CN110720202B - 针对未经认证的用户设备利用安全密钥交换以进行受限服务的附着过程的方法和装置 - Google Patents

针对未经认证的用户设备利用安全密钥交换以进行受限服务的附着过程的方法和装置 Download PDF

Info

Publication number
CN110720202B
CN110720202B CN201880038380.4A CN201880038380A CN110720202B CN 110720202 B CN110720202 B CN 110720202B CN 201880038380 A CN201880038380 A CN 201880038380A CN 110720202 B CN110720202 B CN 110720202B
Authority
CN
China
Prior art keywords
key
public key
restricted
access stratum
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880038380.4A
Other languages
English (en)
Other versions
CN110720202A (zh
Inventor
安德烈亚斯·孔茨
哥纳季·韦列夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Singapore Pte Ltd
Original Assignee
Lenovo Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Singapore Pte Ltd filed Critical Lenovo Singapore Pte Ltd
Publication of CN110720202A publication Critical patent/CN110720202A/zh
Application granted granted Critical
Publication of CN110720202B publication Critical patent/CN110720202B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04L63/064Hierarchical key distribution, e.g. by multi-tier trusted parties
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种方法和装置提供针对受限本地运营商服务的安全。能够发送受限本地运营商服务指示和与受限本地运营商服务相关联的安全能力中的至少一个。能够接收包括对称根密钥的非接入层密钥交换请求。能够利用公钥对所述对称根密钥进行加密。能够确认非接入层密钥交换请求。能够利用对称根密钥导出非接入层安全密钥。能够利用对称根密钥导出用于用户平面和无线电资源控制的无线电接口密钥。

Description

针对未经认证的用户设备利用安全密钥交换以进行受限服务 的附着过程的方法和装置
技术领域
本公开涉及一种用于在无线网络上的传送信令的方法和装置。更具体地,本公开涉及一种针对未经认证的用户设备利用安全密钥交换以进行受限服务的附着过程的方法和装置。
背景技术
目前,无线通信设备(诸如UE)使用无线信号来与其它通信设备进行通信。在第三代合作伙伴计划(3GPP)中,文件SP-170382“New SID:Study on System enhancements forProvision of Access to Restricted Local Operator Services by UnauthenticatedUEs(PARLOS)(新SID:对提供由未认证UE对受限本地运营商服务的接入的系统增强的研究)”中的研究项目被同意。此研究目的旨在满足3GPP SA1要求以便即使UE未被成功地认证也给UE提供对受限本地运营商服务的网络接入。用于提供对此类本地服务的接入的能力已可供美国运营商使用,但是仅在专有基础上进行。
发明内容
本发明涉及一种用于进行受限服务的附着过程的方法,包括:发送受限本地运营商服务指示和与所述受限本地运营商服务相关联的安全能力中的至少一个;接收包括对称根密钥的非接入层密钥交换请求,所述对称根密钥利用公钥加密;确认所述非接入层密钥交换请求;利用所述对称根密钥导出非接入层安全密钥;以及利用所述对称根密钥导出用于用户平面和无线电资源控制的无线电接口密钥,其中,所述受限本地运营商服务包括由无线广域网运营商提供的通信服务,涉及从自动化客户服务辅助或人工客户服务辅助选择的至少一个,并且受限于从强制门户和特定拨号数字串选择的至少一个。
本发明涉及一种用于受限服务的附着过程的装置,包括:收发器,所述收发器发送受限本地运营商服务指示和与所述受限本地运营商服务相关联的安全能力中的至少一个,并且接收包括对称根密钥的非接入层密钥交换请求,所述对称根密钥利用公钥加密;以及控制器,所述控制器确认所述非接入层密钥交换请求,利用所述对称根密钥导出非接入层安全密钥,并且利用所述对称根密钥导出用于用户平面和无线电资源控制的无线电接口密钥,其中,所述受限本地运营商服务包括由无线广域网运营商提供的通信服务,涉及从自动化客户服务辅助或人工客户服务辅助选择的至少一个,并且受限于从强制门户和特定拨号数字串选择的至少一个。
附图说明
为了描述可用来获得本公开的优点和特征的方式,通过参考本公开的被图示在附图中的具体实施例来呈现本公开的描述。这些附图仅描绘本公开的示例实施例,因此不应被认为限制其范围。为了清楚附图可能已被简化并且不一定按比例绘制。
图1是根据可能的实施例的示例系统的框图;
图2是根据可能的实施例的图1的示例系统的示例信号流程图;
图3A和图3B是根据可能的实施例的图1的示例系统的另一示例信号流程图;
图4图示根据可能的实施例的用于受限本地运营商服务(RLOS)安全的密钥层次;
图5图示根据可能的实施例的图示装置的操作的示例流程图;
图6图示根据可能的实施例的图示另一装置的操作的示例流程图;以及
图7是根据可能的实施例的示例装置的框图。
具体实施方式
实施例提供用于针对受限本地运营商服务的安全的方法和装置。根据可能的实施例,可发送受限本地运营商服务指示和与受限本地运营商服务相关联的安全能力中的至少一个。可接收包括对称根密钥的非接入层密钥交换请求。可利用公钥对对称根密钥进行加密。可确认非接入层密钥交换请求。可利用对称根密钥导出非接入层安全密钥。可利用对称根密钥导出用于用户平面和无线电资源控制的无线电接口密钥。
实施例还提供用于针对受限本地运营商服务的安全的另一方法和装置。根据可能的实施例,可接收受限本地运营商服务指示、与受限本地运营商服务相关联的安全能力和公钥中的至少一个。可基于对受限本地运营商服务指示的至少一个的接收来创建对称根密钥。可使安全能力与受限本地运营商服务和公钥相关联。可发送包括对称根密钥的非接入层密钥交换请求。可利用公钥对对称根密钥进行加密。
图1是根据可能的实施例的系统100的示例框图。系统100可包括用户设备(UE)110、网络实体120(诸如基站)和网络130及互联网协议(IP)多媒体核心网络子系统(IMS)140。UE 110可以是无线广域网设备、用户设备、无线终端、便携式无线通信设备、智能电话、蜂窝电话、翻盖电话、个人数字助理、个人计算机、选择性呼叫接收器、物联网(IoT)设备、平板计算机、便携式计算机或能够在无线网络上发送和接收通信信号的任何其它用户设备。网络实体120可以是无线广域网基站,可以是节点B,可以是增强型节点B(eNB),可以是新无线电节点B(gNB),诸如5G节点B,可以是非授权网络基站,可以是接入点,可以是基站控制器,可以是网络控制器,可以是传输/接收点(TRP),并且可以是可在UE 110与网络130之间提供无线接入的任何网络实体。
网络130可包括能够发送和接收无线通信信号的任何类型的网络。例如,网络130可包括无线通信网络、蜂窝电话网络、基于时分多址(TDMA)的网络、基于码分多址(CDMA)的网络、基于正交频分多址(OFDMA)的网络、长期演进(LTE)网络、基于第三代合作伙伴计划(3GPP)的网络、卫星通信网络、高空平台网络、因特网和/或其它通信网络。
在操作中,UE 110可经由网络实体120与网络130进行通信。例如,UE 110可在控制信道上发送和接收控制信号并且在数据信道上发送和接收用户数据信号。网络130还可与IMS 140进行通信,所述IMS 140可包括服务呼叫会话控制功能(S-CSCF)144、询问呼叫会话控制功能(I-CSCF)148、代理呼叫会话控制功能(P-CSCF)142、应用服务器(AS)146。网络130还可包括移动性管理实体(MME)132、临时订户服务器(TSS)138和归属订户服务器(HSS)139。
在以下实施例中,术语eNB/gNB可被用于基站,但是基站可用任何其它无线接入节点(RAN)(诸如接入点(AP)、新无线电(NR))替换。另外,所提出的在下面描述的系统100和方法可被应用于其它类型的网络,包括IEEE 802.11变体、全球移动通信系统(GSM)、通用分组无线电服务(GPRS)、通用移动电信服务(UMTS)、LTE变体、码分多址(CDMA)2000、蓝牙、ZigBee(紫峰)、Sigfoxx等。所描述的实施例也可适用于下一代移动网络,参见3GPP TS23.501和3GPP TS 23.502,其中例如MME 132可映射到接入和移动性管理功能(AMF)135,并且可部分地映射到AMF 135以便终止非接入层(NAS)稀疏模式(SM)协议,会话管理功能(SMF)/用户平面功能(UPF)可映射到服务网关(SGW)137或分组数据网络网关(PGW)136,并且HSS 139可映射到统一数据管理(UDM)/用户数据储存库(UDR)。新逻辑功能实体TSS 138可以是独立的或者可与MME 132、HSS 139或认证、授权和计费(AAA)服务器或甚至AMF 135、SMF、UDM、UDR或网络中的任何其它涉及的节点搭配。在以下实施例中,UE 110可指代移动设备,但是它还可能是没有通用移动电信SIM(USIM)或通用订户身份模块(USIM)/SIM的移动站(MS)或移动设备。当需要时,UE 110、MS或移动实体(ME)可被假定成被预先配置有公开和私密密钥对或者能够基于内部逻辑来生成它们。
本文公开的实施例可满足3GPP安全要求,以便即使UE 110未被成功地认证也向UE110提供对网络130的接入以进行受限本地运营商服务。美国运营商已在专有基础上获得了提供对此类本地服务的接入的能力。然而,LTE的广泛部署和LTE语音(VoLTE)的相应引入产生对于允许UE 110在不一定被成功地认证以便接入的情况下接入这些服务的标准化机制的需求,所述服务诸如拨打特定数字串和接入强制门户。
系统100可基于运营商策略和地区监管要求允许可能未经认证的UE 110接入RLOS。系统100可识别到受限本地运营商服务的起源,诸如拨号数字和强制门户。系统100可确定RLOS是可用的。系统100可允许由未经认证的UE 110接入受限运营商服务。系统100可对信息收集收费。系统100能够对安全考虑负有责任。实施例提供用于UE 110在没有网络运营商的任何凭证的情况下附着到网络130的解决方案,包括UE 110与网络130之间的安全关系的建立。
如技术规范(TS)23.401[2]中所描述的演进型分组系统(EPS)中的当前注册过程不允许UE 110在没有网络130凭证的情况下附着。如果网络130不能找到UE 110的订阅,例如服务GPRS支持节点(SGSN)、MME 132或AMF 135不能从归属位置寄存器(HLR)或HSS 139中检索到UE 110的订阅,则来自UE 110的附着/注册请求可被拒绝。另外,如果UE 110不能提供对由网络130发送的询问的正确响应,则UE 110可被拒绝进行进一步信令和任何通信。相同的构思也适用于如TS 23.501[3]中规定的下一代系统。
为了允许UE 110接入受限运营商服务,从而仅针对受限服务执行成功附着过程,尽管网络130不具有UE 110的订阅并且UE 110不拥有有效的通用订户身份模块(U)SIM凭证,但是网络130和UE 110将需要建立某个安全级别。为了同样提供UE 110与网络130之间的通信的最小安全级别即机密性,若干增强功能和变化是必需的。
实施例可在不使用网络130中的UE 110的订阅的情况下并在不用在UE 110中保持有效的(U)SIM凭证的情况下在UE 110与网络130之间建立安全。这基于UE 110的公钥和网络130(诸如MME 132)的公钥的交换。使用公钥,UE 110和网络130可为至少非接入层(NAS)、接入层(AS)、无线电资源控制(RRC)完整性保护和/或机密性保护导出另外的凭证。AS可在所公开的实施例内与用户平面(UP)互换地使用并且可描述用于在UE 110与网络网关(诸如PGW 136或UPF)之间交换的用户数据(诸如分组数据单元(PDU)或IP分组)的连接。
RLOS和/或PARLOS可描述由网络运营商为不具有用于认证的有效的/足够的订阅信息的UE 110所提供的数据服务。RLOS可以是例如到特定门户的IP连接或到呼叫中心的语音服务。
图2图示根据可能的实施例的图1的示例系统的示例信号流程图200。特别地,图2在高级别上示出在附着过程中广播MME 132的公钥并发送UE 110的公钥或稍后在不同的消息中交换密钥的两种解决方案变体。在205中,UE 110不能被附着到任何公用陆地移动网络(PLMN),并且不能具有任何有效的通用集成电路卡(UICC)/USIM或者不能具有足够的凭证以附着到任何可用的PLMN。UE 110可执行PLMN的选择并且UE 110可向此PLMN发起对RLOS的附着/注册请求。
UE 110可向MME 132或AMF 135发送NAS附着或注册请求消息。在可能的实施例中,UE 110可能已在广播消息中或在广播系统信息(SIB)内接收到MME 132的公钥,然后可将UE110的公钥包括在NAS附着消息中。
UE 110可在附着请求消息中包括给网络130的附着过程是针对受限服务的指示,诸如RLOS指示。基于此RLOS指示,网络130(诸如MME 132或AMF 135)可知道UE 110不能在网络130可联系的任何HSS 139/HLR中具有订阅配置文件。换句话说,网络130可确定UE 110缺少任何有效的凭证,诸如密钥,其将允许对网络130的资源进行“正常”认证接入,即至少在UE 110被允许IP接入之前不可能有可用的凭证。在较高级别(诸如应用级)上,UE 110可能具有凭证,但是一旦UE 110已获得到受限服务的IP连接,就可使用/交换UE 110。
基于RLOS指示,网络130(诸如MME 132或AMF 135)可确定要提供对特定受限服务的接入。另外,基于RLOS指示,网络130可根据附着/注册请求消息来确定如何处理UE 110的标识符,诸如UE 110的标识(ID)。网络130确定由UE 110提供的UE 110的IF不能被用于来自HSS 139/HLR/UDM的订阅检索。替代地,网络130可确定发起用于与UE 110进行凭证交换的信令。凭证可被稍后用于至少NAS、AS、RRC完整性保护和/或机密性保护。
在210中,基于所接收到的附着请求消息的类型或指示(诸如RLOS附着过程),如果未像205中所描述的那样交换MME 132的公钥和UE 110的公钥,则按照图3A和图3B中的另一实施例,可在MME 132接收到NAS附着请求消息之后交换两个公钥。首先MME 132可向UE 110发送NAS消息,包括MME 132的公钥,并且UE 110可应答并提供UE 110的公钥。UE 110的响应消息可能已经被用MME 132的公钥加密。在另一实施例中并且如图3A和图3B中详细地描述的,可用公钥生成新对称密钥并进行交换加密。这个新对称密钥也可用于在UE 110和MME132中导出其它密钥以用于无线电接口上的加密和完整性。
210中的信令交换可基于NAS信令协议。可能的实施例可使用现有的NAS安全模式命令(SCM)消息并且可为了RLOS接入用相关公钥和对称密钥交换来增强那些消息。在另一可能的实施例中,可为与RLOS接入有关的凭证交换定义新NAS消息。
在215中,MME 132可为了RLOS对网络130中的其它功能元件(诸如SGW 137和PGW136)或者对SMF/UPF执行承载建立过程、分组数据网络(PDN)连接建立或协议数据单元(PDU)会话建立。这些功能元件对于正在提供受限服务的RLSO服务来说可以是特定的。
UE 110可能已针对RLOS接入的类型向网络130提供了(诸如在205中)另外的指示。网络130(诸如MME 132、AMF 135)可在确定要建立什么类型的RLSO承载时考虑这个指示。
在220中,MME 132可发送用UE 110的公钥加密或者用在210中为了NAS安全而导出的UE 110的对称密钥加密的附着接受消息或注册接受消息。在具有SGW 137/PGW 136的网络130中成功地建立PDN连接、PDU会话或承载时,网络130可向网络实体120提供UE 110的接入层(AS)安全上下文。网络实体120可使用此AS安全上下文来在无线电Uu接口之上建立安全连接。
虽然以上过程可涵盖所描述的两个用例,但是在广播MME 132的公钥情况下的用例可具有如下假定:在区域中存在仅一个专用MME 132并且网络实体120可能总是为RLOS选择同一MME 132,否则在所广播的MME 132的公钥与另一个MME 132中的MME 132的公钥之间存在失配。
在可能的实施例中,可在单独的过程中执行密钥/凭证交换,如图3A和图3B中详细地描述的。然而,可同样在使用广播MME 132的公钥并在附着请求中发送UE 110的公钥的实施例时以类似的方式完成对称密钥的交换。
图3A和图3B是根据可能的实施例的图1的示例系统的另一示例信号流程图300。在305中,UE 110不能被附着到任何PLMN并且不能具有任何UICC/USIM,或者没有有效的凭证来附着到任何可用的PLMN。UE 110可执行PLMN选择并且可执行到此PLMN的未经认证的附着。UE 110可向网络130(诸如MME 132或AMF 135)发送NAS附着请求消息或注册请求。如果网络实体120广播MME 132的公钥,则UE 110可将UE 110的公钥包括在NAS附着请求中。UE110可在附着请求消息中包括给网络130的附着过程是针对受限服务的指示,诸如RLOS指示,类似于图2中图示的信号流程图200中的205。
由于RLOS接入,UE 110可生成UE 110的公钥。UE 110可将UE 110的公钥包括在给网络130的附着请求消息中。可选地,UE 110可包括预先配置的公钥证书。如果这种机制被启用,则网络130可检查UE 110的安全证书的证书的有效性。UE 110可在附着消息中的UE110的ID字段中使用空字段或任意数字。不能在此过程期间在网络130处使用UE 110的ID,因为在网络130中没有相关订阅。因此,如果附着请求消息中的UE 110的ID是空的,则MME132不可能需要在单独的信令中请求UE 110的ID。
在310中,MME 132可检测对RLOS的请求并且不能设法对UE 110进行认证或者检查HSS 139是否有订阅配置文件。在尚未交换公钥(诸如广播中的MME 132的公钥和NAS附着中的UE 110的公钥)的情况下,MME 132可执行密钥交换过程,其可以与NAS安全模式命令(SMC)过程类似。MME 132可向UE 110发送包括MME 132的公钥的NAS密钥交换请求。如果UE110已经将UE 110的公钥包括在附着请求消息中,则MME 132可使用UE 110的公钥来完整性和机密性保护到UE 110的密钥交换请求消息。可选地,网络130(诸如MME 132)可包括安全证书。如果UE 110已被预先配置有对应的证书,则UE 110可检查网络130的证书有效性。
在315中,UE 110可用包括UE 110的公钥和UE 110的安全能力的密钥交换响应消息进行响应。如果UE 110已经在附着请求消息中提供了UE 110的公钥,则UE 110可省略在密钥交换响应消息中发送UE公钥。可用MME 132的公钥对此消息进行加密。UE 110的安全能力可包括UE 110支持什么种类的算法和密钥导出功能(KDF)。可在UE 110中预先配置私密密钥和UE 110的公钥或者可在UE 110中临时生成它们。
在320中,MME 132可基于UE 110的安全能力来生成新对称KRoot密钥。然后可将此对称密钥用作新主/根密钥。关于如何可从KRoot密钥导出KNAS和KeNB密钥可能有若干种可能性。KRoot密钥可以已经是NAS KNAS密钥或需要用来导出KNAS密钥的上级KASME密钥。如果KRoot密钥与KASME密钥类似则可以与在传统演进型分组系统(EPS)中类似的方式导出KeNB密钥(参见33.401[4]),然而在KRoot密钥可与KNAS密钥类似的情况下,可从KNAS密钥导出KeNB密钥。以下过程可假定KRoot密钥可与KASME密钥类似,但是其它选项也是可能的。
可选地,UE 110和网络130可在315和320期间交换预先配置的公开安全证书或标识证书。此类证书可由网络130和UE 110使用来验证公钥的有效性和/或所有权。这可在假定提供了公钥基础设施(PKI)方案时被使用,诸如还可由UE 110的制造商在UE 110中提供,或者可在IP连接可用时经由软件更新在UE 110中进行更新。网络130(诸如MME 132或AAA服务器)可连接到PKI机构以验证由UE 110提供的证书。
在325中,MME 132可在用UE 110的公钥加密或者若可用的话用先前导出的对称密钥加密的另一NAS密钥交换请求中将新根KRoot密钥提供给UE 110。
在330中,MME 132可存储所指配的KRoot密钥并且可导出KNAS密钥和KeNB密钥。KNAS密钥可被用于NAS协议消息的完整性保护和机密性。KeNB密钥可用于进一步导出用于网络实体120中的AS和RRC的密钥,如355中所说明的。在335中,UE 110可存储所指配的KRoot密钥并且可从KRoot密钥导出KNAS密钥和KeNB密钥。在330中说明KNAS密钥和KeNB密钥的用法。在340中,UE110可用可用KNAS密钥进行加密的密钥交换响应消息对325做出响应。在345中,MME 132可为了RLOS对SGW 137/PGW 136执行承载建立过程,其中图3A和图3B仅示出SGW137。MME 132可基于在305期间来自UE 110的指示来确定执行345。例如,UE 110可能已指示“RLOS接入”和/或某个类似的指示。
MME 132可导出UE 110的临时ID并且可将此ID用于在345中与SGW 137/PGW 136建立PDN连接或PDU会话或承载。UE的临时ID 110可具有国际移动订户标识(IMSI)或全球唯一临时标识(GUTI)的格式。其它CN实体(诸如SGW 137和PGW 136)可使用UE 110的这个临时ID作为用于PDN连接或承载的参考。对于网络130内的所有后续信令,UE 110的临时ID可被用作参考。UE 110的临时ID可包含MME 132的ID,诸如全球唯一移动性管理实体标识符(GUMMEI)。
在350中,MME 132可向网络实体120发送接入层安全模式命令,其可包括KeNB。MME132可将此消息/命令包括在将AS上下文安装在网络实体120中的S1 UE上下文建立消息内。MME 132和网络实体120可将UE 110的临时ID用作信令交换中的参考。
在355中,UE 110可从KeNB密钥导出KRRCint密钥、KRRCenc密钥、KUPint密钥、KUPenc密钥。在360中,网络实体120可从KeNB密钥导出KRRCint密钥、KRRCenc密钥、KUPint密钥和KUPenc密钥。在365中,网络实体120可向MME 132确认AS SMC。在370中,加密可在LTE-Uu无线电接口上启动。在375中,MME 132可向UE 110发送用KNAS密钥加密的附着接受消息。附着接受消息可包含由网络130指配的UE 110的临时ID以及可选地UE的永久ID。UE 110可在针对RLOS的注册期间在每个后续NAS请求消息处使用UE 110的临时ID。MME 132可使用UE 110的临时ID来找到针对UE 110的移动性管理(MM)上下文。
在380中,UE 110现在是“RLOS附着”,即UE 110具有IP连接并且可接入RLOS。可执行UE 110与网络130(诸如MME 132)之间的信令以交换初始凭证,诸如UE 110的公钥和MME132的公钥。附加地,可在UE 110与网络130之间交换附加凭证,诸如根密钥或主密钥,其可以是对称密钥。可在UE 110中和网络130中(诸如在MME 132中或在网络实体120中)自主地使用附加凭证(诸如根密钥或主密钥)来确定用于针对NAS消息(诸如NAS密钥)、RRC消息(诸如RRC密钥)和接入层数据(诸如AS密钥或UP密钥)的对应完整性保护和/或机密性保护的“导出凭证”。
图4图示根据可能的实施例的用于RLOS安全的密钥层次400。如在图3B中的355中所描述的,MME 132可基于UE 110的安全能力来生成新对称KRoot密钥。然后可将此对称密钥用作新主/根密钥。关于如何从KRoot密钥导出KNAS密钥和KeNB密钥可存在若干种可能性。KRoot密钥可以已经是NAS密钥KNAS或需要用来导出KNAS密钥的上级KASME密钥。如果KRoot密钥与KASME密钥类似,则可以与在传统EPS中类似的方式导出KeNB密钥(参见33.401[4]),然而在KRoot密钥与KNAS密钥类似的情况下,将可从KNAS密钥导出KeNB密钥。可假定KRoot密钥与KASME密钥类似,但其它选项也是可能的。
实施例可提供系统100和在UE 110与网络130(诸如MME 132或AMF 135)之间交换初始凭证(诸如公钥)的方法,以便生成并安全地转移附加安全凭证,诸如对称根密钥,以用于进一步导出用于至少NAS、接入层(AS)和/或RRC完整性保护和/或机密性保护的导出凭证。可存在UE 110和MME 132可交换公钥的两种方式。可广播MME 132的公钥,并且UE 110可将其公钥包括在NAS附着请求中。MME 132可发起与NAS SMC类似的新NAS密钥交换过程,但是仅为了交换公钥。例如,MME 132可将MME 132的公钥发送到UE 110并且UE 110可用已经用MME 132的公钥潜在地加密的UE 110的公钥对MME 132进行应答。UE 110可将其安全能力提供给MME 132。MME 132可基于UE 110的安全能力来创建对称根密钥。MME 132可在NAS密钥交换请求中将用UE 110的公钥加密的新对称根密钥发送到UE 110。在KRoot密钥不是KNAS密钥的情况下,UE 110和MME 132可从根密钥导出MME 132的KNAS密钥、KeNB密钥。UE 110可确认已经用对称密钥加密的请求。UE 110和MME 132可正常地导出用于UP和RRC的无线电接口密钥。
图5图示根据可能的实施例的图示装置的操作的示例流程图500。在可能的实施例中,流程图500可由UE 110实现。在510中,可发送RLOS指示和与RLOS相关联的安全能力中的至少一个。
在520中,可接收包括对称根密钥的NAS密钥交换请求。可用公钥对对称根密钥进行加密。在530中,可确认NAS密钥交换请求。在540中,可用对称根密钥导出NAS安全密钥。在550中,可用对称根密钥导出用于UP和RRC的无线电接口密钥。
在可能的实施例中,可接收广播系统信息消息。公钥可以是第一公钥并且广播系统信息可包括第一公钥,可发送NAS请求消息,诸如NAS附着请求,包括与RLOS相关联的安全能力和第二公钥中的至少一个。在可能的实施例中,可用第一公钥对第二公钥进行加密。在可能的实施例中,可在第一NAS请求消息(诸如NAS密钥交换请求消息)中接收第一公钥,并且可响应于接收到第一公钥而接收第二NAS消息,诸如NAS密钥交换响应消息,包括与RLOS相关联的安全能力和第二公钥中的至少一个。在可能的实施例中,可用第一公钥对第二公钥进行加密。在可能的实施例中,可在发送第二NAS请求消息之前发送第三NAS请求消息,诸如NAS附着请求,包括RLOS指示。
图6图示根据可能的实施例的图示另一装置的操作的示例流程图600。在可能的实施例中,流程图600可由MME 132实现。在610中,可接收RLOS指示、与RLOS相关联的安全能力和公钥中的至少一个。在可能的实施例中,装置是UE 110。在620中,可基于RLOS指示、与RLOS相关联的安全能力和公钥中的至少一个的接收来创建对称根密钥。在630中,可发送包括对称根密钥的NAS密钥交换请求,所述对称根密钥被用公钥加密。
在可能的实施例中,可接收包括RLOS指示、与RLOS相关联的安全能力和公钥中的至少一个的NAS附着请求。在可能的实施例中,可接收包括用于NAS密钥交换请求的公钥的确认。在可能的实施例中,可基于对称根密钥来导出用于UP和RRC的无线电接口密钥,并且可发送这些无线电接口密钥。在可能的实施例中,可基于对称根密钥来导出NAS安全密钥。在可能的实施例中,可用NAS安全密钥对NAS附着接受消息进行加密。在可能的实施例中,可发送经加密的NAS附着接受消息。
在可能的实施例中,公钥可以是第一公钥,响应于发送第一公钥,可接收包括与RLOS相关联的安全能力和第二公钥中的至少一个的第一NAS消息和第二NAS消息。在可能的实施例中,可接收用第一公钥加密的第二公钥。在可能的实施例中,可用第二公钥对对称根密钥进行加密。
应该理解的是,不管如图中所示的特定步骤如何,可根据实施例而执行各种附加或不同的步骤,并且可根据实施例而重新布置、重复或者完全消除这些特定步骤中的一个或多个。另外,可在执行其它步骤的同时在进行或连续基础上同时地重复所执行的步骤中的一些。此外,可通过不同的元件或者在所公开的实施例的单个元件中执行不同的步骤。
图7是根据可能的实施例的装置700的示例框图,所述装置700诸如UE 110、网络实体120或本文公开的任何其它无线和非无线通信设备。装置700可包括外壳710、耦合到外壳710的控制器720、耦合到控制器720的音频输入和输出电路730、耦合到控制器720的显示器740、耦合到控制器720的收发器750、耦合到收发器750的天线755、耦合到控制器720的用户接口760、耦合到控制器720的存储器770以及耦合到控制器720的网络接口780。装置700可执行所有实施例中描述的方法。
显示器740可以是取景器、液晶显示器(LCD)、发光二极管(LED)显示器、等离子体显示器、投影显示器、触摸屏或显示信息的任何其它设备。收发器750可包括发射器和/或接收器。音频输入和输出电路730可包括麦克风、扬声器、换能器或任何其它音频输入和输出电路。用户接口760可包括键区、键盘、按钮、触摸板、操纵杆、触摸屏显示器、另一附加显示器或用于在用户与电子设备之间提供接口的任何其它设备。网络接口780可以是通用串行总线(USB)端口、以太网端口、红外发射器/接收器、IEEE 1394端口、WLAN收发器,或可将装置连接到网络、设备或计算机并且可发送和接收数据通信信号的任何其它接口。存储器770可包括随机存取存储器、只读存储器、光学存储器、固态存储器、闪速存储器、可移动存储器、硬盘驱动器、高速缓存,或可耦合到装置的任何其它存储器。
装置700或控制器720可以实现任何操作系统,诸如Microsoft Windows
Figure GDA0003697560930000151
、UNIX
Figure GDA0003697560930000152
或LINUX
Figure GDA0003697560930000153
、AndroidTM或任何其它操作系统。例如,装置操作软件可以用任何编程语言(诸如C、C++、Java或Visual Basic)编写。装置软件还可以在应用框架(诸如例如Java
Figure GDA0003697560930000161
框架、.NET
Figure GDA0003697560930000162
框架或任何其它应用框架)上运行。软件和/或操作系统可以被存储在装置700上的存储器770或其它地方中。装置700或控制器720也可以使用硬件来实现所公开的操作。例如,控制器720可以是任何可编程处理器。还可以在通用或专用计算机、编程微处理器或微处理器、外围集成电路元件、专用集成电路或其它集成电路、硬件/电子逻辑电路(诸如分立元件电路)、可编程逻辑器件(诸如可编程逻辑阵列)、现场可编程门阵列等上实现所公开的实施例。通常,控制器720可以是能够操作装置并实现所公开的实施例的任何控制器或处理器设备。装置700的附加元件中的一些或全部还可执行所公开的实施例的操作中的一些或全部。
在作为UE 110的装置700的操作的可能的实施例中,收发器750可例如向MME 132发送RLOS指示和与RLOS相关联的安全能力中的至少一个。收发器750可进一步接收包括对称根密钥的NAS密钥交换请求,所述对称根密钥被用公钥加密。收发器750可进一步确认NAS密钥交换请求。控制器720可用对称根密钥导出NAS安全密钥。控制器720可用对称根密钥进一步导出用于UP和RRC的无线电接口密钥。
在可能的实施例中,公钥是第一公钥,收发器750可进一步接收广播系统信息消息,所述广播系统信息包括第一公钥,并且可进一步包括NAS请求消息,诸如NAS附着请求,包括与RLOS相关联的安全能力和第二公钥中的至少一个。在可能的实施例中,控制器720可用第一公钥进一步对第二公钥进行加密。在可能的实施例中,收发器750可在第一NAS请求消息(诸如NAS密钥交换请求消息)中进一步接收第二公钥,并且可响应于接收到第一公钥而进一步发送第二NAS消息,诸如NAS密钥交换响应消息,包括与RLOS相关联的安全能力和第二公钥中的至少一个。在可能的实施例中,控制器720可用第一公钥进一步对第二公钥进行加密。在可能的实施例中,收发器750可在发送第二NAS请求消息之前进一步发送第三NAS请求消息,诸如NAS附着请求,包括RLOS指示。
在作为MME 132的装置700的操作的可能的实施例中,收发器750可例如从UE 110接收RLOS指示、与RLOS相关联的安全能力和公钥中的至少一个。控制器720可基于RLOS指示、与RLOS相关联的安全能力和公钥中的至少一个的接收来创建对称根密钥。收发器750可进一步发送包括对称根密钥的NAS密钥交换请求,所述对称根密钥被用公钥加密。
在可能的实施例中,收发器750可进一步接收包括RLOS指示、与RLOS相关联的安全能力和公钥中的至少一个的NAS附着请求。在可能的实施例中,收发器750可进一步接收包括用于NAS密钥交换请求的公钥的确认。在可能的实施例中,控制器720可基于对称根密钥进一步导出用于UP和RRC的无线电接口密钥,其中,收发器750可发送这些无线电接口密钥。在可能的实施例中,控制器720可基于对称根密钥进一步导出NAS安全密钥,并且可用该NAS安全密钥对NAS附着接受消息进行加密,同时收发器750可发送经加密的NAS附着接受消息。
可在编程处理器上实现本公开的方法。然而,还可以在通用或专用计算机、编程微处理器或微控制器以及外围集成电路元件、集成电路、硬件电子或逻辑电路(诸如分立元件电路)、可编程逻辑器件等上实现控制器、流程图和模块。通常,上面驻留有能够实现各图中所示的流程图的有限状态机的任何设备可以用于实现本公开的处理器功能。
虽然已用本公开的具体实施例描述了本公开,但是显然的是,许多替代方案、修改和变化对于本领域的技术人员而言将是显而易见的。例如,可以在其它实施例中互换、添加或者替换实施例的各种组件。另外,每个图的所有元件不是所公开的实施例的操作所必需的。例如,将使得所公开的实施例的本领域的普通技术人员能够通过简单地采用独立权利要求的要素来做出并使用本公开的教导。因此,如本文所阐述的本公开的实施例旨在为说明性的,而不是限制性的。可以在不脱离本公开的精神和范围的情况下做出各种变化。
在本文件中,诸如“第一”、“第二”等这样的关系术语可以仅用于将一个实体或动作与另一实体或动作区分开,而不一定在此类实体或动作之间要求或者暗示任何实际的这种关系或顺序。后面有列表的短语“……中的至少一个”、“从……的组中选择的至少一个”或“从……中选择的至少一个”被定义成意指列表中的元素中的一个、一些或全部,但不一定是全部。术语“包含”、“含有”、“包括”或其任何其它变化旨在涵盖非排他性包括,使得包括元素的列表的过程、方法、物品或装置不仅包括那些元素,还可以包括未明确地列举或者为这样的过程、方法、物品或装置所固有的其它元素。在没有更多约束的情况下,继之以“一”、“一个”等的元素不排除在含该元素的过程、方法、物品或装置中存在附加相同的元素。另外,术语“另一”被定义为至少第二或更多。如本文所使用的术语“包括”、“具有”等被定义为“含有”。此外,背景技术部分被书写为发明人自己在提交时对一些实施例的上下文的理解,并且包括本发明人自己对现有技术的任何问题和/或本发明人自己的工作中遇到的问题的认识。

Claims (18)

1.一种用于受限服务的附着过程的方法,包括:
发送受限本地运营商服务指示和与所述受限本地运营商服务相关联的安全能力中的至少一个;
接收包括对称根密钥的非接入层密钥交换请求,所述对称根密钥利用公钥加密;
确认所述非接入层密钥交换请求;
利用所述对称根密钥导出非接入层安全密钥;以及
利用所述对称根密钥导出用于用户平面和无线电资源控制的无线电接口密钥,
其中,所述受限本地运营商服务包括由无线广域网运营商提供的通信服务,涉及从自动化客户服务辅助或人工客户服务辅助选择的至少一个,并且受限于从强制门户和特定拨号数字串选择的至少一个。
2.根据权利要求1所述的方法,其中,所述方法由用户设备实现。
3.根据权利要求1所述的方法,其中,所述公钥是第一公钥,所述方法进一步包括:
接收广播系统信息消息,所述广播系统信息包括所述第一公钥;以及
发送非接入层请求消息,所述非接入层请求消息包括与所述受限本地运营商服务相关联的所述安全能力和第二公钥中的至少一个。
4.根据权利要求3所述的方法,进一步包括利用所述第一公钥对所述第二公钥进行加密。
5.根据权利要求1所述的方法,其中,所述公钥是第一公钥,所述方法进一步包括:
在第一非接入层请求消息中接收所述第一公钥;以及
响应于接收到所述第一公钥而发送第二非接入层消息,所述第二非接入层消息包括与所述受限本地运营商服务相关联的所述安全能力和第二公钥中的至少一个。
6.根据权利要求5所述的方法,进一步包括利用所述第一公钥对所述第二公钥进行加密。
7.根据权利要求5所述的方法,进一步包括在发送所述第二非接入层请求消息之前发送包括受限本地运营商服务指示的第三非接入层请求消息。
8.根据权利要求1所述的方法,其中,发送至少一个包括由不具有对网络的接入的有效凭证的用户设备向所述网络的网络实体发送受限本地运营商服务指示和与所述受限本地运营商服务相关联的安全能力中的至少一个。
9.根据权利要求1所述的方法,其中,从所述对称根密钥导出用于用户平面和无线电资源控制的无线电接口密钥。
10.一种用于受限服务的附着过程的装置,包括:
收发器,所述收发器发送受限本地运营商服务指示和与所述受限本地运营商服务相关联的安全能力中的至少一个,并且接收包括对称根密钥的非接入层密钥交换请求,所述对称根密钥利用公钥加密;以及
控制器,所述控制器确认所述非接入层密钥交换请求,利用所述对称根密钥导出非接入层安全密钥,并且利用所述对称根密钥导出用于用户平面和无线电资源控制的无线电接口密钥,
其中,所述受限本地运营商服务包括由无线广域网运营商提供的通信服务,涉及从自动化客户服务辅助或人工客户服务辅助选择的至少一个,并且受限于从强制门户和特定拨号数字串选择的至少一个。
11.根据权利要求10所述的装置,其中,所述装置是用户设备。
12.根据权利要求10所述的装置,其中,所述公钥是第一公钥,其中,所述收发器进一步接收广播系统信息消息,所述广播系统信息包括所述第一公钥,并且发送非接入层请求消息,所述非接入层请求消息包括与受限本地运营商服务相关联的安全能力和第二公钥中的至少一个。
13.根据权利要求12所述的装置,其中,所述控制器进一步利用所述第一公钥对所述第二公钥进行加密。
14.根据权利要求10所述的装置,其中,所述公钥是第一公钥,其中,所述收发器进一步在第一非接入层请求消息中接收所述第一公钥并且响应于接收到所述第一公钥而发送第二非接入层消息,所述第二非接入层消息包括与所述受限本地运营商服务相关联的所述安全能力和第二公钥中的至少一个。
15.根据权利要求14所述的装置,其中,所述控制器进一步利用所述第一公钥对所述第二公钥进行加密。
16.根据权利要求14所述的装置,其中,所述收发器在发送所述第二非接入层请求消息之前进一步发送包括受限本地运营商服务指示的第三非接入层请求消息。
17.根据权利要求10所述的装置,其中,所述收发器通过下述来发送至少一个:由不具有对网络的接入的有效凭证的用户设备向所述网络的网络实体发送受限本地运营商服务指示和与所述受限本地运营商服务相关联的安全能力中的至少一个。
18.根据权利要求10所述的装置,其中,从所述对称根密钥导出用于用户平面和无线电资源控制的无线电接口密钥。
CN201880038380.4A 2017-08-09 2018-08-09 针对未经认证的用户设备利用安全密钥交换以进行受限服务的附着过程的方法和装置 Active CN110720202B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762543178P 2017-08-09 2017-08-09
US62/543,178 2017-08-09
PCT/IB2018/001010 WO2019030567A1 (en) 2017-08-09 2018-08-09 METHOD AND APPARATUS FOR ATTACHING PROCEDURE WITH SECURITY KEY EXCHANGE FOR RESTRICTED SERVICES FOR NON-AUTHENTICATED USER EQUIPMENT

Publications (2)

Publication Number Publication Date
CN110720202A CN110720202A (zh) 2020-01-21
CN110720202B true CN110720202B (zh) 2022-10-18

Family

ID=63686014

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880038380.4A Active CN110720202B (zh) 2017-08-09 2018-08-09 针对未经认证的用户设备利用安全密钥交换以进行受限服务的附着过程的方法和装置

Country Status (4)

Country Link
US (1) US11172359B2 (zh)
EP (1) EP3665886A1 (zh)
CN (1) CN110720202B (zh)
WO (1) WO2019030567A1 (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102372494B1 (ko) 2018-03-30 2022-03-10 삼성전자 주식회사 무인증으로 접속한 단말에 대한 셀룰라 네트워크 접속 해지 방법 및 장치
US10841864B2 (en) 2018-04-09 2020-11-17 Ofinno, Llc Policy control for restricted local operator services
WO2020150701A1 (en) * 2019-01-18 2020-07-23 Apple Inc. Evolved packet core (epc) solution for restricted local operator services (rlos) access using device authentication
US11363582B2 (en) * 2019-12-20 2022-06-14 Qualcomm Incorporated Key provisioning for broadcast control channel protection in a wireless network
US11777935B2 (en) 2020-01-15 2023-10-03 Cisco Technology, Inc. Extending secondary authentication for fast roaming between service provider and enterprise network
US11765581B2 (en) 2020-03-31 2023-09-19 Cisco Technology, Inc. Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information
US11706619B2 (en) 2020-03-31 2023-07-18 Cisco Technology, Inc. Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network
US11778463B2 (en) * 2020-03-31 2023-10-03 Cisco Technology, Inc. Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network
CN112203305A (zh) * 2020-09-30 2021-01-08 中国联合网络通信集团有限公司 移动终端管理方法、终端管理平台、管理网元及移动终端

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101378591A (zh) * 2007-08-31 2009-03-04 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN101883346A (zh) * 2009-05-04 2010-11-10 中兴通讯股份有限公司 基于紧急呼叫的安全协商方法与装置
WO2011079647A1 (zh) * 2010-01-04 2011-07-07 中兴通讯股份有限公司 演进的分组系统及其紧急呼叫的附着处理方法
KR20130006032A (ko) * 2011-07-08 2013-01-16 삼성전자주식회사 이동 통신 시스템에서 단말 설정 방법
CN105359560A (zh) * 2013-06-13 2016-02-24 微软技术许可有限责任公司 通过智能个人网关设备的服务供应

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002091662A1 (en) * 2001-05-01 2002-11-14 Vasco Data Security, Inc. Use and generation of a session key in a secure socket layer connection
US7463739B2 (en) * 2001-08-02 2008-12-09 Safenet, Inc. Method and system providing improved security for the transfer of root keys
DE10223248A1 (de) * 2002-05-22 2003-12-04 Siemens Ag Verfahren zum Registrieren eines Kommunikationsendgeräts
US20030235305A1 (en) * 2002-06-20 2003-12-25 Hsu Raymond T. Key generation in a communication system
US6842449B2 (en) * 2002-07-09 2005-01-11 Verisign, Inc. Method and system for registering and automatically retrieving digital-certificates in voice over internet protocol (VOIP) communications
US7594106B2 (en) * 2005-01-28 2009-09-22 Control4 Corporation Method and apparatus for device detection and multi-mode security in a control network
US10178522B2 (en) * 2005-08-02 2019-01-08 Qualcomm Incorporated VoIP emergency call support
JP4350714B2 (ja) * 2006-02-27 2009-10-21 株式会社東芝 送信装置、受信装置及び送信方法
CN106850526B (zh) * 2007-11-29 2020-09-04 艾利森电话股份有限公司 Ims系统中的端到边缘媒体保护的方法和设备
KR101528496B1 (ko) 2009-04-17 2015-06-15 삼성전자주식회사 이동 통신 시스템에서 비계층 프로토콜을 이용하여 응급 콜 서비스를 지원하는 방법 및 시스템
US8509448B2 (en) * 2009-07-29 2013-08-13 Motorola Solutions, Inc. Methods and device for secure transfer of symmetric encryption keys
CN102012989B (zh) * 2010-12-07 2013-11-27 江苏风云网络服务有限公司 软件即服务中基于门限与密钥的授权方法
US8977856B2 (en) * 2012-08-31 2015-03-10 Blackberry Limited Methods and apparatus for use in sharing credentials amongst a plurality of mobile communication devices
KR102100159B1 (ko) 2014-01-13 2020-04-13 삼성전자 주식회사 이동 통신 시스템에서 서비스 발견 및 그룹 통신을 위한 보안 지원 방법 및 시스템
US9270448B2 (en) * 2014-03-11 2016-02-23 The Texas A&M University System Encryption key distribution system and method
US9883384B2 (en) * 2014-07-16 2018-01-30 Qualcomm Incorporated UE-based network subscription management
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
US10291662B2 (en) * 2015-08-26 2019-05-14 Lg Electronics Inc. Method for obtaining operator network identification number of visited network
US10129235B2 (en) * 2015-10-16 2018-11-13 Qualcomm Incorporated Key hierarchy for network slicing

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101378591A (zh) * 2007-08-31 2009-03-04 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN101883346A (zh) * 2009-05-04 2010-11-10 中兴通讯股份有限公司 基于紧急呼叫的安全协商方法与装置
WO2011079647A1 (zh) * 2010-01-04 2011-07-07 中兴通讯股份有限公司 演进的分组系统及其紧急呼叫的附着处理方法
KR20130006032A (ko) * 2011-07-08 2013-01-16 삼성전자주식회사 이동 통신 시스템에서 단말 설정 방법
CN105359560A (zh) * 2013-06-13 2016-02-24 微软技术许可有限责任公司 通过智能个人网关设备的服务供应

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
LTE,General Packet Radio Service (GPRS) enhancements for Evolved Universal Terrestrial Radio Access Network (E-UTRAN) access(Release 12);ETSI;《3GPP TS 23.401 V12.6.0 (2014-09)》;20140930;全文 *

Also Published As

Publication number Publication date
US11172359B2 (en) 2021-11-09
CN110720202A (zh) 2020-01-21
US20190053049A1 (en) 2019-02-14
WO2019030567A1 (en) 2019-02-14
EP3665886A1 (en) 2020-06-17

Similar Documents

Publication Publication Date Title
CN110720202B (zh) 针对未经认证的用户设备利用安全密钥交换以进行受限服务的附着过程的方法和装置
US20230164540A1 (en) Method and apparatus for accessing cellular network for sim profile
CN110999352B (zh) 用于未认证用户设备的受限服务的短码拨号的方法和装置
KR101167781B1 (ko) 콘텍스트 전달을 인증하는 시스템 및 방법
EP2404458B1 (en) Secure remote subscription management
KR20170032306A (ko) Ue-기반 네트워크 서브스크립션 관리
EP3482549A1 (en) Method and system for dual-network authentication of a communication device communicating with a server
US20160262019A1 (en) Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment
US10142840B2 (en) Method and apparatus for operating a user client wireless communication device on a wireless wide area network
US20180097807A1 (en) Method and apparatus for performing initial access procedure based on authentication in wireless communication system
US20240080316A1 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
CN116391378A (zh) 使用验证数字标识的订阅入网
CN111615837B (zh) 数据传输方法、相关设备以及系统
US10142834B2 (en) Method and apparatus for operating a user client wireless communication device on a wireless wide area network
CN113647125B (zh) 无线通信方法、终端设备和网络设备
CN117203935A (zh) 用于在按需网络中进行设置、认证、授权和用户设备(ue)密钥生成和分发的方法和装置
CN117204000A (zh) 用于邻近服务的授权的系统与方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant