TW202341695A - 用以進行應用程式認證及金鑰管理(akma)認證服務之設備、方法及電腦可讀媒體 - Google Patents
用以進行應用程式認證及金鑰管理(akma)認證服務之設備、方法及電腦可讀媒體 Download PDFInfo
- Publication number
- TW202341695A TW202341695A TW112111817A TW112111817A TW202341695A TW 202341695 A TW202341695 A TW 202341695A TW 112111817 A TW112111817 A TW 112111817A TW 112111817 A TW112111817 A TW 112111817A TW 202341695 A TW202341695 A TW 202341695A
- Authority
- TW
- Taiwan
- Prior art keywords
- akma
- rid
- kid
- tid
- user name
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 230000006870 function Effects 0.000 claims description 74
- 238000004590 computer program Methods 0.000 claims 1
- 230000000153 supplemental effect Effects 0.000 abstract 1
- 230000003190 augmentative effect Effects 0.000 description 66
- 230000004044 response Effects 0.000 description 38
- 238000004891 communication Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 14
- 230000011664 signaling Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 7
- 238000004846 x-ray emission Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 6
- 230000000977 initiatory effect Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013523 data management Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000004873 anchoring Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/06—Notations for structuring of protocol data, e.g. abstract syntax notation one [ASN.1]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
進行一應用程式認證及金鑰管理(AKMA)認證服務之系統、方法及軟體。在一項實施例中,一AKMA元件(1200)處置一擴增AKMA金鑰識別符(A-KID) (800),其具有一識別符格式,該識別符格式帶有藉由一@符號(806)區隔之一使用者名稱(802)及一領域(804)。該使用者名稱包括一路由指示符(RID) (812)、一AKMA臨時UE識別符(A-TID) (814)、以及在該使用者名稱中區別該RID與該A-TID之至少一個補充字元(810)。該AKMA元件基於該擴增A-KID進行該AKMA認證服務之一功能。
Description
本揭露係有關於通訊系統領域,且尤其是有關於下一代網路。
下一代網路,諸如第五代(5G),表示超越第四代(4G)標準之行動電信標準之下一個主要階段。相較於4G網路,下一代網路可在無線電接取及網路架構方面有所增強。下一代網路意欲將無線電頻譜之新區域用於無線電接取網路(RAN),諸如厘米及毫米波頻段。
隨著行動網路在全國乃至全世界各地廣泛使用,通訊可遭到攔截或蒙受其他種類之攻擊。為了確保安全性及隱私,第三代合夥專案(3GPP)已制定用於5G行動網路之安全機制、以及在5G行動網路內進行之安全程序。使用者裝備(UE)與一5G行動網路之間的安全程序之一係初級認證及金鑰一致性。初級認證及金鑰一致性程序實現UE與網路之間的相互認證,並且提供可在後續安全程序中於UE與伺服網路之間使用之建鑰資料。
另一安全程序介於UE與應用程式提供商之間,並且稱為應用程式認證及金鑰管理(AKMA)。AKMA係一特徵,其善用一營運商認證基礎設施使一UE與一應用功能(AF)之間的通訊安全受到保護。AKMA係在3GPP TS 33.535 (v17.5.0)中作說明,其係以參考方式併入,猶如完全納入本文中。AKMA重復使用5G初級認證程序以認證一UE。作為AKMA認證服務之部分,產生一金鑰識別符,其稱為一AKMA金鑰識別符(A-KID)。A-KID之格式為「使用者名稱@領域」,並且A-KID之使用者名稱部分包括一路由指示符(RID)及一AKMA臨時UE識別符(A-TID)。一個問題係RID及A-TID可以是長度可變,這對於一UE在使用者名稱部分中將RID及A-TID編碼、或對於一AF將A-KID之使用者名稱解碼存在一挑戰。
本文中所述係引進一擴增A-KID之一解決方案,其中一使用者名稱包括一RID、一A-TID、以及在該使用者名稱中區別該RID與該A-TID之一或多個補充字元。舉例而言,補充字元可包含一RID長度,該RID長度指出該使用者名稱中該RID之一長度,並且可在該使用者名稱中之該RID前面加上該RID長度。擴增A-KID之一項技術效益係RID及A-TID即使長度可變,在使用者名稱中仍可輕易區別。因此,一AF (或另一網路功能)可輕易地從擴增A-KID之使用者名稱中對RID進行解碼以供一AKMA認證服務。
在一項實施例中,一AKMA元件包含至少一個處理器、及至少一個包括電腦程式碼之記憶體。處理器致使AKMA元件處置具有一識別符格式之一擴增A-KID,該識別符格式帶有藉由一@符號區隔之一使用者名稱及一領域。使用者名稱包括一RID、一A-TID、以及在使用者名稱中區別RID及A-TID之至少一個補充字元。處理器進一步致使AKMA元件基於擴增A-KID進行一AKMA認證服務之一功能。
在一項實施例中,至少一個補充字元包含一RID長度,該RID長度指出該使用者名稱中該RID之一長度,並且在該使用者名稱中之該RID前面加上該RID長度。
在一項實施例中,該至少一個補充字元在該使用者名稱中之該RID與該A-TID之間包含一區隔字元。
在一項實施例中,該至少一個補充字元包含該使用者名稱中居前於該RID之一RID標記、及居前於該A-TID之一A-TID標記。
在一項實施例中,該AKMA元件包含使用者裝備(UE)。該處理器進一步致使該AKMA元件產生該擴增A-KID,並且向包括該擴增A-KID之一AKMA應用功能(AF)發送一應用程式工作階段確立請求訊息。
在一項實施例中,AKMA元件包含一5G核心網路之一認證伺服器功能(AUSF)。該處理器進一步致使該AUSF產生該擴增A-KID、選取一AKMA定錨功能(AAnF)、以及向包括該擴增A-KID之該AAnF發送一AKMA請求。
在一項實施例中,AKMA元件包含一5G核心網路之一AKMA應用功能(AF)或一網路曝露功能(NEF)。該處理器進一步致使該AKMA AF或該NEF接收帶有該擴增A-KID之一AKMA請求、處理該擴增A-KID以基於至少一個補充字元從該使用者名稱提取該RID、基於該RID選取一AAnF、以及向包括該擴增A-KID之該AAnF發送一AKMA請求。
在一項實施例中,揭示一種在一AKMA元件中進行一AKMA認證服務之方法。該方法包含處置具有一識別符格式之一擴增A-KID,該識別符格式帶有藉由一@符號區隔之一使用者名稱及一領域。使用者名稱包括一RID、一A-TID、以及在使用者名稱中區別RID及A-TID之至少一個補充字元。該方法更包含基於該擴增A-KID進行該AKMA認證服務之一功能。
在一項實施例中,至少一個補充字元包含一RID長度,該RID長度指出該使用者名稱中該RID之一長度,並且在該使用者名稱中之該RID前面加上該RID長度。
在一項實施例中,該至少一個補充字元在該使用者名稱中之該RID與該A-TID之間包含一區隔字元。
在一項實施例中,該至少一個補充字元包含該使用者名稱中居前於該RID之一RID標記、及居前於該A-TID之一A-TID標記。
在一項實施例中,該AKMA元件包含一UE。處置該擴增A-KID包含產生該擴增A-KID。基於該擴增A-KID進行該AKMA認證服務之一功能包含從該UE向包括該擴增A-KID之一AKMA AF發送一應用程式工作階段確立請求訊息。
在一項實施例中,該AKMA元件包含一5G核心網路之一AUSF。處置該擴增A-KID包含產生該擴增A-KID。基於該擴增A-KID進行該AKMA認證服務之一功能包含選取一AAnF、以及向包括該擴增A-KID之該AAnF發送一AKMA請求。
在一項實施例中,該AKMA元件包含一5G核心網路之一AKMA AF或一NEF。處置該擴增A-KID包含接收帶有該擴增A-KID之一AKMA請求、以及處理該擴增A-KID以基於該至少一個補充字元提取該RID。基於該擴增A-KID進行該AKMA認證服務之一功能包含基於該RID選取一AAnF、以及向包括該擴增A-KID之該AAnF發送一AKMA請求。
在一項實施例中,一AKMA元件包含處置具有一識別符格式之一擴增A-KID用的一構件,該識別符格式帶有藉由一@符號區隔之一使用者名稱及一領域。使用者名稱包括一RID、一A-TID、以及在使用者名稱中區別RID及A-TID之至少一個補充字元。該AKMA元件更包含基於該擴增A-KID進行一AKMA認證服務之一功能用的一構件。
其他實施例可包括如下文所述之電腦可讀媒體、其他系統、或其他方法。
以上[發明內容]提供本說明書之一些態樣之一基本理解。此[發明內容]不是本說明書之一延伸概述。其非意欲識別本說明書之主要或關鍵元件,也非意欲劃定本說明書之特定實施例之任何範疇、或申請專利範圍之任何範疇。其唯一目的是用來以一簡化形式介紹本說明書之一些概念,作為稍後所介紹更詳細說明之一序言。
圖式及以下說明例示特定例示性實施例。因此,將了解的是,所屬技術領域中具有通常知識者將能夠擬出各種布置結構,該等布置結構雖然未在本文中明確說明或示出,仍具體實現實施例之原理,並且係包括於實施例之範疇內。再者,本文中所述之任何實例係意欲輔助理解實施例之原理,並且應視為不限於此類具體明載之實例及條件。結果是,該(等)發明概念不受限於下文所述之特定實施例或實例,而是受申請專利範圍及其均等論述所限制。
圖1繪示一5G系統100之一高階架構。一5G系統100係一通訊系統(例如:一3GPP系統),其包含一5G接取網路((R)AN) 102、一5G核心網路(CN) 104、以及5G使用者裝備(UE) 106。接取網路102可包含連接至一5G核心網路104之一NG-RAN及/或一非3GPP接取網路。接取網路102可支援演進式UMTS地面無線電接取網路(E-UTRAN)接取(例如,透過一eNodeB、gNodeB、及/或ng-eNodeB接取)、無線區域網路(WLAN)接取、固定式接取、衛星無線電接取、新無線電接取網路(RAT)等。核心網路104將接取網路102與一資料網路(DN) 108互連。核心網路104包含網路功能(NF) 110,可將其實施成位在專屬硬體上之一網路元件、實施成在專屬硬體上運行之一軟體執行個體、實施成在一適當平台(例如:一雲端基礎設施)上具現化之一虛擬化功能等。資料網路108可以是一營運商外部公共或私人資料網路、或一營運商內部資料網路(例如:用於IMS服務)。UE 106係組配成向核心網路104註冊以存取服務之一有5G能力之裝置。UE 106可以是一終端使用者裝置,諸如一行動電話(例如:智慧型手機)、一平板或PDA、帶有一行動寬頻配接器之一電腦等。UE 106可啟用語音服務、資料服務、機器間(M2M)或機器類型通訊(MTC)服務、及/或其他服務。
圖2繪示一5G系統之一非漫遊架構200。圖2中之架構200係一基於服務之表示型態,正如3GPP TS 23.501 (v17.4.0)中之進一步說明,其係以參考方式併入,猶如完全含括在本文中。架構200包含一核心網路104之網路功能(NF),並且用於控制平面(CP)之NF與使用者平面(UP)區隔。核心網路104之控制平面包括一認證伺服器功能(AUSF) 210、一接取與行動性管理功能(AMF) 212、一工作階段管理功能(SMF) 214、一政策控制功能(PCF) 216、一統一資料管理(UDM) 218、一網路切片選擇功能(NSSF) 220、以及一應用功能(AF) 222。核心網路104之控制平面更包括一網路曝露功能(NEF) 224、一NF儲存庫功能(NRF) 226、一服務通訊代理器(SCP) 228、一網路切片允入控制功能(NSACF) 230、一網路切片特定及SNPN認證及授權功能(NSSAAF) 232、以及一邊緣應用伺服器探索功能(EASDF) 234。核心網路104之使用者平面包括與資料網路108通訊之一或多個使用者平面功能(UPF) 240。UE 106能夠透過(R)AN 102接取核心網路104之控制平面及使用者平面。
有大量用戶能夠從實施一行動網路之一營運商接取服務,該行動網路包含一5G系統100,諸如圖1至2中之5G系統。用戶(即透過一UE)與行動網路之間的通訊受安全機制保護,諸如由3GPP標準化之安全機制。用戶及營運商期望從安全機制得到安全保證。其中一種安全機制係在UE與網路之間提供相互認證之初級認證程序。以下進一步例示初級認證。
初級認證及金鑰一致性程序之用途是用來實現UE 106與網路之間的相互認證,並且提供可在後續安全程序中於UE 106與伺服網路之間使用之建鑰資料。由初級認證及金鑰一致性程序產生之建鑰資料導致一錨金鑰,其稱為K
SEAF金鑰,由本地網路之AUSF 210向伺服網路之安全定錨功能(SEAF)提供。SEAF在伺服網路中經由AMF 212提供認證功能,並且支援使用含有已消隱簽認永久識別符(SUPI)之一簽認消隱識別符(SUCI)的初級認證。SUPI係分配給5G系統100中各用戶之一全球獨特5G識別符。SUCI係由一SUPI類型、識別用戶之本地網路的一本地網路識別符(HN-ID)、由本地網路營運商指派給用戶並在UE之通用用戶身份模組(USIM)中提供之一路由指示符(RID)、一保護方案識別符、一本地網路公開金鑰識別符、以及一方案輸出所組成。錨金鑰K
SEAF係推導自稱為K
AUSF金鑰之一中間金鑰。K
AUSF金鑰係確立於UE 106與本地網路之間,由初級認證程序所產生。
圖3係一信令圖,其繪示初級認證之發起,諸如3GPP TS 33.501 (v17.5.0)中所述。UE 106向伺服網路(例如:伺服網路之AMF 212)傳送一N1訊息(即一初始非接取層(NAS)訊息),諸如一註冊請求。UE 106在註冊請求中使用SUCI或一5G全球獨特臨時識別符(5G-GUTI)。AMF 212之SEAF 302可在與UE 106確立一信令連接之任何程序期間發起與UE 106之一認證。SEAF 302藉由向AUSF 210發送一Nausf_UEAuthentication_Authenticate Request訊息調用Nausf_UEAuthentication服務以發起一認證。Nausf_UEAuthentication_Authenticate Request訊息包括SUCI或SUPI、以及伺服網路名稱(SN-Name)。接收到Nausf_UEAuthentication_Authenticate Request訊息後,AUSF 210便藉由將伺服網路名稱與期望伺服網路名稱作比較,檢查伺服網路中之請求SEAF 302是否有權使用Nausf_UEAuthentication_Authenticate Request訊息中之伺服網路名稱。當伺服網路經授權使用伺服網路名稱時,AUSF 210向UDM 218發送一Nudm_UEAuthentication_Get Request訊息。Nudm_UEAuthentication_Get Request訊息包括SUCI或SUPI、以及伺服網路名稱。收到Nudm_UEAuthentication_Get Request訊息後,UDM 218識別SUPI (如果接收到)、或調用將SUPI從SUCI (如果接收到)去消隱之一簽認識別符去消隱功能(SIDF)。UDM 218 (或UDM 218之一認證憑證儲存庫及處理功能(ARPF))基於SUPI選擇用於初級認證之認證方法。
圖4係一信令圖,其繪示一認證程序,諸如3GPP TS 33.501中所述。對於一Nudm_Authenticate_Get Request,UDM 218建立一5G本地環境認證向量(5G HE AV)。UDM 218推導K
AUSF金鑰,並且計算對一詰問之一期望回應(XRES*)。UDM 218建立5G HE AV,其包含一認證符記(AUTN)、期望回應(XRES*)、K
AUSF金鑰、以及一隨機詰問(RAND)。UDM 218接著憑藉要用於認證(例如:5G認證及金鑰一致性(AKA))之5G HE AV,向AUSF 210發送一Nudm_UEAuthentication_Get Response訊息。在Nudm_UEAuthentication_Get Request中包括SUCI之狀況中,UDM 218在SUCI之去消隱之後將SUPI包括在Nudm_UEAuthentication_Get Response訊息中。如果用戶具有一AKMA簽認,則UDM 218在Nudm_UEAuthentication_Get Response訊息中包括一AKMA指示及RID。
回應於Nudm_UEAuthentication_Get Response訊息,AUSF 210隨著接收到之SUCI或SUPI臨時儲存期望回應(XRES*)。AUSF 210接著藉由從期望回應(XRES*)運算出雜湊期望回應(HXRES*)並從K
AUSF金鑰運算出K
SEAF金鑰、以及在5G HE AV中將XRES*更換為HXRES*並將K
SEAF金鑰更換為K
SEAF金鑰,從接收自UDM 218之5G HE AV產生一5G認證向量(5G AV)。AUSF 210移除K
SEAF金鑰以產生一5G伺服環境認證向量(5G SE AV),其包括認證符記(AUTN)、雜湊期望回應(HXRES*)、以及隨機詰問(RAND)。AUSF 210向包括5G SE AV之SEAF 302發送一Nausf_UEAuthentication_Authenticate Response訊息。作為回應,SEAF 302在一NAS訊息Authentication Request訊息中向UE 106發送認證符記(AUTN)及隨機詰問(RAND)。
雖然圖4中未示出,UE 106仍包括行動裝備(ME)及一USIM。ME在NAS訊息Authentication Request中接收認證符記(AUTN)及隨機詰問(RAND),並且將認證符記(AUTN)及隨機詰問(RAND)轉發至USIM。USIM藉由檢查是否可接受認證符記(AUTN)來驗證所接收值之新近度。若如此,USIM基於隨機詰問(RAND)運算一回應(RES)、一加密金鑰(CK)、以及一完整性金鑰(IK),並且向ME回傳回應(RES)、CK金鑰及IK ME金鑰。ME從RES運算出RES*,以及從CK||IK計算出K
AUSF金鑰並從K
AUSF金鑰計算出K
SEAF金鑰。
UE 106向包括RES*之SEAF 302發送一NAS訊息Authentication Response訊息。作為回應,SEAF 302從RES*運算出HRES*,並且將HRES*與HXRES*作比較。如果其重合,則SEAF 302從伺服網路觀點認為認證成功。SEAF 302在一Nausf_UEAuthentication_Authenticate Request訊息中向AUSF 210發送RES*,如從UE 106接收到之RES*。當AUSF 210接收包括一RES*作為認證確認之Nausf_UEAuthentication_Authenticate Request訊息時,AUSF 210基於本地網路營運商之政策儲存K
AUSF金鑰,並且將所接收RES*與所儲存XRES*作比較。如果RES*與XRES*相等,則AUSF 210從本地網路觀點認為認證成功。AUSF 210向UDM 218通知認證結果(圖未示)。AUSF 210亦向SEAF 302發送Nausf_UEAuthentication_Authenticate Response訊息,其從本地網路觀點指出認證是否成功。如果認證成功,則K
SEAF金鑰係在Nausf_UEAuthentication_Authenticate Response訊息中發送至SEAF 302。在AUSF 210從SEAF 302在認證請求中接收到SUCI之狀況中,如果認證成功,則AUSF 210將SUPI包括在Nausf_UEAuthentication_Authenticate Response訊息中。
AKMA (應用程式認證及金鑰管理)係善用一營運商認證基礎設施使一UE 106與一AF 222之間的通訊受安全保護之一特徵。圖5為AKMA繪示一基本網路模型500。圖6為內部AF (即位於營運商之網路裡面之AF)以參考點表示型態繪示一AKMA架構600。圖7為外部AF (即位於營運商之網路外面之AF)以參考點表示型態繪示一AKMA架構700。
在圖5中,用於AKMA之網路模型500包括AUSF 210、AMF 212、UDM 218、AF 222、及NEF 224。用於AKMA之網路模型500亦包括一AKMA定錨功能(AAnF) 536,其係本地公用地移動式網路(HPLMN)中之定錨功能。AAnF 536儲存AKMA錨金鑰(K
AKMA)及用於AKMA服務之SUPI,其係在UE 106完成一成功5G初級認證之後接收自AUSF 210。AAnF 536亦產生要在UE 106與AF 222之間使用之金鑰資料,並且維護UE AKMA脈絡。AAnF 536向位於營運商之網路裡面之AF 222、或向NEF 224發送UE 106之SUPI。一AKMA AF 222使用一AKMA金鑰識別符(A-KID)向AAnF 536請求一AKMA應用程式金鑰,稱為K
AF。
AKMA重復使用5G初級認證程序以認證一UE 106。總言之,一成功5G初級認證導致K
AUSF金鑰儲存於AUSF 210及UE 106處。在UE 106結束初級認證之後,並且在其發起與AF 222之通訊之前,UE 106從K
AUSF金鑰產生K
AKMA金鑰及A-KID。在從UDM 218接收K
AUSF金鑰之後,AUSF 210儲存K
AUSF金鑰,並且從K
AUSF金鑰產生K
AKMA金鑰及A-KID。AUSF 210將K
AKMA金鑰及A-KID連同UE 106之SUPI發送至AAnF 536。
依照習知,由UE 106及AUSF 210產生之A-KID的格式為「使用者名稱@領域」。使用者名稱包括RID及一AKMA臨時UE識別符(A-TID),並且領域包括HN-ID。RID係配合HN-ID用於將認證流量路由安排至UDM 218。A-TID係憑藉一A-TID推導功能推導自K
AUSF金鑰。一習知A-KID遭遇到的一個問題係RID及A-TID長度可變。這對於UE 106如何在A-KID之使用者名稱中編碼RID及A-TID方面存在一詰問,並且對於網路功能(例如:AF 222或NEF 224)從A-KID之使用者名稱解碼RID及A-KID存在一詰問,諸如對於(基於RID)選取一AAnF 536存在一詰問。
在下文所述之實施例中,一擴增A-KID係定義為使得RID及A-TID在使用者名稱中可輕易區別。圖8繪示一說明性實施例中之一擴增A-KID 800。擴增A-KID 800具有一識別符格式,該識別符格式帶有藉由一@符號806區隔之一使用者名稱802及一領域804。在這項實施例中,使用者名稱802包括一UE 106之RID 812、A-TID 814、以及在使用者名稱802中將RID 812與A-TID 814區別之一或多個補充字元810。用於區別RID 812與A-TID 814之補充字元810可如所欲變化。
圖9為一說明性實施例中之一擴增A-KID 800繪示使用者名稱802之一例示性格式。在這項實施例中,擴增A-KID 800之使用者名稱802包括RID 812及A-TID 814,並且亦包括一RID長度910作為一補充字元810。RID長度910係指出使用者名稱802中RID 812之一長度的一值(例如:一或多個位數)。因此,使用者名稱802可藉由串連RID 812及A-TID 814、並在RID 812前面加上RID長度910來建構。舉例而言,假設RID 812具有一值「12」,並且A-TID 814具有一值「5678」。在這項實例中,擴增A-KID 800之使用者名稱802可因此包含「2125678」,其中使用者名稱802中之第一位數指出RID 812之長度。在另一實例中,假設RID 812具有一值「012」,並且A-TID 814具有一值「567」。在這項實例中,擴增A-KID 800之使用者名稱802可因此包含「3012567」,其中使用者名稱802中之第一位數指出RID 812之長度。
圖10為一說明性實施例中之一擴增A-KID 800繪示使用者名稱802之另一例示性格式。在這項實施例中,擴增A-KID 800之使用者名稱802包括RID 812及A-TID 814,並且亦在RID 812與A-TID 814之間包括一區隔字元1010 (或多個字元)作為一補充字元810。區隔字元1010可包含一句點(「.」)、一空格(「 」)、一破折號(「-」)、或其他字元。因此,使用者名稱802可藉由插入RID 812、接著插入區隔字元 1010、接著插入A-TID 814來建構。舉例而言,假設RID 812具有一值「12」,並且A-TID 814具有一值「5678」。因此,這項實例中擴增A-KID 800之使用者名稱802可包含「12.5678」。在另一實例中,假設RID 812具有一值「012」,並且A-TID 814具有一值「567」。因此,這項實例中擴增A-KID 800之使用者名稱802可包含「012.567」。
圖11為一說明性實施例中之一擴增A-KID 800繪示使用者名稱802之另一例示性格式。在這項實施例中,擴增A-KID 800之使用者名稱802包括RID 812及A-TID 814,並且亦包括居前於RID 812之一RID標記1110及居前於A-TID 814之一A-TID標記1111作為補充字元810。使用者名稱802可更包括介於RID 812與A-TID標記1111之間的一區隔字元1010。因此,使用者名稱802可藉由插入RID標記1110、接著插入RID 812、接著插入A-TID標記1111、接著插入A-TID 814來建構。舉例而言,假設RID 812具有一值「12」,並且A-TID 814具有一值「5678」。因此,這項實例中擴增A-KID 800之使用者名稱802可包含「rid12atid5678」。在另一實例中,假設RID 812具有一值「012」,並且A-TID 814具有一值「567」。因此,這項實例中擴增A-KID 800之使用者名稱802可包含「rid012atid567」。
在圖9至11之實例中,RID 812係描述為在使用者名稱802中居前於A-TID 814。然而,在其他實施例中,可轉置RID 812及A-TID 814,以使得A-TID 814在使用者名稱802中居前於RID 812。類似概念如上述適用於此情境。
擴增A-KID 800之一項技術效益係RID 812及A-TID 814即使長度可變,在使用者名稱802中仍可輕易區別。因此,網路功能(例如:AF 222或NEF 224)可輕易地從擴增A-KID 800之使用者名稱802解碼RID 812及A-TID 814,諸如用於選取一AAnF 536。
因此,擴增A-KID 800可用於AKMA認證服務。圖12係一說明性實施例中一AKMA元件1200的一方塊圖。AKMA元件1200係為了AKMA認證服務致能之一處理元件。舉例而言,AKMA元件1200可包含一UE 106、一網路元件或網路功能(NF),諸如一AUSF 210、AF 222、NEF 224、AAnF 536等,或另一種類型之裝置。AKMA元件1200包括一AKMA控制器1202,其包含電路系統、邏輯、硬體、構件等,被組配用以支援用於一AKMA認證服務之操作、程序、或功能。可在包含類比及/或數位電路系統之一硬體平台上實施AKMA元件1200之一或多個子系統。可在為載入到記憶體1232裡之軟體執行指令1234 (即電腦可讀碼)之一或多個處理器1230上實施AKMA控制器1202。一處理器1230包含被組配用以執行指令1234以提供AKMA元件1200之功能的一整合式硬體電路。處理器1230可包含一或多個處理器之一集合,或可包含一多處理器核心,端視特定實作態樣而定。記憶體1232係用於資料、指令、應用程式等之一非暫時性電腦可讀儲存媒體,並且可由處理器1230存取。記憶體1232係能夠以一臨時基礎及/或以一永久基礎儲存資訊之一硬體儲存裝置。記憶體1232可包含一隨機存取記憶體、或任何其他依電性或非依電性儲存裝置。
圖13係一流程圖,其繪示一說明性實施例中進行一AKMA認證服務之一方法1300。方法1300之步驟將參照圖12中之AKMA元件1200作說明,但所屬技術領域中具有通常知識者將了解的是,方法1300可在其他系統、裝置或網路功能中進行。本文中所述流程圖之步驟並非全都可兼,而是可包括未示出之其他步驟,並且該等步驟可按照一替代順序來進行。
AKMA控制器1202如上述處置一擴增A-KID 800,其中使用者名稱802包括一RID 812、一A-TID 814、以及在使用者名稱802中區別RID 812與A-TID 814(步驟1302)之一或多個補充字元810。舉例而言,AKMA控制器1202可推導或產生具有一使用者名稱802之一擴增A-KID 800,使用者名稱802包括RID 812、A-TID 814、及一(諸)補充字元810。在另一實例中,AKMA控制器1202可接收具有一使用者名稱802之一擴增A-KID 800,使用者名稱802包括RID 812、A-TID 814及一(諸)補充字元810,並且基於該(等)補充字元810從擴增A-KID 800之使用者名稱802解碼或提取RID 812。
AKMA控制器1202可接著基於擴增A-KID 800進行AKMA認證服務之一或多個功能(步驟1304)。舉例而言,AKMA控制器1202可向包括擴增A-KID 800之另一元件發送一AKMA請求。在另一實例中,AKMA控制器1202可基於從擴增A-KID 800之使用者名稱802提取之RID 812選取一AAnF 536。
AKMA元件1200之一項實例係一UE 106。圖14係一說明性實施例中一UE 106的一方塊圖。UE 106包括一無線電介面組件1402、一或多個處理器1404、一記憶體1406、一使用者介面組件1408、以及一電池1410。無線電介面組件1402係一硬體組件,其代表UE 106之本機無線電資源,諸如一RF單元1420 (例如:一或多個無線電收發器)及一或多個天線1422。無線電介面組件1402可被組配成用於WiFi、藍牙、5G新無線電(NR)、長期演進(LTE)等。處理器1404代表內部電路系統、邏輯、硬體等,其提供UE 106之功能。處理器1404可被組配用以為載入到記憶體1406裡之軟體執行指令1440 (即電腦程式碼)。處理器1404可包含一或多個處理器之一集合,或可包含一多處理器核心,端視特定實作態樣而定。記憶體1406係用於資料、指令1440、應用程式等之一電腦可讀儲存媒體,並且可由處理器1404存取。記憶體1406係能夠以一臨時基礎及/或以一永久基礎儲存資訊之一硬體儲存裝置。記憶體1406可包含一隨機存取記憶體、或任何其他依電性或非依電性儲存裝置。使用者介面組件1408係用於與一終端使用者互動之一硬體組件。舉例而言,使用者介面組件1408可包括一顯示器1450、一螢幕、觸控螢幕、或類似者(例如:一液晶顯示器(LCD)、一發光二極體(LED)顯示器等)。使用者介面組件1408可包括一鍵盤或鍵板1452、一追蹤裝置(例如:一軌跡球或觸控板)、一揚聲器、一麥克風等。UE 106可包括圖14中未具體繪示之各種其他組件。
UE 106亦包括一用戶身份模組(SIM)1460,其係為UE 106 (例如:SIM卡、通用SIM (USIM)等)提供安全性及完整性功能之一積體電路。SIM 1460包括或佈建有用於UE 106之一或多個簽認設定檔。一簽認設定檔具有一相關聯簽認、簽認參數、簽認憑證等。簽認憑證係一組值,該組值包括其本地網路之一公開金鑰、一長期密鑰(
K),以及用於獨特識別一簽認及用於相互認證UE 106與一網路之一簽認識別符(例如:SUPI)。
在這項實施例中,處理器1404可實施一AKMA控制器1434。AKMA控制器1434被組配用以支援一AKMA認證服務之操作、程序、或功能。
圖15係一流程圖,其繪示一說明性實施例中進行一AKMA認證服務之另一方法1500。方法1500之步驟將參照圖14中之UE 106作說明,但所屬技術領域中具有通常知識者將了解的是,方法1500可在其他系統、裝置或網路功能中進行。
在初級認證期間,一UE 106在發起與一AKMA AF 222之通訊之前,從K
AUSF金鑰產生一K
AKMA金鑰及一A-KID。在這項實施例中,UE 106之AKMA控制器1434推導或產生一擴增A-KID 800,其中使用者名稱802包括一RID 812、一A-TID 814、以及在使用者名稱802中區別RID 812與A-TID 814(步驟1502)之一或多個補充字元810。在一項實例中,補充字元810可包含一RID長度910。AKMA控制器1434可串連RID 812及A-TID 814,並且在使用者名稱802中之RID 812前面加上RID長度910 (任選步驟1506)。因此,AKMA控制器1434可插入RID長度910作為使用者名稱802之第一位數(或諸位數),接著插入RID 812,接著插入A-TID 814。在另一實例中,補充字元810可包含一區隔字元1010。AKMA控制器1434可串連RID 812及A-TID 814,並且在使用者名稱802中之RID 812與A-TID 814之間插入區隔字元1010 (任選步驟1508)。因此,AKMA控制器1434可在使用者名稱802中插入RID 812,接著插入區隔字元1010,接著插入A-TID 814。在另一實例中,補充字元810可包含用於RID 812及A-TID 814之標記。AKMA控制器1434可在使用者名稱802中插入居前於RID 812之一RID標記1110、及居前於A-TID 814之一A-TID標記1111 (任選步驟1510)。因此,AKMA控制器1434可在使用者名稱802中插入RID標記1110,接著插入RID 812,接著插入A-TID標記1111,接著插入A-TID 814。
AKMA控制器1434接著向包括擴增A-KID 800之一AKMA AF 222發送一AKMA請求(例如:一應用程式工作階段確立請求訊息) (步驟1504)。
AKMA元件1200之另一實例係5G核心網路104之一網路元件。圖16係一說明性實施例中一網路元件1600的一方塊圖。網路元件1600包含一伺服器、裝置、設備、裝備(包括硬體)、系統等,其實施一5G核心網路104之一或多個網路功能(NF) 110。在這項實施例中,網路元件1600包括以下子系統:一網路介面組件1602、以及在一或多個平台上運作之一AKMA控制器1604。網路介面組件1602可包含電路系統、邏輯、硬體、構件等,其被組配用以與其他網路元件及/或UE交換控制平面訊息或信令。網路介面組件1602可使用各種協定(包括NAS協定)或參考點來運作。AKMA控制器1604可包含電路系統、邏輯、硬體、構件等,被組配用以支援一AKMA認證服務之操作、程序、或功能。
如圖16所示,網路元件1600可代表一5G核心網路104之一AUSF 210。網路元件1600可另外或替代地代表一AKMA AF 222、一NEF 224、或一AAnF 536。
可在包含類比及/或數位電路系統之一硬體平台上實施網路元件1600之一或多個子系統。可在為載入到記憶體1632裡之軟體執行指令1634 (即電腦可讀碼)之一或多個處理器1630上實施網路元件1600之一或多個子系統。一處理器1630包含被組配用以執行指令1634以提供網路元件1600之功能的一整合式硬體電路。處理器1630可包含一或多個處理器之一集合,或可包含一多處理器核心,端視特定實作態樣而定。記憶體1632係用於資料、指令、應用程式等之一非暫時性電腦可讀儲存媒體,並且可由處理器1630存取。記憶體1632係能夠以一臨時基礎及/或以一永久基礎儲存資訊之一硬體儲存裝置。記憶體1632可包含一隨機存取記憶體、或任何其他依電性或非依電性儲存裝置。
網路元件1600可包括圖16中未具體繪示之各種其他組件。
圖17係一流程圖,其繪示一說明性實施例中進行一AKMA認證服務之另一方法1700。方法1700之步驟將參照圖16中之網路元件1600作說明,但所屬技術領域中具有通常知識者將了解的是,方法1700可在其他系統、裝置或網路功能中進行。
在這項實施例中,網路元件1600包含一AUSF 210。如果AUSF 210在初級認證期間從UDM 218接收一AKMA指示,則AUSF 210在初級認證程序成功完成之後,從K
AUSF金鑰產生K
AKMA金鑰及一A-KID。在這項實施例中,AUSF 210之AKMA控制器1604推導或產生一擴增A-KID 800,其中使用者名稱802包括一RID 812、一A-TID 814、以及在使用者名稱802中區別RID 812與A-TID 814(步驟1702)之一或多個補充字元810。在一項實例中,補充字元810可包含一RID長度910。AKMA控制器1604可串連RID 812及A-TID 814,並且在使用者名稱802中之RID 812前面加上RID長度910 (任選步驟1708)。因此,AKMA控制器1604可插入RID長度910作為使用者名稱802之第一位數(或諸位數),接著插入RID 812,接著插入A-TID 814。在另一實例中,補充字元810可包含一區隔字元1010。AKMA控制器1604可串連RID 812及A-TID 814,並且在使用者名稱802中之RID 812與A-TID 814之間插入區隔字元1010 (任選步驟1710)。因此,AKMA控制器1604可在使用者名稱802中插入RID 812,接著插入區隔字元1010,接著插入A-TID 814。在另一實例中,補充字元810可包含用於RID 812及A-TID 814之標記。AKMA控制器1604可在使用者名稱802中插入居前於RID 812之一RID標記1110、及居前於A-TID 814之一A-TID標記1111 (任選步驟1712)。因此,AKMA控制器1604可在使用者名稱802中插入RID標記1110,接著插入RID 812,接著插入A-TID標記1111,接著插入A-TID 814。
AKMA控制器1604接著基於RID 812選取一AAnF 536 (步驟1704),並且向包括擴增A-KID 800之AAnF 536發送一AKMA請求(例如:一Naanf_AKMA_AnchorKey_Register Request) (步驟1706)。AKMA控制器1604可在對AAnF 536之AKMA請求中包括附加資訊,諸如K
AKMA金鑰、UE 106之SUPI等。
圖18係一流程圖,其繪示一說明性實施例中進行一AKMA認證服務之另一方法1800。方法1800之步驟將參照圖16中之網路元件1600作說明,但所屬技術領域中具有通常知識者將了解的是,方法1800可在其他系統、裝置或網路功能中進行。
在這項實施例中,網路元件1600包含一AF 222或NEF 224。一AF 222或NEF 224被組配用以發現一AAnF 536以回應一AKMA請求。當一AF 222位於營運商之網路中時,AF 222基於在AKMA請求中接收之一A-KID來發現AAnF 536。當一AF 222位於營運商之網路外面時,營運商之網路中之一NEF 224基於在AKMA請求中接收之一A-KID來發現AAnF 536。
AKMA控制器1604接收帶有一擴增A-KID 800之一AKMA請求(步驟1802)。AKMA控制器1604處理、解碼、或解密擴增A-KID 800,以基於補充字元810從使用者名稱802提取RID 812 (步驟1804)。在一項實例中,補充字元810可包含在使用者名稱802前面加上之一RID長度910。因此,AKMA控制器1604可處理使用者名稱802之第一位數以確定RID長度910 (任選步驟1810),並且基於RID長度910從使用者名稱802提取RID 812 (任選步驟1812)。在另一實例中,補充字元810可在使用者名稱802中之RID 812與A-TID 814之間包含一區隔字元1010。因此,AKMA控制器1604可識別使用者名稱802中之區隔字元1010 (任選步驟1814),並且從使用者名稱802提取居前於(或跟隨)區隔字元1010之RID 812 (任選步驟1816)。在另一實例中,補充字元810可包含用於RID 812及A-TID 814之標記。因此,AKMA控制器1604可識別使用者名稱802中居前於RID 812之RID標記1110 (任選步驟1818),並且基於RID標記1110從使用者名稱802提取RID 812 (任選步驟1820)。
AKMA控制器1604接著基於從擴增A-KID 800提取之RID 812選取一AAnF 536 (步驟 1806)。在選取一AAnF 536之後,AKMA控制器1604隨著擴增A-KID 800向AAnF 536發送一AKMA請求(步驟1808),諸如用以取得AKMA應用程式金鑰K
AF。舉例而言,一AKMA AF 222可向包括擴增A-KID 800之AAnF 536發送一Naanf_AKMA_ApplicationKey_Get請求訊息。在另一實例中,一NEF 224可向包括擴增A-KID 800之AAnF 536發送一Naanf_AKMA_AFKey_request訊息。回應於接收AKMA請求,AAnF 536儲存擴增A-KID 800。
圖19係一流程圖,其繪示一說明性實施例中進行一AKMA認證服務之另一方法1900。方法1900之步驟將參照圖16中之網路元件1600作說明,但所屬技術領域中具有通常知識者將了解的是,方法1900可在其他系統、裝置或網路功能中進行。
在這項實施例中,網路元件1600包含一AAnF 536。AKMA控制器1604接收帶有一擴增A-KID 800之一AKMA請求(步驟1902)。舉例而言,一AAnF 536可從包括擴增A-KID 800之一AUSF 210接收一Naanf_AKMA_AnchorKey_Register Request訊息。在另一實例中,一AAnF 536可從包括擴增A-KID 800之AKMA AF 222接收一Naanf_AKMA_ApplicationKey_Get請求訊息。在又另一實例中,一AAnF 536可從包括擴增A-KID 800之NEF 224接收一Naanf_AKMA_AFKey_request訊息。AKMA控制器1604接著儲存擴增A-KID 800 (步驟 1904)。
一AKMA認證服務之進一步細節係在下面使用擴增A-KID 800作說明。圖20係一信令圖,其繪示一說明性實施例中初級認證後AKMA錨金鑰(K
AKMA)之產生。在初級認證程序期間,AUSF 210與UDM 218互動,以便擷取認證資訊,諸如簽認憑證(例如:AKA認證向量)及使用Nudm_UEAuthentication_Get Request服務操作之認證方法。在該回應中,UDM 218亦可向AUSF 210提供是否需要為UE 106產生K
AKMA金鑰之一AKMA指示。如果包括AKMA指示,則UDM 218亦在Nudm_UEAuthentication_Get Request中包括UE 106之RID。
如果AUSF 210從UDM 218接收AKMA指示,則AUSF 210儲存K
AUSF金鑰,並且在初級認證程序成功完成之後從K
AUSF金鑰產生K
AKMA金鑰及增強型A-KID 800。同樣地,UE 106在發起與一AKMA AF 222之通訊前,從K
AUSF金鑰產生K
AKMA金鑰及增強型A-KID 800。產生AKMA金鑰資料之後,AUSF 210選取AAnF 536,並且使用一Naanf_AKMA_AnchorKey_Register Request訊息2004,將增強型A-KID 800及K
AKMA金鑰連同UE 106之SUPI發送至AAnF 536。AAnF 536使用一Naanf_AKMA_AnchorKey_Register Response訊息向AUSF 210發送一回應。
圖21係一信令圖,其繪示一說明性實施例中AKMA應用金鑰(K
AF)之產生。在UE 106與AKMA AF 222之間可開始通訊之前,UE 106及AKMA AF 222需要知道是否要使用AKMA。此知識係隱含於UE 106及AKMA AF 222上之特定應用程式,或係由AKMA AF 222向UE 106指出。UE 106在發起與一AKMA AF 222之通訊前,從K
AUSF產生AKMA錨金鑰(K
AKMA)及擴增A-KID 800。當UE 106發起與AKMA AF 222之通訊時,UE 106在對AKMA AF 222之一AKMA請求(例如:應用程式工作階段確立請求訊息2104)中包括擴增A-KID 800。UE 106可在發送訊息之前或之後推導K
AF金鑰。
如果AKMA AF 222沒有與擴增A-KID 800相關聯之一主動式內容,則AKMA AF 222解碼擴增A-KID 800,以基於補充字元810從擴增A-KID 800之使用者名稱802提取RID 812,並且基於RID 812選取一AAnF 536。AKMA AF 222接著隨著擴增A-KID 800向AAnF 536發送一Naanf_AKMA_ApplicationKey_Get請求2106,以請求用於UE 106之K
AF金鑰。AKMA AF 222亦在該請求中包括其身份(AF_ID)。
AAnF 536基於經組配本機政策、或基於由NRF 226使用AF_ID提供之授權資訊或政策,檢查其是否可向AKMA AF 222提供服務。如果成功,AAnF 536基於由擴增A-KID 800識別之UE特定K
AKMA金鑰之存在性,驗證是否有授權用戶使用AKMA。AAnF 536在還沒有K
AF金鑰之條件下從K
AKMA金鑰推導出K
AF金鑰,並且隨著SUPI、K
AF金鑰、及一K
AF到期時間向AKMA AF 222發送一Naanf_AKMA_ApplicationKey_Get回應。AKMA AF 222向UE 106發送一AKMA回應(例如:應用程式工作階段確立回應)。
可將圖中所示或本文中所述各種元件或模組中之任何一者實施成硬體、軟體、韌體、或以上的某種組合。舉例而言,可將一元件實施成專屬硬體。專屬硬體元件可稱為「處理器」、「控制器」或一些類似術語。當由一處理器提供時,該等功能可藉由單一專屬處理器、藉由單一共享處理器、或藉由複數個個別處理器來提供,其中有些可共享。此外,「處理器」或「控制器」一詞之明確使用不應該視為專門意指為能夠執行軟體之硬體,並且可隱含地包括、但不限於數位信號處理器(DSP)硬體、一網路處理器、特定應用積體電路(ASIC)或其他電路系統、可現場規劃閘陣列(FPGA)、用於儲存軟體之唯讀記憶體(ROM)、隨機存取記憶體(RAM)、非依電性儲存器、邏輯、或一些其他實體硬體組件或模組。
同樣地,可將一元件實施成可由一處理器或一電腦執行之指令,用以進行該元件之功能。指令之一些實例係軟體、程式碼、及韌體。該等指令在由處理器執行時具有操作性,用以引導處理器進行該元件之功能。該等指令可儲存在處理器可讀之儲存裝置上。儲存裝置之一些實例係數位或固態記憶體、諸如磁碟及磁帶等磁性儲存媒體、硬碟機、或光學可讀數位資料儲存媒體。
「電路系統」於本申請書中使用時,可意指為以下之一或多者或全部: (a)唯硬體電路實作態樣(諸如唯類比及/或數位電路系統中之實作態樣); (b)硬體電路與軟體之組合,諸如(如適用): (i) (諸)類比及/或數位硬體電路與軟體/韌體之組合;以及 (ii)具有軟體之(諸)硬體處理器(包括(諸)數位信號處理器)、軟體及(諸)記憶體的任何部分,其一起運作以令諸如一行動電話或伺服器之一設備進行各種功能;以及 (c)諸如一(諸)微處理器或一(諸)微處理器之一部分等需要軟體(例如:韌體)才能操作之(諸)硬體電路及/或(諸)處理器,但軟體在不需要它也能操作時可以不存在。
「電路系統」之定義適用於本申請書中該用語之所有使用,包括申請專利範圍任何請求項中該用語之所有使用。舉進一步實例而言,「電路系統」一詞於本申請案中使用時,亦涵蓋僅一硬體電路或處理器(或多個處理器)、或一硬體電路或處理器之部分、以及其隨附軟體及/或韌體的一實作態樣。「電路系統」一詞舉例而言、及如果適用於特定主張元件,亦涵蓋用於一行動裝置之一基頻積體電路或處理器積體電路、或伺服器、一蜂巢式網路裝置、或其他運算或網路裝置中之一類似積體電路。
雖然特定實施例已在本文中作說明,本揭露之範疇仍不受限於那些具體實施例。本揭露之範疇係由以下申請專利範圍及其任何均等論述所定義。
100:5G系統 102:5G接取網路 104:5G核心網路 106:5G使用者裝備 108:資料網路 110:網路功能 200:非漫遊架構 210:認證伺服器功能 212:接取與行動性管理功能 214:工作階段管理功能 216:政策控制功能 218:統一資料管理 220:網路切片選擇功能 222:應用功能 224:網路曝露功能 226:NF儲存庫功能 228:服務通訊代理器 230:網路切片允入控制功能 232:網路切片特定及SNPN認證及授權功能 234:邊緣應用伺服器發現功能 240:使用者平面功能 302:SEAF 500:基本網路模型 536:AKMA定錨功能 600,700:AKMA架構 800:擴增A-KID 802:使用者名稱 804:領域 806:@符號 810:補充字元 812:路由指示符 814:AKMA臨時UE識別符 910:RID長度 1010:區隔字元 1110:RID標記 1111:A-TID標記 1200:AKMA元件 1202,1434,1604:AKMA控制器 1230,1404:處理器 1232,1406,1632:記憶體 1234,1440,1634:指令 1300,1500,1700,1800,1900:方法 1302,1304,1502,1504,1506,1508,1510,1702,1704,1706,1708,1710,1712,1802,1804,1806,1808,1810,1812,1814,1816,1818,1820,1902,1904:步驟 1402:無線電介面組件 1408:使用者介面組件 1410:電池 1420:RF單元 1422:天線 1450:顯示器 1452:鍵盤或鍵板 1460:用戶身份模組 1600:網路元件 1602:網路介面組件 2004:Naanf_AKMA_AnchorKey_Register Request訊息 2104:Application Session Establishment Request訊息 2106:Naanf_AKMA_ApplicationKey_Get請求
本發明之一些實施例現僅以舉例方式,並參照附圖作說明。所有圖式中相同之參考數字符號代表相同之元件或相同類型之元件。
圖1繪示一5G系統之一高階架構。
圖2繪示一5G系統之一非漫遊架構。
圖3係一信令圖,其繪示初級認證之發起。
圖4係一信令圖,其繪示一認證程序。
圖5為AKMA繪示一基本網路模型。
圖6為內部AF以參考點表示型態繪示一AKMA架構。
圖7為外部AF以參考點表示型態繪示一AKMA架構。
圖8繪示一說明性實施例中之一擴增A-KID。
圖9為一說明性實施例中之一擴增A-KID繪示一使用者名稱之一例示性格式。
圖10為一說明性實施例中之一擴增A-KID繪示一使用者名稱之另一例示性格式。
圖11為一說明性實施例中之一擴增A-KID繪示一使用者名稱之另一例示性格式。
圖12係一說明性實施例中一AKMA元件的一方塊圖。
圖13係一流程圖,其繪示一說明性實施例中進行一AKMA認證服務之一方法。
圖14係一說明性實施例中一UE的一方塊圖。
圖15係一流程圖,其繪示一說明性實施例中進行一AKMA認證服務之另一方法。
圖16係一說明性實施例中一網路元件的一方塊圖。
圖17係一流程圖,其繪示一說明性實施例中進行一AKMA認證服務之另一方法。
圖18係一流程圖,其繪示一說明性實施例中進行一AKMA認證服務之另一方法。
圖19係一流程圖,其繪示一說明性實施例中進行一AKMA認證服務之另一方法。
圖20係一信令圖,其繪示一說明性實施例中初級認證後一AKMA錨金鑰(KAKMA)之產生。
圖21係一信令圖,其繪示一說明性實施例中AKMA應用金鑰(K
AF)之產生。
1500:方法
1502,1504,1506,1508,1510:步驟
Claims (14)
- 一種設備,其包含: 至少一個處理器;以及 至少一個記憶體,其包括電腦程式碼; 該至少一個記憶體及該電腦程式碼被組配用以配合該至少一個處理器,致使該設備至少進行下列動作: 產生一AKMA金鑰識別符(A-KID),其具有一識別符格式,該識別符格式帶有藉由一@符號區隔之一使用者名稱及一領域,其中該使用者名稱包括一路由指示符(RID)、一AKMA臨時UE識別符(A-TID)、以及在該使用者名稱中區別該RID與該A-TID之至少一個補充字元;以及 基於該A-KID進行一AKMA認證服務之一功能。
- 如請求項1之設備,其中: 該至少一個補充字元包含一RID長度,其指出該使用者名稱中該RID之一長度;以及 該RID長度係加在該使用者名稱中之該RID前面。
- 如請求項1之設備,其中: 該至少一個補充字元包含在該使用者名稱中之該RID與該A-TID之間的一區隔字元。
- 如請求項1之設備,其中: 該至少一個補充字元包含該使用者名稱中居前於該RID之一RID標記、及居前於該A-TID之一A-TID標記。
- 如請求項1之設備,其中: 該設備包含一使用者裝備(UE);以及 該至少一個記憶體及該電腦程式碼更被組配用以配合該至少一個處理器,致使該UE至少進行下列動作: 產生該A-KID;以及 向包括該A-KID之一AKMA應用功能(AF)發送一應用程式工作階段確立請求訊息。
- 一種在一設備中進行一應用程式認證及金鑰管理(AKMA)認證服務之方法,該方法包含: 處置一AKMA金鑰識別符(A-KID),其具有一識別符格式,該識別符格式帶有藉由一@符號區隔之一使用者名稱及一領域,其中該使用者名稱包括一路由指示符(RID)、一AKMA臨時UE識別符(A-TID)、以及在該使用者名稱中區別該RID與該A-TID之至少一個補充字元;以及 基於該A-KID進行(1304)該AKMA認證服務之一功能。
- 如請求項6之方法,其中: 該至少一個補充字元包含一RID長度,其指出該使用者名稱中該RID之一長度;以及 該RID長度係加在該使用者名稱中之該RID前面。
- 如請求項6之方法,其中: 該至少一個補充字元包含在該使用者名稱中之該RID與該A-TID之間的一區隔字元。
- 如請求項6之方法,其中: 該至少一個補充字元包含該使用者名稱中居前於該RID之一RID標記、及居前於該A-TID之一A-TID標記。
- 如請求項6之方法,其中: 該設備包含一使用者裝備(UE);以及 基於該A-KID進行該AKMA認證服務之一功能包含: 從該UE向包括該A-KID之一AKMA應用功能(AF)發送一應用程式工作階段確立請求訊息。
- 一種電腦可讀媒體,其包含用於致使一設備至少進行下列動作之指令: 產生一AKMA金鑰識別符(A-KID),其具有一識別符格式,該識別符格式帶有藉由一@符號區隔之一使用者名稱及一領域,其中該使用者名稱包括一路由指示符(RID)、一AKMA臨時UE識別符(A-TID)、以及在該使用者名稱中區別該RID與該A-TID之至少一個補充字元;以及 基於該A-KID進行該AKMA認證服務之一功能。
- 如請求項11之電腦可讀媒體,其中: 該至少一個補充字元包含一RID長度,其指出該使用者名稱中該RID之一長度;以及 該RID長度係加在該使用者名稱中之該RID前面。
- 如請求項11之電腦可讀媒體,其中: 該至少一個補充字元包含該使用者名稱中居前於該RID之一RID標記、及居前於該A-TID之一A-TID標記。
- 如請求項11之電腦可讀媒體,其中: 該設備包含一使用者裝備(UE);以及 基於該A-KID進行該AKMA認證服務之一功能包含: 從該UE向包括該A-KID之一AKMA應用功能(AF)發送一應用程式工作階段確立請求訊息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN202241018484 | 2022-03-29 | ||
| IN202241018484 | 2022-03-29 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW202341695A true TW202341695A (zh) | 2023-10-16 |
Family
ID=85726745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW112111817A TW202341695A (zh) | 2022-03-29 | 2023-03-28 | 用以進行應用程式認證及金鑰管理(akma)認證服務之設備、方法及電腦可讀媒體 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20230319561A1 (zh) |
| EP (1) | EP4254871A1 (zh) |
| JP (1) | JP7542676B2 (zh) |
| CN (1) | CN116896746A (zh) |
| BR (1) | BR102023005687A2 (zh) |
| TW (1) | TW202341695A (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4016950A4 (en) * | 2019-08-18 | 2022-08-10 | Huawei Technologies Co., Ltd. | COMMUNICATION METHOD, DEVICE AND SYSTEM |
-
2023
- 2023-03-21 EP EP23163047.6A patent/EP4254871A1/en active Pending
- 2023-03-24 JP JP2023048283A patent/JP7542676B2/ja active Active
- 2023-03-27 US US18/190,910 patent/US20230319561A1/en active Pending
- 2023-03-28 TW TW112111817A patent/TW202341695A/zh unknown
- 2023-03-28 BR BR102023005687-3A patent/BR102023005687A2/pt unknown
- 2023-03-29 CN CN202310320249.XA patent/CN116896746A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4254871A1 (en) | 2023-10-04 |
| BR102023005687A2 (pt) | 2024-02-06 |
| JP2023147252A (ja) | 2023-10-12 |
| CN116896746A (zh) | 2023-10-17 |
| JP7542676B2 (ja) | 2024-08-30 |
| US20230319561A1 (en) | 2023-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11737045B2 (en) | Connection processing method and apparatus in multi-access scenario | |
| US12096328B2 (en) | Method and apparatus for providing emergency codes to a mobile device | |
| US11722891B2 (en) | User authentication in first network using subscriber identity module for second legacy network | |
| US11553381B2 (en) | Method and apparatus for multiple registrations | |
| US11937079B2 (en) | Communication terminal, core network device, core network node, network node, and key deriving method | |
| EP3958599A1 (en) | Network roaming and intercommunication method, device, and system | |
| US20220103540A1 (en) | Authentication method for next generation systems | |
| EP4106372A1 (en) | Subscription data update method and apparatus, node, and storage medium | |
| TW202341695A (zh) | 用以進行應用程式認證及金鑰管理(akma)認證服務之設備、方法及電腦可讀媒體 | |
| US11109219B2 (en) | Mobile terminal, network node server, method and computer program | |
| EP4243348A1 (en) | Registering a user equipment to a communication network | |
| US12052358B2 (en) | Method and apparatus for multiple registrations | |
| US20230016347A1 (en) | Method, apparatus, and computer program product for authentication using a user equipment identifier | |
| US20230345246A1 (en) | Authentication proxy for akma authentication service | |
| US20230362150A1 (en) | Re-authentication of user equipment (ue) triggered by home network | |
| US20240154803A1 (en) | Rekeying in authentication and key management for applications in communication network | |
| US20220264296A1 (en) | Enhanced onboarding in cellular communication networks | |
| US20240187856A1 (en) | Registration authentication based on a capability | |
| WO2024161326A1 (en) | Enhanced ue parameters update (upu) procedures | |
| WO2024161327A1 (en) | Enhanced ue parameters update (upu) procedures |