用于应用认证和密钥管理的密钥材料生成优化制造技术

一种由无线设备(110)执行的方法包括：确定从网络节点(160)接收的第一消息是否包括应用认证和密钥管理(AKMA)密钥指示符，以及基于第一消息是否包括AKMA指示符，确定是否生成AKMA密钥材料以用于与网络的认证过程。AKMA密钥材料以用于与网络的认证过程。AKMA密钥材料以用于与网络的认证过程。

【技术实现步骤摘要】
【国外来华专利技术】用于应用认证和密钥管理的密钥材料生成优化


[0001]本公开一般涉及无线通信，并且更特别地，涉及用于应用认证和密钥管理(AKMA)的密钥材料生成优化的系统和方法。

技术介绍

[0002]第3代合作伙伴计划(3GPP)第16版引入了被称为应用认证和密钥管理(AKMA)的新功能，以支持基于第5代(5G)中的3GPP凭证的用于应用和3GPP服务的认证和密钥管理方面，包括物联网(IoT)用例。最新的TS是正在进行修订的3GPP TS 33.535 v.0.2.0。
[0003]它旨在利用认证和密钥协议(AKA)凭证来引导用户设备(UE)与应用功能(AF)之间的安全性，这允许UE安全地与应用服务器交换数据。这可以被视为用于5G的通用引导架构(GBA)的演进。在本文中，术语AF也可以被称为AKMA AF。
[0004]图1示出了如在3GPP TS 35.535 v.0.2.0中公开的用于AKMA的典型网络架构。
[0005]AKMA锚功能(AAnF)是由AKMA引入的新逻辑实体。具体地，与GBA中的引导服务器功能(BSF)一样，AAnF是归属公共陆地移动网络(HPLMN)中的用于在UE与AF之间使用的密钥材料生成的锚功能。AAnF维持UE AKMA上下文以用于后续的引导请求。
[0006]AKMA重用在UE注册期间执行的5G主认证过程的结果来认证UE。这被称为隐式引导。在该过程中，认证服务器功能(AUSF)是负责生成和存储密钥材料(诸如K
AUSF
和K
AKMA
)的网络功能(NF)，如下文所描述的。如在本文所使用的，术语NF可以包括(作为示例)AUSF、AAnF、网络开放功能(NEF)、接入和移动性管理功能(AMF)、AF或任何其他网络功能。
[0007]图2示出了AKMA密钥层次结构，它包括以下密钥：K
AUSF
、K
AKMA
、K
AF
，如在3GPP TS 33.535v.0.2.0中所公开的。术语可以如下定义：
[0008]·
K
AUSF
:根密钥，作为主认证过程的输出并被存储在UE和AUSF中；此外，AUSF可以报告结果，并且生成K
AUSF
作为主认证的输出的AUSF实例导致统一数据管理(UDM)，如在3GPP TS 33.501 v.16.0.0中所定义的。
[0009]·
K
AKMA
：锚密钥，其由移动设备(ME)和AUSF从K
AUSF
导出，并且由AAnF用于在AKMA中使用的进一步密钥材料生成；K
AKMA
密钥标识符标识K
AKMA
密钥，并且也是导出值。
[0010]·
K
AF
：AF特定密钥(也可以简称为应用密钥)由ME和AAnF从K
AKMA
导出，并且由UE和AKMA AF用于安全地交换数据。
[0011]图3示出了UE与应用之间的安全会话建立。如所描绘的，建立通信会话的先决条件是主认证和K
AKMA
标识符(K
AKMA
ID)的建立。然后，为了发起与AKMA AF的通信，UE发送会话建立请求，该请求在消息中包括导出的K
AKMA
ID。然后，AF通过在会话建立请求中至少提供K
AKMA
ID和AF标识符来向AAnF请求应用特定密钥。进一步地，AAnF向AUSF发送请求以获得特定于UE的K
AKMA
。然后，AAnF从K
AKMA
导出K
AF
，并经由密钥响应来向AKMA AF响应，该密钥响应包括K
AF
、期满时间(也称为KAF_exptime)和由AAnF使用的新鲜度参数以导出新鲜的K
AF
。AF在响应消息(图3中的应用会话建立响应)中向UE转发KAF_exptime和新鲜度参数)。可选地，AF用使用K
AF
计算的消息认证码(MAC)来对响应进行完整性保护。UE接收该响应，并使用新鲜度参数和
AAnF常用的其他参数以便导出与AAnF的相同的K
AF
(以及被提供给AF的相同K
AF
)。如果响应消息包括MAC，则它使用新导出的K
AF
来验证响应消息的完整性。
[0012]然后，基于K
AF
在UE与应用之间建立安全通信。
[0013]在启动标准化规范工作之前，在3GPP TR 33.835 v.16.0.0中研究了AKMA，该TR推荐使用隐式引导的解决方案#15、#19和#23的思想作为AKMA认证过程的基础。详细地，推荐重用(如在解决方案#19、#23和解决方案#15中的子选项中描述的)K
AUSF
作为规范工作的基础。
[0014]3GPP TR 33.835 v.16.0.0中的解决方案#15还包括以下方面作为对统一数据管理(UDM)的可能影响：
[0015]‑
跟踪AKMA密钥的新参数将要由AUSF导出；
[0016]‑
潜在地将AKMA使用情况传递给AUSF和UE(除非它是静态配置的)。
[0017]最后，关于AKMA密钥是按需生成的(当AAnF需要时)还是预先生成的密钥(就在执行每次主认证之后)的细节留给规范工作。3GPP TS 33.535 v.0.2.0尚未覆盖该区域。
[0018]通用引导架构(GBA)
[0019]在3GPP TS 33.220 v.16.0.0中引入了GBA，以引导认证和密钥协议用于应用安全，诸如例如以使得网络中的应用功能和在用户侧能够建立共享密钥。
[0020]图4示出了用于GBA的简单网络模型。
[0021]在UE与BSF之间执行相互认证。因此，在UE与BSF之间导出引导密钥材料。而且，由BSF生成引导事务标识符(B
‑
TID)。B
‑
TID提供对引导事务和其导出的GBA密钥材料的引用。所引导的GBA密钥材料进一步被用于保护UE对网络应用功能(NAF)的访问。
[0022]当UE发起与应用功能的通信时，它在消息中包括B
‑
TID。然后，应用功能向BSF请求应用特定密钥，并以B
‑
TID作为输入。进一步地，BSF定位与B
‑
TID对应的GBA密钥材料，BSF从中导出AF特定密钥并向AF响应。
[0023]然后，基于AF特定密钥在UE与应用之间启用安全通信。
[0024]经由UDM控制面过程的UE参数更新
[0025]经由UDM控制面过程的UE参数更新(为了简洁起见，在本文中称为UPU)是在3GPP TS 23.502 v.16.2.0中引入的功能，以支持在UE已成功注册到5G网络之后UE参数更新数据从UD本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种由作为统一数据管理UDM节点操作的网络节点(160)执行的方法，所述方法包括：接收与无线设备(110)的认证请求消息相关联的第一消息；基于与所述无线设备相关联的签约信息，生成包括认证响应消息的第二消息，所述第二消息包括应用认证和密钥管理AKMA密钥指示符以触发所述无线设备生成AKMA密钥材料；以及发送包括所述认证响应消息的所述第二消息以触发所述无线设备生成所述AKMA密钥材料。2.根据权利要求1所述的方法，其中，所述第一消息发起无线设备与网络的认证过程。3.根据权利要求2所述的方法，其中，所述认证过程包括所述无线设备的主认证过程。4.根据权利要求1至3中的任一项所述的方法，其中，所述AKMA密钥指示符包括用于触发所述无线设备生成所述AKMA密钥材料的AKMA密钥材料生成标志。5.根据权利要求1至4中的任一项所述的方法，其中，所述AKMA密钥材料包括应用认证和密钥管理锚密钥K
AKMA
。6.根据权利要求5所述的方法，其中，所述AKMA密钥材料包括K
AKMA
标识符K
AKMA
ID，并且其中，所述K
AKMA
和所述K
AKMA
ID是基于K
AUSF
导出的。7.根据权利要求1至6中的任一项所述的方法，其中：从作为认证服务器功能AUSF操作的第二网络节点接收所述第一消息，以及所述第二消息被发送到作为所述AUSF操作的所述第二网络节点。8.根据权利要求1至7中的任一项所述的方法，还包括：在从所述无线设备接收所述第一消息之前，从NF接收第三消息，所述第三消息包括与所述无线设备相关联的所述签约信息。9.一种由作为认证服务器功能AUSF操作的第一网络节点(160)执行的方法，所述方法包括：确定从第二网络节点(160)接收的第一消息是否包括应用认证和密钥管理AKMA密钥指示符；以及基于所述第一消息是否包括所述AKMA指示符，确定是否生成AKMA密钥材料。10.根据权利要求9所述的方法，其中：确定所述第一消息是否包括所述AKMA密钥指示符包括：确定所述第一消息包括所述AKMA密钥指示符；以及所述方法还包括：基于所述第一消息中的所述AKMA密钥指示符，生成所述AKMA密钥材料。11.根据权利要求9所述的方法，其中：确定所述第一消息是否包括所述AKMA密钥指示符包括：确定所述第一消息不包括所述AKMA密钥指示符；以及所述方法还包括：基于所述第一消息不包括所述AKMA密钥指示符，确定不生成所述AKMA密钥材料以用于与网络的认证过程。12.根据权利要求9至11中的任一项所述的方法，其中，所述第二网络节点包括统一数据管理UDM节点。
13.根据权利要求9至12中的任一项所述的方法，还包括：向无线设备(110)发送包括所述AKMA密钥指示符的第二消息，以触发所述无线设备生成所述AKMA密钥材料。14.根据权利要求9至13中的任一项所述的方法，其中，所述AKMA密钥材料包括应用认证和密钥管理锚密钥K
AKMA
。15.根据权利要求14所述的方法，其中：所述AKMA密钥材料包括与无线设备相关联的K
AKMA
标识符K
AKMA
ID，以及所述K
AKMA
和所述K
AKMA
ID是基于K
AUSF
导出的。16.根据权利要求9至15中的任一项所述的方法，其中，所述AKMA密钥指示符包括AKMA密钥材料生成标志。17.一种由无线设备(110)执行的方法，所述方法包括：响应于确定需要发起与应用功能AF的通信会话，生成应用认证和密钥管理锚密钥K
AKMA
；以及向所述AF发送用于发起所述通信会话的请求。18.根据权利要求17所述的方法，其中，在执行与网络的主认证过程之后，确定需要发起与所述AF的所述通信会话。19.根据权利要求18所述的方法，还包括：在执行所述主认证过程期间，生成根密钥K
AUSF
。20.根据权利要求19所述的方法，还包括：基于所述K
AUSF
生成所述K
AKMA
和K
AKMA
标识符K
AKMA
ID。21.根据权利要求17至19中的任一项所述的方法，还包括：基于在所述无线设备中或在所述无线设备处存储的签约信息，确定生成K
AKMA
。22.一种作为统一数据管理UDM节点操作的网络节点(160)，所述网络节点包括：处理电...

【专利技术属性】
技术研发人员：王成，D，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：