【技术实现步骤摘要】
本申请一般地涉及无线通信网络领域,并且更具体地涉及用于认证通信网络中的用户设备(ue)的改进技术。
技术介绍
1、目前,第五代(“5g”)蜂窝系统,也称为新无线电(nr),正在第三代合作伙伴项目(3gpp)内进行标准化。针对最大的灵活性来开发nr,以支持多种并且实质上不同的用例。除了典型的移动宽带用例外,还有机器类型通信(mtc)、超低延迟关键通信(urlcc)、侧链路设备到设备(d2d)和其他几种用例。
2、3gpp安全工作组sa3在3gpp ts 33.501(v15.11.0)中指定了用于5g系统(5gs)的版本15(rel-15)的安全相关功能。特别地,5gs包括许多新特征(例如,与早期的4g/lte系统相比),其需要引入新的安全机制。例如,5gs将非3gpp接入(例如,经由无线lan)与3gpp接入(例如,nr和/或lte)一起无缝集成。如此,在5gs中,用户设备(ue,例如,无线设备)可以独立于底层无线电接入技术(rat)来接入服务。
3、3gpp rel-16引入了一种名为应用认证和密钥管理(akma)的新特征,该特征基于5g中的3gpp用户凭证,包括物联网(iot)用例。更具体地,akma利用用户的认证和密钥协议(aka)凭证来引导(bootstrap)ue与应用功能(af)之间的安全性,这允许ue与应用服务器安全地交换数据。akma架构可被认为是rel-15中为5gc规定的通用引导架构(gba)的演进,并且在3gpp ts 33.535(v.16.2.0)中被进一步规定。
4
5、3gpp rel-17关于“5gc中增强对边缘计算的支持的安全方面”的研究包括向边缘计算服务器认证ue身份的要求。3gpp ts23.558(v1.2.0)规定了使用ue id来标识ue的在边缘使能器客户端(eec)与边缘使能器服务器(ees)或边缘配置服务器(ecs)之间的不同交互。在3gpp ts 23.558的第7.2.6节中规定了ue id,其中唯一的示例是通用公共订阅标识符(gpsi)。
6、在akma的上下文中,另一个可能的ue id是上面讨论的a-kid,其可被视为临时ueid。然而,如针对rel-17所讨论的,使用a-kid来进行ue的认证存在各种难题、问题和/或困难。
技术实现思路
1、因此,本公开的示例性实施例解决了与针对应用会话认证ue相关联的这些和其他难题、问题和/或困难,从而促进了针对5g的安全sba的有利部署。
2、本公开的一些实施例包括由与通信网络相关联的应用功能(af)实施的示例性方法(例如,过程)。这些示例性方法可以通过任何适当类型的af来实施。
3、这些示例性方法可以包括:向通信网络的网络功能(nf)发送对与af和用户设备(ue)之间的应用会话相关联的安全密钥(kaf)的密钥请求。所述密钥请求可以包括对所述ue的第一标识符的请求或者所述ue的第二标识符。这些示例性方法还可以包括从所述nf接收包括所述安全密钥(kaf)和以下内容之一的响应:所述第一标识符,或者与所述第二标识符或所述第一标识符相关联的响应代码。这些示例性方法还可以包括:基于所述响应来针对所述应用会话认证所述ue。
4、在一些实施例中,针对所述应用会话认证所述ue可以基于以下之一:
5、·确定所述密钥请求中的所述第二标识符与所述响应中的所述第一标识符之间的匹配;
6、·所述响应代码指示所述第二标识符与被存储在所述通信网络中的所述ue的标识符相匹配;或者
7、·所述密钥请求包括所述第二标识符,并且所述响应中不存在所述响应代码。
8、在一些实施例中,这些示例性方法还可以包括:从所述ue接收对所述应用会话的建立请求。在这些实施例中的一些实施例中,所述第二标识符可以被包括在所述密钥请求中,并且以下内容之一适用:
9、·在所述建立请求中接收所述第二标识符;或者
10、·所述第二标识符被本地存储在所述af处。
11、在这些实施例中的一些实施例中,所述第二标识符可以是所述ue的通用公共订阅标识符(gpsi),并且在所述响应中接收的所述第一标识符可以是被存储在所述通信网络中的gpsi。在这些实施例中的一些实施例中,所述第二标识符可以是所述ue的订阅永久标识符(supi),并且在所述响应中接收的所述第一标识符可以是被存储在所述通信网络中的supi。在这些实施例中的一些实施例中,所述建立请求和所述密钥请求可以包括与所述ue相关联的安全密钥(kakma)的标识符(a-kid)。在一些实施例中,所述密钥请求可以包括所述af的标识符(例如,af_id)。
12、在一些实施例中,所述af可以是所述通信网络的一部分。在这样的实施例中,所述密钥请求可以被发送到所述通信网络中的用于应用认证和密钥管理的锚功能(aanf),并且从所述用于应用认证和密钥管理的锚功能(aanf)接收所述响应。在其他实施例中,所述af可以在所述通信网络外部。在这样的实施例中,所述密钥请求可以被发送到所述通信网络中的网络开放功能(nef),并且可以从所述网络开放功能(nef)接收所述响应。其他实施例包括由通信网络的网络开放功能(nef)实施的示例性方法(例如,过程)。
13、这些示例性方法可以包括:从所述通信网络外部的应用功能(af)接收对与所述af和用户设备(ue)之间的应用会话相关联的安全密钥(kaf)的密钥请求。所述密钥请求可以包括对所述ue的第一标识符的请求或者所述ue的第二标识符。这些示例性方法还可以包括向所述af发送包括所述安全密钥(kaf)和以下内容之一的响应:所述第一标识符,或者与所述第二标识符或所述第一标识符相关联的响应代码。
14、在一些实施例中,这些示例性方法还可以包括:确定所述ue的所述第一标识符是否被本地存储在所述nef处。在这样的实施例中,这些示例性方法还可以包括:基于确定所述ue的所述第一标识符被本地存储,确定从所述af接收的所述第二标识符是否与本地存储的第一标识符相匹配。在这种情况下,被发送到所述af的所述响应代码可以指示从所述af接收的所述第二标识符是否与本地存储的第一标识符相匹配。
15、在这些实施例中的一些实施例中,这些示例性方法还可以包括:基于确定所述第一标识符没有被本地存储,向所述通信网络中的aanf(例如,由所述nef选择)发送对所述安全密钥(kaf)的密钥请求,所述密钥请求包括以下之一:
16、·对所述ue的所述第一标识符的请求,
17、·从本文档来自技高网...
【技术保护点】
1.一种由与通信网络相关联的应用功能AF实施的方法,所述方法包括:
2.根据权利要求1所述的方法,还包括:从所述UE接收对所述应用会话的建立请求。
3.根据权利要求2所述的方法,其中,针对所述应用会话认证所述UE是基于以下内容之一:
4.根据权利要求2-3中任一项所述的方法,其中,所述第二标识符被包括在所述密钥请求中,并且以下内容之一适用:
5.根据权利要求2-4中任一项所述的方法,
6.根据权利要求2-5中任一项所述的方法,其中,所述建立请求和所述密钥请求包括与所述UE相关联的安全密钥KAKMA的标识符A-KID。
7.根据权利要求1-6中任一项所述的方法,其中,所述密钥请求包括所述AF的标识符。
8.根据权利要求1-7中任一项所述的方法,其中:
9.根据权利要求1-7中任一项所述的方法,其中:
10.一种由通信网络的网络开放功能NEF实施的方法,所述方法包括:
11.根据权利要求10所述的方法,还包括:确定所述UE的所述第一标识符是否被本地存储在所述NEF处
12.根据权利要求11所述的方法,其中:
13.根据权利要求11-12中任一项所述的方法,还包括:
14.根据权利要求13所述的方法,其中,所述响应代码指示以下内容之一与被存储在所述AAnF中的所述UE的标识符相匹配:
15.根据权利要求13所述的方法,其中,所述响应代码指示所述第一标识符对所述AF不可用。
16.根据实施例10所述的方法,其中:
17.根据实施例10所述的方法,其中,当所述密钥请求包括所述第二标识符时,在所述响应中不存在所述响应代码表明所述第二标识符与被存储在所述通信网络中的所述UE的标识符相匹配。
18.根据权利要求10-17中任一项所述的方法,其中,所述密钥请求包括与所述UE相关联的安全密钥KAKMA的标识符A-KID。
19.一种由通信网络中的用于应用认证和密钥管理的锚功能AAnF实施的方法,所述方法包括:
20.根据权利要求19所述的方法,其中:
21.根据权利要求19-20中任一项所述的方法,其中,当所述密钥请求包括所述第二标识符时,在所述响应中不存在所述响应代码表明所述第二标识符与被存储在所述通信网络中的所述UE的标识符相匹配。
22.根据权利要求19-21中任一项所述的方法,其中,所述第一标识符和所述第二标识符是通用公共订阅标识符GPSI或订阅永久标识符SUPI。
23.根据权利要求19所述的方法,其中:
24.根据权利要求19-23中任一项所述的方法,其中:
25.根据权利要求19-24中任一项所述的方法,其中,所述密钥请求包括所述AF的标识符。
26.根据实施例19-25中任一项所述的方法,其中:
27.根据权利要求19-25中任一项所述的方法,其中,从所述AF接收所述密钥请求,并且向所述AF发送所述响应,所述AF在所述通信网络中。
28.一种与通信网络相关联的应用功能AF,所述AF包括:
29.一种与通信网络相关联的应用功能AF,所述AF被配置为实施与根据权利要求1-9中任一项所述的方法相对应的操作。
30.一种存储计算机可执行指令的非暂时性计算机可读介质,当由与关联于通信网络的应用功能AF相关联的处理电路执行时,所述计算机可执行指令将所述AF配置为实施与根据权利要求1-9中任一项所述的方法相对应的操作。
31.一种包括计算机可执行指令的计算机程序产品,当由与关联于通信网络的应用功能AF相关联的处理电路执行时,所述计算机可执行指令将所述AF配置为实施与根据权利要求1-9中任一项所述的方法相对应的操作。
32.一种通信网络的网络开放功能NEF,所述NEF包括:
33.一种通信网络的网络开放功能NEF,所述NEF被配置为实施与根据权利要求10-18中任一项所述的方法相对应的操作。
34.一种存储计算机可执行指令的非暂时性计算机可读介质,当由与通信网络的网络开放功能NEF相关联的处理电路执行时,所述计算机可执行指令将所述NEF配置为实施与根据权利要求10-18中任一项所述的方法相对应的操作。
35.一种计算机程序产品,包括计算机可执行指令,当由与通信网络的网络开放功能NEF相关联的处理电路执行时,所述计算机可执行指令将所述NEF配置为实施与根据10-18中任一项所述的方法相对应的操作。
36.一种在通信网络中的用于应...
【技术特征摘要】
1.一种由与通信网络相关联的应用功能af实施的方法,所述方法包括:
2.根据权利要求1所述的方法,还包括:从所述ue接收对所述应用会话的建立请求。
3.根据权利要求2所述的方法,其中,针对所述应用会话认证所述ue是基于以下内容之一:
4.根据权利要求2-3中任一项所述的方法,其中,所述第二标识符被包括在所述密钥请求中,并且以下内容之一适用:
5.根据权利要求2-4中任一项所述的方法,
6.根据权利要求2-5中任一项所述的方法,其中,所述建立请求和所述密钥请求包括与所述ue相关联的安全密钥kakma的标识符a-kid。
7.根据权利要求1-6中任一项所述的方法,其中,所述密钥请求包括所述af的标识符。
8.根据权利要求1-7中任一项所述的方法,其中:
9.根据权利要求1-7中任一项所述的方法,其中:
10.一种由通信网络的网络开放功能nef实施的方法,所述方法包括:
11.根据权利要求10所述的方法,还包括:确定所述ue的所述第一标识符是否被本地存储在所述nef处。
12.根据权利要求11所述的方法,其中:
13.根据权利要求11-12中任一项所述的方法,还包括:
14.根据权利要求13所述的方法,其中,所述响应代码指示以下内容之一与被存储在所述aanf中的所述ue的标识符相匹配:
15.根据权利要求13所述的方法,其中,所述响应代码指示所述第一标识符对所述af不可用。
16.根据实施例10所述的方法,其中:
17.根据实施例10所述的方法,其中,当所述密钥请求包括所述第二标识符时,在所述响应中不存在所述响应代码表明所述第二标识符与被存储在所述通信网络中的所述ue的标识符相匹配。
18.根据权利要求10-17中任一项所述的方法,其中,所述密钥请求包括与所述ue相关联的安全密钥kakma的标识符a-kid。
19.一种由通信网络中的用于应用认证和密钥管理的锚功能aanf实施的方法,所述方法包括:
20.根据权利要求19所述的方法,其中:
21.根据权利要求19-20中任一项所述的方法,其中,当所述密钥请求包括所述第二标识符时,在所述响应中不存在所述响应代码表明所述第二标识符与被存储在所述通信网络中的所述ue的标识符相匹配。
22.根据权利要求19-21中任一项所述的方法,其中,所述第一标识符和所述第二标识符是通用公共订阅标识符gpsi或订阅永久标识符supi。
23.根据权利要求19所述的方法,其中:
24.根据权利要求19-23中任一项所...
【专利技术属性】
技术研发人员:F·卡拉科奇,C·乔斯特,王成,V·勒托维塔,V·齐阿齐斯,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。