CN109417709A - 用于在移动无线网络系统中认证接入的方法和系统 - Google Patents

用于在移动无线网络系统中认证接入的方法和系统 Download PDF

Info

Publication number
CN109417709A
CN109417709A CN201780041912.5A CN201780041912A CN109417709A CN 109417709 A CN109417709 A CN 109417709A CN 201780041912 A CN201780041912 A CN 201780041912A CN 109417709 A CN109417709 A CN 109417709A
Authority
CN
China
Prior art keywords
eap
entity
key
network
seaf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201780041912.5A
Other languages
English (en)
Other versions
CN109417709B (zh
Inventor
R.拉加杜拉伊
李德基
李知彻
孙仲济
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of CN109417709A publication Critical patent/CN109417709A/zh
Application granted granted Critical
Publication of CN109417709B publication Critical patent/CN109417709B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/02Diversity systems; Multi-antenna system, i.e. transmission or reception using multiple antennas
    • H04B7/04Diversity systems; Multi-antenna system, i.e. transmission or reception using multiple antennas using two or more spaced independent antennas
    • H04B7/0413MIMO systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/27Transitions between radio resource control [RRC] states

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开涉及用于会聚支持超过第四代(4G)系统的更高数据速率的第五代(5G)通信系统和物联网技术的通信方法和系统。本公开可以应用于基于5G通信技术和物联网相关技术的智能服务,诸如智能家居、智能建筑、智能城市、智能汽车、联网汽车、医疗保健、数字教育、智能零售、安保服务。在此的实施例实现了用于在移动无线网络系统中认证接入的方法。所述方法包括:由可扩展认证协议(EAP)认证器通过高速分组数据无线电链路和通过无线电接入网络的信令接口从接入终端接收封装的EAP分组。EAP分组通过非接入层(NAS)接口、无线电资源控制(RRC)接口和N1接口中的至少一个被封装。EAP认证器位于无线电接入网络的核心网络中的安全节点处。此外,所述方法包括由EAP认证器认证网络接入订阅和接入终端的服务中的至少一个。

Description

用于在移动无线网络系统中认证接入的方法和系统
技术领域
本申请涉及无线通信,更具体地,涉及用于在移动无线网络系统中认证接入的方法和系统。本申请基于2016年7月5日提交的申请号为201641023119和2016年7月21日提交的申请号为201641025054的印度申请,并要求其优先权,其公开内容在此通过引用方式被并入。
背景技术
为满足自4G通信系统部署以来日益增加的对无线数据业务的需求,已经努力开发改进的5G或准5G(pre-5G)通信系统。因此,5G或准5G通信系统也称为“超4G网络”或“后LTE系统”。考虑在更高频率(mmWave)频带(例如60GHz频带)中实现5G通信系统以便实现更高的数据速率。为减少无线电波的传播损耗并增加传输距离,在5G通信系统中讨论了波束成形、大规模多输入多输出(MIMO)、全维MIMO(FD-MIMO)、阵列天线、模拟波束成形、大规模天线技术。此外,在5G通信系统中,正在基于先进小小区、云无线电接入网络(RAN)、超密集网络、设备到设备(D2D)通信、无线回程、移动网络、协作通信、协调多点(CoMP)、接收端干扰消除等进行对系统网络改进的开发。在5G系统中,已经开发了作为高级编码调制(ACM)的混合FSK和QAM调制(FQAM)和滑动窗口叠加编码(SWSC)和作为高级接入技术的滤波器组多载波(FBMC)、非正交多址接入(NOMA)和稀疏码多址接入(SCMA)。
作为在其中人类生成和消费信息的以人为中心的连接网络的互联网现在正在向物联网(IoT)发展,在物联网(IoT)中,分布式实体(诸如物)在没有人干预的情况下交换和处理信息。作为通过与云服务器连接的物联网技术和大数据处理技术的结合的万物互联(IoE)已经出现。作为技术要素,对于物联网实施已经需要诸如“传感技术”、“有线/无线通信和网络基础设施”、“服务接口技术”和“安全技术”,近来已在研究传感器网络、机器对机器(M2M)通信、机器类型通信(MTC)等。这样的物联网环境可以提供智能互联网技术服务,其通过收集和分析在连接的事物之间产生的数据来为人类生活创造新价值。通过现有信息技术(IT)与各种工业应用的融合和结合,物联网可应用于多种领域,包括智能家居、智能建筑、智能城市、智能汽车或联网汽车、智能电网、医疗保健、智能家电和先进医疗服务。
与此一致,已进行了将5G通信系统应用于物联网的各种尝试。例如,诸如传感器网络、机器类型通信(MTC)和机器到机器(M2M)通信的技术可以通过波束成形、MIMO和阵列天线来实现。作为上述大数据处理技术的云无线电接入网络(RAN)的应用也可以被认为是5G技术和物联网技术之间的融合的示例。
第三代合作伙伴计划(3GPP)发起了关于“下一代系统”的工作,其包括用于下一代系统(FS_NextGen)和5G新无线电(NR)接入技术(FS_NR_newRAT)的架构和安全性。该工作项目的主要目标是为下一代移动网络设计系统架构。根据3GPP文档SP-160227中描述的标准工作项目,新架构应至少支持新无线电接入技术(RAT)、演进的LTE、非3GPP接入类型并最小化接入依赖性。新下一代架构的安全方面的主要要求是:“3GPP系统应支持工业工厂部署,其中网络接入安全由工厂所有者提供和管理,具有ID管理、认证、机密性和完整性”,以及“3GPP系统应支持可以利用不同类型凭证处理的备选认证方法的认证过程,以允许不同的部署方案,例如根据3GPP TR 22.862的标准研究报告的工业工厂自动化。此外,为了满足3GPP SA WG1的要求,架构工作组[TR 23.799]采用以下原则:
a.支持经由不同接入网络连接到5G NextGenCoreNetwork(CN)的用户设备(UE)的认证,包括3GPP技术、非3GPP无线技术、固定宽带接入、安全和不安全的非3GPP接入。
b.假设UE拥有凭证。向UE提供凭证的过程超出了此技术方案的范围。
c.支持统一的认证框架,使UE能够通过不同的接入网技术连接以接入5G NextGenCN。
鉴于上述目标、要求和考虑之下的架构[SP-160464],当前的3GPP系统认证机制不提供的下层无关性(lower-layer agnostic),并且不同于非3GPP系统(例如WLAN等)。
在当前的3GPP系统(例如,LTE、通用移动电信服务(UMTS)等)中,认证机制与非接入层(NAS)紧密结合,并且需要专用硬件(例如,通用集成电路卡(UICC))在UE中存储和执行认证协议(AKA或SIM)。此外,需要3GPP系统具有用于NextGen System(NextGen Core和NR无线电接入技术)的认证框架,其支持:
-不同的凭证
·AKA(USIM)
·证书
·口令
-支持不同的情形
·隔离的操作
·初始凭证配置
·通过免许可的频谱网络(例如,WLAN、LTE-U)接入EPC/NextGenCore
-在不同的可信平台(例如,设备(像KNOX)中的UICC/eUICC/SmartCards/Secure平台)中存储和执行认证协议
-通过NextGen Core与非3GPP接入网络互通
-使用具有不同凭据和不同网络的相同框架
-供应商网络/服务提供商网络/应用服务提供商网络
-支持多种RAT的设备
此外,为了具有统一的认证框架以满足要求,具体地,“处理具有不同类型的凭证的备选认证方法”,需要新认证框架。
考虑到现有3GPP系统的限制和对NextGen的要求,有动力为NextGenSystem使用基于可扩展认证协议(EAP)的认证框架。但是,在采用EAP时,需要解决以下挑战:
·EAP需要在协议消息中封装EAP消息的方式
-不再有接入无关性(access agnostic)
-IP地址分配后可能会发生EAP认证过程。
-现有的EAP封装协议:EAPoL、802.16e、IKEv2、PANA、RADIUS、DIAMETER是接入技术
-EAPoL和802.16e是特定于特定MAC协议的
·现有EPS-AKA认证预计不需要支持通用框架来承载任何其它认证协议
·需要在新无线电(NR)和NextGenCore中封装EAP消息的机制
需要提供将密钥从认证服务器发送到认证器并且还从认证器发送到需要密钥的其它网络实体的机制。
·如果要将EAP用作认证协议,则架构框架的进一步设计需要对以下两个问题做出决策:
·EAP认证器的位置(通常置于第一跳的认证器)
-在NR节点(基站)
-在核心网络(CN)节点(CP-AU)
·下一代网络的EAP封装协议
-通过RRC/NG2的EAP
-通过NAS的EAP
-通过PANA的EAP
-通过IKEv2的EAP
此外,在Rel-13(版本-13)中,作为工作项目(RP-151114)“LTE-WLAN无线电级集成和互通增强”的一部分,3GPP完成了LTE WLAN聚合(LWA)的标准化:LTE-WLAN聚合。在LWA中,LTE无线电接入网络(RAN)通过LTE和WLAN无线电接口聚合业务,与Rel-12双连接(DC)中执行的非常类似:MeNB(主eNB)是LTE RAT(无线电接入技术),SeNB(辅eNB)也是MeNB和SeNB之间的LTE RAT和X2接口。在LWA中:eNB是LTE RAT,SeNB被称为无线终结(Termination)并且正在处理WLAN RAT实体;eNB和WT之间的接口称为Xw。3GPP TS 36.300提供了更多细节DC和LWA,如图16所示,这些细节DC和LWA来自TS 36.300规范。
Rel-13中的LWA仅支持通过WLAN的下行链路(DL)数据业务。LWAAP(3GPP TS36.360)是非常小的协议,仅将分组报头添加到分组数据汇聚协议-协议数据单元(PDCPPDU),其标识分组所属的数据无线电承载(DRB):基于所接收的DRB-ID,UE会知道将分组递送到UE中的哪个PDCP实体(每个DRB,UE具有一个PDCP实体)。PDCP PDU经过WLAN被加密两次:一次由eNB在PDCP级别(基于密钥KeNB的正常LTE加密[TS 33.401]),一次是基于从KeNB导出的密钥S-KWT(用作PMK/PSK[IEEE 802.11])在WLAN级别。为了限制复杂性(例如,当发生切换时何时/如何更新S-KWT),Rel-13LWA规定任何LWA配置(即WLAN部分)在LTE切换时被释放,并且在切换之后如果需要的话再次添加(使用WT添加过程)。
在Rel-14中,新WID“增强型LWA”被批准用于增强Rel-13LWA解决方案(参见RP-160600)。该WID的两个主要目标是:支持通过WLAN的UL数据传输,并支持在没有WT改变的情况下的eNB内和eNB间切换。这两个新目标的结果是当数据经过WLAN时,现在必须考虑在eNB内/eNB间变化时发生了什么,这导致KeNB变化。
发明内容
技术问题
然而,传统方法没有公开关于每当KeNB(针对每次切换,eNB密钥改变)改变时是否改变密钥S-KWT(SeNB-无线终结)的任何方法。此外,如果需要进行改变,则必须立即或稍后针对每个KeNB改变执行S-KWT密钥改变。此外,如果不需要立即针对每个KeNB改变S-KWT,则eNB需要知道决定稍后基于什么事件改变S-KWT以及基于什么事件需要立即改变。此外,是否针对每个KeNB向WT提供S-KWT。而且,如果不需要针对每个KeNB立即改变S-KWT,则现有技术似乎没有公开如何由eNB处理WLAN中的S-KWT刷新。
在支持WLAN RAT(802.11ad)中的高数据速率时,WLAN AN中的密钥(WLAN密钥)的频繁改变(由于LTE中的KeNB的改变)导致QoE恶化。对WLAN密钥进行改变的需求是值得怀疑的,从性能角度来看,建议在LTE中不要总是随着密钥改变的频率立即改变密钥,而是稍后改变密钥。但是,需要有关于何时以及如何独立地改变密钥的方法。为了遵守安全原则,如果PDCP加密可以处理任何安全风险,则改变根密钥应该改变所有派生密钥,但是稍后改变WLAN密钥是可以接受的。然而,存在对是否可以放宽PDCP层加密以避免通过在多个实体上加密引起的复杂性的考虑。如果放宽PDCP层加密或者如果执行PDCP层加密,则需要识别当KeNB改变时S-KWT的结果。此外,需要确定是否需要在切换时立即或在稍后的时间点改变密钥S-KWT。在LTE中,通过执行小区间/小区内切换来实现KeNB改变(刷新/重新加密)。以上详细的密钥刷新问题适用于LTE-WLAN互通以及也适用于5G NR-WLAN互通。
因此,期望解决上述缺点或其他缺点或至少提供有用的替代方案。
技术方案
在此的实施例公开了一种用于在移动无线网络系统中认证接入的方法。该方法包括由可扩展认证协议(EAP)认证器通过高速分组数据无线电链路和通过无线电接入网络的信令接口从接入终端接收封装的EAP分组。EAP分组通过非接入层(NAS)接口、无线电资源控制(RRC)接口和N1接口中的至少一个被封装。EAP认证器位于无线电接入网络的核心网络中的安全节点处,以更安全地处理主密钥。此外,该方法包括由EAP认证器认证网络接入订阅和接入终端的服务中的至少一个。
在一实施例中,该方法还包括由EAP认证器生成包括至少一个安全密钥的安全内容。此外,该方法包括向无线电接入网络中的至少一个实体提供至少一个安全性以使得能够进行在无线电接入网络中的至少一个实体与接入终端之间的安全通信。
在一实施例中,EAP分组使用EAP封装协议来封装。
在一实施例中,EAP封装协议包括N2信令协议、NAS协议、信令协议、和在接入终端和安全锚功能(SEAF)实体之间的RRC协议、中的至少一个。
在一实施例中,安全节点是SEAF实体、认证管理域(AMF)实体和认证服务器功能(AUSF)实体中的至少一个。
在一实施例中,无线电接入网络的实体将EAP分组从接入终端中继到EAP认证器。
在一实施例中,无线电接入网络是5G核心网络(5GC)、NG无线电接入网络(NG-RAN)、演进分组核心(EPC)、长期演进(LTE)系统和下一代网络系统中的至少一个。
在一实施例中,EAP认证器(例如,SEAF)通过AMF实体认证接入终端。在一实施例中,AMF实体与AUSF实体接口连接(interface with)以执行认证。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中安全终结由接入网络实体以及AMF/SEAF实体执行。
在一实施例中,EAP认证器功能分布在无线电接入网络中的实体之间,其中安全终端由接入网络实体、AMF、gNB、NR节点B、演进节点B(eNB)和SEAF实体中的至少一个执行。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中安全终结由AMF执行,并且AMF和SEAF是单独的实体。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中认证由SEAF/AMF发起。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中认证由SEAF发起,并且AMF和SEAF是单独的实体。
在一实施例中,EAP认证器功能通过AMF/SEAF将EAP分组路由到适当的EAP服务器而分布在5G网络系统中的不同实体之间。
在一实施例中,EAP认证器功能通过SEAF将EAP分组路由到适当的EAP服务器而分布在5G网络系统中的不同实体之间,其中AMF和SEAF是单独的实体。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中SEAF接收主密钥、导出进一步密钥并将所述密钥分发给其它网络实体。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中AMF实体执行接入技术特定EAP封装协议和Diameter/Radius协议的桥接。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中接入终端(AT)的接入控制由无线电接入网络实体(gNB)执行。
在一实施例中,当AT不具有有效的安全上下文时或者当AT仅需要执行认证过程时,注册过程用于触发AT与网络的认证过程。注册过程包括注册类型作为如下所示之一:初始注册和认证过程。
在一实施例中,当UE请求网络接入时,网络实体从SEAF获取密钥。
在此的实施例公开了一种用于在移动无线网络系统中认证接入的装置。该装置包括耦合到存储器和处理器的EAP认证器。EAP认证器被配置为通过高速分组数据无线电链路和通过无线电接入网络的信令接口从接入终端接收封装的EAP分组。EAP分组在非接入层(NAS)接口、无线电资源控制(RRC)接口和N12接口中的至少一个上被封装。EAP认证器位于无线电接入网络的核心网络中的安全节点处。EAP认证器被配置为认证网络接入订阅和接入终端的服务中的至少一个。
在此的实施例公开了一种用于在移动无线网络系统中认证接入的系统。该系统包括第一无线电接入网络中的接入终端、无线电接入网络实体以及通过无线电接入网络实体与接入终端通信的EAP认证器。EAP认证器位于第二无线电接入网络中的安全节点处。EAP认证器被配置为通过高速分组数据无线电链路从接入终端接收封装的EAP分组。EAP分组通过NAS协议、RRC协议和N12接口中的至少一个被封装。EAP认证器被配置为认证网络接入预定和接入终端的服务中的至少一个。
在一实施例中,第二无线电接入网络是第一无线电接入网络的下一代核心网络。
当结合以下描述和附图考虑时,将更好地理解和了解在此的实施例的这些和其它方面。然而,应该理解,以下描述虽然表示优选实施例及其许多具体细节,但是是以说明而非限制的方式给出的。在不脱离本发明的精神的情况下,可以在此处的实施例的范围内进行许多改变和修改,并且在此的实施方式包括所有这样的修改。
有益技术效果
根据本发明的实施例,可能解决由于WLAN中的密钥的频繁改变引起的QoE下降问题,同时支持WLAN RAT中的高数据速率。
附图说明
本发明被图解在附图中,贯穿附图,相同的附图标记在各附图中指示相应部分。从以下参考附图的描述中,将更好地理解在此的实施例,在附图中:
图1是图解根据在此公开的实施例的用于在移动无线网络系统中认证接入的系统的概述的示意图;
图2是图解根据在此公开的实施例的用于在移动无线网络系统中认证接入的系统的概述的示意图,其中该系统包括3GPP接入网络、核心网络和非3GPP接入网络;
图3是图解根据在此公开的实施例的用于在移动无线网络系统中认证接入的系统的概述的示意图,其中该系统包括3GPP接入网络、核心网络和第三方域;
图4和5是根据在此公开的实施例的用于在移动无线网络系统中认证接入的系统的图解示意图,其中该系统包括NextGen主网络和NextGen受访网络;
图6a图解了根据在此公开的实施例的基于通过RRC的EAP和基于通过NG1-C/S1-C的EAP的基于EAP的认证框架;
图6b图解了根据在此公开的实施例的基于通过NAS的EAP的基于EAP的认证框架;
图6c图解了根据在此公开的实施例的基于通过PANA/IKEv2的EAP的基于EAP的认证框架;
图7a图解了根据在此公开的实施例的用于NR中继(NRR)情形的通过PC5-C、RRC的EAP和通过NG5-C/S1-C的EAP;
图7b图解了根据在此公开的实施例的用于NRR情形的通过NAS的EAP;
图7c图解了根据在此公开的实施例的用于NRR情形的通过PANA/IKEv2的EAP;
图8a图解了根据在此公开的实施例的在初始附接过程期间的认证过程的顺序流程图;
图8b是图解根据在此公开的实施例的用于执行单独认证以支持统一认证框架的逐步过程的顺序流程图;
图9图解了根据在此公开的实施例的通过非人物联网部署执行EAP-TLS涉及的逐步过程的顺序流程图;
图10图解了根据在此公开的实施例的使用NG1接口的初始附接过程期间的认证过程的顺序流程图;
图11图解了根据在此公开的实施例的示出通过使用NG1接口的非人类物联网部署来执行EAP-TLS涉及的逐步过程的顺序流程图;
图12图解了根据在此公开的实施例的密钥映射过程;
图13图解了根据在此公开的实施例的移动无线网络系统中的密钥分发流程;
图14是根据在此公开的实施例的用于在移动无线网络系统中认证接入的装置的各种硬件元件的框图;
图15是图解根据在此公开的实施例的用于在移动无线网络系统中认证接入的方法的流程图;
图16是根据现有技术的非整理LWA(LTE WLAN聚合)整体架构的示意图;
图17是根据现有技术的用于共处情形的LWA无线电协议架构的框图;
图18a和图18b是图解根据在此公开的实施例的用于决定和发起WT释放和WT添加过程以确保eNB在WLAN中的密钥改变的逐步过程的序列图;
图19a和图19b是图解根据在此的实施例的每当WT从eNB接收到执行密钥改变的指示时由WT立即发起4次握手的逐步过程的序列图;
图20a和图20b是图解根据在此公开的实施例的每当UE从eNB接收到执行密钥改变的指示时由UE立即发起WLAN重新关联过程的逐步过程的序列图;
图21a和图21b是图解根据在此公开的实施例的用于基于LTE密钥刷新/重新配置密钥情形来决定和发起WLAN重新关联过程以由UE执行密钥改变的逐步过程的序列图;
图22a和图22b是图解根据在此公开的实施例的用于通过提供密钥立即执行密钥改变的明确指示的逐步过程的序列图;
图23a和图23b是图解根据在此公开的实施例的用于立即执行密钥改变的隐式指示的逐步过程的序列图;
图24是图解根据在此公开的实施例的用于由eNB决定和触发WLAN密钥更新过程的方法的流程图;和
图25是图解根据在此公开的实施例的用于由eNB和WT独立地触发WLAN密钥更新过程的方法的流程图。
具体实施方式
在此的实施例的主要目的是提供一种用于在移动无线网络系统中认证接入的方法和系统。
在此的实施例的另一目的是通过可扩展认证协议(EAP)认证器从接入终端接收封装的EAP分组。
在此的实施例的另一目的是在无线电接入网络的核心网络中的安全节点处配置EAP认证器以更安全地处理锚密钥或主密钥。
在此的实施例的另一目的是通过非接入层(NAS)封装EAP分组。
在此的实施例的另一目的是通过无线电资源控制(RRC)封装EAP分组。
在此的实施例的另一目的是通过N2接口封装EAP分组。
在此的实施例的另一目的是由EAP认证器认证网络接入订阅和接入终端的服务中的至少一个。
在此的实施例的另一目的是生成包括至少一个安全密钥的安全内容。
在此的实施例的另一目的是向无线电接入网络中的至少一个实体提供至少一个安全性以使得能够进行与无线电接入网络中的至少一个实体和接入终端之间的安全通信。
在此的实施例的另一目的是在异构无线电接入技术聚合中执行安全密钥改变。
在此的实施例的另一目的是为eNB提供请求接入终端立即执行密钥改变过程的选项。
在此的实施例的另一目的是为eNB提供稍后基于WLAN配置请求接入终端执行密钥改变过程的选项。
下面将参考在附图中示出并在以下描述中详述的非限制性实施例,更全面地解释在此的实施例及其各种特征和有利细节。省略对众所周知的组件和处理技术的描述,以免不必要地模糊在此的实施例。此外,在此描述的各种实施例不一定是相互排斥的,因为一些实施例可以与一个或多个其它实施例组合以形成新实施例。除非另有说明,否则在此所用的术语“或”是指非排他性的。在此使用的示例仅旨在便于理解可以实践在此的实施例的方式,并且进一步使本领域技术人员能够实践在此的实施例。因此,这些实施例不应被解释为限制在此的实施例的范围。
如本领域中的传统,可以根据执行所描述的一个或多个功能的块来描述和说明实施例。这些块(这里可称为单元或模块等)在物理上由模拟或数字电路实现,诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、硬连线电路等,并且可以可选地由固件和软件驱动。例如,电路可以实现在一个或多个半导体芯片中,或者实现在诸如印刷电路板等的基板支撑件上。构成块的电路可以由专用硬件实现,或者由处理器(例如,一个或多个编程的微处理器和相关电路)实现,或者由执行块的一些功能的专用硬件和执行块的其他功能的处理器的组合实现。在不脱离本发明的范围的情况下,实施例的每个块可以在物理上分成两个或更多个交互和离散块。同样地,在不脱离本发明的范围的情况下,实施例的块可以物理地组合成更复杂的块。
附图用于帮助容易地理解各种技术特征,并且应当理解,在此呈现的实施例不受附图限制。因此,除了在附图中特别陈述的那些之外,本公开应该被解释为扩展到任何改变、等同和替代。尽管在此可以使用术语第一、第二等来描述各种元件,但是这些元件不应受这些术语的限制。这些术语通常仅用于将一个元件与另一元件区分开。
术语,用户设备(UE)、接入终端(AT)、NextGen UE(N-UE)在本公开中可互换使用。术语SEAF单元、SEAF实体和SEAF在本公开中可互换使用。术语AUSF单元、AUSF实体和AUSF在本公开中可互换使用。术语ARPF单元、ARPF实体ARPF和统一数据管理(UDM)实体在本公开中可互换使用。术语UPF单元、UPF实体和UPF在本公开中可互换使用。术语SMF单元、SMF实体和SMF在本公开中可互换地使用。术语MMF单元、MMF实体、MMF、核心接入和移动性管理功能(AMF)实体、AMF单元和AMF在本公开中可互换使用。
在本说明书中,核心网络(CN)指的是新NextGencore和增强的EPC二者,以支持在整个说明书中可互换使用的新无线电(NR)或NG无线电接入网络(NG-RAN)。EPC中的CP-AU等效节点在本说明书中是MME。术语CP-AU节点、认证管理域(AMF)实体和SEAF实体在本公开中可互换使用。在本说明书中,认证是指基本认证。基本认证过程的目的是实现AT和核心网络之间的相互认证,并提供在后续安全过程中在AT和核心/无线电网络之间使用的必要密钥资料。在本说明书中,第三方域认证是指辅助认证。
在此的实施例公开了用于在移动无线网络系统中认证接入的方法。该方法包括由可扩展认证协议(EAP)认证器通过高速分组数据无线电链路和经由无线电接入网络的信令接口从接入终端接收封装的EAP分组。EAP分组通过非接入层(NAS)协议、无线电资源控制(RRC)协议和N12接口中的至少一个被封装。EAP认证器位于无线电接入网络的核心网络中的安全节点处。此外,该方法包括由EAP认证器(主要认证)认证网络接入订阅和接入终端的服务中的至少一个。
与传统方法不同,所提出的发明提供了无线电资源控制(RRC)、S1和NG1-C信令消息中的规定以携带诸如EAP消息、TLS、AKA、PANA(新消息和过程)之类的认证协议消息。为了具有可接受的安全级别和有效的密钥处理,在核心网络中的认证器不像在典型的EAP框架中那样是无线电接入网络(RAN)中的第一节点。此外,在所提出的申请中,NR将认证消息中继到NextGen核心中的认证器。此外,在所提出的发明中,在SEAF/AMF与gNB或非3GPP互通功能(N3IWF)之间的N2接口中和在SEAF/AMF与SMF消息之间N11接口中进行规定以用于在不同网络实体之间携带密钥。
与在现有系统和现有方法中作为移动性管理和会话管理信令过程的一部分执行认证不同,所提出的方法执行单独认证以支持统一认证框架。所提出的方法可用于避免在安全上下文建立之前发送私密信息。通过执行认证过程,AT和SEAF/AMF建立安全上下文并开始NAS、AS的安全保护(完整性保护和/或加密/译成密文)并且还可以保护用户平面业务。一旦执行了认证,则AT请求服务或向AMF提供网络片段信息。或者,AMF/SEAF执行认证,然后在单独的NAS消息中从AT请求敏感信息或参数(像,网络片段选择辅助信息(NSSAI)),并且作为响应,AT提供受到保护的敏感信息或参数(完整性保护和/或加密/译成密文)。
所提出的方法在从核心网络接收到认证成功消息之前仅允许UE和核心网络之间的紧急呼叫消息、认证协议和相关信令消息。
现在参考附图,更具体地参考图1至15和18至25,示出了优选实施例。
图1是示出根据在此公开的实施例的用于在移动无线网络系统中认证接入的系统1000a的概况的示意图。
参考图1,在一实施例中,系统1000a包括接入终端(AT)100、接入网络200和核心网络300。在一实施例中,核心网络300包括EAP认证器302和AAA/EAP服务器304。AT 100可以是例如但不限于蜂窝电话机、平板电脑、智能电话机、膝上型电脑、个人数字助理(PDA)、全球定位系统、多媒体设备、视频设备、游戏控制台等。
本领域技术人员还可以将AT 100称为用户设备(UE)、移动台、用户台、移动单元、用户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、移动用户站、接入终端、移动终端、无线终端、远程终端、手机、用户代理、移动客户端等。AT 100符合多个不同的通信协议,这些通信协议可以通过在5G网络内通信而作为多模设备操作。
接入终端100位于第一无线电接入网络中。EAP认证器302通过接入网络200与接入终端100通信。EAP认证器302位于第二核心网络中的安全位置。EAP认证器302被配置为通过高速率分组数据无线电链路从接入终端100接收封装的EAP分组。
在一实施例中,EAP分组通过NAS协议被封装。在一实施例中,EAP分组通过RRC协议被封装。在一实施例中,EAP分组在N12接口上被封装。
在一实施例中,EAP分组通过S1-C被封装。在一实施例中,EAP分组通过aIKEv2被封装。在一实施例中,EAP分组通过PANA被封装。
此外,EAP认证器302被配置为认证网络接入订阅和接入终端100的服务中的至少一个。
在认证接入终端100和接入终端100的服务中的至少一个后,EAP认证器302被配置为生成包含至少一个安全密钥的安全内容。在生成包含至少一个安全密钥的安全内容后,EAP认证器302被配置为向无线电接入网络中的至少一个实体提供至少一个生成的安全内容以使得能够进行在无线电接入网络中的至少一个实体和接入终端100之间的安全通信。
在一实施例中,使用EAP封装协议来封装EAP分组,其中EAP封装协议包含在AT 100和SEAF(未示出)之间的N1信令协议、NAS协议和信令协议中的至少一个。
在一实施例中,安全节点是SEAF、AMF和AUSF中的至少一个。
在一实施例中,无线电接入网络200中的实体将EAP分组从接入终端100中继到EAP认证器302。
在一实施例中,第二核心网络与第一无线电接入网络不同。
在一实施例中,第二无线电接入网络是第一无线电接入网络的下一代核心网络。
在一实施例中,EAP认证器302被配置为通过AMF实体认证接入终端100,其中AMF实体与AAA/EAP服务器304(即AUSF实体)接口连接以执行认证。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中安全终结由无线电接入网络实体以及AMF/SEAF实体(未示出)执行。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中安全终结由AMF执行,并且AMF和SEAF是单独的实体。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中认证由SEAF/AMF发起。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中认证由SEAF发起,并且AMF和SEAF是单独的实体。
在一实施例中,EAP认证器功能通过AMF/SEAF将EAP分组路由到合适的EAP服务器而分布在5G网络系统中的不同实体之间。
在一实施例中,当AMF和SEAF是单独的实体时,通过SEAF将EAP分组路由到合适的EAP服务器,EAP认证器功能分布在5G网络系统中的不同实体之间。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中SEAF接收主密钥或锚密钥、导出进一步的密钥并将密钥分发给其它网络实体。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中AMF实体执行接入技术特定的EAP封装协议和Diameter/Radius协议的桥接。
在一实施例中,EAP认证器功能分布在5G网络系统中的不同实体之间,其中AT 100的接入控制由无线电接入网络实体(gNB)执行。
在一实施例中,当AT 100不具有有效的安全上下文时或者当AT 100仅需要执行认证过程时,注册过程被用于触发AT 100与网络的认证过程。注册过程包括以下注册类型之一:初始注册和认证过程。
在一实施例中,当AT 100请求网络接入时,网络实体从SEAF获取密钥。
图1示出了系统1000a的有限概况,但是应该理解,其它实施例不限于此。此外,系统1000a包括彼此通信的任何数量的硬件或软件组件。举例来说,在设备上运行的应用和设备本身都可以是组件。
图2是图解根据在此公开的实施例的用于在移动无线网络系统中认证接入的系统1000b的概况的示意图,其中该系统包括3GPP接入网络、核心网络300和非3GPP接入网络。
参考图2,在一实施例中,系统1000b包括一组接入终端(AT)100a和100b、接入网络200、接入点400、EAP认证器302、AAA/EAP服务器304和CP-SM(SMF)/MM(AMF)306。AT 100a与接入网络200通信,并且AT 100b与非3GPP接入网络(即,WLAN)中的接入点400通信。
在一实施例中,提出了用于NextGensystem的基于EAP的认证框架,其具有用于不同接入系统的统一认证框架以接入演进分组核心(EPC)和/或下一代(NextGen)核心。NextGencore中的AAA/EAP服务器304(AUSF)由不同的无线电接入技术(RAT)使用,并且还由像UE生产商、工厂服务器这样的不同利益相关者以用于供应(provisioning)、应用级别认证和维护。RFC 3748中定义的认证器功能,位于核心网络中以更安全的方式支持移动期间的密钥处理(例如,公共陆地移动网络内/间切换(PLMN HO))并且还支持不同的密钥终结点。NextGen RAT(N-RAN)或新无线电(NR)接入技术或LTE接入技术(eNB)和认证器302将来自AT 100的EAP消息中继到认证服务器304。
图2描绘了NextGensystem的认证框架。在UE 100和AAA/EAP服务器304之间执行相互认证。AAA服务器304可以与归属订户服务器(HSS)304接口连接以检索认证凭证和订阅细节。与现有机制不同,认证机制与移动管理和会话管理信令分离。在成功的相互认证后,CP-AU节点306将安全上下文(安全密钥)提供给NR实体和其它核心网络实体以用于通信保护(接口保护)。
图2示出了系统1000b的有限概况,但是应该理解,其它实施例不限于此。此外,系统1000b包括彼此通信的任何数量的硬件或软件组件。举例来说,在设备上运行的应用和设备本身都可以是组件。
图3是根据本文公开的实施例的用于在移动无线网络系统中认证接入的系统1000c的概况的示意图,其中该系统包括3GPP接入网络、核心网络300和第三方域。
参考图3,在一实施例中,系统1000c包括接入终端100、接入网络200、EAP认证器302、一组AAA/EAP服务器304a和304b以及CP-SM(SMF)/MM(AMF)306。AAA服务器304a位于核心网络中。AAA服务器304b位于第三方域中。下面将结合图1和图2来说明接入终端100、接入网络200、EAP认证器302、AAA服务器304a和304b以及CP-SM/MM 306的操作和功能。
通过EPC/NextGen核心中的AAA服务器304a的EAP消息:在一实施例中,NextGen核心和/或EPC中的AAA服务器304a当做AAA代理并且将EAP有效载荷转发到合适的第三方AAA服务器304b。该情形的认证器可以是应用服务器或CP-AU(如图3所示),并且它位于NextGen系统中(在AAA代理前)。AAA服务器304a基于UE标识(例如,IMSI/IMEI)和/或UE提供的应用/服务信息(例如,域名、服务请求、服务请求ID)来识别合适的第三方服务器。
经由认证器的EAP消息:在一实施例中,认证器302通过使用由NextGen UE(N-UE)提供给网络的标识来利用第三方AAA/EAP服务器304b而识别第三方认证(辅助认证)并且相应地发起EAP认证。CP-AU/MME/SMF充当此情形的认证者。
NR的EAP中继:在一实施例中,NR直接连接到第三方AAA服务器304b。NR当作此情形的认证者。基于UE提供的ID和/或UE提供的应用/服务信息(例如,域名、服务请求、服务请求ID)解析第三方AAA服务器304b。
图3示出了系统1000c的有限概况,但是应该理解,其它实施例不限于此。此外,系统1000c包括彼此通信的任何数量的硬件或软件组件。举例来说,在设备上运行的应用和设备本身都可以是组件。
图4和5是图解根据在此公开的实施例的用于在移动无线网络系统中认证接入的系统的示意图,其中该系统包括NextGen归属网络和NextGen受访网络。
参考图4,系统1000d包括一组接入终端100a和100b、接入网络200a和200b、一组安全锚功能(SEAF)单元308a和308b(SEAF的公共标签是308)、一组认证服务器功能(AUSF)单元310a和310b(AUSF的公共标签是310)、一组认证凭证存储库和处理功能(ARPF)单元312a和312b(ARPF的公共标签是312)、一组用户平面功能(UPF)单元314a和314b(UPF的公共标签是314)、一组会话管理功能(SMF)单元316a和316b(SMF的公共标签是316)以及一组MMF单元318a和318b(MMF的公共标签是318)。在一实施例中,SEAF和MMF共处。
在一实施例中,经由SEAF 308(即认证者)在NextGen UE和AUSF 310(即EAP服务器)之间执行相互认证。SEAF 308与AUSF 310接口连接以执行认证。SEAF 308配置有用于将认证请求路由到适当的AUSF的相关信息。AUSF310与ARPF 312接口连接以检索认证信息和订阅细节。认证信令经过受访网络中的AUSF代理。NextGen UE通过NR与SEAF 308接口连接,用于认证过程。
与3GPP系统中的现有机制不同,NextGen系统认证过程与移动管理和会话管理过程分开。独立执行认证过程使得能够进行CN/AN的解耦和独立演进,并且还支持认证服务器功能与网络中的MM和SM功能的解耦,因此如果需要,则可以将MM和SM功能移向NR。
在成功的相互认证后,SEAF 308从AUSF 310获得密钥资料,并将安全上下文提供给NR实体和其它核心网络实体以用于通信保护。在成功认证和安全关联建立过程后,NextGen UE执行移动管理和会话管理过程。
在一实施例中,RRC和NG2信令协议封装UE 100和SEAF 308之间的EAP有效载荷。NR接入网络执行对EAP有效载荷的中继功能。NR负责过滤来自未经认证的NextGen UE的分组。NR仅允许EAP消息通过,直到NR从核心网络300接收到安全上下文。
在下文中,定义了核心网络300中的四个与认证相关的功能:
ARPF单元312:ARPF单元312存储在认证中使用的长期安全凭证,并执行使用长期安全凭证作为输入的任何加密算法。ARPF单元312还存储用户简档(的安全相关部分)。ARPF单元312应驻留在运营商的归属网络或第三方系统中的安全环境中,该环境向未经授权的物理接入暴露。ARPF单元312与AUSF单元310交互。
在一实施例中,长期安全凭证包括共享的永久秘密,诸如EPS AKA或EAP-AKA中的密钥K。
AUSF单元310:与ARPF单元312交互并终结来自SEAF单元308的请求的认证功能。ARRF 312是统一数据管理(UDM)的一部分或统一数据管理(UDM)。
在一实施例中,AUSF单元310还可承担转发认证消息的AAA代理的角色。
SEAF单元308:在一实施例中,核心网络中的认证功能与AUSF单元310和NG-UE交互,并且从AUSF单元310接收作为NG-UE认证处理的结果而建立的中间/锚密钥。SEAF单元308还与移动管理(MM)功能交互(例如在初始附接期间)以及与SCMF交互。
SCMF单元:SCMF单元从SEAF 308接收用于导出进一步的(例如,特定于接入网络)密钥的密钥。SCMF单元应驻留在运营商网络的安全环境中,该环境不向未经授权的物理接入暴露。在漫游情况下,SCMF单元驻留在受访网络中。
SPCF单元:SPCF单元基于适用于安全策略协商(例如UP保护协商)的服务应用而提供安全策略。安全策略协商可以基于以下信息:UE 100的安全能力、网络/网络片段的安全能力和基于服务应用的安全策略。SPCF单元可以基于服务应用将安全策略分发给网络实体(例如,SMF、AMF)和/或分发给UE 100。SPCF单元应驻留在运营商网络中的安全环境中,该环境不向未授权的物理接入暴露。SPCF可以是独立的或与PCF共处,如果SPCF与PCF共处,则可以通过PCF和AF之间的NG5接口检索基于服务应用的安全策略。
图4示出了系统1000d的有限概况,但是应该理解,其它实施例不限于此。此外,系统1000d包括彼此通信的任何数量的硬件或软件组件。举例来说,在设备上运行的应用和设备本身都可以是组件。
参考图5,系统1000E包括一组接入终端100a和100b、接入网络200a和200b、一组SEAF单元308a和308b、一组AUSF单元310a和310b、一组ARPF单元312a和312b、一组UPF单元314a和314b、一组SMF单元316a和316b以及一组MMF单元318a和318b。该组接入终端100a和100b、接入网络200a和200b、SEAF单元308a和308b、AUSF单元310a和310b、该组ARPF单元312a和312b、该组UPF单元314a和314b、该组SMF单元组316a和316b以及该组MMF单元318a和318b的操作和功能将结合图4进行说明。
在一实施例中,经由MMF单元318和SEAF单元308在NextGen UE和AUSF单元310之间执行相互认证。SEAF单元308与AUSF单元310接口连接以执行认证。SEAF单元308配置有用于将认证请求路由到适当的AUSF的相关信息。AUSF单元310与ARPF 312接口连接以检索认证信息和订阅细节。
与3GPP系统中的现有机制不同,NextGensystem认证过程与初始附接过程期间的移动管理过程一起执行。在成功的相互认证后,SEAF单元308从AUSF 310获得密钥资料,并将安全上下文提供给NR实体和其它核心网络实体以用于通信保护。如果在UE和UPF 314之间终结UP安全性,则由MMF318经由SMF 316将用于保护UP的密钥KUP提供给UPF 314。
在一实施例中,NAS信令协议(在NG1上)封装UE和SEAF之间的EAP有效载荷。NR接入网络为EAP有效载荷执行中继功能。NR负责过滤来自未经认证的NextGen UE的分组。NR仅允许EAP消息通过,直到NR从核心网络300接收到安全上下文。
图5示出了系统1000e的有限概况,但是应该理解,其它实施例不限于此。此外,系统1000e包括彼此通信的任何数量的硬件或软件组件。举例来说,在设备上运行的应用和设备本身都可以是组件。
图6a示出了根据在此公开的实施例的基于通过RRC的EAP和通过NG1-C/S1-C的EAP的基于EAP的认证框架。CP-AU节点306和/或MME执行认证器功能。如图6a所示,在N-RAN(NR)中需要两个EAP下层封装协议和桥接功能。RRC和NG1-C信令协议封装UE 100和CP-AU节点306之间的EAP有效载荷。NR接入网络为EAP有效载荷执行桥接/中继功能。在一个实施例中,还进行通过分组数据汇聚协议(PDCP)的EAP(假设PDCP报头携带用于指示EAP作为有效载荷的信息,如果该有效载荷被作为用户平面有效载荷携带)或者在与RRC相同的层上通过PDCP携带认证参数。在这种情况下,与像RRC这样的相同层可以被称为认证容器。
在另一实施例中,认证容器可以通过UE 100和NR之间的接口以及NR和核心网络之间的接口(可以是NG1-C或S1-C或S1-MME)携带。一种可能性是使用网络接口协议(在CP-AU节点306和其它网络实体(CP-xx,xx可以是移动性管理和/或会话管理实体)之间)或用于网络实体(CP-AU到CP-xx)之间的密钥分发的Diameter协议。NR将不执行接入控制(直到启用安全上下文),这意味着在CP-AP节点从核心网络300接收到认证成功消息之前NR仅允许UE100与核心网络300之间的紧急呼叫消息、认证协议(容器)和相关信令消息。如图6a所示,在传输层使用流控制传输协议(STCP)协议,应当注意,可以使用任何传输层协议以及隧道协议(例如GTP-C)。
图6b示出了根据在此公开的实施例的根据通过NAS的EAP的基于EAP的认证框架。如图6b所示,NAS协议封装EAP有效载荷。MSK与KASME一样用于生成其它密钥。在另一实施例中,CP-AU节点(例如,SEAF/AMF 306)和/或MME执行认证器功能。CP-AU节点支持NAS协议(即使CP-AU节点是独立的物理实体)。这导致减少EAP封装协议的数量。
EAP认证器302的主要功能是(1)认证和接入控制的发起(阻止未认证的UE接入),(2)EAP分组到适当的EAP服务器的路由,(3)接入技术特定的EAP封装协议和Diameter/Radius协议的桥接,(4)从EAP服务器接收主/锚密钥以用于通信保护,以及(5)在网络中为UE 100提供安全终结点。
由于认证器负责接收锚密钥和保护无线电接入网络(空中接口),为了效率,在现有技术中,认证器始终置于边缘以用于安全终结。根据RFC 3748中的描述,5G系统中的用于EAP认证器302的明显实体是gNB。然而,在gNB中具有认证器功能将降低3GPP系统中的安全级别,因为gNB不在运营商的安全域中并且不满足以下5G安全架构决策:(1)主密钥不应暴露于不安全位置,(2)基于UE 100与网络实体之间的不同接口的多个安全终结点(UE100与gNB/UPF之间的UP保护、UE 100与gNB之间的接入层保护以及UE100和AMF之间的非接入层信令保护),(3)为了效率,安全密钥导出应该发生在网络层次结构的更高层次并具有可接受的安全级别,因为有许多安全终结点,(4)主密钥将用于所有通信保护,因此NAS应该处理密钥分发(因为NAS无法从gNB(在不安全的位置)获取密钥以用于NAS保护)。
此外,基于上面列出的架构决策,为了提高安全级别,认证器不能像现有技术那样放置在不安全位置(gNB)的网络边缘处。因此,为了采用5G系统的EAP框架,认证器的功能在不同的5G网络实体之间分解。认证器功能(接入控制)在gNB处,因为gNB是网络接入的第一个节点。启动认证的功能由SEAF/AMF执行,因为SEAF/AMF管理安全上下文。AUSF(EAP服务器)的识别由SEAF(EAP分组的认证器功能路由)执行,因为其它实体(特别地gNB)不被允许来解析AUSF。由于NAS终结于SEAF/AMF,因此由SEAF/AMF执行桥接。从AUSF接收密钥的主要功能由SEAF执行。SEAF导出进一步的密钥并将其分发到多个安全终结点。5G(NR,MMF)中有多个安全终结点。
图6c图解了根据在此公开的实施例的基于通过PANA/IKEv2的EAP的基于EAP的认证框架。PANA或IKEv2协议用于将EAP从UE 100携带到CP-AU/MME。对于通过PANA/IKEv2的EAP,在IP地址分配后执行认证。
图7a图解了根据在此公开的实施例的用于NR中继(NRR)情形的通过PC5-C、RRC的EAP和通过NG5-C/S1-C的EAP。在图7a中,NR中继(NRR)情形,PC5信令协议在PC5接口中封装EAP有效载荷,然后中继节点中的RRC协议在Uu接口中封装EAP消息。中继节点(RN)和NR执行桥接功能。
图7b图解了根据在此公开的实施例的用于NRR情形的通过NAS的EAP。在图7b中,NAS封装EAP有效载荷并且中继节点执行NAS/CN信令消息的RRC切换。该替代方案需要在CP-AU节点306(即,安全功能实体)中支持NAS协议。
图7c图解了根据在此公开的实施例的用于NRR情形的通过PANA/IKEv2的EAP。在图7c中,由中继节点执行基于IP的路由以中继EAP消息。
图8a图解了根据在此公开的实施例的示出初始附接过程期间的认证过程的顺序流程图。NextGen UE(即,AT 100)执行(802a)与NR 800的RRC连接建立过程。在RRC连接建立后,NextGen UE通过发送附接/服务请求消息来发起(804a)与MMF 318的附接过程。NextGenUE连同附接/服务请求消息包含标识。
在从NextGen UE接收到附接请求消息时,如果不存在与MMF 318的可用安全上下文,则MMF 318向SEAF 308发送(806a)密钥请求消息。
在一实施例中,如果SEAF不具有该上下文,则执行直到消息824a的以下过程。SEAF308向AUSF 310发送(808a)Auth1_Req消息。基于Auth1_Req消息,AUSF 310向ARPF 312发送(810a)ARPF_Req消息。基于ARPF_Req消息,ARPF 312向AUSF 310发送(812a)ARPF_Resp消息。基于ARPF_Resp消息,AUSF 310向SEAF 308发送(814a)Auth1_Resp消息。基于Auth1_Resp消息,SEAF 308向AT 100发送(816a)AuthUE1_Req消息。AT 100向SEAF 308发送(818a)AuthUE1_Resp消息。SEAF 308向AUSF 310发送(820a)Auth2_Req消息。AUSF 310向SEAF 308发送(822a)包括成功信息的Auth2_Resp消息。基于Auth2_Resp消息,SEAF 308向AT 100发送(824a)AuthUE_Sucess消息。
在一实施例中,SEAF 308通过从ARPF 312请求认证凭证来发起EAP认证过程。在UE100和AUSF 310之间执行EAP认证。UE 100和AUSF 310之间以及AUSF 310和ARPF 312之间的EAP消息交换的数量取决于EAP方法。在成功认证过程的结束处时,SEAF 308从AUSF 310获得中间密钥(MSK)。
在一实施例中,如果NextGen UE 100已经被用SEAF 308认证并且如果中间密钥是有效的,则SEAF 308提供密钥(如步骤826a所示),而不执行认证步骤(即,步骤808-824)。
在一实施例中,SEAF 308导出(826a)进一步的密钥(KNAS、KNR、KUP)并在密钥响应消息中将这些导出的密钥提供给MMF 318。SCMF始终与SEAF308共处。在一实施例中,SEAF308向MMF 318提供接入锚密钥,并且MMF318从接入锚密钥导出进一步的密钥(KNAS、KNR、KUP)。AMF和SEAF之间的通信可以包括一个或多个AMF。
此外,MMF 318向NR 800提供(828a)密钥(KNR)。NR 800还基于配置导出(830a)请求密钥以保护AS消息以及UP分组。在一实施例中,如果AT 100正在从非3GPP网络请求服务,则MMF 318向非3GPP网络实体提供接入特定密钥。
如果UP安全性在UPF 314处终结(832a),则MMF 318在会话建立过程期间经由SMF316向UPF 314提供(834a)密钥(KUP)。
图8b图解了示出执行单独认证以支持统一认证框架涉及的逐步过程的顺序流程图。所提出的方法可用于避免在安全上下文建立前发送私密/敏感信息。通过单独执行认证过程,AT 100和SEAF 308/AMF建立安全上下文并开始保护(完整性保护和/或加密/译成密码)连续NAS消息、AS消息并且还可以保护用户平面业务,如步骤802b至818b中详述的。
在一实施例中,在802b,AT 100在注册请求消息中包括作为认证的注册类型、UE标识和UE能力(不包含有效的安全上下文和/或执行初始附接过程和/或自RM-REGISTERED(RM注册)的状态迁移)。AT 100不包括任何敏感或未加保护的信息。一旦执行了认证,则AT 100请求服务或者在保护消息中向AMF提供网络片段信息。如图8b所示,在步骤818b后,使用建立的安全上下文来保护来自AT 100的消息。通过使用步骤820b或步骤822b,消息受到保护并包含敏感信息,像网络片段标识(NSSAI)。
在一实施例中,AMF/SEAF 308执行认证,然后在单独的NAS消息中从AT 100请求敏感信息或参数(像,网络片段选择辅助信息(NSSAI)),并且作为响应,AT 300提供受到保护(完整性保护和/或加密/译成密码)的敏感信息或参数。
在一实施例中,AT 100向RAN发送(802b)注册请求连同作为认证的注册请求类型、永久标识和UE能力。RAN本身启动(804b)SEAF 308/AMF选择。此外,RAN向SEAF 308/AMF发送(806b)注册请求连同作为认证的注册请求类型、永久标识和UE能力。SEAF 308/AMF本身启动(808b)AUSF选择。SEAF308/AMF向AUSF 310发送(810a)认证发起请求。UDM向AUSF 310发送(812b)认证向量请求/响应。在AT 100和AUSF 310之间执行相互认证(814b)。在AT100和SEAF 308/AMF之间执行安全上下文建立(816b)。在AT 100和RAN之间执行安全上下文建立(818b)。利用818b,完成注册请求类型认证的注册过程。在一实施例中,利用注册请求类型作为认证的注册过程包括在成功认证后由AMF进行的与UDM的更新位置过程。然后,AT 100可以向SEAF308/AMF发送(822a)注册请求连同初始注册、TEMP ID和网络片段信息。AT100向SEAF 308/AMF发送(824b)服务请求连同初始注册和TEMP ID。
图9图解了示出根据在此公开的实施例的通过非人类物联网部署执行EAP-TLS涉及的逐步过程的顺序流程图。
参考图9,NextGen UE 100执行(902)与NR 800的RRC连接建立过程。NextGen UE100可以是物联网(IoT)设备。在RRC连接建立后,NextGen UE100通过发送附接请求消息来发起(904)与MMF 318的附接过程。NextGen UE100提供标识以及附接请求消息。
在从NextGen UE 100接收到附接请求消息时,当MMF 318没有可用的安全上下文时,MMF 318向SEAF 308发送(906)密钥请求消息。
在一实施例中,SEAF 308向AUSF 310发送(908)Auth1_Req消息。基于Auth1_Req消息,AUSF 310经由SEAF 308向UE 100发送(910)具有EAP-Type(EAP类型)=EAP-TLS、设置的Start(S)位的EAP-请求分组而不发送数据。然后EAP-TLS会话开始,对话方发送具有EAP-类型=EAP-TLS的EAP-响应分组。该分组的数据字段将以TLS记录层格式封装一个或多个TLS记录,该格式包含如步骤912中所示的TLS client_hello握手消息。
此外,AUSF 310向UE 100发送(914)(包括TLS server_hello、TLS服务器证书、TLS服务器密钥交换、TLS客户端证书请求、TLS server_hello_done)的EPA消息。UE 100向AUSF310发送(916)包括TLS客户端证书、TLS client_key_exchange(TLS客户端密钥交换)、TLScertificate_verify(TLS证书验证)、TLS change_cipher_Spec(TLS改变密文规范)、TLS完成的EAP响应消息。在EAP响应后,AUSF 310本身使用CA的根证书来执行(918)客户端证书有效性验证。此外,AUSF 310经由SEAF 308向UE 100发送(920)包括TLS change_cipher_spec和TLS完成的EAP消息。UE 100经由SEAF 308向AUSF310发送(922)EAP响应。此外,AUSF 310经由SEAF 308向UE 100发送(924)EAP成功消息。此外,SEAF 308向MMF 318发送(926)密钥响应消息。基于密钥响应消息,MMF 318向UE 100发送(928)附接接受消息。
在一实施例中,使用UE 100中的订阅证书和由证书颁发机构颁发的服务器证书(可以由运营商拥有或由运营商授权)来执行认证。对应于订阅证书的私有密钥被安全地存储在UE 100中(可以使用对于安全区域#5:NG-UE内的安全性商定的解决方案)。此外,AUSF310可以使用CA的根证书来验证订阅证书。对于用于EAP-TLS的ARPF 312的需求(以验证订阅证书)是特定于实施的。
图10图解了示出根据在此公开的实施例的使用NG1接口的初始附接过程期间的认证过程的顺序流程图。
参考图10,NextGen UE 100执行与NR 800的RRC连接建立过程。在RRC连接建立后,NextGen UE 100通过发送附接请求消息来发起(1002)与MMF 318的附接过程。NextGen UE100提供标识连同附接请求消息。
在从NextGen UE 100接收到附接请求消息时,当MMF 318没有可用的安全上下文时,MMF 318向SEAF 308发送(1004)密钥请求消息。
在一实施例中,SEAF 308向AUSF 310发送(1006)Auth1_Req消息连同标识。基于Auth1_Req消息,AUSF 310向ARPF 312发送(1008)ARPF_Req消息。基于ARPF_Req消息,ARPF312向AUSF 310发送(1010)ARPF_Resp消息。基于ARPF_Resp消息,AUSF 310向SEAF 308发送(1012)Auth1_Resp消息。基于Auth1_Resp消息,SEAF 308发送(1014)AuthUE1_Req。UE 100向UE SE 308发送(1016)AuthUE1_Resp消息。SEAF 308向AUSF 310发送(1018)Auth2_Req消息。AUSF 310向SEAF 308发送(1020)包括成功信息的Auth2_Resp消息。基于Auth2_Resp消息,SEAF 308向UE 100发送(1022)AuthUE_Sucess消息。
在一实施例中,SEAF 308通过从ARPF 312请求认证凭证来发起EAP认证过程。在UE100和AUSF 310之间执行EAP认证。UE 100和AUSF 310之间以及AUSF 310和ARPF 312之间的EAP消息交换的数量取决于EAP方法。在成功认证过程的结束处,SEAF从AUSF 310获得中间密钥(MSK)。
在一实施例中,如果NextGen UE 100已经被用SEAF 308认证并且如果中间密钥有效,则SEAF 308提供密钥而不执行认证(步骤1006-1024)。
SEAF导出(1026)进一步的密钥(KNAS和KUP)并在密钥响应消息中将这些导出的密钥提供给MMF 318。SCMF始终与SEAF共处。
MMF 318向NR 800提供(1028)密钥[KNR]。NR 800进一步基于配置来导出(1030)请求密钥以保护AS消息以及UP分组。
如果UP安全性在UPF 314处终结,则MMF 318在会话建立过程期间经由SMF向UPF314提供(1032)密钥[KUP]。
图11图解了示出根据在此公开的实施例的通过使用NG1接口的非人类物联网部署来执行EAP-TLS涉及的逐步过程的顺序流程图。
参照图11,NextGen UE 100执行(1102)与NR 800的RRC连接建立过程。在RRC连接建立后,NextGen UE 100通过发送附接请求消息来发起(1104)与MMF 318的附接过程。NextGen UE 100提供标识连同附接请求消息。
在从NextGen UE 100接收到附接请求消息时,当MMF 318没有可用的安全上下文时,MMF 318向SEAF 308发送(1106)包括标识的密钥请求消息。
在一实施例中,SEAF 308向AUSF 310发送(1108)包括标识的Auth1_Req消息。基于Auth1_Req消息,AUSF 310经由SEAF 308向UE 100发送(1110)具有EAP-类型=EAP-TLS、被设置的Start(S)位的EAP-请求分组而没有数据。然后EAP-TLS会话开始,对话方发送具有EAP-类型=EAP-TLS的EAP-响应分组。该分组的数据字段将以TLS记录层格式封装一个或多个TLS记录,该格式包含如步骤1112中所示的TLS client_hello握手消息。
此外,AUSF 310向UE 100发送(1114)包括TLS server_hello、TLS服务器证书、TLS服务器密钥交换、TLS客户端证书请求、TLS server_hello_done的EPA消息。UE 100向AUSF310发送(1116)包括TLS客户端证书、TLS client_key_exchange、TLS certificate_verify、TLS change_cipher_Spec、TLS完成的EAP响应消息。在EAP响应后,AUSF 310本身使用CA的根证书执行(1118)客户端证书验证。此外,AUSF 310经由SEAF 308向UE 100发送(1120)包括TLS change_cipher_spec和TLS的EAP消息。UE 100经由SEAF 308向AUSF 310发送(1122)EAP响应。此外,AUSF 310经由SEAF 308向UE 100发送(1124)EAP成功消息。此外,SEAF 308向MMF 318发送(1126)密钥响应消息。基于密钥响应消息,MMF 318向UE 100发送(1128)附接接受消息。
在一实施例中,使用UE 100中的订阅证书和由证书颁发机构颁发的服务器证书(可以由运营商拥有或由运营商授权)来执行认证。对应于订阅证书的私有密钥被安全地存储在UE 100中(可以使用对于安全区域#5:NG-UE内的安全性商定的解决方案)。此外,AUSF310可以使用CA的根证书来验证订阅证书。对于用于EAP-TLS的ARPF 312的需求(以验证订阅证书)是特定于实施的。
图12图解了根据在此公开的实施例的密钥映射过程。在一实施例中,EAP主会话密钥(MSK)被用作根/锚密钥以生成进一步的密钥,如图12所示。由于不能将主密钥(MK)输出到AAA服务器304外,因此MSK用作KASME。可以将MSK用于NAS,将EMSK用于AS。或者,MSK用作为KASME,扩展主会话密钥(EMSK)用作为下一跳(NH)参数。在一实施例中,由于核心网络实体是认证者器,所以AAA服务器304向CP-AU 206/MME 118提供MK。
图13图解了根据在此公开的实施例的移动无线网络系统中的密钥分发流程。AAA服务器304自身执行(1302)相互认证。基于相互认证,AAA服务器304将密钥材料提供(1304)到CP-AU 306/MME 318。CP-AU 306/MME 318使用密钥资料和唯一参数1306导出(1306)进一步的密钥。AAA服务器304基于CP过程将密钥分发(1308)到所配置的实体。
在分发密钥后,NR 800向CP-AU 306/MME 318发送(1310)密钥请求。基于密钥请求,CP-AU 306/MME 318向NR 800发送(1312)密钥响应和密钥。
在分发密钥后,CN实体(MM)1302向CP-AU 306/MME 318发送(1314)密钥请求。基于密钥请求,CP-AU 306/MME 318向CN实体1304发送(1316)密钥响应和该密钥。
在分发密钥后,CN实体(GW)1304将密钥请求发送(1318)到CP-AU306/MME 318。基于该密钥请求,CP-AU 306/MME 318发送(1320)密钥响应以及该密钥到CN实体(GW)1304。
在分发密钥后,LTE 1306将密钥请求发送(1322)到CP-AU 306/MME318。基于该密钥请求,CP-AU 306/MME 318发送(1324)密钥响应以及密钥到LTE 1306。
在一实施例中,考虑到NG-Core内的多个安全终结点,用于密钥分发的两个潜在协议候选者是:NG1-C和Diameter。定义新协议模板以携带密钥,用于分发。基于信令过程由CP-AU 306和/或MME 318提供密钥分发机制,和/或MME基于每个实体的请求来提供密钥。UE和CP-AU(和/或MME)使用唯一参数为每个安全终结点导出密码分离的密钥。参数可以是以下中的至少任何一个:“服务名称(例如,MM实体)”、请求计数器、信令过程的序列数、实体的标识。
图14是根据在此公开的实施例的用于在移动无线网络系统中认证接入的装置1400的各种硬件元件的框图。在一实施例中,该装置包括通信单元1402、EAP认证器302、处理器1404和存储器1406。EAP认证器302耦合到存储器1406和处理器1404。
EAP认证器302被配置为通过高速分组数据无线电链路和通过无线电接入网络的信令接口从接入终端100接收封装的EAP分组。在从接入终端100接收到封装的EAP分组后,EAP认证器302被配置为认证接入终端100和接入终端的服务中的至少一个。
此外,EAP认证器302被配置为生成包括至少一个安全密钥的安全内容。在生成包括至少一个安全密钥的安全内容后,EAP认证器302被配置为向无线电接入网络中的至少一个实体提供至少一个安全性,以使得能够进行无线电接入网络中的至少一个实体和接入终端100之间的安全通信。
通信单元1402被配置为经由一个或多个网络在内部单元之间内部通信以及与外部设备进行通信。存储器与存储单元(未示出)耦合。存储单元可以包括一个或多个计算机可读存储介质。存储单元可以包括非易失性存储元件。这样的非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存、或电可编程存储器(EPROM)或电可擦除和可编程(EEPROM)存储器的形式。另外,在一些示例中,存储单元可以被考虑为是非暂时性存储介质。术语“非暂时性”可以表示存储介质不体现为载波或传播信号。但是,术语“非暂时性”不应解释为存储单元是不可移动的。在一些示例中,存储单元可以被配置为存储比存储器更大量的信息。在某些示例中,非暂时性存储介质可以存储随时间变化的数据(例如,在随机存取存储器(RAM)或高速缓存中)。
尽管图14示出了装置1400的硬件组件,但是应该理解,其他实施例不限于此。在其他实施例中,装置1400可包括更少或更多数量的组件。此外,组件的标签或名称仅用于说明目的,并不限制本发明的范围。可以将一个或多个组件组合在一起以执行相同或基本相似的功能以认证移动无线网络系统中的接入。
图15是图解根据在此公开的实施例的用于在移动无线网络系统中认证接入的方法的流程图1500。1502至1508的操作由EAP认证器302执行。
在1502,该方法包括通过高速分组数据无线电链路和通过无线电接入网络的信令接口从接入终端100接收封装的EAP分组。在1504,该方法包括认证网络接入订阅和接入终端100的服务中的至少一个。在1506,该方法包括生成包括至少一个安全密钥的安全内容。在1508,该方法包括将至少一个安全内容提供给无线电接入网络中的至少一个实体,以使得能够进行与无线电接入网络中的至少一个实体和接入终端100之间的安全通信。
流程图1500中的各种动作、行动、块、步骤等可以以所呈现的顺序、以不同的顺序或同时执行。此外,在一些实施例中,在不脱离本发明的范围的情况下,可以省略、添加、修改、跳过(以及类似操作)上述动作、行动、块、步骤等中的一些。
图18a和图18b是图解根据在此公开的实施例的用于决定和发起WT释放和WT添加过程以确保eNB 200在WLAN中的密钥改变的逐步过程的序列图。图18a和图18b是连续的图。
在一实施例中,当根密钥变为无效时进一步使用导出密钥不是好的安全做法。一旦LTE中间根密钥(KeNB)被改变,优选地立即刷新WLAN密钥(S-KWT)。如果LTE密钥KeNB被泄漏,则导出的WLAN密钥S-KWT也可能被泄漏,直到WLAN WT执行密钥更新。此外,如果网络实体在LTE网络中识别出安全威胁(例如,密钥泄露),则通常通过在LTE中执行密钥刷新/重新配置密钥过程来减轻威胁,然而如果在LTE密钥改变后不立即更新密钥,该威胁在WLAN继续存在。某些情形要求立即进行密钥改变(刷新/重新配置密钥)(例如,当在LTE中执行KeNB重新配置密钥时),而不管PDCP加密是打开/关闭,对于以下情况:
a.长时间使用密钥,
b.计数器校验过程失败,以及
c.密钥同步失败(转到空闲到活动)或激活本地上下文
对于某些情况,需要稍后执行密钥改变(刷新/重新配置密钥)(例如,执行KeNB刷新时)
a.PDCP环绕(wrap around),和
b.切换(由于移动性或为了更好的覆盖范围)
当eNB 200将密钥提供给WT 400时,该信息涉及要对其它RAT隐藏的EPS(密钥改变的目的)。然而,eNB 200需要指示在WLAN接入网络中立即还是稍后(基于配置,在周期性刷新过程期间)要刷新密钥(进入活动状态)。由于连接状态中为密钥改变执行了小区内HO,因此eNB200必须基于LTE密钥改变原因来决定并指示是否需要WLAN中的密钥改变。
在一实施例中,对于每个KeNB(LTE密钥)改变,eNB 200具有请求AT 100和/或WT400立即执行WLAN密钥(S-KWT)改变的选项(这意味着,AT 100和WT 400通过强制WLAN认证立即启动使用新S-KWT)或通过以下选项稍后(基于WLAN配置)执行密钥(S-KWT)改变:
A.eNB 200向WT 400提供新S-KWT并向AT 100提供计数,并指示是立即还是稍后执行WLAN密钥改变(在稍后执行WLAN密钥改变的情况下,WT 400缓存新密钥并根据WLAN配置刷新该密钥(配置可能在执行下一次WLAN认证时采用新密钥))。
B.仅当要立即执行密钥刷新(独立于WT配置)时,eNB 200才向WT 400提供新S-KWT并将WT计数值提供给AT 100。
C.eNB 200具有执行LWA承载释放和添加的选项以立即执行密钥刷新的选项,并且用于“稍后密钥刷新”,对于每个新KeNB eNB 200向WT提供新S-KWT并且向AT 100提供计数,或者每当需要时WT请求密钥。
参考图18a和图18b,eNB 200向WT 400发送(1802)WT添加请求。基于WT添加请求,WT 400向eNB 200发送(1804)WT添加请求确认。基于WT添加请求确认,eNB 200向RR 100发送(1806)RRC连接重新配置消息。基于RRC连接重新配置消息,AT 100向eNB 200发送(1808)RRC连接重新配置完成消息。在发送RRC连接重新配置完成消息之后,AT 100启动(1810)使用新LWA配置并执行WLAN关联过程。WT 400向eNB 200发送(1812)WT关联确认。AT 100发送WLAN连接状态报告发送(1814)到eNB 200。
此外,eNB 200本身执行(1816)KeNB重新配置密钥过程并且决定立即在WLAN中强制使用S-Kwt密钥(这样决定是由于因为PDCP计数器检查过程失败而发生的KeNB刷新)。此外,eNB 200向WT 400发送(1818)WT释放请求。基于WT释放请求,WT 400释放(1820)LWA资源。
此外,eNB 200向AT 100发送(1822)RRC连接重新配置连同释放LWA配置。AT 100向eNB 200发送(1824)RRC连接重新配置完成消息。此外,AT100释放(1826)对WLAN的LWA配置。
此外,eNB 200向WT 400发送(1828)WT添加请求(即,新S-KWT)。基于WT添加请求,WT 400向eNB 200发送(1830)WT添加请求确认。
此外,eNB 200向AT 400发送(1832)RRC连接重新配置消息。基于RRC连接重新配置消息,AT 100向eNB 200发送(1834)RRC连接重新配置完成消息。此外,AT 400启动(1836)使用该新LWA配置并执行WLAN关联过程(包括WLAN认证过程)。
此外,WT 400向eNB 200发送(1838)WT关联确认消息,并且AT 100发送WLAN连接状态报告到eNB 200。
此外,eNB 200执行(1842)KeNB刷新过程并且决定不立即在WLAN中强制使用新S-Kwt密钥(由于因为PDCP计数器环绕而发生KeNB刷新)。此外,eNB 200发送(1844)WT修改请求(即,新S-KWT)到WT 400。基于WT修改请求,WT 400向eNB 200发送(1846)WT修改请求确认消息。
此外,eNB 200将RRC连接重新配置消息连同WT计数值一起发送(1848)到AT 400。AT 400向eNB 200发送(1850)RRC连接重新配置完成消息。
此外,WT 400基于WLAN配置发起(1852)密钥刷新过程以刷新802.11安全性,例如,当执行下一个WLAN认证过程时,此外,WT 400可选地基于配置/等待特定触发/事件来启动(1854)定时器。
在一实施例中,eNB 200决定、发起WT释放和WT添加过程以确保WLAN中的密钥改变。在一实施例中,对于要立即刷新(进入活动状态)的S-KWT密钥的情况,eNB 200释放AT200和WT 400之间的LWA数据无线承载(DRB)连接,然后使用新密钥添加DRB。图18中的步骤1818至1820确保WLAN中的密钥改变。对于要在稍后的时间点刷新(进入活动状态)的密钥的情况(例如,LTE KeNB由于切换(HO)、PDCP环绕等而改变),eNB提供密钥(S-KWT)到WLAN并且WLAN基于WLAN配置在稍后的时间点执行密钥改变(步骤1842到1854)。eNB 200可以基于其可用的细节(数据丢失是否可接受、在任何新DRB添加之前的密钥改变等)来决定并执行步骤1818至1840。
图19a和图19b是图解根据在此的实施例的每当WT 400从eNB 200接收到执行密钥改变的指示时由WT 400立即发起4次握手(WLAN认证过程)的逐步过程的序列图。图19a和图19b是连续的图。
eNB 200向WT 400发送(1902)WT添加请求。基于WT添加请求,WT 400向eNB 200发送(1904)WT添加请求确认。基于WT添加请求确认,eNB 200向AT 100发送(1906)RRC连接重新配置消息。基于RRC连接重新配置消息,AT 100向eNB 200发送(1908)RRC连接重新配置完成消息。在发送RRC连接重新配置完成消息之后,AT 100启动(1910)使用新LWA配置并执行WLAN关联过程。WT 400向eNB 200发送(1912)WT关联确认。AT 100向Enb 200发送(1914)WLAN连接状态报告。
此外,eNB 200自身执行(1916)KeNB重新配置密钥过程并且决定立即在WLAN中执行S-Kwt密钥使用。此外,eNB 200向WT 400发送(1918)WT修改请求(即,新S-KWT连同密钥改变指示)。WT 400向eNB 200发送(1920)WT修改请求确认消息。
此外,eNB 200向AT 100发送(1922)RRC连接重新配置连同WT计数器值。AT 100向eNB 200发送(1924)RRC连接重新配置完成消息。WT立即发起(1926)密钥刷新过程以便刷新802.11安全性。WT 400向AT 100发送(1928)802.11密钥刷新过程(即,4次握手)。
此外,eNB 200执行(1930)KeNB刷新过程且决定不立即在WLAN中执行S-Kwt刷新。此外,eNB 200向WT 400发送(1932)WT修改请求(即,新S-KWT)。基于WT修改请求,WT 400向eNB 200发送(1934)WT修改请求确认。
此外,eNB 200将RRC连接重新配置消息连同WT计数值一起发送(1936)到AT 400。AT 400向eNB 200发送(1938)RRC连接重新配置完成消息。
此外,WT 400基于WLAN配置来发起(1940)密钥刷新过程以刷新802.11安全性。此外,WT 400基于配置/等待特定触发/事件来启动(1942)定时器。此外,WT 400向AT 100发送(1944)802.11密钥刷新过程。
在一实施例中,使用从eNB 200到WT 400或/和到AT 100的指示符来获得关于何时改变密钥的信息,以便指示是需要立即还是稍后刷新密钥,如图19a和图19b所示。应当注意,除了IEEE 802.11i 4次握手过程之外,WT(WLAN接入点)400可以在之前执行其他过程。从WT 400和/或UE 100的角度来看,它不知道LTE密钥改变的原因,但是它知道在WLAN中WLAN密钥是需要立即还是稍后刷新。在一实施例中,eNB 200通过XW接口使用到WT 400的“密钥改变指示符(如步骤1918所示)指示WLAN密钥改变要立即发生。WT(WLAN AP)400立即启动与AT 100的密钥改变过程(可以使用4次握手)(如步骤1928所示)。对于要在稍后的时间点刷新(进入活动状态)的密钥的情况(例如,由于切换(HO)、PDCP环绕等而导致的LTEKeNB改变),eNB200提供密钥到WLAN而不提供指示符。WLAN在稍后的时间点基于WLAN配置(如步骤1930至1940所示)执行密钥改变。
图20a和图20b是图解根据在此公开的实施例的每当AT 100从eNB 200接收到执行密钥改变的指示时由AT 100立即发起WLAN重新关联过程的逐步过程的序列图。图20a和图20b是连续的图。
eNB 200向WT 400发送(2002)WT添加请求。基于WT添加请求,WT 400向eNB 200发送(2004)WT添加请求确认。基于WT添加请求确认,eNB 200向AT 100发送(2006)RRC连接重新配置消息。基于RRC连接重新配置消息,AT 100向eNB 200发送(2008)RRC连接重新配置完成消息。在发送RRC连接重新配置完成消息之后,AT 100启动(2010)使用新LWA配置并执行WLAN关联过程。WT 400向eNB 200发送(2012)WT关联确认。AT 100向eNB 200发送(2014)WLAN连接完成报告。
此外,eNB 200自身执行(2016)KeNB重新配置密钥过程。此外,eNB 200将WT修改请求(即,新S-KWT)发送(2018)到WT 400。WT 400向eNB 200发送(2020)WT修改请求确认消息。
此外,eNB 200向WT 100发送(2022)RRC连接重新配置连同WT计数器值以及密钥改变指示。AT 100向eNB 200发送(2024)RRC连接重新配置完成消息。AT 100发起(2026))密钥刷新过程以便立即刷新802.11安全性。此外,AT 100将802.11密钥刷新过程发送(2028)到WT 400。
此外,eNB 200执行(2030)KeNB刷新过程。此外,eNB 200向WT 400发送(2032)WT修改请求(即,新S-KWT)。基于WT修改请求,WT 400向eNB200发送(2034)WT修改请求确认。
此外,eNB 200向AT 400发送(2036)RRC连接重新配置消息连同WT计数值。AT 400向eNB 200发送(2038)RRC连接重新配置完成消息。
此外,WT 400基于WLAN配置发起(2040)密钥刷新过程以刷新802.11安全性。此外,WT 400基于配置/等待特定触发/事件来启动(2042)计时器。此外,WT 400向AT 100发送(2044)802.11密钥刷新过程。此外,WLAN基于配置执行密钥刷新。
在一实施例中,eNB 200通过RRC信令消息利用“密钥改变指示符(如步骤2022所示的)向AT 100指示立即发生密钥改变。此外,AT 100立即启动密钥改变过程(可以是使用重新关联过程)(如步骤2028所示)。对于要在稍后的时间点刷新(进入活动状态)密钥的情况(例如,由于切换(HO)、PDCP环绕等而导致的LTE KeNB改变),eNB 200提供密钥到WLAN而不提供指示符。WLAN在稍后的时间点基于WLAN配置(如步骤2030至2046所示)执行密钥改变。
图21a和图21b是图解根据在此公开的实施例的用于基于LTE密钥刷新/重新配置密钥情形来决定和发起WLAN重新关联过程以由AT 100执行密钥改变的逐步过程的序列图。图21a和图21b是连续的图。
eNB 200向WT 400发送(2102)WT添加请求。基于WT添加请求,WT 400向eNB 200发送(2104)WT添加请求确认。基于WT添加请求确认,eNB 200向AT 100发送(2106)RRC连接重新配置消息。基于RRC连接重新配置消息,AT 100向eNB 200发送(2108)RRC连接重新配置完成消息。在发送RRC连接重新配置完成消息后,AT 100启动(2110)使用新LWA配置并执行WLAN关联过程。WT 400向eNB 200发送(2112)WT关联确认。AT 100向eNB 200发送(2114)WLAN连接状态报告。
此外,eNB 200自身执行(2116)KeNB重新配置密钥过程。此外,eNB 200向WT 400发送(2118)修改请求(即,新S-KWT)。WT 400向eNB 200发送(2120)WT修改请求确认消息。
此外,eNB 200向AT 100发送(2122)RRC连接重新配置连同WT计数器值。AT 100向eNB 200发送(2124)RRC连接重新配置完成消息。如果执行KeNB重新配置密钥,则AT 100立即发起(2126)密钥刷新过程,以刷新802.11安全性。此外,AT 100向WT 400发送(2128)802.11密钥刷新过程。
此外,eNB200执行(2130)KeNB刷新过程。此外,eNB 200将WT修改请求(即,新S-KWT)发送(2132)到WT 400。基于WT修改请求,WT 400向eNB 200发送(2134)WT修改请求确认消息。
此外,eNB 200向WT 400发送(2136)RRC连接重新配置消息连同WT计数值。AT 400向eNB 200发送(2138)RRC连接重新配置完成消息。
此外,WT 400基于WLAN配置发起(2140)密钥刷新过程以刷新802.11安全性。此外,WT 400基于配置/等待特定触发/事件来启动(2142)计时器。此外,WT 400向AT 100发送(2144)802.11密钥刷新过程。此外,WLAN基于配置执行密钥刷新。
在一实施例中,AT 100基于LTE KeNB刷新情形判定WLAN密钥是否立即发生改变(如步骤2126所示的)。然后,AT 100立即启动密钥改变过程(可以使用IEEE 802.11WLAN重新关联过程)(如步骤2128所示的)。对于要在稍后的时间点刷新(进入活动状态)的密钥的情况(例如,由于切换(HO)、PDCP环绕等的LTE KeNB改变),WLAN在稍后的时间点基于WLAN配置(如步骤2130至2144所示)执行密钥改变。
图22a和图22b是图解根据在此公开的实施例的用于通过提供密钥明确指示立即执行密钥改变的逐步过程的序列图。图22a和图22b是连续的图。
在一实施例中,密钥S-KWT仅在相关时被提供给WT 400,即当需要WLAN密钥更新时(即,WT添加包括密钥(S-Kwt-1,S-Kwt-2)和AT 100的相应WT计数器)以及当不需要WLAN密钥更新时在LTE切换时不提供WLAN更新时(即,没有任何密钥改变参数的WT修改和RRC重新配置)。这也使得可以使用S-KWT的存在作为是否应该执行WLAN密钥改变的指示符(不需要单独的指示符)。S-KWT的存在将向WT表明密钥即将更新。对于AT 100,WT计数器的存在将指示在该切换时必须发生WLAN密钥改变。在流程中(如图22a和图22b所示),WLAN被配置为每5小时刷新PTK,并且HO期间生成的密钥从不提供给WT,因此从不使用从当前活动的KeNB导出的新密钥S-KWT。此外,图22a和图22b示出仅具有提供用于执行即时密钥改变的密钥的选项导致长时间使用PMK(对于该长时间,根密钥KeNB可能在很长时间内无效)。如果WT 400和AT100需要在第15分钟执行密钥刷新(由于某种原因,例如不考虑先前刷新的定期刷新或由于完整性的频繁失败),则需要使用旧密钥(因为eNB 200将在5分钟后提供新密钥)。
图23a和图23b是图解根据在此公开的实施例的用于隐式指示立即执行密钥改变的逐步过程的序列图。图23a和图23b是连续的图。
在一实施例中,该流程允许LTE和WLAN进行独立密钥刷新。在此流程中,显式指示符用于解决:
i.独立的S-KWT更新(因为有新密钥可用),以及
ii.切换密钥用于密钥刷新(不是立即而是稍后(可能基于WLAN配置))
此备选方案支持以下选项:立即执行密钥改变。和稍后执行密钥改变(基于WLAN配置/偏好并且eNB没有强烈的偏好要立即改变密钥)。与仅具有要求立即密钥改变(通过重新关联或通过4次握手)(即通知WT 400、通知AT 100执行)的选项相比较该方法的益处是,eNB200具有请AT 100/WT 400执行任何一个密钥改变的选项。这样,每当合适时,就可以进行密钥改变。同样基于WLAN配置,WT 400和AT 100可以通过执行重新关联/4次握手来使用未使用的/新密钥(S-KWT)来进行密钥刷新。
每当在eNB 200中改变KeNB时,eNB 200使用WT修改过程(在Xw接口上)将密钥提供给WT 400,并且eNB 200还使用RRC消息将WT计数器值提供给AT 100。然后,基于WT 400中的配置,WT 400采用新S-KWT进行密钥刷新。没有为WT 400定义的用于请求密钥的过程,eNB200不知道WT400何时需要新密钥,因此eNB 200为每个新KeNB更新S-KWT。
同样在切换时,eNB 200在WLAN中可以执行或可以不执行密钥改变。此外,eNB 200可以独立于HO来改变WLAN密钥。在图22a、图22b、图23a和图23b中,为了说明的目的,WLAN配置是每5小时发生一次密钥刷新,并且如果新S-KWT可用则需要在30分钟内更新。
图24是图解根据在此公开的实施例的用于由eNB 200决定和触发WLAN密钥更新过程的方法的流程图2400。
在一实施例中,为了立即执行密钥改变或者为了稍后执行密钥改变(基于LTE密钥刷新或重新配置密钥过程)。为了立即执行密钥改变,eNB 200执行WT释放(eNB到WT消息交换+eNB到UE消息交换)然后执行WT添加(eNB到WT消息交换+eNB到UE消息交换+UE扫描WLAN+WLAN关联过程)。为了稍后执行密钥改变,当执行WLAN认证过程时eNB 200针对每个切换过程向WT 400提供新密钥S-KWT(使用活动KeNB导出的),并且WT 400/UE100决定并获取新密钥S-KWT用于密钥刷新。在一个实施例中,当要在WLAN中执行S-KWT刷新时,WT 400由移动网络运营商或WLAN运营商(经由LTE网络实体或经由OAM实体或经由静态配置)配置。该配置是下列的至少之一:基于正在进行的QoS参数的允许的时间(例如,在15分钟内)、WLAN网络中的负载。
参考图24,在2402,该方法包括执行LTE密钥刷新/重新配置密钥过程。在2404处,该方法包括确定是否立即执行WLAN密钥刷新?如果eNB 200立即执行WLAN密钥刷新过程,则在2406处,eNB 200执行WT释放和WT添加过程。如果eNB 200不立即执行WLAN密钥刷新过程,则在2408,eNB200向WT提供密钥并且向AT 100提供WT计数值以便稍后执行密钥更新。
流程图2400中的各种动作、行动、块、步骤等可以以所呈现的顺序、以不同的顺序或同时执行。此外,在一些实施例中,在不脱离本发明的范围的情况下,可以省略、添加、修改、跳过(或类似操作)上述动作、行动、块、步骤等中的一些。
图25是图解根据在此公开的实施例的用于由eNB 200和WT 400独立地触发WLAN密钥更新过程的方法的流程图2500。
在一实施例中,当WT 400决定刷新S-KWT时,WT 400请求eNB 200提供新密钥。eNB200将新密钥提供给WT 400,然后将新计数值提供给AT100,以便AT 100或WT 400发起WLAN密钥刷新过程(如果AT 100需要启动刷新过程,则AT 100发起重新关联过程[IEEE802.11],并且如果WT 400需要发起密钥刷新过程,则WT 400发起WLAN 4次握手过程[IEEE802.11(IEEE 802.11i过程)])。
在2502处,该方法包括执行LTE密钥刷新/重新配置密钥过程。在2504处,该方法包括确定是否立即执行WLAN密钥刷新。如果eNB 200不立即执行WLAN密钥刷新过程,则在2508处,eNB 200不提供任何密钥信息。为了稍后刷新密钥,WT 400请求eNB提供新密钥并用新WT计数值更新AT100。如果eNB 200立即执行WLAN密钥刷新过程,则在2506处,eNB 200执行WT释放和WT添加过程。
在一实施例中,AT 100被通知新WT计数器,而不是仅具有要求AT 100立即执行重新关联的选项,eNB 200也具有请求AT 100稍后执行更新的选项(基于WLAN配置,例如在30分钟内)。此外,eNB 200具有请求AT 100立即执行密钥改变或者稍后基于WLAN配置执行更新的选项。
流程图2500中的各种动作、行动、块、步骤等可以以所呈现的顺序、以不同的顺序或同时执行。此外,在一些实施例中,在不脱离本发明的范围的情况下,可以省略、添加、修改、跳过(或类似操作)上述动作、行动、块、步骤等中的一些。
在此公开的实施例可以通过在至少一个硬件设备上运行的至少一个软件程序来实现。图1至15和18至25中所示的元件包括块、元件、动作、行动、步骤等,它们可以是硬件设备或硬件设备和软件模块的组合中的至少一个。
对特定实施例的前述描述将如此充分地揭示在此的实施例的一般性质,可以通过应用当前知识,在不脱离一般概念的情况下容易地修改和/或适用这些特定实施例,并且因此,这些适用和修改应该并且意在被理解为落入这里所公开的实施例的等同的含义和范围内。应理解,在此采用的措辞或术语是出于描述的目的而非限制。因此,尽管已经根据优选实施例描述了在此的实施例,但是本领域技术人员将认识到,可以在如在此所述的实施例的精神和范围内通过修改来实践在此的实施例。

Claims (15)

1.一种在无线通信中由可扩展认证协议(EAP)认证器认证接入的方法,所述方法包括:
从终端接收封装的EAP分组,其中,所述EAP分组通过非接入层(NAS)协议、无线资源控制(RRC)协议和N12接口中的至少一个来封装,其中,EAP认证器位于无线通信的节点处;以及
对网络接入订阅和终端的服务中的至少一个进行认证。
2.如权利要求1所述的方法,所述方法还包括:
生成包含至少一个安全密钥的安全内容;以及
向无线通信系统中的至少一个实体提供至少一个安全内容,以使得能够进行在无线通信系统中的所述至少一个实体与终端之间的安全通信。
3.如权利要求1所述的方法,其中,适用下列中的至少一个:
所述EAP分组使用EAP封装协议来封装,所述EAP封装协议包括N1信令协议、NAS协议和在终端与安全锚功能(SEAF)实体之间的信令协议中的至少一个;
所述节点是SEAF实体、认证管理域(AMF)实体和认证服务器功能(AUSF)实体中的至少一个;
所述EAP分组由无线通信系统的在所述终端和EAP认证器之间的实体中的至少一个来中继;和
所述无线通信系统是5G核心网络(5GC)、NG无线电接入网络(NG-RAN)、演进分组核心(EPC)、长期演进(LTE)和下一代网络系统之一。
4.如权利要求1所述的方法,其中,适用下列中的至少一个:
所述EAP认证器经由认证管理域(AMF)实体来认证所述终端,其中,AMF实体与认证服务器功能(AUSF)实体接口连接以执行认证;
所述EAP认证器功能在所述无线通信的实体之间分布,其中,安全终结由接入网络实体、AMF、gNB、NR NodeB、演进节点B(eNB)和安全性锚功能(SEAF)实体中的至少一个来执行;和
所述EAP认证器功能在所述无线通信中的实体之间分布,其中,所述认证由SEAF和AMF中的至少一个发起。
5.如权利要求1所述的方法,其中,
通过认证管理域(AMF)和安全锚功能(SEAF)中的至少一个将所述EAP分组路由到EAP服务器,EAP认证器功能在所述无线通信系统中的实体之间分布;或
通过由所述AMF提供接入技术特定的EAP封装协议和Diameter/Radius协议,所述EAP认证器功能在所述无线通信系统中的实体之间分布;或
通过由核心网络实体和gNB中的至少一个执行对所述终端的接入控制,EAP认证器功能在所述无线通信系统中的实体之间分布。
6.如权利要求1所述的方法,
其中,当终端中的至少一个没有有效的安全上下文并且所述终端只需要执行认证过程时,注册过程被用于触发所述终端到所述网络的认证过程,以及
其中,所述注册过程包括以下指示中的至少一个:初始注册过程和认证过程。
7.如权利要求2所述的方法,其中,当所述终端发送对网络接入的请求时,由至少一个实体从安全锚功能(SEAF)获取所述安全内容。
8.一种可扩展认证协议(EAP)认证器,用于认证无线通信系统中的接入,EAP认证器包括:
收发器;和
至少一个控制器,耦合到所述收发器,并且被配置为:
从终端接收封装的EAP分组,其中,所述EAP分组通过非接入层(NAS)接口、无线资源控制(RRC)接口和N12接口中的至少一个来封装,其中,所述EAP认证器位于无线通信系统的节点处,以及
对网络接入订阅和终端的服务中的至少一个进行认证。
9.如权利要求8所述的EAP认证器,所述至少一个处理器还被配置为:
生成包含至少一个安全密钥的安全内容;以及
向无线通信系统中的至少一个实体提供至少一个安全内容以使得能够进行无线通信系统中的所述至少一个实体和终端之间的安全通信。
10.如权利要求8所述的EAP认证器,其中,适用下列中的至少一个:
所述EAP分组使用EAP封装协议来封装,所述EAP封装协议包括N1信令协议、NAS协议和在接入终端与安全锚功能(SEAF)实体之间的信令协议中的至少一个;
所述节点是SEAF实体、认证管理域(AMF)实体和认证服务器功能(AUSF)实体中的至少一个;和
所述节点是SEAF实体、AMF实体和AUSF实体中的至少一个。
11.如权利要求8所述的EAP认证器,其中,适用下列中的至少一个:
所述无线通信系统的至少一个实体将所述EAP分组从所述终端中继到所述EAP认证器;和
所述无线通信系统是5G核心网络(5GC)、NG无线电接入网络(NG-RAN)、演进分组核心(EPC)、长期演进(LTE)和下一代网络系统之一。
12.如权利要求8所述的EAP认证器,其中,
所述EAP认证器经由认证管理域(AMF)实体对接入终端进行认证,
AMF实体与认证管理域(AUSF)实体接口连接以执行所述认证,以及
所述EAP认证器功能在所述无线通信系统中的实体之间分布,其中,安全终结由接入网络实体、AMF、gNB、NR NodeB、演进节点B(eNB)和安全锚功能(SEAF)实体中的至少一个执行。
13.如权利要求8所述的EAP认证器,其中,
EAP认证器功能在所述无线通信系统中的实体之间分布,其中,所述认证由安全锚功能(SEAF)和认证管理域(AMF)中的至少一个发起;或
通过AMF和SEAF中的至少一个将所述EAP分组路由到所述EAP服务器,所述EAP认证器功能在所述无线通信系统中的实体之间分布。
14.如权利要求8所述的EAP认证器,其中,
通过认证管理域(AMF)提供接入技术特定的EAP封装协议和Diameter/Radius协议,所述EAP认证器功能在所述无线通信系统中的实体之间分布;或
通过由所述无线通信系统和gNB中的至少一个执行对终端的接入控制,所述EAP认证器功能在所述无线通信系统中的实体之间分布。
15.如权利要求9所述的EAP认证器,其中,适用下列中的至少一个:
当终端中的至少一个没有有效的安全上下文且所述终端只需要执行认证过程时,注册过程被使用来触发所述终端与网络的认证过程,所述注册过程包括初始注册过程和认证过程;和
当所述终端发送对网络接入的请求时,由至少一个实体从安全锚功能(SEAF)获取所述安全内容。
CN201780041912.5A 2016-07-05 2017-07-05 用于在移动无线网络系统中认证接入的方法和系统 Active CN109417709B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
IN201641023119 2016-07-05
IN201641025054 2016-07-21
IN201641025054 2016-07-21
IN201641023119 2017-07-03
PCT/KR2017/007190 WO2018008983A1 (en) 2016-07-05 2017-07-05 Method and system for authenticating access in mobile wireless network system

Publications (2)

Publication Number Publication Date
CN109417709A true CN109417709A (zh) 2019-03-01
CN109417709B CN109417709B (zh) 2022-06-10

Family

ID=60921128

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780041912.5A Active CN109417709B (zh) 2016-07-05 2017-07-05 用于在移动无线网络系统中认证接入的方法和系统

Country Status (5)

Country Link
US (1) US10716002B2 (zh)
EP (1) EP3466135B1 (zh)
KR (1) KR102332075B1 (zh)
CN (1) CN109417709B (zh)
WO (1) WO2018008983A1 (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020177523A1 (zh) * 2019-03-04 2020-09-10 华为技术有限公司 终端设备的注册方法及装置
CN111654861A (zh) * 2019-03-04 2020-09-11 中国移动通信有限公司研究院 一种认证方法、装置、设备及计算机可读存储介质
WO2020215331A1 (zh) * 2019-04-26 2020-10-29 华为技术有限公司 一种通信方法及装置
CN112788593A (zh) * 2019-11-04 2021-05-11 阿里巴巴集团控股有限公司 安全策略的更新方法及装置、系统
CN112929876A (zh) * 2019-12-05 2021-06-08 大唐移动通信设备有限公司 一种基于5g核心网的数据处理方法及装置
CN114095928A (zh) * 2021-11-08 2022-02-25 光宝科技股份有限公司 认证系统和方法
CN114258693A (zh) * 2019-08-18 2022-03-29 苹果公司 无电子用户身份模块(esim)凭证的移动设备认证
CN114503630A (zh) * 2019-10-04 2022-05-13 三星电子株式会社 激活5g用户的方法和装置
WO2022111016A1 (zh) * 2020-11-27 2022-06-02 达闼机器人股份有限公司 移动网络接入系统、方法、存储介质及电子设备

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102136037B1 (ko) * 2016-10-31 2020-07-21 텔레폰악티에볼라겟엘엠에릭슨(펍) 차세대 시스템을 위한 인증
CN108012267B (zh) * 2016-10-31 2022-05-24 华为技术有限公司 一种网络认证方法、相关设备及系统
ES2947942T3 (es) 2017-01-27 2023-08-24 Ericsson Telefon Ab L M Autenticación secundaria de un equipo de usuario
KR102208868B1 (ko) 2017-01-30 2021-01-29 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) 5g 시스템들에서의 보안 앵커 펑션
PL3574669T3 (pl) * 2017-01-30 2022-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Obsługa kontekstu bezpieczeństwa w 5G w trybie połączonym
WO2018231125A1 (en) * 2017-06-16 2018-12-20 Telefonaktiebolaget Lm Ericsson (Publ) Network, network nodes, wireless communication devices and method therein for handling network slices in a wireless communication network
WO2019020193A1 (en) * 2017-07-28 2019-01-31 Telefonaktiebolaget Lm Ericsson (Publ) METHODS OF PROVIDING NON-3GPP ACCESS USING ACCESS NETWORK KEYS AND RELATED WIRELESS TERMINALS AND NETWORK NODES
US10778609B2 (en) * 2017-08-10 2020-09-15 Futurewei Technologies, Inc. Interactions between a broadband network gateway and a fifth generation core
CN109699028B (zh) * 2017-10-23 2020-08-25 华为技术有限公司 一种生成密钥的方法、装置及系统
CN109803261B (zh) * 2017-11-17 2021-06-22 华为技术有限公司 鉴权方法、设备及系统
CN111052779A (zh) * 2018-01-25 2020-04-21 华为技术有限公司 通信方法和通信装置
CN110248363A (zh) * 2018-03-09 2019-09-17 通用汽车环球科技运作有限责任公司 通过代理的安全eap-aka认证
US11153309B2 (en) 2018-03-13 2021-10-19 At&T Mobility Ii Llc Multifactor authentication for internet-of-things devices
EP3777011A1 (en) * 2018-04-05 2021-02-17 Nokia Technologies Oy User authentication in first network using subscriber identity module for second legacy network
WO2019194155A1 (en) * 2018-04-06 2019-10-10 Nec Corporation An authentication method for next generation systems
CN109104727B (zh) * 2018-08-08 2021-05-04 兴唐通信科技有限公司 一种基于eap-aka’的核心网网元间鉴权流程安全性增强方法
CN110881020B (zh) * 2018-09-06 2021-07-23 大唐移动通信设备有限公司 一种用户签约数据的鉴权方法及数据管理网元
CN110891271B (zh) * 2018-09-10 2021-06-11 大唐移动通信设备有限公司 一种鉴权方法及装置
US10750553B2 (en) 2018-09-25 2020-08-18 Cisco Technology, Inc. Systems and methods for selection of collocated nodes in 5G network
KR102604283B1 (ko) * 2018-10-05 2023-11-20 삼성전자주식회사 정보 보안을 위한 장치 및 방법
WO2020092542A1 (en) * 2018-11-02 2020-05-07 Intel Corporation Protection of initial non-access stratum protocol message in 5g systems
JP7456444B2 (ja) * 2019-01-11 2024-03-27 日本電気株式会社 ネットワーク装置の方法
CN111565391B (zh) * 2019-02-14 2022-04-05 华为技术有限公司 一种通信方法及装置
WO2020206620A1 (en) * 2019-04-09 2020-10-15 Orange Methods and apparatus to discriminate authentic wireless internet-of-things devices
WO2020223319A1 (en) 2019-05-01 2020-11-05 Nix John A Distributed eap-tls authentication for wireless networks with concealed subscriber identities
WO2021025428A1 (ko) * 2019-08-07 2021-02-11 엘지전자 주식회사 복수의 sim에 기초한 발신자 정보 확인
KR20210030157A (ko) * 2019-09-09 2021-03-17 삼성전자주식회사 무선 통신 시스템에서 무인 비행 서비스를 위한 인증 및 허가를 위한 장치 및 방법
US11032743B1 (en) * 2019-11-30 2021-06-08 Charter Communications Operating, Llc Methods and apparatus for supporting devices of different types using a residential gateway
US10750366B1 (en) * 2019-12-19 2020-08-18 Cisco Technology, Inc. Efficient authentication and secure communications in private communication systems having non-3GPP and 3GPP access
KR102365563B1 (ko) * 2020-04-29 2022-02-22 (주)케이사인 대규모 IoT 기기의 네트워크 연결 방법
US11641580B2 (en) * 2020-08-18 2023-05-02 Shanghai Langbo Communication Technology Company Limited Method and device used for wireless communication
KR102340000B1 (ko) * 2020-09-02 2021-12-15 주식회사 엘지유플러스 단말로부터의 인증 요청을 처리하는 방법
WO2022071779A1 (en) * 2020-09-30 2022-04-07 Samsung Electronics Co., Ltd. Method, ue, and network entity for handling synchronization of security key in wireless network
CN112235799B (zh) * 2020-10-14 2021-11-16 中国电力科学研究院有限公司 终端设备入网鉴权方法及系统
US20230045417A1 (en) * 2021-08-06 2023-02-09 Nokia Technologies Oy Authentication between user equipment and communication network for onboarding process
CN114760626B (zh) * 2021-10-18 2024-04-02 西安电子科技大学 一种5g大规模终端的自适应组合认证方法
TWI797819B (zh) * 2021-11-08 2023-04-01 光寶科技股份有限公司 認證系統和方法
US11647392B1 (en) 2021-12-16 2023-05-09 Bank Of America Corporation Systems and methods for context-aware mobile application session protection

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120039284A1 (en) * 2010-08-16 2012-02-16 Qualcomm Incorporated Method and apparatus for use of licensed spectrum for control channels in cognitive radio communications
US20120282929A1 (en) * 2009-11-16 2012-11-08 Telefonaktiebolaget Lm Ericsson (Publ) Apparatuses and Methods for Reducing a Load on a Serving Gateway in a Communications Network Systems
US20150281961A1 (en) * 2014-03-26 2015-10-01 Samsung Electronics Co. , Ltd. Apparatus and method for authentication in wireless communication system
US20160029213A1 (en) * 2013-09-11 2016-01-28 Samsung Electronics Co., Ltd. Method and system to enable secure communication for inter-enb transmission
US20160029243A1 (en) * 2014-07-22 2016-01-28 Honda Motor Co., Ltd. In-vehicle communication device
WO2016032206A2 (en) * 2014-08-29 2016-03-03 Samsung Electronics Co., Ltd. Authentication method and apparatus using biometric information and context information
US9294340B1 (en) * 2014-10-07 2016-03-22 Google Inc. Systems and methods for updating data across multiple network architectures
WO2016084865A1 (ja) * 2014-11-27 2016-06-02 京セラ株式会社 ユーザ端末及びアクセスポイント

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI114276B (fi) 2002-01-11 2004-09-15 Nokia Corp Verkkovierailun järjestäminen
JP4688808B2 (ja) * 2003-09-26 2011-05-25 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 移動体通信システムにおける暗号化の強化セキュリティ構成
KR101262344B1 (ko) * 2005-10-26 2013-05-08 주식회사 케이티 다이어미터(diameter) 기반의 aaa 인증 시스템및 그를 이용한 세션 관리 방법
CN101772020B (zh) * 2009-01-05 2011-12-28 华为技术有限公司 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备
US8478258B2 (en) * 2010-03-05 2013-07-02 Intel Corporation Techniques to reduce false detection of control channel messages in a wireless network
US20140079022A1 (en) 2012-09-14 2014-03-20 Interdigital Patent Holdings, Inc. Methods for mobility control for wi-fi offloading in wireless systems
KR101964083B1 (ko) * 2012-10-31 2019-04-01 삼성전자 주식회사 무선 통신 시스템에서 기지국간 반송파 집적을 통한 데이터 전송 방법 및 장치
ES2598378T3 (es) * 2013-01-30 2017-01-27 Telefonaktiebolaget L M Ericsson (Publ) Generación de claves de seguridad para conectividad dual
US9900772B2 (en) * 2013-05-09 2018-02-20 Intel IP Corporation Small data communications
WO2016036296A1 (en) * 2014-09-05 2016-03-10 Telefonaktiebolaget L M Ericsson (Publ) Interworking and integration of different radio access networks
EP3275276B1 (en) * 2015-03-25 2020-12-09 LG Electronics Inc. Methods for performing offloading procedures for wlan-lte integration and interworking in wireless communication system
EP3305009B1 (en) * 2015-05-26 2023-07-26 Intel Corporation Wlan mobility for lte/wlan aggregation
GB2541392A (en) * 2015-08-14 2017-02-22 Nec Corp Communication system
US10638388B2 (en) * 2016-08-05 2020-04-28 Qualcomm Incorporated Techniques for fast transition of a connection between a wireless device and a local area network, from a source access node to a target access node

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120282929A1 (en) * 2009-11-16 2012-11-08 Telefonaktiebolaget Lm Ericsson (Publ) Apparatuses and Methods for Reducing a Load on a Serving Gateway in a Communications Network Systems
US20120039284A1 (en) * 2010-08-16 2012-02-16 Qualcomm Incorporated Method and apparatus for use of licensed spectrum for control channels in cognitive radio communications
US20160029213A1 (en) * 2013-09-11 2016-01-28 Samsung Electronics Co., Ltd. Method and system to enable secure communication for inter-enb transmission
US20150281961A1 (en) * 2014-03-26 2015-10-01 Samsung Electronics Co. , Ltd. Apparatus and method for authentication in wireless communication system
US20160029243A1 (en) * 2014-07-22 2016-01-28 Honda Motor Co., Ltd. In-vehicle communication device
WO2016032206A2 (en) * 2014-08-29 2016-03-03 Samsung Electronics Co., Ltd. Authentication method and apparatus using biometric information and context information
US9294340B1 (en) * 2014-10-07 2016-03-22 Google Inc. Systems and methods for updating data across multiple network architectures
WO2016084865A1 (ja) * 2014-11-27 2016-06-02 京セラ株式会社 ユーザ端末及びアクセスポイント

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
" "33401_CR0574R1_(Rel-13)_S3-160721_V5 LWA Combined CR"" *
""S2-153343_LWA and user preferences"", 《3GPP TSG_SA\WG2_ARCH》 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020177523A1 (zh) * 2019-03-04 2020-09-10 华为技术有限公司 终端设备的注册方法及装置
CN111654861A (zh) * 2019-03-04 2020-09-11 中国移动通信有限公司研究院 一种认证方法、装置、设备及计算机可读存储介质
WO2020215331A1 (zh) * 2019-04-26 2020-10-29 华为技术有限公司 一种通信方法及装置
US11956715B2 (en) 2019-04-26 2024-04-09 Huawei Technologies Co., Ltd. Communications method and apparatus
CN114258693A (zh) * 2019-08-18 2022-03-29 苹果公司 无电子用户身份模块(esim)凭证的移动设备认证
CN114258693B (zh) * 2019-08-18 2024-02-06 苹果公司 无电子用户身份模块(esim)凭证的移动设备认证
CN114503630A (zh) * 2019-10-04 2022-05-13 三星电子株式会社 激活5g用户的方法和装置
CN112788593A (zh) * 2019-11-04 2021-05-11 阿里巴巴集团控股有限公司 安全策略的更新方法及装置、系统
CN112929876A (zh) * 2019-12-05 2021-06-08 大唐移动通信设备有限公司 一种基于5g核心网的数据处理方法及装置
WO2022111016A1 (zh) * 2020-11-27 2022-06-02 达闼机器人股份有限公司 移动网络接入系统、方法、存储介质及电子设备
CN114095928A (zh) * 2021-11-08 2022-02-25 光宝科技股份有限公司 认证系统和方法

Also Published As

Publication number Publication date
US10716002B2 (en) 2020-07-14
EP3466135A1 (en) 2019-04-10
WO2018008983A1 (en) 2018-01-11
KR20190016540A (ko) 2019-02-18
EP3466135A4 (en) 2019-11-20
KR102332075B1 (ko) 2021-11-29
US20190261178A1 (en) 2019-08-22
EP3466135B1 (en) 2022-01-05
CN109417709B (zh) 2022-06-10

Similar Documents

Publication Publication Date Title
CN109417709A (zh) 用于在移动无线网络系统中认证接入的方法和系统
CN108966220B (zh) 一种密钥推演的方法及网络设备
CN107079023B (zh) 用于下一代蜂窝网络的用户面安全
CN101946536B (zh) 演进网络中的应用特定的主密钥选择
CN110235423A (zh) 对用户设备的辅认证
JP2019521612A (ja) ワイヤレスネットワークにおけるカバレージ及びリソース制限デバイスをサポートするためのレイヤ2リレー
CN110447252A (zh) 5g中用于开启和关闭ue和ran之间的up数据安全的安全解决方案
CN109314638A (zh) 密钥配置及安全策略确定方法、装置
WO2019096075A1 (zh) 一种消息保护的方法及装置
CN109804651A (zh) 通过独立的非3gpp接入网络的核心网络附接
CN106134231B (zh) 密钥生成方法、设备及系统
JP2019512942A (ja) 5g技術のための認証機構
CN107925879A (zh) 包括蜂窝接入网络节点的标识符的网络接入标识符
CN108809635A (zh) 锚密钥生成方法、设备以及系统
CN108353282A (zh) 用于使用支持多个连接性和服务上下文的安全模型的无线通信的方法和装置
CN109076086A (zh) 执行认证和密钥协商之前的安全信令
US20230269589A1 (en) Slice-specific security requirement information
CN110495199A (zh) 无线网络中的安全小区重定向
CN101977378B (zh) 信息传输方法、网络侧及中继节点
CN101860862B (zh) 终端移动到增强utran时建立增强密钥的方法及系统
Abdelkader et al. A novel advanced identity management scheme for seamless handoff in 4G wireless networks
Mahapatra et al. Authentication in an integrated 802.1 X based WLAN and CDMA2000-1X network
Ma Security investigation in 4g lte wireless networks
Maiya Analysis of cellular data communication for neighborhood area network for Smart Grid
Imran et al. Network Security: A review of salient security aspects of the universal mobile telecommunication system (UMTS)

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant