Method, device and system for secure retrieval of UE private information using AKMA in wireless network

The AKMA framework addresses the challenge of securely managing UE private information by using an AKMA Application Key (KAF) to authenticate and authorize AFs, ensuring secure and privacy-preserving data access in wireless communication networks.

WO2026118303A1PCT designated stage Publication Date: 2026-06-11ZTE CORP

Patent Information

Authority / Receiving Office
WO · WO
Patent Type
Applications
Current Assignee / Owner
ZTE CORP
Filing Date
2025-03-26
Publication Date
2026-06-11

Smart Images

  • Figure CN2025084860_11062026_PF_FP_ABST
    Figure CN2025084860_11062026_PF_FP_ABST
Patent Text Reader

Abstract

This disclosure generally relates to network security in wireless communication. Performed by first network element, the method includes: transmitting, to a second network element, a first message to request sensitive information a user equipment (UE), the first message carrying an AKMA (Authentication and Key Management for Applications) key identifier (A-KID) for identifying an AKMA key of the UE.
Need to check novelty before this filing date? Find Prior Art

Description

METHOD, DEVICE AND SYSTEM FOR SECURE RETRIEVAL OF UE PRIVATE INFORMATION USING AKMA IN WIRELESS NETWORKTECHNICAL FIELD

[0001] This disclosure relates to wireless communication, and in particular, to network security using AKMA (Authentication and Key Management for Applications) service in a wireless communication network, such as 4G, 5G, and 6G wireless communication network.BACKGROUND

[0002] In a communication network, the mutual authentication of a User Equipment (UE) and the communication network may be performed to allow only authenticated UE and the authenticated communication network (or network function) to communicate with each other. Application Function (AF) entities may provide various application services to the UE once authenticated. Efficient and robust authentication mechanism involving various network elements is critical to provide secure communication between Application Function entity and the UE, and to protect the credentials of the UE and the Application Function entity.SUMMARY

[0003] This disclosure discloses methods, systems, devices, and storage medium relates to wireless communication, and in particular, to network security using AKMA service in a wireless communication network, such as 4G, 5G, and 6G wireless communication network.

[0004] In one embodiment, the present disclosure describes a method for wireless communication. Performed by a first network element, the method includes: transmitting, to a second network element, a first message to request sensitive information a user equipment (UE) , the first message carrying an AKMA (Authentication and Key Management for Applications) key identifier (A-KID) for identifying an AKMA key of the UE.

[0005] In another embodiment, a method performed by a first network element is disclosed. The method includes: receiving, from a second network element, a first message to request sensitive information a user equipment (UE) , the first message carrying an AKMA (Authentication and Key Management for Applications) key identifier (A-KID) of the UE.

[0006] In another embodiment, a network element or wireless device comprising a processor and a memory is disclosed. The processor may be configured to read computer code from the memory to implement any of the methods above.

[0007] In yet another embodiment, a computer program product comprising a non-transitory computer-readable program medium with computer code stored thereupon is disclosed. The computer code, when executed by a processor, may cause the processor to implement any one of the methods above.

[0008] The above embodiments and other aspects and alternatives of their implementations are explained in greater detail in the drawings, the descriptions, and the claims below.BRIEF DESCRIPTION OF THE DRAWINGS

[0009] FIG. 1 shows an exemplary communication network including various terminal devices, a carrier network, data network, and service applications.

[0010] FIG. 2 shows exemplary network functions or network nodes in a communication network.

[0011] FIG. 3 shows exemplary network functions or network nodes in a wireless communication network.

[0012] FIG. 4 shows an exemplary network model for an Authentication and Key Management for Applications (AKMA) framework.

[0013] FIG. 5 shows an example wireless network node (or network element, network entity, entity, application function) .

[0014] FIG. 6 shows an example user equipment.

[0015] FIG. 7 shows an exemplary key hierarchy under the AKMA framework.

[0016] FIG. 8 shows an exemplary logic flow for requesting AKMA application key.

[0017] FIG. 9 show an exemplary logic flow for an AF to acquire UE private / sensitive information using AKMA service.DETAILED DESCRIPTION

[0018] An exemplary communication network, shown as 100 in FIG. 1, may include terminal devices 110 and 112, a carrier network 102, various service applications 140, and other data networks 150. The carrier network 102, for example, may include access networks 120 and a core network 130. The carrier network 102 may be configured to transmit voice, data, and other information (collectively referred to as data traffic) among terminal devices 110 and 112, between the terminal devices 110 and 112 and the service applications 140, or between the terminal devices 110 and 112 and the other data networks 150. Communication sessions and corresponding data paths may be established and configured for such data transmission. The Access networks 120 may be configured to provide terminal devices 110 and 112 network access to the core network 130. The Access network 120 may, for example, support wireless access via radio resources, or wireline access. The core network 130 may include various network nodes or network functions configured to control the communication sessions and perform network access management and data traffic routing. The service applications 140 may be hosted by various application servers that are accessible by the terminal devices 110 and 112 through the core network 130 of the carrier network 102. A service application 140 may be deployed as a data network outside of the core network 130. Likewise, the other data networks 150 may be accessible by the terminal devices 110 and 112 through the core network 130 and may appear as either data destination or data source of a particular communication session instantiated in the carrier network 102.

[0019] The core network 130 of FIG. 1 may include various network nodes or functions geographically distributed and interconnected to provide network coverage of a service region of the carrier network 102. These network nodes or functions may be implemented as dedicated hardware network elements. Alternatively, these network nodes or functions may be virtualized and implemented as virtual machines or as software entities. A network node may each be configured with one or more types of network functions. These network nodes or network functions may collectively provide the provisioning and routing functionalities of the core network 130. The term “network nodes” and “network functions” are used interchangeably in this disclosure.

[0020] FIG. 2 further shows an exemplary division of network functions in the core network 130 of a communication network 200. While only single instances of network nodes or functions are illustrated in FIG. 2, those having ordinary skill in the art readily understand that each of these network nodes may be instantiated as multiple instances of network nodes that are distributed throughout the core network 130. As shown in FIG. 2, the core network 130 may include but is not limited to network nodes such as access management network node (AMNN) 230, authentication network node (AUNN) 260, network data management network node (NDMNN) 270, session management network node (SMNN) 240, data routing network node (DRNN) 250, policy control network node (PCNN) 220, and application data management network node (ADMNN) 210. Exemplary signaling and data exchange between the various types of network nodes through various communication interfaces are indicated by the various solid connection lines in FIG. 2. Such signaling and data exchange may be carried by signaling or data messages following predetermined formats or protocols.

[0021] The implementations described above in FIGs. 1 and 2 may be applied to both wireless and wireline communication systems. FIG. 3 illustrates an exemplary cellular wireless communication network 300 based on the general implementation of the communication network 200 of FIG. 2. FIG. 3 shows that the wireless communication network 300 may include user equipment (UE) 310 (functioning as the terminal device 110 of FIG. 2) , radio access network (RAN) 320 (functioning as the access network 120 of FIG. 2) , data network (DN) 150, and core network 130 including access management function (AMF) 330 (functioning as the AMNN 230 of FIG. 2) , session management function (SMF) 340 (functioning as the SMNN 240 of FIG. 2) , application function (AF) 390 (functioning as the ADMNN 210 of FIG. 2) , user plane function (UPF) 350 (functioning as the DRNN 250 of FIG. 2) , policy control function 322 (functioning as the PCNN 220 of FIG. 2) , authentication server function (AUSF) 360 (functioning as the AUNN 260 of FIG. 2) , and universal data management (UDM) function 370 (functioning as the UDMNN 270 of FIG. 2) . Again, while only single instances for some network functions or nodes of the wireless communication network 300 (the core network 130 in particular) are illustrated in FIG. 3, those of ordinary skill in the art readily understand that each of these network nodes or functions may have multiple instances that are distributed throughout the wireless communication network 300. While the AF 390 is depicted as part of the core network 130 in FIG. 3, they may be considered as associated with particular service applications 140 and may be considered as being outside of the core network 140. In this disclosure, various functions deployed in the wireless network as described above may also be referred to as function entities, which may be implemented as a network node, a network element, a logical function, via hardware, software, or a combination thereof.

[0022] In FIG. 3, the UE 310 may be implemented as various types of mobile devices that are configured to access the core network 130 via the RAN 320. The UE 310 may include but is not limited to mobile phones, laptop computers, tablets, Internet-Of-Things (IoT) devices, distributed sensor network nodes, wearable devices, and the like. The UE may also be Multi-access Edge Computing (MEC) capable UE that supports edge computing. The RAN 320 for example, may include a plurality of radio base stations distributed throughout the service areas of the carrier network. The communication between the UE 310 and the RAN 320 may be carried in over-the-air (OTA) radio interfaces as indicated by 311 in FIG. 3.

[0023] Continuing with FIG. 3, the UDM 370 may form a permanent storage or database for user contract and subscription data. The UDM may further include an authentication credential repository and processing function (ARPF, as indicated in 370 of FIG. 3) for storage of long-term security credentials for user authentication, and for using such long-term security credentials as input to perform computation of encryption keys as described in more detail below. To prevent unauthorized exposure of UDM / ARPF data, the UDM / ARPF 370 may be located in a secure network environment of a network operator or a third-party.

[0024] The AMF / SEAF 330 may communicate with the RAN 320, the SMF 340, the AUSF 360, the UDM / ARPF 370, and the Policy Control Function (PCF) 322 via communication interfaces indicated by the various solid lines connecting these network nodes or functions. The AMF / SEAF 330 may be responsible for UE to non-access stratum (NAS) signaling management, and for provisioning registration and access of the UE 310 to the core network 130 as well as allocation of SMF 340 to support communication need of a particular UE. The AMF / SEAF 330 may be further responsible for UE mobility management. The AMF may also include a security anchor function (SEAF, as indicated in 330 of FIG. 3) that, as described in more detail below, and interacts with AUSF 360 and UE 310 for user authentication and management of various levels of encryption / decryption keys. The AUSF 360 may terminate user registration / authentication / key generation requests from the AMF / SEAF 330 and interact with the UDM / ARPF 370 for completing such user registration / authentication / key generation.

[0025] The SMF 340 may be allocated by the AMF / SEAF 330 for a particular communication session instantiated in the wireless communication network 300. The SMF 340 may be responsible for allocating UPF 350 to support the communication session and data flows therein in a user data plane and for provisioning / regulating the allocated UPF 350 (e.g., for formulating packet detection and forwarding rules for the allocated UPF 350) . Alternative to being allocated by the SMF 340, the UPF 350 may be allocated by the AMF / SEAF 330 for the particular communication session and data flows. The UPF 350 allocated and provisioned by the SMF 340 and AMF / SEAF 330 may be responsible for data routing and forwarding and for reporting network usage by the particular communication session. For example, the UPF 350 may be responsible for routing end-end data flows between UE 310 and the DN 150, between UE 310 and the service applications 140. The DN 150 and the service applications 140 may include but are not limited to data network and services provided by the operator of the wireless communication network 300 or by third-party data network and service providers.

[0026] The PCF 322 may be responsible for managing and providing various levels of policies and rules applicable to a communication session associated with the UE 310 to the AMF / SEAF 330 and SMF 340. As such, the AMF / SEAF 330, for example, may assign SMF 340 for the communication session according to policies and rules associated with the UE 310 and obtained from the PCF 322. Likewise, the SMF 340 may allocate UPF 350 to handle data routing and forwarding of the communication session according to policies and rules obtained from the PCF 322.

[0027] While FIGs. 1-3 and the various exemplary implementations described below are based on cellular wireless communication networks, the scope of this disclosure is not so limited and the underlying principles are applicable to other types of wireless and wireline communication networks.

[0028] Network identity and data security in the wireless communication network 300 of FIG. 3 may be managed via user authentication processes provided by the AMF / SEAF 330, the AUSF 360, and the UDM / ARPF 370. In particularly, the UE 310 may first communicate with AMF / SEAF 330 for network registration and may then be authenticated by the AUSF 360 according to user contract and subscription data in the UDM / ARPF 370. Communication sessions established for the UE 310 after user authentication to the wireless communication network 300 may then be protected by the various levels of encryption / decryption keys. The generation and management of the various keys may be orchestrated by the AUSF 360 and other network functions in the communication network 300.

[0029] AKMA Framework

[0030] In the wireless communication network, the Application Function (AF, or application function entity) may provide application service to a UE. The AF may be deployed in various locations, such as a Home Public Land Mobile Network (HPLMN) of the UE, a Visited Public Land Mobile Network (VPLMN) of the UE (e.g., when the UE roams to the VPLMN) , or a Data Network (DN) which is external to the HPLMN and the VPLMN. Secure or encrypted data communication between the AF and the UE may be implemented under an Authentication and Key Management for Applications (AKMA) framework. The AKMA framework may be based on various authentication procedures such as the 5G Authentication and Key Agreement (5G-AKA) method, the Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA') method, the Extensible Authentication Protocol –Transport Layer Security (EAP-TLS) method, or the like.

[0031] FIG. 4 illustrates an exemplary network model 400 for implementing an AKMA framework. This model includes various network elements. Each network element may be implemented as a physical entity, or a logical entity providing a particular set of network functions. A logical entity may be based on software, hardware, firmware, of any combination thereof. For example, a logical entity may include a server providing the function. For another example, a logical entity may be implemented based on cloud-based service or platform, such as Software as a service (SaaS) , Platform as a service (PaaS) , etc.

[0032] The AKMA Anchor Function (AAnF) 412 provides a security anchor function in the HPLMN. The AAnF stores the AKMA Anchor Key (KAKMA) for AKMA service associated with UE 424, which is received from the Authentication Server Function (AUSF) 416 after the UE 424 completes a successful primary authentication. The AAnF may also generate the key material to be used between the UE and the Application Function (AF) 420 and maintains UE AKMA context (also referred to as AKMA security context) .

[0033] The AF 420 may provide application service to the UE. Under the AKMA framework, the AF may request for its AKMA Application Key, denoted as KAF, from the AAnF using an identifier for the KAKMA. The identifier may include an AKMA Key Identifier (A-KID) . The AAnF may only provide the KAF to the AF after the AF is authenticated and authorized by the operator network. The AF may be located inside or outside the operator's network. In this disclosure, for simplicity, the AKMA Application Key (denoted as KAF, or KAF) may also be referred to as the AF key.

[0034] In some example implementations, the A-KID may include: A-TID (AKMA Temporary UE Identifier) , and HN-ID (identity of home network) . A-KID identifies the KAKMA key of the UE. A-KID may be in a Network Access Identifier (NAI) format, i.e., username@realm. Specifically, the username part may include the Routing Identifier (RID) of the UE and the AKMA Temporary UE Identifier (A-TID) , and the realm part may include Home Network Identifier.

[0035] A-TID may be derived from KAUSF and SUPI (Subscription Permanent Identifier) of the UE. For example, A-TID = KDF ( "A-TID" , SUPI, KAUSF) , where KDF is the key derivation function.

[0036] The Network Exposure Function (NEF) 410 may be configured to enable and authorize external AFs to access the AKMA service and forward the AKMA service request towards the AAnF. The NEF may also perform the AAnF selection in case there are multiple AAnFs.

[0037] The AUSF 416 may provide the Subscription Permanent Identifier (SUPI) and AKMA key material (e.g., A-KID, KAKMA) of the UE to the AAnF. The AUSF may also perform the AAnF selection.

[0038] The UDM may store AKMA subscription data of the subscriber (or the UE subscribed to the wireless communication network) .

[0039] Referring to FIG. 4, various interfaces may be involved in the AKMA framework. These interfaces may include Nnef, Naanf, Nudm, Uausf, and Namf and may be referred to as Service Based Interface (SBI) , as each interface corresponds to a service provided by a network element. For example, Nnef represnets the SBI utilized by the NEF; Naanf represents the SBI utilized by the AAnF; and Nudm represents the SBI utilized by the UDM. The network elements may interact with each other via the various SBIs. The SBI may provide security protection. For example, the SBI may be confidentiality, integrity and replay protected.

[0040] FIG. 4 shows the implementation where the AAnF is deployed as a standalone function. Other deployment options may be chosen. For example, the AAnF may be co-located with the AUSF, or the AAnF may be co-located with the NEF.

[0041] FIG. 5 shows an example of electronic device 500 to implement various network nodes, network elements, network entities, such as a network base station (e.g., a radio access network node) , a core network (CN) , a core network element / entity (e.g., an AMF, a UDM, an AAnF, etc. ) , an operation and maintenance (OAM) , and the like. Optionally in one implementation, the example electronic device 500 may include radio transmitting / receiving (Tx / Rx) circuitry 508 to transmit / receive communication with UEs and / or other base stations. Optionally in one implementation, the electronic device 500 may also include network interface circuitry 509 to communicate the base station with other base stations and / or a core network, e.g., optical or wireline interconnects, Ethernet, and / or other data transmission mediums / protocols. The electronic device 500 may optionally include an input / output (I / O) interface 506 to communicate with an operator or the like.

[0042] The electronic device 500 may also include system circuitry 504. System circuitry 504 may include processor (s) 521 and / or memory 522. Memory 522 may include an operating system 524, instructions 526, and parameters 528. Instructions 526 may be configured for the one or more of the processors 521 to perform the functions of the network node. The parameters 528 may include parameters to support execution of the instructions 526. For example, parameters may include network protocol settings, bandwidth parameters, radio frequency mapping assignments, and / or other parameters.

[0043] In this disclosure, a network function / network entity / entity, such as an AMF, an AUSF, a UDM, an AAnF, an NEF, an AF, may be implemented in hardware, software, a combination of hardware and software, and may be implemented or integrated in the electronic device 500. They may also be implemented as a logical entity hosted by the electronic device 500.

[0044] FIG. 6 shows an example of an electronic device to implement a terminal device 600 (for example, a UE) . The UE 600 may be a mobile device, for example, a smart phone or a mobile communication module disposed in a vehicle. The UE 600 may include a portion or all of the following: communication interfaces 602, a system circuitry 604, an input / output interfaces (I / O) 606, a display circuitry 608, and a storage 609. The display circuitry may include a user interface 610. The system circuitry 604 may include any combination of hardware, software, firmware, or other logic / circuitry. The system circuitry 604 may be implemented, for example, with one or more systems on a chip (SoC) , application specific integrated circuits (ASIC) , discrete analog and digital circuits, and other circuitry. The system circuitry 604 may be a part of the implementation of any desired functionality in the UE 600. In that regard, the system circuitry 604 may include logic that facilitates, as examples, decoding and playing music and video, e.g., MP3, MP4, MPEG, AVI, FLAC, AC3, or WAV decoding and playback; running applications; accepting user inputs; saving and retrieving application data; establishing, maintaining, and terminating cellular phone calls or data connections for, as one example, internet connectivity; establishing, maintaining, and terminating wireless network connections, Bluetooth connections, or other connections; and displaying relevant information on the user interface 610. The user interface 610 and the inputs / output (I / O) interfaces 606 may include a graphical user interface, touch sensitive display, haptic feedback or other haptic output, voice or facial recognition inputs, buttons, switches, speakers and other user interface elements. Additional examples of the I / O interfaces 606 may include microphones, video and still image cameras, temperature sensors, vibration sensors, rotation and orientation sensors, headset and microphone input  / output jacks, Universal Serial Bus (USB) connectors, memory card slots, radiation sensors (e.g., IR sensors) , and other types of inputs.

[0045] Referring to FIG. 6, the communication interfaces 602 may include a Radio Frequency (RF) transmit (Tx) and receive (Rx) circuitry 616 which handles transmission and reception of signals through one or more antennas 614. The communication interface 602 may include one or more transceivers. The transceivers may be wireless transceivers that include modulation  / demodulation circuitry, digital to analog converters (DACs) , shaping tables, analog to digital converters (ADCs) , filters, waveform shapers, filters, pre-amplifiers, power amplifiers and / or other logic for transmitting and receiving through one or more antennas, or (for some devices) through a physical (e.g., wireline) medium. The transmitted and received signals may adhere to any of a diverse array of formats, protocols, modulations (e.g., QPSK, 16-QAM, 64-QAM, or 256-QAM) , frequency channels, bit rates, and encodings. As one specific example, the communication interfaces 602 may include transceivers that support transmission and reception under the 2G, 3G, BT, WiFi, Universal Mobile Telecommunications System (UMTS) , High Speed Packet Access (HSPA) +, 4G  / Long Term Evolution (LTE) , 5G, and 6G standards. The techniques described below, however, are applicable to other wireless communications technologies whether arising from the 3rd Generation Partnership Project (3GPP) , GSM Association, 3GPP2, IEEE, or other partnerships or standards bodies.

[0046] Referring to FIG. 6, the system circuitry 604 may include one or more processors 621 and memories 622. The memory 622 stores, for example, an operating system 624, instructions 626, and parameters 628. The processor 621 is configured to execute the instructions 626 to carry out desired functionality for the UE 600. The parameters 628 may provide and specify configuration and operating options for the instructions 626. The memory 622 may also store any BT, WiFi, 3G, 4G, 5G, 6G or other data that the UE 600 will send, or has received, through the communication interfaces 602. In various implementations, a system power for the UE 600 may be supplied by a power storage device, such as a battery or a transformer.

[0047] Under the AKMA framework, there may be various keys involved, and these keys may be organized in a hierarchical structure as shown in FIG. 7. The example key hierarchy of FIG. 7 may include the following keys at different level: KAUSF, KAKMA, and KAF. These keys may be derived and stored in parallel on both the network side and the Mobile Equipment (ME) side. The ME refers to a portion of a UE along with other portions of UE such as a Universal Subscriber Identity Module (USIM) .

[0048] After a successful primary authentication between the UE and the wireless communication network (e.g., UE authenticated by the operator) , the AUSF and / or the UE may derive the KAUSF based on an Integrity Key (IK) of the UE, and a Cipher Key (CK) of the UE. AUSF may alternatively derive the KAUSF based on a transformation of the Integrity Key (denoted as IK') of the UE, and a transformation of the Cipher Key (denoted as CK') of the UE.

[0049] Based on the KAUSF, the ME and the AUSF may each derive the KAKMA based on the KAUSF, and the SUPI of the UE, by using a Key Derivation Function (KDF) .

[0050] Then based on the KAKMA, the ME and the AAnF may each derive the AKMA Application Key, KAF, based on the KAKMA, and an identifier of the AF, also similarly by using a KDF. It is to be noted that a UE may store multiple KAF, each corresponding to an AF. Likewise, an AF may store multiple KAF, each corresponding to a UE.

[0051] The various keys described herein may each have a lifetime. For example, the KAKMA may be refreshed until the next successful primary authentication. For another example, the KAF may be provisioned with a lifetime (or expiration time) , for example, by the AAnF. In some embodiments, the lifetime of a key may be associated with a timer, such that the timer is started once a key is commissioned, and once the timer expires, the key is refreshed.

[0052] In a wireless communication network, a UE may subscribe to various application services from an AF. When invoking services provided by the AF, secure communication link needs to be established and maintained. An encryption key may be used to encrypt the data flow between the UE and the AF. Depending on use case scenarios, different key may be selected.

[0053] In some scenarios, the UE may invoke application service from an AF which is located outside the operator’s network. The AF may include an EES (Edge Enabling Server) or EAS (Edge Application Server) . In order to provide service to the UE, the AF may need to retrieve certain UE privacy related or sensitive information. Such information may include following information for the UE, for example, UE location, Internet Protocol (IP) address, UE capabilities, UE context information, etc.

[0054] Retrieving UE privacy related information is critical because it involves sensitive user data such as location, identity (SUPI / SUCI) , IP address, and network / service usage patterns, which, if exposed or misused, could lead to privacy breaches, security risks, and regulatory violations. Unauthorized access to such data could enable tracking, profiling, or even cyberattacks targeting users. Therefore, strict security and privacy controls must be enforced whenever an Application Function (AF) requires access to this information.

[0055] Embodiment 1: AKMA application key request for an AF

[0056] FIG. 8 illustrates an example flow chart for an AF to request AKMA Application Key (KAF) from an AAnF. Specifically, the AF is located outside the operator’s network. An exemplary method may include a portion or all of the following steps.

[0057] Step 1: When the AF is about to request AKMA Application Key for the UE (not shown in FIG. 8) from the AAnF, e.g., when UE initiates application session establishment request, the AF may discover the HPLMN of the UE based on the A-KID (AKMA Key Identifier) and sends a request, such as an Nnef_AKMA_ApplicationKey_Get Request towards the AAnF via an NEF service API. The request may include at least one of: the AKMA Key Identifier (A-KID) ; the AF_ID (AF identity) ; or a UE Id not needed indication.

[0058] In the case of architecture without Common API Framework (CAPIF) support, the AF is locally configured with the API termination points for the service. In the case of architecture with CAPIF support, the AF obtains the service API information from the CAPIF core function via the Availability of service APIs event notification or Service Discover Response.

[0059] Step 2: If the AF is authorized by the NEF to request KAF, including the authorization after verification of the AF_ID in step 1, the NEF discovers and selects an AAnF to be used for the request.

[0060] Step 3: The NEF sends a Naanf_AKMA_ApplicationKey_Get request to the selected AAnF with the A-KID to request the KAF for the UE.

[0061] If KAKMA is present in AAnF, the AAnF may continue with step 4 below.

[0062] If KAKMA is not present in the AAnF, the AAnF may continue with step 5 below, with an error response.

[0063] Step 4: Once receiving the request from the AF, AAnF may request the UE roaming status report from UDM. If the AAnF determines to provide AKMA service to the UE, the AAnF generates the KAF and sends the response to the NEF with the KAF, the KAF expiration time (KAF exptime) and SUPI of the UE. The AAnF may store the KAF expiration time as part of UE’s AKMA context. If the AAnF finds that roaming is not allowed, it may respond the AF including a failure indication that roaming is not allowed.

[0064] 5. The NEF may forward the response to the AF, the response may include the KAF, the KAF expiration time (KAF exptime) and optionally Generic Public Subscription Identifier (GPSI, which is an external ID) or the failure indication of roaming not allowed. The NEF will not send the SUPI to the AF.

[0065] Note that the GPSI is only optionally carried in the response message. This may be due to a local policy of NEF. Only permitted or supported by the local policy, the NEF may invoke the Nudm_SubscriberDataManagement service to translate SUPI to GPSI and optionally include GPSI in the response. That is, whether to include GPSI is an NEF implementation. For example, NEF from different vendors may behave differently from a GPSI perspective (as different local policies may be deployed) .

[0066] Additionally or alternatively, if “UE Id not needed indication” is received in the incoming request, the NEF will not provide the GPSI to AF.

[0067] Embodiment 2: Retrieve UE privacy information based on AKMA

[0068] In this embodiment, an AF may retrieve UE privacy information (e.g., UE location) from the core network, without knowing and using the GPSI of the UE, or without knowing and using any type of UE identifiers. FIG. 9 shows a non-limiting example of a method including a portion or all of the following steps. The AF is outside UE’s operator network, i.e., the AF does not belong to, and is not part of UE’s operator network.

[0069] Step p0: This step is a precondition. The UE performs primary authentication with the network. For example, the network performs a primary authentication of the UE. Only after the successful primary authentication of the UE, the UE is authorized for additional network services. In the primary authentication, the subscription credentials and the shared secret stored in the USIM of the UE and the same stored in the UDM of the operator network is verified.

[0070] Step p1: This step is an additional precondition. Once the primary authentication is completed successfully, this step involves AKMA key derivation. More details may be found in FIG. 4 and FIG. 7, and their accompanying texts.

[0071] Step 1: UE needs to request an application service from the AF, and it may send an application request message to the AF (e.g., EDGE application server (EAS, EES) ) , including the A-KID (AKMA Key Identifier) in the request.

[0072] In some implementations, the service request may be initiated by Edge Enabler Client (EEC) of the UE.

[0073] Steps 2-5: The AF may request KAF from the core network. This procedure has been described in embodiment 1, and the details are omitted herein for simplicity.

[0074] After this KAF retrieval procedure, as shown in FIG. 9, the KAF is provided by the NEF to the AF. Note that in step 5, a GPSI of the UE is not provided to the AF, and the AF does not have knowledge of the GPSI of the UE.

[0075] In some implementations, the AF does not know or store any type of UE identifiers, including but not limited to GPSI, IMSI (International Mobile Subscriber Identity) , SUPI, or GUTI (Globally Unique Temporary Identifier) of the UE.

[0076] Step 6. The AF requires knowledge of the UE's privacy information that is available in the core network (e.g., a 5G core network) . The privacy information may include, for example, the location of the UE. The AF may send a request message to the core network (e.g., via the NEF) to request such privacy information, carrying UE’s AKMA key identifier, A-KID. The request message may indicate the type of requested privacy information explicitly (e.g., via an indicator) or implicitly (e.g., via name and / or type of the request message) . In FIG. 9, an example is shown to request the location information of the UE.

[0077] Note that in this step, the AF does not have the GPSI of the UE, and the request message does not rely on the GPSI.

[0078] Step 7. After receiving the request, the NEF may request UE identify (e.g., GPSI, or SUPI) from the AAnF by sending a message, such as an Naanf_AKMA_identity_Get Request message to the AAnF, carrying the A-KID.

[0079] Step 8. The AAnF may send a response message, such as an the Naanf_AKMA_identity_Get Response message to the NEF, carrying GPSI or SUPI of the UE. Step 9. If GPSI is received in step 8, the NEF may check the GPSI, and if the request in step 6 is authorized, the corresponding requested privacy information, in this example the location of the UE, is provided to the AF.

[0080] If SUPI is received in step 8, the NEF may invoke a UDM service, such as the Nudm_SubscriberDataManagement service, to translate SUPI to GPSI. The NEF may then check the GPSI, and if the request in step 6 is authorized, the corresponding requested privacy information, in this example the location of the UE, is provided to the AF.

[0081] Step 10. As a response to the request message in step 1, the AF may send a response message to the UE (EEC) .

[0082] It is noted that in this disclosure, the steps are listed for exemplary purpose. Some steps described in an embodiment may be optional, while some steps provide alternative, parallel solution to other steps.

[0083] Performed by a first network element, an exemplary method according to embodiments in this disclosure may include a portion or all of the following steps: step 1: transmitting, to a second network element, a first message to request sensitive information a user equipment (UE) , the first message carrying an AKMA (Authentication and Key Management for Applications) key identifier (A-KID) for identifying an AKMA key of the UE.

[0084] In any portion or combination of the implementations above, before transmitting the first message, the method further comprising: receiving, from the UE, an application request message requesting an application service from the first network element.

[0085] In any portion or combination of the implementations above, the first network element comprises an Application Function (AP) , and wherein the second network element comprises a Network Exposure Function (NEF) .

[0086] In any portion or combination of the implementations above, the sensitive information of the UE comprises at least one of: a location of the UE; an Internet Protocol (IP) address of the UE; UE capabilities; or UE context information.

[0087] In any portion or combination of the implementations above, the first network element does not know or store a Generic Public Subscription Identifier (GPSI) of the UE when transmitting the first message.

[0088] In any portion or combination of the implementations above, the first network element is outside of UE’s operator network.

[0089] Performed by a first network element, another exemplary method according to embodiments in this disclosure may include a portion or all of the following steps: step 1: receiving, from a second network element, a first message to request sensitive information a user equipment (UE) , the first message carrying an AKMA (Authentication and Key Management for Applications) key identifier (A-KID) of the UE.

[0090] In any portion or combination of the implementations above, the method further comprising: transmitting, to a third network element, a second message to request an identifier of the UE, the second message carrying the A-KID of the UE.

[0091] In any portion or combination of the implementations above, the second message comprises an Naanf_AKMA_identity_Get Request message.

[0092] In any portion or combination of the implementations above, the method further comprising: receiving, from the third network element, a third message as a response to the second message, the third message carrying one of: a Subscription Permanent Identifier (SUPI) of the UE; or a Generic Public Subscription Identifier (GPSI) of the UE.

[0093] In any portion or combination of the implementations above, the third network element comprise an AKMA Anchor Function (AAnF) .

[0094] In any portion or combination of the implementations above, the method further comprising: transmitting, to the second network element, a fourth message as a response to the first message, the fourth comprising the sensitive information of the UE.

[0095] In any portion or combination of the implementations above, the method further comprising: in response to the third message carrying the SUPI of the UE, invoking a querying service provided by a core network of the UE, to translate the SUPI of UE to the GPSI of the UE.

[0096] In any portion or combination of the implementations above, the querying service comprises a Nudm_SubscriberDataManagement service.

[0097] In any portion or combination of the implementations above, the first network element comprises a Network Exposure Function (NEF) , and wherein the second network element comprises an Application Function (AP) .

[0098] In any portion or combination of the implementations above, the sensitive information of the UE comprises at least one of: a location of the UE; an Internet Protocol (IP) address of the UE; UE capabilities; or UE context information.

[0099] In any portion or combination of the implementations above, the second network element does not know or store the GPSI of the UE when transmitting the first message.

[0100] In any portion or combination of the implementations above, the second network element is outside of UE’s operator network.

[0101] In another embodiment, a network element or wireless device comprising a processor and a memory is disclosed. The processor may be configured to read computer code from the memory to implement any of the methods above.

[0102] In yet another embodiment, a computer program product comprising a non-transitory computer-readable program medium with computer code stored thereupon is disclosed. The computer code, when executed by a processor, may cause the processor to implement any one of the methods above.

[0103] In this disclosure, message types and / or message names (e.g., as shown in FIGs. 8-9) are for exemplary purpose only. Different message types and / or message names may be chosen in implementation, and should still be covered by this disclosure, as far as the underlying principle is the same, for example, if the messages are used for a same purpose.

[0104] In this disclosure, a single information element in a message (i.e., information carried in a message) may be split into multiple information elements. Multiple information element may also be combined into a single information element. For example, two parameters sent in separate messages (even these separate messages are described in different embodiment) may be combined into a single message, if there is no conflict. For another example, two parameters sent in one message may be split and sent in two separate messages.

[0105] In this disclosure, the steps in each embodiment are for illustration purposes only and other alternatives may be derived based on the disclosed embodiments as desired. For example, only part of the steps may need to be performed. For another example, the sequence of the steps may be adjusted. For another example, several steps may be combined (e.g., several messages may be combined in one message) . For yet another example, a single step may be split (e.g., one message may be sent via two sub-messages) .

[0106] The accompanying drawings and description above provide specific example embodiments and implementations. The described subject matter may, however, be embodied in a variety of different forms and, therefore, covered or claimed subject matter is intended to be construed as not being limited to any example embodiments set forth herein. A reasonably broad scope for claimed or covered subject matter is intended. Among other things, for example, subject matter may be embodied as methods, devices, components, systems, or non-transitory computer-readable media for storing computer codes. Accordingly, embodiments may, for example, take the form of hardware, software, firmware, storage media or any combination thereof. For example, the method embodiments described above may be implemented by components, devices, or systems including memory and processors by executing computer codes stored in the memory.

[0107] Throughout the specification and claims, terms may have nuanced meanings suggested or implied in context beyond an explicitly stated meaning. Likewise, the phrase “in one embodiment / implementation” as used herein does not necessarily refer to the same embodiment and the phrase “in another embodiment / implementation” as used herein does not necessarily refer to a different embodiment. It is intended, for example, that claimed subject matter includes combinations of example embodiments in whole or in part.

[0108] In general, terminology may be understood at least in part from usage in context. For example, terms, such as “and” , “or” , or “and / or, ” as used herein may include a variety of meanings that may depend at least in part on the context in which such terms are used. Typically, “or” if used to associate a list, such as A, B or C, is intended to mean A, B, and C, here used in the inclusive sense, as well as A, B or C, here used in the exclusive sense. In addition, the term “one or more” as used herein, depending at least in part upon context, may be used to describe any feature, structure, or characteristic in a singular sense or may be used to describe combinations of features, structures or characteristics in a plural sense. Similarly, terms, such as “a, ” “an, ” or “the, ” may be understood to convey a singular usage or to convey a plural usage, depending at least in part upon context. In addition, the term “based on” may be understood as not necessarily intended to convey an exclusive set of factors and may, instead, allow for existence of additional factors not necessarily expressly described, again, depending at least in part on context.

[0109] Reference throughout this specification to features, advantages, or similar language does not imply that all of the features and advantages that may be realized with the present solution should be or are included in any single implementation thereof. Rather, language referring to the features and advantages is understood to mean that a specific feature, advantage, or characteristic described in connection with an embodiment is included in at least one embodiment of the present solution. Thus, discussions of the features and advantages, and similar language, throughout the specification may, but do not necessarily, refer to the same embodiment.

[0110] Furthermore, the described features, advantages and characteristics of the present solution may be combined in any suitable manner in one or more embodiments. One of ordinary skill in the relevant art will recognize, in light of the description herein, that the present solution can be practiced without one or more of the specific features or advantages of a particular embodiment. In other instances, additional features and advantages may be recognized in certain embodiments that may not be present in all embodiments of the present solution.

Claims

1.A method for wireless communication, performed by a first network element, comprising:transmitting, to a second network element, a first message to request sensitive information a user equipment (UE) , the first message carrying an AKMA (Authentication and Key Management for Applications) key identifier (A-KID) for identifying an AKMA key of the UE.2.The method of claim 1, further comprising:receiving, by the first network element from the second network element, a second message as a response to the first message, the second message carrying the sensitive information of the UE.3.The method of claim 1, wherein before transmitting the first message, the method further comprising:receiving, from the UE, an application request message requesting an application service from the first network element.4.The method of any one of claims 1-3, wherein the first network element comprises an Application Function (AP) , and wherein the second network element comprises a Network Exposure Function (NEF) .5.The method of any one of claims 1-3, wherein the sensitive information of the UE comprises at least one of:a location of the UE;an Internet Protocol (IP) address of the UE;UE capabilities; orUE context information.6.The method of any one of claims 1-3, wherein the first network element does not know or store a Generic Public Subscription Identifier (GPSI) of the UE when transmitting the first message.7.The method of any one of claims 1-3, wherein the first network element is outside of UE’s operator network.8.A method for wireless communication, performed by a first network element, comprising:receiving, from a second network element, a first message to request sensitive information a user equipment (UE) , the first message carrying an AKMA (Authentication and Key Management for Applications) key identifier (A-KID) of the UE.9.The method of claim 8, further comprising:transmitting, to a third network element, a second message to request an identifier of the UE, the second message carrying the A-KID of the UE.10.The method of claim 9, wherein the second message comprises an Naanf_AKMA_identity_Get Request message.11.The method of claim 9, further comprising:receiving, from the third network element, a third message as a response to the second message, the third message carrying one of: a Subscription Permanent Identifier (SUPI) of the UE; or a Generic Public Subscription Identifier (GPSI) of the UE.12.The method of claim 11, wherein the third network element comprise an AKMA Anchor Function (AAnF) .13.The method of claim 11, further comprising:transmitting, to the second network element, a fourth message as a response to the first message, the fourth comprising the sensitive information of the UE.14.The method of claim 11, further comprising:in response to the third message carrying the SUPI of the UE, invoking a querying service provided by a core network of the UE, to translate the SUPI of UE to the GPSI of the UE.15.The method of claim 14, wherein the querying service comprises a Nudm_SubscriberDataManagement service.16.The method of any one of claims 8-15, wherein the first network element comprises a Network Exposure Function (NEF) , and wherein the second network element comprises an Application Function (AF) .17.The method of any one of claims 8-15, wherein the sensitive information of the UE comprises at least one of:a location of the UE;an Internet Protocol (IP) address of the UE;UE capabilities; orUE context information.18.The method of any one of claims 8-15, wherein the second network element does not know or store the GPSI of the UE when transmitting the first message.19.The method of any one of claims 8-15, wherein the second network element is outside of UE’s operator network.20.A device or a network element comprising a memory for storing computer instructions and a processor in communication with the memory, wherein the processor, when executing the computer instructions, is configured to implement a method in any one of claims 1-19.21.A computer program product comprising a non-transitory computer-readable program medium with computer code stored thereupon, the computer code, when executed by one or more processors, causing the one or more processors to implement a method of any one of claims 1-19.