2. 专利技术
  3. 用于应用通信建立的参数的制作方法

用于应用通信建立的参数的制作方法

专利2023-11-08  96


1.本发明总体上涉及无线通信。


背景技术:

2.当前正在努力定义下一代无线通信网络,其提供更大的部署灵活性、对海量设备和服务的支持以及针对有效带宽利用率的不同技术。还预期下一代无线通信网络部署新的核心网,其提供超出当前可用核心网之外的额外的服务和灵活性。


技术实现要素:

3.本发明提供了改进用于保护无线网络中用户设备与应用功能实体之间的应用会话的安全性过程的技术。
4.在所公开技术的示例实施例中,一种无线通信方法包括:由第一功能实体至少使用移动国家代码、移动网络代码和随机数来生成第一标识符,该第一标识符被配置为要用来为第一设备建立安全通信;并且向第一设备传送第一标识符。
5.在所公开技术的另一示例实施例中,一种无线通信方法包括:由第一功能实体或第一设备使用移动国家代码、移动网络代码、随机数和指示符来生成第一标识符,该第一标识符被配置为要用来为第一设备建立安全通信;并且向第一设备传送第一标识符。
6.在所公开技术的又一示例实施例中,一种无线通信方法包括:由第一设备使用移动国家代码、移动网络代码、随机数和路由指示符来生成第一标识符,该第一标识符被配置为要用来为第一设备建立安全通信;并且由第一设备存储第一标识符以进行对应用功能实体的后续请求。
7.在所公开技术的又一示例实施例中,一种无线通信方法包括:在完成主认证时,获得存储在第一功能实体和第一设备处的中间密钥;基于中间密钥来生成用于应用认证和密钥管理的锚点密钥;使用移动国家代码、移动网络代码、路由指示符、用于应用认证和密钥管理的锚点功能实体标识符、随机数以及第一设备标识符来生成第一标识符;存储第一标识符和用于应用认证和密钥管理的锚点密钥;并且使用第一标识符来为第一设备建立安全通信。
8.在所公开技术的又一示例实施例中,上述方法被体现为处理器可执行代码的形式并被存储在计算机可读程序介质中。
9.在所公开技术的又一示例实施例中,公开了一种被配置为或可操作为执行上述方法的设备。
10.在附图、描述和权利要求书中更为详细地描述了上述和其他方面以及其实施方式。
附图说明
11.图1a示出了无线通信系统的示例。
12.图1b示出了用于应用认证和密钥管理(akma)的基本网络模型的示例架构。
13.图2示出了在用户设备(ue)注册期间导出akma根密钥。
14.图3示出了来自akma锚点密钥(k
akma
)的应用功能(af)密钥生成的示例。
15.图4是说明了基于所公开技术的一些实施例的由通信系统的组件执行的示例过程的流程图。
16.图5是说明了基于所公开技术的一些实施例的由通信系统的组件执行的另一示例过程的流程图。
17.图6是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
18.图7是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
19.图8是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
20.图9是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
21.图10是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
22.图11是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
23.图12是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
24.图13是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
25.图14是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
26.图15是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
27.图16是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
28.图17是说明了基于所公开技术的一些实施例的无线通信方法的示例的流程图。
29.图18是说明了基于所公开技术的一些实施例的无线通信方法的另一示例的流程图。
30.图19是说明了基于所公开技术的一些实施例的无线通信方法的另一示例的流程图。
31.图20是说明了基于所公开技术的一些实施例的无线通信方法的另一示例的流程图。
32.图21是根据可以应用的本技术的一个或多个实施例的无线电站的一部分的框图表示。
具体实施方式
33.图1a示出了无线通信系统(例如,lte、5g或新空口(nr)蜂窝网络)的示例,该无线通信系统包括无线电接入节点120和一个或多个用户设备(ue)111、112和113。在一些实施例中,下行链路传输(141、142、143)包括控制平面消息,该控制平面消息包括用于处理多个用户平面功能的处理顺序。这随后可以是基于由ue所接收的处理顺序的上行链路传输(131、132、133)。类似地,用户平面功能可以由ue处理进行基于所接收的处理顺序进行下行链路传输。ue可以是例如,智能手机、平板电脑、移动计算机、机器对机器(m2m)设备、终端、移动设备、物联网设备(iot)等等。
34.本专利文档使用根据3gpp新空口(nr)网络架构和5g协议的示例只是为了便于理解,并且所公开的技术和实施例可以在使用除3gpp协议以外的不同通信协议的其他无线系统中进行实践。
35.图1b示出了用于应用认证和密钥管理(akma)的基本网络模型的示例架构,包括网络开放功能(nef)、akma锚点功能(aanf)、统一数据管理(ude)、认证服务器功能(ausf)、接入和移动性管理功能(amf)以及应用功能(af)。在一些实施方式中,网络模型可以包括5g核心架构控制平面内的网络功能,并且这样的网络功能可以使用基于服务的接口进行它们的交互。
36.akma框架可以用来支持ue与应用服务器之间的安全通信和数据交换。在示例akma架构中,可以使用主要/接入认证的结果来进行akma认证,以保护ue与应用服务器之间的通信。在该示例架构中,当ue与应用服务器通信时,ue与应用服务器之间的安全通信可以借助于应用密钥k
af
来建立而不需要新的akma认证。在基于示例akma架构的应用会话建立过程中,ue使用密钥标识符来请求akma应用功能建立应用密钥k
af
。应用密钥k
af
从诸如k
ausf
的中间密钥导出,或者从akma锚点密钥k
akma
导出,其中k
akma
从k
ausf
导出。
37.在会话建立过程中,请求信息中包括的密钥标识符从用户设备(ue)被发送到akma锚点功能(aanf)。akma锚点功能(aanf)向认证服务器功能(ausf)发送包括由ue所发送的akma密钥标识符的请求,以获得针对特定用户设备(ue)的k
akma
。然而,因为密钥标识符不包括与特定认证服务器功能(ausf)实例相关的任何信息,所以akma锚点功能(aanf)不能基于密钥标识符而正确选择适当的认证服务器功能(ausf)实例。因此,密钥标识符不足以建立用户设备(ue)与akma应用功能之间的安全通信。
38.图2示出了在用户设备(ue)注册期间导出akma根密钥。
39.应用认证和密钥管理(akma)需要新的逻辑实体,诸如akma锚点功能(aanf)。aanf是归属公共陆地移动网络(hplmn)中的锚点功能,其生成要在ue与af之间使用的密钥材料,并维持要用于后续自举(bootstrapping)请求的用户设备(ue)应用认证/密钥管理(akma)上下文。不存在支持akma功能性的ue的单独认证。相反,它重新使用在ue注册期间执行的5g主认证过程来认证ue。成功的5g主认证导致中间密钥k
ausf
被存储在ausf和ue处。
40.如图2所示,作为ue注册过程的一部分,ue和认证服务器功能(ausf)可以从中间密钥(例如,k
ausf
)生成akma锚点密钥(k
akma
)及相关联的密钥标识符。k
akma
密钥标识符用来识别其他akma密钥从中被导出的ue的k
akma
密钥。由于akma密钥基于来自主认证运行的中间密钥(诸如k
ausf
),akma密钥只能通过运行新的主认证来刷新。
41.图3示出了来自akma锚点密钥(k
akma
)的应用功能(af)密钥生成的示例。
42.在一些实施方式中,ue包括在消息中的导出的akma密钥标识符,以发起与akma应用功能(akma af)的通信。如果akma应用功能(aapf)不具有与密钥标识符相关联的活动上下文,则af向akma锚点功能(aanf)发送带有密钥标识符的请求,以请求针对ue的应用功能特定akma密钥。af在请求中也包括其标识(af id)。
43.如果akma锚点功能(aanf)拥有应用功能(af)特定密钥(k
af
),则其利用k
af
密钥来响应af。如果没有持有,akma锚点功能(aanf)检查其是否具有由akma密钥标识符所识别的ue特定的k
akma
密钥。如果akma锚点密钥(k
akma
)在akma锚点功能(aanf)中可用,则akma锚点功能(aanf)从akma锚点密钥(k
akma
)导出af特定akma密钥(k
af
),并且利用af特定密钥(k
af
)和生命期来响应该应用功能(af)。
44.如果akma锚点密钥(k
akma
)不可用,则akma锚点功能(aanf)向认证服务器功能(ausf)发送包括akma密钥标识符的请求,以获得特定于用户设备(ue)的akma锚点密钥(k
akma
)。认证服务器功能(ausf)利用由密钥标识符所识别的k
akma
密钥进行响应。akma锚点功能(aanf)从akma锚点密钥(k
akma
)导出应用功能(af)特定密钥(k
af
),并且利用af特定密钥(k
af
)和生命期来响应该应用功能(af)。
45.所公开技术的一些实施例可用来改进建立安全通信的过程,以保护ue与akma应用功能之间的应用会话。在一些实施方式中,可以使用应用认证和密钥管理(akma)标识符(id)来进行应用会话建立过程。
46.图4是说明了基于所公开技术的一些实施例的由通信系统的组件执行的示例过程的流程图。
47.在所公开技术的一些实施例中,数据管理功能(诸如统一数据管理实体(udm))可以为应用会话建立过程而生成应用认证和密钥管理(akma)标识符(akmaid),其可用来识别针对ue的akma过程或者可用作用来识别akma锚点密钥的标识符。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在这里及之后,ue标识符用来识别用户设备。在一些实施方式中,akma标识符(akma id)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符以及随机数(rand)。在一些实施方式中,akma标识符(akma id)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akma id)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akma id)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符、ue标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络
代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符、ue标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。这里,rand可以是由base64encode(rand)生成的。
48.在所公开技术的一些实施例中,在成功的主认证之后,统一数据管理实体(udm)生成并存储akma标识符(akmaid),该akmaid包括mcc、mnc、路由指示符和rand,其中mcc唯一识别国家,mnc识别归属公共陆地移动网络(hplmn),路由指示符用于将带有akmaid的网络信令路由到统一数据管理(udm)实例,以及rand是udm分配给ue的随机数。
49.在所公开技术的一些实施例中,udm被配置为执行ue参数更新(upu)过程,并通过ue参数更新(upu)过程将akmaid作为ue参数更新(upu)数据发送到ue。
50.在所公开技术的一些实施例中,ue被配置为使用akmaid进行应用会话建立。
51.如图4所示,基于所公开技术的一些实施例的应用会话建立可以包括多个过程401-414。
52.在401处,成功的5g主认证导致了认证服务器功能密钥(k
ausf
)存储在认证服务器功能实体(ausf)和用户设备(ue)处。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)及相关联的密钥标识符。在这里,k
akma
可以从k
ausf
导出。
53.在402a处,ausf使用基于服务的接口请求(诸如nudm_ue authentication_result确认请求)通知统一数据管理(udm)关于与用户设备(ue)的认证过程的结果和时间。这包括订阅永久标识符(supi)、认证的时间戳、认证类型(例如,eap方法或5g-aka)和服务网络名称。
54.在402b处,udm为ue生成基于所公开技术的一些实施例进行实施的akma标识符(akmaid)。akmaid是由ue用于朝向应用功能实体(af)的后续请求的标识符。akmaid只能通过运行全新的主认证来刷新。这意味着akmaid生命期不能短于主认证之间的时间间隔。在所公开技术的一些实施例中,akmaid可以包括mcc、mnc、路由指示符和rand,其中mcc(移动国家代码)唯一识别国家,mnc(移动网络代码)识别归属plmn(公共陆地移动网络),路由指示符用来将带有akmaid的网络信令路由到udm实例,rand是udm分配给ue的随机数(例如,用于认证的random数)。udm将akmaid和认证服务器功能标识符(ausfid)与ue的认证状态(例如,订阅永久标识符(supi)、认证结果、时间戳和服务网络名称)一起存储。
55.在402c处,udm利用基于服务的接口响应(诸如nudm_ue authentication_result确认响应)回复ausf。
56.在403处,udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为用户设备参数更新(upu)数据发送到ue。
57.在404处,ue接收akmaid并将其与k
akma
和k
akma
标识符一起存储。
58.在405处,ue利用应用会话建立请求开始与af的通信,并且在所公开技术的一些实施例中,应用会话建立请求包括akmaid。
59.在406处,应用功能实体(af)向akma锚点功能实体(aanf)发送带有从ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(例如,af标识符)。
60.在407处,aanf基于akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至411。如果k
akma
不可用,则aanf向udm发送基于服务的接口请求(诸如
nudm_ueauth_resultstatus请求),以检索已认证了ue的最近ausf的标识符和ue的supi。aanf提供了akmaid。
61.在408处,udm基于akmaid检索认证服务器功能(ausf)实例的标识符(已认证了ue)和ue的supi的信息。udm发送基于服务的接口响应(诸如nudm_ueauth_resultstatus响应),该响应包括已经向udm报告了成功的主认证的最后ausf的ausf实例标识符和ue订阅永久标识符(supi)。
62.在409处,aanf通过提供ue supi向ausf发送密钥请求。
63.在410处,ausf根据supi来检索akma锚点密钥(k
akma
)和k
akma
标识符,然后将k
akma
和k
akma
标识符发送到aanf。aanf接收k
akma
和k
akma
标识符并将其与akmaid一起存储。
64.在411处,aanf基于k
akma
而导出应用密钥(k
af
)。aanf可以设置k
af
到期时间。
65.在412处,aanf向af发送密钥响应信息。该密钥响应信息包括aanf id、k
af
和密钥到期时间。在这里,aanf id指示了aanf的标识。
66.在413处,af向ue发送应用会话建立响应信息。该响应信息可以包括k
af
密钥到期时间。
67.在414处,ue基于k
akma
而导出k
af

68.图5是说明了基于所公开技术的一些实施例的由通信系统的组件执行的另一示例过程的流程图。
69.在所公开技术的一些实施例中,数据管理功能(诸如统一数据管理实体(udm))可以为应用会话建立过程而生成akma标识符(akmaid),其可用来识别针对ue的akma过程或者可用作用来识别akma锚点密钥的标识符。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括用于认证的移动国家代码(mcc)、移动网络代码(mnc)、路由指示符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。
70.在所公开技术的一些实施例中,在成功的主认证之后,统一数据管理实体(udm)生成并存储akma标识符(akmaid),该akmaid包括mcc、mnc、路由指示符和rand,其中mcc唯一识别国家,mnc识别归属公共陆地移动网络(hplmn),路由指示符用于将带有akmaid的网络信令路由到统一数据管理(udm)实例,以及rand是udm分配给ue的随机数。
71.在所公开技术的一些实施例中,udm被配置为将akma标识符(akmaid)发送到认证服务器功能实体(ausf),并且ausf被配置为存储akmaid。udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为用户设备参数更新(upu)数据发送到ue。ue在其应用会话建立过程中使用akmaid。
72.如图5所示,基于所公开技术的一些实施例的应用会话建立可以包括多个过程501-514。
73.在501处,成功的5g主认证导致了认证服务器功能密钥(k
ausf
)存储在认证服务器
功能实体(ausf)和ue处。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)及相关联的密钥标识符。在这里,k
akma
可以从k
ausf
导出。
74.在502a处,ausf使用基于服务的接口请求(诸如nudm_ue authentication_result确认请求)通知统一数据管理(udm)关于与用户设备(ue)的认证过程的结果和时间。这包括订阅永久标识符(supi)、认证的时间戳、认证类型(例如,eap方法或5g-aka)和服务网络名称。
75.在502b处,udm为ue生成基于所公开技术的一些实施例进行实施的akma标识符(akmaid)。akmaid是由ue用于朝向应用功能实体(af)的后续请求的标识符。akmaid只能通过运行全新的主认证来刷新。这意味着akmaid生命期不能短于主认证之间的时间间隔。在所公开技术的一些实施例中,akmaid可以包括mcc、mnc、路由指示符和rand,其中mcc(移动国家代码)唯一识别国家,mnc(移动网络代码)识别归属plmn(公共陆地移动网络),路由指示符用来将带有akmaid的网络信令路由到udm实例,rand是udm分配给ue的随机数(例如,用于认证的random数)。udm将akmaid和认证服务器功能标识符(ausfid)与ue的认证状态(例如,订阅永久标识符(supi)、认证结果、时间戳和服务网络名称)一起存储。
76.在502c处,udm利用基于服务的接口响应(诸如包括akmaid的nudm_ue authentication_result确认响应)回复ausf。
77.在502d处,ausf接收akmaid并将其与ue的k
akma
和k
akma
标识符进行存储。
78.在503处,udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为用户设备参数更新(upu)数据发送到ue。
79.在504处,ue接收akmaid并将其与k
akma
和k
akma
标识符一起存储。
80.在505处,ue利用应用会话建立请求开始与af的通信,并且在所公开技术的一些实施例中,应用会话建立请求包括akmaid。
81.在506处,应用功能实体(af)向akma锚点功能实体(aanf)发送带有从ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(例如,af标识符)。
82.在507处,aanf基于akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至511。如果k
akma
不可用,则aanf向udm发送基于服务的接口请求(诸如nudm_ueauth_resultstatus请求),以检索已经认证了ue的最近ausf的标识符。aanf提供了akmaid。
83.在508处,udm基于akmaid检索已经认证了ue的ausf实例的标识符的信息。udm发送基于服务的接口响应(诸如nudm_ueauth_resultstatus响应),该响应包括已经向udm报告了成功的主认证的最后ausf的ausf实例标识符。
84.在509处,aanf向ausf发送包括akmaid的密钥请求。
85.在510处,ausf根据akmaid来检索k
akma
和k
akma
标识符,然后将k
akma
和k
akma
标识符发送到aanf。aanf接收k
akma
和k
akma
标识符并将其与akmaid一起存储。
86.在511处,aanf基于k
akma
而导出k
af
。aanf可以设置k
af
到期时间。
87.在512处,aanf向af发送密钥响应信息。该密钥响应信息包括aanf id、k
af
和密钥到期时间。在这里,aanf id指示了aanf的标识。
88.在513处,af接收aanf id、k
af
和密钥到期时间并将其与akmaid一起存储,并向ue发
送应用会话建立响应信息。该响应信息可以包括k
af
密钥到期时间。
89.在514处,ue基于k
akma
而导出k
af

90.图6是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
91.在所公开技术的一些实施例中,数据管理功能(诸如认证服务器功能实体(ausf))为应用会话建立过程而生成akma标识符(akmaid),其可用来识别针对ue的akma过程或者可用作用来识别akma锚点密钥的标识符。
92.在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符以及随机数(rand)。
93.在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在这里,rand可以是由base64encode(rand)生成的。
94.在所公开技术的一些实施例中,在成功的主认证之后,ausf生成了包括mcc、mnc、路由指示符和rand的akma标识符(akmaid),其中mcc唯一识别国家,mnc识别归属公共陆地移动网络(hplmn),路由指示符用来将带有akmaid的网络信令路由到统一数据管理(udm)实例,以及rand是ausf分配给ue的随机数。
95.在所公开技术的一些实施例中,ausf被配置为将akma标识符(akmaid)发送到统一数据管理实体(udm),并且udm存储akmaid。
96.udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为用户设备参数更新(upu)数据发送到ue。ue在其应用会话建立过程中使用akmaid。
97.如图6所示,基于所公开技术的一些实施例的应用会话建立可以包括多个过程601-615。
98.在601处,成功的5g主认证导致认证服务器功能密钥(k
ausf
)存储在ausf和ue处。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)及相关联的密钥标识符。在这
里,k
akma
可以从k
ausf
导出。
99.在602处,ausf为ue生成akma标识符(akmaid)。akmaid是由ue用于朝向应用功能实体(af)的后续请求的标识符。akmaid只能通过运行全新的主认证来刷新。这意味着akmaid生命期不能短于主认证之间的时间间隔。在所公开技术的一些实施例中,akmaid可以包括mcc、mnc、路由指示符和rand,其中mcc(移动国家代码)唯一识别国家,mnc(移动网络代码)识别归属plmn(公共陆地移动网络),路由指示符用来将带有akmaid的网络信令路由到udm实例,rand是认证服务器功能实体(ausf)已经分配给ue的随机数。
100.在603a处,ausf使用基于服务的接口请求(诸如nudm_ue authentication_result确认请求)通知统一数据管理(udm)关于与ue的认证过程的结果和时间。这包括订阅永久标识符(supi)、认证的时间戳、认证类型(例如,eap方法或5g-aka)、服务网络名称和akmaid。
101.在603b处,udm将akmaid和akma标识符(akmaid)与ue的认证状态(例如,supi、认证结果、时间戳和服务网络名称)一起存储。
102.在603c处,udm利用基于服务的接口响应(诸如nudm_ue authentication_result确认响应)回复ausf。
103.在604处,udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为用户设备参数更新(upu)数据发送到ue。
104.在605处,ue接收akmaid并将其与k
akma
和k
akma
标识符一起存储。
105.在606处,ue利用应用会话建立请求开始与af的通信,并且在所公开技术的一些实施例中,应用会话建立请求包括akmaid。
106.在607处,af向aanf发送带有从ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(例如,af标识符)。
107.在608处,aanf基于akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至612,这将在下文讨论。如果k
akma
不可用,则aanf向udm发送基于服务的接口请求(诸如nudm_ueauth_resultstatus请求),以检索已经认证了ue的最近ausf的标识符和ue的supi。aanf提供了akmaid。
108.在609处,udm基于akmaid检索已经认证了ue的ausf实例的标识符和ue的supi的信息。udm发送基于服务的接口响应(诸如nudm_ueauth_resultstatus响应),该响应包括已经向udm报告了成功的主认证的最后ausf的ausf实例标识符和用户设备(ue)订阅永久标识符(supi)。
109.在610处,aanf通过提供supi向ausf发送akma密钥请求。
110.在611处,ausf根据supi来检索k
akma
和k
akma
标识符,然后将k
akma
和k
akma
标识符发送到aanf。aanf接收k
akma
和k
akma
标识符并将其与akmaid一起存储。
111.在612处,aanf基于k
akma
而导出k
af
。aanf设置k
af
到期时间。
112.在613处,aanf向af发送密钥响应信息。该密钥响应信息包括aanf id、k
af
和密钥到期时间。在这里,aanf id指示了aanf的标识。
113.在614处,af接收aanf id、k
af
和密钥到期时间并将其与akmaid一起存储,并向ue发送应用会话建立响应信息。该响应信息包括k
af
密钥到期时间。
114.在615处,ue基于k
akma
而导出k
af

115.图7是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例
过程的流程图。
116.在所公开技术的一些实施例中,数据管理功能(诸如认证服务器功能实体(ausf))为应用会话建立过程而生成akma标识符(akmaid),其可用来识别针对ue的akma过程或者可用作用来识别akma锚点密钥的标识符。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符以及用于认证的随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及用于认证的随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在这里,rand可以是由base64encode(rand)生成的。
117.在所公开技术的一些实施例中,在成功的主认证之后,ausf生成并存储akma标识符(akmaid),该akmaid包括mcc、mnc、路由指示符和rand,其中mcc唯一识别国家,mnc识别归属公共陆地移动网络(hplmn),路由指示符用来将带有akmaid的网络信令路由到统一数据管理(udm)实例,以及rand是ausf分配给ue的随机数。
118.在所公开技术的一些实施例中,ausf将akmaid发送到统一数据管理实体(udm),并且udm存储akmaid。
119.在所公开技术的一些实施例中,udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为用户设备参数更新(upu)数据发送到ue。ue在其应用会话建立过程中使用akmaid。
120.如图7所示,基于所公开技术的一些实施例的应用会话建立可以包括多个操作701-715。
121.在701处,成功的5g主认证导致认证服务器功能密钥(k
ausf
)存储在ausf和ue处。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)及相关联的密钥标识符。k
akma
可以从k
ausf
导出。
122.在702处,认证服务器功能实体(ausf)为ue生成akma标识符(akmaid)。akmaid是由
ue用于朝向应用功能实体(af)的后续请求的标识符。akmaid只能通过运行全新的主认证来刷新。这意味着akmaid生命期不能短于主认证之间的时间间隔。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符以及随机数(rand)。在这里,mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,rand是ausf分配给ue的随机数。ausf将akmaid与k
akma
和k
akma
标识符一起存储。
123.在703a处,ausf使用基于服务的接口请求(诸如nudm_ue authentication_result确认请求)通知统一数据管理(udm)关于与ue的认证过程的结果和时间。这包括supi、认证的时间戳、认证类型(例如,eap方法或5g-aka)、服务网络名称和akmaid。
124.在703b处,udm将akmaid和认证服务器功能标识符(ausfid)与ue的认证状态(例如,supi、认证结果、时间戳和服务网络名称)一起存储。
125.在703c处,udm利用基于服务的接口响应(诸如nudm_ue authentication_result确认响应)回复ausf。
126.在704处,udm执行用户设备参数更新(upu)过程,并通过ue参数更新过程将akmaid作为用户设备参数更新(upu)数据发送到ue。
127.在705处,ue接收akmaid并将其与k
akma
和k
akma
标识符一起存储。
128.在706处,ue利用应用会话建立请求来开始与af的通信,该应用会话建立请求包括akmaid。
129.在707处,af向aanf发送带有从ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(例如,af标识符)。
130.在708处,aanf基于akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至操作712,这将在下文讨论。如果k
akma
不可用,则aanf向udm发送基于服务的接口请求(诸如nudm_ueauth_resultstatus请求),以检索已经认证了ue最近的ausf的标识符。aanf提供了akmaid。
131.在709处,udm基于akmaid检索已经认证了ue的ausf实例的标识符的信息。udm发送基于服务的接口响应(诸如nudm_ue auth_resul状态响应),该响应包括已经向udm报告了成功的主认证的最后ausf的ausf实例标识符。
132.在710处,aanf通过提供akmaid向ausf发送akma密钥请求。
133.在711处,ausf根据akmaid来检索k
akma
和k
akma
标识符,然后将k
akma
和k
akma
标识符发送到aanf。aanf接收k
akma
和k
akma
标识符并将其与akmaid一起存储。
134.在712处,aanf基于k
akma
而导出k
af
。aanf可以设置k
af
到期时间。
135.在713处,aanf向af发送密钥响应信息。该密钥响应信息包括aanf id、k
af
和密钥到期时间。
136.在714处,af接收aanf id、k
af
和密钥到期时间并将其与akmaid一起存储,并向ue发送应用会话建立响应信息。该响应信息包括k
af
密钥到期时间。
137.在715处,ue基于k
akma
而导出k
af

138.图8是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
139.如图8所示,基于所公开技术的一些实施例的应用会话建立可以包括多个操作
801-813。
140.在801处,成功的5g主认证导致认证服务器功能密钥(k
ausf
)存储在认证服务器功能实体(ausf)和用户设备(ue)处。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)及相关联的密钥标识符。在一些实施方式中,k
akma
可以从k
ausf
导出。
141.在802a处,ausf使用基于服务的接口请求(诸如nudm_ue authentication_result确认请求)通知统一数据管理(udm)关于与ue的认证过程的结果和时间。这包括supi、认证的时间戳、认证类型(例如,eap方法或5g-aka)和服务网络名称。
142.在所公开技术的一些实施例中,数据管理功能(诸如统一数据管理实体(udm))可以为应用会话建立过程而生成应用认证和密钥管理(akma)标识符(akmaid),其可用来识别针对ue的akma过程或者可用作用来识别akma锚点密钥的标识符。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符(ausfid)以及随机数(rand)的组合,或者移动国家代码(mcc)、移动网络代码(mnc)、路由指示符以及随机数(rand)的组合。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符(ausfid)、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)的组合,或者移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)的组合。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及用于认证的随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在这里,rand可以是由base64encode(rand)生成的。
143.在所公开技术的一些实施例中,在成功的主认证之后,统一数据管理实体(udm)生成并存储akma标识符(akmaid),该akmaid包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符(ausfid)以及随机数(rand)的组合,或者移动国家代码(mcc)、移动网络代码(mnc)、路由指示符以及随机数(rand)的组合。在所公开技术的一些实施例中,在成功的主认证之后,统一数据管理实体(udm)生成并存储akma标识符(akmaid),该akmaid包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符(ausfid)、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)的组合,或者移动国家代码(mcc)、移动网络代码(mnc)、路由指示符,用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指
示符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在这里,mcc唯一识别国家,mnc识别归属plmn,ausfid是ausf的标识符,rand是udm已分配给ue的随机数,并且路由指示符用来将带有akmaid的网络信令路由到ausf实例。在这里,rand可以是由base64encode(rand)生成的。
144.在所公开技术的一些实施例中,udm被配置为将akmaid发送到ausf,并且ausf存储akmaid。
145.udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为upu数据发送到ue。
146.在所公开技术的一些实施例中,ue在其应用会话建立过程中使用akmaid。
147.在802b处,udm为ue生成基于所公开技术的一些实施例实施的akma标识符(akmaid)。akmaid是由ue用于朝向应用功能实体(af)的后续请求的标识符。akmaid只能通过运行全新的主认证来刷新。这意味着akmaid生命期不能短于主认证之间的时间间隔。在所公开技术的实施例中,akmaid可以包括mcc、mnc、ausfid和rand,其中mcc唯一识别国家,mnc识别归属plmn,ausfid是ausf的标识符,rand是udm分配给ue的随机数。在所公开技术的另一实施例中,akmaid可以包括mcc、mnc、路由指示符和rand,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到ausf实例,rand是udm分配给ue的随机数。udm将akmaid与ue的认证状态(supi、认证结果、时间戳和服务网络名称)一起存储。
148.在802c处,udm利用基于服务的接口响应(诸如包括akmaid的nudm_ue authentication_result确认响应)回复ausf。
149.在803处,ausf接收akmaid并将其与k
akma
和k
akma
标识符一起存储。
150.在804处,udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为用户设备参数更新(upu)数据发送到ue。
151.在805处,ue接收akmaid并将其与k
akma
和k
akma
标识符一起存储。
152.在806处。ue利用应用会话建立请求开始与af的通信。该请求包括akmaid。
153.在807处,af向aanf发送带有从ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(af标识符)。
154.在808处,aanf基于akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至操作810,这将在下文讨论。如果k
akma
不可用,则aanf向ausf发送包括akmaid的密钥请求。
155.在809处,ausf根据akmaid来检索k
akma
和k
akma
标识符,然后将k
akma
和k
akma
标识符发
送到aanf。aanf接收k
akma
和k
akma
标识符并将其与akmaid一起存储。
156.在810处,aanf基于k
akma
而导出k
af
。aanf设置k
af
到期时间。
157.在811处,aanf向af发送密钥响应信息。该密钥响应信息包括aanf id、k
af
和密钥到期时间。在这里,aanf id指示了aanf的标识。
158.在812处,af接收aanf id、k
af
和密钥到期时间并将其与akmaid一起存储,并向ue发送应用会话建立响应信息。该响应信息可以包括k
af
密钥到期时间。
159.在813处,ue基于k
akma
而导出k
af

160.图9是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
161.在所公开技术的一些实施例中,数据管理功能(诸如认证服务器功能实体(ausf))可以为应用会话建立过程而生成应用认证和密钥管理(akma)标识符(akmaid),其可用来识别针对ue的akma过程或者可用作用来识别akma锚点密钥的标识符。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符(ausfid)以及随机数(rand)的组合,或者移动国家代码(mcc)、移动网络代码(mnc)、路由指示符以及随机数(rand)的组合。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符(ausfid)、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)的组合,或者移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)的组合。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在这里,rand可以是由base64encode(rand)生成的。
162.在所公开技术的一些实施例中,在成功的主认证之后,ausf生成并存储akmaid,该akmaid包括mcc、mnc、ausfid和rand,其中mcc唯一识别国家,mnc识别归属plmn,ausfid是ausf的标识符,rand是udm分配给ue的随机数。akmaid也可以包括mcc、mnc、路由指示符和rand,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到ausf实例,rand是udm分配给ue的随机数。在所公开技术的一些实施例中,在成功的主认证之后,ausf生成并存储akma标识符(akmaid),该akmaid包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符(ausfid)、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)的组合,或者移动国家代码(mcc)、
移动网络代码(mnc)、路由指示符,用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在这里,mcc唯一识别国家,mnc识别归属plmn,ausfid是ausf的标识符,rand是udm已分配给ue的随机数,并且路由指示符用来将带有akmaid的网络信令路由到ausf实例。在这里,rand可以是由base64encode(rand)生成的。
163.在所公开技术的一些实施例中,ausf将akmaid发送到udm,并且udm存储akmaid。
164.udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为upu数据发送到ue。ue使用akmaid进行应用会话建立。
165.如图9所示,基于所公开技术的一些实施例的应用会话建立可以包括多个操作901-913。
166.在901处,成功的5g主认证导致认证服务器功能密钥(k
ausf
)存储在认证服务器功能实体(ausf)和用户设备(ue)处。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)及相关联的密钥标识符。在一些实施方式中,k
akma
可以从k
ausf
导出。
167.在902处,ausf为ue生成akma标识符(akmaid)。akmaid是由ue用于朝向应用功能实体(af)的后续请求的标识符。akmaid只能通过运行全新的主认证来刷新。这意味着akmaid生命期不能短于主认证之间的时间间隔。在所公开技术的一些实施例中,akmaid可以包括mcc、mnc、ausfid和rand的组合,其中mcc唯一识别国家,mnc识别归属公共陆地移动网络(plmn),ausfid是认证服务器功能(ausf)的标识符,以及rand是ausf分配给ue的随机数。akmaid也可以包括mcc、mnc、路由指示符和rand的组合,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到ausf实例,rand是udm分配给ue的随机数。ausf将akmaid与k
akma
和k
akma
标识符一起存储。
168.在903a处,ausf使用基于服务的接口请求(诸如nudm_ue authentication_result确认请求)通知统一数据管理(udm)关于与ue的认证过程的结果和时间。这包括supi、认证的时间戳、认证类型(例如,eap方法或5g-aka)、服务网络名称和akmaid。
169.在903b处,udm将akmaid与ue的认证状态(例如,supi、认证结果、时间戳和服务网络名称)一起存储。
170.在903c处,udm利用基于服务的接口响应(诸如nudm_ue authentication_result确认响应)回复ausf。
171.在904处,udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为ue
参数更新(upu)数据发送到ue。
172.在905处,ue接收akmaid并将其与k
akma
和k
akma
标识符一起存储。
173.在906处,ue利用应用会话建立请求开始与应用功能实体(af)进行通信,该请求包括akmaid。
174.在907处,af向aanf发送带有从ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(af标识符)。
175.在908处,aanf基于akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至操作910,这将在下文讨论。如果k
akma
不可用,aanf通过提供akmaid向ausf发送akma密钥请求。
176.在909处,ausf根据akmaid来检索k
akma
和k
akma
标识符,然后将k
akma
和k
akma
标识符发送到aanf。aanf接收k
akma
和k
akma
标识符并将其与akmaid一起存储。
177.在910处,aanf基于k
akma
而导出k
af
。aanf设置k
af
到期时间。
178.在911处,aanf向af发送密钥响应信息。该密钥响应信息包括aanf id、k
af
和密钥到期时间。在这里,aanf id是aanf的标识。
179.在912处,af向ue发送应用会话建立响应信息。该响应信息包括k
af
密钥到期时间。
180.在913处,ue基于k
akma
而导出k
af

181.图10是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
182.在所公开技术的一些实施例中,数据管理功能(诸如统一数据管理实体(udm))可以为应用会话建立过程而生成akma标识符(akmaid),其可用来识别针对ue的akma过程或者可用作用来识别akma锚点密钥的标识符。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括mcc、mnc、ausfid和rand的组合,或者mcc、mnc、路由指示符和rand的组合。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括mcc、mnc、ausfid和rand的组合,或者mcc、mnc、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。
183.在所公开技术的一些实施例中,在成功的主认证之后,统一数据管理实体(udm)生成并存储mcc、mnc、ausfid和rand的组合(其中mcc唯一识别国家,mnc识别归属plmn,ausfid是ausf的标识符,rand是udm分配给ue的随机数)或者mcc、mnc、路由指示符和rand的组合(其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由
到ausf实例,rand是udm分配给ue的随机数),以作为akmaid。在所公开技术的一些实施例中,在成功的主认证之后,统一数据管理实体(udm)生成并存储mcc、mnc、ausfid、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合(其中mcc唯一识别国家,mnc识别归属plmn,ausfid是ausf的标识符,rand是udm分配给ue的随机数)或者mcc、mnc、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合(其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到ausf实例,rand是udm分配给ue的随机数),以作为akmaid。
184.在所公开技术的一些实施例中,udm被配置为将akmaid发送到认证服务器功能实体(ausf),并且ausf被配置为存储akmaid。
185.udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为用户设备参数更新(upu)数据发送到ue。ue在其应用会话建立过程中使用akmaid。
186.在所公开技术的一些实施例中,认证服务器功能实体(ausf)可以替选地生成mcc、mnc、ausfid和rand的组合或者mcc、mnc、路由指示符和rand的组合以作为akmaid。在所公开技术的一些实施例中,认证服务器功能实体(ausf)可以替选地生成mcc、mnc、ausfid、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合或者mcc、mnc、路由指示符和rand的组合以作为akmaid。
187.在所公开技术的一些实施例中,在成功的主认证之后,ausf生成并存储mcc、mnc、ausfid和rand的组合(其中mcc唯一识别国家,mnc识别归属plmn,ausfid是ausf的标识符,rand是udm分配给ue的随机数)或者mcc、mnc、路由指示符和rand的组合(其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到ausf实例,rand是udm分配给ue的随机数),以作为akmaid。在所公开技术的一些实施例中,在成功的主认证之后,ausf生成并存储mcc、mnc、ausfid、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合(其中mcc唯一识别国家,mnc识别归属plmn,ausfid是ausf的标识符,rand是udm分配给ue的随机数)或者mcc、mnc、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合(其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到ausf实例,rand是udm分配给ue的随机数),以作为akmaid。
188.在所公开技术的一些实施例中,ausf将akmaid发送到udm,并且udm存储akmaid。udm执行ue参数更新(upu)过程,并通过ue参数更新过程将akmaid作为upu数据发送到ue。ue在其应用会话建立过程中使用akmaid。
189.如图10所示,基于所公开技术的一些实施例的应用会话建立可以包括多个操作1001-1013。
190.在1001处,成功的5g主认证导致认证服务器功能密钥(k
ausf
)存储在认证服务器功能实体(ausf)和ue处。ue和udm存储了在主认证中的认证向量(av)中生成和使用的rand。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)及相关联的密钥标识符。k
akma
可以从k
ausf
导出。
191.在1002a处,ue生成akmaid。akmaid是将由ue用于朝向应用功能实体(af)的后续请求的标识符。akmaid只能通过运行全新的主认证来刷新,因此akmaid的生命期不能短于主认证之间的时间间隔。在一些实施方式中,akmaid包括mcc、mnc、路由指示符和rand的组合,
其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,rand在主认证中的认证向量(av)中生成和使用。ue将akmaid与k
akma
和k
akma
标识符一起存储。
192.在1002b处,udm生成akmaid。akmaid是由ue用于朝向af的后续请求的标识符。akmaid只能通过运行全新的主认证来刷新,因此akmaid的生命期不能短于主认证之间的时间间隔。akmaid可以包括mcc、mnc、路由指示符和rand的组合,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到ausf实例,rand在主认证中的认证向量(av)中生成和使用。udm将akmaid和ausf标识符(ausfid)与ue的认证状态(例如,supi、认证结果、时间戳和服务网络名称)一起存储。
193.在1003处,ue利用应用会话建立请求开始与af的通信,该请求包括akmaid。
194.在1004处,af向aanf发送具有从ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(例如,af标识符)。
195.在1005处,aanf基于akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至操作1009,这将在下文讨论。如果k
akma
不可用,则aanf向udm发送基于服务的接口请求(诸如nudm_ueauth_resultstatus请求),以检索已经认证了ue的最近ausf的标识符和ue的订阅永久标识符(supi)。aanf提供了akmaid。
196.在1006处,udm基于akmaid检索已经认证了ue的ausf实例的标识符和ue的supi的信息。udm发送nudm_ueauth_resultstatus响应,该响应包括已经向udm报告了成功的主认证的最后ausf的ausf实例标识符和ue supi。
197.在1007处,aanf通过提供ue supi向ausf发送密钥请求。
198.在1008处,ausf根据supi来检索k
akma
和k
akma
标识符,然后将k
akma
和k
akma
标识符发送到aanf。aanf接收k
akma
和k
akma
标识符并将其与akmaid一起存储。
199.在1009处,aanf基于k
akma
而导出k
af
。aanf可以设置k
af
到期时间。
200.在1010处,aanf向af发送密钥响应信息。该响应信息包括aanf id、k
af
和密钥到期时间。在这里,aanf id是aanf的标识。
201.在1011处,af接收aanf id、k
af
和密钥到期时间并将其与akmaid一起存储。
202.在1012处,af向ue发送应用会话建立响应信息。该响应信息包括k
af
密钥到期时间。
203.在1013处,ue基于k
akma
而导出k
af

204.图11是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
205.如图11所示,基于所公开技术的一些实施例的应用会话建立可以包括多个操作1101-1113。
206.在所公开技术的一些实施例中,ue可以为应用会话建立过程而生成akma标识符(akmaid),其可用来识别针对ue的akma过程或者可用作用来识别akma锚点密钥的标识符。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括mcc、mnc、ausfid和rand的组合,或者mcc、mnc、路由指示符和rand的组合。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括mcc、mnc、ausfid、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合,或者mcc、mnc、路由指示符和rand的组合。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码
(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。
207.在1101处,成功的5g主认证导致认证服务器功能密钥(k
ausf
)存储在ausf和ue处。ue和udm将存储在主认证中的认证向量(av)中生成和使用的rand。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)及相关联的密钥标识符。k
akma
可以从k
ausf
导出。
208.在1102a处,ue生成akmaid。akmaid是由ue用于朝向af的后续请求的标识符。akmaid只能通过运行全新的主认证来刷新,因此akmaid的生命期不能短于主认证之间的时间间隔。akmaid可以包括mcc、mnc、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,rand在主认证中的认证向量(av)中生成和使用。ue将akmaid与k
akma
和k
akma
标识符一起存储。
209.在一个实施方式中,在成功的主认证之后,ue生成并存储mcc、mnc、路由指示符和rand的组合以作为akmaid,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,rand在主认证中的认证向量(av)中生成和使用。
210.在另一个实施方式中,在成功的主认证之后,udm和ue生成并存储mcc、mnc、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合以作为akmaid,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,rand在主认证中的认证向量(av)中生成和使用。ue在其应用会话建立过程中使用akmaid。
211.在1102b处,udm将rand和ausfid与ue的认证状态(例如,supi、认证结果、时间戳和服务网络名称)一起存储。rand是在主认证中的认证向量(av)中生成和使用的。
212.在一些实施方式中,udm存储在主认证中的认证向量(av)中生成和使用的rand。
213.在一些实施方式中,ue在其应用会话建立过程中使用akmaid。
214.在1103处,ue利用应用会话建立请求开始与af的通信。该请求包括akmaid。
215.在1104处,af向aanf发送带有从ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(af标识符)。
216.在1105处,aanf基于akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至操作1109,这将在下文讨论。如果k
akma
不可用,则aanf从akmaid得到rand。然后,aanf向udm发送nudm_ueauth_resultstatus请求,以检索已经认证了ue的最近ausf的标识符、和ue的supi。aanf提供了rand。
217.在1106处,udm基于rand检索已经认证了ue的ausf实例的标识符和ue的supi的信
息。udm发送nudm_ueauth_resultstatus响应,该响应包括已经向udm报告了成功的主认证的最后ausf的ausf实例标识符、和ue supi。
218.在1107处,aanf通过提供ue supi向ausf发送密钥请求。
219.在1108处,ausf根据supi来检索k
akma
和k
akma
标识符,然后将k
akma
和k
akma
标识符发送到aanf。aanf接收k
akma
和k
akma
标识符并将其与akmaid一起存储。
220.在1109处,aanf基于k
akma
而导出k
af
。在一些实施方式中,aanf设置k
af
到期时间。
221.在1110处,aanf向af发送密钥响应信息。该密钥响应信息包括aanf id、k
af
和密钥到期时间。aanf id是aanf的标识。
222.在1111处,af接收aanf id、k
af
和密钥到期时间并将其与akmaid一起存储。
223.在1112处,af向ue发送应用会话建立响应信息。在一些实施方式中,该响应信息包括k
af
密钥到期时间。
224.在1113处,ue基于k
akma
而导出k
af

225.图12是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
226.在所公开技术的一些实施例中,ue生成并存储mcc、mnc、路由指示符和rand的组合以作为akmaid,其可用来识别针对ue的akma过程或者可用作用来识别akma锚点密钥的标识符。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括mcc、mnc、ausfid和rand的组合。在所公开技术的一些实施例中,ue生成并存储mcc、mnc、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合以作为akmaid,其可用来识别针对ue的akma过程或者可用作用来识别akma锚点密钥的标识符。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括mcc、mnc、ausfid、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、路由指示符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。在一些实施方式中,akma标识符(akmaid)除了其他方面以外可以包括移动国家代码(mcc)、移动网络代码(mnc)、认证服务器功能标识符、应用认证和密钥管理锚点功能(aanf)标识符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)以及随机数(rand)。
227.在成功的主认证之后,ue生成并存储mcc、mnc、路由指示符、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合以作为akmaid,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,rand在主认证中的认证向量(av)中生成和使用。
228.在成功的主认证之后,udm存储在主认证中的认证向量(av)中生成和使用的rand。ue在其应用会话建立过程中使用akmaid。
229.在一些实施方式中,aanf生成新rand和新akmaid。
230.在一些实施方式中,ue生成新rand和新akmaid。在一些实施方式中,ue可以利用所接收的新akmaid来更新旧akmaid。
231.在1201处,成功的5g主认证导致k
ausf
存储在ausf和ue处。ue和udm将存储rand,该rand在主认证中的认证向量(av)中生成和使用。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)及相关联的密钥标识符。k
akma
可以从k
ausf
导出。
232.在1202a处,ue生成akmaid。在这里,akmaid是由ue用于朝向af的后续请求的标识符。akmaid可以包括mcc、mnc、路由指示符和rand的组合,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,rand在主认证中的认证向量(av)中生成和使用。ue将akmaid与k
akma
和k
akma
标识符一起存储。
233.在1202b处,udm将rand和ausfid与ue的认证状态(例如,supi、认证结果、时间戳和服务网络名称)一起存储。rand是在主认证中的认证向量(av)中生成和使用的。
234.在1203处,ue利用应用会话建立请求开始与af的通信。该请求包括akmaid。
235.在1204处,af向aanf发送带有从ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(af标识符)。
236.在1205处,aanf基于akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至操作1209,这将在下文讨论。如果k
akma
不可用,则aanf从akmaid得到rand。然后,aanf向udm发送nudm_ueauth_resultstatus请求,以检索已经认证了ue的最近ausf的标识符、和ue的supi。aanf提供了rand。
237.在1206处,udm基于rand检索已经认证了ue的ausf实例的标识符和ue的supi的信息。udm发送nudm_ueauth_resultstatus响应,该响应包括已经向udm报告了成功的主认证的最后ausf的ausf实例标识符、和ue supi。
238.在1207处,aanf通过提供ue supi向ausf发送密钥请求。
239.在1208处,ausf根据supi来检索k
akma
和k
akma
标识符,然后将k
akma
和k
akma
标识符发送到aanf。aanf接收k
akma
和k
akma
标识符并将其与akmaid一起存储。
240.在1209处,aanf生成新rand以及基于新rand的新akmaid。在一些实施方式中,新akmaid可以包括mcc、mnc、路由指示符和新rand的组合,其中mcc、mnc和路由指示符与旧akmaid的相应部分相同。这意味着只有通过使用新rand更新旧akmaid中的旧rand才能获得新akmaid。aanf将k
akma
和k
akma
标识符与新的akmaid一起存储,并删除旧的akmaid。aanf基于k
akma
而导出k
af
。aanf设置k
af
到期时间。aanf也可以基于k
akma
和由aanf生成的新rand而导出k
af

241.在1210处,aanf向af发送密钥响应信息。该密钥响应信息包括aanf id、新rand或新akmaid、k
af
和密钥到期时间。在这里,aanf id是aanf的标识。
242.在1211处,af接收aanf id、k
af
和密钥到期时间并将其与akmaid一起存储。
243.在1212处,af向ue发送应用会话建立响应信息。该响应信息包括新rand或新akmaid以及k
af
密钥到期时间。
244.在1213处,ue利用接收到的新akmaid更新旧akmid,或者ue基于接收到的新rand生成新akmaid。在一些实施方式中,新akmaid包括mcc、mnc、路由指示符和新rand的组合,其中mcc、mnc和路由指示符与旧akmaid的相应部分相同,因此只有通过使用新rand更新旧
akmaid中的旧rand才能获得新akmaid。ue将k
akma
和k
akma
标识符与新的akmaid一起存储,并删除旧的akmaid。ue基于k
akma
而导出k
af
。ue也可以基于k
akma
和所接收的由aanf生成的新rand而导出k
af

245.图13是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
246.在1301处,成功的5g主认证导致k
ausf
存储在ausf和ue处。ue和udm存储在主认证中的认证向量(av)中生成和使用的rand。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)及相关联的密钥标识符。k
akma
可以从k
ausf
导出。
247.在1302a处,ue生成akmaid。akmaid是由ue用于朝向af的后续请求的标识符。akmaid只能通过运行全新的主认证来刷新。这意味着akmaid生命期不能短于主认证之间的时间间隔。在一些实施方式中,akmaid包括mcc、mnc、路由指示符、aanf id和rand的组合,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,aanf id是用来识别aanf实体的标识符,rand在主认证中的认证向量(av)中生成和使用。ue将akmaid与k
akma
和k
akma
标识符一起存储。
248.在1302b处,udm将rand和ausfid与ue的认证状态(例如,supi、认证结果、时间戳和服务网络名称)一起存储。rand是在主认证中的认证向量(av)中生成和使用的。
249.在1303处,ue利用应用会话建立请求开始与af的通信。该请求包括akmaid。
250.在1304处,af向aanf发送带有从ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(af标识符)。
251.在1305处,aanf通过akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至操作1309,这将在下文讨论。如果k
akma
不可用,则aanf从akmaid得到rand。然后,aanf向udm发送nudm_ueauth_resultstatus请求,以检索已经认证了ue的最近ausf的标识符、和ue的supi。aanf提供了rand。
252.在1306处,udm基于rand检索已经认证了ue的ausf实例的标识符和ue的supi的信息。udm发送nudm_ueauth_resultstatus响应,该响应包括向udm报告了成功的主认证的最后ausf的ausf实例标识符、和ue supi。
253.在1307处,aanf通过提供ue supi向ausf发送密钥请求。
254.在1308处,ausf根据supi来检索k
akma
和k
akma
标识符,然后将k
akma
和k
akma
标识符发送到aanf。aanf接收k
akma
和k
akma
标识符并将其与akmaid一起存储。
255.在1309处,aanf基于k
akma
而导出k
af
。aanf可以设置k
af
到期时间。
256.在1310处,aanf向af发送密钥响应信息。该密钥响应信息包括aanf id、k
af
和密钥到期时间。aanf id是aanf的标识。
257.在1311处,af接收aanf id、k
af
和密钥到期时间并将其与akmaid一起存储。
258.在1312处,af向ue发送应用会话建立响应信息。该响应信息可以包括k
af
密钥到期时间。
259.在1313处,ue基于k
akma
而导出k
af

260.图14是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
261.在1401处,成功的5g主认证导致k
ausf
存储在ausf和ue处。ue和udm存储在主认证中
的认证向量(av)中生成和使用的rand。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)。k
akma
可以从k
ausf
导出。在一些实施方式中,成功的5g主认证导致k
ausf
存储在ausf和ue处。ue生成并存储由base64encode所生成的rand。作为ue注册过程的一部分,ue和ausf生成akma锚点密钥(k
akma
)。k
akma
可以从k
ausf
导出。
262.在1402a处,ue生成akmaid。akmaid是由ue用于朝向af的后续请求的标识符。akmaid可以包括mcc、mnc、路由指示符、aanf id、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,aanf id是用来识别aanf实体的标识符,rand在主认证中的认证向量(av)中生成和使用。ue存储akmaid及k
akma
和k
akma
标识符。在一些实施方式中,akmaid还可以包括mcc、mnc、路由指示符、aanf id、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,aanf id是用来识别aanf实体的标识符,rand由base64encode生成。ue存储akmaid及k
akma
和k
akma
标识符。在一些实施方式中,akmaid还可以包括aanf id、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和rand的组合,其中aanf id是用来识别aanf实体的标识符(诸如aanf域名),rand由base64encode生成。ue将akmaid与k
akma
和k
akma
标识符一起存储。
263.在1402b处,udm将rand和ausfid与ue的认证状态(例如,supi、认证结果、时间戳和服务网络名称)一起存储。rand是在主认证中的认证向量(av)中生成和使用的。
264.在1403处,ue利用应用会话建立请求开始与af的通信。该请求包括akmaid。
265.在1404处,af向aanf发送带有从ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(例如,af标识符)。af可以基于akmaid选择aanf。
266.在1405处,aanf通过akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至操作1409,这将在下文讨论。如果k
akma
不可用,则aanf从akmaid得到rand和/或ue标识符。然后,aanf向udm发送nudm_ueauth_resultstatus请求,以检索已认证了ue的最近ausf的标识符、和ue的supi。aanf提供了rand和/或ue标识符。在一些实施方式中,aanf通过akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至操作1409,这将在下文讨论。如果k
akma
不可用,则aanf向udm发送nudm_ueauth_resultstatus请求,以检索已认证了ue的最近ausf的标识符、和ue的supi。aanf提供了akmaid。
267.在1406处,udm基于rand和/或ue标识符检索已认证了ue的ausf实例的标识符和ue的supi的信息。udm发送nudm_ueauth_resultstatus响应,该响应包括向udm报告了成功的主认证的最后ausf的ausf实例标识符、和ue supi。在一些实施方式中,udm基于akmaid检索已认证了ue的ausf实例的标识符和ue的supi的信息。udm发送nudm_ueauth_resultstatus响应,该响应包括向udm报告了成功的主认证的最后ausf的ausf实例标识符、和ue supi。
268.在1407处,aanf通过提供ue supi向ausf发送密钥请求。
269.在1408处,ausf根据supi来检索k
akma
和k
akma
标识符,然后将k
akma
和k
akma
标识符发送到aanf。aanf接收k
akma
和k
akma
标识符并将其与akmaid一起存储。
270.在1409处,aanf通过base64encode(rand)生成新rand,并基于新rand生成新
akmaid,新akmaid可以包括mcc、mnc、路由指示符、aanf id、用户设备(ue)标识符(诸如,通用公共订阅标识符(gpsi)或其他ue标识符)和新rand的组合,其中mcc、mnc、路由指示符和aanf id与旧akmaid的相应部分相同。aanf将k
akma
和k
akma
标识符与新akmaid一起存储,并删除旧akmaid。aanf基于k
akma
而导出k
af
。aanf可以设置k
af
到期时间。aanf还可以基于k
akma
和由aanf所生成的新rand来导出k
af

271.在1410处,aanf向af发送密钥响应信息。该密钥相应消息可以包括aanf id、新rand或新akmaid、k
af
和密钥到期时间。aanf id是aanf的标识,aanf id可以是域名,即aanf_server_domain_name。
272.在1411处,af接收aanf id、k
af
和密钥到期时间并将其与akmaid一起存储。
273.在1412处,af向ue发送应用会话建立响应信息。该响应信息可以包括新rand或新akmaid以及k
af
密钥到期时间。在一些实施方式中,af向ue发送应用会话建立响应信息。该响应信息可以包括新rand或新akmaid(akmaid=base64encode(rand)@aanf_server_domain_name)以及k
af
密钥到期时间。
274.在1413处,ue利用所接收的新akmaid更新旧akmid。在另一实施方式中,ue基于所接收的新rand生成新akmaid,并且新akmaid包括mcc、mnc、路由指示符、aanf id、用户设备(ue)标识符和新rand的组合,其中mcc、mnc、路由指示符和aanf id与旧akmaid的相应部分相同。ue将k
akma
和k
akma
标识符与新akmaid一起存储,并可以删除旧akmaid。ue基于k
akma
而导出k
af
。ue也可以基于k
akma
和所接收的新rand(其由aanf生成)而导出k
af

275.图15是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示例过程的流程图。
276.在1501处,成功的5g主认证导致k
ausf
存储在ausf和ue处。ue存储了在主认证中的认证向量(av)中生成和使用的rand。udm可以存储在主认证中的认证向量(av)中生成和使用的rand。
277.在1502a处,ausf使用nudm_ue authentication_result确认请求通知udm关于与ue的认证过程的结果和时间。这包括supi、认证的时间戳、认证类型(例如,eap方法或5g-aka)和服务网络名称。
278.在1502b处,udm向ausf回复包括aanf id的nudm_ue authentication_result确认响应。作为ue的订阅的一部分,aanf id可以存储在udm中。
279.在1503a处,ue生成针对ue的k
akma
和密钥标识符akmaid。akmaid是由ue用于朝向af的后续请求的标识符。akmaid包括mcc、mnc、路由指示符、aanf id和rand的组合,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,aanf id是用来识别aanf实体的标识符,rand在主认证中的认证向量(av)中生成和使用。ue将akmaid与k
akma
一起存储。aanf id可以作为ue订阅的一部分被存储在usim中。
280.在1503b处,ausf为ue生成k
akma
和密钥标识符akmaid。akmaid是由ue用于朝向af的后续请求的标识符。akmaid可以包括mcc、mnc、路由指示符、aanf id和rand的组合,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,aanf id是用来识别aanf实体的标识符,rand在主认证中的认证向量(av)中生成和使用。ausf将akmaid与k
akma
一起存储。
281.图16是说明了基于所公开技术的一些实施例的由通信系统的组件执行的又一示
例过程的流程图。
282.在1601处,成功的5g主认证导致k
ausf
存储在ausf和ue处。ue和udm存储了在主认证中的认证向量(av)中生成和使用的rand。作为ue注册过程的一部分,ue和ausf生成并存储akma锚点密钥(k
akma
)及相关联的密钥标识符akmaid。k
akma
可以从k
ausf
导出。akmaid是由ue用于朝向af的后续请求的标识符。akmaid只能通过运行全新的主认证来刷新。这意味着akmaid生命期不能短于主认证之间的时间间隔。akmaid可以包括mcc、mnc、路由指示符、aanf id和rand的组合,其中mcc唯一识别国家,mnc识别归属plmn,路由指示符用来将带有akmaid的网络信令路由到udm实例,aanf id是用来识别aanf实体的标识符,以及rand是在主认证中的认证向量(av)中生成和使用的。
283.在1602处,ue利用应用会话建立请求开始与af的通信。该请求包括akmaid。
284.在1603处,af利向aanf发送带有ue接收到的akmaid的密钥请求,以请求用于ue的af特定密钥。af还在请求中包括其标识(af标识符)。
285.在1604处,aanf通过akmaid检查其是否具有ue特定的k
akma
密钥。如果k
akma
在aanf中可用,则aanf进行至步骤1608。如果k
akma
不可用,则aanf从akmaid得到rand。然后,aanf向udm发送nudm_ueauth_resultstatus请求,以检索认证了ue的最近ausf的标识符、和ue的supi。aanf提供了rand。
286.在1605处,udm检索基于rand认证ue的ausf实例的标识符的信息。udm发送nudm_ueauth_resultstatus响应,该响应包括向udm报告了成功的主认证的最后ausf的ausf实例标识符。
287.在1606处,aanf通过提供akmaid向ausf发送密钥请求。
288.在1607处,ausf根据akmaid来检索k
akma
和k
akma
标识符,然后将k
akma
发送到aanf。aanf接收并存储k
akma
和akmaid。
289.在1608处,aanf基于k
akma
而导出k
af
。aanf可以设置k
af
到期时间。
290.在1609处,aanf向af发送密钥响应信息。该密钥响应信息包括k
af
和密钥到期时间。
291.在1610处,af接收k
af
和密钥到期时间并将其与akmaid一起存储。
292.在1611处,af向ue发送应用会话建立响应信息。该响应信息可以包括k
af
密钥到期时间。
293.在1612处,ue基于k
akma
而导出k
af

294.图17是说明了基于所公开技术的一些实施例的无线通信方法的示例的流程图。无线通信方法1700包括:在1710处,由第一功能实体至少使用移动国家代码、移动网络代码和随机数来生成第一标识符,该第一标识符被配置为用来为第一设备建立安全通信;并且在1720处,向第一设备传送第一标识符。在一些实施方式中,第一设备包括用户设备(ue)。在一些实施方式中,第一标识符还基于路由指示符(例如,routing indicator)或认证服务器功能标识符中的至少一个。在所公开技术的一些实施例中,第一标识符包括上文所讨论的akmaid。在一些实施方式中,移动国家代码(例如,mcc)被用来识别执行第一功能实体所在的国家,移动网络代码(例如,mnc)被用来识别归属公共陆地移动网络,随机数(例如,rand)由第一功能实体分配以用于第一设备,路由指示符被用来路由具有认证和密钥管理的网络信令,并且认证服务器功能标识符(例如,ausfid)被用来识别认证服务器功能实体(例如,ausf)。在一些实施方式中,第一标识符根据用于应用认证和密钥管理(例如,akma)的架构
来生成。
295.在旨在支持认证和密钥管理的移动网络服务中,功能实体的集合可以被部署在移动网络中。这种功能实体包括网络开放功能实体(nef)、akma锚点功能实体(aanf)、统一数据管理实体(ude)、认证服务器功能实体(ausf)、接入和移动性管理功能实体(amf)以及应用功能实体(af)。功能实体使用基于服务的接口彼此交互。
296.在一些实施方式中,第一标识符到第一设备的传送通过由统一数据管理实体(例如,ude)执行针对第一设备的参数更新过程来进行。在一些实施方式中,第一功能实体存储第一标识符。在一些实施方式中,第一设备存储第一标识符。
297.在一些实施方式中,无线通信方法1700还包括:由第一功能实体向第二功能实体发送第一标识符。在一些实施方式中,第二功能实体被配置为存储第一标识符。
298.在一些实施方式中,第二功能实体是认证服务器功能实体(例如,ausf)。
299.在一些实施方式中,第一功能实体包括与网络开放功能实体(例如,nef)、应用认证和密钥管理锚点功能实体(例如,aanf)、统一数据管理实体(例如,ude)、接入和移动性管理功能实体(例如,amf)或应用功能实体(例如,af)中的至少一个进行通信的认证服务器功能实体(例如,ausf)。在一些实施方式中,第二功能实体包括统一数据管理实体(例如,ude)。
300.在一些实施方式中,第一标识符是在完成主认证时生成的。在一些实施方式中,第一设备被配置为使用第一标识符来建立与应用功能(例如,af)的安全通信。
301.在一些实施方式中,第一标识符还基于应用认证和密钥管理锚点功能(aanf)标识符。在一些实施方式中,第一标识符被用来识别针对第一设备(诸如ue)的应用认证和密钥管理(akma)过程。在一些实施方式中,第一标识符被用作用来识别应用认证和密钥管理(akma)锚点密钥的标识符。
302.图18是说明了基于所公开技术的一些实施例的无线通信方法的另一示例的流程图。无线通信方法1800包括:在1810处,由第一功能实体或第一设备使用移动国家代码、移动网络代码、随机数和指示符来生成第一标识符,该第一标识符被配置为用来为第一设备建立安全通信;并且在1820处,向第一设备传送第一标识符。
303.在所公开技术的一些实施例中,第一标识符包括上文所讨论的akmaid。在一些实施方式中,指示符包括路由指示符。在一些实施方式中,移动国家代码(例如,mcc)被用来识别执行第一功能实体所在的国家,移动网络代码(例如,mnc)被用来识别归属公共陆地移动网络,随机数(例如,rand)由第一功能实体分配以用于认证,路由指示符(例如,routing indicator)被用来路由具有认证和密钥管理的网络信令。在一些实施方式中,第一标识符根据用于应用认证和密钥管理(akma)的架构来生成。
304.在一些实施方式中,第一功能实体存储第一标识符。在一些实施方式中,第一设备存储第一标识符。在一些实施方式中,第一功能实体包括与网络开放功能实体(例如,nef)、应用认证和密钥管理锚点功能实体(例如,aanf)、认证服务器功能实体(例如,ausf)、接入和移动性管理功能实体(例如,amf)或应用功能实体(例如,af)中的至少一个进行通信的统一数据管理实体(例如,udm)。
305.在一些实施方式中,第一标识符是在完成主认证时生成的。在一些实施方式中,第一设备被配置为使用第一标识符来建立与无线通信内的网络功能的安全通信。在一些实施
方式中,第一设备包括用户设备(ue)。在一些实施方式中,统一数据管理实体(例如,udm)和用户设备(ue)存储第一标识符。
306.在一些实施方式中,随机数被包括在要被用于主认证中的认证向量中。在一些实施方式中,应用认证和密钥管理锚点功能实体(例如,aanf)生成新的随机数(例如,新rand)以生成新的第一标识符。在一些实施方式中,第一设备使用新的随机数来更新第一标识符。
307.在一些实施方式中,第一功能实体包括统一数据管理实体(例如,udm),并且第一设备包括用户设备(ue),并且统一数据管理实体和用户设备存储被配置为用来为第一设备建立安全通信的第一标识符。在一些实施方式中,统一数据管理实体和用户设备在完成主认证时生成并存储第一标识符。在一些实施方式中,该指示符是路由指示符,以利用指示符将网络信令路由到统一数据管理实例。
308.图19是说明了基于所公开技术的一些实施例的无线通信方法的另一示例的流程图。无线通信方法1900包括:在1910处,由第一设备使用移动国家代码、移动网络代码、随机数和路由指示符来生成第一标识符,该第一标识符被配置为用来为第一设备建立安全通信;并且在1920处,由第一设备存储第一标识符以进行对应用功能实体的后续请求。
309.在一些实施方式中,无线通信方法1900还包括:由第一设备致使统一数据管理实体存储随机数。在一些实施方式中,随机数被生成并被用于主认证中的认证向量中。
310.在所公开技术的一些实施例中,第一标识符包括上文所讨论的akmaid。在一些实施方式中,第一标识符由应用认证和密钥管理(akma)锚点功能实体(例如,aanf)使用akma锚点功能实体所生成的新的随机数(例如,新rand)来更新。在一些实施方式中,akma锚点功能实体被配置为使用新的随机数和akma锚点密钥(例如,k
akma
)来导出应用密钥(例如,k
af
)。
311.在一些实施方式中,无线通信方法1500还包括:由第一设备使用应用认证和密钥管理(akma)锚点功能实体生成的新的随机数来更新第一标识符。
312.在一些实施方式中,第一设备是用户设备(ue)。在一些实施方式中,第一设备被配置为在应用会话建立过程中使用第一标识符。
313.在一些实施方式中,第一标识符还基于应用认证和密钥管理锚点功能(aanf)标识符。在一些实施方式中,移动国家代码被用来识别第一功能实体运行所在的国家,移动网络代码被用来识别归属公共陆地移动网络,随机数由第一功能实体分配以被用于认证,路由指示符被用来路由具有认证和密钥管理的网络信令,以及应用认证和密钥管理锚点功能(aanf)标识符被用来识别应用认证和密钥管理锚点功能(aanf)功能实体。在一些实施方式中,第一标识符被用来识别针对第一设备的应用认证和密钥管理(akma)过程。在一些实施方式中,第一标识符被用作用来识别应用认证和密钥管理(akma)锚点密钥的标识符。
314.图20是说明了基于所公开技术的一些实施例的无线通信方法的另一示例的流程图。无线通信方法2000包括:在2010处,在完成主认证时,获得存储在第一功能实体和第一设备处的中间密钥;在2020处,基于中间密钥来生成用于应用认证和密钥管理的锚点密钥;在2030处,使用移动国家代码、移动网络代码、路由指示符、用于应用认证和密钥管理的锚点功能实体标识符、随机数以及第一设备标识符来生成第一标识符;在2040处,存储第一标识符和用于应用认证和密钥管理的锚点密钥;并且在2050处,使用第一标识符来为第一设备建立安全通信。在一些实施方式中,第一设备标识符是ue标识符。
315.在一些实施方式中,第一功能实体包括认证服务器功能实体。在一些实施方式中,
中间密钥包括认证服务器功能密钥(k
ausf
)。在一些实施方式中,用于应用认证和密钥管理的锚点功能实体标识符被用来识别akma锚点功能(aanf)实体。在一些实施方式中,使用第一标识符来为第一设备建立安全通信包括:致使应用功能实体向aanf实体传送包括第一标识符的密钥请求。
316.在一些实施方式中,使用第一标识符来为第一设备建立安全通信包括:致使aanf实体基于用于应用认证和密钥管理的锚点密钥而导出应用功能密钥。
317.在一些实施方式中,使用第一标识符来为第一设备建立安全通信还包括:致使第一设备基于用于应用认证和密钥管理的锚点密钥而导出应用功能密钥。在一些实施方式中,使用第一标识符来为第一设备建立安全通信包括:使用移动国家代码、移动网络代码、路由指示符、用于应用认证和密钥管理的锚点功能实体标识符以及新的随机数来生成新的第一标识符。
318.在一些实施方式中,使用第一标识符来为第一设备建立安全通信还包括:致使第一设备利用新的第一标识符更新第一标识符。
319.在一些实施方式中,无线通信方法2000还包括:致使认证服务器功能实体通知统一数据管理实体关于主认证的结果。在一些实施方式中,第一设备是用户设备。
320.图21是根据可以应用的本技术的一个或多个实施例的无线电站的一部分的框图表示。无线电站2105(诸如,基站或无线设备(或ue))可以包括处理器电子设备2110(诸如微处理器),其实施本文档所呈现的无线技术中的一种或多种。无线电站2105可以包括收发器电子设备2115,以通过一个或多个通信接口(诸如天线2120)发送和/或接收无线信号。无线电站2105可以包括其他通信接口,以用于传送和接收数据。无线电站2105可以包括一个或多个存储器(未明确示出),其被配置为存储诸如数据和/或指令之类的信息。在一些实施方式中,处理器电子设备2110可以包括收发器电子设备715中的至少一部分。在一些实施例中,所公开的技术、模块或功能中的至少一些使用无线电站2105来实施。
321.本文所述的一些实施例在方法或过程的一般上下文中进行描述,这些方法或过程可以由计算机程序产品实施在一个实施例中,具体体现在包括诸如程序代码的计算机可执行指令在内的计算机可读介质中,由计算机在网络环境中执行。计算机可读介质可以包括可移动和不可移动的存储设备,包括但不限于:只读存储器(rom)、随机存取存储器(ram)、光盘(cd)、数字通用光盘(dvd)等。因此,计算机可读介质可以包括非暂时性存储介质。通常上,程序模块可以包括执行具体任务或实施具体抽象数据类型的例程、程序、对象、组件、数据结构等。计算机的或处理器可执行的指令、相关联的数据结构和程序模块表示用于执行本文所公开的方法的步骤的程序代码的示例。这样的可执行指令或相关联数据结构的具体序列表示用于实施这样的步骤或过程中所描述的功能的相应动作的示例。
322.所公开的实施例中的一些可以被实施为使用硬件电路、软件或其组合的设备或模块。例如,硬件电路实施方式可以包括离散的模拟和/或数字组件,其例如被集成为印刷电路板的一部分。替选地或附加地,所公开的组件或模块可以被实施为专用集成电路(asic)和/或现场可编程门阵列(fpga)设备。一些实施方式可以附加地或替选地包括数字信号处理器(dsp),其是具有针对与本技术所公开的功能相关联的数字信号处理的操作需要而优化的架构的专门微处理器。类似地,每个模块内的各种组件或子组件可以被实施在软件、硬件或固件中。模块和/或模块内的组件之间的连接性可以使用本领域公知的连接方法和媒
介中的任何一种来提供,包括但不限于经由使用适当协议的互联网、有线或无线网络的通信。
323.尽管本文档包含许多细节,但是这些细节不应被解释为对要求保护的发明或可以要求保护的内容的范围的限制,而是对特定于具体实施例的特征的描述。本文档在单独实施例的上下文中所描述的某些特征也可以被实施在单个实施例的组合中。相反,在单个实施例的上下文中所描述的各种特征也可以被单独实施在多个实施例中或者被实施在任何合适的子组合中。此外,虽然特征可以在上文中被描述为在特定组合甚至在最初要求的组合中起作用,但是在一些情况下来自所要求保护的组合的一个或多个特征可以从组合中脱离,并且所要求保护的组合可以涉及子组合或子组合的变型。类似地,尽管在附图中以特定顺序描绘了操作,但是这不应理解为要求以所示的特定顺序或以连续的顺序执行这些操作或者执行所有示出的操作来实现期望的结果。
324.仅描述了少许实施方式和示例,并且基于本公开中所描述和示出的内容可以作出其他实施方式、增强和变型。

技术特征:
1.一种用于无线通信的方法,包括:由第一功能实体至少使用移动国家代码、移动网络代码和随机数来生成第一标识符,所述第一标识符被配置为要用来为第一设备建立安全通信;并且向所述第一设备传送第一标识符。2.根据权利要求1所述的方法,其中,所述第一设备还被配置为生成所述第一标识符。3.根据权利要求1所述的方法,其中,所述第一标识符还基于路由指示符或认证服务器功能标识符中的至少一个。4.根据权利要求1所述的方法,其中,所述第一标识符还基于应用认证和密钥管理锚点功能(aanf)标识符。5.根据权利要求1所述的方法,其中,所述第一标识符还基于用户设备(ue)标识符。6.根据权利要求1至5中任一项所述的方法,其中,所述移动国家代码被用来识别运行第一功能实体所在的国家,所述移动网络代码被用来识别归属公共陆地移动网络,所述随机数由第一功能实体分配以被用于第一设备,所述路由指示符被用来路由具有认证和密钥管理的网络信令,所述认证服务器功能标识符被用来识别认证服务器功能实体,所述应用认证和密钥管理锚点功能(aanf)标识符被用来识别aanf功能实体,并且所述ue标识符被用来识别用户设备。7.根据权利要求1至5中任一项所述的方法,其中,所述第一标识符被用来识别针对所述第一设备的应用认证和密钥管理(akma)过程。8.根据权利要求1至5中任一项所述的方法,其中,所述第一标识符被用作用来识别应用认证和密钥管理(akma)锚点密钥的标识符。9.根据权利要求1所述的方法,其中,所述第一标识符到所述第一设备的传送通过由统一数据管理实体(例如,ude)执行针对所述第一设备的参数更新过程来进行。10.根据权利要求1所述的方法,其中,所述第一功能实体或所述第一设备中的至少一个存储所述第一标识符。11.根据权利要求1所述的方法,还包括:由所述第一功能实体向第二功能实体发送所述第一标识符。12.根据权利要求11所述的方法,其中,所述第二功能实体被配置为存储所述第一标识符。13.根据权利要求1至12中任一项所述的方法,其中,所述第一功能实体包括与网络开放功能实体、应用认证和密钥管理锚点功能实体、认证服务器功能实体、接入和移动性管理功能实体或应用功能实体中的至少一个进行通信的统一数据管理实体。14.根据权利要求13所述的方法,其中,所述第二功能实体是认证服务器功能实体。15.根据权利要求1至12中任一项所述的方法,其中,所述第一功能实体包括与网络开放功能实体、应用认证和密钥管理锚点功能实体、统一数据管理实体、接入和移动性管理功能实体或应用功能实体中的至少一个进行通信的认证服务器功能实体。16.根据权利要求15所述的方法,其中,所述第二功能实体是统一数据管理实体。17.根据权利要求1至16中任一项所述的方法,其中,所述第一标识符是在完成主认证时生成的。18.根据权利要求1至16中任一项所述的方法,其中,所述第一设备被配置为使用所述
第一标识符来建立与应用功能的安全通信。19.根据权利要求1至16中任一项所述的方法,其中,所述第一设备包括用户设备(ue)。20.根据权利要求1至19中任一项所述的方法,其中,所述随机数被包括在要被用于主认证中的认证向量中。21.根据权利要求1至19中任一项所述的方法,其中,应用认证和密钥管理锚点功能实体生成新的随机数以生成新的第一标识符。22.根据权利要求21所述的方法,其中,所述第一设备使用所述新的随机数来更新所述第一标识符。23.一种用于无线通信的方法,包括:由第一设备使用移动国家代码、移动网络代码、随机数和路由指示符来生成第一标识符,所述第一标识符被配置为要用来为第一设备建立安全通信;并且由所述第一设备存储所述第一标识符以进行对应用功能实体的后续请求。24.根据权利要求23所述的方法,其中,所述第一标识符还基于应用认证和密钥管理锚点功能(aanf)标识符。25.根据权利要求23所述的方法,其中,所述第一标识符还基于用户设备(ue)标识符。26.根据权利要求23至25所述的方法,其中,所述移动国家代码被用来识别运行第一功能实体所在的国家,所述移动网络代码被用来识别归属公共陆地移动网络,所述随机数由第一功能实体分配,所述路由指示符被用来路由具有认证和密钥管理的网络信令,所述应用认证和密钥管理锚点功能(aanf)标识符被用来识别应用认证和密钥管理锚点功能(aanf)功能实体,以及所述ue标识符被用来识别用户设备。27.根据权利要求23至25所述的方法,其中,所述第一标识符被用来识别针对所述第一设备的应用认证和密钥管理(akma)过程。28.根据权利要求23至25所述的方法,其中,所述第一标识符被用作用来识别应用认证和密钥管理(akma)锚点密钥的标识符。29.根据权利要求28所述的方法,还包括:由第一设备致使统一数据管理实体存储随机数。30.根据权利要求29所述的方法,其中,所述随机数被生成并被用于主认证中的认证向量中。31.根据权利要求29所述的方法,其中,所述第一标识符由应用认证和密钥管理(akma)锚点功能实体使用所述akma锚点功能实体所生成的新的随机数来更新。32.根据权利要求31所述的方法,其中,所述akma锚点功能实体被配置为使用所述新的随机数和akma锚点密钥来导出应用密钥。33.根据权利要求29所述的方法,还包括:由所述第一设备使用应用认证和密钥管理(akma)锚点功能实体所生成的新的随机数来更新所述第一标识符。34.根据权利要求23至33中任一项所述的方法,其中,所述第一设备是用户设备。35.根据权利要求23至33中任一项所述的方法,其中,所述第一设备被配置为在应用会话建立过程中使用所述第一标识符。36.一种用于无线通信的方法,包括:在完成主认证时,获得存储在第一功能实体和第一设备处的中间密钥;
基于所述中间密钥来生成用于应用认证和密钥管理的锚点密钥;使用移动国家代码、移动网络代码、路由指示符、用于应用认证和密钥管理的锚点功能实体标识符、随机数以及第一设备标识符来生成第一标识符;存储所述第一标识符和所述用于应用认证和密钥管理的锚点密钥;并且使用所述第一标识符来为所述第一设备建立安全通信。37.根据权利要求36所述的方法,其中,所述第一功能实体包括认证服务器功能实体。38.根据权利要求37所述的方法,其中,所述中间密钥包括认证服务器功能密钥(k
ausf
)。39.根据权利要求36所述的方法,其中,用于应用认证和密钥管理的锚点功能实体标识符被用来识别akma锚点功能(aanf)实体,并且所述第一设备标识符是被用来识别用户设备的ue标识符。40.根据权利要求39所述的方法,其中,使用所述第一标识符来为所述第一设备建立所述安全通信包括:致使应用功能实体向aanf实体传送包括所述第一标识符的密钥请求。41.根据权利要求39所述的方法,其中,使用所述第一标识符来为所述第一设备建立所述安全通信包括:致使aanf实体基于用于应用认证和密钥管理的锚点密钥而导出应用功能密钥。42.根据权利要求41所述的方法,其中,使用所述第一标识符来为所述第一设备建立所述安全通信还包括:致使所述第一设备基于用于应用认证和密钥管理的锚点密钥而导出应用功能密钥。43.根据权利要求39所述的方法,其中,使用所述第一标识符来为所述第一设备建立所述安全通信包括:生成新的随机数以使用所述移动国家代码、所述移动网络代码、所述路由指示符、用于应用认证和密钥管理的锚点功能实体标识符以及所述新的随机数来来生成新的第一标识符。44.根据权利要求43所述的方法,其中,使用所述第一标识符来为所述第一设备建立所述安全通信还包括:致使所述第一设备利用所述新的第一标识符更新所述第一标识符。45.根据权利要求37所述的方法,还包括:致使所述认证服务器功能实体通知统一数据管理实体关于所述主认证的结果。46.根据权利要求36至45中任一项所述的方法,其中,所述第一设备是用户设备。47.一种用于无线通信的装置,包括存储器和处理器,其中所述处理器从所述存储器读取代码,并实施根据权利要求1至46中任一项所述的方法。48.一种计算机可读程序存储介质,具有存储于其上的代码,所述代码在由处理器执行时致使所述处理器实施根据权利要求1至46中任一项所述的方法。

技术总结
描述了在无线网络中建立安全通信的方法。在一个示例方面,一种无线通信方法包括:由第一功能实体至少使用移动国家代码、移动网络代码和随机数来生成第一标识符,该第一标识符被配置为要用来为第一设备建立安全通信;并且向第一设备传送第一标识符。第一设备传送第一标识符。第一设备传送第一标识符。


技术研发人员:余万涛 游世林 刘宇泽 彭锦 林兆骥 毛玉欣
受保护的技术使用者:中兴通讯股份有限公司
技术研发日:2020.03.31
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-6238.html

专利

最新回复(0)