CN109479193A - 通信系统、订户信息管理设备、信息获取方法、非暂时性计算机可读介质和通信终端 - Google Patents
通信系统、订户信息管理设备、信息获取方法、非暂时性计算机可读介质和通信终端 Download PDFInfo
- Publication number
- CN109479193A CN109479193A CN201780044013.0A CN201780044013A CN109479193A CN 109479193 A CN109479193 A CN 109479193A CN 201780044013 A CN201780044013 A CN 201780044013A CN 109479193 A CN109479193 A CN 109479193A
- Authority
- CN
- China
- Prior art keywords
- communication terminal
- network slice
- information
- identification information
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/12—Access point controller devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/24—Interfaces between hierarchically similar devices between backbone network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的目的是提供通信系统,其中在将网络切片应用于核心网的情况下,可以在分割得到的各个网络中维持高的安全等级。根据本发明的通信系统包括:订户信息管理设备(10),用于管理通信终端的订户信息;以及安全设备(20),用于将通信终端的识别信息和在该通信终端能够使用的至少一个网络切片系统中所使用的安全信息相关联地进行管理。订户信息管理设备(10)使用通信终端的识别信息和通信终端所使用的网络切片系统的识别信息,从安全设备(20)获取在通信终端使用的网络切片系统中所使用的安全信息。
Description
技术领域
本发明涉及通信系统、订户信息管理设备、信息获取方法和程序,并且涉及例如进行安全处理的通信系统、订户信息管理设备、信息获取方法和程序。
背景技术
近年来,已经研究了物联网(IoT)服务。对于IoT服务,使用在无用户操作的情况下自主地进行通信的大量终端(以下称为IoT终端)。由于该原因,为了服务提供商使用大量IoT终端提供IoT服务,期望将大量IoT终端高效地容纳在网络运营商等所管理的网络中。
非专利文献1在附录B中公开了应用网络切片(network slicing)的核心网的结构。网络切片是用于对核心网进行分割以便所提供的各服务高效地容纳大量IoT终端的技术。非专利文献1在第5.1节中进一步公开了需要定制或优化分割得到的各网络(网络切片系统)。
另一方面,非专利文献2在6.2节中公开了用于演进分组系统(EPS)中的安全处理的密钥的结构。具体地,通用订户识别模块(USIM)和认证中心(AuC)各自具有主密钥K。USIM和AuC各自利用主密钥K生成机密性密钥(CK)和完整性密钥(IK)。
然后,用户设备(UE)和归属用户服务器(HSS)各自利用CK、IK和服务网络标识(SNID)生成密钥KASME。SNID是用于识别网络运营商的ID。然后,UE和移动管理实体(MME)各自利用密钥KASME生成用于核心网和无线接入网中的安全处理的密钥。
在EPS中,利用以这种方式生成的密钥进行诸如消息的加密和消息篡改的防止(消息完整性的保证)等的安全处理。
现有技术文献
非专利文献
非专利文献1:3GPP TR23.799 V0.2.0(2016-2)Annex B,5.1 Key issue 1:Support of network slicing
非专利文献2:3GPP TS 33.401 V13.2.0(2016-03)6.2 EPS key hierarchy
发明内容
发明要解决的问题
在应用非专利文献1中所公开的网络切片的情况下,可以使用在各网络切片系统中有所不同的密钥来增强各网络切片系统的独立性并提高安全性。然而,非专利文献2中所公开的密钥的结构示出UE在核心网内使用一个密钥KASME。因而,尽管将非专利文献2中所公开的密钥的结构用于应用网络切片的核心网,但不能生成在各网络切片系统中有所不同的密钥。因此,难以增强各网络切片系统的独立性并提高安全性。
本发明的目的是提供能够在将网络切片应用于核心网的情况下在分割得到的各网络(网络切片系统)中维持高的安全级别的通信系统、订户信息管理设备、信息获取方法和程序。
用于解决问题的方案
根据本发明的第一典型方面的一种通信系统,包括:订户信息管理设备,其被配置为管理通信终端的订户信息;以及安全设备,其被配置为将所述通信终端的识别信息与在所述通信终端能够使用的至少一个网络切片系统中所使用的安全信息相关联地进行管理,其中,所述订户信息管理设备使用所述通信终端的识别信息和所述通信终端所使用的网络切片系统的识别信息,从所述安全设备获取在所述通信终端所使用的网络切片系统中使用的安全信息。
根据本发明的第二典型方面的一种订户信息管理设备,包括:通信部件,用于与安全设备进行通信,所述安全设备用于将通信终端的识别信息与在所述通信终端能够使用的至少一个网络切片系统中所使用的安全信息相关联地进行管理;以及管理部件,用于管理与所述安全设备相关联的网络切片系统的识别信息,其中,所述通信部件使用所述通信终端的识别信息和所述通信终端所使用的网络切片系统的识别信息,从所述安全设备获取在所述通信终端所使用的网络切片系统中使用的安全信息。
根据本发明的第三典型方面的一种信息获取方法,包括:管理安全设备以及与所述安全设备相关联的网络切片系统的识别信息,所述安全设备用于将通信终端的识别信息与在所述通信终端能够使用的至少一个网络切片系统中所使用的安全信息相关联地进行管理;以及使用所述通信终端的识别信息和所述通信终端所使用的网络切片系统的识别信息,从所述安全设备获取在所述通信终端所使用的网络切片系统中使用的安全信息。
根据本发明的第四典型方面的一种程序,所述程序用于使计算机执行:管理安全设备以及与所述安全设备相关联的网络切片系统的识别信息,所述安全设备用于将通信终端的识别信息与在所述通信终端能够使用的至少一个网络切片系统中所使用的安全信息相关联地进行管理;以及使用所述通信终端的识别信息和所述通信终端所使用的网络切片系统的识别信息,从所述安全设备获取在所述通信终端所使用的网络切片系统中使用的安全信息。
发明的效果
根据本发明,可以提供能够在将网络切片应用于核心网的情况下在分割得到的各网络(网络切片系统)中维持高的安全级别的通信系统、订户信息管理设备、信息获取方法和程序。
附图说明
图1是示出根据第一实施例的通信系统的结构的图。
图2是示出根据第二实施例的通信系统的结构的图。
图3是示出根据第二实施例的AuC的结构的图。
图4是示出根据第二实施例的AuC所管理的信息的图。
图5是示出根据第二实施例的HSS的结构的图。
图6是示出根据第二实施例的HSS所管理的信息的图。
图7是示出根据第二实施例的UE的结构的图。
图8是示出根据第二实施例的附接(Attach)处理的过程的图。
图9是示出根据第二实施例的AKA处理的过程的图。
图10是说明根据第二实施例的AuC所进行的服务密钥的导出的图。
图11是说明根据第二实施例的UE所进行的服务密钥的导出的图。
图12是示出根据第二实施例的AuC所管理的信息的图。
图13是示出根据第三实施例的通信系统的结构的图。
图14是示出根据各实施例的UE的结构的图。
图15是示出根据各实施例的AuC和HSS的结构的图。
具体实施方式
第一实施例
以下参考附图来说明本发明的实施例。图1中的通信系统包括订户信息管理设备10和安全设备20。订户信息管理设备10和安全设备20可以是通过处理器执行存储器中所存储的程序而工作的计算机设备。
订户信息管理设备10管理至少一个通信终端的订户信息。通信终端例如可以是移动电话终端、智能电话终端或具有通信功能的计算机设备等。通信终端可以是IoT终端、机器对机器(M2M)终端或机器类型通信(MTC)终端等。
订户信息例如可以是与使用通信终端的用户有关的合约信息、通信终端的位置信息或用于识别通信终端的信息等。
安全设备20将用于识别通信终端的信息(通信终端的识别信息)与在通信终端可使用的至少一个网络切片系统中所使用的安全信息相关联地进行管理。安全信息是各网络切片系统特有的信息。安全信息可以是用于认证通信终端的密钥信息。安全信息可以是用于对数据进行加密或者进行完整性保证处理的密钥信息等。安全信息可以是用于生成认证或加密所使用的密钥信息的主密钥。安全信息可以是用于执行安全处理的安全算法等。
订户信息管理设备10使用通信终端的识别信息和通信终端使用的网络切片系统的识别信息,从安全设备20获取在通信终端所使用的网络切片系统中使用的安全信息。
如上所述,图1的通信系统使得订户信息管理设备10能够获取在通信终端所使用的网络切片系统中使用的安全信息。这使得订户信息管理设备10能够在通信终端所使用的各网络切片系统中使用不同的安全信息。结果,可以增强各网络切片系统的独立性并且提高核心网整体的安全性。
第二实施例
参考图2来说明根据本发明的第二实施例的通信系统的结构示例。图2的通信系统包括核心网100、5G无线接入网(RAN)80和用户设备(UE)90。核心网100例如可以是第三代合作伙伴计划(3GPP)中所定义的网络。
术语“UE”用作3GPP中的通信终端的统称。尽管在图2中示出一个UE 90,但图2中的通信系统可以包括多个UE 90。
5G RAN 80是向UE 90提供无线信道的网络。5G RAN 80例如可以包括基站,并且还包括控制基站的基站控制设备等。5G RAN 80例如是实现低延迟和宽带无线频率等的下一代RAN。术语“5G RAN”用作下一代中所使用的RAN,但下一代中所使用的RAN的名称不限于“5G RAN”。
说明核心网100的结构示例。核心网100包括归属用户服务器(HSS)30、认证中心(AuC)40、AuC 50、AuC 60、控制面功能(CPF)实体70(以下称为CPF 70)、网络切片(NS)系统110、NS系统120和NS系统130。AuC可以与HSS 30在同一设备中,并且AuC的一些功能可以在HSS 30中实现。可选地,各AuC可以在各NS系统中。
HSS 30相当于图1的订户信息管理设备10。HSS 30管理UE 90的订户信息。可以用归属位置寄存器(HLR)替换HSS 30。HSS 30具有密钥管理功能。HSS 30将密钥信息发送至各NS系统。密钥管理功能用于管理UE的密钥信息已被发送至哪个节点设备或哪个NS系统。密钥管理功能用于管理发送至节点设备或NS系统的密钥信息的类型等。HSS 30可以具有密钥管理功能的一部分,并且不同于HSS 30的设备可以具有其它功能。可选地,不同于HSS 30的设备可以具有密钥管理功能的所有功能。
AuC 40、AuC 50和AuC 60(以下称为AuC 40等)各自相当于图1的安全设备20。AuC40等各自管理UE 90的安全处理所使用的密钥信息。AuC 40等各自还管理与UE 90的安全处理有关的参数。与安全处理有关的参数例如是用于非接入层(NAS)中的完整性保证处理、机密性处理或加密处理所使用的参数。NAS是UE 90等和核心网100之间的通信所使用的层。与安全处理有关的参数可以是接入层(AS)中的完整性保证处理、机密性处理或加密处理所使用的参数。AS是5G RAN 80和UE 90之间的通信所使用的层。
与安全处理有关的参数可以是定义密钥的长度的参数。密钥的长度由例如位数表示。与安全处理有关的参数可以是指示加密算法、密钥生成算法或认证算法等的参数。
CPF 70是核心网100中用于处理与UE 90有关的C面数据的设备。C面数据可被称为控制数据。CPF 70是用于处理控制数据的设备,并且可被称为控制设备。另外,CPF 70可以具有相当于3GPP中所定义的移动管理实体(MME)的功能。
NS系统110是用于提供与NS系统120和NS系统130的服务不同的服务的通信系统。NS系统120是用于提供与NS系统130的服务不同的服务的通信系统。各NS系统所提供的服务例如可以是自动驾驶服务、与智能仪表有关的服务或自动售货机管理服务等。NS系统所提供的服务不限于这些服务,并且提供各种服务。
图2示出CPF 70配置在核心网100中并且不属于NS系统110、NS系统120和NS系统130中的任何系统。然而,CPF 70可以属于NS系统110、NS系统120和NS系统130中的任一系统,或者可以包括在NS系统110、NS系统120和NS系统130各自中。
接着,参考图3来说明根据本发明的第二实施例的AuC 40的结构示例。AuC 50和AuC 60各自具有与AuC 40的结构相同的结构。AuC 40包括通信单元41、安全信息管理单元42和NS密钥生成单元43。通信单元41可以是发送部和接收部。
通信单元41、安全信息管理单元42和NS密钥生成单元43可以是通过处理器执行存储器中所存储的程序来进行处理的软件或模块。通信单元41、安全信息管理单元42和NS密钥生成单元43可以是诸如电路或芯片等的硬件。
通信单元41主要向HSS 30发送数据。
安全信息管理单元42管理与各UE 90相关联的安全信息。这里,参考图4来说明安全信息管理单元42所管理的信息。安全信息管理单元42将国际移动用户标识(IMSI)、网络切片标识(NSID)和主密钥K以彼此相关联的方式进行管理。IMSI是用于识别UE 90的识别信息。NSID是用于识别NS系统的识别信息。
图4示出IMSI为001的UE可以使用NS系统110和NS系统120。图4还示出将NS系统110中的安全处理所使用的主密钥Ka_001和NS系统120中的安全处理所使用的主密钥Kb_001分配至IMSI为001的UE。可使用的NS系统和这些NS系统中的安全处理所使用的主密钥K与IMSI为002的UE相关联。
尽管图4示出安全信息管理单元42管理与多个NS系统有关的主密钥,但安全信息管理单元42可以管理与一个NS系统有关的主密钥。例如,AuC 40可以用作管理与NS系统110有关的主密钥K的设备。在这种情况下,安全信息管理单元42可以不管理与NSID有关的信息,并且可以将IMSI和主密钥K以彼此相关联的方式管理。
返回图3,NS密钥生成单元43利用主密钥K生成各NS系统中所使用的服务密钥Ksv。例如,NS密钥生成单元43利用主密钥Ka_001生成IMSI为001的UE在NS系统110中使用的服务密钥Ksv-A。NS密钥生成单元43还利用主密钥Kb_001生成IMSI为001的UE在NS系统120中使用的服务密钥Ksv-B。同样,NS密钥生成单元43生成IMSI为002的UE所使用的服务密钥Ksv。
参考图5来说明根据本发明的第二实施例的HSS 30的结构示例。HSS 30包括通信单元31和信息管理单元32。通信单元31和信息管理单元32可以是通过处理器执行存储器中所存储的程序来进行处理的软件或模块。可选地,通信单元31和信息管理单元32可以是诸如电路或芯片等的硬件。通信单元31可以是发送部和接收部。
通信单元31向AuC 40、AuC 50和AuC 60发送数据。通信单元31还向构成NS系统110的节点设备、构成NS系统120的节点设备和构成NS系统130的节点设备发送数据。
信息管理单元32管理AuC 40等与NS系统相关联的信息。这里,参考图6来说明信息管理单元32所管理的信息。图6示出AuC 40与NS系统110~NS系统130相关联并且AuC 50与NS系统140~NS系统160相关联。AuC 40与NS系统110~NS系统130相关联,这意味着AuC 40管理各UE用于NS系统110~NS系统130中的安全处理的主密钥K。
参考图7来说明根据本发明的第二实施例的UE 90的结构示例。UE 90包括通信单元91和NS密钥生成单元92。通信单元91和NS密钥生成单元92可以是通过处理器执行存储器中所存储的程序来进行处理的软件或模块。可选地,通信单元91和NS密钥生成单元92可以是诸如电路或芯片等的硬件。通信单元91可以是发送部和接收部。
通信单元91主要向构成5G RAN 80的基站等发送数据。
NS密钥生成单元92利用主密钥K生成各NS系统中所使用的服务密钥Ksv。例如,假定NS密钥生成单元92可以使用NS系统110和NS系统120。在这种情况下,NS密钥生成单元92利用主密钥Ka_001生成NS系统110中所使用的服务密钥Ksv-A,并且利用主密钥Kb_001生成NS系统120中所使用的服务密钥Ksv-B。
例如,通信单元91可以包括多个SIM,并且针对各SIM管理不同的主密钥K。另外,各SIM可以与NS系统中的任一个相关联。
参考图8来说明根据本发明的第二实施例的与UE 90有关的附接处理的过程。
首先,UE 90开始用于连接至5G RAN 80的处理(S11)。例如,UE 90经由无线通信信道连接至基站以与配置在5G RAN 80中的基站进行通信。
然后,UE 90将附接请求消息经由5G RAN 80发送至CPF 70(S12)。UE 90使用例如NS系统110所提供的服务。在这种情况下,UE 90将设置了UE 90的IMSI和指示NS系统110的NSID的附接请求消息发送至CPF 70。UE 90可以设置多个NSID。
然后,在UE 90、CPF 70、HSS 30和AuC 40之间进行认证和密钥协商(AKA)处理(S13)。通过进行步骤S13中的AKA处理,UE 90和HSS 30可以确认UE 90所生成的服务密钥Ksv-A与AuC 40所生成的服务密钥Ksv-A一致。在UE 90在附接请求消息中设置了多个NSID的情况下,针对各NS系统生成服务密钥Ksv。在这种情况下,在步骤S13的AKA处理中确认UE90针对各NS系统所生成的服务密钥Ksv与AuC 40针对各NS系统所生成的服务密钥Ksv一致。可以通过在UE 90、CPF 70、HSS 30和AuC 40之间进行除AKA处理以外的处理来认证服务密钥Ksv。
在进行步骤S13的AKA处理之后,UE 90可以利用服务密钥Ksv-A来使用NS系统110所提供的服务。例如,在UE 90访问NS系统110中所包括的设备时,UE 90可以将操作UE 90的用户所输入的密码信息等发送至NS系统110中所包括的设备。在确认了所发送的密码的正确性的情况下,NS系统110中所包括的设备可以向UE 90提供服务。
可选地,NS系统110中所包括的设备可以预先保存与UE 90有关的服务密钥Ksv-A。例如,NS系统110中所包括的设备可以从HSS 30或AuC 40获取服务密钥Ksv-A。NS系统110中所包括的设备可以进行AKA处理,并且在该设备自身所保持的服务密钥Ksv-A与UE 90所保持的服务密钥Ksv-A一致的情况下,可以向UE 90提供服务。
图8示出在步骤S12中UE 90将设置了UE 90的IMSI和指示NS系统110的NSID的附接请求消息发送至CPF 70。另一方面,在UE 90可使用的NS系统的数量为一个、并且HSS 30将UE 90可使用的NS系统作为订户信息进行管理的情况下,UE 90可以将仅设置了IMSI的附接请求消息发送至CPF 70。在UE 90可使用的NS系统的数量多于一个的情况下,UE 90将设置了IMSI和要使用的NS系统的识别信息的附接请求消息发送至CPF 70。
参考图9来详细说明图8的步骤S13中的AKA处理。首先,CPF 70将认证数据请求消息发送至HSS 30(S21)。认证数据请求消息包含UE 90的国际移动用户标识(IMSI)和指示UE90希望使用的NS系统的NSID。NSID例如是指示NS系统110的识别信息。
然后,HSS 30将Auth(认证)数据创建请求消息发送至AuC 40(S22)。Auth数据创建请求消息包含UE 90的IMSI和指示UE 90希望使用的NS系统的NSID。在图9中,假定NSID是指示NS系统110的识别信息。HSS 30可以使用图6所示的信息来识别与UE 90所指定的NSID相关联的AuC。这里,HSS 30已接收到指示NS系统110的NSID。因此,HSS 30可以使用图6所示的信息将Auth数据创建请求消息的发送目的地识别为AuC 40。在UE 90没有指定NSID的情况下,HSS 30识别与预先确定的默认NS系统相关联的AuC。默认NS系统可以针对各UE预先确定,或者可以根据HSS 30所管理的优先级来确定。可以针对各UE确定优先级。
假定UE 90可使用的NS系统的数量为一个、并且HSS 30将使UE 90的IMSI与UE 90可使用的NS系统相关联的信息作为订户信息进行管理。在这种情况下,HSS 30可以利用从CPF 70发送来的IMSI来识别UE 90可使用的NS系统。在一些情况下,HSS 30将UE 90可连接的多个NSID作为订户数据进行管理。在这种情况下,HSS 30可以将Auth数据创建请求消息重复地发送至与订户数据所指示的所有NSID相对应的AuC 40等。
然后,AuC 40利用密钥导出函数(KDF)导出服务密钥Ksv-A(S23)。这里,参考图10来说明AuC 40的NS密钥生成单元43的用于利用KDF导出服务密钥Ksv的处理。
图10示出:作为将主密钥K、NSID、随机数(RAND)和序列号(SQN)输入至KDF的结果,输出预期响应(XRES)、认证令牌(AUTN)和服务密钥Ksv。KDF例如是诸如HMAC-SHA-256等的导出函数。这里,假定输入至KDF的主密钥K是与NS系统110相关联的服务密钥Ka。假定从KDF输出的服务密钥Ksv是NS系统110中所使用的服务密钥Ksv-A。
返回图9,AuC 40将Auth数据创建响应消息发送至HSS 30(S24)。Auth数据创建响应消息包含RAND、XRES、Ksv-A、Ksv-A_ID和AUTN。认证数据响应消息中所包含的RAND与在步骤S23中生成Ksv-A等时用作输入参数的RAND相同。XRES、Ksv-A和AUTN与步骤S23中所生成的XRES、Ksv-A和AUTN相同。Ksv-A_ID是识别Ksv-A的识别信息。在HSS 30将Auth数据创建请求消息重复地发送至多个AuC的情况下,HSS 30确认所有的AuC都分别返回相应的Auth数据创建响应消息,然后将各Auth数据创建响应消息中所包含的RAND、XRES、Ksv-A、Ksv-A_ID和AUTN设置在各相应的NSID的认证数据响应消息中。
然后,HSS 30将认证数据响应消息发送至CPF 70(S25)。认证数据响应消息包含步骤S24中发送的Auth数据创建响应消息中所包含的RAND、XRES、Ksv-A、Ksv-A_ID和AUTN。在一些情况下,针对各NSID设置RAND、XRES、Ksv-A、Ksv-A_ID和AUTN。
然后,CPF 70将认证请求消息经由5G RAN 42发送至UE 90(S26)。认证请求消息包含RAND、AUTN和Ksv-A_ID。RAND、AUTN和Ksv-A_ID是在步骤S25中从HSS 30接收到的RAND、AUTN和Ksv-A_ID。在UE 90在附接请求消息(S12)中设置了多个NSID的情况下,针对各NSID设置RAND、AUTN和Ksv-A_ID。
然后,UE 90利用KDF导出服务密钥Ksv-A(S27)。这里,参考图11来说明UE 90的NS密钥生成单元92的用于利用KDF导出服务密钥Ksv的处理。
图11示出:作为将主密钥K、NSID、RAND和AUTN输入至KDF的结果,输出响应(RES)、SQN和服务密钥Ksv。KDF例如是诸如HMAC-SHA-256的导出函数。这里,假定输入至KDF的主密钥K是与NS系统110相关联的服务密钥Ka。假定从KDF输出的服务密钥Ksv是NS系统110中所使用的服务密钥Ksv-A。注意,假定UE 90可访问的NS系统是预先确定的、并且UE 90预先保持该NS系统的NSID。
返回图9,UE 90将认证响应消息经由5G RAN 80发送至CPF 70(S28)。认证响应消息包含RES。认证响应消息中所包含的RES与步骤S27中所生成的RES相同。在认证请求消息(S26)中设置了多个NSID的情况下,针对各NSID设置RES。
然后,CPF 70将步骤S25中接收到的认证数据响应消息中所包含的XRES与步骤S28中接收到的认证响应消息中所包含的RES进行比较(S29)。在步骤S29中RES与XRES一致的情况下,CPF 70可以判断为AuC 40所生成的Ksv-A与UE 90所生成的Ksv-A一致。在处理多个NSID的情况下,CPF 70针对各NSID将RES与XRES进行比较。在RES与XRES一致的情况下,CPF70向HSS30通知RES已与XRES一致、或者针对Ksv-A的认证已成功。HSS 30还将Ksv-A_ID和Ksv-A发送至NS系统110。
接着,说明在与UE 90有关的AKA处理中发生错误的情况。例如,在UE90不能使用Auth数据创建请求中所设置的NSID的情况下,AuC 40将包含原因值“没有订阅网络切片”的Auth数据创建错误消息作为与Auth数据创建请求消息相对应的响应消息发送至HSS 30。HSS 30将包含原因值“没有订阅网络切片”的认证数据拒绝消息发送至CPF 70。另外,CPF70将包含原因值“不允许访问网络切片”的认证失败消息发送至UE 90。在这种情况下,UE90记录在运营商网络中没有提供附接请求消息(S12)中所设置的NSID这一事实。此外,在这种情况下,UE 90可以设置另一NSID,并且向同一运营商网络进行ATTACH(附接)过程。
在步骤S29中的认证失败的情况下,CPF 70将包含原因值“网络切片认证失败”的认证失败消息发送至UE 90。在这种情况下,UE 90记录在运营商网络中没有提供附接请求消息(S12)中所设置的NSID这一事实。此外,在这种情况下,UE 90可以设置另一NSID并且向同一运营商网络进行ATTACH过程。
另外,说明尽管进行了针对多个NSID的认证、但针对一些NSID的认证已成功的情况下的操作。在这种情况下,CPF 70认为认证已失败,并且通知并敦促UE 90进行再ATTACH,或者允许对通过认证的NSID进行连接。各情况的操作如下。
CPF 70认为认证失败、并且通知并敦促UE 90进行再ATTACH的情况:
CPF 70将包含原因值“网络切片认证失败”的认证失败消息发送至UE 90。在这种情况下,CPF 70可以将指示各NSID的认证结果状态的“认证状况列表”设置在认证失败消息中。在这种情况下,UE 90可以设置部分通过认证的NSID并且向同一运营商网络进行ATTACH过程。
CPF 70允许对通过认证的NSID进行连接的情况:
CPF 70可以认为认证已部分成功并且将包含原因值“网络切片认证部分失败”的认证响应消息发送至UE 90。在这种情况下,CPF 70可以将指示各NSID的认证结果状态的“认证状况列表”设置在认证响应消息中。在这种情况下,UE 90识别出针对部分通过认证的NSID的认证成功。在这种情况下,UE 90可以使用部分通过认证的网络切片所提供的服务。
接着,说明在针对UE 90在附接请求消息(S12)中设置的NSID的认证成功的情况下的操作。CPF 70可以向图2所示的网络切片系统通知通过认证的服务密钥Ksv。另外,网络切片系统还可以利用该服务密钥Ksv生成所需的服务密钥。图2所示的网络切片系统可以进一步与HSS 30协作地进行认证操作。
此外,HSS 30可以将UE 90的IMSI与UE 90可使用的NSID相关联地进行管理。在这种情况下,在步骤S21中HSS 30接收认证数据请求消息。在UE 90不能使用认证数据请求消息中所设置的NSID的情况下,HSS 30发送错误消息作为与认证数据请求消息相对应的响应消息。HSS 30可以向各AuC请求关联数据。在更新关联数据的情况下,各AuC可以将更新后的数据发送至HSS 30。例如,如图12所示,各AuC可以将IMSI、NSID和访问权以彼此相关联的方式进行管理。关联数据例如是如图12所示IMSI、NSID和访问权彼此相关联的数据。图12示出IMSI为003的UE可以访问NS系统110、但不能访问NS系统120和NS系统130。图12还示出IMSI为004的UE可以访问NS系统140和NS系统150、但不能访问NS系统160。在更新图12所示的数据时,各AuC将更新后的数据发送至HSS 30。
第三实施例
接着,参考图13来说明根据本发明的第三实施例的通信系统的结构示例。图13示出UE 95从作为归属网络的归属公共陆地移动网络(HPLMN)101向拜访公共陆地移动网络(VPLMN)102移动。换句话说,图13示出UE 95从HPLMN 101向VPLMN 102漫游。
HPLMN 101包括HSS 35、AuC 51、AuC 52、CPF 71、Diameter边缘代理(DEA)72、NS系统111和NS系统112。UE 95经由5G RAN 81与HPLMN 101进行通信。VPLMN 102包括HSS 36、AuC 61、AuC 62、CPF 73、DEA 74、NS系统121和NS系统122。UE 95经由5G RAN 82与VPLMN102进行通信。DEA 72和DEA 74是中继Diameter信号的设备。除DEA 72和DEA 74以外的结构与图2所示的通信网络的结构相同。
在UE 95从HPLMN 101向VPLMN 102移动的情况下,在VPLMN 102中进行附接处理。在这种情况下,与图8的步骤S11和S12中所述的附接处理同样地,UE 95经由5G RAN 82连接至CPF 73。
然后,作为图8的步骤S13中向HSS 36的询问的结果,CPF 73确定UE 95是使用HPLMN 101作为归属网络的漫游终端。因而,CPF 73经由DEA 74和DEA 72连接至CPF 71。UE95经由CPF 73、DEA 74和DEA 72与CPF 71进行AKA处理。假定UE 95希望使用例如HPLMN 101中的NS系统111所提供的服务。在这种情况下,UE 95可以与CPF 71进行AKA处理,并且在认证已完成之后经由例如NS系统121与NS系统111进行通信。
VPLMN 102可以预先将NS系统121确定为漫游终端可使用的NS系统。可选地,预先确定与HPLMN 101中的NS系统111相对应的VPLMN 102中的NS系统和与HPLMN 101中的NS系统112相对应的VPLMN 102中的NS系统。例如,HPLMN 101中的NS系统111可以与VPLMN 102中的NS系统121相关联,并且HPLMN 101中的NS系统112可以与VPLMN 102中的NS系统122相关联。
如上所述,尽管UE 95从HPLMN 101向VPLMN 102漫游,但UE 95可以经由VPLMN 102访问HPLMN 101中的NS系统。
以下说明在上述的多个实施例中所述的UE 90、AuC 40~60和HSS 30的结构示例。
图14是示出UE 90和UE 95的结构示例的框图。射频(RF)收发器1101进行模拟RF信号处理以与5G RAN 80、5G RAN 81和5G RAN 82进行通信。RF收发器1101所进行的模拟RF信号处理包括升频转换、降频转换和放大。RF收发器1101连接至天线1102和基带处理器1103。具体地,RF收发器1101从基带处理器1103接收调制符号数据(或OFDM符号数据),生成发送RF信号并将该发送RF信号供给至天线1102。此外,RF收发器1101基于天线1102所接收到的接收RF信号来生成基带接收信号,并且将该基带接收信号供给至基带处理器1103。
基带处理器1103进行无线通信所用的数字基带信号处理(即,数据面处理)和控制面处理。数字基带信号处理包括(a)数据压缩/解压缩、(b)数据分割/串接、(c)发送格式(即,发送帧)合成/分解、(d)传输路径编码/解码、(e)调制(符号映射)/解调制、以及(f)通过快速傅立叶逆变换(IFFT)的OFDM符号数据(基带OFDM信号)生成等。另一方面,控制面处理包括层1(例如,发送电力控制)、层2(例如,无线资源管理和混合自动重传请求(HARQ)处理)以及层3(例如,附接、移动性和与通话管理有关的信令)的通信管理。
例如,在LTE和高级LTE的情况下,基带处理器1103所进行的数字基带信号处理可以包括分组数据汇聚协议(PDCP)层、无线链路控制(RLC)层、MAC层和PHY层的信号处理。此外,基带处理器1103所进行的控制面处理可以包括非接入层(NAS)协议、RRC协议和MAC CE的处理。
基带处理器1103可以包括用于进行数字基带信号处理的调制解调器处理器(例如,数字信号处理器(DSP))和用于进行控制面处理的协议栈处理器(例如,中央处理单元(CPU)或微处理器单元(MPU))。在这种情况下,用于进行控制面处理的协议栈处理器可以与以下所述的应用处理器1104共用。
应用处理器1104还被称为CPU、MPU、微处理器或处理器核。应用处理器1104可以包括多个处理器(处理器核)。应用处理器1104通过运行从存储器1106或者从未示出的存储器读取的系统软件程序(操作系统(OS))和各种应用程序(例如,通话应用、web浏览器、邮件程序、照相机操作应用和音乐播放应用等)来实现UE 90和UE 95的各功能。
在一些实现中,如在图14中利用虚线(1105)所示,基带处理器1103和应用处理器1104可以集成在单个芯片上。换句话说,基带处理器1103和应用处理器1104可以实现为一个片上系统(SoC)装置1105。在一些情况下,SoC装置也可被称为系统大规模集成(LSI)或芯片组。
存储器1106是易失性存储器、非易失性存储器或它们的组合。存储器1106可以包括物理上彼此独立的多个存储器装置。易失性存储器例如是静态随机存取存储器(SRAM)、动态RAM(DRAM)或它们的组合。非易失性存储器例如是掩模只读存储器(MROM)、电可擦除可编程ROM(EEPROM)、闪速存储器、硬盘驱动器或它们的组合。例如,存储器1106可以包括从基带处理器1103、应用处理器1104和SoC 1105可访问的外部存储器装置。存储器1106可以包括集成在基带处理器1103、应用处理器2604或SoC 1105中的内部存储器装置。此外,存储器1106可以包括通用集成电路卡(UICC)中的存储器。
存储器1106可以存储包含用以进行上述多个实施例中所描述的利用UE 90和UE50的处理的一组指令和数据的软件模块(计算机程序)。在数个实现中,基带处理器1103或应用处理器1104可被配置为通过从存储器1106读取软件模块并执行该软件模块,来进行上述实施例中所描述的UE 90和UE 95的处理。
图15是示出AuC 40、AuC 50、AuC 51、AuC 52、AuC 60、AuC 61、AuC 62、HSS 30、HSS35和HSS 36(以下称为AuC 40等)的结构示例的框图。参考图15,AuC 40等包括网络接口1201、处理器1202和存储器1203。网络接口1201用于与网络节点(例如,eNodeB 130、MME、P-GW)进行通信。网络接口1201例如可以包括符合IEEE 802.3系列的网络接口卡(NIC)。
处理器1202从存储器1203读取并运行软件(计算机程序),并由此执行参考上述实施例中的序列图和流程图所述的AuC 40等的处理。处理器1202例如可以是微处理器、MPU或CPU。处理器1202可以包括多个处理器。
存储器1203是易失性存储器和非易失性存储器的组合。存储器1203可以包括与处理器1202分开配置的贮存器。在这种情况下,处理器1202可以经由未示出的I/O接口访问存储器1203。
在图15的示例中,存储器1203用于存储一组软件模块。处理器1202从存储器1203读取并运行该组软件模块,并由此可以进行上述实施例中所述的AuC 40等的处理。
如参考图14和15所述,UE 90、UE 95、AuC 40、AuC 50、AuC 51、AuC 52、AuC 60、AuC61、AuC 62、HSS 30、HSS 35和HSS 36中所包括的各个处理器运行包括用于使计算机进行使用附图所述的算法的一组指令的一个或多个程序。可以使用任何类型的非暂时性计算机可读介质来将这些程序提供至计算机。非暂时性计算机可读介质包括任何类型的有形存储介质。非暂时性计算机可读介质的示例包括:磁存储介质(诸如软盘、磁带、硬盘驱动器等);磁光存储介质(例如,磁光盘);致密盘只读存储器(CD-ROM);CD-R;CD-R/W;以及半导体存储器(诸如掩模ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、闪速ROM和随机存取存储器(RAM)等)。可以使用任何类型的暂时性计算机可读介质来将程序提供至计算机。暂时性计算机可读介质的示例包括电信号、光信号和电磁波。暂时性计算机可读介质可以经由有线通信线路(诸如电线或光纤等)或无线通信线路将程序提供至计算机。
应当注意,本发明不限于上述实施例,并且可以在本发明的范围内以各种形式改变。此外,在本发明中,可以适当组合实施例。
尽管已经参考本发明的实施例特别地示出并说明了本发明,但本发明不限于这些实施例。本领域普通技术人员将理解,可以在没有背离如所附权利要求书所限定的本发明的精神和范围的情况下对本发明进行形式和细节的各种改变。
本申请基于并要求2016年7月15日提交的日本专利申请2016-140760的优先权,在此通过引用包含其全部内容。
附图标记列表
10 订户信息管理设备
20 安全设备
30 HSS
31 通信单元
32 信息管理单元
35 HSS
36 HSS
40 AuC
41 通信单元
42 安全信息管理单元
43 NS密钥生成单元
50 AuC
51 AuC
52 AuC
60 AuC
61 AuC
62 AuC
70 CPF
71 CPF
72 DEA
73 CPF
74 DEA
80 5G RAN
81 5G RAN
82 5G RAN
90 UE
91 通信单元
92 NS密钥生成单元
95 UE
100 核心网
101 HPLMN
102 VPLMN
110 NS系统
111 NS系统
112 NS系统
120 NS系统
121 NS系统
122 NS系统
130 NS系统
Claims (13)
1.一种通信系统,包括:
订户信息管理设备,其被配置为管理通信终端的订户信息;以及
安全设备,其被配置为将所述通信终端的识别信息与在所述通信终端能够使用的至少一个网络切片系统中所使用的安全信息相关联地进行管理,
其中,所述订户信息管理设备使用所述通信终端的识别信息和所述通信终端所使用的网络切片系统的识别信息,从所述安全设备获取在所述通信终端所使用的网络切片系统中使用的安全信息。
2.根据权利要求1所述的通信系统,其中,
在所述安全设备管理在所述网络切片系统之一中所使用的安全信息的情况下,
所述订户信息管理设备将所述通信终端的识别信息发送至所述安全设备,并且从所述安全设备获取所述安全信息。
3.根据权利要求1所述的通信系统,其中,
所述安全设备管理第一网络切片系统中所使用的第一安全信息和第二网络切片系统中所使用的第二安全信息,以及
所述订户信息管理设备将所述通信终端的识别信息和所述通信终端所使用的网络切片系统的识别信息发送至所述安全设备,并且从所述安全设备获取所述第一安全信息或所述第二安全信息。
4.根据权利要求3所述的通信系统,其中,
所述订户信息管理设备管理与所述安全设备相关联的网络切片系统的识别信息,并且在从所述通信终端发送了所述通信终端所使用的网络切片系统的识别信息的情况下,将所述通信终端的识别信息和所述通信终端所使用的网络切片系统的识别信息发送至与该网络切片系统相关联的安全设备。
5.根据权利要求4所述的通信系统,其中,
所述订户信息管理设备在将所述通信终端的识别信息与所述通信终端能够使用的一个网络切片系统的识别信息相关联地进行管理的情况下,使用从所述通信终端发送来的所述通信终端的识别信息来从所述安全设备获取所述安全信息。
6.根据权利要求1至5中任一项所述的通信系统,其中,
所述安全设备基于使所述通信终端的识别信息与所述通信终端能够使用的至少一个网络切片系统的识别信息相关联的信息,来判断是否将所述安全信息发送至所述订户信息管理设备。
7.根据权利要求1至6中任一项所述的通信系统,还包括控制设备,所述控制设备配置在核心网内但不在任何网络切片系统内,
其中,所述订户信息管理设备经由所述控制设备从所述通信终端接收所述通信终端的识别信息和所述通信终端所使用的网络切片系统,或者从所述通信终端接收所述通信终端的识别信息。
8.一种订户信息管理设备,包括:
通信部件,用于与安全设备进行通信,所述安全设备用于将通信终端的识别信息与在所述通信终端能够使用的至少一个网络切片系统中所使用的安全信息相关联地进行管理;以及
管理部件,用于管理与所述安全设备相关联的网络切片系统的识别信息,
其中,所述通信部件使用所述通信终端的识别信息和所述通信终端所使用的网络切片系统的识别信息,从所述安全设备获取在所述通信终端所使用的网络切片系统中使用的安全信息。
9.一种信息获取方法,包括:
管理安全设备以及与所述安全设备相关联的网络切片系统的识别信息,所述安全设备用于将通信终端的识别信息与在所述通信终端能够使用的至少一个网络切片系统中所使用的安全信息相关联地进行管理;以及
使用所述通信终端的识别信息和所述通信终端所使用的网络切片系统的识别信息,从所述安全设备获取在所述通信终端所使用的网络切片系统中使用的安全信息。
10.一种非暂时性计算机可读介质,其存储程序,所述程序用于使计算机执行:
管理安全设备以及与所述安全设备相关联的网络切片系统的识别信息,所述安全设备用于将通信终端的识别信息与在所述通信终端能够使用的至少一个网络切片系统中所使用的安全信息相关联地进行管理;以及
使用所述通信终端的识别信息和所述通信终端所使用的网络切片系统的识别信息,从所述安全设备获取在所述通信终端所使用的网络切片系统中使用的安全信息。
11.一种通信系统,包括:
通信终端;
控制设备,其被配置为在核心网内处理控制数据;
订户信息管理设备,其被配置为存储所述通信终端的订户信息;以及
安全设备,其被配置为与所述订户信息管理设备协作地经由所述控制设备对所述通信终端进行认证处理,
其中,所述通信终端将所述通信终端希望使用的网络切片的识别信息发送至所述控制设备,以及
在所述认证处理成功之后,所述通信终端基于所述通信终端希望使用的网络切片的识别信息来与所述通信终端希望使用的网络切片进行通信。
12.根据权利要求11所述的通信系统,其中,
所述通信终端将所述通信终端的识别信息发送至所述控制设备,以及
所述控制设备基于所述通信终端的识别信息来从多个安全设备中选择安全设备。
13.一种通信终端,包括:
第一发送部件,用于将所述通信终端希望使用的网络切片的识别信息发送至用于在核心网内处理控制数据的控制设备;
接收部件,用于经由所述控制设备接收所述核心网的认证处理所使用的第一安全信息;
第二发送部件,用于将与所述第一安全信息相对应的第二安全信息发送至所述控制设备;以及
通信部件,用于在所述核心网基于所述第二安全信息认证了所述通信终端之后,基于所述通信终端希望使用的网络切片的识别信息来与所述通信终端希望使用的网络切片进行通信。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016-140760 | 2016-07-15 | ||
| JP2016140760 | 2016-07-15 | ||
| PCT/JP2017/025680 WO2018012611A1 (ja) | 2016-07-15 | 2017-07-14 | 通信システム、加入者情報管理装置、情報取得方法、非一時的なコンピュータ可読媒体、及び通信端末 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109479193A true CN109479193A (zh) | 2019-03-15 |
| CN109479193B CN109479193B (zh) | 2021-10-01 |
Family
ID=60952096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780044013.0A Active CN109479193B (zh) | 2016-07-15 | 2017-07-14 | 通信系统、订户信息管理设备、信息获取方法、非暂时性计算机可读介质和通信终端 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US20190246270A1 (zh) |
| EP (2) | EP3767983A1 (zh) |
| JP (2) | JP6773116B2 (zh) |
| KR (2) | KR102140521B1 (zh) |
| CN (1) | CN109479193B (zh) |
| WO (1) | WO2018012611A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111414645A (zh) * | 2020-03-19 | 2020-07-14 | 中国电子科技集团公司第三十研究所 | 一种实现隐私保护功能的安全hss/udm设计方法及系统 |
| CN111865872A (zh) * | 2019-04-26 | 2020-10-30 | 大唐移动通信设备有限公司 | 一种网络切片内终端安全策略实现方法及设备 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108012267B (zh) * | 2016-10-31 | 2022-05-24 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
| WO2019083843A1 (en) | 2017-10-23 | 2019-05-02 | Nokia Solutions And Networks Oy | CONFIGURATION OF NETWORK SLICES |
| EP3860180A4 (en) * | 2018-09-28 | 2021-09-01 | NEC Corporation | CORE NETWORK DEVICE, COMMUNICATION TERMINAL DEVICE, COMMUNICATION SYSTEM, AUTHENTICATION PROCEDURE AND COMMUNICATION PROCEDURE |
| US20200162919A1 (en) * | 2018-11-16 | 2020-05-21 | Lenovo (Singapore) Pte. Ltd. | Accessing a denied network resource |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150139238A1 (en) * | 2013-11-18 | 2015-05-21 | Telefonaktiebolaget L M Ericsson (Publ) | Multi-tenant isolation in a cloud environment using software defined networking |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100904215B1 (ko) * | 2008-11-19 | 2009-06-25 | 넷큐브테크놀러지 주식회사 | 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 |
| KR101504717B1 (ko) * | 2010-09-16 | 2015-03-23 | 에스케이텔레콤 주식회사 | 단말 인증 처리 시스템 및 방법 |
| EP2730112A4 (en) * | 2011-07-08 | 2015-05-06 | Nokia Corp | METHOD AND APPARATUS FOR AUTHENTICATING SUBSCRIBERS TO LONG-TERM EVOLUTION TELECOMMUNICATION NETWORKS OR UNIVERSAL MOBILE TELECOMMUNICATION SYSTEM |
| WO2014022984A1 (zh) * | 2012-08-08 | 2014-02-13 | 华为技术有限公司 | 信息处理方法和装置 |
| KR20150116092A (ko) * | 2014-04-04 | 2015-10-15 | 한국전자통신연구원 | 슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치 |
| US9526005B2 (en) | 2014-04-17 | 2016-12-20 | Mitel Mobility Inc. | GSM A3/A8 authentication in an IMS network |
| US10074178B2 (en) | 2015-01-30 | 2018-09-11 | Dental Imaging Technologies Corporation | Intra-oral image acquisition alignment |
| US20160353367A1 (en) * | 2015-06-01 | 2016-12-01 | Huawei Technologies Co., Ltd. | System and Method for Virtualized Functions in Control and Data Planes |
| US9930524B2 (en) * | 2015-06-22 | 2018-03-27 | Verizon Patent And Licensing Inc. | Detecting a second user device identifier based on registration of a first user device identifier |
| CN108141756A (zh) * | 2015-09-29 | 2018-06-08 | 瑞典爱立信有限公司 | 促成网络切片管理 |
| CN109076347B (zh) * | 2016-02-16 | 2023-08-01 | 交互数字专利控股公司 | 网络切片操作 |
| CN108886678B (zh) * | 2016-03-21 | 2020-03-10 | 华为技术有限公司 | 一种消息交互的方法、设备和系统 |
| JP2019096918A (ja) * | 2016-04-05 | 2019-06-20 | シャープ株式会社 | 端末装置、基地局装置、MME(Mobility Management Entity)および通信制御方法 |
-
2017
- 2017-07-14 KR KR1020197004154A patent/KR102140521B1/ko active IP Right Grant
- 2017-07-14 WO PCT/JP2017/025680 patent/WO2018012611A1/ja unknown
- 2017-07-14 JP JP2018527677A patent/JP6773116B2/ja active Active
- 2017-07-14 EP EP20194811.4A patent/EP3767983A1/en not_active Withdrawn
- 2017-07-14 EP EP17827734.9A patent/EP3487198A1/en not_active Withdrawn
- 2017-07-14 US US16/311,463 patent/US20190246270A1/en not_active Abandoned
- 2017-07-14 CN CN201780044013.0A patent/CN109479193B/zh active Active
- 2017-07-14 KR KR1020207021917A patent/KR102193511B1/ko active IP Right Grant
-
2020
- 2020-04-20 US US16/853,403 patent/US11153751B2/en active Active
- 2020-09-29 JP JP2020163072A patent/JP6962432B2/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150139238A1 (en) * | 2013-11-18 | 2015-05-21 | Telefonaktiebolaget L M Ericsson (Publ) | Multi-tenant isolation in a cloud environment using software defined networking |
Non-Patent Citations (2)
| Title |
|---|
| SAMSUNG: "Network Slice Architecture Update", 《TSGS2_115_NANJING_CHINA S2-162351》 * |
| SAMSUNG: "Updates of solution for key issue 12 on Authentication Frame work – supporting multiple slices", 《SA WG2 MEETING#116 S2-163524》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865872A (zh) * | 2019-04-26 | 2020-10-30 | 大唐移动通信设备有限公司 | 一种网络切片内终端安全策略实现方法及设备 |
| CN111414645A (zh) * | 2020-03-19 | 2020-07-14 | 中国电子科技集团公司第三十研究所 | 一种实现隐私保护功能的安全hss/udm设计方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11153751B2 (en) | 2021-10-19 |
| KR102140521B1 (ko) | 2020-08-03 |
| JP2021010174A (ja) | 2021-01-28 |
| KR20190030714A (ko) | 2019-03-22 |
| JPWO2018012611A1 (ja) | 2019-05-16 |
| KR102193511B1 (ko) | 2020-12-21 |
| EP3487198A4 (en) | 2019-05-22 |
| JP6962432B2 (ja) | 2021-11-05 |
| EP3487198A1 (en) | 2019-05-22 |
| KR20200093086A (ko) | 2020-08-04 |
| JP6773116B2 (ja) | 2020-10-21 |
| EP3767983A1 (en) | 2021-01-20 |
| US20190246270A1 (en) | 2019-08-08 |
| CN109479193B (zh) | 2021-10-01 |
| WO2018012611A1 (ja) | 2018-01-18 |
| US20200252798A1 (en) | 2020-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11937079B2 (en) | Communication terminal, core network device, core network node, network node, and key deriving method | |
| JP6962432B2 (ja) | 通信方法、コントロールプレーン装置、コントロールプレーン装置もしくは通信端末のための方法、及び通信端末 | |
| US11722891B2 (en) | User authentication in first network using subscriber identity module for second legacy network | |
| US20210250186A1 (en) | Security management for edge proxies on an inter-network interface in a communication system | |
| US11265705B2 (en) | Communication system, communication terminal, AMF entity, and communication method | |
| EP3451722B1 (en) | Key derivation when network slicing is applied | |
| EP4240043A2 (en) | Privacy managing entity selection in communication system | |
| EP3753223B1 (en) | Security management in communication systems with provisioning based mechanism to identify information elements | |
| US20220060896A1 (en) | Authentication Method, Apparatus, And System | |
| EP3739924B1 (en) | Communication terminal, network device, communication method, and de-concealment method | |
| US20230300611A1 (en) | Methods and Systems to Authenticate a User Account Using an Internet Protocol (IP) Address | |
| US20220303767A1 (en) | User Equipment Authentication and Authorization Procedure for Edge Data Network | |
| WO2020208295A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over private network | |
| WO2020178046A1 (en) | User equipment-initiated request for type of authentication and key agreement exchange in a communication system | |
| WO2018139588A1 (ja) | 通信端末、情報管理方法、及びコンピュータ可読媒体 | |
| US20240056815A1 (en) | Secure identification of applications in communication network | |
| US20240137764A1 (en) | User Equipment Authentication and Authorization Procedure for Edge Data Network | |
| WO2024092624A1 (en) | Encryption key transfer method and device for roaming users in communication networks | |
| WO2024065483A1 (en) | Authentication procedures for edge computing in roaming deployment scenarios | |
| WO2024065502A1 (en) | Authentication and key management for applications (akma) for roaming scenarios | |
| WO2022174399A1 (en) | User equipment authentication and authorization procedure for edge data network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |