应用特定GPSI检索的制作方法

本技术一般涉及无线通信网络领域，并且更具体地涉及用于在通信网络中认证用户设备(ue)的改进技术。

背景技术：

1、当前，第五代(“5g”)蜂窝系统，也称为新空口(nr)，正在第三代合作伙伴计划(3gpp)内进行标准化。开发nr是为了支持多种并且实质上不同的用例的最大灵活性。除了典型的移动宽带用例，还有机器类型通信(mtc)、超低时延临界通信(urlcc)、侧链路装置到装置(d2d)和若干其它用例。

2、3gpp安全性工作组sa3在3gpp ts 33.501(v15.11.0)中规定了5g系统(5gs)的版本15(rel-15)的安全性相关特征。特别地，5gs包括要求引入新的安全性机制的许多新特征(例如，与更早的4g/lte系统相比)。例如，5gs将非3gpp接入(例如，经由无线lan)与3gpp接入(例如，nr和/或lte)无缝集成在一起。像这样，在5gs中，用户设备(ue，例如，无线装置)可以独立于底层无线电接入技术(rat)来接入服务。

3、3gpp rel-16引入了称为用于应用的认证和密钥管理(akma)的新特征，其基于5g中的3gpp用户凭证，包括物联网(iot)用例。更具体地，akma利用用户的认证和密钥协议(aka)凭证来引导(bootstrap)在ue和应用功能(af)之间的安全性，这允许ue与应用服务器安全地交换数据。akma架构可以被认为是rel-15中为5gc规定的通用自举架构(gba)的演进，并且在3gpp ts 33.535(v.16.2.0)中被进一步规定。

4、如在3gpp ts 33.535中进一步定义的，网络和ue导出kakma密钥和相关联的a-kid，以及kaf密钥。kaf用于支持在ue和应用功能(af)之间通信的安全性，而a-kid是用于导出kaf的根密钥(即，kakma)的akma密钥标识符。更特定地，a-kid包括akma临时ue标识符(a-tid)和与ue的归属网络(hplmn)相关的路由信息。

5、关于“security aspects of enhancement of support for edge computingin5gc”的3gpp rel-17研究包括对向边缘计算服务器认证ue身份的要求。3gpp ts23.558(v1.2.0)规定了边缘使能器客户端(eec)和边缘使能器服务器(ees)或边缘配置服务器(ecs)之间使用ue id用于标识ue的不同交互。在3gpp ts23.558章节7.2.6中规定了ue id，其中唯一的示例是通用公共订阅标识符(gpsi)。

6、在ue上运行的eec需要朝向ees和/或ecs认证ue的gpsi。一种可能的解决方案是使用上面讨论的akma。然而，存在可以由网络与单个ue订阅相关联地存储多个gpsi的情况。例如，gpsi中的每个可以与特定服务和/或应用相关联。这可能引起针对ue的认证的各种问题、议题和/或困难。

技术实现思路

1、相应地，本公开的示例性实施例解决了与针对应用会话认证ue相关联的这些和其它问题、议题和/或困难，从而便于5g网络中网络切片的其它有利部署。

2、本公开的一些实施例包括用于被配置成经由通信网络与应用功能(af)通信的ue的示例性方法(例如，过程)。

3、这些示例性方法可以包括向af发送应用服务请求，所述应用服务请求包括：特定于一个或多个应用的第二标识符(gpsi)，所述一个或多个应用包括与ue和af相关联的应用，以及与第二标识符相关联并且描述一个或多个应用的信息(app-info)。这些示例性方法还可以包括基于从与ue相关联的安全性密钥(kakma)导出的应用特定密钥(kaf)来认证af。这些示例性方法还可以包括从af接收应用服务响应，所述应用服务响应指示第二标识符(gpsi)是否匹配从与第二标识符相关联的信息导出的对应的第二标识符(gpsi*)。

4、在一些实施例中，应用服务请求还包括与ue相关联的安全性密钥(kakma)的第一标识符(a-kid)。在其它实施例中，这些示例性方法还可以包括响应于应用服务请求从af接收安全性质询以及响应于安全性质询，向af发送与ue相关联的安全性密钥(kakma)的第一标识符(a-kid)。

5、在一些实施例中，af包括耦合到通信网络的边缘数据网络(edn)中的以下服务器中的一个或多个：边缘使能器服务器(ees)、边缘应用服务器(eas)、边缘配置服务器(ecs)。在此类实施例中，所述方法可以由ue的用户客户端执行，所述用户客户端被配置成与包括af的一个或多个服务器通信。

6、本公开的其它实施例包括用于与通信网络相关联的应用功能(af)的示例性方法(例如过程)。这些示例性方法可以由任何适当类型的af执行。

7、这些示例性方法可以包括获得以下信息：

8、·与和af相关联以及和被配置成与af通信的用户设备(ue)相关联的应用相关的受信临时标识符，以及

9、·描述一个或多个应用的信息(app-info)，所述一个或多个应用包括与ue和af相关联的应用；

10、这些示例性方法还可以包括向通信网络的网络功能(nf)发送对特定于与ue和与af相关联的应用的对应的第二标识符(gpsi*)的请求。

11、所述请求包括描述一个或多个应用的信息。这些示例性方法还可以包括从nf接收对应的第二标识符。

12、在一些实施例中，受信临时标识符是特定于一个或多个应用的第二标识符(gpsi)，所述一个或多个应用包括与ue和af相关联的应用。在此类实施例中，在来自ue的应用服务请求中接收受信临时标识符。

13、在这些实施例中的一些中，还可以在应用服务请求中接收描述一个或多个应用的信息或可以基于在应用服务请求中接收的受信临时标识符(例如gpsi)来确定描述一个或多个应用的信息。

14、在这些实施例中的一些中，对对应的第二标识符的请求包括akma请求消息，所述akma请求消息还包括与ue相关联的安全性密钥(kakma)的第一标识符(a-kid)。在此类实施例中，响应于akma请求消息，从nf接收对应的第二标识符(gpsi*)连同与ue和af相关联的应用特定密钥(kaf)。

15、在这些实施例中的一些中，这些示例性方法还可以包括基于应用特定密钥(kaf)来认证ue；确定在来自ue的应用服务请求中接收的第二标识符(gpsi)是否匹配从nf接收的对应的第二标识符(gpsi*)；以及向ue发送应用服务响应，所述应用服务响应指示第二标识符(gpsi)是否匹配对应的第二标识符(gpsi*)。

16、在一些实施例中，第二标识符是通用公共订阅标识符gpsi。

17、在其它实施例中，受信临时标识符是用于ue与af之间的连接的ue因特网协议(ip)地址并且由af的连接层或网络层获得。在这些实施例中的一些中，描述一个或多个应用的信息可以经由连接从ue接收或可以基于与af相关联的本地策略来确定。

18、在一些实施例中，af包括耦合到通信网络的边缘数据网络(edn)中的以下服务器中的一个或多个：边缘使能器服务器(ees)、边缘应用服务器(eas)、边缘配置服务器(ecs)。在此类实施例中，包括af的一个或多个服务器被配置成与ue的用户客户端通信。

19、其它实施例包括用于通信网络的网络功能(nf)的示例性方法(例如过程)。

20、这些示例性方法可以包括从与通信网络相关联的应用功能(af)接收对特定于与ue和与af相关联的应用的对应的第二标识符(gpsi*)的请求。所述请求包括描述一个或多个应用的信息，所述一个或多个应用包括与ue和与af相关联的应用。这些示例性方法还可以包括基于描述一个或多个应用的信息来获得对应的第二标识符(gpsi*)。这些示例性方法还可以包括向af发送对应的第二标识符(gpsi*)。

21、在一些实施例中，获得对应的第二标识符(gpsi*)可以包括获得与ue相关联的订阅永久标识符(supi)；向通信网络的统一数据管理(udm)功能发送supi；以及从udm接收对应的第二标识符(gpsi*)。

22、在这些实施例中的一些中，向udm发送supi连同描述一个或多个应用的信息。在这些实施例中的其它实施例中，对应的第二标识符(gpsi*)是从udm接收的多个标识符中的一个连同相关联的描述性信息。在此类实施例中，这些示例性方法还可以包括基于描述一个或多个应用的信息与相关联的描述信息中的条目之间的匹配，从多个标识符中选择对应的第二标识符(gpsi*)。

23、在其它实施例中，获得对应的第二标识符(gpsi*)可以包括从本地存储装置检索对应的第二标识符(gpsi*)。

24、在一些实施例中，对对应的第二标识符的请求包括akma请求消息，所述akma请求消息还包括与ue相关联的安全性密钥(kakma)的第一标识符(a-kid)。在此类实施例中，这些示例性方法还可以包括基于第一标识符导出应用特定密钥(kaf)以及基于描述一个或多个应用的信息来确定af是否被授权获得对应的第二标识符(gpsi*)。在这些实施例中的一些中，基于af被授权的确定，在akma响应消息中向af发送对应的第二标识符(gpsi*)连同与ue和af相关联的应用特定密钥(kaf)。

25、在其它实施例中，对对应的第二标识符的请求包括转换请求，所述转换请求还包括用于ue与af之间的连接的ue因特网协议(ip)地址。在此类实施例中，订阅永久标识符(supi)基于ue ip地址获得。

26、在一些实施例中，nf是网络暴露功能(nf)或用于应用的认证和密钥管理的锚功能(aanf)；以及af包括耦合到通信网络的边缘数据网络(edn)中的以下服务器中的一个或多个：ees、eas和ecs。

27、其它实施例包括一种用于通信网络的统一数据管理(udm)功能的示例性方法(例如过程)。

28、这些示例性方法可以包括从通信网络的网络功能(nf)接收与用户设备(ue)相关联的订阅永久标识符(supi)。这些示例性方法还可以包括基于supi，确定特定于与ue和与应用功能(af)相关联的应用的对应的第二标识符(gpsi*)。这些示例性方法还可以包括向nf发送对应的第二标识符(gpsi*)。

29、在一些实施例中，确定对应的第二标识符(gpsi*)还基于描述一个或多个应用的信息，所述一个或多个应用包括与ue和与af相关联的所述应用。在此类情况中，从nf接收描述一个或多个应用的信息连同supi。

30、在其它实施例中，对应的第二标识符(gpsi*)是基于supi确定的多个标识符中的一个以及向nf发送多个标识符连同描述应用的相关联信息。

31、在一些实施例中，nf是网络暴露功能(nf)或用于应用的认证和密钥管理的锚功能(aanf)。

32、其它实施例包括ue、af、nf和udm(或托管它们的网络节点)，其被配置成执行对应于本文中描述的示例性方法中的任何方法的操作。其它实施例包括存储计算机可执行指令的非暂时性计算机可读介质，所述计算机可执行指令当由处理电路执行时，将此类ue、af、nf和udm被配置成执行对应于本文中描述的示例性方法中的任何方法的操作。

33、本文中描述的这些和其它实施例可以促进用于认证的应用特定gpsi的使用，这与和通过3gpp网络的各种各样的边缘计算(ec)应用的增加的使用相关联的需要一致。

34、鉴于以下简要描述的附图，在阅读以下具体实施方式时，本公开的这些和其它目的、特征和优点将变得显而易见。