CN118020330A - 使用应用的认证及密钥管理实现漫游 - Google Patents
使用应用的认证及密钥管理实现漫游 Download PDFInfo
- Publication number
- CN118020330A CN118020330A CN202280064595.XA CN202280064595A CN118020330A CN 118020330 A CN118020330 A CN 118020330A CN 202280064595 A CN202280064595 A CN 202280064595A CN 118020330 A CN118020330 A CN 118020330A
- Authority
- CN
- China
- Prior art keywords
- network
- akma
- key
- function
- serving network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 91
- 230000004044 response Effects 0.000 claims description 62
- 230000006870 function Effects 0.000 description 129
- 238000004891 communication Methods 0.000 description 53
- 238000007726 management method Methods 0.000 description 52
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 37
- 230000008569 process Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 18
- 238000012545 processing Methods 0.000 description 14
- 230000001413 cellular effect Effects 0.000 description 13
- 238000001228 spectrum Methods 0.000 description 10
- 239000008186 active pharmaceutical agent Substances 0.000 description 7
- 239000000463 material Substances 0.000 description 7
- 238000010295 mobile communication Methods 0.000 description 7
- 230000000977 initiatory effect Effects 0.000 description 5
- 241000700159 Rattus Species 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000013468 resource allocation Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 239000004984 smart glass Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/80—Arrangements enabling lawful interception [LI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开用于使用应用的认证及密钥管理实现漫游的设备、方法及系统。一种设备(800)包含确定用户装备(“UE”)装置的服务网络的处理器(805),所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”)。所述处理器(805)选择所述服务网络内的网络功能用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文。所述设备(800)包含向所述网络功能发送所述安全上下文的收发器(825)。
Description
相关申请案的交叉引用
本申请案要求安德烈亚斯·昆兹(Andreas Kunz)等人于2021年10月29日申请的标题为“使用应用的认证及密钥管理实现漫游(ENABLING ROAMING WITH AUTHENTICATIONAND KEY MANAGEMENT FOR APPLICATIONS)”的第17/515,238号美国专利申请案的优先权,所述申请案的全部内容以引用的方式并入本文中。
技术领域
本文所公开的标的物大体上涉及无线通信,且更特定来说涉及使用应用的认证及密钥管理实现漫游。
背景技术
在无线网络中,非位于同一网络中的UE与应用功能(“AF”)之间的数据流量使用应用的认证及密钥管理(“AKMA”)特征进行安全保护。因此,无法执行合法监听。
发明内容
公开使用应用的认证及密钥管理实现漫游的过程。所述过程可通过设备、系统、方法及/或计算机程序产品实施。
在一个实施例中,一种第一设备包含确定用户装备(“UE”)装置的服务网络的处理器,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”)。在一个实施例中,所述处理器选择所述服务网络内的网络功能用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文。在一个实施例中,所述第一设备包含向所述网络功能发送所述安全上下文的收发器。
在一个实施例中,一种第一方法包含确定用户装备(“UE”)装置的服务网络,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”)。在一个实施例中,所述第一方法包含选择所述服务网络内的网络功能用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文。在一个实施例中,所述第一方法包含向所述网络功能发送所述安全上下文。
在一个实施例中,一种第二设备包含在用户装备(“UE”)装置的服务网络的网络功能处接收密钥请求的收发器,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”),密钥注册请求用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文以用于在所述UE与所述AF之间建立连接。在一个实施例中,所述收发器向所述HPLMN的网络功能发送密钥响应。
在一个实施例中,一种第二方法包含在用户装备(“UE”)装置的服务网络的网络功能处接收密钥请求,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”),密钥注册请求用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文以用于在所述UE与所述AF之间建立连接。在一个实施例中,所述第二方法包含向所述HPLMN的网络功能发送密钥响应。
附图说明
上文简要描述的实施例的更具体描述将通过参考附图中说明的具体实施例来呈现。在理解这些图示仅描绘一些实施例且因此不应被视为限制范围的情况下,将通过使用附图来对实施例进行更具体且详细的描述及解释,其中:
图1是说明用于使用应用的认证及密钥管理实现漫游的无线通信系统的一个实施例的示意性框图;
图2描绘在应用会话建立请求时用于对V-AAnF进行密钥提供的过程流程;
图3描绘在AKMA密钥生成时用于对V-AAnF进行密钥提供的过程流程;
图4描绘在AF提供之后用于对V-AAnF进行密钥提供的过程流程;
图5描绘用于提供服务网络名称的过程流程;
图6描绘用于提供服务网络名称及V-AAnF选择的过程流程;
图7是说明可用于使用应用的认证及密钥管理实现漫游的用户装备设备的一个实施例的框图;
图8是说明可用于使用应用的认证及密钥管理实现漫游的网络设备的一个实施例的框图;
图9是说明用于使用应用的认证及密钥管理实现漫游的方法的一个实施例的流程图;且
图10是说明用于使用应用的认证及密钥管理实现漫游的另一方法的一个实施例的流程图。
具体实施方式
如所属领域的技术人员将了解,实施例的方面可经体现为系统、设备、方法或程序产品。因此,实施例可采取完全硬件实施例、完全软件实施例(包含固件、常驻软件、微代码等)或组合软件及硬件方面的实施例的形式。
例如,所公开的实施例可经实施为硬件电路,其包括定制的超大规模集成(“VLSI”)电路或门阵列、现成半导体,例如逻辑芯片、晶体管或其它离散组件。所公开的实施例也可在例如现场可编程门阵列、可编程阵列逻辑、可编程逻辑装置等的可编程硬件装置中实施。作为另一实例,所公开的实施例可包含可执行代码的一或多个物理或逻辑块,其可例如被组织为对象、过程或功能。
此外,实施例可采取体现于存储机器可读代码、计算机可读代码及/或程序代码(在下文中被称为代码)的一或多个计算机可读存储装置中的程序产品的形式。存储装置可为有形的、非暂时性及/或非发射的。存储装置可不体现信号。在某一实施例中,存储装置仅采用用于接入代码的信号。
可利用一或多个计算机可读媒体的任何组合。计算机可读媒体可为计算机可读存储媒体。计算机可读存储媒体可为存储代码的存储装置。存储装置可为(例如(但不限于))电子、磁性、光学、电磁、红外、全息、微机械或半导体系统、设备或装置,或上述的任何适合组合。
存储装置的更具体实例(非详尽列表)将包含以下:具有一或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式光盘只读存储器(“CD-ROM”)、光学存储装置、磁性存储装置或上述的任何适合组合。在此文献的上下文中,计算机可读存储媒体可为可含有或存储程序以供指令执行系统、设备或装置使用或结合指令执行系统、设备或装置使用的任何有形媒体。
用于实行实施例的操作的代码可为任意行数,且可以一或多种编程语言的任何组合编写,包含面向对象的编程语言(例如Python、Ruby、Java、Smalltalk、C++等),及常规程序化编程语言(例如“C”编程语言等)及/或机器语言(例如汇编语言)。代码可完全在用户的计算机上,部分在用户的计算机上,作为独立软件包,部分在用户的计算机上且部分在远程计算机上或完全在远程计算机或服务器上执行。在后一种案例中,远程计算机可通过任何类型的网络(包含局域网(“LAN”)、无线LAN(“WLAN”)或广域网(“WAN”))连接到用户的计算机,或可连接到外部计算机(例如,通过使用互联网服务提供商(“ISP”)的互联网)。
此外,实施例的所述特征、结构或特性可以任何适合方式组合。在以下描述中,提供许多具体细节(例如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的实例)来提供实施例的透彻理解。然而,所属领域的技术人员将认识到,实施例可在无一或多个具体细节的情况下或使用其它方法、组件、材料等来实践。在其它例子中,未详细展示或描述熟知结构、材料或操作,以避免使实施例的方面不清楚。
贯穿本说明书提及“一个实施例”、“一项实施例”或类似语言意指结合实施例描述的特定特征、结构或特性被包含于至少一个实施例中。因此,短语“在一个实施例中”、“在一项实施例中”及类似语言贯穿本说明书的出现可(但不一定)全部指代同一实施例,而是意指“一或多个但非全部实施例”,除非另外明确指定。术语“包含”、“包括”、“具有”及其变体意指“包含但不限于”,除非另外明确指定。项目的枚举列表并不暗示任何或全部项目是互斥的,除非另外明确指定。术语“一”、“一个”及“所述”也指代“一或多个”,除非另外明确指定。
如在本文使用,具有连词“及/或”的列表包含列表中的任何单个项目或列表中的项目的组合。例如,A、B及/或C的列表包含仅A、仅B、仅C、A及B的组合、B及C的组合、A及C的组合或A、B及C的组合。如本文使用,使用术语“…中的一或多者”的列表包含列表中的任何单个项目或列表中的项目组合。例如,A、B及C中的一或多者包含仅A、仅B、仅C、A及B的组合、B及C的组合、A及C的组合或A、B及C的组合。如本文使用,使用术语“…中的一者”的列表包含列表中的任何单个项目中的一者且仅一者。例如,“A、B及C中的一者”包含仅A、仅B或仅C,并排除A、B及C的组合。如本文中使用,“选自由A、B及C构成的群组的成员”包含A、B或C中的一者且仅一者,并排除A、B及C的组合。如本文中使用,“选自由A、B及C及其组合构成的群组的成员”包含仅A、仅B、仅C、A及B的组合、B及C的组合、A及C的组合或A、B及C的组合。
下文参考根据实施例的方法、设备、系统及程序产品的示意性流程图及/或示意性框图描述实施例的方面。应理解,示意性流程图及/或示意性框图的每一框及示意性流程图及/或示意性框图中的框的组合可通过代码实施。可将此代码提供到通用计算机、专用计算机或其它可编程数据处理设备的处理器以产生机器,使得经由计算机的处理器或其它可编程数据处理设备执行的指令创建用于实施流程图及/或框图中指定的功能/动作的构件。
所述代码也可存储在存储装置中,所述代码可引导计算机、其它可编程数据处理设备或其它装置以特定方式起作用,使得存储在存储装置中的指令产生制品,包含实施流程图及/或框图中指定的功能/动作的指令。
代码也可被加载到计算机、其它可编程数据处理设备或其它装置上以使一系列操作步骤在所述计算机、其它可编程设备或其它装置上执行以产生计算机实施过程,使得在计算机或其它可编程设备上执行的代码提供用于实施流程图及/或框图中指定的功能/动作的过程。
图中的流程图及/或框图说明根据各种实施例的设备、系统、方法及程序产品的可能实施方案的架构、功能性及操作。在这方面,流程图及/或框图中的每个框可表示代码的模块、片段或部分,其包含用于实施(若干)经指定逻辑功能的代码的一或多个可执行指令。
还应注意,在一些替代实施方案中,框中提及的功能可不按图中提及的顺序出现。例如,事实上,取决于所涉及功能性,连续展示的两个框可大体上同时执行,或框有时可按相反顺序执行。可设想在功能、逻辑或效应上等效于所说明图的一或多个框或其部分的其它步骤及方法。
尽管流程图及/或框图中可采用各种箭头类型及线类型,但其被理解为不限制对应实施例的范围。实际上,一些箭头或其它连接符号可用于仅指示所描绘实施例的逻辑流程。例如,箭头可指示所描绘实施例的枚举步骤之间的未指定持续时间的等待或监测时段。还应注意,框图及/或流程图的每一框以及框图及/或流程图中的框的组合可由执行指定功能或动作的专用基于硬件的系统或专用硬件及代码的组合实施。
在每一图中,元件的描述可指代先前图的元件。在全部图中,相同数字指代相同元件,包含相同元件的替代实施例。
通常,本公开描述用于使用应用的认证及密钥管理实现漫游的系统、方法及设备。在某些实施例中,可使用嵌入在计算机可读媒体上的计算机代码执行方法。在某些实施例中,设备或系统可包含含有计算机可读代码的计算机可读媒体,所述计算机可读代码当由处理器执行时使设备或系统执行下文所描述的解决方案的至少一部分。
有关基于5G系统(“5GS”)中的3GPP凭证的应用的认证及密钥管理(“AKMA”)的当前规范3GPP TS 33.535(第17版)缺少漫游的特征。第4.4.0条“概述”涵盖以下注释——“本文档中不考虑漫游方面。”此外,在文档S3i200477中的合法监听(“LI”)规范组SA3-LI中提出并描述问题:
“与3G/4G对应GBA(TS 33.220)一样,AKMA通过在ME与VPLMN外部的点(例如,HPLMN中或外部OTT服务提供商处的点)之间创建经加密隧道而从USIM应用导出安全密钥,在大多数情况下,所述安全密钥可用于跨越VPLMN的加密。在这两种情况下,在没有进一步技术手段的情况下,其阻止LI按要求在VPLMN中发生。针对MNO在建立时已涉及的加密,存在提供经解密流量或解密流量的执法手段的LI要求。此要求适用于例如AKMA的机制,其中MNO涉及建立及分发用于加密的密钥材料。此外,当漫游时,LI需要能够在所涉及管辖区中的每一者中独立地执行。特定来说,需要在没有来自HPLMN的明确支持的情况下执行VPLMN中的LI的激活(否则其将泄露入站漫游者是VPLMN中的LI目标的信息)。
由于当前标准规范(例如,3GPP TS 33.535)中的AKMA的性质,在一个实施例中,UE总是建立到应用功能(“AF”)的安全隧道,无论其位于何处,且受访公共陆地移动网络(“VPLMN”)没有机会对流量执行LI。
在一个实施例中,本文所公开的标的物涉及一种UE,其在应用会话建立请求中向应用功能(“AF”)提供服务网络名称(“SN”),以便将密钥请求路由到VPLMN。在一个实施例中,AF基于SN在VPLMN中发现网络暴露功能(“NEF”),并经由NEF向受访AKMA锚点功能(“V-AAnF”)发送AKMA KAF请求。在一个实施例中,V-AANF基于A-KID的领域检测到归属公共陆地移动网络(“HPLMN”),并选择AAnF,并向HPLMN中的AAnF发送AKMA KAF请求。在一个实施例中,HPLMN中的AAnF验证请求并生成KAF,并向V-AAnF发送具有KAF、KAF期满时间(KAFexptime)及潜在的其它参数的响应。
在一个实施例中,本文所公开的标的物包含使用SN作为A-KID的领域的认证服务器功能(“AUSF”)及UE。在一个实施例中,AUSF基于UE的SN选择V-AAnF或AMF,并向服务网络中的V-AAnF或AMF提供AKMA安全上下文。在一个实施例中,服务网络中的AF基于A-KID的领域向服务网络中的NEF发送AKMA KAF请求。
在一个实施例中,本文所公开的标的物包含向AUSF/UDM查询服务网络名称的AAnF,或AAnF在与KAKMA一起的主认证之后检索服务网络名称。替代地,AAnF使用AKMA安全上下文从AUSF检索服务网络名称。在一个实施例中,AAnF基于服务网络名称选择V-AAnF。在一个实施例中,AAnF向V-AAnF提供AKMA安全上下文。
图1描绘根据本公开的实施例的用于使用应用的认证及密钥管理实现漫游的无线通信系统100。在一个实施例中,无线通信系统100包含至少一个远程单元105、第五代无线电接入网络(“5G-RAN”)115及移动核心网络140。5G-RAN 115及移动核心网络140形成移动通信网络。5G-RAN 115可由含有至少一个蜂窝基站单元121的第三代合作伙伴计划(“3GPP”)接入网络120及/或含有至少一个接入点131的非3GPP接入网络130组成。远程单元105使用3GPP通信链路123与3GPP接入网络120通信及/或使用非3GPP通信链路133与非3GPP接入网络130通信。尽管在图1中描绘特定数量的远程单元105、3GPP接入网络120、蜂窝基站单元121、3GPP通信链路123、非3GPP接入网络130、接入点131、非3GPP通信链路133及移动核心网络140,但所属领域的技术人员将认识到,在无线通信系统100中可包含任意数量的远程单元105、3GPP接入网络120、蜂窝基站单元121、3GPP通信链路123、非3GPP接入网络130、接入点131、非3GPP通信链路133及移动核心网络140。
在一个实施方案中,RAN 120兼容3GPP规范中指定的5G系统。例如,RAN 120可为实施NR无线电接入技术(“RAT”)及/或长期演进(“LTE”)RAT的下一代RAN(“NG-RAN”)。在另一实例中,RAN 120可包含非3GPP RAT(例如,或电气与电子工程师协会(“IEEE”)802.11族兼容WLAN)。在另一实施方案中,RAN 120兼容3GPP规范中指定的LTE系统。然而,更一般来说,无线通信系统100可实施一些其它开放或专有通信网络,例如全球微波接入互操作性(“WiMAX”)或IEEE 802.16族标准,及其它网络。本公开并不旨在限于任何特定无线通信系统架构或协议的实施方案。
在一个实施例中,远程单元105可包含计算装置,例如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能手机、智能电视(例如,连接到互联网的电视)、智能电器(例如,连到互联网的电器)、机顶盒、游戏控制台、安全系统(包含安全摄像头),车载计算机、网络装置(例如路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包含可穿戴装置,例如智能手表、健身手环、光学头戴式显示器等。此外,远程单元105可指用户装备(“UE”)、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、装置或所属领域中使用的其它术语。在各种实施例中,远程单元105包含订户身分及/或识别模块(“SIM”)以及提供移动终端功能(例如,无线电发射、切换、语音编码及解码、误差检测及校正、信令及对SIM的接入)的移动装备(“ME”)。在某些实施例中,远程单元105可包含终端装备(“TE”)及/或嵌入在电器或装置(例如,如上文所描述的计算装置)中。
远程单元105可经由UL及DL通信信号与3GPP接入网络120中的蜂窝基站单元121中的一或多者直接通信。此外,UL及DL通信信号可在3GPP通信链路123上载送。类似地,远程单元105可经由在非3GPP通信链路133上载送的UL及DL通信信号与非3GPP接入网络130中的一或多个接入点131通信。此处,接入网络120及130是向远程单元105提供对移动核心网络140的接入的中间网络。
在一些实施例中,远程单元105经由与移动核心网络140的网络连接与远程主机(例如,在数据网络150中或在数据网络160中)通信。例如,远程单元105中的应用程序107(例如,网络浏览器、媒体客户端、电话及/或互联网协议语音(“VoIP”)应用程序)可触发远程单元105以经由5G-RAN 115(即,经由3GPP接入网络120及/或非3GPP网络130)与移动核心网络140建立协议数据单元(“PDU”)会话(或其它数据连接)。然后,移动核心网络140使用PDU会话在远程单元105与远程主机之间中继流量。PDU会话表示远程单元105与用户平面功能(“UPF”)141之间的逻辑连接。
为了建立PDU会话(或分组数据网络(“PDN”)连接),远程单元105必须向移动核心网络140注册(在第四代(“4G”)系统的上下文中也称为“附接到移动核心网络”)。注意,远程单元105可与移动核心网络140建立一或多个PDU会话(或其它数据连接)。因而,远程单元105可具有用于与分组数据网络150通信的至少一个PDU会话。此外—或替代地—远程单元105可具有用于与分组数据网络160通信的至少一个PDU会话。远程单元105可建立用于与其它数据网络及/或其它通信对等体通信的额外PDU会话。
在5G系统(“5GS”)的上下文中,术语“PDU会话”是指通过UPF 131在远程单元105与特定数据网络(“DN”)之间提供端到端(“E2E”)用户平面(“UP”)连接性的数据连接。PDU会话支持一或多个服务质量(“QoS”)流。在某些实施例中,QoS流与QoS配置文件之间可能存在一对一映射,使得属于特定QoS流的所有分组都具有相同的5G QoS标识符(“5QI”)。
在4G/LTE系统,例如演进分组系统(“EPS”)的上下文中,PDN连接(也称为EPS会话)提供远程单元与PDN之间的E2E UP连接性。PDN连接性过程建立EPS承载,即,远程单元105与移动核心网络130中的分组网关(“P-GW”)(未展示)之间的隧道。在某些实施例中,在EPS承载与QoS配置文件之间存在一对一映射,使得属于特定EPS承载的所有分组都具有相同的QoS类别标识符(“QCI”)。
如下文更详细描述,远程单元105可使用与第一移动核心网络130建立的第一数据连接(例如,PDU会话)以与第二移动核心网络140建立第二数据连接(例如,第二PDU会话的部分)。当建立与第二移动核心网络140的数据连接(例如,PDU会话)时,远程单元105使用第一数据连接来向第二移动核心网络140注册。
蜂窝基站单元121可分布遍及一个地理区域。在某些实施例中,蜂窝基站单元121也可被称为接入终端、基站(base)、基站(base station)、节点B(“NB”)、演进节点B(缩写为eNodeB或“eNB”,也称为演进通用陆地无线电接入网络(“E-UTRAN”)节点B)、5G/NR节点B(“gNB”)、归属节点B、归属节点B、中继节点、装置,或所属领域中使用的任何其它术语。蜂窝基站单元121通常是无线电接入网络(“RAN”)(例如3GPP接入网络120)的部分,其可包含可通信地耦合到一或多个对应的蜂窝基站单元121的一或多个控制器。无线电接入网络的这些及其它元件未说明,但通常为所属领域的一般技术人员众所周知。蜂窝基站单元121经由3GPP接入网络120连接到移动核心网络140。
蜂窝基站单元121可经由3GPP无线通信链路123服务于服务区域内的若干远程单元105(例如,小区或小区扇区)。蜂窝基站单元121可经由通信信号直接与远程单元105中的一或多者进行通信。通常,蜂窝基站单元121在时间、频率及/或空间域中发射DL通信信号以服务于远程单元105。此外,DL通信信号可在3GPP通信链路123上载送。3GPP通信链路123可为许可或未许可无线电频谱中的任何合适的载波。3GPP通信链路123促进远程单元105中的一或多者及/或蜂窝基站单元121中的一或多者之间的通信。注意,在未许可频谱上的NR操作(称为“NR-U”)期间,基站单元121及远程单元105在未许可(即,共享)无线电频谱上通信。
非3GPP接入网络130可分布遍及一个地理区域。每一非3GPP接入网络130可服务于服务区域的若干远程单元105。非3GPP接入网络130中的接入点131可通过接收UL通信信号及发射DL通信信号来直接与一或多个远程单元105通信,以在时间、频率及/或空间域中服务于远程单元105。DL及UL通信信号两者都在非3GPP通信链路133上载送。3GPP通信链路123及非3GPP通信链路133可采用不同的频率及/或不同的通信协议。在各种实施例中,接入点131可使用未许可无线电频谱进行通信。移动核心网络140可经由非3GPP接入网络130向远程单元105提供服务,如本文中更详细描述。
在一些实施例中,非3GPP接入网络130经由互通实体135连接到移动核心网络140。互通实体135提供非3GPP接入网络130与移动核心网络140之间的互通。互通实体135支持经由“N2”及“N3”接口的连接性。如所描绘,3GPP接入网络120及互通实体135两者都使用“N2”接口与接入及移动性管理功能(“AMF”)143通信。3GPP接入网络120及互通实体135也使用“N3”接口与UPF 141通信。虽然被描绘为在移动核心网络140之外,但在其它实施例中,互通实体135可为核心网络的一部分。虽然被描绘为在非3GPP RAN 130之外,但在其它实施例中,互通实体135可为非3GPP RAN 130的一部分。
在某些实施例中,非3GPP接入网络130可由移动核心网络140的运营商控制,且可具有对移动核心网络140的直接接入。此类非3GPP AN部署被称为“受信任的非3GPP接入网络”。当非3GPP接入网络130由3GPP运营商或受信任的合作伙伴运营时,其被认为是“受信任的”,并支持某些安全特征,例如强空中接口加密。相反,不受移动核心网络140的运营商(或受信任的合作伙伴)控制,不具有对移动核心网络140的直接接入或不支持某些安全特征的非3GPP AN部署被称为“不受信任的”非3GPP接入网络。部署在受信任的非3GPP接入网络130中的互通实体135在本文中可被称为受信任的网络网关功能(“TNGF”)。部署在不受信任的非3GPP接入网络130中的互通实体135在本文中可被称为非3GPP互通功能(“N3IWF”)。虽然被描绘为非3GPP接入网络130的一部分,但在一些实施例中,N3IWF可为移动核心网络140的一部分或可位于数据网络150中。
在一个实施例中,移动核心网络140是5G核心(“5GC”)或演进分组核心(“EPC”),其可耦合到数据网络150,如同互联网及专用数据网络以及其它数据网络一样。远程单元105可具有移动核心网络140的订阅或其它账户。每一移动核心网络140属于单个公共陆地移动网络(“PLMN”)。本公开并不旨在限于任何特定无线通信系统架构或协议的实施方案。
移动核心网络140包含若干网络功能(“NF”)。如所描绘,移动核心网络140包含至少一个UPF 141。移动核心网络140还包含多个控制平面功能,包含(但不限于)服务于5G-RAN 115的AMF 143、会话管理功能(“SMF”)145、策略控制功能(“PCF”)147、认证服务器功能(“AUSF”)148、统一数据管理(“UDM”)及统一数据存储库功能(“UDR”)。
在5G架构中,UPF 141负责分组路由及转发、分组检验、QoS处置以及用于互连数据网络(“DN”)的外部PDU会话。AMF 143负责终止非接入层(“NAS”)信令、NAS加密及完整性保护、注册管理、连接管理、移动性管理、接入认证及授权、安全上下文管理。SMF 145负责会话管理(即,会话建立、修改、释放)、远程单元(即,UE)IP地址分配及管理、DL数据通知以及供UPF进行适当流量路由的流量定向配置。
PCF147负责统一策略框架,向控制平面(“CP”)功能提供策略规则,接入订阅信息用于UDR中的策略决策。AUSF 148充当认证服务器。
UDM负责生成认证及密钥协议(“AKA”)凭证、用户身分处置、接入授权、订阅管理。UDR是订户信息的存储库,且可用于服务于若干网络功能。例如,UDR可存储订阅数据、策略相关数据、允许暴露于第三方应用程序的订户相关数据等。在一些实施例中,UDM与UDR位于同一位置,被描绘为组合实体“UDM/UDR”149。
在各种实施例中,移动核心网络140还可包含网络暴露功能(“NEF”)(其负责使网络数据及资源易于被客户及网络合作伙伴,例如,经由一或多个API接入)、网络存储库功能(“NRF”)(其提供NF服务注册及发现,使NF能够在彼此中识别适当的服务,并在应用程序编程接口(“API”)上彼此通信),或为5GC定义的其它NF。在某些实施例中,移动核心网络140可包含认证、授权及计费(“AAA”)服务器。
在各种实施例中,移动核心网络140支持不同类型的移动数据连接及不同类型的网络切片,其中每一移动数据连接利用特定网络切片。此处,“网络切片”是指针对特定流量类型或通信服务优化的移动核心网络140的一部分。网络例子可由单个网络切片选择辅助信息(“S-NSSAI”)识别,而远程单元105被授权使用的一组网络切片由NSSAI识别。在某些实施例中,各种网络切片可包含网络功能的单独例子,例如SMF及UPF 141。在一些实施例中,不同的网络切片可共享一些常见的网络功能,例如AMF 143。为了便于说明,图1中未展示不同的网络切片,但假设其支持。
尽管图1中描绘特定数量及类型的网络功能,但所属领域的技术人员将认识到,移动核心网络140中可包含任何数量及类型的网络功能。此外,在移动核心网络140包括EPC的情况下,所描绘的网络功能可用适当的EPC实体,例如移动性管理实体(“MME”)、服务网关(“S-GW”)、P-GW、归属订户服务器(“HSS”)等替换。
虽然图1描绘5G RAN及5G核心网络的组件,但将假名用于非3GPP接入上的接入认证的所描述的实施例适用于其它类型的通信网络及RAT,包含IEEE 802.11变体、GSM、GPRS、UMTS、LTE变体、CDMA 2000、蓝牙、ZigBee、Sigfox等。例如,在涉及EPC的4G/LTE变体中,AMF143可被映射到MME,SMF被映射到P-GW的控制平面部分及/或映射到MME,UPF 141可被映射到S-GW及P-GW的用户平面部分,UDM/UDR 149可被映射为HSS,等。
如所描绘,远程单元105(例如,UE)可经由以下两种类型的接入连接到移动核心网络(例如,连接到5G移动通信网络):(1)经由3GPP接入网络120及(2)经由非3GPP接入网络130。第一种类型的接入(例如,3GPP接入网络120)使用3GPP定义类型的无线通信(例如,NG-RAN),且第二种类型的接入(例如,非3GPP接入网络130)使用非3GPP定义类型的无线通信(例如,WLAN)。5G-RAN 115是指能够提供对移动核心网络140的接入的任何类型的5G接入网络,包含3GPP接入网络120及非3GPP接入网络130。
作为背景,一般来说,AKMA功能基于通用自举架构(“GBA”)(参见3GPP TS33.220),其经设计用于5G前几代的3GPP网络。AKMA经设计以满足因引入基于服务的架构(“SBA”)而提出的新协议要求。
GBA定义其中网络应用功能(“NAF”)位于VPLMN中的漫游。在一个实施例中,NAF是UE与之建立安全连接的功能,且因为其位于VPLMN中,所以LI是可能的。
一般来说,GBA架构仅将VPLMN中的应用功能(AF/NAF)视为托管加密密钥的功能。在这种情况下,LI要求将不存在问题,但AF可被认为在不同网络中的一些其它地方,而不限于VPLMN。在一个实施例中,AF可位于归属公共陆地移动网络(“HPLMN”)中,但取决于服务及应用,其也可为不同的网络,这未解决LI的问题。此外,在一个实施例中,在VPLMN的UPF中执行LI未解决问题,因为流量仍在UE与AF之间通过隧道传输,且UPF不具有安全上下文。
因此,如本文所描述,在AKMA密钥生成时或在从UE建立会话时,向服务网络提供AKMA安全上下文。有鉴于此,引入一个新功能,即受访AKMA锚点功能(“V-AAnF”),以接收安全上下文并将其进一步中继到AF。出于LI的原因,可从V-AAnF检索密钥材料,以便解密UE与AF之间的连接。
图2描绘在应用会话建立请求时对V-AAnF进行密钥提供的过程流程200。在一个实施例中,过程200描述使用V-AAnF作为VPLMN中的代理以从HPLMN AAnF接收AKMA安全上下文。V-AAnF可依请求向相关的LI网络功能提供AKMA安全上下文。
在一个实施例中,在主认证(参见步骤1,框202)之后且在UE 207与AKMA AF 215之间的通信可开始之前,UE 207及AKMA AF 215需要知道是否使用AKMA。
在步骤2处,在一个实施例中,UE 207应在起始与AKMA AF 215的通信之前从KAUSF生成AKMA锚点密钥(KAKMA)及AKMA密钥标识符A-KID。在一个实施例中,当UE 207起始与AKMAAF 215的通信(参见消息传递204)时,其应将导出的A-KID包含在应用会话建立请求消息中。在一个实施例中,UE 207可在发送消息之前或之后导出KAF。在一个实施例中,UE 207在请求中包含当前VPLMN的服务网络名称(“SN”)。
在步骤3处,在一个实施例中,当AF 215将要从AAnF 217请求用于UE 207的AKMA应用密钥时,例如,当UE 207起始应用会话建立请求时,AF 215基于SN发现UE 207的VPLMN201,并经由NEF 209服务API朝向V-AAnF 213发送请求(参见消息传递206)。在一个实施例中,请求应包含A-KID及AF_ID。在一个实施例中,AF_ID由AF 215的完全限定域名(“FQDN”)及Ua*安全协议标识符组成。在一个实施例中,后一个参数识别AF 215将与UE 207一起使用的安全协议。在一个实施例中,如果不需要NEF 209,那么AF 215可直接向V-AAnF 213发送请求消息。
在步骤4处,在一个实施例中,如果AF 215被NEF 209授权请求KAF,那么NEF 209发现并选择V-AAnF 213,并将KAF请求转发(参见消息传递208)到所选择的V-AAnF 213。在一个实施例中,V-AANF 213基于A-KID的领域检测到(参见框210)HPLMN 205,并选择HPLMN 205内的AAnF 217。
在步骤6处,在一个实施例中,V-AAnF 213向HPLMN 205中的AAnF 217发送(参见消息传递212)AKMA KAF请求。
在步骤7处,在一个实施例中,AAnF 217验证请求并生成KAF,并向V-AAnF 213发送(参见消息传递214)具有KAF、KAF期满时间(KAFexptime)及潜在的其它参数的响应。
在步骤8处,在一个实施例中,V-AAnF 213将响应转发(参见消息传递216)到NEF209。
在步骤9处,在一个实施例中,NEF 209将响应转发(参见消息传递218)到AF 215。
在步骤10处,在一个实施例中,AF 215向UE 207发送(参见消息传递220)应用会话建立响应。
图3描绘用于在AKMA密钥生成时对V-AAnF进行密钥提供的过程流程300。
在步骤1处,在一个实施例中,在主认证过程(参见框302)期间,AUSF 311与UDM313交互(参见消息传递304),以便使用Nudm_UEAuthentication_Get请求服务操作提取认证信息,例如订阅凭证(例如,AKA认证向量)及认证方法。
在步骤2处,在一个实施例中,在响应消息(参见消息传递306)中,UDM 313还可向AUSF 311指示是否需要为UE 305生成AKMA锚点密钥。如果包含AKMA Ind,那么在一个实施例中,UDM 313还应包含UE 305的RID。
在步骤3处,在一个实施例中,如果AUSF 311从UDM 313接收到AKMA指示,那么AUSF311应存储KAUSF,并在主认证过程成功完成之后从KAUSF生成(参见框308)AKMA锚点密钥(KAKMA)及A-KID。在一个实施例中,AUSF 311检测到(参见框310)UE 305在不同的服务网络中,并使用SN作为A-KID的领域。
在一个实施例中,UE 305在起始与AKMA应用功能的通信之前从KAUSF生成(参见框312)AKMA锚点密钥(KAKMA)及A-KID(参见框314)。UE 305分别使用SN作为A-KID的领域。
在第一选项(选项A 316)中,在一个实施例中,在生成AKMA密钥材料之后,AUSF基于UE 305的SN选择(参见框318)V-AAnF 309,并使用Naanf_AKMA_KeyRegistration请求服务操作将生成的A-KID及KAKMA与UE 305的订阅永久标识符(“SUPI”)一起发送(参见消息传递320)到V-AAnF 309。在一个实施例中,V-AAnF 309存储由AUSF 311发送的最新信息,并使用Naanf_AKMA_AnchorKey_Register响应服务操作向AUSF 311发送(参见消息传递322)响应。
在第二选项(选项B 324)中,在一个实施例中,在生成AKMA密钥材料之后,AUSF311基于UE 305的SN选择AMF 307,并使用Namf_AKMA_KeyRegistration请求服务操作将生成的A-KID及KAKMA与UE 305的SUPI一起发送(参见消息传递326)到AMF 307。在一个实施例中,AMF 307选择V-AAnF 309,并在Naanf_AKMA_KeyRegistration请求服务操作中转发(参见消息传递328)请求。在一个实施例中,V-AAnF 309存储由AUSF 311发送的最新信息。V-AAnF 309向AMF 307发送(参见消息传递330)响应,其经由AMF 307使用Naanf_AKMA_AnchorKey_Register响应服务操作将响应转发(参见消息传递332)到AUSF 311。
在一个实施例中,A-KID识别UE 305的KAKMA密钥。在其它实施例中,A-KID应为网络接入标识符(“NAI”)格式,例如,username@realm。用户名部分可包含RID及AKMA临时UE标识符(“A-TID”),且领域部分可包含受访网络标识符(例如,SN)。在一个实施例中,A-TID可从KAUSF导出。AUSF 311可使用从UDM 313接收的RID以导出A-KID。
在一个实施例中,如果UE向AF发送应用会话建立请求,那么AF基于A-KID的SN将请求路由到服务网络(例如,VPLMN)中的NEF或AAnF。在一个实施例中,如果UE保持在HPLMN中或在VPLMN中漫游,那么过程是有效的。
图4描绘在AF提供之后对V-AAnF进行密钥提供的过程流程400。
在步骤1处,在一个实施例中,在主认证(参见框402)之后且在UE 407与AKMA AF415之间的通信可开始之前,UE 407及AKMA AF 415需要知道是否使用AKMA。
在步骤2处,在一个实施例中,UE 407在起始与AKMA AF 415的通信之前,从KAUSF生成AKMA锚点密钥(KAKMA)及A-KID。当UE 407起始与AKMA AF 415的通信(参见消息传递404)时,在一个实施例中,其可在应用会话建立请求消息中包含导出的A-KID。在一个实施例中,UE 407可在发送消息之前或之后导出KAF。UE 407可在请求中包含当前VPLMN 401的服务网络名称(“SN”)。
在步骤3处,在一个实施例中,当AF 415将要从AAnF 417请求用于UE 407的AKMA应用密钥时,例如,当UE 407起始应用会话建立请求时,AF 415经由NEF服务API(未展示)朝向AAnF 417发送(参见消息传递406)请求。请求可包含A-KID及AF_ID以及服务网络名称(SN)(如果可用)。在一个实施例中,AF_ID由AF的FQDN及Ua*安全协议标识符组成。在一个实施例中,后一个参数识别AF 415将与UE 407一起使用的安全协议。如果不需要NEF,那么AF 415可直接向AAnF 417发送请求消息。
在一个实施例中,在步骤4处,AAnF验证请求,生成KAF,并向AF 415发送(参见消息传递408)具有KAF、KAF期满时间(KAFexptime)及潜在的其它参数的响应。
在步骤5处,在一个实施例中,AF 415向UE 407发送(参见消息传递410)应用会话建立响应。
在步骤6处,在一个实施例中,如果UE 407在步骤1中包含服务网络名称,那么AAnF417检测到(参见框412)UE 407不位于HPLMN 405中,且位于不同的网络中。替代地,在一个实施例中,AUSF 419在主认证之后提供服务网络名称以及KAKMA,如图5中的步骤4所展示。在这种情况下,AAnF 417可跳过步骤7及8。
在步骤7处,在一个实施例中,AAnF 417向AUSF 419发送(参见消息传递414)服务网络名称请求,并包含UE 407的SUPI。替代地,AAnF 417可关于服务网络名称直接联系UDM。如果不再为特定SUPI存储服务网络名称,那么AUSF 419可联系UDM。
在步骤8处,在一个实施例中,AUSF 419或UDM将服务网络名称提供(参见消息传递416)回AAnF 417。
在步骤9处,在一个实施例中,AAnF 417使用服务网络名称以选择(参见框418)服务网络中的V-AAnF 413。
在步骤10处,在一个实施例中,AAnF 417向V-AAnF 413发送(参见消息传递420)具有KAF、KAF期满时间(KAFexptime)、SUPI、A-KID及潜在的其它参数的密钥提供请求。在一个实施例中,V-AAnF 413存储用于合法监听的潜在请求的信息。
在步骤11处,在一个实施例中,V-AAnF 413确认请求,并将密钥提供响应发送(参见消息传递422)回AAnF 417。
图5描绘用于提供服务网络名称的过程流程500。在一个实施例中,AUSF 509基于在用于KSEAF密钥导出的先前主认证中使用的服务网络名称检测到(参见框502)UE 505在不同的PLMN 501中。在一个实施例中,AUSF 509在步骤4中将服务网络名称与其它安全参数一起提供到AAnF 507(参见消息传递504)。然后,AAnF 507可在来自AF的稍后密钥请求时选择服务网络中的AAnF 507。
图6描绘用于提供服务网络名称及V-AAnF选择的过程流程600。
在一个实施例中,在步骤1处,在主认证过程期间(参见框602),AUSF 619与UDM交互,以便使用Nudm_UEAuthentication_Get请求服务操作提取认证信息,例如订阅凭证(例如,AKA认证向量)及认证方法。
在一个实施例中,在步骤2处,如果AUSF 619从UDM接收到AKMA指示,那么AUSF 619应存储KAUSF,并在主认证过程成功完成之后从KAUSF生成AKMA锚点密钥(KAKMA)(参见框604)及A-KID(参见框606)。在一个实施例中,UE 607在起始与AKMA应用功能的通信之前从KAUSF生成AKMA锚点密钥(KAKMA)(参见框608)及A-KID(参见框610)。
在一个实施例中,在步骤3处,在生成AKMA密钥材料之后,AUSF 619选择AAnF617,并使用Naanf_AKMA_KeyRegistration请求服务操作将生成的A-KID及KAKMA与UE 607的SUPI及服务网络名称一起发送(参见消息传递612)到AAnF 617。
在步骤4处,在一个实施例中,AAnF 617存储由AUSF 619发送的最新信息,并向AUSF 619发送(参见消息传递614)Naanf_AKMA_AnchorKey_Register响应。
在步骤5处,在一个实施例中,UE 607在起始与AKMA AF 613的通信之前,从KAUSF生成AKMA锚点密钥(KAKMA)及A-KID。在一个实施例中,当UE 607起始与AKMA AF 613的通信(参见消息传递616)时,其在应用会话建立请求消息中包含导出的A-KID。在一个实施例中,UE607在发送消息之前或之后导出KAF。
在一个实施例中,在步骤6处,当AF 613将要从AAnF 617请求用于UE 607的AKMA应用密钥时,例如,当UE 607起始应用会话建立请求时,AF 613经由NEF 615服务API向AAnF617发送(参见消息传递618)请求。请求可包含A-KID及AF_ID。在一个实施例中,AF_ID由AF613的FQDN及Ua*安全协议标识符组成。在一个实施例中,后一个参数识别AF 613将与UE607一起使用的安全协议。如果不需要NEF 615,那么AF 613可直接向AAnF 617发送请求消息;否则,NEF 615向AAnF 617发送(参见消息传递620)请求。
在步骤7处,在一个实施例中,AAnF 617基于SN名称检测到(参见框622)UE 607正在何处漫游,且:
如果VPLMN 601不具有AKMA LI增强,但确实具有LI策略,那么AAnF 617可不向AF613提供KAF并且指示NULL加密;
如果VPLMN 601具有AKMA LI增强,那么AAnF 617将KAF及KAF期满时间与UE 607的SUPI一起提供到用于存储AKMA LI上下文的网络功能,例如,VPLMN 601中的V-AAnF 611。
VPLMN 601AKMA能力及策略,以及网络功能,例如V-AAnF地址,可在AAnF 617中配置,且可基于服务级别协议(“SLA”)。
在步骤8处,在一个实施例中,AAnF 617验证请求并生成KAF,并向AF 613发送具有KAF、KAF期满时间(KAFexptime)及潜在的其它参数的响应。AAnF 617直接向AF 613或经由NEF 615发送响应(参见消息传递624及626)。
在一个实施例中,在步骤9处,AF 613向UE 607发送(参见消息传递628)应用会话建立响应。
在步骤10处,在一个实施例中,AAnF 617向V-AAnF 611发送(参见消息传递630)具有KAF、KAF期满时间(KAFexptime)、SUPI、A-KID及潜在的其它参数的密钥提供请求。在一个实施例中,V-AAnF 611存储用于合法监听的潜在请求的信息。
在步骤11处,在一个实施例中,V-AAnF 611确认请求,并向AAnF 617发送(参见消息传递632)密钥提供响应。
图7描绘根据本公开的实施例的可用于使用应用的认证及密钥管理实现漫游的用户装备设备700。在各种实施例中,用户装备设备700用于实施上文所描述的解决方案中的一或多者。用户装备设备700可为上文所描述的远程单元105及/或UE的一个实施例。此外,用户装备设备700可包含处理器705、存储器710、输入装置715、输出装置720及收发器725。
在一些实施例中,输入装置715及输出装置720经组合为单个装置,例如触摸屏。在某些实施例中,用户装备设备700可不包含任何输入装置715及/或输出装置720。在各种实施例中,用户装备设备700可包含以下中的一或多者:处理器705、存储器710及收发器725,且可不包含输入装置715及/或输出装置720。
如所描绘,收发器725包含至少一个发射器730及至少一个接收器735。在一些实施例中,收发器725与由一或多个基站单元121支持的一或多个小区(或无线覆盖区域)进行通信。在各种实施例中,收发器725在未许可频谱上是可操作的。此外,收发器725可包含支持一或多个波束的多个UE面板。此外,收发器725可支持至少一个网络接口740及/或应用接口745。应用接口745可支持一或多个API。网络接口740可支持3GPP参考点,例如Uu、N1、PC5等。如所属领域的一般技术人员所理解,可支持其它网络接口740。
在一个实施例中,处理器705可包含能够执行计算机可读指令及/或能够执行逻辑运算的任何已知控制器。例如,处理器705可为微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或类似的可编程控制器。在一些实施例中,处理器705执行存储在存储器710中的指令,以执行本文所描述的方法及例程。处理器705通信地耦合到存储器710、输入装置715、输出装置720及收发器725。在某些实施例中,处理器705可包含管理应用域及操作系统(“OS”)功能的应用处理器(也称为“主处理器”)及管理无线电功能的基带处理器(也称为“基带无线电处理器”)。
在一个实施例中,存储器710是计算机可读存储媒体。在一些实施例中,存储器710包含易失性计算机存储媒体。例如,存储器710可包含RAM,其包含动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)及/或静态RAM(“SRAM”)。在一些实施例中,存储器710包含非易失性计算机存储媒体。例如,存储器710可包含硬盘驱动器、闪存或任何其它合适的非易失性计算机存储装置。在一些实施例中,存储器710包含易失性及非易失性计算机存储媒体两者。
在一些实施例中,存储器710存储与使用应用的认证及密钥管理实现漫游相关的数据。例如,存储器710可存储如上文所描述的各种参数、面板/波束配置、资源分配、策略等。在某些实施例中,存储器710还存储程序代码及相关数据,例如操作系统或在用户装备设备700上操作的其它控制器算法。
在一个实施例中,输入装置715可包含任何已知的计算机输入装置,其包含触摸面板、按钮、键盘、触笔、麦克风等。在一些实施例中,例如,输入装置715可与输出装置720集成为触摸屏或类似的触敏显示器。在一些实施例中,输入装置715包含触摸屏,使得可使用触摸屏上显示的虚拟键盘及/或通过在触摸屏上手写来输入文本。在一些实施例中,输入装置715包含两个或更多个不同的装置,例如键盘及触摸面板。
在一个实施例中,输出装置720经设计以输出视觉、听觉及/或触觉信号。在一些实施例中,输出装置720包含能够向用户输出视觉数据的电子可控显示器或显示器装置。例如,输出装置720可包含(但不限于)LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示器装置。作为另一非限制性实例,输出装置720可包含与用户装备设备700的其余部分分离但通信地耦合的可穿戴显示器,例如智能手表、智能眼镜、抬头显示器等。进一步来说,输出装置720可为智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出装置720包含用于产生声音的一或多个扬声器。例如,输出装置720可产生可听警报或通知(例如,哔哔声或蜂鸣音)。在一些实施例中,输出装置720包含用于产生振动、运动或其它触觉反馈的一或多个触觉装置。在一些实施例中,输出装置720的全部或部分可与输入装置715集成。例如,输入装置715及输出装置720可形成触摸屏或类似的触敏显示器。在其它实施例中,输出装置720可位于输入装置715附近。
收发器725经由一或多个接入网络与移动通信网络的一或多个网络功能通信。收发器725在处理器705的控制下操作,以发射消息、数据及其它信号,且还接收消息、数据及其它信号。例如,处理器705可在特定时间选择性地激活收发器725(或其部分),以便发送及接收消息。
收发器725包含至少发射器730及至少接收器735。一或多个发射器730可用于向基站单元121提供UL通信信号,例如本文所描述的UL发射。类似地,一或多个接收器735可用于从基站单元121接收DL通信信号,如本文所描述。尽管仅说明一个发射器730及一个接收器735,但用户装备设备700可具有任何合适数量的发射器730及接收器735。进一步来说,发射器730及接收器735可为任何合适类型的发射器及接收器。在一个实施例中,收发器725包含用于通过许可无线电频谱与移动通信网络通信的第一发射器/接收器对及用于通过未许可无线电频谱与移动通信网络通信的第二发射器/接收器对。
在某些实施例中,用于通过许可无线电频谱与移动通信网络通信的第一发射器/接收器对及用于通过未许可无线电频谱与移动通信网络通信的第二发射器/接收器对可经组合成单个收发器单元,例如执行结合许可及未许可无线电频谱两者使用的功能的单个芯片。在一些实施例中,第一发射器/接收器对及第二发射器/接收器对可共享一或多个硬件组件。例如,某些收发器725、发射器730及接收器735可经实施为物理上分离的组件,其接入共享硬件资源及/或软件资源,例如,举例来说,网络接口740。
在各种实施例中,一或多个发射器730及/或一或多个接收器735可经实施及/或集成到单个硬件组件,例如多收发器芯片、片上系统、ASIC或其它类型的硬件组件中。在某些实施例中,一或多个发射器730及/或一或多个接收器735可经实施及/或集成到多芯片模块中。在一些实施例中,其它组件(例如网络接口740或其它硬件组件/电路)可与任何数量的发射器730及/或接收器735集成到单个芯片中。在此类实施例中,发射器730及接收器735可在逻辑上经配置为使用一或多个公共控制信号的收发器725,或在同一硬件芯片或多芯片模块中实施的模块化发射器730及接收器735。
图8描绘根据本公开的实施例的可用于使用应用的认证及密钥管理实现漫游的网络设备800。在一个实施例中,网络设备800可为RAN节点的一个实施方案,例如上文所描述的基站单元121、RAN节点210或gNB。此外,基础网络设备800可包含处理器805、存储器810、输入装置815、输出装置820及收发器825。
在一些实施例中,输入装置815及输出装置820经组合为单个装置,例如触摸屏。在某些实施例中,网络设备800可不包含任何输入装置815及/或输出装置820。在各种实施例中,网络设备800可包含以下中的一或多者:处理器805、存储器810及收发器825,且可不包含输入装置815及/或输出装置820。
如所描绘,收发器825包含至少一个发射器830及至少一个接收器835。此处,收发器825与一或多个远程单元105通信。此外,收发器825可支持至少一个网络接口840及/或应用接口845。应用接口845可支持一或多个API。网络接口840可支持3GPP参考点,例如Uu、N1、N2及N3。如所属领域的一般技术人员所理解,可支持其它网络接口840。
在一个实施例中,处理器805可包含能够执行计算机可读指令及/或能够执行逻辑运算的任何已知控制器。例如,处理器805可为微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似的可编程控制器。在一些实施例中,处理器805执行存储在存储器810中的指令,以执行本文所描述的方法及例程。处理器805通信地耦合到存储器810、输入装置815、输出装置820及收发器825。在某些实施例中,处理器805可包含管理应用域及操作系统(“OS”)功能的应用处理器(也称为“主处理器”)及管理无线电功能的基带处理器(也称为“基带无线电处理器”)。
在各种实施例中,网络设备800是包含处理器805及收发器825的RAN节点(例如,gNB)。在一个实施例中,处理器805确定用户装备(“UE”)装置的服务网络,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”)。在一个实施例中,处理器805选择所述服务网络内的网络功能用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文。在一个实施例中,收发器825向所述网络功能发送所述安全上下文。
在一个实施例中,处理器805通过检测到所述UE在服务网络中确定所述UE的所述服务网络。在一个实施例中,处理器805生成AKMA密钥信息KAKMA及AKMA密钥标识符A-KID。在一个实施例中,收发器825基于所述服务网络名称向所述所选择的网络功能发送注册请求消息,所述注册请求消息包括所述AKMA安全上下文,其包含所述KAKMA、所述A-KID及所述UE的订阅永久标识符(“SUPI”)。在一个实施例中,收发器825从所述所选择的网络功能接收用于在所述UE与所述服务网络的所述AF之间建立连接的注册响应消息。
在一个实施例中,所述所选择的网络功能包括接入及移动性管理功能(“AMF”)及受访AKMA锚点功能(“V-AAnF”)中的一者。在一个实施例中,处理器805通过以下中的至少一者确定所述UE的所述服务网络:向所述HPLMN的认证服务器功能(“AUSF”)查询所述服务网络名称,在与所述UE的主认证期间检索所述服务网络名称,及从所述AUSF接收所述服务网络名称以及所述AKMA密钥信息KAKMA。
在一个实施例中,响应于服务网络名称请求从所述AUSF接收所述服务网络名称,所述服务网络名称请求包括所述UE的订阅永久标识符(“SUPI”)。
在一个实施例中,收发器825向所述服务网络内的所述所选择的网络功能发送密钥提供请求,所述密钥提供请求包括所述AKMA安全上下文,其包含AKMA AF KAF的密钥信息、所述KAF的期满时间、所述UE的订阅永久标识符(“SUPI”)及AKMA密钥标识符A-KID。在一个实施例中,收发器825从所述所选择的网络功能接收密钥提供响应消息。
在一个实施例中,收发器825在与所述UE相关联的所述HPLMN的网络功能处从AF接收密钥请求,密钥注册请求用于为所述AF提供所述AKMA安全上下文以用于在所述UE与所述服务网络的所述AF之间建立连接。在一个实施例中,处理器805检测到包括不同于与所述UE相关联的所述HPLMN的所述VPLMN的所述服务网络未使用所述服务网络内的用于提供所述AKMA安全上下文的网络功能增强。在一个实施例中,收发器825向所述AF发送密钥响应,所述密钥响应包括NULL加密的指示及所述UE的订阅永久标识符(“SUPI”)。
在一个实施例中,收发器825从所述服务网络接收所述AKMA AF KAF的AKMA密钥信息请求。在一个实施例中,处理器805验证所述AKMA密钥信息请求。在一个实施例中,响应于验证所述AKMA密钥信息请求,处理器805生成所述AKMA AF KAF,且所述收发器向所述服务网络发送包括所述AKMA AF KAF及所述KAF的期满时间的AKMA密钥信息响应。
在一个实施例中,收发器825在用户装备(“UE”)装置的服务网络的网络功能处接收密钥请求,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”),密钥注册请求用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文以用于在所述UE与所述AF之间建立连接。在一个实施例中,收发器825向所述HPLMN的网络功能发送密钥响应。
在一个实施例中,处理器805在所述服务网络的所述网络功能处存储安全上下文信息。在一个实施例中,所述服务网络的所述网络功能包括接入及移动性管理功能(“AMF”)及受访AKMA锚点功能(“V-AAnF”)中的一者。
在一个实施例中,处理器805基于AKMA密钥标识符A-KID检测到所述密钥请求来自所述HPLMN中的AAnF。在一个实施例中,收发器825向所述HPLMN中的所述AAnF发送所述密钥请求,且从所述HPLMN的所述AAnF接收包括所述AKMA AF KAF的密钥信息及所述KAF的期满时间的密钥响应。
在一个实施例中,存储器810是计算机可读存储媒体。在一些实施例中,存储器810包含易失性计算机存储媒体。例如,存储器810可包含RAM,其包含动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)及/或静态RAM(“SRAM”)。在一些实施例中,存储器810包含非易失性计算机存储媒体。例如,存储器810可包含硬盘驱动器、闪存或任何其它合适的非易失性计算机存储装置。在一些实施例中,存储器810包含易失性及非易失性计算机存储媒体两者。
在一些实施例中,存储器810存储与使用应用的认证及密钥管理实现漫游相关的数据。例如,存储器810可存储如上文所描述的参数、配置、资源分配、策略等。在某些实施例中,存储器810还存储程序代码及相关数据,例如操作系统或在网络设备800上操作的其它控制器算法。
在一个实施例中,输入装置815可包含任何已知的计算机输入装置,其包含触摸面板、按钮、键盘、触笔、麦克风等。在一些实施例中,例如,输入装置815可与输出装置820集成为触摸屏或类似的触敏显示器。在一些实施例中,输入装置815包含触摸屏,使得可使用触摸屏上显示的虚拟键盘及/或通过在触摸屏上手写来输入文本。在一些实施例中,输入装置815包含两个或更多个不同的装置,例如键盘及触摸面板。
在一个实施例中,输出装置820经设计以输出视觉、听觉及/或触觉信号。在一些实施例中,输出装置820包含能够向用户输出视觉数据的电子可控显示器或显示器装置。例如,输出装置820可包含(但不限于)LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示器装置。作为另一非限制性实例,输出装置820可包含与网络设备800的其余部分分离但通信地耦合的可穿戴显示器,例如智能手表、智能眼镜、抬头显示器等。进一步来说,输出装置820可为智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出装置820包含用于产生声音的一或多个扬声器。例如,输出装置820可产生可听警报或通知(例如,哔哔声或蜂鸣音)。在一些实施例中,输出装置820包含用于产生振动、运动或其它触觉反馈的一或多个触觉装置。在一些实施例中,输出装置820的全部或部分可与输入装置815集成。例如,输入装置815及输出装置820可形成触摸屏或类似的触敏显示器。在其它实施例中,输出装置820可位于输入装置815附近。
收发器825包含至少发射器830及至少一个接收器835。一或多个发射器830可用于与UE通信,如本文所描述。类似地,一或多个接收器835可用于与非公共网络(“NPN”)、PLMN及/或RAN中的网络功能通信,如本文所描述。尽管仅说明一个发射器830及一个接收器835,但网络设备800可具有任何合适数量的发射器830及接收器835。进一步来说,发射器830及接收器835可为任何合适类型的发射器及接收器。
图9是用于使用应用的认证及密钥管理实现漫游的方法900的流程图。方法900可由如本文所描述的UE,例如,远程单元105、UE及/或用户装备设备700及/或网络实体(例如基站节点、gNB)及/或网络装备设备800执行。在一些实施例中,方法900可由执行程序代码的处理器,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等执行。
在一个实施例中,方法900包含确定905用户装备(“UE”)装置的服务网络,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”)。在一个实施例中,方法900包含选择910所述服务网络内的网络功能用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文。在一个实施例中,方法900包含向所述网络功能发送915所述安全上下文,且方法900结束。
图10是用于使用应用的认证及密钥管理实现漫游的方法1000的流程图。方法1000可由如本文所描述的UE,例如,远程单元105、UE及/或用户装备设备700及/或网络实体(例如基站节点、gNB)及/或网络装备设备800执行。在一些实施例中,方法1000可由执行程序代码的处理器,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等执行。
在一个实施例中,方法1000包含在用户装备(“UE”)装置的服务网络的网络功能处接收1005密钥请求,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”),密钥注册请求用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文以用于在所述UE与所述AF之间建立连接。在一个实施例中,方法1000包含向所述HPLMN的网络功能发送1010密钥响应,且方法1100结束。
公开用于使用应用的认证及密钥管理实现漫游的第一设备。第一设备可包含如本文所描述的UE,例如,远程单元105、UE及/或用户装备设备700及/或网络实体(例如基站节点、gNB)及/或网络装备设备800。在一些实施例中,第一设备可包含执行程序代码的处理器,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
在一个实施例中,所述第一设备包含确定用户装备(“UE”)装置的服务网络的处理器,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”)。在一个实施例中,所述处理器选择所述服务网络内的网络功能用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文。在一个实施例中,所述第一设备包含向所述网络功能发送所述安全上下文的收发器。
在一个实施例中,所述处理器通过检测到所述UE在服务网络中确定所述UE的所述服务网络。在一个实施例中,所述处理器生成AKMA密钥信息KAKMA及AKMA密钥标识符A-KID。在一个实施例中,所述收发器基于所述服务网络名称向所述所选择的网络功能发送注册请求消息,所述注册请求消息包括所述AKMA安全上下文,其包含所述KAKMA、所述A-KID及所述UE的订阅永久标识符(“SUPI”)。在一个实施例中,所述收发器从所述所选择的网络功能接收用于在所述UE与所述服务网络的所述AF之间建立连接的注册响应消息。
在一个实施例中,所述所选择的网络功能包括接入及移动性管理功能(“AMF”)及受访AKMA锚点功能(“V-AAnF”)中的一者。在一个实施例中,所述处理器通过以下中的至少一者确定所述UE的所述服务网络:向所述HPLMN的认证服务器功能(“AUSF”)查询所述服务网络名称,在与所述UE的主认证期间检索所述服务网络名称,及从所述AUSF接收所述服务网络名称以及所述AKMA密钥信息KAKMA。
在一个实施例中,响应于服务网络名称请求从所述AUSF接收所述服务网络名称,所述服务网络名称请求包括所述UE的订阅永久标识符(“SUPI”)。
在一个实施例中,所述收发器向所述服务网络内的所述所选择的网络功能发送密钥提供请求,所述密钥提供请求包括所述AKMA安全上下文,其包含AKMA AF KAF的密钥信息、所述KAF的期满时间、所述UE的订阅永久标识符(“SUPI”)及AKMA密钥标识符A-KID。在一个实施例中,所述收发器从所述所选择的网络功能接收密钥提供响应消息。
在一个实施例中,所述收发器在与所述UE相关联的所述HPLMN的网络功能处从AF接收密钥请求,密钥注册请求用于为所述AF提供所述AKMA安全上下文以用于在所述UE与所述服务网络的所述AF之间建立连接。在一个实施例中,所述处理器检测到包括不同于与所述UE相关联的所述HPLMN的所述VPLMN的所述服务网络未使用所述服务网络内的用于提供所述AKMA安全上下文的网络功能增强。在一个实施例中,所述收发器向所述AF发送密钥响应,所述密钥响应包括NULL加密的指示及所述UE的订阅永久标识符(“SUPI”)。
在一个实施例中,所述收发器从所述服务网络接收所述AKMA AF KAF的AKMA密钥信息请求。在一个实施例中,所述处理器验证所述AKMA密钥信息请求。在一个实施例中,响应于验证所述AKMA密钥信息请求,所述处理器生成所述AKMA AF KAF,且所述收发器向所述服务网络发送包括所述AKMA AF KAF及所述KAF的期满时间的AKMA密钥信息响应。
公开用于使用应用的认证及密钥管理实现漫游的第一方法。第一方法可由如本文所描述的UE,例如,远程单元105、UE及/或用户装备设备700及/或网络实体(例如基站节点、gNB)及/或网络装备设备800执行。在一些实施例中,第一方法可由执行程序代码的处理器,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等执行。
在一个实施例中,所述第一方法包含确定用户装备(“UE”)装置的服务网络,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”)。在一个实施例中,所述第一方法包含选择所述服务网络内的网络功能用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文。在一个实施例中,所述第一方法包含向所述网络功能发送所述安全上下文。
在一个实施例中,所述第一方法包含通过检测到所述UE在服务网络中确定所述UE的所述服务网络。在一个实施例中,所述第一方法包含生成AKMA密钥信息KAKMA及AKMA密钥标识符A-KID。在一个实施例中,所述第一方法包含基于所述服务网络名称向所述所选择的网络功能发送注册请求消息,所述注册请求消息包括所述AKMA安全上下文,其包含所述KAKMA、所述A-KID及所述UE的订阅永久标识符(“SUPI”)。在一个实施例中,所述第一方法包含从所述所选择的网络功能接收用于在所述UE与所述服务网络的所述AF之间建立连接的注册响应消息。
在一个实施例中,所述所选择的网络功能包括接入及移动性管理功能(“AMF”)及受访AKMA锚点功能(“V-AAnF”)中的一者。在一个实施例中,所述第一方法包含通过以下中的至少一者确定所述UE的所述服务网络:向所述HPLMN的认证服务器功能(“AUSF”)查询所述服务网络名称,在与所述UE的主认证期间检索所述服务网络名称,及从所述AUSF接收所述服务网络名称以及所述AKMA密钥信息KAKMA。
在一个实施例中,响应于服务网络名称请求从所述AUSF接收所述服务网络名称,所述服务网络名称请求包括所述UE的订阅永久标识符(“SUPI”)。
在一个实施例中,所述第一方法包含向所述服务网络内的所述所选择的网络功能发送密钥提供请求,所述密钥提供请求包括所述AKMA安全上下文,其包含AKMA AF KAF的密钥信息、所述KAF的期满时间、所述UE的订阅永久标识符(“SUPI”)及AKMA密钥标识符A-KID。在一个实施例中,所述第一方法包含从所述所选择的网络功能接收密钥提供响应消息。
在一个实施例中,所述第一方法包含在与所述UE相关联的所述HPLMN的网络功能处从AF接收密钥请求,密钥注册请求用于为所述AF提供所述AKMA安全上下文以用于在所述UE与所述服务网络的所述AF之间建立连接。在一个实施例中,所述第一方法包含检测到包括不同于与所述UE相关联的所述HPLMN的所述VPLMN的所述服务网络未使用所述服务网络内的用于提供所述AKMA安全上下文的网络功能增强。在一个实施例中,所述第一方法包含向所述AF发送密钥响应,所述密钥响应包括NULL加密的指示及所述UE的订阅永久标识符(“SUPI”)。
在一个实施例中,所述第一方法包含从所述服务网络接收所述AKMA AF KAF的AKMA密钥信息请求。在一个实施例中,所述第一方法包含验证所述AKMA密钥信息请求。在一个实施例中,响应于验证所述AKMA密钥信息请求,所述第一方法包含生成所述AKMA AF KAF,及向所述服务网络发送包括所述AKMA AF KAF及所述KAF的期满时间的AKMA密钥信息响应。
公开用于使用应用的认证及密钥管理实现漫游的第二设备。第二设备可包含如本文所描述的UE,例如,远程单元105、UE及/或用户装备设备700及/或网络实体(例如基站节点、gNB)及/或网络装备设备800。在一些实施例中,第二设备可包含执行程序代码的处理器,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
在一个实施例中,所述第二设备包含收发器,其在用户装备(“UE”)装置的服务网络的网络功能处接收密钥请求,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”),密钥注册请求用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文以用于在所述UE与所述AF之间建立连接。在一个实施例中,所述收发器向所述HPLMN的网络功能发送密钥响应。
在一个实施例中,所述第二设备包含处理器,所述处理器在所述服务网络的所述网络功能处存储安全上下文信息。在一个实施例中,所述服务网络的所述网络功能包括接入及移动性管理功能(“AMF”)及受访AKMA锚点功能(“V-AAnF”)中的一者。
在一个实施例中,所述第二设备包含处理器,所述处理器基于AKMA密钥标识符A-KID检测到所述密钥请求来自所述HPLMN中的AAnF。在一个实施例中,所述收发器向所述HPLMN中的所述AAnF发送所述密钥请求,且从所述HPLMN的所述AAnF接收包括AKMA AF KAF的密钥信息及所述KAF的期满时间的密钥响应。
公开用于使用应用的认证及密钥管理实现漫游的第二方法。第二方法可由如本文所描述的UE,例如,远程单元105、UE及/或用户装备设备700及/或网络实体(例如基站节点、gNB)及/或网络装备设备800执行。在一些实施例中,第二方法可由执行程序代码的处理器,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等执行。
在一个实施例中,所述第二方法包含在用户装备(“UE”)装置的服务网络的网络功能处接收密钥请求,所述服务网络包括不同于与所述UE相关联的归属PLMN(“HPLMN”)的受访公共陆地移动网络(“VPLMN”),密钥注册请求用于基于所述服务网络的名称为应用功能(“AF”)提供应用的认证及密钥管理(“AKMA”)安全上下文以用于在所述UE与所述AF之间建立连接。在一个实施例中,所述第二方法包含向所述HPLMN的网络功能发送密钥响应。
在一个实施例中,所述第二方法包含在所述服务网络的所述网络功能处存储安全上下文信息。在一个实施例中,所述服务网络的所述网络功能包括接入及移动性管理功能(“AMF”)及受访AKMA锚点功能(“V-AAnF”)中的一者。
在一个实施例中,所述第二方法包含基于AKMA密钥标识符A-KID检测到所述密钥请求来自所述HPLMN中的AAnF。在一个实施例中,所述第二方法包含向所述HPLMN中的所述AAnF发送所述密钥请求,且从所述HPLMN的所述AAnF接收包括AKMA AF KAF的密钥信息及所述KAF的期满时间的密钥响应。
实施例可以其它具体形式实践。所描述的实施例在所有方面应仅被视为说明性的且非限制性的。因此,本发明的范围由所附权利要求书而非前文描述来指示。在权利要求的含义及等效范围内的所有变更都应包含在其范围内。
Claims (20)
1.一种网络设备的方法,其包括:
确定用户装备“UE”装置的服务网络,所述服务网络包括不同于与所述UE相关联的归属PLMN“HPLMN”的受访公共陆地移动网络“VPLMN”;
选择所述服务网络内的网络功能用于基于所述服务网络的名称为应用功能“AF”提供应用的认证及密钥管理“AKMA”安全上下文;且
向所述网络功能发送所述安全上下文。
2.根据权利要求1所述的方法,其中确定所述UE的所述服务网络包括检测到所述UE在服务网络中。
3.根据权利要求1所述的方法,其进一步包括:
生成AKMA密钥信息KAKMA及AKMA密钥标识符A-KID;
基于所述服务网络名称向所述所选择的网络功能发送注册请求消息,所述注册请求消息包括所述AKMA安全上下文,其包含所述KAKMA、所述A-KID及所述UE的订阅永久标识符“SUPI”;及
从所述所选择的网络功能接收用于在所述UE与所述服务网络的所述AF之间建立连接的注册响应消息。
4.根据权利要求3所述的方法,其中所述所选择的网络功能包括接入及移动性管理功能“AMF”及受访AKMA锚点功能“V-AAnF”中的一者。
5.根据权利要求1所述的方法,其中确定所述UE的所述服务网络包括以下中的至少一者:
向所述HPLMN的认证服务器功能“AUSF”查询所述服务网络名称;
在与所述UE的主认证期间检索所述服务网络名称;及
从所述AUSF接收所述服务网络名称以及所述AKMA密钥信息KAKMA。
6.根据权利要求5所述的方法,其中所述服务网络名称响应于服务网络名称请求而从所述AUSF接收,所述服务网络名称请求包括所述UE的订阅永久标识符“SUPI”。
7.根据权利要求5所述的方法,其进一步包括:
向所述服务网络内的所述所选择的网络功能发送密钥提供请求,所述密钥提供请求包括所述AKMA安全上下文,其包含AKMA AF KAF的密钥信息、所述KAF的期满时间、所述UE的订阅永久标识符“SUPI”及AKMA密钥标识符A-KID;及
从所述所选择的网络功能接收密钥提供响应消息。
8.根据权利要求5所述的方法,其进一步包括:
在与所述UE相关联的所述HPLMN的网络功能处从AF接收密钥请求,密钥注册请求用于为所述AF提供所述AKMA安全上下文以用于在所述UE与所述服务网络的所述AF之间建立连接;
检测到包括不同于与所述UE相关联的所述HPLMN的所述VPLMN的所述服务网络未使用所述服务网络内的用于提供所述AKMA安全上下文的网络功能增强;及
向所述AF发送密钥响应,所述密钥响应包括NULL加密的指示及所述UE的订阅永久标识符“SUPI”。
9.根据权利要求1所述的方法,其进一步包括:
从所述服务网络接收所述AKMA AF KAF的AKMA密钥信息请求;
验证所述AKMA密钥信息请求;及
响应于验证所述AKMA密钥信息请求,生成所述AKMA AF KAF,并向所述服务网络发送包括所述AKMA AF KAF及所述KAF的期满时间的AKMA密钥信息响应。
10.一种网络设备,其包括:
处理器,其:
确定用户装备“UE”装置的服务网络,所述服务网络包括不同于与所述UE相关联的归属PLMN“HPLMN”的受访公共陆地移动网络“VPLMN”;且
选择所述服务网络内的网络功能用于基于所述服务网络的名称为应用功能“AF”提供应用的认证及密钥管理“AKMA”安全上下文;及
收发器,其向所述网络功能发送所述安全上下文。
11.根据权利要求10所述的设备,其中所述处理器通过检测到所述UE在服务网络中确定所述UE的所述服务网络。
12.根据权利要求10所述的设备,其中:
所述处理器生成AKMA密钥信息KAKMA及AKMA密钥标识符A-KID;
所述收发器:
基于所述服务网络名称向所述所选择的网络功能发送注册请求消息,所述注册请求消息包括所述AKMA安全上下文,其包含所述KAKMA、所述A-KID及所述UE的订阅永久标识符“SUPI”;及
从所述所选择的网络功能接收用于在所述UE与所述服务网络的所述AF之间建立连接的注册响应消息。
13.根据权利要求12所述的设备,其中所述所选择的网络功能包括接入及移动性管理功能“AMF”及受访AKMA锚点功能“V-AAnF”中的一者。
14.根据权利要求10所述的设备,其中所述处理器通过以下中的至少一者确定所述UE的所述服务网络:
向所述HPLMN的认证服务器功能“AUSF”查询所述服务网络名称;
在与所述UE的主认证期间检索所述服务网络名称;
从所述AUSF接收所述服务网络名称以及所述AKMA密钥信息KAKMA。
15.根据权利要求14所述的设备,其中所述服务网络名称响应于服务网络名称请求而从所述AUSF接收,所述服务网络名称请求包括所述UE的订阅永久标识符“SUPI”。
16.根据权利要求15所述的设备,其中:
所述收发器在与所述UE相关联的所述HPLMN的网络功能处从AF接收密钥请求,密钥注册请求用于为所述AF提供所述AKMA安全上下文以用于在所述UE与所述服务网络的所述AF之间建立连接;
所述处理器检测到包括不同于与所述UE相关联的所述HPLMN的所述VPLMN的所述服务网络未使用所述服务网络内的用于提供所述AKMA安全上下文的网络功能增强;及
所述收发器向所述AF发送密钥响应,所述密钥响应包括NULL加密的指示及所述UE的订阅永久标识符“SUPI”。
17.一种网络设备,其包括:
收发器,其:
在用户装备“UE”装置的服务网络的网络功能处接收密钥请求,所述服务网络包括不同于与所述UE相关联的归属PLMN“HPLMN”的受访公共陆地移动网络“VPLMN”,密钥注册请求用于基于所述服务网络的名称为应用功能“AF”提供应用的认证及密钥管理“AKMA”安全上下文以用于在所述UE与所述AF之间建立连接;且
向所述HPLMN的网络功能发送密钥响应。
18.根据权利要求17所述的设备,其进一步包括处理器,所述处理器在所述服务网络的所述网络功能处存储安全上下文信息。
19.根据权利要求17所述的设备,其中所述服务网络的所述网络功能包括接入及移动性管理功能“AMF”及受访AKMA锚点功能“V-AAnF”中的一者。
20.根据权利要求17所述的设备,其中:
处理器,其基于AKMA密钥标识符A-KID检测到所述密钥请求来自所述HPLMN中的AAnF;且
所述收发器:
向所述HPLMN中的所述AAnF发送所述密钥请求;及
从所述HPLMN的所述AAnF接收包括AKMA AF KAF的密钥信息及所述KAF的期满时间的密钥响应。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/515,238 | 2021-10-29 | ||
| US17/515,238 US20230136693A1 (en) | 2021-10-29 | 2021-10-29 | Enabling roaming with authentication and key management for applications |
| PCT/IB2022/060496 WO2023073670A1 (en) | 2021-10-29 | 2022-10-31 | Enabling roaming with authentication and key management for applications |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118020330A true CN118020330A (zh) | 2024-05-10 |
Family
ID=84331840
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280064595.XA Pending CN118020330A (zh) | 2021-10-29 | 2022-10-31 | 使用应用的认证及密钥管理实现漫游 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230136693A1 (zh) |
| CN (1) | CN118020330A (zh) |
| WO (1) | WO2023073670A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4294065A1 (en) * | 2022-06-17 | 2023-12-20 | Nokia Technologies Oy | Application key delivery in a roaming situation |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018178669A2 (en) * | 2017-03-31 | 2018-10-04 | University Of Strathclyde | Infra-red spectroscopy system |
| EP3847782A4 (en) * | 2018-09-06 | 2022-05-04 | Nokia Technologies Oy | AUTOMATED ROAMING QoS OF SERVICE ARRANGEMENTS BETWEEN NETWORK OPERATORS VIA SECURITY EDGE PROTECTION PROXIES IN A COMMUNICATION SYSTEMS ENVIRONMENT |
| CN113574829A (zh) * | 2019-03-12 | 2021-10-29 | 诺基亚技术有限公司 | 与第三方应用共享通信网络锚定加密密钥 |
| WO2020221612A1 (en) * | 2019-04-29 | 2020-11-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Handling of multiple authentication procedures in 5g |
| CN115004742A (zh) * | 2020-01-16 | 2022-09-02 | 中兴通讯股份有限公司 | 在通信网络中用于与服务应用的加密通信的锚密钥生成和管理的方法、设备和系统 |
| US20220210636A1 (en) * | 2020-12-29 | 2022-06-30 | Samsung Electronics Co., Ltd. | Method and system of enabling akma service in roaming scenario |
-
2021
- 2021-10-29 US US17/515,238 patent/US20230136693A1/en active Pending
-
2022
- 2022-10-31 CN CN202280064595.XA patent/CN118020330A/zh active Pending
- 2022-10-31 WO PCT/IB2022/060496 patent/WO2023073670A1/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023073670A1 (en) | 2023-05-04 |
| US20230136693A1 (en) | 2023-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230262593A1 (en) | Access network selection for a ue not supporting nas over non-3gpp access | |
| US20230231851A1 (en) | Authenticating a device not having a subscription in a network | |
| WO2020030248A1 (en) | Delegated data connection | |
| WO2022009156A1 (en) | Slice-specific security requirement information | |
| CN118020330A (zh) | 使用应用的认证及密钥管理实现漫游 | |
| CN115699677A (zh) | 用于确定认证类型的方法和装置 | |
| US20240098494A1 (en) | Revocation of uas-related authorization and security information | |
| US20230262460A1 (en) | Network function reallocation with security context | |
| US20230262457A1 (en) | Authentication using slice capability indication | |
| US20240031969A1 (en) | Control-plane and user-plane trusted non-3gpp gateway function | |
| WO2023198297A1 (en) | Registering with a mobile network after a first authentication with a wlan access network | |
| WO2022228673A1 (en) | Establishing an additional registration with a mobile network | |
| CN117158027A (zh) | 修改第一数据连接以支持第二数据连接的数据业务 | |
| CN115943652A (zh) | 使用隐藏标识的移动网络认证 | |
| US20230262453A1 (en) | Security context for target amf | |
| WO2023274567A1 (en) | Establishing a trust relationship between an application entity and a wireless communication network | |
| CN117480820A (zh) | 使用支持的网络切片信息的接入网络选择 | |
| WO2023041188A1 (en) | Method to connect to an access network | |
| WO2024017486A1 (en) | Tunnel establishment for non-seamless wlan offloading | |
| WO2023208392A1 (en) | Path switching between n0n-3gpp access paths | |
| WO2023117148A1 (en) | Slice-based network selection information | |
| CN117546536A (zh) | 选择非3gpp接入网络 | |
| CN117413570A (zh) | 具有网络切片选择辅助信息的接入网络选择策略 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |