WO2022078214A1

WO2022078214A1 - 签约数据更新方法、装置、节点和存储介质

Info

Publication number: WO2022078214A1
Application number: PCT/CN2021/121564
Authority: WO
Inventors: 游世林; 蔡继燕; 林兆骥; 彭锦; 刘宇泽; 邢真; 王继刚; 刘敏
Original assignee: 中兴通讯股份有限公司
Priority date: 2020-10-16
Filing date: 2021-09-29
Publication date: 2022-04-21
Also published as: CN112512044A; JP2023544664A; KR20230088627A; CN117041955A; US20230232240A1; EP4106372A1; EP4106372A4; TW202142010A

Abstract

本申请公开一种签约数据更新方法、装置、节点和存储介质，该方法包括在第一网络功能节点确定用户的AKMA签约数据更新的情况下，第一网络功能节点确定存储用户的AKMA上下文的第二网络功能节点；第一网络功能节点向第二网络功能节点发送签约数据管理通知消息；第一网络功能节点接收第二网络功能节点发送的签约数据管理通知响应消息；其中，签约数据管理通知响应消息是第二网络功能节点根据签约数据管理通知消息删除用户的AKMA上下文后发送的。

Description

签约数据更新方法、装置、节点和存储介质

技术领域

本申请涉及无线通信技术领域，例如涉及一种签约数据更新方法、装置、节点和存储介质。

背景技术

根据第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)标准工作组的定义，第五代移动通信技术(5th Generation Mobile Communication Technology，5G)系统包括5G无线接入网(5G Radio Access Network，5G RAN)子系统、5G核心网(5G Core，5GC)子系统。如图1所示，5G系统的架构包括多个网络功能(Network Function，NF)，其中，5G无线接入网子系统包括新一代无线基站(New Radio，NR)，即无线接入点(Radio Access Node，(R)AN)。5G核心网子系统包括统一数据管理功能(Unified Data Management，UDM)、接入管理功能(Access Management Function，AMF)、会话管理功能(Session Management Function，SMF)、用户面功能(User Plane Function，UPF)、策略控制功能(Policy Control Function，PCF)、安全锚点功能(Security Anchor Function，SEAF)、认证服务器功能(Authentication Server Function，AUSF)和身份验证凭据存储库和处理功能(Authentication Credential Repository and Processing Function，ARPF)。5G网络中包括有用户隐藏标识(Subscription Concealed Identifier，SUCI)和用户永久标识(Subscription Permanent Identifier，SUPI)，其中，SUPI可以包括国际移动用户识别码(International Mobile Subscriber Identification Number，IMSI)或网络接入标识(Network Access Identifier，NAI)。

图2是基于服务化架构的应用身份认证和密钥管理架构(Architecture for Authentication and Key Management for Applications，AKMA)的示意图，AKMA相对于5G系统引入了新的网络功能—AKMA密钥锚定功能(AKMA Anchor Function，AAnF)，AAnF位于归属网络，AAnF主要用于生成用户设备(User Equipment，UE)与应用功能(Application Function，AF)之间的会话秘钥，以及维护其与UE之间的安全上下文。AAnF与通用引导认证机制(General Bootstrapping Architecture，GBA)中的自举服务功能(Bootstrapping Server Function，BSF)类似，UE与AF之间的接口Ua*也与GBA中的Ua接口近似。图2中的Nnef、Nausf、Naanf和Namf分别为网络开放功能(Network Exposure Function，NEF)、AUSF、AAnF和AMF的基于服务化接口。

图3是应用身份认证和密钥管理系统的密钥推衍架构图。UE接入5G网络，通过5G-认证和密钥协商(Authentication and Key Agreement，AKA)，即5G-AKA，或者可扩展认证协议(Extensible Authentication Protocol)-AKA’，即EAP-AKA’，认证成功后，AUSF和UE产生密钥K _AUSF，并由密钥K _AUSF推衍出AKMA锚定密钥K _AKMA，移动设备(Mobile Equipment，ME)和AAnF由密钥K _AKMA推衍出应用密钥K _AF，其中AUSF和AAnF均在归属网络中。

发明内容

本申请实施例提出一种签约数据更新方法、装置、节点和存储介质，在用户签约数据发生更新的情况下，第二网络功能节点不保留AKMA相关的上下文，从而避免AKMA业务被攻击者滥用的情况。

本申请实施例提供了一种签约数据更新方法，该方法包括以下步骤：在第一网络功能节点确定AKMA签约数据更新的情况下，第一网络功能节点确定存储用户的AKMA上下文的第二网络功能节点；第一网络功能节点向第二网络功能节点发送签约数据管理通知消息；第一网络功能节点接收第二网络功能节点发送的签约数据管理通知响应消息；其中，签约数据管理通知响应消息是所述第二网络功能节点根据签约数据管理通知消息删除用户的AKMA上下文后发送的。

本申请实施例提供了一种签约数据更新方法，该方法包括以下步骤：第三网络功能节点接收第一网络功能节点发送的查询消息；第三网络功能节点根据查询消息确定第二网络功能节点；第三网络功能节点向第一网络功能节点发送查询响应消息，查询响应消息中携带有第二网络功能节点的标识或地址。

本申请实施例提供了一种签约数据更新方法，该方法包括以下步骤：第四网络功能节点确定第二网络功能节点；第四网络功能节点向第一网络功能节点发送消息；消息中携带有第二网络功能节点的标识或地址。

本申请实施例提供了一种签约数据更新装置，该装置包括：确定模块，用于在确定用户的AKMA签约数据更新的情况下，确定存储用户的AKMA上下文的第二网络功能节点发送模块，用于向第二网络功能节点发送签约数据管理通知消息；接收模块，用于接收第二网络功能节点发送的签约数据管理通知响应消息；其中，签约数据管理通知响应消息是第二网络功能节点根据签约数据管理通知消息删除用户的AKMA上下文后发送的。

本申请实施例提供了一种签约数据更新装置，该装置包括：接收模块，用于接收第一网络功能节点发送的查询消息；确定模块，用于根据查询消息确定第二网络功能节点；发送模块，用于向第一网络功能节点发送查询响应消息，查询响应消息中携带有第二网络功能节点的标识或地址。

本申请实施例提供了一种签约数据更新装置，该装置包括：确定模块，用于确定第二网络功能节点；发送模块，用于向第一网络功能节点发送消息；消息中携带有所述第二网络功能节点的标识或地址。

本申请实施例提供了一种网络功能节点，该节点包括处理器，当程序被处理器执行时实现本申请实施例提供的签约数据更新方法。

本申请实施例提供了一种可读写存储介质，用于计算机存储，存储介质存储有一个或者多个程序，该一个或者多个程序可被一个或者多个处理器执行，以实现本申请实施例提供的签约数据更新方法。

本申请实施例提供了一种签约数据更新方法、装置、节点和存储介质，该方法包括在第一网络功能节点确定用户的AKMA签约数据更新的情况下，第一网络功能节点确定存储用户的AKMA上下文的第二网络功能节点；第一网络功能节点向第二网络功能节点发送签约数据管理通知消息；第一网络功能节点接收第二网络功能节点发送的签约数据管理通知响应消息；其中，签约数据管理通知响应消息是第二网络功能节点根据签约数据管理通知消息删除用户的AKMA上下文后发送的。通过这样的设计方式，在用户签约数据发生更新的情况下，第二网络功能节点不保留AKMA相关的上下文，从而避免AKMA业务被攻击者滥用的情况。

附图说明

图1是相关技术中的5G系统架构的示意图；

图2是相关技术中的应用身份认证和密钥管理系统架构的示意图；

图3是相关技术中的应用身份认证和密钥管理系统的密钥推衍架构示意图；

图4是相关技术中的AKMA锚定密钥产生方法的流程示意图；

图5是本申请实施例提供的一种签约数据更新方法的流程图；

图6是本申请实施例提供的一种签约数据更新方法的信令交互示意图；

图7是本申请实施例提供的另一种签约数据更新方法的信令交互示意图；

图8是本申请实施例提供的另一种签约数据更新方法的信令交互示意图；

图9是本申请实施例提供的另一种签约数据更新方法的信令交互示意图；

图10是本申请实施例提供的另一种签约数据更新方法的流程图；

图11是本申请实施例提供的另一种签约数据更新方法的流程图；

图12是本申请实施例提供的一种签约数据更新装置的结构示意图；

图13是本申请实施例提供的另一种签约数据更新装置的结构示意图；

图14是本申请实施例提供的另一种签约数据更新装置的结构示意图；

图15是本申请实施例提供的一种网络功能节点的结构示意图。

具体实施方式

下文中将结合附图对本申请的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

另外，在本申请实施例中，“可选地”或者“示例性地”等词用于表示作例子、例证或说明。本申请实施例中被描述为“可选地”或者“示例性地”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。使用“可选地”或者“示例性地”等词旨在以具体方式呈现相关概念。

在相关技术中，通常以重用5G主认证流程(即上述5G-AKA或EAP-AKA’)的方式产生密钥K _AKMA，当认证成功后，UE和AUSF由密钥K _AUSF推衍产生AKMA锚定密钥K _AKMA，在产生密钥K _AKMA的同时也产生与密钥K _AKMA相关的AKMA密钥标识(AKMA-Key Identifier，A-KID)，那么密钥K _AKMA也只能通过5G主认证流程进行更新。而AKMA技术为5G网络用户提供了用户到应用的端到端的安全保护，若用户签约数据发生更新，则将会影响AKMA业务的使用，若AAnF继续保留AKMA相关的安全上下文，那么攻击者可以使用AKMA业务，导致AKMA业务存在被攻击者滥用的可能性。

为了便于理解本申请实施例提供的方法，对本申请实施例以及说明书附图中所涉及的网络功能节点功能等相关概念作进一步解释，具体如下。

UDM用于永久存放用户签约数据，位于用户签约的归属网；ARPF存储用于认证的长期安全凭证，并使用长期安全凭证作为输入执行密钥运算。UDM和ARPF位于运营商或者第三方系统的安全环境中，不会暴露给非授权的物理访问。另外，ARPF和AUSF之间可以进行交互。

AMF用于对用户接入到网络的需求进行管理，负责终端到网络的非接入层(Non-Access Stratum，NAS)信令管理、用户移动性管理等功能。AMF具有SEAF，与AUSF以及UE交互，并接收为UE认证过程而建立的中间密钥。基于全球用户识别卡(Universal Subscriber Identity Module，USIM)的认证方式，AMF从AUSF获取安全相关数据。

AUSF具有与ARPF交互的认证功能，并可以终止来自SEAF的请求。AUSF位于运营商或第三方系统的安全环境中，不会暴露给未授权的物理接入。

SMF用于管理用户的分组数据单元(Packet Data Unit，PDU)会话、服务质量(Quality of Service，QoS)流，为UPF制定包检测和转发规则等。

UPF负责网际协议(Internet Protocol，IP)数据、及非IP数据的路由和转发、用量上报等功能。

PCF负责为AMF、SMF提供各级别的策略规则。

数据网络(Data Network，DN)，包括例如运营商服务，网络接入，第三方服务等网络。

AF用于对AF会话进行管理。

SUCI包括六部分，具体如下：

(1)SUPI类型(SUPI Type)，取值为0-7，其中0为国际移动用户识别码(International Mobile Subscriber Identification Number，IMSI)，1为网络接入标识(Network Access Identifier，NAI)，其他待用。

(2)归属网络标识(Home Network Identifier)，标识归属网络的用户，当SUPI为IMSI时，归属网络标识由移动国家码(Mobile Country Code，MCC)和移动网络码(Mobile Network Code，MNC)组成；当SUPI为NAI时，NAI由标准IETF RFC 7542中的2.2章节定义。

(3)路由指示(Routing Indicator，RID)，由归属网络的运营商分配，配置在手机卡(USIM)中，和归属网络标识共同指示网络信令路由到服务用户的AUSF和UDM。

(4)保护体系标识(Protection Scheme Identifier)，表示无保护(null-scheme)或者有保护(non-null-scheme)两种之一。

(5)归属网络密钥标识(Home Network Public Key Identifier)，表示一个归属网络提供的为保护SUPI的公钥的标识，当无保护情况下，归属网络密钥标识值为0。

(6)保护体系输出(Scheme Output)，当无保护时，保护体系输出为IMSI的移动用户识别号码(Mobile Subscriber Identification Number，MSIN)或者NAI；当有保护时，保护体系输出为使用椭圆曲线加密MSIN和NAI的值。

例如，当IMSI为234150999999999，即MCC＝234，MNC＝15和MSIN＝0999999999，路由指示为678，归属网络密钥标识为27时，无保护的SUCI由0、234、15、678、0、0和0999999999组成，有保护的SUCI由0、234、15、678、1、27、<椭圆曲线密码学的椭圆曲线公钥值(Elliptic Curve Cryptography(EEC)ephemeral public key value)>、<加密0999999999>和<消息认证码 (Message Authentication Code，MAC)值(MAC tag value)>组成。

如图4所示，5G主认证过程如下。

S401、AUSF与UDM交互，获取认证信息。例如，认证凭证(AKA认证向量(Authentication Vector，AV))，认证方法使用Nudm_UEAuthentication_Get Request服务操作。

S402、在响应消息中，UDM可以向AUSF指示是否需要为UE生成AKMA密钥。

S403、如果AUSF收到UDM的AKMA指示，则AUSF存储K _AUSF，并在主认证成功后基于K _AUSF生成AKMA锚定密钥K _AKMA和A-KID。在UE启动与AKMA应用服务器的通信之前，UE基于K _AUSF生成AKMA锚定密钥K _AKMA和A-KID。

S404、AUSF生成AKMA密钥材料后，使用Naanf_AKMA_KeyRegistration Request服务操作将用户的SUPI、生成的A-KID和KAKMA发送到AAnF。AAnF存储AUSF发送的最新密钥材料。

S405、AAnF使用Naanf_AKMA_KeyRegistration Response服务操作，将响应发送给AUSF。

基于上述概念，本申请实施例提供了一种签约数据更新方法，该方法流程图如图5所示，包括但不限于以下步骤。

S501、在第一网络功能节点确定用户的AKMA签约数据更新的情况下，第一网络功能节点确定存储用户的AKMA上下文的第二网络功能节点。

在本申请实施例中，可以将本步骤中的第一网络功能节点理解为UDM，将第二网络功能节点理解为AAnF。

本步骤中用户的AKMA签约数据更新的情况可以包括但不限于以下几种情况：一、用户退网，在UDM中删除用户签约消息；二、用户不使用AKMA业务，删除AKMA签约信息；三、由于欠费等各种原因，用户不能使用服务。

也即本步骤可以理解为在用户的AKMA签约数据发生更新的情况下，UDM需要确认存储用户的AKMA上下文的AAnF。

S502、第一网络功能节点向第二网络功能节点发送签约数据管理通知消息。

第一网络功能节点确定第二网络功能节点后，向第二网络功能节点发送签约数据管理通知消息时，可以在签约数据管理通知消息中携带用户标识SUPI。可选地，也可以在该签约数据管理通知消息中携带用户的AKMA签约指示。

S503、第一网络功能节点接收第二网络功能节点发送的签约数据管理通知响应消息。

第二网络功能节点接收到第一网络功能节点发送的签约数据管理通知消息后，可以根据签约数据管理通知消息中携带的用户标识SUPI，删除其存储的该用户的AKMA上下文，例如，SUPI、A-KID和KAKMA，进而向第一网络功能节点发送签约数据管理通知响应消息。

本申请实施例提供了一种签约数据更新方法，该方法包括在第一网络功能节点确定用户的AKMA签约数据更新的情况下，第一网络功能节点确定存储用户的AKMA上下文的第二网络功能节点；第一网络功能节点向第二网络功能节点发送签约数据管理通知消息；第一网络功能节点接收第二网络功能节点发送的签约数据管理通知响应消息；其中，签约数据管理通知响应消息是第二网络功能节点根据签约数据管理通知消息删除用户的AKMA上下文后发送的。通过这样的设计方式，在用户签约数据发生更新的情况下，第二网络功能节点不保留AKMA相关的上下文，从而避免AKMA业务被攻击者滥用的情况。

在一种实施例中，上述步骤S501的实现方式可以包括但不限于以下几种情况：第一种情况，第一网络功能节点根据本地配置确定第二网络功能节点；第二种情况，第一网络功能节点通过第三网络功能节点确定第二网络功能节点；第三种情况，第一网络功能节点通过第四网络功能节点确定第二网络功能节点。

如图6所示，上述第一种情况的实现方式可以包括，第一网络功能节点根据用户标识的部分字段确定第二网络功能节点。

示例性地，上述部分字段可以包括MCC或者MNC等。

如图7所示，上述第二种情况的实现方式可以包括以下过程：第一网络功能节点向第三网络功能节点发送查询消息；第一网络功能节点接收第三网络功能节点根据查询消息发送的查询响应消息，该查询响应消息中携带有第二网络功能节点的标识或地址；第一网络功能节点根据查询响应消息确定第二网络功能节点。

示例性地，上述查询消息中可以携带有网络功能名(例如，AAnF)和/或网络类型(例如，AAnF类型)，以及，用户标识SUPI和/或第一网络功能节点的位置信息。上述第三网络功能节点可以为网络存储功能(Network Repository Function，NRF)，即NRF根据查询消息中的SUPI和/或UDM位置信息，以及AAnF网络功能名和/或AAnF网络类型查询存储用户AKMA上下文的AAnF，进而向UDM发送查询响应消息。

如图8所示，在一种实施例中，上述第三种情况的实现方式可以包括以下过程：第一网络功能节点向第四网络功能节点发送签约改变请求消息；第一网络功能节点接收第四网络功能节点发送的签约改变请求响应消息，签约改变请求响应消息携带有第二网络功能节点的标识或地址；第一网络功能节点根据签约改变请求响应消息确定第二网络功能节点。

示例性地，上述第四网络功能节点可以为AUSF，上述签约改变请求中可以携带有网络功能名(例如，AAnF)和/或网络类型(例如，AAnF类型)，以及，用户标识SUPI和/或第一网络功能节点的位置信息。即AUSF根据SUPI和/或UDM位置信息，以及AAnF网络功能名和/或AAnF网络类型查询存储用户AKMA上下文的AAnF，并将查询结果以签约改变请求响应消息的方式发送至UDM。

如图9所示，在一种实施例中，上述第三种情况的实现方式还可以包括以下过程：第一网络功能节点接收第四网络功能节点发送的签约数据管理签约消息，签约数据管理签约消息携带第二网络功能节点的标识或地址；第一网络功能节点根据签约数据管理签约消息存储第二网络功能节点的标识或地址；第一网络功能节点根据存储的第二网络功能节点的标识或地址确定第二网络功能节点。

可选地，第一网络功能节点接收第四网络功能节点发送的签约数据管理签约消息后，还可以向第四网络功能节点发送签约数据管理签约响应消息。

需要说明的是，在第一网络功能节点接收第四网络功能节点发送的签约数据管理签约消息之前，第一网络功能节点还可以通过第四网络功能节点执行主认证过程，该主认证过程即为本申请图4所提供的实现方式。结合图4可以看出，AUSF生成AKMA密钥材料后，将AKMA密钥材料发送至AAnF，由AAnF进行存储。这样，在用户的AKMA签约数据更新的情况下，UDM可以根据存储的AAnF的标识或地址向AAnF发送签约数据管理通知消息。

图10是本申请实施例提供的另一种签约数据更新方法的流程图。如图10所示，该方法可以包括但不限于以下步骤。

S1001、第三网络功能节点接收第一网络功能节点发送的查询消息。

本申请实施例中的第三网络功能节点可以为NRF，第一网络功能节点可以为UDM，第一网络功能节点发送的查询消息中可以携带有网络功能名和/或网络类型，以及，用户标识和/或第一网络功能节点的位置信息。

S1002、第三网络功能节点根据查询消息确定第二网络功能节点。

第三网络功能节点根据查询消息中的网络功能名和/或网络类型，以及，用户标识和/或第一网络功能节点的位置信息查询第二网络功能节点。

该第二网络功能节点可以为AAnF，AAnF用于存储用户的AKMA上下文。

S1003、第三网络功能节点向第一网络功能节点发送查询响应消息。

第三网络功能节点发送的查询响应消息中携带有第二网络功能节点的标识或地址。

本申请实施例提供了一种签约数据更新方法，该方法包括第三网络功能节点接收第一网络功能节点发送的查询消息；第三网络功能节点根据查询消息确定第二网络功能节点；第三网络功能节点向第一网络功能节点发送查询响应消息，查询响应消息中携带有第二网络功能节点的标识或地址。通过上述方案可以有效确定第二网络功能节点，进而可以在用户签约数据发生更新的情况下，实现第一网络功能节点向第二网络功能节点发送签约数据管理通知消息，以使得第二网络功能节点不保留AKMA相关的上下文，从而避免AKMA业务被攻击者滥用的情况。

图11是本申请实施例提供的另一种签约数据更新方法的流程图。如图11所示，该方法可以包括但不限于以下步骤。

S1101、第四网络功能节点确定第二网络功能节点。

本申请实施例中的第四网络功能节点可以为AUSF，第二网络功能节点可以为AAnF，AAnF用于存储用户的AKMA上下文。

示例性地，本步骤的实现方式可以包括：第四网络功能节点接收第一网络功能节点发送的签约改变请求消息，该签约改变请求消息中携带用户标识；第四网络功能节点根据用户标识查询第二网络功能节点。

上述第一网络功能节点可以为UDM，即AUSF接收UDM发送的签约改变请求消息后，AUSF根据该消息中的用户标识查询存储用户的AKMA上下文的AAnF。

S1102、第四网络功能节点向第一网络功能节点发送消息。

第四网络功能节点发送的消息中可以携带有第二网络功能节点的标识或地址。

本申请实施例提供了一种签约数据更新方法，该方法包括第四网络功能节点确定第二网络功能节点，第四网络功能节点向第一网络功能节点发送消息，该消息中携带有第二网络功能节点的标识或地址。通过上述方案可以实现第一网络功能节点确定第二网络功能节点，进而在用户签约数据发生更新的情况下，由第一网络功能节点向第二网络功能节点发送签约数据管理通知消息，以使得第二网络功能节点不保留AKMA相关的上下文，从而避免AKMA业务被攻击者滥用的情况。

图12是本申请实施例提供的一种签约数据更新装置。如图12所示，该装置可以包括：确定模块1201、发送模块1202、接收模块1203；其中，确定模块1202，用于在确定用户的AKMA签约数据更新的情况下，确定存储用户的AKMA上下文的第二网络功能节点；发送模块，用于向第二网络功能节点发送签约数据管理通知消息；接收模块，用于接收第二网络功能节点发送的签约数据管理通知响应消息；其中，签约数据管理通知响应消息是第二网络功能节点根据签约数据管理通知消息删除用户的AKMA上下文后发送的。

在一种示例中，上述确定模块用于根据本地配置确定第二网络功能节点；或者，通过第三网络功能节点确定第二网络功能节点；或者，通过第四网络功能节点确定第二网络功能节点。

在一种示例中，确定模块，可以根据用户标识的部分字段确定第二网络功能节点。

在一种示例中，确定模块可以包括通信单元和确定单元；通信单元，用于向第三网络功能节点发送查询消息，以及接收第三网络功能节点根据查询消息发送的查询响应消息，该查询响应消息中携带有第二网络功能节点的标识或地址；确定单元，用于根据查询响应消息确定第二网络功能节点。

在一种示例中，确定模块，可以包括通信单元和确定单元；通信单元，用于向第四网络功能节点发送签约改变请求消息，以及接收第四网络功能节点发送签约改变请求响应消息，该签约改变请求响应消息携带有第二网络功能节点的标识或地址；确定单元，用于根据签约改变请求响应消息确定第二网络功能节点。

上述查询消息可以携带网络功能名和/或网络类型，以及，用户标识和/或第一网络功能节点的位置信息；上述签约改变请求消息可以携带网络功能名和/或网络类型，以及，用户标识和/或第一网络功能节点的位置信息。

在一种示例中，上述确定模块，可以包括通信单元、存储单元和确定单元；通信单元，用于接收第四网络功能节点发送的签约数据管理签约消息，签约数据管理签约消息携带第二网络功能节点的标识或地址；存储单元，用于根据签约数据管理签约消息存储第二网络功能节点的标识或地址；确定单元，用于根据存储的第二网络功能节点的标识或地址确定第二网络功能节点。

在一种示例中，上述装置还可以包括认证模块，用于通过第四网络功能节点执行主认证过程。

本实施例提供的签约数据更新装置用于实现图5、图6、图7、图8、图9所示实施例的签约数据更新方法，其实现原理和技术效果类似，此处不再赘述。

图13是本申请实施例提供的另一种签约数据更新装置。如图13所示，该装置可以包括：接收模块1301、确定模块1302、发送模块1303；其中，接收模块，用于接收第一网络功能节点发送的查询消息；确定模块，用于根据查询消息确定第二网络功能节点；发送模块，用于向第一网络功能节点发送查询响应消息，查询响应消息中携带有第二网络功能节点的标识或地址。

，上述查询消息携带有网络功能名和/或网络类型，以及，用户标识和/或第一网络功能节点的位置信息。

本实施例提供的签约数据更新装置用于实现图10所示实施例的签约数据更新方法，其实现原理和技术效果类似，此处不再赘述。

图14是本申请实施例提供的另一种签约数据更新装置。如图14所示，该装置可以包括：确定模块1401、发送模块1402；其中，确定模块，用于确定第二网络功能节点；发送模块，用于向第一网络功能节点发送消息，该消息中携带有第二网络功能节点的标识或地址。

可选地，上述确定模块可以包括通信单元，以及查询单元；通信单元，用于接收第一网络功能节点发送的签约改变请求消息，签约改变请求消息中携带有用户标识；查询单元，用于根据用户标识查询第二网络功能节点。

本实施例提供的签约数据更新装置用于实现图11所示实施例的签约数据更新方法，其实现原理和技术效果类似，此处不再赘述。

图15为本申请实施例提供的一种网络节点的结构示意图。如图15所示，该网络节点包括处理器1501和存储器1502；网络节点中处理器1501的数量可以是一个或多个，图15中以一个处理器1501为例；网络节点中的处理器1501和存储器1502可以通过总线或其他方式连接，图15中以通过总线连接为例。

存储器1502作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本申请图5-图11任一实施例中的方法对应的程序指令/模块。处理器1501通过运行存储在存储器1502中的软件程序、指令以及模块实现上述的图5-图11实施例中的方法。

存储器1502可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据机顶盒的使用所创建的数据等。此外，存储器1502可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。

在一种示例中，在可能的情况下，上述节点中的处理器也可以通过其内部的逻辑电路、门电路等硬件电路实现上述的签约数据更新方法。

本申请实施例还提供了一种可读写存储介质，用于计算机存储，存储介质存储有一个或者多个程序，在一个或者多个程序可被一个或者多个处理器执行时，可以实现如图5-图11任一实施例所提供的方法。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。

在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由多个物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于随机存取存储器(Random Access Memory，RAM)、只读存储器(Read-Only Memory，ROM)、电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、闪存或其他存储器技术、光盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、数字多功能盘(Digital Video Disk，DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

以上参照附图仅说明了本申请的示例性实施例而已，并非因此局限本申请的权利范围。本领域技术人员不脱离本申请的范围和实质内所作的任何修改、等同替换和改进，均应在本申请的权利范围之内。

Claims

一种签约数据更新方法，包括：

在第一网络功能节点确定用户的用户身份认证和密钥管理架构AKMA签约数据更新的情况下，所述第一网络功能节点确定存储所述用户的AKMA上下文的第二网络功能节点；

所述第一网络功能节点向所述第二网络功能节点发送签约数据管理通知消息；

所述第一网络功能节点接收所述第二网络功能节点发送的签约数据管理通知响应消息；

其中，所述签约数据管理通知响应消息是所述第二网络功能节点根据所述签约数据管理通知消息删除所述用户的AKMA上下文后发送的。
根据权利要求1所述的方法，其中，所述第一网络功能节点确定存储所述用户的AKMA上下文的第二网络功能节点，包括：

所述第一网络功能节点根据本地配置确定所述第二网络功能节点；

或者，所述第一网络功能节点通过第三网络功能节点确定所述第二网络功能节点；

或者，所述第一网络功能节点通过第四网络功能节点确定所述第二网络功能节点。
根据权利要求2所述的方法，其中，所述第一网络功能节点根据本地配置确定所述第二网络功能节点，包括：

所述第一网络功能节点根据用户标识的部分字段确定所述第二网络功能节点。
根据权利要求2所述的方法，其中，所述第一网络功能节点通过第三网络功能节点确定所述第二网络功能节点，包括：

所述第一网络功能节点向所述第三网络功能节点发送查询消息；

所述第一网络功能节点接收所述第三网络功能节点根据所述查询消息发送的查询响应消息，其中，所述查询响应消息中携带有所述第二网络功能节点的标识或地址；

所述第一网络功能节点根据所述查询响应消息确定所述第二网络功能节点。
根据权利要求2所述的方法，其中，所述第一网络功能节点通过第四网络功能节点确定所述第二网络功能节点，包括：

所述第一网络功能节点向所述第四网络功能节点发送签约改变请求消息；

所述第一网络功能节点接收所述第四网络功能节点发送的签约改变请求响应消息，其中，所述签约改变请求响应消息携带有所述第二网络功能节点的标识或地址；

所述第一网络功能节点根据所述签约改变请求响应消息确定所述第二网络功能节点。
根据权利要求4所述的方法，其中，所述查询消息携带所述第二网络功能节点的网络功能名和所述第二网络功能节点的网络类型中的至少之一，以及，用户标识和所述第一网络功能节点的位置信息中的至少之一。
根据权利要求5所述的方法，其中，所述签约改变请求消息携带所述第二网络功能节点的网络功能名和所述第二网络功能节点的网络类型中的至少之一，以及，用户标识和所述第一网络功能节点的位置信息中的至少之一。
根据权利要求2所述的方法，其中，所述第一网络功能节点通过第四网络功能节点确定所述第二网络功能节点，包括：

所述第一网络功能节点接收所述第四网络功能节点发送的签约数据管理签约消息，所述签约数据管理签约消息携带所述第二网络功能节点的标识或地址；

所述第一网络功能节点根据所述签约数据管理签约消息存储所述第二网络功能节点的标识或地址；

所述第一网络功能节点根据所述第一网络功能节点存储的所述第二网络功能节点的标识或地址确定所述第二网络功能节点。
根据权利要求8所述的方法，在所述第一网络功能节点接收所述第四网络功能节点发送的签约数据管理签约消息之前，还包括：

所述第一网络功能节点通过所述第四网络功能节点执行主认证过程。
一种签约数据更新方法，包括：

第三网络功能节点接收第一网络功能节点发送的查询消息；

所述第三网络功能节点根据所述查询消息确定第二网络功能节点；

所述第三网络功能节点向所述第一网络功能节点发送查询响应消息，所述查询响应消息中携带有所述第二网络功能节点的标识或地址。
根据权利要求10所述的方法，其中，所述查询消息携带所述第二网络功能节点的网络功能名和所述第二网络功能节点的网络类型中的至少之一，以及，用户标识和所述第一网络功能节点的位置信息中的至少之一。
一种签约数据更新方法，包括：

第四网络功能节点确定第二网络功能节点；

所述第四网络功能节点向第一网络功能节点发送消息；

其中，所述消息中携带有所述第二网络功能节点的标识或地址。
根据权利要求12所述的方法，其中，所述第四网络功能节点确定第二网络功能节点，包括：

所述第四网络功能节点接收所述第一网络功能节点发送的签约改变请求消息，所述签约改变请求消息中携带用户标识；

所述第四网络功能节点根据所述用户标识查询所述第二网络功能节点。
一种签约数据更新装置，包括：

确定模块，设置为在确定用户的用户身份认证和密钥管理架构AKMA签约数据更新的情况下，确定存储所述用户的AKMA上下文的第二网络功能节点；

发送模块，设置为向所述第二网络功能节点发送签约数据管理通知消息；

接收模块，设置为接收所述第二网络功能节点发送的签约数据管理通知响应消息；

其中，所述签约数据管理通知响应消息是所述第二网络功能节点根据所述签约数据管理通知消息删除所述用户的AKMA上下文后发送的。
一种签约数据更新装置，包括：

接收模块，设置为接收第一网络功能节点发送的查询消息；

确定模块，设置为根据所述查询消息确定第二网络功能节点；

发送模块，设置为向所述第一网络功能节点发送查询响应消息，所述查询响应消息中携带有所述第二网络功能节点的标识或地址。
一种签约数据更新装置，包括：

确定模块，设置为确定第二网络功能节点；

发送模块，设置为向第一网络功能节点发送消息；

其中，所述消息中携带有所述第二网络功能节点的标识或地址。
一种网络功能节点，包括：处理器，所述处理器执行计算机程序时，实现如权利要求1-9任一项所述的签约数据更新方法，或者，如权利要求10-11任一项所述的签约数据更新方法，或者，如权利要求12-13任一项所述的签约数据更新方法。
一种可读写存储介质，所述可读写存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-9任一项所述的签约数据更新方法，或者，如权利要求10-11任一项所述的签约数据更新方法，或者，如权利要求12-13任一项所述的签约数据更新方法。