TWI799064B - 一種金鑰標識的生成方法以及相關裝置 - Google Patents
一種金鑰標識的生成方法以及相關裝置 Download PDFInfo
- Publication number
- TWI799064B TWI799064B TW111100691A TW111100691A TWI799064B TW I799064 B TWI799064 B TW I799064B TW 111100691 A TW111100691 A TW 111100691A TW 111100691 A TW111100691 A TW 111100691A TW I799064 B TWI799064 B TW I799064B
- Authority
- TW
- Taiwan
- Prior art keywords
- authentication
- management function
- key
- request message
- vector acquisition
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Lock And Its Accessories (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申請實施例公開一種金鑰標識的生成方法以及相關裝置,包括:鑒權管理功能AUSF接收來自接入與移動性管理功能AMF鑒權請求消息,鑒權請求消息中攜帶簽約隱藏識別字SUCI;AUSF向統一資料管理功能UDM發送鑒權向量獲取請求消息,鑒權向量獲取請求消息中攜帶SUCI;AUSF接收來自UDM的鑒權向量獲取回應訊息,鑒權向量獲取回應訊息包括認證和金鑰管理AKMA指示資訊;根據AKMA指示資訊,AUSF基於SUCI中的路由標識RID生成認證和金鑰管理-金鑰臨時身份標識;AUSF保存RID。在認證和金鑰管理AKMA流程中,AUSF保存RID,以保證AUSF接收的鑒權向量獲取請求消息中攜帶SUPI時,AUSF可以使用該RID相關的參數生成新的A-KID,保證AKMA流程的成功執行。
Description
本發明涉及通信技術領域,尤其涉及一種金鑰標識的生成方法以及相關裝置。
隨著網路技術的快速的發展,網路安全成為日益突出的問題。隨著第五代移動通信(the 5th generation,5G)的發展,目前使用者設備(user equipment,UE)與應用伺服器(application function,AF)之間可以採用應用的認證和金鑰管理(authentication and key management for application,AKMA)流程。在AKMA流程中,鑒權管理功能(authentication server function,AUSF)向統一資料管理功能(Unified Data Management,UDM)發送鑒權向量獲取請求消息(Numd_UEAuthentication Get Request),該鑒權向量獲取請求消息中攜帶永久身份標識(subscriber permanent identifier,SUPI)或簽約隱藏識別字(subscription concealed identifier,SUCI),該鑒權向量獲取請求消息用於觸發UE與網路側(核心網)之間的主鑒權(Primary authentication)流程。
該鑒權向量獲取請求消息中攜帶SUPI或SUCI由AUSF接收的鑒權向量請求消息確定,當該鑒權請求消息中攜帶SUPI時,該鑒權向量獲取請求消息中攜帶SUPI;當該鑒權請求消息中攜帶SUCI時,該鑒權向量獲取請求消息中攜帶SUCI。
在AKMA流程中,AUSF需要生成AKMA金鑰臨時身份標識(AKMA-Key Identifier,A-KID),A-KID也稱為認證和金鑰管理-金鑰臨時身份標識。目前規定,A-KID需要基於路由標識(Routing Indicator,RID)生成,該路由標識在標準TS 23.003中定義,具體的,該路由標識可用於AUSF或UDM選擇。而RID是SUCI的一部分,SUPI中不包括RID。當鑒權請求消息中攜帶的是SUPI時,AUSF無法獲取RID。進而AUSF無法生成A-KID,造成AKMA流程的失敗。
本申請實施例第一方面提供了一種金鑰標識的生成方法,包括:鑒權管理功能接收來自接入與移動性管理功能鑒權請求消息#1,鑒權請求消息#1中攜帶簽約隱藏識別字,簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;鑒權管理功能向統一資料管理功能發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶簽約隱藏識別字;鑒權管理功能接收來自統一資料管理功能的鑒權向量獲取回應訊息#1,鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊;根據認證和金
鑰管理指示資訊,鑒權管理功能基於簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1;鑒權管理功能保存路由標識。
具體的,簽約隱藏識別字(SUCI)可以理解為是永久身份標識(SUPI)的一種加密形式,例如可以參考3GPP TS33.501第6.12.2章節以及TS23.003第2.2B章節所述。具體的,SUCI中可以包括路由標識以及加密部分。加密部分為使用者加密的身份資訊。一種可能的實現方式中,SUPI中除移動國家代碼(mobile country code,MCC)之外的部分可以由全球使用者識別卡(universal subscriber identity module,USIM)或移動設備(mobile equipment,ME)進行加密計算得到該加密部分。
該鑒權請求消息#1為“Nausf_UEAuthentication_Authenticate Request”。
該認證和金鑰管理指示資訊本申請實施例中也稱為AKMA業務指示資訊,該AKMA業務指示信息可以是“AKMA Indication”或“AKMA ID”,本申請實施例中不作限定。AKMA業務指示資訊用於指示AUSF需要為這個UE生成AKMA錨點金鑰Kakma以及對應的金鑰識別字(如認證和金鑰管理-金鑰臨時身份標識)。也可以理解為:該AKMA業務指示資訊用於指示該UE支援AKMA業務。
UDM再次發送RID是為了確保AUSF處有可以使用的RID。
本申請實施例中,在AKMA流程中,鑒權管理功能AUSF保存路由標識RID相關的參數(例如:SUCI、認證和金鑰管理-金鑰臨時身份標識A-KID和/或RID)。以保證AUSF接收的鑒權向量獲取請求消息中攜帶SUPI時,AUSF可以使用該RID相關的參數生成新的A-KID,保證AKMA流程的成功執行。
在一種可能的實現方式中,還包括:鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#2;在鑒權請求消息#2中攜帶永久身份標識的情況下,鑒權管理功能使用保存的路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。具體的,AUSF基於該SUPI,確定中間金鑰Kausf,並使用Kausf生成A-KID#2。AUSF基於保存的RID,在接收SUPI的情況下可以生成新的A-KID,保證UE的AKMA業務順利執行。
在一種可能的實現方式中,鑒權管理功能基於簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1,包括:鑒權管理功能基於對終端設備進行鑒權流程中生成的中間金鑰,生成認證和金鑰管理-金鑰臨時身份標識;鑒權管理功能將路由標識和認證和金鑰管理-金鑰臨時身份標識進行拼接,得到認證和金鑰管理-金鑰臨時身份標識#1。
具體的,基於RID生成A-KID具體如下:A-KID格式為“username@exmaple”。“username”部分包括路由標識,和認證和金鑰管理-終端設備臨時身份標識(AKMA Temporary UE Identifier,A-TID)。“example”部分包括家鄉網路標識,例如:
移動國家代碼(mobile country code,MCC)和移動網路代碼(mobile network code,MNC)。A-TID是基於Kausf生成的一個臨時標識。
在一種可能的實現方式中,鑒權管理功能保存路由標識,包括:鑒權管理功能保存認證和金鑰管理-金鑰臨時身份標識#1。現有技術中,鑒權管理功能生成認證和金鑰管理-金鑰臨時身份標識#1之後,會將生成的認證和金鑰管理-金鑰臨時身份標識#1發送給其他網元(如認證和金鑰管理錨點功能),然後刪除生成的認證和金鑰管理-金鑰臨時身份標識#1。由於A-KID中包括路由標識,鑒權管理功能後續收到基於SUPI的鑒權向量請求消息時,依然可以為終端設備生成對應的A-KID,從而保證了AKMA流程的順利進行。
在一種可能的實現方式中,鑒權向量獲取回應訊息#1中還包括路由標識;鑒權管理功能基於簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1,包括:鑒權管理功能基於鑒權向量獲取回應訊息#1中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1。AUSF該可以基於鑒權向量獲取回應訊息#1中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1,提升了方案的實現靈活性。
在一種可能的實現方式中,鑒權管理功能保存路由標識,包括:鑒權管理功能保存簽約隱藏識別字。提升了方案的實現靈活性。
在一種可能的實現方式中,鑒權管理功能保存路由標識
之後,還包括:鑒權管理功能刪除認證和金鑰管理-金鑰臨時身份標識#1。AUSF保存路由標識之後,還可以刪除認證和金鑰管理-金鑰臨時身份標識#1,以節省AUSF的存儲空間。
在一種可能的實現方式中,鑒權管理功能基於保存的路由標識生成認證和金鑰管理-金鑰臨時身份標識#2之後,還包括:鑒權管理功能刪除認證和金鑰管理-金鑰臨時身份標識#2;鑒權管理功能繼續保存路由標識。AUSF保存的路由標識生成認證和金鑰管理-金鑰臨時身份標識#2之後,還可以刪除認證和金鑰管理-金鑰臨時身份標識#2,以節省AUSF的存儲空間。AUSF還可以繼續保存路由標識,以確保AKMA業務的成功執行。
第二方面,本申請實施例提出一種金鑰標識的生成方法,包括:鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#1,鑒權請求消息#1中攜帶簽約隱藏識別字,簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;鑒權管理功能向統一資料管理功能發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶簽約隱藏識別字;鑒權管理功能接收來自統一資料管理功能的鑒權向量獲取回應訊息#1,鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊和簽約隱藏識別字中的路由標識;根據認證和金鑰管理指示資訊,鑒權管理功能基於路由標識生成認證和金鑰管理-金鑰臨時身份標識#1。
本申請實施例中,在AKMA流程中,AUSF可以從UDM中獲取RID。以保證AUSF接收的鑒權向量獲取請求消息中攜帶
SUPI時,AUSF可以使用該RID生成新的A-KID,保證AKMA流程的成功執行。
在一種可能的實現方式中,還包括:鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#2;鑒權請求消息#2包括永久身份標識;鑒權管理功能向統一資料管理功能發送鑒權向量獲取請求消息#2,鑒權向量獲取請求消息#2中攜帶永久身份標識;鑒權管理功能接收來自統一資料管理功能的鑒權向量獲取回應訊息#2,鑒權向量獲取回應訊息#2包括路由標識;鑒權管理功能使用路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。本實施例中,AUSF可以從UDM中獲取路由標識,提升了方案的實現靈活性。
在一種可能的實現方式中,還包括:鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#2;鑒權請求消息#2包括永久身份標識;鑒權管理功能向統一資料管理功能發送鑒權向量獲取請求消息#2,鑒權向量獲取請求消息#2中攜帶永久身份標識;鑒權管理功能根據認證和金鑰管理指示資訊,從核心網網元獲取路由標識;鑒權管理功能使用路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。本實施例中,AUSF可以從其它的核心網網元中獲取路由標識,以確保AKMA業務的成功執行,提升了方案的實現靈活性。
在一種可能的實現方式中,鑒權管理功能根據認證和金鑰管理指示資訊,從其他核心網網元獲取路由標識,包括:鑒權
管理功能根據認證和金鑰管理指示資訊,確定需要生成認證和金鑰管理-金鑰臨時身份標識#2;在鑒權管理功能本地沒有路由標識的情況下,鑒權管理功能從核心網網元獲取路由標識。
具體的,AUSF還檢測AUSF本地是否保存有RID相關的參數(例如RID、SUCI和/或A-KID)。當檢測結果為鑒權請求消息#2中沒有RID(或者鑒權請求消息#2沒有RID,且,AUSF本地沒有RID相關的參數),則AUSF從核心網網元獲取路由標識。
可選的,核心網網元包括統一資料管理功能或者接入與移動性管理功能。
本實施例中,AUSF在本地沒有路由標識的情況下,從其它的核心網網元中獲取路由標識,以確保AKMA業務的成功執行,提升了方案的實現靈活性。
在一種可能的實現方式中,在鑒權管理功能根據認證和金鑰管理指示資訊,從核心網網元獲取路由標識之前,還包括:鑒權管理功能接收來自統一資料管理功能的鑒權向量獲取回應訊息#2,鑒權向量獲取回應訊息#2包括認證和金鑰管理指示資訊。AUSF在接收認證和金鑰管理指示資訊的情況下,AUSF才可以確認該UE支援AKMA業務。因此,在此之後AUSF才會從核心網網元獲取路由標識,避免信令的浪費。
第三方面,本申請實施例提出一種金鑰標識的生成方法,包括:鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#1,鑒權請求消息#1中攜帶簽約隱藏識別字,簽約隱藏
識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;鑒權管理功能向統一資料管理功能發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶簽約隱藏識別字;鑒權管理功能接收來自統一資料管理功能的鑒權向量獲取回應訊息#1,鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊;根據認證和金鑰管理指示資訊,鑒權管理功能基於簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1;鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#2;其中,鑒權請求消息#2包括永久身份標識和路由標識;鑒權管理功能使用從接入與移動性管理功能接收到的路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
本申請實施例中,在AKMA流程中,AMF判斷UE支援AKMA業務的情況下,AUSF可以從AMF中獲取RID。以保證AUSF接收的鑒權向量獲取請求消息中攜帶SUPI時,AUSF可以使用該RID生成新的A-KID,保證AKMA流程的成功執行。
在一種可能的實現方式中,在鑒權管理功能使用從接入與移動性管理功能接收到的路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2之前,還包括:鑒權管理功能向統一資料管理功能發送鑒權向量獲取請求消息#2,其中,鑒權向量獲取請求消息#2中攜帶永久身份標識;鑒權管理功能接收來自統一資料管理功能的鑒權向量獲取回應訊息#2。本實施例中,AMF可以在鑒權請求消息中攜帶RID,AUSF從該鑒權請求消息中獲取RID,提
升了方案得實現靈活性。
在一種可能的實現方式中,在鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#2之前,還包括:鑒權管理功能向接入與移動性管理功能發送第一鑒權請求回應;第一鑒權請求回應包括第一指示資訊,第一指示資訊用於指示終端設備支援應用的認證和金鑰管理業務。本實施例中,AUSF還可以通過其它指示資訊(第一指示資訊),通知AMF該UE支持AKMA業務,提升了方案得實現靈活性。
在一種可能的實現方式中,鑒權向量獲取回應訊息#1中還包括路由標識;鑒權管理功能基於簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1,包括:鑒權管理功能基於鑒權向量獲取回應訊息#1中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1。本實施例中,AUSF還可以通過來著AMF的鑒權向量獲取回應訊息#1中的RID,生成認證和金鑰管理-金鑰臨時身份標識#1,提升了方案得實現靈活性。
第四方面,本申請實施例提出一種金鑰標識的生成方法,包括:鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#2;鑒權請求消息#2包括永久身份標識;鑒權管理功能向統一資料管理功能發送鑒權向量獲取請求消息#2,鑒權向量獲取請求消息#2中攜帶永久身份標識;鑒權管理功能接收來自統一資料管理功能的鑒權向量獲取回應訊息#2,鑒權向量獲取回應訊息#2包括認證和金鑰管理指示資訊;鑒權管理功能根據認證和金
鑰管理指示資訊,確定需要生成認證和金鑰管理-金鑰臨時身份標識;在鑒權管理功能本地沒有路由標識的情況下,鑒權管理功能從核心網網元獲取路由標識;鑒權管理功能使用路由標識生成認證和金鑰管理-金鑰臨時身份標識#2。
具體的,AUSF還檢測AUSF本地是否保存有RID相關的參數(例如RID、SUCI和/或A-KID)。當檢測結果為鑒權請求消息#2中沒有RID(或者鑒權請求消息#2沒有RID,且,AUSF本地沒有RID相關的參數),則AUSF從核心網網元獲取路由標識。
可選的,核心網網元包括統一資料管理功能或者接入與移動性管理功能。
本申請實施例中,在AKMA流程中,AUSF可以從UDM或AMF等核心網網元中獲取RID。以保證AUSF接收的鑒權向量獲取請求消息中攜帶SUPI時,AUSF可以使用該RID生成新的A-KID,保證AKMA流程的成功執行。
第五方面,本申請實施例提出一種通信裝置,包括:收發模組,用於接收來自接入與移動性管理功能鑒權請求消息#1,鑒權請求消息#1中攜帶簽約隱藏識別字,簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;收發模組,還用於向統一資料管理功能發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶簽約隱藏識別字;收發模組,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#1,鑒權向量獲取回應訊息#1包括認證和金鑰管理指
示資訊;處理模組,用於根據認證和金鑰管理指示資訊,基於簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1;處理模組,還用於保存路由標識。
在一種可能的實現方式中,收發模組,還用於接收來自接入與移動性管理功能的鑒權請求消息#2;處理模組,還用於在鑒權請求消息#2中攜帶永久身份標識的情況下,使用保存的路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
在一種可能的實現方式中,處理模組,還用於基於對終端設備進行鑒權流程中生成的中間金鑰,生成認證和金鑰管理-金鑰臨時身份標識;處理模組,還用於將路由標識和認證和金鑰管理-金鑰臨時身份標識進行拼接,得到認證和金鑰管理-金鑰臨時身份標識#1。
在一種可能的實現方式中,處理模組,還用於保存認證和金鑰管理-金鑰臨時身份標識#1。
在一種可能的實現方式中,鑒權向量獲取回應訊息#1中還包括路由標識;處理模組,還用於基於簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1,包括:處理模組,還用於基於鑒權向量獲取回應訊息#1中的路由標
識生成認證和金鑰管理-金鑰臨時身份標識#1。
在一種可能的實現方式中,處理模組,還用於保存簽約隱藏識別字。
在一種可能的實現方式中,處理模組,還用於刪除認證和金鑰管理-金鑰臨時身份標識#1。
在一種可能的實現方式中,處理模組,還用於刪除認證和金鑰管理-金鑰臨時身份標識#2;處理模組,還用於繼續保存路由標識。
第六方面,本申請實施例提出一種通信裝置,包括:收發模組,用於接收來自接入與移動性管理功能的鑒權請求消息#1,鑒權請求消息#1中攜帶簽約隱藏識別字,簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;收發模組,還用於向統一資料管理功能發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶簽約隱藏識別字;收發模組,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#1,鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊和簽約隱藏識別字中的路由標識;處理模組,用於根據認證和金鑰管理指示資訊,基於路由標識生成認證和金鑰管理-金鑰臨時身份標識#1。
在一種可能的實現方式中,收發模組,還用於接收來自接入與移動性管理功能的鑒權請求消息#2;鑒權請求消息#2包括永久身份標識;
收發模組,還用於向統一資料管理功能發送鑒權向量獲取請求消息#2,鑒權向量獲取請求消息#2中攜帶永久身份標識;收發模組,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#2,鑒權向量獲取回應訊息#2包括路由標識;處理模組,還用於使用路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
在一種可能的實現方式中,收發模組,還用於接收來自接入與移動性管理功能的鑒權請求消息#2;鑒權請求消息#2包括永久身份標識;收發模組,還用於向統一資料管理功能發送鑒權向量獲取請求消息#2,鑒權向量獲取請求消息#2中攜帶永久身份標識;收發模組,還用於根據認證和金鑰管理指示資訊,從核心網網元獲取路由標識;處理模組,還用於使用路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
在一種可能的實現方式中,處理模組,還用於根據認證和金鑰管理指示資訊,確定需要生成認證和金鑰管理-金鑰臨時身份標識#2;收發模組,還用於在鑒權管理功能本地沒有路由標識的情況下,從核心網網元獲取路由標識。
在一種可能的實現方式中,核心網網元包括統一資料管理功能或者接入與移動性管理功能。
在一種可能的實現方式中,收發模組,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#2,鑒權向量獲取回應訊息#2包括認證和金鑰管理指示資訊。
第七方面,本申請實施例提出一種通信裝置,包括:收發模組,用於接收來自接入與移動性管理功能的鑒權請求消息#1,鑒權請求消息#1中攜帶簽約隱藏識別字,簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;收發模組,還用於向統一資料管理功能發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶簽約隱藏識別字;收發模組,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#1,鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊;處理模組,用於根據認證和金鑰管理指示資訊,基於簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1;收發模組,還用於接收來自接入與移動性管理功能的鑒權請求消息#2;其中,鑒權請求消息#2包括永久身份標識和路由標識;處理模組,還用於使用從接入與移動性管理功能接收到的路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
在一種可能的實現方式中,收發模組,還用於向統一資料管理功能發送鑒權向量獲取請求消息#2,其中,鑒權向量獲取請求消息#2中攜帶永久身份標識;
收發模組,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#2。
在一種可能的實現方式中,收發模組,還用於向接入與移動性管理功能發送第一鑒權請求回應;第一鑒權請求回應包括第一指示資訊,第一指示資訊用於指示終端設備支援應用的認證和金鑰管理業務。
在一種可能的實現方式中,處理模組,還用於基於鑒權向量獲取回應訊息#1中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1。
第八方面,本申請實施例提出一種通信裝置,包括:收發模組,用於接收來自接入與移動性管理功能的鑒權請求消息#2;鑒權請求消息#2包括永久身份標識;收發模組,還用於向統一資料管理功能發送鑒權向量獲取請求消息#2,鑒權向量獲取請求消息#2中攜帶永久身份標識;收發模組,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#2,鑒權向量獲取回應訊息#2包括認證和金鑰管理指示資訊;處理模組,還用於根據認證和金鑰管理指示資訊,確定需要生成認證和金鑰管理-金鑰臨時身份標識;收發模組,還用於在鑒權管理功能本地沒有路由標識的情況下,從核心網網元獲取路由標識;處理模組,還用於使用路由標識生成認證和金鑰管理-金鑰臨
時身份標識#2。
在一種可能的實現方式中,核心網網元包括統一資料管理功能或者接入與移動性管理功能。
本申請實施例第九方面提供一種通信裝置,通信裝置包括:處理器、記憶體以及與處理器連接的收發器。記憶體中存儲有電腦程式或電腦指令,處理器還用於調用並運行記憶體中存儲的電腦程式或電腦指令,使得處理器實現如第一方面至第四方面中的任一方面或第一方面至第四方面中的任一方面中的任意一種實現方式。
可選的,處理器用於控制收發器執行如第一方面至第四方面中的任一方面或第一方面至第四方面中的任一方面中的任意一種實現方式。
本申請實施例第十方面提供一種包括電腦指令的電腦程式產品,其中,當其在電腦上運行時,使得電腦執行如第一方面至第四方面中的任一方面或第一方面至第四方面中的任一方面中的任意一種實現方式。
本申請實施例第十一方面提供一種電腦可讀存儲介質,包括電腦指令,當電腦指令在電腦上運行時,使得電腦執行如第一方面至第四方面中的任一方面或第一方面至第四方面中的任一方面中的任意一種實現方式。
本申請實施例第十二方面提供一種通信裝置,通信裝置包括網路設備、終端設備或晶片等實體,通信裝置包括處理器,
用於調用記憶體中的電腦程式或電腦指令,以使得處理器執行上述第一方面至第四方面中的任一方面或第一方面至第四方面中的任一方面中的任意一種實現方式。
可選的,處理器通過介面與記憶體耦合。
本申請實施例第十三方面提供一種通信系統,通信系統包括第五方面的通信裝置、第六方面的通信裝置、第七方面的通信裝置和/或第吧方面的通信裝置。
本申請實施例第十四方面還提供一種處理器,用於執行上述各種方法。在執行這些方法的過程中,上述方法中有關發送上述資訊和接收上述資訊的過程,可以理解為由處理器輸出上述資訊的過程,以及處理器接收輸入的上述資訊的過程。在輸出上述資訊時,處理器將該上述資訊輸出給收發器,以便由收發器進行發射。該上述資訊在由處理器輸出之後,還可能需要進行其他的處理,然後才到達收發器。類似的,處理器接收輸入的上述資訊時,收發器接收該上述資訊,並將其輸入處理器。更進一步的,在收發器收到該上述資訊之後,該上述資訊可能需要進行其他的處理,然後才輸入處理器。
基於上述原理,舉例來說,前述方法中提及的接收來自AMF的鑒權請求消息#1可以理解為處理器輸入用於鑒權請求消息#1。又例如,發送該鑒權向量獲取請求消息#1可以理解為處理器輸出鑒權向量獲取請求消息#1。
對於處理器所涉及的發射、發送和接收等操作,如果沒
有特殊說明,或者,如果未與其在相關描述中的實際作用或者內在邏輯相抵觸,則均可以更加一般性的理解為處理器輸出和接收、輸入等操作,而不是直接由射頻電路和天線所進行的發射、發送和接收操作。
在實現過程中,上述處理器可以是專門用於執行這些方法的處理器,也可以是執行記憶體中的電腦指令來執行這些方法的處理器,例如通用處理器。上述記憶體可以為非暫態性(non-transitory)記憶體,例如唯讀記憶體(read only memory,ROM),其可以與處理器集成在同一塊晶片上,也可以分別設置在不同的晶片上,本申請實施例對記憶體的類型以及記憶體與處理器的設置方式不做限定。
本申請實施例第十五方面提供了一種晶片系統,該晶片系統包括處理器和介面,所述介面用於獲取程式或指令,所述處理器用於調用所述程式或指令以實現或者支援網路設備實現第一、第二、第三和/或第四方面所涉及的功能,例如,確定或處理上述方法中所涉及的資料和資訊中的至少一種。
在一種可能的設計中,所述晶片系統還包括記憶體,所述記憶體,用於保存網路設備必要的程式指令和資料。該晶片系統,可以由晶片構成,也可以包括晶片和其他分立器件。
131:網路開放功能NEF
132:網路存儲功能NRF
133:策略控制實體PCF
134:統一資料管理UDM
135:應用功能AF
136:鑒權服務功能AUSF
137:接入和移動性管理功能AMFAMF
138:會話管理功能SMF
139:使用者面功能UPF
140:(無線)接入網(R)AN
110:終端設備
120:資料網路DN
130:應用程式的身份認證和金鑰管理AKMA錨點功能AAnF
206:天線
202:收發器
2021:發射器
2022:接收器
203:記憶體
2031:指令
2032:資料
204:處理器
210:I/O介面
212:匯流排
901、1001、1101、1201:收發模組
902、1002、1102、1202:處理模組
301、302、303、304a、304b、305a、305b、306、307、308、401、402、403、404、405、406、407、408、409、410、411、412、501、502、503、504、505、506、507、601、602、603、604、605、606、607、701、702、703、704、705、706、707、708、709、801、802、803、804、805、806、807、808、809、810:步驟
圖1為一種通信系統的網路架構示意圖;圖2為本申請實施例中通信裝置的硬體結構示意圖;圖3為UE通過轉發的接入流程示意圖;圖4為本申請實施例提出的一種金鑰標識的生成方法的實施例示意圖;圖5為本申請實施例中又一種金鑰標識的生成方法的實施例示意圖;圖6為本申請實施例中又一種金鑰標識的生成方法的實施例示意圖;圖7為本申請實施例中又一種金鑰標識的生成方法的實施例示意圖;圖8為本申請實施例中又一種金鑰標識的生成方法的實施例示意圖;圖9為本申請實施例中通信裝置的一種實施例示意圖;圖10為本申請實施例中通信裝置的一種實施例示意圖;圖11為本申請實施例中通信裝置的一種實施例示意圖;圖12為本申請實施例中通信裝置的一種實施例示意圖。
下面將結合本申請實施例中的附圖,對本申請實施例中的技術方案進行清楚、完整地描述。顯然,所描述的實施例僅僅是本申請一部分實施例,而不是全部的實施例。基於本申請中的
實施例,本領域技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬於本申請保護的範圍。
本申請的說明書和請求項書及上述附圖中的術語“第一”、第二”以及相應術語標號等是用於區別類似的物件,而不必用於描述特定的順序或先後次序。應該理解這樣使用的術語在適當情況下可以互換,這僅僅是描述本申請的實施例中對相同屬性的物件在描述時所採用的區分方式。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,以便包含一系列單元的過程、方法、系統、產品或設備不必限於那些單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它單元。
在本申請的描述中,除非另有說明,“/”表示或的意思,例如,A/B可以表示A或B;本申請中的“和/或”僅僅是一種描述關聯物件的關聯關係,表示可以存在三種關係,例如,A和/或B,可以表示:單獨存在A,同時存在A和B,單獨存在B這三種情況。另外,在本申請的描述中,“至少一項”是指一項或者多項,“多項”是指兩項或兩項以上。“以下至少一項(個)”或其類似表達,是指的這些項中的任意組合,包括單項(個)或複數項(個)的任意組合。例如,a,b,或c中的至少一項(個),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是單個,也可以是多個。
本申請實施例的技術方案可以應用於各種通信系統,例如:寬頻碼分多址(Wideband Code Division Multiple Access,
WCDMA)系統,通用分組無線業務(general packet radio service,GPRS),長期演進(Long Term Evolution,LTE)系統,LTE頻分雙工(frequency division duplex,FDD)系統,LTE時分雙工(time division duplex,TDD),通用移動通信系統(universal mobile telecommunication system,UMTS),全球互聯微波接入(worldwide interoperability for microwave access,WiMAX)通信系統,第五代(5th generation,5G)系統或NR以及未來的第六代通信系統等。
各種通信系統中由運營者運營的部分可稱為運營商網路。運營商網路也可稱為公用陸地移動網(public land mobile network,PLMN)網路,是由政府或政府所批准的經營者,以為公眾提供陸地移動通信業務為目的而建立和經營的網路,主要是移動網路運營商(mobile network operator,MNO)為使用者提供移動寬頻接入服務的公共網路。本申請實施例中所描述的運營商網路或PLMN網路,可以為符合第三代合作夥伴專案(3rd generation partnership project,3GPP)標準要求的網路,簡稱3GPP網路。通常3GPP網路由運營商來運營,包括但不限於第五代移動通信(5th-generation,5G)網路(簡稱5G網路),第四代移動通信(4th-generation,4G)網路(簡稱4G網路)或第三代移動通信技術(3rd-generation,3G)網路(簡稱3G網路)。還包括未來的6G網路。為了方便描述,本申請實施例中將以運營商網路(如移動網路運營商(mobile network operator,MNO)網路)為例進行說明。
為了便於理解本申請實施例,以圖1所示的5G網路架構為例對本申請使用的應用場景進行說明,可以理解的是對其他通信網路與5G網路架構相似,因此不做贅述。請參閱圖1,圖1為一種通信系統的網路架構示意圖,所述網路架構中可以包括:終端設備(也可以稱為使用者設備部分,運營商網路部分和資料網路(data network,DN)部分。
終端設備部分包括終端設備110,終端設備110也可以稱為使用者設備(user equipment,UE)。本申請實施例中所涉及的終端設備110作為一種具有無線收發功能的設備,可以經(無線)接入網((radio)access network,(R)AN)140中的接入網設備與一個或多個核心網(core network,CN)進行通信。終端設備110也可稱為接入終端,終端,使用者單元,使用者站,移動站,移動台,遠方站,遠端終端機,移動設備,使用者終端,無線網路設備,使用者代理或使用者裝置等。終端設備110可以部署在陸地上,包括室內或室外,手持或車載;也可以部署在水面上(如輪船等);還可以部署在空中(例如飛機,氣球和衛星上等)。終端設備110可以是蜂窩電話(cellular phone),無繩電話,會話啟動協定(session initiation protocol,SIP)電話,智慧型電話(smart phone),手機(mobile phone),無線本地環路(wireless local loop,WLL)站,個人數位助理(personal digital assistant,PDA),可以是具有無線通訊功能的手持設備,計算設備或連接到無線數據機的其它設備,車載設備,可穿戴設備,無人機設備或物聯網,車
聯網中的終端,第五代移動通信(fifth generation,5G)網路以及未來網路中的任意形態的終端,中繼使用者設備或者未來演進的公用陸地移動通信網路(public land mobile network,PLMN)中的終端等,其中,中繼使用者設備例如可以是5G家庭閘道(residential gateway,RG)。例如終端設備110可以是虛擬實境(virtual reality,VR)終端,增強現實(augmented reality,AR)終端,工業控制(industrial control)中的無線終端,無人駕駛(self driving)中的無線終端,遠端醫療(remote medical)中的無線終端,智慧電網(smart grid)中的無線終端,運輸安全(transportation safety)中的無線終端,智慧城市(smart city)中的無線終端,智慧家庭(smart home)中的無線終端等。本申請實施例對此並不限定。為方便說明,本申請實施例中以終端設備110包括無人機和無人機遙控器為例進行說明。
需要說明的是,本申請實施例中涉及的無人機還可以包括:可以自主進行行駛的車輛(vehicle),或基於遙控器的控制指令進行行駛的車輛;可以自主進行航行的船舶(shipping),或基於遙控器的控制指令進行航行的船舶等。
運營商網路可以包括統一資料管理(unified data management,UDM)134,鑒權管理功能(authentication server function,AUSF)136,接入和移動性管理功能(access and mobility management function,AMF)137,會話管理功能(session management function,SMF)138,使用者面功能(user plane
function,UPF)139以及(R)AN140等。上述運營商網路中,除(R)AN 140部分之外的其他部分可以稱為核心網路(core network,CN)部分或核心網部分。為方便說明,本申請實施例中以(R)AN 140為RAN為例進行說明。
資料網路DN 120,也可以稱為協定資料網路(protocol data network,PDN),通常是位於運營商網路之外的網路,例如第三方網路。運營商網路可以接入多個資料網路DN 120,資料網路DN 120上可部署多種業務,可為終端設備110提供資料和/或語音等服務。例如,資料網路DN 120可以是某智慧工廠的私有網路,智慧工廠安裝在車間的感測器可以是終端設備110,資料網路DN 120中部署了感測器的控制伺服器,控制伺服器可為感測器提供服務。感測器可與控制伺服器通信,獲取控制伺服器的指令,基於指令將採集的感測器資料傳送給控制伺服器等。又例如,資料網路DN 120可以是某公司的內部辦公網路,該公司員工的手機或者電腦可為終端設備110,員工的手機或者電腦可以訪問公司內部辦公網路上的資訊,資料資源等。
終端設備110可通過運營商網路提供的介面(例如N1等)與運營商網路建立連接,使用運營商網路提供的資料和/或語音等服務。終端設備110還可通過運營商網路訪問資料網路DN 120,使用資料網路DN 120上部署的運營商業務,和/或第三方提供的業務。其中,上述第三方可為運營商網路和終端設備110之外的服務方,可為終端設備110提供其他資料和/或語音等服務。其中,
上述第三方的具體表現形式,具體可基於實際應用場景確定,在此不做限制。
下面對運營商網路中的網路功能進行簡要介紹。
(R)AN 140可以看作是運營商網路的子網路,是運營商網路中業務節點與終端設備110之間的實施系統。終端設備110要接入運營商網路,首先是經過(R)AN 140,進而可通過(R)AN 140與運營商網路的業務節點連接。本申請實施例中的接入網設備(RAN設備),是一種為終端設備110提供無線通訊功能的設備,也可以稱為網路設備,RAN設備包括但不限於:5G系統中的下一代基地台節點(next generation node base station,gNB),長期演進(long term evolution,LTE)中的演進型節點B(evolved node B,eNB),無線網路控制器(radio network controller,RNC),節點B(node B,NB),基地台控制器(base station controller,BSC),基地台收發台(base transceiver station,BTS),家庭基地台(例如,home evolved nodeB,或home node B,HNB),基帶單元(base band unit,BBU),傳輸點(transmitting and receiving point,TRP),發射點(transmitting point,TP),小基地台設備(pico),移動交換中心,或者未來網路中的網路設備等。採用不同無線接入技術的系統中,具備接入網設備功能的設備的名稱可能會有所不同。為方便描述,本申請所有實施例中,上述為終端設備110提供無線通訊功能的裝置統稱為接入網設備或簡稱為RAN或AN。應理解,本文對接入網設備的具體類型不作限定。
接入與移動性管理功能AMF(也可以稱為AMF網元,AMF網路功能或AMF網路功能實體)137是由運營商網路提供的控制面網路功能,負責終端設備110接入運營商網路的接入控制和移動性管理,例如包括移動狀態管理,分配使用者臨時身份標識,認證和授權使用者等功能。
會話管理功能SMF(也可以稱為SMF網元,SMF網路功能或SMF網路功能實體)138是由運營商網路提供的控制面網路功能,負責管理終端設備110的協定資料單元(protocol data unit,PDU)會話。PDU會話是一個用於傳輸PDU的通道,終端設備需要通過PDU會話與資料網路DN 120互相傳送PDU。PDU會話由SMF網路功能138負責建立,維護和刪除等。SMF網路功能138包括會話管理(如會話建立,修改和釋放,包含使用者面功能UPF 139和(R)AN 140之間的隧道維護),UPF網路功能139的選擇和控制,業務和會話連續性(service and session continuity,SSC)模式選擇,漫遊等會話相關的功能。
使用者面功能UPF(也可以稱為UPF網元,UPF網路功能或UPF網路功能實體)139是由運營商提供的閘道,是運營商網路與資料網路DN 120通信的閘道。UPF網路功能139包括資料包路由和傳輸,資料包檢測,業務用量上報,服務品質(quality of service,QoS)處理,合法監聽,上行資料包檢測,下行資料包存儲等使用者面相關的功能。
統一資料管理網元UDM(也可以稱為UDM網元,UDM
網路功能或UDM網路功能實體)134是由運營商提供的控制面功能,負責存儲運營商網路中簽約使用者的永久身份標識(subscriber permanent identifier,SUPI),簽約使用者的公開使用的簽約標識(generic public subscription identifier,GPSI),信任狀(credential)等信息。其中SUPI在傳輸過程中會先進行加密,加密後的SUPI被稱為隱藏的使用者簽約識別字(subscription concealed identifier,SUCI)。UDM 134所存儲的這些資訊可用於終端設備110接入運營商網路的認證和授權。其中,上述運營商網路的簽約使用者具體可為使用運營商網路提供的業務的使用者,例如使用“中國電信”的手機芯卡的使用者,或者使用“中國移動”的手機芯卡的使用者等。上述簽約使用者的信任狀可以是:該手機芯卡存儲的長期金鑰或者跟該手機芯卡加密相關的資訊等存儲的小文檔,用於認證和/或授權。需要說明的是,永久識別字,信任狀,安全上下文,認證資料(cookie),以及權杖等同驗證/認證,授權相關的資訊,在本申請實施例中,為了描述方便起見不做區分限制。
鑒權管理功能(authentication server function,AUSF)(也可以稱為AUSF網元、AUSF網路功能或AUSF網路功能實體)136是由運營商提供的控制面功能,通常用於主認證,即終端設備110(簽約使用者)與運營商網路之間的認證。AUSF 136接收到簽約使用者發起的認證請求之後,可通過UDM網路功能134中存儲的認證資訊和/或授權資訊對簽約使用者進行認證和/或授權,或者通
過UDM網路功能134生成簽約使用者的認證和/或授權資訊。AUSF網路功能136可向簽約使用者回饋認證資訊和/或授權資訊。在認證和金鑰管理(Authentication and key management for Application,AKMA)場景中,會為認證和金鑰管理錨點功能(Authentication and key management for Application(AKMA)Anchor Function,AAnF)130生成AKMA錨點金鑰Kakma(該秘鑰管理金鑰也稱為AKMA根金鑰),並且負責為應用功能(application Function,AF)135生成AF 135使用的金鑰Kaf和Kaf的有效時間。
網路開放功能(Network Exposure Function,NEF)131,做為中間網元為外部 應用功能(application Function,AF)135和核心網內部的認證和金鑰管理錨點功能(Authentication and key management for Application(AKMA)Anchor Function,AAnF)130提供交互服務。
網路存儲功能(Network Repository Function,NRF)132,用於進行網路功能(Network Function,NF)登記、管理,或狀態檢測,實現所有NF的自動化管理,每個NF啟動時,必須要到NRF進行註冊登記才能提供服務,登記資訊包括NF類型、位址,或服務清單等。
策略控制實體(policy control function,PCF)133,PCF 133與AF 135交互獲得服務品質(Quality of Service,Qos)參數,或者提供QoS參數給AF 135,進而實現一種可以影響應用程式資料傳
輸的作用。
應用功能AF 135,AF 135與第三代合作夥伴計畫(3rd Generation Partnership Project,3GPP)核心網交互用於提供應用層服務。比如:提供關於應用層資料路由,提供接入網路能力。AF 135可以與NEF 131交互,可以與PCF 133交互。在認證和金鑰管理(Authentication and key management for Application,AKMA)場景中,AF135需要與AAnF 130交互,獲得AF根金鑰(Kaf)和Kaf的有效時間。AF 135的位置可以在5G核心網內部,也可以在5G核心網外部。如果AF在5G核心網內部,那麼他可以直接與PCF 133交互。如果AF 135在5G核心網外部,則NEF 131作為中間節點轉發AF 135與PCF 133的交互內容。比如通過NEF轉發。
認證和金鑰管理AKMA錨點功能AAnF 130,AAnF 130會跟AUSF 136交互獲得AKMA根金鑰(Kakma),並且負責為AF 135生成AF 135使用的金鑰Kaf和Kaf的有效時間。
圖1中Nausf、Nudm、Namf、Nsmf、Nnrf、Nnef、Naanf、Naf、N1、N2、N3、N4,以及N6為介面序號。這些介面序號的含義可參見3GPP標準協議中定義的含義,在此不做贅述。需要說明的是,圖1中僅以終端設備110為UE作出了示例性說明,圖1中的各個網路功能之間的介面名稱也僅僅是一個示例,在具體實現中,該系統架構的介面名稱還可能為其他名稱,本申請實施例對此不做具體限定。
為方便說明,本申請實施例中以移動性管理網路功能為AMF網路功能137為例進行說明。它也可以是未來通信系統中的具有上述AMF網路功能137的其他網路功能。或者,本申請中的移動性管理網路功能還可以是LTE中的移動管理網元(Mobility Management Entity,MME)等。進一步地,將AMF網路功能137簡稱為AMF,將終端設備110稱為UE,將即本申請實施例中後文所描述的AMF均可替換為移動性管理網路功能,UE均可替換為終端設備。
本申請提供的一種金鑰標識的生成方法可以應用於各類通信系統中,例如,可以是物聯網(internet of things,IoT)、窄帶物聯網(narrow band internet of things,NB-IoT)、長期演進(long term evolution,LTE),也可以是第五代(5G)通信系統,還可以是LTE與5G混合架構、也可以是5G新無線(new radio,NR)系統以及未來通信發展中出現的新的通信系統等。本申請的5G通信系統可以包括非獨立組網(non-standalone,NSA)的5G通信系統、獨立組網(standalone,SA)的5G通信系統中的至少一種。通信系統還可以是公共陸地移動網路(public land mobile network,PLMN)網路、設備到設備(device-to-device,D2D)網路、機器到機器(machine to machine,M2M)網路或者其他網路。
此外,本申請實施例還可以適用于面向未來的其他通信技術,例如6G等。本申請描述的網路架構以及業務場景是為了更加清楚的說明本申請的技術方案,並不構成對本申請提供的技術
方案的限定,本領域普通技術人員可知,隨著網路架構的演變和新業務場景的出現,本申請涉及的各個網路功能可能發生變更,本申請提供的技術方案對於類似的技術問題,同樣適用。
圖2為本申請實施例中通信裝置的硬體結構示意圖。該通信裝置可以是本申請實施例中網路設備或終端設備的一種可能的實現方式。如圖2所示,通信裝置至少包括處理器204,記憶體203,和收發器202,記憶體203進一步用於存儲指令2031和資料2032。可選的,該通信裝置還可以包括天線206,I/O(輸入/輸出,Input/Output)介面210和匯流排212。收發器202進一步包括發射器2021和接收器2022。此外,處理器204,收發器202,記憶體203和I/O介面210通過匯流排212彼此通信連接,天線206與收發器202相連。
處理器204可以是通用處理器,例如但不限於,中央處理器(Central Processing Unit,CPU),也可以是專用處理器,例如但不限於,數位訊號處理器(Digital Signal Processor,DSP),應用專用積體電路(Application Specific Integrated Circuit,ASIC)和現場可程式設計閘陣列(Field Programmable Gate Array,FPGA)等。該處理器204還可以是神經網路處理單元(neural processing unit,NPU)。此外,處理器204還可以是多個處理器的組合。特別的,在本申請實施例提供的技術方案中,處理器204可以用於執行,後續方法實施例中金鑰標識的生成方法的相關步驟。處理器204可以是專門設計用於執行上述步驟和/或操作的處理器,也可以是
通過讀取並執行記憶體203中存儲的指令2031來執行上述步驟和/或操作的處理器,處理器204在執行上述步驟和/或操作的過程中可能需要用到資料2032。
收發器202包括發射器2021和接收器2022,在一種可選的實現方式中,發射器2021用於通過天線206發送信號。接收器2022用於通過天線206之中的至少一根天線接收信號。特別的,在本申請實施例提供的技術方案中,發射器2021具體可以用於通過天線206之中的至少一根天線執行,例如,後續方法實施例中金鑰標識的生成方法應用於網路設備或終端設備時,網路設備或終端設備中接收模組或發送模組所執行的操作。
在本申請實施例中,收發器202用於支援通信裝置執行前述的接收功能和發送功能。將具有處理功能的處理器視為處理器204。接收器2022也可以稱為輸入口、接收電路等,發射器2021可以稱為發射器或者發射電路等。
處理器204可用於執行該記憶體203存儲的指令,以控制收發器202接收消息和/或發送消息,完成本申請方法實施例中通信裝置的功能。作為一種實現方式,收發器202的功能可以考慮通過收發電路或者收發的專用晶片實現。本申請實施例中,收發器202接收消息可以理解為收發器202輸入消息,收發器202發送消息可以理解為收發器202輸出消息。
記憶體203可以是各種類型的存儲介質,例如隨機存取記憶體(Random Access Memory,RAM),唯讀記憶體(Read Only
Memory,ROM),非易失性RAM(Non-Volatile RAM,NVRAM),可程式設計ROM(Programmable ROM,PROM),可擦除PROM(Erasable PROM,EPROM),電可擦除PROM(Electrically Erasable PROM,EEPROM),快閃記憶體,光記憶體和寄存器等。記憶體203具體用於存儲指令2031和資料2032,處理器204可以通過讀取並執行記憶體203中存儲的指令2031,來執行本申請方法實施例中所述的步驟和/或操作,在執行本申請方法實施例中操作和/或步驟的過程中可能需要用到資料2032。
可選的,該通信裝置還可以包括I/O介面210,該I/O介面210用於接收來自週邊設備的指令和/或資料,以及向週邊設備輸出指令和/或資料。
下面,介紹本申請實施例涉及的一些背景技術。
(1)、AKMA。
為了便於理解,請參閱圖3,圖3為UE通過轉發的接入流程示意圖。以圖3為例說明AKMA流程,具體的:
301、UE與核心網之間進行主鑒權流程。
步驟301中,UE與核心網之間進行主鑒權(Primary authentication)流程。該主鑒權流程需要使用鑒權向量(authentication vector,AV),該鑒權向量用於主鑒權流程中傳遞主鑒權流程的驗證參數。具體的,通過步驟302,AUSF獲取該鑒權向量。
本申請實施例中,該主鑒權流程也稱為鑒權流程,此處
不作限制。
302、AUSF向UDM發送鑒權向量獲取請求消息。
步驟302中,AUSF向UDM發送鑒權向量獲取請求消息,該鑒權向量獲取請求消息例如“Numd_UEAuthentication Get Request”。該鑒權向量獲取請求消息用於向UDM請求鑒權向量。該鑒權向量獲取請求消息中攜帶SUPI或SUCI。具體的,當AMF向AUSF發送的消息中攜帶SUPI時,該鑒權向量獲取請求消息中攜帶SUPI;當AMF向AUSF發送的消息中攜帶SUCI時,該鑒權向量獲取請求消息中攜帶SUCI。
SUCI可以理解為是SUPI的一種加密形式。SUCI的具體生成方法可以參考3GPP標準TS 33.501。概括地說,SUPI中除移動國家代碼(mobile country code,MCC)之外的部分可以由全球使用者識別卡(universal subscriber identity module,USIM)或移動設備(mobile equipment,ME)進行加密計算得到SUCI中的加密部分。SUCI除了加密部分,還包括RID,MCC,MNC等內容。
303、AUSF接收UDM發送的鑒權向量獲取回應訊息。
步驟303中,UDM收到步驟302的鑒權向量獲取請求消息後,UDM確定對應的鑒權向量。UDM向AUSF發送鑒權向量獲取回應訊息,該鑒權向量獲取回應訊息中攜帶鑒權向量。該鑒權向量獲取回應訊息例如:“Num_UEAuthentication_Get Response”。
可選的,UDM基於SUPI對應的使用者簽約資料判斷該
主鑒權流程對應的UE是否支援AKMA業務。當該UE支援AKMA業務,則該鑒權向量獲取回應訊息中攜帶AKMA業務指示資訊,該AKMA業務指示資訊可以是“AKMA Indication”或“AKMA ID”,本申請實施例中不作限定。AKMA業務指示資訊用於指示AUSF需要為這個UE生成AKMA錨點金鑰Kakma。也可以理解為:該AKMA業務指示資訊用於指示該UE支援AKMA業務。當該UE不支持AKMA業務,則該鑒權向量獲取請求消息中不攜帶AKMA業務指示資訊。
需要說明的是:AKMA indication與AKMA ID可以採用相同的信元,也可以採用不同信元,此處不作限制。
304a、UE基於AUSF根金鑰生成AKMA錨點金鑰Kakma。
步驟304a中,當UE的主鑒權流程成功完成後,UE基於與AUSF使用的相同的根金鑰(Kausf)生成AKMA錨點金鑰(Kakma)。可選的,進一步地,UE要發起AKMA業務前,UE基於與AUSF使用的相同的根金鑰(Kausf)生成AKMA錨點金鑰(Kakma)。
304b、UE生成認證和金鑰管理-金鑰臨時身份標識A-KID。
步驟304b中,當UE的主鑒權流程成功完成後,UE要發起AKMA業務前,UE基於與AUSF使用的相同的根金鑰(Kausf)生成認證和金鑰管理-金鑰臨時身份標識(AKMA-Key Identifier,A-KID)。A-KID用於標識UE的AKMA錨點金鑰Kakma。可選的,
進一步地,UE要發起AKMA業務前,UE基於與AUSF使用的相同的根金鑰(Kausf)生成A-KID。具體地,UE基於基於與AUSF使用的相同的根金鑰(Kausf)生成A-KID中的金鑰管理-金鑰臨時身份標識(AKMA Temporary UE Identifier,A-TID)部分。
具體的,基於RID生成A-KID。A-KID格式為“username@exmaple”。“username”部分包括路由標識,和認證和金鑰管理-金鑰臨時身份標識(AKMA Temporary UE Identifier,A-TID)。“example”部分包括家鄉網路標識,例如:移動國家代碼(mobile country code,MCC)和移動網路代碼(mobile network code,MNC)。A-TID是基於Kausf生成的一個臨時標識。
需要說明的是,步驟304a與步驟304b執行順序不作限制。
305a、AUSF基於AUSF根金鑰生成AKMA錨點金鑰Kakma。
步驟305a與前述步驟304a類似,不作贅述。與304a不同的地方在於,AUSF在收到所述鑒權向量獲取回應訊息後,如果消息中攜帶有AKMA業務指示資訊,則AUSF使用AUSF獲取到的Kausf生成Kakma和A-KID。如果所述鑒權向量獲取回應訊息沒有攜帶有AKMA業務指示資訊,則AUSF可以不生成Kakma和A-KID。
305b、AUSF生成認證和金鑰管理-金鑰臨時身份標識A-KID。
步驟305b中,當步驟303中,UDM發送的鑒權向量獲取回應訊息中攜帶AKMA標識資訊時,AUSF基於該AKMA標識資訊確定需要生成A-KID。步驟302中,AMF向AUSF提供SUCI時,步驟305b中,AUSF基於該SUCI中的RID生成A-KID。
306、AUSF向AAnF發送AKMA錨金鑰註冊請求消息。
步驟306中,AUSF選擇一個AAnF後,AUSF向該AAnF發送AKMA錨金鑰註冊請求消息。AKMA錨金鑰註冊請求消息例如:“Naanf_AKMA_AnchorKey_Register Request”。具體的,該AKMA錨金鑰註冊請求消息中攜帶SUPI、A-KID和Kakma。
307、AUSF接收AAnF發送的AKMA錨金鑰註冊回應訊息。
步驟307中,AAnF基於步驟306的AKMA錨金鑰註冊請求消息,向AUSF發送AKMA錨金鑰註冊回應訊息。該AKMA錨金鑰註冊回應訊息例如:“Naanf_AKMA_AnchorKey_Register Response”。
308、AUSF刪除Kakma和A-KID。
步驟308中,當AUSF接收來自AAnF發送的AKMA錨金鑰註冊回應訊息後,AUSF刪除Kakma和A-KID。
(2)、路由標識RID。
SUCI中包括RID。當前標準規定,RID用於AMF查找AUSF,AUSF查找UDM。在AKMA流程中,RID用於生成A-KID。RID還用於選擇AAnF。
在5G全球使用者識別卡(Universal Subscriber Identity Module,USIM)中,RID存儲在USIM中。當5G UE使用5G USIM時,5G UE從該5G USIM中獲取需要使用的RID。該RID的值可以是一個非缺省值,也可以是一個缺省值。
而在4G USIM中不存在RID,因此,如果一個5G UE使用了4G USIM,那麼SUCI中的RID會被填充為缺省值。
在AMF中,關於UE的上下文中包括RID。可以理解為,AMF從SUCI中獲取RID後,將該RID存儲在AMF中。在圖3所示的AKMA流程中,當步驟302中,AMF向AUSF提供的是SUPI時,該SUPI中不包括RID。而當前標準規定,AUSF不存儲UE的RID。因此,當步驟302中,AMF向AUSF提供的是SUPI的前提下,在步驟305b中AUSF無法生成A-KID(RID是生成A-KID的必要參數)。因此造成AKMA流程的失敗。
示例性的,當UE在註冊請求消息中向AMF發送5G全域唯一的臨時UE標識(5G Globally Unique Temporary UE Identity,5G-GUTI)時,AMF可以基於本地策略決定是否對UE進行鑒權。當AMF決定對UE進行鑒權,即發起主鑒權流程時,AMF向AUSF發送的用於觸發對UE鑒權的鑒權請求消息中攜帶SUPI(步驟302)。此時,AUSF無法獲取RID。進而,AUSF無法生成A-KID。對UE鑒權的請求消息比如為“Nausf_UEAuthentication_Authenticate Request”消息。
基於此,本申請實施例提出一種金鑰標識的生成方法,
以確保AUSF可以獲取RID,進而保證AUSF生成A-KID,進而確保UE的AKMA業務順利執行。下面在介紹具體實施例前進行簡要描述,根據RID來源的不同,本申請實施例可以細分為:
1、AUSF保存RID,該RID來自AMF或者UDM。具體的,請參閱圖4所示的實施例。
2、AUSF從核心網網元獲取RID。其中,該核心網網元包括AMF或UDM。
2.1、具體的,AUSF從AMF獲取RID。請參閱圖5所示的實施例和/或圖6所示的實施例。
2.2、具體的,AUSF從UDM獲取RID。請參閱圖7所示的實施例和/或圖8所示的實施例。
需要說明的是,本申請各個實施例中,為了便於區分,將SUCI中攜帶的RID稱為RID#1,來自UDM的RID稱為RID#2,來自AMF的RID稱為RID#3,AUSF中存儲的RID稱為RID#4。可以理解的是,RID#1、RID#2、RID#3和RID#4可能是相同的取值,因此,後續實施例中可能會出現標號混用。
首先介紹AUSF保存RID的方案,請參閱圖4,圖4為本申請實施例提出的一種金鑰標識的生成方法的實施例示意圖。本申請實施例提出的一種金鑰標識的生成方法,包括:
401、AUSF接收AMF發送的鑒權請求消息#1,該鑒權請求消息#1中攜帶SUCI。
AUSF接收AMF發送的鑒權請求消息#1,該鑒權請求消
息#1中攜帶SUCI。具體的,該鑒權請求消息#1為“Nausf_UEAuthentication_Authenticate Request”。
該SUCI中攜帶的RID為RID#1。
402、AUSF向UDM發送鑒權向量獲取請求消息#1,該鑒權向量獲取請求消息#1中攜帶SUCI。
AUSF收到AMF發送的鑒權請求消息#1後,AUSF向UDM發送鑒權向量獲取請求消息#1,該鑒權向量獲取請求消息#1中攜帶SUCI。
示例性的,該鑒權向量獲取請求消息#1可以是:“Nudm_UE_Authentication_Get_Request”。
403、AUSF存儲SUCI,或存儲SUCI中的RID#1。
步驟401後,AUSF可以存儲該SUCI至AUSF本地,AUSF也可以存儲SUCI中的RID#1至AUSF本地,此處不作限制。
步驟403為可選步驟。
步驟403可以發生在步驟402之前,即AUSF收到攜帶有SUCI的鑒權請求消息#1後,AUSF先存儲SUCI,或存儲SUCI中的RID#1,再執行步驟402。
另一種理解是,該步驟為暫時存儲,暫時存儲是為了當AUSF收到鑒權向量回應訊息後,如果AUSF確定該UE支援AKMA業務,則可以使用SUCI中的RID#1生成A-KID#1。如果AUSF確定該UE不支持AKMA業務(即沒有收到AKMA indication),則該AUSF可以在後續流程中刪除SUCI,或刪除
RID#4。
AUSF獲取SUCI中的RID#1後,將該RID#1存儲至本地,此時本地的該RID稱為RID#4。
404、AUSF接收UDM發送的鑒權向量獲取回應訊息#1。
可選的,該鑒權向量獲取回應訊息#1中攜帶RID#2。
步驟402後,UDM接收AUSF發送的鑒權向量獲取請求消息#1後。當AUSF接收來自UDM的鑒權向量獲取回應訊息#1後,AUSF對該UE(與該鑒權請求消息#1對應的UE)進行鑒權操作。鑒權操作方式為進行主鑒權流程,主鑒權流程可以參考標準TS 33.501中的章節6中的相關描述。
該鑒權向量獲取回應訊息#1中還攜帶鑒權向量(authentication vector,AV)。
可選的,該鑒權向量獲取回應訊息#1中還攜帶認證和金鑰管理指示資訊AKMA indication。
示例性的,該鑒權向量獲取回應訊息#1為“Nudm_UE_Authentication_Get_Response”。當鑒權成功,則AUSF向AMF發送鑒權請求回應(authentication success)。
可選的,該鑒權向量獲取回應訊息#1中還可以攜帶RID#1,此時該鑒權向量獲取回應訊息#1中還攜帶AKMA INDICATION和AV。進一步地,UDM在確定UE支持AKMA業務後,確定RID#2,並將該RID#2攜帶在該鑒權向量獲取回應訊息#1中。UDM再次發送RID#2是為了確保AUSF處有可以使用
的RID。比如,如果AUSF沒有執行步驟403,那麼AUSF就只能通過步驟404獲得RID#2,並使用RID#2生成A-KID#1。
405、當AUSF對該UE鑒權成功後,AUSF向AMF發送第一鑒權請求回應。
示例性的,第一鑒權請求回應為“Nausf_UEAuthentication_Authenticate Response”消息,消息攜帶可拓展認證協定-成功(extensible authentication protocol-success,EAP-success)消息或者攜帶告知AMF是否對UE鑒權成功的指示資訊。
406、AUSF基於RID生成A-KID#1。
AUSF接收來自UDM的鑒權向量獲取回應訊息#1後,AUSF基於AKMA業務指示資訊判斷該UE支援AKMA業務,則AUSF生成認證和金鑰管理-金鑰臨時身份標識A-KID#1。
在一種可選的實現方式中,當步驟403執行時,AUSF基於本機存放區的SUCI中的RID#1,或者,AUSF基於本機存放區的RID#4生成A-KID#1。也可以理解為,AUSF基於步驟401中鑒權請求消息#1攜帶的SUCI中的RID#1生成A-KID#1。
在另一種可選的實現方式中,當步驟403不執行時,當步驟404可選的發送RID#2方法執行時,AUSF基於UDM發送的RID#2生成A-KID#1。
如果AUSF在步驟404中沒有收到AKMA indication,並且如果步驟403執行時,AUSF刪除本機存放區的SUCI或SUCI
中的RID#1。
當AUSF生成A-KID#1後,AUSF可以向AAnF發送A-KID#1、SUPI和Kakma。具體的,可以通過“Naanf_AnchorKey_Register Request”向AAnF發送。AAnF接收該消息後,向AUSF回復“Naanf_AKMA_Register Response”。
進一步的,AUSF基於該SUCI,生成Kakma。為了區分,這裡生成的Kakma稱為Kakma-1。
407、AUSF存儲RID。
進一步地,AUSF判斷該UE支持AKMA業務後(即收到AKMA indication後),確定存儲RID#1。具體的,AUSF接收該UE的AKMA indication後,表明AUSF需要生成Kakma和A-KID,則AUSF確定該UE支持AKMA業務。
步驟407中AUSF存儲的RID,根據RID來源的不同,該RID可以是RID#1,也可以是RID#2。
需要說明的是,如果步驟403執行,則AUSF判斷該UE支持AKMA業務後,繼續存儲SUCI,或者存儲SUCI中的RID#1。
需要說明的是,如果步驟403沒有執行,步驟404可選的發送RID#2方法執行時,則AUSF判斷該UE支援AKMA業務後,AUSF存儲RID#2。
步驟407中,AUSF存儲RID#1相關的參數存在多種可選的實現方式,下面分別進行說明。需要說明的是,RID#1相關的參數包括但不限於:RID#1、SUCI、和/或A-KID#1。
方案一:AUSF存儲SUCI中的RID#1和,RID#1與SUPI的關聯關係。示例性地,存儲RID#1、SUPI。存儲RID#1與SUPI的關聯關係是為了當AUSF收到SUPI的時候,基於SUPI確定RID#1。
方案二:AUSF存儲SUCI,即AUSF不單獨存儲RID#1。進一步地,AUSF存儲SUCI和,SUCI與SUPI的關聯關係。
方案三:AUSF存儲RID#1,SUCI,和RID#1、SUCI和SUPI三者的關聯關係。
需要說明的是,步驟407與步驟406的執行順序,此處不作限定。具體的,AUSF可以首先生成A-KID#1,其次再存儲RID#1或存儲SUCI。AUSF也可以存儲RID#1或存儲SUCI後,再生成A-KID#1,此處不作限制。
可選的,若AUSF在生成A-KID#1後刪除了RID#1和/或SUCI,則AUSF存儲A-KID#1。那麼步驟410中,AUSF基於該A-KID#1生成A-KID#2。具體地,AUSF基於A-KID#1中的RID#1生成A-KID#2進一步地,AUSF存儲A-KID#1與SUPI的關聯關係。可選的,當RID#1的值為缺省值時,步驟407中AUSF可以不存儲RID#1。則步驟410中,AUSF使用缺省的RID#1值生成A-KID#2。
需要說明的是,如果步驟403執行,則步驟407不需要重複存儲。可以理解為,步驟407是步驟403的一個延續,即如果發生了步驟403,那麼AUSF只需要再判斷UE支持AKMA業
務後,執行步驟407時只需要進一步與SUPI的關聯關係。
需要說明的是,如果步驟403沒有執行,步驟404可選的發送RID#2方法執行時,則步驟407不需要重複存儲。可以理解為,步驟407是步驟404的一個延續,即如果發生了步驟404可選的發送RID#1方法執行時,並且在AUSF判斷UE支持AKMA業務後,那麼步驟407只需要進一步存儲RID#1與SUPI的關聯關係。
408、AUSF刪除SUCI。
步驟408為可選步驟。具體的,步驟403中AUSF存儲SUCI後,當AUSF還存儲RID#4和/或A-KID#1時,AUSF可以刪除SUCI。
AUSF保存多個RID#1相關的參數(例如RID#1、SUCI和A-KID#1)時,AUSF可以僅保存其中一個參數,其他冗餘的參數則可以考慮刪除。比如本步驟408中提及的SUCI,以及前序步驟提及的A-KID#1,可以理解為是相對於RID#1冗餘的參數。以便後續在AUSF無法獲得RID#1的情況下再次生成新的A-KID。
409、AUSF接收AMF發送的鑒權請求消息#2。
AUSF接收AMF發送的鑒權請求消息#2,該鑒權請求消息#2用於觸發對UE的鑒權操作。
該鑒權請求消息#2可以是“Nausf_UEAuthentication_Authenticate Request”。當該鑒權請求消息#2中攜帶的是SUPI時,進入步驟410。
可選的,當該鑒權請求消息#2中攜帶的是SUCI,則後續方法與步驟402-408類似,此處不作贅述。
在另一種可選的實現方式中,當該鑒權請求消息#2中攜帶的是SUCI,後續執行步驟410。
當AUSF接收鑒權請求消息#2後,AUSF可以向UDM發送鑒權向量獲取請求消息#2“Nudm_UE_Authentication_Get_Request”,該鑒權向量獲取請求消息#2中攜帶鑒權請求消息#2中的SUPI。UDM基於SUPI確定該UE支援AKMA業務時,UDM回復鑒權向量獲取回應訊息#2“Nudm_UE_Authentication_Get_Response”中攜帶AKMA業務指示資訊(例如AKMA indication)。
步驟409後,當AUSF對該UE鑒權成功後,AUSF向AMF發送第二鑒權請求回應。該第二鑒權請求回應例如“Nausf_UEAuthentication_Authenticate Response”)。
410、當鑒權請求消息#2中攜帶SUPI時,AUSF生成A-KID#2。
AUSF基於該SUPI,確定Kausf,並使用Kausf生成Kakma。為了區分,這裡的Kausf稱為Kausf-2,這裡生成的Kakma稱為Kakma-2。
AUSF基於鑒權請求消息#2中攜帶的SUPI,確定RID相關的參數。AUSF再基於RID相關的參數確定RID,AUSF基於RID生成A-KID#2。下面分別描述各種實現方式:
在一種實現方式中,當鑒權請求消息#2中攜帶SUPI時,AUSF基於RID#4生成A-KID#2。具體的,該RID#4來自AUSF本地。具體地,AUSF基於SUPI確定與SUPI關聯的RID#4再基於RID#4生成A-KID#2。
在另一種實現方式中,當鑒權請求消息#2中攜帶SUPI時,AUSF基於SUCI中的RID#4生成A-KID#2。具體的,該SUCI來自AUSF本地。具體地,AUSF基於SUPI確定與SUPI關聯的SUCI,再基於SUCI中的RID#1生成A-KID#2。
在另一種實現方式中,當鑒權請求消息#2中攜帶SUPI時,AUSF基於A-KID#1中的RID#4生成A-KID#2。具體的,該A-KID#1來自AUSF本地。具體地,AUSF基於SUPI確定與SUPI關聯的A-KID#1,再基於A-KID#1中的RID#4生成A-KID#2。
在另一種實現方式中,當鑒權請求消息#2中攜帶SUPI時,如果鑒權向量獲取回應訊息#2中攜帶了RID#2,則AUSF基於收到的RID#2生成A-KID#2。
在另一種實現方式中,當鑒權請求消息#2中攜帶SUPI時,並且AUSF本地沒有保存有任何RID#4相關的參數(比如,SUCI,A-KID,和/或RID#4),同時AUSF沒有從UDM收到RID#2相關的參數,那麼AUSF使用RID的缺省值生成A-KID#2。可選的,當AUSF生成A-KID#2後,AUSF可以向AAnF發送A-KID#2、SUPI和Kakma-2。具體的,可以通過“Naanf_AnchorKey_Register Request”向AAnF發送。AAnF接收該消息後,向AUSF回復
“Naanf_AKMA_Register Response”。
411、AUSF刪除Kakma-2。
412、AUSF繼續保存RID#4相關的參數。
在一種實現方法中,AUSF繼續保存RID#4或者AUSF繼續保存SUCI,或者A-KID#1。並且刪除其他冗餘參數。比如,當AUSF刪除A-KID#2後,可以繼續保存RID#4。
在另一種實現方法中,如果AUSF收到了SUCI#2(該SUPI#2與步驟401中接收的SUCI不一致),則AUSF保存RID#3,其中SUPI#2中的RID稱為RID#5,或者AUSF保存SUCI#2。可以理解為,AUSF保存RID#5相關的參數(例如SUCI#2和/或RID#5),不需要繼續保存RID#4相關的參數。具體操作可以是直接覆蓋,或者先刪除再存儲,或者先存儲再刪除。本申請不做具體限制。
在另一種實現方法中,如果AUSF之前保存了A-KID#1。在生成A-KID#2後,則AUSF保存A-KID#2。可以理解為,AUSF保存A-KID#2,不需要繼續保存A-KID#1。具體操作可以是直接覆蓋,或者先刪除再存儲,或者先存儲再刪除。本申請不做具體限制。
本申請實施例中,在AKMA流程中,AUSF保存RID相關的參數(例如:SUCI、A-KID和/或RID)。以保證AUSF接收的鑒權向量獲取請求消息中攜帶SUPI時,AUSF可以使用該RID相關的參數生成新的A-KID,保證AKMA流程的成功執行。
在前述實施例的基礎上,請參閱圖5,圖5為本申請實施例中又一種金鑰標識的生成方法的實施例示意圖。本申請實施例提出的一種金鑰標識的生成方法,包括:
501、AUSF接收AMF發送的鑒權請求消息#1,該鑒權請求消息#1中攜帶SUCI。
步驟501與前述步驟401類似,此處不作贅述。
502、AUSF生成A-KID#1。
在一種可能的實現方式中,AUSF接收鑒權請求消息#1後,AUSF基於該鑒權請求消息#1中的SUCI中的RID#1,生成A-KID#1。在AUSF生成A-KID#1前,AUSF接收鑒權請求消息#1後,AUSF可以向UDM發送鑒權向量獲取請求消息#1,該鑒權向量獲取請求消息#1攜帶該SUCI。該鑒權向量獲取請求消息可以是:“Nudm_UE_Authentication_Get_Request”。UDM接收AUSF發送的鑒權向量獲取請求消息#1後。UDM向AUSF發送鑒權向量獲取回應訊息#1,該鑒權向量獲取回應訊息#1中攜帶鑒權向量(authentication vector,AV)。
可選的,在UDM確定SUCI對應的UE支援AKMA業務的情況下,該鑒權向量獲取回應訊息#1中還攜帶認證和金鑰管理指示資訊AKMA indication。可選的,該鑒權向量獲取回應訊息#1中攜帶RID#1。
在另一種可能的實現方式中,AUSF接收鑒權向量獲取回應訊息#1後,AUSF基於該鑒權向量獲取回應訊息#1中的
RID#1,生成A-KID#1。
比如,在UDM確定SUCI對應的UE支援AKMA業務的情況下,才攜帶RID#2。示例性的,該鑒權向量獲取回應訊息#1為“Nudm_UE_Authentication_Get_Response”。當AUSF接收來自UDM的鑒權向量獲取回應訊息#1後,AUSF對該UE(與該鑒權請求消息#1對應的UE)進行鑒權操作。當鑒權成功,則AUSF向AMF發送第一鑒權請求回應。
可選的,該第一鑒權請求回應包括第一指示資訊(indication),該第一指示資訊用於指示UE支援AKMA業務。需要說明的是,該第一指示資訊與AKMA業務指示資訊可以採用相同的信元,也可以採用不同的信元,此處不作限制。
進一步的,當AUSF收到AKMA indication後,AUSF生成Kakma。為了區分,這裡生成的Kakma稱為Kakma-1。
當AUSF生成A-KID#1後,AUSF可以向AAnF發送A-KID#1、SUPI和Kakma。具體的,可以通過“Naanf_AnchorKey_Register Request”向AAnF發送。AAnF接收該消息後,向AUSF回復“Naanf_AKMA_Register Response”。AUSF收到“Naanf_AKMA_Register Response”後,產生Kakma-1和A-KID#1。
AUSF可以在收到步驟501消息後,暫時存儲該SUCI或SUCI中的RID#1,等到確定有AKMA業務指示資訊後,並且生成Kakma-1和A-KID#1後,刪除該SUCI或SUCI中的RID#1。
503、AUSF接收AMF發送的鑒權請求消息#2。
AUSF接收AMF發送的鑒權請求消息#2。該鑒權請求消息#2中攜帶SUPI,則進入步驟504。
可選的,AUSF接收鑒權請求消息#2後,AUSF可以向UDM發送鑒權向量獲取請求消息#2,該鑒權向量獲取請求消息#2攜帶該SUPI。該鑒權向量獲取請求消息#2可以是:“Nudm_UE_Authentication_Get_Request”。UDM接收AUSF發送的鑒權向量獲取請求消息#2後。UDM向AUSF發送鑒權向量獲取回應訊息#2,該鑒權向量獲取回應訊息#2中攜帶鑒權向量(authentication vector,AV)。可選的,在UDM確定SUPI對應的UE支援AKMA業務的情況下,該鑒權向量獲取回應訊息#2中還攜帶AKMA indication。示例性的,該鑒權向量獲取回應訊息#2為“Nudm_UE_Authentication_Get_Response”。當AUSF接收來自UDM的鑒權向量獲取回應訊息#2後,AUSF確定該UE支持AKMA業務。AUSF確定需要生成該UE的A-KID。AUSF對該UE(與該鑒權請求消息#2對應的UE)進行鑒權操作。當鑒權成功,則AUSF向AMF發送鑒權請求回應(authentication success)。
可選的,該鑒權請求消息#2中可以攜帶RID#3。該步驟可選的,是因為現有技術中RID本身就是可選的通過鑒權請求消息從AMF傳遞給AUSF。但是現有技術中傳遞RID的作用是方便AUSF通過RID快速查找到可以為UE服務的UDM。
在一種可能的實現方式中,若鑒權請求消息#2中攜帶的
是SUPI,則該鑒權請求消息#2中還要攜帶RID#3。這樣做是為了確保AUSF有可以使用的RID,以避免當AUSF確定該SUPI對應的UE支持AKMA業務的時候,沒有可用的RID生成A-KID。
504、AUSF向AMF發送第一請求,第一請求中攜帶SUPI。
AUSF接收AMF發送的鑒權請求消息#2後,AUSF檢測鑒權請求消息#2中是否攜帶有RID。可選的,AUSF還檢測AUSF本地是否保存有RID#4相關的參數(例如RID#4、SUCI和/或A-KID#1)。
如果鑒權請求消息#2沒有RID相關的參數,則AUSF向AMF發送第一請求,該第一請求用於請求RID。該第一請求中攜帶SUPI,該SUPI為鑒權請求消息#2中攜帶的SUPI。進一步地,如果鑒權請求消息#2和AUSF本地均沒有RID相關的參數,則AUSF向AMF發送第一請求,該第一請求用於請求RID。
可選的,第一請求中攜帶一個需要RID的指示資訊。
具體地,AUSF在接收UDM發送的鑒權向量獲取回應訊息#2後,AUSF確定該UE支持AKMA業務後,AUSF沒有在鑒權請求消息#2中收到RID#4,和/或AUSF本地沒有保存有RID#4,則AUSF向AMF發送該第一請求。
步驟504中,AUSF接收AMF發送的鑒權請求消息#2後,存在兩種可選的實現方案,下面分別進行描述:
方案一:AUSF每次接收鑒權請求消息#2後,檢測該鑒權請求消息#2中是否攜帶RID。可選的,AUSF還檢測AUSF本
地是否保存有RID#4相關的參數(例如RID#4、SUCI和/或A-KID#1)。當檢測結果為鑒權請求消息#2中沒有RID#3(或者鑒權請求消息#2沒有RID,且,AUSF本地沒有RID#4相關的參數),則AUSF向AMF發送第一請求。步驟506中,AUSF不保存來自AMF的第一響應中攜帶的RID#3。即AUSF每次接收鑒權請求消息#2後,都會檢測該鑒權請求消息#2中是否攜帶RID,如果不攜帶,則AUSF向AMF發送第一請求。
方案二:AUSF接收鑒權請求消息#2後,檢測該鑒權請求消息#2中是否攜帶RID。可選的,AUSF還檢測AUSF本地是否保存有RID#4相關的參數(例如RID#4、SUCI和/或A-KID#1)。當檢測結果為鑒權請求消息#2中沒有RID#3(或者鑒權請求消息#2沒有RID,且AUSF本地沒有RID#4相關的參數),則AUSF向AMF發送第一請求。步驟506中,AUSF保存來自AMF的第一響應中攜帶的RID#3。即AUSF第一次接收到不攜帶RID的鑒權請求消息#2後,AUSF向AMF發送第一請求。步驟506中AUSF會保存AMF基於該第一請求返回的RID#3。後續步驟中當AUSF再次接收到不攜帶RID的鑒權請求消息#2時,AUSF可以基於本地保存的RID#4(步驟506中保存的)進行後續動作。示例性的,第一請求為“Nudm_UE_AKMA_Get_Request”。
AUSF接收AMF發送的鑒權請求消息#2後,AUSF判斷鑒權請求消息#2中是否攜帶有RID。如果攜帶有RID,則執行步驟507。
AUSF接收AMF發送的鑒權請求消息#2後,AUSF確定本地保存有RID相關的參數的情況下,則執行步驟507。
505、AMF基於第一請求中攜帶的SUPI,確定RID#3。
AMF接收第一請求後,基於該第一請求中攜帶的SUPI,確定該SUPI對應的RID#3。
在另一種實現方式中,AMF接收第一請求後,首先,基於第一請求中攜帶的SUPI,確定該SUPI對應的RID#3。其次,AMF基於該RID#3構造SUCI,為了便於區分,將基於RID#2構造的SUCI稱為SUCI#3。具體地,AMF使用歸屬網路(HPLMN)的公開金鑰和UE的SUPI按照與UE相同的方式生成SUCI#3。此時,要求AMF本機存放區或者可以獲得HPLMN的公開金鑰、公開金鑰識別字等生成SUCI的必要參數。
506、AMF向AUSF發送第一回應,第一回應中攜帶RID#3。
AMF向AUSF發送第一回應,該第一回應中攜帶RID#3。
在另一種實現方式中,AMF向AUSF發送的第一回應中攜帶步驟505中構造的SUCI#3。此時,該第一回應中不攜帶RID。
示例性的,第一回應為“Nudm_UE_AKMA_Get_Response”。
507、AUSF基於該RID#3生成A-KID#2。
進一步的,AUSF生成Kakma。為了區分,這裡生成的Kakma稱為Kakma-2。
可選的,當AUSF生成A-KID#2後,AUSF可以向AAnF發送A-KID#2、SUPI和Kakma-2。具體的,可以通過“Naanf_AnchorKey_Register Request”向AAnF發送。AAnF接收該消息後,向AUSF回復“Naanf_AKMA_Register Response”。
步驟507後,可選的,AUSF可以刪除A-KID#2。
步驟507後,可選的,在AUSF保存A-KID#2以方便獲得RID#2的情況下,AUSF可以不刪除A-KID#2。
步驟507後,AUSF可以刪除Kakma-2。
步驟507後,可選的,當AUSF刪除A-KID#2後,可以保存SUPI和/或RID#3。
本申請實施例中,在AKMA流程中,AUSF可以從AMF中獲取RID。以保證AUSF接收的鑒權向量獲取請求消息中攜帶SUPI時,AUSF可以使用該RID生成新的A-KID,保證AKMA流程的成功執行。
在前述實施例的基礎上,請參閱圖6,圖6為本申請實施例中又一種金鑰標識的生成方法的實施例示意圖。本申請實施例提出的一種金鑰標識的生成方法,包括:
601、AUSF接收AMF發送的鑒權請求消息#1,該鑒權請求消息#1中攜帶SUCI。
602、AUSF基於SUCI中的RID#1生成A-KID#1。
步驟601-602與前述步驟501-502類似,此處不作贅述。
603、AUSF基於鑒權請求消息#1向AMF發送第一鑒權
請求回應,第一鑒權請求回應攜帶AKMA業務指示資訊。
AUSF基於鑒權請求消息#1進行該UE的鑒權操作。當鑒權成功,則AUSF向AMF發送第一鑒權請求回應,該第一鑒權請求回應中攜帶用於指示該UE支援AKMA業務的指示資訊(indication),該指示資訊(indication)可以AUSF自己生成。該指示資訊也可以將從UDM收到的指示資訊直接轉發給AMF,比如將AKMA ID(或AKMA indication)發給AMF。該指示資訊可以為值為0或者1的指示資訊,比如當值為1時表示支持AKMA業務,當值為0時表示不支持AKMA業務。再比如,當值為1時表示支持AKMA業務,當不出現的時候表示不支持AKMA業務。也可以為字串形式“AKMA”,或者枚舉類型<AKMA enable>,<AKMA disable>。其可以通過是否出現表示是否支援AKMA業務,也可以通過具體含義指示是否支持AKMA業務。
示例性的,該第一鑒權請求回應為“Nausf_UEAuthentication_Authenticate Response”,該消息攜帶EAP-success消息或者攜帶告知AMF是否對UE鑒權成功的指示資訊。
604、AMF確定UE是否支持AKMA業務。
AMF獲取該第一鑒權請求回應後,AMF保存該AKMA業務指示資訊。比如,保存該AKMA業務指示資訊與該UE的SUPI的關聯關係。
605、AUSF接收AMF發送的鑒權請求消息#2,鑒權請求
消息#2攜帶SUPI和RID。
AMF向AUSF發送鑒權請求消息#2前,AMF檢查該UE是否支持AKMA業務,如果確定該UE支持AKMA業務,則該鑒權請求消息#2中攜帶RID#2。該RID#2由AMF基於該UE的SUPI確定。AMF基於該本地是否保存有AKMA業務指示資訊確定UE是否支援AKMA業務。具體地,如果AMF本地保存有AKMA業務指示資訊,則確定該UE支援AKMA業務。如果AMF本地沒有保存AKMA業務指示資訊,則確定該UE不支援AKMA業務。
在AMF確定UE支援AKMA業務的情況下,繼續執行步驟606。
在另一種實現方式中,AMF確定該SUPI對應的RID。其次,AMF基於該RID構造SUCI。在鑒權請求消息#2中攜帶該構造的SUCI#3。可選的,此時該鑒權請求消息#2中不攜帶SUCI和RID。具體地,AMF使用HPLMN的公開金鑰和UE的SUPI按照與UE相同的方式生成SUCI#3。此時,要求AMF本機存放區或者可以獲得HPLMN的公開金鑰、公開金鑰識別字等生成SUCI的必要參數。
示例性的,鑒權請求消息#2為“Nausf_UEAuthentication_Authenticate request”。
606、AUSF向AMF發送第二鑒權請求回應,第二鑒權請求回應攜帶AKMA業務指示資訊。
當AUSF基於鑒權請求消息#2完成該UE的鑒權操作
後,AUSF向AMF發送第二鑒權請求回應,該第二鑒權請求回應攜帶AKMA業務指示資訊。此方法又稱為顯式的攜帶,顯式的攜帶意味著每次都要發AKMA業務指示資訊給AMF,AMF並進行檢查該UE的AKMA業務指示資訊是否依然存在,如果存在則可以不更新已有的UE上下文資訊,或者重新存儲AKMA業務指示資訊。如果AKMA業務指示信息不存在,則AMF可以認為該UE不再支持AKMA業務,則可以刪除UE上下文中的AKMA業務指示資訊。
可選的,該第二鑒權請求回應中也可以不攜帶AKMA業務指示資訊。則AMF可以理解為該UE一直支持AKMA業務。當UE不再支持AKMA業務的時候,AUSF發送一個AKMA業務取消指示資訊,該指示資訊表示UE不再支援AKMA業務。該AKMA業務取消指示資訊可以與AKMA業務指示資訊共同一個比特位元資訊。比如當值為0時,表示UE不支持AKMA業務,當值為I時,表示UE支持AKMA業務。AMF在收到AKMA業務取消指示資訊後,AMF更新UE上下文資訊,刪除AKMA業務指示資訊。該方法可以簡化AUSF傳遞給AMF消息的複雜度,也同時降低了AMF處理的複雜度。
607、當鑒權請求消息#2中攜帶SUPI和RID#3時,AUSF基於該RID#3生成A-KID#2。
步驟607後,進一步的,AUSF生成Kakma。為了區分,這裡生成的Kakma稱為Kakma-2。
可選的,當AUSF生成A-KID#2後,AUSF可以向AAnF發送A-KID#2、SUPI和Kakma-2。具體的,可以通過“Naanf_AnchorKey_Register Request”向AAnF發送。AAnF接收該消息後,向AUSF回復“Naanf_AKMA_Register Response”。
步驟607後,可選的,AUSF可以刪除Kakma-2。
本申請實施例中,在AKMA流程中,AMF判斷UE支援AKMA業務的情況下,AMF可以在鑒權請求消息中攜帶RID,AUSF從該鑒權請求消息中獲取RID。以保證AUSF接收的鑒權向量獲取請求消息中攜帶SUPI時,AUSF可以使用該RID生成新的A-KID,保證AKMA流程的成功執行。
在前述實施例的基礎上,還可以由UDM提供RID。具體的,請參閱圖7,圖7為本申請實施例中又一種金鑰標識的生成方法的實施例示意圖。本申請實施例提出的一種金鑰標識的生成方法,包括:
701、AUSF接收AMF發送的鑒權請求消息#1,該鑒權請求消息#1中攜帶SUCI。
步驟701與前述步驟501類似,此處不作贅述。
702、AUSF向UDM發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶SUCI。
AUSF接收AMF發送的鑒權請求消息#1後,AUSF向UDM發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶SUCI。該鑒權向量獲取請求消息#1用於獲取RID#2。
示例性的,該鑒權向量獲取請求消息#1為“Nudm_UE_Authentication_Get_Request”。
703、UDM向AUSF發送鑒權向量獲取回應訊息#1,鑒權向量獲取回應訊息#1不攜帶RID。
UDM接收該鑒權向量獲取請求消息#1後,UDM向AUSF發送鑒權向量獲取回應訊息#1,該鑒權向量獲取回應訊息#1中不攜帶RID。
示例性的,該鑒權向量獲取回應訊息#1為“Nudm_UE_Authentication_Get_Response”。當AUSF接收來自UDM的鑒權向量獲取回應訊息#1後,AUSF對該UE(與該鑒權請求消息#1對應的UE)進行鑒權操作。當鑒權成功,則AUSF向AMF發送鑒權請求回應(authentication success)。
可選的,該鑒權向量獲取回應訊息#1中還攜帶鑒權向量(authentication vector,AV)。
可選的,該鑒權向量獲取回應訊息#1中還攜帶認證和金鑰管理指示資訊AKMA indication。
示例性的,該鑒權向量獲取回應訊息#1為“Nudm_UE_Authentication_Get_Response”。當鑒權成功,則AUSF向AMF發送鑒權請求回應(authentication success)。
704、AUSF生成A-KID#1。
步驟704與前述步驟502類似,此處不作贅述。
705、AUSF接收AMF發送的鑒權請求消息#2。
AUSF接收AMF發送的鑒權請求消息#2。該鑒權請求消息#2中攜帶SUPI,則進入步驟706。
可選的,AUSF接收鑒權請求消息#2後,AUSF可以向UDM發送鑒權向量獲取請求消息#2,該鑒權向量獲取請求消息#2攜帶該SUPI。該鑒權向量獲取請求消息#2可以是:“Nudm_UE_Authentication_Get_Request”。
UDM接收AUSF發送的鑒權向量獲取請求消息#2後。AUSF根據該鑒權向量獲取回應訊息#2中攜帶的認證和金鑰管理指示資訊,確定該UE支援AKMA業務。AUSF確定需要生成該UE的A-KID。UDM向AUSF發送鑒權向量獲取回應訊息#2,該鑒權向量獲取回應訊息#2中攜帶鑒權向量(authentication vector,AV)。該鑒權向量獲取回應訊息#2中不攜帶RID。
可選的,該鑒權向量獲取回應訊息#2中還攜帶認證和金鑰管理指示資訊AKMA indication。
示例性的,該鑒權向量獲取回應訊息#2為“Nudm_UE_Authentication_Get_Response”。
當AUSF接收來自UDM的鑒權向量獲取回應訊息#2後,AUSF對該UE(與該鑒權請求消息#2對應的UE)進行鑒權操作。當鑒權成功,則AUSF向AMF發送鑒權請求回應(authentication success)。
進一步的,AUSF基於該SUPI,生成Kakma。
706、AUSF向UDM發送第二請求,第二請求中攜帶
SUPI。
可選的,第二請求中攜帶一個需要RID的指示資訊。
AUSF接收鑒權請求消息#2後,AUSF向UDM發送第二請求,該第二請求用於向UDM請求RID#2。
可選的,AUSF在生成生成Kakma後,AUSF向UDM發送第二請求。
可選的,AUSF向AMF發送鑒權請求回應後,即AUSF完成UE的鑒權後,AUSF向UDM發送第二請求。
示例性的,該第二請求為“Nudm_UE_AKMA_Get_Request”。
AUSF接收AMF發送的鑒權請求消息#2後,AUSF檢測鑒權請求消息#2中是否攜帶有RID#2。可選的,AUSF還檢測AUSF本地是否保存有RID#4相關的參數(例如RID#4、SUCI和/或A-KID#1)。
如果鑒權請求消息#2沒有RID#3相關的參數,則AUSF向UDM發送第二請求,該第二請求用於請求RID。該第二請求中攜帶SUPI,該SUPI為鑒權請求消息#2中攜帶的SUPI。可選的,進一步地,如果鑒權請求消息#2和AUSF本地均沒有RID(RID#3與RID#4)相關的參數,則AUSF向UDM發送第二請求,該第二請求用於請求RID。
可選的,第二請求中攜帶一個需要RID的指示資訊。
具體地,AUSF在接收UDM發送的鑒權向量獲取回應訊
息#2後,AUSF確定該UE支持AKMA業務後,AUSF沒有在鑒權請求消息#2中收到RID#3,和/或AUSF本地沒有保存有RID#4,則AUSF向UDM發送該第二請求。
步驟706中,AUSF接收AMF發送的鑒權請求消息#2後,存在兩種可選的實現方案,下面分別進行描述:
方案一:AUSF每次接收鑒權請求消息#2後,檢測該鑒權請求消息#2中是否攜帶RID。可選的,AUSF還檢測AUSF本地是否保存有RID#4相關的參數(例如RID#4、SUCI和/或A-KID#1)。當檢測結果為鑒權請求消息#2中沒有RID#3(鑒權請求消息#2中沒有RID且,AUSF本地沒有RID#4相關的參數),則AUSF向UDM發送第二請求。步驟708中,AUSF不保存來自UDM的第二響應中攜帶的RID#1。即AUSF每次接收鑒權請求消息#2後,都會檢測該鑒權請求消息#2中是否攜帶RID#3,如果不攜帶,則AUSF向UDM發送第二請求。
方案二:AUSF接收鑒權請求消息#2後,檢測該鑒權請求消息#2中是否攜帶RID。可選的,AUSF還檢測AUSF本地是否保存有RID#4相關的參數(例如RID#4、SUCI和/或A-KID#1)。當檢測結果為鑒權請求消息#2中沒有RID#3(或者鑒權請求消息#2中沒有RID#1,且AUSF本地沒有RID#4相關的參數),則AUSF向UDM發送第二請求。步驟708中,AUSF保存來自UDM的第二響應中攜帶的RID#2。即AUSF第一次接收到不攜帶RID的鑒權請求消息#2後,AUSF向UDM發送第二請求。步驟708中AUSF
會保存AMF基於該第二請求返回的RID#3。後續步驟中當AUSF再次接收到不攜帶RID的鑒權請求消息#2時,AUSF可以基於本地保存的RID#4(步驟708中保存的)進行後續動作。示例性的,第二請求為“Nudm_UE_AKMA_Get_Request”。
AUSF接收AMF發送的鑒權請求消息#2後,AUSF判斷鑒權請求消息#2中是否攜帶有RID#3。如果攜帶有RID#3,則執行步驟709。
AUSF接收AMF發送的鑒權請求消息#2後,AUSF判斷本地保存有RID#4相關的參數的情況下,則執行步驟709。
707、UDM基於第二請求中攜帶的SUPI,確定RID#2。
UDM接收第一請求後,基於該第二請求中攜帶的SUPI,確定該SUPI對應的RID#2。
708、UDM向AUSF發送第二回應,第二回應攜帶RID#2。
UDM向AUSF發送第二回應,該第二回應中攜帶RID#2。
示例性的,第二回應為“Nudm_UE_AKMA_Get_Response”。
709、當鑒權請求消息#2中攜帶SUPI時,AUSF基於RID#2生成A-KID#2。
進一步的,AUSF基於生成Kakma。為了區分,這裡生成的Kakma稱為Kakma-2。
可選的,當AUSF生成A-KID#2後,AUSF可以向AAnF發送A-KID#2、SUPI和Kakma-2。具體的,可以通過
“Naanf_AnchorKey_Register Request”向AAnF發送。AAnF接收該消息後,向AUSF回復“Naanf_AKMA_Register Response”。
步驟709後,AUSF可以刪除A-KID#2。
步驟709後,可選的,AUSF可以刪除Kakma-2。
本申請實施例中,在AKMA流程中,AUSF可以從UDM中獲取RID。以保證AUSF接收的鑒權向量獲取請求消息中攜帶SUPI時,AUSF可以使用該RID生成新的A-KID,保證AKMA流程的成功執行。
在前述實施例的基礎上,請參閱圖8,圖8為本申請實施例中又一種金鑰標識的生成方法的實施例示意圖。本申請實施例提出的一種金鑰標識的生成方法,包括:
801、AUSF接收AMF發送的鑒權請求消息#1,該鑒權請求消息#1中攜帶SUCI。
802、AUSF向UDM發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶SUCI。
步驟801-802與前述步驟701-702類似,此處不作贅述。
803、UDM基於鑒權向量獲取請求消息#1中攜帶的SUCI,確定RID#1。
UDM基於該鑒權向量獲取請求消息#1中攜帶的SUCI確定RID#1後,UDM存儲該RID#1,UDM中存儲的RID#1稱為RID#2。
進一步地,UDM存儲RID#2和,RID#2與SUPI的關聯
關係。
可選的,UDM存儲RID#2,SUCI,和,RID#1與SUCI的關聯關係。進一步地,UDM存儲RID#2與SUCI與SUPI的關聯關係。
可選的,UDM存儲SUCI,即UDM不單獨存儲RID#2。進一步地,UDM存儲SUCI和,SUCI與SUPI的關聯關係。
可選的,當RID的值為缺省值時,步驟803中UDM可以不存儲RID#1。則步驟805中AUSF基於該缺省值生成A-KID#1。
804、UDM向AUSF發送鑒權向量獲取回應訊息#1,鑒權向量獲取回應訊息#1攜帶RID#2。
進一步地,UDM在確定該UE支持AKMA業務後,在鑒權向量獲取回應訊息#1中攜帶RID#2。UDM向AUSF發送鑒權向量獲取回應訊息#1,該鑒權向量獲取回應訊息#1攜帶RID#2。
可選的,該鑒權向量獲取回應訊息#1不攜帶RID。
AUSF接收鑒權請求消息#1後,AUSF可以向UDM發送鑒權向量獲取請求消息#1,該鑒權向量獲取請求消息#1攜帶該SUCI。該鑒權向量獲取請求消息#1可以是:“Nudm_UE_Authentication_Get_Request”。
UDM接收AUSF發送的鑒權向量獲取請求消息#1後。UDM向AUSF發送鑒權向量獲取回應訊息#1,該鑒權向量獲取回應訊息#1中攜帶RID#2。該鑒權向量獲取回應訊息#1中還攜帶鑒權向量(authentication vector,AV)。可選的,該鑒權向量獲取回應
訊息#1中還攜帶認證和金鑰管理指示資訊AKMA indication。可選的,AUSF記錄該UE支援AKMA業務,比如AUSF存儲AKMA indication。進一步地,AUSF存儲AKMA indication和SUPI的關聯關係。示例性的,該鑒權向量獲取回應訊息#1為“Nudm_UE_Authentication_Get_Response”。
當AUSF接收來自UDM的鑒權向量獲取回應訊息#1後,AUSF對該UE(與該鑒權請求消息#1對應的UE)進行鑒權操作。當鑒權成功,則AUSF向AMF發送鑒權請求回應(authentication success)。
805、AUSF基於RID生成A-KID#1。
AUSF接收鑒權請求消息#1後,AUSF基於該鑒權請求消息#1中的SUCI中的RID#1,生成A-KID#1。
可選的,AUSF基於鑒權向量獲取回應訊息#1中攜帶的RID#2,生成A-KID#1。
進一步的,AUSF基於生成Kakma。為了區分,這裡生成的Kakma稱為Kakma-2。
可選的,當AUSF生成A-KID#1後,AUSF可以向AAnF發送A-KID#1、SUPI和Kakma。具體的,可以通過“Naanf_AnchorKey_Register Request”向AAnF發送。AAnF接收該消息後,向AUSF回復“Naanf_AKMA_Register Response”。
806、AUSF接收AMF發送的鑒權請求消息#2。
示例性的,鑒權請求消息#2為
“Nausf_UEAuthentication_Authenticate Request”。
807、AUSF向UDM發送鑒權向量獲取請求消息#2,鑒權向量獲取請求消息#2中攜帶SUPI。
AUSF接收鑒權請求消息#2後,AUSF向UDM發送鑒權向量獲取請求消息#2,該鑒權向量獲取請求消息#2攜帶該SUPI。該鑒權向量獲取請求消息可以是:“Nudm_UE_Authentication_Get_Request”。
鑒權向量獲取請求消息#2中攜帶指示資訊,該指示資訊用於向UDM請求下發RID#2。具體地,AUSF查看是否有存儲記錄該UE支援AKMA業務,如果確定該UE支持AKMA業務,則在鑒權向量獲取請求消息#2中攜帶指示資訊。
具體地,AUSF接收AMF發送的鑒權請求消息#2後,AUSF檢測鑒權請求消息#2中是否攜帶有RID#3。可選的,AUSF還檢測AUSF本地是否保存有RID#4相關的參數(例如RID#4、SUCI和/或A-KID#1)。
如果鑒權請求消息#2沒有RID相關的參數,並且AUSF存儲有該UE支援AKMA業務,則AUSF向UDM發送鑒權向量獲取請求消息#2,該鑒權向量獲取請求消息#2用於請求鑒權向量和RID。具體的,該鑒權向量獲取請求消息#2中攜帶SUPI和指示資訊。該指示資訊用於向UDM請求下發RID#2。
808、UDM基於鑒權向量獲取請求消息#2中攜帶的SUPI,確定RID#2。
UDM接收AUSF發送的鑒權向量獲取請求消息#2後。UDM基於該鑒權向量獲取請求消息#2中攜帶的SUPI,確定RID#2。
UDM根據該鑒權向量獲取請求消息#2中攜帶的指示資訊,確定該SUPI對應的RID#2。
809、UDM向AUSF發送鑒權向量獲取回應訊息#2,鑒權向量獲取回應訊息#2攜帶RID#2。
UDM向AUSF發送鑒權向量獲取回應訊息#2,該鑒權向量獲取回應訊息#2中攜帶RID#2。
該鑒權向量獲取回應訊息#2中還攜帶鑒權向量(authentication vector,AV)。
可選的,該鑒權向量獲取回應訊息#2中還攜帶認證和金鑰管理指示資訊AKMA indication。示例性的,該鑒權向量獲取回應訊息#2為“Nudm_UE_Authentication_Get_Response”。
當AUSF接收來自UDM的鑒權向量獲取回應訊息#2後,AUSF對該UE(與該鑒權請求消息#1對應的UE)進行鑒權操作。當鑒權成功,則AUSF向AMF發送鑒權請求回應(authentication success)。
810、當鑒權請求消息#2中攜帶SUPI時,AUSF基於該鑒權向量獲取回應訊息#2中的RID#2生成A-KID#2。
當鑒權請求消息#2中攜帶SUPI,AUSF基於該鑒權向量獲取回應訊息#2中的RID#2生成A-KID#2。該RID#2來自UDM
發送的鑒權向量獲取回應訊息#2。
可選的,當AUSF生成A-KID#2後,AUSF可以向AAnF發送A-KID#2、SUPI和Kakma-2。具體的,可以通過“Naanf_AnchorKey_Register Request”向AAnF發送。AAnF接收該消息後,向AUSF回復“Naanf_AKMA_Register Response”。
本申請實施例中,在AKMA流程中,AUSF可以從UDM中獲取RID。UDM在現有的鑒權向量獲取回應訊息中攜帶該RID。以保證AUSF接收的鑒權向量獲取請求消息中攜帶SUPI時,AUSF可以使用該RID生成新的A-KID,保證AKMA流程的成功執行。
上述主要以方法的角度對本申請實施例提供的方案進行了介紹。可以理解的是,通信裝置為了實現上述功能,其包含了執行各個功能相應的硬體結構和/或軟體模組。本領域技術人員應該很容易意識到,結合本文中所公開的實施例描述的各示例的模組及演算法步驟,本申請能夠以硬體或硬體和電腦軟體的結合形式來實現。某個功能究竟以硬體還是電腦軟體驅動硬體的方式來執行,取決於技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能,但是這種實現不應認為超出本申請的範圍。
本申請實施例可以根據上述方法示例對通信裝置進行功能模組的劃分,例如,可以對應各個功能劃分各個功能模組,也可以將兩個或兩個以上的功能集成在一個處理模組中。上述集成
的模組既可以採用硬體的形式實現,也可以採用軟體功能模組的形式實現。需要說明的是,本申請實施例中對模組的劃分是示意性的,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式。
下面對本申請中的通信裝置進行詳細描述,請參閱圖9,圖9為本申請實施例中通信裝置的一種實施例示意圖。通信裝置可以部署於網路設備中,通信裝置包括:收發模組901,用於接收來自接入與移動性管理功能鑒權請求消息#1,鑒權請求消息#1中攜帶簽約隱藏識別字,簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;收發模組901,還用於向統一資料管理功能發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶簽約隱藏識別字;收發模組901,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#1,鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊;處理模組902,用於根據認證和金鑰管理指示資訊,基於簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1;處理模組902,還用於保存路由標識。
在一種可能的實現方式中,收發模組901,還用於接收來自接入與移動性管理功能的鑒權請求消息#2;處理模組902,還用於在鑒權請求消息#2中攜帶永久身份標
識的情況下,使用保存的路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
在一種可能的實現方式中,處理模組902,還用於基於對終端設備進行鑒權流程中生成的中間金鑰,生成認證和金鑰管理-金鑰臨時身份標識;處理模組902,還用於將路由標識和認證和金鑰管理-金鑰臨時身份標識進行拼接,得到認證和金鑰管理-金鑰臨時身份標識#1。
在一種可能的實現方式中,處理模組902,還用於保存認證和金鑰管理-金鑰臨時身份標識#1。
在一種可能的實現方式中,鑒權向量獲取回應訊息#1中還包括路由標識;處理模組902,還用於基於簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1,包括:處理模組902,還用於基於鑒權向量獲取回應訊息#1中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1。
在一種可能的實現方式中,處理模組902,還用於保存簽約隱藏識別字。
在一種可能的實現方式中,處理模組902,還用於刪除認證和金鑰管理-金鑰臨時身份標識#1。
在一種可能的實現方式中,處理模組902,還用於刪除認證和金鑰管理-金鑰臨時身份標識#2;
處理模組902,還用於繼續保存路由標識。
請參閱圖10,圖10為本申請實施例中通信裝置的一種實施例示意圖。通信裝置可以部署於網路設備中,通信裝置包括:收發模組1001,用於接收來自接入與移動性管理功能的鑒權請求消息#1,鑒權請求消息#1中攜帶簽約隱藏識別字,簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;收發模組1001,還用於向統一資料管理功能發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶簽約隱藏識別字;收發模組1001,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#1,鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊和簽約隱藏識別字中的路由標識;處理模組1002,用於根據認證和金鑰管理指示資訊,基於路由標識生成認證和金鑰管理-金鑰臨時身份標識#1。
在一種可能的實現方式中,收發模組1001,還用於接收來自接入與移動性管理功能的鑒權請求消息#2;鑒權請求消息#2包括永久身份標識;收發模組1001,還用於向統一資料管理功能發送鑒權向量獲取請求消息#2,鑒權向量獲取請求消息#2中攜帶永久身份標識;收發模組1001,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#2,鑒權向量獲取回應訊息#2包括路由標識;處理模組1002,還用於使用路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
在一種可能的實現方式中,收發模組1001,還用於接收來自接入與移動性管理功能的鑒權請求消息#2;鑒權請求消息#2包括永久身份標識;收發模組1001,還用於向統一資料管理功能發送鑒權向量獲取請求消息#2,鑒權向量獲取請求消息#2中攜帶永久身份標識;收發模組1001,還用於根據認證和金鑰管理指示資訊,從核心網網元獲取路由標識;處理模組1002,還用於使用路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
在一種可能的實現方式中,處理模組1002,還用於根據認證和金鑰管理指示資訊,確定需要生成認證和金鑰管理-金鑰臨時身份標識#2;收發模組1001,還用於在鑒權管理功能本地沒有路由標識的情況下,從核心網網元獲取路由標識。
在一種可能的實現方式中,核心網網元包括統一資料管理功能或者接入與移動性管理功能。
在一種可能的實現方式中,收發模組1001,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#2,鑒權向量獲取回應訊息#2包括認證和金鑰管理指示資訊。
請參閱圖11,圖11為本申請實施例中通信裝置的一種實施例示意圖。通信裝置可以部署於網路設備中,通信裝置包括:收發模組1101,用於接收來自接入與移動性管理功能的鑒權
請求消息#1,鑒權請求消息#1中攜帶簽約隱藏識別字,簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;收發模組1101,還用於向統一資料管理功能發送鑒權向量獲取請求消息#1,鑒權向量獲取請求消息#1中攜帶簽約隱藏識別字;收發模組1101,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#1,鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊;處理模組1102,用於根據認證和金鑰管理指示資訊,基於簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1;收發模組1101,還用於接收來自接入與移動性管理功能的鑒權請求消息#2;其中,鑒權請求消息#2包括永久身份標識和路由標識;處理模組1102,還用於使用從接入與移動性管理功能接收到的路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
在一種可能的實現方式中,收發模組1101,還用於向統一資料管理功能發送鑒權向量獲取請求消息#2,其中,鑒權向量獲取請求消息#2中攜帶永久身份標識;收發模組1101,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#2。
在一種可能的實現方式中,收發模組1101,還用於向接入與移動性管理功能發送第一鑒權請求回應;第一鑒權請求回應
包括第一指示資訊,第一指示資訊用於指示終端設備支援應用的認證和金鑰管理業務。
在一種可能的實現方式中,處理模組1102,還用於基於鑒權向量獲取回應訊息#1中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1。
請參閱圖12,圖12為本申請實施例中通信裝置的一種實施例示意圖。通信裝置可以部署於網路設備中,通信裝置包括:收發模組1201,用於接收來自接入與移動性管理功能的鑒權請求消息#2;鑒權請求消息#2包括永久身份標識;收發模組1201,還用於向統一資料管理功能發送鑒權向量獲取請求消息#2,鑒權向量獲取請求消息#2中攜帶永久身份標識;收發模組1201,還用於接收來自統一資料管理功能的鑒權向量獲取回應訊息#2,鑒權向量獲取回應訊息#2包括認證和金鑰管理指示資訊;處理模組1202,還用於根據認證和金鑰管理指示資訊,確定需要生成認證和金鑰管理-金鑰臨時身份標識;收發模組1201,還用於在鑒權管理功能本地沒有路由標識的情況下,從核心網網元獲取路由標識;處理模組1202,還用於使用路由標識生成認證和金鑰管理-金鑰臨時身份標識#2。
在一種可能的實現方式中,核心網網元包括統一資料管理功能或者接入與移動性管理功能。
可選地,上述通信裝置還可以包括存儲單元,該存儲單元用於存儲資料和/或指令(也可以稱為代碼或者程式)。上述各個單元可以和存儲單元交互或者耦合,以實現對應的方法或者功能。例如,處理模組1202可以讀取存儲單元中的資料或者指令,使得通信裝置實現上述實施例中的方法。本申請實施例中的耦合是裝置、單元或模組之間的間接耦合或通信連接,可以是電性,機械或其它的形式,用於裝置、單元或模組之間的資訊交互。
本申請實施例中對模組的劃分是示意性的,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,另外,在本申請各個實施例中的各功能模組可以集成在一個處理器中,也可以是單獨物理存在,也可以兩個或兩個以上模組集成在一個模組中。上述集成的模組既可以採用硬體的形式實現,也可以採用軟體功能模組的形式實現。
在一個例子中,以上任一通信裝置中的單元可以是被配置成實施以上方法的一個或多個積體電路,例如:一個或多個特定積體電路(application specific integrated circuit,ASIC),或,一個或多個微處理器(digital singnal processor,DSP),或,一個或者多個現場可程式設計閘陣列(field programmable gate array,FPGA),或這些積體電路形式中至少兩種的組合。再如,當通信裝置中的單元可以通過處理元件調度程式的形式實現時,該處理元件可以是通用處理器,例如中央處理器(central processing unit,CPU)或其它可以調用程式的處理器。再如,這些單元可以集成
在一起,以片上系統(system-on-a-chip,SOC)的形式實現。
本申請還提供一種通信系統,其包括網路設備或終端設備中的至少一種或多種。
本申請實施例還提供的一種電腦可讀存儲介質,包括指令,當其在電腦上運行時,使得電腦控制網路設備或終端設備執行如前述方法實施例所示任一項實現方式。
本申請實施例還提供的一種電腦程式產品,電腦程式產品包括電腦程式代碼,當電腦程式代碼在電腦上運行時,使得電腦執行如前述方法實施例所示任一項實現方式。
本申請實施例還提供一種晶片系統,包括記憶體和處理器,記憶體用於存儲電腦程式,處理器用於從記憶體中調用並運行電腦程式,使得晶片執行如前述方法實施例所示任一項實現方式。
本申請實施例還提供一種晶片系統,包括處理器,處理器用於調用並運行電腦程式,使得晶片執行如前述方法實施例所示任一項實現方式。
本申請實施例提供的技術方案可以全部或部分地通過軟體、硬體、固件或者其任意組合來實現。當使用軟體實現時,可以全部或部分地以電腦程式產品的形式實現。所述電腦程式產品包括一個或多個電腦指令。在電腦上載入和執行所述電腦程式指令時,全部或部分地產生按照本發明實施例所述的流程或功能。所述電腦可以是通用電腦、專用電腦、電腦網路、AI節點、接入
網設備、終端設備或者其他可程式設計裝置。所述電腦指令可以存儲在電腦可讀存儲介質中,或者從一個電腦可讀存儲介質向另一個電腦可讀存儲介質傳輸,例如,所述電腦指令可以從一個網站站點、電腦、伺服器或資料中心通過有線(例如同軸電纜、光纖、數位使用者線路(digital subscriber line,DSL))或無線(例如紅外、無線、微波等)方式向另一個網站站點、電腦、伺服器或資料中心進行傳輸。所述電腦可讀存儲介質可以是電腦可以存取的任何可用介質或者是包含一個或多個可用介質集成的伺服器、資料中心等資料存放裝置。所述可用介質可以是磁性介質(例如,軟碟、硬碟、磁帶)、光介質(例如,數位視訊光碟(digital video disc,DVD))、或者半導體介質等。
在本申請實施例中,在無邏輯矛盾的前提下,各實施例之間可以相互引用,例如方法實施例之間的方法和/或術語可以相互引用,例如裝置實施例之間的功能和/或術語可以相互引用,例如裝置實施例和方法實施例之間的功能和/或術語可以相互引用。顯然,本領域的技術人員可以對本申請進行各種改動和變型而不脫離本申請的範圍。這樣,倘若本申請的這些修改和變型屬於本申請請求項及其等同技術的範圍之內,則本申請也意圖包含這些改動和變型在內。
401、402、403、404、405、406、407、408、409、410、411、412:步驟
Claims (51)
- 一種金鑰標識的生成方法,其中,包括:鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#1,所述鑒權請求消息#1中攜帶簽約隱藏識別字,所述簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;所述鑒權管理功能向統一資料管理功能發送鑒權向量獲取請求消息#1,所述鑒權向量獲取請求消息#1中攜帶所述簽約隱藏識別字;所述鑒權管理功能接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#1,所述鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊;根據所述認證和金鑰管理指示資訊,所述鑒權管理功能基於所述簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1;所述鑒權管理功能保存所述路由標識。
- 如請求項1所述的方法,其中,所述方法還包括:所述鑒權管理功能接收來自所述接入與移動性管理功能的鑒權請求消息#2;在所述鑒權請求消息#2中攜帶所述永久身份標識的情況下,所述鑒權管理功能使用所述保存的路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
- 如請求項1或2所述的方法,其中,所述鑒權管理功能基於所述簽約隱藏識別字中的所述路由標識生成所述認證和金鑰管理-金鑰臨時身份標識#1,包括:所述鑒權管理功能基於對所述終端設備進行鑒權流程中生成的中間金鑰,生成認證和金鑰管理-終端設備臨時標識;所述鑒權管理功能將所述路由標識和所述認證和金鑰管理-終端設備臨時標識獲得所述認證和金鑰管理-金鑰臨時身份標識#1。
- 如請求項3所述的方法,其中,所述鑒權管理功能保存所述路由標識,包括:所述鑒權管理功能保存所述認證和金鑰管理-金鑰臨時身份標識#1。
- 如請求項1或2所述的方法,其中,所述鑒權向量獲取回應訊息#1中還包括所述路由標識;所述鑒權管理功能基於所述簽約隱藏識別字中的所述路由標識生成所述認證和金鑰管理-金鑰臨時身份標識#1,包括:所述鑒權管理功能基於所述鑒權向量獲取回應訊息#1中的所述路由標識生成所述認證和金鑰管理-金鑰臨時身份標識#1。
- 如請求項1或2所述的方法,其中,所述鑒權管理功能保存所述路由標識,包括:所述鑒權管理功能保存所述簽約隱藏識別字。
- 如請求項1-2中任一項所述的方法,其中,所述鑒權管理功能保存所述路由標識之後,所述方法還包括:所述鑒權管理功能向刪除所述認證和金鑰管理-金鑰臨時身份標識#1。
- 如請求項2所述的方法,其中,所述鑒權管理功能基於所述保存的路由標識生成所述認證和金鑰管理-金鑰臨時身份標識#2之後,所述方法還包括:所述鑒權管理功能刪除所述認證和金鑰管理-金鑰臨時身份標識#2;所述鑒權管理功能繼續保存所述路由標識。
- 一種金鑰標識的生成方法,其中,包括:鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#1,所述鑒權請求消息#1中攜帶簽約隱藏識別字,所述簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;所述鑒權管理功能向統一資料管理功能發送鑒權向量獲取請求消息#1,所述鑒權向量獲取請求消息#1中攜帶所述簽約隱藏識別字;所述鑒權管理功能接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#1,所述鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊和根據所述簽約隱藏識別字確定的路由標識; 根據所述認證和金鑰管理指示資訊,所述鑒權管理功能基於所述路由標識生成認證和金鑰管理-金鑰臨時身份標識#1。
- 如請求項9所述的方法,其中,所述方法還包括:所述鑒權管理功能接收來自所述接入與移動性管理功能的鑒權請求消息#2;所述鑒權請求消息#2包括所述永久身份標識;所述鑒權管理功能向所述統一資料管理功能發送鑒權向量獲取請求消息#2,所述鑒權向量獲取請求消息#2中攜帶所述永久身份標識;所述鑒權管理功能接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#2,所述鑒權向量獲取回應訊息#2包括所述路由標識和所述認證和金鑰管理指示資訊;所述鑒權管理功能使用所述路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
- 如請求項9所述的方法,其中,所述方法還包括:所述鑒權管理功能接收來自所述接入與移動性管理功能的鑒權請求消息#2;所述鑒權請求消息#2包括所述永久身份標識;所述鑒權管理功能向所述統一資料管理功能發送鑒權向量獲取請求消息#2,所述鑒權向量獲取請求消息#2中攜帶所述永久身份標識;所述鑒權管理功能根據所述認證和金鑰管理指示資訊,從核心網網元獲取所述路由標識; 所述鑒權管理功能使用所述路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
- 如請求項11所述的方法,其中,所述鑒權管理功能根據所述認證和金鑰管理指示資訊,從其他核心網網元獲取所述路由標識,包括:所述鑒權管理功能根據所述認證和金鑰管理指示資訊,確定需要生成所述認證和金鑰管理-金鑰臨時身份標識#2;在所述鑒權管理功能本地沒有所述路由標識的情況下,所述鑒權管理功能從所述核心網網元獲取所述路由標識。
- 如請求項11或12所述的方法,其中,所述核心網網元包括所述統一資料管理功能或者所述接入與移動性管理功能。
- 如請求項11所述的方法,其中,在所述鑒權管理功能根據所述認證和金鑰管理指示資訊,從所述核心網網元獲取路由標識之前,所述方法還包括:所述鑒權管理功能接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#2,所述鑒權向量獲取回應訊息#2包括所述認證和金鑰管理指示資訊。
- 一種金鑰標識的生成方法,其中,包括:鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#1,所述鑒權請求消息#1中攜帶簽約隱藏識別字,所述簽約隱 藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;所述鑒權管理功能向統一資料管理功能發送鑒權向量獲取請求消息#1,所述鑒權向量獲取請求消息#1中攜帶所述簽約隱藏識別字;所述鑒權管理功能接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#1,所述鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊;根據所述認證和金鑰管理指示資訊,所述鑒權管理功能基於所述簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1;所述鑒權管理功能接收來自所述接入與移動性管理功能的鑒權請求消息#2;其中,所述鑒權請求消息#2包括所述永久身份標識和所述路由標識;所述鑒權管理功能使用從所述接入與移動性管理功能接收到的所述路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
- 如請求項15所述的方法,其中,在所述鑒權管理功能使用從所述接入與移動性管理功能接收到的所述路由標識生成新的所述認證和金鑰管理-金鑰臨時身份標識#2之前,所述方法還包括: 所述鑒權管理功能向所述統一資料管理功能發送鑒權向量獲取請求消息#2,其中,所述鑒權向量獲取請求消息#2中攜帶所述永久身份標識;所述鑒權管理功能接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#2。
- 如請求項15或16所述的方法,其中,在所述鑒權管理功能接收來自所述接入與移動性管理功能的所述鑒權請求消息#2之前,所述方法還包括:所述鑒權管理功能向所述接入與移動性管理功能發送第一鑒權請求回應;所述第一鑒權請求回應包括第一指示資訊,所述第一指示資訊用於指示所述終端設備支援應用的認證和金鑰管理業務。
- 如請求項15-16任一所述的方法,其中,所述鑒權向量獲取回應訊息#1中還包括所述路由標識;所述鑒權管理功能基於所述簽約隱藏識別字中的所述路由標識生成所述認證和金鑰管理-金鑰臨時身份標識#1,包括:所述鑒權管理功能基於所述鑒權向量獲取回應訊息#1中的所述路由標識生成所述認證和金鑰管理-金鑰臨時身份標識#1。
- 一種金鑰標識的生成方法,其中,包括:鑒權管理功能接收來自接入與移動性管理功能的鑒權請求消息#2;所述鑒權請求消息#2包括永久身份標識; 所述鑒權管理功能向統一資料管理功能發送鑒權向量獲取請求消息#2,所述鑒權向量獲取請求消息#2中攜帶所述永久身份標識;所述鑒權管理功能接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#2,所述鑒權向量獲取回應訊息#2包括認證和金鑰管理指示資訊;所述鑒權管理功能根據所述認證和金鑰管理指示資訊,確定需要生成認證和金鑰管理-金鑰臨時身份標識;在所述鑒權管理功能本地沒有路由標識的情況下,所述鑒權管理功能從核心網網元獲取所述路由標識;所述鑒權管理功能使用所述路由標識生成認證和金鑰管理-金鑰臨時身份標識#2。
- 如請求項19所述的方法,其中,所述核心網網元包括所述統一資料管理功能或者所述接入與移動性管理功能。
- 一種通信裝置,其中,包括:收發模組,用於接收來自接入與移動性管理功能的鑒權請求消息#1,所述鑒權請求消息#1中攜帶簽約隱藏識別字,所述簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;所述收發模組,還用於向統一資料管理功能發送鑒權向量獲取請求消息#1,所述鑒權向量獲取請求消息#1中攜帶所述簽約隱藏識別字; 所述收發模組,還用於接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#1,所述鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊;處理模組,用於根據所述認證和金鑰管理指示資訊,基於所述簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1;所述處理模組,還用於保存所述路由標識。
- 如請求項21所述的通信裝置,其中,所述收發模組,還用於接收來自所述接入與移動性管理功能的鑒權請求消息#2;所述處理模組,還用於在所述鑒權請求消息#2中攜帶所述永久身份標識的情況下,使用所述保存的路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
- 如請求項21或22所述的通信裝置,其中,所述處理模組,還用於基於對所述終端設備進行鑒權流程中生成的中間金鑰,生成認證和金鑰管理-終端設備臨時標識;所述處理模組,還用於將所述路由標識和所述認證和金鑰管理-終端設備臨時標識獲得所述認證和金鑰管理-金鑰臨時身份標識#1。
- 如請求項23所述的通信裝置,其中,所述處理模組,還用於保存所述認證和金鑰管理-金鑰臨時身份標識#1。
- 如請求項21或22所述的通信裝置,其中,所述鑒權向量獲取回應訊息#1中還包括所述路由標識;所述處理模組,還用於基於所述簽約隱藏識別字中的所述路由標識生成所述認證和金鑰管理-金鑰臨時身份標識#1,包括:所述處理模組,還用於基於所述鑒權向量獲取回應訊息#1中的所述路由標識生成所述認證和金鑰管理-金鑰臨時身份標識#1。
- 如請求項21或22所述的通信裝置,其中,所述處理模組,還用於保存所述簽約隱藏識別字。
- 如請求項21-22中任一項所述的通信裝置,其中,所述處理模組,還用於刪除所述認證和金鑰管理-金鑰臨時身份標識#1。
- 如請求項22所述的通信裝置,其中,所述處理模組,還用於刪除所述認證和金鑰管理-金鑰臨時身份標識#2;所述處理模組,還用於繼續保存所述路由標識。
- 一種通信裝置,其中,包括:收發模組,用於接收來自接入與移動性管理功能的鑒權請求消息#1,所述鑒權請求消息#1中攜帶簽約隱藏識別字,所述簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識; 所述收發模組,還用於向統一資料管理功能發送鑒權向量獲取請求消息#1,所述鑒權向量獲取請求消息#1中攜帶所述簽約隱藏識別字;所述收發模組,還用於接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#1,所述鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊和根據所述簽約隱藏識別字確定的路由標識;處理模組,用於根據所述認證和金鑰管理指示資訊,基於所述路由標識生成認證和金鑰管理-金鑰臨時身份標識#1。
- 如請求項29所述的通信裝置,其中,所述收發模組,還用於接收來自所述接入與移動性管理功能的鑒權請求消息#2;所述鑒權請求消息#2包括所述永久身份標識;所述收發模組,還用於向所述統一資料管理功能發送鑒權向量獲取請求消息#2,所述鑒權向量獲取請求消息#2中攜帶所述永久身份標識;所述收發模組,還用於接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#2,所述鑒權向量獲取回應訊息#2包括所述路由標識;所述處理模組,還用於使用所述路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
- 如請求項29所述的通信裝置,其中, 所述收發模組,還用於接收來自所述接入與移動性管理功能的鑒權請求消息#2;所述鑒權請求消息#2包括所述永久身份標識;所述收發模組,還用於向所述統一資料管理功能發送鑒權向量獲取請求消息#2,所述鑒權向量獲取請求消息#2中攜帶所述永久身份標識;所述收發模組,還用於根據所述認證和金鑰管理指示資訊,從核心網網元獲取所述路由標識;所述處理模組,還用於使用所述路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
- 如請求項31所述的通信裝置,其中,所述處理模組,還用於根據所述認證和金鑰管理指示資訊,確定需要生成所述認證和金鑰管理-金鑰臨時身份標識#2;所述收發模組,還用於在鑒權管理功能本地沒有所述路由標識的情況下,從所述核心網網元獲取所述路由標識。
- 如請求項31或32所述的通信裝置,其中,所述核心網網元包括所述統一資料管理功能或者所述接入與移動性管理功能。
- 如請求項31所述的通信裝置,其中,所述收發模組,還用於接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#2,所述鑒權向量獲取回應訊息#2包括所述認證和金鑰管理指示資訊。
- 一種通信裝置,其中,包括: 收發模組,用於接收來自接入與移動性管理功能的鑒權請求消息#1,所述鑒權請求消息#1中攜帶簽約隱藏識別字,所述簽約隱藏識別字為基於終端設備的永久身份標識生成的使用者隱藏標識;所述收發模組,還用於向統一資料管理功能發送鑒權向量獲取請求消息#1,所述鑒權向量獲取請求消息#1中攜帶所述簽約隱藏識別字;所述收發模組,還用於接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#1,所述鑒權向量獲取回應訊息#1包括認證和金鑰管理指示資訊;處理模組,用於根據所述認證和金鑰管理指示資訊,基於所述簽約隱藏識別字中的路由標識生成認證和金鑰管理-金鑰臨時身份標識#1;所述收發模組,還用於接收來自所述接入與移動性管理功能的鑒權請求消息#2;其中,所述鑒權請求消息#2包括所述永久身份標識和路由標識;所述處理模組,還用於使用從所述接入與移動性管理功能接收到的所述路由標識生成新的認證和金鑰管理-金鑰臨時身份標識#2。
- 如請求項35所述的通信裝置,其中, 所述收發模組,還用於向所述統一資料管理功能發送鑒權向量獲取請求消息#2,其中,所述鑒權向量獲取請求消息#2中攜帶所述永久身份標識;所述收發模組,還用於接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#2。
- 如請求項35或36所述的通信裝置,其中,所述收發模組,還用於向所述接入與移動性管理功能發送第一鑒權請求回應;所述第一鑒權請求回應包括第一指示資訊,所述第一指示資訊用於指示所述終端設備支援應用的認證和金鑰管理業務。
- 如請求項35-36任一所述的通信裝置,其中,所述處理模組,還用於基於所述鑒權向量獲取回應訊息#1中的所述路由標識生成所述認證和金鑰管理-金鑰臨時身份標識#1。
- 一種通信裝置,其中,包括:收發模組,用於接收來自接入與移動性管理功能的鑒權請求消息#2;所述鑒權請求消息#2包括永久身份標識;所述收發模組,還用於向所述統一資料管理功能發送鑒權向量獲取請求消息#2,所述鑒權向量獲取請求消息#2中攜帶所述永久身份標識;所述收發模組,還用於接收來自所述統一資料管理功能的鑒權向量獲取回應訊息#2,所述鑒權向量獲取回應訊息#2包括認證和金鑰管理指示資訊; 所述處理模組,還用於根據所述認證和金鑰管理指示資訊,確定需要生成認證和金鑰管理-金鑰臨時身份標識;所述收發模組,還用於在所述鑒權管理功能本地沒有路由標識的情況下,從核心網網元獲取所述路由標識;所述處理模組,還用於使用所述路由標識生成認證和金鑰管理-金鑰臨時身份標識#2。
- 如請求項39所述的通信裝置,其中,所述核心網網元包括所述統一資料管理功能或者所述接入與移動性管理功能。
- 一種通信裝置,其中,所述通信裝置包括:處理器;所述處理器,用於執行記憶體中存儲的電腦程式或指令,以使所述通信裝置執行如請求項1-8中任一項所述的方法。
- 一種通信裝置,其中,所述通信裝置包括:處理器;所述處理器,用於執行記憶體中存儲的電腦程式或指令,以使所述通信裝置執行如請求項9-14中任一項所述的方法。
- 一種通信裝置,其中,所述通信裝置包括:處理器;所述處理器,用於執行記憶體中存儲的電腦程式或指令,以使所述通信裝置執行如請求項15-18中任一項所述的方法。
- 一種通信裝置,其中,所述通信裝置包括:處理器;所述處理器,用於執行記憶體中存儲的電腦程式或指令,以使所述通信裝置執行如請求項19-20中任一項所述的方法。
- 一種通信系統,其中,包括:請求項21-28中任一項所述的通信裝置和請求項41所述的通信裝置。
- 一種通信系統,其中,包括:請求項29-34中任一項所述的通信裝置和請求項42所述的通信裝置。
- 一種通信系統,其中,包括:請求項35-38中任一項所述的通信裝置和請求項43所述的通信裝置。
- 一種通信系統,其中,包括:請求項39-40中任一項所述的通信裝置和請求項44所述的通信裝置。
- 一種電腦可讀存儲介質,其中,所述電腦可讀存儲介質具有程式指令,當所述程式指令被直接或者間接執行時,使得如請求項18,請求項9-14,請求項15-18,和/或請求項19-20中任一所述的方法被實現。
- 一種晶片系統,其中,所述晶片系統包括至少一個處理器,所述處理器用於執行記憶體中存儲的電腦程式或指令,當所述電腦程式或所述指令在所述至少一個處理器中執行時,使得如請求項1-8,請求項9-14,請求項15-18,和/或請求項19-20中任一所述的方法被實現。
- 一種電腦程式產品,其中,包括指令,當所述指令在電腦上運行時,使得電腦執行請求項1-8,請求項9-14,請求項15-18,和/或請求項19-20中任一項所述的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2021/070980 WO2022147804A1 (zh) | 2021-01-08 | 2021-01-08 | 一种密钥标识的生成方法以及相关装置 |
WOPCT/CN2021/070980 | 2021-01-08 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202228415A TW202228415A (zh) | 2022-07-16 |
TWI799064B true TWI799064B (zh) | 2023-04-11 |
Family
ID=82357612
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW111100691A TWI799064B (zh) | 2021-01-08 | 2022-01-07 | 一種金鑰標識的生成方法以及相關裝置 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20230362636A1 (zh) |
EP (1) | EP4262260A4 (zh) |
CN (1) | CN116746181A (zh) |
AU (1) | AU2021417277A1 (zh) |
CA (1) | CA3204536A1 (zh) |
TW (1) | TWI799064B (zh) |
WO (1) | WO2022147804A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115320428B (zh) * | 2022-07-15 | 2023-11-17 | 浙江晨泰科技股份有限公司 | 一种电动汽车充电桩的充电控制方法及装置 |
WO2024092444A1 (zh) * | 2022-10-31 | 2024-05-10 | 华为技术有限公司 | 一种通信的方法和装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201946485A (zh) * | 2018-03-21 | 2019-12-01 | 新加坡商 聯發科技(新加坡)私人有限公司 | 處理5g系統位置資訊之使用者設備及其方法 |
WO2020093864A1 (zh) * | 2018-11-05 | 2020-05-14 | 华为技术有限公司 | 一种密钥协商的方法、相关装置及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10986602B2 (en) * | 2018-02-09 | 2021-04-20 | Intel Corporation | Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function |
CN111147421B (zh) * | 2018-11-02 | 2023-06-16 | 中兴通讯股份有限公司 | 一种基于通用引导架构gba的认证方法及相关设备 |
EP3881574B1 (en) * | 2018-11-14 | 2023-10-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatuses for network function selection in 5g for a user |
-
2021
- 2021-01-08 EP EP21916859.8A patent/EP4262260A4/en active Pending
- 2021-01-08 AU AU2021417277A patent/AU2021417277A1/en active Pending
- 2021-01-08 WO PCT/CN2021/070980 patent/WO2022147804A1/zh active Application Filing
- 2021-01-08 CN CN202180089268.5A patent/CN116746181A/zh active Pending
- 2021-01-08 CA CA3204536A patent/CA3204536A1/en active Pending
-
2022
- 2022-01-07 TW TW111100691A patent/TWI799064B/zh active
-
2023
- 2023-07-07 US US18/348,834 patent/US20230362636A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201946485A (zh) * | 2018-03-21 | 2019-12-01 | 新加坡商 聯發科技(新加坡)私人有限公司 | 處理5g系統位置資訊之使用者設備及其方法 |
WO2020093864A1 (zh) * | 2018-11-05 | 2020-05-14 | 华为技术有限公司 | 一种密钥协商的方法、相关装置及系统 |
Non-Patent Citations (1)
Title |
---|
網路文獻 ZTE, "Clarification of RID in the clause 6.1", 3GPP TSG-SA3 Meeting #101e, 2020/10/30. https://www.3gpp.org/ftp/TSG_SA/WG3_Security/TSGS3_101e/Docs/S3-202901.zip * |
Also Published As
Publication number | Publication date |
---|---|
AU2021417277A1 (en) | 2023-07-27 |
US20230362636A1 (en) | 2023-11-09 |
CN116746181A (zh) | 2023-09-12 |
WO2022147804A1 (zh) | 2022-07-14 |
TW202228415A (zh) | 2022-07-16 |
EP4262260A1 (en) | 2023-10-18 |
CA3204536A1 (en) | 2022-07-14 |
EP4262260A4 (en) | 2023-12-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20070213029A1 (en) | System and Method for Provisioning of Emergency Calls in a Shared Resource Network | |
US11871223B2 (en) | Authentication method and apparatus and device | |
TWI799064B (zh) | 一種金鑰標識的生成方法以及相關裝置 | |
CN113748697A (zh) | 用于提供非接入层(nas)消息保护的方法和系统 | |
US20230048066A1 (en) | Slice authentication method and apparatus | |
US20220225095A1 (en) | External Authentication Method, Communication Apparatus, and Communication System | |
US20230337002A1 (en) | Security context generation method and apparatus, and computer-readable storage medium | |
US20220086145A1 (en) | Secondary Authentication Method And Apparatus | |
CN115412911A (zh) | 一种鉴权方法、通信装置和系统 | |
WO2023016160A1 (zh) | 一种会话建立方法和相关装置 | |
CN112567812B (zh) | 用于移动设备的位置报告 | |
WO2023071836A1 (zh) | 一种通信方法及装置 | |
WO2021254172A1 (zh) | 一种通信方法以及相关装置 | |
US20230102604A1 (en) | Slice service verification method and apparatus | |
CN113904781B (zh) | 切片认证方法及系统 | |
CN114600487B (zh) | 身份认证方法及通信装置 | |
US20240179519A1 (en) | Communication method and related apparatus | |
US20230336992A1 (en) | Method and apparatus for authenticating user equipment in wireless communication system | |
WO2023213191A1 (zh) | 安全保护方法及通信装置 | |
WO2022228455A1 (zh) | 一种通信方法以及相关装置 | |
WO2024104246A1 (zh) | 通信方法和通信装置 | |
WO2023011401A1 (zh) | 一种通信方法以及相关装置 | |
WO2020215272A1 (zh) | 通信方法、通信装置和通信系统 | |
CN116321328A (zh) | 会话切换的方法和装置 |