用于AKMA的路由指示符检索制造技术

提供了一种用于通信网络的认证服务器功能AUSF的方法。该方法包括发送第二认证请求，该第二认证请求包含与用户设备UE相关联的第一标识符或与该UE相关联的第二标识符，接收对该第二认证请求的响应，以及当该响应包含用于应用的认证和密钥管理AKMA指示符时：基于该响应中包含的第一字段来确定第一安全性密钥标识符。识符。识符。

【技术实现步骤摘要】
【国外来华专利技术】用于AKMA的路由指示符检索


[0001]本申请大体上涉及无线通信网络领域，并且更具体地涉及用于在通信网络中的用户设备(UE)和应用功能(AF)之间的安全通信的改进技术。

技术介绍

[0002]目前，第五代(“5G”)蜂窝系统，也称为新无线电(NR)，正在第三代合作伙伴计划(3GPP)中进行标准化。NR被开发用于最大的灵活性，以支持多种实质上不同的用例。除了典型的移动宽带使用用例以外，还有机器类型通信(MTC)、超低延迟关键通信(URLCC)、侧链路设备到设备(D2D)和其他几种使用用例。
[0003]3GPP安全工作组SA3在3GPP TS 33.501(v15.11.0)中指定了5G系统(5GS)的版本15(Rel
‑
15)的安全性相关特征。特别地，5GS包括许多需要引入新的安全性机制的新特征(例如，与早期的4G/LTE系统相比)。例如，5GS将非3GPP接入(例如，经由无线LAN)与3GPP接入(例如，NR和/或LTE)无缝集成在一起。因此，在5GS中，用户设备(UE，例如，无线设备)可以独立于底层无线电接入技术(RAT)来访问服务。
[0004]3GPP Rel
‑
16引入了一种名为用于应用的认证和密钥管理(AKMA)的新特征，该特征基于5G中的3GPP用户凭证，包括物联网(IoT)用例。更具体地，AKMA利用用户的认证和密钥协议(AKA)凭证来自举在UE和应用功能(AF)之间的安全性，这允许UE与应用服务器安全地交换数据。AKMA架构可以被认为是Relr/>‑
15中为5GC指定的通用自举架构(GBA)的演进，并且在3GPP TS 33.535(v.16.2.0)中被进一步规定。
[0005]如在3GPP TS 33.535(v.16.2.0)中进一步定义的，网络和UE导出K
AKMA
密钥和相关联的A
‑
KID，以及K
AF
密钥。K
AF
用于支持在UE和应用功能(AF)之间通信的安全性，A
‑
KID是用于导出K
AF
的根密钥(即，K
AKMA
)的AKMA密钥标识符。更具体地，A
‑
KID包括AKMA临时UE标识符(A
‑
TID)和与UE的归属网络(HPLMN)相关的路由信息。
[0006]订阅隐藏标识符(SUCI)在5G网络中用于隐藏和/或维护用户的订阅永久标识符(SUPI)的隐私。SUCI由各种字段组成，包括由用户的归属网络运营商分配并在UE中的USIM中提供的路由指示符。当与包含在SUCI中的归属网络标识符耦合时，路由指示符促进将信令路由到归属网络中可以为用户/订户服务的网络功能(NF)。
[0007]路由指示符对于生成A
‑
KID也是必要的。然而，可能存在各种场景，其中需要在UE认证期间生成A
‑
KID的NF不具有UE的路由指示符，从而导致不期望的AKMA过程的失败。

技术实现思路

[0008]因此，本公开的示例性实施例解决了与在5G(或更一般地，通信)网络中为UE生成安全性密钥相关联的这些和其他难题、问题和/或困难，从而促进了诸如AKMA之类的安全性特征的有利部署。
[0009]根据第一方面，提供了一种由通信网络的认证服务器功能AUSF执行的方法。该方法可以包括发送第二认证请求，该第二认证请求包含与用户设备UE相关联的第一标识符或
与该UE相关联的第二标识符，接收对该第二认证请求的响应，以及当该响应包含用于应用的认证和密钥管理AKMA指示符时：基于该响应中包括的第一字段(RID)来确定第一安全性密钥标识符。
[0010]根据一些实施例，该方法进一步包括导出用于所述UE的锚定密钥，并且向用于应用的认证和密钥管理的锚定功能AAnF发送包括所述锚定密钥和所述第一安全性密钥标识符的消息。在一些实施例中，该消息可以进一步包括所述第二标识符。
[0011]在一些实施例中，所述第二认证请求被发送到通信网络的统一数据管理功能UDM，并且从该UDM接收对所述第二认证请求的所述响应。
[0012]在一些实施例中，所述第一字段对应于所述第一标识符的字段。
[0013]在一些实施例中，该方法进一步包括向所述UDM发送包含所述第一标识符或所述第二标识符的所述第二认证请求，并且响应于所述第二认证请求从所述UDM接收包含所述第一字段的响应，其中，所述响应包含所述AKMA指示符和所述第一字段。
[0014]在一些实施例中，所述第一标识符是订阅隐藏标识符SUCI。
[0015]在一些实施例中，所述第二标识符是订阅永久标识符SUPI。
[0016]在一些实施例中，所述第一字段是与所述UE的归属网络相关联的路由指示符RID。
[0017]在一些实施例中，所述第一安全性密钥标识符是用于应用的认证和密钥管理AKMA密钥标识符A
‑
KID。
[0018]根据第二方面，提供了一种由通信网络的统一数据管理功能UDM执行的方法。该方法可以包括从通信网络的认证服务器功能AUSF接收针对用户设备UE的认证请求，该认证请求包含与所述UE相关联的第一标识符或与该UE相关联的第二标识符，获取第一字段，以及响应于该认证请求，向AUSF发送用于应用的认证和密钥管理AKMA指示符和所述第一字段。
[0019]在一些实施例中，该方法进一步包括确定AKMA指示符是否应被包含在对所述认证请求的所述响应中，并且响应于所述AKMA指示符应被包括的确定，响应于该认证请求向所述AUSF发送AKMA指示符和所述第一字段。
[0020]在一些实施例中，该方法进一步包括，当所述认证请求包含所述第一标识符时，存储包含在所述第一标识符中的所述第一字段。
[0021]在一些实施例中，获取所述第一字段包括以下方式中的一种：从UE订阅数据或从所述UE先前的成功认证中检索所述第一字段的存储版本，或者对所述第二标识符执行去隐藏操作以生成包括所述第一字段的所述第一标识符。
[0022]在一些实施例中，所述第二标识符是订阅永久标识符SUPI。
[0023]在一些实施例中，所述第一标识符是订阅隐藏标识符SUCI。
[0024]在一些实施例中，所述第一字段是与所述UE的归属网络相关联的路由指示符RID。
[0025]根据第三方面，提供了一种由通信网络的用于应用的认证和密钥管理的锚定功能AAnF执行的方法。该方法可以包括从所述通信网络的认证服务器功能AUSF接收用户设备UE的锚定密钥和基于与所述UE相关联的第一标识符的第一字段的第一安全性密钥标识符，以及将所述锚定密钥与所述第一安全性密钥标识符相关联地存储。该方法可以进一步包括从与所述通信网络相关联的应用功能AF接收对与所述AF和所述UE之间的应用会话相关联的安全性密钥的请求，其中，该请求包含与所述UE相关联的第三安全性密钥标识符，并本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种由通信网络的认证服务器功能AUSF执行的方法，所述方法包括：发送包含与用户设备UE相关联的第一标识符或与所述UE相关联的第二标识符的第二认证请求；接收对所述第二认证请求的响应；以及当所述响应包含用于应用的认证和密钥管理AKMA指示符时：基于所述响应中包含的第一字段来确定第一安全性密钥标识符。2.根据权利要求1所述的方法，进一步包括：导出用于所述UE的锚定密钥；并且向用于应用的认证和密钥管理的锚定功能AAnF发送包含所述锚定密钥和所述第一安全性密钥标识符的消息。3.根据权利要求2所述的方法，其中，所述消息进一步包含所述第二标识符。4.根据前述权利要求中任一项所述的方法，其中，所述第二认证请求被发送到所述通信网络的统一数据管理功能UDM，并且其中，从所述UDM接收对所述第二认证请求的所述响应。5.根据前述权利要求中任一项所述的方法，其中，所述第一字段对应于所述第一标识符的字段。6.根据前述权利要求中任一项所述的方法，进一步包括：向所述UDM发送包含所述第一标识符或所述第二标识符的所述第二认证请求；以及响应于所述第二认证请求从所述UDM接收包含所述第一字段的所述响应；其中，所述响应包含所述AKMA指示符和所述第一字段。7.根据前述权利要求中任一项所述的方法，其中，以下项中的至少一项：所述第一标识是订阅隐藏标识符SUCI；所述第二标识是订阅永久标识符SUPI；所述第一字段是与所述UE的归属网络相关联的路由指示符RID；以及所述第一安全性密钥标识符是用于应用的认证和密钥管理AKMA密钥标识符A
‑
KID。8.一种由通信网络的统一数据管理功能UDM执行的方法，所述方法包括：从所述通信网络的认证服务器功能AUSF接收针对用户设备UE的认证请求，所述认证请求包含与所述UE相关联的第一标识符或与所述UE相关联的第二标识符；获取第一字段；以及响应于所述认证请求，向所述AUSF发送用于应用的认证和密钥管理AKMA指示符(AKMA Ind)以及所述第一字段。9.根据权利要求8所述的方法，进一步包括：确定是否应当将AKMA指示符包含在对所述认证请求的所述响应中；并且响应于应当包含所述AKMA指示符的确定，响应于所述认证请求向所述AUSF发送AKMA指示符和所述第一字段。10.根据权利要求8至9中任一项所述的方法，进一步包括：当所述认证请求包含所述第一标识符时，存储在所述第一标识符中包含的所述第一字段。11.根据权利要求8至10中任一项所述的方法，其中，获取所述第一字段包括以下步骤
中的一个：从UE订阅数据或从所述UE的先前成功认证中检索所述第一字段的存储版本；或对所述第二标识符执行去隐藏操作以生成包含所述第一字段的所述第一标识符。12.根据权利要求8至11中任一项所述的方法，其中：所述第二标识是订阅永久标识符SUPI；所述第一标识符是订阅隐藏标识符SUCI；以及所述第一字段是与所述UE的归属网络相关联的路由指示符RID。13.一种由通信网络的用于应用的认证和密钥管理的锚定功能AAnF执行的方法，所述方法包括：从所述通信网络的认证服务器功能AUSF接收用户设备UE的锚定密钥和基于与所述UE相关联的第一标识符的第一字段的第一安全性密钥标识符；将所述锚定密钥与所述第一安全性密钥标识符相关联地存储；从与所述通信网络相关联的应用功能AF接收对与所述AF和所述UE之间的应用会话相关联的安全性密钥的请求，其中，所述请求包含与所述UE相关联的第三安全性密钥标识符；以及基于确定所述第三安全性密钥标识符对应于所述存储的安全性密钥标识符，来基于与所接收的安全性密钥标识符相关联地存储的所述锚定密钥导出与所述应用会话相关联的所述性密钥。14.根据权利要求13所述的方法，进一步包括向所述AF发送所述导出的安全性密钥。15.根据权利要求13至14中任一项所述的方法，其中：所述第二标识是订阅永久标识符SUPI；所述第一标识是订阅隐藏标识符SUCI；所述第一字段是与所...

【专利技术属性】
技术研发人员：王成，D，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：