CN114946153A - 与服务应用进行加密通信的通信网络中的应用密钥生成与管理的方法、设备及系统 - Google Patents
与服务应用进行加密通信的通信网络中的应用密钥生成与管理的方法、设备及系统 Download PDFInfo
- Publication number
- CN114946153A CN114946153A CN202080092552.3A CN202080092552A CN114946153A CN 114946153 A CN114946153 A CN 114946153A CN 202080092552 A CN202080092552 A CN 202080092552A CN 114946153 A CN114946153 A CN 114946153A
- Authority
- CN
- China
- Prior art keywords
- key
- application
- anchor
- identifier
- generating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开总体上涉及经由通信网络的终端设备与服务应用之间的加密通信。这样的加密通信可以是基于由通信网络生成和管理的各种层级的加密密钥。这样的加密通信和密钥管理可以由通信网络作为能订阅到的服务提供给终端设备。不同级别的加密密钥可以进行管理,以改善通信网络的灵活性并且减少潜在的安全漏洞。
Description
技术领域
本公开涉及用于通信网络中终端设备与服务应用之间的加密通信的锚密钥(anchor key)和应用密钥生成与管理。
背景技术
在通信网络中,可以建立通信会话和数据通路以支持终端设备与服务应用之间的数据流传输。这种数据流的传输可以受加密/解密密钥的保护。在向通信网络认证终端设备的注册过程期间并且在终端设备与服务应用之间的活动通信会话期间,各种级别的加密/解密密钥的生成和有效性管理可以通过通信网络中各种网络功能或网络节点的协作努力来提供。
发明内容
本公开涉及用于通信网络中终端设备与服务应用之间的加密通信的锚密钥和应用密钥生成与管理。
在一些实施方式中,公开了一种用于由终端设备生成应用密钥以经由终端设备与服务应用之间的通信网络进行加密数据传输的方法。该方法可以包括:基于锚密钥而生成初始应用密钥;向服务应用发送初始通信请求;从服务应用接收响应;从响应提取密钥种子;基于锚密钥和密钥种子而生成应用密钥;以及向服务应用发送数据传输请求,以基于应用密钥而建立与服务应用的加密数据通信会话。
在上述实施方式中,密钥种子可以基于初始应用密钥而从响应中提取。特别地,响应由服务应用加密并且密钥种子通过由终端设备使用初始应用密钥对响应进行解密来从响应中提取。
在一些其他实施方式中,公开了一种用于由通信网络中的应用密钥管理网络节点生成应用密钥以经由终端设备与服务应用之间的通信网络进行加密数据传输的方法。该方法可以包括:从服务应用接收第一应用密钥请求,该第一应用密钥请求包括由通信网络的认证网络节点生成的用于服务应用的第一标识符和用于锚密钥的第二标识符;获得对应于第二标识符的锚密钥,并且基于锚密钥而生成初始应用密钥;生成第一随机数,并且基于第一随机数而形成密钥种子;响应于第一应用密钥请求,向服务应用传送初始应用密钥和密钥种子;基于锚密钥和第一随机数而生成应用密钥;从服务应用接收第二应用密钥请求,该第二应用密钥请求包括从密钥种子导出的用于服务应用的第一标识符和用于锚密钥的第三标识符;以及向服务应用传送应用密钥。
在一些其他实施方式中,公开了一种网络设备。该网络设备主要包括:一个或多个处理器和一个或多个存储器,其中该一个或多个处理器被配置为从一个或多个存储器读取计算机代码以实施上述任一项所述的方法。
在另一些其他实施方式中,公开了一种计算机程序产品。该计算机程序产品可以包括:其上存储有计算机代码的非暂时性计算机可读程序介质,该计算机代码在由一个或多个处理器执行时致使一个或多个处理器实施上述任一项所述的方法。
在下文的附图、描述和权利要求中更为详细地描述了上述实施例和其他方面以及其实施方式的替代方案。
附图说明
图1示出了包括终端设备、载波网络、数据网络和服务应用的示例性通信网络。
图2示出了通信网络中的示例性网络功能或网络节点。
图3示出了无线通信网络中的示例性网络功能或网络节点。
图4示出了用于无线通信网络中的用户认证和应用锚密钥生成的示例性实施方式。
图5示出了用于生成不同级别下的密钥以使能在无线通信网络中进行终端设备与服务应用之间的加密通信的各种网络节点和网络功能的示例性功能视图。
图6示出了用于生成不同级别下的加密密钥以使能在无线通信网络中进行终端设备与服务应用之间的加密通信的示例性逻辑流程。
图7示出了用于订阅应用密钥管理服务并且生成不同级别下的密钥以使能在无线通信网络中进行终端设备与服务应用之间的加密通信的示例性架构视图以及各种网络节点和网络功能。
图8示出了用于订阅应用密钥管理服务、用户认证并且生成应用锚密钥以使能在无线通信网络中进行终端设备与服务应用之间的加密通信的示例性逻辑流程。
图9示出了用于订阅应用密钥管理服务、用户认证并且生成不同级别下的加密密钥以使能在无线通信网络中进行终端设备与服务应用之间的加密通信的示例性逻辑流程。
图10示出了用于订阅应用密钥管理服务、用户认证并且生成不同级别下的加密密钥以使能在无线通信网络中进行终端设备与服务应用之间的加密通信的另一示例性逻辑流程。
图11示出了用于订阅应用密钥管理服务、用户认证并且生成不同级别下的加密密钥以使能在无线通信网络中进行终端设备与服务应用之间的加密通信的另一示例性逻辑流程。
图12示出了用于订阅应用密钥管理服务、用户认证并且生成不同级别下的加密密钥以使能在无线通信网络中进行终端设备与服务应用之间的加密通信的又一示例性逻辑流程。
图13示出了用于在无线通信网络中更新无效应用锚密钥或应用密钥的示例性逻辑流程。
图14示出了用于在不同级别下的加密密钥变得无效的各种场景中重新认证/注册的示例性逻辑流程。
具体实施方式
如图1中的100所示,示例性通信网络可以包括:终端设备110和112、载波网络102、各种服务应用140以及其他数据网络150。载波网络102例如可以包括接入网120和核心网130。载波网络102可以被配置为在终端设备110和112之中、在终端设备110和112与服务应用140之间、或者在终端设备110和112与其他数据网络150之间传送语音、数据和其他信息(统称为数据流量)。可以为这样的数据传输建立并配置通信会话及相应的数据通路。接入网120可以被配置为提供终端设备110和112对核心网130的网络接入。核心网130可以包括被配置为控制通信会话并执行网络接入管理和数据流量路由的各种网络节点或网络功能。服务应用140可以由各种应用服务器来托管,各种应用服务器可由终端设备110和112通过载波网络102的核心网130访问。服务应用140可以被部署为核心网130外部的数据网络。同样地,其他数据网络150可由终端设备110和112通过核心网130访问,并且可表现为在载波网络102中实例化的特定通信会话的数据目的地或数据源。
图1的核心网130可以包括地理上分布和互连的各种网络节点或功能,以提供对载波网络102的服务区域的网络覆盖。这些网络节点或功能可以被实施为专用硬件网络元件。可替选地,这些网络节点或功能可以被虚拟化并实施为虚拟机或软件实体。网络节点可以各自被配置有一种或多种类型的网络功能。这些网络节点或网络功能可以共同提供核心网130的供应和路由功能。术语“网络节点”和“网络功能”在本公开中可互换使用。
图2进一步示出了通信网络200的核心网130中的网络功能的示例性划分。虽然图2仅说明了网络节点或功能的单个实例,但是本领域普通技术人员理解的是这些网络节点中的每一个都可以被实例化为在整个核心网130分布的网络节点的多个实例。如图2所示,核心网130可以包括但不限于网络节点,诸如接入管理网络节点(AMNN)230、认证网络节点(AUNN)260、网络数据管理网络节点(NDMNN)270、会话管理网络节点(SMNN)240、数据路由网络节点(DRNN)250、策略控制网络节点(PCNN)220和应用数据管理网络节点(ADMNN)210。图2中的各种连接实线指示了通过各种通信接口在各种类型的网络节点之间的示例性信令和数据交换。这种信令和数据交换可以由遵循预定格式或协议的信令或数据消息来携带。
图1和图2在上文中描述的实施方式可以应用于无线和有线通信系统两者。图3说明了基于图2的通信网络200的一般实施方式的示例性蜂窝无线通信网络300。图3示出了无线通信网络300可包括:用户设备(UE)310(充当图2的终端设备110)、无线电接入网(RAN)320(充当图2的接入网120)、服务应用140、数据网络(DN)150以及核心网130,该核心网130包括:接入管理功能(AMF)330(充当图2的AMNN 230)、会话管理功能(SMF)340(充当图2的SMNN 240)、应用功能(AF)390(充当图2的ADMNN 210)、用户平面功能(UPF)350(充当图2的DRNN 250)、策略控制功能322(充当图2的PCNN 220)、认证服务器功能(AUSF)360(充当图2的AUNN 260)和通用数据管理(UDM)功能370(充当图2的UDMNN 270)。再次,虽然图3仅说明了针对无线通信网络300(特别是核心网130)的一些网络功能或节点的单个实例,但是本领域普通技术人员理解的是这些网络节点或功能中的每一个都可以具有在整个无线通信网络300分布的多个实例。
在图3中,UE 310可以被实施为各种类型的移动设备,其被配置为经由RAN320访问核心网130。UE 310可以包括但不限于:移动电话、膝上型计算机、平板电脑、物联网(IoT)设备、分布式传感器网络节点、可穿戴设备和诸如此类。RAN 320例如可以包括在整个载波网络的服务区域分布的多个无线电基站。UE310与RAN 320之间的通信可以在如图3的311所指示的空中(OTA)无线电接口中携带。
继续图3,UDM 370可以形成用于用户合同和订阅数据的永久存储空间或数据库。UDM还可以包括认证凭证存储库和处理功能(authentication credential repositoryand processing function,ARPF,如图3的370所指示),其存储用于用户认证的长期安全凭证,并用于使用这种长期安全凭证作为输入而执行对加密密钥的计算,如下文更详细地描述的。为了防止UDM/ARPF数据的未经授权暴露,UDM/ARPF 370可以位于网络运营商或第三方的安全网络环境中。
AMF/SEAF 330可以经由通过连接这些网络节点或功能的各种实线所指示的通信接口与RAN 320、SMF 340、AUSF 360、UDM/ARPF 370和PCF 322进行通信。AMF/SEAF 330可以负责UE至非接入层(NAS)的信令管理,并且负责UE 310至核心网130的供应注册和访问,以及SMF 340的分配,以支持特定UE的通信需求。AMF/SEAF 330还可以负责UE移动性管理。AMF也可以包括安全锚定功能(security anchor function,SEAF,如图3的330所指示),其在下文将更详细地描述,并与AUSF 360和UE 310交互,进行用户认证和各种级别的加密/解密密钥的管理。AUSF 360可以终止来自AMF/SEAF 330的用户注册/认证/密钥生成请求,并与UDM/ARPF 370交互,以完成这种用户注册/认证/密钥生成。
SMF 340可以由AMF/SEAF 330分配用于在无线通信网络300中被实例化的特定通信会话。SMF 340可以负责分配支持用户数据平面中的通信会话和其中数据流的UPF 350,并且负责供应/调节所分配的UPF 350(例如,用于为所分配的UPF 350制定分组检测并转发规则)。作为由SMF 340分配的替代方案,UPF 350可以由AMF/SEAF 330分配用于特定的通信会话和数据流。由SMF 340和AMF/SEAF 330分配并供应的UPF 350可以负责数据路由和转发,并且负责报告特定通信会话的网络使用情况。例如,UPF 350可以负责在UE 310与DN150之间、在UE 310与服务应用140之间对端到端数据流(end-end data flow)进行路由。DN150和服务应用140可以包括但不限于由无线通信网络300的运营商或者由第三方数据网络和服务提供商提供的数据网络和服务。
服务应用140可以由AF 390经由例如由核心网130提供的网络暴露功能(在图3中未示出,但在下文所描述的图7中示出)来管理并供应。在管理涉及服务应用140的特定通信会话(例如,在UE 310与服务应用140之间)时,SMF340可以经由313所指示的通信接口与服务应用140相关联的AF 390交互。
PCF 322可以负责管理适用于与UE 310相关联的通信会话的各种级别的策略和规则,并将其提供给AMF/SEAF 330和SMF 340。像这样,AMF/SEAF 330例如可以根据与UE 310相关联并从PCF 322获得的策略和规则,将SMF 340分配给通信会话。同样地,SMF 340可以根据从PCF 322获得的策略和规则,分配UPF 350以处理通信会话的数据路由和转发。
虽然图2-14和下文描述的各种示例性实施方式是基于蜂窝无线通信网络,但是本公开的范围不限于此,并且基本原理适用于其他类型的无线和有线通信网络。
图3的无线通信网络300中的网络身份和数据安全可以经由通过AMF/SEAF 330、AUSF 360和UDM/ARPF 370提供的用户认证过程来管理。特别地,UE 310可以首先与AMF/SEAF 330通信进行网络注册,然后可以由AUSF360根据UDM/ARPF 370中的用户合同和订阅数据进行认证。在向无线通信网络300进行用户认证之后,为UE 310建立的通信会话然后可以由各种级别的加密/解密密钥保护。各种密钥的生成和管理可以由通信网络中的AUSF360和其他网络功能来协调。
UE 310向无线通信网络300的认证可以基于与UE 310相关联的网络身份的验证。在一些实施方式中,UE 310除主移动设备(ME)之外,还可以包括识别模块。ME例如可以包括主终端设备,其具有信息处理能力(一个或多个处理器和一个或多个存储器)并被安装有将通信和处理需求提供给UE 310的移动操作系统和其他软件组件。识别模块可以被包括在UE310内,用于向通信网络识别和认证用户并将用户与ME相关联。识别模块可以被实施为历代的订户识别模块(SIM)。例如,识别模块可以被实施为通用订户识别模块(USIM)或通用集成电路卡(UICC)。识别模块可以包括用户标识(user identification)或其衍生物。用户标识可以当用户最初订阅无线通信网络300时由通信网络的运营商来分配。
用户标识例如可以包括由无线通信网络的运营商分配给用户的订阅永久标识符(SUPI)。在一些实施方式中,SUPI可以包括国际移动订户标识号(IMSI)或网络接入标识符(NAI)。作为SUPI的替代方案,用户标识可以以隐藏标识的形式提供,诸如订阅隐藏标识符(SUCI)。在SUCI中,用户的标识可以通过加密进行隐藏和保护。例如,SUCI可以包括:1)SUPI类型,其可以占用预定数量的信息比特(例如,值0-7的三比特,其中值0可指示出用户标识是IMSI类型,值1可指示出用户标识是NAI类型,并且其他值可为其他可能的类型而保留);2)针对用户订阅到的无线网络的归属网络标识符,其在用户的SUPI是IMSI类型时可以包括针对无线通信网络300的运营商的移动国家代码(MCC)和移动网络代码(MNC),并且在用户的SUPI是NAI类型时可以替选地包括例如在IETF RFC 7542的第2.2节中指定的标识符;3)由无线通信网络300的运营商所分配的路由指示符(RID),其连同上述归属网络标识符一起确定与UE310相关联的AUSF和UDM;4)保护方案标识符(PSI),用于指示在无保护(空方案)或有保护(非空方案)之间的选择;5)归属网络公钥标识符,用于指定由归属网络提供的用于保护SUPI的公钥的标识符(当上述PSI指示空方案时,该标识符值可被设置为零);以及6)方案输出,其在上述PSI指示非空方案时,可以包括由归属网络公钥使用例如椭圆曲线加密(elliptical curve encryption)进行加密的IMSI或NAI的移动订户标识号(MSIN)部分,并且在上述PSI指示空方案时,可以包括MSIN或NAI(没有加密)。作为SUCI的示例,当IMSI是234150999999999时,即MCC=234,MNC=15且MSIN=0999999999,假设RID是678且归属网络公钥标识符是27,则未受保护的SUCI可包括{0,(234,15),678,0,0,和0999999999},并且受保护的SUCI可包括{0,(234,15),678,1,27,<使用公钥标识符27指示的公钥的0999999999的椭圆曲线加密>}。
由于经由核心网130在UE 310与其他UE、DN 150或服务应用140之间的通信会话的部分数据通路可能在例如核心网130内的安全通信环境之外,因此在这些数据通路中传送的用户身份和用户数据可能暴露于不安全的网络环境,并可能遭受到安全漏洞。像这样,使用不同级别的加密/解密密钥进一步保护通信会话中传送的数据可能是更可取的。如上文指出的,这些密钥可以由AUSF360结合对无线通信网络300的用户认证过程来管理。这些加密/解密密钥可以以多级和分级的方式组织。例如,在最初订阅到无线通信网络300的服务后,第一级基础密钥可以由AUSF 360为UE 310生成。在每次对无线通信网络进行的注册和认证后,第二级基础密钥可以为UE 310配置。这类第二级基础密钥可以在用于UE 310的注册会话期间是有效的,并且可用作用于生成其他更高级密钥的基础密钥。这类更高级密钥的示例可以包括锚密钥,其可用于导出甚至更高级别的密钥,以供用作在通信会话中传送数据的实际加密/解密密钥。
这种多级密钥方案对于涉及UE 310和服务应用140的通信会话而言会特别有用。特别地,应用锚密钥可基于基础密钥来生成,并作为用于UE 310与多个服务应用之间的通信的安全锚(security anchor)来管理。与UE 310的不同服务应用140的不同通信会话可以使用不同的数据加密/解密密钥。这些不同的数据加密/解密密钥可以各自基于锚密钥来独立地生成并管理。
在一些实施方式中,核心网130可被配置为包括用于服务应用的认证和密钥管理(AKMA)的特殊架构。无线通信网络300例如还可以包括在其核心网130中的AKMA锚定功能(AAnF)或网络节点。图3说明了示例性AAnF 380。AAnF 380可以负责为与AUSF 360及和各种服务应用相关联的各种AF 390合作的各种服务应用而生成并管理数据加密/解密密钥。AAnF 380还可以负责为UE310维护安全上下文。例如,AAnF 380的功能性可以类似于通用引导架构(GBA)中的引导服务器功能(bootstrapping server function,BSF)。多个AAnF 380可被部署在核心网130中,并且每个AAnF 380可与一个或多个服务应用及相应AF390相关联并负责对一个或多个服务应用及相应AF 390进行密钥管理。
图4和图5说明了用于上文的分级AKMA的示例性实施方式。例如,图4说明了用于为涉及服务应用的通信会话而生成基础密钥和锚密钥的实施方式400。具体而言,实施方式400可以包括用户认证过程402和锚密钥生成过程404。用户认证过程402例如可以涉及来自UE 310、AMF/SEAF 330、AUSF 360和UDM/ARPF 370的动作。例如,UE 310在进入无线通信网络后可以向AMF/SEAF330传达网络注册和认证请求。这种请求可以由AMF/SEAF 330转发给AUSF360进行处理。在认证过程期间,AUSF 360可以从UDM/ARPF 370获得用户合同和订阅信息。5G无线系统的认证过程例如可以是基于5G-AKA(认证和密钥协商)协议或EAP-AKA(扩展认证协议-AKA)的。在成功认证后,认证向量可以由UDM/ARPF 370生成,并且这种认证向量可以被传送到AUSF 360。在成功进行用户认证过程402之后,基础密钥可以在UE 310侧和网络侧的AUSF360处生成。这种基础密钥可以被称为KAUSF。
如图4中的410和420进一步所示,在锚密钥生成过程404中,锚密钥可以基于UE310和AUSF 360处的基础密钥KAUSF导出。这种锚密钥可以被称为KAKMA。如图4中的412和422进一步所示,锚密钥KAKMA的标识符可以在UE 310和AUSF 360处生成。这种标识符可以被称为KID。
图5还说明了除了生成基础密钥KAUSF 502和锚密钥KAKMA 504之外,用于生成应用密钥506以进行UE与服务应用之间的加密通信的示例性实施方式500。如图5所示,应用密钥506(表示为KAF)可以基于锚密钥KAKMA 504在网络侧和UE侧两者生成。特别是在网络侧,虽然锚密钥KAKMA 504可由AUSF 360基于基础密钥KAUSF 502来生成,但是生成应用密钥KAF 506可能涉及AAnF 380。在图5的UE侧,锚密钥KAKMA 504和应用密钥KAF 506的生成被说明为由UE的ME(移动设备)部分510执行。特别地,这种UE侧的密钥生成可以主要涉及在完成涉及UE内的识别模块(例如SIM)的用户认证过程402之后利用ME的处理能力和性能。
在图4和图5说明的应用密钥管理方案中,一个或多个AAnF 380可以被分布在核心网中,并且一个或多个AAnF 380中的每一个可以与一个或多个AF 390相关联。像这样,一个或多个AAnF 380中的每一个可以与一个或多个服务应用相关联,并可以负责生成和管理用于涉及这些服务应用的加密通信的应用密钥。虽然各自用于这些服务应用之一的应用密钥全都可以基于相同的锚密钥KAKMA504生成,但是在网络侧,这些应用密钥可由相应的AAnF380独立生成。
图6还说明了用于生成与服务应用相关联的应用密钥以使能进行UE 310与相应的AF 390之间的加密通信的示例性逻辑流程600。在步骤601-1中,UE 310可以首先由AMF/SEAF 330、AUSF 360及UDM/ARPF 370成功注册并认证(类似于图4中的402)。在UE注册和认证之后,可以生成基础密钥KAUSF。在步骤601-2中,锚密钥KAKMA和相应标识符KID可以在UE侧和网络侧两者上生成(类似于图4的410、412、420和422)。在步骤602中,UE 310通过发送通信请求消息而发起与AF 390相关联的服务应用的通信会话。该请求可以包括标识符KID,其在步骤601-2中生成并与在步骤601-1中生成的锚密钥KAKMA相关联。在步骤603中,AF 390可以向AAnF 380发送密钥请求消息,其中密钥请求消息包括锚密钥标识符KID和AF 390的标识符AFID。在步骤604中,AAnF 380确定与锚密钥标识符KID相关联的锚密钥KAKMA是否可位于AAnF 380。如果在AAnF 380中找到KAKMA,则逻辑流程600继续至步骤607。否则,在步骤604中,AAnF 380可以向AUSF 360发送携带着锚密钥标识符KID的锚密钥请求,并且响应于来自AAnF 380的锚密钥请求,在步骤605中,在AUSF 360根据锚密钥标识符KID而识别锚密钥KAKMA之后从AUSF 360接收锚密钥KAKMA。在步骤606中,如果先前尚未在AAnF 380处导出KAF或者KAF已到期,则AAnF 380基于锚密钥KAKMA而导出应用密钥KAF。所导出的KAKMA可以与应用密钥有效时间段(或到期时间)相关联。在步骤607中,AAnF 380可以向AF 390发送应用密钥KAF和对应的到期时间。在从AAnF 380获得KAKMA之后,AF可以最终响应在步骤602中从UE 310发送的通信请求。在步骤608中,该响应例如可以包括KAF的到期时间,并且这种到期时间可由UE310记录并存储。
图7说明了通过上文所公开的各种网络功能进行的AKMA实施的另一示例性架构视图700。诸如AMF/SEAF 330、AUSF 360、AF 390、UDM/ARPF 370、UE 310和AAnF 380的各种功能被说明为根据上述示例性实施方式经由与这些网络功能相关联的各种接口彼此交互,如图7指示的诸如用于AMF/SEAF 330的Namf接口、用于AUSF 360的Nausf接口、来自AF 390的Naf接口、用于UDM/ARPF 370的Nudm接口以及用于AAnF 380的NaanF接口。图7还示出了作为网关的网络暴露功能(NEF)702,用于将核心网的性能暴露提供给与服务应用相关联的AF390。在图7的示例性架构视图700中,UE 310可以经由Ua接口与AF 390通信,并且经由N1接口与AMF/SEAF 330通信。从UE 310到核心网的通信由RAN 320中继。
在上述实施方式中,AUSF、UDM、AUSF和AAnF属于UE 310的归属网络。它们可以位于由运营商或经授权的第三方提供的安全网络环境内,并且不会暴露于未经授权的网络访问。在漫游场景中,归属UDM和AUSF为UE提供认证信息,维护UE的漫游位置,并且将订阅信息供应给受访网络。
在与服务应用的通信会话中传送的应用密钥生成和数据加密/解密可能涉及大量的数据处理,这要求显著水平的计算能力和能量消耗。如果上述数据加密/解密是强制性的,则不能进行这种水平的计算的某些低端UE可能无法与服务应用进行通信。在下述一些其他实施方式中,可以提供使得UE可以与服务应用进行通信的选项,在其中数据流受应用密钥的保护或不受应用密钥的保护。像这样,不能及时执行应用密钥生成和数据加密/解密的低端UE仍然可以选择请求与服务应用的不受保护的通信会话,从而避免必须执行任何复杂的密钥生成和数据加密/解密。
这样的选项可以经由服务订阅机制来提供。例如,AKMA可以作为可由UE订阅的服务来提供。例如,UE可以订阅或不订阅AKMA服务。当UE订阅AKMA服务时,UE可以请求与服务应用的受保护的通信会话。UE和各种网络功能(诸如AAnF 380)可以相应地执行对数据加密/解密所必需的应用密钥生成。否则,当UE没有订阅AKMA服务时,UE仅可以请求与服务应用的未受保护的通信会话,并且可能不需要应用密钥和数据加密/解密。
再例如,UE可以针对可用的并经由网络暴露功能向通信网络注册的服务应用中的没有一个、一些或所有而订阅AKMA服务,而不是完全订阅AKMA服务。当UE已订阅针对特定服务应用的AKMA服务时,UE可以请求与该服务应用进行的受保护的通信会话。UE和各种网络功能(诸如AAnF 380)可以相应地执行对数据加密/解密所必需的应用密钥生成。否则,当UE没有订阅针对特定服务应用的AKMA服务时,UE仅可以请求与该服务应用进行的未受保护的通信会话,并且与该特定服务应用的通信可能不需要应用密钥和数据加密/解密。
针对服务应用的AKMA服务的UE订阅信息可以由UDM/ARPF 370在网络侧进行管理。特别地,UDM/ARPF 370可以为每个UE保持跟踪AKMA服务订阅信息。UDM/ARPF 370可以被配置为将接口提供给通信网络的其他网络功能(诸如AUSF 360),以请求特定UE的AKMA服务订阅信息。例如,UDM/ARPF370可以根据请求经由图7说明的Nudm接口向AUSF 360递送UE AKMA服务订阅信息。在这些实施方式中,除其他用户数据管理功能之外,UDM/ARPF 370实质上被配置为充当AKMA服务订阅信息的存储库。替选地,与UDM/ARPF 370分离和除了UDM/ARPF370之外的专用网络功能可以被包括在核心网中,并且被配置为管理AKMA服务订阅。
这种订阅信息可以以各种形式记录在UDM/ARPF 370中。订阅信息可以由UE来索引。例如,每个AKMA服务订阅可与UE标识符相关联。每个AKMA服务订阅还可以包括以下中的一项或多项:(1)用于UE是否订阅AKMA服务的指示符,(2)用于与UE的订阅相关联的一个或多个AAnF的标识符,和(3)对应于AAnF的锚密钥KAKMA的有效时间段(或到期时间)。AAnF的标识符可以以AAnF的网络地址的形式提供。替选地,AAnF的标识符可以以AAnF的完全限定域名(FQDN)的形式提供。每个UE可以对应于其订阅的一个或多个AAnF。
相应地,UE的识别模块(例如,通用订户识别模块(USIM)或通用集成身份卡(UICC))可以包括用于UE的AKMA服务订阅信息。这种订阅信息可以包括以下中的一项或多项:(1)用于UE是否订阅AKMA服务的指示符,(2)与UE的AKMA服务订阅相关联的一个或多个AAnF的标识符,(3)对应于AAnF的锚密钥KAKMA的有效时间段,以及(4)对应于由UE订阅的应用服务的AF的标识符。再次,AAnF的标识符可以以AAnF的网络地址的形式提供。替选地,AAnF的标识符可以以AAnF的FQDN的形式提供。每个UE可以对应于一个或多个订阅的AAnF。同样地,AF的标识符可以以AF的网络地址的形式提供。替选地,AF的标识符可以以AF的FQDN的形式提供。每个UE可以对应于一个或多个AF。在一些实施方式中,多个AF可以与相同的AAnF相关联,但每个AF仅可以与一个AAnF相关联。
图8示出了用于当UE已订阅AKMA服务时的用户认证和锚密钥KAKMA生成的示例性逻辑流程800、850和860。逻辑流程800说明了示例性的UE注册和认证过程,而逻辑流程850说明了用于生成锚密钥KAKMA的示例性过程,并且逻辑流程860说明了作为逻辑流程850的替代方案的用于生成锚密钥KAKMA的另一示例性过程。如840所示,UE 310可以订阅AKMA服务,并且对应于UE 310的AKMA服务订阅信息可以记录在UE 310中。这种订阅信息可以包括以下中的一项或多项组合:用于UE 310是否已订阅AKMA服务的指示符;一个或多个AAnF标识符;一个或多个AF标识符;以及AKMA锚密钥有效时间段。如842进一步所指示的,记录在UDM/ARPF370中的相应用户订阅信息可以包括以下中的一项或多项:用于UE 310是否已订阅AKMA服务的指示符;一个或多个AAnF标识符;和AKMA锚密钥有效时间段。在UE注册和认证过程期间,UDM/ARPF 370可以向AUSF 360传送AKMA服务订阅信息。在UE成功注册和认证后,AUSF360可以基于从UDM/ARPF 370接收到的AKMA服务订阅信息来导出AKMA锚密钥。同时,UE 310也可以基于存储在UE 310中的AKMA服务订阅信息来导出AKMA锚密钥。
图8中的步骤801-810说明了用于UE注册/认证和AKMA锚密钥生成的具体示例性步骤。在步骤801中,UE 310向AMF/SEAF 330发送请求消息,以向网络发起对UE 310的注册/认证。AMF/SEAF 330可以由UE的归属网络提供,或者在UE正在漫游的场景中由访问网络提供。该请求消息可以包括UE 310的用户标识符,诸如SUCI或5G全局唯一临时UE标识(5G-GUTI)。在步骤802中,AMF/SEAF 330向AUSF 360发送AUSF认证请求(例如,Nausf_UEAuthentication_Authenticate请求)。这种AUSF请求可包括UE 310的SUCI或SUPI。在步骤801中的注册/认证请求包括5G GUTI的情况下,AMF/SEAF 330可以首先从UE的归属AMF获得SUPI。如果失败的话,AMF/SEAF 330可以从UE 310获得SUCI。AUSF请求还可以包括用于UE310的服务网络(SN)的标识或名称。在步骤803中,在AUSF 360(用于UE的归属AUSF)确定SN名称有效之后,AUSF 360向UDM/ARPF 370发起用户认证请求消息(例如,Nudm_UEAuthentication_Get请求)。这种用户认证请求消息可以包括UE 310的SUCI或SUPI,并且还可以包括SN名称。
继续图8,在步骤804中,UDM/ARPF 370接收步骤803的用户认证请求消息,并且可以解密该消息中包含的SUCI以获得SUPI。UDM/ARPF 370然后确定用户认证的类型(例如,5G-AKA或EAP-AKA)并生成认证向量。UDM/ARPF370进一步查询其订阅数据存储库,以确定UE310是否已订阅AKMA服务,如果是的话,则获得用于UE 310的AKMA服务订阅信息。UDM/ARPF370然后通过向AUSF 360返回包括认证向量、从SUCI解密的SUPI和/或用于UE 310的AKMA服务订阅信息的消息(例如,Nudm_UEAuthentication_Get响应)而响应步骤803的用户认证请求消息。由UDM/ARPF 370生成的并在返回消息中包括的认证向量可以包括例如认证令牌(AUTN)、随机数(RAND)和/或各种认证密钥。用于UE的AKMA服务订阅信息可以包括例如一个或多个AAnF的标识符和/或AKMA锚密钥的有效时间段。
此外,在步骤805中,AUSF 360验证在步骤804中从UDM/ARPF 370发送的认证向量,并且发起主要认证过程。这种认证过程例如可以是基于5G-AKA或EAP-AKA的。在成功完成主要认证过程之后,UE 310和AUSF 360两者将会已经生成基础密钥KAUSF。UE 310和AMF/SEAF330将会进一步生成层接入密钥和非层接入密钥。
图8中步骤805之后的逻辑流程850说明了用于锚密钥生成的示例性实施方式。具体而言,在步骤806中,在UE主要认证逻辑流程850成功之后,UE 310和AUSF 360可以生成AKMA锚密钥KAKMA=KDF(KAUSF、AKMA类型、RAND、SUPI、AAnF标识符)。术语“KDF”表示涉及HMAC-SHA-256(安全散列算法的256-比特的基于散列的消息认证码)的示例性密钥生成算法。KAUSF表示基础密钥。“AKMA类型”参数表示各种AKMA类型,例如,AKMA可基于ME(UE的ME部分负责密钥生成和加密/解密计算)。再例如,AKMA可基于UICC,其中UE的UICC中的处理能力被用于密钥生成和加密/解密。“RAND”参数表示在上述步骤804中由UDM/ARPF 370生成的认证向量中的随机数。AAnF标识符可以包括AAnF的网络地址或AAnF的FQDN。虽然上述示例性KDF计算列举了上文讨论的所有参数,但是并非所有这些参数都需要被包括在计算中。任何这些参数的任意组合可用于KDF计算和KAKMA生成。在一些实施方式中,KAUSF参数可能是强制性的,而其他参数可能是可选的。在一些其他实施方式中,KAUSF参数和AKMA订阅信息的至少一部分(例如,AKMA类型、AAnF标识符)可能是强制性的,而其他参数可能是可选的。
在步骤807中,UE 310和AUSF 360可以生成AKMA锚密钥的标识符,例如KID=RAND@AAnF标识符或KID=base64encode(RAND)@AAnF标识符。这里,RAND是从上述UDM/ARPF 370获得的认证向量中的随机数,并且AAnF标识符包括AAnF网络地址或FQDN地址。由“base64encode”定义的示例性编码方法例如在IEFT RFC 3548协议中指定。此外,在步骤808中,AUSF 360在步骤806中计算AKMA锚密钥并在步骤807中计算AKMA锚密钥标识符之后可以向AAnF 380传送推送消息。推送消息例如可以包括锚密钥KAKMA、锚密钥标识符KID。推送消息还可以包括锚密钥KAKMA的有效时间段。AAnF 380然后可以存储锚密钥KAKMA和锚密钥标识符KID。AAnF 380还可以识别根据AAnF380处的本地密钥管理策略所确定的锚密钥KAKMA的本地有效时间段。AAnF 380可以比较锚密钥的本地有效时间段和在步骤808中从AUSF 360接收到的锚密钥的有效时间段,并且使用较小的值作为锚密钥的实际有效时间段。如果在步骤808中锚密钥的有效时间段不在从AUSF 360发送到AAnF 380的消息中,则AAnF 380可以使用本地有效时间段作为锚密钥的实际有效时间段。如果在AAnF 380中没有找到锚密钥的本地有效时间段,则在步骤808中从AUSF 360接收到的有效时间段可用作锚密钥的实际有效时间段。此外,在步骤809中,在步骤808中从AUSF 360向AAnF 380成功传送推送消息后,AAnF 380向AUSF360传送响应。
逻辑流程860进一步说明了上述逻辑流程850的替代方案的用于锚密钥生成的示例性实施方式。逻辑流程860的步骤806A、807A、808A和809A分别对应于步骤806、807、808和809。逻辑流程860类似于逻辑流程850,除了锚密钥KAKMA的标识符KID是由AAnF 380而不是网络侧的AUSF 360生成的(如由AAnF 380执行的步骤808A所示)。相应地,从AUSF 360向AAnF380发送的推送消息可以包括参数RAND,其可用作用于在步骤808A处由AAnF 380生成KID的分量之一。在上文针对逻辑流程850的描述中可以找到逻辑流程860中各种其他步骤的细节。
在根据上述逻辑流程850或860成功生成锚密钥之后,UE 310可以发起与AF 390的通信,如下文更详细描述的。最后针对图8,如步骤810所示,AMF/SEAF 330可以向UE 310发送响应消息,该响应消息指示成功完成步骤801的注册/认证请求和成功完成所订阅的AAnF的锚密钥生成。在一些其他替代实施方式中,步骤810可以在步骤806之前执行,以指示成功完成步骤801的注册/认证请求。
在上述针对图8的实施方式中,AKMA服务是作为选项而非强制性而提供的,并被提供给UE进行订阅。订阅信息可以由归属网络侧上和UE 310中的UDM/ARPF 370存储并管理。像这样,向UE 310提供订阅AKMA服务或不订阅AKMA服务的选项。在UE没有订阅AKMA服务的情况下(例如,当UE缺乏处理密钥生成和数据加密的能力时),UE可以放弃生成应用锚密钥的过程,并且可以与应用服务器进行通信而不使用任何应用密钥。在UE订阅AKMA的情况下,如步骤806、806A、807和807A中的可选参数AAnF ID和AKMA类型所示,可以可选地使用订阅信息以用于生成AKMA锚密钥及其标识符。
应用锚密钥KAKMA一旦如上文图8所描述的那样生成,则可用作用于生成应用密钥进行UE 310与服务应用之间的加密通信的基础,其中UE 310已经向该服务应用订阅了AKMA服务。如上文关于图8所说明的,由UDM/ARPF 370生成的认证向量中的诸如随机数RAND的参数可用于构建KID(例如,参见图8中的步骤807和808)。标识符KID还可以用作搜索索引,以在UE 310与服务应用之间的每次通信期间识别相应的AKMA锚密钥。通过核心网的安全环境之外的数据通路而频繁传送诸如RAND参数的这些参数可能导致这些参数的安全漏洞或泄露。如图9-12的逻辑流程所说明以及下文所描述的用于与服务应用进行的加密通信的应用密钥生成的示例性实施方式可以提供用于降低这些参数的安全风险的方案。
在图9-12中,在UE 310的主要注册和认证以及在例如如图8所说明的认证和锚密钥生成步骤801-806后的应用锚密钥生成之后,UE 310可以生成初始应用密钥,并且向与服务应用相关联的AF发送通信请求。AF可以从AAnF获得初始应用密钥。AAnF同时可以生成新的随机数(NewRAND)或新的锚密钥标识符,并且经由AF向UE 310发送NewRAND或新的锚密钥标识符。然后,UE可以基于NewRAND或新的锚密钥标识符而生成新的应用密钥,并且使用新的应用密钥来请求并建立与服务应用的实际通信会话。用于生成新的应用密钥的NewRAND和新的锚密钥标识符可以被称为用于生成新的应用密钥的密钥种子。
如图9-12中的840所示,假设UE 310已订阅AKMA服务,并且存储在UE 310中的AKMA服务订阅信息可以包括以下中的一项或多项组合:用于UE是否已订阅AKMA服务的指示符;一个或多个AAnF标识符;一个或多个AF标识符;以及AKMA锚密钥有效时间段。如图9-12中的842另外所指示的,记录在UDM/ARPF 370中的相应用户订阅信息可以包括以下中的一项或多项:用于UE是否已订阅AKMA服务的指示符;一个或多个AAnF标识符;和AKMA锚密钥有效时间段。AAnF的标识符可以以AAnF的网络地址的形式提供。替选地,AAnF的标识符可以以AAnF的FQDN的形式提供。每个UE可以对应于一个或多个订阅的AAnF。同样地,AF的标识符可以以AF的网络地址的形式提供。替选地,AF的标识符可以以AF的FQDN的形式提供。每个UE可以对应于一个或多个AF。在一些实施方式中,多个AF可以与相同的AAnF相关联,但每个AF仅可以与一个AAnF相关联。
转向图9的逻辑流程900,如901所示,在如图8所说明的认证和锚密钥生成步骤801-806之后,UE 310、AMF/SEAF 330、AUSF 360和UDM/ARPF 370可以首先执行UE 310的主要注册和认证以及AKMA锚密钥的生成。上文关于图8描述了用于主要认证和AKMA锚密钥生成的细节。在步骤907中,UE 310和AUSF 360生成AKMA锚密钥的初始标识符,例如KID=RAND@AAnF ID或KID=base64encode(RAND)@AAnF ID。在UE成功注册和认证后,在步骤908中,AMF/SEAF 330向UE 310传达响应消息以指示注册和认证成功。步骤908可以在其他时间执行。例如,步骤908可以在过程901中的步骤806之前执行。
继续图9,在步骤909中,UE 310可以生成初始应用密钥Kin-AF=KDF(KAKMA、RAND、AFID),其中KDF表示关于图8的步骤806描述的示例性密钥生成算法。在步骤910中,UE 310向与服务应用相关联的AF 390发送初始通信请求。初始通信请求例如可以包括AKMA锚密钥的标识符KID。此外,在步骤911中,AF 390从UE 310接收初始通信请求,并根据在KID中包括的AAnF ID向AAnF380发送对初始应用密钥Kin-AF的请求。例如,来自AF 390的对初始应用密钥Kin-AF的请求可以包括KID和AF标识符AFID。AAnF 380可以根据在步骤911中从AF 390发送的KID而查询AKMA锚密钥KAKMA。如果AAnF 380找到了AKMA锚密钥KAKMA,则逻辑流程900可以进行至914。如果AAnF 380没有找到AKMA锚密钥KAKMA,则可以在步骤912中向AUSF 360发送AKMA锚密钥请求。这种请求可以包括KID。在接收到步骤912的请求后,AUSF 360可以根据KID而识别所请求的AKMA锚密钥KAKMA,并且在步骤913中利用KAKMA及其有效时间段而响应AAnF 380。在步骤914中,AAnF 380然后可以存储锚密钥KAKMA及其有效时间段。AAnF 380还可以识别根据在AAnF 380处的本地密钥管理策略所确定的锚密钥KAKMA的本地有效时间段。AAnF 380可以比较锚密钥的本地有效时间段和在步骤808中从AUSF 360接收到的锚密钥的有效时间段,并且使用较小的值作为锚密钥的实际有效时间段。如果在步骤808中锚密钥的有效时间段不被包括在从AUSF 360发送到AAnF 380的消息中,则AAnF 380可以使用本地有效时间段作为锚密钥的实际有效时间段。如果在AAnF 380中没有找到锚密钥的本地有效时间段,则在步骤808中从AUSF 360接收到的有效时间段可用作锚密钥的实际有效时间段。此外,在步骤914中,AAnF 380可以基于Kin-AF=KDF(KAKMA、RAND、AFID)而生成Kin-AF。先前关于图9的步骤909和图8的步骤806描述了示例性密钥计算KDF算法。
继续图9,在步骤915中,AAnF 380可以生成新的随机数(表示为NewRAND)。AAnF380还可以为AKMA锚密钥生成新的标识符,如KID-New=NewRAND@AAnF ID或KID-New=Base64Encode(NewRAND)@AAnF ID。在步骤916中,AAnF 308发送对步骤911中的初始Kin-AF的请求的响应。这种响应可以包括初始应用密钥Kin-AF、NewRAND、KID-New和/或KID-New的有效时间段。在一些实施方式中,KID-New的有效时间段可能不会长于AKMA锚密钥的有效时间段。如果在步骤916之前执行步骤917(参见下文的描述),则步骤916中的响应还可以包括在下文的步骤917中生成的新KAF。
在步骤917中,AAnF 380生成新的应用密钥KAF-New,如KAF-New=KDF(KAKMA、NewRAND、AFID)。KDF算法类似于上文已经描述过的算法。步骤917可以替选地在步骤916之前执行。在步骤918中,AF 390可以记录KAF-New和KID-New对。AF 390还可以响应步骤910的请求,并向UE310发送响应消息。这种响应消息可以包括新的随机数NewRAND和/或新的AKMA锚密钥标识符KID-New。该响应消息还可以包括KAF-New的有效时间段。在一些实施方式中,该响应消息的传输可以使用Kin-AF进行加密。换言之,步骤918中响应的各种传输分量可以使用Kin-AF进行加密。此后,AF 390可以移除初始Kin-AF。
在步骤919中,UE 310接收步骤918的响应。如果响应利用Kin-AF进行加密,则UE 310可以使用其在步骤909中导出的Kin-AF来解密该响应。如果响应包括NewRAND,则UE 310可以在解密之后获得在响应中包括的NewRAND分量。UE 310然后可以为AKMA锚密钥KID-New生成新的标识符,如Kin-AF=NewRAND@AAnF ID。如果加密的KID-New已经被包括在步骤918的响应中,则UE 310可以解密该响应以直接获得KID-New。
在步骤920中,UE 310可以生成新的应用密钥KAF-New,如KAF-New=KDF(KAKMA、NewRAND、AF ID),其中KDF是上文关于图8的步骤806描述的密钥生成算法。UE 310可以存储新的AKMA锚密钥ID KID-New和新的应用密钥KAF-New。如果新的应用密钥KAF-New的有效时间段被包括在步骤918的响应中,则UE 310还可以解密该响应以获得KAF-New的有效时间段并将其存储在本地。
在步骤921中,UE 310可以向AF 390发起另一通信请求。请求消息可以包括AKMA锚密钥的新标识符KID-New,并且请求消息还可以由UE 310使用新的应用密钥KAF-New进行加密。在步骤922中,AF 390接收步骤921的通信请求,并且可以首先确定新的应用密钥KAF-New是否在本地存在。如果KAF-New在本地存在,则AF 290可以使用这种KAF-New来解密在步骤921中的来自UE 310的通信请求。如果AF 390不能找到KAF-New,则可以向AAnF 380发送对新的应用密钥KAF-New的请求消息。该请求消息可以包括AKMA锚密钥的新标识符KID-New和AFID。在步骤923中,AAnF 380接收来自步骤922的请求消息,并基于KID-New而查询新的应用密钥KAF-New,并作为响应将KAF-New返回给AF 390。如果步骤916不包括KAF-New的任何有效时间段,则这种有效时间段可以被包括在步骤923中的对AF 390的响应消息中。最后,在步骤924中,AF 390可以使用KAF-New来解密步骤921中从UE 310发送的通信请求,并且响应UE 310以建立与UE 310的通信。这种响应可以包括新的应用密钥KAF-New的有效时间段。
图10示出了作为图9的替代实施方式的逻辑流程1000。逻辑流程1000类似于图9的逻辑流程900(如图9和图10中的相同标记所示),除了图9的步骤907从图10中移除(如1002所示)之外。像这样,图10中的AUSF 360可能不需要生成AKMA锚密钥的初始标识符KID。相应地,图10中的步骤1012(示出为带下划线的步骤)代替图9的步骤912。具体而言,由于在AUSF360没有生成初始KID,从AAnF 380向AUSF 360的对AKMA锚密钥信息的请求可以在RAND而不是KID下查询。AAnF 380可以根据在图10的步骤911中从AF 390接收的KID而导出RAND参数。
图11示出了作为图9和10的逻辑流程900和1000的替代方案的另一逻辑流程1100。逻辑流程1100类似于图9的逻辑流程900(如图9和10中的相同标记所示),与图9的不同之处在于图11中的标注。例如,步骤1102和1104(图11中带下划线的步骤)被添加到逻辑流程1100中。特别地,在步骤1102中,AKMA锚密钥一旦由AUSF 360生成就被主动地从AUSF 360推送到AAnF 380,而不是被动地由AAnF 380从AUSF 360请求,如在图9的步骤912和913中所实施的(其从图11的实施方式中被移除,如1106所示)。在步骤1104中,如果AKMA锚密钥由AAnF380成功接收到,则AAnF 380将响应提供给AUSF 360。此外,与图10中相同的步骤相比,图11的步骤914可以如图11指示的那样进行修改,原因是作为步骤1102中来自AUSF 360的主动推送的结果,AAnF 380将已经具有AKMA锚密钥。
图12示出了作为图9、10和11的逻辑流程900、1000和1100的替代方案的又一逻辑流程1200。逻辑流程1200遵循图10的逻辑流程1000和图11的逻辑流程1100两者的实施方式,其中如1201和1206所示,移除图9的步骤907、912和913,如图11所示,修改图9的步骤914,并且添加推送步骤1202和1204。像这样,在图12的实施方式中,AKMA锚密钥被主动地从AUSF 360推送到AAnF 380,正如图11中的实施方式一样。此外,不需要在AUSF 360处生成任何初始KID,这是因为作为步骤1202和1204中的信息推送的结果,没有请求需要稍后针对AUSF 360以查询AKMA锚密钥。
在图9-12所说明的实施方式中,新的随机数由AAnF 380生成,并被用于生成新的应用密钥和AKMA锚密钥的新标识符。由UDM/ARPF 370作为认证向量的一部分而生成的原始RAND只能以有限的方式在各种网络功能之间被传送,因此可能较少暴露于安全漏洞。新的随机数可以为UE 310与AF 390之间的每次通信而生成,因此一个新随机数的安全漏洞不会对单独的通信会话构成风险。因此,在图9-12的实施方式中,通信安全性得到了改善。
如上所述,为了进一步改善通信安全性,在UE 310与服务应用之间的加密通信中涉及的各种密钥可以与有效时间段(或到期时间)相关联。换言之,这些密钥仅在这些有效时间段内有效。特别地,当这些密钥变得无效时,UE 310与服务应用之间的通信可能不受加密的保护。像这样,当这些密钥变得无效时,可能需要更新它们。下文所述的图13-14示出了用于当各种密钥(包括例如AKMA锚密钥和应用密钥)无效或变得无效时更新各种密钥的各种实施方式。
图13说明了用于更新无效密钥的UE发起的实施方式1300。用户认证过程402和步骤410、412、420、422与关于图4所述的相应步骤相同。上文对图4的描述适用于图13中的这些步骤。在这些步骤之后,可以生成AKMA锚密钥。在步骤1301中,UE 310确定AKMA锚密钥或AKMA应用密钥是无效的或变得无效。然后,UE 310删除无效的AKMA锚密钥或应用密钥、相应的有效时间段以及无效AKMA锚密钥的标识符。
在步骤1302中,当UE处于空闲状态时,UE可以向无线网络(向诸如AMF/SEAF 330或AUSF 360的网络功能)发起注册请求消息。这种注册请求消息可以包括SUCI或5G-GUTI以及指示出UE安全上下文无效的例如7的ngKSI(安全上下文索引)。当UE 310处于处理非紧急服务或非高优先级服务的活动状态,并且UE 310进入空闲状态时,UE可以向网络发起注册请求。当UE 310处于处理紧急服务或高优先级服务的活动状态时,UE可以等待直到完成紧急服务或高优先级服务,然后进入空闲状态,并向网络发起注册请求。在一些其他实施方式中,当UE处于活动状态时,UE可以等待完成活动服务,然后向网络发起注册请求,而不管活动服务的紧急情况或优先级。
在步骤1303中,UE可以经历向网络的主要认证和注册,然后生成新的AKMA锚密钥和/或应用密钥,并且确定用于这些新密钥的有效时间段和标识符。UE和网络两者都记录了这些密钥、有效时间段和标识符。
图14示出了无效AKMA密钥的网络发起的更新。在图14中,UE可能已经订阅了AKMA服务。在图14的840中,对应于UE的AKMA服务订阅信息可以被记录在UE中。这种订阅信息可以包括以下中的一项或多项组合:用于UE是否已订阅AKMA服务的指示符;一个或多个AAnF标识符;一个或多个AF标识符;以及AKMA锚密钥有效时间段。在图14的842中,记录在UDM/ARPF 370中相应的用户订阅信息可以包括以下中的一项或多项:用于UE是否已订阅AKMA服务的指示符;一个或多个AAnF标识符;和AKMA锚密钥有效时间段。在UE注册和认证过程期间,UDM/ARPF 370可以向AUSF 360传送AKMA服务订阅信息。
在图14的步骤1401中,UE和网络完成主要认证过程,并且生成AKMA锚密钥KAKMA和相应的标识符KID、AKMA应用密钥KAF以及用于这些密钥的有效时间段。这些密钥可能出于各种原因是无效的。在图14中,逻辑流程1460、1470和1480说明了在其中这些密钥中的至少一个变得无效的各种示例性场景下的密钥更新。
对于示例性逻辑流程1460,AKMA锚密钥可能是无效的。在步骤1402中,UE 310可以向AF 390发起通信请求。该通信请求可以包括AKMA锚密钥的标识符KID。在步骤1403中,AF390可以根据KID中的AAnF标识符向AAnF 380发送包括KID和AFID的初始应用密钥请求消息。在步骤1404中,AAnF 380可以根据KID而查询AKMA锚密钥KAKMA。如果AAnF 380没有找到AKMA锚密钥KAKMA,则可以向AUSF 360发送AKMA锚密钥请求消息。该请求消息可以包括KID。在步骤1405中,AUSF 360可以根据KID而查询有效的AKMA锚密钥,并且可能无法找到有效的AKMA锚密钥。AUSF 360然后可以利用失败消息来响应AAnF 380,该失败消息指示了没有找到有效的AKMA锚密钥。在步骤1406中,AAnF 380利用失败消息来响应AF 390,该失败消息指示了没有找到有效的AKMA锚密钥。在步骤1407中,AF 390可以利用失败消息来响应UE310,该失败消息指示了没有找到有效的AKMA锚密钥。在步骤1408中,UE 310向网络发起另一注册请求。这种注册请求消息可以包括UE的SUCI、或UE的5G-GUTI以及指示了UE安全上下文无效的例如7的ngKSI(安全上下文索引)。在步骤1409中,在UE 310和网络完成另一主要认证和注册之后,可以生成新的AKMA锚密钥和/或AKMA应用密钥、它们的标识符和/或它们的有效时间段。UE 310和网络可以保存这些密钥、有效时间段和标识符。
对于示例性逻辑流程1470,应用密钥可能已经到期。在步骤1410中,UE 310可以向AF 390发起通信请求。该通信请求可以包括AKMA锚密钥的标识符KID。在步骤1411中,AF 390可以确定应用密钥已到期。在步骤1412中,AF 390可以利用失败消息来响应UE 310,该失败消息指示了应用密钥已到期。在步骤1413中,UE 310向网络发起另一注册请求。这种注册请求消息可以包括UE的SUCI、或UE的5G-GUTI以及指示出UE安全上下文无效的例如7的ngKSI(安全上下文索引)。在步骤1414中,在UE 310和网络完成另一主要认证和注册之后,可以生成新的AKMA锚密钥和/或AKMA应用密钥、它们的标识符和/或它们的有效时间段。UE 310和网络可以保存这些密钥、有效时间段和标识符。
对于示例性逻辑流程1480,AKMA锚密钥可能已到期。在步骤1415中,UE 310可以向AF 390发起通信请求。该通信请求可以包括AKMA锚密钥的标识符KID。在步骤1416中,AF 390可以根据KID中的AAnF标识符向AAnF 380发送包括KID和AFID的应用密钥请求消息。在步骤1417中,AAnF 380可以确定AKMA锚密钥KAKMA已到期。在步骤1418中,AAnF 380利用指示了AKMA锚密钥已到期的失败消息来响应AF 390。在步骤1419中,AF 390可以向UE 310响应指示了AKMA锚密钥已到期的失败消息。在步骤1420中,UE 310向网络发起另一注册请求。这种注册请求消息可以包括UE的SUCI,或UE的5G-GUTI以及指示出UE安全上下文无效的例如7的ngKSI(安全上下文索引)。在步骤1421中,在UE 310和网络完成另一主要认证和注册之后,可以生成新的AKMA锚密钥和/或AKMA应用密钥、它们的标识符和/或它们的有效时间段。UE310和网络可以保存这些密钥、有效时间段和标识符。
因此,上文针对图1-14所描述的实施方式为通信网络设置了一种提供可由终端设备订阅的应用密钥服务的架构。这些实施方式还设置了用于生成、管理和更新不同层次级别的密钥以使能经由通信网络进行终端设备与服务应用之间的加密通信的各种方案。所公开的实施方式促进了与服务应用进行通信的灵活性,并且降低了安全漏洞的风险。
上文的附图和描述提供了具体的示例实施例和实施方式。然而,所描述的主题可以体现在各种不同的形式中,因此,所覆盖或所要求保护的主题旨在被解释为不局限于本文阐述的任何示例实施例。目的是针对所要求保护或所覆盖的主题的合理宽泛的范围。除了其他方面以外,例如,主题可以体现为方法、设备、组件、系统或存储计算机代码的非暂时性计算机可读介质。相应地,实施例可以例如采取硬件、软件、固件、存储介质或其任意组合的形式。例如,上文所描述的方法实施例可以由包括存储器和处理器的组件、设备或系统通过执行在存储器中存储的计算机代码来实施。
在整篇说明书和权利要求书中,除了明确陈述的含义之外,术语可以具有在上下文中提议或暗示的微妙含义。同样地,如本文所使用的短语“在一个实施例/实施方式中”不一定指的是相同的实施例,并且如本文所使用的短语“在另一个实施例/实施方式中”不一定指的是不同的实施例。例如,旨在所要求保护的主题包括示例实施例的全部或部分组合。
一般而言,术语可以至少部分地从上下文中的用法来理解。例如,如本文所使用的术语,诸如“和”、“或”、“和/或”,可以包括各种含义,这些含义可以至少部分地取决于在其中使用这些术语的上下文。典型地,如果“或”用于关联诸如A、B或C的列表,则旨在意味着这里在包含性的意义上使用的A、B和C,以及这里在排他性的意义上使用的A、B或C。另外,如本文所使用的术语“一个或多个”,至少部分地取决于上下文,可以用于在单数意义上描述任何特征、结构或特性,或者可以用于在复数意义上描述特征、结构或特性的组合。类似地,诸如“一”、“一个”或“该”的术语可以被理解为至少部分地取决于上下文而传达单数的用法或传达复数的用法。另外,术语“基于”可以被理解为不一定旨在传达排他的因素集合,而是可以同样至少部分地取决于上下文而允许不一定明确描述的额外因素的存在。
在整篇说明书中,对特征、优点或类似语言的参照并非暗示可以利用本解决方案实现的所有特征和优点应当或包括在其任何单个实施方式中。相反,涉及特征和优点的语言被理解为意味着结合实施例所描述的具体特征、优点或特性被包括在本解决方案的至少一个实施例中。因此,在整篇说明书中,对特征和优点的讨论以及类似的语言可以但未必是指相同的实施例。
此外,本解决方案的所述特征、优点和特性可以在一个或多个实施例中以任何合适的方式组合。相关领域的普通技术人员将依据本文中的描述认识到,可以在没有特定实施例的一个或多个具体的特征或优点的情况下来实践本解决方案。在其他情况下,可以在可能不存在于本解决方案的所有实施例的某些实施例中认识到额外的特征和优点。
Claims (29)
1.一种用于由终端设备生成应用密钥以用于经由通信网络在所述终端设备与服务应用之间进行的加密数据传输的方法,所述方法包括:
基于锚密钥而生成初始应用密钥;
向所述服务应用发送初始通信请求;
从所述服务应用接收响应;
从所述响应提取密钥种子;
基于所述锚密钥和所述密钥种子而生成所述应用密钥;以及
向所述服务应用发送数据传输请求,以基于所述应用密钥而建立与所述服务应用的加密数据通信会话。
2.根据权利要求1所述的方法,其中,所述密钥种子是基于所述初始应用密钥从所述响应中被提取的。
3.根据权利要求2所述的方法,其中,所述响应由所述服务应用进行加密,并且所述密钥种子是通过由所述终端设备使用所述初始应用密钥对所述响应进行解密而从所述响应中被提取的。
4.根据权利要求2所述的方法,其中,在生成所述初始应用密钥之前,所述方法还包括:
在成功完成用于向所述通信网络注册所述终端设备的认证过程后,生成基础认证密钥;和
基于所述基础认证密钥而生成所述锚密钥。
5.根据权利要求4所述的方法,还包括:
获得用于所述终端设备订阅由所述通信网络提供的应用锚密钥管理服务的订阅数据分组;和
从所述订阅数据分组中提取用于所述服务应用的订阅数据集。
6.根据权利要求5所述的方法,其中,所述订阅数据集包括所述通信网络中应用密钥管理网络节点的标识符,其与所述服务应用和所述应用锚密钥管理服务相关联。
7.根据权利要求6所述的方法,其中,生成所述锚密钥包括:基于所述基础认证密钥并且还基于所述应用密钥管理网络节点的标识符、与所述终端设备相关联的用户网络模块的标识符、所述用户网络模块的类型、在用于向所述通信网络注册所述终端设备的认证过程期间所生成的认证数据集以及所述服务应用的订阅数据集的分量中的至少一个,而生成所述锚密钥。
8.根据权利要求7所述的方法,其中:
所述认证数据集包括:在用于向所述通信网络注册所述终端设备的所述认证过程中生成的随机数;并且
生成所述锚密钥包括:基于所述基础认证密钥以及基于所述应用密钥管理网络节点的标识符和所述随机数中的至少一个而生成所述锚密钥。
9.根据权利要求8所述的方法,还包括:生成用于所述锚密钥的初始标识符,并且其中向所述服务应用的初始通信请求包括用于所述锚密钥的初始标识符。
10.根据权利要求9所述的方法,其中,生成用于所述锚密钥的初始标识符包括:基于所述随机数和所述应用密钥管理网络节点的标识符而生成用于所述锚密钥的初始标识符。
11.根据权利要求10所述的方法,其中,所述密钥种子包括由所述应用密钥管理网络节点生成的第二随机数。
12.根据权利要求11所述的方法,其中:
所述方法还包括:基于所述第二随机数和所述应用密钥管理网络节点的标识符而生成用于所述锚密钥的第二标识符;并且
所述数据传输请求包括用于所述锚密钥的第二标识符。
13.根据权利要求10所述的方法,其中:
所述密钥种子包括:第二随机数以及用于由所述应用密钥管理网络节点生成的锚密钥的第二标识符;并且
生成所述应用密钥包括:基于所述锚密钥和所述第二随机数而生成所述应用密钥。
14.根据权利要求13所述的方法,其中,用于由所述应用密钥管理网络节点生成的锚密钥的第二标识符包括:所述第二随机数以及用于所述应用密钥管理网络节点的标识符。
15.根据权利要求14所述的方法,其中,数据传输请求包括用于所述锚密钥的第二标识符。
16.根据权利要求5所述的方法,其中,在所述终端设备订阅所述应用锚密钥管理服务期间,所述订阅数据分组被存储在所述终端设备中。
17.根据权利要求5所述的方法,其中,生成所述锚密钥还基于安全散列算法。
18.根据权利要求17所述的方法,其中,生成所述初始应用密钥还基于安全散列算法。
19.根据权利要求18所述的方法,其中,生成所述应用密钥还基于安全散列算法。
20.一种用于由通信网络中的应用密钥管理网络节点生成应用密钥以用于经由通信网络在终端设备与服务应用之间进行的加密数据传输的方法,所述方法包括:
从服务应用接收第一应用密钥请求,所述第一应用密钥请求包括由所述通信网络的认证网络节点生成的用于所述服务应用的第一标识符和用于锚密钥的第二标识符;
获得对应于所述第二标识符的锚密钥,并且基于所述锚密钥而生成初始应用密钥;
生成第一随机数,并且基于所述第一随机数而形成密钥种子;
响应于所述第一应用密钥请求,向所述服务应用传送所述初始应用密钥和所述密钥种子;
基于所述锚密钥和所述第一随机数而生成所述应用密钥;
从所述服务应用接收第二应用密钥请求,所述第二应用密钥请求包括从所述密钥种子导出的用于所述服务应用的第一标识符和用于所述锚密钥的第三标识符;以及
向所述服务应用传送所述应用密钥。
21.根据权利要求20所述的方法,其中,获得所述锚密钥包括:向所述通信网络的认证网络节点传送包括所述第二标识符的锚密钥请求,并且从所述认证网络节点接收锚密钥作为对所述锚密钥请求的响应。
22.根据权利要求20所述的方法,其中,获得所述锚密钥包括:向所述通信网络的认证网络节点传送包括第二随机数的锚密钥请求,所述第二随机数在所述终端设备在认证过程期间向所述通信网络注册时由所述通信网络生成;并且从所述认证网络节点接收所述锚密钥作为对所述锚密钥请求的响应。
23.根据权利要求20所述的方法,其中,获得所述锚密钥包括:检索先前从认证网络节点接收到的被存储在所述应用密钥管理网络节点中的所述锚密钥。
24.根据权利要求20所述的方法,其中:
所述密钥种子包括所述第一随机数;并且
用于所述锚密钥的第三标识符包括所述第一随机数和用于所述应用密钥管理网络节点的第四标识符。
25.根据权利要求20所述的方法,其中,生成所述初始应用密钥包括:基于所述锚密钥并且还基于所述第一标识符而生成所述初始应用密钥。
26.根据权利要求20所述的方法,其中,生成所述初始应用密钥包括:基于所述锚密钥并且还基于第二随机数而生成所述初始应用密钥,并且其中所述第二随机数是当所述终端设备在认证过程期间向所述通信网络注册时由所述通信网络生成的。
27.根据权利要求20所述的方法,其中,生成所述应用密钥包括:基于所述锚密钥和所述第一随机数并且还基于所述第一标识符而生成所述应用密钥。
28.一种设备,包括一个或多个处理器和一个或多个存储器,其中所述一个或多个处理器被配置为从所述一个或多个存储器中读取计算机代码,以实施根据权利要求1至27中任一项所述的方法。
29.一种计算机程序产品,包括其上存储有计算机代码的非暂时性计算机可读程序介质,所述计算机代码在由一个或多个处理器执行时致使所述一个或多个处理器实施根据权利要求1至27中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2020/072446 WO2021093163A1 (en) | 2020-01-16 | 2020-01-16 | Method, device, and system for application key generation and management in a communication network for encrypted communication with service applications |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114946153A true CN114946153A (zh) | 2022-08-26 |
Family
ID=75911714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080092552.3A Pending CN114946153A (zh) | 2020-01-16 | 2020-01-16 | 与服务应用进行加密通信的通信网络中的应用密钥生成与管理的方法、设备及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220337408A1 (zh) |
| EP (1) | EP4091310A4 (zh) |
| CN (1) | CN114946153A (zh) |
| WO (1) | WO2021093163A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113225176B (zh) * | 2020-02-04 | 2022-09-16 | 华为技术有限公司 | 密钥获取方法及装置 |
| US20240357355A1 (en) * | 2021-08-09 | 2024-10-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Akma key diversity for multiple applications in ue |
| US20250056227A1 (en) * | 2021-12-31 | 2025-02-13 | China Mobile Communication Co., Ltd Research Institute | Authentication and/or key management method, first device, terminal and communication device |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020062451A1 (en) * | 1998-09-01 | 2002-05-23 | Scheidt Edward M. | System and method of providing communication security |
| US8397062B2 (en) * | 2009-04-21 | 2013-03-12 | University Of Maryland, College Park | Method and system for source authentication in group communications |
| CN103460738B (zh) * | 2011-03-23 | 2018-06-01 | 交互数字专利控股公司 | 用于使网络通信安全的方法和用户设备 |
| DK3261374T3 (en) * | 2013-01-30 | 2019-04-01 | Ericsson Telefon Ab L M | GENERATION OF DOUBLE CONNECTIVITY SECURITY KEY |
| WO2017035268A1 (en) * | 2015-08-24 | 2017-03-02 | Ricardo Richard Frederick | Data obfuscation method and service using unique seeds |
| DE102015225270A1 (de) * | 2015-12-15 | 2017-06-22 | Siemens Aktiengesellschaft | Verfahren und Sicherheitsmodul zum Bereitstellen einer Sicherheitsfunktion für ein Gerät |
| EP3934203A1 (en) * | 2016-12-30 | 2022-01-05 | INTEL Corporation | Decentralized data storage and processing for iot devices |
| ES2855164T3 (es) * | 2017-02-08 | 2021-09-23 | Nokia Solutions & Networks Oy | Mejora de la integridad de la información específica de un centro de datos |
| US11452001B2 (en) * | 2017-04-17 | 2022-09-20 | Apple Inc. | Group based context and security for massive internet of things devices |
| US10841302B2 (en) * | 2017-05-24 | 2020-11-17 | Lg Electronics Inc. | Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system |
| CN111865569B (zh) * | 2019-04-28 | 2022-08-26 | 华为技术有限公司 | 一种密钥协商方法及装置 |
-
2020
- 2020-01-16 EP EP20887214.3A patent/EP4091310A4/en active Pending
- 2020-01-16 CN CN202080092552.3A patent/CN114946153A/zh active Pending
- 2020-01-16 WO PCT/CN2020/072446 patent/WO2021093163A1/en unknown
-
2022
- 2022-07-05 US US17/857,389 patent/US20220337408A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4091310A4 (en) | 2023-01-25 |
| KR20220100669A (ko) | 2022-07-15 |
| US20220337408A1 (en) | 2022-10-20 |
| EP4091310A1 (en) | 2022-11-23 |
| WO2021093163A1 (en) | 2021-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI837450B (zh) | 密鑰再生方法及終端裝置 | |
| US11805409B2 (en) | System and method for deriving a profile for a target endpoint device | |
| US20220368684A1 (en) | Method, Device, and System for Anchor Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
| US20210306855A1 (en) | Authentication Method Based on GBA, and Device thereof | |
| TW201703556A (zh) | 網路安全架構 | |
| US20220337408A1 (en) | Method, Device, and System for Application Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
| WO2022078214A1 (zh) | 签约数据更新方法、装置、节点和存储介质 | |
| US11330428B2 (en) | Privacy key in a wireless communication system | |
| US11956627B2 (en) | Securing user equipment identifier for use external to communication network | |
| KR102769532B1 (ko) | 서비스 애플리케이션과의 암호화된 통신을 위해 통신 네트워크에서의 애플리케이션 키 생성 및 관리를 위한 방법, 디바이스 및 시스템 | |
| RU2801267C1 (ru) | Способ, устройство и система для обновления привязочного ключа в сети связи для зашифрованной связи с приложениями предоставления услуг | |
| CN116711387B (zh) | 利用边缘数据网络进行认证和授权的方法、设备和系统 | |
| US20240373215A1 (en) | Security configuration update in communication networks | |
| WO2024092624A1 (en) | Encryption key transfer method and device for roaming users in communication networks | |
| US20250039667A1 (en) | Secure information pushing by service applications in communication networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |