用于在按需网络中进行设置、认证、授权和用户设备（UE）密钥生成和分发的方法和装置与流程

本发明大体上涉及用于无线通信的方法和装置，并且在特定实施例中，涉及用于在按需网络中进行设置、认证、授权和用户设备(user equipment，ue)密钥生成和分发的方法和装置。

背景技术：

1、无线网络作为不断发展的服务生态系统的一部分，需要不断发展，以满足各种新兴应用或服务。3gpp sa1 wg已经开始了一项关于按需网络的新研究。按需网络包括个人物联网(internet of things，iot)网络(personal iot network，pin)。pin类似于非常小的专用网络，但可以以更动态和更灵活的方式部署。大多数pin可以部署在家庭或小型企业场所，用于消费者iot设备，例如家庭自动化设备、可穿戴设备、电表等，并可快速设置以进行持续时间较短的部署。pin和按需网络支持运营商不同的ue加入。ue所有者可以是彼此的朋友，也可以是团体的一部分。但是，缺乏快速、自动地对ue进行认证和授权以使ue访问按需网络的机制。此外，目前按需网络不支持运营商不同的ue与按需网络安全通信，也不支持与按需网络中的其它ue通信。

技术实现思路

1、通过本发明的实施例，通常实现了技术优势，这些实施例描述了用于在按需网络中进行设置、认证、授权和用户设备(ue)密钥生成和分发的方法和装置。

2、根据实施例，用户设备(ue)接收访问凭证消息。访问凭证消息指示ue要访问的按需网络的访问凭证。访问凭证消息还指示访问凭证的有限使用寿命。ue向按需网络发送认证和授权请求。认证和授权请求包括关于访问凭证的信息。ue从按需网络接收认证和授权响应。ue基于认证和授权响应与按需网络建立会话。

3、在一些实施例中，按需网络可以属于不同于ue的归属运营商的运营商。在一些实施例中，访问凭证消息还可以包括实体信息，实体信息指示执行认证和授权的一个或多个实体。认证和授权请求可以包括实体信息。在一些实施例中，一个或多个实体可以包括以下中的至少一个：按需网络的实体；应用服务器，ue通过访问按需网络使用应用服务器的一个或多个服务；第三方实体；或ue的归属网络的实体。在一些实施例中，实体信息可以指示处理认证的第一实体和处理授权的第二实体。第二实体可以不同于第一实体。在一些实施例中，访问凭证消息还可以指示凭证类型和凭证所有者。凭证所有者可以是以下中的一个：按需网络；应用服务器，ue通过访问按需网络使用应用服务器的一个或多个服务；第三方实体；或ue的归属网络。在一些实施例中，ue可以响应于ue与ue的归属网络进行认证或ue与应用服务器进行认证而接收访问凭证消息，其中，ue通过访问按需网络使用应用服务器的一个或多个服务。在ue访问按需网络之前或期间，ue可以接收访问凭证消息。在一些实施例中，ue可以从ue的归属网络或从应用服务器接收访问凭证消息，其中，ue通过访问按需网络使用应用服务器的一个或多个服务，而无需ue请求获得关于访问按需网络的访问凭证的信息。在一些实施例中，ue可以从ue的归属网络或从应用服务器接收访问凭证消息，其中，ue通过访问按需网络使用应用服务器的一个或多个服务，并且，ue请求获得关于访问按需网络的访问凭证的信息。在一些实施例中，关于访问凭证的信息可以包括访问凭证或访问凭证的标识符。

4、根据实施例，按需网络的网络实体接收认证和授权请求，认证和授权请求包括关于访问凭证的信息。ue接收访问凭证消息，访问凭证消息指示ue要访问的按需网络的访问凭证。访问凭证消息还指示访问凭证的有限使用寿命。网络实体向ue发送认证和授权响应。网络实体基于认证和授权响应与ue建立会话。

5、在一些实施例中，按需网络可以属于不同于ue的归属运营商的运营商。在一些实施例中，访问凭证消息还可以包括实体信息，实体信息指示执行认证和授权的一个或多个实体。认证和授权请求可以包括实体信息。在一些实施例中，一个或多个实体可以包括以下中的至少一个：按需网络的实体；应用服务器，ue通过访问按需网络使用应用服务器的一个或多个服务；第三方实体；或ue的归属网络的实体。在一些实施例中，实体信息可以指示处理认证的第一实体和处理授权的第二实体。第二实体可以不同于第一实体。在一些实施例中，访问凭证消息还可以指示凭证类型和凭证所有者。凭证所有者可以是以下中的一个：按需网络；应用服务器，ue通过访问按需网络使用应用服务器的一个或多个服务；第三方实体；或ue的归属网络。在一些实施例中，ue可以响应于ue与ue的归属网络进行认证或ue与应用服务器进行认证而接收访问凭证消息，其中，ue通过访问按需网络使用应用服务器的一个或多个服务。在ue访问按需网络之前或期间，ue可以接收访问凭证消息。在一些实施例中，ue可以从ue的归属网络或从应用服务器接收访问凭证消息，其中，ue通过访问按需网络使用应用服务器的一个或多个服务，而无需ue请求获得关于访问按需网络的访问凭证的信息。在一些实施例中，ue可以从ue的归属网络或从应用服务器接收访问凭证消息，其中，ue通过访问按需网络使用应用服务器的一个或多个服务，并且，ue请求获得关于访问按需网络的访问凭证的信息。在一些实施例中，关于访问凭证的信息可以包括访问凭证或访问凭证的标识符。

6、根据实施例，用户设备(ue)从按需网络接收关于至少一个密钥集的密钥信息。至少一个密钥集是基于按需网络的信息、ue用于访问按需网络的访问凭证和ue用于访问按需网络的访问凭证生成的。至少一个密钥集可以包括第一密钥集，并且第一密钥集可以包括第一密钥对，第一密钥对包括第一密码密钥(cipher key，ck)和第一完整性密钥(integrity key，ik)。ue使用第一密钥集与按需网络和按需网络内的其它ue进行通信。

7、在一些实施例中，按需网络可以属于不同于ue的归属运营商的运营商。在一些实施例中，关于至少一个密钥集的密钥信息可以包括至少一个密钥集，或者，关于至少一个密钥集的密钥信息可以包括ue用于生成至少一个密钥集的至少一个参数。在一些实施例中，至少一个参数可以包括ue用于生成新密钥的参数，参数包括由按需网络生成的随机数，作为只使用一次的随机数。在一些实施例中，公钥可以由按需网络、ue的归属网络或或应用服务器提供，其中，ue通过访问按需网络使用应用服务器的一个或多个服务。在一些实施例中，至少一个参数可以包括至少一个密钥集的有限使用寿命。有限使用寿命可以包括开始时间和结束时间中的至少一个。在一些实施例中，ue可以在接收刷新消息之前向按需网络发送刷新请求。在一些实施例中，密钥信息还可以指示至少一个密钥集的有限使用寿命。在一些实施例中，第一密钥集中的第一密钥对可以由ue用于与按需网络的控制平面进行通信。第一密钥集还可以包括第二密钥对，第二密钥对包括ue用于与按需网络的数据平面进行通信的第二ck和第二ik。在一些实施例中，至少一个密钥集还可以包括第三密钥集，第三密钥集包括ue用于按需网络内的组通信的第三ck和第三ik，第三密钥集是特定于组的。至少一个密钥集还包括第四密钥集，第四密钥集包括ue用于与按需网络中的第二ue进行通信的第四ck和第四ik。在一些实施例中，ue可以接收密钥刷新消息，密钥刷新消息包括用于刷新至少一个密钥集的刷新信息。密钥刷新消息可以使用第一密钥集加密并进行完整性校验。密钥刷新消息可以包括至少一个新密钥集，或者，密钥刷新消息可以包括ue用于生成至少一个新密钥集的至少一个刷新参数。ue可以使用至少一个新密钥集与按需网络进行通信。在一些实施例中，在接收密钥信息之前，ue可以向按需网络发送认证和授权请求，认证和授权请求包括关于访问凭证的信息。认证和授权请求还可以包括ue的公钥。关于至少一个密钥集的密钥信息可以通过按需网络使用公钥进行加密。ue可以使用ue的私钥对关于至少一个密钥集的密钥信息进行解密。

8、根据实施例，按需网络的网络实体向用户设备(ue)发送关于至少一个密钥集的密钥信息。至少一个密钥集是基于按需网络的信息、ue用于访问按需网络的访问凭证和ue用于访问按需网络的访问凭证生成的。至少一个密钥集可以包括第一密钥集，并且第一密钥集可以包括第一密钥对，第一密钥对包括第一密码密钥(ck)和第一完整性密钥(ik)。网络实体使用第一密钥集与ue进行通信。

9、在一些实施例中，按需网络可以属于不同于ue的归属运营商的运营商。在一些实施例中，关于至少一个密钥集的密钥信息可以包括至少一个密钥集，或者，关于至少一个密钥集的密钥信息可以包括ue用于生成至少一个密钥集的至少一个参数。在一些实施例中，至少一个参数可以包括ue用于生成新密钥的参数，参数包括由按需网络生成的随机数，作为只使用一次的随机数。在一些实施例中，公钥可以由按需网络、ue的归属网络或或应用服务器提供，其中，ue通过访问按需网络使用应用服务器的一个或多个服务。在一些实施例中，至少一个参数可以包括至少一个密钥集的有限使用寿命。有限使用寿命可以包括开始时间和结束时间中的至少一个。在一些实施例中，ue可以在接收刷新消息之前向按需网络发送刷新请求。在一些实施例中，密钥信息还可以指示至少一个密钥集的有限使用寿命。在一些实施例中，第一密钥集中的第一密钥对可以由ue用于与按需网络的控制平面进行通信。第一密钥集还可以包括第二密钥对，第二密钥对包括ue用于与按需网络的数据平面进行通信的第二ck和第二ik。在一些实施例中，至少一个密钥集还可以包括第三密钥集，第三密钥集包括ue用于按需网络内的组通信的第三ck和第三ik，第三密钥集是特定于组的。至少一个密钥集还包括第四密钥集，第四密钥集包括ue用于与按需网络中的第二ue进行通信的第四ck和第四ik。在一些实施例中，ue可以接收密钥刷新消息，密钥刷新消息包括用于刷新至少一个密钥集的刷新信息。密钥刷新消息可以使用第一密钥集加密并进行完整性校验。密钥刷新消息可以包括至少一个新密钥集，或者，密钥刷新消息可以包括ue用于生成至少一个新密钥集的至少一个刷新参数。ue可以使用至少一个新密钥集与按需网络进行通信。在一些实施例中，在接收密钥信息之前，ue可以向按需网络发送认证和授权请求，认证和授权请求包括关于访问凭证的信息。认证和授权请求还可以包括ue的公钥。关于至少一个密钥集的密钥信息可以通过按需网络使用公钥进行加密。ue可以使用ue的私钥对关于至少一个密钥集的密钥信息进行解密。

10、本发明中的实施例提供了快速、自动地对ue进行认证和授权以使ue访问按需网络的机制。此外，本发明中的实施例支持运营商不同的ue与按需网络安全通信，或与按需网络中的其它ue通信。