CN113329407A - 用户设备与演进分组核心之间的相互认证 - Google Patents

用户设备与演进分组核心之间的相互认证 Download PDF

Info

Publication number
CN113329407A
CN113329407A CN202110637635.2A CN202110637635A CN113329407A CN 113329407 A CN113329407 A CN 113329407A CN 202110637635 A CN202110637635 A CN 202110637635A CN 113329407 A CN113329407 A CN 113329407A
Authority
CN
China
Prior art keywords
iops
security credentials
local
enodeb104
epc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110637635.2A
Other languages
English (en)
Inventor
R.拉贾杜赖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of CN113329407A publication Critical patent/CN113329407A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/90Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/12Access restriction or access information delivery, e.g. discovery data delivery using downlink control channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/50Connection management for emergency connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • H04W8/205Transfer to or from user equipment or user record carrier

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Environmental & Geological Engineering (AREA)
  • Public Health (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

提供了一种无线通信系统中的用户设备(UE)和演进节点B(eNB)及操作其的方法。其中一种操作UE的方法包括:识别所述UE的通用用户识别模块(USIM)应用,所述USIM应用配置有安全证书,所述安全证书包括用于公共安全(IOPS)操作的隔离演进通用移动电信系统地面无线接入网络(E‑UTRAN)操作的国际移动用户识别码(IMSI)和访问类状态11或15;以及基于所述安全证书在IOPS模式下执行与演进节点B(eNB)的认证程序,其中,所述安全证书是用于所述IOPS操作的与用于正常操作的安全证书独立的安全证书的不同集合,并且其中,所述正常操作包括基于至演进分组核心(EPC)的回程连接的非IOPS模式的操作。

Description

用户设备与演进分组核心之间的相互认证
本申请是申请日(国际申请日)为2016年1月11日,申请号为201680004082.4(国际申请号为PCT/KR2016/000231),发明名称为“用户设备与演进分组核心之间的相互认证”的发明专利申请的分案申请。
技术领域
本公开一般涉及无线通信系统,更具体地,涉及一种用于在用户设备(UE)与演进分组核心(EPC)之间相互认证的装置及方法。
背景技术
第三代合作伙伴计划(3GPP)发起了关于演进通用移动电信系统地面无线接入网络(E-UTRAN)用于公共安全的隔离操作(IOPS)方面的工作,其目标是确保公共安全用户在任务关键情况下持续通信的能力。无论演进节点B(eNodeB)与核心网络之间的连接(例如回程链接)是否存在,IOPS都支持可恢复的任务关键网络操作。从用于公共安全用途的安全角度看,主要要求是公共安全UE对隔离的E-UTRAN的访问以及在隔离的E-UTRAN操作模式下的UE的安全操作。
此外,当eNodeB与核心网络失去连接时很难为UE提供认证。当eNodeB不与核心网络通信(例如断开连接)时,对于eNodeB而言归属用户服务器(HSS)(认证中心(AuC))不可用(或不可到达)于将从UE接收的访问请求传递至核心网络并获得用于访问控制和安全通信的安全上下文。当至核心网络的回程链接不可用时,公共安全eNodeB(本地演进分组核心(EPC))能够自主运行或与其他附近eNodeB协调以在一区域内的公共安全UE附近提供本地路由的通信。隔离的E-UTRAN操作模式还通过部署一个或多个单独的游离eNodeB(NeNB),提供了创建无回程链接的服务无线接入网络(RAN)的能力。从安全的角度来看,隔离的E-UTRAN操作模式可能具有两种操作模式:
至EPC的信令回程连接活跃。因而,能够与AuC或HSS通信(模式1);以及
没有至EPC的信令回程连接;因而,不能与AuC或HSS通信(模式2)。
在模式1的情况下,正常的3GPP安全操作是可能的。此外,在模式2的情况下,隔离的E-UTRAN必须确保用户数据和网络信令安全都处于可与模式1所提供的相比较的水平。在UE与NeNB之间发生的通信和在不同的NeNB之间的通信需要安全特征的提供。在常规的系统和方法中,在用于认证和授权的eNodeB中包括潜在用户的完整用户数据库并不是可行的方案。此外,订阅证书被破解状态下的eNodeB暴露存在很高的安全风险。除了安全认证,需要安全操作(例如完整性保护、重放保护、机密性保护)以减轻未授权灾害信息的分布和公共安全UE之间通信的窃听。
发明内容
技术问题
因此,需要简单而健壮的机制用于在eNodeB未连接至核心网络时解决上述安全问题。
解决方案
本公开的一个方面在于提供认证用于IOPS的EPC的装置和方法。
本公开的另一方面在于提供在UE和本地EPC之间认证的装置和方法。
本公开的另一方面在于提供接收被本地EPC广播的IOPS公共陆地移动网络(PLMN)标识(ID)的装置和方法,其中IOPS PLMN ID指示本地EPC处于IOPS模式下。
本公开的另一方面在于提供基于从本地EPC接收的IOPS PLMN ID激活在UE中支持IOPS模式的通用用户识别模块(USIM)的装置和方法。
本公开的另一方面在于提供响应于接收IOPS PLMN ID而认证本地EPC的装置和方法。
本公开的另一方面在于提供向本地EPC发送第一请求消息的装置和方法。
本公开的另一方面在于提供响应于第一请求消息从本地EPC接收包括标志的第二请求消息的装置和方法。
本公开的另一方面在于提供广播IOPS PLMN ID的装置和方法,其中IOPS PLMN ID指示本地EPC处于IOPS模式下。
本公开的另一方面在于提供从UE接收第一请求消息的装置和方法。
本公开的另一方面在于提供响应于接收第一请求消息而生成标志的装置和方法。
本公开的另一方面在于提供向UE发送包括生成的标志的第二请求消息以认证本地EPC的装置和方法。
根据本公开的一个方面,提供了一种操作启用用于公共安全的隔离演进通用移动电信系统地面无线接入网络(E-UTRAN)(IOPS)的操作的用户设备的的方法。方法包括:从具有IOPS能力的eNodeB(eNB)接收包括IOPS公共陆地移动网络(PLMN)标识的系统信息区块(SIB)消息;基于IOPS PLMN标识激活专用的IOPS通用用户识别模块(USIM)应用;以及基于专用的IOPS USIM应用认证具有IOPS能力的eNB。
根据本公开的另一方面,提供了操作具有IOPS能力的eNB的方法。方法包括:广播包含IOPS PLMN标识的SIB消息;以及基于专用的IOPS USIM应用认证启用IOPS的UE,其中专用的IOPS USIM应用基于IOPS PLMN标识被UE激活。
根据本公开的另一方面,提供了启用IOPS的UE的装置。装置包括:控制器,以及可操作地与控制器耦合的至少一个收发器,其中控制器配置为:从具有IOPS能力的eNB接收包括IOPS PLMN标识的SIB消息;基于IOPS PLMN标识激活专用的IOPS USIM应用;以及基于专用的IOPS PLMN应用认证具有IOPS能力的eNB。
根据本公开的另一方面,提供了具有IOPS能力的eNB的装置。装置包括:控制器,以及可操作地与控制器耦合的至少一个收发器,其中控制器配置为:广播包括IOPS PLMN标识的SIB消息;以及基于专用的IOPS USIM应用认证启用IOPS的UE,其中专用的IOPS USIM应用被UE基于IOPS PLMN标识激活。
根据本公开的另一方面,提供了一种操作无线通信系统中的用户设备(UE)的方法,所述方法包括:识别所述UE的通用用户识别模块(USIM)应用,所述USIM应用配置有安全证书,所述安全证书包括用于公共安全(IOPS)操作的隔离演进通用移动电信系统地面无线接入网络(E-UTRAN)操作的国际移动用户识别码(IMSI)和访问类状态11或15;以及基于所述安全证书在IOPS模式下执行与演进节点B(eNB)的认证程序,其中,所述安全证书是用于所述IOPS操作的与用于正常操作的安全证书独立的安全证书的不同集合,并且其中,所述正常操作包括基于至演进分组核心(EPC)的回程连接的非IOPS模式的操作。
根据本公开的另一方面,提供了一种无线通信系统中的用户设备(UE)的装置,所述装置包括:收发器;和至少一个处理器,被配置成:识别所述UE的通用用户识别模块(USIM)应用,所述USIM应用配置有安全证书,所述安全证书包括用于公共安全(IOPS)操作的隔离演进通用移动电信系统地面无线接入网络(E-UTRAN)操作的国际移动用户识别码(IMSI)和访问类状态11或15;以及基于所述安全证书在IOPS模式下执行与演进节点B(eNB)的认证程序,其中,所述安全证书是用于所述IOPS操作的与用于正常操作的安全证书独立的安全证书的不同集合,并且其中,所述正常操作包括基于至演进分组核心(EPC)的回程连接的非IOPS模式的操作。
根据本公开的另一方面,提供了一种操作无线通信系统中的演进节点B(eNB)的方法,所述方法包括:基于安全证书认证用户设备(UE),所述安全证书配置在所述UE的通用用户识别模块(USIM)应用中,其中,所述安全证书包括用于公共安全(IOPS)操作的隔离演进通用移动电信系统地面无线接入网络(E-UTRAN)操作的国际移动用户识别码(IMSI)和访问类状态11或15,其中,所述安全证书是用于所述IOPS操作的与用于正常操作的安全证书独立的安全证书的不同集合,并且其中,所述正常操作包括基于至演进分组核心(EPC)的回程连接的非IOPS模式的操作。
根据本公开的另一方面,提供了一种无线通信系统中的演进节点B(eNB)的装置,所述装置包括:收发器;以及至少一个处理器,被配置成基于安全证书认证用户设备(UE),所述安全证书配置在所述UE的通用用户识别模块(USIM)应用中,其中,所述安全证书包括用于公共安全(IOPS)操作的隔离演进通用移动电信系统地面无线接入网络(E-UTRAN)操作的国际移动用户识别码(IMSI)和访问类状态11或15,其中,所述安全证书是用于所述IOPS操作的与用于正常操作的安全证书独立的安全证书的不同集合,并且其中,所述正常操作包括基于至演进分组核心(EPC)的回程连接的非IOPS模式的操作。
发明效果
本公开的实施方式能够在无线环境中有效保持公共安全。
附图说明
通过下文参照附图进行的详细描述,本公开的某些实施方式的上述和其他方面、特征和优点将更加显而易见,在附图中:
图1A和1B是根据本公开的实施方式的UE与本地EPC之间的认证系统的框图;
图2是根据本公开的实施方式的用于认证eNodeB或本地EPC的UE的框图;
图3是根据本公开的实施方式的用于认证UE的eNodeB或本地EPC的框图;
图4A是根据本公开的实施方式的UE与本地EPC之间的认证方法的流程图;
图4B是根据本公开的实施方式的认证eNodeB或本地EPC的方法的流程图;
图5A是根据本公开的实施方式的UE与eNodeB或本地EPC之间的认证方法的流程图;
图5B是根据本公开的实施方式的认证eNodeB或本地EPC的方法的流程图;
图6是根据本公开的实施方式的用于在UE与eNodeB或本地EPC之间执行认证的序列图;
图7是根据本公开的实施方式的用于在UE与eNodeB或本地EPC之间执行相互认证的序列图;
图8A和8B是根据本公开的实施方式的密钥导出方法的示意图;
图9是根据本公开的实施方式的使用IOPS国际移动用户识别码(IMSI)认证eNodeB或本地EPC的序列图;
图10是根据本公开的实施方式的使用系统信息块(SIB)消息认证eNodeB或本地EPC的序列图;
图11是根据本公开的实施方式的通过使用IMSI和国际移动站设备识别码(IMEI)认证eNodeB或本地EPC的序列图;
图12是根据本公开的实施方式的认证eNodeB或本地EPC的方法的流程图;
图13是根据本公开的实施方式的用于KASME(KeNodeB)交换消息流的基于标识加密的序列图;
图14是根据本公开实施方式的实施UE与本地EPC之间认证的方法和系统的计算环境的框图。
具体实施方式
下面根据附图中所示且在下文描述中详细说明的非限制性实施方式更充分地描述本文中的实施方式及其各种特征和优势的细节。省略了熟知的组件和处理技术的描述,从而不会不必要地模糊本文中的实施方式。此外,本文中描述的各种实施方式不一定是互相排斥的,一些实施方式可以与一个或多个其他实施方式组合以形成新的实施方式。除非另有指明,否则如本文中所使用的术语“或”是指非排他性的或。本文中所使用的示例仅旨在便于理解可以实践本文中实施方式的方法,并进一步使本领域技术人员能够实践本文中的实施方式。因此,示例不应被理解为限制本公开的范围。
下面参照附图描述本公开,其中同样的参考数字指示对应的元件。
在详细描述实施方式前,提供了本文中使用的关键术语的定义。除非另有定义,否则本文中使用的所有术语具有与本公开所属领域的普通技术人员通常理解的相同的含义。下面是本公开中所使用的术语的词汇表:
具有隔离的E-UTRAN IOPS能力的eNodeB:具有IOPS模式操作能力的eNodeB,当eNodeB失去至Macro EPC的回程或不具有至Macro EPC的回程时,通过本地EPC向一个或多个启用IOPS的UE提供本地互联网协议(IP)连通性和公共安全服务。
IOPS网络:包括在IOPS模式下操作并连接至本地EPC的一个或多个eNodeB的IOPS网络。
本地EPC:本地EPC是代替Macro EPC提供在IOPS操作模式下的eNodeB利用的功能的实体,以便支持公共安全服务。此外,本地EPC能够包括移动管理实体(MME)、服务网关/分组数据网络网关(SGW/PGW)、归属用户服务器(HSS)功能或其组合。
Macro EPC:当不处于IOPS操作模式下时服务eNodeB的EPC。
游离演进分组系统(EPS):在无正常EPS的情况下能够向启用IOPS的UE提供无线接入(通过可部署的具有IOPS能力的eNodeB)、本地IP连通性和公共安全服务的可部署系统。
启用IOPS的UE:配置为使用在IOPS模式下操作的网络的UE。UE是通用集成电路卡(UICC)和移动设备(ME)的组合。
在本公开的实施方式中,失去回程通信后,通过具有IOPS能力的eNodeB(或连接的具有IOPS能力的eNodeB的集合),IOPS提供保持用于公共安全用户的通信水平的能力。隔离的E-UTRAN操作模式还适用于形成游离EPS部署,即一个或多个独立的具有IOPS能力的eNB的部署,创建无回程通信的服务无线接入网络并且还在无正常EPS架构可用性的情况下向公共安全用户提供本地IP连通性和服务。3GPP技术规范22.346列出了IOPS中长期演进(LTE)网络的一般要求。在3GPP TS 23.401的资料性附录K中给出了IOPS的构架概念的描述。此外,3GPP TS 23.401提供了用于在没有至Macro EPC的回程链接的情境中使用本地EPC方法操作公共安全网络的安全指南。本地EPC方法假设IOPS网络能够包含以下任意一者:
本地EPC和单个隔离的具有IOPS能力的eNodeB(或可部署的具有IOPS能力的eNodeB),其可以位于相同位置或具有至本地EPC的连通性;或
本地EPC和两个或多个具有IOPS能力的eNodeB(或可部署的具有IOPS能力的eNodeB),其具有至单个本地EPC的连通性。
此外,本地EPC包括MME、SGW或PGW、HSS功能或其组合。当eNodeB处于IOPS模式时,公共安全网络运营商指定用于通过eNodeB在SIB消息中进行广播的IOPS操作模式的PLMN标识。只有授权的启用IOPS的UE能够访问指示为IOPS PLMN的PLMN。
本文中的实施方式公开了UE与本地EPC之间认证的方法。方法包括接收通过本地EPC广播的IOPS PLMN ID,其中IOPS PLMN ID表明本地EPC处于IOPS模式。此外,方法包括基于从本地EPC接收的IOPS PLMN ID激活支持UE中的IOPS模式的USIM。
在一实施方式中,方法包括发送第一请求消息至本地EPC。第一请求消息是ATTACH(联接)请求消息。此外,方法包括在接收第一请求消息后从本地EPC接收包括标志的第二请求消息。在本公开的实施方式中,第二请求消息是AUTHENTICATION(认证)(AUTH)请求消息。此外,方法包括基于标志认证本地EPC。
在一实施方式中,基于标志认证本地EPC包括生成候选标志。在生成候选标志后,确定从本地EPC接收的标志与候选标志之间是否匹配。此外,响应于确定标志与候选标志之间的匹配来认证本地EPC。
在一实施方式中,基于标志认证本地EPC包括通过解密标志提取与本地EPC相关的密钥并基于密钥认证本地EPC。
在一实施方式中,方法还包括发送包括至少一个参数的响应信息至本地EPC以认证UE。此外,方法包括从本地EPC接收接受消息。
在一实施方式中,标志是认证和密钥协商(AKA)程序的随机数(RAND)和认证标志(AUTN)、使用UE的公共密钥加密的密钥、IMSI或其组合的至少之一。
在一实施方式中,ATTACH请求消息包括访问类、IMSI、UE的能力、IMEI和闭合用户组(CSG)小区ID中的至少之一。
本文中的实施方式公开了在UE和本地EPC之间认证的方法。方法包括通过本地EPC广播IOPS PLMN ID,其中IOPS PLMN ID表明本地EPC处于IOPS模式。
在一实施方式中,方法包括从UE接收第一请求消息。此外,方法包括响应于接收第一请求消息生成标志。此外,方法包括发送包括生成的标志的第二请求消息至UE以认证本地EPC。
在一实施方式中,方法还包括从UE接收包括至少一个参数的响应消息。此外,方法包括基于至少一个参数认证UE。此外,方法包括发送接受消息至UE。
不同于常规系统和方法,本公开的方法提供了用于IOPS的访问认证的方法。除正常的订阅证书之外,本公开的装置基于专用独有订阅证书在UE与eNodeB(或本地EPC)之间提供服务或RAN证书用于IOPS操作的访问控制(例如许可或禁止)。此外,本公开的方法提供除正常订阅证书之外的访问类、IMEI、IMSI或CSG ID特定证书用于当eNodeB脱离核心网络(例如EPC)时的访问控制(例如相互认证)。
不同于常规系统和方法,本公开的装置包括在eNodeB中生成认证向量(AV)的功能用于IOPS访问控制和安全通信。此外,本公开的装置可以在无线资源控制(RRC)信令上提供认证和密钥协商(AKA)程序,其中AKA程序由分组数据汇聚协议(PDCP)实体或PDCP顶部的新实体提供。AKA程序还可以使用认证管理字段(AMF)位提供访问类控制。
此外,本公开的装置处理诸如安全存储和执行环境、UE与隔离E-UTRAN之间的相互认证、授权(即广播、多播和单播)、空中保护(例如完整性、保密性和重放保护)、用于一对一通信的密码式独立密钥以及真实抗灾信息发布的要求。
现在参照附图,更具体地,参照图1A至图14,其中贯穿各附图相似的参考字符表示对应的特征,以示例方式示出了实施方式。
图1A是根据本文所示实施方式的用于UE与本地EPC之间认证的系统100a的框图。系统100a包括UE 102、eNodeB 104、Macro EPC 106和本地EPC 108。在一实施方式中,本地EPC 108可以位于eNodeB 104内。
参照图1A,UE 102包括UICC单元102a(或简单地可以称为UICC或UE 102中的用户识别模块(SIM)卡)。在一实施方式中,本地EPC 108可以包括MME、SGW或PGW、以及HHS功能中的至少之一。UE 102可以是膝上型计算机、台式计算机、移动电话、移动站、移动终端、智能电话、个人数字助理(PDA)、平板计算机、平板手机或任何其他电子装置。
UICC单元102a包括应用(例如SIM、通用用户识别模块(USIM)和IP多媒体服务识别模块(ISIM))。在一实施方式中,除UICC单元102a中的应用外,通过运营商或通过公共安全社区或代理包括另一专用USIM应用(例如IOPS应用)来使UE 102能够在IOPS操作模式下通信。
在一实施方式中,为了确保对IOPS操作模式的支持不危害正常操作的安全,当eNodeB(例如本地EPC)在IOPS操作模式下操作时,在存在于UE 102中的UICC单元102a中的IOPS模式专用的USIM应用与本地HSS(包括在本地EPC 108中)之间执行认证和密钥协商(AKA)程序。这也同样适用于失去回程通信和转换eNodeB 104的情况以支持用于启用IOPS的UE组的隔离E-UTRAN操作。
此外,IOPS操作模式专用的USIM应用使用与用于正常操作的安全证书独立的安全证书的不同集合。在IOPS操作模式开始前将证书配置在本地EPC108中和UICC单元102a中。在UE 102中IOPS操作模式专用的USIM应用具有包含以下所示的一项或多项的安全证书的不同集合:
永久密钥“K”(唯一地分配用于IOPS操作模式);
分配用于IOPS网络操作的PLMN标识;
IMSI(唯一地分配用于IOPS操作模式);或
访问类状态11或15(服从于地区/国家法规要求或运营商政策)。
证书是在本地EPC 108内预设的,支持IOPS操作模式,其中公共安全部门要求在失去回程通信的情况下向UE 102提供服务。本地EPC 108中的IOPS网络安全证书集仅在针对被认证用于IOPS网络中的操作的UE 102的情况下执行存储。管理性预设用来保持在本地EPC 108处用于所有被认证的UE102的安全证书的及时更新。
在一实施方式中,IOPS应用(例如专用于IOPS操作模式的USIM应用)配置有(出于限制目的的)用于正常EPC的访问类(下文“c”、“d”、“e”、“f”和“g”中所描述)。除第三代合作伙伴计划(3GPP)中定义的现有访问类外,运营商可以配置新的访问类(下文“h”中所描述)。
a)类0-9:正常行为
b)类10:紧急呼叫
c)类15:PLMN工作人员
d)类14:紧急服务(包括IOPS)
e)类13:公共事业(例如水、气供应商,或IOPS)
f)类12:安全服务(包括IOPS)
g)类11:用于PLMN的使用(包括IOPS)
h)类xx:IOPS服务
首先,UE 102通过访问正常应用的eNodeB 104联接至Macro EPC 106。每当eNodeB104与Macro EPC 106断开连接(例如回程链接)时,eNodeB 104激活IOPS操作模式。在本公开的实施方式中,每当在eNodeB 104和Macro EPC 106之间无回程链接连接时,eNodeB 104触发本地EPC 108(例如在eNodeB 104内)。此外,eNodeB 104可用作本地EPC 108,执行本地EPC 108的功能。
此外,eNodeB 104或本地EPC 108广播用于IOPS操作的PLMN ID并采用如“11”或“15”的访问类。UE 102在小区中探测IOPS PLMN ID。如果UE 102不能找到服务Macro EPC106的另一合适的小区或者用户手动选择IOPS PLMN,UE 102激活并且使用专用于IOPS网络访问的USIM应用,从而如果授权的话,则UE 102联接至eNodeB 104或本地EPC 108并获得本地IP地址。然后可以访问由IOPS网络支持的公共安全服务。
在一实施方式中,IOPS密钥“Ki”与访问类相关并在UE 102和eNodeB104或本地EPC108之间共享。eNodeB 104或本地EPC 108预配置有用于UE102的不同访问类的密钥“Ki”的清单。UE 102(例如UICC单元102a或安全环境(例如KNOX工作空间等))基于其访问类预配置有“Ki”。UICC单元102a由移动网络运营商(MNO)使用空中程序配置或预设并可以使用SIM或USIM工具包保护预设。诸如KNOX的安全环境由MNO或诸如公共安全部门、国家监管机构等第三方使用移动设备管理(MDM)解决方案(例如MDM合作伙伴)来配置或预设。
由于访问类非常有限,在eNodeB 104或本地EPC 108中需要非常有限数量的密钥用于提供对公共安全UE 102的安全访问。基于UE 102的访问类通过eNodeB 104或本地EPC108选择“Ki”。对应于访问类的密钥如下所示:
a)类0-9:K1
b)类10-IOPS:K7
c)类15-PLMN工作人员:K2
d)类14-紧急服务:K3
e)类13-公共事业(例如水/气供应商):K4
f)类12-安全服务:K5
g)类11-用于PLMN使用:K6
在一实施方式中,现有的SIM、USIM或ISIM应用基于访问类具有除正常或常规网络访问密钥“K”以外的带有不同密钥索引i的IOPS密钥(Ki)。
在一实施方式中,eNodeB 104或本地EPC 108通过设置认证管理字段(AMF)位激活IOPS特定认证(例如AKA)。AMF具有16位,其中位“0”用作分隔位,位“1”至“7”为将来的标准化使用预留,位“8”至“15”可以用于专有目的。AMF中的16位从“0”至“15”编号,其中位“0”是最高有效位而位“15”是最低有效位。至少一个位用于指示IOPS安全证书或密钥索引i和待用于认证的“Ki”(AV的验证和推导)或允许的访问类和待使用的对应密钥“Ki”的作用。下表1示出了AMF位的作用以指示IOPS操作、待使用的密钥索引或允许的访问类(或待使用的对应密钥“Ki”)。如果网络操作等同于IOPS则AUTN的AMF字段中的位(留出“分隔位”)应设为1以向UE 102指示AV仅可用于IOPS上下文中的AKA。
表1
5 4 3 2 1 0
如果网络操作等同于IOPS则AUTN的AMF字段中的位“1”应设置为1以向UE 102指出AV仅可用于IOPS上下文中的AKA。
位“2”指示密钥索引(用于或待用于生成或验证AV的密钥)(LTE订阅密钥)。
位“3”至“7”指示访问类(其被允许访问并且用于或待用于生成或验证AV的对应密钥)。
在一实施方式中,位“3”至“6”指示访问类(其被允许访问并且用于或待用于生成或验证AV的对应密钥)。eNodeB 104或本地EPC 108生成AV(安全环境中的AUC功能)。可选地,eNodeB 104或本地EPC 108可以被预配置有(不同访问类的)AV,来代替生成AV。Oracle访问管理(OAM)服务器在(用于不同访问类的)eNodeB 104或本地EPC 108中预配置了AV清单。eNodeB 104或本地EPC 108中的AV预配置不提供所需的安全级别,因为任何被盗用的eNodeB或本地EPC都能够泄露AV并且伪基站可以利用盗取的AV获得特定区域的访问权限。
尽管图1A示出了作为两个单独实体的eNodeB 104和本地EPC 108,但本公开不限于此。例如,本地EPC 108可以可用于在eNodeB 104内部。例如,如图1B中所示,本地EPC 108的功能可以预设(或配置)在eNodeB 104中而不明确示出本地EPC 108在eNodeB 104之外或在eNodeB 104之内。
图1B是根据本文中公开的实施方式的用于在UE与用作本地EPC 108的eNodeB 104之间认证的系统100b的框图。本地EPC 108的功能可以被预设或配置至eNodeB 104,从而在eNodeB 104与Macro EPC之间失去连接时允许eNodeB 104用作本地EPC 108。
图1A和图1B分别示出了系统100a和系统100b。然而,本公开不限于此。在一实施方式中,系统100a和系统100b可以包括更少的组件或额外的组件。此外,组件的标签或名称仅用于说明目的,并不旨在限制本公开的范围。一个或多个组件可以组合以执行系统100a和系统100b中相同的或大体上相同的功能。
图2是根据本文中公开的实施方式的用于认证eNodeB 104或本地EPC108的UE 102的框图。UE 102包括UICC单元102a、控制器单元202、存储单元204和通信单元206。控制器单元202、存储单元204和通信单元206可以位于UICC单元102a内。诸如控制器单元202、存储单元204和通信单元206的单元中的一些可以位于UICC单元102a内。UICC单元102a包括支持IOPS操作模式的USIM应用。
参照图2,UICC单元102a或控制器单元202可以被配置为发送第一请求消息至eNodeB 104或本地EPC 108。在一实施方式中,第一请求消息是ATTACH请求消息。ATTACH请求消息可以包括访问类、IMSI、UE 102的能力、IMEI、CSG小区ID或其组合。
此外,UICC单元102a或控制器单元202可以被配置为从eNodeB 104或本地EPC 108接收包括标志的第二请求消息。在一实施方式中,第二请求消息是AUTH请求消息。标志可以是AKA程序的RAND和AUTH、使用UE 102或UICC单元102a的公共密钥加密的密钥、IMSI、用于完整性的消息认证代码(MAC-I)或其组合。此外,UICC单元102a或控制器单元202可以被配置为基于所接收的标志认证eNodeB 104或本地EPC 108。
在从eNodeB 104或本地EPC 108接收标志后,UICC单元102a或控制器单元202可以被配置为生成候选标志。候选标志可以是AKA程序的RAND和AUTH、使用UE 102或UICC单元102a的公共密钥加密的密钥、IMSI、响应消息(RES)或其组合。此外,下面参照图5和图6描述本公开。
在一实施方式中,在从eNodeB 104或本地EPC 108接收标志后,UICC单元102a或控制器单元202可以被配置为通过解密标志来提取与eNodeB 104或本地EPC 108相关的密钥。此外,UICC单元102a或控制器单元202可以被配置为基于该密钥认证eNodeB 104或本地EPC108。此外,下面参照图12描述本公开。
此外,UICC单元102a或控制器单元202可以被配置为向eNodeB 104或本地EPC 108提供用于响应消息的至少一个参数以认证UE 102。在一实施方式中,响应消息是AUTH响应消息。参数可以是RES、MAC-I或其组合。此外,UICC单元102a或控制器单元202可以被配置为从eNodeB 104或本地EPC 108接收接受消息。接受消息是ATTACH(联接)接受消息。存储单元204可以被配置为储存从eNodeB 104或本地EPC 108接收的标志。
此外,存储单元204可以包括一个或多个计算机可读存储介质。存储单元204可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存或电性可编程存储器(EPROM)或电性可擦除可编程存储器(EEPROM)。另外,在一些示例中,存储单元204可以被认为是非暂时性存储介质。术语“非暂时性”可以指存储介质不在载波或传播的信号中体现。然而,术语“非暂时性”不应被解释为指示存储单元204是不可移动的。在一些示例中,存储单元204可以被配置为比存储器储存更大量的信息。在某些示例中,非暂时性存储介质可以储存可以随时间改变的数据(例如在随机存取存储器(RAM)或高速缓存中)。通信单元206可以被配置为在单元之间内部通信以及与网络进行外部通信。
图2示出了UE 102的各单元,但要理解的是,本公开不限于此。在一实施方式中,UE102可以包括更少的单元或额外的单元。此外,单元的标签或名称仅用于说明目的,并不旨在限制本公开的范围。一个或多个单元可以组合以执行UE 102中相同的或大体相同的功能。
图3是根据本文中公开的实施方式的用于认证UE 102的eNodeB 104或本地EPC108的框图。本文中描述的eNodeB 104或本地EPC 108可以例如对应于但不限于LTE网络、用于全球移动通信系统(GSM)演进(EDGE)无线接入网络(GERAN)的GSM增强数据率、通用移动通信系统(UMTS)无线接入网络(UTRAN)、演进UTRAN(EUTRAN)或任何其他网络。在本公开的实施方式中,eNodeB 104或本地EPC 108包括接收器(Rx)单元302、控制器单元304、存储单元306和发送器(Tx)单元308。
参照图3,Rx单元302可以被配置为从UE 102和网络接收一个或多个信令消息。控制器单元304可以被配置为使用Rx单元302从UE 102接收第一请求消息。在一实施方式中,第一请求消息是ATTACH(联接)请求消息。ATTACH(联接)请求消息可以包括访问类、IMSI、UE102的能力、IMEI、CSG小区ID或其组合。此外,控制器单元304可以被配置为在接收第一请求消息后生成标志。在一实施方式中,标志可以是AKA程序的RAND和AUTH、使用UE 102或UICC单元102a的公共密钥解密的密钥、IMSI或其组合。此外,控制器单元304可以被配置为通过使用Tx单元308发送包括生成的标志的第二请求消息至UE 102。标志由控制器单元304用以认证eNodeB104或本地EPC 108。
此外,控制器单元304可以被配置为通过使用Rx单元302从UE 102接收包括至少一个参数的响应消息。响应消息是AUTH响应消息。参数可以是RES、MAC-I或其组合。此外,控制器单元304可以被配置为基于至少一个参数授权UE 102。控制器单元304在验证从UE 102接收的RES后授权UE102。控制器单元304可以被配置为在验证MAC-I后授权UE 102。此外,控制器单元304可以被配置为通过使用Tx单元308发送ATTACH(联接)接受消息至UE 102。存储单元306可以被配置为存储生成的标志,该标志还可以由控制器单元304使用以导出密钥。
此外,存储单元306可以包括一个或多个计算机可读存储介质。存储单元306可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存或EPROM或EEPROM的形式。另外,在一些示例中,存储单元306可以被认为是非暂时性存储介质。术语“非暂时性”可以指存储介质不在载波或传播的信号中体现。然而,术语“非暂时性”不应被解释为指示存储单元306是不可移动的。例如,存储单元306可以被配置为比存储器储存更大量的信息。例如,非暂时性存储介质可以存储可以随时间改变的数据(例如在RAM或高速闪存中)。
图3示出了eNodeB 104或本地EPC 108,但要理解的是,本公开不限于此。在一实施方式中,eNodeB 104或本地EPC 108可以包括更少或更多的单元。此外,单元的标签或名称仅用于说明目的,并非旨在限制本公开的范围。一个或多个单元可以组合以执行eNodeB104或本地EPC中相同的或大体相同的功能。
图4A是根据本文中公开的实施方式的UE 102与本地EPC 108之间的认证方法400a的流程图。
在步骤402a中,方法400a接收被本地EPC 108广播的IOPS PLMN ID,其中IOPSPLMN ID指示本地EPC 108处于IOPS模式下。方法400a允许UE102接收被本地EPC 108广播的IOPS PLMN ID,其中IOPS PLMN ID指示本地EPC 108处于IOPS模式下。在步骤404a中,方法400a激活UICC单元102a中的USIM应用。方法400a允许UE 102激活UICC单元102a中的USIM应用。在步骤406a中,方法400a认证本地EPC 108。方法400a允许USIM 102b认证本地EPC 108。
方法400a中的各种行为、动作、区块、步骤等可以以所示的顺序执行、以不同的顺序执行或同时执行。此外,在一实施方式中,行为、动作、区块、步骤等中的一些可以省略、添加、修改、略过等而不背离本公开的范围和主旨。
图4B是根据本公开的实施方式的认证eNodeB 104或本地EPC 108的方法400b的流程图。
参照图4,在步骤402b中,方法400b发送第一请求消息至eNodeB 104或本地EPC108。方法400b允许UE 102发送第一请求消息至eNodeB 104或本地EPC 108。在一实施方式中,第一请求消息是ATTACH(联接)请求消息。ATTACH(联接)请求消息能够包括例如访问类、IMSI、UE 102的能力、IMEI、CSG小区ID或其组合。
在步骤404b中,方法400b从eNodeB 104或本地EPC 108接收包括标志的第二请求消息。在一实施方式中,第二请求消息是AUTH请求消息。在一实施方式中,方法400b允许UE102从eNodeB 104或本地EPC 108接收包括标志的第二请求消息。
在步骤406b中,方法400b使用IOPS应用生成候选标志。在一实施方式中,方法400b允许UE 102使用IOPS应用生成候选标志。在一实施方式中,候选标志可以是MAC-I。
在步骤408b中,方法400b确定从eNodeB 104或本地EPC 108接收的标志与候选标志之间是否匹配。在一实施方式中,方法400b允许UE 102确定从eNodeB 104或本地EPC 108接收的标志与候选标志之间是否匹配。
在步骤410b中,方法400b在确定标志与候选标志之间匹配后认证eNodeB 104或本地EPC 108。在一实施方式中,方法400b允许UE 102在确定标志与候选标志之间匹配后认证eNodeB 104或本地EPC 108。
在步骤412b中,方法400b发送包括至少一个参数的响应消息至eNodeB104或本地EPC 108以认证UE 102。在一实施方式中,方法400b允许UE 102发送包括至少一个参数的响应消息至eNodeB 104或本地EPC 108以认证UE102。参数可以是例如使用IOPS应用生成的RES、MAC-I或其组合。
在步骤414b中,方法400b包括从eNodeB 104或本地EPC 108接收接受消息(例如ATTACH(联接)接受消息)。在一实施方式中,方法400b允许UE 102从eNodeB 104或本地EPC108接收ATTACH(联接)接受消息。
方法400b的各种行为、动作、区块、步骤等等可以以所示的顺序执行、以不同的顺序执行或同时执行。此外,在一实施方式中,行为、动作、区块、步骤等等中的一些可以省略、添加、修改、略过等等而不背离本公开的范围和主旨。
图5A是根据本文中公开的实施方式的在UE 102与eNodeB 104或本地EPC 108之间的认证方法500a的流程图。
在步骤502中,方法500a广播IOPS PLMN ID(即使用SIB),其中IOPS PLMN ID指示eNodeB 104或本地EPC 108处于IOPS模式下。方法500a允许控制器单元304广播IOPS PLMNID至UE 102以认证eNodeB 104或本地EPC 108,其中IOPS PLMN ID指示eNodeB 104或本地EPC 108处于IOPS模式下。
方法500a中的各种行为、动作、区块、步骤等等可以以所示的顺序执行、以不同的顺序执行或同时执行。此外,在一实施方式中,行为、动作、区块、步骤等等中的一些可以省略、添加、修改、略过等等而不背离本公开的范围和主旨。
图5B是根据本文中公开的实施方式的认证eNodeB 104或本地EPC 108的方法500b的流程图。
参照图5b,在步骤502b中,方法500b从UE 102接收第一请求消息。方法500b允许控制器单元304从UE 102接收第一请求消息。在步骤504b中,方法500b使用该特定UE 102的IOPS证书检索本地EPC 108中生成的标志。方法500b允许控制器单元304使用该特定UE 102的IOPS证书检索本地EPC108中生成的标志。
在步骤506b中,方法500b发送包括生成的标志的第二请求消息至UE102以认证eNodeB 104或本地EPC 108。在一实施方式中,方法500b允许控制器单元304发送包括生成的标志的第二请求消息至UE 102以认证eNodeB104或本地EPC 108。在步骤508b中,方法500b从UE 102接收包括至少一个参数的响应消息。方法500b允许控制器单元304从UE 102接收包括至少一个参数的响应消息。
在步骤510b中,方法500b基于该至少一个参数认证UE 102。在本公开的实施方式中,方法500b允许控制器单元304基于该至少一个参数认证UE102。在步骤512b中,方法500b发送接受消息至UE 102。在一实施方式中,方法500b允许控制器单元304发送接受消息至UE102。
方法500b的各种行为、动作、区块、步骤等等可以以所示的顺序执行、以不同的顺序执行或同时执行。此外,在一实施方式中,行为、动作、区块、步骤等等中的一些可以省略、添加、修改、略过等等而不背离本公开的范围和主旨。
图6是根据本文中公开的本公开实施方式的用于在UE 102与eNodeB104或本地EPC108之间执行认证的序列图600。在一实施方式中,信令序列描述UE 102与eNodeB 104或本地EPC 108之间的通信。
参照图6,在步骤602中,UE 102发送第一请求消息至eNodeB 104或本地EPC 108。在一实施方式中,第一请求消息是ATTACH(联接)请求消息,其中ATTACH请求消息包括访问类、IMSI、UE 102的能力或其组合。在一实施方式中,UE 102发送第一请求消息而不在该消息中包括访问类。
在步骤604中,在接收第一请求消息后,eNodeB 104或本地EPC 108发送数据请求消息(即AUTH数据请求消息)至安全环境600a。数据请求消息包括访问类、IMSI或其组合。基于接收的访问类,eNodeB 104或本地EPC 108请求安全环境602(其可以被包括在eNodeB104或本地EPC 108中或者可以在eNodeB 104或本地EPC 108之外)提供AV以认证UE 102并授权在IOPS操作模式下访问安全通信。
在步骤606中,在接收数据请求消息后,安全环境600a使用通过eNodeB104基于由UE 102提供的访问类选择的“Ki”导出AV。如果访问类不由UE102提供,则eNodeB 104使用允许的或许可的访问类(即访问类11)生成AV并指示AMF中的访问类以便UE 102使用AMF识别访问类和对应的密钥以生成或验证AV(如果这是许可的)。
在步骤608中,安全环境600a发送数据响应消息(例如AUTH数据响应消息)至eNodeB 104或本地EPC 108。数据响应消息包括RAND、期望响应(XRES)、AUTH和KeNodeB
在步骤610中,在接收数据响应消息后,eNodeB 104或本地EPC 108储存数据响应消息中包括的KeNodeB和XRES。此外,eNodeB 104或本地EPC 108选择演进分组系统(EPS)加密算法(EEA)和EPS完整性算法(EIA)并导出进一步的密钥。
在步骤612中,eNodeB 104或本地EPC 108发送包括标志的第二请求消息至UE102。标志可以是AKA程序的RAND和AUTH、使用UE 102的公共密钥加密的密钥、IMSI、MAC-I或其组合。系统管理控制器(SMC)程序随同AKA认证程序一起执行。这通过包括选择的密码技术来执行。此外,使用选择的密码技术并使用从AV的密钥导出的安全密钥(即对应于消息中包括的AV的RAND和AUTH的密钥)生成MAC-I。当eNodeB 104或本地EPC108在IOPS操作模式下操作时单独执行SMC程序。
在步骤614中,在接收第二请求消息后,UE 102发送数据请求消息(例如AUTH数据请求消息)至UICC单元102a。数据请求消息包括RAND、AUTN或其组合。
在步骤616中,在接收数据请求消息后,UICC单元102a生成候选标志。候选标志可以是RES、AKA程序的RAND和AUTH、使用UE 102的公共密钥加密的密钥、IMSI或其组合。候选标志在UE 102或USIM应用的两者之一中生成。此外,UICC单元102a或控制器单元202确定从eNodeB 104或本地EPC 108接收的标志与生成的候选标志之间是否匹配。一旦确定匹配,UICC单元102a或控制器单元202认证eNodeB 104或本地EPC 108。
在步骤618中,在认证eNodeB 104或本地EPC 108后,UICC单元102a或控制器单元202发送数据响应消息至UE 102。数据响应消息包括RES、KeNodeB或其组合。
在步骤620中,在接收数据响应消息后,UE 102生成进一步的密钥。UE102使用KASME(只有接入层(AS)安全密钥或非接入层(NAS)安全密钥)获得其他密钥。此外,如果SMC程序随同AKA程序一起执行,则UE 102验证MAC-I。
在步骤622中,UE 102发送包括至少一个参数的响应消息至eNodeB 104或本地EPC108以认证UE 102。参数可以是RES、MAC-I或其组合。
在步骤624中,在接收响应消息后,eNodeB 104或本地EPC 108验证RES是否等于XRES(例如通过PDCP实体或eNodeB 104或本地EPC 108中的新实体)。如果RES等于XRES则认证成功且UE 102得以认证。
在步骤626中,在UE 102认证成功后,eNodeB 104或本地EPC 108授予UE 102访问权限,而且以安全方式进行在UE 102与eNodeB 104或本地EPC 108之间的进一步的受保护数据交换。
在步骤628中,eNodeB 104或本地EPC 108发送接受消息(即ATTACH(联接)接受消息)至UE 102。
图7是根据本文中公开的实施方式的用于在UE 102与eNodeB 104或本地EPC 108之间执行认证的序列图700。信令序列描述了在UE 102与eNodeB104或本地EPC 108之间的通信。
参照图7,在步骤702中,eNodeB 104或本地EPC 108发送SIB消息至UE 102。SIB消息包括IOPS PLMN ID、IOPS CSG ID或其组合。
在步骤704中,UE 102发送第一请求消息至eNodeB 104或本地EPC 108。第一请求消息是ATTACH(联接)请求消息。ATTACH请求消息包括IMSI、UE 102的能力、CSG小区ID或其组合。UE 102发送请求消息而不在消息中包括访问类。
在步骤706中,在接收请求消息后,eNodeB 104或本地EPC 108发送数据请求消息至作为认证中心(AuC)的一部分的安全环境600a。数据请求消息是AUTH数据请求消息。AUTH数据请求消息包括CSG ID、IMSI或其组合。eNodeB 104或本地EPC 108请求安全环境600a(例如可以是AuC可以包括在eNodeB 104中或者可以位于eNodeB 104之外)提供AV以认证UE102并授予访问权限用于在IOPS操作模式下安全通信。
在步骤708中,在接收数据请求消息后,安全环境600a使用通过eNodeB104或本地EPC 108基于由UE 102提供的IMSI、访问类中的至少之一选择的“Ki”导出AV。如果访问类不由UE 102提供,则eNodeB 104或本地EPC108使用允许的或许可的访问类(例如访问类11)生成AV并指示AMF中的访问类以便UE 102使用AMF识别访问类和对应的密钥以生成或验证AV(如果这是许可的)。
在步骤710中,安全环境600a(例如AuC)发送数据响应消息至eNodeB104或本地EPC108。数据响应消息是AUTH数据响应消息。AUTH数据响应消息包括RAND、XRES、AUTH、KASME(KeNodeB)或其组合。
在步骤712中,在接收数据响应消息后,eNodeB 104或本地EPC 108存储数据响应消息中包括的KASME(KeNodeB)和XRES。此外,eNodeB 104或本地EPC 108选择EEA和EIA并导出进一步的密钥。
在步骤714中,eNodeB 104或本地EPC 108发送包括标志的第二请求消息至UE102。标志能够是AKA程序的RAND和AUTH、使用UE 102的公共密钥加密的密钥KASME(KeNodeB)、MAC-I或其组合。SMC程序随同AKA认证程序一起执行。这通过包括选择的密码技术来执行。此外,使用选择的技术并使用从AV的密钥导出的安全密钥(例如密钥对应于消息中包括的AV的RAND和AUTH)生成MAC-I。当eNodeB 104或本地EPC 108在IOPS操作模式下操作时单独执行SMC程序。
在步骤716中,在接收第二请求消息后,UE 102发送数据请求消息至UICC单元102a或控制器单元202。该数据请求消息是AUTH数据请求消息。该AUTH数据请求消息包括RAND、AUTH或其组合。
在步骤718中,在接收数据请求消息后,UICC单元102a或控制器单元202使用IOPS应用生成候选标志。候选标志可以是AKA程序的RAND和AUTH、RES、IMSI、MAC-I、使用公共密钥加密的密钥或其组合。候选标志在UE 102或UICC单元102a中包括的USIM应用的两者之一中生成。此外,UICC单元102a或控制器单元202确定从eNodeB 104或本地EPC 108接收的标志与生成的候选标志之间是否匹配。一旦确定匹配,UICC单元102a或控制器单元202认证eNodeB 104或本地EPC 108。
在步骤720中,在认证eNodeB 104或本地EPC 108后,UICC单元102a或控制器单元202发送数据响应消息至UE 102。数据响应消息是AUTH数据响应消息。AUTH数据响应消息包括RES、KASME(KeNodeB)或其组合。
在步骤722中,在接收数据响应消息后,UE 102生成进一步的密钥。UE102使用KASME(例如只有AS安全密钥或NAS安全密钥)生成进一步的密钥。此外,如果SMC程序随同AKA程序一起执行,则UE 102验证MAC-I。
在步骤724中,UE 102发送包括至少一个参数的响应消息至eNodeB 104或本地EPC108以认证UE 102。至少一个参数可以是RES、MAC-I或其组合。
在步骤726中,在接收响应消息后,eNodeB 104或本地EPC 108验证MAC-I并认证UE102。
在步骤728中,在UE 102成功认证后,eNodeB 104或本地EPC 108授予UE 102访问权限,而且以安全方式进行在UE 102与eNodeB 104或本地EPC 108之间进一步的受保护数据交换。
在步骤730中,eNodeB 104或本地EPC 108发送接受消息至UE 102。
图8A和8B是根据本文中公开的实施方式的密钥导出方法的图解。密钥导出方法由UE 102和eNodeB 104或本地EPC 108执行;在以下描述了用于通信保护的进一步密钥导出。在本公开的实施方式中,详细的密钥导出能够用于本公开中详述的其他解决方案。RAND、IMSI、eNodeB ID或其组合可以用作密钥导出的输入。用于KASME-IOPS的等式(1)如下:
KASME-IOPS=EPS AKA算法(Ki,唯一性参数,RAND,SQN,<其他可能的参数>)(1)
参照图8A和图8B,在一实施方式中,除Ki之外,所有其他参数都是可选的。序列号(SN)ID可以是eNodeB ID。eNodeB ID在SIB信令消息中包括并广播。一般而言,28-bit字段的20MSB识别eNodeB 104或本地EPC 108。
如在图8A中所示,在一实施方式中,不使用NAS密钥。导出的KASME用作eNodeB 104或本地EPC 108,并且NAS信令(如有)使用AS安全上下文保护。此外,当未导出NAS安全上下文时,则在从eNodeB 104或本地EPC108切换至另一eNodeB期间,仅有AS安全上下文被源eNodeB导出并提供给目标eNodeB,其中NAS终止于联接的eNodeB。
如在图8B中所示,在一实施方式中,导出NAS密钥并且NAS终止于eNodeB 104或本地EPC 108。eNodeB 104或本地EPC 108进行移动性管理程序。在从eNodeB 104切换至另一eNodeB时,NAS密钥(如果导出并使用)可以保留在eNodeB 104中。只有目标特定AS安全上下文被eNodeB 104导出并提供给另一eNodeB,其中NAS终止于认证的eNodeB。
图9是根据本文中公开的实施方式的使用IOPS IMSI认证eNodeB 104或本地EPC108的序列图900。除了发送至eNodeB 104或本地EPC 108的访问类,IMSI可用于访问控制和IOPS密钥的识别。例如,UE 102内的IMSI如下所述:
IMSI1:与密钥K1相关的xxxyyabcdef1234
MCC xxx国家代码
MNC yy(y)IOPS网络
MSIN abcde1234具有IOPS服务能力的识别号(例如以1234结尾)
IMSI2:与密钥K2相关的404685505601234
MCC 404国家
MNC 68MNO
MSIN 5505601234
参照图9,在一实施方式中,信令序列描述了在UE 102与eNodeB 104或本地EPC108之间的通信。
在步骤902中,UE 102发送包括IMSI2的ATTACH(联接)请求消息至eNodeB 104或本地EPC 108。此外,UE 102发送ATTACH(联接)请求消息以在正常操作模式下访问eNodeB 104或本地EPC 108。
在步骤904中,在接收包括IMSI2的ATTACH(联接)请求消息后,eNodeB104或本地EPC 108发送ATTACH(联接)拒绝消息至UE 102。ATTACH(联接)拒绝消息指示eNodeB 104或本地EPC 108处于IOPS操作模式下。
在步骤906中,UE 102发送包括IMSI1的ATTACH(联接)请求消息至eNodeB 104或本地EPC 108。
在步骤908中,在接收包括IMSI1的ATTACH(联接)请求消息后,eNodeB104或本地EPC 108验证IMSI1是否被认证用于IOPS操作模式。此外,如果验证成功,则被eNodeB 104或本地EPC 108生成对应于IMSI1的AV。
在步骤910中,在验证成功并生成认证向量后,eNodeB 104或本地EPC108发送包括标志的AUTH请求消息至UE 102。标志可以是AUTH、RAND、无密钥签名架构(KSI)、密钥索引或其组合。
在步骤912中,UE 102通过使用由eNodeB 104或本地EPC 108提供的AUTH请求消息中包括的密钥索引识别密钥来验证AUTH。
在步骤914中,在验证成功后,UE 102发送包括RES(例如参数)的AUTH响应消息至eNodeB 104或本地EPC 108以认证UE 102。
在步骤916中,在接收AUTH响应消息后,eNodeB 104或本地EPC 108验证RES是否等于XRES(例如通过PDCP实体或eNodeB 104或本地EPC 108中的新实体)。如果RES等于XRES,则认证成功并且UE 102被认证。
在步骤918中,在UE 102与eNodeB 104或本地EPC 108之间执行SMC程序或完整性保护通信。当eNodeB 104或本地EPC 108在IOPS模式下操作时单独执行SMC程序。
图10是根据本文中公开的实施方式的使用SIB消息认证eNodeB 104或本地EPC108的序列图1000。信令序列描述了在UE 102与eNodeB 104或本地EPC 108之间的通信。
参照图10,在步骤1002中,eNodeB 104或本地EPC 108发送SIB消息至UE 102,指示eNodeB 104或本地EPC 108处于IOPS操作模式下。
在步骤1004中,在接收SIB消息后,UE 102识别eNodeB 104或本地EPC 108处于IOPS操作模式下。此外,UE 102选择IMSI1,因为UE 102有能力在IOPS模式下操作并具有IOPS订阅密钥。
在步骤1006中,UE 102发送包括IMSI1的ATTACH(联接)请求消息至eNodeB 104或本地EPC 108。
在步骤1008中,在接收包括IMSI1的ATTACH(联接)请求消息后,eNodeB 104或本地EPC 108验证IMSI1是否被认证用于IOPS操作模式。此外,如果验证成功,则对应于IMSI1的AV被eNodeB 104或本地EPC 108生成。
在步骤1010中,在验证成功并生成AV后,eNodeB 104或本地EPC 108发送包括标志的AUTH请求消息至UE 102。标志可以是AUTH、RAND、KSI、密钥索引或其组合。
在步骤1012中,UE 102通过使用由eNodeB 104或本地EPC 108提供的AUTH请求消息中包括的密钥索引识别密钥来验证AUTH。
在步骤1014中,在验证成功后,UE 102发送包括RES(例如参数)的AUTH响应消息至eNodeB 104或本地EPC 108以认证UE 102。
在步骤1016中,在接收AUTH响应消息后,eNodeB 104或本地EPC 108验证RES是否等于XRES(例如通过PDCP实体或eNodeB 104或本地EPC 108中的新实体)。如果RES等于XRES,则认证成功并且UE 102被认证。
在步骤1018中,SMC程序或完整性保护通信在UE 102与eNodeB 104或本地EPC 108之间执行。当eNodeB 104或本地EPC 108在IOPS模式下操作时单独执行SMC程序。
图11是根据如本文中公开的实施方式的使用IMSI和IMEI认证eNodeB104或本地EPC 108的序列图1100。除了被发送至eNodeB 104或本地EPC 108的访问类,IMEI可以用于IOPS密钥的识别和访问控制。例如,UE 102内的IMEI的格式如下表2所述:
表2
Figure BDA0003106450930000241
参照图11,在本公开的实施方式中,信令序列描述了在UE 102与eNodeB104或本地EPC 108之间的通信。
在步骤1102中,eNodeB 104或本地EPC 108发送指示eNodeB 104或本地EPC 108处于IOPS操作模式下的SIB消息至UE 102。
在步骤1104中,在接收SIB消息后,UE 102识别eNodeB 104或本地EPC 108处于IOPS操作模式下。此外,UE 102选择IMSI1,因为UE 102有能力在IOPS模式下操作并具有IOPS订阅密钥。
在步骤1106中,UE 102发送包括IMSI1和IMEI的ATTACH(联接)请求消息至eNodeB104或本地EPC 108。
在步骤1108中,在接收包括IMSI1和IMEI的ATTACH(联接)请求消息后,eNodeB 104或本地EPC 108验证IMSI1或IMEI是否被授权用于IOPS操作模式。此外,如果验证成功,则对应于IMSI1或IMEI的AV被eNodeB 104或本地EPC 108生成。
在步骤1110中,在验证成功并生成AV后,eNodeB 104或本地EPC 108发送包括标志的AUTH请求消息至UE 102。标志可以是AUTH、RAND、KSI、密钥索引或其组合。
在步骤1112中,UE 102通过使用由eNodeB 104或本地EPC 108提供的AUTH请求消息中包括的密钥索引识别密钥来验证AUTH。
在步骤1114中,在验证成功后,UE 102发送包括RES(例如参数)的AUTH响应消息至eNodeB 104或本地EPC 108以授权UE 102。
在步骤1116中,在接收AUTH响应消息后,eNodeB 104或本地EPC 108验证RES是否等于XRES(例如通过PDCP实体或eNodeB 104或本地EPC 108中的新实体)。如果RES等于XRES,则认证成功并且UE 102被认证。
在步骤1118中,在UE 102与eNodeB 104或本地EPC 108之间执行SMC程序或完整性保护通信。当eNodeB 104或本地EPC 108在IOPS模式下操作时单独执行SMC程序。
图12是根据本文中公开的实施方式的认证eNodeB 104或本地EPC 108的方法1200的流程图。在步骤1202中,方法1200发送ATTACH(联接)请求消息至eNodeB 104或本地EPC108。方法1200允许USIM 102b发送ATTACH请求消息至eNodeB 104或本地EPC 108。ATTACH请求消息可以包括例如访问类、IMSI、UE 102的能力、IMEI、CSG小区ID或其组合。
参照图12,在步骤1204中,方法1200从eNodeB 104或本地EPC 108接收包括标志的第二请求消息(例如AUTH请求消息)。方法1200允许USIM102b从eNodeB 104或本地EPC 108接收包括标志的第二请求消息。
在步骤1206中,方法1200包括通过解密标志提取与eNodeB 104或本地EPC 108相关的密钥。方法1200允许USIM 102b通过解密标志提取与eNodeB104或本地EPC 108相关的密钥。
在步骤1208中,方法1200基于密钥认证eNodeB 104或本地EPC 108。方法1200允许USIM 102b基于密钥认证eNodeB 104或本地EPC 108。方法1200允许USIM 102b认证eNodeB104或本地EPC 108。
在步骤1210中,方法1200发送包括至少一个参数的响应消息(例如AUTH响应消息)至eNodeB 104或本地EPC 108以认证UE 102。方法1200允许USIM 102b发送包括至少一个参数的AUTH响应消息至eNodeB 104或本地EPC 108以认证UE 102。该至少一个参数可以是例如RES、MAC-I或其组合。
在步骤1212中,方法1200从eNodeB 104或本地EPC 108接收接受消息(例如ATTACH(联接)接受消息)。方法1200允许USIM 102b从eNodeB104或本地EPC 108接收ATTACH(联接)接受消息。
方法1200的各种行为、动作、区块、步骤等等可以以所示的顺序执行、以不同的顺序执行或同时执行。此外,在一实施方式中,行为、动作、区块、步骤等中的一些可以省略、添加、修改、略过等等而不背离本公开的范围和精神。
图13是根据本文中公开的实施方式的用于KASME(KeNodeB)交换消息流的基于标识加密(Identity Based Cryptography,IBC)的序列图1300。IBC用于执行密钥交换,从而保护在UE 102与以IOPS模式操作的eNodeB 104或本地EPC 108之间的通信。UE 102在USIM 102b中预设有对应于其IMSI、IMEI或移动用户综合业务数字网络号码(MSISDN)(例如公共密钥)的私有密钥以及有关参数。使用常规私有密钥/公共密钥而不是IBC。
参照图13,eNodeB 104预设有对应于其标识的私有密钥(例如外围组件互联(PCI)或eNodeB ID作为公共密钥)以及有关参数。使用常规私有密钥/公共密钥而不是IBC。eNodeB 104或本地EPC 108可以具有启用公共安全的UE 102的IMSI、IMEI或MSISDN的清单(或范围)。UE 102与eNodeB 104或本地EPC 108之间的通信如下进行保护,即eNodeB 104或本地EPC 108使用IMSI保护用于特定UE 102的数据(该数据可以是密钥KASME)。当与eNodeB104或本地EPC 108通信时,UE 102使用eNodeB-ID(例如PCI、eNodeB ID等等)保护数据。
此外,通过使用IBC,KASME(或KeNodeB)在eNodeB 104或本地EPC 108与UE 102之间共享用于某一时段或某一会话。与IMSI或eNodeB ID相关的私有密钥被安全地储存在USIM102b或安全环境中。信令序列描述了UE 102与eNodeB 104或本地EPC 108之间的通信。
在步骤1302中,eNodeB 104或本地EPC 108发送SIB消息至UE 102,指示eNodeB104或本地EPC 108处于IOPS操作模式下。
在步骤1304中,在接收SIB消息后,UE 102识别eNodeB 104或本地EPC 108处于IOPS操作模式下。此外,UE 102选择IMSI1,因为UE 102有能力在IOPS模式下操作并具有IOPS订阅密钥(例如私有密钥)。
在步骤1306中,UE 102发送包括IMSI1的ATTACH(联接)请求消息至eNodeB 104或本地EPC 108。
在步骤1308中,在接收包括IMSI1的ATTACH(联接)请求消息后,eNodeB 104或本地EPC 108验证IMSI1是否被授权用于IOPS操作模式。此外,如果验证成功,则生成用于IMSI1的KASME
在操作1310中,在验证成功并生成密钥后,eNodeB 104或本地EPC 108发送标志至UE 102。标志包括使用IMSI1(如公共密钥)加密的KASME(或KeNodeB)。标志包括由从KeNodeB导出的RRC初始密钥计算的消息的MAC-I、所选择的安全技术以及KSI(例如KeNodeB的索引)。
在步骤1312中,在接收AUTH请求消息后,UE 102解密并获得由eNodeB104或本地EPC 108提供的KASME(或KeNodeB)。此外,如果是在消息中接收,则UE 102导出密钥并验证MAC-I。
在步骤1314中,UE 102发送包括MAC-I(例如参数)的AUTH响应消息至eNodeB 104或本地EPC 108以认证UE 102。
在步骤1316中,在接收AUTH响应消息后,eNodeB 104或本地EPC 108验证MAC-I。一旦验证成功,UE 102被eNodeB 104或本地EPC 108认证。
在步骤1318中,在UE 102与eNodeB 104或本地EPC 108之间执行SMC程序或完整性保护通信。当eNodeB 104或本地EPC 108在IOPS模式下操作时单独执行SMC程序。
在本公开的实施方式中,SMC程序(例如步骤1318)可被单独执行。SMC程序可以与密钥分配一同执行而不是单独的SMC程序(例如步骤1310、1312和1314)。
图14是根据本文中公开的实施方式的在UE 102与本地EPC 108之间实施认证的方法和系统的计算环境的框图。
参照图14,计算环境1402包括配备有控制单元1404和算数逻辑单元(ALU)1406的至少一个处理单元1408、存储器1410、存储装置1412、多个网络装置1416以及多个输入输出(I/O)装置1414。处理单元1408负责处理技术指令。处理单元1408从控制单元1404接收命令以执行其处理。此外,指令执行中涉及的任何逻辑和算数运算都借助ALU 1406来计算。
计算环境1402可以包括多个同构或异构核心、不同种类的多个CPU、特殊介质及其他加速器。处理单元1408负责处理技术指令。此外,处理单元1408可以是单芯片上的或多芯片上的。
包括实施所需的指令和代码的技术储存在存储单元1410和存储装置1412的一者或两者中。在执行时,指令可以从对应的存储器1410或存储装置1412中取出,并通过处理单元1408执行。
在任何硬件实施的情况下,各网络装置1416或外部I/O装置1414可以连接至计算环境1402以支持通过网络装置1416和I/O装置1414实施。
本文中公开的实施方式可以通过在至少一个硬件装置上运行并执行网络管理功能以控制元件的至少一个软件程序实施。图1至图14中所示的元件包括可以是硬件装置或硬件装置和软件单元组合中的至少之一的块。
本公开的实施方式的前文描述体现了文中本公开的一般本质,所以其他人可以通过采用现有知识修改或改变上述具体实施方式用于各种应用而不背离本公开的范围和主旨,因此,这样的适应和修改旨在包含在所公开的实施方式的等同物的含义和范围内。应理解,本文中使用的术语是为了描述目的而非限制。因此,虽然文中已描述了本公开的实施方式,但本领域技术人员将认识到,本文中的实施方式可以利用如所附权利要求及其等同物所定义的本公开的主旨和范围内的修改来实践。

Claims (28)

1.一种操作无线通信系统中的用户设备(UE)的方法,所述方法包括:
识别所述UE的通用用户识别模块(USIM)应用,所述USIM应用配置有安全证书,所述安全证书包括用于公共安全(IOPS)操作的隔离演进通用移动电信系统地面无线接入网络(E-UTRAN)操作的国际移动用户识别码(IMSI)和访问类状态11或15;以及
基于所述安全证书在IOPS模式下执行与演进节点B(eNB)的认证程序,
其中,所述安全证书是用于所述IOPS操作的与用于正常操作的安全证书独立的安全证书的不同集合,并且
其中,所述正常操作包括基于至演进分组核心(EPC)的回程连接的非IOPS模式的操作。
2.如权利要求1所述的方法,其中,所述访问类状态包括第三代合作伙伴计划(3GPP)中定义的访问类状态11。
3.如权利要求1所述的方法,其中,所述访问类状态允许所述UE访问所述eNB,同时屏蔽与所述eNB相关联的小区中的其它非启用IOPS的UE。
4.如权利要求1所述的方法,
其中,所述eNB没有到宏(macro)EPC的连通性,同时与本地EPC连接。
5.如权利要求1所述的方法,还包括:
从所述eNB接收用于所述IOPS操作的公共陆地移动网络(PLMN)标识;以及
响应于接收所述PLMN标识激活所述USIM应用。
6.如权利要求1所述的方法,其中,所述USIM应用专门用于所述IOPS操作并且使用与用于所述正常操作的安全证书独立的安全证书的所述不同集合。
7.如权利要求1所述的方法,其中,安全证书的所述不同集合包括以下的至少一个:
永久密钥K,被唯一地分配用于所述IOPS操作;
公共陆地移动网络(PLMN)标识,被分配用于所述IOPS网络操作;
所述IMSI,被唯一地分配用于所述IOPS操作;和
所述访问类状态11或15,服从于地区/国家法规要求以及运营商政策。
8.一种无线通信系统中的用户设备(UE)的装置,所述装置包括:
收发器;和
至少一个处理器,被配置成:
识别所述UE的通用用户识别模块(USIM)应用,所述USIM应用配置有安全证书,所述安全证书包括用于公共安全(IOPS)操作的隔离演进通用移动电信系统地面无线接入网络(E-UTRAN)操作的国际移动用户识别码(IMSI)和访问类状态11或15;以及
基于所述安全证书在IOPS模式下执行与演进节点B(eNB)的认证程序,
其中,所述安全证书是用于所述IOPS操作的与用于正常操作的安全证书独立的安全证书的不同集合,并且
其中,所述正常操作包括基于至演进分组核心(EPC)的回程连接的非IOPS模式的操作。
9.如权利要求8所述的装置,其中,所述访问类状态包括第三代合作伙伴计划(3GPP)中定义的访问类状态11。
10.如权利要求8所述的装置,其中,所述访问类状态允许所述UE访问所述eNB,同时屏蔽与所述eNB相关联的小区中的其它非启用IOPS的UE。
11.如权利要求8所述的装置,其中,所述eNB处于IOPS模式,以及
其中,所述eNB没有到宏EPC的连通性,同时与本地EPC连接。
12.如权利要求8所述的装置,其中,所述至少一个处理器还被配置成:
从所述eNB接收用于所述IOPS操作的公共陆地移动网络(PLMN)标识;以及
响应于接收所述PLMN标识激活所述USIM应用。
13.如权利要求8所述的装置,其中,所述USIM应用专门用于所述IOPS操作并且使用与用于所述正常操作的安全证书独立的安全证书的所述不同集合。
14.如权利要求8所述的装置,其中,安全证书的所述不同集合包括以下的至少一个:
永久密钥K,被唯一地分配用于所述IOPS操作;
公共陆地移动网络(PLMN)标识,被分配用于所述IOPS网络操作;
所述IMSI,被唯一地分配用于所述IOPS操作;和
所述访问类状态11或15,服从于地区/国家法规要求以及运营商政策。
15.一种操作无线通信系统中的演进节点B(eNB)的方法,所述方法包括:
基于安全证书认证用户设备(UE),所述安全证书配置在所述UE的通用用户识别模块(USIM)应用中,
其中,所述安全证书包括用于公共安全(IOPS)操作的隔离演进通用移动电信系统地面无线接入网络(E-UTRAN)操作的国际移动用户识别码(IMSI)和访问类状态11或15,
其中,所述安全证书是用于所述IOPS操作的与用于正常操作的安全证书独立的安全证书的不同集合,并且
其中,所述正常操作包括基于至演进分组核心(EPC)的回程连接的非IOPS模式的操作。
16.如权利要求15所述的方法,其中,所述访问类状态包括第三代合作伙伴计划(3GPP)中定义的访问类状态11。
17.如权利要求15所述的方法,其中,所述访问类状态允许所述UE访问所述eNB,同时屏蔽与所述eNB相关联的小区中的其它非启用IOPS的UE。
18.如权利要求15所述的方法,其中,所述eNB处于IOPS模式,以及
其中,所述eNB没有到宏EPC的连通性,同时与本地EPC连接。
19.如权利要求15所述的方法,还包括:
向所述UE发送用于所述IOPS操作的公共陆地移动网络(PLMN)标识;以及
响应于接收所述PLMN标识激活所述USIM应用。
20.如权利要求15所述的方法,其中,所述USIM应用专门用于所述IOPS操作并且使用与用于所述正常操作的安全证书独立的安全证书的所述不同集合。
21.如权利要求15所述的方法,其中,安全证书的所述不同集合包括以下的至少一个:
永久密钥K,被唯一地分配用于所述IOPS操作;
公共陆地移动网络(PLMN)标识,被分配用于所述IOPS网络操作;
所述IMSI,被唯一地分配用于所述IOPS操作;和
所述访问类状态11或15,服从于地区/国家法规要求以及运营商政策。
22.一种无线通信系统中的演进节点B(eNB)的装置,所述装置包括:
收发器;以及
至少一个处理器,被配置成基于安全证书认证用户设备(UE),所述安全证书配置在所述UE的通用用户识别模块(USIM)应用中,
其中,所述安全证书包括用于公共安全(IOPS)操作的隔离演进通用移动电信系统地面无线接入网络(E-UTRAN)操作的国际移动用户识别码(IMSI)和访问类状态11或15,
其中,所述安全证书是用于所述IOPS操作的与用于正常操作的安全证书独立的安全证书的不同集合,并且
其中,所述正常操作包括基于至演进分组核心(EPC)的回程连接的非IOPS模式的操作。
23.如权利要求22所述的装置,其中,所述访问类状态包括第三代合作伙伴计划(3GPP)中定义的访问类状态11。
24.如权利要求22所述的装置,其中,所述访问类状态允许所述UE访问所述eNB,同时屏蔽与所述eNB相关联的小区中的其它非启用IOPS的UE。
25.如权利要求22所述的装置,其中,所述eNB处于IOPS模式,以及
其中,所述eNB没有到宏EPC的连通性,同时与本地EPC连接。
26.如权利要求22所述的装置,其中,所述至少一个处理器还被配置成:
向所述UE发送用于所述IOPS操作的公共陆地移动网络(PLMN)标识;以及
响应于接收所述PLMN标识激活所述USIM应用。
27.如权利要求22所述的装置,其中,所述USIM应用专门用于所述IOPS操作并且使用与用于所述正常操作的安全证书独立的安全证书的所述不同集合。
28.如权利要求22所述的装置,其中,安全证书的所述不同集合包括以下的至少一个:
永久密钥K,被唯一地分配用于所述IOPS操作;
公共陆地移动网络(PLMN)标识,被分配用于所述IOPS网络操作;
所述IMSI,被唯一地分配用于所述IOPS操作;和
所述访问类状态11或15,服从于地区/国家法规要求以及运营商政策。
CN202110637635.2A 2015-01-09 2016-01-11 用户设备与演进分组核心之间的相互认证 Pending CN113329407A (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
IN160/CHE/2015(PS) 2015-01-09
IN160CH2015 2015-01-09
IN160/CHE/2015(CS) 2015-12-31
CN201680004082.4A CN107018676B (zh) 2015-01-09 2016-01-11 用户设备与演进分组核心之间的相互认证

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201680004082.4A Division CN107018676B (zh) 2015-01-09 2016-01-11 用户设备与演进分组核心之间的相互认证

Publications (1)

Publication Number Publication Date
CN113329407A true CN113329407A (zh) 2021-08-31

Family

ID=56356211

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201680004082.4A Active CN107018676B (zh) 2015-01-09 2016-01-11 用户设备与演进分组核心之间的相互认证
CN202110637635.2A Pending CN113329407A (zh) 2015-01-09 2016-01-11 用户设备与演进分组核心之间的相互认证

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201680004082.4A Active CN107018676B (zh) 2015-01-09 2016-01-11 用户设备与演进分组核心之间的相互认证

Country Status (5)

Country Link
US (2) US10219153B2 (zh)
EP (2) EP3243339A4 (zh)
KR (1) KR102315881B1 (zh)
CN (2) CN107018676B (zh)
WO (1) WO2016111600A1 (zh)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105873010B (zh) * 2015-01-19 2021-11-23 北京三星通信技术研究有限公司 支持用户设备接入无线网络的方法、网络设备及用户设备
US9736229B2 (en) * 2015-02-17 2017-08-15 Microsoft Technology Licensing, Llc Device with embedded network subscription and methods
KR102324538B1 (ko) * 2015-07-03 2021-11-10 삼성전자 주식회사 단독 기지국 망을 지원하는 무선 통신 시스템에서 망 접속 방법 및 장치
US10004054B2 (en) * 2015-07-09 2018-06-19 Acer Incorporated Method of making mobile originated calls using user equipment in IOPS dual PLMN mode of operation
JP6526248B2 (ja) 2016-01-26 2019-06-12 株式会社ソラコム サーバ及びプログラム
US10873464B2 (en) 2016-03-10 2020-12-22 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
WO2017176068A1 (en) * 2016-04-06 2017-10-12 Samsung Electronics Co., Ltd. System and method for validating authenticity of base station and/or information received from base station
US10588019B2 (en) * 2016-05-05 2020-03-10 Qualcomm Incorporated Secure signaling before performing an authentication and key agreement
CN108055708A (zh) * 2016-09-05 2018-05-18 北京信威通信技术股份有限公司 一种资源释放方法和装置
WO2018068831A1 (en) * 2016-10-11 2018-04-19 Telefonaktiebolaget Lm Ericsson (Publ) Method and node for handling attachment of a ue
CN108235317B (zh) 2016-12-21 2019-06-21 电信科学技术研究院有限公司 一种接入控制的方法及设备
WO2018137769A1 (en) * 2017-01-26 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Attachment of a wireless device to a mobile network operator
WO2018222132A2 (zh) * 2017-05-29 2018-12-06 华为国际有限公司 网络认证方法、网络设备及核心网设备
CN109547932B (zh) 2017-08-15 2023-05-16 华为技术有限公司 一种通信方法及装置
US10939239B2 (en) * 2017-11-06 2021-03-02 Qualcomm Incorporated Systems and methods for coexistence of different location solutions for fifth generation wireless networks
CN107889109B (zh) * 2017-12-01 2021-07-20 Oppo广东移动通信有限公司 网络接入结果的检测方法及装置、计算机存储介质
KR101990576B1 (ko) * 2017-12-06 2019-06-19 주식회사 유캐스트 Ran 공유 또는 s1-flex 하에서의 iops 운용 방법 및 이 iops 운용 방법을 사용하는 기지국 및 시스템
EP3811682B1 (en) * 2018-06-25 2023-11-29 NEC Corporation Ue behavior when the device is attached for emergency service
CN110719586B (zh) * 2018-07-13 2022-06-03 成都鼎桥通信技术有限公司 业务建立方法、装置及服务器
CN111356163B (zh) * 2018-12-21 2023-06-13 海能达通信股份有限公司 一种系统信息的通知方法、基站设备及计算机存储设备
US11363463B2 (en) * 2019-02-27 2022-06-14 Samsung Electronics Co., Ltd. Methods and systems for mitigating denial of service (DoS) attack in a wireless network
US20220303748A1 (en) * 2019-06-28 2022-09-22 Telefonaktiebolaget Lm Ericsson (Publ) Iops functional model for mission critical services
US20220377840A1 (en) * 2019-10-25 2022-11-24 Telefonaktiebolaget Lm Ericsson (Publ) Iops ip connectivity announcement method
US11638152B2 (en) * 2019-11-28 2023-04-25 Qualcomm Incorporated Identifying an illegitimate base station based on improper response
EP4017210A1 (en) * 2020-12-17 2022-06-22 Thales DIS France SA Iab rlf recovery
US11991525B2 (en) 2021-12-02 2024-05-21 T-Mobile Usa, Inc. Wireless device access and subsidy control

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080092212A1 (en) * 2006-10-17 2008-04-17 Patel Pulin R Authentication Interworking
CN103460738A (zh) * 2011-03-23 2013-12-18 交互数字专利控股公司 用于使网络通信安全的系统和方法
US20140233412A1 (en) * 2013-02-17 2014-08-21 Parallel Wireless Inc. Methods of Incorporating an Ad Hoc Cellular Network Into a Fixed Cellular Network

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100938097B1 (ko) * 2003-01-16 2010-01-21 삼성전자주식회사 이동통신 단말기 및 이동통신 단말기의 plmn선택방법
CN102170644B (zh) * 2011-05-23 2014-01-08 新邮通信设备有限公司 一种终端设备内共存干扰避免的方法
KR101800659B1 (ko) 2011-07-08 2017-11-23 삼성전자 주식회사 이동 통신 시스템에서 단말 설정 방법
WO2013039900A1 (en) * 2011-09-16 2013-03-21 Alcatel-Lucent Usa Inc. Network operator-neutral provisioning of mobile devices
CN103096425B (zh) 2011-11-07 2017-03-15 上海贝尔股份有限公司 一种接入控制的方法和模块及用户设备
WO2013141660A1 (ko) * 2012-03-22 2013-09-26 엘지전자 주식회사 무선 통신 시스템에서 셀 접근 방법 및 장치
US9451455B2 (en) * 2012-06-11 2016-09-20 Blackberry Limited Enabling multiple authentication applications
US20140200048A1 (en) * 2013-01-17 2014-07-17 Acer Incorporated Method of automatic sim card selection according to network environment
US10659960B2 (en) 2013-12-23 2020-05-19 Koninklijke Kpn N.V. Method and system for providing security from a radio access network
WO2015152681A1 (en) * 2014-04-03 2015-10-08 Lg Electronics Inc. A method and appartus for supporting an iops in a wireless access system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080092212A1 (en) * 2006-10-17 2008-04-17 Patel Pulin R Authentication Interworking
CN103460738A (zh) * 2011-03-23 2013-12-18 交互数字专利控股公司 用于使网络通信安全的系统和方法
US20140233412A1 (en) * 2013-02-17 2014-08-21 Parallel Wireless Inc. Methods of Incorporating an Ad Hoc Cellular Network Into a Fixed Cellular Network

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Isolated Evolved Universal Terrestrial Radio Access Network (E-UTRAN) operation for public safety; Stage 1 (Release 13)", 3GPP TS 22.346 V13.0.0 *
QUALCOMM INCORPORATED: "IOPS Way Forward", SA WG2 MEETING #106 S2-144001 *

Also Published As

Publication number Publication date
US10681545B2 (en) 2020-06-09
WO2016111600A1 (en) 2016-07-14
EP4033698A1 (en) 2022-07-27
CN107018676B (zh) 2021-06-25
CN107018676A (zh) 2017-08-04
KR20170102864A (ko) 2017-09-12
US10219153B2 (en) 2019-02-26
US20160205550A1 (en) 2016-07-14
EP3243339A1 (en) 2017-11-15
KR102315881B1 (ko) 2021-10-21
US20190110203A1 (en) 2019-04-11
EP3243339A4 (en) 2018-02-07

Similar Documents

Publication Publication Date Title
CN107018676B (zh) 用户设备与演进分组核心之间的相互认证
US20230353379A1 (en) Authentication Mechanism for 5G Technologies
US20210135878A1 (en) Authentication Mechanism for 5G Technologies
US11863982B2 (en) Subscriber identity privacy protection against fake base stations
US11856402B2 (en) Identity-based message integrity protection and verification for wireless communication
KR101508576B1 (ko) 홈 노드-b 장치 및 보안 프로토콜
CN111264071B (zh) 安全性建立方法、终端装置及网络装置
US20190274039A1 (en) Communication system, network apparatus, authentication method, communication terminal, and security apparatus
CN112087724A (zh) 一种通信方法、网络设备、用户设备和接入网设备
US20240080316A1 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
JPWO2019065955A1 (ja) セキュリティ確立方法、端末装置及びネットワーク装置
US20240137757A1 (en) Systems and methods for authorization of proximity based services

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination