CN111316683A - 非3gpp接入中的5g通信网络中的安全认证 - Google Patents
非3gpp接入中的5g通信网络中的安全认证 Download PDFInfo
- Publication number
- CN111316683A CN111316683A CN201880073581.8A CN201880073581A CN111316683A CN 111316683 A CN111316683 A CN 111316683A CN 201880073581 A CN201880073581 A CN 201880073581A CN 111316683 A CN111316683 A CN 111316683A
- Authority
- CN
- China
- Prior art keywords
- authentication
- authentication key
- internal
- key
- external
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种用于通信网络中的安全认证的方法。该方法在用户设备UE中执行,并且包括:通过内部认证过程提供(S100)内部认证密钥;基于内部认证密钥通过外部认证过程导出(S110)外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供(S120)给安全协议/用于后续的安全通信。还呈现了一种用于通信网络中的安全认证的方法、用户设备、网络节点、5G核心网络、计算机程序和计算机程序产品。
Description
技术领域
本发明涉及用于通信网络中的安全认证的方法、用于通信网络中的安全认证的用户设备、网络节点和5G核心网络以及对应的计算机程序和计算机程序产品。
背景技术
第3代合作伙伴计划(3GPP)在技术规范(TS)23.501和23.502中正在规定5G注册过程。在TS 33.501中正在规定安全方面。
用于在非3GPP接入上注册的当前解决方案在会议贡献文档(TDoc)S2-177794中被规定(它将被包括在TS 23.502条款4.12.2中)。预期将在TS 33.501中规定更多的安全细节。尤其是,TDoc描述了使用两个嵌套的可扩展认证协议(EAP)过程,EAP-5G和EAP认证和密钥协定(AKA’)。
来自S2-17794的条款4.12.2——经由不可信非3GPP接入进行注册规定了用户设备(UE)能如何经由不可信非3GPP接入网注册到5G核心(5GC)网络。它基于在条款4.2.2.2.2中规定的注册过程,并且它使用称为EAP-5G的供应商特定的EAP过程。EAP-5G分组利用扩充的EAP类型和在管理信息结构(SMI)私有企业代码注册下向IANA注册的现有3GPP供应商Id。EAP-5G过程在UE和非3GPP互通功能(N3IWF)之间使用,并且仅用于封装非接入层(NAS)消息(不用于认证)。如果UE需要被认证,则在UE和认证服务器功能(AUSF)之间执行EAP-AKA’相互认证,如下所示。在TS 33.501中规定了EAP-AKA’认证过程的细节。
在经由不可信非3GPP接入的注册和后续注册过程中,总是在UE和AMF之间交换NAS消息。在可能的时候,可以通过在认证管理功能(AMF)中重复使用现有的UE安全上下文来对UE进行认证。
图1中示出了来自TS 23.502的图4.12.2-1,示出了经由不可信非3GPP接入的注册。
1. UE用3GPP范围之外的过程连接到不可信非3GPP接入网,并且它被指配了IP地址。可以使用任何非3GPP认证方法,例如无认证(在免费的无线局域网(WLAN)的情况下)、具有预共享密钥的EAP、用户名/密码等。当UE决定附接到5GC网络时,UE选择5G公共陆地移动网络(PLMN)中的N3IWF,如TS 23.501条款6.3.6中所描述的。
2. UE通过根据请求注解(RFC)7296发起因特网密钥交换(IKE)初始交换,继续建立与选择的N3IWF的IPsec安全关联(SA)。在步骤2之后,通过使用在该步骤中建立的IKE SA对所有后续IKE消息进行加密和完整性保护。
3. UE将通过发送IKE_AUTH请求消息来发起IKE_AUTH交换。AUTH有效载荷不被包括在IKE_AUTH请求消息中,该消息指示IKE_AUTH交换将使用EAP信令(在这种情况下为EAP-5G信令)。
4. N3IWF用IKE_AUTH响应消息进行响应,该消息包括EAP-Request/5G-Start分组。EAP-Request/5G-Start分组通知UE发起EAP-5G会话,即,开始发送封装在EAP-5G分组内的NAS消息。
5. UE将发送IKE_AUTH请求,该请求包括EAP-Response/5G-NAS分组,该分组包含在条款4.2.2.2.2中定义的接入网参数(AN-Params)和NAS注册请求消息。AN-Params包含由N3IWF用于在5G核心网络中选择AMF的信息(例如,订户永久标识符(SUPI)或5G全球唯一临时身份(ID)(GUTI)、选择的网络和网络切片选择辅助信息(NSSAI))。
然而,N3IWF不发送EAP-Identity请求,因为UE将其身份包括在第一IKE_AUTH中。这符合RFC7296条款3.16。
6. N3IWF将基于接收到的AN-Params和本地策略来选择AMF,如TS 23.501条款6.5.3中所规定的。N3IWF然后将把从UE接收到的NAS注册请求转发到选择的AMF。
7. 选择的AMF可以通过向UE发送NAS身份请求消息来决定请求UE的永久身份(SUPI)。该NAS消息和所有后续NAS消息都被封装在EAP/5G-NAS分组内发送到UE。由UE提供的SUPI将被加密,如TS 33.501中所规定的。
8. AMF可以决定对UE进行认证。在这种情况下,AMF将通过使用UE的SUPI或加密的SUPI来选择AUSF,如TS 23.501条款6.3.4中所规定的,并将向选择的AUSF发送密钥请求。AUSF可以发起EAP-AKA’认证,如TS 33.501中所规定的。EAP-AKA’分组被封装在NAS认证消息内,并且NAS认证消息被封装在EAP/5G-NAS分组内。在成功认证之后:
在步骤8h中,AUSF将向AMF发送锚密钥(安全锚功能(SEAF)密钥),该密钥由AMF用于导出NAS安全密钥和N3IWF的安全密钥(N3IWF密钥)。UE还导出锚密钥(SEAF密钥),并从该密钥中它导出NAS安全密钥和N3IWF的安全密钥(N3IWF密钥)。N3IWF密钥由UE和N3IWF用于建立IPsec安全关联(在步骤11中)。
在步骤8h中,如果在步骤8a中AMF向AUSF提供了加密的SUPI,则AUSF还将包括SUPI(未加密)。
然而,对于经由非3GPP接入对UE进行认证仅支持EAP-AKA’,如TS 33.501中所规定的。
9. AMF将向UE发送安全模式命令(SMC)请求,以便激活NAS安全。该请求首先与N3IWF密钥一起发送到N3IWF(在N2消息内)。如果在步骤8中成功执行了EAP-AKA’认证,那么在步骤9a中,AMF将把从AUSF接收到的EAP-Success封装在SMC请求消息内。
10. UE完成EAP-AKA’认证(如果在步骤8中发起的话),并创建NAS安全上下文和N3IWF密钥。在UE中创建N3IWF密钥之后,UE将通过发送EAP-Response/5G-Complete分组来请求完成EAP-5G会话。这触发了N3IWF向UE发送EAP-Success,假定N3IWF也已经从AMF接收到N3IWF密钥。这完成了EAP-5G会话,并且没有另外的EAP-5G分组被交换。如果N3IWF没有从AMF接收到N3IWF密钥,则N3IWF将用EAP-Failure进行响应。
11. 在步骤9a中,通过使用在UE中创建并由N3IWF接收的公共N3IWF密钥,在UE和N3IWF之间建立了IPsec SA。该IPsec SA被称为“信令IPsec SA”。在信令IPsec SA建立之后,在UE和N3IWF之间的所有NAS消息都经由该SA进行交换。信令IPsec SA将被配置成在传输模式下操作。S安全参数指示(PI)值用于确定IPsec分组是否承载NAS消息。
然而,供进一步研究的是,对于封装NAS消息是否需要通用路由封装(GRE)或任何其它协议。
12. UE将通过已建立的信令IPsec SA发送SMC完成消息,并且(如条款4.2.2.2.2中所规定的)所有后续NAS消息都经由该IPsec SA在UE和AMF之间交换。
发明内容
本发明的一个目的是实现通信网络中的认证中的改进的安全。
根据第一方面,呈现了一种用于通信网络中的安全认证的方法。该方法在用户设备(UE)中执行,并且包括:通过内部认证过程提供内部认证密钥;基于内部认证密钥通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
外部认证过程可以是可扩展认证协议(EAP)过程,例如EAP-5G,并且内部认证过程可以是EAP过程,例如EAP认证和密钥协定(AKA)或EAP-AKA’。
外部认证过程可以是EAP-5G,并且内部认证过程可以是完整性保护的消息,例如非接入层(NAS)消息。
导出可以用内部认证密钥的导数或内部认证密钥的哈希(hash)函数来执行。哈希函数可以使用内部认证密钥和其它材料。其它材料可以是字符串或新鲜度参数,例如计数器或随机数。
外部认证过程可以依赖于仅仅来自内部认证过程的密钥。
根据第二方面,呈现了一种用于通信网络中的安全认证的方法。该方法在网络节点中执行,并且包括:通过内部认证过程提供内部认证密钥;基于内部认证密钥通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
外部认证过程可以是EAP过程,例如EAP-5G,并且内部认证过程可以是EAP过程,例如EAP-AKA或EAP-AKA’。
外部认证过程可以是EAP过程,例如EAP-5G,并且内部认证过程可以是完整性保护的消息,例如NAS消息。
导出可以用内部认证密钥的导数或内部认证密钥的哈希函数来执行。哈希函数可以使用内部认证密钥和其它材料。其它材料可以是字符串或新鲜度参数,例如计数器或随机数。
该方法外部认证过程可以依赖于仅仅来自内部认证过程的密钥。
网络节点可以是认证管理功能(AMF)/安全锚功能(SEAF)或非3GPP互通功能(N3IWF)或认证服务器功能(AUSF)或gNodeB。
根据第三方面,呈现了一种用于通信网络中的安全认证的方法。该方法在5G核心(5GC)网络中执行,并且包括:在AMF/SEAF中通过内部认证过程提供内部认证密钥;基于在AMF/SEAF中提供的内部认证密钥,在N3IWF中通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
根据第四方面,呈现了一种用于通信网络中的安全认证的UE。UE包括处理器和存储指令的计算机程序产品,所述指令当由处理器执行时,使UE:通过内部认证过程提供内部认证密钥;基于内部认证密钥通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
根据第五方面,呈现了一种用于通信网络中的安全认证的网络节点。网络节点包括处理器和存储指令的计算机程序产品,所述指令当由处理器执行时,使网络节点:通过内部认证过程提供内部认证密钥;基于内部认证密钥通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
根据第六方面,呈现了一种用于通信网络中的安全认证的5GC网络。5GC网络包括处理器和存储指令的计算机程序产品,所述指令当由处理器执行时,使5GC网络:在AMF/SEAF中通过内部认证过程提供内部认证密钥;基于在AMF/SEAF中提供的内部认证密钥,在N3IWF中通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
根据第七方面,呈现了一种用于通信网络中的安全认证的UE。UE包括:确定管理器,所述确定管理器用于通过内部认证过程提供内部认证密钥,并且用于基于内部认证密钥通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及通信管理器,所述通信管理器用于将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
根据第八方面,呈现了一种用于通信网络中的安全认证的网络节点。网络节点包括:确定管理器,所述确定管理器用于通过内部认证过程提供内部认证密钥,并且用于基于内部认证密钥通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及通信管理器,所述通信管理器用于将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
根据第九方面,呈现了一种用于通信网络中的安全认证的5GC网络。5GC网络包括:确定管理器,所述确定管理器用于在AMF/SEAF中通过内部认证过程提供内部认证密钥,并且用于基于在AMF/SEAF中提供的内部认证密钥,在N3IWF中通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及通信管理器,所述通信管理器用于将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
根据第十方面,呈现了一种用于通信网络中的安全认证的计算机程序。计算机程序包括计算机程序代码,所述代码当在UE上运行时,使UE:通过内部认证过程提供内部认证密钥;基于内部认证密钥通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
根据第十一方面,呈现了一种用于通信网络中的安全认证的计算机程序。计算机程序包括计算机程序代码,所述代码当在网络节点上运行时,使网络节点:通过内部认证过程提供内部认证密钥;基于内部认证密钥通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
根据第十二方面,呈现了一种用于通信网络中的安全认证的计算机程序。计算机程序包括计算机程序代码,所述代码当在5G网络上运行时,使5GC网络:在AMF/SEAF中通过内部认证过程提供内部认证密钥;基于在AMF/SEAF中提供的内部认证密钥,在N3IWF中通过外部认证过程导出外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
还呈现了一种计算机程序产品,包括计算机程序以及在其上存储计算机程序的计算机可读存储部件。
通常,在权利要求中使用的所有术语都要根据它们在本技术领域中的普通意义来解释,除非在本文中另有明确定义。对“一/一个/该元件、设备、组件、部件、步骤等”的所有提及都要被开放地解释为指的是元件、设备、组件、部件、步骤等中的至少一个实例,除非另有明确声明。本文中公开的任何方法的步骤都不必采用所公开的确切顺序来执行,除非明确声明。
附图说明
现在参考附图,通过示例描述本发明,在附图中:
图1是图示经由不可信非3GPP接入的注册的信令图;
图2示意性地图示了用于在对5GC的非3GPP注册上使用EAG-5G的协议栈;
图3是图示用EAP-5G协议的5G注册、完全认证的信令图;
图4示意性地图示了根据本文中呈现的实施例的用于在对5GC的非3GPP注册上使用EAG-5G的协议栈;
图5示意性地图示了根据本文中呈现的实施例的用于在对5GC的非3GPP注册上使用EAG-5G的协议栈;
图6示意性地图示了根据本文中呈现的实施例的用于在对5GC的非3GPP注册上使用EAG-5G的协议栈;
图7是图示根据本文中呈现的实施例的经由不可信非3GPP接入的注册的信令图;
图8-9是图示根据本文中呈现的实施例的方法的流程图;
图10-11是图示本文中呈现的实体的一些组件的示意图;以及
图12-13是示出本文中呈现的实施例的功能模块的示意图。
具体实施方式
现在将在下文中参考附图更全面地描述本发明,在附图中示出了本发明的某些实施例。然而,本发明可以采用许多不同的形式体现,并且不应当被理解为局限于本文中阐明的实施例;而是,这些实施例通过示例提供,使得本公开将是透彻且完整的,并且将向本领域技术人员全面传达本发明的范围。相似的数字在整个描述中指的是相似的元件。
在TDoc S2-176969中给出了当前3GPP解决方案的更详细描述。它示出了称为EAP-5G的EAP过程是如何在UE和N3IWF之间执行的。EAP-5G用于承载在UE和AMF之间执行的3GPPNAS信令。NAS可以承载另一个EAP过程,例如EAP-AKA’(RFC 5448)。如果在AMF中已经存在安全上下文,并且它能被用于认证UE(即,通过使用完整性保护的NAS消息),则可能不需要用EAP-AKA’运行完全认证。
图2中示意性地图示了协议栈。
根据TDoc S2-176969,图3中描述了运行EAP-5G和EAP-AKA’过程的更详细流程。
图3示出了EAP-AKA’产生密钥材料,所谓的SEAF密钥,其被传输到AMF。AMF进一步导出AMF密钥(图中未示出),该密钥用于导出称为N3IWF密钥的密钥。特别有趣的是如何处理N3IWF密钥的方式。N3IWF密钥的处理在TDoc S2-176969中描述如下:
在步骤10中,当UE中的EAP-5G层从NAS层接收到N3IWF密钥,并且还在步骤10中,N3IWF中的EAP-5G层从AMF接收到N3IWF密钥时,UE和N3IWF之间的EAP-5G会话成功完成。在这种情况下,UE发送具有设置的完成标志的EAP-5G分组,这使得N3IWF中的EAP-5G层发送EAP-Success。此后,步骤13,UE中的EAP-5G层和N3IWF中的EAP-5G层将公共N3IWF密钥转发到较低层(IKEv2),其进一步用于建立IPsec安全关联。步骤14,在建立IPsec SA之后,UE发送SMC完成消息。
可以观察到,外部认证过程层EAP-5G从较高层NAS或另一个节点AMF接收密钥材料,在这种情况下密钥材料由内部认证过程EAP-AKA’产生,密钥材料照原样被给到较低层,在这种情况下即IKEv2。传递的密钥材料不以任何方式连接到外部认证过程层EAP-5G,即使从IKEv2的角度来看EAP-5G是产生EAP过程的密钥。
允许出于不同的目的使用相同的密钥材料是一种安全风险。在这种情况下,作为两个不同的认证过程的结果,使用相同的密钥材料。这为可能的未来攻击和漏洞发现,例如协议参与者中的一个对其它参与者撒谎,留下了不必要的空间。
建议在将密钥材料给到安全协议之前,将外部认证过程从内部认证过程(例如,EAP-AKA’或NAS)接收的密钥材料连接到外部认证过程(例如,EAP-5G)。应当注意,如果在UE和网络中存在由认证过程EAP-AKA’产生的密钥材料,则内部认证过程也可以是NAS层。
外部认证过程和内部认证过程之间的密钥仅仅不同就足够了。它们如何不同的确切方式不重要,甚至k = k+1也将足够。在一般情况下,外部过程密钥Ksec(附图中的Ksec)可以是内部过程密钥的函数,并且也可能是某种其它材料的函数。例如,该函数可以采用以下方式执行:Ksec = KDF(N3IWF,“EAP-5G”),其中KDF是适当的密钥导出函数,例如如在3GPPTS 33.220的附录B中所规定的KDF。这种方式,确保了通信双方都被确保哪些认证过程被运行。
图4-6示出了如何能够在5G通信网络中的不同网络节点中实现认证过程的一些示例。其它实现变体也是可能的。
在一般情况下,在不同的EAP过程之间不强制具有NAS层,但是内部EAP(即EAP-AKA’)认证过程可以直接在外部EAP(即EAP-5G)认证过程上承载。
在实施例中,内部EAP过程、外部EAP过程和NAS在相同网络节点中,这在图4中图示。
在实施例中,内部EAP过程在一个节点中,并且外部EAP过程和NAS在另一个网络节点中,这在图5中图示。
在实施例中,内部EAP过程、NAS和外部EAP过程在不同的网络节点中,这在图6中图示。
所呈现的解决方案通过确保用于不同目的的密钥不是字面上相同的密钥,并且甚至能例如经由哈希函数进行密码分离,来提供良好的密码健康(hygiene)。
这样做的主要益处是,对于潜在的未来攻击和周围漏洞发现,例如协议参与者中的一个对其它参与者撒谎,存在更少的空间。
在以下信令流程中,使用来自S2-177794的当前文本的相关部分作为基线,描述了该解决方案。
图7图示了将改进的安全应用在对经由不可信非3GPP接入的注册的授权中。
1. 步骤1-7如图1中所示的基线中所描述的。
8. AMF可以决定对UE进行认证。在这种情况下,AMF将通过使用UE的SUPI或加密的SUPI来选择AUSF,如TS 23.501条款6.3.4中所规定的,并将向选择的AUSF发送密钥请求。AUSF可以发起EAP-AKA’认证,如TS 33.501中所规定的。EAP-AKA’分组被封装在NAS认证消息内,并且NAS认证消息被封装在EAP/5G-NAS分组内。在成功认证之后:
- 在步骤8h中,AUSF将向AMF发送锚密钥(SEAF密钥),该密钥由AMF用于导出NAS安全密钥和N3IWF的安全密钥(N3IWF密钥)。UE还导出锚密钥(SEAF密钥),并从该密钥中它导出NAS安全密钥和N3IWF的安全密钥(N3IWF密钥)。
-在步骤8h中,如果在步骤8a中AMF向AUSF提供了加密的SUPI,则AUSF还将包括SUPI(未加密)。
然而,对于经由非3GPP接入对UE进行认证仅支持EAP-AKA’,如TS 33.501中所规定的。
9. AMF将向UE发送安全模式命令(SMC)请求,以便激活NAS安全。该请求首先与N3IWF密钥一起发送到N3IWF(在N2消息内)。如果在步骤8中成功执行了EAP-AKA’认证,那么在步骤9a中,AMF将把从AUSF接收到的EAP-Success封装在SMC请求消息内。
10a. UE完成EAP-AKA’认证(如果在步骤8中发起的话),并创建NAS安全上下文和N3IWF密钥。在UE中创建N3IWF密钥之后,UE将通过发送EAP-Response/5G-Complete分组来请求完成EAP-5G会话。
10b. EAP-Response/5G-Complete分组触发了N3IWF向UE发送EAP-Success,假定N3IWF也已经从AMF接收到N3IWF密钥。在将EAP-Success发送到UE之后,N3IWF中的EAP-5G层照以下导出Ksec:Ksec = KDF(KN3IWF,“EAP-5G”),并将导出的Ksec密钥发送到较低层(IKEv2)。这完成了EAP-5G会话,并且没有另外的EAP-5G分组被交换。如果N3IWF没有从AMF接收到N3IWF密钥,则N3IWF将用EAP-Failure进行响应。
10c. 在接收到EAP-Success分组后,UE类似于N3IWF所做的那样导出Ksec,并将(从NAS层接收到的)Ksec密钥转发到较低层(IKEv2)。
11. 在步骤10b中,通过使用在UE中以及在N3IWF中创建的公共Ksec密钥,在UE和N3IWF之间建立了IPsec SA。该IPsec SA被称为“信令IPsec SA”。在信令IPsec SA建立之后,在UE和N3IWF之间的所有NAS消息都经由该SA进行交换。信令IPsec SA将配置成在传输模式下操作。SPI值用于确定IPsec分组是否承载NAS消息。
然而,供进一步研究的是,对于封装NAS消息是否需要GRE或任何其它协议。
12. UE将通过已建立的信令IPsec SA发送SMC完成消息,并且所有后续NAS消息(如条款4.2.2.2.2中所规定的)都经由该IPsec SA在UE和AMF之间交换。
可以注意到,前面的描述包括AMF不发起EAP-AKA’认证的情况,即步骤8(具有所有其子步骤8a-8h)以及在步骤9a和9b中发送EAP Success对于AMF的决定而言是有条件的。在这种情况下,从存在于AMF中的AMF密钥导出N3IWF密钥。因此,所呈现的解决方案也适用于其中内部EAP过程不运行的情况。
呈现了一种外部认证过程,其作为其认证运行的副作用不产生密钥,其中外部过程承载内部认证过程,其中内部过程作为其认证运行的结果提供建钥(keying)材料,并且作为外部过程的结果提供内部过程的建钥材料的导出。
导出可以是内部过程的建钥材料、并且可能是某种其它材料(例如,常量字符串或来自外部过程的某种参数)的哈希函数。
所呈现的解决方案对于5g中的非3gpp接入特别有用。
根据实施例,参考图7呈现了一种用于通信网络中的安全认证的方法。该方法在UE中执行,并且包括从N3IWF接收EAP成功消息,此后导出Ksec = KDF(KN3IWF,“EAP-5G”),并且将导出的Ksec密钥发送到较低层。
根据实施例,参考图7呈现了一种用于通信网络中的安全认证的方法。该方法在N3IWF中执行,并且包括向UE发送EAP成功消息,此后导出Ksec = KDF(KN3IWF,“EAP-5G”),并且将导出的Ksec密钥发送到较低层。
根据实施例,参考图8呈现了一种用于通信网络中的安全认证的方法。该方法在用户设备UE中执行,并且包括:通过内部认证过程提供S100内部认证密钥;基于内部认证密钥通过外部认证过程导出S110外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供S120给安全协议/用于后续的安全通信。
外部认证过程可以是可扩展认证协议EAP过程,例如EAP-5G,并且内部认证过程可以是EAP过程,例如EAP认证和密钥协定AKA或EAP-AKA’。
外部认证过程可以是EAP-5G,并且内部认证过程可以是完整性保护的消息,例如非接入层NAS消息。
导出步骤可以用内部认证密钥的导数或内部认证密钥的哈希函数来执行。哈希函数可以使用内部认证密钥和其它材料。其它材料可以是字符串或新鲜度参数,例如计数器或随机数。
外部认证过程可以依赖于仅仅来自内部认证过程的密钥。
图10是示出UE的一些组件的示意图。处理器10可以使用能够执行存储在存储器中的计算机程序14的软件指令的合适的中央处理单元CPU、多处理器、微控制器、数字信号处理器DSP、专用集成电路等中的一个或多个的任意组合来提供。从而,存储器可以被认为是或者形成计算机程序产品12的一部分。处理器10可以被配置成执行本文中参考图8描述的方法。
存储器可以是读和写存储器RAM和只读存储器ROM的任意组合。存储器还可以包括永久存储设备,其例如可以是磁存储器、光存储器、固态存储器或者甚至远程安装的存储器中的任意单个或组合。
还可以提供以数据存储器的形式的第二计算机程序产品13,例如用于在处理器10中执行软件指令期间读取和/或存储数据。数据存储器可以是读和写存储器RAM和只读存储器ROM的任意组合,并且还可以包括永久存储设备,其例如可以是磁存储器、光存储器、固态存储器或者甚至远程安装的存储器中的任意单个或组合。数据存储器可以例如保存其它软件指令15,以改进UE的功能性。
UE可以进一步包括输入/输出(I/O)接口11,其包括例如用户接口。UE可以进一步包括被配置成从其它节点接收信令的接收器以及被配置成向其它节点传送信令的传送器(未图示)。UE的其它组件被省略,以便不使本文中呈现的概念模糊不清。
图12是示出UE的功能块的示意图。模块可以被实现为仅软件指令,例如在高速缓存服务器中执行的计算机程序,或者实现为仅硬件,例如专用集成电路、现场可编程门阵列、分立逻辑组件、收发器等,或者实现为其组合。在备选实施例中,功能块中的一些可以由软件实现,并且其它功能块可以由硬件实现。模块对应于图8中所示的方法中的步骤,包括确定管理器单元120和通信管理器单元121。在其中模块中的一个或多个由计算机程序实现的实施例中,将理解,这些模块不一定对应于过程模块,而是可以根据在其中它们将被实现的编程语言被写为指令,因为一些编程语言通常不包含过程模块。
确定管理器120用于通信网络中的安全认证。该模块对应于图8的提供步骤S100和导出步骤S110。当运行计算机程序时,该模块可以例如由图10的处理器10实现。
通信管理器121用于通信网络中的安全认证。该模块对应于图8的提供步骤S120。当运行计算机程序时,该模块可以例如由图10的处理器10实现。
根据实施例,参考图9呈现了一种用于通信网络中的安全认证的方法。该方法在网络节点中执行,并且包括:通过内部认证过程提供S300内部认证密钥;基于内部认证密钥通过外部认证过程导出S310外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供S320给安全协议/用于后续的安全通信。
外部认证过程可以是EAP过程,例如EAP-5G,并且内部认证过程可以是EAP过程,例如EAP-AKA或EAP-AKA’。
外部认证过程可以是EAP过程,例如EAP-5G,并且内部认证过程可以是完整性保护的消息,例如NAS消息。
导出步骤可以用内部认证密钥的导数或内部认证密钥的哈希函数来执行。哈希函数可以使用内部认证密钥和其它材料。其它材料可以是字符串或新鲜度参数,例如计数器或随机数。
外部认证过程可以依赖于仅仅来自内部认证过程的密钥。
网络节点可以是认证管理功能AMF/安全锚功能SEAF或非3GPP互通功能N3IWF或认证服务器功能AUSF或gNodeB。
图11是示出网络节点的一些组件的示意图。处理器30可以使用能够执行存储在存储器中的计算机程序34的软件指令的合适的中央处理单元CPU、多处理器、微控制器、数字信号处理器DSP、专用集成电路等中的一个或多个的任意组合来提供。从而,存储器可以被认为是或者形成计算机程序产品32的一部分。处理器30可以被配置成执行本文中参考图9描述的方法。
存储器可以是读和写存储器RAM和只读存储器ROM的任意组合。存储器还可以包括永久存储设备,其例如可以是磁存储器、光存储器、固态存储器或者甚至远程安装的存储器中的任意单个或组合。
还可以提供以数据存储器的形式的第二计算机程序产品33,例如用于在处理器30中执行软件指令期间读取和/或存储数据。数据存储器可以是读和写存储器RAM和只读存储器ROM的任意组合,并且还可以包括永久存储设备,其例如可以是磁存储器、光存储器、固态存储器或者甚至远程安装的存储器中的任意单个或组合。数据存储器可以例如保存其它软件指令35,以改进网络节点的功能性。
网络节点可以进一步包括输入/输出(I/O)接口31,其包括例如用户接口。网络节点可以进一步包括被配置成从其它节点接收信令的接收器以及被配置成向其它节点传送信令的传送器(未示出)。网络节点的其它组件被省略,以便不使本文中呈现的概念模糊不清。
图13是示出网络节点的功能块的示意图。模块可以被实现为仅软件指令,例如在高速缓存服务器中执行的计算机程序,或者实现为仅硬件,例如专用集成电路、现场可编程门阵列、分立逻辑组件、收发器等,或者实现为其组合。在备选实施例中,功能块中的一些可以由软件实现,并且其它功能块可以由硬件实现。模块对应于图9中所示的方法中的步骤,包括确定管理器单元130和通信管理器单元131。在其中模块中的一个或多个由计算机程序实现的实施例中,将理解,这些模块不一定对应于过程模块,而是可以根据在其中它们将被实现的编程语言被写为指令,因为一些编程语言通常不包含过程模块。
确定管理器130用于通信网络中的安全认证。该模块对应于图9的提供步骤S300和导出步骤S310。当运行计算机程序时,该模块可以例如由图11的处理器30实现。
通信管理器131用于通信网络中的安全认证。该模块对应于图9的提供步骤S320。当运行计算机程序时,该模块可以例如由图13的处理器30实现。
根据实施例,参考图9呈现了一种用于通信网络中的安全认证的方法。该方法在5G核心5GC网络中执行,并且包括:在认证管理功能AMF/安全锚功能SEAF中通过内部认证过程提供S300内部认证密钥;基于在AMF/SEAF中提供的内部认证密钥,在非3GPP互通功能N3IWF中通过外部认证过程导出S310外部认证密钥,其中外部认证密钥不同于内部认证密钥;以及将导出的外部认证密钥提供S320给安全协议/用于后续的安全通信。
上面参考几个实施例已经主要地描述了本发明。然而,如本领域技术人员容易领会的,除了上面公开的实施例之外的其它实施例在如由所附权利要求所定义的本发明的范围内同样是可能的。
Claims (39)
1.一种用于通信网络中的安全认证的方法,所述方法在用户设备UE中执行,并且包括:
-通过内部认证过程提供(S100)内部认证密钥;
-基于所述内部认证密钥通过外部认证过程导出(S110)外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-将导出的外部认证密钥提供(S120)给安全协议/用于后续的安全通信。
2.根据权利要求1所述的方法,其中所述外部认证过程是可扩展认证协议EAP过程,例如EAP-5G,并且所述内部认证过程是EAP过程,例如EAP认证和密钥协定AKA或EAP-AKA’。
3.根据权利要求1所述的方法,其中所述外部认证过程是EAP-5G,并且所述内部认证过程是完整性保护的消息,例如非接入层NAS消息。
4.根据权利要求1至3中任一项所述的方法,其中所述导出用所述内部认证密钥的导数或所述内部认证密钥的哈希函数来执行。
5.根据权利要求4所述的方法,其中所述哈希函数使用所述内部认证密钥和其它材料。
6.根据权利要求5所述的方法,其中所述其它材料是字符串或新鲜度参数,例如计数器或随机数。
7.根据权利要求1至4中任一项所述的方法,其中所述外部认证过程依赖于仅仅来自所述内部认证过程的密钥。
8.一种用于通信网络中的安全认证的方法,所述方法在网络节点中执行,并且包括:
-通过内部认证过程提供(S300)内部认证密钥;
-基于所述内部认证密钥通过外部认证过程导出(S310)外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-将导出的外部认证密钥提供(S320)给安全协议/用于后续的安全通信。
9.根据权利要求8所述的方法,其中所述外部认证过程是可扩展认证协议EAP过程,例如EAP-5G,并且所述内部认证过程是EAP过程,例如EAP认证和密钥协定AKA或EAP-AKA’。
10.根据权利要求8所述的方法,其中所述外部认证过程是EAP过程,例如EAP-5G,并且所述内部认证过程是完整性保护的消息,例如非接入层NAS消息。
11.根据权利要求8至10中任一项所述的方法,其中所述导出用所述内部认证密钥的导数或所述内部认证密钥的哈希函数来执行。
12.根据权利要求11所述的方法,其中所述哈希函数使用所述内部认证密钥和其它材料。
13.根据权利要求12所述的方法,其中所述其它材料是字符串或新鲜度参数,例如计数器或随机数。
14.根据权利要求8至11中任一项所述的方法,其中所述外部认证过程依赖于仅仅来自所述内部认证过程的密钥。
15.根据权利要求8至14中任一项所述的方法,其中所述网络节点是认证管理功能AMF/安全锚功能SEAF或非3GPP互通功能N3IWF或认证服务器功能AUSF或gNodeB。
16.一种用于通信网络中的安全认证的方法,所述方法在5G核心5GC网络中执行,并且包括:
-在认证管理功能AMF/安全锚功能SEAF中通过内部认证过程提供(S300)内部认证密钥;
-基于在AMF/SEAF中提供的所述内部认证密钥,在非3GPP互通功能N3IWF中通过外部认证过程导出(S310)外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-将导出的外部认证密钥提供(S320)给安全协议/用于后续的安全通信。
17.一种用于通信网络中的安全认证的用户设备UE,所述UE包括:
-处理器(10);以及
-存储指令的计算机程序产品(12、13),所述指令当由所述处理器执行时,使所述UE:
-通过内部认证过程提供内部认证密钥;
-基于所述内部认证密钥通过外部认证过程导出外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
18.根据权利要求17所述的UE,其中所述外部认证过程是可扩展认证协议EAP过程,例如EAP-5G,并且所述内部认证过程是EAP过程,例如EAP认证和密钥协定AKA或EAP-AKA’。
19.根据权利要求17所述的UE,其中所述外部认证过程是EAP-5G,并且所述内部认证过程是完整性保护的消息,例如非接入层NAS消息。
20.根据权利要求17至19中任一项所述的UE,其中所述导出用所述内部认证密钥的导数或所述内部认证密钥的哈希函数来执行。
21.根据权利要求20所述的UE,其中所述哈希函数使用所述内部认证密钥和其它材料。
22.根据权利要求21所述的UE,其中所述其它材料是字符串或新鲜度参数,例如计数器或随机数。
23.根据权利要求17至20中任一项所述的UE,其中所述外部认证过程依赖于仅仅来自所述内部认证过程的密钥。
24.一种用于通信网络中的安全认证的网络节点,所述网络节点包括:
-处理器(30);以及
-存储指令的计算机程序产品(32、33),所述指令当由所述处理器执行时,使所述网络节点:
-通过内部认证过程提供内部认证密钥;
-基于所述内部认证密钥通过外部认证过程导出外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
25.根据权利要求24所述的网络节点,其中所述外部认证过程是可扩展认证协议EAP过程,例如EAP-5G,并且所述内部认证过程是EAP过程,例如EAP认证和密钥协定AKA或EAP-AKA’。
26.根据权利要求24所述的网络节点,其中所述外部认证过程是EAP过程,例如EAP-5G,并且所述内部认证过程是完整性保护的消息,例如非接入层NAS消息。
27.根据权利要求24至26中任一项所述的网络节点,其中所述导出用所述内部认证密钥的导数或所述内部认证密钥的哈希函数来执行。
28.根据权利要求27所述的网络节点,其中所述哈希函数使用所述内部认证密钥和其它材料。
29.根据权利要求28所述的网络节点,其中所述其它材料是字符串或新鲜度参数,例如计数器或随机数。
30.根据权利要求24至27中任一项所述的网络节点,其中所述外部认证过程依赖于仅仅来自所述内部认证过程的密钥。
31.根据权利要求24至30中任一项所述的网络节点,其中所述网络节点是认证管理功能AMF/安全锚功能SEAF或非3GPP互通功能N3IWF或认证服务器功能AUSF或gNodeB。
32.一种用于通信网络中的安全认证的5G核心5GC网络,所述5GC网络包括:
-处理器(30);以及
-存储指令的计算机程序产品(32、33),所述指令当由所述处理器执行时,使所述5GC网络:
-在认证管理功能AMF/安全锚功能SEAF中通过内部认证过程提供内部认证密钥;
-基于在AMF/SEAF中提供的所述内部认证密钥,在非3GPP互通功能N3IWF中通过外部认证过程导出外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
33.一种用于通信网络中的安全认证的用户设备UE,所述UE包括:
-确定管理器(120),用于通过内部认证过程提供内部认证密钥,并且用于基于所述内部认证密钥通过外部认证过程导出外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-通信管理器(121),用于将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
34.一种用于通信网络中的安全认证的网络节点,所述网络节点包括:
-确定管理器(130),用于通过内部认证过程提供内部认证密钥,并且用于基于所述内部认证密钥通过外部认证过程导出外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-通信管理器(131),用于将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
35.一种用于通信网络中的安全认证的5G核心5GC网络,所述5GC网络包括:
-确定管理器(130),用于在认证管理功能AMF/安全锚功能SEAF中通过内部认证过程提供内部认证密钥,并且用于基于在AMF/SEAF中提供的所述内部认证密钥,在非3GPP互通功能N3IWF中通过外部认证过程导出外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-通信管理器(131),用于将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
36.一种用于通信网络中的安全认证的计算机程序(14、15),所述计算机程序包括计算机程序代码,所述代码当在用户设备UE上运行时,使所述UE:
-通过内部认证过程提供内部认证密钥;
-基于所述内部认证密钥通过外部认证过程导出外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
37.一种用于通信网络中的安全认证的计算机程序(14、15),所述计算机程序包括计算机程序代码,所述代码当在网络节点上运行时,使所述网络节点:
-通过内部认证过程提供内部认证密钥;
-基于所述内部认证密钥通过外部认证过程导出外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
38.一种用于通信网络中的安全认证的计算机程序(34、35),所述计算机程序包括计算机程序代码,所述代码当在5G核心5GC网络上运行时,使所述5GC网络:
-在认证管理功能AMF/安全锚功能SEAF中通过内部认证过程提供内部认证密钥;
-基于在AMF/SEAF中提供的所述内部认证密钥,在非3GPP互通功能N3IWF中通过外部认证过程导出外部认证密钥,其中所述外部认证密钥不同于所述内部认证密钥;以及
-将导出的外部认证密钥提供给安全协议/用于后续的安全通信。
39.一种计算机程序产品(12、13;32、33),包括根据权利要求36、37或38所述的计算机程序(14、15;34、35)以及在其上存储所述计算机程序(14、15;34、35)的计算机可读存储部件。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762585008P | 2017-11-13 | 2017-11-13 | |
| US62/585008 | 2017-11-13 | ||
| PCT/EP2018/076917 WO2019091668A1 (en) | 2017-11-13 | 2018-10-03 | Secure authentication in a 5g communication network in non-3gpp access |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111316683A true CN111316683A (zh) | 2020-06-19 |
Family
ID=63794479
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880073581.8A Pending CN111316683A (zh) | 2017-11-13 | 2018-10-03 | 非3gpp接入中的5g通信网络中的安全认证 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US20200280435A1 (zh) |
| EP (1) | EP3711322A1 (zh) |
| JP (1) | JP2021502739A (zh) |
| KR (1) | KR20200081470A (zh) |
| CN (1) | CN111316683A (zh) |
| BR (1) | BR112020008480A2 (zh) |
| WO (1) | WO2019091668A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023212901A1 (en) * | 2022-05-06 | 2023-11-09 | Apple Inc. | Authentication proxy use in authentication and key management for applications |
| WO2024026698A1 (zh) * | 2022-08-02 | 2024-02-08 | 北京小米移动软件有限公司 | 一种用户设备接入移动网络的方法及其装置 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3755020B1 (en) * | 2018-02-16 | 2022-12-14 | NEC Corporation | Communication device, distribution device, communication system, transmission method, and non-transitory computer-readable medium |
| CN110234112B (zh) * | 2018-03-05 | 2020-12-04 | 华为技术有限公司 | 消息处理方法、系统及用户面功能设备 |
| EP3782393B1 (en) * | 2018-04-14 | 2022-08-17 | Telefonaktiebolaget LM Ericsson (publ) | Service-based 5g core authentication endpoints |
| JP7456444B2 (ja) * | 2019-01-11 | 2024-03-27 | 日本電気株式会社 | ネットワーク装置の方法 |
| CN111465012B (zh) * | 2019-01-21 | 2021-12-10 | 华为技术有限公司 | 通信方法和相关产品 |
| WO2021160272A1 (en) * | 2020-02-13 | 2021-08-19 | Lenovo (Singapore) Pte. Ltd. | Determining an access network radio access type |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8583923B2 (en) * | 2006-12-08 | 2013-11-12 | Toshiba America Research, Inc. | EAP method for EAP extension (EAP-EXT) |
-
2018
- 2018-10-03 BR BR112020008480-8A patent/BR112020008480A2/pt not_active Application Discontinuation
- 2018-10-03 KR KR1020207016286A patent/KR20200081470A/ko active IP Right Grant
- 2018-10-03 CN CN201880073581.8A patent/CN111316683A/zh active Pending
- 2018-10-03 JP JP2020524060A patent/JP2021502739A/ja not_active Withdrawn
- 2018-10-03 EP EP18782958.5A patent/EP3711322A1/en not_active Withdrawn
- 2018-10-03 WO PCT/EP2018/076917 patent/WO2019091668A1/en unknown
- 2018-10-03 US US16/759,966 patent/US20200280435A1/en not_active Abandoned
-
2021
- 2021-01-21 US US17/154,897 patent/US20210143988A1/en not_active Abandoned
Non-Patent Citations (2)
| Title |
|---|
| MOTOROLA MOBILITY等: "5G Registration via Untrusted Non-3GPP Access using EAP", 《3GPP》 * |
| NOKIA等: "Update of EAP-5g based solution for 5G Registration via Untrusted Non-3GPP Access", 《3GPP》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023212901A1 (en) * | 2022-05-06 | 2023-11-09 | Apple Inc. | Authentication proxy use in authentication and key management for applications |
| WO2024026698A1 (zh) * | 2022-08-02 | 2024-02-08 | 北京小米移动软件有限公司 | 一种用户设备接入移动网络的方法及其装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3711322A1 (en) | 2020-09-23 |
| US20200280435A1 (en) | 2020-09-03 |
| JP2021502739A (ja) | 2021-01-28 |
| BR112020008480A2 (pt) | 2020-10-20 |
| US20210143988A1 (en) | 2021-05-13 |
| WO2019091668A1 (en) | 2019-05-16 |
| KR20200081470A (ko) | 2020-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210143988A1 (en) | Secure authentication in a communication network | |
| EP3545702B1 (en) | User identity privacy protection in public wireless local access network, wlan, access | |
| TWI672933B (zh) | 用於下一代蜂巢網路的使用者面安全 | |
| US8601569B2 (en) | Secure access to a private network through a public wireless network | |
| US8990925B2 (en) | Security for a non-3GPP access to an evolved packet system | |
| US7596225B2 (en) | Method for refreshing a pairwise master key | |
| WO2019104124A1 (en) | Secure authentication of devices for internet of things | |
| US20240298174A1 (en) | Method and systems for authenticating ue for accessing non-3gpp service | |
| AU2020200523B2 (en) | Methods and arrangements for authenticating a communication device | |
| CN112514436B (zh) | 发起器和响应器之间的安全的、被认证的通信 | |
| US20230354013A1 (en) | Secure communication method and device | |
| US20200296583A1 (en) | Protecting wlcp message exchange between twag and ue | |
| WO2019086444A1 (en) | Methods, computer programs, computer program product, communication devices, network device and server | |
| CN115104332A (zh) | 重新认证密钥生成 | |
| WO2019219209A1 (en) | Establishing new ipsec sas | |
| Marques et al. | Integration of the Captive Portal paradigm with the 802.1 X architecture | |
| US20220150694A1 (en) | Key derivation for non-3gpp access | |
| WO2019024612A1 (zh) | 一种接入鉴权的方法及装置 | |
| WO2024164968A1 (zh) | 一种通信方法及通信装置 | |
| TW202433965A (zh) | 一種通信方法及通信裝置 | |
| CN116347445A (zh) | 一种基于非3gpp网元安全协议通道建立方法、传输方法和系统 | |
| CN114760093A (zh) | 通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200619 |
|
| WD01 | Invention patent application deemed withdrawn after publication |