签约数据更新方法、装置、节点和存储介质制造方法及图纸

本申请公开一种签约数据更新方法、装置、节点和存储介质，该方法包括在第一网络功能节点确定用户的AKMA签约数据更新的情况下，第一网络功能节点确定存储用户的AKMA上下文的第二网络功能节点；第一网络功能节点向第二网络功能节点发送签约数据管理通知消息；第一网络功能节点接收第二网络功能节点发送的签约数据管理通知响应消息；其中，签约数据管理通知响应消息是第二网络功能节点根据签约数据管理通知消息删除用户的AKMA上下文后发送的。通过这样的设计方式，在用户签约数据发生更新的情况下，第二网络功能节点不保留AKMA相关的上下文，从而避免被攻击者滥用的情况。从而避免被攻击者滥用的情况。从而避免被攻击者滥用的情况。

【技术实现步骤摘要】
签约数据更新方法、装置、节点和存储介质
[0001]本申请是申请号为“202011111639.9”，申请日为“2020年10月16日”，题目为“签约数据更新方法、装置、节点和存储介质”的中国专利申请的分案申请。


[0002]本申请涉及无线通信
，尤其涉及一种签约数据更新方法、装置、节点和存储介质。

技术介绍

[0003]根据第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)标准工作组的定义，第五代移动通信技术(5th generation wireless systems，5G)系统包括5G无线接入子系统(5GRadio Access Network，5G RAN)、5G核心网子系统(5G Core，5GC)。如图1所示，5G系统的架构包括若干个网络功能(Network Function，NF)，其中，5G无线接入子系统包括新一代无线基站(New Radio，NR)，即无线接入点(Radio Access Node，(R)AN)。5G核心网子系统包括统一数据管理功能(Unified Data Management，UDM)、接入管理功能(Access Management Function，AMF)、会话管理功能(Session Management Function，SMF)、用户面功能(User Plane Function，UPF)、策略控制功能(Policy Control Function，PCF)、安全锚点功能(Security Anchor Function，SEAF)、认证服务器功能(Authentication Server Function，AUSF)和身份验证凭据存储库和处理功能(Authentication Credential Repository and Processing Function，ARPF)。目前，5G网络中包括有用户隐藏标识(Subscription Concealed Identifier，SUCI)和用户永久标识(Subscription Permanent Identifier，SUPI)，其中，SUPI可以包括国际移动用户识别码(International Mobile Subscriber Identification Number，IMSI)或网络接入标识(Network Access Identifier，NAI)。
[0004]图2是基于服务化架构的应用身份认证和密钥管理架构(Architecture for Authentication and Key Management for Applications，AKMA)示意图，其相对于5G网络系统引入了新的网络功能—AKMA密钥锚定功能(AKMA Anchor Function，AAnF)，AAnF位于归属网络，主要用于生成用户设备(User Equipment，UE)与应用功能(Application Function，AF)之间的会话秘钥，以及维护其与UE之间的安全上下文。AAnF与通用引导认证机制(General Bootstrapping Architecture，GBA)中的自举服务功能(Bootstrapping Server function，BSF)功能类似，同时UE与AF之间的接口Ua*也与GBA中的Ua接口近似，另外，图2中的Nnef、Nausf、Naanf和Namf分别为NEF、AUSF、AAnF和AMF的基于服务化接口。
[0005]图3是应用身份认证和密钥管理系统密钥推衍架构图，UE接入5G网络，通过5G
‑
认证和密钥协商(Authentication and Key Agreement，AKA)，即5G
‑
AKA，或者可扩展认证协议(Extensible Authentication Protocol)
‑
AKA
’
，即EAP
‑
AKA
’
，认证成功后，AUSF和UE产生密钥K
AUSF
，同时由密钥K
AUSF
推衍出AKMA锚定密钥K
AKMA
，ME和AAnF由密钥K
AKMA
推衍出应用密钥K
AF
，其中AUSF和AAnF均在归属网络中。
[0006]在现有技术中，通常以重用5G主认证流程(即上述5G
‑
AKA或EAP
‑
AKA
’
)的方式产生密钥K
AKMA
，当认证成功后，UE和AUSF由密钥K
AUSF
推衍产生AKMA锚定密钥K
AKMA
，在产生密钥K
AKMA
的同时也产生密钥K
AKMA
相关密钥标识A
‑
KID，那么密钥K
AKMA
也只能通过5G主认证流程进行更新。而现有AKMA技术为5G网络用户提供了用户到应用端到端的安全保护，若用户签约数据发生更新，则将会影响AKMA业务的使用，若AAnF继续保留AKMA相关的安全上下文，那么存在被攻击者滥用的可能性。

技术实现思路

[0007]本申请实施例的主要目的在于提出一种签约数据更新方法、装置、节点和存储介质，旨在在用户签约数据发生更新的情况下，第二网络功能节点不保留AKMA相关的上下文，从而避免被攻击者滥用的情况
[0008]为实现上述目的，本申请实施例提供了一种签约数据更新方法，该方法包括以下步骤：
[0009]在第一网络功能节点确定AKMA签约数据更新的情况下，第一网络功能节点确定存储用户的AKMA上下文的第二网络功能节点；
[0010]第一网络功能节点向第二网络功能节点发送签约数据管理通知消息；
[0011]第一网络功能节点接收第二网络功能节点发送的签约数据管理通知响应消息；
[0012]其中，签约数据管理通知响应消息是所述第二网络功能节点根据签约数据管理通知消息删除用户的AKMA上下文后发送的。
[0013]为实现上述目的，本申请实施例提供了一种签约数据更新方法，该方法包括以下步骤：
[0014]第三网络功能节点接收第一网络功能节点发送的查询消息；
[0015]第三网络功能节点根据查询消息确定第二网络功能节点；
[0016]第三网络功能节点向第一网络功能节点发送查询响应消息，查询响应消息中携带有第二网络功能节点的标识或地址。
[0017]为实现上述目的，本申请实施例提供了一种签约数据更新方法，该方法包括以下步骤：
[0018]第四网络功能节点确定第二网络功能节点；
[0019]第四网络功能节点向第一网络功能节点发送消息；
[0020]消息中携带有第二网络功能节点的标识或地址。
[0021]为实现上述目的，本申请实施例提供了一种签约数据更新装置，该装置包括：
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于无线通信方法，包括：第一网络功能节点确定存储用户的应用身份认证和密钥管理架构AKMA上下文的第二网络功能节点；所述第一网络功能节点向所述第二网络功能节点发送签约数据管理通知消息；所述第一网络功能节点接收所述第二网络功能节点发送的签约数据管理通知响应消息；其中，所述签约数据管理通知响应消息是所述第二网络功能节点根据所述签约数据管理通知消息删除所述用户的AKMA上下文后发送的。2.根据权利要求1所述的方法，其中，所述第一网络功能节点确定存储用户的AKMA上下文的第二网络功能节点，包括：所述第一网络功能节点根据本地配置确定所述第二网络功能节点；或者，所述第一网络功能节点通过第三网络功能节点确定所述第二网络功能节点。3.根据权利要求2所述的方法，其中，所述第一网络功能节点根据本地配置确定所述第二网络功能节点，包括：所述第一网络功能节点根据用户标识的部分字段确定所述第二网络功能节点。4.根据权利要求2所述的方法，其中，所述第一网络功能节点通过第三网络功能节点确定所述第二网络功能节点，包括：所述第一网络功能节点向所述第三网络功能节点发送查询消息；所述第一网络功能节点接收所述第三网络功能节点根据所述查询消息发送的查询响应消息，所述查询响应消息携带所述第二网络功能节点的标识或地址；所述第一网络功能节点根据所述查询响应消息确定所述第二网络功能节点。5.根据权利要求2所述的方法，其中，所述第一网络功能节点通过第三网络功能节点确定所述第二网络功能节点，包括：所述第一网络功能节点向所述第三网络功能节点发送签约改变请求消息；所述第一网络功能节点接收所述第三网络功能节点发送的签约改变请求响应消息，所述签约改变请求响应消息携带所述第二网络功能节点的标识或地址；所述第一网络功能节点根据所述签约改变请求响应消息确定所述第二网络功能节点。6.根据权利要求4所述的方法，其中，所述查询消息携带以下至少之一：所述第二网络功能节点的网络功能名、所述第二网络功能节点的网络类型、用户标识、所述第一网络功能节点的位置信息。7.根据权利要求5所述的方法，其中，所述签约改变请求消息携带所述第二网络功能节点的网络功能名和所述第二网络功能节点的网络类型中的至少之一种，以及，用户标识和所述第一网络功能节点的位置信息中的至少一种。8.根据权利要求2所述的方法，其中，所述第一网络功能节点通过第三网络功能节点确定所述第二网络功能节点，包括：所述第一网络功能节点接收所述第三网络功能节点发送的签约数据管理签约消息，所述签约数据管理签约消息携带所述第二网络功能节点的标识或地址；所述第一网络功能节点根据所述签约数据管理签约消息存储所述第二网络功能节点的标识或地址；
所述第一网络功能节点根据所述第一网络功能节点存储的所述第二网络功能节点的标识或地址确定所述第二网络功能节点。9.根据权利要求8所述的方法，其中，在所述第一网络功能节点接收所述第三网络功能节点发送的签约数据管理签约消息之前，所述方法还包括：所述第一网络功能节点通过所述第三网络功能节点执行主认证过程。10.一种第一网络功能节点，包括用于存储计算机指令的存储器以及与所述存储器通信的处理器，其中，当所述处理器执行所述计算机指令时，所述处理器被配置为使所述第一网络功能节点：确定存储用户的应用身份认证和密钥管理架构AKMA上下文的第二网络功能节点；向所述第二网络功能节点发送签约数据管理通知消息；接收所述第二网络功能节点发送的签约数据管理通知响应消息；其中，所述签约数据管理通知响应消息是所述第二网络功能节点根据所述签约数据管理通知消息...

【专利技术属性】
技术研发人员：游世林，蔡继燕，林兆骥，彭锦，刘宇泽，邢真，王继刚，刘敏，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：