密钥更新方法、网元、用户设备及存储介质技术

本申请提供一种密钥更新方法、网元、用户设备及存储介质。该方法在会话建立请求中携带的密钥标识对应的应用密钥无效的情况下，根据用户标识向第二网元发送应用密钥更新请求；根据所述应用密钥更新请求关联的消息确定更新的应用密钥。的应用密钥。的应用密钥。

【技术实现步骤摘要】
密钥更新方法、网元、用户设备及存储介质


[0001]本申请涉及无线通信网络
，例如涉及一种密钥更新方法、网元、用户设备及存储介质。

技术介绍

[0002]第五代移动通信(Fifth Generation，5G)网络架构由若干网络功能(Network Function，NF)构成。例如，统一数据管理功能(Unified Data Management，UDM)网元是用户签约数据的永久存放地点，位于用户签约的归属网；接入管理功能(Access Management Function，AMF)网元可对用户接入到网络的需求进行管理，负责设备到网络的NAS层(Non
‑
Access Stratum,非接入层)信令管理、用户移动性管理等功能；AMF网元还具有安全锚点功能(Security Anchor Function)，通过与身份认证服务功能(Authentication Server Function，AUSF)网元以及用户设备(User Equipment，UE)交互，接收为UE认证过程而建立的中间密钥(记为K
AMF
)和密钥集标识(Key Set Identity，KSI)，从AUSF获取安全相关数据等；应用功能(Application Function，AF)网元管理UE的会话。此外，5G网络架构还引入了应用身份认证和密钥管理服务(Authentication and Key Management for Applications，AKMA)密钥锚定功能(AKMA Anchor Function，AAnF)实体，AAnF实体位于归属网络，主要用于生成UE与AF实体之间的会话密钥，以及维护和UE之间的安全上下文。AKMA技术为5G网络提供了用户到应用的端到端的安全保护。
[0003]UE向AF发起应用会话建立请求后，AF可根据其中携带的密钥标识向AAnF请求获取对应的应用密钥，应用密钥由AAnF利用AKMA密钥和应用服务器标识生成，应用密钥的密钥生成函数参数中只涉及到应用服务器标识和AKMA密钥两个参数，在应用密钥无效的情况下，AF不能获得正确的应用密钥，应用会话无法安全进行，用户无法获得可靠的服务。

技术实现思路

[0004]本申请提供一种密钥更新方法、网元、用户设备及存储介质，以提高应用会话的可靠性和安全性。
[0005]本申请实施例提供一种密钥更新方法，应用于第一网元，包括：
[0006]在会话建立请求中携带的密钥标识对应的应用密钥无效的情况下，根据用户标识向第二网元发送应用密钥更新请求；
[0007]根据所述应用密钥更新请求关联的消息确定更新的应用密钥。
[0008]本申请实施例还提供了一种密钥更新方法，应用于第二网元，包括：
[0009]接收第一网元根据用户标识发送的应用密钥更新请求；
[0010]根据所述应用密钥更新请求发送更新应用密钥的指示信息。
[0011]本申请实施例还提供了一种密钥更新方法，应用于用户设备，包括：
[0012]接收更新应用密钥的指示信息；
[0013]根据所述指示信息更新无效的应用密钥。
[0014]本申请实施例还提供了一种网元，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述应用于第一网元或应用于第二网元的密钥更新方法。
[0015]本申请实施例还提供了一种用户设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述应用于用户设备的密钥更新方法。
[0016]本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该程序被处理器执行时实现上述的密钥更新方法。
附图说明
[0017]图1为一实施例提供的一种生成应用密钥的示意图；
[0018]图2为一实施例提供的一种密钥更新方法的流程图；
[0019]图3为一实施例提供的一种密钥更新方法的实现示意图；
[0020]图4为一实施例提供的另一种密钥更新方法的实现示意图；
[0021]图5为一实施例提供的另一种密钥更新方法的流程图；
[0022]图6为一实施例提供的又一种密钥更新方法的流程图；
[0023]图7为一实施例提供的一种密钥更新装置的结构示意图；
[0024]图8为一实施例提供的另一种密钥更新装置的结构示意图；
[0025]图9为一实施例提供的又一种密钥更新装置的结构示意图；
[0026]图10为一实施例提供的一种网元的硬件结构示意图；
[0027]图11为一实施例提供的一种用户设备的硬件结构示意图。
具体实施方式
[0028]下面结合附图和实施例对本申请进行说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本申请，而非对本申请的限定。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。另外还需要说明的是，为了便于描述，附图中仅示出了与本申请相关的部分而非全部结构。
[0029]在AKMA场景中，当UE接入5G网络，通过5G
‑
认证和密钥协商(Authentication and Key Agreement，AKA)，即5G
‑
AKA，或者可扩展认证协议(Extensible Authentication Protocol)
‑
AKA
’
，即EAP
‑
AKA
’
，成功认证后，在AUSF和移动设备(Mobile Equipment，简称ME)产生中间密钥(记为K
AUSF
)，由密钥K
AUSF
可推衍出AKMA锚定密钥K
AKMA
，并产生AKMA锚定密钥K
AKMA
相关密钥标识A
‑
KID。
[0030]图1为一实施例提供的一种生成应用密钥的示意图。如图1所示，UE(或ME)与AAnF首先完成主认证流程，由K
AUSF
推衍出K
AKMA
，并产生A
‑
KID。在此基础上，生成应用密钥的过程包括：
[0031]a.UE向应用AF发起应用会话建立请求，该请求携带UE生成的A
‑
KID。
[0032]b.如果AF没有查找到与A
‑
KID相关的上下文，且AF位于运营商网络中，则AF向AAnF发送密钥获取请求(Naanf_AKMA_ApplicationKey_Get Request)，该密钥获取请求携带AF收到的A
‑
KID以及AF自身的标识AF ID；如果AF属于第三方运用，位于运营商网络之外，则AF
可以通过网络开放功能(Network Exposure Function，NEF)向AAnF发送该密钥获取请本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密钥更新方法，应用于第一网元，其特征在于，包括：在会话建立请求中携带的密钥标识对应的应用密钥无效的情况下，根据用户标识向第二网元发送应用密钥更新请求；根据所述应用密钥更新请求关联的消息确定更新的应用密钥。2.根据权利要求1所述的方法，其特征在于，还包括：生成密钥更新参数，所述密钥更新参数携带在所述应用密钥更新请求中。3.根据权利要求2所述的方法，其特征在于，所述应用密钥更新请求关联的消息包括所述第二网元发送的应用密钥更新响应消息；所述根据所述应用密钥更新请求关联的消息确定更新的应用密钥，包括：在接收到所述第二网元发送的应用密钥更新响应消息的情况下，基于所述密钥更新参数确定更新的应用密钥。4.根据权利要求3所述的方法，其特征在于，所述基于所述密钥更新参数确定更新的应用密钥，包括：基于密钥产生函数，对所述密钥更新参数和无效的应用密钥进行运算，得到所述更新的应用密钥。5.根据权利要求2所述的方法，其特征在于，还包括：配置所述更新的应用密钥的有效期。6.根据权利要求2所述的方法，其特征在于，所述密钥更新参数为基于哈希函数生成的随机数。7.根据权利要求2所述的方法，其特征在于，所述根据用户标识向第二网元发送应用密钥更新请求，包括：在所述第一网元位于运营商网络之外的情况下，通过网络开放功能NEF网元向所述第二网元发送所述应用密钥更新请求。8.根据权利要求1所述的方法，其特征在于，所述应用密钥更新请求关联的消息包括用户设备重发的会话建立请求消息；所述根据所述应用密钥更新请求关联的消息确定更新的应用密钥，包括：根据所述重发的会话建立请求消息查询所述更新的应用密钥。9.根据权利要求8所述的方法，其特征在于，还包括：在接收到所述第二网元发送的应用密钥更新响应消息的情况下，向用户设备发送会话建立失败的消息。10.一种密钥更新方法，应用于第二网元，其特征在于，包括：接收第一网元根据用户标识发送的应用密钥更新请求；根据所述应用密钥更新请求发送更新应用密钥的指示信息。11.根据权利要求10所述的方法，其特征在于，所述根据所述应用密钥更新请求发送更新应用密钥的指示信息，包括：根据所述应用密钥更新请求向接入管理功能AMF网元发送用户数据管理通知，并通过所述AMF网元向所述用户设备发送下行非接入层传输消息。12.根据权利要求11所述的方法，其特征在于，所述应用密钥更新请求包括所述第一网元生成的密钥更新参数；
所述用户数据管理通知包括所述密钥更新参数；所述下行非接入层传输消息用于指示所述用户设备根据所述密钥更新参数更新所述应用密钥。13.根据权利要求12所述的方法，其特征在于，所述用户数据管理通知还包括确认信息的回送指示；所述方法还包括：接收所述AMF发送的用户数据管理响应消息，其中，所述用户数据管理响应消息由所述AMF在接收到所述用户设备的上行非接入层传输消息后发送，所述上行非接入层传输消息包括所述用户设备回送的确认信息；向所述第一网元发送应用密钥更新响应消息，所述应用密钥更新响应消息用于指示所述第一网元基于所述密钥更新参数确定更新的应用密钥。14.根据权利要求11所述的方法，其特征在于，所述用户数据管理通知包括重注册指示信息和应用密钥更新指示信息；所述下行非接入层传输消息用于指示...

【专利技术属性】
技术研发人员：游世林，刘宇泽，蔡继燕，邢真，彭锦，林兆骥，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：