【技术实现步骤摘要】
【国外来华专利技术】
本公开涉及无线通信,并且更具体地涉及网络发起的主认证。
技术介绍
无线通信系统可以包括一个或多个网络通信设备,诸如基站,其可以另外称为enodeb(enb)、下一代nodeb(gnb)、核心网络功能(cnf)或其他合适的术语。每个网络通信设备,诸如基站,可以支持一个或多个用户通信设备的无线通信,用户通信设备可以另外称为用户设备(ue)或其他合适的术语。无线通信系统可以通过利用无线通信系统的资源来支持与一个或多个用户通信设备的无线通信,这些资源诸如时间资源(例如,符号、时隙、子时隙、迷你时隙、聚合时隙、子帧、帧等)或频率资源(例如,子载波、载波)。此外,无线通信系统可以支持跨各种无线电接入技术(rat)的无线通信,各种无线电接入技术(rat)包括第三代(3g)rat、第四代(4g)rat、第五代(5g)rat、以及5g以外的其他合适的rat。在一些情况下,无线通信系统可以是非地面网络(ntn),其可以支持ntn中用于无线通信的各种通信设备。例如,ntn可以包括非地面交通工具上的网络实体,诸如卫星、无人驾驶飞行器(uav)和高空平台系统(haps),以及地面上的网络实体,诸如能够远距离发送和接收的网关实体。在5g系统中,ue的主认证生成在ue和归属网络之间共享的认证服务器功能(ausf)密钥(即kausf)。主认证和密钥协商过程的目的是使能ue和网络之间的相互认证,并且提供可以在后续安全过程中在ue和服务网络之间使用的密钥材料。ue的成功主认证允许生成kausf。在5g中,kausf是长期密钥,因为ue可以在长持续时间内通信地被链接到网络而无需刷新kausf。
技术介绍
1、本申请要求于2022年3月28日提交的专利技术名称为“network initiated primaryauthentication(网络发起的主认证)”的美国临时申请序列号63/324,241的优先权,该申请的公开内容通过引用整体并入本文中。
技术实现思路
1、本公开涉及支持网络发起的主认证的方法、装置和系统。通过利用所描述的技术,归属网络可以触发主认证或重新认证,同时考虑诸如与主认证(诸如认证向量或ausf密钥)相关的寿命和/或到期时间、漫游转向(sor)计数器回绕、以及ue参数更新(upu)计数器回绕的因素。此外,所描述的技术方案使得能够将应用的认证和密钥管理(akma)密钥(kakma)和应用功能密钥(kaf)的寿命或到期时间与主认证和相关联的ausf密钥(kausf)的寿命或到期时间绑定。这可以防止与应用功能密钥到期相关的服务故障,并且隐式地强制ue和akma锚功能(aanf)在应用功能密钥到期之后,使用与成功的主认证或重新认证相关的新的akma密钥。
2、本公开的方面涉及实现归属网络触发的主认证和/或重新认证,以及处理相关安全密钥的寿命和/或到期时间。本公开的方面还涉及设置应用功能密钥到期,同时考虑akma密钥(kakma)到期和/或寿命。本公开的方面还涉及通过统一数据管理(udm)为ausf和/或接入和移动性管理功能(amf)提供认证相关的寿命和/或到期时间。ue和网络可以基于从成功的主认证或重新认证导出的新的安全上下文(kausf和kseaf)成功地重新认证,并且建立nas安全性和as安全性。
3、本文描述的方法和装置的一些实现可以包括在设备(例如,被实现为(ausf)的设备处的无线通信,并且该设备从安全锚功能(seaf)接收认证请求,并且将针对认证数据的数据请求发送到udm。ausf可以从udm接收认证数据,以进行主认证,并且设置与主认证成功相关联的安全信息的到期时间。然后,ausf可以将包括安全信息和到期时间的认证信息的认证消息发送到注册到期时间的akma锚功能(aanf)。ausf还可以至少部分地基于认证信息的到期,发起重新认证。
4、在本文描述的方法和装置的一些实现中,认证信息可以包括sor计数器回绕和/或upu计数器回绕,并且ausf基于sor计数器回绕或upu计数器回绕的到期,发起重新认证。认证信息可以包括ausf密钥(kausf)寿命,并且ausf基于kausf寿命的到期,发起的重新认证。ausf还可以基于归属网络运营商的重新认证策略,发起重新认证。安全信息可以包括ausf密钥(kausf)、akma密钥(kakma)、认证向量、主认证状态、和/或主认证结果。ausf可以将认证消息作为akma密钥(kakma)注册请求发送到aanf,该akma密钥(kakma)注册请求包括ue订阅永久标识符(supi)、akma密钥标识符(a-kid)、kakma、和/或kakma的到期时间。ausf可以向seaf发送认证响应,该认证响应包括认证成功的指示、supi、akma密钥(kakma)和/或主认证的到期时间。从udm接收到的认证数据包括认证向量(av)、av的到期时间、主认证的到期时间、supi、akma指示、和/或路由指示符。
5、此外,ausf可以向amf/seaf发送认证触发请求,以发起重新认证,该认证触发请求包括supi和/或需要重新认证的指示。ausf还可以响应于发送到amf/seaf的认证触发请求,从amf/seaf接收确认(ack)。ausf可以向udm发送认证触发请求,该认证触发请求包括:supi、需要重新认证的指示、和/或关于认证触发请求的原因的指示。认证触发请求的原因可以是到期的ausf密钥(kausf)、计数器回绕到期指示、和/或认证寿命到期指示。ausf可以响应于发送到udm的认证触发请求,从udm接收ack。ausf还可以从udm接收认证结果信息,该认证结果信息包括到期时间和认证结果确认。
6、本文描述的方法和装置的一些实现可以包括在设备(例如,被实现为aanf的装置)处的无线通信,并且该设备从ausf接收认证消息,该认证消息包括至少包含安全信息和到期时间的认证信息。aanf维持安全信息和到期时间,该安全信息至少包括akma密钥(kakma)。aanf可以向ausf发送注册响应,作为对akma密钥(kakma)被注册的确认。
7、在本文描述的方法和装置的一些实现中,从ausf接收认证消息作为akma密钥(kakma)注册请求,并且包括supi、akma密钥标识符(a-kid)、kakma、和/或kakma的到期时间。aanf可以从akma密钥(kakma)导出应用功能(af)密钥(kaf),并且基于kakma的到期时间或寿命中的一个设置kaf到期时间。aanf可以从应用功能(af)接收针对akma密钥(kakma)的密钥请求,并且基于确定akma密钥(kakma)已经到期,向af发送等待时间响应。aanf可以从应用功能(af)接收针对akma密钥(kakma)的密钥请求,该密钥请求包括akma密钥标识符(a-kid),针对相关联的a-kid确定存储的akma密钥到期时间或寿命是否已经到期,以及以下各项中的一项:如果存储的akma密钥到期时间或寿命尚未到期,则确定刷新af密钥;或者如果本文档来自技高网...
【技术保护点】
1.一种装置,包括:
2.根据权利要求1所述的装置,其中所述网络功能是认证服务器功能(AUSF),并且所述原因信息包括以下各项中的至少一项:漫游转向(SoR)计数器回绕、SoR计数器即将回绕指示、用户设备(UE)参数更新(UPU)计数器回绕、或UPU计数器即将回绕指示,并且所述处理器被配置为使得所述装置:基于所述SoR计数器回绕或所述UPU计数器回绕的所述到期,发起所述重新认证。
3.根据权利要求2所述的装置,其中:
4.根据权利要求1所述的装置,其中所述处理器被配置为使得所述装置:基于重新认证策略、或归属网络运营商的认证策略,发起所述重新认证。
5.根据权利要求1所述的装置,其中所述安全信息包括以下各项中的一项或多项:认证服务器功能(AUSF)密钥(KAUSF)、应用的认证和密钥管理(AKMA)密钥(KAKMA)、认证向量、主认证状态、或主认证结果。
6.根据权利要求1所述的装置,其中从统一数据管理(UDM)提供给认证服务器功能(AUSF)的认证数据包括以下各项中的一项或多项:认证向量(AV)、所述AV的到期时间、所述
7.根据权利要求1所述的装置,其中所述处理器和所述收发器被配置为使得所述装置:向所述AMF或SEAF发送认证请求,以发起所述重新认证,所述认证请求包括以下各项中的一项或多项:订阅永久标识符(SUPI)、或需要所述重新认证的指示。
8.根据权利要求1所述的装置,其中所述处理器和所述收发器被配置为使得所述装置:响应于发送到所述AMF或SEAF的认证触发请求,从所述AMF或SEAF接收确认(ACK)。
9.根据权利要求8所述的装置,其中所述ACK指示认证成功或认证失败中的一个。
10.根据权利要求1所述的装置,其中所述处理器和所述收发器被配置为使得所述装置:响应于所述认证触发请求,从统一数据管理(UDM)接收确认(ACK)。
11.一种装置,包括:
12.根据权利要求11所述的装置,其中所述认证消息作为AKMA密钥(KAKMA)注册请求从所述AUSF被接收,所述AKMA密钥(KAKMA)注册请求包括以下各项中的一项或多项:用户设备(UE)订阅永久标识符(SUPI)、AKMA密钥标识符(A-KID)、所述KAKMA、或所述KAKMA的到期时间。
13.根据权利要求11所述的装置,其中所述处理器被配置为使得所述装置:从所述AKMA密钥(KAKMA)导出应用功能(AF)密钥(KAF),并且基于所述到期时间或所述KAKMA的寿命中的一个,设置KAF到期时间。
14.根据权利要求11所述的装置,其中所述处理器和所述收发器被配置为使得所述装置:
15.一种装置,包括:
16.根据权利要求15所述的装置,其中所述ACK指示认证成功或认证失败中的一个。
17.一种装置,包括:
18.根据权利要求17所述的装置,其中所述认证信息包括以下各项中的至少一项:漫游转向(SoR)计数器回绕、SoR计数器即将回绕指示、用户设备(UE)参数更新(UPU)计数器回绕、或UPU计数器即将回绕指示,并且所述处理器被配置为使得所述装置:基于所述SoR计数器回绕或所述UPU计数器回绕的到期,发起所述重新认证。
19.根据权利要求17所述的装置,其中所述安全信息包括以下各项中的一项或多项:认证服务器功能(AUSF)密钥(KAUSF)、所述KAKMA、认证向量、主认证状态、或主认证结果。
20.根据权利要求17的装置,其中所述处理器和所述收发器被配置为使得所述装置:接收用于所述主认证的认证数据,所述认证数据包括以下各项中的一项或多项:认证向量(AV)、所述AV的到期时间、所述主认证的到期时间、订阅永久标识符(SUPI)、AKMA指示、或路由指示符。
...【技术特征摘要】
【国外来华专利技术】
1.一种装置,包括:
2.根据权利要求1所述的装置,其中所述网络功能是认证服务器功能(ausf),并且所述原因信息包括以下各项中的至少一项:漫游转向(sor)计数器回绕、sor计数器即将回绕指示、用户设备(ue)参数更新(upu)计数器回绕、或upu计数器即将回绕指示,并且所述处理器被配置为使得所述装置:基于所述sor计数器回绕或所述upu计数器回绕的所述到期,发起所述重新认证。
3.根据权利要求2所述的装置,其中:
4.根据权利要求1所述的装置,其中所述处理器被配置为使得所述装置:基于重新认证策略、或归属网络运营商的认证策略,发起所述重新认证。
5.根据权利要求1所述的装置,其中所述安全信息包括以下各项中的一项或多项:认证服务器功能(ausf)密钥(kausf)、应用的认证和密钥管理(akma)密钥(kakma)、认证向量、主认证状态、或主认证结果。
6.根据权利要求1所述的装置,其中从统一数据管理(udm)提供给认证服务器功能(ausf)的认证数据包括以下各项中的一项或多项:认证向量(av)、所述av的到期时间、所述主认证的到期时间、订阅永久标识符(supi)、应用的密钥管理(akma)指示、或路由指示符。
7.根据权利要求1所述的装置,其中所述处理器和所述收发器被配置为使得所述装置:向所述amf或seaf发送认证请求,以发起所述重新认证,所述认证请求包括以下各项中的一项或多项:订阅永久标识符(supi)、或需要所述重新认证的指示。
8.根据权利要求1所述的装置,其中所述处理器和所述收发器被配置为使得所述装置:响应于发送到所述amf或seaf的认证触发请求,从所述amf或seaf接收确认(ack)。
9.根据权利要求8所述的装置,其中所述ack指示认证成功或认证失败中的一个。
10.根据权利要求1所述的装置,其中所述处理器和所述收发器被配置为使得所述装置:响...
【专利技术属性】
技术研发人员:S·B·M·巴斯卡兰,A·昆兹,
申请(专利权)人:联想新加坡私人有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。