TW202142010A - 用戶資料更新方法、裝置、節點和儲存媒體 - Google Patents
用戶資料更新方法、裝置、節點和儲存媒體 Download PDFInfo
- Publication number
- TW202142010A TW202142010A TW110115569A TW110115569A TW202142010A TW 202142010 A TW202142010 A TW 202142010A TW 110115569 A TW110115569 A TW 110115569A TW 110115569 A TW110115569 A TW 110115569A TW 202142010 A TW202142010 A TW 202142010A
- Authority
- TW
- Taiwan
- Prior art keywords
- network function
- function node
- user
- network
- user data
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 238000013523 data management Methods 0.000 claims abstract description 47
- 230000004044 response Effects 0.000 claims description 54
- 238000012508 change request Methods 0.000 claims description 23
- 238000007726 management method Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims 2
- 230000006870 function Effects 0.000 description 237
- 238000010586 diagram Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 9
- 230000011664 signaling Effects 0.000 description 6
- DJGAAPFSPWAYTJ-UHFFFAOYSA-M metamizole sodium Chemical compound [Na+].O=C1C(N(CS([O-])(=O)=O)C)=C(C)N(C)N1C1=CC=CC=C1 DJGAAPFSPWAYTJ-UHFFFAOYSA-M 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 239000000463 material Substances 0.000 description 3
- 238000009795 derivation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000004873 anchoring Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本文公開一種用戶資料更新方法、裝置、節點和儲存媒體。該用戶資料更新方法包括在第一網路功能節點確定用戶的AKMA架構的用戶資料更新的情況下,第一網路功能節點確定儲存用戶的AKMA上下文的第二網路功能節點;第一網路功能節點向第二網路功能節點發送用戶資料管理通知訊息;第一網路功能節點接收第二網路功能節點發送的用戶資料管理通知回應訊息;其中,用戶資料管理通知回應訊息是第二網路功能節點根據用戶資料管理通知訊息刪除用戶的AKMA上下文後發送的。
Description
本說明書涉及無線通訊技術領域,例如涉及一種用戶資料更新方法、裝置、節點和儲存媒體。
根據第三代合作夥伴計畫(3rd Generation Partnership Project,3GPP)標準工作組的定義,第五代移動通訊技術(5th generation wireless systems,5G)系統包括5G無線接入網(5G Radio Access Network,5G RAN)子系統、5G核心網(5G Core network,5GC)子系統。如圖1所示,5G系統的架構包括多個網路功能(Network Function,NF),其中,5G無線接入網子系統包括新一代無線(New Radio,NR)基站,即(無線)接入點((Radio) Access Node,(R)AN)。5G核心網子系統包括統一資料管理(Unified Data Management,UDM)功能、接入管理功能(Access Management Function,AMF)、會話管理功能(Session Management Function,SMF)、用戶面功能(User Plane Function,UPF)、策略控制功能(Policy Control Function,PCF)、安全錨點功能(Security Anchor Function,SEAF)、認證伺服器功能(Authentication Server Function,AUSF)和身份驗證憑據儲存庫和處理功能(Authentication Credential Repository and Processing Function,ARPF)。5G網路中包括有用戶隱藏識別碼(Subscription Concealed Identifier,SUCI)和用戶永久識別碼(Subscription Permanent Identifier,SUPI),其中,SUPI可以包括國際移動用戶識別碼(International Mobile Subscriber Identification Number,IMSI)或網路接入識別碼(Network Access Identifier,NAI)。
圖2是基於服務化架構的應用的身份認證和金鑰管理架構(Architecture for Authentication and Key Management for Applications,AKMA)的示意圖,其相對於5G網路系統引入了新的網路功能—AKMA錨定功能(AKMA Anchor Function,AAnF),AAnF位於歸屬網路,主要用於產生用戶設備(User Equipment,UE)與應用功能(Application Function,AF)之間的會話秘鑰,以及維護AAnF與UE之間的安全上下文。AAnF與通用引導認證機制(General Bootstrapping Architecture,GBA)中的自舉服務功能(Bootstrapping Server Function,BSF)功能類似,同時UE與AF之間的介面Ua*也與GBA中的Ua介面近似,另外,圖2中的Nnef、Nausf、Naanf和Namf分別為網路開放功能(Network Exposure Function,NEF)、AUSF、AAnF和AMF的基於服務化介面。
圖3是應用的身份認證和金鑰管理系統的金鑰推衍架構的示意圖,UE接入5G網路,透過w和金鑰協商(Authentication and Key Agreement,AKA),即5G-AKA,或者可擴充認證協議(Extensible Authentication Protocol)-AKA’,即EAP-AKA’,認證成功後,AUSF和UE產生金鑰KAUSF
,同時由金鑰KAUSF
推衍出AKMA錨定金鑰KAKMA
,移動設備(Mobile Equipment,ME)和AAnF由金鑰KAKMA
推衍出應用金鑰KAF
,其中AUSF和AAnF均在歸屬網路中。
在相關技術中,通常以重用5G主認證流程(即上述5G-AKA或EAP-AKA’)的方式產生金鑰KAKMA
,當認證成功後,UE和AUSF由金鑰KAUSF
推衍產生AKMA錨定金鑰KAKMA
,在產生金鑰KAKMA
的同時也產生金鑰KAKMA
的相關金鑰識別碼A-KID,那麼金鑰KAKMA
也只能透過5G主認證流程進行更新。而AKMA技術為5G網路用戶提供了用戶到應用的端到端的安全保護,若用戶資料發生更新,則將會影響AKMA服務的使用,若AAnF繼續保留AKMA相關的安全上下文,那麼存在AKMA相關的安全上下文被攻擊者濫用的可能性。
本說明書提供一種用戶資料更新方法、裝置、節點和儲存媒體,旨在用戶資料發生更新的情況下,使第二網路功能節點不保留AKMA相關的上下文,從而避免AKMA相關的上下文被攻擊者濫用的情況。
本說明書實施例提供了一種用戶資料更新方法,包括:
在第一網路功能節點確定用戶的AKMA用戶資料更新的情況下,第一網路功能節點確定儲存用戶的AKMA上下文的第二網路功能節點;第一網路功能節點向第二網路功能節點發送用戶資料管理通知訊息;第一網路功能節點接收第二網路功能節點發送的用戶資料管理通知回應訊息;其中,用戶資料管理通知回應訊息是所述第二網路功能節點根據用戶資料管理通知訊息刪除用戶的AKMA上下文後發送的。
本說明書實施例還提供了一種用戶資料更新方法,包括:
第三網路功能節點接收第一網路功能節點發送的查詢訊息;第三網路功能節點根據查詢訊息確定第二網路功能節點;第三網路功能節點向第一網路功能節點發送查詢回應訊息,查詢回應訊息中攜帶有第二網路功能節點的識別碼或地址。
本說明書實施例還提供了一種用戶資料更新方法,該方法包括:
第四網路功能節點確定第二網路功能節點;第四網路功能節點向第一網路功能節點發送訊息;訊息中攜帶有第二網路功能節點的識別碼或地址。
本說明書實施例還提供了一種用戶資料更新裝置,該裝置包括:
確定模組,用於在確定用戶的AKMA用戶資料更新的情況下,確定儲存用戶的AKMA上下文的第二網路功能節點;發送模組,用於向第二網路功能節點發送用戶資料管理通知訊息;接收模組,用於接收第二網路功能節點發送的用戶資料管理通知回應訊息;其中,用戶資料管理通知回應訊息是第二網路功能節點根據用戶資料管理通知訊息刪除用戶的AKMA上下文後發送的。
本說明書實施例還提供了一種用戶資料更新裝置,該裝置包括:
接收模組,用於接收第一網路功能節點發送的查詢訊息;確定模組,用於根據查詢訊息確定第二網路功能節點;發送模組,用於向第一網路功能節點發送查詢回應訊息,查詢回應訊息中攜帶有第二網路功能節點的識別碼或地址。
本說明書實施例還提供了一種用戶資料更新裝置,該裝置包括:
確定模組,用於確定第二網路功能節點;發送模組,用於向第一網路功能節點發送訊息;訊息中攜帶有所述第二網路功能節點的識別碼或地址。
本說明書實施例還提供了一種網路功能節點,該節點包括處理器,當程式被處理器執行時實作本說明書實施例提供的用戶資料更新方法。
本說明書實施例還提供了一種可讀寫儲存媒體,用於電腦儲存,儲存媒體儲存有一個或者多個程式,該一個或者多個程式可被一個或者多個處理器執行,以實作本說明書實施例提供的用戶資料更新方法。
本說明書實施例提供了一種用戶資料更新方法、裝置、節點和儲存媒體,該方法包括在第一網路功能節點確定用戶的AKMA用戶資料更新的情況下,第一網路功能節點確定儲存用戶的AKMA上下文的第二網路功能節點;第一網路功能節點向第二網路功能節點發送用戶資料管理通知訊息;第一網路功能節點接收第二網路功能節點發送的用戶資料管理通知回應訊息;其中,用戶資料管理通知回應訊息是第二網路功能節點根據用戶資料管理通知訊息刪除用戶的AKMA上下文後發送的。透過這樣的設計方式,在用戶資料發生更新的情況下,第二網路功能節點不保留AKMA相關的上下文,從而避免了AKMA相關的上下文被攻擊者濫用的情況。
下文中將結合附圖對本說明書的實施例進行說明。
另外,在本說明書實施例中,“可選地”或者“示例性地”等詞用於表示作例子、例證或說明。本說明書實施例中被描述為“可選地”或者“示例性地”的任何實施例或設計方案不應被解釋為比其它實施例或設計方案更優選或更具優勢。確切而言,使用“可選地”或者“示例性地”等詞旨在以具體方式呈現相關概念。
為了便於理解本說明書實施例提供的方法,對本說明書實施例以及附圖中所涉及的網路功能節點功能等相關概念進行解釋:
UDM用於永久存放用戶資料,位於用戶的歸屬網;ARPF儲存用於認證的長期安全憑證,並使用長期安全憑證作為輸入執行金鑰運算。UDM和ARPF位於運營商或者協力廠商系統的安全環境中,不會暴露給非授權的物理接入。另外,ARPF和AUSF之間可以進行交互。
AMF用於對用戶接入到網路的需求進行管理,負責終端到網路的非接入層(Non-Access Stratum,NAS)信令管理、用戶移動性管理等功能。AMF具有SEAF,SEAF與AUSF以及UE交互,接收為UE認證程式而建立的中間金鑰。針對基於全球用戶識別卡(Universal Subscriber Identity Module,USIM)的認證方式,AMF從AUSF獲取安全相關資料。
AUSF具有與ARPF交互的認證功能,並可以終止來自SEAF的要求。AUSF位於運營商或協力廠商系統的安全環境中,不會暴露給未授權的物理接入。
SMF用於管理用戶的分組資料單元(Packet Data Unit,PDU)會話、服務品質(Quality of Service,QoS)流,為UPF制定包檢測和轉發規則等。
UPF負責網際協議(Internet Protocol,IP)資料、非IP資料的路由和轉發、用量上報等功能。
PCF負責為AMF、SMF提供各級別策略規則。
資料網路(Data Network,DN),包括例如運營商服務,網路接入,協力廠商服務等網路。
AF用於對AF會話進行管理。
SUCI包括六部分:
(1)SUPI型別(SUPI Type),取值為0-7,其中0為國際移動用戶識別碼(International Mobile Subscriber Identity,IMSI),1為網路接入識別碼(Network Access Identifier,NAI),其他保留。
(2)歸屬網路識別碼(Home Network Identifier),識別碼歸屬網路用戶,當SUPI為IMSI時,由移動國家碼(Mobile Country Code,MCC)和移動網路碼(Mobile Network Code,MNC)組成;當SUPI為NAI時,NAI由標準網際網路工程任務組要求評論(The Internet Engineering Task Force Request For Comments,IETF RFC)7542中的2.2章節定義。
(3)路由指示(Routing Indicator,RID),由歸屬網路運營商分配,配置在手機卡(USIM)中,和歸屬網路識別碼共同指示網路信令到服務用戶的AUSF和UDM。
(4)保護方案識別碼(Protection Scheme Identifier),表示無保護(null-scheme)或者有保護(non-null-scheme)兩種之一。
(5)歸屬網路公開金鑰識別碼(Home Network Public Key Identifier),表示一個歸屬網路提供的為保護SUPI的公開金鑰的識別碼,當無保護情況下,值為0。
(6)保護方案輸出(Scheme Output),當無保護時,Scheme Output為IMSI的移動用戶識別號碼(Mobile Subscriber Identification Number,MSIN)部分或者NAI;當有保護時,Scheme Output為使用橢圓曲線加密MSIN和NAI的值。
例如,當IMSI為234150999999999,即MCC=234,MNC=15和MSIN=0999999999,路由指示為678,歸屬網路公開金鑰識別碼為27時,無保護的SUCI為0、234、15、678、0、0和0999999999,有保護的SUCI為0、234、15、678、1、27、<橢圓曲線密碼學(Elliptic Curve Cryptography,EEC)臨時公開金鑰值(EEC ephemeral public key value)>、<加密0999999999>和<媒體接入控制(Medium Access Control,MAC)識別碼值(MAC tag value)>。
如圖4所示,5G主認證程式如下:
S401、AUSF與UDM交互,獲取認證資訊。例如,認證憑證(AKA認證向量(Authentication Vector,AV)),認證方法使用Nudm_UEAuthentication_Get Request服務操作。
S402、在回應訊息中,UDM可以向AUSF指示是否需要為UE產生AKMA金鑰。
S403、如果AUSF收到UDM的AKMA指示,則AUSF儲存KAUSF
,並在主認證成功後基於KAUSF
產生AKMA錨定金鑰KAKMA
和A-KID。在UE啟動與AKMA應用伺服器的通訊之前,UE基於KAUSF
產生AKMA錨定金鑰KAKMA
和A-KID。
S404、AUSF產生AKMA金鑰材料後,使用Naanf_AKMA_KeyRegistration Request服務操作將用戶的SUPI、產生的A-KID和KAKMA
發送到AAnF。AAnF儲存AUSF發送的最新金鑰材料。
S405、AAnF使用Naanf_AKMA_KeyRegistration Response服務操作,將回應發送給AUSF。
本說明書實施例提供了一種用戶資料更新方法,該方法流程圖如圖5所示,包括但不限於以下步驟:
S501、在第一網路功能節點確定用戶的AKMA用戶資料更新的情況下,第一網路功能節點確定儲存用戶的AKMA上下文的第二網路功能節點。
在本說明書實施例中,可以將本步驟中的第一網路功能節點理解為UDM,將第二網路功能節點理解為AAnF。
本步驟中用戶的AKMA用戶資料更新的情況可以包括但不限於以下幾種情況:一、用戶退網,在UDM中刪除用戶訊息;二、用戶不使用AKMA服務,刪除AKMA用戶資訊;三、由於欠費等各種原因,用戶不能使用服務。
也即本步驟可以理解為在用戶的AKMA用戶資料發生更新的情況下,UDM需要確認儲存用戶的AKMA上下文的AAnF。
S502、第一網路功能節點向第二網路功能節點發送用戶資料管理通知訊息。
第一網路功能節點確定第二網路功能節點後,向第二網路功能節點發送用戶資料管理通知訊息時,可以在訊息中攜帶用戶識別碼SUPI。可選地,也可以在該訊息中攜帶用戶的AKMA用戶指示。
S503、第一網路功能節點接收第二網路功能節點發送的用戶資料管理通知回應訊息。
第二網路功能節點接收到第一網路功能節點發送的用戶資料管理通知訊息後,可以根據訊息中攜帶的用戶識別碼SUPI,刪除其儲存的該用戶的AKMA上下文,例如,SUPI、A-KID和KAKMA
,進而向第一網路功能節點發送用戶資料管理通知回應訊息。
本說明書實施例提供了一種用戶資料更新方法,該方法包括在第一網路功能節點確定用戶的AKMA用戶資料更新的情況下,第一網路功能節點確定儲存用戶的AKMA上下文的第二網路功能節點;第一網路功能節點向第二網路功能節點發送用戶資料管理通知訊息;第一網路功能節點接收第二網路功能節點發送的用戶資料管理通知回應訊息;其中,用戶資料管理通知回應訊息是第二網路功能節點根據用戶資料管理通知訊息刪除用戶的AKMA上下文後發送的。透過這樣的設計方式,在使用者用戶資料發生更新的情況下,第二網路功能節點不保留AKMA相關的上下文,從而避免AKMA相關的上下文被攻擊者濫用的情況。
在一種實施例中,上述步驟S501的實作方式可以包括但不限於以下幾種情況:
第一種情況,第一網路功能節點根據本地配置確定第二網路功能節點;第二種情況,第一網路功能節點透過第三網路功能節點確定第二網路功能節點;第三種情況,第一網路功能節點透過第四網路功能節點確定第二網路功能節點。
如圖6所示,上述第一種情況的實作方式可以包括,第一網路功能節點根據用戶識別碼的部分欄位元確定第二網路功能節點。
示例性地,上述部分欄位元可以包括MCC或者MNC等。
如圖7所示,上述第二種情況的實作方式可以包括以下程式:第一網路功能節點向第三網路功能節點發送查詢訊息;第一網路功能節點接收第三網路功能節點根據查詢訊息發送的查詢回應訊息,該查詢回應訊息中攜帶有第二網路功能節點的識別碼或地址;第一網路功能節點根據查詢回應訊息確定第二網路功能節點。
示例性地,上述查詢訊息中可以攜帶有網路功能名(例如,AAnF)和/或網路型別(例如,AAnF型別),以及,用戶識別碼SUPI和/或第一網路功能節點的位置資訊。上述第三網路功能節點可以為網路儲存庫功能(Network Repository Function,NRF),即NRF根據查詢訊息中的SUPI和/或UDM位置資訊,以及AAnF網路功能名和/或AAnF網路型別查詢儲存用戶AKMA上下文的AAnF,進而向UDM發送查詢回應訊息。
如圖8所示,在一種實施例中,上述第三種情況的實作方式可以包括以下程式:第一網路功能節點向第四網路功能節點發送用戶改變要求訊息;第一網路功能節點接收第四網路功能節點發送的用戶改變要求回應訊息,用戶改變要求回應訊息攜帶有第二網路功能節點的識別碼或地址;第一網路功能節點根據用戶改變要求回應訊息確定第二網路功能節點。
示例性地,上述第四網路功能節點可以為AUSF,上述用戶改變要求中可以攜帶有網路功能名(例如,AAnF)和/或網路型別(例如,AAnF型別),以及,用戶識別碼SUPI和/或第一網路功能節點的位置資訊。即AUSF根據SUPI和/或UDM位置資訊,以及AAnF網路功能名和/或AAnF網路型別查詢儲存用戶AKMA上下文的AAnF,並將查詢結果以用戶改變要求回應訊息的方式發送至UDM。
如圖9所示,在一種實施例中,上述第三種情況的實作方式還可以包括以下程式:第一網路功能節點接收第四網路功能節點發送的用戶資料管理用戶訊息,用戶資料管理用戶訊息攜帶第二網路功能節點的識別碼或地址;第一網路功能節點根據用戶資料管理用戶訊息儲存第二網路功能節點的識別碼或地址;第一網路功能節點根據儲存的第二網路功能節點的識別碼或地址確定第二網路功能節點。
可選地,第一網路功能節點接收第四網路功能節點發送的用戶資料管理用戶訊息後,還可以向第四網路功能節點發送用戶資料管理用戶回應訊息。
在第一網路功能節點接收第四網路功能節點發送的用戶資料管理用戶訊息之前,第一網路功能節點還可以透過第四網路功能節點執行主認證程式,該主認證程式即為本說明書圖4所提供的實作方式。結合圖4可以看出,AUSF產生AKMA金鑰材料後,將這一內容發送至AAnF,由AAnF進行儲存。這樣,在用戶的AKMA用戶資料更新的情況下,UDM可以根據儲存的AAnF的識別碼或位址向AAnF發送用戶管理通知訊息。
圖10是本說明書實施例提供的一種用戶資料更新方法的流程圖,如圖10所示,該方法可以包括但不限於以下步驟:
S1001、第三網路功能節點接收第一網路功能節點發送的查詢訊息。
本說明書實施例中的第三網路功能節點可以為NRF,第一網路功能節點可以為UDM,第一網路功能節點發送的查詢訊息中可以攜帶有網路功能名和/或網路型別,以及,用戶識別碼和/或第一網路功能節點的位置資訊。
S1002、第三網路功能節點根據查詢訊息確定第二網路功能節點。
第三網路功能節點根據查詢訊息中的網路功能名和/或網路型別,以及,用戶識別碼和/或第一網路功能節點的位置資訊查詢第二網路功能節點。其中,該第二網路功能節點可以為AAnF,AAnF用於儲存用戶的AKMA上下文。
S1003、第三網路功能節點向第一網路功能節點發送查詢回應訊息。
第三網路功能節點發送的查詢回應訊息中攜帶有第二網路功能節點的識別碼或地址。
本說明書實施例提供了一種用戶資料更新方法,該方法包括第三網路功能節點接收第一網路功能節點發送的查詢訊息;第三網路功能節點根據查詢訊息確定第二網路功能節點;第三網路功能節點向第一網路功能節點發送查詢回應訊息,查詢回應訊息中攜帶有第二網路功能節點的識別碼或地址。透過上述方案可以有效確定第二網路功能節點,進而可以在用戶資料發生更新的情況下,實作第一網路功能節點向第二網路功能節點發送用戶資料管理通知訊息,以使得第二網路功能節點不保留AKMA相關的上下文,從而避免AKMA相關的上下文被攻擊者濫用的情況。
圖11是本說明書實施例提供的一種用戶資料更新方法的流程圖,如圖11所示,該方法可以包括但不限於以下步驟:
S1101、第四網路功能節點確定第二網路功能節點。
本說明書實施例中的第四網路功能節點可以為AUSF,第二網路功能節點可以為AAnF,AAnF用於儲存用戶的AKMA上下文。
示例性地,本步驟的實作方式可以包括:第四網路功能節點接收第一網路功能節點發送的用戶改變要求訊息,該用戶改變要求訊息中攜帶用戶識別碼;第四網路功能節點根據用戶識別碼查詢第二網路功能節點。其中,上述第一網路功能節點可以為UDM,即AUSF接收UDM發送的用戶改變要求訊息後,AUSF根據該訊息中的用戶識別碼查詢儲存用戶的AKMA上下文的AAnF。
S1102、第四網路功能節點向第一網路功能節點發送訊息。
第四網路功能節點發送的訊息中可以攜帶有第二網路功能節點的識別碼或位址。
本說明書實施例提供了一種用戶資料更新方法,該方法包括第四網路功能節點確定第二網路功能節點,第四網路功能節點向第一網路功能節點發送訊息,該訊息中攜帶有第二網路功能節點的識別碼或地址。透過上述方案可以實作第一網路功能節點確定第二網路功能節點,進而在用戶資料發生更新的情況下,由第一網路功能節點向第二網路功能節點發送用戶資料管理通知訊息,以使得第二網路功能節點不保留AKMA相關的上下文,從而避免AKMA相關的上下文被攻擊者濫用的情況。
圖12是本說明書實施例提供的一種用戶資料更新裝置,如圖12所示,該裝置可以包括:確定模組1201、發送模組1202、接收模組1203;其中,確定模組1202,用於在所述裝置確定用戶的AKMA用戶資料更新的情況下,確定儲存用戶的AKMA上下文的第二網路功能節點;發送模組1202,用於向第二網路功能節點發送用戶資料管理通知訊息;接收模組1203,用於接收第二網路功能節點發送的用戶資料管理通知回應訊息;其中,用戶資料管理通知回應訊息是第二網路功能節點根據用戶資料管理通知訊息刪除用戶的AKMA上下文後發送的。
在一種示例中,上述確定模組1201用於根據本地配置確定第二網路功能節點;或者,透過第三網路功能節點確定第二網路功能節點;或者,透過第四網路功能節點確定第二網路功能節點。
在一種示例中,確定模組1201,可以根據用戶識別碼的部分欄位元確定第二網路功能節點。
在一種示例中,確定模組1201可以包括通訊單元和確定單元;通訊單元,用於向第三網路功能節點發送查詢訊息,以及接收第三網路功能節點根據查詢訊息發送的查詢回應訊息,該查詢回應訊息中攜帶有第二網路功能節點的識別碼或地址;確定單元,用於根據查詢回應訊息確定第二網路功能節點。
在一種示例中,確定模組1201,可以包括通訊單元和確定單元;通訊單元,用於向第四網路功能節點發送用戶改變要求訊息,以及接收第四網路功能節點發送的用戶改變要求回應訊息,該用戶改變要求回應訊息攜帶有第二網路功能節點的識別碼或地址;確定單元,用於根據用戶改變要求回應訊息確定第二網路功能節點。
上述查詢訊息可以攜帶網路功能名和/或網路型別,以及,用戶識別碼和/或第一網路功能節點的位置資訊;上述用戶改變要求訊息可以攜帶網路功能名和/或網路型別,以及,用戶識別碼和/或第一網路功能節點的位置資訊。
在一種示例中,上述確定模組1201,可以包括通訊單元、儲存單元和確定單元;通訊單元,用於接收第四網路功能節點發送的用戶資料管理用戶訊息,用戶資料管理用戶訊息攜帶第二網路功能節點的識別碼或地址;儲存單元,用於根據用戶資料管理用戶訊息儲存第二網路功能節點的識別碼或地址;確定單元,用於根據儲存的第二網路功能節點的識別碼或地址確定第二網路功能節點。
在一種示例中,上述裝置還可以包括認證模組,用於透過第四網路功能節點執行主認證程式。
本實施例提供的用戶資料更新裝置用於實作圖5、圖6、圖7、圖8、圖9所示實施例的用戶資料更新方法,其實作原理和技術效果類似,此處不再贅述。
圖13是本說明書實施例提供的一種用戶資料更新裝置,如圖13所示,該裝置可以包括:接收模組1301、確定模組1302、發送模組1303;其中,接收模組1301,用於接收第一網路功能節點發送的查詢訊息;確定模組1302,用於根據查詢訊息確定第二網路功能節點;發送模組1303,用於向第一網路功能節點發送查詢回應訊息,查詢回應訊息中攜帶有第二網路功能節點的識別碼或地址。
其中,上述查詢訊息攜帶有網路功能名和/或網路型別,以及,用戶識別碼和/或第一網路功能節點的位置資訊。
本實施例提供的用戶資料更新裝置用於實作圖10所示實施例的用戶資料更新方法,其實作原理和技術效果類似,此處不再贅述。
圖14是本說明書實施例提供的一種用戶資料更新裝置,如圖14所示,該裝置可以包括:確定模組1401、發送模組1402;其中,確定模組1401,用於確定第二網路功能節點;發送模組1402,用於向第一網路功能節點發送訊息,該訊息中攜帶有第二網路功能節點的識別碼或地址。
可選地,上述確定模組1401可以包括通訊單元,以及查詢單元;通訊單元,用於接收第一網路功能節點發送的用戶改變要求訊息,用戶改變要求訊息中攜帶有用戶識別碼;查詢單元,用於根據用戶識別碼查詢第二網路功能節點。
本實施例提供的用戶資料更新裝置用於實作圖11所示實施例的用戶資料更新方法,其實作原理和技術效果類似,此處不再贅述。
圖15為本說明書實施例提供的一種網路節點的結構示意圖,如圖15所示,該網路節點包括處理器1501和記憶體1502;網路節點中處理器1501的數量可以是一個或多個,圖15中以一個處理器1501為例;網路節點中的處理器1501和記憶體1502可以透過匯流排或其他方式連接,圖15中以透過匯流排連接為例。
記憶體1502作為一種電腦可讀儲存媒體,可用於儲存軟體程式、電腦可執行程式以及模組,如本說明書圖5至圖11任一實施例中的方法對應的程式指令/模組。處理器1501透過執行儲存在記憶體1502中的軟體程式、指令以及模組實作上述的圖5至圖11實施例中的方法。
記憶體1502可主要包括儲存程式區和儲存資料區,其中,儲存程式區可儲存作業系統、至少一個功能所需的應用程式;儲存資料區可儲存根據機上盒的使用所創建的資料等。此外,記憶體1502可以包括高速接入隨機接入記憶體,還可以包括非易失性記憶體,例如至少一個磁碟記憶體件、快閃記憶體器件、或其他非易失性固態記憶體件。
在一種示例中,在可能的情況下,上述節點中的處理器1501也可以透過其內部的邏輯電路、門電路等硬體電路實作上述的用戶資料更新方法。
本說明書實施例還提供了一種可讀寫儲存媒體,用於電腦儲存,儲存媒體儲存有一個或者多個程式,在一個或者多個程式可被一個或者多個處理器執行時,可以實作如圖5至圖11任一實施例所提供的方法。
上文中所公開方法中的全部或一些步驟、設備中的功能模組/單元可以被實施為軟體、韌體、硬體及其適當的組合。
在硬體實施方式中,在以上描述中提及的功能模組/單元之間的劃分不一定對應於物理元件的劃分;例如,一個物理元件可以具有多個功能,或者一個功能或步驟可以由多個物理元件合作執行。一些物理元件或所有物理元件可以被實施為由處理器,如中央處理器、數位訊號處理器或微處理器執行的軟體,或者被實施為硬體,或者被實施為積體電路,如專用積體電路。這樣的軟體可以分佈在電腦可讀媒體上,電腦可讀媒體可以包括電腦儲存媒體(或非暫時性媒體)和通訊媒體(或暫時性媒體)。術語電腦儲存媒體包括在用於儲存資訊(諸如電腦可讀指令、資料結構、程式模組或其他資料)的任何方法或技術中實施的易失性和非易失性、可移除和不可移除媒體。電腦儲存媒體包括但不接入限於隨機接入記憶體(Random Access Memory,RAM)、唯讀記憶體(Read-Only Memory,ROM)、帶電可擦可程式唯讀記憶體(Electrically Erasable Programmable Read-Only Memory,EEPROM)、快閃記憶體或其他記憶體技術、光碟唯讀記憶體(Compact Disc Read-Only Memory,CD-ROM)、數位多功能盤(Digital Versatile Disc,DVD)或其他光碟儲存、磁盒、磁帶、磁片儲存或其他磁儲存裝置、或者可以用於儲存期望的資訊並且可以被電腦接入的任何其他的媒體。通訊媒體通常包含電腦可讀指令、資料結構、程式模組或者諸如載波或其他傳輸機制之類的調變資料信號中的其他資料,並且可包括任何資訊遞送媒體。
S401, S402, S403, S404, S405:步驟
S501, S502, S503, S1001, S1002, S1003, S1101, S1102:步驟
1201:確定模組
1202:發送模組
1203:接收模組
1301:接收模組
1302:確定模組
1303:發送模組
1401:確定模組
1402:發送模組
1501:處理器
1502:記憶體
圖1是相關技術中的5G系統架構的示意圖;
圖2是相關技術中的應用的身份認證和金鑰管理系統架構的示意圖;
圖3是相關技術中的應用的身份認證和金鑰管理系統的金鑰推衍架構的示意圖;
圖4是相關技術中的AKMA錨定金鑰產生方法的流程示意圖;
圖5是本說明書實施例提供的一種用戶資料更新方法的流程圖;
圖6是本說明書實施例提供的一種用戶資料更新方法的信令交互示意圖;
圖7是本說明書實施例提供的一種用戶資料更新方法的信令交互示意圖;
圖8是本說明書實施例提供的一種用戶資料更新方法的信令交互示意圖;
圖9是本說明書實施例提供的一種用戶資料更新方法的信令交互示意圖;
圖10是本說明書實施例提供的一種用戶資料更新方法的流程圖;
圖11是本說明書實施例提供的一種用戶資料更新方法的流程圖;
圖12是本說明書實施例提供的一種用戶資料更新裝置的結構示意圖;
圖13是本說明書實施例提供的一種用戶資料更新裝置的結構示意圖;
圖14是本說明書實施例提供的一種用戶資料更新裝置的結構示意圖;
圖15是本說明書實施例提供的一種網路功能節點的結構示意圖。
S501,S502,S503:步驟
Claims (17)
- 一種用戶資料更新方法,包括: 在一第一網路功能節點確定用戶的應用的身份認證和金鑰管理架構AKMA用戶資料更新的情況下,該第一網路功能節點確定儲存該用戶的AKMA上下文的一第二網路功能節點; 該第一網路功能節點向該第二網路功能節點發送一用戶資料管理通知訊息; 該第一網路功能節點接收該第二網路功能節點發送的一用戶資料管理通知回應訊息; 其中,該用戶資料管理通知回應訊息是該第二網路功能節點根據該用戶資料管理通知訊息刪除該用戶的AKMA上下文後發送的。
- 根據請求項1所述的方法,其中,該第一網路功能節點確定儲存該用戶的AKMA上下文的一第二網路功能節點,包括: 該第一網路功能節點根據一本地配置確定該第二網路功能節點;或者, 該第一網路功能節點透過一第三網路功能節點確定該第二網路功能節點;或者, 該第一網路功能節點透過一第四網路功能節點確定該第二網路功能節點。
- 根據請求項2所述的方法,其中,該第一網路功能節點根據該本地配置確定該第二網路功能節點,包括: 該第一網路功能節點根據用戶識別碼的部分欄位元確定該第二網路功能節點。
- 根據請求項2所述的方法,其中,該第一網路功能節點透過該第三網路功能節點確定該第二網路功能節點,包括: 該第一網路功能節點向該第三網路功能節點發送一查詢訊息; 該第一網路功能節點接收該第三網路功能節點根據該查詢訊息發送的一查詢回應訊息;該查詢回應訊息中攜帶有該第二網路功能節點的識別碼或地址; 該第一網路功能節點根據該查詢回應訊息確定該第二網路功能節點。
- 根據請求項2所述的方法,其中,該第一網路功能節點透過該第四網路功能節點確定該第二網路功能節點,包括: 該第一網路功能節點向該第四網路功能節點發送一用戶改變請求訊息; 該第一網路功能節點接收該第四網路功能節點發送的一用戶改變請求回應訊息,該用戶改變請求回應訊息攜帶有該第二網路功能節點的識別碼或地址; 該第一網路功能節點根據該用戶改變請求回應訊息確定該第二網路功能節點。
- 根據請求項4或5所述的方法,其中,該查詢訊息攜帶網路功能名和網路型別中的至少之一,以及,用戶識別碼和該第一網路功能節點的位置資訊中的至少之一; 該用戶改變請求訊息攜帶網路功能名和網路型別中的至少之一,以及,用戶識別碼和該第一網路功能節點的位置資訊中的至少之一。
- 根據請求項2所述的方法,其中,該第一網路功能節點透過該第四網路功能節點確定該第二網路功能節點,包括: 該第一網路功能節點接收該第四網路功能節點發送的用戶資料管理用戶訊息,該用戶資料管理用戶訊息攜帶該第二網路功能節點的識別碼或地址; 該第一網路功能節點根據該用戶資料管理用戶訊息儲存該第二網路功能節點的識別碼或地址; 該第一網路功能節點根據儲存的該第二網路功能節點的識別碼或地址確定該第二網路功能節點。
- 根據請求項7所述的方法,在該第一網路功能節點接收該第四網路功能節點發送的用戶資料管理用戶訊息之前,還包括: 該第一網路功能節點透過該第四網路功能節點執行一主認證程式。
- 一種用戶資料更新方法,包括: 一第三網路功能節點接收一第一網路功能節點發送的一查詢訊息; 該第三網路功能節點根據該查詢訊息確定一第二網路功能節點; 該第三網路功能節點向該第一網路功能節點發送一查詢回應訊息,該查詢回應訊息中攜帶有該第二網路功能節點的識別碼或地址。
- 根據請求項9所述的方法,其中,該查詢訊息攜帶網路功能名和網路型別中的至少之一,以及,用戶識別碼和該第一網路功能節點的位置資訊中的至少之一。
- 一種用戶資料更新方法,包括: 一第四網路功能節點確定一第二網路功能節點; 該第四網路功能節點向一第一網路功能節點發送訊息; 該訊息中攜帶有該第二網路功能節點的識別碼或地址。
- 根據請求項11所述的方法,其中,該第四網路功能節點確定該第二網路功能節點,包括: 該第四網路功能節點接收該第一網路功能節點發送的一用戶改變請求訊息,該用戶改變請求訊息中攜帶一用戶識別碼; 該第四網路功能節點根據該用戶識別碼查詢該第二網路功能節點。
- 一種用戶資料更新裝置,包括: 一確定模組,設定為在確定一用戶的應用的身份認證和金鑰管理架構AKMA用戶資料更新的情況下,確定儲存該用戶的AKMA上下文的一第二網路功能節點; 一發送模組,設定為向該第二網路功能節點發送一用戶資料管理通知訊息; 一接收模組,設定為接收該第二網路功能節點發送的一用戶資料管理通知回應訊息; 其中,該用戶資料管理通知回應訊息是該第二網路功能節點根據該用戶資料管理通知訊息刪除該用戶的AKMA上下文後發送的。
- 一種用戶資料更新裝置,包括: 一接收模組,設定為接收一第一網路功能節點發送的一查詢訊息; 一確定模組,設定為根據該查詢訊息確定一第二網路功能節點; 一發送模組,設定為向該第一網路功能節點發送一查詢回應訊息,該查詢回應訊息中攜帶有該第二網路功能節點的識別碼或地址。
- 一種用戶資料更新裝置,包括: 一確定模組,設定為確定一第二網路功能節點; 一發送模組,設定為向第一網路功能節點發送一訊息; 該訊息中攜帶有該第二網路功能節點的識別碼或地址。
- 一種網路功能節點,包括:一處理器,該處理器執行電腦程式時,實作如請求項1至8任一項所述的用戶資料更新方法,或者,如請求項9至10任一項所述的用戶資料更新方法,或者,如請求項11至12任一項所述的用戶資料更新方法。
- 一種可讀寫儲存媒體,儲存有電腦程式,該電腦程式被處理器執行時實作如請求項1至8任一項所述的用戶資料更新方法,或者,如請求項9至10任一項所述的用戶資料更新方法,或者,如請求項11至12任一項所述的用戶資料更新方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011111639.9A CN112512044A (zh) | 2020-10-16 | 2020-10-16 | 签约数据更新方法、装置、节点和存储介质 |
| CN202011111639.9 | 2020-10-16 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW202142010A true TW202142010A (zh) | 2021-11-01 |
Family
ID=74954136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW110115569A TW202142010A (zh) | 2020-10-16 | 2021-04-29 | 用戶資料更新方法、裝置、節點和儲存媒體 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20230232240A1 (zh) |
| EP (1) | EP4106372A4 (zh) |
| JP (1) | JP2023544664A (zh) |
| KR (1) | KR20230088627A (zh) |
| CN (2) | CN117041955A (zh) |
| TW (1) | TW202142010A (zh) |
| WO (1) | WO2022078214A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117041955A (zh) * | 2020-10-16 | 2023-11-10 | 中兴通讯股份有限公司 | 签约数据更新方法、装置、节点和存储介质 |
| CN113316138B (zh) * | 2021-04-27 | 2023-04-07 | 中盈优创资讯科技有限公司 | 一种应用层加密实现方法及其实现装置 |
| CN117750349A (zh) * | 2022-09-20 | 2024-03-22 | 维沃移动通信有限公司 | 参数获取方法、装置、第一网络功能及第二网络功能 |
| WO2024113159A1 (en) * | 2022-11-29 | 2024-06-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, network nodes, and media for implicit event subscription removal |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109964453B (zh) * | 2016-09-18 | 2022-07-26 | 上海诺基亚贝尔股份有限公司 | 统一安全性架构 |
| CN112188444B (zh) * | 2018-04-09 | 2021-08-03 | 华为技术有限公司 | 一种订阅服务的方法及装置 |
| WO2020031157A1 (en) * | 2018-08-10 | 2020-02-13 | Nokia Technologies Oy | Method and apparatus for network function selection scheme in service based architecture of communication network |
| CN110881185B (zh) * | 2018-09-05 | 2022-02-25 | 华为技术有限公司 | 一种通信的方法及装置 |
| US20200092720A1 (en) * | 2018-09-13 | 2020-03-19 | Qualcomm Incorporated | Extensible authentication protocol (eap) implementation in new radio (nr) |
| US10904827B2 (en) * | 2018-09-27 | 2021-01-26 | T-Mobile Usa, Inc. | User plane system selection based on latency |
| KR20200105495A (ko) * | 2019-01-29 | 2020-09-07 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 구독 업데이트를 위한 방법 및 장치 |
| EP3957040B1 (en) * | 2019-02-27 | 2024-08-07 | Telefonaktiebolaget LM Ericsson (publ) | Non-public network authentication in 5g |
| CN115398946A (zh) * | 2020-04-28 | 2022-11-25 | 中兴通讯股份有限公司 | 认证与密钥协商中的认证服务器功能选择 |
| US11659387B2 (en) * | 2020-07-30 | 2023-05-23 | Nokia Technologies Oy | User equipment authentication preventing sequence number leakage |
| CN117041955A (zh) * | 2020-10-16 | 2023-11-10 | 中兴通讯股份有限公司 | 签约数据更新方法、装置、节点和存储介质 |
-
2020
- 2020-10-16 CN CN202311034974.7A patent/CN117041955A/zh active Pending
- 2020-10-16 CN CN202011111639.9A patent/CN112512044A/zh active Pending
-
2021
- 2021-04-29 TW TW110115569A patent/TW202142010A/zh unknown
- 2021-09-29 JP JP2022555641A patent/JP2023544664A/ja active Pending
- 2021-09-29 WO PCT/CN2021/121564 patent/WO2022078214A1/zh active Application Filing
- 2021-09-29 KR KR1020227031756A patent/KR20230088627A/ko active Search and Examination
- 2021-09-29 EP EP21879260.4A patent/EP4106372A4/en active Pending
-
2022
- 2022-11-16 US US17/988,431 patent/US20230232240A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4106372A1 (en) | 2022-12-21 |
| US20230232240A1 (en) | 2023-07-20 |
| KR20230088627A (ko) | 2023-06-20 |
| WO2022078214A1 (zh) | 2022-04-21 |
| JP2023544664A (ja) | 2023-10-25 |
| EP4106372A4 (en) | 2024-02-07 |
| CN117041955A (zh) | 2023-11-10 |
| CN112512044A (zh) | 2021-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11431695B2 (en) | Authorization method and network element | |
| TWI837450B (zh) | 密鑰再生方法及終端裝置 | |
| WO2019194242A1 (en) | Security procedures for common api framework in next generation networks | |
| US11751051B2 (en) | Authentication method based on GBA, and device thereof | |
| WO2021093162A1 (en) | Method, device, and system for anchor key generation and management in a communication network for encrypted communication with service applications | |
| WO2022078214A1 (zh) | 签约数据更新方法、装置、节点和存储介质 | |
| US20230422032A1 (en) | Session request method and apparatus, terminal, and storage medium | |
| WO2021093163A1 (en) | Method, device, and system for application key generation and management in a communication network for encrypted communication with service applications | |
| US20230396602A1 (en) | Service authorization method and system, and communication apparatus | |
| US20230269690A1 (en) | Registration methods using one-time identifiers for user equipments and nodes implementing the registration methods | |
| WO2023216274A1 (zh) | 密钥管理方法、装置、设备和存储介质 | |
| RU2801267C1 (ru) | Способ, устройство и система для обновления привязочного ключа в сети связи для зашифрованной связи с приложениями предоставления услуг | |
| WO2023082161A1 (en) | Secure information pushing by service applications in communication networks | |
| WO2023142102A1 (en) | Security configuration update in communication networks | |
| CN115696232A (zh) | 一种安全通信的方法和装置 |