BR112020002515A2 - método de acionamento de autenticação de rede e dispositivo relacionado - Google Patents

método de acionamento de autenticação de rede e dispositivo relacionado Download PDF

Info

Publication number
BR112020002515A2
BR112020002515A2 BR112020002515-1A BR112020002515A BR112020002515A2 BR 112020002515 A2 BR112020002515 A2 BR 112020002515A2 BR 112020002515 A BR112020002515 A BR 112020002515A BR 112020002515 A2 BR112020002515 A2 BR 112020002515A2
Authority
BR
Brazil
Prior art keywords
identity information
terminal
network device
authentication
information
Prior art date
Application number
BR112020002515-1A
Other languages
English (en)
Inventor
He Li
Jing Chen
Huan Li
Yizhuang Wu
Original Assignee
Huawei Technologies Co., Ltd.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co., Ltd. filed Critical Huawei Technologies Co., Ltd.
Publication of BR112020002515A2 publication Critical patent/BR112020002515A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Este pedido se relaciona ao campo das tecnologias de comunicações, e revela um método, sistema de acionamento de autenticação de rede e um dispositivo relacionado. O método inclui: receber uma primeira mensagem a partir de um terminal, em que a primeira mensagem porta primeiras informações de identidade e informações de identificador, as primeiras informações de identidade são informações de identidade criptografadas, e as informações de identificador são usadas para identificar uma maneira de criptografia das primeiras informações de identidade; e enviar uma segunda mensagem para uma primeira entidade de função de segurança, em que a segunda mensagem é usada para acionar autenticação para o terminal, e a segunda mensagem porta as informações de identificador. Este pedido fornece uma solução de acionamento de um processo de autenticação quando informações de identidade são criptografadas.

Description

“MÉTODO DE ACIONAMENTO DE AUTENTICAÇÃO DE REDE E DISPOSITIVO RELACIONADO” CAMPO DA TÉCNICA
[0001] Este pedido refere-se ao campo de tecnologias das comunicações e, em particular, a um método de acionamento de autenticação de rede e um dispositivo relacionado.
FUNDAMENTOS
[0002] Atualmente, um terminal pode acessar uma rede usando uma tecnologia 3GPP ou usando uma tecnologia não 3GPP. Quando um terminal acessa uma rede 5G e é registrado pela primeira vez, independentemente de se o terminal acessa a rede 5G usando a tecnologia 3GPP ou usando a tecnologia não 3GPP, o terminal precisa enviar, para um dispositivo em uma rede principal, uma mensagem de anexo que porta informações de identidade permanente, de modo que o dispositivo na rede principal acione um processo de autenticação de acordo com a mensagem de anexo, para realizar autenticação para o terminal.
[0003] Em uma tecnologia relacionada, quando um terminal acessa uma rede 5G e realiza um Registro Inicial, o terminal pode enviar informações de identidade permanente do terminal para uma entidade de gerenciamento de acesso e mobilidade (access and mobility management function, AMF) em uma rede principal por meio de um NodeB de próxima geração (next generation NodeB, gNB) ou uma função de interfuncionamento não 3GPP (non-3GPP interworking function, N3IWF). Quando a entidade AMF recebe as informações de identidade permanente do terminal, a entidade AMF aciona um processo de autenticação, e então a entidade AMF pode selecionar uma entidade de função de servidor de autenticação (authentication server function, AUSF) com base nas informações de identidade permanente do terminal, para iniciar autenticação e verificação do terminal.
[0004] Na tecnologia relacionada supracitada, quando o terminal envia as informações de identidade permanente para a entidade AMF por meio do gNB ou N3IWF, para acionar o processo de autenticação, nenhum processamento de criptografia é realizado nas informações de identidade permanente. Nesse caso, as informações de identidade permanente são facilmente interceptadas ou adulteradas em um processo de transmissão, e a segurança do terminal está sob ameaça.
SUMÁRIO
[0005] Modalidades deste pedido fornecem um método de acionamento de autenticação de rede e um dispositivo relacionado, para resolver um problema na tecnologia relacionada de que a segurança de um terminal está sob ameaça porque uma identidade permanente fornecida pelo terminal para uma entidade AMF está descriptografada quando um processo de autenticação é acionado. As soluções técnicas são as seguintes:
[0006] De acordo com um primeiro aspecto, um método de acionamento de autenticação de rede é fornecido. O método inclui: receber, por um primeiro dispositivo de rede, uma primeira mensagem a partir de um terminal, onde a primeira mensagem porta primeiras informações de identidade e informações identificadoras, as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal com base em uma chave pública, e as informações identificadoras são usadas para identificar se as primeiras informações de identidade são informações de identidade criptografadas e/ou identificar uma maneira de criptografia das primeiras informações de identidade; e enviar, pelo primeiro dispositivo de rede, uma segunda mensagem para uma primeira entidade de função de segurança de acordo com as primeiras informações de identidade, onde a segunda mensagem é usada para acionar autenticação para o terminal.
[0007] Na solução desta modalidade deste pedido, o primeiro dispositivo de rede pode enviar a segunda mensagem para a primeira entidade de função de segurança de acordo com as primeiras informações de identidade, para acionar autenticação para o terminal. Pode ser constatado que esta modalidade deste pedido fornece uma solução para acionamento de um processo de autenticação quando informações de identidade são criptografadas. Como as informações de identidade enviadas pelo terminal para o primeiro dispositivo de rede são criptografadas, impede-se que as informações de identidade sejam interceptadas ou adulteradas em um processo de transmissão, e a segurança do terminal é assegurada.
[0008] Além disso, durante a implementação deste pedido, a primeira mensagem porta as informações identificadoras, para identificar se as primeiras informações de identidade são informações criptografadas e/ou identificar a maneira de criptografia das primeiras informações de identidade, de modo que uma entidade de função usada para descriptografar as primeiras informações de identidade possa descriptografar as primeiras informações de identidade mais rápido e mais convenientemente.
[0009] Em um projeto possível, a chave pública é armazenada no terminal, ou em um cartão que está no terminal e usado para armazenar uma chave de longo prazo.
[0010] Em um projeto possível, as informações identificadoras são um primeiro identificador, e o primeiro identificador é usado para identificar se as primeiras informações de identidade são informações de identidade criptografadas; ou as informações identificadoras são um segundo identificador, e o segundo identificador é usado para identificar a maneira de criptografia das primeiras informações de identidade; ou as informações identificadoras são um terceiro identificador, e o terceiro identificador é usado para identificar se as primeiras informações de identidade são informações de identidade criptografadas e identificar a maneira de criptografia das primeiras informações de identidade; ou as informações identificadoras incluem um primeiro identificador e um segundo identificador, o primeiro identificador é usado para identificar se as primeiras informações de identidade são criptografadas e o segundo identificador é usado para identificar a maneira de criptografia das primeiras informações de identidade.
[0011] Em um projeto possível, o primeiro dispositivo de rede envia uma mensagem de solicitação de identidade permanente à primeira entidade de função de segurança, onde a mensagem de solicitação de identidade permanente porta as primeiras informações de identidade; o primeiro dispositivo de rede recebe uma mensagem de resposta de identidade permanente a partir da primeira entidade de função de segurança, onde a mensagem de resposta de identidade permanente porta segundas informações de identidade, e as segundas informações de identidade são obtidas descriptografando-se as primeiras informações de identidade; e o primeiro dispositivo de rede envia a segunda mensagem para a primeira entidade de função de segurança, onde a segunda mensagem porta segundas informações de identidade.
[0012] Em um projeto possível, o primeiro dispositivo de rede pode, alternativamente, enviar uma mensagem de solicitação de identidade permanente para um segundo dispositivo de rede, onde a mensagem de solicitação de identidade permanente porta as primeiras informações de identidade; o primeiro dispositivo de rede recebe uma mensagem de resposta de identidade permanente a partir do segundo dispositivo de rede, onde a mensagem de resposta de identidade permanente porta segundas informações de identidade, e as segundas informações de identidade são obtidas descriptografando-se as primeiras informações de identidade; e o primeiro dispositivo de rede envia a segunda mensagem para a primeira entidade de função de segurança, onde a segunda mensagem porta segundas informações de identidade.
[0013] Em um projeto possível, as segundas informações de identidade são obtidas pelo segundo dispositivo de rede descriptografando-se as primeiras informações de identidade usando uma chave privada armazenada; ou as segundas informações de identidade são obtidas depois que o segundo dispositivo de rede encaminha as primeiras informações de identidade para um terceiro dispositivo de rede e o terceiro dispositivo de rede descriptografa as primeiras informações de identidade.
[0014] Em um projeto possível, o primeiro dispositivo de rede envia a segunda mensagem para a primeira entidade de função de segurança, onde a segunda mensagem porta as primeiras informações de identidade; então o primeiro dispositivo de rede recebe segundas informações de identidade a partir da primeira entidade de função de segurança, onde as segundas informações de identidade são obtidas descriptografando-se as primeiras informações de identidade, onde o recebimento, pelo primeiro dispositivo de rede, de segundas informações de identidade a partir da primeira entidade de função de segurança inclui um dentre os seguintes casos: receber, pelo primeiro dispositivo de rede, uma terceira mensagem a partir da primeira entidade de função de segurança, onde a terceira mensagem porta uma mensagem de resposta de autenticação, a mensagem de resposta de autenticação porta as segundas informações de identidade e um vetor de autenticação, e o vetor de autenticação é usado para realizar autenticação para o terminal; ou a terceira mensagem porta as segundas informações de identidade e uma mensagem de resposta de autenticação, a mensagem de resposta de autenticação porta um vetor de autenticação, e o vetor de autenticação é usado para realizar autenticação para o terminal; ou a terceira mensagem porta uma mensagem de sucesso de autenticação e a mensagem de sucesso de autenticação porta as segundas informações de identidade; ou a terceira mensagem porta as segundas informações de identidade e uma mensagem de sucesso de autenticação; ou receber, pelo primeiro dispositivo de rede, uma quarta mensagem enviada pela primeira entidade de função de segurança, onde a quarta mensagem porta um vetor de autenticação e as segundas informações de identidade, e o vetor de autenticação é usado para realizar autenticação para o terminal.
[0015] Em um projeto possível, antes de receber as segundas informações de identidade a partir da primeira entidade de função de segurança, o primeiro dispositivo de rede recebe um vetor de autenticação enviado pela primeira entidade de função de segurança, realiza autenticação para o terminal usando o vetor de autenticação, e envia uma mensagem de confirmação de autenticação para a primeira entidade de função de segurança após a autenticação para o terminal ter sucesso.
[0016] Em um projeto possível, após receber as segundas informações de identidade a partir da primeira entidade de função de segurança, o primeiro dispositivo de rede pode armazenar as segundas informações de identidade.
[0017] Em um projeto possível, o segundo dispositivo de rede é qualquer um dentre um repositório de credencial de autenticação e uma entidade de função de processamento, uma entidade de gerenciamento de dados unificada, um servidor de gerenciamento de chave ou um centro de verificação.
[0018] De acordo com um segundo aspecto, é fornecido um método de acionamento de autenticação de rede. O método inclui: receber, por uma primeira entidade de função de segurança, uma segunda mensagem a partir de um primeiro dispositivo de rede, onde a segunda mensagem é enviada pelo primeiro dispositivo de rede com base nas primeiras informações de identidade portadas em uma primeira mensagem de um terminal, a segunda mensagem é usada para acionar um processo de autenticação para o terminal, as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal com base em uma chave pública, a segunda mensagem porta informações identificadoras, e as informações identificadoras são usadas para identificar se as primeiras informações de identidade são informações de identidade criptografadas e/ou identificar uma maneira de criptografia das primeiras informações de identidade. Na solução desta modalidade deste pedido, após receber a segunda mensagem, a primeira entidade de função de segurança pode acionar autenticação para o terminal. Além disso, como a segunda mensagem porta as informações identificadoras, a primeira entidade de função de segurança pode determinar, com base nas informações identificadoras, se a segunda mensagem porta informações de identidade criptografadas, para determinar se realiza descriptografia.
[0019] Em um projeto possível, a chave pública é armazenada no terminal ou em um cartão que está no terminal e que é usado para armazenar uma chave de longo prazo.
[0020] Em um projeto possível, as informações identificadoras são um primeiro identificador, e o primeiro identificador é usado para identificar se as primeiras informações de identidade são informações de identidade criptografadas; ou as informações identificadoras são um segundo identificador, e o segundo identificador é usado para identificar a maneira de criptografia das primeiras informações de identidade; ou as informações identificadoras são um terceiro identificador, e o terceiro identificador é usado para identificar se as primeiras informações de identidade são criptografadas e identificar a maneira de criptografia das primeiras informações de identidade; ou as informações identificadoras incluem um primeiro identificador e um segundo identificador, o primeiro identificador é usado para identificar se as primeiras informações de identidade são informações de identidade criptografadas, e o segundo identificador é usado para identificar a maneira de criptografia das primeiras informações de identidade.
[0021] Em um projeto possível, a segunda mensagem porta segundas informações de identidade, e as segundas informações de identidade são obtidas descriptografando-se as primeiras informações de identidade.
[0022] Correspondentemente, antes de receber a segunda mensagem a partir do primeiro dispositivo de rede, a primeira entidade de função de segurança recebe uma mensagem de solicitação de identidade permanente a partir do primeiro dispositivo de rede, onde a mensagem de solicitação de identidade permanente porta as primeiras informações de identidade; a primeira entidade de função de segurança obtém as segundas informações de identidade com base nas primeiras informações de identidade; e a primeira entidade de função de segurança envia uma mensagem de resposta de identidade permanente para o primeiro dispositivo de rede, onde a mensagem de resposta de identidade permanente porta as segundas informações de identidade.
[0023] Em um projeto possível, a segunda mensagem porta as primeiras informações de identidade e, após receber a segunda mensagem a partir do primeiro dispositivo de rede, a primeira entidade de função de segurança envia segundas informações de identidade para o primeiro dispositivo de rede, onde as segundas informações de identidade são obtidas descriptografando-se as primeiras informações de identidade, onde o fato de a primeira entidade de função de segurança enviar segundas informações de identidade para o primeiro dispositivo de rede inclui um dentre os seguintes casos: a primeira entidade de função de segurança obtém um vetor de autenticação com base nas segundas informações de identidade, onde o vetor de autenticação é usado para realizar autenticação para o terminal; e a primeira entidade de função de segurança envia uma terceira mensagem para o primeiro dispositivo de rede, onde a terceira mensagem porta uma mensagem de resposta de autenticação, e a mensagem de resposta de autenticação porta o vetor de autenticação e as segundas informações de identidade, ou a terceira mensagem porta uma mensagem de resposta de autenticação e as segundas informações de identidade, e a mensagem de resposta de autenticação porta o vetor de autenticação; ou a primeira entidade de função de segurança obtém um vetor de autenticação com base nas segundas informações de identidade, onde o vetor de autenticação é usado para realizar autenticação para o terminal; e a primeira entidade de função de segurança realiza autenticação para o terminal com base no vetor de autenticação, e envia uma terceira mensagem para o primeiro dispositivo de rede após a autenticação para o terminal ter sucesso, onde a terceira mensagem porta uma mensagem de sucesso de autenticação, e a mensagem de sucesso de autenticação porta as segundas informações de identidade, ou a terceira mensagem porta uma mensagem de sucesso de autenticação e as segundas informações de identidade; ou a primeira entidade de função de segurança obtém um vetor de autenticação com base nas segundas informações de identidade, onde o vetor de autenticação é usado para realizar autenticação para o terminal; e a primeira entidade de função de segurança envia uma quarta mensagem para o primeiro dispositivo de rede, onde a quarta mensagem porta o vetor de autenticação e as segundas informações de identidade; ou a primeira entidade de função de segurança obtém um vetor de autenticação com base nas segundas informações de identidade, onde o vetor de autenticação é usado para realizar autenticação para o terminal; a primeira entidade de função de segurança envia o vetor de autenticação para o primeiro dispositivo de rede; e a primeira entidade de função de segurança envia as segundas informações de identidade para o primeiro dispositivo de rede ao receber uma mensagem de confirmação de autenticação enviada pelo primeiro dispositivo de rede.
[0024] Em um projeto possível, um processo no qual a primeira entidade de função de segurança obtém o vetor de autenticação com base nas segundas informações de identidade pode incluir: enviar, pela primeira entidade de função de segurança, as segundas informações de identidade para uma segunda entidade de função de segurança; e receber, pela primeira entidade de função de segurança, o vetor de autenticação a partir da segunda entidade de função de segurança.
[0025] Em um projeto possível, antes de enviar as segundas informações de identidade para o primeiro dispositivo de rede, a primeira entidade de função de segurança pode obter adicionalmente as segundas informações de identidade com base nas primeiras informações de identidade.
[0026] Em um projeto possível, um processo no qual a primeira entidade de função de segurança obtém as segundas informações de identidade com base nas primeiras informações de identidade pode incluir: descriptografar, pela primeira entidade de função de segurança, as primeiras informações de identidade com base em uma chave privada, obter as segundas informações de identidade; ou enviar, pela primeira entidade de função de segurança, as primeiras informações de identidade para um segundo dispositivo de rede, e receber as segundas informações de identidade enviadas pelo segundo dispositivo de rede, onde as segundas informações de identidade são obtidas pelo segundo dispositivo de rede descriptografando-se as primeiras informações de identidade com base em uma chave privada armazenada, ou as segundas informações de identidade são obtidas depois que o segundo dispositivo de rede encaminha as primeiras informações de identidade para um terceiro dispositivo de rede e o terceiro dispositivo de rede descriptografa as primeiras informações de identidade.
[0027] Em um possível projeto, o segundo dispositivo de rede é qualquer um dentre um repositório de credencial de autenticação e uma entidade de função de processamento, uma entidade de gerenciamento de dados unificada, um servidor de gerenciamento de chave, ou um centro de verificação.
[0028] De acordo com um terceiro aspecto, é fornecido um método de acionamento de autenticação de rede. O método inclui: receber, por uma primeira entidade de função de segurança, primeiras informações de identidade a partir de um primeiro dispositivo de rede, onde as primeiras informações de identidade são obtidas por um terminal criptografando-se as informações de identidade em uma identidade permanente do terminal com base em uma chave pública; enviar, pela primeira entidade de função de segurança, as primeiras informações de identidade para uma segunda entidade de função de segurança; e receber, pela primeira entidade de função de segurança, um vetor de autenticação e segundas informações de identidade a partir da segunda entidade de função de segurança, e acionar um processo de autenticação para o terminal, onde as segundas informações de identidade são obtidas descriptografando-se as primeiras informações de identidade, e o vetor de autenticação é obtido pela segunda entidade de função de segurança com base nas segundas informações de identidade. A solução desta modalidade deste pedido fornece um processo de implementação específico de acionamento de um processo de autenticação quando informações de identidade são criptografadas. Além disso, na solução desta modalidade deste pedido, a primeira entidade de função de segurança aciona autenticação para o terminal. Como um processo de autenticação para o terminal é acionado pela primeira entidade de função de segurança quando o terminal acessa uma rede usando uma tecnologia 3GPP, o processamento para a tecnologia 3GPP e o processamento para uma tecnologia não 3GPP no processo de autenticação para o terminal são unificados de acordo com a solução desta modalidade, reduzindo assim a complexidade de processamento de um dispositivo de rede.
[0029] Em um projeto possível, as segundas informações de identidade são obtidas pela segunda entidade de função de segurança descriptografando-se as primeiras informações de identidade com base em uma chave privada armazenada; ou as segundas informações de identidade são obtidas depois que a segunda entidade de função de segurança encaminha as primeiras informações de identidade para um segundo dispositivo de rede e o segundo dispositivo de rede descriptografa as primeiras informações de identidade; ou as segundas informações de identidade são obtidas depois que a segunda entidade de função de segurança encaminha as primeiras informações de identidade para um segundo dispositivo de rede, o segundo dispositivo de rede encaminha as primeiras informações de identidade para um terceiro dispositivo de rede, e o terceiro dispositivo de rede descriptografa as primeiras informações de identidade.
[0030] Em um projeto possível, após acionar o processo de autenticação para o terminal, a primeira entidade de função de segurança pode enviar um vetor de autenticação para o primeiro dispositivo de rede, receber uma mensagem de confirmação de autenticação a partir do primeiro dispositivo de rede, e enviar as segundas informações de identidade para o primeiro dispositivo de rede.
[0031] De acordo com um quarto aspecto, uma modalidade deste pedido fornece um primeiro dispositivo de rede. O primeiro dispositivo de rede tem uma função de implementar o comportamento do primeiro dispositivo de rede no projeto do método supracitado. A função pode ser implementada por hardware, ou pode ser implementada por hardware que executa software correspondente. O hardware ou software inclui um ou mais módulos correspondentes à função supracitada.
[0032] Em um projeto possível, o primeiro dispositivo de rede inclui um processador, e o processador está configurado para suportar o primeiro dispositivo de rede na realização da função correspondente no método supracitado. Além disso, o primeiro dispositivo de rede pode incluir adicionalmente uma interface de comunicações. A interface de comunicações está configurada para suportar o primeiro dispositivo de rede na comunicação com uma primeira entidade de função de segurança, um terminal ou um outro dispositivo de rede. Além disso, o primeiro dispositivo de rede pode incluir adicionalmente uma memória. A memória é acoplada ao processador e configurada para armazenar uma instrução de programa e dados necessários para o primeiro dispositivo de rede.
[0033] De acordo com um quinto aspecto, uma modalidade deste pedido fornece uma primeira entidade de função de segurança. A primeira entidade de função de segurança tem uma função de implementar o comportamento da primeira entidade de função de segurança no projeto do método supracitado. A função pode ser implementada por hardware, ou pode ser implementada por hardware executando o software correspondente. O hardware ou software inclui um ou mais módulos correspondentes à função supracitada.
[0034] Em um projeto possível, a primeira entidade de função de segurança inclui um processador, e o processador é configurado para suportar a primeira entidade de função de segurança na realização da função correspondente no método supracitado. Além disso, a primeira entidade de função de segurança pode incluir adicionalmente uma interface de comunicações. A interface de comunicações está configurada para suportar a primeira entidade de função de segurança na comunicação com um primeiro dispositivo de rede, uma segunda entidade de função de segurança, ou um outro dispositivo de rede. Além disso, a primeira entidade de função de segurança pode incluir adicionalmente uma memória. A memória é acoplada ao processador e configurada para armazenar uma instrução de programa e dados que são necessários para a primeira entidade de função de segurança.
[0035] De acordo com um sexto aspecto, uma modalidade deste pedido fornece uma segunda entidade de função de segurança. A segunda entidade de função de segurança tem uma função de implementar o comportamento da segunda entidade de função de segurança no projeto do método supracitado. A função pode ser implementada por hardware, ou pode ser implementada por hardware que executa software correspondente. O hardware ou software inclui um ou mais módulos correspondentes à função supracitada.
[0036] Em um projeto possível, a segunda entidade de função de segurança inclui um processador, e o processador está configurado para suportar a segunda entidade de função de segurança na realização da função correspondente no método supracitado. Além disso, a segunda entidade de função de segurança pode adicionalmente incluir uma interface de comunicações. A interface de comunicações está configurada para suportar a segunda entidade de função de segurança na comunicação com uma primeira entidade de função de segurança ou um outro dispositivo de rede. Além disso, a segunda entidade de função de segurança pode incluir adicionalmente uma memória. A memória é acoplada ao processador e configurada para armazenar uma instrução de programa e dados que são necessários para a segunda entidade de função de segurança.
[0037] De acordo com um sétimo aspecto, uma modalidade deste pedido fornece um terminal. O terminal tem uma função de implementar o comportamento do terminal no projeto de método supracitado. A função pode ser implementada por hardware ou pode ser implementada por hardware executando o software correspondente. O hardware ou software inclui um ou mais módulos correspondentes à função supracitada.
[0038] Em um projeto possível, o terminal inclui um processador. O processador está configurado para suportar o terminal na realização da função correspondente no método supracitado. Além disso, o terminal pode incluir adicionalmente uma interface de comunicações. A interface de comunicações está configurada para suportar o terminal na comunicação com um primeiro dispositivo de rede ou um outro dispositivo de rede. Além disso, o terminal pode incluir adicionalmente uma memória. A memória é acoplada ao processador e configurada para armazenar uma instrução de programa e dados necessários para o terminal.
[0039] De acordo com um oitavo aspecto, uma modalidade deste pedido fornece um sistema de comunicações. O sistema inclui o terminal, o primeiro dispositivo de rede, e a primeira entidade de função de segurança nos aspectos supracitados.
[0040] De acordo com um outro aspecto, uma modalidade deste pedido fornece uma mídia de armazenamento legível por computador. A mídia de armazenamento legível por computador armazena uma instrução, e quando a instrução roda em um computador, o computador realiza os métodos nos aspectos supracitados.
[0041] De acordo com um outro aspecto, uma modalidade deste pedido fornece um produto de programa de computador incluindo uma instrução. Quando a instrução roda em um computador, o computador realiza os métodos nos aspectos supracitados.
[0042] Em comparação com a técnica supracitada, as soluções das modalidades deste pedido fornecem a solução de acionamento de um processo de autenticação quando informações de identidade são criptografadas. Como as informações de identidade enviadas pelo terminal para o primeiro dispositivo de rede são informações de identidade criptografadas, impede-se que as informações de identidade sejam interceptadas ou adulteradas em um processo de transmissão, e a segurança do terminal é assegurada.
BREVE DESCRIÇÃO DOS DESENHOS
[0043] A Figura 1 é um diagrama esquemático de uma possível arquitetura de rede de acordo com uma modalidade deste pedido;
[0044] A Figura 2 é um diagrama de comunicação esquemático de um método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido;
[0045] A Figura 3 é um diagrama de comunicação esquemático de um método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido;
[0046] A Figura 4 é um diagrama de comunicação esquemático de um método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido;
[0047] A Figura 5 é um diagrama de comunicação esquemático de um método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido;
[0048] A Figura 6a é um diagrama de comunicação esquemático de um método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido;
[0049] A Figura 6b é um diagrama de comunicação esquemático de um método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido;
[0050] A Figura 6c é um diagrama de comunicação esquemático de um método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido;
[0051] A Figura 6d é um diagrama de comunicação esquemático de um método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido;
[0052] A Figura 7a é um diagrama de comunicação esquemático de um método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido;
[0053] A Figura 7b é um diagrama de comunicação esquemático de um método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido;
[0054] A Figura 8a é um diagrama de blocos esquemático de um primeiro dispositivo de rede de acordo com uma modalidade deste pedido;
[0055] A Figura 8b é um diagrama estrutural esquemático de um primeiro dispositivo de rede de acordo com uma modalidade deste pedido;
[0056] A Figura 9a é um diagrama de blocos esquemático de uma primeira entidade de função de segurança de acordo com uma modalidade deste pedido;
[0057] A Figura 9b é um diagrama estrutural esquemático de uma primeira entidade de função de segurança de acordo com uma modalidade deste pedido;
[0058] A Figura 10a é um diagrama de blocos esquemático de uma segunda entidade de função de segurança de acordo com uma modalidade deste pedido; e
[0059] A Figura 10b é um diagrama estrutural esquemático de uma segunda entidade de função de segurança de acordo com uma modalidade deste pedido.
DESCRIÇÃO DAS FORMAS DE REALIZAÇÃO
[0060] A seguir se descreve adicionalmente as modalidades deste pedido em detalhes com referência aos desenhos anexos.
[0061] Antes das modalidades deste pedido serem descritas em detalhes, os cenários de aplicação nas modalidades deste pedido são descritos primeiro. Atualmente, um terminal pode acessar uma rede usando uma tecnologia 3GPP ou usando uma tecnologia não 3GPP. A tecnologia 3GPP é uma tecnologia de interface aérea formulada pelo padrão 3GPP. Por exemplo, tecnologias de acesso à interface aérea comuns das redes 3G, 4G e 5G são a tecnologia 3GPP. A tecnologia não 3GPP é uma tecnologia de acesso à interface aérea formulada por um padrão não 3GPP, por exemplo, uma tecnologia de interface aérea representada por um ponto de acesso de Fidelidade Sem Fio (Wireless Fidelity access point, WiFi AP). Quando o terminal acessa a rede 5G, independentemente de se o terminal acessa a rede 5G usando a tecnologia 3GPP ou usando a tecnologia não 3GPP, o terminal precisa enviar uma mensagem de anexo portando informações de identidade permanente para um dispositivo em uma rede principal, de modo que o dispositivo na rede principal possa acionar um processo de autenticação, com base na mensagem de anexo e nas informações de identidade permanente, para realizar autenticação para o terminal. Um método de acionamento de autenticação de rede fornecido nas modalidades deste pedido pode ser aplicado ao cenário supracitado, para acionar um processo de autenticação para o terminal, implementando assim autenticação para o terminal.
[0062] Um método para obter uma identidade de um terminal nas modalidades deste pedido pode ser aplicado a qualquer sistema de comunicações tendo uma necessidade de obter a identidade do terminal, por exemplo, pode ser aplicado a um sistema 5G mostrado na Figura 1
[0063] Como mostrado na Figura 1, o sistema 5G pode incluir um terminal, uma rede de acesso (access network, AN)/uma rede de acesso de rádio (radio access network, RAN), uma rede de dados (data network, DN), e uma pluralidade de funções de rede (network functions, NF) incluindo uma função de servidor de autenticação (authentication server function, AUSF), um repositório de credencial de autenticação e função de processamento (authentication repository and processing function, ARPF), uma função de gerenciamento de acesso e mobilidade (access and mobility management function, AMF), uma função de gerenciamento de sessão (session management function, SMF), uma PCF, uma função de aplicação (application function, AF), e uma função de plano de usuário (user plane function, UPF). Pode ser entendido que a Figura 1 é meramente um exemplo de diagrama arquitetural. Além das entidades funcionais mostradas na Figura 1, o sistema 5G pode incluir adicionalmente outras entidades funcionais, e isso não é limitado nesta modalidade deste pedido.
[0064] No sistema 5G mostrado na Figura 1, uma conexão pode ser estabelecida entre entidades de função usando uma interface de próxima geração (next generation, NG) para implementar comunicação. Por exemplo, o terminal pode estabelecer uma conexão de sinalização de plano de controle com a AMF usando uma interface N 1 (N1 abreviadamente). A AN/RAN pode estabelecer uma conexão de dados de plano de usuário com a UPF usando uma interface N 3 (N3 abreviadamente). A AN/RAN pode estabelecer uma conexão de sinalização de plano de controle com a AMF usando uma interface N 2 (N2 abreviadamente). A UPF pode estabelecer uma conexão de sinalização de plano de controle com a SMF usando uma interface N 4 (N4 abreviadamente). A UPF pode trocar dados de plano de usuário com o DN usando uma interface N 6 (N6 abreviadamente). A AMF pode estabelecer uma conexão de sinalização de plano de controle com a ARPF usando uma interface N 8 (N8 abreviadamente). A AMF pode estabelecer uma conexão de sinalização de plano de controle com a AUSF usando uma interface N 12 (N12 abreviadamente). A AMF pode estabelecer uma conexão de sinalização de plano de controle com a SMF usando uma interface N 11 (N11 abreviadamente). A SMF pode estabelecer uma conexão de sinalização de plano de controle com a PCF usando uma interface N 7 (N7 abreviadamente). A PCF pode estabelecer uma conexão de sinalização de plano de controle com a AF usando uma interface N 5 (N5 abreviadamente). A AUSF pode estabelecer uma conexão de sinalização de plano de controle com a ARPF usando uma interface N 13 (N13 abreviadamente).
[0065] O terminal na Figura 1 pode ser UE, ou pode ser um telefone celular, um telefone sem fio, um telefone de protocolo de iniciação de sessão (session initiation protocol, SIP), um telefone inteligente, uma estação de loop local sem fio (wireless local loop, WLL), um assistente digital pessoal (personal digital assistant, PDA), um computador tipo laptop, um dispositivo de comunicações que cabe na mão, um dispositivo de computação que cabe na mão, um dispositivo de rádio por satélite, um cartão de modem sem, fio e/ou um outro dispositivo configurado para realizar comunicação em um sistema de rádio. A AN/RAN é uma rede incluindo uma pluralidade de ANs 5G/RANs 5G e está configurada para implementar uma função de camada física de rádio, uma função de gerenciamento de agendamento de recurso e recurso de rádio, uma função de controle de acesso via rádio, e uma função de gerenciamento de mobilidade. A AN 5G/RAN 5G pode ser um ponto de acesso, um NodeB de próxima geração, uma N3IWF, um ponto de recepção de transmissão (transmission reception point, TRP), um ponto de transmissão (transmission point, TP) ou um outro dispositivo de rede de acesso. A ARPF, AUSF, PCF, AMF, SMF e UPF podem ser coletivamente referidas como NF. Na NF, a AMF e a PCF podem ser referidas como uma função de plano de controle (control plane, CP), e a UPF pode ser referida como uma função de plano de usuário (user plane function, UPF). A NF, exceto a UPF, pode funcionar de forma independente ou pode ser combinada para implementar uma função de controle. Por exemplo, a NF combinada pode concluir uma função de gerenciamento de controle de acesso e mobilidade, tal como autenticação de acesso, criptografia de segurança, e registro de localização do terminal, uma função de gerenciamento de sessão tal como configuração, liberação e alteração de uma trajetória de transmissão de plano de usuário, e uma função de analisar alguns dados relacionados à fatia (slice) (por exemplo, congestionamento) e dados relacionados para o terminal. A UPF conclui principalmente uma função tal como roteamento e encaminhamento de dados de plano de usuário, por exemplo, responsável pela filtragem de pacotes de dados, transmissão/encaminhamento de dados, controle de taxa, geração de informações de cobrança e semelhantes para o terminal.
[0066] Especificamente, a AMF é responsável principalmente por gerenciamento de mobilidade. Atualmente, um módulo de função de âncora de segurança (security anchor function, SEAF) está adicionalmente integrado à AMF. O módulo SEAF é responsável principalmente por iniciar uma solicitação de autenticação à AUSF, e concluir a autenticação para o terminal em um lado de rede em um processo de autenticação de um sistema de pacote evoluído. Uma função principal da AUSF é receber a solicitação de autenticação enviada pelo módulo SEAF, e selecionar um método de autenticação. Quando um método de autenticação do Protocolo de Autenticação Extensível é usado, a AUSF é responsável principalmente por concluir a autenticação para o terminal no dispositivo de rede. Além disso, a AUSF pode solicitar um vetor de autenticação da ARPF, e responder ao módulo SEAF com uma resposta de autenticação. Uma função principal da ARPF é armazenar uma chave de longo prazo, receber uma solicitação de vetor de autenticação enviada pela AUSF, calcular um vetor de autenticação usando a chave de longo prazo armazenada, e enviar o vetor de autenticação para a AUSF.
[0067] Depois que o cenário de aplicação e a arquitetura de sistema nas modalidades deste pedido estão descritos, a seguir se descreve em detalhes as soluções das modalidades deste pedido.
[0068] Em uma solução existente, quando o terminal envia as informações de identidade permanente para a AMF por meio do gNB ou N3IWF, para acionar o processo de autenticação, nenhum processamento de criptografia é realizado nas informações de identidade permanente. Nesse caso, as informações de identidade permanente são facilmente interceptadas ou adulteradas em um processo de transmissão, e a segurança do terminal está sob ameaça.
[0069] Em vista disso, as modalidades deste pedido fornecem um método de acionamento de autenticação de rede, e um primeiro dispositivo de rede, uma primeira entidade de função de segurança, e um sistema que se baseiam no método. O método inclui: receber, pelo primeiro dispositivo de rede, uma primeira mensagem a partir de um terminal, onde a primeira mensagem porta primeiras informações de identidade, e as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal com base em uma chave pública; enviar, pelo primeiro dispositivo de rede, uma segunda mensagem para a primeira entidade de função de segurança de acordo com as primeiras informações de identidade, onde a segunda mensagem é usada para acionar autenticação para o terminal. Por exemplo, o método pode ser mostrado na Figura 2. De acordo com as soluções fornecidas nas modalidades deste pedido, após receber as primeiras informações de identidade enviada pelo terminal, o primeiro dispositivo de rede pode enviar a segunda mensagem para a primeira entidade de função de segurança com base nas primeiras informações de identidade, para acionar autenticação para o terminal. As primeiras informações de identidade são obtidas criptografando-se as informações de identidade na identidade permanente. Em outras palavras, as modalidades deste pedido fornecem uma solução para acionamento de um processo de autenticação quando as informações de identidade são criptografadas. Como as informações de identidade enviadas pelo terminal para o primeiro dispositivo de rede são informações de identidade criptografadas, impede-se que as informações de identidade sejam interceptadas ou adulteradas em um processo de transmissão, e a segurança do terminal é assegurada.
[0070] Em uma implementação possível, a primeira mensagem pode portar adicionalmente uma ou ambas dentre as informações identificadoras e informações de roteamento. A seguir, se descreve as informações identificadoras e as informações de roteamento.
[0071] As informações identificadoras são usadas para identificar se as primeiras informações de identidade são informações de identidade criptografadas e/ou identificar uma maneira de criptografia das primeiras informações de identidade. Por exemplo, as informações identificadoras podem ser um primeiro identificador, e o primeiro identificador é usado para identificar se as primeiras informações de identidade são informações de identidade criptografadas; ou as informações identificadoras podem ser um segundo identificador, e o segundo identificador é usado para identificar a maneira de criptografia das primeiras informações de identidade; ou as informações identificadoras são um terceiro identificador, e o terceiro identificador é usado para identificar se as primeiras informações de identidade são informações de identidade criptografadas e identificar a maneira de criptografia das primeiras informações de identidade; ou as informações identificadoras podem incluir um primeiro identificador e um segundo identificador, o primeiro identificador é usado para identificar se as primeiras informações de identidade são informações de identidade criptografadas, e o segundo identificador é usado para identificar a maneira de criptografia das primeiras informações de identidade.
[0072] As informações de roteamento podem ser primeiras informações de roteamento, e as primeiras informações de roteamento podem ser usadas pelo primeiro dispositivo de rede para determinar uma rede doméstica do terminal, de modo que o primeiro dispositivo de rede possa selecionar a primeira entidade de função de segurança na rede doméstica do terminal. Alternativamente, as informações de roteamento podem ser segundas informações de roteamento, e as segundas informações de roteamento são usadas para determinar uma entidade de função que descriptografa as primeiras informações de identidade.
[0073] Nesta implementação, quando a primeira mensagem porta as informações identificadoras, a segunda mensagem porta as informações identificadoras.
[0074] Nas modalidades deste pedido, o primeiro dispositivo de rede pode acionar um processo de autenticação para o terminal após obter segundas informações de identidade correspondentes às primeiras informações de identidade, ou pode obter segundas informações de identidade após acionar um processo de autenticação. As segundas informações de identidade são obtidas descriptografando-se as primeiras informações de identidade. A seguir se descreve o primeiro caso com referência da Figura 3 à Figura 5.
[0075] A Figura 3 é um diagrama de comunicação esquemático de um outro método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido. Com referência à Figura 3, o método inclui as etapas a seguir.
[0076] Etapa 301. Um terminal envia uma primeira mensagem para um primeiro dispositivo de rede por meio de uma estação de base, onde a primeira mensagem porta primeiras informações de identidade e informações identificadoras, as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal com base em uma chave pública, e as informações identificadoras são usadas para identificar se as primeiras informações de identidade são informações de identidade criptografadas e/ou identificar uma maneira de criptografia das primeiras informações de identidade.
[0077] O terminal pode ser um terminal na arquitetura de rede 5G mostrada na Figura 1, e a entidade de função de estação de base pode ser uma entidade de função de estação de base 3GPP, ou pode ser uma entidade de função de estação de base não 3GPP. Especificamente, quando o terminal acessa uma rede 5G usando uma tecnologia 3GPP, a entidade de função de estação de base pode ser uma entidade de função gNB, ou uma entidade de função eNB, ou uma entidade de função NB. Quando o terminal acessa uma rede usando uma tecnologia não 3GPP, por exemplo, através de WiFi, a entidade de função de estação de base pode incluir uma entidade de função
N3IWF. Quando um módulo SEAF é integrado a uma entidade de função AMF, o primeiro dispositivo de rede pode ser a entidade de função AMF, ou pode ser o módulo SEAF na entidade de função AMF. Quando a AMF e a SEAF não são uma entidade de função, o primeiro dispositivo de rede pode ser a entidade de função AMF, ou uma entidade de função MME, ou uma outra entidade com uma função de gerenciamento de acesso e mobilidade.
[0078] Quando o terminal acessa uma rede ou quando autenticação é realizada no terminal, o terminal pode enviar a primeira mensagem para o primeiro dispositivo de rede por meio da estação de base. A primeira mensagem porta as primeiras informações de identidade, e as primeiras informações de identidade são obtidas pelo terminal criptografando-se as informações de identidade na identidade permanente usando a chave pública, por exemplo, um SUCI (identificador oculto de assinatura, uma identidade permanente criptografada). A chave pública de criptografia pode ser armazenada no terminal, ou pode ser armazenada em um cartão que está no terminal e que é usado para armazenar uma chave de longo prazo, por exemplo, um módulo de identificação de assinante (subscriber identification module, SIM), um módulo de identidade de assinante universal (universal subscriber identity module, USIM), um cartão de circuito integrado universal (universal integrated circuit card UICC), um cartão de circuito integrado universal inserido (embedded universal integrated circuit card, eUICC), ou um cartão de circuito integrado universal 5G, (5G–universal integrated circuit card, 5G-UICC). A identidade permanente pode ser uma identidade de assinante móvel internacional (international mobile subscriber identification number, IMSI), um identificador permanente de assinatura (subscription permanent identifier) ou outras informações de identidade tendo uma função de identificar exclusivamente de maneira global o terminal. Especificamente, quando a identidade permanente é um IMSI, o IMSI inclui um número de identificação de assinante móvel (mobile subscriber identification number, MSIN), e informações de roteamento. Portanto, o terminal pode criptografar o MSIN no IMSI usando a chave pública, para obter as primeiras informações de identidade. Quando a identidade permanente não é com base em uma estrutura IMSI, as primeiras informações de identidade podem ser informações de identidade obtidas pela criptografia da identidade permanente inteira, ou podem ser informações obtidas pela criptografia de apenas uma parte usada para identificar exclusivamente o terminal na identidade permanente.
[0079] Além disso, a primeira mensagem pode portar primeiras informações de roteamento, e as primeiras informações de roteamento podem ser usadas pelo primeiro dispositivo de rede para determinar uma rede doméstica do terminal, de modo que o primeiro dispositivo de rede selecione uma primeira entidade de função de segurança na rede doméstica do terminal.
[0080] Opcionalmente, a primeira mensagem pode adicionalmente portar segundas informações de roteamento, onde as segundas informações de roteamento são usadas para determinar uma entidade de função que descriptografa as primeiras informações de identidade.
[0081] Opcionalmente, a primeira mensagem pode portar as informações identificadoras. Especificamente, as informações identificadoras podem ser um primeiro identificador, e o primeiro identificador é usado para identificar se as primeiras informações de identidade portadas na primeira mensagem são informações de identidade criptografadas.
[0082] Em uma implementação opcional, quando as informações de identidade portadas pelo terminal não são as primeiras informações de identidade, mas informações de identidade temporárias, as informações de identidade temporárias podem ser usadas como o primeiro identificador. As informações de identidade temporárias do terminal são entregues para o terminal por uma entidade de função de gerenciamento de mobilidade após a entidade de função de gerenciamento de mobilidade verificar o terminal. Dessa maneira, uma probabilidade de vazamento de informações de identidade permanente pode ser reduzida, e a proteção da privacidade pode ser aperfeiçoada. As informações de identidade temporária do terminal podem ser informações de identidade 5G temporária ou informações de identidade LTE temporária, por exemplo, uma identidade de equipamento de usuário temporária exclusiva globalmente de 5ª geração (5th-generation globally unique temporary user equipment identity, 5G-GUTI), uma identidade temporária exclusiva globalmente (globally unique temporary identity, GUTI), identidade de assinante móvel temporária de Evolução de Arquitetura de Sistema (System Architecture Evolution –temporary mobile subscriber identity, S-TMSI), ou uma identidade de assinante móvel temporária (temporary mobile subscriber identity, TMSI).
[0083] Em uma outra implementação opcional, o primeiro identificador pode ser informações de bits. Por exemplo, 0 representa "não criptografado", e 1 representa "criptografado".
[0084] Opcionalmente, as informações identificadoras portadas na primeira mensagem podem ser um segundo identificador, e o segundo identificador é usado para identificar a maneira de criptografia das primeiras informações de identidade. Por exemplo, a maneira de criptografia pode ser a criptografia de curva elíptica. Alternativamente, a maneira de criptografia pode ser uma outra maneira predefinida de criptografia em um lado de UE e em um lado de rede doméstica. Opcionalmente, uma pluralidade de maneiras de criptografia pode ser configurada, e cada maneira de criptografia pode corresponder a um segundo identificador. A entidade de função usada para descriptografar as primeiras informações de identidade pode determinar a maneira de criptografia das primeiras informações de identidade com base no segundo identificador portado na primeira mensagem, para determinar adicionalmente uma maneira de descriptografia das primeiras informações de identidade.
[0085] Opcionalmente, as informações identificadoras portadas na primeira mensagem podem ser um terceiro identificador, e o terceiro identificador é usado para identificar se as primeiras informações de identidade são informações de identidade criptografadas e identificar a maneira de criptografia das primeiras informações de identidade. Por exemplo, o terceiro identificador pode ser informações de 8 bits. Os primeiros quatro bits das informações são usados para identificar se as primeiras informações de identidade são informações de identidade criptografadas, e os últimos quatro bits das informações são usados para identificar a maneira de criptografia das primeiras informações de identidade. Quando as primeiras informações de identidade são informações de identidade não criptografadas, todos os quatro últimos bits das informações podem ser 0.
[0086] Opcionalmente, as informações identificadoras portadas na primeira mensagem podem incluir um primeiro identificador e um segundo identificador. O identificador unificado indica se as informações de identidade portadas na primeira mensagem são informações de identidade criptografadas. Além disso, quando as informações de identidade portadas na primeira mensagem são informações de identidade criptografadas, o identificador unificado pode indicar adicionalmente a maneira de criptografia usada para obter as informações de identidade criptografadas.
[0087] Deve ser notado adicionalmente que a primeira mensagem pode ser qualquer uma dentre uma mensagem de solicitação de registro, uma mensagem de solicitação de anexo, uma mensagem de atualização da área de localização, uma mensagem de solicitação de serviço, e uma mensagem de resposta de identidade.
[0088] Etapa 302. O primeiro dispositivo de rede envia uma mensagem de solicitação de identidade permanente para uma primeira entidade de função de segurança ao receber a primeira mensagem, onde a mensagem de solicitação de identidade permanente porta as primeiras informações de identidade.
[0089] A primeira entidade de função de segurança pode ser uma entidade de função AUSF na arquitetura de rede 5G mostrada na Figura 1. Além disso, se a AMF e a SEAF forem duas entidades de função diferentes, a primeira entidade de função de segurança pode ser alternativamente a SEAF.
[0090] Após receber a primeira mensagem, o primeiro dispositivo de rede pode obter as primeiras informações de identidade portadas na primeira mensagem. Como as primeiras informações de identidade são criptografadas, o primeiro dispositivo de rede pode enviar a mensagem de solicitação de identidade permanente portando as primeiras informações de identidade para a primeira entidade de função de segurança, para obter segundas informações de identidade as quais foram descriptografadas a partir das primeiras informações de identidade. A mensagem de solicitação de identidade permanente pode ser uma mensagem de solicitação de SUPI, ou uma mensagem de solicitação de atualização de localização.
[0091] Opcionalmente, quando a primeira mensagem porta as primeiras informações de roteamento, o primeiro dispositivo de rede pode determinar a rede doméstica do terminal com base nas primeiras informações de roteamento, para determinar a primeira entidade de função de segurança na rede doméstica. Especificamente, o primeiro dispositivo de rede pode determinar uma entidade de função de descriptografia pré-configurada como a primeira entidade de função de segurança, e enviar a mensagem de solicitação de identidade permanente para a primeira entidade de função de segurança.
[0092] Opcionalmente, quando a primeira mensagem porta as segundas informações de roteamento, o primeiro dispositivo de rede pode determinar, com base nas segundas informações de roteamento, uma entidade de função usada para descriptografar as primeiras informações de identidade. Alternativamente, o primeiro dispositivo de rede pode adicionar as segundas informações de roteamento para a mensagem de solicitação de identidade permanente, e enviar a mensagem de solicitação de identidade permanente para a primeira entidade de função de segurança.
[0093] Opcionalmente, quando as informações identificadoras portadas na primeira mensagem são o primeiro identificador, e o primeiro identificador não são informações de identidade temporárias, o primeiro dispositivo de rede pode enviar, para a primeira entidade de função de segurança, uma mensagem de solicitação de autenticação usada para solicitar realização de autenticação para o terminal, onde a mensagem de solicitação de autenticação porta as primeiras informações de identidade. Se a primeira mensagem porta o primeiro identificador, o primeiro identificador são informações de identidade temporária e o primeiro dispositivo de rede pode obter informações de contexto do terminal com base nas informações de identidade temporárias, o primeiro dispositivo de rede não aciona a autenticação. Se o primeiro dispositivo de rede não pode obter um contexto do terminal com base nas informações de identidade temporárias, o primeiro dispositivo de rede pode enviar uma mensagem de solicitação de identidade (identity request) para o terminal, para solicitar a identidade permanente do terminal. Então, o terminal pode enviar as primeiras informações de identidade para o primeiro dispositivo de rede de acordo com a mensagem de solicitação de identidade, e o primeiro dispositivo de rede pode acionar autenticação para o terminal com base nas primeiras informações de identidade.
[0094] Opcionalmente, quando o primeiro identificador são as informações de bit, o primeiro dispositivo de rede pode não analisar o primeiro identificador ao receber a primeira mensagem, mas encaminhar o primeiro identificador para a primeira entidade de função de segurança. Alternativamente, o primeiro dispositivo de rede pode analisar o primeiro identificador e enviar a mensagem de solicitação de identidade permanente para a primeira entidade de função de segurança após determinar, usando o primeiro identificador, que as primeiras informações de identidade são informações de identidade criptografadas.
[0095] Opcionalmente, quando as informações identificadoras portadas na primeira mensagem são o segundo identificador, o primeiro dispositivo de rede pode adicionar o segundo identificador à mensagem de solicitação de identidade permanente enviada à primeira entidade de função de segurança.
[0096] Opcionalmente, quando as informações identificadoras portadas na primeira mensagem são o terceiro identificador, o primeiro dispositivo de rede pode analisar o terceiro identificador. Ao determinar, usando o terceiro identificador, que as primeiras informações de identidade são informações de identidade criptografadas, o primeiro dispositivo de rede pode enviar a mensagem de solicitação de identidade permanente portando as primeiras informações de identidade e o terceiro identificador para a primeira entidade de função de segurança.
[0097] Opcionalmente, quando as informações identificadoras portadas na primeira mensagem incluem o primeiro identificador e o segundo identificador, o primeiro dispositivo de rede pode enviar a mensagem de solicitação de identidade permanente portando o segundo identificador e as primeiras informações de identidade para a primeira entidade de função de segurança após determinar, usando o primeiro identificador, que as primeiras informações de identidade são informações de identidade criptografadas.
[0098] Etapa 303. A primeira entidade de função de segurança envia uma mensagem de resposta de identidade permanente, onde a mensagem de resposta de identidade permanente porta segundas informações de identidade.
[0099] Depois de receber a mensagem de solicitação de identidade permanente, a primeira entidade de função de segurança pode obter as segundas informações de identidade e enviar as segundas informações de identidade para o primeiro dispositivo de rede. A mensagem de resposta de identidade permanente pode ser uma mensagem de resposta de SUPI ou uma mensagem de resposta de atualização de localização.
[0100] A primeira entidade de função de segurança pode obter as segundas informações de identidade usando os seguintes métodos.
[0101] (1) A primeira entidade de função de segurança descriptografa as primeiras informações de identidade usando uma chave privada armazenada, para obter as segundas informações de identidade.
[0102] (2) A primeira entidade de função de segurança pode encaminhar as primeiras informações de identidade recebidas para um segundo dispositivo de rede, e o segundo dispositivo de rede descriptografa as primeiras informações de identidade para obter as segundas informações de identidade. Então, o segundo dispositivo de rede retorna as segundas informações de identidade obtidas para a primeira entidade de função de segurança. O segundo dispositivo de rede armazena uma chave privada, e o segundo dispositivo de rede pode ser qualquer um dentre uma entidade de função de repositório de credencial de autenticação e de processamento (authentication repository and processing function, ARPF), uma entidade de gerenciamento de dados unificada (unified data management, UDM), uma entidade de função de descriptografia de identidade (identity decryption function, IDF), um servidor de gerenciamento de chave (key management server, KMS), um centro de autenticação (authentication center, AuC), ou uma entidade de função que armazena uma chave e que é usada para descriptografia.
[0103] Opcionalmente, quando a mensagem de solicitação de identidade permanente porta as primeiras informações de roteamento, a primeira entidade de função de segurança pode encaminhar as primeiras informações de identidade e as primeiras informações de roteamento juntas para o segundo dispositivo de rede. Quando o segundo dispositivo de rede é um dispositivo de rede que armazena chaves de descriptografia privadas de diferentes redes de operadoras, o segundo dispositivo de rede pode obter uma chave privada da rede doméstica do terminal com base nas primeiras informações de roteamento, e descriptografar as primeiras informações de identidade com base na chave privada obtida.
[0104] Em uma outra implementação possível, a primeira entidade de função de segurança pode encaminhar diretamente a mensagem de solicitação de identidade permanente recebida para o segundo dispositivo de rede, para solicitar as segundas informações de identidade do segundo dispositivo de rede.
[0105] (3) A primeira entidade de função de segurança pode encaminhar as primeiras informações de identidade recebidas para um segundo dispositivo de rede. Quando o segundo dispositivo de rede não consegue encontrar uma chave privada, o segundo dispositivo de rede pode enviar uma solicitação para um terceiro dispositivo de rede, e o terceiro dispositivo de rede descriptografa as primeiras informações de identidade para obter as segundas informações de identidade. Então o terceiro dispositivo de rede transmite as segundas informações de identidade para a primeira entidade de função de segurança usando o segundo dispositivo de rede. O terceiro dispositivo de rede armazena a chave privada.
[0106] (4) A primeira entidade de função de segurança pode obter uma chave de descriptografia privada com base em informações de roteamento, e descriptografar as primeiras informações de identidade usando a chave de descriptografia privada obtida, para obter as segundas informações de identidade. As informações de roteamento são informações de roteamento portadas na mensagem de solicitação de identidade permanente recebida pela primeira entidade de função de segurança, e as informações de roteamento podem ser as primeiras informações de roteamento e/ou as segundas informações de roteamento.
[0107] Por exemplo, a primeira entidade de função de segurança é uma entidade SEAF, o segundo dispositivo de rede é uma entidade AUSF, e o terceiro dispositivo de rede é uma entidade ARPF. Então, a chave privada é armazenada na ARPF, e a entidade ARPF descriptografa as primeiras informações de identidade para obter as segundas informações de identidade. Então, a entidade ARPF envia as segundas informações de identidade para a SEAF. Como um outro exemplo, a primeira entidade de função de segurança é uma entidade AUSF, o segundo dispositivo de rede é uma entidade UDM, e o terceiro dispositivo de rede é uma entidade AuC na entidade UDM ou uma entidade que armazena uma chave privada e que tem uma função de descriptografia. Então, o AuC ou a entidade que armazena a chave privada e que tem a função de descriptografia descriptografa as primeiras informações de identidade para obter as segundas informações de identidade. Então, a entidade UDM retorna as segundas informações de identidade para a entidade AUSF. O AuC e a entidade que armazena a chave e que tem a função de descriptografia podem interagir internamente.
[0108] Opcionalmente, quando a mensagem de solicitação de identidade permanente recebida porta adicionalmente as segundas informações de roteamento, a primeira entidade de função de segurança pode determinar, com base nas segundas informações de roteamento, a entidade de função usada para descriptografar as primeiras informações de identidade. Por exemplo, as segundas informações de roteamento podem indicar a primeira entidade de função de segurança. Nesse caso, a primeira entidade de função de segurança descriptografa as primeiras informações de identidade. Alternativamente, as segundas informações de roteamento podem indicar uma entidade ARPF. Então, a primeira entidade de função de segurança pode enviar as primeiras informações de identidade para a entidade ARPF, e a entidade ARPF descriptografa as primeiras informações de identidade.
[0109] Opcionalmente, quando a mensagem de solicitação de identidade permanente porta adicionalmente as informações identificadoras, a primeira entidade de função de segurança pode analisar as informações identificadoras. Especificamente, quando as informações identificadoras portadas na mensagem de solicitação de identidade permanente são o primeiro identificador, a primeira entidade de função de segurança pode determinar, com base no primeiro identificador, se as primeiras informações de identidade são informações de identidade criptografadas. Quando as primeiras informações de identidade são informações de identidade criptografadas, a primeira entidade de função de segurança pode obter as segundas informações de identidade com base nas primeiras informações de identidade usando o método acima.
[0110] Quando as informações identificadoras portadas na mensagem de solicitação de identidade permanente são o segundo identificador, a primeira entidade de função de segurança pode determinar a maneira de criptografia das primeiras informações de identidade com base no segundo identificador, para descriptografar as primeiras informações de identidade com base na criptografia usando uma chave privada armazenada. Alternativamente, a primeira entidade de função de segurança pode enviar as primeiras informações de identidade e o segundo identificador para o segundo dispositivo de rede, e o segundo dispositivo de rede determina a maneira de criptografia das primeiras informações de identidade com base no segundo identificador e descriptografa as primeiras informações de identidade com base na maneira de criptografia usando uma chave privada armazenada. Alternativamente, a primeira entidade de função de segurança pode enviar as primeiras informações de identidade e o segundo identificador para o terceiro dispositivo de rede usando o segundo dispositivo de rede, e o terceiro dispositivo de rede determina a maneira de criptografia das primeiras informações de identidade com base no segundo identificador e descriptografa as primeiras informações de identidade com base na maneira de criptografia.
[0111] Quando as informações identificadoras portadas na mensagem de solicitação de identidade permanente são o terceiro identificador, a primeira entidade de função de segurança pode processar o terceiro identificador com referência às maneiras supracitadas de processar o primeiro identificador e o segundo identificador, e os detalhes não são descritos nesta modalidade deste pedido novamente.
[0112] Etapa 304. O primeiro dispositivo de rede envia uma segunda mensagem para a primeira entidade de função de segurança ao receber a mensagem de resposta de identidade permanente, onde a segunda mensagem é usada para acionar autenticação para o terminal, e a segunda mensagem porta as segundas informações de identidade.
[0113] Depois de receber a mensagem de resposta de identidade permanente enviada pela primeira entidade de função de segurança, o primeiro dispositivo de rede pode armazenar as segundas informações de identidade para uso posterior quando o terminal é registrado novamente ou solicita um serviço. Além disso, o primeiro dispositivo de rede pode enviar a segunda mensagem para a primeira entidade de função de segurança, para acionar o processo de autenticação para o terminal. A segunda mensagem porta segundas informações de identidade, de modo que a primeira entidade de função de segurança solicita um vetor de autenticação com base nas segundas informações de identidade, para realizar autenticação para o terminal. Além disso, a segunda mensagem pode ser uma mensagem de solicitação de iniciação de autenticação ou uma mensagem de Protocolo de Autenticação Extensível/solicitação de identidade (Extensible Authentication Protocol/identity- request, EAP-AKA'/identity-request).
[0114] Nesta modalidade deste pedido, quando o terminal acessa uma rede, o terminal pode enviar a primeira mensagem para o primeiro dispositivo de rede, e adicionar informações de identidade criptografadas, ou seja, as primeiras informações de identidade, à primeira mensagem. Ao receber as primeiras informações de identidade do terminal, o primeiro dispositivo de rede pode primeiro obter informações de identidade descriptografadas, ou seja, as segundas informações de identidade, das primeiras informações de identidade a partir da primeira entidade de função de segurança. Após obter as segundas informações de identidade, o primeiro dispositivo de rede pode enviar, para a primeira entidade de função de segurança, a segunda mensagem usada para acionar o processo de autenticação. Em outras palavras, esta modalidade deste pedido fornece um processo de implementação específico para acionamento de um processo de autenticação quando informações de identidade são criptografadas. Como as informações de identidade enviadas pelo terminal para o primeiro dispositivo de rede são informações de identidade criptografadas, impede-se que as informações de identidade sejam interceptadas ou adulteradas em um processo de transmissão, e a segurança do terminal é assegurada. Além disso, durante a implementação deste pedido, o terminal pode adicionar as informações identificadoras à primeira mensagem, para identificar se as primeiras informações de identidade são informações criptografadas e/ou identificar a maneira de criptografia das primeiras informações de identidade, de modo que o terminal possa criptografar as informações de identidade na identidade permanente mais flexivelmente. Além disso, quando as informações identificadoras são o segundo ou o terceiro identificador, a entidade de função usada para descriptografar as primeiras informações de identidade pode descriptografar as primeiras informações de identidade de maneira mais rápido e mais convenientemente.
[0115] A modalidade supracitada descreve um processo no qual o primeiro dispositivo de rede envia a mensagem de solicitação de identidade permanente para a primeira entidade de função de segurança, para solicitar as segundas informações de identidade, e após receber as segundas informações de identidade, envia a segunda mensagem para a primeira entidade de função de segurança, para acionar o processo de autenticação. A seguir, descreve-se um outro método no qual o primeiro dispositivo de rede aciona o processo de autenticação para o terminal após obter as segundas informações de identidade correspondentes às primeiras informações de identidade.
[0116] A Figura 4 é um diagrama de comunicação esquemático de ainda outro método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido. Como mostrado na Figura 4, o método inclui as etapas a seguir.
[0117] Etapa 401. Um terminal envia uma primeira mensagem para um primeiro dispositivo de rede por meio de uma estação de base, onde a primeira mensagem porta as primeiras informações de identidade e informações identificadoras, e as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal usando uma chave pública.
[0118] Para um processo de implementação desta etapa, fazer referência à etapa 301. Os detalhes não são descritos nesta modalidade deste pedido novamente.
[0119] Etapa 402. O primeiro dispositivo de rede envia uma mensagem de solicitação de identidade permanente para um segundo dispositivo de rede ao receber a primeira mensagem, onde a mensagem de solicitação de identidade permanente porta as primeiras informações de identidade, e as informações identificadoras são usadas para identificar se as primeiras informações de identidade são informações de identidade criptografadas e/ou identificam uma maneira de criptografia das primeiras informações de identidade.
[0120] Após receber a primeira mensagem, o primeiro dispositivo de rede pode solicitar as segundas informações de identidade do segundo dispositivo de rede com base nas primeiras informações de identidade portadas na primeira mensagem. As segundas informações de identidade são informações de identidade obtidas descriptografando-se as primeiras informações de identidade.
[0121] O segundo dispositivo de rede pode ser qualquer um dentre uma entidade ARPF, uma entidade UDM, uma entidade IDF ou um AuC.
[0122] Etapa 403. O segundo dispositivo de rede envia uma mensagem de resposta de identidade permanente para o primeiro dispositivo de rede, onde a mensagem de resposta de identidade permanente porta segundas informações de identidade.
[0123] Após receber a mensagem de solicitação de identidade permanente, o segundo dispositivo de rede pode obter as segundas informações de identidade e enviar as segundas informações de identidade para o primeiro dispositivo de rede.
[0124] O segundo dispositivo de rede pode obter as segundas informações de identidade usando as duas maneiras a seguir:
[0125] (1) Quando o segundo dispositivo de rede armazena uma chave privada, o segundo dispositivo de rede descriptografa, com base na chave privada armazenada, as primeiras informações de identidade portadas na mensagem de solicitação de identidade permanente, para obter as segundas informações de identidade.
[0126] Opcionalmente, a mensagem de solicitação de identidade permanente pode portar primeiras informações de roteamento. Quando o segundo dispositivo de rede é um dispositivo de rede que armazena chaves privadas de diferentes redes de operadoras, o segundo dispositivo de rede pode obter uma chave privada de uma rede doméstica do terminal com base nas primeiras informações de roteamento e descriptografar as primeiras informações de identidade usando a chave privada obtida.
[0127] (2) Quando o segundo dispositivo de rede não armazena uma chave privada, o segundo dispositivo de rede encaminha as primeiras informações de identidade para um terceiro dispositivo de rede, e o terceiro dispositivo de rede descriptografa as primeiras informações de identidade para obter as segundas informações de identidade, e envia as segundas informações de identidade para o segundo dispositivo de rede.
[0128] Etapa 404. O primeiro dispositivo de rede envia uma segunda mensagem para a primeira entidade de função de segurança ao receber a mensagem de resposta de identidade permanente, onde a segunda mensagem é usada para acionar um processo de autenticação para o terminal, e a segunda mensagem porta segundas informações de identidade.
[0129] Para esta etapa, fazer referência à etapa 305 na modalidade supracitada. Os detalhes não são descritos nesta modalidade deste pedido novamente.
[0130] Nesta modalidade deste pedido, quando o terminal acessa uma rede, o terminal pode enviar a primeira mensagem para o primeiro dispositivo de rede, e adicionar informações de identidade criptografadas, ou seja, as primeiras informações de identidade, à primeira mensagem. Ao receber as primeiras informações de identidade a partir do terminal, o primeiro dispositivo de rede pode primeiro obter informações de identidade descriptografadas, ou seja, as segundas informações de identidade, das primeiras informações de identidade usando o segundo dispositivo de rede. Após obter as segundas informações de identidade, o primeiro dispositivo de rede envia, para a primeira entidade de função de segurança, a segunda mensagem usada para acionar o processo de autenticação. Em outras palavras, esta modalidade deste pedido fornece um processo de implementação específico para acionamento de um processo de autenticação quando as informações de identidade são criptografadas. Como informações de identidade enviadas pelo terminal para o primeiro dispositivo de rede são informações de identidade criptografadas, impede-se que as informações de identidade sejam interceptadas ou adulteradas em um processo de transmissão e a segurança do terminal é assegurada. Além disso, nesta modalidade deste pedido, o primeiro dispositivo de rede pode solicitar diretamente as segundas informações de identidade do segundo dispositivo de rede. Dessa forma, comparado com um caso no qual o primeiro dispositivo de rede solicita as segundas informações de identidade a partir da primeira entidade de função de segurança, e a primeira entidade de função de segurança solicita as segundas informações de identidade a partir do segundo dispositivo de rede porque a primeira entidade de função de segurança não armazena uma chave de descriptografia privada, esse método reduz sinalização trocada.
[0131] A modalidade supracitada descreve um processo no qual o primeiro dispositivo de rede envia a mensagem de solicitação de identidade permanente ao segundo dispositivo de rede para solicitar as segundas informações de identidade, e envia a segunda mensagem para a primeira entidade de função de segurança após receber as segundas informações de identidade, para acionar o processo de autenticação. A seguir, descreve-se um outro método no qual o primeiro dispositivo de rede aciona o processo de autenticação para o terminal após obter as segundas informações de identidade correspondentes às primeiras informações de identidade.
[0132] A Figura 5 é um diagrama de comunicação esquemático de ainda um outro método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido. Como mostrado na Figura 5, o método inclui as etapas a seguir.
[0133] Etapa 501. Um terminal envia uma primeira mensagem para um primeiro dispositivo de rede por meio de uma estação de base, onde a primeira mensagem porta primeiras informações de identidade e informações identificadoras, as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal com base em uma chave pública, e as informações identificadoras são usadas para identificar se as primeiras informações de identidade são informações de identidade criptografadas e/ou identificar uma maneira de criptografia das primeiras informações de identidade.
[0134] Para um processo de implementação desta etapa, fazer referência à etapa 301. Os detalhes não são descritos nesta modalidade deste pedido novamente.
[0135] Etapa 502. O primeiro dispositivo de rede envia uma mensagem de solicitação de identidade para um segundo dispositivo de rede ao receber a primeira mensagem, onde a mensagem de solicitação de identidade porta as primeiras informações de identidade e primeiras informações de roteamento.
[0136] As primeiras informações de roteamento podem ser usadas pelo primeiro dispositivo de rede para determinar uma rede doméstica do terminal.
[0137] Após receber a primeira mensagem, o primeiro dispositivo de rede pode determinar a rede doméstica do terminal com base nas primeiras informações de roteamento, e enviar a mensagem de solicitação de identidade portando as primeiras informações de roteamento e as primeiras informações de identidade para o segundo dispositivo de rede pré-configurado. O segundo dispositivo de rede pode ser um dispositivo de rede na rede doméstica do terminal, ou pode ser um dispositivo de rede que armazena chaves privadas de diferentes redes de operadoras.
[0138] O segundo dispositivo de rede pode ser qualquer um dentre uma entidade ARPF, uma entidade UDM, um KMS ou um AuC.
[0139] Opcionalmente, a mensagem de solicitação de identidade pode portar as informações identificadoras. Para um método de processamento específico, fazer referência à explicação e descrição relacionadas na etapa 302.
[0140] Etapa 503. O segundo dispositivo de rede obtém uma chave privada com base nas informações de roteamento portadas na mensagem de solicitação de identidade recebida, e descriptografa as primeiras informações de identidade usando a chave privada obtida, para obter segundas informações de identidade.
[0141] Quando o segundo dispositivo de rede é um dispositivo de rede na rede doméstica do terminal e armazena uma chave privada da rede doméstica, o segundo dispositivo de rede pode obter a chave privada, e descriptografar as primeiras informações de identidade usando a chave privadas obtida, para obter as segundas informações de identidade.
[0142] Quando o segundo dispositivo de rede é um dispositivo de rede que armazena chaves privadas de diferentes redes de operadoras, o segundo dispositivo de rede pode obter uma chave privada da rede doméstica do terminal com base nas primeiras informações de roteamento portadas na mensagem de solicitação de identidade, e descriptografar as primeiras informações de identidade usando a chave privada obtida, para obter as segundas informações de identidade.
[0143] Opcionalmente, quando o segundo dispositivo de rede não armazena uma chave privada, o segundo dispositivo de rede pode determinar um terceiro dispositivo de rede com base nas primeiras informações de roteamento, e enviar uma solicitação de obtenção de chave privada para o terceiro dispositivo de rede, onde a solicitação de obtenção de chave privada pode portar as primeiras informações de roteamento. Então, o terceiro dispositivo de rede pode obter uma chave privada com base nas primeiras informações de roteamento e retornar a chave privada obtida para o segundo dispositivo de rede, e o segundo dispositivo de rede descriptografa as primeiras informações de identidade usando a chave privada. Nesse caso, o segundo dispositivo de rede pode adicionalmente armazenar a chave privada, de modo que quando uma mensagem de solicitação de identidade enviada por um terminal na rede doméstica é recebida posteriormente, primeiras informações de identidade do terminal possam ser descriptografadas usando a chave privada.
[0144] Por exemplo, o segundo dispositivo de rede é uma entidade AUSF, e o terceiro dispositivo de rede é uma entidade ARPF, AuC ou IDF. Alternativamente, o segundo dispositivo de rede é uma entidade ARPF, e o terceiro dispositivo de rede é uma entidade de função tal como uma AuC ou uma entidade IDF na ARPF.
[0145] Opcionalmente, quando a mensagem de solicitação de identidade porta adicionalmente as informações identificadoras, o segundo dispositivo de rede pode fazer referência ao método relacionado no qual a primeira entidade de função de segurança processa as informações identificadoras na etapa 303 na modalidade supracitada, e os detalhes não são descritos nesta modalidade deste pedido novamente.
[0146] Etapa 504. O segundo dispositivo de rede envia as segundas informações de identidade para o primeiro dispositivo de rede.
[0147] Etapa 505. O primeiro dispositivo de rede envia uma segunda mensagem para a primeira entidade de função de segurança, onde a segunda mensagem é usada para acionar autenticação para o terminal, e a segunda mensagem porta as segundas informações de identidade.
[0148] Para um processo de implementação desta etapa, fazer referência à etapa 301 na modalidade supracitada. Os detalhes não são descritos nesta modalidade deste pedido novamente.
[0149] Nesta modalidade deste pedido, quando o terminal acessa uma rede, o terminal pode enviar a primeira mensagem para o primeiro dispositivo de rede, e adicionar informações de identidade criptografadas, ou seja, as primeiras informações de identidade, à primeira mensagem. Ao receber as primeiras informações de identidade do terminal, o primeiro dispositivo de rede pode primeiro obter diretamente uma chave de descriptografia privada a partir do segundo dispositivo de rede e descriptografar as primeiras informações de identidade usando a chave de descriptografia privada obtida, para obter as segundas informações de identidade. Após obter as segundas informações de identidade, o primeiro dispositivo de rede envia, para a primeira entidade de função de segurança, a segunda mensagem usada para acionar o processo de autenticação. Em outras palavras, esta modalidade deste pedido fornece um processo de implementação específico de acionamento de um processo de autenticação quando informações de identidade são criptografadas. Como as informações de identidade enviadas pelo terminal para o primeiro dispositivo de rede são informações de identidade criptografadas, impede-se que as informações de identidade sejam interceptadas ou adulteradas em um processo de transmissão, e a segurança do terminal é assegurada. Além disso, nesta modalidade deste pedido, o primeiro dispositivo de rede pode armazenar a chave de descriptografia privada obtida. Dessa maneira, quando o primeiro dispositivo de rede recebe informações de identidade criptografadas de um terminal na mesma rede de operador do terminal corrente, as informações de identidade criptografadas podem ser descriptografadas diretamente usando a chave de descriptografia privada, simplificando assim um processo de operação.
[0150] A modalidade supracitada descreve um processo de implementação no qual o primeiro dispositivo de rede aciona o processo de autenticação para o terminal após a obtenção das segundas informações de identidade correspondentes às primeiras informações de identidade. A seguir se descreve, com referência da Figura 6a à Figura 6d, um processo de implementação no qual o primeiro dispositivo de rede obtém as segundas informações de identidade após acionar o processo de autenticação.
[0151] Uma modalidade deste pedido fornece um diagrama de comunicação esquemático de um método de acionamento de autenticação de rede. O método inclui as etapas a seguir.
[0152] Etapa 601. Um terminal envia uma primeira mensagem para um primeiro dispositivo de rede por meio de uma estação de base, onde a primeira mensagem porta primeiras informações de identidade, e as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente de o terminal usando uma chave pública.
[0153] Para um processo de implementação desta etapa, fazer referência à etapa 301. Os detalhes não são descritos nesta modalidade deste pedido novamente.
[0154] Etapa 602. O primeiro dispositivo de rede envia uma segunda mensagem para uma primeira entidade de função de segurança ao receber a primeira mensagem, onde a segunda mensagem é usada para acionar autenticação para o terminal, e a segunda mensagem porta as primeiras informações de identidade.
[0155] O primeiro dispositivo de rede pode enviar a segunda mensagem para a primeira entidade de função de segurança quando o primeiro dispositivo de rede recebe as primeiras informações de identidade, mas não obtém segundas informações de identidade, para acionar um processo de autenticação para o terminal.
[0156] Etapa 603. A primeira entidade de função de segurança obtém segundas informações de identidade com base nas primeiras informações de identidade ao receber a segunda mensagem.
[0157] Nesta modalidade, se a primeira entidade de função de segurança é uma entidade AUSF, e o primeiro dispositivo de rede é uma entidade de função que combina uma AMF e uma SEAF, não há necessidade de determinar se a AMF envia a primeira mensagem ou a SEAF envia a primeira mensagem. Se a SEAF é uma entidade de função independente, o primeiro dispositivo de rede é a entidade de SEAF. Antes de enviar a segunda mensagem, a entidade SEAF precisa receber as primeiras informações de identidade e as informações identificadoras na primeira mensagem enviada pela entidade AMF. Se a primeira entidade de função de segurança é uma entidade SEAF implantada de forma independente, a entidade SEAF é implantada em uma rede doméstica do terminal.
[0158] Depois de receber as primeiras informações de identidade, a primeira entidade de função de segurança pode obter as segundas informações de identidade usando qualquer uma dentre as três maneiras a seguir.
[0159] (1) A primeira entidade de função de segurança descriptografa as primeiras informações de identidade usando uma chave privada armazenada, para obter as segundas informações de identidade.
[0160] (2) A primeira entidade de função de segurança pode encaminhar as primeiras informações de identidade recebidas para um segundo dispositivo de rede, e o segundo dispositivo de rede descriptografa as primeiras informações de identidade para obter as segundas informações de identidade. Então, o segundo dispositivo de rede retorna as segundas informações de identidade obtidas para a primeira entidade de função de segurança. O segundo dispositivo de rede armazena uma chave privada, ou o segundo dispositivo de rede pode obter uma chave privada de um terceiro dispositivo de rede com base nas informações de roteamento. Especificamente, o segundo dispositivo de rede pode ser qualquer um dentre uma entidade ARPF, uma entidade UDM, um KMS ou um AuC.
[0161] (3) A primeira entidade de função de segurança pode encaminhar as primeiras informações de identidade recebidas para um segundo dispositivo de rede. Quando o segundo dispositivo de rede não pode encontrar uma chave privada, o segundo dispositivo de rede pode enviar uma solicitação para um terceiro dispositivo de rede, e o terceiro dispositivo de rede descriptografa as primeiras informações de identidade para obter as segundas informações de identidade. Então o terceiro dispositivo de rede transmite as segundas informações de identidade para a primeira entidade de função de segurança usando o segundo dispositivo de rede. O terceiro dispositivo de rede armazena a chave privada.
[0162] Depois de obter as segundas informações de identidade, a primeira entidade de função de segurança pode determinar um método de autenticação. O método de autenticação inclui um método de autenticação com base no Protocolo de Autenticação Extensível (Extensible Authenticaton Protocol, EAP) e um método de autenticação atualizado de um sistema de pacote evoluído (evolved packet system, EPS).
[0163] Etapa 604. A primeira entidade de função de segurança envia as segundas informações de identidade para uma segunda entidade de função de segurança.
[0164] Opcionalmente, se na etapa 603, a primeira entidade de função de segurança obtém as segundas informações de identidade após a primeira entidade de função de segurança enviar as primeiras informações de identidade para a segunda entidade de função de segurança e a segunda entidade de função de segurança descriptografa as primeiras informações de identidade com base em uma chave privada armazenada, esta etapa pode não ser realizada, e a etapa 605 é realizada diretamente.
[0165] Etapa 605. A segunda entidade de função de segurança obtém um vetor de autenticação com base nas segundas informações de identidade.
[0166] Etapa 606. A segunda entidade de função de segurança envia o vetor de autenticação para a primeira entidade de função de segurança.
[0167] Após receber o vetor de autenticação, a primeira entidade de função de segurança realiza operações diferentes com base em diferentes métodos de autenticação selecionados na etapa 603. Quando a primeira entidade de função de segurança realiza autenticação usando o método de autenticação EAP, a primeira entidade de função de segurança pode enviar as segundas informações de identidade para o primeiro dispositivo de rede usando dois métodos, como mostrado na Figura 6a e na Figura 6b Quando a primeira entidade de função de segurança usa o método de autenticação EPS, a primeira entidade de função de segurança pode também enviar as segundas informações de identidade para o primeiro dispositivo de rede usando dois métodos, como mostrado na Figura 6c e na Figura 6d.
[0168] Como mostrado na Figura 6a, a primeira entidade de função de segurança pode enviar as segundas informações de identidade para o primeiro dispositivo de rede em um processo de autenticação. Para um processo específico, fazer referência à etapa 607.
[0169] Etapa 607. A primeira entidade de função de segurança envia uma terceira mensagem para o primeiro dispositivo de rede ao receber o vetor de autenticação, onde a terceira mensagem porta as segundas informações de identidade.
[0170] Ao receber o vetor de autenticação, a primeira entidade de função de segurança pode começar a realizar autenticação para o terminal. A terceira mensagem pode portar uma mensagem de resposta de autenticação e as segundas informações de identidade, e a mensagem de resposta de autenticação porta o vetor de autenticação ou uma parte do vetor de autenticação. Alternativamente, a terceira mensagem porta uma mensagem de resposta de autenticação, a mensagem de resposta de autenticação porta as segundas informações de identidade, e a mensagem de resposta de autenticação porta o vetor de autenticação ou uma parte do vetor de autenticação.
[0171] Opcionalmente, a mensagem de resposta de autenticação é uma mensagem de solicitação de autenticação de usuário, ou uma mensagem de solicitação de EAP (desafio AKA') ou uma mensagem 5G-AIA (authentication initiation answer, resposta de iniciação de autenticação).
[0172] Deve ser notado que, quando o processo de autenticação é acionado da maneira descrita nas etapas 601 a 607, a primeira entidade de função de segurança pode enviar as segundas informações de identidade enquanto está enviando a mensagem de resposta de autenticação ao primeiro dispositivo de rede. Dessa maneira, o primeiro dispositivo de rede pode obter as segundas informações de identidade no processo de autenticação, e esse método reduz a sinalização trocada quando comparado com um caso no qual o primeiro dispositivo de rede obtém as segundas informações de identidade antes de acionamento de o processo de autenticação.
[0173] Como mostrado na Figura 6b, a primeira entidade de função de segurança pode enviar as segundas informações de identidade para o primeiro dispositivo de rede após determinar que a autenticação para o terminal teve sucesso. Para um processo específico, fazer referência às etapas 608 e
609.
[0174] Etapa 608. A primeira entidade de função de segurança realiza autenticação para o terminal com base no vetor de autenticação ao receber o vetor de autenticação.
[0175] Especificamente, a primeira entidade de função de segurança pode interagir com o terminal usando o vetor de autenticação, para implementar autenticação para o terminal.
[0176] Etapa 609. A primeira entidade de função de segurança envia uma terceira mensagem para o primeiro dispositivo de rede após a autenticação para o terminal ter sucesso, onde a terceira mensagem porta as segundas informações de identidade.
[0177] Especificamente, a autenticação com sucesso para o terminal pela primeira entidade de função de segurança pode ser indicada nos seguintes casos: a primeira entidade de função de segurança envia ou recebe uma mensagem de êxito do EAP, ou verifica com êxito o terminal, ou recebe uma mensagem de 5G-AC (authentication confirmation, confirmação de autenticação).
[0178] Após determinar que a autenticação para o terminal teve êxito, a primeira entidade de função de segurança pode enviar a terceira mensagem para o primeiro dispositivo de rede. A terceira mensagem porta uma mensagem de sucesso de autenticação usada para notificar o primeiro dispositivo de rede que a autenticação para o terminal teve êxito. As segundas informações de identidade são portadas na mensagem de sucesso de autenticação.
[0179] Certamente, as segundas informações de identidade podem não ser portadas na mensagem de sucesso de autenticação. Em outras palavras, a terceira mensagem pode portar a mensagem de sucesso de autenticação e as segundas informações de identidade.
[0180] Especificamente, a mensagem de sucesso de autenticação pode ser uma mensagem de sucesso EAP ou uma mensagem 5G-AK (authentication acknowledge, confirmação de autenticação). A mensagem 5G- AK é uma mensagem de resposta usada para responder à mensagem 5G-AC.
[0181] Deve ser notado que quando o processo de autenticação é acionado usando o método descrito nas etapas 601 a 606 e nas etapas 608 e 609, ao receber as primeiras informações de identidade, o primeiro dispositivo de rede pode acionar diretamente o processo de autenticação. A primeira entidade de função de segurança pode enviar as segundas informações de identidade enquanto envia a mensagem de sucesso de autenticação para o primeiro dispositivo de rede após a autenticação ter sucesso. Dessa maneira, o processo no qual o primeiro dispositivo de rede obtém as segundas informações de identidade é concluído juntamente com a autenticação, de modo que a sinalização trocada seja reduzida. Além disso, como a primeira entidade de função de segurança envia as segundas informações de identidade e a mensagem de sucesso de autenticação juntas para o primeiro dispositivo de rede após a autenticação ter sucesso, as informações de identidade do terminal podem ser melhor protegidas contra vazamentos, e a segurança do terminal é aperfeiçoada.
[0182] Foram aqui descritos, com referência à Figura 6a e à Figura 6b, dois métodos para enviar, pela primeira entidade de função de segurança, as segundas informações de identidade para o primeiro dispositivo de rede quando a primeira entidade de função de segurança realiza autenticação usando o método de autenticação EAP. A seguir se descreve dois métodos para enviar, pela primeira entidade de função de segurança, as segundas informações de identidade para o primeiro dispositivo de rede quando a primeira entidade de função de segurança usa o método de autenticação EPS. Quando o método de autenticação EPS é usado, a primeira entidade de função de segurança precisa enviar o vetor de autenticação para o primeiro dispositivo de rede, e o primeiro dispositivo de rede realiza autenticação para o terminal.
[0183] Como mostrado na Figura 6c, a primeira entidade de função de segurança pode enviar o vetor de autenticação e as segundas informações de identidade juntos para o primeiro dispositivo de rede. Para um processo específico, fazer referência à etapa 610.
[0184] Etapa 610. A primeira entidade de função de segurança envia o vetor de autenticação e as segundas informações de identidade para o primeiro dispositivo de rede ao receber o vetor de autenticação.
[0185] Opcionalmente, a primeira entidade de função de segurança pode enviar o vetor de autenticação e as segundas informações de identidade em um formato fixo. Por exemplo, as segundas informações de identidade são colocadas nos primeiros bits da terceira mensagem, e uma quantidade de bits é maior ou igual a um comprimento das segundas informações de identidade. O vetor de autenticação é colocado após os bits para as segundas informações de identidade. Alternativamente, o vetor de autenticação é colocado nos primeiros bits fixos, e as segundas informações de identidade são colocadas nos últimos vários bits.
[0186] Etapa 611. Ao receber o vetor de autenticação e as segundas informações de identidade, o primeiro dispositivo de rede armazena as segundas informações de identidade, e realiza autenticação para o terminal com base no vetor de autenticação.
[0187] O primeiro dispositivo de rede pode identificar as segundas informações de identidade e armazenar diretamente as segundas informações de identidade. Alternativamente, quando a primeira entidade de função de segurança envia o vetor de autenticação e as segundas informações de identidade no formato fixo, o primeiro dispositivo de rede pode obter as segundas informações de identidade com base nos bits fixos no formato fixo, onde informações no bit fixo são as segundas informações de identidade.
[0188] Além disso, o vetor de autenticação geralmente inclui parâmetros como uma resposta esperada (expected response, XRES) e um código de autenticação de mensagem (message authentication code, MAC). Quando o primeiro dispositivo de rede é uma entidade de função que combina a SEAF e a AMF, após receber o vetor de autenticação, o primeiro dispositivo de rede pode armazenar a XRES ou o MAC no vetor de autenticação, e enviar parâmetros restantes no vetor de autenticação para o terminal, para interagir com o terminal e implementar autenticação para o terminal. Quando o primeiro dispositivo de rede é uma SEAF independente, após receber o vetor de autenticação, o primeiro dispositivo de rede pode armazenar a XRES ou o MAC no vetor de autenticação, e enviar um parâmetro restante no vetor de autenticação para a entidade AMF, e a entidade AMF envia o parâmetro para o terminal.
[0189] Deve ser notado que, quando o processo de autenticação é acionado usando o método descrito nas etapas 601 a 606 e nas etapas 610 e 611, ao receber as primeiras informações de identidade, o primeiro dispositivo de rede pode enviar diretamente a segunda mensagem portando as primeiras informações de identidade para a primeira entidade de função de segurança, para acionar o processo de autenticação. Então, depois de obter o vetor de autenticação, a primeira entidade de função de segurança pode enviar as segundas informações de identidade e o vetor de autenticação juntos para o primeiro dispositivo de rede. Dessa maneira, o primeiro dispositivo de rede pode obter informações de identidade permanente do terminal antes de realizar autenticação para o terminal, e esse método reduz sinalização trocada quando comparado com um no qual o primeiro dispositivo de rede obtém as segundas informações de identidade antes de acionamento de o processo de autenticação.
[0190] Como mostrado na Figura 6d, a primeira entidade de função de segurança pode enviar as segundas informações de identidade para o primeiro dispositivo de rede após determinar que a autenticação para o terminal teve sucesso, desse modo aperfeiçoando a segurança. Para um processo específico, fazer referência às etapas 611 a 614. Deve ser observado que nas etapas 611 a 614, a primeira entidade de função de segurança pode ser uma entidade AUSF, e o primeiro dispositivo de rede correspondente pode ser uma entidade que combina uma AMF e uma SEAF. Alternativamente, a primeira entidade de função de segurança pode ser uma SEAF independente, e o primeiro dispositivo de rede correspondente é uma AMF.
[0191] Etapa 612. Ao receber o vetor de autenticação ou parte do vetor de autenticação, a primeira entidade de função de segurança envia o vetor de autenticação ou a parte do vetor de autenticação para o primeiro dispositivo de rede, para acionar autenticação para o terminal.
[0192] Por exemplo, a primeira entidade de função de segurança pode enviar uma mensagem de solicitação de EAP/desafio AKA' para o primeiro dispositivo de rede, e a mensagem de solicitação de EAP/desafio AKA' porta o vetor de autenticação ou a parte do vetor de autenticação. Alternativamente, a primeira entidade de função de segurança envia uma mensagem 5G-AIA, e a mensagem 5G-AIA porta o vetor de autenticação ou a parte do vetor de autenticação.
[0193] Etapa 613. O primeiro dispositivo de rede realiza autenticação para o terminal com base no vetor de autenticação ao receber o vetor de autenticação ou a parte do vetor de autenticação.
[0194] Ao receber o vetor de autenticação ou a parte do vetor de autenticação, o primeiro dispositivo de rede pode enviar o vetor de autenticação ou a parte do vetor de autenticação para o terminal. Então, o terminal e o primeiro dispositivo de rede podem concluir a autenticação usando vetor de autenticação ou da parte do vetor de autenticação.
[0195] Especificamente, o primeiro dispositivo de rede pode adicionar o vetor de autenticação ou a parte do vetor de autenticação à mensagem de Solicitação de EAP/desafio AKA', e enviar a mensagem de Solicitação de EAP/desafio AKA' para o terminal, ou pode adicionar o vetor de autenticação ou a parte do vetor de autenticação a uma mensagem de solicitação de autenticação (authentication request), e enviar a mensagem de solicitação de autenticação para o terminal.
[0196] Etapa 614. O primeiro dispositivo de rede pode enviar uma mensagem de confirmação de autenticação para a primeira entidade de função de segurança após a autenticação para o terminal ter sucesso.
[0197] A mensagem de confirmação de autenticação é usada para notificar a primeira entidade de função de segurança que a autenticação para o terminal teve sucesso. Especificamente, a mensagem de confirmação de autenticação pode ser 5G-AC.
[0198] Em uma outra implementação possível, o primeiro dispositivo de rede pode enviar uma mensagem de confirmação de autenticação portando a mensagem de resposta de autenticação para a primeira entidade de função de segurança, e a mensagem de resposta de autenticação é uma mensagem de resposta da mensagem de solicitação de autenticação. Após receber a mensagem de resposta de autenticação, a primeira entidade de função de segurança pode determinar, com base na mensagem de resposta de autenticação, que a autenticação para o terminal teve sucesso.
[0199] A mensagem de confirmação de autenticação pode ser uma mensagem de resposta EAP/desafio AKA'.
[0200] Etapa 615. A primeira entidade de função de segurança envia as segundas informações de identidade para o primeiro dispositivo de rede ao receber a mensagem de confirmação de autenticação enviada pelo primeiro dispositivo de rede.
[0201] Ao receber a mensagem de confirmação de autenticação enviada pelo primeiro dispositivo de rede, a primeira entidade de função de segurança pode determinar que o primeiro dispositivo de rede autentica com sucesso o terminal. Nesse caso, a primeira entidade de função de segurança pode enviar as segundas informações de identidade para o primeiro dispositivo de rede, melhorando assim a segurança.
[0202] Opcionalmente, ao receber a mensagem de confirmação de autenticação enviada pelo primeiro dispositivo de rede, a primeira entidade de função de segurança pode determinar que o primeiro dispositivo de rede autentique com sucesso o terminal. Nesse caso, a primeira entidade de função de segurança pode gerar uma mensagem de sucesso de autenticação, e enviar a mensagem de sucesso de autenticação e as segundas informações de identidade juntas para o primeiro dispositivo de rede. Certamente, a primeira entidade de função de segurança pode adicionar as segundas informações de identidade para a mensagem de sucesso de autenticação e enviar a mensagem de sucesso de autenticação para o primeiro dispositivo de rede. A mensagem de sucesso de autenticação pode ser uma mensagem de resposta de identidade permanente.
[0203] Deve ser observado que quando o processo de autenticação é acionado usando o método descrito nas etapas 601 a 606 e nas etapas 612 a 615, ao receber as primeiras informações de identidade, o primeiro dispositivo de rede pode enviar diretamente a segunda mensagem portando as primeiras informações de identidade para a primeira entidade de função de segurança, para acionar o processo de autenticação. Então, depois de obter as segundas informações de identidade e o vetor de autenticação, a primeira entidade de função de segurança envia apenas o vetor de autenticação para o primeiro dispositivo de rede, mas não envia segundas informações de identidade. Após a autenticação para o terminal com base no vetor de autenticação ter sucesso, o primeiro dispositivo de rede pode enviar a mensagem de confirmação de autenticação para a primeira entidade de função de segurança. Depois de receber a mensagem de confirmação de autenticação, a primeira entidade de função de segurança envia as segundas informações de identidade para o primeiro dispositivo de rede apenas ao determinar que o primeiro dispositivo de rede autentica com êxito o terminal. Dessa forma, as informações de identidade do terminal podem ser melhor protegidas contra vazamentos e a segurança do terminal é aperfeiçoada.
[0204] A modalidade supracitada descreve um processo de implementação específico no qual o primeiro dispositivo de rede aciona o processo de autenticação para o terminal e obtém as segundas informações de identidade com base nas primeiras informações de identidade. Além disso, o processo de autenticação para o terminal pode ser acionado pela primeira entidade de função de segurança.
[0205] Em um cenário no qual a primeira entidade de função de segurança aciona o processo de autenticação para o terminal, uma modalidade deste pedido fornece adicionalmente um método de acionamento de autenticação de rede, e um primeiro dispositivo de rede, uma primeira entidade de função de segurança, uma segunda entidade de função de segurança, e um sistema que são com base no método O método inclui: receber, pela primeira entidade de função de segurança, as primeiras informações de identidade do primeiro dispositivo de rede, onde as primeiras informações de identidade são obtidas pelo terminal criptografando-se as informações de identidade em uma identidade permanente do terminal com base em uma chave pública; enviar, pela primeira entidade de função de segurança, as primeiras informações de identidade para a segunda entidade de função de segurança; e receber, pela primeira entidade de função de segurança, um vetor de autenticação e segundas informações de identidade a partir da segunda entidade de função de segurança, e acionar um processo de autenticação para o terminal, onde as segundas informações de identidade são obtidas descriptografando-se as primeiras informações de identidade, e o vetor de autenticação é obtido pela segunda entidade de função de segurança com base nas segundas informações de identidade. Por exemplo, o método pode ser mostrado na Figura 7a. A solução desta modalidade deste pedido fornece uma solução para acionamento de um processo de autenticação quando as informações de identidade são criptografadas. Além disso, na solução desta modalidade deste pedido, a primeira entidade de função de segurança aciona autenticação para o terminal.
Como um processo de autenticação para o terminal também é acionado pela primeira entidade de função de segurança quando o terminal acessa uma rede usando uma tecnologia 3GPP, o processamento para uma tecnologia 3GPP e o processamento para uma tecnologia não 3GPP no processo de autenticação para o terminal são unificados de acordo com a solução desta modalidade, reduzindo assim a complexidade do processamento de um dispositivo de rede.
[0206] A seguir se descreve, em detalhes, com referência à Figura 7b, uma solução na qual uma primeira entidade de função de segurança aciona um processo de autenticação.
[0207] A Figura 7b é um diagrama de comunicação esquemático de ainda um outro método de acionamento de autenticação de rede de acordo com uma modalidade deste pedido. Como mostrado na Figura 7b, o método inclui as etapas a seguir.
[0208] Etapa 701. Um terminal envia primeiras informações de identidade para uma primeira entidade de função de segurança por meio de uma estação de base e um primeiro dispositivo de rede, onde as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal com base em uma chave pública.
[0209] Quando o terminal acessa uma rede, o terminal pode enviar as primeiras informações de identidade para a estação de base, e então a estação de base envia as primeiras informações de identidade para o primeiro dispositivo de rede. Ao receber as primeiras informações de identidade, o primeiro dispositivo de rede encaminha as primeiras informações de identidade para a primeira entidade de função de segurança. Deve ser observado que o primeiro dispositivo de rede pode enviar uma mensagem de solicitação de identidade permanente para a primeira entidade de função de segurança, e adicionar as primeiras informações de identidade à mensagem de solicitação de identidade permanente.
[0210] A chave pública pode ser armazenada no terminal, ou pode ser armazenada em um cartão que está no terminal e que é usado para armazenar uma chave de longo prazo, por exemplo, um módulo de identificação de assinante (subscriber identification module, SIM), um módulo de identidade de assinante universal (universal subscriber identity module, USIM), um cartão de circuito integrado universal (universal integrated circuit card, UICC), um cartão de circuito integrado universal inserido (embedded universal integrated circuit card, eUICC) ou um cartão de circuito integrado universa l5G (5G–universal integrated circuit card, 5G-UICC). A identidade permanente pode ser uma identidade de assinante móvel internacional (número de identificação internacional de assinante móvel, IMSI). Quando a identidade permanente é um IMSI, o IMSI inclui um número de identificação de assinante móvel (international mobile subscriber identification number, MSIN) e informações de roteamento. Portanto, o terminal pode criptografar o MSIN no IMSI usando a chave pública, para obter as primeiras informações de identidade.
[0211] Além disso, uma primeira mensagem porta adicionalmente informações de roteamento, e as informações de roteamento são usadas pelo primeiro dispositivo de rede para determinar uma rede doméstica do terminal, de modo que o primeiro dispositivo de rede determine a primeira entidade de função de segurança na rede doméstica do terminal.
[0212] Etapa 702. A primeira entidade de função de segurança recebe as primeiras informações de identidade e envia as primeiras informações de identidade para uma segunda entidade de função de segurança.
[0213] Opcionalmente, a primeira entidade de função de segurança pode ser uma entidade AUSF.
[0214] Etapa 703. A segunda entidade de função de segurança recebe as primeiras informações de identidade, obtém segundas informações de identidade, e obtém um vetor de autenticação com base nas segundas informações de identidade.
[0215] Ao receber as primeiras informações de identidade, a segunda entidade de função de segurança pode descriptografar as primeiras informações de identidade com base em uma chave privada armazenada, para obter as segundas informações de identidade. Alternativamente, a segunda entidade de função de segurança pode enviar as primeiras informações de identidade para um segundo dispositivo de rede, e o segundo dispositivo de rede descriptografa as primeiras informações de identidade para obter as segundas informações de identidade, e envia as segundas informações de identidade para a segunda entidade de função de segurança. Alternativamente, a segunda entidade de função de segurança pode solicitar uma chave privada a partir de um segundo dispositivo de rede, e o segundo dispositivo de rede determina a chave privada com base nas informações de roteamento e envia a chave privada para a segunda entidade de função de segurança.
[0216] Opcionalmente, a segunda entidade de função de segurança pode ser uma entidade ARPF, e o segundo dispositivo de rede pode ser um AuC, um KMS ou um IDF.
[0217] Depois de obter as segundas informações de identidade, a segunda entidade de função de segurança pode determinar uma chave de longo prazo do terminal com base nas segundas informações de identidade, e obter o vetor de autenticação com base na chave de longo prazo. O vetor de autenticação é um parâmetro usado pelo primeiro dispositivo de rede para realizar autenticação para o terminal. A chave de longo prazo é igual à chave de longo prazo armazenada no terminal.
[0218] Etapa 704. A segunda entidade de função de segurança envia o vetor de autenticação e as segundas informações de identidade para a primeira entidade de função de segurança.
[0219] Etapa 705. A primeira entidade de função de segurança recebe o vetor de autenticação e as segundas informações de identidade, e aciona um processo de autenticação.
[0220] Etapa 706. A primeira entidade de função de segurança envia o vetor de autenticação para o primeiro dispositivo de rede.
[0221] Opcionalmente, a primeira entidade de função de segurança pode enviar as segundas informações de identidade enquanto envia o vetor de autenticação para o primeiro dispositivo de rede, em outras palavras, a primeira entidade de função de segurança pode enviar as segundas informações de identidade e o vetor de autenticação para o primeiro dispositivo de rede ao mesmo tempo. Neste caso, a etapa 707 pode ser realizada sem a necessidade de realizar as etapas 708 e 709.
[0222] Etapa 707. O primeiro dispositivo de rede realiza autenticação para o terminal com base no vetor de autenticação.
[0223] O vetor de autenticação normalmente inclui parâmetros tais como uma resposta esperada (expected response, XRES) e um código de autenticação de mensagem (message authentication code, MAC). Após receber o vetor de autenticação, o primeiro dispositivo de rede pode armazenar a XRES ou o MAC no vetor de autenticação, e enviar os parâmetros restantes no vetor de autenticação para o terminal, para implementar a autenticação para o terminal, por interação com o terminal.
[0224] Deve ser notado que, quando o primeiro dispositivo de rede recebe adicionalmente as segundas informações de identidade enquanto recebe o vetor de autenticação, o primeiro dispositivo de rede pode realizar autenticação para o terminal com base no vetor de autenticação e armazenar as segundas informações de identidade recebidas. Nesse caso, as etapas 708 e 709 podem não ser realizadas posteriormente.
[0225] Etapa 708. O primeiro dispositivo de rede envia uma mensagem de confirmação de autenticação para a primeira entidade de função de segurança após a autenticação para o terminal ter sucesso.
[0226] A mensagem de confirmação de autenticação é usada para notificar a AUSF que a autenticação para o terminal teve sucesso.
[0227] Etapa 709. A primeira entidade de função de segurança envia as segundas informações de identidade para o primeiro dispositivo de rede ao receber a mensagem de confirmação de autenticação.
[0228] Como ao receber a mensagem de confirmação de autenticação, a primeira entidade de função de segurança pode determinar que a autenticação para o terminal teve sucesso, se as segundas informações de identidade são enviadas para o primeiro dispositivo de rede nesse momento, a identidade permanente do terminal pode ser melhor protegida contra vazamentos, e a segurança é assegurada.
[0229] Nesta modalidade deste pedido, ao acessar a rede, o terminal pode enviar as primeiras informações de identidade para a primeira entidade de função de segurança usando a estação de base e o primeiro dispositivo de rede. Ao receber as primeiras informações de identidade do terminal, a primeira entidade de função de segurança pode enviar as primeiras informações de identidade para a segunda entidade de função de segurança, e a segunda entidade de função de segurança pode obter as segundas informações de identidade com base nas primeiras informações de identidade, obter o vetor de autenticação com base nas segundas informações de identidade, e então enviar o vetor de autenticação e as segundas informações de identidade para a primeira entidade de função de segurança. Ao receber o vetor de autenticação e as segundas informações de identidade, a primeira entidade de função de segurança aciona o processo de autenticação. Em outras palavras, esta modalidade deste pedido fornece um processo de implementação específico de acionamento de um processo de autenticação quando informações de identidade são criptografadas. Como as informações de identidade enviadas pelo terminal para o primeiro dispositivo de rede são informações de identidade criptografadas, impede-se que as informações de identidade sejam interceptadas ou adulteradas em um processo de transmissão, e a segurança do terminal é assegurada. Além disso, nesta modalidade deste pedido, o processo de autenticação é acionado pela primeira entidade de função de segurança quando a primeira entidade de função de segurança recebe o vetor de autenticação. Em uma tecnologia relacionada, quando o terminal acessa a rede usando uma tecnologia 3GPP, o processo de autenticação para o terminal é acionado pela primeira entidade de função de segurança. O método fornecido nesta modalidade deste pedido pode ser aplicado não apenas à tecnologia 3GPP, mas também aplicado a uma tecnologia não 3GPP. Nesta modalidade deste pedido, quando o terminal acessa a rede usando a tecnologia não 3GPP, o processo de autenticação para o terminal também é acionado pela primeira entidade de função de segurança. Em outras palavras, nesta modalidade deste pedido, o processamento para o 3GPP e o processamento para o não 3GPP são unificados. Dessa maneira, a complexidade do processamento de um dispositivo de rede pode ser reduzida.
[0230] Até aqui se descreveu principalmente, a partir da perspectiva de interação entre diferentes dispositivos de rede, as soluções fornecidas nas modalidades do presente pedido. Pode ser entendido que para implementar as funções supracitadas, o primeiro dispositivo de rede e a primeira entidade de função de segurança incluem, cada uma, uma estrutura de hardware correspondente e/ou módulo de software usado(s) para realizar as funções. Com referência aos exemplos descritos nas modalidades reveladas neste pedido, unidades e etapas de algoritmo podem ser implementadas por hardware ou por uma combinação de hardware e software de computador nas modalidades deste pedido. Se uma função é implementada por hardware ou por hardware que aciona software de computador depende de uma aplicação particular e de uma condição de restrição de projeto da solução técnica. Para cada aplicação particular, uma pessoa habilitada na técnica pode usar métodos diferentes para implementar as funções descritas, mas não deve ser considerado que a implementação vai além do escopo das soluções técnicas das modalidades deste pedido.
[0231] Nas modalidades deste pedido, a divisão de módulo de função pode ser realizada no primeiro dispositivo de rede e na primeira entidade de função de segurança com base nos exemplos de método. Por exemplo, cada módulo de função pode ser obtido através da divisão com base em uma função correspondente, ou duas ou mais funções podem ser integradas em um módulo de processamento. O módulo integrado pode ser implementado em uma forma de hardware ou pode ser implementado em uma forma de um módulo de função de software. Deve ser notado que a divisão de módulo nas modalidades deste pedido é um exemplo e é meramente uma divisão de função lógica. Durante a implementação real, pode haver uma outra maneira de divisão.
[0232] Quando um módulo integrado é usado, a Figura 8a é um possível diagrama de blocos esquemático de um primeiro dispositivo de rede em uma modalidade deste pedido. Um primeiro dispositivo de rede 800 inclui um módulo de processamento 802 e um módulo de comunicações 803. O módulo de processamento 802 é configurado para controlar e gerenciar ações do primeiro dispositivo de rede. Por exemplo, o módulo de processamento 802 é configurado para suportar o primeiro dispositivo de rede na realização dos processos 201 e 202 na Figura 2, dos processos 302 e 304 na Figura 3, dos processos 402 e 404 na Figura 4, dos processos 502 e 505 na Figura 5, dos processos 602, 611, 613 e 614 na Figura 6a à Figura 6d, dos processos 711 a 714 na Figura 7a, dos processos 707 e 708 na Figura 7b e/ou outros processos usando a tecnologia descrita neste relatório descritivo. O módulo de comunicações 803 está configurado para suportar o primeiro dispositivo de rede na comunicação com uma primeira entidade de função de segurança ou um outro dispositivo de rede. O primeiro dispositivo de rede pode adicionalmente incluir um módulo de armazenamento 801, configurado para armazenar código do programa e os dados do primeiro dispositivo de rede.
[0233] O módulo de processamento 802 pode ser um processador ou um controlador, por exemplo, uma unidade central de processamento (Central Processing Unit, CPU), um processador de propósito geral, um processador de sinal digital (Digital Signal Processor, DSP), um circuito integrado de aplicação específica (Application-Specific Integrated Circuit, ASIC), um arranjo de porta programável em campo (Field Programmable Gate Array, FPGA) ou um outro dispositivo lógico programável, um dispositivo lógico de transistor, um componente de hardware, ou qualquer combinação dos mesmos. O módulo de processamento pode implementar ou executar vários exemplos de blocos lógicos, módulos e circuitos descritos com referência ao conteúdo revelado neste pedido. Alternativamente, o processador pode ser uma combinação para implementar uma função de computação, por exemplo, uma combinação de um ou mais microprocessadores ou uma combinação do DSP e um microprocessador. O módulo de comunicações 803 pode ser uma interface de comunicações, um transceptor, um circuito transceptor ou semelhantes. A interface de comunicações é um nome coletivo, e durante a implementação específica, a interface de comunicações pode incluir uma pluralidade de interfaces, por exemplo, pode incluir uma interface entre o primeiro dispositivo de rede e a primeira entidade de função de segurança ou entre o primeiro dispositivo de rede e um segundo dispositivo de rede e/ou uma outra interface. O módulo de armazenamento 801 pode ser uma memória.
[0234] Quando o módulo de processamento 802 é um processador, o módulo de comunicações 803 é uma interface de comunicações, e o módulo de armazenamento 801 é uma memória, o primeiro dispositivo de rede nesta modalidade deste pedido pode ser o primeiro dispositivo de rede mostrado na Figura 8b.
[0235] Como mostrado na Figura 8b, o primeiro dispositivo de rede 810 inclui um processador 812, uma interface de comunicações 813, e uma memória 811. Opcionalmente, o primeiro dispositivo de rede 810 pode incluir adicionalmente um barramento 814. A interface de comunicações 813, o processador 812, e a memória 811 podem ser conectados um ao outro usando o barramento 814. O barramento 814 pode ser um barramento de Interconexão de Componente Periférico (Peripheral Component Interconnect, PCI), um barramento de Arquitetura Padrão da Indústria Estendida (Extended Industry Standard Architecture, EISA) ou semelhantes. O barramento 814 pode ser categorizado como um barramento de endereço, um barramento de dados, um barramento de controle, ou semelhantes. Para facilitar a representação, apenas uma linha em negrito é usada para representar o barramento na Figura 8b, mas isso não significa que haja apenas um barramento ou apenas um tipo de barramento.
[0236] O primeiro dispositivo de rede mostrado na Figura 8a e na Figura 8b pode ser uma entidade AMF na arquitetura de sistema da Figura 1, ou pode ser um módulo SEAF em uma entidade de função AMF. Quando a AMF e a SEAF não são uma entidade de função, o primeiro dispositivo de rede pode ser a entidade de função AMF, ou uma entidade de função MME, ou uma outra entidade com uma função de gerenciamento de acesso e mobilidade.
[0237] Quando um módulo integrado é usado, a Figura 9a é um possível diagrama de blocos esquemático de uma primeira entidade de função de segurança em uma modalidade deste pedido. Uma primeira entidade de função de segurança 900 inclui um módulo de processamento 902 e um módulo de comunicações 903. O módulo de processamento 902 está configurado para controlar e gerenciar ações da primeira entidade de função de segurança. Por exemplo, o módulo de processamento 902 é configurado para suportar a primeira entidade de função de segurança na realização do processo 202 na Figura 2, do processo 303 na Figura 3, do processo 404 na Figura 4, do processo 505 na Figura 5, dos processos 603, 604, 607, 608, 609, 610, 612 e 615 na Figura 6a à Figura 6d, dos processos 712 e 713 na Figura 7a, dos processos 702, 705, 706 e 709 na Figura 7b e/ou de outros processos usando a tecnologia descrita neste relatório descritivo. O módulo de comunicações 903 é configurado para suportar a primeira entidade de função de segurança na comunicação com um primeiro dispositivo de rede, uma segunda entidade de função de segurança, ou um outro dispositivo de rede. A primeira entidade de função de segurança pode adicionalmente incluir um módulo de armazenamento 901, configurado para armazenar código de programa e dados da primeira entidade de função de segurança.
[0238] O módulo de processamento 902 pode ser um processador ou um controlador, por exemplo, pode ser uma CPU, um processador de propósito geral, um DSP, um ASIC, um FPGA ou um outro dispositivo lógico programável, um dispositivo lógico de transistor, um componente de hardware, ou qualquer combinação dos mesmos. O módulo de processamento pode implementar ou executar vários exemplos de blocos lógicos, módulos e circuitos descritos com referência ao conteúdo revelado neste pedido. Alternativamente, o processador pode ser uma combinação para implementar uma função de computação, por exemplo, uma combinação de um ou mais microprocessadores ou uma combinação do DSP e um microprocessador. O módulo de comunicações 903 pode ser uma interface de comunicações, um transceptor, um circuito transceptor ou semelhantes. A interface de comunicações é um nome coletivo, e durante a implementação específica, a interface de comunicações pode incluir uma pluralidade de interfaces, por exemplo, pode incluir uma interface entre a primeira entidade de função de segurança e o primeiro dispositivo de rede ou entre a primeira entidade de função de segurança e o segundo dispositivo de rede e/ou uma outra interface. O módulo de armazenamento 901 pode ser uma memória.
[0239] Quando o módulo de processamento 902 é um processador, o módulo de comunicações 903 é uma interface de comunicações, e o módulo de armazenamento 901 é uma memória, a primeira entidade de função de segurança nesta modalidade deste pedido pode ser a primeira entidade de função de segurança mostrada em Figura 9b.
[0240] Como mostrado na Figura 9b, a primeira entidade de função de segurança 910 inclui um processador 912, uma interface de comunicações 913, e uma memória 911. Opcionalmente, a primeira entidade de função de segurança 910 pode incluir adicionalmente um barramento 914. A interface de comunicações 913, o processador 912, e a memória 911 podem ser conectados um ao outro usando o barramento 914. O barramento 914 pode ser um barramento PCI, um barramento EISA, ou semelhantes. O barramento 914 pode ser categorizado como um barramento de endereço, um barramento de dados, um barramento de controle, ou semelhantes. Para facilitar a representação, apenas uma linha em negrito é usada para representar o barramento na Figura 9b, mas isso não significa que haja apenas um barramento ou apenas um tipo de barramento.
[0241] A primeira entidade de função de segurança mostrada na Figura 9a e na Figura 9b pode ser uma entidade AUSF na arquitetura de sistema da Figura 1; ou quando uma AMF na Figura 1 não inclui uma SEAF, a primeira entidade de função de segurança pode ser a SEAF.
[0242] Uma modalidade deste pedido fornece adicionalmente uma segunda entidade de função de segurança. Um diagrama estrutural esquemático da segunda entidade de função de segurança é similar ao diagrama estrutural esquemático da primeira entidade de função de segurança, como mostrado na Figura 10a e na Figura 10b. Módulos ou componentes incluídos na segunda entidade de função de segurança podem realizar correspondentemente ações concluídas pela segunda entidade de função de segurança nos métodos supracitados, e detalhes não são descritos no presente documento novamente. A segunda entidade de função de segurança mostrada na Figura 10a ou na Figura 10b pode ser uma entidade ARPF na Figura 1.
[0243] Os métodos ou etapas de algoritmo descritos com referência ao conteúdo revelado nas modalidades deste pedido podem ser implementados em uma maneira de hardware ou podem ser implementados em uma maneira de executar uma instrução de software por um processador. A instrução de software pode incluir um módulo de software correspondente. O módulo de software pode ser armazenado em uma memória de acesso aleatório (Random Access Memory, RAM), uma memória flash, uma memória somente leitura (Read-Only Memory, ROM), uma memória somente leitura programável apagável (Erasable Programmable ROM, EPROM ), uma memória somente leitura programável apagável eletricamente (Electrically EPROM, EEPROM), um registro, um disco rígido, um disco rígido removível, uma memória somente leitura de disco compacto (CD-ROM), ou uma mídia de armazenamento em qualquer outra forma bem conhecida na técnica. Uma mídia de armazenamento usada como um exemplo é acoplada ao processador, de modo que o processador possa ler informações a partir da mídia de armazenamento, e possa gravar informações na mídia de armazenamento. Certamente, a mídia de armazenamento pode ser um componente do processador. O processador e a mídia de armazenamento podem estar localizados em um ASIC. Além disso, o ASIC pode estar localizado em um primeiro dispositivo de rede ou em uma primeira entidade de função de segurança. Certamente, o processador e a mídia de armazenamento podem existir no primeiro dispositivo de rede ou na primeira entidade de função de segurança como componentes discretos.
[0244] Uma pessoa versada na técnica deve estar ciente de que, em um ou mais dos exemplos supracitados, as funções descritas nas modalidades deste pedido podem ser completamente ou parcialmente implementadas usando software, hardware, firmware ou qualquer combinação dos mesmos. Quando software é usado para implementar as modalidades, as modalidades podem ser implementadas completamente ou parcialmente em uma forma de um produto de programa de computador. O produto de programa de computador inclui uma ou mais instruções de computador. Quando as instruções de programa de computador são carregadas e executadas em um computador, os procedimentos ou funções de acordo com as modalidades deste pedido são completamente ou parcialmente gerados. O computador pode ser um computador de propósito geral, um computador dedicado, uma rede de computadores, ou um outro aparelho programável. A instrução de computador pode ser armazenada em uma mídia de armazenamento legível por computador, ou pode ser transmitida a partir de uma mídia de armazenamento legível por computador para uma outra mídia de armazenamento legível por computador. Por exemplo, a instrução de computador pode ser transmitida a partir de um site da Web, um computador, um servidor ou um centro de dados para um outro site da Web, um outro computador, um outro servidor ou um outro centro de dados por fio (por exemplo, um cabo coaxial, uma fibra óptica, ou uma linha de assinante digital (Digital Subscriber Line, DSL)) ou sem fio (por exemplo, infravermelho, rádio ou micro- onda). A mídia de armazenamento legível por computador pode ser qualquer mídia utilizável acessível por um computador, ou um dispositivo de armazenamento de dados, tal como um servidor ou um centro de dados, integrando uma ou mais mídias utilizáveis. A mídia utilizável pode ser uma mídia magnética (por exemplo, um disquete, um disco rígido ou uma fita magnética), uma mídia óptica (por exemplo, um disco de vídeo digital (Digital Video Disc, DVD)), uma mídia semicondutora (por exemplo, um disco de estado sólido (Solid State Disk, SSD) ou semelhantes.
[0245] Os objetivos, soluções técnicas, e efeitos benéficos das modalidades deste pedido são descritos adicionalmente de modo mais detalhado nas implementações específicas supracitadas. Deve ser entendido que as descrições supracitadas são apenas implementações específicas das modalidades deste pedido, mas não se destinam a limitar o escopo de proteção das modalidades deste pedido. Qualquer modificação, substituição equivalente, ou aperfeiçoamento feitos com base nas soluções técnicas nas modalidades deste pedido estarão abrangidos pelo escopo de proteção das modalidades deste pedido.

Claims (47)

REIVINDICAÇÕES
1. Método de acionamento de autenticação de rede, CARACTERIZADO pelo fato de que o método compreende: receber (301), por um primeiro dispositivo de rede, uma primeira mensagem a partir de um terminal, em que a primeira mensagem porta primeiras informações de identidade, informações de identificador e informações de roteamento, as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal com base em uma chave pública, e as informações de identificador são usadas para identificar se as primeiras informações de identidade indicam uma maneira de criptografia das primeiras informações de identidade; as informações de roteamento compreendem primeiras informações de roteamento que indicam uma rede doméstica do terminal e segundas informações de roteamento que indicam uma entidade de função descriptografando as primeiras informações de identidade; determinar, pelo primeiro dispositivo de rede, uma primeira entidade de função de segurança dentro da rede doméstica do terminal de acordo com as primeiras informações de roteamento; e enviar (302), pelo primeiro dispositivo de rede, uma segunda mensagem para a primeira entidade de função de segurança, em que a segunda mensagem é usada para acionar autenticação para o terminal, e a segunda mensagem porta as informações de identificador, primeiras informações de identidade e as segundas informações de roteamento.
2. Método, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que o método compreende adicionalmente: receber, pelo primeiro dispositivo de rede, segundas informações de identidade a partir da primeira entidade de função de segurança; em que as segundas informações de identidade são descriptografadas a partir das primeiras informações.
3. Método, de acordo com a reivindicação 2, CARACTERIZADO pelo fato de que o recebimento de segundas informações de identidade a partir da primeira entidade de função de segurança compreende: receber, pelo primeiro dispositivo de rede, uma terceira mensagem a partir da primeira entidade de função de segurança; em que a terceira mensagem compreende as segundas informações de identidade e uma mensagem de sucesso de autenticação.
4. Método, de acordo com a reivindicação 3, em que a mensagem de sucesso de autenticação é mensagem de sucesso EAP.
5. Método, de acordo com a reivindicação 3 ou 4, CARACTERIZADO pelo fato de que antes do recebimento das segundas informações de identidade a partir da primeira entidade de função de segurança, o método compreende adicionalmente: receber, pelo primeiro dispositivo de rede, um vetor de autenticação a partir da primeira entidade de função de segurança; e realizar, pelo primeiro dispositivo de rede, autenticação para o terminal com base no vetor de autenticação.
6. Método, de acordo com qualquer uma das reivindicações 1 a 5, CARACTERIZADO pelo fato de que a identidade permanente do terminal é uma identidade de assinante móvel internacional (IMSI) do terminal, e a IMSI contém um número de identificação de assinante móvel (MSIN) e as primeiras informações de roteamento; em que as informações de identidade são o MSIN.
7. Método, de acordo com qualquer uma das reivindicações 1 a 6, CARACTERIZADO pelo fato de que a primeira mensagem é uma mensagem de solicitação de registro, e a segunda mensagem é uma mensagem de solicitação de autenticação.
8. Método, de acordo com qualquer uma das reivindicações 1 a 7, CARACTERIZADO pelo fato de que o primeiro dispositivo de rede é uma entidade de função de âncora de segurança (SEAF) ou uma entidade de função que combina uma entidade de gerenciamento de acesso e mobilidade (AMF) e uma entidade SEAF, a primeira entidade de função de segurança é uma entidade de função de servidor de autenticação (AUSF), e o segundo dispositivo de rede é uma entidade de gerenciamento de dados unificada (UDM) ou uma entidade de função de repositório de autenticação e processamento (ARPF).
9. Método para acionamento de autenticação, CARACTERIZADO pelo fato de que o método compreende: receber (302), pela primeira entidade de função de segurança, uma segunda mensagem a partir de um primeiro dispositivo de rede; em que a segunda mensagem é usada para acionar um processo de autenticação para um terminal, a segunda mensagem porta primeiras informações de identidade, informações de identificador e segundas informações de roteamento; as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal com base em uma chave pública, as informações de identificador indicam uma maneira de criptografia das primeiras informações de identidade; e as segundas informações de roteamento são usadas para determinar uma entidade de função descriptografando as primeiras informações de identidade; determinar, pela primeira entidade de função de segurança de acordo com as segundas informações de roteamento, um segundo dispositivo de rede; enviar (702), pela primeira entidade de função de segurança, as primeiras informações de identidade e as informações de identificador para o segundo dispositivo de rede; receber (704), pela primeira entidade de função de segurança, segundas informações de identidade e um vetor de autenticação a partir do segundo dispositivo de rede; em que as segundas informações de identidade são descriptografadas a partir das primeiras informações de identidade; e o vetor de autenticação é obtido de acordo com as segundas informações de identidade; enviar, pela primeira entidade de função de segurança, as segundas informações de identidade para o primeiro dispositivo de rede quando a autenticação para o terminal tiver sucesso.
10. Método, de acordo com a reivindicação 9, CARACTERIZADO pelo fato de que o envio das segundas informações de identidade para o primeiro dispositivo de rede quando a autenticação para o terminal tiver sucesso compreende: realizar, pelo primeira entidade de função de segurança, autenticação para o terminal com base no vetor de autenticação; enviar, pela entidade de função de segurança, uma terceira mensagem para o primeiro dispositivo de rede após autenticação para o terminal ter sucesso, em que a terceira mensagem porta as segundas informações de identidade e uma mensagem de sucesso de autenticação.
11. Método, de acordo com a reivindicação 10, CARACTERIZADO pelo fato de que a mensagem de sucesso de autenticação é mensagem de sucesso EAP.
12. Método, de acordo com qualquer uma das reivindicações 9 a 11, CARACTERIZADO pelo fato de que a identidade permanente do terminal é uma identidade de assinante móvel internacional (IMSI) do terminal, e a IMSI contém um número de identificação de assinante móvel (MSIN) e as primeiras informações de roteamento; em que as informações de identidade são o MSIN.
13. Método, de acordo com qualquer uma das reivindicações 9 a 12, CARACTERIZADO pelo fato de que a primeira entidade de função de segurança é uma entidade de função de servidor de autenticação (AUSF); o primeiro dispositivo de rede é uma entidade de função de âncora de segurança (SEAF) ou uma entidade de função que combina uma entidade de gerenciamento de acesso e mobilidade (AMF) e uma entidade SEAF, e o segundo dispositivo de rede é uma entidade de gerenciamento de dados unificada (UDM).
14. Método para acionamento de autenticação, CARACTERIZADO pelo fato de que o método compreende: obter primeiras informações de identidade criptografando-se informações de identidade em uma identidade permanente de um terminal usando uma chave pública; enviar (301) primeira mensagem para um primeiro dispositivo de rede; em que a primeira mensagem porta as primeiras informações de identidade, informações de identificador e informações de roteamento, as informações de identificador indicam uma maneira de criptografia das primeiras informações de identidade, e as informações de roteamento compreendem primeiras informações de roteamento que indicam rede doméstica do terminal e segundas informações de roteamento que indicam um dispositivo usado para descriptografar as primeiras informações de identidade.
15. Método, de acordo com a reivindicação 14, CARACTERIZADO pelo fato de que a identidade permanente do terminal é uma identidade de assinante móvel internacional (IMSI) do terminal, e a IMSI contém um número de identificação de assinante móvel (MSIN) e as primeiras informações de roteamento; em que as informações de identidade são o MSIN.
16. Método, de acordo com a reivindicação 14 ou 15, CARACTERIZADO pelo fato de que a chave pública é armazenada no terminal ou em um cartão para armazenamento de uma chave de longo prazo no terminal.
17. Método, de acordo com a reivindicação 16, CARACTERIZADO pelo fato de que o catão é um módulo de identidade de assinante universal (USIM) do terminal.
18. Método, de acordo com qualquer uma das reivindicações 14 a 17, CARACTERIZADO pelo fato de que a primeira mensagem é uma mensagem de solicitação de registro.
19. Método, de acordo com qualquer uma das reivindicações 14 a 17, CARACTERIZADO pelo fato de que o primeiro dispositivo de rede é uma entidade de função de âncora de segurança (SEAF) ou uma entidade de função que combina uma entidade de gerenciamento de acesso e mobilidade (AMF) e uma entidade SEAF.
20. Aparelho para acionamento de autenticação de rede, CARACTERIZADO pelo fato de que o aparelho compreende um módulo de processamento (802) e um módulo de comunicações (803), em que o módulo de processamento (802) é configurado para: receber, usando o módulo de comunicações (803), uma primeira mensagem a partir de um terminal, em que a primeira mensagem porta primeiras informações de identidade, informações de identificador e informações de roteamento, as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal com base em uma chave pública, e as informações de identificador são usadas para identificar se as primeiras informações de identidade indicam uma maneira de criptografia das primeiras informações de identidade; as informações de roteamento compreendem primeiras informações de roteamento que indicam uma rede doméstica do terminal e segundas informações de roteamento que indicam uma entidade de função descriptografando as primeiras informações de identidade; determinar uma primeira entidade de função de segurança dentro da rede doméstica do terminal de acordo com as primeiras informações de roteamento; e enviar uma segunda mensagem para a primeira entidade de função de segurança usando o módulo de comunicações (803), em que a segunda mensagem é usada para acionar autenticação para o terminal, e a segunda mensagem porta as informações de identificador, primeiras informações de identidade e as segundas informações de roteamento.
21. Aparelho, de acordo com a reivindicação 20, CARACTERIZADO pelo fato de que o módulo de processamento (802) é configurado para receber segundas informações de identidade a partir da primeira entidade de função de segurança usando o módulo de comunicações (803); em que as segundas informações de identidade são descriptografadas a partir das primeiras informações de identidade.
22. Aparelho, de acordo com a reivindicação 21, CARACTERIZADO pelo fato de que o módulo de processamento é configurado especificamente para receber uma terceira mensagem a partir da primeira entidade de função de segurança usando o módulo de comunicações (803); em que a terceira mensagem compreende as segundas informações de identidade e uma mensagem de sucesso de autenticação.
23. Aparelho, de acordo com a reivindicação 22, CARACTERIZADO pelo fato de que a mensagem de sucesso de autenticação é mensagem de sucesso EAP.
24. Aparelho, de acordo com a reivindicação 23, CARACTERIZADO pelo fato de que o módulo de processamento (802) é configurado para receber um vetor de autenticação a partir da primeira entidade de função de segurança usando o módulo de comunicações (803) antes de receber segundas informações de identidade a partir da primeira entidade de função de segurança; e realizar autenticação para o terminal com base no vetor de autenticação.
25. Aparelho, de acordo com qualquer uma das reinvindicações 20 a 24, CARACTERIZADO pelo fato de que a identidade permanente do terminal é uma identidade de assinante móvel internacional (IMSI) do terminal, e a IMSI contém um número de identificação de assinante móvel (MSIN) e as primeiras informações de roteamento; em que as informações de identidade são o MSIN.
26. Aparelho, de acordo com qualquer uma das reivindicações 20 a 25, CARACTERIZADO pelo fato de que a primeira mensagem é uma mensagem de solicitação de registro, e a segunda mensagem é uma mensagem de solicitação de autenticação.
27. Aparelho para acionamento de autenticação de rede, CARACTERIZADO pelo fato de que o aparelho compreende um módulo de processamento (902) e um módulo de comunicações (903), em que o módulo de processamento (902) é configurado para: receber uma segunda mensagem a partir de um primeiro dispositivo de rede usando o módulo de comunicações (903); em que a segunda mensagem é usada para acionar um processo de autenticação para um terminal, a segunda mensagem porta primeiras informações de identidade, informações de identificador e segundas informações de roteamento; as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal com base em uma chave pública, as informações de identificador indicam uma maneira de criptografia das primeiras informações de identidade; e as segundas informações de roteamento são usadas para determinar uma entidade de função descriptografando as primeiras informações de identidade; determinar um segundo dispositivo de rede de acordo com as segundas informações de roteamento; enviar as primeiras informações de identidade e as informações de identificador para o segundo dispositivo de rede usando o módulo de comunicações (903); receber segundas informações de identidade e um vetor de autenticação a partir do segundo dispositivo de rede usando o módulo de comunicações (903); em que as segundas informações de identidade são descriptografadas a partir das primeiras informações identidade; e o vetor de autenticação é obtido de acordo com as segundas informações de identidade; enviar as segundas informações de identidade para o primeiro dispositivo de rede usando o módulo de comunicações (903) quando a autenticação para o terminal tiver sucesso.
28. Aparelho, de acordo com a reivindicação 27, CARACTERIZADO pelo fato de que o módulo de processamento (902) configurado para enviar as segundas informações de identidade para o primeiro dispositivo de rede usando o módulo de comunicações (903) quando a autenticação para o terminal tiver sucesso compreende: realizar autenticação para o terminal com base no vetor de autenticação; enviar uma terceira mensagem para o primeiro dispositivo de rede usando o módulo de comunicações (903) após autenticação para o terminal ter sucesso, em que a terceira mensagem porta as segundas informações de identidade e uma mensagem de sucesso de autenticação.
29. Aparelho, de acordo com a reivindicação 28, CARACTERIZADO pelo fato de que a mensagem de sucesso de autenticação é mensagem de sucesso EAP.
30. Aparelho, de acordo com qualquer uma das reinvindicações 27 a
29, CARACTERIZADO pelo fato de que a identidade permanente do terminal é uma identidade de assinante móvel internacional (IMSI) do terminal, e a IMSI contém um número de identificação de assinante móvel (MSIN) e as primeiras informações de roteamento; em que as informações de identidade são o MSIN.
31. Aparelho, de acordo com qualquer uma das reinvindicações 27 a 30, CARACTERIZADO pelo fato de que o aparelho é uma entidade de função de servidor de autenticação (AUSF); o primeiro dispositivo de rede é uma entidade de função de âncora de segurança (SEAF) ou uma entidade de função que combina uma entidade de gerenciamento de acesso e mobilidade (AMF) e uma entidade SEAF, e o segundo dispositivo de rede é uma entidade de gerenciamento de dados unificada (UDM).
32. Aparelho para acionamento de autenticação de rede, CARACTERIZADO pelo fato de que o aparelho compreende um módulo de processamento e um módulo de comunicações, em que o módulo de processamento é configurado para: obter primeiras informações de identidade criptografando-se informações de identidade em uma identidade permanente de um terminal usando uma chave pública; e enviar primeira mensagem para um primeiro dispositivo de rede usando o módulo de comunicações; em que a primeira mensagem porta as primeiras informações de identidade, informações de identificador e informações de roteamento, as informações de identificador indicam uma maneira de criptografia das primeiras informações de identidade, e as informações de roteamento compreendem primeiras informações de roteamento que indicam rede doméstica do terminal e segundas informações de roteamento que indicam um dispositivo usado para descriptografar as primeiras informações de identidade.
33. Aparelho, de acordo com a reivindicação 32, CARACTERIZADO pelo fato de que a identidade permanente do terminal é uma identidade de assinante móvel internacional (IMSI) do terminal, e a IMSI contém um número de identificação de assinante móvel (MSIN) e as primeiras informações de roteamento; em que as informações de identidade são o MSIN.
34. Aparelho, de acordo com a reivindicação 32 ou 33, CARACTERIZADO pelo fato de que a chave pública é armazenada no terminal ou em um cartão para armazenamento de uma chave de longo prazo no terminal.
35. Aparelho, de acordo com a reivindicação 34, CARACTERIZADO pelo fato de que o cartão é um módulo de identidade de assinante universal (USIM) do terminal.
36. Aparelho, de acordo com qualquer uma das reivindicações 32 a 35, CARACTERIZADO pelo fato de que a primeira mensagem é uma mensagem de solicitação de registro.
37. Aparelho, de acordo com qualquer uma das reivindicações 32 a 36, CARACTERIZADO pelo fato de que o primeiro dispositivo de rede é uma entidade de função de âncora de segurança (SEAF) ou uma entidade de função que combina uma entidade de gerenciamento de acesso e mobilidade (AMF) e uma entidade SEAF.
38. Aparelho, compreendendo uma memória e um processador acoplado à memória, CARACTERIZADO pelo fato de que a memória armazena instruções de programa, e quando o processador executa as instruções de programa, o aparelho é habilitado a realizar qualquer uma das reivindicações 1 a 19.
39. Mídia de armazenamento legível por computador, CARACTERIZADA pelo fato de que compreende uma instrução, em que quando a instrução é rodada em um computador, o computador é levado a realizar o método conforme definido em qualquer uma das reivindicações 1 a 19.
40. Sistema para acionamento de autenticação, CARACTERIZADO pelo fato de que compreende um primeiro dispositivo de rede e uma primeira entidade de função de segurança; em que o primeiro dispositivo de rede é configurado para: receber uma primeira mensagem a partir de um terminal; em que a primeira mensagem porta primeiras informações de identidade, informações de identificador e informações de roteamento; as primeiras informações de identidade são obtidas pelo terminal criptografando-se informações de identidade em uma identidade permanente do terminal com base em uma chave pública, as informações de identificador indicam uma maneira de criptografia das primeiras informações de identidade, e as informações de roteamento compreendem primeiras informações de roteamento e segundas informações de roteamento; determinar a primeira entidade de função de segurança dentro da rede doméstica do terminal de acordo com as primeiras informações de roteamento; enviar uma segunda mensagem para a primeira entidade de função de segurança, a segunda mensagem é usada para acionar autenticação para o terminal, e a segunda mensagem porta as primeiras informações de identidade, as informações de identificador e as segundas informações de roteamento; em que a primeira entidade de função de segurança é configurada para: receber a segunda mensagem a partir do primeiro dispositivo de rede; determinar um segundo dispositivo de rede de acordo com as segundas informações de roteamento; enviar as primeiras informações de identidade e as informações de identificador para o segundo dispositivo de rede; receber as segundas informações de identidade e um vetor de autenticação a partir do segundo dispositivo de rede; em que as segundas informações de identidade são descriptografadas a partir das primeiras informações de identidade; o vetor de autenticação é obtido de acordo com as segundas informações de identidade; enviar as segundas informações de identidade para o primeiro dispositivo de rede quando a autenticação para o terminar tiver sucesso.
41. Sistema, de acordo com a reivindicação 40, CARACTERIZADO pelo fato de que o sistema compreende adicionalmente o segundo dispositivo de rede; o segundo dispositivo de rede é configurado para: receber as primeiras informações de identidade e as informações de identificador a partir da primeira entidade de função de segurança; descriptografar as primeiras informações de identidade com base em uma chave privada e nas informações de identificador para obter as segundas informações de identidade; determinar o vetor de autenticação de acordo com as segundas informações de identidade; enviar as segundas informações de identidade e o vetor de autenticação para a primeira entidade de função de segurança.
42. Sistema, de acordo com a reivindicação 40 ou 41, em que a primeira entidade de função de segurança configurada para enviar as segundas informações de identidade para o primeiro dispositivo de rede no caso de a autenticação para o terminal ter sucesso compreende: realizar autenticação para o terminal com base no vetor de autenticação; enviar uma terceira mensagem para o primeiro dispositivo de rede após autenticação para o terminal ter sucesso, em que a terceira mensagem porta as segundas informações de identidade e uma mensagem de sucesso de autenticação.
43. Sistema, de acordo com a reivindicação 42, em que a mensagem de sucesso de autenticação é mensagem de sucesso EAP.
44. Sistema, de acordo com qualquer uma das reivindicações 40 a 43, em que o sistema compreende adicionalmente o terminal; o terminal é configurado para enviar a primeira mensagem para o primeiro dispositivo de rede.
45. Sistema, de acordo com qualquer uma das reivindicações 40 a 44, em que a primeira entidade de função de segurança é uma entidade de função de servidor de autenticação (AUSF), o primeiro dispositivo de rede é uma entidade de função de âncora de segurança (SEAF) ou uma entidade de função que combina uma entidade de gerenciamento de acesso e mobilidade (AMF) e uma entidade SEAF, e o segundo dispositivo de rede é uma entidade de gerenciamento de dados unificada (UDM).
46. Sistema, de acordo com qualquer uma das reivindicações 40 a 45, em que a identidade permanente do terminal é uma identidade de assinante móvel internacional (IMSI) do terminal, e a IMSI contém um número de identificação de assinante móvel (MSIN) e as primeiras informações de roteamento; em que as informações de identidade são o MSIN.
47. Sistema, de acordo com qualquer uma das reivindicações 40 a 46, em que a primeira mensagem é uma mensagem de solicitação de registro, e a segunda mensagem é uma mensagem de solicitação de autenticação.
BR112020002515-1A 2017-08-07 2018-08-07 método de acionamento de autenticação de rede e dispositivo relacionado BR112020002515A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201710667037.3A CN109391942A (zh) 2017-08-07 2017-08-07 触发网络鉴权的方法及相关设备
CN201710667037.3 2017-08-07
PCT/CN2018/099197 WO2019029531A1 (zh) 2017-08-07 2018-08-07 触发网络鉴权的方法及相关设备

Publications (1)

Publication Number Publication Date
BR112020002515A2 true BR112020002515A2 (pt) 2020-08-04

Family

ID=65272731

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112020002515-1A BR112020002515A2 (pt) 2017-08-07 2018-08-07 método de acionamento de autenticação de rede e dispositivo relacionado

Country Status (4)

Country Link
US (1) US10798082B2 (pt)
CN (2) CN109922474B (pt)
BR (1) BR112020002515A2 (pt)
WO (1) WO2019029531A1 (pt)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021056142A1 (zh) * 2019-09-23 2021-04-01 Oppo广东移动通信有限公司 无线通信的方法和设备
CN112825498B (zh) * 2019-11-01 2022-08-12 中国移动通信有限公司研究院 一种认证向量的生成方法、获取方法及设备
CN112788374B (zh) * 2019-11-05 2023-02-28 腾讯科技(深圳)有限公司 一种信息处理方法、装置、设备及存储介质
CN111741467B (zh) * 2020-06-19 2023-04-18 中国联合网络通信集团有限公司 一种鉴权方法及装置
CN114079921B (zh) * 2020-08-04 2023-10-03 中国电信股份有限公司 会话密钥的生成方法、锚点功能网元以及系统
CN114554489A (zh) * 2020-11-26 2022-05-27 上海华为技术有限公司 一种鉴权方法以及相关设备
CN115915128A (zh) * 2021-09-30 2023-04-04 华为技术有限公司 一种主鉴权方法及装置
CN115175183B (zh) * 2022-05-09 2023-09-19 中移互联网有限公司 基于5g消息的鉴权方法及鉴权装置
CN115801448A (zh) * 2023-01-09 2023-03-14 北京中科网威信息技术有限公司 数据通信方法及系统

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100589381C (zh) * 2004-12-14 2010-02-10 中兴通讯股份有限公司 一种通信系统中用户身份保密的方法
JP2010527549A (ja) * 2007-05-16 2010-08-12 パナソニック株式会社 ネットワーク・ベースおよびホスト・ベース混合型のモビリティ管理における方法
EP2200251A1 (en) * 2008-12-19 2010-06-23 BRITISH TELECOMMUNICATIONS public limited company System for web-site verification
KR101683883B1 (ko) * 2009-12-31 2016-12-08 삼성전자주식회사 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템
CN102131188B (zh) 2010-09-01 2013-12-04 华为技术有限公司 用户身份信息传输的方法、用户设备、网络侧设备及系统
CN102026178B (zh) * 2010-12-31 2013-06-12 成都三零瑞通移动通信有限公司 一种基于公钥机制的用户身份保护方法
CN104270737B (zh) * 2014-10-17 2018-07-03 中国联合网络通信集团有限公司 Imsi的保护方法及装置
CN104754581B (zh) * 2015-03-24 2018-01-19 河海大学 一种基于公钥密码体制的lte无线网络的安全认证方法
CN105848136A (zh) * 2016-04-22 2016-08-10 努比亚技术有限公司 一种信息获取方法和装置
CN106685906B (zh) * 2016-06-29 2018-10-30 腾讯科技(深圳)有限公司 鉴权处理方法、节点及系统
BR112019014670A2 (pt) * 2017-01-27 2020-05-26 Ericsson Telefon Ab L M autenticação secundária de um equipamento de usuário
AU2018255075B2 (en) * 2017-04-19 2020-02-06 Lg Electronics Inc. Method for processing PDU session establishment procedure and AMF node
CN117202199A (zh) * 2017-06-16 2023-12-08 摩托罗拉移动有限责任公司 报告监视的参数信息
DK3659314T3 (da) * 2017-07-25 2021-07-05 Ericsson Telefon Ab L M Abonnementskjult identifikator
US10574462B2 (en) * 2017-07-29 2020-02-25 Nokia Technologies Oy Interfaces for privacy management as service or function
EP3487196B1 (en) * 2017-11-16 2023-08-02 Nokia Technologies Oy Privacy managing entity selection in communication system
US11284310B2 (en) * 2018-02-12 2022-03-22 Apple Inc. Single radio voice call continuity handover

Also Published As

Publication number Publication date
CN109391942A (zh) 2019-02-26
US20190253403A1 (en) 2019-08-15
US10798082B2 (en) 2020-10-06
WO2019029531A1 (zh) 2019-02-14
CN109922474A (zh) 2019-06-21
CN109922474B (zh) 2020-03-20

Similar Documents

Publication Publication Date Title
BR112020002515A2 (pt) método de acionamento de autenticação de rede e dispositivo relacionado
US11863982B2 (en) Subscriber identity privacy protection against fake base stations
EP3545702B1 (en) User identity privacy protection in public wireless local access network, wlan, access
US20230007475A1 (en) Method for Performing Verification by Using Shared Key, Method for Performing Verification by Using Public Key and Private Key, and Apparatus
ES2861269T3 (es) Aparatos y procedimientos para comunicación inalámbrica
CN109587688B (zh) 系统间移动性中的安全性
CN107018676B (zh) 用户设备与演进分组核心之间的相互认证
US8094817B2 (en) Cryptographic key management in communication networks
JP5462411B2 (ja) セキュリティ設定の同期を支援する方法および装置
BR112020001289B1 (pt) Método de implementação de segurança, aparelho relacionado e sistema
BR112020014278A2 (pt) Método e aparelho para múltiplos registros
BR112018005017B1 (pt) Aparelho e método para procedimento de mobilidade envolvendo relocação de entidade de gerenciamento de mobilidade
BR112018000640B1 (pt) Método para um dispositivo de cliente e dispositivo de cliente
BR112020006242A2 (pt) método de proteção de segurança, aparelho, e sistema
BRPI1008831B1 (pt) Método para negociação de algoritimos de criptografia e elemento de rede núcleo
US11622268B2 (en) Secure communication method and secure communications apparatus
BR112020009823A2 (pt) método de proteção de segurança, aparelho, mídia de armazenamento legível por computador e sistema
BRPI0909124B1 (pt) método e aparelhos para prover separação criptográfica multi-salto para transferências
BR112012031924B1 (pt) Método e equipamento para vincular autenticação de assinante e autenticação de dispositivo em sistemas de comunicação
BR112020013611A2 (pt) método de atualização de chave, aparelho e mídia de armazenamento legível por computador
BR112019022792A2 (pt) método de geração de chave, equipamento de usuário, aparelho, mídia de armazenamento legível por computador e sistema de comunicação
BR112019022934A2 (pt) método e aparelho de obtenção de chave, dispositivo terminal, mídia de armazenamento legível por computador, método para processamento de segurança em mobilidade de um dispositivo terminal e sistema de comunicações
WO2009152759A1 (zh) 防止网络安全失步的方法和装置
US20190274039A1 (en) Communication system, network apparatus, authentication method, communication terminal, and security apparatus
US20150381611A1 (en) Method and network node for obtaining a permanent identity of an authenticating wireless device

Legal Events

Date Code Title Description
B350 Update of information on the portal [chapter 15.35 patent gazette]
B11A Dismissal acc. art.33 of ipl - examination not requested within 36 months of filing
B11Y Definitive dismissal - extension of time limit for request of examination expired [chapter 11.1.1 patent gazette]