BR112020026940A2 - Manipulação de falha de acesso não 3gpp a 5gcn não sendo permitido - Google Patents

Manipulação de falha de acesso não 3gpp a 5gcn não sendo permitido Download PDF

Info

Publication number
BR112020026940A2
BR112020026940A2 BR112020026940-9A BR112020026940A BR112020026940A2 BR 112020026940 A2 BR112020026940 A2 BR 112020026940A2 BR 112020026940 A BR112020026940 A BR 112020026940A BR 112020026940 A2 BR112020026940 A2 BR 112020026940A2
Authority
BR
Brazil
Prior art keywords
message
network
eap
5gcn
request
Prior art date
Application number
BR112020026940-9A
Other languages
English (en)
Inventor
Jennifer Liu
Original Assignee
Nokia Solutions And Networks Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Solutions And Networks Oy filed Critical Nokia Solutions And Networks Oy
Publication of BR112020026940A2 publication Critical patent/BR112020026940A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/18Management of setup rejection or failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

“manipulação de falha de acesso não 3gpp a 5gcn não sendo permitido''. uma função de interoperação em um sistema de rede de núcleo, tal como uma rede de núcleo 5g, tenta estabelecer uma associação segura com o equipamento de usuário (ue) em uma rede de acesso não confiável. quando a associação segura não é aceita pela rede de núcleo 5g, o ue recebe da rede de núcleo uma resposta incluindo um tipo de mensagem indicando que o acesso não 3gpp à rede de núcleo 5g não é permitido. ao receber a mensagem de resposta, o ue termina a sessão enviando uma mensagem 5g-stop formatada em uma resposta de protocolo de autenticação extensível (extensible authentication protocol - eap). a mensagem eap-response/5g-stop inclui um campo de id de mensagem com um valor de 5g-stop.

Description

“MANIPULAÇÃO DE FALHA DE ACESSO NÃO 3GPP A 5GCN NÃO SENDO PERMITIDO”
REFERÊNCIA CRUZADA A PEDIDOS RELACIONADOS
[0001] O presente pedido reivindica prioridade de acordo com 35 U.S.C. §119 do Pedido Provisório US Nº 62/692.722 intitulado, “Method and Apparatus For Handling Authentication Failure During Security Association Establishment”, depositado em 30 de junho de 2018 e por meio deste expressamente incorporado por referência aqui.
CAMPO TÉCNICO
[0002] Este pedido se refere geralmente a redes de acesso e, mais especificamente, a estabelecimento de sessão por equipamento de usuário em uma rede de acesso quando estabelecimento de associação de segurança não é aceito.
DESCRIÇÃO DA TÉCNICA RELACIONADA
[0003] As declarações nesta seção fornecem uma descrição da técnica relacionada e não são admissões de técnica anterior. Equipamentos de usuário (UE), tal como smartphones, tablets inteligentes, laptops, computadores, relógios inteligentes, etc., frequentemente incluem capacidade para conectividade de rede de área local sem fio (WLAN) (tal como conectividade WLAN compatível com IEEE 802.11x) e conectividade de rede de acesso de rádio (tal como tecnologias totalmente ou parcialmente compatíveis com o conjunto de padrões do projeto de parceria de 3a geração (3GPP) incluindo EVDO, UMTS, HSPA e LTE). O UE pode, assim, conectar à rede de núcleo de pacote evolvida (EPC) 3GPP usando dois tipos de tecnologias de acesso compostos de redes de acesso 3GPP e redes de acesso não 3GPP.
[0004] Em geral, redes de acesso 3GPP são totalmente ou parcialmente compatíveis com as tecnologias especificadas pelo conjunto de padrões 3GPP que inclui, por exemplo, GPRS, UMTS, EDGE, HSPA, LTE e LTE Advanced. Redes de acesso não 3GPP são totalmente ou parcialmente compatíveis com tecnologias que não são especificadas pelo conjunto de padrões 3GPP. Elas incluem tecnologias como cdma2000, WLAN (tal como WLAN compatível com IEEE 802.11x) ou redes fixas.
[0005] O conjunto de padrões 3GPP especifica tecnologias de acesso “não 3GPP” com diferentes mecanismos de segurança: redes de acesso não confiáveis e redes de acesso confiáveis. Redes de acesso não confiáveis incluem redes de acesso que podem representar um risco de segurança mais alto (por exemplo, uma WLAN pública ou rede de acesso femtocell). Redes de acesso confiáveis incluem redes de acesso que a operadora de rede considera ter um nível de confiança de um ponto de vista de segurança e podem interagir diretamente com a rede EPC.
[0006] No novo conjunto de padrões 5G, uma Rede de Acesso Não 3GPP (N3AN) é tratada como uma Rede de Acesso 5G e parte do Sistema 5G (5GS). Para acesso não 3GPP não confiável, uma Função de Interoperação não 3GPP (N3IWF) fornece terminação de interfaces de sinalização para plano de controle e plano de usuário, respectivamente, o mesmo que um nó NG-RAN. Assim, UEs capazes de 5G podem acessar a rede de núcleo 5G (5GCN) conectando a uma Rede de Acesso não 3GPP como uma rede de acesso 5G via a N3IWF. A N3IWF retransmite sinalização de plano de controle de uplink e downlink entre o UE e a 5GCN. Além disso, a N3IWF fornece conexão de plano de usuário entre o UE e a 5GCN para sessões através de redes de acesso não 3GPP.
[0007] Atualmente, os procedimentos de sinalização entre o UE e a N3IWF são especificados quando certo estabelecimento de autenticação de segurança é aceito pela rede. No entanto, não há método disponível para tratar o caso quando o estabelecimento de associação de segurança não é aceito pela rede. Da mesma forma, para conexões de plano de usuário, um método precisa ser especificado para tratar o caso quando o estabelecimento de associação de segurança de plano de usuário não é aceito pela rede.
[0008] Portanto, existe uma necessidade de fornecer um sistema e método que suporte o tratamento de falhas durante estabelecimento de associação de segurança para acesso a 5GCN através de redes de acesso não 3GPP. Outras necessidades e benefícios também são fornecidos com modalidades aqui descritas.
SUMÁRIO
[0009] O que vem abaixo apresenta um sumário da matéria divulgada a fim de proporcionar uma compreensão básica de alguns aspectos da matéria divulgada. Este sumário não é uma visão geral exaustiva da matéria divulgada. Ele não se destina a identificar elementos chaves ou críticos da matéria divulgada ou delinear o escopo da matéria divulgada. Seu objetivo único é apresentar alguns conceitos de uma forma simplificada como um prelúdio para a descrição mais detalhada que é apresentada mais tarde.
[0010] Em um aspecto, um nó de função de interoperação para gerenciar uma conexão de rede através de uma rede de acesso não confiável a uma rede de núcleo inclui uma primeira interface de rede configurada para comunicar com equipamento de usuário (UE) através da rede de acesso não confiável e um segunda interface de rede configurada para comunicar com um ou mais nós na rede de núcleo. O nó de função de interoperação inclui um dispositivo de processamento configurado para processar uma solicitação para estabelecimento de conexão com a rede de núcleo do UE na rede de acesso não confiável e gerar uma solicitação para a rede de núcleo; determinar se o estabelecimento de conexão não é aceito pela rede de núcleo; e gerar uma mensagem de resposta para o UE, em que a mensagem de resposta inclui um erro indicando que o estabelecimento de conexão através da rede de acesso não confiável não é permitido pela rede de núcleo.
[0011] Em outro aspecto, uma função de Access and Mobility Management (AMF) para lidar com uma solicitação de conexão de rede do nó de função de interoperação inclui uma interface de rede configurada para comunicar com um nó de função de interoperação e uma função de autenticação em uma rede de núcleo. A AMF também inclui um dispositivo de processamento configurado para processar uma solicitação para autenticação e estabelecimento de conexão segura para um UE através de uma rede de acesso não confiável; gerar uma solicitação para autenticação e verificação de assinatura para uma Authentication Server Function (AUSF); determinar que uma resposta para a autenticação e verificação de assinatura indica uma falha de autenticação; e gerar uma mensagem de resposta de autenticação e estabelecimento de conexão segura incluindo na mensagem de resposta um valor de causa indicando que acesso à rede de núcleo não é permitido através da rede de acesso não confiável.
[0012] Em outro aspecto, o equipamento de usuário (UE) inclui uma interface de rede configurada para comunicar com um nó de função de interoperação através de uma rede de acesso não confiável. O UE inclui um dispositivo de processamento configurado para gerar uma solicitação de registro para estabelecimento de sessão segura para uma rede de núcleo; processar uma mensagem de resposta do nó de função de interoperação; e determinar a partir da mensagem de resposta que o estabelecimento de conexão através da rede de acesso não confiável não é permitido pela rede de núcleo.
[0013] Em um ou mais dos aspectos acima, o dispositivo de processamento no nó de função de interoperação é configurado para receber uma solicitação de autenticação e estabelecimento de conexão segura do UE através da rede de acesso não confiável; gerar uma solicitação de autenticação e verificação de assinatura e transmitir a solicitação de autenticação e verificação de assinatura através da segunda interface para a Access and Mobility management Function (AMF); receber uma resposta para autenticação e verificação de assinatura da AMF; e gerar uma mensagem de resposta de Internet Key Exchange (IKE) para o UE com uma carga útil de NAS incluindo o erro indicando que o estabelecimento de conexão através da rede de acesso não confiável não é permitido pela rede de núcleo.
[0014] Em um ou mais dos aspectos acima, o dispositivo de processamento no nó de função de interoperação é configurado para receber uma resposta da Access and Mobility Management Function encapsulando uma mensagem de Rejeitar Registro incluindo um valor de causa 5GMM indicando acesso não 3GPP para 5GCN não permitido e gerar uma mensagem de resposta de Internet Key Exchange (IKE) com a carga útil incluindo um tipo de mensagem indicando que o estabelecimento de conexão não é aceito pela rede de núcleo.
[0015] Em um ou mais dos aspectos acima, o dispositivo de processamento no nó de função de interoperação é configurado para gerar a mensagem de resposta de Internet Key Exchange (IKE) com uma carga útil de notificação incluindo um tipo de mensagem de notificação privada indicando um motivo de falha.
[0016] Em um ou mais dos aspectos acima, o dispositivo de processamento no nó de função de interoperação é configurado para gerar a mensagem de resposta IKE gerando a mensagem de resposta IKE com uma carga útil de notificação incluindo um tipo de mensagem de notificação privada indicando que acesso não 3GPP não confiável a 5GCN não é permitido.
[0017] Em um ou mais dos aspectos acima, o dispositivo de processamento no nó de função de interoperação é configurado para transmitir a mensagem de resposta para o UE, em que a mensagem de resposta indica que o estabelecimento da conexão não é aceito pela rede de núcleo; receber uma mensagem de parada do UE; e gerar uma mensagem de falha para o UE.
[0018] Em um ou mais dos aspectos acima, o dispositivo de processamento no nó de função de interoperação é configurado para processar a mensagem de parada do UE, em que a mensagem de parada inclui um formato de mensagem 5G-Stop tendo um campo identificador de mensagem e em que o campo de identificador de mensagem inclui um identificador 5G-Stop.
[0019] Em um ou mais dos aspectos acima, a solicitação para o estabelecimento de conexão do UE na rede de acesso não confiável inclui uma mensagem de solicitação IKE para iniciar uma IPsec Security Association (SA)
com a rede de núcleo.
[0020] Em um ou mais dos aspectos acima, a rede de núcleo é uma 5GCN e a rede de acesso não confiável é uma rede de acesso não 3GPP.
[0021] Em um ou mais dos aspectos acima, o dispositivo de processamento em AMF é configurado para encapsular na mensagem de resposta uma mensagem de Registration Reject que inclui o valor de causa, em que o valor de causa inclui um valor de causa 5GMM indicando que o acesso não 3GPP a 5GCN é não permitido.
[0022] Em um ou mais dos aspectos acima, o dispositivo de processamento em AMF é configurado para gerar uma indicação de falha de Extensible Authentication Protocol (EAP) na mensagem de resposta.
[0023] Em um ou mais dos aspectos acima, o dispositivo de processamento no equipamento de usuário é configurado para gerar uma mensagem de parada indicando um fim para a solicitação de registro para estabelecimento de sessão segura para a 5GCN e transmitir a mensagem de parada através da rede de acesso não 3GPP ao nó de função de interoperação.
[0024] Em um ou mais dos aspectos acima, o dispositivo de processamento no equipamento de usuário é configurado para gerar a mensagem de parada como uma mensagem formatada de Resposta EAP incluindo um campo identificador de mensagem ajustado para 5G-Stop.
[0025] Em um ou mais dos aspectos acima, o dispositivo de processamento no equipamento de usuário é configurado para processar uma mensagem de falha EAP do nó de função de interoperação; e realizar um procedimento de deleção de associação de segurança.
[0026] Em um ou mais dos aspectos acima, o dispositivo de processamento no equipamento de usuário é configurado para tentar novamente o registro com a 5GCN gerando uma segunda solicitação de registro para estabelecimento de sessão segura para a 5GCN e determinar de uma segunda mensagem de resposta do nó de função de interoperação que o estabelecimento de conexão através da rede de acesso não confiável é bem- sucedido.
[0027] Em um ou mais dos aspectos acima, o dispositivo de processamento no equipamento de usuário é configurado para gerar a segunda solicitação de registro para o estabelecimento de sessão segura para a 5GCN com parâmetros atualizados.
[0028] Aspectos adicionais serão estabelecidos, em parte, na descrição detalhada, nas figuras e em quaisquer reivindicações que se seguem e, em parte, serão derivados da descrição detalhada. Deve ser compreendido que tanto a descrição geral anterior quanto a descrição detalhada a seguir são exemplares e explanatórias apenas e as reivindicações não são restritas às modalidades divulgadas.
BREVE DESCRIÇÃO DAS VÁRIAS VISTAS DOS DESENHOS
[0029] Algumas modalidades de aparelho e/ou métodos de acordo com modalidades da divulgação serão agora descritas a título de exemplo apenas com referência aos desenhos anexos nos quais:
[0030] FIG. 1 ilustra um diagrama de blocos esquemático de uma modalidade de tipos de redes de acesso.
[0031] FIG. 2 ilustra um diagrama de blocos esquemático de uma modalidade de uma Arquitetura de Sistema 5G para acesso não 3GPP.
[0032] FIG. 3 ilustra um diagrama de fluxo lógico ilustrando uma modalidade de um método para um UE se registrar em uma 5GCN via uma rede de acesso não 3GPP não confiável.
[0033] FIG. 4 ilustra um diagrama de fluxo lógico de uma modalidade de um método para lidar com modalidades nas quais IKE SA e estabelecimento de IPsec SA de sinalização não são aceitos.
[0034] FIG. 5 ilustra um diagrama de fluxo lógico de uma modalidade de um método de um procedimento de sessão EAP-5G após falha de autenticação devido a erros recuperáveis.
[0035] FIG. 6 ilustra um diagrama de fluxo lógico ilustrando uma modalidade de um procedimento de sessão EAP-5G de uma rejeição de registro devido a falhas de erros irrecuperáveis.
[0036] FIG. 7 ilustra um diagrama de blocos esquemático de uma modalidade de uma mensagem EAP-Response/5G-Stop.
[0037] FIG. 8 ilustra um diagrama de fluxo lógico de uma modalidade de um método para fluxo de mensagens dentre funções de rede quando IKE SA e estabelecimento de IPsec SA de sinalização para registro de UE através de acesso não 3GPP não é aceito.
[0038] FIG. 9 ilustra um diagrama de fluxo lógico de uma modalidade de um método para fluxo de mensagens dentre funções de rede quando IKE SA e estabelecimento de IPsec SA de sinalização para registro de UE através de acesso não 3GPP não é aceito devido à restrição de assinatura.
[0039] FIG. 10 ilustra um diagrama de fluxo lógico de uma modalidade de um método para fluxo de mensagens dentre funções de rede quando o estabelecimento de associação de segurança de IPsec do plano de usuário não é aceito.
[0040] FIG. 11 ilustra um diagrama de blocos esquemático de uma modalidade de um Elemento de Informação de Causa 5GMM 1100.
[0041] FIG. 12 ilustra um diagrama de blocos esquemático de uma modalidade de valores para o Elemento de Informação de Causa 5GMM.
[0042] FIG. 13 ilustra um diagrama de fluxo lógico de uma modalidade de um método da N3IWF.
[0043] FIG. 14 ilustra um diagrama de fluxo lógico de uma modalidade de um método de uma solicitação de registro para uma rede de núcleo através de uma rede de acesso não confiável com falha de autenticação devido a erros recuperáveis.
[0044] FIG. 15 ilustra um diagrama de fluxo lógico de uma modalidade de um método de uma solicitação de registro para uma rede de núcleo em uma rede de acesso não confiável com falha de autenticação devido a erros irrecuperáveis.
[0045] FIG. 16 ilustra um diagrama de blocos esquemático de uma modalidade de equipamento de usuário de exemplo.
[0046] FIG. 17 ilustra um diagrama de blocos esquemático de uma modalidade de um Nó AMF.
[0047] FIG. 18 ilustra um diagrama de blocos esquemático de uma modalidade de uma N3IWF.
DESCRIÇÃO DETALHADA
[0048] A descrição e os desenhos meramente ilustram os princípios de várias modalidades. Será assim apreciado que aqueles versados na técnica serão capazes de contemplar vários arranjos que, embora não explicitamente descritos ou mostrados neste documento, incorporam os princípios deste documento e das reivindicações e caem dentro do espírito e escopo da divulgação. Além disso, todos os exemplos recitados aqui são principalmente destinados expressamente a serem apenas para fins pedagógicos para auxiliar o leitor na compreensão dos princípios das modalidades e dos conceitos contribuídos pelos inventores para aprofundar a técnica e serão interpretados como sendo sem limitação a tais exemplos e condições especificamente recitados. Além disso, todas as declarações neste documento recitando princípios, aspectos e modalidades, bem como seus exemplos específicos da mesma, se destinam a englobar equivalentes dos mesmos.
[0049] Algumas das abreviaturas que são aqui descritas são expandidas abaixo por conveniência: 5GC 5G de Núcleo 5GCN Rede de Núcleo 5G 5GS Sistema 5G 5G-AN Rede de Acesso 5G 5GMM Gerenciamento de Mobilidade 5GS 5G-GUTI Identificador Temporário Globalmente Único 5G 5G-S-TMSI S-Identificador de Assinatura Móvel Temporária 5G
5QI Identificador de QoS 5G AMF Função de Gerenciamento de Acesso e Mobilidade AUSF Função de Servidor de Autenticação EAP Protocolo de Autenticação Extensível HPLMN Rede Móvel Terrestre Pública Doméstica IKEv2 Internet Key Exchange v2 IMSI Identidade Internacional de Assinante Móvel IMEI Identidade Internacional de Equipamento Móvel IPsec Segurança do protocolo de Internet MCM Modo Multiconexão N3IWF Função de Interoperação não 3GPP NAS Estrato de não Acesso PDN Rede de Dados de Pacote PLMN Rede Móvel Terrestre Pública QoS Qualidade de serviço SA Associação de Segurança SCM Modo de Conexão Simples UDM Gerenciamento Dados Unificado UE Equipamento de usuário UICC Placa de Circuito Integrado Universal USIM UMTS Subscriber Identity Module
[0050] Uma ou mais modalidades são descritas neste documento que fornecem um sistema e método para fornecer serviços de rede para equipamento de usuário não autenticado. Por exemplo, vários métodos são descritos para estabelecimento de sessão para um UE não autenticado em uma rede de acesso não 3GPP.
[0051] FIG. 1 ilustra um diagrama de blocos esquemático de uma modalidade de tipos de redes de acesso para uma rede de núcleo 5G (5GCN) 100 que é totalmente ou parcialmente compatível com o conjunto de padrões do 3rd Generation Partnership Project (3GPP) para o sistema 5G, tal como a
Especificação Técnica (TS) 23.501 “System Architecture for the 5G System”, Especificação Técnica (TS) 23.502 definindo procedimentos para o Sistema 5G e Especificação Técnica (TS) 23.503 definindo Política e Estrutura de Controle de Carregamento para o Sistema 5G.
[0052] A 5GCN 100 é acoplada comunicativamente a uma ou mais redes de acesso 102. Em uma modalidade, as redes de acesso 102 podem incluir uma ou mais redes de acesso 3GPP 104 ou uma ou mais redes de acesso não 3GPP 106. As redes de acesso 3GPP 104 são totalmente ou parcialmente compatíveis com tecnologias especificadas pelo conjunto de padrões 3GPP e incluem, por exemplo, GPRS, UMTS, EDGE, HSPA, LTE e LTE Advanced. As redes de acesso não 3GPP 106 são totalmente ou parcialmente compatíveis com tecnologias que não são especificadas pelo conjunto de padrões 3GPP. As redes de acesso não 3GPP 106 podem ser assim especificadas no conjunto de padrões 3GPP. As redes de acesso não 3GPP 106 podem incluir uma ou mais redes de acesso confiável não 3GPP 108 ou uma ou mais redes de acesso não confiáveis não 3GPP 110.
[0053] As redes de acesso não-3GPP confiáveis 108 são redes de área locais sem fio (WLAN) construídas por operadora ou suportadas por operadora, tal como uma rede WLAN compatível com IEEE 802.11x, com criptografia e um método de autenticação seguro. Em uma modalidade, a rede de acesso não 3GPP confiável 108 suporta as seguintes características de exemplo: autenticação baseada em 802.1x que por sua vez também requer criptografia da rede de acesso de rádio (RAN), acesso de rede baseada em 3GPP usando método EAP para autenticação e protocolos IPv4 e/ou IPv6. No entanto, uma operadora pode determinar que outros tipos de redes de acesso não 3GPP com diferentes tipos de segurança seão considerados confiáveis. As redes de acesso não 3GPP não confiáveis 110 incluem redes de acesso não 3GPP que são desconhecidas para uma operadora ou não incluem padrões de autenticação suportados. Por exemplo, uma rede de acesso não 3GPP não confiável pode incluir uma WLAN doméstica ou pública, tal como uma rede WLAN compatível com IEEE 802.11x que é aberta a WLAN pública doméstica ou outra não originada e gerenciada pela operadora.
[0054] FIG. 2 ilustra um diagrama de blocos esquemático de uma modalidade de uma Arquitetura de Sistema 5G para acesso não 3GPP. Essa arquitetura é descrita em mais detalhes no padrão técnico 3GPP TS 23.501, Versão 15 (dezembro de 2017), intitulado “System Architecture for the 5G System,” que é incorporado neste documento por referência.
[0055] Redes de acesso não 3GPP são conectadas a 5GCN 100 voa uma Função de Interoperação não 3GPP (N3IWF). O N3IWF 204 faz interface com as funções de plano de controle (CP) e plano de usuário (UP) de 5GCN 100 via interfaces N2 e N3, respectivamente. Um UE 200 estabelece um túnel de segurança de IP (IPSec) com a N3IWF 204 para fixar a 5GCN 100 através da rede de acesso não 3GPP não confiável 110. O UE 200 é autenticado e fixado a 5GCN 100 durante o procedimento de estabelecimento de túnel IPSec. Detalhes adicionais para UE 200 fixado a 5GCN 100 através de acesso não 3GPP 110 não confiável são descritos em 3GPP TS 23.502, Versão 15 (dezembro de 2017) intitulada, “Procedures for the 5G System”, que é aqui incorporada por referência.
[0056] A 5GCN 100 inclui uma Home Public Land Mobile Network or Equivalent Home PLMN (HPLMN) incluindo uma função de Gerenciamento de Acesso e Mobilidade (AMF) 202. A AMF 202 fornece a terminação da interface de plano de controle (N2) e terminação do conjunto de protocolos de NAS (N1) e criptografia e proteção de integridade de NAS. A AMF 202 também fornece gerenciamento de registro e conexão. A AMF 202 pode incluir várias funcionalidades para suportar redes de acesso não 3GPP 110. Por exemplo, a AMF 202 pode fornecer suporte de protocolos de controle de interface N2 com a N3IWF 204, bem como suporte de sinalização de NAS com um UE 200 através da N3IWF 204. Além disso, a AMF 202 pode fornecer suporte de autenticação de UEs 200 conectados através da N3IWF 204 e gerenciamento de mobilidade, autenticação e estado(s) de contexto de segurança separado(s)
de um UE 200 conectado via o acesso não 3GPP ou conectado via acessos 3GPP e não 3GPP simultaneamente. Non-Access Stratum (NAS) é um conjunto de protocolos em padrões 5G. O 5G NAS (Estrato de não Acesso) inclui procedimentos relativos a 5GMM (Gerenciamento de Mobilidade 5GS) e 5GSM (Gerenciamento de Sessão 5G) no 5GS (sistema 5G). O NAS é usado para transmitir sinalização de controle entre o Equipamento de Usuário (UE) e as funções 5GCN. Uma versão do protocolo de NAS 5G é definida em 3GPP TS 24.501: "Access-Stratum (NAS) protocol for 5G System (5GS)" Versão 1.1, 9 de maio de 2018, que é aqui incorporado por referência.
[0057] A Session Management function (SMF) 206 inclui funcionalidade de gerenciamento de sessão, por exemplo, estabelecimento, modificação e liberação de sessão, incluindo manutenção de túnel entre a UPF 208 e o nó AN. A SMF 206 também fornece ao UE alocação e gerenciamento de endereço IP (incluindo autorização opcional) e funções DHCPv4 (servidor e cliente) e DHCPv6 (servidor e cliente).
[0058] A função de plano de usuário (UPF) 208 fornece um ponto de Sessão PDU externo de interconexão à Rede de Dados e roteamento e encaminhamento de Pacotes. A UPF 208 também suporta a parte de Plano de Usuário da validação de regras de política, por exemplo, gating, redirecionamento, orientação de tráfego, etc.
[0059] A Policy Control Function (PCF) 214 suporta a uma estrutura de política unificada para governar comportamento de rede. O Unified Data Management (UDM) 212 inclui suporte para geração de Credenciais de Autenticação AKA de 3GPP, Autorização de acesso com base em dados de assinatura (por exemplo, restrições de roaming) e Gerenciamento de Registro de NF Servindo a UE (por exemplo, armazenando AMF de serviço para UE, armazenando SMF de serviço para Sessão de PDU de UE). Ele também fornece gerenciamento de SMS e assinatura. Para fornecer essa funcionalidade, o UDM 212 usa dados de assinatura (incluindo dados de autenticação) que podem ser armazenados no UDR. Outro módulo fornece função de servidor de autenticação (AUSF) 210.
[0060] A funcionalidade de N3IWF 204 no caso de acesso não 3GPP não confiável 110 inclui o suporte de estabelecimento de túnel de IPsec com o UE 200. A N3IWF 204 termina os protocolos IKEv2/IPsec com o UE 200 através de uma interface NWu e retransmite através de uma interface N2 as informações necessárias para autenticar o UE 200 e autorizar seu acesso à 5GCN 100. A N3IWF 204 fornece terminação de interfaces N2 e N3 para 5GCN 100 para plano de controle e plano de usuário, respectivamente. A N3IWF 204 retransmite sinalização de NAS (N1) de plano de controle de uplink e downlink entre o UE 200 e a AMF 202. A N3IWF 204 fornece manipulação de sinalização N2 de SMF 206 (retransmitida pela AMF 202) relativa a Sessões de PDU e QoS. A N3IWF 204 fornece ainda o estabelecimento de IPsec Security Association (IPsec SA) para suportar tráfego de sessão de PDU. A N3IWF 204 também fornece retransmissão de pacotes de plano de usuário de uplink e downlink entre o UE 200 e a UPF 208.
[0061] FIG. 3 ilustra um diagrama de fluxo lógico ilustrando uma modalidade de um método para um UE 200 se registrar em uma 5GCN 100 através de um acesso não 3GPP não confiável 110. O método inclui um Extensible Authentication Protocol (EAP) específico de fornecedor denominado "EAP-5G". EAP é definido em IETF RFC 3748: "Extensible Authentication Protocol (EAP)" datado de junho de 2004. EAP-5G é um EAP específico de fornecedor para 5GS (EAP-5G) que é usado para encapsular mensagens de NAS entre o UE 200 e a N3IWF 204. Os pacotes de EAP-5G utilizam o tipo EAP "expandido" e o Id de Fornecedor de 3GPP existente registrado em IANA sob o registro SMI Private Enterprise Code (isto é, 10415). Em uma modalidade, o EAP-5G é utilizado apenas para encapsular mensagens de NAS (não para autenticação).
[0062] Se o UE 200 precisar ser autenticado, uma autenticação mútua EAP-AKA' é executada entre o UE 200 e a AUSF 210, conforme descrito abaixo. Em procedimentos de Registro e Registro subsequente via redes de acesso não 3GPP não confiáveis 110, as mensagens de NAS são trocadas entre o UE 200 e a AMF 202.
[0063] Na etapa 1, o UE 200 conecta a uma rede de acesso não 3GPP não confiável 110 com procedimentos fora do escopo de 3GPP (tal como especificado em protocolos WLAN IEEE 802.11) e é atribuído um endereço IP. Qualquer método de autenticação não 3GPP pode ser usado, por exemplo, sem autenticação (no caso de uma WLAN gratuita), Extensible Authentication Protocol (EAP) com chave pré-compartilhada, nome de usuário/senha, etc. Quando o UE 200 decidir fixar à 5GCN 100, o UE 200 seleciona uma N3IWF 204 em uma 5G PLMN.
[0064] Na etapa 2, o UE 200 prossegue com o estabelecimento de uma IPsec Security Association (SA) com o a N3IWF 204 selecionada iniciando uma troca inicial de protocolo de troca de Chave de Internet (IKE), por exemplo, conforme descrito em IETF RFC 7296, “Internet Key Exchange Protocol Version 2 (IKEv2)” (outubro de 2014). Após a etapa 2, mensagens de IKE subsequentes são criptografadas e a integridade protegida usando a SA de IKE estabelecida nesta etapa.
[0065] Na etapa 3, o UE 200 iniciará uma troca IKE_AUTH enviando uma mensagem de solicitação IKE_AUTH. A carga útil de AUTH não está incluída na mensagem de solicitação IKE_AUTH, o que indica que a troca IKE_AUTH usa protocolos de sinalização de Extensible Authentication Protocol (EAP), por exemplo, sinalização EAP-5G (tal como EAP-AKA' descrito em IETF RFC 5448, “Improved Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA'),” 5 de março de 2018 e incorporado por referência aqui).
[0066] Na etapa 4, a N3IWF 204 responde com uma mensagem de resposta IKE_AUTH que inclui um pacote de Solicitação EAP/5G-Start. O pacote Solicitação EAP/Início 5G informa o UE 200 para iniciar uma sessão de EAP-5G, isto é, para começar a enviar mensagens de NAS encapsuladas dentro de pacotes EAP-5G.
[0067] Na etapa 5, o UE 200 gera e transmite uma solicitação de registro para a 5GCN 100, por exemplo, uma solicitação de IKE_AUTH que inclui um pacote de Resposta de EAP/NAS de 5G que inclui os parâmetros de Rede de Acesso (AN-Params) e uma mensagem de Solicitação de Registro de NAS. O UE reconhece assim o início da sessão de EAP-5G enviando o pacote de Resposta EAP/Nas de 5G que inclui, por exemplo: a) um campo NAS-PDU que contém uma mensagem de NAS, por exemplo, uma mensagem REGISTRATION REQUEST; e b) um campo de parâmetros AN que contém parâmetros de rede de acesso, tal como SUPI ou 5G-GUTI, a Rede Selecionada e S-NSSAI etc. (ver 3GPP TS 23.502). Os parâmetros AN são usados pela N3IWF 204 para selecionar uma AMF 202 na 5GCN 100.
[0068] Na etapa 6a, a N3IWF 204 seleciona uma AMF 202 na 5GCN 100 com base nos parâmetros de AN recebidos e na política local. A N3IWF 204, então, encaminha a Solicitação de Registro recebida do UE 200 para a AMF 202 selecionada na etapa 6b. A N3IWF 204, na recepção de mensagens de NAS da AMF 202, inclui a mensagem de NAS dentro de uma mensagem de EAP-Request/NAS de 5G para o UE 200. A mensagem de EAP- Request/NAS de 5G inclui um campo NAS-PDU que contém uma mensagem de NAS. Outras mensagens de NAS entre o UE 200 e a AMF 202, através da N3IWF 204, são inseridas em campos NAS-PDU de uma mensagem de Resposta de EAP/NAS de 5G (direção UE para N3IWF) e EAP-Request/NAS de 5G (direção N3IWF para UE).
[0069] Nas etapas 7a e 7b, a AMF 202 selecionada pode decidir solicitar a identidade permanente do UE (SUPI) enviando uma mensagem de Solicitação de Identidade de NAS para o UE 200 via a N3IWF 204. Essa mensagem de NAS e todas as mensagens de NAS subsequentes são enviadas para o UE 200 pela N3IWF 204 encapsulada dentro de pacotes EAP/NAS de 5G.
[0070] Na etapa 8, a AMF 202 pode decidir autenticar o UE 200. Nesse caso, a AMF 202 selecionará uma AUSF 210 usando o SUPI ou o SUPI criptografado do UE 200 e enviará uma solicitação de chave para a AUSF 210 selecionada na etapa 8a. A AUSF 210 pode iniciar uma autenticação de EAP- AKA na etapa 8b, conforme especificado em TS 3GPP TS 33.501: "Security Architecture and Procedures for 5G System" (versão 15, 26 de março de 2018), que é incorporado por referência neste documento. Os pacotes de desafio EAP-AKA' são encapsulados dentro de mensagens de autenticação de NAS para a N3IWF na etapa 8c e as mensagens de autenticação de NAS são encapsuladas dentro de pacotes EAP/NAS de 5G na etapa 8d. O UE 200 gera uma resposta de autenticação para o desafio EAP-AKA na etapa 8e que é encaminhada pela N3IWF 204 para a AMF na etapa 8f. A AUSF 210, então, recebe a resposta de autenticação da AMF na etapa 8g.
[0071] Após uma autenticação bem-sucedida do UE 200, na etapa 8h, a AUSF 210 envia a chave âncora (chave SEAF) para AMF 202, que é usada pela AMF 202 para derivar chaves de segurança de NAS e uma chave de segurança para N3IWF 204 (chave N3IWF). O UE 200 também deriva a chave âncora (chave SEAF) e dessa chave ele deriva as chaves de segurança NAS e a chave de segurança para N3IWF 204 (chave N3IWF). A chave N3IWF é usada pelo UE 200 e pela N3IWF 204 para estabelecer a associação de segurança IPsec (na etapa 11). A AUSF 210 inclui o SUPI (não criptografado), se na etapa 8a a AMF 202 fornecer a AUSF 210 um SUPI criptografado.
[0072] Nas etapas 9a e 9b, a AMF 202 envia uma solicitação de Security Mode Command (SMC) para o UE 200 ativar a segurança de NAS. Essa solicitação é enviada primeiro para a N3IWF 204 (em uma mensagem N2) junto com a chave de N3IWF. Se uma autenticação de EAP-AKA foi executada com sucesso na etapa 8, então, na etapa 9a a AMF 202 encapsula o EAP Success recebido de AUSF 210 dentro da mensagem de Solicitação de SMC.
[0073] Na etapa 10a, o UE 200 completa a autenticação de EAP- AKA (se iniciada na etapa 8) e cria um contexto de segurança de NAS e uma chave de N3IWF. Após a chave N3IWF ser criada no UE 200, o UE 200 solicita a conclusão da sessão EAP-5G enviando um pacote EAP-Response / 5G- Complete. Isso dispara a N3IWF 204 para enviar um EAP Success para o UE 200 na etapa 10b, assumindo que a N3IWF 204 também recebeu a chave de N3IWF de AMF 202. Isso conclui a sessão de EAP-5G e nenhum pacote de EAP-5G adicional pode ser trocado. Se a N3IWF 204 não recebeu a chave de N3IWF de AMF 202, a N3IWF 204 responde com uma falha de EAP.
[0074] Na etapa 11, a SA de IPsec é estabelecida entre o UE 200 e a N3IWF 204 usando a chave de N3IWF comum que foi criada no UE 200 e foi recebida pela N3IWF 204 na etapa 9a. Essa SA de IPsec é conhecida como a "SA de IPsec de sinalização". Após o estabelecimento da SA de IPsec de sinalização, todas as mensagens de NAS entre o UE 200 e a N3IWF 204 são trocadas via a SA de IPsec. A SA de IPsec de sinalização será configurada para operar em modo de transporte. O valor de SPI é usado para determinar se um pacote de IPsec carrega uma mensagem de NAS ou não.
[0075] Na etapa 12, o UE 200 envia a mensagem SMC Completa através da SA de IPsec de sinalização estabelecida e todas as mensagens de NAS subsequentes são trocadas entre o UE 200 e AMF 202 via SA de IPsec.
[0076] Conforme descrito acima, o UE 200 e a N3IWF 204 têm um método definido quando SA de IKE e o estabelecimento de SA de IPsec de sinalização através da rede de acesso não 3GPP 110 são aceitos pela 5GCN
100. No entanto, não há nenhum sistema ou método disponível para manipular o caso quando SA de IKE e SA de IPsec de sinalização não é aceito pela 5GCN 100. Além disso, para o plano de usuário, um sistema e método precisam ser especificados para manipular o caso quando o estabelecimento de SA de IPsec SA de plano de usuário não é aceito pela 5GCN 100. Em geral, métodos e sistemas precisam ser estabelecidos para manipular rejeição de acesso não 3GPP a 5GCN 100. Modalidade - Intensificações de processo e protocolo para manipular o caso quando o Registro de UE através de Rede de Acesso Não 3GPP não é aceito pela rede de núcleo 5G
[0077] FIG. 4 ilustra um diagrama de fluxo lógico de uma modalidade de um método 400 para lidar com o caso em que o IKE SA e estabelecimento de IPsec SA de sinalização não são aceitos. Na etapa 402, o UE 200 prossegue com uma solicitação para estabelecimento de uma IPsec Security Association (SA) com a N3IWF 204 selecionada. O UE 200 inicia o estabelecimento de SA de IPsec usando o protocolo Internet Key Exchange (IKE) descrito em IETF RFC 7296 “Internet Key Exchange Protocol Version 2 (IKEv2),” (outubro de 2014). O UE 200 envia uma mensagem de solicitação IKE_AUTH na etapa 404. Na etapa 406, a N3IWF 204 responde com uma mensagem de resposta IKE_AUTH que inclui um pacote de EAP-Request/5G- Start. O pacote de EAP-Request/5G-Start informa o UE 200 para iniciar uma sessão de EAP-5G, isto é, iniciar enviando mensagens de NAS encapsuladas dentro de pacotes EAP-5G.
[0078] Na etapa 408, o UE 200 gera uma solicitação de registro para a 5GCN 100, por exemplo, uma solicitação IKE_AUTH que inclui um pacote de Resposta EAP/NAS de 5G que inclui os parâmetros de Rede de Acesso (AN-Params) e uma mensagem de Solicitação de Registro de NAS. Os AN-Params contêm informações (por exemplo, SUPI ou 5G-GUTI, a Rede Selecionada e NSSAI) que são usadas pela N3IWF 204 para selecionar uma AMF 202 na 5GCN 100.
[0079] Em alguns casos, o registro de UE através de acesso não 3GPP é rejeitado, por exemplo, devido a falha de autenticação , tal como a autenticação de EAP-AKA não foi bem-sucedida. Então, a SA de IKE e o estabelecimento de SA de IPsec de sinalização não são aceitos pela 5GCN
100. Em uma modalidade, a AMF 202 gera uma mensagem REGISTRATION REJECT e a N3IWF 204 envia uma mensagem de Resposta de EAP/NAS de 5G para o UE que inclui um campo de NAS-PDU que contém a mensagem REGISTRATION REJECT na etapa 410.
[0080] Mediante recebimento da mensagem de rejeição de registro, o UE 200 termina a solicitação de registro gerando e enviando uma mensagem de Resposta de EAP/Parada de 5G (encapsulada em uma solicitação IKE_Auth) na etapa 412. O UE 200 recebe da N3IWF 204 uma resposta de IKE_AUTH com uma mensagem de falha de EAP na etapa 414. Na recepção da mensagem de falha de EAP da N3IWF 204, o UE 200 executa o procedimento de deleção de SA de IKEv2. O UE 200 não reinicia os estabelecimentos de SA de IKE e SA de IPsec de sinalização para uma N3IWF 204 da mesma PLMN até desligar ou o UICC contendo o USIM ser removido.
[0081] Quando o registro de UE 200 na rede de acesso não 3GPP 110 é rejeitado, a AMF 202 transmite uma mensagem REGISTRATION REJECT para a N3IWF 204. Em resposta, a N3IWF 204 transmite uma mensagem de Resposta de EAP/NAS de 5G para o UE 200 que inclui um campo NAS-PDU incluindo uma mensagem REGISTRATION REJECT. A resposta do UE 200 subsequente pode ser diferente dependendo da razão para a rejeição do registro. Para erros recuperáveis, tal como erro de sintaxe ou certas razões de rejeição temporária, o UE 200 pode tentar iniciar o registro novamente com parâmetros válidos. Para outras razões de rejeição, o UE 200 para o procedimento EAP-5G e restaura as características relativas a pilha de SA de IKE e EAP. Para parar o procedimento EAP-5G é necessária uma indicação 5G-Parar. Ambos esses procedimentos são descritos em mais detalhes aqui. Modalidade - Conclusão de procedimento EAP-5G após falha de registro devido a erros recuperáveis
[0082] FIG. 5 ilustra um diagrama de fluxo lógico de uma modalidade de um método 500 de um procedimento de sessão EAP-5G após falha de autenticação devido a erros recuperáveis. Nessa modalidade, a solicitação de registro de UE 200 para a 5GCN 100 através de uma rede de acesso não 3GPP não confiável 110 é rejeitado.
[0083] A N3IWF 204 transmite uma mensagem de EAP- Request/5G-Start para o UE 200 na etapa 502. A mensagem 5G-Start solicita ao UE 200 para iniciar uma sessão de EAP-5G, isto é, iniciar enviando mensagens de NAS encapsuladas dentro de pacotes EAP-5G. O UE 200 gera uma solicitação de registro para a 5GCN 100 em uma mensagem de Resposta de EAP/5G-NAS que inclui parâmetros de AN e um campo NAS-PDU incluindo a solicitação de registro na etapa 504. Nessa modalidade, o registro de UE 200 para a 5GCN 100 é rejeitado pela AMF 202. A AMF 202 transmite uma mensagem REGISTRATION REJECT para a N3IWF 204. Em resposta, a N3IWF 204 transmite uma mensagem de EAP-Request/5G-NAS para o UE 200 que inclui um campo NAS-PDU incluindo uma mensagem NAS REGISTRATION REJECT na etapa 506.
[0084] O UE 200 pode tentar iniciar registro com a 5GCN novamente, embora não seja obrigatório tentar novamente o registro. Para erros recuperáveis, tal como erros de sintaxe ou certas razões de rejeição temporária, o UE 200 pode modificar a mensagem de solicitação de registro com parâmetros atualizados e tentar novamente registro. Alternativamente, o UE 200 pode tentar novamente registro mais tarde sem atualizar parâmetros.
[0085] O UE 200 transmite uma segunda solicitação de registro formatada como uma mensagem de Resposta de EAP/5G-NAS que inclui os parâmetros AN atualizados, se necessário, e um campo NAS-PDU incluindo a solicitação de registro na etapa 508. O UE 200 e a N3IWF 204, então, executam SA de IKE e estabelecimento de SA de IPsec de sinalização para criar um contexto de segurança de NAS e uma chave de N3IWF (não mostrada).
[0086] Após a chave N3IWF ser criada no UE 200, a N3IWF 204 transmite uma mensagem de EAP-Request/5G NAS incluindo um NAS PDU com uma mensagem de comando de modo de segurança indicando EAP- sucesso em 510. O UE 200 solicita a conclusão da sessão EAP-5G gerando e transmitindo uma mensagem de Resposta de EAP/5G-NAS com um NAS PDU incluindo uma mensagem completa de modo de segurança 512. Isso dispara a N3IWF 204 para enviar uma EAP-Success para o UE 200, assumindo que a N3IWF 204 também recebeu a chave N3IWF de AMF 202. Isso conclui a sessão de EAP-5G e nenhum pacote EAP-5G adicional pode ser trocado.
[0087] O UE 200 pode, assim, tentar novamente uma solicitação de registro com a 5GCN 100 através de uma rede de acesso não 3GPP 110 quando rejeitado. A rejeição pode ser devida a erros recuperáveis, tal como erros de sintaxe ou erros nos parâmetros AN. A segunda tentativa de registro pode ser bem-sucedida quando esses erros recuperáveis são corrigidos. Em outra modalidade, a rejeição é devida a razões de rejeição temporária. O UE 200 pode, então, tentar novamente registro com os mesmos parâmetros e completar a sessão EAP-5G. Modalidade - Conclusão de procedimento EAP-5G após falha de registro devido a erros irrecuperáveis
[0088] FIG. 6 ilustra um diagrama de fluxo lógico ilustrando uma modalidade de um procedimento de sessão EAP-5G de uma rejeição de registro devido a falhas de erros irrecuperáveis ou permanente. Nessa modalidade, a solicitação de registro do UE 200 para a 5GCN 100 através de uma rede de acesso não 3GPP não confiável 110 é novamente rejeitado.
[0089] A N3IWF 204 transmite uma mensagem de EAP- Request/5G-Start para o UE 200 para iniciar o registro na 5GCN 100 através da rede de acesso não 3GPP 110 na etapa 602. O UE 200 responde com uma solicitação de registro, por exemplo, uma mensagem EAP-Response/5G-NAS que inclui parâmetros AN e um campo NAS-PDU incluindo a solicitação de registro na etapa 604.
[0090] Se a autenticação falhar devido a erros irrecuperáveis, tal como a autenticação de EAP-AKA não foi bem-sucedida, a N3IWF 204 recebe uma mensagem REGISTRATION REJECT de AMF 202 (não mostrada). Em resposta à recepção da mensagem REGISTRATION REJECT de AMF 202, a N3IWF 204 gera uma mensagem EAP-Request/5G-NAS para o UE 200 em
606. A mensagem EAP-Request/5G-NAS inclui um campo NAS-PDU que inclui uma mensagem NAS REGISTRATION REJECT com o campo EAP- Failure.
[0091] O UE 200 termina o procedimento de registo gerando e transmitindo uma mensagem EAP-Response/5G-Stop na etapa 608. A mensagem de 5G-Stop indica que a sessão EAP para registro na 5GCN 100 pela rede de acesso não 3GPP 110 foi encerrada. Após recepção da mensagem EAP-Response/5G-Stop do UE 200, a N3IWF 204 completa o procedimento de EAP-5G enviando uma mensagem EAP-Failure para o UE 200 na etapa 610. Nessa modalidade, o UE 200 paralisa a sessão EAP-5G sem novas tentativas de registro.
[0092] FIG. 7 ilustra um diagrama de blocos esquemático de uma modalidade de uma mensagem EAP-Response/5G-Stop 700. A mensagem EAP-Response/5G-Stop 700 inclui vários pacotes de EAP com campos exemplares incluindo código 702, identificador 704, comprimento 706, tipo 708, id de fornecedor 710, tipo de fornecedor 712, identificador de mensagem (Message-Id) 714, reserva 716 e extensões 718. O campo Message-Id 714 do pacote de EAP inclui um identificador para indicar uma mensagem 5G-Stop. Um exemplo dos valores para os campos no pacote de EAP é descrito na Tabela 1 abaixo.
O campo de código é ajustado para 1 (decimal), conforme especificado em IETF RFC 3748 [9] subcláusula 4.1 e indica solicitação.
O campo de identificador é ajustado conforme especificado em IETF RFC 3748 [9] subcláusula 4.1.
Comprimento de campo é ajustado conforme especificado em IETF RFC 3748 [9] subcláusula 4.1 e indica o comprimento da mensagem EAP-Response/5G-Stop em octetos.
Campo de tipo é ajustado para 254 (decimal) conforme especificado em
IETF RFC 3748 [9] subclásula 5.7 e indica o tipo expandido.
Campo Vendor-Id é ajustado para o Vendor-Id de 3GPP de 10415 (decimal) registrado com IANA de acordo com o registro SMI Private Enterprise Code.
Campo Vendor-Type é ajustado para identificador de método EAP-5G de 3 (decimal), conforme especificado em 3GPP TS 33.402 [10] anexo C.
Campo Message-Id é ajustado para 5G-Stop-Id de 4 (decimal).
Campo reserva consiste em bits de reserva.
Campo de extensões é um campo opcional e consiste em bits de reserva. TABELA 1 Campos de exemplo para uma mensagem EAP-Response/5G-Stop
[0093] O campo Identificador de Mensagem (Message-Id) 714 na mensagem de EAP inclui um identificador ou valor de 5G Stop. Os campos e valores da mensagem EAP-Response/5G-Stop 700 são exemplos e outros campos/valores ou pacotes de protocolo podem ser implementados indicando significado semelhante de uma parada de registro. Modalidade - Métodos e Intensificações de Protocolo para Manipulação Quando Estabelecimento de SA de IPsec Não é Aceito devido a Falha de Autenticação
[0094] FIG. 8 ilustra um diagrama de fluxo lógico de uma modalidade de um método 800 para fluxo de mensagem dentre funções de nó de rede quando SA de IKE e estabelecimento de SA de IPsec de sinalização para registro de UE 200 em uma rede de acesso não 3GPP 110 não é aceita devido a falha de autenticação. Por exemplo, o estabelecimento de SA de IKE SA de IPsec de sinalização podem não ser aceitos devido a uma falha de um procedimento de autenticação, tal como um AKA-Clallenge ou AKA'-challenge. O método 800 inclui um novo tipo de mensagem IKEv2 Notify privada para sinalizar a falha para o UE 200 e um novo valor de causa para indicar que o acesso a 5GCN 100 não é permitido pela rede de acesso não 3GPP 110.
[0095] O UE 200 conecta a uma rede de acesso não 3GPP não confiável (N3AN) 110, por exemplo, usando protocolos 802.1x para uma WLAN pública, na etapa 802. Quando o UE 200 decide fixar a 5GCN 100, o UE 200 seleciona uma N3IWF 204 em uma PLMN 5G na etapa 804. O UE 200 prossegue com o estabelecimento de uma Associação de Segurança IPsec (SA) com a N3IWF 204 selecionada iniciando uma troca inicial de IKE, por exemplo, conforme descrito em IETF RFC 7296 "Internet Key Exchange Protocol Version 2 (IKEv2)" (outubro de 2014) , na etapa 806. Após o estabelecimento de SA de IKE, mensagens de IKE subsequentes são criptografadas e a integridade protegida usando a SA de IKE estabelecida nessa etapa 806.
[0096] O UE 200, então, inicia uma troca IKE_AUTH enviando uma mensagem de solicitação IKE_AUTH na etapa 808. A carga útil AUTH não está incluída na mensagem de solicitação IKE_AUTH, o que indica que a troca IKE_AUTH usará sinalização de EAP (neste caso, sinalização EAP-5G). O UE 200 ajustará o campo UE Id nessa mensagem igual a qualquer número aleatório. A N3IWF 204 responde com uma mensagem de resposta IKE_AUTH que inclui um pacote EAP-Request/5G-Start na etapa 810. O pacote Solicitação EAP/Início 5G informa o UE 200 para iniciar uma sessão de EAP-5G, isto é, para começar a enviar mensagens de NAS encapsuladas dentro de pacotes EAP-5G.
[0097] O UE 200 também pode validar o certificado de N3IWF e confirmar que a identidade de N3IWF 204 corresponde a N3IWF 204 selecionada pelo UE 200. Uma ausência do certificado da N3IWF 204 ou uma confirmação de identidade malsucedida pode resultar em uma falha de conexão. O UE 200, então, envia uma solicitação IKE_AUTH que inclui um pacote EAP-Response/5G-NAS para solicitar registro para a 5GCN 100 na etapa 812. A mensagem EAP-Response/5G-NAS inclui parâmetros de AN (por exemplo, GUAMI, PLMN ID selecionado, NSSAI solicitado) e um campo NAS- PDU incluindo a solicitação de registro
[0098] A N3IWF 204, então, seleciona uma AMF 202 usando os parâmetros de AN e encaminha a Solicitação de Registro recebida do UE 200 para a AMF 202 em uma mensagem de transporte N2 NAS na etapa 814.
[0099] A AMF 202 pode decidir autenticar o UE 200. Nesse caso, a AMF 202 seleciona uma AUSF 210 na etapa 816 e envia uma solicitação de chave para a AUSF 210. A AUSF 210 pode, então, iniciar um procedimento de autenticação, tal como um desafio AKA-Challenge ou AKA'-challenge na etapa
818. Entre a AMF 202 e o UE 200, os pacotes de autenticação são encapsulados dentro de mensagens de autenticação NAS e as mensagens de autenticação NAS são encapsuladas dentro de pacotes EAP-5G/5G-NAS. Uma mensagem EAP-Request/AKA'-Challenge é transmitida ao UE 200 via a N3IWF 204 em uma mensagem NAS menssage Auth-Req na etapa 820 e 822. Essa mensagem pode incluir o ngKSI que será usado pelo UE 200 e AMF 202 para identificar o contexto de segurança nativo parcial que é criado se a autenticação for bem-sucedida. O UE 200 encaminha o RAND e AUTN recebidos na mensagem EAP-Request/AKA'-Challenge para o USIM.
[00100] No recebimento do RAND e AUTN, o USIM verifica o vetor de autenticação verificando se o AUTN pode ser aceito. Se assim, o USIM computa uma resposta RES na etapa 823. O UE 200 envia a mensagem EAP- Response/AKA'-Challenge em uma mensagem NAS message Auth-Resp na etapa 824. A mensagem EAP-Response/AKA'-Challenge é transmitida para a AUSF 210 através da AMF 202 nas etapas 826 e 828. A AUSF 210 tentará, então, verificar a mensagem. Se a AUSF 210 tiver verificado com sucesso esta mensagem, ele continuará a autenticação.
[00101] Em sistemas conhecidos anteriores, se a AUSF 210 determinar que o acesso não 3GPP a 5GCN 100 não é permitido devido a uma falha de autenticação na etapa 830, ele retorna um erro. Em um novo sistema e método aprimorados, a AMF 202 gera um novo tipo de mensagem IKEv2 Notify privada para sinalizar que o acesso não 3GPP à rede 5GC não é permitido, por exemplo, devido à falha da autenticação.
[00102] Na etapa 832, a AUSF 210 envia uma mensagem de sessão HTTP EAP com uma carga útil de falha de EAP e um resultado de autenticação de Falha de Autenticação. A AMF 202 gera uma nova causa 5G Mobility Management (5GMM) para indicar que o acesso não 3GPP de 5GCN 100 não é permitido. A AMF 202 gera uma mensagem de transporte N2 NAS com uma rejeição de Registro e uma mensagem EAP indicando falha de EAP e incluindo a causa 5GMM na etapa 834. A causa 5GMM indica um tipo de erro, por exemplo, neste caso de “Acesso não 3GPP de 5GCN não permitido”.
[00103] O UE 200 recebe da N3IWF 204 uma mensagem de resposta IKE_AUTH com uma carga útil de Notificação com um Tipo de Mensagem de Notificação Privada (por exemplo, qualquer tipo de mensagem de notificação privada em uma faixa predefinida, tal como 8192.... 16383) na etapa 836. A mensagem de IKEv2 Notify privada inclui uma resposta EAP/5G- NAS PDU incluindo a rejeição de registro com a causa de 5GMM de “NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED” e um tipo de mensagem EAP de EAP-Failure.
[00104] O método 800 inclui, assim, um novo tipo de mensagem IKEv2 Notify Privada e um novo valor de causa de 5GMM para informar ao UE da falha da solicitação de registro de que o acesso não 3GPP a 5GCN 100 não é permitido. Embora uma nova mensagem private IKEv2 Notify é implementada, outros tipos de mensagens ou formatos ou campos ou tipos de erros podem ser implementados para informar o UE 200 que o acesso não 3GPP à rede 5GC não é permitido ou foi rejeitado.
[00105] Mediante recebimento da Mensagem de Notificação Privada com causa 5GMM de NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED, o UE 200 termina a sessão EAP-5G enviando uma mensagem EAP-Response/5G-Stop na etapa
838. O UE 200 recebe da N3IWF 204 uma mensagem de resposta IKE_AUTH com uma mensagem EAP Failure na etapa 840.
[00106] Na recepção da mensagem de EAP-Failure da N3IWF 204, o UE 200 executa o procedimento de deleçãode SA de IKEv2 e fecha a SA de IKE na etapa 842. O UE 200 não reinicia o estabelecimento de SA de IKE e SA de IPsec para a N3IWF 204 da mesma PLMN até o desligamento ou o UICC contendo o USIM ser removido. O UE 200 pode transmitir uma mensagem informativa da deleção de SA de IKEv2 na etapa 844. A N3IWF 204 pode, então, fechar a SA de IKEv2 na etapa 846. Modalidade - Métodos e Intensificações de Protocolo para Manipulação Quando Estabelecimento de SA de IPsec Não é Aceito devido a Restrição de Assinatura
[00107] FIG. 9 ilustra um diagrama de fluxo lógico de uma modalidade de um método 900 para fluxo de mensagens dentre funções de rede quando IKE SA e estabelecimento de IPsec SA de sinalização para registro de UE 200 através de acesso não 3GPP não é aceito devido à restrição de assinatura. Por exemplo, a SA de IKE e o estabelecimento de SA de IPsec de sinalização podem não ser aceitos devido a uma restrição de assinatura. O método 900 inclui um novo tipo de mensagem IKEv2 Notify privada para sinalizar a falha para o UE 200 e um novo valor de causa para indicar que acesso à 5GCN 100 não é permitido pela rede de acesso não 3GPP 110.
[00108] O UE 200 conecta a uma rede de acesso não 3GPP não confiável (N3AN) 110, por exemplo, usando protocolos 802.1x para uma WLAN pública, na etapa 902. Quando o UE 200 decide fixar a 5GCN 100, o UE 200 seleciona uma N3IWF 204 em uma PLMN 5G na etapa 904. O UE 200 prossegue com o estabelecimento de uma Associação de Segurança IPsec (SA) com a N3IWF 204 selecionada iniciando uma troca inicial de IKE, por exemplo, conforme descrito em IETF RFC 7296 "Internet Key Exchange
Protocol Version 2 (IKEv2)" (outubro de 2014) , na etapa 906. Após o estabelecimento de SA de IKE, mensagens de IKE subsequentes são criptografadas e a integridade protegida usando as chaves estabelecidas na SA de IKE.
[00109] O UE 200, então, inicia uma troca IKE_AUTH enviando uma mensagem de solicitação IKE_AUTH na etapa 908. A carga útil AUTH não está incluída na mensagem de solicitação IKE_AUTH, o que indica que a troca IKE_AUTH usará sinalização de EAP (neste caso, sinalização EAP-5G). O UE 200 ajusta o campo UE Id nessa mensagem igual a qualquer número aleatório. A N3IWF 204 responde com uma mensagem de resposta IKE_AUTH que inclui um pacote EAP-Request/5G-Start na etapa 910. O pacote Solicitação EAP/Início 5G informa o UE 200 para iniciar uma sessão de EAP-5G, isto é, para começar a enviar mensagens de NAS encapsuladas dentro de pacotes EAP-5G.
[00110] O UE 200 também pode validar o certificado de N3IWF e confirmar que a identidade de N3IWF 204 corresponde a N3IWF 204 selecionada pelo UE. Uma ausência do certificado da N3IWF 204 ou uma confirmação de identidade malsucedida pode resultar em uma falha de conexão. O UE 200, então, envia uma solicitação de registro em uma solicitação IKE_AUTH que inclui um pacote de EAP-Response/5G-NAS na etapa 912. O pacote EAP-Response/5G-NAS inclui parâmetros de AN, tal como GUAMI, PLMN ID selecionado, NSSAI solicitado e um NAS PDU com a solicitação de registro. A N3IWF 204, então, seleciona uma AMF 202 e encaminha a Solicitação de Registro na NAS PDU recebida do UE 200 para a AMF 202 na etapa 914.
[00111] A AMF 202 pode decidir autenticar o UE 200. Nesse caso, a AMF 202 seleciona uma AUSF 210 na etapa 916 e envia uma solicitação de chave para a AUSF 210. A AUSF 210 pode, então, iniciar um procedimento de autenticação, tal como um desafio AKA-Challenge ou AKA'-challenge na etapa
918. Entre a AMF 202 e o UE 200, os pacotes de autenticação são encapsulados dentro de mensagens de autenticação NAS e as mensagens de autenticação NAS são encapsuladas dentro de pacotes EAP-5G/5G-NAS. Uma mensagem EAP-Request/AKA'-Challenge é transmitida ao UE 200 em uma mensagem NAS message Auth-Req pela AMF na etapa 920 e encaminhada pela N3IWF na etapa 922. Essa mensagem pode incluir o ngKSI que será usado pelo UE 200 e AMF 202 para identificar o contexto de segurança nativo parcial que é criado se a autenticação for bem-sucedida. O UE 200 encaminha RAND e AUTN recebidos na mensagem EAP-Request/AKA'-Challenge para o seu USIM.
[00112] No recebimento de RAND e AUTN, o USIM verifica o vetor de autenticação verificando se AUTN pode ser aceito. Se assim, o USIM calcula uma resposta de autenticação na etapa 923. O UE 200 envia a mensagem EAP-Response/AKA'-Challenge em uma mensagem NAS message Auth-Resp na etapa 924. A mensagem EAP-Response/AKA'-Challenge é transmitida pela N3IWF para a AMF na etapa 926 e, então, para a AUSF 210 na etapa 928. A AUSF 210 tentará, então, verificar a mensagem. Se a AUSF 210 tiver verificado com sucesso esta mensagem, ele continuará a autenticação. No entanto, a AUSF 210 pode rejeitar a autenticação e não permitir o acesso não 3GPP a 5GCN 100 na etapa 930.
[00113] Em sistemas conhecidos da técnica anterior, se a AUSF 210 determinar falha de autenticação, então, a AUSF 210 retorna um erro. Em um novo método aprimorado, a AMF 202 gera uma nova causa para sinalizar que o acesso não 3GPP a 5GCN 100 não é permitido. Por exemplo, a AMF 202 pode gerar um novo tipo de mensagem IKEv2 Notify privada para sinalizar ao UE 200 que o acesso não 3GPP a 5GCN 100 não é permitido, por exemplo, devido a uma restrição de assinatura ou rede.
[00114] Na etapa 932, a AUSF 210 envia uma mensagem de sessão HTTP EAP com uma carga útil EAP de EAP failure e resultado de autenticação de Falha de Autenticação com uma causa. A AMF 202 gera uma mensagem de transporte N2 NAS com uma rejeição de Registro e uma mensagem EAP de EAP-Failure que inclui uma causa 5GMM na etapa 934. A causa 5GMM indica um tipo de erro de NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED.
[00115] A N3IWF 204 recebe a resposta da AMF 202 encapsulando uma mensagem de Rejeição de Registro incluindo um valor de causa 5GMM indicando acesso não 3GPP a 5GCN não permitido e uma mensagem do tipo EAP-Failure. A N3IWF 204 gera uma mensagem de resposta IKE_AUTH com uma carga útil de Notificação com um tipo de mensagem de Notificação Privada (por exemplo, qualquer tipo de mensagem de notificação privada em uma faixa pré-definida, tal como 8192 ... 16383) na etapa 936. A mensagem de IKEv2 Notify privada inclui uma resposta EAP / 5G-NAS PDU incluindo a rejeição de registro com a causa 5GMM de “NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED” e um tipo de mensagem EAP de EAP-Failure.
[00116] Um novo código de causa 5GMM é assim implementado para sinalizar ao UE 200 que acesso não 3GPP a 5GCN 100 não é permitido. Esta causa 5GMM é gerada pela AMF 202 e transmitida para o UE 200 se ele solicitar serviços através de acesso não 3GPP numa PLMN, onde ao UE 200 por restrição de assinatura ou rede não é permitido acesso a 5GCN 100 através da rede de acesso não-3GPP 110. O UE 200 é, assim, informado da rejeição de acessar a 5GCN 100 através da rede de acesso não 3GPP 110.
[00117] O UE 200 recebe da N3IWF 204 a mensagem de resposta IKE_AUTH com uma carga útil de Notificação com um Tipo de Mensagem de Notificação Privada e mensagem de EAP EAP-Failure e a causa 5GMM de NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED na etapa 936. O UE 200, em vez de apenas receber uma mensagem de erro, recebe assim uma notificação de rejeição de registo com uma razão.
[00118] O UE 200, então, termina a solicitação de registro gerando uma mensagem EAP-Response/5G-Stop para a N3IWF 204 na etapa 938. O UE 200 recebe da N3IWF 204 uma mensagem de resposta IKE_AUTH com uma mensagem EAP Failure na etapa 940.
[00119] Na recepção da mensagem EAP-Failure da N3IWF 204, o UE 200 executa o procedimento de deleção de SA de IKEv2 e fecha a SA de IKE na etapa 942. Neste exemplo, devido ao erro irrecuperável de uma restrição de assinatura ou rede, o UE 200 não reinicia o estabelecimento de SA de IKE e SA de IPsec para uma N3IWF 204 da mesma PLMN até desligar ou o UICC contendo o USIM ser removido . O UE 200 pode transmitir uma mensagem informativa da deleção de SA de IKEv2 na etapa 944. A N3IWF 204 pode, então, fechar a SA de IKEv2 na etapa 946. Modalidade - Métodos e Intensificações de Protocolo para Manipulação Quando um Estabelecimento de SA de IPsec de Plano de Usuário Não é Aceito
[00120] FIG. 10 ilustra um diagrama de fluxo lógico de uma modalidade de um método para fluxo de mensagem dentre funções de nó de rede quando o estabelecimento de associação de segurança (SA) de IPsec de plano de usuário não é aceito. O UE 200 conecta a uma rede de acesso não 3GPP não confiável (N3AN) 110, por exemplo, usando protocolos 802.1x para uma WLAN pública, na etapa 1002. Quando o UE 200 decide fixar a 5GCN 100, o UE 200 seleciona uma N3IWF 204 em uma PLMN 5G na etapa 1004. O UE 200 prossegue com o estabelecimento de uma Associação de Segurança (SA) de IPsec com a N3IWF 204 selecionada iniciando uma troca inicial de IKE na etapa 1006. Nessa modalidade, o UE 200 estabelece com sucesso uma SA de IKE e SA de IPsec de sinalização para a N3IWF 204 selecionada em 1008. Por exemplo, a autenticação do UE 200, por exemplo, tal como um procedimento EAP-AKA', é bem-sucedida e o EAP-5G está completo, como mostrado na FIG. 3.
[00121] O UE 200 transmite, então, uma mensagem de Solicitação de Estabelecimento de Sessão de PDU para a AMF 202 para estabelecer uma SA de IPsec de plano de usuário 1010. Essa mensagem de Solicitação de Estabelecimento de Sessão de PDU é enviada para a N3IWF 204 via SA de
IPsec de sinalização e a N3IWF 204 a encaminha de forma transparente para a AMF 202 na 5GCN 100 na etapa 1012. A AMF 202 pode criar um Contexto de gerenciamento de sessão (SM) com a SMF 206 na etapa 1014. A AMF 202 envia uma mensagem NAS N2 interface PDU Session Request para a N3IWF 204 para estabelecer as características de acesso para essa sessão PDU, por exemplo, uma solicitação N2 PDU Session Resource Setup na etapa 1016. A solicitação de sessão de PDU pode incluir um Id de sessão de PDU, Aceitação de Estabelecimento de sessão de PDU, QFIs, perfis de QoS, etc.
[00122] Com base em suas próprias políticas e sua configuração e com base nos perfis de QoS recebidos na Solicitação de Sessão N2 PDU, a N3IWF 204 determina um número de SAs de IPsec de plano de usuário a estabelecer e os perfis de QoS associados a cada SA de IPsec de plano de usuário. Por exemplo, a N3IWF 204 pode decidir estabelecer uma SA de IPsec de plano de usuário e associar todos os perfis de QoS a esta SA de IPsec de plano de usuário. Neste exemplo, todos os fluxos de QoS da sessão de PDU seriam transferidos através de uma SA de IPsec de plano de usuário. Em outro exemplo, a N3IWF 204 pode decidir estabelecer uma pluralidade de IPsec child SAs de plano de usuário e associar certos perfis de QoS a diferentes da pluralidade de IPsec child SAs.
[00123] A N3IWF 204 envia ao UE 200 uma solicitação IKE Create_Child_SA para estabelecer a primeira IPsec chid SA de plano de usuário para a sessão de PDU na etapa 1018. A solicitação IKE Create_Child_SA indica uma primeira IPsec child SA de plano de usuário com identificação de SAup1. Essa solicitação pode incluir uma carga útil de Notificação específica de 3GPP que inclui (a) o(s) QFI(s) associado(s) a SA child, (b) a identidade da Sessão de PDU associada a essa SA child, (c) opcionalmente, um valor DSCP associado com a SA child e (d) um UP_IP_ADDRESS. A solicitação IKE Create_Child_SA também pode incluir outras informações, tal como a carga útil de SA, os Traffic Selectors (TS) para a N3IWF 204 e o UE 200, etc.
[00124] Quando o UE 200 aceita a nova IPsec child SA, o UE 200 envia uma resposta IKE Create_Child_SA na etapa 1020. O UE 200 e a N3IWF 204 podem trocar várias iterações de solicitações e respostas IKE Create_Child_SA para estabelecer uma pluralidade de IPsec child SAs na etapa 1022. As IPsec child SAs adicionais são estabelecidas, cada uma associada a um ou mais QFI (s) e a um UP_IP_ADDRESS.
[00125] Se a solicitação de SA de IPsec de plano de usuário na etapa 1024 não for aceita pelo UE 200 como na etapa 1026, o UE 200 envia uma mensagem de resposta CREATE_CHILD_SA para a N3IWF 204 com uma carga útil de Notificação do tipo de erro na etapa 1026. O tipo de mensagem de notificação pode ser “erro”. O tipo de mensagem de notificação de “erro” indica que a IPsec child SA não é aceito pelo UE 200.
[00126] Mediante recebimento a mensagem de resposta CREATE_CHILD_SA com uma carga útil de Notificação de tipo de erro, a N3IWF 204 indica a falha e a Característica de sessão PDU Falhou ao ajustar a lista para AMF 202 via mensagem de resposta de Ajuste de Característica de Sessão N2 PDU na etapa 1032 para disparar rejeição do estabelecimento de sessão PDU através de acesso não 3GPP. Alternativamente, se a N3IWF 204 decidiu anteriormente criar múltiplas SAs de IPsec de plano de usuário para os identificadores de fluxo de QoS (QFIs) da sessão PDU, e uma ou mais SAs de IPsec de plano de usuário da sessão PDU já estão ativas, a rede pode optar por concluir o estabelecimento de sessão PDU mapeando o(s) QFI(s) das SAs de IPsec de plano de usuário falhados para as SAs de IPsec de plano de usuário já estabelecidas, conforme visto nas etapas 1028 e 1030.
[00127] Mediante recebimento de comando N2 PDU Session Resource Release incluindo um NAS PDU indicando mensagem PDU Session Establishment Reject na etapa 1034, a N3IWF 204 de forma transparente encaminha a PDU Session Establishment Reject para o UE 200 na etapa 1036. Uma causa 5G Session Management (5GSM) dedicada "IPsec SA failure" é estabelecida para indicar o motivo de rejeição da sessão PDU.
Modalidade - Tipos de Mensagem de Notificação IKEv2 Privada para Acesso Não 3GPP
[00128] Tabela 2 abaixo lista tipos de mensagem de notificação para acesso não 3GPP. Neste exemplo, mensagens de notificação IKEv2 privadas e tipos de erros privados são descritos, no entanto, outros protocolos de mensagens, valores e tipos de erros podem ser usados para fornecer notificação a um UE 200 das razões ou dos erros quando acesso não 3GPP a uma 5GCN 100 não é permitido.
[00129] Neste exemplo, tipos de mensagem de notificação IKEv2 privada são definidos para uso de acesso não 3GPP. O Tipo de Mensagem de Notificação com um valor (em decimal) entre 8.192 e 16.383 é reservado para uso de erro privado, embora outros valores e campos possam ser implementados. O Tipo de Mensagem de Notificação com um valor (em decimal) entre 40.960 e 65.535 é reservado para uso de estado privado. Apenas os Tipos de Mensagem de Notificação IKEv2 privados usados para este relatório descritivo são descritos aqui. Os Tipos de Erros de Mensagem de Notificação Privada definidos na Tabela 2 são notificações de erro que indicam um erro durante a negociação de acesso não 3GPP a uma 5GCN 100. Por exemplo, os tipos de erros podem ser gerados em resposta à negociação de uma SA de IKEv2 ou SA de IPsec para acesso não 3GPP a um 5GCN 100. Os campos e valores dos tipos de mensagem de notificação privada são exemplos e outros campos/valores podem ser implementados indicando significados semelhantes.
Mensagem de Notificação Valor (em Descrições decimal) AUTHORIZATION_REJECT 9003 O tipo de erro é usado para ED indicar que o serviço solicitado foi rejeitado porque o UE não está autorizado a usar esse serviço.
ILLEGAL_ME 9006 O tipo de erro é usado para indicar que o serviço solicitado foi rejeitado seja devido a falha de autenticação ou porque uma identidade do UE não é aceitável para a rede RAT_TYPE_NOT_ALLOWE 11001 O tipo de erro é usado para D indicar que o serviço solicitado foi rejeitado o tipo de RAT usado não é permitido para a PLMN.
PEI_NOT_ACCEPTED 11005 O tipo de erro é usado para indicar que a solicitação de sessão PDU de emergência foi rejeitada, uma vez que a rede não aceita uma solicitação de serviço de emergência usando um PEI.
PLMN_NOT_ALLOWED 11011 O tipo de erro é usado para indicar que o serviço solicitado foi rejeitado devido à assinatura ou devido à operadora determinada impedida
NETWORK_FAILURE 10500 O tipo de erro é usado para indicar que o serviço solicitado foi rejeitado devido a falhas de rede.
CONGESTION 12005 O tipo de erro é usado para indicar que o serviço solicitado foi rejeitado devido a congestionamento de rede 5GS_SERVICEs_NOT_ALLO 12007 O tipo de erro é usado para WED indicar que o serviço solicitado foi rejeitado porque serviços 5GS não são permitidos.
NON_3GPP_ACCESS_TO_5 12071 O tipo de erro é usado para GC_NOT_ALLOWED indicar que o serviço solicitado foi rejeitado porque ao UE não é permitido usar acesso não 3GPP a 5GC.
TABELA 2 Tipos de Mensagem de Notificação para acesso não 3GPP
[00130] O UE 200 pode receber uma mensagem com um tipo de erro indicando que acesso não 3GPP a 5GCN 100 não é permitido. O UE 200 é, assim, informado da rejeição de acessar a 5GCN 100 através da rede de acesso não 3GPP 110. Modalidade - Código de Causa para sinalizar Falha de Autenticação devido a Nenhuma Assinatura para Acesso não 3GPP à rede 5GC
[00131] FIG. 11 ilustra um diagrama de blocos esquemático de uma modalidade de um Elemento de Informação de Causa 5GMM 1100. O Elemento de Informação de causa 5GMM 1100 inclui um indicador de elemento de informação de causa 5GMM (IEI) 1104 e um valor de causa 1106. O valor de causa 1106 indica uma razão pela qual uma solicitação de 5GMM para acesso a 5GCN 100 do UE 200 é rejeitada pela rede. Nessa modalidade, um novo código de causa corresponde a "Acesso não 3GPP a 5GCN não permitido". Essa causa 5GMM é enviada para o UE 200 se ele solicitar serviços através de acesso não 3GPP em uma PLMN, onde o UE 200 por restrição de assinatura ou rede ou outra falha de autenticação não está permitido a acessar a 5GCN 100 através de acesso não 3GPP.
[00132] FIG. 12 ilustra um diagrama de blocos esquemático de uma modalidade de valores para o Elemento de Informação de Causa 5GMM. Nesse exemplo, um valor predeterminado corresponde a "Acesso não 3GPP a 5GCN não permitido." Outros valores recebidos pelo UE 200 são tratados como "erro de protocolo, não especificado". Qualquer outro valor recebido pela rede também é tratado como "erro de protocolo, não especificado". Os campos e valores do Elemento de Informação de Causa 5GMM são exemplos e outros campos/valores podem ser implementados indicando significados semelhantes.
[00133] FIG. 13 ilustra um diagrama de fluxo lógico de uma modalidade de um método 1300 da N3IWF 204. A N3IWF 204 se comunica usando uma primeira interface com nós na 5GCN 100 usando um ou mais protocolos na etapa 1302. A N3IWF 204 se comunica com um UE através de uma rede de acesso não 3GPP usando pelo menos uma segunda interface, talcomo um transceptor WLAN compatível com protocolos WLAN IEEE 802.1x, na etapa 1304.
[00134] A N3IWF 204 processa uma solicitação de registro para um estabelecimento de conexão segura à rede de núcleo do UE 200 na rede de acesso não confiável na etapa 1306. Por exemplo, a N3IWF 204 recebe uma mensagem EAP-Response/5G-NAS que inclui parâmetros de AN e uma solicitação de registro do UE 200. A N3IWF 204 encaminha a mensagem para a 5GCN 100 para autenticação e verificação de assinatura do UE 200. Por exemplo, a N3IWF 204 gera uma solicitação de autenticação e verificação de assinatura e transmite a solicitação de autenticação e verificação de assinatura através da segunda interface para a AMF 202.
[00135] A N3IWF 204 determina que o estabelecimento de conexão não é aceito pela rede de núcleo na etapa 1308, por exemplo, devido a erros irrecuperáveis. Por exemplo, a AMF 202 recebe uma resposta de falha de autenticação da AUSF 210. A AMF 202 gera uma mensagem de transporte NAS com uma rejeição de Registro e uma mensagem EAP de EAP-Failure que inclui uma causa 5GMM. A causa 5GMM indica um tipo de erro de NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED. A N3IWF 204 recebe a resposta da AMF 202 encapsulando a mensagem de Rejeição de Registro incluindo o valor de causa 5GMM indicando acesso não 3GPP a 5GCN não permitido.
[00136] A N3IWF 204 gera uma mensagem de resposta para o UE, em que a mensagem de resposta inclui o valor de causa indicando que o estabelecimento da conexão através do acesso de rede não confiável não é permitido pela rede de núcleo na etapa 1310. Por exemplo, a N3IWF 204 gera uma mensagem de resposta de Internet Key Exchange (IKE) com a carga útil incluindo um tipo de mensagem ou EAP-Failure indicando que o estabelecimento de conexão não é aceito pela 5GCN 100 e a causa 5GMM. A mensagem EAP-Response/5G-NAS para o UE 200 inclui uma mensagem de rejeição de registro com um campo EAP-Failure e causa 5GMM. A causa 5GMM na mensagem de rejeição de registro indica que o acesso não 3GPP não é permitido pela 5GCN 100.
[00137] Em uma modalidade, a mensagem de resposta IKE para o UE pode incluir mensagem de resposta IKE_AUTH com uma carga útil de Notificação com um Tipo de Mensagem de Notificação Privada (por exemplo, qualquer tipo de mensagem de notificação privada em uma faixa pré-
dedefinida, tal como 8192... 16383). A mensagem de IKEv2 Notify privada inclui uma resposta EAP / 5G-NAS PDU incluindo a rejeição de registro com a causa 5GMM de “NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED” e um tipo de mensagem EAP de EAP-Failure.
[00138] A N3IWF 204 processa uma resposta do UE 200 incluindo uma mensagem de parada e gera uma mensagem de falha para o UE 200 em resposta. Por exemplo, o UE 200 transmite uma mensagem EAP- Response/5G-Stop para a N3IWF 204 para indicar o fim da solicitação de registro para um estabelecimento de sessão segura com a 5GCN 100. O pacote de EAP-response inclui um identificador de tipo de mensagem de 5G- Stop. Após recepção da mensagem EAP-Response/5G-Stop do UE 200, a N3IWF 204 completa o procedimento EAP-5G enviando uma mensagem EAP- Failure para o UE 200. Embora a N3IWF 204 seja descrita como executando essas etapas no método 1300, outros nós ou módulos em comunicação com o UE e a rede de núcleo podem executar uma ou mais das etapas descritas neste documento.
[00139] FIG. 14 ilustra um diagrama de fluxo lógico de uma modalidade de um método 1400 de uma solicitação de registro para uma rede de núcleo através de uma rede de acesso não confiável com falha de autenticação devido a erros recuperáveis. O UE 200 está configurado para comunicar através de uma rede de acesso não 3GPP com uma função de interoperação (tal como N3IWF 204) em uma 5GCN 100 na etapa 1402. O UE 200 pode solicitar registro para o 5GCN 100 através da rede de acesso não 3GPP em 1404. O UE 200 processa uma mensagem de resposta com uma notificação de que o acesso não 3GPP a 5GCN 100 não é permitido em 1406. O UE 200 determina que o erro ou a razão para a rejeição é recuperável na etapa 1408. O UE 200 pode corrigir parâmetros nesta segunda solicitação de registro da primeira tentativa. Alternativamente, o UE pode decidir tentar novamente o registro mais tarde com os mesmos parâmetros. O UE 200, então, transmite a segunda solicitação de registro para a 5GCN 100 através da rede de acesso não 3GPP em 1410. O UE 200, então, processa uma resposta de que o estabelecimento de sessão é bem-sucedido na etapa 1412.
[00140] FIG. 15 ilustra um diagrama de fluxo lógico de uma modalidade de um método 1500 de uma solicitação de registro para uma rede de núcleo através de uma rede de acesso não confiável com falha de autenticação devido a erros irrecuperáveis. O UE 200 é configurado para comunicar através de uma rede de acesso não 3GPP com uma função de interoperação (tal como N3IWF 204) em uma 5GCN 100 na etapa 1502. O UE 200 pode solicitar registro para a 5GCN 100 através da rede de acesso não 3GPP em 1504. O UE 200 processa uma mensagem de resposta com uma notificação de que o acesso não 3GPP a 5GCN 100 não é permitido em 1506. O UE 200 determina que o erro ou arazão para a rejeição não é recuperável na etapa 1508. O UE 200 termina a sessão e gera uma resposta com uma mensagem de parada na etapa 1510. O UE 200 recebe uma mensagem de falha e executa um procedimento de exclusão e fecha a sessão na etapa 1512.
[00141] FIG. 16 ilustra um diagrama de blocos esquemático de uma modalidade de equipamento de usuário de exemplo 200. O equipamento de usuário (UE) 200 pode incluir um smartphone, tablet inteligente, laptop, relógio inteligente, PC, TV ou outro dispositivo operável para comunicar através de uma rede de acesso não 3GPP 110. Componentes e funções adicionais ou alternativos podem ser incluídos dentro do UE 200. Além disso, uma ou mais das funções e dos componentes mostrados aqui podem não estar presentes ou combinados com outros componentes ou funções.
[00142] O UE 200 inclui um dispositivo de processamento 1600 e um dispositivo de memória 1602 que são configurados para executar uma ou mais das funções aqui descritas em relação ao UE 200. O dispositivo de memória 1602 pode incluir um objeto gerenciado 1604 que armazena aplicativos e instruções operacionais que controlam o dispositivo de processamento 1600 para executar várias funções aqui descritas. O UE 200 também pode incluir um UICC 1606 que inclui um USIM 1608 para armazenamento do IMSI. Em outras modalidades, o UE 200 não tem capacidades de UICC, por exemplo, o UE 200 não tem um UICC 1606, tem um UICC 1606 inoperável, etc.
[00143] O UE 200 pode incluir ainda um transceptor Bluetooth 1610, um transceptor WLAN (compatível com IEEE 802.11x) 1612, transceptor de RF móvel (3G/4G) 1614 e GPS 1616. O transceptor WLAN 1612 pode operar como uma interface de acesso não 3GPP para uma rede WLAN. O UE 200 pode ainda incluir interfaces de usuário 1618, adaptador CA 1620, módulo de bateria 1622, transceptor USB 1624 e Porta Ethernet 1628.
[00144] O UE 200 pode incluir ainda uma câmera digital 1630, controlador de tela de toque 1632, alto-falante 1634 e microfone 1636. O UE 200 também pode incluir uma unidade de gerenciamento de energia 1638. Um ou mais barramentos de comunicação internos (não mostrados) podem acoplar comunicativamente um ou mais dos componentes do UE 200.
[00145] FIG. 17 ilustra um diagrama de blocos esquemático de uma modalidade de uma AMF 202 de exemplo. A AMF 202 inclui qualquer nó ou quaisquer nós com a funcionalidade da AMF 202. A AMF 202 pode ser integrada com outros nós na 5GCN 100. Componentes e funções adicionais ou alternativos podem ser incluídos dentro da AMF 202. Além disso, uma ou mais das funções e dos componentes mostrados neste documento podem não estar presentes ou combinados com outros componentes ou funções ou nós. A AMF 202 inclui um dispositivo de processamento 1700 e um dispositivo de memória 1702 que são configurados para executar uma ou mais das funções aqui descritas em relação a AMF 202. A AMF 202 pode incluir uma interface de rede 1704 que inclui portas para interface com outros nós de rede na 5GCN
100.
[00146] FIG. 18 ilustra um diagrama de blocos esquemático de uma modalidade de uma N3IWF 204 de exemplo. A N3IWF 204 pode ser um ponto de acesso em uma rede de área local sem fio, um gateway em uma rede de área local ou outro tipo de nó incluindo as funções de interoperação aqui descritas. A N3IWF 204 pode ser integrada com outros nós em uma rede de acesso ou 5GCN 100. Componentes e funções adicionais ou alternativos podem ser incluídos dentro da N3IWF 204. Além disso, uma ou mais das funções e dos componentes mostrados aqui podem não estar presentes ou combinados com outros componentes ou funções.
[00147] A N3IWF 204 inclui um dispositivo de processamento 1800 e um dispositivo de memória 1802 que são configurados para executar uma ou mais das funções aqui descritas. A N3IWF 204 pode incluir uma primeira interface de rede 1804 (por exemplo, portas Ethernet, portas IP) para fazer a interface com outros nós de rede na 5GCN 100. A N3IWF 204 também pode incluir um ou mais outros tipos de interfaces para comunicar com o UE, tal como um transceptor WLAN 1806 (por exemplo, compatível com redes do tipo IEEE 802.1x WLAN). A N3IWF 204 também pode incluir um transceptor de RF móvel 1808 compatível com uma interface de ar celular. O UE 200 pode comunicar com a N3IWF 204 usando um ou mais do transceptor WLAN 1806 ou do transceptor de RF móvel 1808.
[00148] Em uma modalidade, o dispositivo de processamento é configurado para receber o pedido de Associação de Segurança IPsec (SA) do UE 200 através da rede de acesso não-3GPP não confiável e executar um protocolo de autenticação do UE 200 na rede de acesso não-3GPP não confiável, tal como protocolo IKE. A N3IWF 204 pode, então, obter uma resposta de autenticação indicando que a solicitação de SA de IPsec não é aceita pela rede de núcleo. A N3IWF 204 pode, então, gerar uma resposta de autenticação para o UE 200, em que a resposta de autenticação indica que o acesso à rede de núcleo pelo UE 200 através da rede de acesso não confiável é rejeitado.
[00149] Um dispositivo de processamento, conforme descrito neste documento, inclui pelo menos um dispositivo de processamento, tal como um microprocessador, microcontrolador, processador de sinal digital, microcomputador, unidade de processamento central, matriz de portas programáveis em campo, dispositivo lógico programável, máquina de estado, circuitos lógicos, circuitos analógicos, circuitos digitais e/ou qualquer dispositivo que manipule sinais (analógicos e/ou digitais) com base em codificação rígida dos circuitos e/ou das instruções operacionais. Um dispositivo de memória é um dispositivo de memória não transitória e pode ser uma memória interna ou uma memória externa, e a memória pode ser um único dispositivo de memória ou uma pluralidade de dispositivos de memória. O dispositivo de memória pode ser uma memória somente de leitura, memória de acesso aleatório, memória volátil, memória não volátil, memória estática, memória dinâmica, memória flash, memória cache e/ou qualquer dispositivo de memória não transitória que armazene informações digitais. O termo "módulo" é usado na descrição de uma ou mais modalidades de elementos neste documento. Um módulo inclui um ou mais dispositivos de processamento e/ou um ou mais dispositivos de memória não transitória operáveis para executar uma ou mais funções, conforme possa ser descrito neste documento. Um módulo pode operar de forma independente e/ou em conjunto com outros módulos e pode utilizar o dispositivo de processamento e/ou memória de outros módulos e/ou instruções operacionais de outros módulos. Como também usado neste documento, um módulo pode conter um ou mais submódulos, cada um dos quais pode ser um ou mais módulos.
[00150] Como pode ser usado neste documento, o termo "operável para" ou "configurável para" indica que um elemento inclui um ou mais de circuitos, instruções, módulos, dados, entrada(s), saída(s), etc., para realizar uma ou mais das funções correspondentes descritas ou necessárias e pode ainda incluir acoplamento inferido com um ou mais outros itens para executar as funções correspondentes descritas ou necessárias. Como também podem ser usados neste documento, o(s) termo(s) "acoplado", "acoplado a", "conectado a" e/ou "conectando" ou "interconectando" inclui conexão direta ou link entre nós/dispositivos e/ou conexão indireta entre nós/dispositivos via um item interveniente (por exemplo, um item inclui, mas não está limitado a, um componente, um elemento, um circuito, um módulo, um nó, dispositivo, elemento de rede, etc.). Como pode ainda ser usado neste documento, conexões inferidas (isto é, onde um elemento está conectado a outro elemento por inferência) incluem conexão direta e indireta entre dois itens da mesma maneira que "conectado a".
[00151] Observem que os aspectos da presente divulgação podem ser descritos neste documento como um processo que é representado como um esquemático, um fluxograma, um diagrama de fluxo, um diagrama de estrutura ou um diagrama de blocos. Embora um fluxograma possa descrever as operações como um processo sequencial, muitas das operações podem ser executadas em paralelo ou simultaneamente. Além disso, a ordem das operações pode ser rearranjada. Um processo é terminado quando suas operações são concluídas. Um processo pode corresponder a um método, uma função, um procedimento, uma subrotina, um subprograma, etc. Quando um processo corresponde a uma função, seu término corresponde a um retorno da função à função de chamada ou à função principal.
[00152] As várias características da divulgação aqui descritas podem ser implementadas em diferentes sistemas e dispositivos sem afastamento da divulgação. Deve ser notado que os aspectos anteriores da divulgação são meramente exemplos e não serão interpretados como limitando a divulgação. A descrição dos aspectos da presente divulgação se destina a ser ilustrativa e não a limitar o escopo das reivindicações. Como tal, os presentes ensinamentos podem ser prontamente aplicados a outros tipos de aparelhos e muitas alternativas, modificações e variações serão evidentes para os especialistas na técnica.
[00153] No relatório descritivo anterior, certos aspectos representativos da invenção foram descritos com referência a exemplos específicos. Várias modificações e mudanças podem ser feitas, no entanto, sem afastamento do escopo da presente invenção como estabelecido nas reivindicações. O relatório descritivo e as figuras são ilustrativas, em vez de restritivas, e modificações se destinam a ser incluídas dentro do escopo da presente invenção. Por conseguinte, o escopo da invenção deve ser determinado pelas reivindicações e seus equivalentes legais em vez de meramente pelos exemplos descritos. Por exemplo, os componentes e/ou elementos recitados em quaisquer reivindicações de aparelho podem ser montados ou de outro modo configurados operacionalmente em uma variedade de permutações e, por conseguinte, não estão limitados à configuração específica recitada nas reivindicações.
[00154] Mais ainda, certos benefícios, outras vantagens e soluções para problemas foram descritos acima com respeito a modalidades particulares; no entanto, qualquer benefício, vantagem, solução para um problema, ou qualquer elemento que possa fazer qualquer benefício, vantagem ou solução ocorrer ou ficar mais acentuada não serão interpretados como características ou componentes críticos, necessários ou essenciais de todas ou quaisquer reivindicações.
[00155] Como usado neste documento, os termos "compreendem", "compreende", "compreendendo", "tendo", "incluindo", "inclui" ou qualquer variação dos mesmos, se destinam a referenciar uma inclusão não exclusiva, de modo que um processo, método, artigo, composição ou aparelho que compreenda uma lista de elementos não inclua apenas esses elementos recitados, mas possa incluir também outros elementos que não expressamente listados ou inerentes a tal processo, método, artigo, composição ou aparelho. Outras combinações e/ou modificações das estruturas, arranjos, aplicações, proporções, elementos, materiais ou componentes acima descritos usados na prática da presente invenção, além daqueles não especificamente recitados, podem ser variadas ou de outra forma particularmente adaptadas para ambientes específicos, especificações de fabricação, parâmetros de projeto ou outros requisitos operacionais sem afastamento dos princípios gerais da mesma.
[00156] Mais ainda, referência a um elemento no singular não se destina a significar "um e apenas um", a menos que especificamente assim declarado, mas em vez disso "um ou mais". A menos que especificamente declarado de outro modo, o termo “algum” se refere a um ou mais.
Todos os equivalentes estruturais e funcionais aos elementos dos vários aspectos descritos ao longo desta divulgação que sejam conhecidos ou mais tarde venham a ser conhecidos dos versados na técnica são expressamente incorporados aqui por referência e se destinam a ser abrangidos pelas reivindicações.
Mais ainda, nada divulgado neste documento se destina a ser dedicado ao público, independentemente de tal divulgação ser explicitamente recitada nas reivindicações.
Nenhum elemento de reivindicação será interpretado de acordo com as disposições de 35 U.S.C. §122(f) como um elemento tipo "meio mais função", a menos que o elemento seja expressamente recitado usando a frase “meio para” ou, no caso de uma reivindicação de método, o elemento seja recitado usando a frase “etapa para".

Claims (18)

REIVINDICAÇÕES
1. Nó de função de interoperação para gerenciar uma conexão de rede através de uma rede de acesso não confiável a uma rede de núcleo, caracterizado pelo fato de que compreende: uma primeira interface de rede configurada para comunicar com equipamento de usuário (UE) através da rede de acesso não confiável; uma segunda interface de rede configurada para comunicar com um ou mais nós na rede de núcleo; e um dispositivo de processamento configurado para: processar uma solicitação de um estabelecimento de conexão com a rede de núcleo do UE na rede de acesso não confiável e gerar uma solicitação para a rede de núcleo; determinar se o estabelecimento de conexão não é aceito pela rede de núcleo; e gerar uma mensagem de resposta para o UE, em que a mensagem de resposta inclui um erro indicando que o estabelecimento da conexão através da rede de acesso não confiável não é permitido pela rede de núcleo.
2. Nó de função de interoperação, de acordo com a reivindicação 1, caracterizado pelo fato de que o dispositivo de processamento é configurado para: receber da primeira interface de rede uma solicitação de autenticação e estabelecimento de conexão segura do UE através da rede de acesso não confiável; gerar uma solicitação de autenticação e verificação de assinatura e transmitir a solicitação de autenticação e verificação de assinatura através da segunda interface de rede em direção à Função de Gerenciamento de Acesso e Mobilidade (AMF); receber da segunda interface de rede uma resposta para autenticação e verificação de assinatura da AMF; e gerar uma mensagem de resposta Internet Key Exchange (IKE) para o UE com uma carga útil NAS incluindo o erro indicando que o estabelecimento de conexão através da rede de acesso não confiável não é permitido pela rede de núcleo.
3. Nó de função de interoperação, de acordo com a reivindicação 2, caracterizado pelo fato de que o dispositivo de processamento é ainda configurado para: receber uma resposta da Função de Gerenciamento de Acesso e Mobilidade encapsulando uma mensagem de Registration Reject incluindo um valor de causa 5GMM indicando acesso de não 3GPP a 5GCN não é permitido; e gerar a mensagem de resposta IKE com uma carga útil incluindo um tipo de mensagem indicando que o estabelecimento de conexão não é aceito pela rede de núcleo.
4. Nó de função de interoperação, de acordo com a reivindicação 2, caracterizado pelo fato de que o dispositivo de processamento é ainda configurado para gerar a mensagem de resposta IKE por qualquer de: gerar a mensagem de resposta IKE com uma carga útil de notificação incluindo um tipo de mensagem de notificação privada indicando uma razão de falha; ou gerar a mensagem de resposta IKE com a carga útil de notificação incluindo o tipo de mensagem de notificação privada indicando que acesso não 3GPP não confiável à rede de núcleo 5G (5GCN) não é permitido.
5. Nó de função de interoperação, de acordo com qualquer uma das reivindicações anteriores, caracterizado pelo fato de que o dispositivo de processamento é ainda configurado para: transmitir a mensagem de resposta para o UE, em que a mensagem de resposta indica que o estabelecimento de conexão não é aceito pela rede de núcleo; receber uma mensagem de parada do UE; e gerar uma mensagem de falha para o UE.
6. Nó de função de interoperação, de acordo com a reivindicação 5, caracterizado pelo fato de que o dispositivo de processamento é ainda configurado para: processar a mensagem de parada do UE, em que a mensagem de parada inclui um formato de mensagem 5G-Stop tendo um campo de identificador de mensagem e em que o campo de identificador de mensagem inclui um identificador 5G-Stop.
7. Nó de função de interoperação, de acordo com qualquer uma das reivindicações anteriores, caracterizado pelo fato de que qualquer: da solicitação para o estabelecimento de conexão do UE na rede de acesso não confiável inclui uma mensagem de solicitação IKE para iniciar uma Associação de Segurança (SA) de IPsec com a rede de núcleo, ou a rede de núcleo é uma 5GCN e a rede de acesso não confiável é uma rede de acesso não 3GPP.
8. Função de gerenciamento de Acesso e Mobilidade (AMF) para manipular uma solicitação de conexão de rede do nó de função de interoperação, caracterizada pelo fato de que compreende: uma interface de rede configurada para comunicar com um nó de função de interoperação e uma função de autenticação em uma rede de núcleo; e um dispositivo de processamento configurado para: processar uma solicitação de autenticação e estabelecimento de conexão segura para um UE através de uma rede de acesso não confiável; gerar uma solicitação de autenticação e verificação de assinatura para uma Função de Servidor de Autenticação (AUSF); determinar uma resposta para a autenticação e verificação de assinatura para indicar uma falha de autenticação; e gerar uma mensagem de resposta de autenticação e estabelecimento de conexão segura encapsulando na mensagem de resposta um valor de causa indicando que acesso à rede de núcleo não é permitido através da rede de acesso não confiável.
9. AMF, de acordo com a reivindicação 8, caracterizada pelo fato de que a rede de acesso não confiável é uma rede de acesso não 3GPP e a rede de núcleo é uma rede de núcleo 5G (5GCN).
10. AMF, de acordo com a reivindicação 9, caracterizada pelo fato de que o dispositivo de processamento é configurado para: encapsular na mensagem de resposta uma mensagem Registration Reject que inclui o valor de causa, em que o valor de causa inclui um valor de causa 5GMM indicando que o acesso não 3GPP a 5GCN não é permitido.
11. AMF, de acordo com a reivindicação 10, caracterizado pelo fato de que o dispositivo de processamento é configurado para: gerar uma indicação de falha Extensible Authentication Protocol (EAP) na mensagem de resposta.
12. Equipamento de usuário caracterizado pelo fato de que compreende: uma interface de rede configurada para comunicar com um nó de função de interoperação através de uma rede de acesso não confiável; e um dispositivo de processamento configurado para: gerar uma solicitação de registro para estabelecimento de sessão segura em uma rede de núcleo; processar uma mensagem de resposta do nó de função de interoperação; e determinar da mensagem de resposta que o estabelecimento de sessão segura através da rede de acesso não confiável não é permitido pela rede de núcleo.
13. Equipamento de usuário, de acordo com a reivindicação 12, caracterizado pelo fato de que a rede de acesso não confiável é uma rede de acesso não 3GPP e a rede de núcleo é uma rede de núcleo 5G (5GCN).
14. Equipamento de usuário, de acordo com a reivindicação 13, caracterizado pelo fato de que o dispositivo de processamento é ainda configurado para: gerar uma mensagem de parada indicando um final para a solicitação de registro para estabelecimento de sessão segura para a 5GCN; e transmitir a mensagem de parada através da rede de acesso não 3GPP para o nó de função de interoperação.
15. Equipamento de usuário, de acordo com a reivindicação 14, caracterizado pelo fato de que o dispositivo de processamento é ainda configurado para: gerar a mensagem de parada como uma mensagem formatada de EAP-Response incluindo um campo de identificador de mensagem definido como 5G-Stop.
16. Equipamento de usuário, de acordo com a reivindicação 15, caracterizado pelo fato de que o dispositivo de processamento é ainda configurado para: processar uma mensagem de falha EAP do nó de função de interoperação; e executar um procedimento de deleção de associação de segurança.
17. Equipamento de usuário, de acordo com a reivindicação 13, caracterizado pelo fato de que o dispositivo de processamento é ainda configurado para: tentar novamente registro com a 5GCN gerando uma segunda solicitação de registro para estabelecimento de sessão segura com a 5GCN; e determinar de uma segunda mensagem de resposta do nó de função de interoperação que o estabelecimento de conexão através da rede de acesso não confiável foi bem-sucedido.
18. Equipamento de usuário, de acordo com a reivindicação 17, caracterizado pelo fato de que o dispositivo de processamento é ainda configurado para: gerar a segunda solicitação de registro para estabelecimento de sessão segura para a 5GCN com parâmetros atualizados.
Petição 870200162542, de 29/12/2020, pág. 177/199 REDE DE ACESSO 3GPP 104
REDE DE ACESSO NÃO
REDES DE NÚCLEO REDES DE ACESSO 3GPP CONFIÁVEL 5G 102 108 100 1/16
REDE DE ACESSO NÃO 3GPP CONFIÁVEL 106
REDE DE ACESSO NÃO 3GPP NÃO CONFIÁVEL 110 REDES DE ACESSO NÃO 3GPP (N3AN)
BR112020026940-9A 2018-06-30 2019-06-28 Manipulação de falha de acesso não 3gpp a 5gcn não sendo permitido BR112020026940A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862692722P 2018-06-30 2018-06-30
US62/692.722 2018-06-30
PCT/US2019/039992 WO2020006515A1 (en) 2018-06-30 2019-06-28 Handling failure of non-3gpp access to 5gcn not being allowed

Publications (1)

Publication Number Publication Date
BR112020026940A2 true BR112020026940A2 (pt) 2021-03-30

Family

ID=67470646

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112020026940-9A BR112020026940A2 (pt) 2018-06-30 2019-06-28 Manipulação de falha de acesso não 3gpp a 5gcn não sendo permitido

Country Status (15)

Country Link
US (1) US20210136582A1 (pt)
EP (1) EP3811588A1 (pt)
JP (2) JP7317056B2 (pt)
KR (3) KR102542210B1 (pt)
CN (2) CN116647394A (pt)
AU (2) AU2019293046B2 (pt)
BR (1) BR112020026940A2 (pt)
CA (1) CA3104374A1 (pt)
CL (1) CL2020003401A1 (pt)
CO (1) CO2021000912A2 (pt)
MX (1) MX2021000159A (pt)
PH (1) PH12020552227A1 (pt)
SG (1) SG11202012478QA (pt)
WO (1) WO2020006515A1 (pt)
ZA (1) ZA202100508B (pt)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020064107A1 (en) * 2018-09-27 2020-04-02 Lenovo (Singapore) Pte. Ltd. Accessing a 5g network via a non-3gg access network
CN113141676B (zh) * 2020-01-19 2022-10-11 大唐移动通信设备有限公司 非3gpp接入的终端进入连接状态的方法及通信设备
EP4107922A1 (en) * 2020-02-21 2022-12-28 Telefonaktiebolaget LM Ericsson (publ) Determination of trust relationship of non-3gpp access networks in 5gc
EP4111722A4 (en) * 2020-03-30 2023-08-23 Samsung Electronics Co., Ltd. METHOD AND APPARATUS FOR PROVIDING AN AKMA SERVICE IN A WIRELESS COMMUNICATION SYSTEM
EP4295641A4 (en) * 2021-02-20 2024-06-19 Telefonaktiebolaget LM Ericsson (publ) PROCEDURE AND SYSTEM IN 3GPP NETWORKS FOR REPORTING VOWIFI CALLS OVER UNTRUSTED NON-3GPP ACCESS
US11729849B1 (en) * 2021-07-20 2023-08-15 T-Mobile Usa, Inc. UE retry during network overload
CN116980897A (zh) * 2022-04-22 2023-10-31 华为技术有限公司 通信方法和装置
CN115175264A (zh) * 2022-07-21 2022-10-11 亚信科技(中国)有限公司 接入核心网的方法、装置及处理器可读存储介质
CN115868125A (zh) * 2022-09-07 2023-03-28 北京小米移动软件有限公司 通信方法、装置、系统、电子设备及介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2362444T3 (es) * 2007-01-04 2011-07-05 Telefonaktiebolaget Lm Ericsson (Publ) Método y aparato para determinar un procedimiento de autentificación.
CN102448064B (zh) * 2008-04-11 2015-09-16 艾利森电话股份有限公司 通过非3gpp接入网的接入
JP5602840B2 (ja) * 2010-04-16 2014-10-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 経路切替システム、経路切替方法、及び移動端末
CN111064756B (zh) * 2015-08-07 2022-01-18 华为技术有限公司 终端接入3gpp网络的处理方法及装置
JP6727294B2 (ja) * 2015-09-22 2020-07-22 華為技術有限公司Huawei Technologies Co.,Ltd. ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム
EP3151599A1 (en) * 2015-09-30 2017-04-05 Apple Inc. Authentication failure handling for cellular network access through wlan
US9877198B1 (en) * 2016-09-08 2018-01-23 Alcatel-Lucent Usa Inc. Network access backoff mechanism
US10736072B2 (en) * 2016-11-27 2020-08-04 Lg Electronics Inc. De-registration method in wireless communication system and apparatus therefor
US10327278B2 (en) * 2017-03-24 2019-06-18 Qualcomm Incorporated Mechanisms for establishing user plane connectivity for non-3GPP access
TWI719445B (zh) * 2018-04-17 2021-02-21 新加坡商聯發科技(新加坡)私人有限公司 處理進接類型限制資訊方法及其使用者設備

Also Published As

Publication number Publication date
JP2023156302A (ja) 2023-10-24
MX2021000159A (es) 2021-05-27
AU2019293046B2 (en) 2022-03-31
KR102666042B1 (ko) 2024-05-13
CA3104374A1 (en) 2020-01-02
KR102435266B1 (ko) 2022-08-22
CO2021000912A2 (es) 2021-04-19
JP2021530896A (ja) 2021-11-11
SG11202012478QA (en) 2021-01-28
US20210136582A1 (en) 2021-05-06
CN112602298B (zh) 2023-06-30
AU2022204645B2 (en) 2024-06-13
KR102542210B1 (ko) 2023-06-14
KR20210024152A (ko) 2021-03-04
JP7317056B2 (ja) 2023-07-28
AU2022204645A1 (en) 2022-07-21
KR20220119762A (ko) 2022-08-30
CN112602298A (zh) 2021-04-02
EP3811588A1 (en) 2021-04-28
CL2020003401A1 (es) 2021-07-02
ZA202100508B (en) 2022-07-27
AU2019293046A1 (en) 2021-01-21
PH12020552227A1 (en) 2021-06-28
CN116647394A (zh) 2023-08-25
KR20230086812A (ko) 2023-06-15
WO2020006515A1 (en) 2020-01-02

Similar Documents

Publication Publication Date Title
KR102428262B1 (ko) 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
JP7317056B2 (ja) 5gcnへの非3gppアクセスが許可されない失敗の対処
CN110249648B (zh) 由未经认证的用户设备执行的用于会话建立的系统和方法
US20230080836A1 (en) Determination of trust relationship of non-3gpp access networks in 5gc
RU2774977C1 (ru) Обработка отказа в случае не разрешения доступа к 5gcn не от 3gpp
JP2024095698A (ja) 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置

Legal Events

Date Code Title Description
B25G Requested change of headquarter approved

Owner name: NOKIA SOLUTIONS AND NETWORKS OY (FI)