和/或第二能力参数确定目标密钥生成机制,并通知终端;根据目标密钥生成机制,确定应用层密钥。本公开可以解决由于缺少应用层密钥生成机制的选择方法而影响运营商网络的能力开放和用户体验的问题。

Description

应用层密钥确定的方法、终端及网络侧设备
技术领域
本公开涉及无线通信技术领域,具体而言,涉及一种应用层密钥确定的方法、终端及网络侧设备。
背景技术
通用引导架构(General Bootstrapping Architecture,GBA)是3GPP定义的一种基于3G/4G移动通信网络、轻量级的安全基础设施,可以为应用层业务提供统一的安全认证服务。
在5G网络环境下,提供用户与接入应用之间的会话安全保护功能,并且提供基于应用的密钥管理方法,简称为应用的认证与密钥管理(Authentication and KeyManagement for Applications,AKMA)。但是目前移动互联网应用在利用运营商5G网络的应用层密钥开放能力时,缺少应用层密钥生成机制的选择方法,影响运营商网络的能力开放和用户体验。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开实施例的目的在于提供一种应用层密钥确定的方法、终端及网络侧设备,进而在一定程度上解决了由于缺少应用层密钥生成机制的选择方法而影响运营商网络的能力开放和用户体验的问题。
根据本公开的第一方面,提供了一种应用层密钥确定方法,应用于终端,所述方法包括响应于接收到应用服务器返回的应用访问响应消息,向应用层密钥服务网元发送包括第一能力参数和/或第二能力参数的应用层密钥请求消息,以使应用层密钥服务网元根据所述第一能力参数和/或所述第二能力参数确定目标密钥生成机制,并通知终端;所述第一能力参数用于指示终端是否支持基于通用引导架构GBA的第一应用层密钥生成机制,所述第二能力参数用于指示终端是否支持基于应用的认证与密钥管理AKMA的第二应用层密钥生成机制;根据所述目标密钥生成机制,确定应用层密钥。
可选地,所述终端包括第一能力模块和/或第二能力模块,所述方法还包括:通过所述第一能力模块配置第一能力参数;和/或,所述第二能力模块向SIM卡发送能力查询命令,并根据SIM卡的返回信息配置第二能力参数。
可选地,所述根据所述目标密钥生成机制,确定应用层密钥,包括:
当目标密钥生成机制为第一应用层密钥生成机制,调用所述第一能力模块接口并利用认证与密钥协商AKA鉴权机制和归属用户服务器HSS网元共同产生应用层密钥;当目标密钥生成机制为第二应用层密钥生成机制,调用所述第二能力模块接口获取密钥标识,并通过应用层密钥服务网元向AKMA锚点功能AAnF网元发送应用层密钥请求,以使AAnF网元根据密钥标识确定相应的AKMA锚点密钥并派生应用层密钥返回终端。
根据本公开的第二方面,提供了一种应用层密钥生成方法,应用于应用层密钥服务网元,所述方法包括:接收终端发送的应用层密钥请求消息,所述应用层密钥请求消息包括第一能力参数和/或第二能力参数,所述第一能力参数用于指示终端是否支持基于GBA的应用层密钥生成机制,所述第二能力参数用于指示终端是否支持基于AKMA的应用层密钥生成机制;根据所述第一能力参数和/或所述第二能力参数确定目标密钥生成机制,并通知终端,以使终端根据所述目标密钥生成机制,确定应用层密钥。
可选地,所述根据所述第一能力参数和/或所述第二能力参数确定目标密钥生成机制,包括:根据所述第一能力参数和/或第二能力参数,确定终端支持的密钥生成机制;当终端支持所述第一应用层密钥生成机制和所述第二应用层密钥生成机制,分别向引导服务功能BSF网元和AAnF网元获取当前各自的载荷信息;响应于所述载荷信息的比较结果,确定目标密钥生成机制;当终端支持所述第一应用层密钥生成机制或所述第二应用层密钥生成机制,确定该终端支持的应用层密钥生成机制为目标密钥生成机制。
可选地,所述第一应用层密钥生成机制包括用户卡内的第三应用层密钥生成机制和用户卡外的第四应用层密钥生成机制;所述确定目标密钥生成机制,包括:当终端支持所述第三应用层密钥生成机制和所述第四应用层密钥生成机制,根据所述第三应用层密钥生成机制和所述第四应用层密钥生成机制的安全性信息,确定目标密钥生成机制;当终端支持所述第三应用层密钥生成机制或所述第四应用层密钥生成机制,确定该终端支持的应用层密钥生成机制为目标密钥生成机制。
根据本公开的第三方面,提供一种一种应用层密钥确定的终端,其特征在于,所述终端包括:发送模块和确定模块;发送模块,被配置为响应于接收到应用服务器返回的应用访问响应消息,向应用层密钥服务网元发送包括第一能力参数和/或第二能力参数的应用层密钥请求消息,以使应用层密钥服务网元根据所述第一能力参数和/或所述第二能力参数确定目标密钥生成机制,并通知终端;所述第一能力参数用于指示终端是否支持基于通用引导架构GBA的第一应用层密钥生成机制,所述第二能力参数用于指示终端是否支持基于应用的认证与密钥管理AKMA的第二应用层密钥生成机制;确定模块,被配置为根据所述目标密钥生成机制,确定应用层密钥。
根据本公开的第四方面,提供一种应用层密钥确定的应用层密钥服务网元,所述网元包括:接收模块和确定模块;接收模块,被配置为接收终端发送的应用层密钥请求消息,所述应用层密钥请求消息包括第一能力参数和/或第二能力参数,所述第一能力参数用于指示终端是否支持基于GBA的应用层密钥生成机制,所述第二能力参数用于指示终端是否支持基于AKMA的应用层密钥生成机制;确定模块,被配置为根据所述第一能力参数和/或所述第二能力参数确定目标密钥生成机制,并通知终端,以使终端根据所述目标密钥生成机制,确定应用层密钥。
根据本公开的第五方面,提供一种应用层密钥确定的系统,所述系统包括:如上述实施例所述的终端和如上述实施例所述的应用层密钥服务网元。
根据本公开的第六方面,提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一实施例的方法。
根据本公开的第七方面,提供一种网络设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述任一实施例的方法。
本公开示例性实施例可以具有以下部分或全部有益效果:
在本公开示例实施方式所提供的应用层密钥确定方法中,可以通过探测终端的第一能力参数和/或第二能力参数,在应用服务器向终端上的应用返回访问响应消息时,向应用层密钥服务网元发送包括第一能力参数和/或第二能力参数的应用层密钥请求消息,以使应用层密钥服务网元根据所述第一能力参数和/或所述第二能力参数确定目标密钥生成机制,并通知终端,这样终端就可以根据目标密钥生成机制,确定应用层密钥。本公开能够根据终端的能力支持情况确定对应的应用层密钥生成机制,为运营商5G网络环境下的应用层密钥能力开放提供保障,提升用户体验。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出了根据本公开的一个实施例的应用层密钥确定方法的应用场景系统架构示意图。
图2示意性示出了根据本公开的一个实施例的应用层密钥确定方法的流程示意图之一。
图3示意性示出了根据本公开的一个实施例的应用层密钥确定方法的流程示意图之二。
图4示意性示出了根据本公开的一个实施例的应用层密钥确定方法的流程示意图之三。
图5示意性示出了根据本公开的一个实施例的应用层密钥确定方法的流程示意图之四。
图6示意性示出了根据本公开的一个实施例的应用层密钥确定的终端的结构框图。
图7示意性示出了根据本公开的一个实施例的应用层密钥确定的应用层密钥服务网元的结构框图。
图8示意性示出了根据本公开的一个实施例的示例性网络设备框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
参考图1,提供了本公开一种实施例的应用层密钥确定方法的系统架构图,该系统100包括GBA的网络侧架构110、AKMA的网络侧架构120、应用层密钥服务网元130、终端140和应用层服务器150,GBA的网络侧架构110用于实现基于GBA的应用层密钥生成机制的网络侧功能。AKMA的网络侧架构120用于实现基于AKMA的应用层密钥生成机制的网络侧功能。应用层密钥服务网元130是第三方应用获取应用层密钥服务的入口,可以用于确定终端的应用层密钥生成机制,并获取应用层密钥并分发给应用。应用服务器150用于提供应用服务,与应用客户端之间通过应用接口通信。终端140上可以安装第三方应用客户端,还可以包括应用层密钥中间功能模块,应用层密钥中间功能模块可以用于与应用客户端交互(如通过应用接口交互),为应用客户端提供应用层密钥;还可以用于与终端内的第一能力模块/第二能力模块交互,获取终端密钥服务能力支持情况;上报终端密钥服务能力支持情况给网络侧的应用层密钥服务网元。第一能力模块可以用于实现基于GBA的应用层密钥生成机制的终端侧功能,第二能力模块可以用于实现基于AKMA的应用层密钥生成机制的终端侧功能。第一能力模块和第二能力模块可以与终端的SIM卡交互。
GBA的网络侧架构110可以包括引导服务功能(Bootstrapping Server Function,BSF)网元和归属用户服务器(Home Subscriber Server,HSS)网元。BSF网元作为GBA中的锚点,用于从HSS获取鉴权向量进而完成对用户终端的验证,并利用AKA(Authentication andKey Agreement,认证与密钥协商)机制与HSS一起产生共享密钥。HSS网元用于产生AKA鉴权向量,并对终端和USIM进行身份认证,USIM用于产生共享密钥及应用外部密钥。
需要说明的是,BSF网元通过Ub接口与终端140通信,通过Zh接口与HSS网元通信,且BSF网元对终端140的认证是基于AKA协议进行的。
AKMA的网络侧架构120可以包括AKMA锚点功能(AKMA Anrchor Function,AAnF)网元、认证服务器功能(Authorization Server Function,AUSF)网元和统一数据管理(Unified Data Management,UDM)网元等。其中,AAnF网元是部署在归属网络里的锚点功能,为AKMA服务存储AKMA锚点密钥(KAKMA),在用户终端成功完成5G主认证之后由AUSF网元将该密钥KAKMA发送给AAnF网元;AUSF网元为5G系统的身份验证服务器功能网元。
需要说明的是,AAnF网元通过Naanf接口与AUSF网元通信,通过N62接口与AF网元通信。AUSF网元通过N13接口与UDM网元通信。
需要说明的是,本公开的应用层密钥服务网元130既可以具有GBA中的网络应用功能(Network Application Function,NAF)网元的功能,又可以具有AKMA中的应用功能(Application Function,AF)网元的功能。例如,在GBA架构中,应用层密钥服务网元130可以用于引导应用进行GBA认证、并从BSF网元获取共享密钥,产生应用与NAF之间的安全通信会话密钥;且可以通过Ua接口与终端140通信,通过Zn接口与BSF网元通信,通过应用接口与应用服务器通信。在AKMA架构中,应用层密钥服务网元130为第三方应用服务功能;可以通过Ua*接口与终端140通信,通过应用接口与应用服务器通信。
终端140可以是物联网终端,也可以是手机、蜂窝电话、无绳电话、会话发起协议(Session Initiation Protocol,SIP)电话、智能电话等,本示例对此不做限定。但是需要说明的是,这里的终端140支持全球用户识别(Universal Subscriber Identity Module,USIM),能够通过USIM卡实现基于长期演进(Long Term Evolution,LTE)网络的数据通信,且USIM卡内存储有与核心网共享的根密钥,作为终端140与网络的信任根,该根密钥可以用于生成终端140的共享密钥。
GBA(General Bootstrapping Architecture)是3GPP定义的一种基于3G/4G移动通信网络、轻量级的安全基础设施,可以为应用层业务提供统一的安全认证服务,利用AKA鉴权机制为应用和应用服务器之间建立安全通道密钥,再利用安全通道密钥为应用和应用服务器之间建立起安全通道,进行身份认证与安全通信。
5G AKMA是3GPP定义的一种基于5G网络、轻量级的安全基础设施,为应用层提供认证和安全通道密钥服务。AKMA功能不需要额外的UE认证,只需要重用5G主认证来认证UE,例如在UE注册期间执行5G主认证过程,通过安全通道密钥为应用和应用服务器之间进行安全通信提供保障。可以广泛应用于物联网应用和移动终端应用的接入等情况。
以上GBA和AKMA均可以基于运营商移动网络为应用客户端和服务器之间提供应用层安全通道密钥,但是,由于终端与卡的能力支持问题,无法选择具体使用哪种应用层密钥生成方式,不利于运营商网络能力开放。本公开针对该问题设计了一种应用层密钥确定方法。
以下对本公开实施例的技术方案进行详细阐述:
参考图2所示,本公开提供的一种示例实施方式的应用层密钥确定方法可以包括以下步骤S210-S220。
步骤S210,响应于接收到应用服务器返回的应用访问响应消息,向应用层密钥服务网元发送包括第一能力参数和/或第二能力参数的应用层密钥请求消息,以使应用层密钥服务网元根据第一能力参数和/或第二能力参数确定目标密钥生成机制,并通知终端。
在本示例实施方式中,第一能力参数用于指示终端是否支持基于通用引导架构GBA的第一应用层密钥生成机制。第二能力参数用于指示终端是否支持基于应用的认证与密钥管理AKMA的第二应用层密钥生成机制。
在本示例实施方式中,可以在终端增加第一能力参数和第二能力参数,再根据每个参数值确定终端的应用层密钥服务能力支持情况。
示例性地,第一能力参数为GBA capability参数,可以设置该参数的缺省值为“0”,表示终端不支持GBA应用层密钥服务能力;可以设置该参数值非0时,表示终端支持GBA应用层密钥服务能力。考虑到GBA支持用户卡内(gba_me)和用户卡外(gba_u)两种应用密钥生成机制,可以对该两种应用密钥生成机制分别设置不同的GBA capability参数值,例如,可以设置gba capability参数设置为“1”,表示仅支持gba_me;GBA capability参数为“2”,表示支持gba_me和gba_u两种方式。
第二能力参数为AKMA capability参数,可以设置该参数的缺省值为“0”,表示终端不支持AKMA应用层密钥服务能力;可以设置该参数值非0时,表示终端支持AKMA应用层密钥服务能力,例如,AKMA capability参数置“1”,表示支持AKMA应用层密钥服务能力。
在本示例实施方式中,终端上的应用客户端向应用服务器发送的业务访问请求,则应用服务器会向应用客户端返回应用访问响应消息,告知应用客户端需要生成应用层密钥。应用客户端可以调用应用层密钥中间功能模块获取第一能力参数或/和第二能力参数,再向应用层密钥服务网元发送包括第一能力参数和/或第二能力参数的应用层密钥请求消息,以获取目标密钥生成机制。
在本示例实施方式中,应用层密钥服务网元可以根据终端的应用层密钥能力支持情况确定目标密钥生成机制。例如,当终端支持多种应用层密钥能力时,可以根据当前BSF网元和AANF网元的载荷情况,在多个密钥生成机制中选择一个作为目标密钥生成机制。也可以根据多个密钥生成机制的安全性高低进行选择,也可以根据多个密钥生成机制的网络响应速度、复杂程度等进行选择,还可以根据以上至少两个因素结合来选择,例如,可以将网络侧载荷情况和安全性结合来选择,本示例对此不做限定。当终端支持的应用层密钥能力中包括多种密钥生成机制,则可以随机选择一种,也可以根据安全性、复杂程度等进行选择,也可以综合两种以上的因素进行结合选择,本示例对此不做限定。
步骤S220,根据目标密钥生成机制,确定应用层密钥。
在本示例实施方式中,目标密钥生成机制可以是:AKMA、gba_u或gba_me。示例性地,当目标密钥生成机制为第一应用层密钥生成机制AKMA,则调用第一能力模块的接口并利用认证与密钥协商AKA鉴权机制和归属用户服务器HSS网元共同产生应用层密钥。当目标密钥生成机制为第二应用层密钥生成机制(gba_u或gba_me),调用第二能力模块的接口获取密钥标识,并通过应用层密钥服务网元向AKMA锚点功能AAnF网元发送应用层密钥请求,以使AAnF网元根据密钥标识确定相应的AKMA锚点密钥并派生应用层密钥返回终端。
本公开实施例提供的通信网络应用层密钥确定方法中,可以通过探测终端的第一能力参数和/或第二能力参数,在应用服务器向终端上的应用返回访问响应消息时,向应用层密钥服务网元发送包括第一能力参数和/或第二能力参数的应用层密钥请求消息,以使应用层密钥服务网元根据第一能力参数和/或第二能力参数确定目标密钥生成机制,并通知终端,这样终端就可以根据目标密钥生成机制,确定应用层密钥。本公开能够根据终端的能力支持情况确定对应的应用层密钥生成机制,为运营商5G网络环境下的应用层密钥能力开放提供保障,提升用户体验。
在一些实施例中,参考图3,终端包括第一能力模块和/或第二能力模块,方法还包括:通过第一能力模块配置第一能力参数;和/或,第二能力模块向SIM卡发送能力查询命令,并根据SIM卡的返回信息配置第二能力参数。
在本示例实施方式中,第一能力模块可以是GBA能力模块,第二能力模块可以是AKMA能力模块,终端可以只具有以上任一能力模块,也可以同时具有两个能力模块。
在本示例实施方式中,当终端具有第一能力模块(GBA能力模块),则在终端接入5G网络注册成功后,则GBA能力模块启动运行,发送GBA能力查询命令到SIM卡,如果SIM卡不支持gba_u,返回查询结果为“false”,GBA能力模块将gba capability参数置“1”,表示仅支持gba_me;如果SIM卡支持gba_u,返回查询结果为“true”,GBA能力模块将gba capability参数置“2”,表示支持gba_me和gba_u两种方式。需要说明的是,如果终端包含有GBA能力模块,则默认支持gba_me密钥服务方式。
在本示例实施方式中,当终端具有第二能力模块(AKMA能力模块),终端接入5G网络注册成功后,则AKMA能力模块启动运行进行锚点密钥KAKMA推衍和锚定流程,并将AKMAcapability参数置“1”,即支持AKMA能力。
在本示例实施方式中,应用需要应用层密钥服务时,可以通过终端的应用层密钥中间功能模块与AKMA能力模块及GBA能力模块交互,获取终端密钥服务能力支持情况(第一能力参数和第二能力参数),上传给网络侧的应用层密钥服务网元。
参考图3,基于相同的发明思路,在本公开的另一些实施例中,提供了一种应用层密钥生成方法,应用于应用层密钥服务网元,方法包括步骤S310和S320。
步骤S310,接收终端发送的应用层密钥请求消息,应用层密钥请求消息包括第一能力参数和/或第二能力参数,第一能力参数用于指示终端是否支持基于GBA的应用层密钥生成机制,第二能力参数用于指示终端是否支持基于AKMA的应用层密钥生成机制。
步骤S320,根据第一能力参数和/或第二能力参数确定目标密钥生成机制,并通知终端,以使终端根据目标密钥生成机制,确定应用层密钥。
在一些实施例中,根据第一能力参数和/或第二能力参数确定目标密钥生成机制,包括:
根据第一能力参数和/或第二能力参数,确定终端支持的密钥生成机制。
当终端支持第一应用层密钥生成机制和第二应用层密钥生成机制,分别向引导服务功能BSF网元和AAnF网元获取当前各自的载荷信息;响应于载荷信息的比较结果,确定目标密钥生成机制。
当终端支持第一应用层密钥生成机制或第二应用层密钥生成机制,确定该终端支持的应用层密钥生成机制为目标密钥生成机制。
在一些实施例中,第一应用层密钥生成机制包括用户卡内的第三应用层密钥生成机制和用户卡外的第四应用层密钥生成机制;确定目标密钥生成机制,包括:
当终端支持第三应用层密钥生成机制和第四应用层密钥生成机制,根据第三应用层密钥生成机制和第四应用层密钥生成机制的安全性信息,确定目标密钥生成机制;
当终端支持第三应用层密钥生成机制或第四应用层密钥生成机制,确定该终端支持的应用层密钥生成机制为目标密钥生成机制。
在以上实施例中,第一应用层密钥生成机制为GBA应用层密钥生成机制,GBA应用层密钥生成包括用户卡内的第三应用层密钥生成机制(gba_me)和用户卡外的第四应用层密钥生成机制(gba_u)。第二应用层密钥生成机制为AKMA应用层密钥生成机制。
应用层密钥服务网元确定目标密钥生成机制可以为以下任一种:
当终端只支持一种(如AKMA或gba_me)时,可以直接选择该密钥生成机制为应用提供应用层密钥。
当终端支持AKMA和gba_me两种时:可以向BSF网元和AAnF网元获取当前的各自的载荷情况,选择载荷相对低的网元对应的密钥生成机制为应用提供应用层密钥。
当终端支持gba_u和gba_me两种时:可以选择安全性更高的gba_u密钥生成机制为应用提供应用层密钥。
当终端支持AKMA、gba_u和gba_me三种时:可以向BSF网元和AAnF网元获取当前的各自载荷情况,选择载荷相对低的网元对应的密钥生成机制为应用提供应用层密钥。如果BSF网元载荷较低,则选择gba_u密钥生成机制为应用提供应用层密钥。
参考图4,为本公开一种实施例的应用层密钥确定方法的具体流程,以终端支持AKMA和gba_me两种方式,最终选择gba_me为例可以包括步骤S401-S423。
步骤S401,终端开机,接入5G网络注册成功。
步骤S402,AKMA能力模块启动运行锚点密钥KAKMA推衍和锚定流程,并将AKMAcapability参数置“1”,即支持AKMA能力。
步骤S403,GBA能力模块启动运行,发送GBA能力查询命令到SIM卡,SIM卡不支持gba_u,返回查询结果为“false”,GBA能力模块将gba capability参数设置为“1”,表示仅支持gba_me。
步骤S404,应用客户端向应用服务器发送业务访问请求。
步骤S405,应用服务器向应用客户端返回访问响应消息,告知要求生成应用层密钥。本示例中,访问响应消息携带应用层密钥服务网元的域名信息。
步骤S406,应用客户端调用应用层密钥中间功能模块,请求应用层密钥,该请求携带应用标识ID。
步骤S407,应用层密钥中间功能模块获取终端的AKMAcapability参数和GBAcapability参数。
步骤S408,应用层密钥中间功能模块向应用层密钥服务网元发起应用层密钥请求,该请求可以携带应用ID、AKMAcapability参数和GBA capability参数等信息。
步骤S409,应用层密钥服务网元分别向BSF网元和AAnF网元获取载荷信息,通过比较二者的载荷情况,并根据终端AKMAcapability参数和GBA capability参数信息确定目标密钥生成机制。例如,确定目标密钥生成机制gba_me方式。
步骤S410,应用层密钥服务网元通知终端侧应用层密钥中间功能模块目标密钥生成机制(gba_me)。
步骤S411,终端侧应用层密钥中间功能模块携带应用ID调用GBA能力模块的接口。
步骤S412,GBA能力模块与BSF网元、HSS网元交互,进行双向GBA认证与鉴权。
步骤S413,BSF网元生成共享密匙Ks密钥和B-TID标识,并携带B-TID标识返回GBA认证鉴权响应给终端GBA能力模块。
步骤S414,终端GBA能力模块生成共享密匙Ks,并按照gba_me方式派生出应用层密钥(即会话密钥)。
步骤S415,终端GBA能力模块返回GBA接口调用响应给应用层密钥中间功能模块,该响应携带应用层密钥和B-TID标识。
步骤S416,终端应用层密钥中间功能模块将应用层密钥生成结果通知给应用层密钥服务网元,携带事物标识(Bootstrapping-Transaction Identifier,B-TID);B-TID可以由BSF网元根据一个随机数RAND和BSF网元的服务器名获得,B-TID用于标识终端对应的该次引导事件,以便后续流程中应用层密钥服务网元能够根据B-TID获取对应的密钥信息。
步骤S417,应用层密钥服务网元携带B-TID标识和目标应用层密钥生成机制向BSF网元请求应用层密钥。
步骤S418,BSF网元按照gba_me方式通过共享密匙Ks派生出应用层密钥,并返回给应用层密钥服务网元。
步骤S419,应用层密钥服务网元返回密钥请求的响应给终端的应用层密钥中间功能模块。
步骤S420,终端的应用层密钥中间功能模块返回应用层密钥和B-TID标识给应用客户端。
步骤S421,应用客户端将应用层密钥生成结果通知给应用服务器,该通知携带B-TID标识。
步骤S422,应用服务器携带B-TID标识向应用层密钥服务网元获取应用层密钥。
步骤S423,应用客户端与应用服务器之间建立基于应用层密钥的应用层安全通道。
参考图5,为本公开另一种实施例的应用层密钥确定方法的具体流程,以终端支持AKMA、gba_u和gba_me三种方式,最终选择AKMA为例,本示例中,主认证鉴权过程中由UDM提供鉴权向量。可以包括步骤S501-S522。
步骤S501,终端开机接入5G网络注册成功。
步骤S502,AKMA能力模块启动运行进行锚点密钥KAKMA推衍和锚定流程,并将AKMAcapability参数置“1”,即支持AKMA能力。
步骤S503,GBA能力模块启动运行,发送GBA能力查询命令到SIM卡,SIM卡支持gba_u,返回查询结果为“true”,GBA能力模块将gba capability参数设置为“2”,表示支持gba_me和gba_u。
步骤S504,应用客户端向应用服务器发送业务访问请求。
步骤S505,应用服务器向应用客户端返回访问响应消息,告知要求生成应用层密钥。本示例中,访问响应消息携带应用层密钥服务网元的域名信息。
步骤S506,应用客户端调用应用层密钥中间功能模块,请求应用层密钥,该请求携带应用标识ID。
步骤S507,应用层密钥中间功能模块获取终端的AKMA capability参数和GBAcapability参数。
步骤S508,终端侧应用层密钥中间功能模块向应用层密钥服务网元发起应用层密钥的请求,该请求携带应用ID、AKMA capability参数和GBA capability参数等信息。
步骤S509,应用层密钥服务网元分别向BSF网元和AAnF网元获取载荷信息,比较二者载荷情况,并根据终端AKMA capability和GBA capability参数信息确定目标密钥生成机制,例如,确定目标密钥生成机制为AKMA方式。
步骤S510,应用层密钥服务网元通知终端侧应用层密钥中间功能模块选择AKMA方式的应用层密钥生成机制。
步骤S511,终端侧应用层密钥中间功能模块携带应用ID调用AKMA能力模块的接口获取密钥标识AK-ID。
步骤S512,终端侧应用层密钥中间功能模块发送应用ID和AK-ID标识信息给应用层密钥服务网元。
步骤S513,应用层密钥服务网元携带应用ID和AK-ID标识向AAnF网元请求应用层密钥。
步骤S514,AAnF网元根据AK-ID标识找到相应的锚点密钥KAKMA,并派生出应用层密钥Kaf,返回给应用层密钥服务网元。
步骤S515,应用层密钥服务网元向终端侧应用层密钥中间功能模块返回请求应用层密钥响应。
步骤S516,终端侧应用层密钥中间功能模块收到响应后,向终端AKMA能力模块请求应用层密钥,携带AK-ID和应用ID标识。
步骤S517,终端AKMA能力模块根据AK-ID在本地查询UE在5G网络注册主认证时生成的KAKMA,并采用与AAnF网元相同的参数和算法推衍出应用层密钥Kaf。
步骤S518,终端AKMA能力模块返回应用层密钥Kaf给应用层密钥中间功能模块。
步骤S519,应用层密钥中间功能模块返回应用层密钥Kaf和AK-ID给应用客户端。
步骤S520,应用客户端携带密钥标识AK-ID通知应用服务器关于生成应用层密钥的结果。
步骤S521,应用服务器携带AK-ID向应用层密钥服务网元获取应用层密钥Kaf。
步骤S522,应用客户端与应用服务器建立基于应用层密钥Kaf的安全通信。
上述实施例中各个步骤的详细介绍可以参照前述实施例中的相应描述,此处不再赘述。
针对移动互联网应用在利用运营商5G网络的应用层密钥开放能力时,由于终端与SIM卡的能力支持问题,无法选择应用层密钥生成方式,而不同的应用层密钥生成方式在架构、流程及接口方面都存在明显差异,不利于运营商网络能力开放的问题。
本公开终端在接入5G网络注册时,应用层密钥中间件通过与GBA能力模块和AKMA能力模块交互,获取终端自身关于应用层密钥服务的能力情况;应用需要应用层密钥服务时,终端的应用层密钥中间功能模块将密钥服务能力支持情况上传给网络侧的应用层密钥服务网元;应用层密钥服务网元结合5G相关网元的负载情况选择合适的应用层密钥服务,从而,提升运营商移动网络应用层密钥能力开放的便利性。
本公开一方面通过在终端侧增加第一能力参数和第二能力参数,便于后续网络侧获取终端的服务能力支持情况,巧妙的利用能力参数来传输终端的应用层密钥生成机制的支持情况,避免对终端的硬件改动或网络侧的架构改动,便于方案实施落地。另一方面,通过向BSF网元和AAnF网元获取当前各自的载荷情况,再结合上报的终端密钥服务能力情况,为应用确定一种合适的密钥服务方式,可以降低由于应用层密钥生成和基于此建立安全会话通信给网络侧带来拥堵的风险,能够在保证应用于应用服务器安全通信的同时,尽可能的降低网络拥堵的风险,保证通信流畅性。此外,本公开可以提升运营商基于5G网络的应用层密钥能力向第三方应用开放的便利性,从而吸引更多的第三方应用合作方。
本公开可以用于基于5G组网环境下,运营商向第三方手机应用客户端提供应用层密钥能力开放的服务。
参见图6,本示例实施方式中还提供了一种应用层密钥确定的终端600,终端600可以包括:发送模块610和确定模块620;发送模块610,被配置为响应于接收到应用服务器返回的应用访问响应消息,向应用层密钥服务网元发送包括第一能力参数和/或第二能力参数的应用层密钥请求消息,以使应用层密钥服务网元根据第一能力参数和/或第二能力参数确定目标密钥生成机制,并通知终端;第一能力参数用于指示终端是否支持基于通用引导架构GBA的第一应用层密钥生成机制,第二能力参数用于指示终端是否支持基于应用的认证与密钥管理AKMA的第二应用层密钥生成机制;确定模块620,被配置为根据目标密钥生成机制,确定应用层密钥。
在本公开的一个实施例中,终端600还包括第一能力模块和/或第二能力模块,第一能力模块被配置为配置第一能力参数;和/或,第二能力模块被配置为向SIM卡发送能力查询命令,并根据SIM卡的返回信息配置第二能力参数。
在本公开的一个实施例中,确定模块620还被配置为:当目标密钥生成机制为第一应用层密钥生成机制,调用第一能力模块的接口并利用认证与密钥协商AKA鉴权机制和归属用户服务器HSS网元共同产生应用层密钥;当目标密钥生成机制为第二应用层密钥生成机制,调用第二能力模块的接口获取密钥标识,并通过应用层密钥服务网元向AKMA锚点功能AAnF网元发送应用层密钥请求,以使AAnF网元根据密钥标识确定相应的AKMA锚点密钥并派生应用层密钥返回终端。
上述实施例中的终端中涉及的各个模块/单元的具体细节已经在对应的应用层密钥确定方法中进行了详细的描述,因此此处不再赘述。
参见图7,本示例实施方式中还提供了一种应用层密钥确定的应用层密钥服务网元700,应用层密钥服务网元700可以包括:接收模块710和确定模块720;接收模块710,被配置为接收终端发送的应用层密钥请求消息,应用层密钥请求消息包括第一能力参数和/或第二能力参数,第一能力参数用于指示终端是否支持基于GBA的应用层密钥生成机制,第二能力参数用于指示终端是否支持基于AKMA的应用层密钥生成机制;确定模块720,被配置为根据第一能力参数和/或第二能力参数确定目标密钥生成机制,并通知终端,以使终端根据目标密钥生成机制,确定应用层密钥。
在本公开的一个实施例中,确定模块720还被配置为:根据第一能力参数和/或第二能力参数,确定终端支持的密钥生成机制;当终端支持第一应用层密钥生成机制和第二应用层密钥生成机制,分别向引导服务功能BSF网元和AAnF网元获取当前各自的载荷信息;响应于载荷信息的比较结果,确定目标密钥生成机制;当终端支持第一应用层密钥生成机制或第二应用层密钥生成机制,确定该终端支持的应用层密钥生成机制为目标密钥生成机制。
在本公开的一个实施例中,第一应用层密钥生成机制包括用户卡内的第三应用层密钥生成机制和用户卡外的第四应用层密钥生成机制;确定模块还被配置为:当终端支持第三应用层密钥生成机制和第四应用层密钥生成机制,根据第三应用层密钥生成机制和第四应用层密钥生成机制的安全性信息,确定目标密钥生成机制;当终端支持第三应用层密钥生成机制或第四应用层密钥生成机制,确定该终端支持的应用层密钥生成机制为目标密钥生成机制。
上述实施例中的应用层密钥服务网元中涉及的各个模块/单元的具体细节已经在对应的应用层密钥确定方法中进行了详细的描述,因此此处不再赘述。
本示例实施方式中还提供了一种应用层密钥确定的系统,系统包括:上述实施例中的终端和上述实施例中的应用层密钥服务网元。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备实现如下述实施例中的方法。例如,设备可以实现如图2-图5所示的各个步骤等。
需要说明的是,本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
此外,在本公开的示例性实施例中,还提供了一种能够实现上述方法的设备。所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施例、完全的软件实施例(包括固件、微代码等),或硬件和软件方面结合的实施例,这里可以统称为“电路”、“模块”或“系统”。
参见图8,图8是本申请实施例提供的一种网络设备的结构示意图。如图8所示,该网络设备800包括处理器810、存储器820、收发器830以及通信总线840。处理器810连接到存储器820和收发器830,例如处理器810可以通过通信总线840连接到存储器820和收发器830。处理器810被配置为支持该网络设备执行图2-图5中应用层密钥确定方法中相应的功能。该处理器810可以是中央处理器(Central Processing Unit,CPU),网络处理器(Network Processor,NP),硬件芯片或者其任意组合。上述硬件芯片可以是专用集成电路(Application-Specific Integrated Circuit,ASIC),可编程逻辑器件(ProgrammableLogic Device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(ComplexProgrammable Logic Device,CPLD),现场可编程逻辑门阵列(Field-Programmable GateArray,FPGA),通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。存储器820用于存储程序代码等。存储器820可以包括易失性存储器(VolatileMemory,VM),例如随机存取存储器(Random Access Memory,RAM);存储器820也可以包括非易失性存储器(Non-VolatileMemory,NVM),例如只读存储器(Read-Only Memory,ROM),快闪存储器(flash memory),硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);存储器820还可以包括上述种类的存储器的组合。
该收发器830用于输入或输出数据。
处理器810可以调用上述程序代码以执行以下操作:
响应于接收到应用服务器返回的应用访问响应消息,向应用层密钥服务网元发送包括第一能力参数和/或第二能力参数的应用层密钥请求消息,以使应用层密钥服务网元根据第一能力参数和/或第二能力参数确定目标密钥生成机制,并通知终端;第一能力参数用于指示终端是否支持基于通用引导架构GBA的第一应用层密钥生成机制,第二能力参数用于指示终端是否支持基于应用的认证与密钥管理AKMA的第二应用层密钥生成机制;根据目标密钥生成机制,确定应用层密钥。
可选的,上述处理器810还可以执行以下操作:
通过第一能力模块配置第一能力参数;和/或,第二能力模块向SIM卡发送能力查询命令,并根据SIM卡的返回信息配置第二能力参数。
可选的,上述处理器810还可以根据目标密钥生成机制,确定应用层密钥,执行以下操作:
当目标密钥生成机制为第一应用层密钥生成机制,调用第一能力模块的接口并利用认证与密钥协商AKA鉴权机制和归属用户服务器HSS网元共同产生应用层密钥;当目标密钥生成机制为第二应用层密钥生成机制,调用第二能力模块的接口获取密钥标识,并通过应用层密钥服务网元向AKMA锚点功能AAnF网元发送应用层密钥请求,以使AAnF网元根据密钥标识确定相应的AKMA锚点密钥并派生应用层密钥返回终端。
在另一种实施例中,基于相同的发明构思,上述处理器810可以执行以下操作:
接收终端发送的应用层密钥请求消息,应用层密钥请求消息包括第一能力参数和/或第二能力参数,第一能力参数用于指示终端是否支持基于GBA的应用层密钥生成机制,第二能力参数用于指示终端是否支持基于AKMA的应用层密钥生成机制;根据第一能力参数和/或第二能力参数确定目标密钥生成机制,并通知终端,以使终端根据目标密钥生成机制,确定应用层密钥。
可选地,上述处理器810还可以根据第一能力参数和/或第二能力参数确定目标密钥生成机制,执行以下操作:
根据第一能力参数和/或第二能力参数,确定终端支持的密钥生成机制;当终端支持第一应用层密钥生成机制和第二应用层密钥生成机制,分别向引导服务功能BSF网元和AAnF网元获取当前各自的载荷信息;响应于载荷信息的比较结果,确定目标密钥生成机制;当终端支持第一应用层密钥生成机制或第二应用层密钥生成机制,确定该终端支持的应用层密钥生成机制为目标密钥生成机制。
可选地,第一应用层密钥生成机制包括用户卡内的第三应用层密钥生成机制和用户卡外的第四应用层密钥生成机制;上述处理器810还可以确定目标密钥生成机制,执行以下操作:
当终端支持第三应用层密钥生成机制和第四应用层密钥生成机制,根据第三应用层密钥生成机制和第四应用层密钥生成机制的安全性信息,确定目标密钥生成机制;当终端支持第三应用层密钥生成机制或第四应用层密钥生成机制,确定该终端支持的应用层密钥生成机制为目标密钥生成机制。
需要说明的是,各个操作的实现还可以对应参照图2-图5所示的方法实施例的相应描述;上述处理器810还可以与收发器830配合执行上述方法实施例中的其他操作。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台设备执行根据本公开实施例的方法。
此外,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
需要说明的是,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等,均应视为本公开的一部分。
应可理解的是,本说明书公开和限定的本公开延伸到文中和/或附图中提到或明显的两个或两个以上单独特征的所有可替代组合。所有这些不同的组合构成本公开的多个可替代方面。本说明书的实施方式说明了已知用于实现本公开的最佳方式,并且将使本领域技术人员能够利用本公开。

Claims (11)

1.一种应用层密钥确定方法,应用于终端,其特征在于,所述方法包括:
响应于接收到应用服务器返回的应用访问响应消息,向应用层密钥服务网元发送包括第一能力参数和/或第二能力参数的应用层密钥请求消息,以使应用层密钥服务网元根据所述第一能力参数和/或所述第二能力参数确定目标密钥生成机制,并通知终端;所述第一能力参数用于指示终端是否支持基于通用引导架构GBA的第一应用层密钥生成机制,所述第二能力参数用于指示终端是否支持基于应用的认证与密钥管理AKMA的第二应用层密钥生成机制;
根据所述目标密钥生成机制,确定应用层密钥。
2.根据权利要求1所述的方法,其特征在于,所述终端包括第一能力模块和/或第二能力模块,所述方法还包括:
通过所述第一能力模块配置第一能力参数;
和/或,
所述第二能力模块向SIM卡发送能力查询命令,并根据SIM卡的返回信息配置第二能力参数。
3.根据权利要求2所述的方法,其特征在于,所述根据所述目标密钥生成机制,确定应用层密钥,包括:
当目标密钥生成机制为第一应用层密钥生成机制,调用所述第一能力模块的接口并利用认证与密钥协商AKA鉴权机制和归属用户服务器HSS网元共同产生应用层密钥;
当目标密钥生成机制为第二应用层密钥生成机制,调用所述第二能力模块的接口获取密钥标识,并通过应用层密钥服务网元向AKMA锚点功能AAnF网元发送应用层密钥请求,以使AAnF网元根据密钥标识确定相应的AKMA锚点密钥并派生应用层密钥返回终端。
4.一种应用层密钥生成方法,应用于应用层密钥服务网元,其特征在于,所述方法包括:
接收终端发送的应用层密钥请求消息,所述应用层密钥请求消息包括第一能力参数和/或第二能力参数,所述第一能力参数用于指示终端是否支持基于GBA的第一应用层密钥生成机制,所述第二能力参数用于指示终端是否支持基于AKMA的第二应用层密钥生成机制;
根据所述第一能力参数和/或所述第二能力参数确定目标密钥生成机制,并通知终端,以使终端根据所述目标密钥生成机制,确定应用层密钥。
5.根据权利要求4所述的方法,其特征在于,所述根据所述第一能力参数和/或所述第二能力参数确定目标密钥生成机制,包括:
根据所述第一能力参数和/或第二能力参数,确定终端支持的密钥生成机制;
当终端支持所述第一应用层密钥生成机制和所述第二应用层密钥生成机制,分别向引导服务功能BSF网元和AAnF网元获取当前各自的载荷信息;响应于所述载荷信息的比较结果,确定目标密钥生成机制;
当终端支持所述第一应用层密钥生成机制或所述第二应用层密钥生成机制,确定该终端支持的应用层密钥生成机制为目标密钥生成机制。
6.根据权利要求5所述的方法,其特征在于,所述第一应用层密钥生成机制包括用户卡内的第三应用层密钥生成机制和用户卡外的第四应用层密钥生成机制;所述确定目标密钥生成机制,包括:
当终端支持所述第三应用层密钥生成机制和所述第四应用层密钥生成机制,根据所述第三应用层密钥生成机制和所述第四应用层密钥生成机制的安全性信息,确定目标密钥生成机制;
当终端支持所述第三应用层密钥生成机制或所述第四应用层密钥生成机制,确定该终端支持的应用层密钥生成机制为目标密钥生成机制。
7.一种应用层密钥确定的终端,其特征在于,所述终端包括:
发送模块,被配置为响应于接收到应用服务器返回的应用访问响应消息,向应用层密钥服务网元发送包括第一能力参数和/或第二能力参数的应用层密钥请求消息,以使应用层密钥服务网元根据所述第一能力参数和/或所述第二能力参数确定目标密钥生成机制,并通知终端;所述第一能力参数用于指示终端是否支持基于通用引导架构GBA的第一应用层密钥生成机制,所述第二能力参数用于指示终端是否支持基于应用的认证与密钥管理AKMA的第二应用层密钥生成机制;
确定模块,被配置为根据所述目标密钥生成机制,确定应用层密钥。
8.一种应用层密钥确定的应用层密钥服务网元,其特征在于,所述网元包括:
接收模块,被配置为接收终端发送的应用层密钥请求消息,所述应用层密钥请求消息包括第一能力参数和/或第二能力参数,所述第一能力参数用于指示终端是否支持基于GBA的应用层密钥生成机制,所述第二能力参数用于指示终端是否支持基于AKMA的应用层密钥生成机制;
确定模块,被配置为根据所述第一能力参数和/或所述第二能力参数确定目标密钥生成机制,并通知终端,以使终端根据所述目标密钥生成机制,确定应用层密钥。
9.一种应用层密钥确定的系统,其特征在于,所述系统包括:如权利要求7所述的终端和如权利要求8所述的应用层密钥服务网元。
10.一种网络设备,其特征在于,包括:处理器;以及
存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1-6任一项所述的方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-6任一项所述的方法。
CN202210956488.XA 2022-08-10 2022-08-10 应用层密钥确定的方法、终端及网络侧设备 Pending CN117641337A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210956488.XA CN117641337A (zh) 2022-08-10 2022-08-10 应用层密钥确定的方法、终端及网络侧设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210956488.XA CN117641337A (zh) 2022-08-10 2022-08-10 应用层密钥确定的方法、终端及网络侧设备

Publications (1)

Publication Number Publication Date
CN117641337A true CN117641337A (zh) 2024-03-01

Family

ID=90023888

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210956488.XA Pending CN117641337A (zh) 2022-08-10 2022-08-10 应用层密钥确定的方法、终端及网络侧设备

Country Status (1)

Country Link
CN (1) CN117641337A (zh)

Similar Documents

Publication Publication Date Title
US11736519B2 (en) Mobile communication method, apparatus, and device
US11451950B2 (en) Indirect registration method and apparatus
AU2018212610B2 (en) Security context handling in 5g during idle mode
US20200128614A1 (en) Session processing method and device
CN110167025B (zh) 一种通信方法及通信装置
EP3668042A1 (en) Registration method and apparatus based on service-oriented architecture
KR102408155B1 (ko) 비밀 식별자를 사용하는 사용자 장비에 관련된 동작
CN108683690B (zh) 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质
US11690002B2 (en) Communication method and communications apparatus
EP3860176B1 (en) Method, apparatus, and system for obtaining capability information of terminal
US20190349406A1 (en) Method, Apparatus, And System For Protecting Data
CN110366204B (zh) 通信方法和通信装置
US20230232228A1 (en) Method and apparatus for establishing secure communication
WO2022247812A1 (zh) 一种鉴权方法、通信装置和系统
CN112492592A (zh) 一种多个nrf场景下的授权方法
CN110858991B (zh) 通信方法和设备
CN111866870A (zh) 密钥的管理方法和装置
CN112788598B (zh) 一种保护认证流程中参数的方法及装置
EP4037368A1 (en) Communication method and communication device
CN117641337A (zh) 应用层密钥确定的方法、终端及网络侧设备
CN110933591B (zh) 认证方法、设备及系统
CN112469043B (zh) 一种鉴权的方法及装置
CN116567590A (zh) 授权方法及装置
CN117641311A (zh) 通信方法和通信装置
CN115915114A (zh) 注册方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination