用于在按需网络中进行设置制造技术

根据实施例，用户设备

【技术实现步骤摘要】
【国外来华专利技术】用于在按需网络中进行设置、认证、授权和用户设备(UE)密钥生成和分发的方法和装置
[0001]相关申请的交叉引用
[0002]本专利申请要求于
2021
年5月7日提交的专利技术名称为“在按需网络中进行设置
、
认证和授权的方法和装置
(Methods and Apparatus for Provisioning,Authentication,and Authorization in an On
‑
Demand Network)”的第
63/185,826
号美国临时申请和于
2021
年5月7日提交的专利技术名称为“在按需网络中进行用户设备密钥生成和分发的方法和装置
(Methods and Apparatus for User Equipment Key Generation and Distribution in an On
‑
Demand Network)”的第
63/185,837
号美国临时申请的优先权，这些申请通过引用的方式并入本文中，如全文再现一般
。


[0003]本专利技术大体上涉及用于无线通信的方法和装置，并且在特定实施例中，涉及用于在按需网络中进行设置
、
认证
、
授权和用户设备
(user equipment
，
UE)
密钥生成和分发的方法和装置
。

技术介绍

[0004]无线网络作为不断发展的服务生态系统的一部分，需要不断发展，以满足各种新兴应用或服务
。3GPP SA1 WG
已经开始了一项关于按需网络的新研究
。
按需网络包括个人物联网
(internet of things
，
IoT)
网络
(personal IoT network
，
PIN)。PIN
类似于非常小的专用网络，但可以以更动态和更灵活的方式部署
。
大多数
PIN
可以部署在家庭或小型企业场所，用于消费者
IoT
设备，例如家庭自动化设备
、
可穿戴设备
、
电表等，并可快速设置以进行持续时间较短的部署
。PIN
和按需网络支持运营商不同的
UE
加入
。UE
所有者可以是彼此的朋友，也可以是团体的一部分
。
但是，缺乏快速
、
自动地对
UE
进行认证和授权以使
UE
访问按需网络的机制
。
此外，目前按需网络不支持运营商不同的
UE
与按需网络安全通信，也不支持与按需网络中的其它
UE
通信
。

技术实现思路

[0005]通过本专利技术的实施例，通常实现了技术优势，这些实施例描述了用于在按需网络中进行设置
、
认证
、
授权和用户设备
(UE)
密钥生成和分发的方法和装置
。
[0006]根据实施例，用户设备
(UE)
接收访问凭证消息
。
访问凭证消息指示
UE
要访问的按需网络的访问凭证
。
访问凭证消息还指示访问凭证的有限使用寿命
。UE
向按需网络发送认证和授权请求
。
认证和授权请求包括关于访问凭证的信息
。UE
从按需网络接收认证和授权响应
。UE
基于认证和授权响应与按需网络建立会话
。
[0007]在一些实施例中，按需网络可以属于不同于
UE
的归属运营商的运营商
。
在一些实施例中，访问凭证消息还可以包括实体信息，实体信息指示执行认证和授权的一个或多个实体
。
认证和授权请求可以包括实体信息
。
在一些实施例中，一个或多个实体可以包括以下
中的至少一个：按需网络的实体；应用服务器，
UE
通过访问按需网络使用应用服务器的一个或多个服务；第三方实体；或
UE
的归属网络的实体
。
在一些实施例中，实体信息可以指示处理认证的第一实体和处理授权的第二实体
。
第二实体可以不同于第一实体
。
在一些实施例中，访问凭证消息还可以指示凭证类型和凭证所有者
。
凭证所有者可以是以下中的一个：按需网络；应用服务器，
UE
通过访问按需网络使用应用服务器的一个或多个服务；第三方实体；或
UE
的归属网络
。
在一些实施例中，
UE
可以响应于
UE
与
UE
的归属网络进行认证或
UE
与应用服务器进行认证而接收访问凭证消息，其中，
UE
通过访问按需网络使用应用服务器的一个或多个服务
。
在
UE
访问按需网络之前或期间，
UE
可以接收访问凭证消息
。
在一些实施例中，
UE
可以从
UE
的归属网络或从应用服务器接收访问凭证消息，其中，
UE
通过访问按需网络使用应用服务器的一个或多个服务，而无需
UE
请求获得关于访问按需网络的访问凭证的信息
。
在一些实施例中，
UE
可以从
UE
的归属网络或从应用服务器接收访问凭证消息，其中，
UE
通过访问按需网络使用应用服务器的一个或多个服务，并且，
UE
请求获得关于访问按需网络的访问凭证的信息
。
在一些实施例中，关于访问凭证的信息可以包括访问凭证或访问凭证的标识符
。
[0008]根据实施例，按需网络的网络实体接收认证和授权请求，认证和授权请求包括关于访问凭证的信息
。UE
接收访问凭证消息，访问凭证消息指示
UE
要访问的按需网络的访问凭证
。
访问凭证消息还指示访问凭证的有限使用寿命
。
网络实体向
UE
发送认证和授权响应
。
网络实体基于认证和授权响应与
UE
建立会话
。
[0009]在一些实施例中，按需网络可以属于不同于
UE
的归属运营商的运营商
。
在一些实施例中，访问凭证消息还可以包括实体信息，实体信息指示执行认证和授权的一个或多个实体
。
认证和授权请求可以包括实体信息
。
在一些实本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种方法，包括：用户设备
UE
接收访问凭证消息，所述访问凭证消息指示所述
UE
要访问的按需网络的访问凭证，所述访问凭证消息还指示所述访问凭证的有限使用寿命；所述
UE
向所述按需网络发送认证和授权请求，所述认证和授权请求包括关于所述访问凭证的信息；所述
UE
从所述按需网络接收认证和授权响应；所述
UE
基于所述认证和授权响应与所述按需网络建立会话
。2.
根据权利要求1所述的方法，其特征在于，所述按需网络属于不同于所述
UE
的归属运营商的运营商
。3.
根据权利要求1所述的方法，其特征在于，所述访问凭证消息还包括实体信息，所述实体信息指示执行认证和授权的一个或多个实体，并且，所述认证和授权请求包括所述实体信息
。4.
根据权利要求3所述的方法，其特征在于，所述一个或多个实体包括以下中的至少一个：所述按需网络的实体；应用服务器，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务；第三方实体；或所述
UE
的归属网络的实体
。5.
根据权利要求3所述的方法，其特征在于，所述实体信息指示处理所述认证的第一实体和处理所述授权的第二实体，所述第二实体不同于所述第一实体
。6.
根据权利要求1所述的方法，其特征在于，所述访问凭证消息还指示凭证类型和凭证所有者，所述凭证所有者是以下中的一个：所述按需网络；应用服务器，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务；第三方实体；或所述
UE
的归属网络
。7.
根据权利要求1所述的方法，其特征在于，所述
UE
响应于所述
UE
与所述
UE
的归属网络进行认证或所述
UE
与应用服务器进行认证而接收所述访问凭证消息，其中，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务，并且，在所述
UE
访问所述按需网络之前或期间，所述
UE
接收所述访问凭证消息
。8.
根据权利要求1所述的方法，其特征在于，所述
UE
从所述
UE
的归属网络或从应用服务器接收所述访问凭证消息，其中，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务，而无需所述
UE
请求获得关于访问所述按需网络的所述访问凭证的所述信息
。9.
根据权利要求1所述的方法，其特征在于，所述
UE
从所述
UE
的归属网络或从应用服务器接收所述访问凭证消息，其中，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务，并且，所述
UE
请求获得关于访问所述按需网络的所述访问凭证的所述信息
。10.
根据权利要求1至9中任一项所述的方法，其特征在于，关于所述访问凭证的所述信息包括所述访问凭证或所述访问凭证的标识符
。11.
一种方法，包括：用户设备
UE
从按需网络接收关于至少一个密钥集的密钥信息，所述至少一个密钥集是基于所述按需网络的信息和所述
UE
用于访问所述按需网络的访问凭证生成的，所述至少一个密钥集包括第一密钥集，所述第一密钥集包括第一密钥对，所述第一密钥对包括第一密码密钥
CK
和第一完整性密钥
IK
；所述
UE
使用所述第一密钥集与所述按需网络和所述按需网络内的其它
UE
进行通信
。12.
根据权利要求
11
所述的方法，其特征在于，所述按需网络属于不同于所述
UE
的归属
运营商的运营商
。13.
根据权利要求
11
所述的方法，其特征在于，关于所述至少一个密钥集的所述密钥信息包括所述至少一个密钥集，或者，关于所述至少一个密钥集的所述密钥信息包括所述
UE
用于生成所述至少一个密钥集的至少一个参数
。14.
根据权利要求
13
所述的方法，其特征在于，所述至少一个参数包括所述
UE
用于生成新密钥的参数，所述参数包括由所述按需网络生成的随机数，作为只使用一次的随机数
。15.
根据权利要求
14
所述的方法，其特征在于，公钥由所述按需网络
、
所述
UE
的归属网络或应用服务器提供，其中，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务
。16.
根据权利要求
13
所述的方法，其特征在于，所述至少一个参数包括所述至少一个密钥集的有限使用寿命，其中，所述有限使用寿命包括开始时间和结束时间中的至少一个
。17.
根据权利要求
13
所述的方法，其特征在于，所述
UE
在接收刷新消息之前向所述按需网络发送刷新请求
。18.
根据权利要求
11
所述的方法，其特征在于，所述密钥信息还指示所述至少一个密钥集的有限使用寿命
。19.
根据权利要求
18
所述的方法，其特征在于，所述至少一个密钥集的所述有限使用寿命包括开始时间或结束时间中的至少一个
。20.
根据权利要求
11
所述的方法，其特征在于，所述第一密钥集中的所述第一密钥对由所述
UE
用于与所述按需网络的控制平面进行通信，所述第一密钥集还包括第二密钥对，所述第二密钥对包括所述
UE
用于与所述按需网络的数据平面进行通信的第二
CK
和第二
IK。21.
根据权利要求
20
所述的方法，其特征在于，所述至少一个密钥集还包括第三密钥集，所述第三密钥集包括所述
UE
用于所述按需网络内的组通信的第三
CK
和第三
IK
，所述第三密钥集是特定于组的，所述至少一个密钥集还包括第四密钥集，所述第四密钥集包括所述
UE
用于与所述按需网络中的第二
UE
进行通信的第四
CK
和第四
IK。22.
根据权利要求
11
所述的方法，还包括：所述
UE
接收密钥刷新消息，其中，所述密钥刷新消息包括用于刷新所述至少一个密钥集的刷新信息，所述密钥刷新消息使用所述第一密钥集加密并进行完整性校验，并且，所述密钥刷新消息包括至少一个新密钥集，或者，所述密钥刷新消息包括所述
UE
用于生成所述至少一个新密钥集的至少一个刷新参数；所述
UE
使用所述至少一个新密钥集与所述按需网络进行通信
。23.
根据权利要求
11
至
22
中任一项所述的方法，还包括：在所述接收所述密钥信息之前，所述
UE
向所述按需网络发送认证和授权请求，所述认证和授权请求包括关于所述访问凭证的信息，所述认证和授权请求还包括所述
UE
的公钥，其中，关于所述至少一个密钥集的所述密钥信息通过所述按需网络使用所述公钥进行加密，并且其中，所述
UE
使用所述
UE
的私钥对关于所述至少一个密钥集的所述密钥信息进行解密
。24.
一种方法，包括：按需网络的网络实体从用户设备
UE
接收认证和授权请求，所述认证和授权请求包括关于访问凭证的信息，其中，所述
UE
接收访问凭证消息，所述访问凭证消息指示所述
UE
要访问
的所述按需网络的所述访问凭证，所述访问凭证消息还指示所述访问凭证的有限使用寿命；所述网络实体向所述
UE
发送认证和授权响应；所述网络实体基于所述认证和授权响应与所述
UE
建立会话
。25.
根据权利要求
24
所述的方法，其特征在于，所述按需网络属于不同于所述
UE
的归属运营商的运营商
。26.
根据权利要求
24
所述的方法，其特征在于，所述访问凭证消息还包括实体信息，所述实体信息指示执行认证和授权的一个或多个实体，并且，所述认证和授权请求包括所述实体信息
。27.
根据权利要求
26
所述的方法，其特征在于，所述一个或多个实体包括以下中的至少一个：所述按需网络的所述网络实体；应用服务器，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务；第三方实体；或所述
UE
的归属网络的实体
。28.
根据权利要求
26
所述的方法，其特征在于，所述实体信息指示处理所述认证的第一实体和处理所述授权的第二实体，所述第二实体不同于所述第一实体
。29.
根据权利要求
24
所述的方法，其特征在于，所述访问凭证消息还指示凭证类型和凭证所有者，所述凭证所有者是以下中的一个：所述按需网络；应用服务器，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务；第三方实体；或所述
UE
的归属网络
。30.
根据权利要求
24
所述的方法，其特征在于，所述
UE
响应于所述
UE
与所述
UE
的归属网络进行认证或所述
UE
与应用服务器进行认证而接收所述访问凭证消息，其中，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务，并且，在所述
UE
访问所述按需网络之前或期间，所述
UE
接收所述访问凭证消息
。31.
根据权利要求
24
所述的方法，其特征在于，所述
UE
从所述
UE
的归属网络或从应用服务器接收所述访问凭证消息，其中，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务，而无需所述
UE
请求获得关于访问所述按需网络的所述访问凭证的所述信息
。32.
根据权利要求
24
所述的方法，其特征在于，所述
UE
从所述
UE
的归属网络或从应用服务器接收所述访问凭证消息，其中，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务，并且，所述
UE
请求获得关于访问所述按需网络的所述访问凭证的所述信息
。33.
根据权利要求
24
至
32
中任一项所述的方法，其特征在于，关于所述访问凭证的所述信息包括所述访问凭证或所述访问凭证的标识符
。34.
一种方法，包括：按需网络的网络实体向用户设备
UE
发送关于至少一个密钥集的密钥信息，所述至少一个密钥集是基于所述按需网络的信息和所述
UE
用于访问所述按需网络的访问凭证生成的，所述至少一个密钥集包括第一密钥集，所述第一密钥集包括第一密钥对，所述第一密钥对包括第一密码密钥
CK
和第一完整性密钥
IK
；所述网络实体使用所述第一密钥集与所述
UE
进行通信
。35.
根据权利要求
34
所述的方法，其特征在于，所述按需网络属于不同于所述
UE
的归属运营商的运营商
。36.
根据权利要求
34
所述的方法，其特征在于，关于所述至少一个密钥集的所述密钥信息包括所述至少一个密钥集，或者，关于所述至少一个密钥集的所述密钥信息包括所述
UE
用于生成所述至少一个密钥集的至少一个参数
。37.
根据权利要求
36
所述的方法，其特征在于，所述至少一个参数包括所述
UE
用于生成新密钥的参数，所述参数包括由所述按需网络生成的随机数，作为只使用一次的随机数
。38.
根据权利要求
37
所述的方法，其特征在于，公钥由所述按需网络
、
所述
UE
的归属网络或应用服务器提供，其中，
UE
通过访问所述按需网络使用所述应用服务器的一个或多个服务
。39.
根据权利要求
36
所述的方法，其特征在于，所述至少一个参数包括所述至少一个密钥集的有限使用寿命，其中，所述有限使用寿命包括开始时间和结束时间中的至少一个
。40.
根据权利要求
36
所述的方法，其特征在于，所述
UE
在接收刷新消息之前向所述按需网络发送刷新请求
。41.
根据权利要求
34
所述的方法，其特征在于，所述密钥信息还指示所述至少一个密钥集的有限使用寿命
。42.
根据权利要求
41
所述的方法，其特征在于，所述至少一个密钥集的所述有限使用寿命包括开始时间或结束时间中的至少一个
。43.
根据权利要求
34
所述的方法，其特征在于，所述第一密钥集中的所述第一密钥对由所述
UE
用于与所述按需网络的控制平面进行通信，所述第一密钥集还包括第二密钥对，所述第二密钥对包括所述
UE
用于与所述按需网络的数据平面进行通信的第二
CK
和第二
IK。44.
根据权利要求
43
所述的方法，其特征在于，所述至少一个密钥集还包括第三密钥集，所述第三密钥集包括所述
UE
用于所述按需网络内的组通信的第三
CK
和第三
IK
，所述第三密钥集是特定于组的，所述至少一个密钥集还包括第四密钥集，所述第四密钥集包括所述
UE
用于与所述按需网络中的第二
UE
进行通信的第四
CK
和第四
IK。45.
根据权利要求
34
所述的方法，还包括：所述网络实体向所述
UE
发送密钥刷新消息，其中，所述密钥刷新消息包括用于刷新所述至少一个密钥集的刷新信息，所述密钥刷新消息使用所述第一密钥集加密并进行完整性校验，并且，所述密钥刷新消息包括至少一个新密钥集，或者，所述密钥刷新消息包括所述
UE
用于生成所述至少一个新密钥集的至少一个刷新参数；所述网络实体使用所述至少一个新密钥集与所述
UE
进行通信
。46.
根据权利要求
34
至
45
中任一项所述的方法，还包括：在所述发送所述密钥信息之前，所述网络实体从所述
UE
接收认证和授权请求，所述认证和授权请求包括关于所述访问凭证的信息，所述认证和授权请求还包括所述
UE
的公钥，其中，关于所述至少一个密钥集的所述密钥信息通过所述按需网络使用所述公钥进行加密，并且其中，所述
UE
使用所述
UE
的私钥对关于所述至少一个密钥集的所述密钥信息进行解密
。47.
一种用户设备
UE
，包括：至少一个处理器；存储程序的非瞬时性计算机可读存储介质，所述程序包括指令，所述指令当由所述至少一个处理器执行时，使所述
UE
进行以下操作：接收访问凭证消息，所述访问凭证消息指示所述
UE
要访问的按需网络的访问凭证，所述访问凭证消息还指示所述访问凭证的有限使用寿命；
向所述按需网络发送认证和授权请求，所述认证和授权请求包括关于所述访问凭证的信息；从所述按需网络接收认证和授权响应；基于所述认证和授权响应与所述按需网络建立会话
。48.
根据权利要求
47
所述的
UE
，其特征在于，所述按需网络属于不同于所述
UE
的归属运营商的运营商
。4...

【专利技术属性】
技术研发人员：马库斯，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：