【技術實現步驟摘要】
本申請一般地涉及無線通信網絡領域,并且更具體地涉及用于認證通信網絡中的用戶設備(ue)的改進技術。
技術介紹
1、目前,第五代(“5g”)蜂窩系統,也稱為新無線電(nr),正在第三代合作伙伴項目(3gpp)內進行標準化。針對最大的靈活性來開發nr,以支持多種并且實質上不同的用例。除了典型的移動寬帶用例外,還有機器類型通信(mtc)、超低延遲關鍵通信(urlcc)、側鏈路設備到設備(d2d)和其他幾種用例。
2、3gpp安全工作組sa3在3gpp?ts?33.501(v15.11.0)中指定了用于5g系統(5gs)的版本15(rel-15)的安全相關功能。特別地,5gs包括許多新特征(例如,與早期的4g/lte系統相比),其需要引入新的安全機制。例如,5gs將非3gpp接入(例如,經由無線lan)與3gpp接入(例如,nr和/或lte)一起無縫集成。如此,在5gs中,用戶設備(ue,例如,無線設備)可以獨立于底層無線電接入技術(rat)來接入服務。
3、3gpp?rel-16引入了一種名為應用認證和密鑰管理(akma)的新特征,該特征基于5g中的3gpp用戶憑證,包括物聯網(iot)用例。更具體地,akma利用用戶的認證和密鑰協議(aka)憑證來引導(bootstrap)ue與應用功能(af)之間的安全性,這允許ue與應用服務器安全地交換數據。akma架構可被認為是rel-15中為5gc規定的通用引導架構(gba)的演進,并且在3gpp?ts?33.535(v.16.2.0)中被進一步規定。
4
5、3gpp?rel-17關于“5gc中增強對邊緣計算的支持的安全方面”的研究包括向邊緣計算服務器認證ue身份的要求。3gpp?ts23.558(v1.2.0)規定了使用ue?id來標識ue的在邊緣使能器客戶端(eec)與邊緣使能器服務器(ees)或邊緣配置服務器(ecs)之間的不同交互。在3gpp?ts?23.558的第7.2.6節中規定了ue?id,其中唯一的示例是通用公共訂閱標識符(gpsi)。
6、在akma的上下文中,另一個可能的ue?id是上面討論的a-kid,其可被視為臨時ueid。然而,如針對rel-17所討論的,使用a-kid來進行ue的認證存在各種難題、問題和/或困難。
技術實現思路
1、因此,本公開的示例性實施例解決了與針對應用會話認證ue相關聯的這些和其他難題、問題和/或困難,從而促進了針對5g的安全sba的有利部署。
2、本公開的一些實施例包括由與通信網絡相關聯的應用功能(af)實施的示例性方法(例如,過程)。這些示例性方法可以通過任何適當類型的af來實施。
3、這些示例性方法可以包括:向通信網絡的網絡功能(nf)發送對與af和用戶設備(ue)之間的應用會話相關聯的安全密鑰(kaf)的密鑰請求。所述密鑰請求可以包括對所述ue的第一標識符的請求或者所述ue的第二標識符。這些示例性方法還可以包括從所述nf接收包括所述安全密鑰(kaf)和以下內容之一的響應:所述第一標識符,或者與所述第二標識符或所述第一標識符相關聯的響應代碼。這些示例性方法還可以包括:基于所述響應來針對所述應用會話認證所述ue。
4、在一些實施例中,針對所述應用會話認證所述ue可以基于以下之一:
5、·確定所述密鑰請求中的所述第二標識符與所述響應中的所述第一標識符之間的匹配;
6、·所述響應代碼指示所述第二標識符與被存儲在所述通信網絡中的所述ue的標識符相匹配;或者
7、·所述密鑰請求包括所述第二標識符,并且所述響應中不存在所述響應代碼。
8、在一些實施例中,這些示例性方法還可以包括:從所述ue接收對所述應用會話的建立請求。在這些實施例中的一些實施例中,所述第二標識符可以被包括在所述密鑰請求中,并且以下內容之一適用:
9、·在所述建立請求中接收所述第二標識符;或者
10、·所述第二標識符被本地存儲在所述af處。
11、在這些實施例中的一些實施例中,所述第二標識符可以是所述ue的通用公共訂閱標識符(gpsi),并且在所述響應中接收的所述第一標識符可以是被存儲在所述通信網絡中的gpsi。在這些實施例中的一些實施例中,所述第二標識符可以是所述ue的訂閱永久標識符(supi),并且在所述響應中接收的所述第一標識符可以是被存儲在所述通信網絡中的supi。在這些實施例中的一些實施例中,所述建立請求和所述密鑰請求可以包括與所述ue相關聯的安全密鑰(kakma)的標識符(a-kid)。在一些實施例中,所述密鑰請求可以包括所述af的標識符(例如,af_id)。
12、在一些實施例中,所述af可以是所述通信網絡的一部分。在這樣的實施例中,所述密鑰請求可以被發送到所述通信網絡中的用于應用認證和密鑰管理的錨功能(aanf),并且從所述用于應用認證和密鑰管理的錨功能(aanf)接收所述響應。在其他實施例中,所述af可以在所述通信網絡外部。在這樣的實施例中,所述密鑰請求可以被發送到所述通信網絡中的網絡開放功能(nef),并且可以從所述網絡開放功能(nef)接收所述響應。其他實施例包括由通信網絡的網絡開放功能(nef)實施的示例性方法(例如,過程)。
13、這些示例性方法可以包括:從所述通信網絡外部的應用功能(af)接收對與所述af和用戶設備(ue)之間的應用會話相關聯的安全密鑰(kaf)的密鑰請求。所述密鑰請求可以包括對所述ue的第一標識符的請求或者所述ue的第二標識符。這些示例性方法還可以包括向所述af發送包括所述安全密鑰(kaf)和以下內容之一的響應:所述第一標識符,或者與所述第二標識符或所述第一標識符相關聯的響應代碼。
14、在一些實施例中,這些示例性方法還可以包括:確定所述ue的所述第一標識符是否被本地存儲在所述nef處。在這樣的實施例中,這些示例性方法還可以包括:基于確定所述ue的所述第一標識符被本地存儲,確定從所述af接收的所述第二標識符是否與本地存儲的第一標識符相匹配。在這種情況下,被發送到所述af的所述響應代碼可以指示從所述af接收的所述第二標識符是否與本地存儲的第一標識符相匹配。
15、在這些實施例中的一些實施例中,這些示例性方法還可以包括:基于確定所述第一標識符沒有被本地存儲,向所述通信網絡中的aanf(例如,由所述nef選擇)發送對所述安全密鑰(kaf)的密鑰請求,所述密鑰請求包括以下之一:
16、·對所述ue的所述第一標識符的請求,
17、·從本文檔來自技高網...
【技術保護點】
1.一種由與通信網絡相關聯的應用功能AF實施的方法,所述方法包括:
2.根據權利要求1所述的方法,還包括:從所述UE接收對所述應用會話的建立請求。
3.根據權利要求2所述的方法,其中,針對所述應用會話認證所述UE是基于以下內容之一:
4.根據權利要求2-3中任一項所述的方法,其中,所述第二標識符被包括在所述密鑰請求中,并且以下內容之一適用:
5.根據權利要求2-4中任一項所述的方法,
6.根據權利要求2-5中任一項所述的方法,其中,所述建立請求和所述密鑰請求包括與所述UE相關聯的安全密鑰KAKMA的標識符A-KID。
7.根據權利要求1-6中任一項所述的方法,其中,所述密鑰請求包括所述AF的標識符。
8.根據權利要求1-7中任一項所述的方法,其中:
9.根據權利要求1-7中任一項所述的方法,其中:
10.一種由通信網絡的網絡開放功能NEF實施的方法,所述方法包括:
11.根據權利要求10所述的方法,還包括:確定所述UE的所述第一標識符是否被本地存儲在所述NEF處
12.根據權利要求11所述的方法,其中:
13.根據權利要求11-12中任一項所述的方法,還包括:
14.根據權利要求13所述的方法,其中,所述響應代碼指示以下內容之一與被存儲在所述AAnF中的所述UE的標識符相匹配:
15.根據權利要求13所述的方法,其中,所述響應代碼指示所述第一標識符對所述AF不可用。
16.根據實施例10所述的方法,其中:
17.根據實施例10所述的方法,其中,當所述密鑰請求包括所述第二標識符時,在所述響應中不存在所述響應代碼表明所述第二標識符與被存儲在所述通信網絡中的所述UE的標識符相匹配。
18.根據權利要求10-17中任一項所述的方法,其中,所述密鑰請求包括與所述UE相關聯的安全密鑰KAKMA的標識符A-KID。
19.一種由通信網絡中的用于應用認證和密鑰管理的錨功能AAnF實施的方法,所述方法包括:
20.根據權利要求19所述的方法,其中:
21.根據權利要求19-20中任一項所述的方法,其中,當所述密鑰請求包括所述第二標識符時,在所述響應中不存在所述響應代碼表明所述第二標識符與被存儲在所述通信網絡中的所述UE的標識符相匹配。
22.根據權利要求19-21中任一項所述的方法,其中,所述第一標識符和所述第二標識符是通用公共訂閱標識符GPSI或訂閱永久標識符SUPI。
23.根據權利要求19所述的方法,其中:
24.根據權利要求19-23中任一項所述的方法,其中:
25.根據權利要求19-24中任一項所述的方法,其中,所述密鑰請求包括所述AF的標識符。
26.根據實施例19-25中任一項所述的方法,其中:
27.根據權利要求19-25中任一項所述的方法,其中,從所述AF接收所述密鑰請求,并且向所述AF發送所述響應,所述AF在所述通信網絡中。
28.一種與通信網絡相關聯的應用功能AF,所述AF包括:
29.一種與通信網絡相關聯的應用功能AF,所述AF被配置為實施與根據權利要求1-9中任一項所述的方法相對應的操作。
30.一種存儲計算機可執行指令的非暫時性計算機可讀介質,當由與關聯于通信網絡的應用功能AF相關聯的處理電路執行時,所述計算機可執行指令將所述AF配置為實施與根據權利要求1-9中任一項所述的方法相對應的操作。
31.一種包括計算機可執行指令的計算機程序產品,當由與關聯于通信網絡的應用功能AF相關聯的處理電路執行時,所述計算機可執行指令將所述AF配置為實施與根據權利要求1-9中任一項所述的方法相對應的操作。
32.一種通信網絡的網絡開放功能NEF,所述NEF包括:
33.一種通信網絡的網絡開放功能NEF,所述NEF被配置為實施與根據權利要求10-18中任一項所述的方法相對應的操作。
34.一種存儲計算機可執行指令的非暫時性計算機可讀介質,當由與通信網絡的網絡開放功能NEF相關聯的處理電路執行時,所述計算機可執行指令將所述NEF配置為實施與根據權利要求10-18中任一項所述的方法相對應的操作。
35.一種計算機程序產品,包括計算機可執行指令,當由與通信網絡的網絡開放功能NEF相關聯的處理電路執行時,所述計算機可執行指令將所述NEF配置為實施與根據10-18中任一項所述的方法相對應的操作。
36.一種在通信網絡中的用于應...
【技術特征摘要】
1.一種由與通信網絡相關聯的應用功能af實施的方法,所述方法包括:
2.根據權利要求1所述的方法,還包括:從所述ue接收對所述應用會話的建立請求。
3.根據權利要求2所述的方法,其中,針對所述應用會話認證所述ue是基于以下內容之一:
4.根據權利要求2-3中任一項所述的方法,其中,所述第二標識符被包括在所述密鑰請求中,并且以下內容之一適用:
5.根據權利要求2-4中任一項所述的方法,
6.根據權利要求2-5中任一項所述的方法,其中,所述建立請求和所述密鑰請求包括與所述ue相關聯的安全密鑰kakma的標識符a-kid。
7.根據權利要求1-6中任一項所述的方法,其中,所述密鑰請求包括所述af的標識符。
8.根據權利要求1-7中任一項所述的方法,其中:
9.根據權利要求1-7中任一項所述的方法,其中:
10.一種由通信網絡的網絡開放功能nef實施的方法,所述方法包括:
11.根據權利要求10所述的方法,還包括:確定所述ue的所述第一標識符是否被本地存儲在所述nef處。
12.根據權利要求11所述的方法,其中:
13.根據權利要求11-12中任一項所述的方法,還包括:
14.根據權利要求13所述的方法,其中,所述響應代碼指示以下內容之一與被存儲在所述aanf中的所述ue的標識符相匹配:
15.根據權利要求13所述的方法,其中,所述響應代碼指示所述第一標識符對所述af不可用。
16.根據實施例10所述的方法,其中:
17.根據實施例10所述的方法,其中,當所述密鑰請求包括所述第二標識符時,在所述響應中不存在所述響應代碼表明所述第二標識符與被存儲在所述通信網絡中的所述ue的標識符相匹配。
18.根據權利要求10-17中任一項所述的方法,其中,所述密鑰請求包括與所述ue相關聯的安全密鑰kakma的標識符a-kid。
19.一種由通信網絡中的用于應用認證和密鑰管理的錨功能aanf實施的方法,所述方法包括:
20.根據權利要求19所述的方法,其中:
21.根據權利要求19-20中任一項所述的方法,其中,當所述密鑰請求包括所述第二標識符時,在所述響應中不存在所述響應代碼表明所述第二標識符與被存儲在所述通信網絡中的所述ue的標識符相匹配。
22.根據權利要求19-21中任一項所述的方法,其中,所述第一標識符和所述第二標識符是通用公共訂閱標識符gpsi或訂閱永久標識符supi。
23.根據權利要求19所述的方法,其中:
24.根據權利要求19-23中任一項所...
【專利技術屬性】
技術研發人員:F·卡拉科奇,C·喬斯特,王成,V·勒托維塔,V·齊阿齊斯,
申請(專利權)人:瑞典愛立信有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。