与第三方应用共享通信网络锚定加密密钥制造技术

利用通信网络的网络暴露功能，一种方法包括：基于从应用功能接收到的特定于给定用户设备的请求，生成至少一个应用层加密密钥；以及与应用功能共享应用层加密密钥。应用层加密密钥被配置为使应用功能和给定用户设备能够建立安全通信会话。立安全通信会话。立安全通信会话。

【技术实现步骤摘要】
【国外来华专利技术】与第三方应用共享通信网络锚定加密密钥


[0001]本领域总体涉及通信系统，并且更具体地，但非排他性地，涉及此类系统内的安全管理。

技术介绍

[0002]本节介绍可能有助于更好地理解本专利技术的各个方面。因此，本节的陈述应在这种角度下解读，而不应理解为承认何为现有技术中的内容或者何为非现有技术中的内容。
[0003]第四代(4G)无线移动电信技术，也称为长期演进(LTE)技术，被设计为提供具有高数据速率的高容量移动多媒体，特别是用于人类交互。下一代或第五代(5G)技术不仅旨在用于人类交互，还用于所谓的物联网(IoT)网络中的机器类型通信。
[0004]5G网络旨在实现海量IoT服务(例如，非常大量的有限容量设备)和关键任务IoT服务(例如，需要高可靠性)的同时，以针对移动设备提供改进的无线互联网接入的增强型移动宽带(eMBB)服务的形式支持对传统移动通信服务的改进。
[0005]在示例通信系统中，诸如移动终端(订户)的用户设备(5G网络中的5G UE，或更广泛地，UE)通过空中接口与5G网络中被称为gNB的基站或接入点通信。接入点(例如，gNB)说明性地是通信系统的接入网的一部分。例如，在5G网络中，接入网被称为5G系统，并且在题为“Technical Specification Group Services and System Aspects；System Architecture for the 5G System(技术规范组服务和系统方面；5G系统的系统架构)”的5G技术规范(TS)23.501，V15.4.0中进行了描述，其公开内容通过引用被整体并入本文。通常，接入点(例如，gNB)为UE提供到核心网(CN)的接入，然后，核心网为UE提供到其他UE和/或诸如分组数据网络(例如，互联网)的数据网络的接入。
[0006]TS 23.501继而定义了5G基于服务的架构(SBA)，该架构将服务建模为通过使用代表性状态转移应用编程接口(Restful API)来彼此通信的网络功能(NF)。
[0007]此外，题为“Technical Specification Group Services and System Aspects；Security Architecture and Procedures for the 5G System(技术规范组服务和系统方面；5G系统的安全架构和过程)”的5G技术规范(TS)33.501，V15.3.1进一步描述了与5G网络相关联的安全管理细节，其公开内容通过引用被整体并入本文。
[0008]在任何通信系统中，安全管理都是重要的考虑因素。例如，UE与第三方应用程序(“应用”)之间的通信安全是安全管理的一个示例。然而，此类通信的安全在现有的5G方法中提出了几个挑战。

技术实现思路

[0009]说明性实施例提供了用于通信系统中的安全管理的改进技术，特别是关于第三方应用。
[0010]例如，在根据给定用户设备的一个说明性实施例中，一种方法包括在向通信网络注册时生成至少一个应用层加密密钥。该至少一个应用层加密密钥对应于至少一个应用程
序。然后，该方法向应用程序发送会话建立请求，其中会话建立请求包括针对应用层加密密钥的标识符。
[0011]在根据通信网络的网络功能的另一实施例中，一种方法包括从应用程序接收应用层加密密钥请求。应用层加密密钥请求包括针对给定用户设备的标识符、针对应用层加密密钥的标识符和针对企业加密密钥的标识符。该方法将认证信息请求与针对给定用户设备的标识符一起发送至认证功能，然后从认证功能接收认证信息响应。然后，该方法至少部分地基于认证信息响应中的信息来生成应用层加密密钥，并将该应用层加密密钥发送给应用程序。
[0012]在根据通信网络的网络暴露功能的另一实施例中，一种方法包括基于从应用功能接收到的特定于给定用户设备的请求来生成至少一个应用层加密密钥，以及与应用功能共享该应用层加密密钥，其中该应用层加密密钥被配置为使该应用功能和该给定用户设备能够建立安全通信会话。
[0013]进一步的说明性实施例以非瞬态计算机可读存储介质的形式来提供，其中在该非瞬态计算机可读存储介质中实现有可执行程序代码，可执行程序代码在由处理器执行时，使处理器执行上述步骤。更进一步的说明性实施例包括具有处理器和存储器的装置，该处理器和存储器被配置为执行上述步骤。
[0014]从附图和下面的具体实施方式中，本文描述的实施例的这些和其他特征和优点将变得更加明显。
附图说明
[0015]图1示出了实现一个或多个说明性实施例的通信系统。
[0016]图2示出了根据说明性实施例的密钥管理参与者的处理架构。
[0017]图3示出了根据说明性实施例的与用户设备和第三方应用服务器之间的安全通信相关联的通信系统的网络功能。
[0018]图4示出了根据说明性实施例的密钥层级，其中通信网络的网络功能生成企业密钥，然后生成特定于应用的密钥。
[0019]图5示出了根据说明性实施例的通信网络中的两个参与者之间的加密密钥管理方法的一部分。
[0020]图6示出了根据说明性实施例的通信网络中的两个参与者之间的加密密钥管理方法的一部分。
[0021]图7示出了根据说明性实施例的通信网络中的两个参与者之间的加密密钥管理方法的一部分。
[0022]图8示出了根据说明性实施例的用于与第三方应用共享通信网络锚定加密密钥的加密密钥管理方法。
具体实施方式
[0023]本文将结合示例通信系统和用于在通信系统中提供安全管理(例如，加密密钥管理)的相关联技术来说明实施例。然而，应当理解，权利要求的范围不限于所公开的特定类型的通信系统和/或过程。实施例可以使用备选过程和操作在各种其他类型的通信系统中
实现。例如，尽管在利用诸如3GPP下一代系统(5G)的3GPP系统元件的无线蜂窝系统的上下文中示出，但是所公开的实施例可以以简单直接的方式适配到各种其他类型的通信系统。
[0024]根据在5G通信系统环境中实现的说明性实施例，一个或多个3GPP技术规范(TS)和技术报告(TR)提供了与一个或多个说明性实施例(例如，上述3GPP TS 23.501和3GPP TS 33.501)交互的用户设备和网络元件/功能和/或操作的进一步解释。其他3GPP TS/TR文档提供了本领域普通技术人员将理解的其他传统细节。然而，尽管说明性实施例非常适合于与上述5G相关的3GPP标准相关联的实现，但是备选实施例不必旨在限于任何特定标准。
[0025]此外，在本文中将在开放系统互连模型(OSI模型)的上下文中解释说明性实施例，开放系统互连模型是概念上表征通信系统(例如，5G网络)的通信功能的模型。OSI模型通常被概念化为层级堆栈，其中给定层服务于上一层，并由下一层提供服务。通常，OSI模型包括七层，堆栈的顶层是应用层(第7层)，然后是表示层(第6层)、会话层(第5层)、传输层(第4层)、网络层(第3层本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种装置，包括：至少一个处理器；至少一个存储器，包括计算机程序代码；所述至少一个存储器和所述计算机程序代码被配置为，与所述至少一个处理器一起，使所述装置至少：在向通信网络注册时生成至少一个应用层加密密钥，其中所述至少一个应用层加密密钥对应于至少一个应用程序；以及向所述应用程序发送会话建立请求，其中所述会话建立请求包括针对所述应用层加密密钥的标识符。2.根据权利要求1所述的装置，其中所述至少一个存储器和所述计算机程序代码还被配置为，与所述至少一个处理器一起，使所述装置至少：生成与托管所述应用程序的实体相关联的加密密钥；以及与针对所述应用层加密密钥的所述标识符一起，在所述会话建立请求中发送针对所述企业加密密钥的标识符。3.根据权利要求2所述的装置，其中所述至少一个存储器和所述计算机程序代码还被配置为，与所述至少一个处理器一起，使所述装置至少：与针对所述应用层加密密钥的所述标识符和针对所述企业加密密钥的所述标识符一起，在所述会话建立请求中发送针对所述装置的标识符。4.根据权利要求1所述的装置，其中所述至少一个存储器和所述计算机程序代码还被配置为，与所述至少一个处理器一起，使所述装置至少从所述应用程序接收会话建立响应。5.一种方法，包括：根据给定用户设备；在向通信网络注册时生成至少一个应用层加密密钥，其中所述至少一个应用层加密密钥对应于至少一个应用程序；以及向所述应用程序发送会话建立请求，其中所述会话建立请求包括针对所述应用层加密密钥的标识符；其中所述给定用户设备包括被配置为执行上述步骤的处理器和存储器。6.根据权利要求5所述的方法，还包括：生成与托管所述应用程序的实体相关联的加密密钥；以及与针对所述应用层加密密钥的所述标识符一起，在所述会话建立请求中发送针对企业加密密钥的标识符。7.根据权利要求6所述的方法，还包括：与针对所述应用层加密密钥的所述标识符和针对所述企业加密密钥的所述标识符一起，在所述会话建立请求中发送针对所述给定用户设备的标识符。8.根据权利要求5所述的方法，还包括从所述应用程序接收会话建立响应。9.一种包括非瞬态计算机可读存储介质的制品，所述非瞬态计算机可读存储介质中实现有可执行程序代码，所述可执行程序代码在由与给定用户设备相关联的处理器执行时，使所述给定用户设备执行根据权利要求5所述的步骤。10.一种装置，包括：
至少一个处理器；至少一个存储器，包括计算机程序代码；所述至少一个存储器和所述计算机程序代码被配置为，与所述至少一个处理器一起，使所述装置至少：从应用程序接收应用层加密密钥请求，其中所述应用层加密密钥请求包括针对给定用户设备的标识符、针对应用层加密密钥的标识符和针对企业加密密钥的标识符；与针对所述给定用户设备的所述标识符一起，将认证信息请求发送到认证功能；从所述认证功能接收认证信息响应；至少部分地基于所述认证信息响应中的信息来生成应...

【专利技术属性】
技术研发人员：S，
申请(专利权)人：诺基亚技术有限公司，
类型：发明
国别省市：