用于应用的认证和密钥管理的密钥改变通知制造技术

由第一网络节点执行的方法包括传送第一预订请求消息，所述第一预订请求消息指示预订以接收无线装置的认证状态中改变的通知的请求。接收第一通知消息。所述第一通知消息包括所述无线装置的所述认证状态中改变的指示。所述无线装置的所述认证状态中改变的指示。所述无线装置的所述认证状态中改变的指示。

【技术实现步骤摘要】
【国外来华专利技术】用于应用的认证和密钥管理的密钥改变通知


[0001]本公开一般涉及无线通信，以及更特别涉及用于应用的认证和密钥管理（AKMA）的密钥改变通知的系统和方法。

技术介绍

[0002]第三代合作伙伴项目（3GPP）发行版16引入了称作应用的认证和密钥管理（AKMA）的新特征，以基于第五代（5G）中的3GPP凭证来支持应用和3GPP服务的认证和密钥管理方面，包括物联网（IoT）用例。最新的TS是3GPP TS 33.535 v. 0.2.0，伴随正在进行的修订。
[0003]它针对利用认证和密钥协定（AKA）凭证来引导用户设备（UE）与应用功能（AF）之间的安全性，这允许UE与应用服务器安全地交换数据。这可被看作是5G的通用引导架构（GBA）的演进。本文中，术语AF又可称作AKMA AF。
[0004]图1示出如3GPP TS 35.535 v. 0.2.0中公开的AKMA的典型网络架构。
[0005]AKMA锚功能（AAnF）是AKMA所引入的新逻辑实体。具体来说，与GBA中的引导服务器功能（BSF）相似，AAnF是归属公共陆地移动网络（HPLMN）中的锚功能，以用于在UE与AF之间所使用的密钥材料生成。AAnF保持UE AKMA上下文以便用于后续引导请求。
[0006]AKMA重复使用UE注册期间所执行的5G主认证过程的结果来认证UE。这称作隐式引导。在这个过程中，AUSF是负责生成和存储诸如下面描述的K
AUSF
和K
AKMA
之类的密钥材料的网络功能（NF）。
[0007]图2示出包括以下密钥的AKMA密钥层次结构：K
AUSF
、K
AKMA
、K
AF
，如3GPP TS 33.535 v. 0.2.0中所公开。术语可定义如下：
•ꢀ
K
AUSF
：根密钥，作为主认证过程的输出，并且被存储在UE & AUSF中；附加地，AUSF能够报告结果，以及生成作为统一数据管理（UDM）中的主认证结果的输出的K
AUSF
的AUSF实例，如3GPP TS 33.501 v. 16.0.0中所定义。
[0008]•ꢀ
K
AKMA
：锚密钥，由移动设备（ME）和AUSF从K
AUSF
来得出，并且由AAnF用于AKMA中使用的进一步密钥材料生成；K
AKMA
密钥标识符标识K
AKMA
密钥，并且该密钥标识符也是得出的值。
[0009]•ꢀ
K
AF
：AF特定密钥，又可简单地称作应用密钥，由ME和AAnF从K
AKMA
来得出，并且由UE和AKMA AF用来安全地交换数据。
[0010]图3示出UE与应用之间的安全会话建立。如所示的，通信会话的建立的先决条件是K
AKMA
标识符（K
AKMA
ID）的主认证和建立。然后，为了发起与AKMA AF的通信，UE发送会话建立请求，该会话建立请求在消息中包括所得出的K
AKMA
ID。AF然后通过在会话建立请求中提供至少K
AKMA
ID和AF标识符从AAnF请求应用特定密钥。进一步，AAnF向AUSF发送请求，以获得特定于UE的K
AKMA
。AAnF然后从K
AKMA
得出K
AF
，并且经由密钥响应来响应AKMA AF，该密钥响应包括K
AF
、又称作KAF_exptime的到期时间以及由AAnF所使用以便得出新K
AF
的新鲜度参数。AF在响应消息（图3中的应用会话建立响应）中将KAF_exptime和新鲜度参数转发到UE。可选地，AF完整性采用使用K
AF
所计算的消息认证码（MAC）来保护响应。UE接收响应，并且使用新鲜度
参数以及AAnF通常使用的其他参数，以便得出与AAnF相同的K
AF
（以及被提供给AF的相同K
AF
）。如果响应消息包括MAC，则它使用新得出的K
AF
来检验响应消息的完整性。
[0011]然后基于K
AF
在UE与应用之间建立安全通信。
[0012]基于运营商的策略，K
AKMA
应该使用隐式生存期，以及K
AF
应该使用显式生存期。
[0013]K
AKMA
将是有效的，直到下一个主认证被执行，在此情况下，K
AKMA
在成功新认证之后被替换或者在不成功新认证之后被移除。
[0014]虽然基于配置参数或运营商策略为K
AF
指定生存期，但是需要刷新过程，以便在得出新K
AKMA
之前K
AF
生存期耗尽的情况下基于相同K
AKMA
来获得新K
AF
。在新K
AKMA
被建立的情况下，K
AF
能够继续被使用，直到其生存期到期。当K
AF
生存期到期时，基于新K
AKMA
来建立新K
AF
。
[0015]某些问题存在。例如，如上所述的，AKMA使用K
AKMA
的隐式生存期和K
AF
的显式生存期在UE与网络之间执行隐式引导。但是，AKMA AF不知道K
AKMA
何时不再有效和/或已被替换。
[0016]作为另一个示例，可能存在不同主认证过程期间所生成并且被存储在不同AUSF实例中的多个K
AKMA
。但是，只有一个AUSF实例保持给定的UE的最新的K
AKMA
，并且只有最新的K
AKMA
应当用于AKMA过程。
[0017]因此，关于AUSF如何能够确定它所存储的K
AKMA
是否为最新的K
AKMA
和/或仍然有效的问题存在。附加地，关于AAnF如何能够确定AAnF从AUSF所取的密钥材料是否为最新的密钥材料并且仍然有效的问题存在。

技术实现思路

[0018]本公开的某些方面及其实施例可提供对这些或其他难题的解决方案。例如，根据某些实施例，通知过程被提供，以使各种网络节点和元件能够确定K
AKMA
是否仍然有效和/或已被替换。
[0019]根据某些实施例，一种由第一网络节点进行的方法包括传送第一预订（subscription）请求消息，所述第一预订请求消息指示预订以接收无线装置的认证状态中改变的通知的请求。所述第一网络节点接收第一通知消息，所述第一通知消息包括无线装置的认证状态中改变的指示。
[0020]根据某些实施例，一种第一网络节点包括处理电路，所述处理电路配置成传本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种由第一网络节点（160）所执行的方法（1000），所述方法包括：传送第一预订请求消息，所述第一预订请求消息指示预订以接收无线装置（110）的认证状态中改变的通知的请求；以及接收第一通知消息，所述第一通知消息包括所述无线装置的所述认证状态中改变的指示。2.如权利要求1所述的方法，其中，所述第一网络节点正作为应用的认证和密钥管理锚功能AAnF进行操作，以及所述第一预订请求消息被传送到作为统一数据管理UDM进行操作的第二网络节点（160）。3.如权利要求1至2中的任一项所述的方法，其中，从UDM或认证服务器功能AUSF接收所述第一通知消息。4.如权利要求1所述的方法，其中，所述第一网络节点正作为AAnF进行操作，以及所述第一预订请求消息被传送到作为AUSF进行操作的第二网络节点。5.如权利要求4所述的方法，其中，从作为所述AUSF进行操作的所述第二网络节点接收所述第一通知消息。6.如权利要求4所述的方法，其中，经由所述AUSF从作为UDM进行操作的第三网络节点接收所述第一通知消息。7.如权利要求4至6中的任一项所述的方法，进一步包括基于所述第一通知消息来发起应用功能密钥K
AF
刷新过程。8.如权利要求1所述的方法，其中，所述第一网络节点正作为应用的认证和密钥管理应用功能AKMA AF进行操作，以及所述预订请求消息被传送到作为AAnF进行操作的第二网络节点。9.如权利要求1所述的方法，其中，所述第一网络节点正作为AUSF进行操作，以及所述第一预订请求消息被传送到作为UDM进行操作的第二网络节点。10.如权利要求9所述的方法，其中，从作为所述UDM进行操作的所述第二网络节点接收所述第一通知消息。11.如权利要求1至10中的任一项所述的方法，其中，所述第一预订请求消息包括Nudm_UEAuth_ResultStatusSubscribe消息，所述Nudm_UEAuth_ResultStatusSubscribe包括UE标识符。12.如权利要求1至11中的任一项所述的方法，其中，所述第一通知消息指示在所述无线装置与网络的第一主认证期间所生成的锚密钥K
AKMA
已被替换为在所述无线装置与所述网络的第二主认证期间所生成的新K
AKMA
。13.如权利要求12所述的方法，其中，所述第一通知消息包括新锚密钥标识符K
AKMA
ID，所述K
AKMA
ID关联于在所述无线装置与所述网络的所述第二主认证期间所生成的所述新K
AKMA
。14.如权利要求12至13中的任一项所述的方法，其中，所述第一通知消息包括关联于所述无线装置与所述网络的主认证的用户设备UE认证时间戳。15.如权利要求12至14中的任一项所述的方法，进一步包括向所述通知消息中指示的AUSF传送对所述新K
AKMA
的请求。16.如权利要求15所述的方法，进一步包括从所述AUSF接收对所述新K
AKMA
的所述请求的响应，所述响应将所述新K
AKMA
ID与所述新K
AKMA
关联。
17.如权利要求12至16中的任一项所述的方法，其中，所述第一通知消息指示在所述无线装置与网络的第一主认证期间所生成的K
AKMA
不再有效。18.如权利要求17所述的方法，其中，所述K
AKMA
因所述无线装置与所述网络的不成功第二主认证而不再有效，所述第二主认证在第一主认证的执行之后被尝试。19.如权利要求12至16中的任一项所述的方法，其中，所述第一通知消息包括与运行了所述第二主认证的AUSF标识符AUSF ID关联的信息，和/或当所述第二主认证成功时，与K
AKMA
ID关联的信息关联于在所述无线装置与归属网络的第一主认证期间所生成的K
AKMA
。20.如权利要求12至19中的任一项所述的方法，进一步包括删除在所述无线装置与所述归属网络的所述第一主认证期间所生成的所述K
AKMA
。21.如权利要求1至20所述的方法，进一步包括从第三网络节点接收第二预订请求消息，所述第二预订请求消息指示所述第三网络节点预订以接收无线装置的认证状态中改变的通知的请求。22.如权利要求21所述的方法，其中，所述第一网络节点正作为AAnF进行操作，并且所述第三网络节点正作为AF进行操作，以及其中所述第二预订请求指示所述AF接收所述无线装置的所述认证状态中改变的通知的所述请求。23.如权利要求22所述的方法，其中，所述第一通知消息和所述第二通知消息经由网络开放功能NEF被传送。24.如权利要求21至23中的任一项所述的方法，其中，在传送所述第一预订请求消息之前从所述第三网络节点接收所述第二预订请求消息，并且其中响应于接收所述第二预订请求消息而传送所述第一预订请求消息。25.如权利要求21至24中的任一项所述的方法，进一步包括：获得指示所述无线装置的所述认证状态中的所述改变的信息；以及向所述第三网络节点传送第二通知消息，所述第二通知消息指示所述无线装置的所述认证状态中的所述改变。26.如权利要求25所述的方法，其中，所述第二通知消息指示在所述无线装置与网络的第一主认证期间所生成的K
AF
已被替换为在所述无线装置与所述网络的第二主认证期间所生成的新K
AF
。27.如权利要求26所述的方法，其中，所述第二通知消息包括在所述无线装置与所述网络的所述第二主认证期间所生成的所述新K
AF
以及K
AF
ID。28.如权利要求26至27中的任一项所述的方法，...

【专利技术属性】
技术研发人员：王成，D，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：