CN109964453B - 统一安全性架构 - Google Patents
统一安全性架构 Download PDFInfo
- Publication number
- CN109964453B CN109964453B CN201680090879.0A CN201680090879A CN109964453B CN 109964453 B CN109964453 B CN 109964453B CN 201680090879 A CN201680090879 A CN 201680090879A CN 109964453 B CN109964453 B CN 109964453B
- Authority
- CN
- China
- Prior art keywords
- authentication
- network
- function
- entity
- security service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims abstract description 238
- 238000005192 partition Methods 0.000 claims abstract description 42
- 238000004891 communication Methods 0.000 claims abstract description 36
- 230000004044 response Effects 0.000 claims abstract description 28
- 238000000034 method Methods 0.000 claims description 59
- 238000012545 processing Methods 0.000 claims description 34
- 238000013507 mapping Methods 0.000 claims description 27
- 230000007246 mechanism Effects 0.000 claims description 13
- 230000009467 reduction Effects 0.000 claims description 3
- 230000011664 signaling Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 40
- 230000008569 process Effects 0.000 description 8
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 7
- 238000013461 design Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 5
- 239000000463 material Substances 0.000 description 5
- 239000013598 vector Substances 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000013468 resource allocation Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
创建包括一组安全服务功能的安全服务功能链。安全服务功能链是响应于通信网络(5G或类似网络)中指定网络分区(例如,网络切片)的实例化而创建的。通信网络支持多个网络分区的实例化以用于提供相应的多个网络服务。针对接入和寻求接入与指定网络分区对应的网络服务(例如,eMBB、大规模IoT和任务关键型IoT中的一个)的实体(例如,订户或设备),使用安全服务功能链执行至少一个安全服务(例如,认证)。
Description
技术领域
本申请一般地涉及通信网络,更具体但非排它地,涉及通信网络中的安全性功能。
背景技术
本节介绍了可有助于更好地理解本发明的各方面。因此,本节的陈述应从这个角度来阅读,并且不应被理解为承认现有技术中的内容或现有技术中没有的内容。
由国际电信联盟(ITU)管理的第四代(4G)无线移动电信技术被开发以提供具有高数据速率的高容量移动多媒体,特别是用于人类交互。下一代或第五代(5G)技术将不仅用于人机交互,还用于机器类型通信。在第三代合作伙伴计划(3GPP)技术报告(TR)22.891中已经描述了覆盖不同5G场景的超过70个使用实例,此报告的公开内容在此通过引用而全部并入本文。4G与5G设计要求之间的主要区别在于5G网络必须支持使用实例的多样性,而4G网络主要是针对实现高速移动宽带的单一使用实例而设计的。
如上所述,5G将实现非常多样化的使用实例。每个使用实例具有不同的安全性要求。例如,具有支持大量(例如,每平方公里约100万个连接)的低能力设备(例如,传感器、致动器和相机)以及10年以上电池寿命的规格的大规模物联网(IoT)应用也需要节能的安全方案。此外,具有低延迟和高可靠性设备的任务关键型IoT应用(例如,工业控制系统、移动医疗保健、车辆实时控制、道路交通、事故预防、智能电网广域监控系统、公共安全通信系统、多媒体优先服务等)需要实时自适应高级安全方案。此外,具有改进的移动设备无线因特网接入规范的增强型移动宽带(eMBB)服务也需要改进的安全方案。
然而,在满足与5G和类似网络中支持的多种不同使用实例相关联的多种不同安全性要求方面存在重大挑战。已有的安全方案无法充分应对这些重大挑战。
发明内容
说明性实施例提供了用于在通信网络中提供统一安全性功能和架构的技术。虽然可以预期这些实施例提供例如相对于传统方法的性能改进和/或成本降低,但除非在特定权利要求中明确地叙述,否则任何实施例不需要特定结果。
例如,在一个实施例中,一种方法包括以下步骤。创建包括一组安全服务功能的安全服务功能链。安全服务功能链是响应于通信网络中指定网络分区的实例化而创建的。通信网络支持多个网络分区的实例化以用于提供相应的多个网络服务。针对执行接入与指定网络分区对应的网络服务和寻求接入与指定网络分区对应的网络服务中的一个的实体,使用安全服务功能链以执行至少一个安全服务。
在另一个实施例中,提供了一种制品,其包括其中编码有一个或多个软件程序的可执行代码的处理器可读存储介质。一个或多个软件程序在由至少一个处理设备执行时执行上述方法的步骤。
在又一个实施例中,一种装置包括存储器和处理器,处理器被配置为执行上述方法的步骤。
有利地,说明性实施例提供了统一安全服务功能(例如但不限于认证功能)和架构,以满足5G和类似网络(例如,大规模IoT、任务关键型IoT、eMBB等)所支持的多种不同的安全性要求中的不同安全性要求,以及对接入或寻求接入网络分区、网络服务和/或通信网络的其它部分的实体(例如,订户(使用具有订户或用户标识模块的设备)或设备(不具有订户或用户标识模块))提供密钥协商以及机密性和完整性保护协议。
通过附图和以下详细描述,在本文中描述的实施例的这些和其它特征和优点将变得更加明显。
附图说明
图1示出根据一个实施例的统一认证架构;
图2示出根据一个实施例的认证状态和安全上下文表;
图3示出根据一个实施例的用于从访问域网络发起的附着请求的认证方法;
图4示出根据一个实施例的用于从3GPP系统接入到非3GPP系统接入的移动的认证方法;
图5示出根据一个实施例的用于用户设备接入分别由多个网络切片提供的多个应用的单点登录方法;
图6示出根据一个或多个实施例的在其上实现统一认证架构的处理平台。
具体实施方式
本文将参考示例性计算系统、数据存储系统、通信网络、处理平台、系统、用户设备、网络节点、网络单元、客户端、服务器和相关联的通信协议来描述说明性实施例。然而,应理解,实施例不限于与所描述的特定布置一起使用,而是更一般地适用于需要提供用于改进通信网络中的安全性的机制和方法的任何环境。
虽然本文在认证功能的上下文中描述了说明性实施例,但应理解,在给出本文提供的教导的情况下,可以以直接的方式用其它安全性功能来实现替代实施例。
根据说明性实施例,与用于5G或类似网络的统一认证架构相关联的一些主要设计原理如下:
i)通常,有三种主要类型的5G服务/应用(使用实例),即eMBB、大规模IoT和任务关键型IoT。说明性实施例为具有不同安全性要求的这三种类型的5G服务/应用设计了统一认证架构。然而,统一认证架构是可扩展的,并且还可以以直接的方式应用于可具有不同安全性要求的其它类型的5G服务/应用(使用实例)。
ii)通过向5G网络引入新技术,例如软件定义网络(SDN)和网络功能虚拟化(NFV),可以按需自动部署统一认证架构中的逻辑功能。
iii)无线网络中的安全性功能(例如,与演进型节点B(eNodeB或eNB)在同一平台中一起部署)可以从诸如附着请求的无线接入请求消息中提取/分离认证信息,构造认证请求消息,然后将它们转发到对应的认证功能。
iv)认证功能已经集成到4G网络中的移动性管理实体(MME)、3G网络中的服务通用分组无线服务支持节点(SGSN)、以及2G网络中的移动交换中心/访问位置寄存器(MSC/VLR)中。根据说明性实施例,认证功能与这些网络功能分离,并且在5G网络中被部署为独立的公共功能。可以使用NFV和SDN技术来实现这种分离和部署。从发展的角度来看,5G网络中的认证功能应与4G/3G/2G网络中的认证兼容。根据说明性实施例的集中式认证功能还可以简化用于从3GPP网络系统接入到非3GPP网络系统接入的移动的认证过程。在3GPP技术规范(TS)33.401和TS33.234(其内容在此通过引用而全部并入本文)中定义的从3GPP系统接入到非3GPP网络系统接入的移动的认证非常复杂,并且是过载的。
v)全球唯一临时ID/临时移动订户标识—国际移动订户标识(GUTI/TMSI-IMSI)映射管理的功能已经集成到4G网络中的MME、3G网络中的SGSN和2G网络中的MSC/VLR中。根据说明性实施例,GUTI/TMSI-IMSI映射管理功能与这些网络功能分离,并且在5G网络中被部署为独立的公共功能。诸如认证、移动性管理和网络资源管理的网络功能与GUTI/TMSI-IMSI映射管理功能交互以获取IMSI以用于进一步的操作/动作(例如,认证、切换、网络资源分配)。
根据以上和其它设计原理,图1示出了用于5G或类似网络的统一认证架构。
如图所示,统一认证架构100被示出为在5G或类似网络的各种子网间实现的逻辑功能(在本文中也被称为功能、模块和/或组件)。子网络包括无线网络110、核心网络130和数据网络(因特网)160。子网络110、130和160使用各种通信协议和网络基础架构可操作地耦合,这将在本文中进一步说明。例如,如架构100进一步示出的,无线网络110驻留在移动用户设备102-1、102-2、102-3、...、102-N与边缘云网络118之间。注意,移动用户设备在图1中被示出为各种通信设备,例如但不限于智能电话(例如,102-1)、IoT传感器和机器(例如,102-2)、以及车辆(例如,102-3...102-N)。此外,核心网络130驻留在边缘云网络118与区域或中央数据中心(DC)152之间。
还应注意,构成5G网络的各种子网络被划分为“网络切片”。网络切片(网络分区)包括在公共物理基础架构上使用NFV的每个对应服务类型的一系列功能集(即,功能链)。网络切片针对指定服务按需进行实例化。如在本文和权利要求中所使用的,实例化被定义为“创建实例”。因此,当网络切片或功能的实例被创建时,该网络切片或功能被实例化。在一些实施例中,这涉及在底层物理基础架构的一个或多个主机设备上安装或以其它方式运行网络切片或功能。
如图1中所示,存在三个网络切片:对应于eMBB服务的网络切片#1(104-1),对应于大规模IoT服务的网络切片#2(104-2),以及对应于任务关键型IoT服务的网络切片#3(104-3)。每个网络切片具有控制平面和用户平面(网络切片#1的控制平面106-1和用户平面108-1,网络切片#2的控制平面106-2和用户平面108-2,以及网络切片#3的控制平面106-3和用户平面108-3)。每个网络切片提供所期望的功能集以使移动用户设备(102-1、102-2、102-3、...、102-N)能够与数据网络(用于网络切片#1的因特网154-1,用于网络切片#2的因特网154-2,以及用于网络切片#3的因特网154-3)通信。
如在架构100中进一步示出的,无线网络110中的网络切片的每个部分包括接入点(基站)112-1、112-2、112、3、112-4、112-5、...、112-P,逻辑功能包括:认证网关(接入认证GW)功能114(用于网络切片#1的114-1,用于网络切片#2的114-2,以及用于网络切片#3的114-3);以及机密性/完整性功能116(用于网络切片#1的116-1,用于网络切片#2的116-2,以及用于网络切片#3的116-3)。
此外,核心网络130中的网络切片的每个部分包括逻辑功能,其包括:认证协调器132(用于网络切片#1的132-1,用于网络切片#2的132-2,以及用于网络切片#3的132-3);受访网络认证器或V-认证器134(用于网络切片#1的134-1,用于网络切片#2的143-2,以及用于网络切片#3的134-3);GUTI/TMSI-IMSI映射管理功能136(用于网络切片#1的136-1,用于网络切片#2的136-2,以及用于网络切片#3的136-3);数据转发功能137(用于网络切片#1的137-1,用于网络切片#2的137-2,以及用于网络切片#3的137-3);其它网络功能138(例如但不限于移动性管理:用于网络切片#1的138-1,用于网络切片#2的138-2,以及用于网络切片#3的138-3);机密性/完整性功能139(仅限网络切片#2);归属网络认证器或H-认证器144(用于网络切片#1的144-1,用于网络切片#2的144-2,以及用于网络切片#3的144-3);以及订户和设备管理功能146(例如但不限于认证、授权和计费(AAA)服务、归属用户服务(HSS)、归属位置寄存器(HLR)和设备标识寄存器(EIR);用于网络切片#1的146-1,用于网络切片#2的146-2,以及用于网络切片#3的146-3)。
统一认证架构100还包括部署在核心网络130中的主认证协调器120,其管理网络切片认证协调器功能132-1、132-2和132-3,这将在本文中更详细地进行描述。安全管理功能140也是架构100的一部分,并且在图像和提供功能涉及安全性问题时提供对它们的管理。如本文所使用的,术语“图像”说明性地是指虚拟化安全性功能的图像。必要时,从图像存储库中检索所选择的图像,对其进行加密并将其传输到远程站点或主机并进行实例化以提供安全服务功能。
应理解,5G安全性系统是全面的。图1的说明性实施例示出了无线网络接入认证。因此,在此将不再详细解释在图1中分别被示出为模块142-1、142-2、142-3、148-1、148-2、148-3和150的其它安全性功能,诸如防火墙/入侵防御系统/入侵检测系统/深度包检测(FW/IPS/IDS/DPI)。这些功能在其它对应的5G安全标准中描述,并且不是说明性实施例的重点。
因此,如图1中的架构100中说明性地所示,针对对应网络切片(即,网络切片#1(eMBB)、网络切片#2(大规模IoT)、以及网络切片#3(任务关键型IoT))中的5G服务/应用而部署认证相关逻辑功能。注意,认证相关逻辑功能可以具有不同的部署。例如,在用于大规模IoT的网络切片#2中,机密性/完整性139被部署在核心网络130中(与用于网络切片#1和#3的无线网络110相比),因为用户平面数据可以被携带在信令消息中。作为另一个示例,在用于任务关键型IoT的网络切片#3中,功能V-认证器134-3和GUTI/TMSI-IMSI映射136-3可以部署在无线网络110中或靠近无线网络110,例如,在边缘云118中(如图所示)以减少延迟。
指定图1中的上述架构100,现在将进一步详细描述该架构的主要逻辑功能。
主认证协调器120。该逻辑功能在网络切片间操作并且被部署在核心网络130中。此外,主认证协调器120提供有将要管理的网络切片中的认证协调器(即,网络切片认证协调器132-1,网络切片认证协调器132-2,以及网络切片认证协调器132-3)的地址。
主认证协调器120通过与网络切片认证协调器132-1、132-2和132-3交互并获得认证状态来提供5G网络的认证拓扑视图。此外,如上所述,主认证协调器120管理网络切片认证协调器132-1、132-2和132-3。这种管理包括:例如,当新的网络切片被创建时,启动网络切片认证协调器的新实例化;例如,当网络切片停止提供服务时,停止网络切片认证协调器的已有实例化;以及为网络切片认证协调器提供软件升级。
此外,主认证协调器120提供网络切片间的单点登录(SSO)服务。SSO服务对于同一移动设备接入部署在不同网络切片中的若干服务/应用或者对于一个设备接入不同网络切片间的一个服务/应用具有重要作用。如对于网络切片间的SSO服务,合规性要求可包括但不限于遵守移动网络运营商(MNO)的策略。例如,一些MNO准许在其自己的网络域内或MNO网络域间的SSO服务,而一些MNO则不准许。另一个合规性要求包括遵守网络切片和服务/应用的策略。例如,大规模IoT服务/应用准许SSO,但任务关键型IoT服务/应用可能不准许SSO。又一个合规要求包括遵守安全策略。例如,具有高级别安全性的任务关键型IoT服务/应用无法接受来自具有低级别安全性的大规模IoT服务/应用的认证结果。
接入认证GW 114。在每个网络切片中提供接入认证网关(如图1中所示,用于网络切片#1的114-1,用于网络切片#2的114-2,以及用于网络切片#3的114-3)。该逻辑功能被部署在无线网络110中,并且提供有在其对应的网络切片中将要连接的V-认证器134、H-认证器144和机密性/完整性功能116的地址。接入认证GW功能识别将从移动设备102(经由接入点112)接收的认证消息发送到哪个网络切片。
此外,接入认证GW功能114从无线接入请求消息(例如,附着请求)中提取/分离认证信息,构造认证请求消息,然后将它们转发到对应的V-认证器134。接入认证GW还从V-认证器134接收认证相关消息(例如,用户认证请求),将认证信息并入/汇集到将要转发到设备102的无线接入响应消息中。接入认证GW 114还获得从认证过程中获得的加密算法的密钥和对应指示符,然后将它们转发到机密性/完整性功能116。
网络切片认证协调器132。在每个网络切片中提供网络切片认证协调器(如图1中所示,用于网络切片#1的132-1,用于网络切片#2的132-2,以及用于网络切片#3的132-3)。该逻辑功能被部署在核心网络130中,并且提供有在其对应的网络切片中的V-认证器134和H-认证器144的地址。网络切片认证协调器提供网络切片的认证拓扑视图,并且可以在同一网络切片中管理认证器(134和144)。这种管理包括但不限于:启动认证器的新实例化,例如,用于将要扩容(scale-out)的网络切片(有时被称为扩容操作);停止认证器的已有实例化,例如,对于将要缩容(scale-in)的网络切片(有时被称为收缩操作);以及为认证器提供配备、配置和软件升级。
当V-认证器134不知道H-认证器144的地址时,网络切片认证协调器132也支持对漫游场景的认证(在某些情况下,例如,网络切片刚刚被启动/安装/实例化,H-认证器刚刚被启动/安装/实例化,V-认证器刚刚被启动/安装/实例化或者未被提供等)。例如,V-认证器134从认证协调器132获取H-认证器144的地址,然后进一步向归属域网络发送认证请求,以通过H-认证器144获取认证信息。认证协调器132还优化了切换期间的认证过程。例如,集中式功能知道所有订户/设备认证状态,因此可以简化切换期间的认证和密钥协商过程,尤其是针对从3GPP无线系统接入到非3GPP无线系统接入的移动。
V/H-认证器134/144。认证器具有已经集成到4G网络中的MME、3G网络中的SGSN和2G网络中的MSC/VLR中的认证和密钥协商的相同功能,根据说明性实施例,认证器与网络功能分离,并且在5G网络中被部署为独立的公共功能。认证器逻辑功能可以根据网络切片的需求而被部署在无线网络110或核心网络130中。认证器提供有网络切片认证协调器、接入认证GW、GUTI/TMSI-IMSI映射,以及对应网络切片中的其它公共网络功能(例如,移动性管理)的地址。注意,如在本节中所描述的,认证器的功能通常是指认证器逻辑功能而不考虑归属域/访问域。当在下面的过程中考虑访问域和归属域时,认证器逻辑功能将分别被描述为V-认证器和H-认证器。
统一认证架构100与传统认证架构兼容。例如,被传统网络(例如,通用移动电信系统(UMTS)或演进分组系统(EPS))认证的订户计划从传统网络切换到5G网络。这样,认证器功能(134/144)被配置为从传统网络中的网络设备(例如,SGSN或MME或认证、授权和计费(AAA)服务器)获取认证信息(例如,认证向量(AV)、成对主密钥(PMK))。
认证器逻辑功能支持已有的认证机制,诸如UMTS认证和密钥协商(AKA)、EPS AKA、无线保真(Wi-Fi)保护接入/Wi-Fi保护接入II(WPA/WPA2)(针对Wi-Fi)、以及将要用于5G或未来无线网络的新认证机制。诸如“UMTS_AKA”、“EPS_AKA”、“WPA”和“5G_认证”(即,用于5G的新认证机制)的标志用于标识将要使用的认证机制。基于设备102提供的无线接入技术(例如,通用地面无线接入网络(UTRAN)、长期演进(LTE)、Wi-Fi)和设备安全性能力(例如,认证机制、加密算法),认证器决定将使用哪种认证机制以进行无线接入认证。
认证器基于临时标识(例如,TMSI、GUTI)获取订户的实际/真实标识(例如,IMSI)。在3GPP网络系统中,不通过网络发送订户的实际/真实标识以保护订户的隐私。为了执行订户认证,认证器联系GUTI/TMSI-IMSI映射功能以获取订户的实际/真实标识。
当订户在3GPP网络上注册时,在成功执行订户与网络之间的相互认证之后,(通过认证器或通过其它公共网络功能)向订户分配临时标识。订户的临时标识与实际/真实标识之间的映射关系被GUTI/TMSI-IMSI映射功能存储。
当订户漫游到访问域网络并且访问域网络中的认证器(即,V-认证器134)没有用于该订户的有效认证信息(例如,AV、PMK)时,V-认证器134联系H-认证器144(如果V-认证器134不知道H-认证器144的地址,例如在以下某些情况下:网络切片刚刚被启动/安装/实例化,H-认证器刚刚被启动/安装/实例化,V-认证器刚刚被启动/安装/实例化或者未被提供等,则在网络切片认证协调器132的帮助下进行联系)以在归属域网络(即,H-认证器144)中获得认证信息。
当订户接入无线网络并且认证器没有用于该订户的有效认证信息(例如,认证向量、PMK)时,认证器联系订户和设备管理功能146以获取对应的认证信息。
说明性实施例提供对订户和/或设备的认证状态和安全上下文的管理,以优化认证/重新认证过程。图2示出了根据一个实施例的认证状态表200。如图所示,例如对于由IMSI#1唯一标识的订户,表200存储以下信息:认证状态(成功);认证机制(EPS AKA);活动认证向量/信息(EPS AV)(即安全上下文);保留认证向量/信息(EPS AV)(即安全上下文);以及旧认证器的地址(无)。对于由其IMEI唯一标识的设备或由其MAC地址唯一标识的网络接口,类似的状态信息被存储,如表200中进一步所示。应当理解,可以具有一个或多个这样的表以记录订户、设备和/或网络接口的认证状态。这些一个或多个表被存储在认证器(功能134、144或其某些组合)中。
说明性实施例还优化切换期间的认证过程。认证器记录订户/设备认证状态和安全上下文,以便简化切换期间的认证和密钥协商的过程,尤其是针对从3GPP无线系统接入到非3GPP无线系统接入的移动。在3GPP TS33.402和TS23.402(其内容在此通过引用而全部并入本文)中,即使用户设备(UE)已经被源无线接入网络认证,也必须再次执行UE与目标网络之间的相互认证以在切换之前获得用于保护空中链路的密钥。以这种方式,空中链路上的认证通信是过载的并且切换延迟增加。有利地,根据说明性实施例,由于认证器知道认证状态和安全上下文,因此不需要再次在UE与目标网络之间进行相互认证。
认证器通知其它公共网络功能(例如,移动性管理)认证成功或失败。如果认证成功,则网络资源分配将继续执行其它步骤,否则将停止。
GUTI/TMSI-IMSI映射136。GUTI/TMSI-IMSI映射管理的功能具有管理临时标识与IMSI(已被集成到4G中的MME、3G中的SGSN和2G中的MSC/VLR中)之间的关系的功能,根据说明性实施例,GUTI/TMSI-IMSI映射管理与网络功能分离,并且在5G网络中被部署为独立的公共功能。在一个实施例中,采用合并映射表的层次结构以管理临时标识与IMSI之间的关系,例如GUTI与IMSI之间以及TMSI与IMSI之间的映射关系等。这样的表被存储在映射组件136中。
订户和设备管理146。对于商业网络,订户和设备管理通常彼此分开部署。然而,为了简化描述,订户和设备管理被一起描述并且在图1中被示出为一个功能。
订户管理可被实现为一个已有的订户管理系统,例如,归属位置寄存器/归属订户服务器(HLR/HSS)和AAA服务器,这些已有订户管理系统的组合,或新的订户管理系统。设备管理可被实现为一个已有的设备管理系统,例如,设备标识寄存器(EIR)和开放移动联盟(OMA)设备管理(DM)系统,这些已有设备管理系统的组合,或新的设备管理系统。
机密性/完整性116/139。机密性/完整性逻辑功能具有提供已被集成到无线网络控制器(RNC)或eNB(用于无线通信的机密性和完整性保护)和MME(用于非接入层(NAS)消息的机密性和完整性保护)中的机密性和完整性保护的相同功能,机密性/完整性功能可以根据服务/应用的需求而被部署在无线网络110或核心网络130中。该逻辑功能提供有用于其对应网络切片的接入认证GW功能114的地址。
机密性/完整性功能从接入认证GW功能获得密码算法的密钥和对应指示符,然后根据来自服务/应用的要求对控制平面106上的信令消息和用户平面108上的用户数据执行机密性和完整性保护。
安全管理140。安全管理逻辑功能是部署在核心网络130中的组件。该功能在网络切片间为所有认证相关功能提供图像管理、安全性提供、以及软件更新。
给出以上对统一认证架构100的各种逻辑功能(功能、模块和/或组件)的详细描述之后,以下详细描述示出了用于5G网络中三种场景的网络接入认证。为了简化描述,进行以下非限制性假设:
1-仅描述了认证过程。
2-任何两个逻辑功能之间的通信由传输层安全性/因特网协议安全性(TLS/IPsec)或物理安全性保护。
3-逻辑功能接入认证GW和机密性/完整性与无线接入节点(例如,演进型通用地面无线接入网络(E-UTRAN)接入节点、无线局域网(WLAN)接入节点)部署在同一平台中。
4-对于从E-UTRAN到WLAN的切换:(a)WLAN接入节点和E-UTRAN接入节点彼此信任,如在3GPP TS23.402中所定义的;(b)EPS E-UTRAN与WLAN之间的切换在非漫游的单连接模式下。
图3示出了根据一个实施例的用于从访问域网络发起的附着请求的认证方法300。认证方法300假定一个用户从受访EPS网络发起附着请求,而在受访EPS网络中没有用于该用户的GUTI与IMSI之间的映射关系。因此,受访EPS网络必须从归属EPS网络获取认证信息。对于这种情况,还假定新的网络切片被实例化,并且先前没有执行用于漫游接入的认证。进一步假定H-认证器的新实例被安装并且开始操作,而且V-认证器134不知道H-认证器144的地址。
当新的网络切片被创建时,网络切片认证协调器132选择接入认证GW 114、机密性/完整性116、V-认证器134、GUTI/TMSI-IMSI映射管理136和H-认证器144(具有HSS/HLR302)的实例,然后创建功能链(与其它网络功能304一起,例如但不限于下一代网络架构S2-165374(其公开内容在此通过引用而全部并入本文)中的移动性管理功能(MMF)或核心控制功能(CCF))以进行接入认证。
在创建上述功能链之后,认证方法300被执行。注意,下面描述的列举步骤与图3中标记的步骤相对应。
步骤0:终端用户例如在长途飞行之后在受访EPS网络中开启他的移动电话(设备102)。移动设备的用户设备(UE)向受访E-UTRAN接入节点112(包括接入认证GW功能114和机密性/完整性功能116)发送消息“附着请求”。
步骤1:接入认证GW功能114(部署在受访E-UTRAN接入节点112中)从“附着请求”中提取认证相关信息(例如,UE安全性能力、GUTI等)并构造消息,即,认证请求(GUTI、“EPS_AKA”、UE的其它安全性能力等)。注意,假定GUTI是在最后一次连接到3GPP网络时获得的,而EPS_AKA是用于认证器功能(134/144)的字段,以用于获知用户所使用的认证机制。然后,接入认证GW功能114向V-认证器功能134转发认证请求。还应注意,受访E-UTRAN接入节点112中的其它功能构造其它消息,例如但不限于无线资源分配消息,然后将这些消息转发到对应的网络功能,例如但不限于移动性管理。然而,这些附加消息不是本文的重点,将不再进一步描述。
步骤2:V-认证器功能134接收消息“认证请求”,并识别用于该用户的认证机制为EPS AKA。V-认证器功能向GUTI/TMSI-IMSI映射功能136发送消息“IMSI请求(GUTI)”以获取用户的IMSI。然而,在受访EPS网络中没有用于该用户的GUTI与IMSI之间的有效映射关系。因此,IMSI请求无法在受访EPS网络中获取用户的IMSI。
步骤3:V-认证器功能134通过接入认证GW功能114向UE(设备102的UE)发送消息“标识请求”。UE通过接入认证GW功能,用IMSI对V-认证器功能做出响应。消息“标识请求/响应”在3GPP TS 33.401中定义。
步骤4bis:V-认证器功能134从认证协调器功能132获取H-认证器功能144的地址。
步骤4:基于该用户的IMSI,V-认证器功能134通过H-认证器功能144和HSS/HLR302从归属EPS网络获取认证数据。消息“认证数据请求/响应”在3GPP TS33.401中定义。
步骤5:V-认证器功能134通过接入认证GW功能114向UE发送消息“用户认证请求”。UE生成在3GPP TS33.401中定义的对应的密钥和认证数据。UE通过接入认证GW功能114,用“RES”消息对V-认证器功能134做出响应。V-认证器功能134对用户进行认证。消息“用户认证请求/响应”在3GPP TS33.401中定义。
步骤6:V-认证器功能134存储认证状态和安全上下文,并为该用户分配临时标识GUTI。其它网络功能304也可以为该用户分配GUTI。在这种情况下,V-认证器功能134通知对应的网络功能为该用户分配GUTI。GUTI-IMSI映射关系通过消息“IMSI-GUTI存储请求/响应”保存在GUTI/TMSI-IMSI映射功能136中。
步骤7:V-认证器功能134通过发送消息“认证响应”对接入认证GW功能114做出响应:用户认证成功(子步骤7.1)。V-认证器功能134通知其它网络功能304(例如,移动性管理)用户认证成功,并且其它网络功能304做出响应(子步骤7.2)。其它网络功能可以进一步为该用户分配网络资源。
步骤8:接入认证GW功能114通过消息“密钥和指示符通知请求/响应”将密钥和相关指示符从V-认证器功能发送到机密性/完整性功能116。
步骤9:UE从网络侧接收“附着响应”消息。
图4示出了根据一个实施例的用于从3GPP系统接入到非3GPP系统接入的移动的认证方法400。方法400示出了用于一个用户从3GPP EPS网络切换到WLAN网络的认证过程,具有以下两个假设:(a)WLAN接入节点和E-UTRAN接入节点彼此信任,如在3GPP TS23.402中所定义的;以及(b)EPS E-UTRAN与WLAN之间的切换在具有非漫游状态的单连接模式下。
在创建在图4的顶部间示出的功能链之后,认证方法400被执行。注意,下面描述的列举步骤与图4中标记的步骤相对应。
步骤0.UE(设备102的UE)经由接入节点112-E(包括接入认证GW功能114-E和机密性/完整性功能116-E)连接到3GPP EPS网络。
步骤1.UE发现WLAN接入节点112-W(包括接入认证GW功能114-W和机密性/完整性功能116-W)。UE发起切换请求。
步骤2.UE向E-UTRAN接入节点112-E发送消息“HO请求(标识、网络接入标识符、无线局域网NAIWLAN)”。注意,参数“标识”和NAI在3GPP TS23.402和3GPP TS33.402中定义。接入认证GW功能114-E(部署在E-UTRAN接入节点中)从消息“HO请求”中提取认证相关信息(例如,标识、NAIWLAN、UE安全性能力)并构造消息,即“HO安全上下文请求”(标识、NAIWLAN、UE安全性能力)。
步骤3.接入认证GW功能114-E向认证器功能发送消息“切换(HO)安全上下文请求”。在此,认证器功能将被称为144(即,H-认证器功能144),但是应当理解,在替代实施例中,当需要漫游认证时,认证器功能可以是V-认证器134。
步骤4.在接收到消息“HO安全上下文请求”之后,认证器功能144向AAA服务器404转发HO安全上下文请求(子步骤4.0)。AAA服务器404从GUTI/TMSI-IMSI映射功能136获取IMSI(子步骤4.1)。然后,AAA服务器404根据来自其认证状态数据库(例如,图2中的表200)的IMSI获取正在使用的当前EPS AV(认证向量)。AAA服务器404从密钥接入管理实体(KASME)中导出主会话密钥(MSK)和扩展主会话密钥(EMSK),并将它们(与标识,认证机制一起)存储到其认证状态数据库中(子步骤4.2)。AAA服务器404向认证器功能144转发安全上下文(例如,标识、MSK、EMSK)(子步骤4.3)。
步骤5.认证器功能144通过消息“HO安全上下文通知请求/响应”向部署在WLAN接入节点112-W中的接入认证GW功能114-W发送安全上下文(例如,标识、MSK、EMSK)(子步骤5.1)。接入认证GW功能114-W从密钥MSK和EMSK中导出用于保护WLAN无线接入的密钥并将它们存储到其数据库中,然后通过消息“密钥和指示符通知请求/响应”将密钥和相关指示符发送到机密性/完整性功能116-W以保护WLAN无线接入(子步骤5.2)。
步骤6.认证器功能144向E-UTRAN接入节点112-E中的接入认证GW功能114-E发送消息“HO安全上下文响应(密钥集标识符接入安全管理实体或KSIASME)”。
步骤7.E-UTRAN接入节点112-E中的接入认证GW功能114-E向UE发送消息“密钥材料通知请求(KSIASME)”。
步骤8.在接收到消息“密钥材料通知请求(KSIASME)”之后,UE从KSIASME中导出MSK和EMSK,然后从MSK和EMSK中导出用于保护WLAN接入的密钥。
步骤9.UE向E-UTRAN接入节点112-E中的接入认证GW功能14-E发送“消息密钥材料通知响应”。
步骤10.UE从网络侧接收消息“HO响应”。
步骤11.UE向WLAN接入节点112-W中的接入认证GW功能114-W发送消息“HO完成”。
步骤12.WLAN接入节点向功能认证器发送消息“HO通知”以记录认证状态。
步骤13.认证器功能144向HSS/HLR 402发送消息“订户简档获取和注册”。
一旦设备102成功切换到WLAN接入节点112-W,则在EPS E-UTRAN接入节点112-E中释放无线接入资源。
将认证方法400与在3GPP TS33.402和TS23.402中定义的从3GPP系统到非3GPP系统的切换的认证过程进行比较,有利的差异包括但不限于:
1-UE与目标网络(即,WLAN接入节点)之间没有相互认证。
2-在方法400中用于通过空中链路进行密钥协商的步骤数量小于在3GPPTS33.402和TS23.402中定义的步骤数量。
以这种方式,减少了切换延迟并且节省了稀缺的无线接入资源。
图5示出了根据一个实施例的用于用户设备接入分别由多个网络切片提供的多个应用的单点登录方法500。更具体地,方法500示出了用于同一UE接入分别由两个网络切片提供的两个应用(即,网络切片#2中的大规模IoT(104-2)和网络切片#1中的eMBB(104-1))的单点登录(SSO)服务。假定具有UE的用户正在接入由网络切片#1(其是EPS网络)提供的移动多媒体服务(eMBB)。一段时间之后,具有同一UE的用户计划接入由网络切片#2(其也是EPS网络)提供的大规模IoT服务。在这种情况下,不需要在用户与网络切片#2之间进行相互认证,因为网络切片#1中的用户的认证结果和相关安全上下文可以被重新用于网络切片#2。进一步假定连接到两个网络切片的用户没有漫游。
在创建在图5的顶部间示出的功能链之后,认证方法500被执行。注意,下面描述的列举步骤与图5中标记的步骤相对应。
步骤0.UE(设备102的UE)连接到网络切片#1并且接入多媒体服务。同一UE计划连接到网络切片#2并且接入大规模IoT服务。UE知道连接到网络切片#1并且同意使用网络切片#1的认证结果以注册网络切片#2。UE向网络切片#2中的接入认证GW功能114-2发送消息“附着请求”。
步骤1.网络切片#2中的接入认证GW功能114-2从“附着请求”中提取/分离认证相关信息(例如,UE安全性能力、具有对应网络切片号(即网络切片#1等)的GUTI)并构造消息,即“认证请求(具有对应网络切片号(即网络切片#1)的GUTI、“EPS_AKA”、UE其它安全性能力、“用SSO登录”等)”。然后,接入认证GW功能114-2向网络切片#2中的认证器功能144-2转发“认证请求”。在此再次注意,假定认证器功能是H-认证器144,但是在涉及漫游的替代实施例中,可以包括V-认证器功能134。
步骤2.网络切片#2中的认证器功能144-2接收消息“认证请求(具有对应网络切片号(即网络切片#1)的GUTI、“EPS_AKA”、UE其它安全性能力、“用SSO登录”等)”并联系网络切片#1中的认证器功能144-1以获取认证数据。网络切片#2中的认证器功能144-2经由网络切片#2中的认证协调器132-2,主认证协调器120,以及网络切片#1中的认证协调器132-1向网络切片#1中的认证器功能144-1发送消息“SSO请求(具有对应网络切片号(即网络切片#1)的GUTI、“EPS_AKA”、UE其它安全性能力、“用SSO登录”等)”。
步骤3.网络切片#1中的认证器功能144-1通过消息“IMSI请求/响应”从GUTI/TMSI-IMSI映射功能136-1获取IMSI。
步骤4.网络切片#1中的认证器功能144-1从KASME中导出密钥KEYNS,KASME是从UE与网络切片#1中的认证器功能144-1之间的密钥协商中获得的。
步骤5.网络切片#1中的认证器功能144-1经由网络切片#1中的认证协调器132-1,主认证协调器120,以及网络切片#2中的认证协调器132-2,用KSIASME和KEYNS对网络切片#2中的认证器功能144-2做出响应。响应消息是“SSO响应”。
步骤6.网络切片#2中的认证器功能144-2从KEYNS中导出K”ASME,从K”ASME中导出K”MME,从K”MME中导出K”eNB。
步骤7.网络切片#2中的认证器功能144-2向网络切片#2中的接入认证GW功能114-2发送到消息“认证响应(KSIASME)”(子步骤7.1)。网络切片#2中的认证器功能144-2存储认证状态并为用户分配临时标识GUTI,然后通过消息“IMSI-GUTI存储请求/响应”将GUTI与IMSI之间的映射关系存储到GUTI/TMSI-IMSI映射功能136-2中(子步骤7.2)。其它网络功能502也可以为该用户分配GUTI(子步骤7.3)。在这种情况下,认证器功能通知对应的网络功能为该用户分配GUTI。认证器功能通知其它网络功能502(例如但不限于移动性管理)用户认证成功。其它网络功能502可以进一步为该用户分配网络资源。
步骤8.网络切片#2中的接入认证GW功能114-2从K”eNB中导出K”RRCenc、K”RRCint、K”UPenc和K”UPint(子步骤8.1),然后通过消息“密钥和指示符通知请求/响应”将密钥和相关指示符发送到网络切片#2中的机密性/完整性功能116-2(子步骤8.2)。
步骤9.网络切片#2中的接入认证GW功能114-2向UE发送消息“密钥材料通知请求(KSIASME)”。
步骤10.UE从KASME(在UE与网络切片#1中的认证器功能144-1之间协商的)中导出密钥KEYNS,从KEYNS中导出K”ASME,从K”ASME中导出K”MME,从K”MME中导出K”eNB,从K”eNB中导出K”RRCenc、K”RRCint、K”UPenc和K”UPint。
步骤11.UE用消息“密钥材料通知响应”对网络切片#2中的接入认证GW功能144-2做出响应。
步骤12.UE从网络切片#2接收消息“附着响应”。
现在转向图6,其中示出了根据一个或多个实施例的在其上实现统一认证架构(例如,图1中的100)的处理平台。该实施例中的处理平台600包括多个标示为602-1、602-2、602-3、...602-P的处理设备,其通过网络604彼此通信。架构100的组件和/或模块中的一个或多个(例如,API、组件、数据库等)可以因此每个在一个或多个计算机或其它处理平台单元上运行,其每个可以被视为在本文中更一般地称为“处理设备”的示例。如在图6中所示,这样的设备通常包括至少一个处理器和相关联的存储器,并且实现用于实例化和/或控制在本文中描述的系统和方法的特征的一个或多个功能模块。在指定实施例中,多个元件或模块可以由单个处理设备实现。
处理平台600中的处理设备602-1包括耦合到存储器612的处理器610。处理器610可以包括微处理器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它类型的处理电路,以及这些电路单元的部分或组合。在本文中公开的系统的组件可以至少部分地以存储在存储器中并且由诸如处理器610的处理设备的处理器执行的一个或多个软件程序的形式实现。具有在其中具体化的此类程序代码的存储器612(或其它存储设备)是在本文中更一般地称为处理器可读存储介质的示例。包括这样的处理器可读存储介质的制品被认为是实施例。指定的此类制品例如可以包括存储设备(诸如存储磁盘)、存储阵列或者包含存储器的集成电路。在本文中使用的术语“制品”应当理解为不包括暂时性的传播信号。
此外,存储器612可以包括任何组合的电子存储器,例如,随机存取存储器(RAM)、只读存储器(ROM)或其它类型的存储器。一个或多个软件程序在由诸如处理设备602-1的处理设备执行时使该设备执行与系统/方法500的一个或多个组件/步骤相关联的功能。本领域的技术人员将很容易能够在给出本文提供的教导的情况下实现这种软件。具体化实施例的处理器可读存储介质的其它示例例如可以包括光盘或磁盘。
在处理设备602-1中还包括网络接口电路614,其用于将处理设备与网络604和其它系统组件相连。这种电路可以包括本领域公知类型的传统收发机。
假定以与针对附图中的处理设备602-1而示出的类似的方式来配置处理平台600的其它处理设备602。
在图6中所示的处理平台600可以包括附加的已知组件,例如,批处理系统、并行处理系统、物理机、虚拟机、虚拟交换机、存储卷、逻辑单元等。同样,仅以示例的方式呈现图6所示的特定处理平台,并且图1的架构100可以包括附加或替代的处理平台,以及任何组合的多个不同的处理平台。
此外,服务器、计算机、存储设备或其它组件的许多其它布置也是可能的。这些组件可以通过任何类型的网络(例如,广域网(WAN)、局域网(LAN)、卫星网络、电话或有线网络、存储网络、融合网络或这些和其它类型网络的各种部分或组合)与系统的其它元件通信。
此外,应当理解,图6的处理平台600可以包括使用管理程序(hypervisor)实现的虚拟机(VM)。管理程序是在本文中更一般地称为“虚拟化基础架构”的示例。管理程序在物理基础架构上运行。处理平台600也可以包括多个管理程序,每个管理程序在其自己的物理基础架构上运行。众所周知,VM是可以在一个或多个物理处理单元(例如,服务器、计算机、处理设备)上实例化的逻辑处理单元。也即是说,VM通常是指执行程序的机器(即,计算机)如物理机器的软件实现。因此,不同的VM可以在同一物理计算机上运行不同的操作系统和多个应用。虚拟化由管理程序实现,管理程序直接插入计算机硬件之上,以动态且透明地分配物理计算机的硬件资源。管理程序提供了多个操作系统在单个物理计算机上并发运行并相互共享硬件资源的能力。
如在本文中所描述的,说明性实施例提供统一认证架构以满足来自5G(或类似的)服务/应用(例如,eMBB服务、大规模IoT服务、任务关键型IoT服务)的不同安全性要求以及提供密钥协商和协议以实现机密性和完整性保护。更具体地,说明性实施例根据需要提供用于安全服务的灵活架构,以使得可以在不改变底层网络拓扑的情况下满足来自不同应用的不同安全性要求。该架构可用于设计具有来自各种场景的不同安全性要求的5G安全性,这些场景包括但不限于eMBB、大规模IoT、任务关键型IoT。应当理解,诸如大规模IoT、任务关键型IoT和其它IoT服务的IoT服务可被认为是更广泛的服务分类(在本文中被称为“机器到机器”服务)的示例。在这种服务中,一台机器(例如,IoT设备)与至少一台其它机器(例如,另一个IoT设备)通信。说明性实施例可以用一个或多个机器到机器服务来实现。
在本文说明性描述的各种场景中,应当理解,由被实例化的安全服务功能链提供的安全服务是订户与用于eMBB服务的网络之间的相互认证,或者是设备与用于IoT服务的网络之间的相互认证。这意味着认证针对使用具有订户或用户标识模块/卡的设备的订户(例如,eMBB服务),或者针对没有订户或用户标识模块/卡的设备(例如,大规模IoT服务)。这样,虽然在本文中规定了订户与用于接入认证目的的设备之间的区别,但订户(使用具有订户或用户标识模块的设备,例如订户标识模块(SIM)卡、通用移动电信系统(UMTS)SIM(USIM)卡、用户标识模块(UIM)卡、可移动UIM(R-UIM)卡)或设备(没有SIM/USIM/UIM/R-UIM卡)在本文中通常可被称为接入或寻求接入网络切片、网络服务和/或通信网络的实体(或者更简单地称为“实体”)。然而,接入或寻求接入的其它实体也可以采用这种方式进行表征。
虽然本文在使用特定通信协议的通信网络的上下文中描述了某些说明性实施例,但是在其它实施例中可以使用其它类型的网络。如上所述,本文使用的术语“网络”因此旨在被广义地解释。此外,应当强调的是,上述实施例仅用于说明的目的,而不应被解释为以任何方式进行限制。其它实施例可以使用不同类型的网络、设备和模块配置,以及用于实现统一安全性架构的替代通信协议、方法步骤和操作。在其它实施例中,可以改变网络节点通信的特定方式。此外,应当理解,在描述说明性实施例的上下文中做出的特定假设不应被解释为对本发明的要求。本发明可以在其中不适用这些特定假设的其它实施例中实现。在所附权利要求范围内的这些和许多其它替代实施例对于本领域的技术人员是显而易见的。
Claims (28)
1.一种用于提供统一安全性功能和架构的方法,包括:
创建包括一组安全服务功能的安全服务功能链,其中,所述安全服务功能链是响应于通信网络中指定网络分区的实例化而创建的,其中,所述通信网络支持多个网络分区的实例化以用于提供相应的多个网络服务;以及
针对执行接入与所述指定网络分区对应的网络服务和寻求接入与所述指定网络分区对应的网络服务中的一个的实体,使用所述安全服务功能链以执行至少一个安全服务;
其中,上述步骤中的一个或多个由处理设备执行。
2.根据权利要求1所述的方法,其中,所述至少一个安全服务包括所述实体与所述通信网络之间的相互认证。
3.根据权利要求2所述的方法,其中,用于执行所述相互认证的所述安全服务功能链的创建由针对所述指定网络分区而创建的认证协调器管理。
4.根据权利要求3所述的方法,其中,所述安全服务功能链至少包括以下项的子集:认证网关功能、认证功能、标识映射功能、以及机密性和完整性功能。
5.根据权利要求4所述的方法,其中,所述认证网关功能被配置为:
从所述实体接收消息;
从所接收的消息中提取认证信息;
根据所提取的认证信息构造认证请求消息;以及
向所述认证功能转发所述认证请求消息。
6.根据权利要求4所述的方法,其中,所述认证网关功能被配置为:
从所述认证功能接收认证相关消息;
将来自所接收的消息的认证信息并入接入响应消息中;以及
向所述实体转发所述接入响应消息。
7.根据权利要求4所述的方法,其中,所述认证网关功能被配置为:
从所述认证功能接收密钥相关信息;以及
向所述机密性和完整性功能转发所述密钥相关信息。
8.根据权利要求4所述的方法,其中,所述认证功能被配置为:从多个认证机制中确定用于执行所述实体与所述通信网络之间的接入相互认证的认证机制。
9.根据权利要求4所述的方法,其中,所述认证功能被配置为:基于由所述通信网络分配的与所述实体相关联的临时标识,从所述标识映射功能获取与所述实体相关联的实际标识。
10.根据权利要求4所述的方法,其中,在所述通信网络中的访问域网络中操作的所述认证功能被配置为:通过所述指定网络分区的所述认证协调器,从所述通信网络中的归属域网络中的另一个认证功能获得用于所述实体的认证信息。
11.根据权利要求4所述的方法,其中,所述认证功能被配置为:维持针对执行通过所述指定网络分区接入所述通信网络和寻求接入所述通信网络中的一个的实体的认证状态和安全上下文数据库。
12.根据权利要求11所述的方法,其中,所述认证功能被配置为:在所述实体发起到目标网络的切换之后,针对所述实体,参考所述认证状态和安全上下文数据库,以避免执行所述实体与所述目标网络之间的相互认证。
13.根据权利要求4所述的方法,其中,所述标识映射功能被配置为:管理与所述实体相关联的实际标识与由所述通信网络分配给所述实体的临时标识之间的关系。
14.根据权利要求4所述的方法,其中,所述机密性和完整性功能被配置为:对所述网络分区的控制平面上的信令消息和所述网络分区的用户平面上的用户数据提供保护。
15.根据权利要求3所述的方法,其中,用于所述指定网络分区的认证协调器由主认证协调器功能创建和管理。
16.根据权利要求4所述的方法,其中,所述认证功能是第一认证功能,用于所述指定网络分区的认证协调器被配置为:在扩容操作期间,实例化用于另一个网络分区的第二认证功能。
17.根据权利要求4所述的方法,其中,所述认证功能是第一认证功能,用于所述指定网络分区的认证协调器被配置为:当所述第一认证功能故障时,实例化用于所述指定网络分区的第二认证功能。
18.根据权利要求4所述的方法,其中,用于所述指定网络分区的认证协调器被配置为:提供并配置所述认证功能。
19.根据权利要求3所述的方法,其中,用于所述指定网络分区的认证协调器被配置为:在缩容操作期间,终止用于另一个网络分区的另一个认证功能。
20.根据权利要求15所述的方法,其中,所述主认证协调器被配置为:
在扩容操作期间,实例化用于另一个网络分区的另一个认证协调器功能;以及
在缩容操作期间,终止用于另一个网络分区的另一个认证协调器功能。
21.根据权利要求1所述的方法,其中,针对所述实体使用所述安全服务功能链以执行至少一个安全服务的步骤进一步包括:使用所述安全服务功能链以促进所述实体对与所述指定网络分区对应的所述网络服务的认证接入。
22.根据权利要求1所述的方法,其中,针对所述实体使用所述安全服务功能链以执行至少一个安全服务的步骤进一步包括:使用所述安全服务功能链以促进所述实体从源网络到目标网络的切换,同时保持对与所述指定网络分区对应的所述网络服务的接入。
23.根据权利要求1所述的方法,其中,针对所述实体使用所述安全服务功能链以执行至少一个安全服务的步骤进一步包括:使用所述安全服务功能链以促进所述实体对与所述指定网络分区对应的所述网络服务和与另一个网络分区对应的另一个网络服务的单点登录(SSO)操作。
24.根据权利要求1所述的方法,其中,与所述指定网络分区对应的所述网络服务包括增强型多媒体宽带服务。
25.根据权利要求1所述的方法,其中,与所述指定网络分区对应的所述网络服务包括机器到机器服务。
26.一种处理器可读的非暂时性存储介质,在其中具体化有可执行程序代码,所述可执行程序代码在由处理设备执行时使所述处理设备执行以下步骤:
创建包括一组安全服务功能的安全服务功能链,其中,所述安全服务功能链是响应于通信网络中指定网络分区的实例化而创建的,其中,所述通信网络支持多个网络分区的实例化以用于提供相应的多个网络服务;以及
针对执行接入与所述指定网络分区对应的网络服务和寻求接入与所述指定网络分区对应的网络服务中的一个的实体,使用所述安全服务功能链以执行至少一个安全服务。
27.一种用于提供统一安全性功能和架构的装置,包括:
存储器;以及
处理器,其可操作地耦合到所述存储器以形成统一安全性架构,所述统一安全性架构被配置为:
创建包括一组安全服务功能的安全服务功能链,其中,所述安全服务功能链是响应于通信网络中指定网络分区的实例化而创建的,其中,所述通信网络支持多个网络分区的实例化以用于提供相应的多个网络服务;以及
针对执行接入与所述指定网络分区对应的网络服务和寻求接入与所述指定网络分区对应的网络服务中的一个的实体,使用所述安全服务功能链以执行至少一个安全服务。
28.一种用于提供统一安全性功能和架构的装置,包括:
存储器;以及
处理器,其可操作地耦合到所述存储器并且被配置为读取所述存储器上的程序步骤,所述程序步骤配置所述处理器以执行根据权利要求1至25中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2016/099206 WO2018049646A1 (en) | 2016-09-18 | 2016-09-18 | Unified security architecture |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109964453A CN109964453A (zh) | 2019-07-02 |
| CN109964453B true CN109964453B (zh) | 2022-07-26 |
Family
ID=61618596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680090879.0A Active CN109964453B (zh) | 2016-09-18 | 2016-09-18 | 统一安全性架构 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11240660B2 (zh) |
| EP (1) | EP3513531B1 (zh) |
| CN (1) | CN109964453B (zh) |
| WO (1) | WO2018049646A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117377012A (zh) | 2017-03-17 | 2024-01-09 | 日本电气株式会社 | 第一网络装置及其方法和第二网络装置及其方法 |
| DK3756373T3 (da) | 2018-02-19 | 2021-08-30 | Ericsson Telefon Ab L M | Understøtning af samarbejde og/eller mobilitet mellem forskellige trådløse kommunikationssystemer |
| CN110621045B (zh) * | 2018-06-20 | 2022-05-13 | 华为云计算技术有限公司 | 一种物联网业务路由的方法 |
| CN111465011B (zh) * | 2019-01-18 | 2021-07-16 | 华为技术有限公司 | 跨网络接入方法、装置、存储介质及通信系统 |
| US11102251B1 (en) | 2019-08-02 | 2021-08-24 | Kandji, Inc. | Systems and methods for deploying configurations on computing devices and validating compliance with the configurations during scheduled intervals |
| US11576039B2 (en) * | 2019-09-12 | 2023-02-07 | At&T Mobility Ii Llc | Authentication of a 3G cellular device over 4G mobile network |
| CN110839036B (zh) * | 2019-11-19 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种sdn网络的攻击检测方法及系统 |
| CN111385794B (zh) * | 2020-03-19 | 2022-03-18 | 中国电子科技集团公司第三十研究所 | 面向行业用户的移动通信网络隐私保护方法与系统 |
| US11678249B2 (en) * | 2020-03-24 | 2023-06-13 | Qualcomm Incorporated | Low band assisted routing for multi-hop networks with high band data traffic |
| WO2021109436A1 (en) * | 2020-04-28 | 2021-06-10 | Zte Corporation | Authentication server function selection in an authentication and key agreement |
| CN113747436B (zh) * | 2020-05-14 | 2022-09-23 | 华为技术有限公司 | 通信系统、服务器、通信方法和装置 |
| CN111885602B (zh) * | 2020-07-27 | 2021-04-27 | 西南交通大学 | 一种面向异构网络的批量切换认证及密钥协商方法 |
| EP4207676A4 (en) * | 2020-09-30 | 2023-11-01 | Huawei Technologies Co., Ltd. | METHOD AND APPARATUS FOR ESTABLISHING SECURE COMMUNICATION |
| CN114760626B (zh) * | 2021-10-18 | 2024-04-02 | 西安电子科技大学 | 一种5g大规模终端的自适应组合认证方法 |
| US11461459B1 (en) * | 2021-11-02 | 2022-10-04 | Kandji, Inc. | User device authentication gateway module |
| CN114978709B (zh) * | 2022-05-24 | 2023-06-27 | 成都市第三人民医院 | 一种面向医疗应用的轻量级统一安全认证方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7607069B1 (en) * | 2002-06-28 | 2009-10-20 | Sun Microsystems, Inc. | Computer system including network slices that map to field replaceable units |
| CN102017677A (zh) * | 2008-04-11 | 2011-04-13 | 艾利森电话股份有限公司 | 通过非3gpp接入网的接入 |
| CN102932382A (zh) * | 2011-08-08 | 2013-02-13 | 中兴通讯股份有限公司 | 安全按需供给方法及系统、业务类型获取方法 |
| CN104106073A (zh) * | 2011-12-21 | 2014-10-15 | 阿卡麦科技公司 | 安全策略编辑器 |
| CN105721535A (zh) * | 2014-12-23 | 2016-06-29 | 英特尔公司 | 对服务功能链中的服务功能的并行处理 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7233997B1 (en) * | 1997-06-26 | 2007-06-19 | British Telecommunications Plc | Data communications |
| US7882247B2 (en) * | 1999-06-11 | 2011-02-01 | Netmotion Wireless, Inc. | Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments |
| US7500104B2 (en) | 2001-06-15 | 2009-03-03 | Microsoft Corporation | Networked device branding for secure interaction in trust webs on open networks |
| WO2006006704A2 (en) * | 2004-07-09 | 2006-01-19 | Matsushita Electric Industrial Co., Ltd. | System and method for managing user authentication and service authorization to achieve single-sign-on to access multiple network interfaces |
| CN101330723B (zh) * | 2007-06-19 | 2012-12-12 | 华为技术有限公司 | 演进网络中隧道的建立方法及系统 |
| CN101163056B (zh) * | 2007-11-13 | 2011-09-21 | 中兴通讯股份有限公司 | 用于微波接入全球互通系统的监听标识的处理方法 |
| CN104506406B (zh) * | 2011-11-03 | 2018-10-30 | 华为技术有限公司 | 一种鉴权认证设备 |
| US8797905B2 (en) * | 2012-08-09 | 2014-08-05 | International Business Machines Corporation | Lawful interception in a mobile data network with data offload at the basestation |
| CN106465106B (zh) * | 2014-05-02 | 2020-02-14 | 皇家Kpn公司 | 用于从无线电接入网络提供安全性的方法和系统 |
| EP3281434B1 (en) * | 2015-04-08 | 2020-02-12 | Telefonaktiebolaget LM Ericsson (publ) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network |
| US9762402B2 (en) * | 2015-05-20 | 2017-09-12 | Cisco Technology, Inc. | System and method to facilitate the assignment of service functions for service chains in a network environment |
| US10129894B2 (en) * | 2016-03-04 | 2018-11-13 | Huawei Technologies Co., Ltd. | Systems and methods for performing traffic engineering through network slices |
| US10028128B2 (en) * | 2016-04-29 | 2018-07-17 | Motorola Mobility Llc | Procedures to support network slicing in a wireless communication system |
| US11026060B2 (en) * | 2016-05-13 | 2021-06-01 | Huawei Technologies Co., Ltd. | Systems and methods for network slice attachment and configuration |
| US20170339688A1 (en) * | 2016-05-17 | 2017-11-23 | Industrial Technology Research Institute | Method of network slicing and related apparatuses using the same |
| KR102529714B1 (ko) * | 2016-06-15 | 2023-05-09 | 인터디지탈 패튼 홀딩스, 인크 | 네트워크 슬라이스 발견 및 선택 |
| CN109196828A (zh) * | 2016-06-16 | 2019-01-11 | 华为技术有限公司 | 一种网络切片的资源管理方法和装置 |
-
2016
- 2016-09-18 EP EP16916026.4A patent/EP3513531B1/en active Active
- 2016-09-18 WO PCT/CN2016/099206 patent/WO2018049646A1/en active Application Filing
- 2016-09-18 US US16/333,647 patent/US11240660B2/en active Active
- 2016-09-18 CN CN201680090879.0A patent/CN109964453B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7607069B1 (en) * | 2002-06-28 | 2009-10-20 | Sun Microsystems, Inc. | Computer system including network slices that map to field replaceable units |
| CN102017677A (zh) * | 2008-04-11 | 2011-04-13 | 艾利森电话股份有限公司 | 通过非3gpp接入网的接入 |
| CN102932382A (zh) * | 2011-08-08 | 2013-02-13 | 中兴通讯股份有限公司 | 安全按需供给方法及系统、业务类型获取方法 |
| CN104106073A (zh) * | 2011-12-21 | 2014-10-15 | 阿卡麦科技公司 | 安全策略编辑器 |
| CN105721535A (zh) * | 2014-12-23 | 2016-06-29 | 英特尔公司 | 对服务功能链中的服务功能的并行处理 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190261179A1 (en) | 2019-08-22 |
| CN109964453A (zh) | 2019-07-02 |
| US11240660B2 (en) | 2022-02-01 |
| EP3513531B1 (en) | 2021-06-23 |
| EP3513531A1 (en) | 2019-07-24 |
| EP3513531A4 (en) | 2020-04-29 |
| WO2018049646A1 (en) | 2018-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109964453B (zh) | 统一安全性架构 | |
| US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
| US10681545B2 (en) | Mutual authentication between user equipment and an evolved packet core | |
| KR102428262B1 (ko) | 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치 | |
| CN109587688B (zh) | 系统间移动性中的安全性 | |
| US10270595B2 (en) | Methods, nodes and communication device for establishing a key related to at least two network instances | |
| EP2947903B1 (en) | System and method for identifying a subscriber in a network environment | |
| US11805409B2 (en) | System and method for deriving a profile for a target endpoint device | |
| US20210377054A1 (en) | Systems and methods for managing public key infrastructure certificates for components of a network | |
| CA2995311A1 (en) | Network access identifier including an identifier for a cellular access network node | |
| US11855977B2 (en) | Systems and methods for configuring a network function proxy for secure communication | |
| US20220167167A1 (en) | Authentication decision for fixed network residential gateways | |
| WO2019196963A1 (zh) | 接入网络切片的方法及装置、存储介质、电子装置 | |
| CN114946153A (zh) | 与服务应用进行加密通信的通信网络中的应用密钥生成与管理的方法、设备及系统 | |
| US20230106668A1 (en) | Systems and methods for ue-initiated nssaa procedures | |
| EP4313763A1 (en) | Apparatus and method of coordinating registration procedures for access to uncrewed aerial services | |
| CN117083890A (zh) | 协调接入无人航空服务的注册过程的装置和方法 | |
| WO2014169568A1 (zh) | 安全上下文处理方法及装置 | |
| CN117121524A (zh) | 刷新长期衍生锚定密钥和联合身份管理 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |