密钥的管理方法和装置制造方法及图纸

本申请实施例提供一种密钥的管理方法和装置，包括：AUSF或者UDM获取第一指示信息，并向UE发送该第一指示信息，该第一指示信息用于指示UE存储K

【技术实现步骤摘要】
密钥的管理方法和装置
本申请实施例涉及通信技术，尤其涉及一种密钥的管理方法和装置。
技术介绍
为了保证用户设备(userequipment，UE)和接入网以及核心网之间通信的安全性，UE和网络之间需要进行鉴权和密钥协商(AuthenticationandKeyAgreement，AKA)流程，AKA流程为一个双向鉴权流程，包括用户鉴权和网络鉴权。用户鉴权是指网络对用户进行鉴权，防止非法用户占用网络资源，网络鉴权是指用户对网络进行鉴权，防止用户接入了非法网络，被调取关键信息。在新空口(NewRadio，NR)系统中，常用的AKA鉴权方法包括基于第五代移动通信(5-generation5G)系统的AKA(以下简称5G-AKA)和基于可扩展的鉴权协议(ExtensibleAuthenticationProtocol，EAP)的AKA’(以下简称EAP-AKA’)。在漫游操作(SteeringofRoaming，SoR)流程中，网络侧和UE侧均需要用到在认证过程中生成安全密钥：KAUSF。现有技术中，网络侧可以根据UE的归属网络策略(policy)决策是否存储KAUSF，UE是否存储KAUSF是可选的。UE侧和网络侧针对同一密钥KAUSF的策略不一致，容易导致后续在使用该密钥时出现解密失败的问题。
技术实现思路
本申请实施例提供一种密钥的管理方法和装置，使得UE能够根据网络侧的指示存储KAUSF，保证UE的归属网络后续在更新UE信息时，能够使用与网络侧相同的KAUSF，保证更新流程的完成。本申请第一方面提供一种密钥的管理方法，包括：第一网元获取第一指示信息，所述第一指示信息用于指示用户设备UE存储安全密钥KAUSF，所述第一网元为认证服务功能AUSF或者统一数据管理UDM；所述第一网元向所述UE发送所述第一指示信息。一种示例性的方式中，所述方法还包括：所述第一网元获取第二指示信息，所述第二指示信息用于指示所述UE返回所述第一指示信息的确认信息；所述第一网元向所述UE发送所述第二指示信息。一种示例性的方式中，所述第一网元获取第一指示信息包括：所述第一网元根据策略生成所述第一指示信息。一种示例性的方式中，当所述第一网元为AUSF时，所述第一网元获取第一指示信息包括：所述AUSF接收所述UDM发送的所述第一指示信息。一种示例性的方式中，所述第一网元获取第二指示信息，包括：所述第一网元根据策略生成所述第二指示信息。一种示例性的方式中，当所述第一网元为AUSF时，所述第一网元获取第二指示信息，包括：所述AUSF接收所述UDM发送的所述第二指示信息。一种示例性的方式中，当所述第一网元为AUSF时，所述方法还包括：所述AUSF获取第一安全密钥KAUSF；所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。一种示例性的方式中，所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系，包括：当所述AUSF中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时，所述AUSF存储所述第一对应关系，其中，所述第一对应关系中的所述第一KAUSF的状态为第一状态；或者，当所述AUSF中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时，所述AUSF删除所述第二KAUSF，并存储所述第一对应关系，其中，所述第一对应关系中的所述第一KAUSF的状态为第一状态。一种示例性的方式中，所述第一网元对所述第一指示信息进行完整性保护，或者，对所述第一指示信息和所述第二指示信息进行完整性保护，得到第一完整性保护信息，包括：所述第一网元获取鉴权向量，所述鉴权向量中包括鉴权参数；所述第一网元对所述第一指示信息和第一鉴权参数进行哈希运算，得到第一哈希消息认证码HMAC，所述第一鉴权参数属于所述鉴权参数或者根据所述鉴权参数生成；或者，所述第一网元对所述第一指示信息、所述第一鉴权参数和所述第二指示信息进行哈希运算，得到第一HMAC；所述第一HMAC为所述第一完整性保护信息。一种示例性的方式中，所述第一网元对所述第二指示信息进行完整性保护，得到第二完整性保护信息，包括：所述第一网元获取鉴权向量，所述鉴权向量中包括鉴权参数；所述第一网元对所述第二指示信息和第一鉴权参数行哈希运算，得到第二HMAC，所述第二HMAC为所述第二完整性保护信息，所述第一鉴权参数属于所述鉴权参数或者根据所述鉴权参数生成。一种示例性的方式中，所述第一鉴权参数包括以下参数中的任意一个或者多个：加密秘钥CK’||完整性秘钥IK’、KAUSF、CK||IK、响应RES、RES*、期望响应XRES、XRES*，所述CK’||IK’是对所述CK||IK加密得到的，所述RES*是根据所述RES生成的，所述XRES*是根据所述XRES生成的。一种示例性的方式中，还包括：所述第一网元接收所述UE发送的第四完整性保护信息，所述第二完整性保护信息是所述UE根据所述第二指示信息进行完整性保护得到的；所述第一网元比较所述第二完整性保护信息和所述第四完整性保护信息；当所述第二完整性保护信息和所述第四完整性保护信息相同时，确认所述第二指示信息被所述UE成功接收到。本申请第二方面提供一种密钥的管理方法，包括：用户设备UE接收第一网元发送的第一指示信息，所述第一指示信息用于指示所述UE存储安全密钥KAUSF，所述第一网元为认证服务功能AUSF或者统一数据管理UDM；所述UE根据所述第一指示信息，存储第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。一种示例性的方式中，所述UE存储第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系，包括：当所述UE中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时，所述UE存储所述第一对应关系，其中，所述第一对应关系中的所述第一KAUSF的状态为第一状态；或者，当所述UE中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时，所述UE删除所述第二KAUSF，并存储所述第一对应关系，其中，所述第一对应关系中的所述第一KAUSF的状态为第一状态。一种示例性的方式中，所述方法还包括：所述UE接收所述第一网元发送的第二指示信息，所述第二指示信息用于指示所述UE返回所述第一指示信息的确认信息。一种示例性的方式中，所述UE根据所述第一指示信息和所述第一KAUSF所属的第一服务网络，存储所述第一KAUSF以及所述第一KAUSF与所述第一服务网络的第一对应关系之前，还包括：所述UE接收所述第一网元发送的第一完整性保护信息，所述第一完整性保护信息是所述第一网元根据所述本文档来自技高网...

【技术保护点】
1.一种密钥的管理方法，其特征在于，包括：/n第一网元获取第一指示信息，所述第一指示信息用于指示用户设备UE存储安全密钥K

【技术特征摘要】
1.一种密钥的管理方法，其特征在于，包括：
第一网元获取第一指示信息，所述第一指示信息用于指示用户设备UE存储安全密钥KAUSF，所述第一网元为认证服务功能AUSF或者统一数据管理UDM；
所述第一网元向所述UE发送所述第一指示信息。


2.根据权利要求1所述的方法，其特征在于，还包括：
所述第一网元获取第二指示信息，所述第二指示信息用于指示所述UE返回所述第一指示信息的确认信息；
所述第一网元向所述UE发送所述第二指示信息。


3.根据权利要求1所述的方法，其特征在于，所述第一网元获取第一指示信息包括：
所述第一网元根据策略生成所述第一指示信息。


4.根据权利要求1所述的方法，其特征在于，当所述第一网元为AUSF时，所述第一网元获取第一指示信息包括：
所述AUSF接收所述UDM发送的所述第一指示信息。


5.根据权利要求2所述的方法，其特征在于，所述第一网元获取第二指示信息，包括：
所述第一网元根据策略生成所述第二指示信息。


6.根据权利要求2所述的方法，其特征在于，当所述第一网元为AUSF时，所述第一网元获取第二指示信息，包括：
所述AUSF接收所述UDM发送的所述第二指示信息。


7.根据权利要求1-6任一项所述的方法，其特征在于，当所述第一网元为AUSF时，所述方法还包括：
所述AUSF获取第一安全密钥KAUSF；
所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。


8.根据权利要求7所述的方法，其特征在于，所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系，包括：
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时，所述AUSF存储所述第一对应关系，其中，所述第一对应关系中的所述第一KAUSF的状态为第一状态；或者，
当所述AUSF中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时，所述AUSF删除所述第二KAUSF，并存储所述第一对应关系，其中，所述第一对应关系中的所述第一KAUSF的状态为第一状态。


9.一种密钥的管理方法，其特征在于，包括：
用户设备UE接收第一网元发送的第一指示信息，所述第一指示信息用于指示所述UE存储安全密钥KAUSF，所述第一网元为认证服务功能AUSF或者统一数据管理UDM；
所述UE根据所述第一指示信息，存储第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。


10.根据权利要求9所述的方法，其特征在于，所述UE存储第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系，包括：
当所述UE中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时，所述UE存储所述第一对应关系，其中，所述第一对应关系中的所述第一KAUSF的状态为第一状态；或者，
当所述UE中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时，所述UE删除所述第二KAUSF，并存储所述第一对应关系，其中，所述第一对应关系中的所述第一KAUSF的状态为第一状态。


11.一种密钥的管理方法，其特征在于，包括：
用户设备UE完成与认证服务功能AUSF的认证，并生成第一安全密钥KAUSF；
所述UE存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。


12.根据权利要求11所述的方法，其特征在于，所述UE存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系，包括：
当所述UE中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时，所述UE存储所述第一对应关系，其中，所述第一对应关系中的所述第一KAUSF的状态为第一状态；或者，
当所述UE中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时，所述UE删除所述第二KAUSF，并存储所述第一对应关系，其中，所述第一对应关系中的所述第一KAUSF的状态为第一状态。


13.根据权利要求11或12所述的方法，其特征在于，还包括：
所述UE接收所述第一服务网络的接入管理功能AMF发送的安全模式命令SMC请求消息；
所述UE根据所述SMC请求消息，更新所述第一KAUSF的状态。


14.根据权利要求13所述的方法，其特征在于，所述UE根据所述SMC消息，更新所述第一KAUSF的状态，包括：
当所述UE中没有存储与所述第一服务网络对应并且状态为第二状态的第三KA...

【专利技术属性】
技术研发人员：李飞，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44