CN113491142B - 使用公钥加密网络切片凭证 - Google Patents
使用公钥加密网络切片凭证 Download PDFInfo
- Publication number
- CN113491142B CN113491142B CN202080017808.4A CN202080017808A CN113491142B CN 113491142 B CN113491142 B CN 113491142B CN 202080017808 A CN202080017808 A CN 202080017808A CN 113491142 B CN113491142 B CN 113491142B
- Authority
- CN
- China
- Prior art keywords
- slice
- network
- credentials
- public key
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 76
- 238000010295 mobile communication Methods 0.000 claims abstract description 39
- 238000007726 management method Methods 0.000 claims description 16
- 230000004044 response Effects 0.000 claims description 9
- 238000013523 data management Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 description 61
- 238000004891 communication Methods 0.000 description 35
- 238000010586 diagram Methods 0.000 description 21
- 238000013475 authorization Methods 0.000 description 18
- 238000012545 processing Methods 0.000 description 11
- 238000001228 spectrum Methods 0.000 description 6
- 238000011144 upstream manufacturing Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 4
- 101000741965 Homo sapiens Inactive tyrosine-protein kinase PRAG1 Proteins 0.000 description 3
- 102100038659 Inactive tyrosine-protein kinase PRAG1 Human genes 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 239000013256 coordination polymer Substances 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000010363 phase shift Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000004984 smart glass Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 241000234295 Musa Species 0.000 description 1
- 206010042135 Stomatitis necrotising Diseases 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 208000028626 extracranial carotid artery aneurysm Diseases 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 201000008585 noma Diseases 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 229920002939 poly(N,N-dimethylacrylamides) Polymers 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 230000000153 supplemental effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/20—Selecting an access point
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于保护用户身份和凭证的装置、方法和系统。一个装置400包括处理器405,其使用第一凭证组向移动通信网络注册605,该移动通信网络支持多个网络切片。所述处理器405接收610需要切片特定的认证的网络切片的公钥并且使用公钥对第二凭证组加密615。这里,第二凭证组被用于利用网络切片进行认证。装置400包括收发器425,其向移动通信网络发送620消息,该消息包括加密后的第二凭证组。
Description
相关申请的交叉引用
本申请要求Andreas Kunz和Genadi Velev于2019年3月1日提交的题目为“网络切片认证的隐私(Privacy for Network Slice Authentication)”的美国临时专利62/812,829号的优先权,该申请通过引用并入本文。
技术领域
本文中所公开的主题大体上涉及无线通信,并且更具体地涉及用于网络切片特定的访问认证和授权的隐私方面。
背景技术
在这里定义了以下缩略词,在以下描述中提及了这些缩略词中的至少一些:第三代合作伙伴计划(“3GPP”)、第五代核心网络(“5CG”)、第五代系统(“5GS”)、绝对射频信道号(“ARFCN”)、认证、授权和计费(“AAA”)、访问和移动性管理功能(“AMF”)、肯定确认(“ACK”)、应用编程接口(“API”)、认证中心(“AuC”)、接入层(“AS”)、自主上行链路(“AUL”)、AUL下行链路反馈信息(“AUL-DFI”)、基站(“BS”)、二进制相移键控(“BPSK”)、带宽部分(“BWP”)、密码密钥(“CK”)、清晰信道评估(“CCA”)、控制元件(“CE”)、循环前缀(“CP”)、循环冗余校验(“CRC”)、信道状态信息(“CSI”)、公共搜索空间(“CSS”)、连接模式(“CM”,这是5GS中的NAS状态)、核心网络(“CN”)、控制面(“CP”)、数据无线承载(“DRB”)、离散傅里叶变换扩展(“DFTS”)、下行链路控制信息(“DCI”)、下行链路(“DL”)、下行链路导频时隙(“DwPTS”)、双连接(“DC”)、双重注册模式(“DR模式”)、增强清晰信道评估(“eCCA”)、增强授权辅助访问(“eLAA”)、增强移动宽带(“eMBB”)、演进节点-B(“eNB”)、演进分组核心(“EPC”)、演进分组系统(“EPS”)、EPS移动性管理(“EMM”,这是EPS中的NAS状态)、演进的UMTS陆地无线接入(“E-UTRA”)、E-UTRA绝对射频信道号(“EARFCN”)、演进的UMTS陆地无线接入网络(“E-UTRAN”)、欧洲电信标准协会(“ETSI”)、基于框架的设备(“FBE”)、频分双工(“FDD”)、频分多址接入(“FDMA”)、频分正交掩码(“FD-OCC”)、通用分组无线服务(“GPRS”)、一般公共服务标识符(“GPSI”)、保护周期(“GP”)、全球移动通信系统(“GSM”)、全球唯一的临时UE标识符(“GUTI”)、混合自动重传请求(“HARQ”)、归属用户服务器(“HSS”)、归属公共陆地移动网络(“HPLMN”)、信息元素(“IE”)、完整性密钥(“IK”)、物联网(“IoT”)、国际移动用户识别码(“IMSI”)、密钥派生功能(“KDF”)、授权辅助接入(“LAA”)、基于负载的设备(“LBE”)、先听后说(“LBT”)、长期演进(“LTE”)、多址接入(“MA”)、移动性管理(“MM”)、移动性管理实体(“MME”)、调制编码方案(“MCS”)、机器类型通信(“MTC”)、多输入多输出(“MIMO”)、移动站国际用户目录数(“MSISDN”)、多用户共享访问(“MUSA”)、窄带(“NB”)、否定确认(“NACK”)或(“NAK”)、新一代(5G)节点-B(“gNB”)、新一代无线接入网络(“NG-RAN”、用于5GS网络的RAN)、新无线(“NR”,5G无线接入技术;也称为“5G NR”)、下一跳(“NH”)、下一跳链接计数器(“NCC”)、非接入层(“NAS”)、网络曝光功能(“NEF”)、非正交多址接入(“NOMA”)、网络切片选择辅助信息(“NSSAI”)、操作与维护系统(“OAM”)、正交频分复用(“OFDM”)、分组数据单元(“PDU”,与‘PDU会话’结合使用)、分组交换(“PS”,例如,分组交换域或分组交换服务)、主小区(“PCell”)、物理广播信道(“PBCH”)、物理小区标识(“PCI”)、物理下行链路控制信道(“PDCCH”)、物理下行链路共享信道(“PDSCH”)、模式划分多址接入(“PDMA”)、物理混合ARQ指示信道(“PHICH”)、物理随机接入信道(“PRACH”)、物理资源块(“PRB”)、物理上行链路控制信道(“PUCCH”)、物理上行链路共享信道(“PUSCH”)、公用陆地移动网络(“PLMN”)、服务质量(“QoS”)、四相相移键控(“QPSK”)、无线接入网络(“RAN”)、无线接入技术(“RAT”)、无线资源控制(“RRC”)、随机接入信道(“RACH”)、随机接入响应(“RAR”)、无线网络临时标识符(“RNTI”)、参考信号(“RS”)、注册区域(“RA”,类似于LTE/EPC中使用的追踪区域列表)、注册管理(“RM”,指NAS层程序和状态)、剩余最小系统信息(“RMSI”)、资源扩展多址接入(“RSMA”)、往返时间(“RTT”)、接收(“RX”)、无线链路控制(“RLC”)、稀疏码多址接入(“SCMA”)、调度请求(“SR”)、单载波频分多址接入(“SC-FDMA”)、次要小区(“SCell”)、共享信道(“SCH”)、安全模式命令(“SMC”)、会话管理(“SM”)、会话管理功能(“SMF”)、服务提供商(“SP”)、信号与干扰和噪声比(“SINR”)、单一网络切片选择辅助信息(“S-NSSAI”)、单注册模式(“SR模式”)、探测参考信号(“SRS”)、系统信息块(“SIB”)、同步信号(“SS”)、子载波间隔(“SCS”)、补充上行链路(“SUL”)、用户识别模块(“SIM”)、跟踪区域(“TA”)、传输块(“TB”)、传输块大小(“TBS”)、时分双工(“TDD”)、时分多路复用(“TDM”)、时分正交掩码(“TD-OCC”)、传输时间间隔(“TTI”)、传输(“TX”)、统一接入控制(“UAC”)、统一数据管理(“UDM”)、用户数据存储库(“UDR”)、上行链路控制信息(“UCI”)、用户实体/设备(移动终端)(“UE”)、UE配置更新(“UCU”)、UE路由选择策略(“URSP”)、上行链路(“UL”)、用户面(“UP”)、通用移动电信系统(“UMTS”)、UMTS用户识别模块(“USIM”)、UMTS陆地无线接入(“UTRA”)、UMTS陆地无线接入网络(“UTRAN”)、上行链路导频时隙(“UpPTS”)、超可靠性和低延迟通信(“URLLC”)、访问公共陆地移动网络(“VPLMN”)和微波接入全球互通(“WiMAX”)。如本文中所使用的,“HARQ-ACK”可以共同表示肯定确认(“ACK”)和否定确认(“NACK”)和不连续传输(“DTX”)。ACK意味着TB被正确地接收,而NACK(或NAK)意味着TB被错误地接收。DTX意味着TB没有被检测到。
在某些无线通信系统中,核心网络(例如,PLMN)可以部署各种网络切片,每个网络切片都包含为某些网络服务和/或业务类型进行优化的网络功能。目前,对网络切片的访问控制需要使用与3GPP用户凭据不同的用户ID和凭据(例如用于PLMN访问的SUPI和凭据)的另外的授权和认证。这种另外的授权和认证发生在主认证之后,该主认证在用于PLMN访问授权和认证的UE和5GS之间仍然被需要。
发明内容
公开了用于保护用户身份和凭证的过程。UE的一种方法,例如,用于保护用户身份和凭证,其包括使用第一凭证组向移动通信网络注册,该移动通信网络支持多个网络切片。方法包括接收需要切片特定的认证的网络切片的公钥并且使用公钥对第二凭证组加密。这里,第二凭证组被用于利用网络切片进行认证。方法包括向移动通信网络发送消息,该消息包括加密后的第二凭证组。
AMF的一种方法,例如,用于保护用户身份和凭据,其包括接收来自UE的注册请求,其中,UE使用第一凭证组向移动通信网络注册,以及检索需要切片特定的认证的网络切片的公钥。第二种方法包括使用公钥对第二凭证组加密,该第二凭证组用于使用网络切片进行认证,以及向认证服务器发送消息,其中,消息包括加密后的第二凭证组。
UDM的一种方法,例如,用于保护用户身份和凭据,其包括向第三方服务提供商提供网络开放服务,其中,第三方服务提供商操作切片认证服务器。第三种方法包括接收来自第三方服务提供商的第一凭证组。这里,第一凭证组包括需要切片特定的认证的网络切片的公钥。另外,第三种方法包括向AMF提供公钥作为订阅数据的一部分,其中,订阅包括网络切片。
附图说明
上面简要描述的实施例的更具体的描述将参考附图中所图示的具体实施例来呈现。应当理解的是,这些图仅仅描绘了一些实施例,因此不应被视为是对范围的限制,实施例将通过使用附图以另外的特性和细节进行描述和说明,其中:
图1是图示了用于保护用户身份和凭证的无线通信系统的一个实施例的示意性框图;
图2A是图示了在网络切片授权和认证过程中隐藏用户ID的一个实施例的调用流程图;
图2B是图2A的调用流程的延续;
图3A是图示了在网络切片授权和认证过程中隐藏用户ID的另一实施例的调用流程图;
图3B是图3A的调用流程的延续;
图4是图示了可以被用于保护用户身份和凭证的用户设备装置的一个实施例的示意图;
图5是图示了可以被用于保护用户身份和凭证的网络功能装置的一个实施例的示意图;
图6是图示了可以被用于保护用户身份和凭证的方法的一个实施例的流程图;
图7是图示了可以被用于保护用户身份和凭证的方法的另一实施例的流程图;以及
图8是图示了可以被用于保护用户身份和凭证的方法的另一实施例的流程图。
具体实施方式
如本领域的技术人员所理解的,实施例的方面可以被体现为系统、装置、方法或程序产品。因此,实施例可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或结合软件和硬件方面的实施例的形式。
例如,公开的实施例可以被实现为硬件电路,该硬件电路包括定制的超大规模集成(“VLSI”)电路或门阵列、现成的半导体(诸如逻辑芯片、晶体管)或其他离散组件。公开的实施例也可以被实现在可编程硬件设备中,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等。作为另一示例,公开的实施例可以包括可执行代码的一个或多个物理或逻辑块,例如,这些块可以被组织为对象、程序或功能。
此外,实施例可以采取程序产品的形式,该程序产品体现为一个或多个计算机可读存储设备,这些计算机可读存储设备存储机器可读代码、计算机可读代码和/或程序代码,以下简称代码。存储设备可以是有形的、非暂时性的和/或非传输的。存储设备可以不体现信号。在某个实施例中,存储设备仅采用信号来访问代码。
一个或多个计算机可读介质的任何组合可以被利用。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。例如,存储设备可以是,但不限于,电子、磁性、光学、电磁、红外线、全息、微机械或半导体系统、装置或设备或前述的任何合适的组合。
存储设备的更具体的示例(非详尽列表)将包括以下:具有一条或多条线缆的电气连接、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦可编程只读存储器(“EPROM”或闪速存储器)、便携式光盘只读存储器(“CD-ROM”)、光学存储设备,磁性存储设备或前述的任何合适的组合。在本文的上下文中,计算机可读存储介质可以是任何有形的介质,该介质能够包含或存储程序,以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合使用。
用于执行实施例的操作的代码可以是任何数量的行,并且可以用一种或多种编程语言的任何组合编写,该编程语言包括面向对象的编程语言,诸如Python、Ruby、Java、Smalltalk、C++等;以及常规过程编程语言,诸如“C”编程语言等;和/或机器语言,诸如汇编语言。代码可以在用户的计算机上整体地执行、在用户的计算机上部分地执行,作为独立的软件包,在用户的计算机上部分地执行并且在远程计算机上部分地执行或在远程计算机或服务器上整体地执行。在后一种情境下,远程计算机可以通过包括局域网(“LAN”)或广域网(“WAN”)的任何类型的网络被连接到用户的计算机,或者可以连接到外部计算机(例如,通过使用互联网服务提供商的互联网)。
贯穿本说明书,对“一个实施例”、“实施例”或类似语言的引用意味着结合该实施例描述的特定特征、结构或特性被包括在至少一个实施例中。因此,贯穿本说明书,短语“在一个实施例中”、“在实施例中”和类似语言的出现可能并不一定全部指相同的实施例,而是意味着“一个或多个实施例,但不是全部的实施例”,除非另有明确规定。术语“包括(including)”、“包括(comprising)”、“具有”及其变型意味着“包括但不限于”,除非另有明确规定。所列举的项的列表并不表明任何或所有项都是互斥的,除非另有明确规定。术语“一”、“一个”和“该”还指“一个或多个”,除非另有明确规定。
如本文中所使用的,具有连词“和/或”的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“中的一个或多个”的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和C中的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“中的一个”的列表包括列表中的任何单个项中的一个且仅一个。例如,“A、B和C中的一个”包括仅A、仅B或仅C,并且排除A、B和C的组合。如本文中所使用的,“从由A、B和C组成的组选择的成员”包括A、B或C中的一个且仅一个,并且排除A、B和C的组合。如本文中所使用的,“从由A、B和C及其组合组成的组选择的成员”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
此外,实施例的描述的特征、结构或特性可以以任何合适的方式被组合。在以下描述中,提供了许多具体细节,诸如编程、软件模块、用户选择、网络交易、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例,以提供对实施例的透彻理解。然而,相关领域中的技术人员将认识到,实施例可以在没有一个或多个具体细节的情况下或利用其他方法、组件、材料等而被实践。在其他情况下,众所周知的结构、材料或操作未被详细地示出或描述以避免模糊实施例的方面。
实施例的方面在下面参照根据实施例的方法、装置、系统和程序产品的示意性流程图和/或示意性框图进行描述。将理解,示意性流程图和/或示意性框图的每个框以及示意性流程图和/或示意性框图中的框的组合能够通过代码实现。这种代码可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以生产机器,使得经由计算机的处理器或其他可编程数据处理装置执行的指令创建用于实施流程图和/或框图中指定的功能/动作的装置。
代码也可以被存储在存储设备中,该存储设备能够指导计算机、其他可编程数据处理装置或其他设备以特定方式运行,使得存储在存储设备中的指令产生制品,该制品包括实现示意性流程图和/或框图中指定的功能/动作的指令。
代码也可以被加载到计算机、其他可编程数据处理装置或其他设备上,以使一系列操作步骤在计算机、其他可编程装置或其他设备上执行以产生计算机实现的进程,使得在计算机或其他可编程装置上执行的代码提供用于实现流程图和/或框图中指定的功能/动作的处理。
图中的流程图和/或框图图示了根据各个实施例的装置、系统、方法和程序产品的可能的实施方式的架构、功能和操作。在这方面,流程图和/或框图中的每个框都可以表示代码的模块、段或部分,其包括用于实现(多个)指定逻辑功能的代码的一个或多个可执行指令。
还应当注意,在一些替代实施方式中,框中注释的功能可以不按图中注释的顺序发生。例如,连续示出的两个框实际上可以被大体上同时执行,或框有时可以以相反的顺序执行,这取决于所涉及的功能。可以设想在功能、逻辑或效果方面与所示的图的一个或多个框或其部分相当的其他步骤和方法。
虽然各种箭头类型和线类型都可以在流程图和/或框图中被采用,但是它们不应被理解为限制了相应实施例的范围。更确切地,一些箭头或其他连接器可以被用于仅指示所描绘的实施例的逻辑流。例如,箭头可以指示所描绘的实施例的列举的步骤之间的未指定的持续时间的等待或监控时间段。也将注意,框图和/或流程图的每个框以及框图和/或流程图中的框的组合可以由专用的基于硬件的系统实现,该系统执行指定功能或动作或专用硬件和代码的组合。
每个图中的元件的描述可以指前述图的元件。相同的附图标记指所有图中的相同元件,包括相同元件的替代实施例。
在本文中公开了用于在网络切片授权和认证过程中增强隐私的系统、方法和装置。如上所注释,对网络切片的当前访问需要使用与3GPP订阅凭证不同的用户ID和凭证进行另外的授权和认证。增强隐私通过在UE存储、传输和网络存储中保护用户ID和凭据的安全性而被实现。
在切片特定的授权和认证程序中,当切片认证被触发时,例如,利用EAP身份请求,来自UE的回答被封装在NAS消息中。然而,EAP身份响应中的用户ID(用于辅助认证,即,切片特定的认证)对AMF是完全可见的,该AMF可以在访问的网络中。此外,从AMF发送到切片特定的AAA的认证请求消息根本不受保护,使得朝向AAA服务器的任何遍历节点都可以看到用户ID。
由于网络切片访问可以由移动网络运营商以外的实体控制,在第三方实体与执行切片授权和认证的网络功能之间的交互和执行切片授权和认证的网络功能与相关的移动网络运营商(诸如AMF、SMF或NSSF)之间的交互过程中,用户身份和凭证将被保护。
为了保护用户ID和凭证的安全性,为NSSAI所识别的给定切片从服务提供商向移动运营商提供公钥。该公钥被用于隐藏UE与AAA服务器之间的EAP认证的用户ID。在第一种解决方案中,UE使用公钥隐藏用户ID。在第二种解决方案中,网络功能(诸如AMF)隐藏用户ID(例如,使用公钥)。这两种解决方案基于隐私级别和漫游的情况下与访问的网络的信任关系增强用于切片认证的用户ID的隐私。
在各个实施例中,HPLMN中的UDM功能为特定的服务提供商检索与NSSAI相对应的公钥。UDM还将公钥绑定到NSSAI。在各个实施例中,如果NSSAI是订阅的一部分,则在订阅配置文件中向AMF提供公钥。在一个实施例中,公钥是在第一次请求NSSAI时被提供的。在另一实施例中,公钥是在每次请求NSSAI时被提供的。在某些实施例中,只有当UE指示(例如,在注册请求中)需要公钥时,才向AMF提供公钥。可替代地,在其他实施例中,只有当AMF指示需要公钥时,才可以提供公钥。在一些实施例中,存储在UDM中的公钥无论何时被改变(例如,通过服务提供商),都会向AMF(重新)提供公钥。
在各个实施例中,服务网络(例如,VPLMN)中的AMF功能在UE的订阅配置文件内为NSSAI检索公钥。在一些实施例中,向UE提供公钥与切片认证的EAP身份请求一起发生(例如,如果隐藏是在UE中进行的)。在其他实施例中,隐藏是在AMF中进行的。在这种实施例中,AMF隐藏在受保护的NAS消息中接收到的用户ID。这里,AMF可以将现时标志(Nonce,在AMF中随机生成)用于隐藏用户ID的新鲜度。如果用于新鲜度,则AMF向服务提供商AAA服务器提供认证消息中隐藏的用户ID,包括现时标志。
在各个实施例中,隐藏是在UE中进行的。这里,UE可以利用来自AMF的切片认证的EAP身份请求来检索公钥。UE在受保护的NAS消息中隐藏接收的用户ID。在某些实施例中,UE可以将现时标志(在UE中随机生成)用于隐藏用户ID的新鲜度。在这种实施例中,如果用于新鲜度,则UE向服务提供商AAA服务器提供认证消息中隐藏的用户ID,包括现时标志。
图1描绘了根据本公开的各个实施例的用于保护用户身份和凭证的无线通信系统100的实施例。在一个实施例中,无线通信系统100包括远程单元105、基本单元110以及通信链路115。尽管在图1中描绘了特定数量的远程单元105、基本单元110和通信链路115,本领域的技术人员也将认识到,任何数量的远程单元105、基本单元110和通信链路115都可以被包括在无线通信系统100中。
在一个实施方式中,无线通信系统100符合3GPP规范中指定的LTE系统。更一般地,然而,除了其他网络外,无线通信系统100可以实现一些其他开放或专有通信网络,例如,WiMAX。本公开并不旨在受限于任何特定无线通信系统架构或协议的实施方式。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视机(例如,连接到互联网的电视机)、智能家电(例如,连接到互联网的家电)、机顶盒、游戏机、安全系统(包括安全摄像头)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身手环、光学头戴式显示器等。此外,远程单元105可以被称为订阅单元、移动设备、移动站、用户、终端、移动终端、固定终端、订阅站、UE、用户终端、设备或用本领域中所使用的其他术语。远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号与基本单元110中的一个或多个直接通信。此外,UL和DL通信信号可以通过通信链路115被携带。
每个远程单元105都包括至少一个移动应用108,该移动应用能够与数据网络150中的应用功能(“AF”)155进行通信,例如,经由数据路径125。在一些实施例中,数据路径125是PDU会话的数据路径,该PDU会话建立在由移动核心网络130支持的多个网络切片138中的一个上。PDU会话所使用的具体网络切片138可以由PDU会话的属性决定。这里,远程单元105可以被提供网络切片选择策略(“NSSP”)规则,它使用这些规则来确定如何路由移动应用108的流量。远程单元105中的移动应用108还可以与其他应用功能155进行通信。虽然在图1中描绘了具体数量的移动应用108和应用功能155,但是本领域技术人员将认识到,任何数量的移动应用108都可以被包括在远程单元105中,并且任何数量的应用功能155都可以被包括在无线通信系统100中。
基本单元110可以被分布在地理区域上。在某些实施例中,基本单元110还可以被称为接入终端、基地、基站、节点-B、eNB、gNB、归属节点-B、中继节点、毫微微小区、接入点、设备或通过本领域中使用的任何其他术语。基本单元110通常是诸如无线接入网络(“RAN”)的接入网络的一部分,该无线接入网络可以包括通信地耦合到一个或多个相应基本单元110的一个或多个控制器。接入网络120的这些和其他元件未被图示,但是通常被本领域的普通技术人员熟知。基本单元110经由接入网络120连接到移动核心网络130。接入网络120和移动核心网络130在本文中可以被统称为“移动网络”或“移动通信网络”。
基本单元110可以经由无线通信链路为服务区内的若干远程单元105服务,例如,小区或小区扇区。基本单元110可以经由通信信号与一个或多个远程单元105直接通信。一般地,基本单元110发送下行链路(“DL”)通信信号,以在时域、频域和/或空间域中服务远程单元105。此外,DL通信信号可以通过通信链路115被承载。通信链路115可以是授权或未经授权的无线频谱中的任何合适的载波。通信链路115有助于一个或多个远程单元105和/或一个或多个基本单元110之间的通信。
在一个实施例中,移动核心网络130是5G核心(“5GC”),该5G核心可以被耦合到数据网络150,如互联网和专用数据网络,以及其他数据网络。在一些实施例中,远程单元105经由与移动核心网络130的网络连接与应用功能(“AF”)155(在移动核心网络130外部)进行通信。每个移动核心网络130都属于单个公共陆地移动网络(“PLMN”)。本公开并不旨在受限于任何特定无线通信系统架构或协议的实施方式。例如,移动核心网络130的其他实施例包括如宽带论坛(“BBF”)所描述的增强分组核心(“EPC”)或多服务核心。
移动核心网络130包括若干网络功能(“NF”)和多个网络切片138。如所描绘的,移动核心网络130包括至少一个用户面功能(“UPF”)131、至少一个接入和移动性管理功能(“AMF”)133、至少一个会话管理功能(“SMF”)135、至少一个认证服务器功能(“AUSF”)132和具有内部用户数据存储库(“UDM/UDR”)的至少一个统一数据管理功能139。在某些实施例中,移动核心网络130还包括至少一个网络开放功能(“NEF”)137。尽管在图1中描绘了具体数量的NF,但是本领域技术人员将认识到,任何数量的NF都可以被包括在移动核心网络130中。
UDM/UDR 139包括统一数据管理(“UDM”)以及其内部组件用户数据存储库(“UDR”)。UDR保存包括策略数据的订阅数据。具体地,由UDM/UDR 139存储的策略数据包括NSSP。UDM/UDR 139、AUSF 132、AMF 133和SMF 135是移动核心网络130的控制面网络功能的示例。控制面网络功能提供服务,诸如UE注册、UE连接管理、UE移动性管理、会话管理等。相反,用户面功能(UPF 131)向远程单元105提供数据传输服务。
NEF 137实现“前端”服务,该服务与外部应用功能交互,并且向这些功能暴露移动核心网络的能力。例如,NEF 137能够被AF 155用于与UDM/UDR 139进行通信,例如提供本文中所描述的网络切片认证信息。因此,NEF 137向想要利用移动网络的内部网络功能所提供的服务(例如,AMF 133、AUSF 132、UDM/UDR 139、SMF 135的服务)的外部应用提供单个联络点。
多个网络切片138是移动核心网络130内的逻辑网络。网络切片138是移动核心网络130的资源和/或服务的分区。不同的网络切片138可以被用于满足不同的服务需要(例如,延迟、可靠性和容量)。不同类型的网络切片138的示例包括增强移动宽带(“eMBB”)、大规模机器类型通信(“mMTC”)以及超高可靠性和低延迟通信(“URLLC”)。移动核心网络130可以包括相同网络切片类型的多个网络切片实例。相同类型的不同网络切片实例可以通过与实例相关联的切片“租户”(也称为“切片区分器”)而被区分。每个网络切片都使用S-NSSAI被识别,而由远程单元105请求和/或由移动核心网络130批准的网络切片集被称为NSSAI。
如上所述,在远程单元105上运行的移动应用107经由数据路径125与AF 155进行通信,该数据路径125通过移动核心网络的网络切片138。另外,AF 155可以向移动核心网络130发送信息,该信息能够被用于优化网络内部配置或网络行为。在某些实施例中,AF 155是应用服务器(“AS”)或服务能力服务器(“SCS”),该服务器使移动应用108能够通过标准化接口(例如,API)访问并使用服务器所提供的功能。
无线通信系统100能够对网络切片进行用户认证,具体地,使用与3GPP SUPI不同的用户身份和凭证提供网络切片访问认证和授权。在各个实施例中,无线通信系统100包括第三方AAA服务器151以用于对某些网络切片(例如,由第三方服务提供商提供的NSSAI)执行认证/授权。此外,无线通信系统100使用与网络切片相对应的公钥保护用户身份和凭证。
虽然图1描绘了5G RAN和5G核心网络的组件,但是所描述的用于保护用户身份和凭据的实施例适用于其他类型的通信网络,包括IEEE 802.11变体、GSM、GPRS、UMTS、LTE变体、CDMA 2000、蓝牙、ZigBee、Sigfoxx等。例如,在涉及EPC的LTE变体中,AMF 133可以被映射到MME,SMF 135可以被映射到PGW的控制面部分和/或MME,UPF 131可以被映射到SGW和PGW的用户面部分,UDM/UDR 139可以被映射到HSS等。
图2描绘了根据本公开的实施例的用于保护用户身份和凭证的调用流程200。调用流程200图示了在网络切片授权和认证(即,切片特定的认证)过程中隐藏用户ID的UE 205。调用流程200涉及UE 205、服务网络中的AMF 210、归属PLMN中的UDM 215、归属PLMN中的NEF220和位于H-PLMN外部的第三方提供商的AAA服务器225。这里,UE 205是远程单元105的一个实施例,并且AMF 210可以是AMF 133的一个实施例。然而,注意,AMF 210可以位于V-PLMN(即,当UE 205正在漫游时)中或位于H-PLMN中。UDM 215是UDM/UDR 139的一个实施例。AAA服务器225是第三方AAA服务器151的一个实施例。
在调用流程200中,用户ID对访问网络中的AMF 210不可见,对家庭网络不可见(在本地AAA代理的情况下),对消息在向AAA服务器225发送的途中经过的任何其他网络功能也不可见。因此,UE 205被提供第三方服务提供商的公钥,以操作提供的服务,该服务需要由AAA服务器225进行网络切片特定的认证和授权。当用户ID和凭证用于网络切片特定的二次认证的时,UE 205可以在服务提供过程中被提供第三方服务提供商的这种公钥。例如,这能够在UE 205向应用服务器(或服务提供商)注册特定服务时被执行。
另外,在NAS程序中,UE 205可以被提供第三方服务提供商的公钥(也被提供用于网络切片特定的二次认证的用户ID和凭证)。第三方服务提供商的公钥(但是也具有用于网络切片特定的二次认证的用户ID和凭据)能够经由5GS/EPS控制面从外部第三方被发送,以被提供给UE 205。
可选地,UE 205可以利用注册请求中的标志指示它需要用于特定的NSSAI的新密钥(不再存储在ME或UICC/USIM中,例如,由于SIM卡交换到另一电话)。例如,公钥能够为特定的NSSAI经由NEF 220被提供给UDM 215(参见例如,步骤0)。可以有其他方式提供公钥和相应的NSSAI。UDM 215将特定NSSAI的订阅与公钥连接。
一旦UE 205被认证并且NAS SMC被执行,订阅的NSSAI的公钥便与订阅数据一起被提供给AMF 210。这种向AMF 210提供公钥可以每次被执行或只在UE 205第一次为该NSSAI请求服务时或当UE 205正在注册请求中明确地请求公钥时或当第三方服务提供商为该NSSAI更新了/改变了UDM 215中的公钥时被执行。
在下面,假设AMF 210将新的/更新公钥提供给UE 205。然而,可以有其他方式将公钥提供给UE 205,例如,当UE 205经由网络接口订阅服务时,越过顶部。
在步骤0,AAA服务器225经由NEF 220向UDM 215注册,并且UDM 215将确认发送回AAA服务器225(例如,在成功的AAA注册时,参见消息传递230)。注意,AAA服务器225为特定的NSSAI注册,并且向UDM 215提供与NSSAI相对应的公钥。如上所述,UDM 215将公钥捆绑到NSSAI。
在步骤1,UE 205向AMF 210发送注册请求,该注册请求包括NSSAI(参见消息传递235)。该消息向H-PLMN发起注册和主认证。这里,注册请求用于主认证,并且与UE 205具有的移动服务订阅和H-PLMN相关。
在步骤2,UE 205执行主认证和安全模式命令(“SMC”),这里涉及AMF 210和UDM215(参见框240)。
在步骤3,AMF 210从UDM 215检索UE 205的订阅数据,包括用于需要切片认证的每个NSSAI的公钥(参见框245)。这里,AMF 210可以检查UE订阅数据,以确定NSSAI是否需要切片认证。
在步骤4,UE 205和AAA服务器225执行切片特定的认证(参见框250)。在步骤4a中,AMF 210发起切片认证,并且向UE 205发送EAP身份请求(参见消息传递255)。这里,AMF 210将S-NSSAI发送到UE 205,并且还可以发送相应的公钥。
在图2B继续,在步骤4b中,UE 205将公钥存储在ME或防篡改硬件中,例如UICC、ETSI、SSP等,并且将其与S-NSSAI绑定(参见框260)。UE 205使用公钥为S-NSSAI对用户ID进行加密,并且可以使用新鲜度的现时标志,即,加密的用户ID每次都会不同。注意,现时标志可以在UE 205中被随机生成。
在步骤4c中,UE 205发送具有EAP身份响应的NAS消息,EAP身份响应具有隐藏的用户ID,并且如果使用,则发送用于新鲜度的现时标志(参见消息传递265)。在步骤4d,AMF210发送具有隐藏的用户ID的认证请求,并且如果使用,则向AAA服务器225发送用于新鲜度的现时标志(参见消息传递270)。AAA服务器225具有相应的私钥,并且能够对用户ID解除隐藏并且启动相关的EAP消息交换以用于该用户ID的认证。由于公钥-私钥对的性质,只有相应的私钥的持有者才能够对用户ID解密。
在步骤4e,UE 205和AAA服务器交换另外的EAP消息以对用户ID进行认证(参见消息传递275)。在步骤4f中,一旦二次(切片特定的)认证是成功的,AAA服务器225便向AMF210发送EAP成功消息(参见消息传递280)。在步骤4g中,AMF 210将EAP成功消息与相关联的S-NSSAI一起发送到UE 205(参见消息传递285)。
在步骤5,切片特定的认证250是完整的,并且UE 205和AMF 210知道授权的和订阅的NSSAI的列表(参见框290)。
图3A至图3B描绘了根据本公开的实施例的用于保护用户身份和凭证的调用流程300。调用流程300图示了在网络切片授权和认证(即,切片特定的认证)过程中隐藏用户ID的AMF 210。调用流程300涉及UE 205、服务网络中的AMF 210、归属PLMN中的UDM 215、归属PLMN中的NEF 220和位于H-PLMN外部的第三方提供商的AAA服务器225。
在调用流程300中,用户ID对访问的网络中的AMF 210是可见的,但应当对在向AAA服务器225发送消息途中经过的任何其他网络功能被保护。因此,AMF 210被提供第三方服务提供商的公钥,以操作切片认证AAA服务器225。AMF 210可以利用标志向UDM 215指示它需要用于该UE 205的特定的NSSAI的新密钥(例如,不再被存储)。
公钥能够经由NEF 220提供给特定的NSSAI的UDM 215。可以有其他方式提供公钥和相应的NSSAI。UDM将特定NSSAI的订阅与公钥连接。一旦UE 205被认证并且NAS SMC被执行,订阅的NSSAI的公钥便与订阅数据一起被提供给AMF 210。如上所述,该公钥向AMF 210的提供可以每次被执行或不常被执行。
在图3A至图3B的情境中,AMF 210能够安全地存储公钥,并且将其绑定到相应的NSSAI。AMF 210可以存储需要切片认证的所有NSSAI的所有公钥。然而,在AMF 210没有公钥的任何特定存储的情况下,UDM 215可以为每个UE 205向AMF 210发送每个NSSAI的公钥。在各个实施例中,UDM 215总是为每个漫游UE 205向AMF 210发送每个NSSAI的公钥。
在步骤0,AAA服务器225经由NEF 220向UDM 215注册,并且UDM 215将确认发送回AAA服务器225(例如,在成功的AAA注册后,参见消息传递230)。注意,AAA服务器225为特定的NSSAI注册,并且向UDM 215提供与NSSAI相对应的公钥。如上所述,UDM 215将公钥捆绑到NSSAI。
在步骤1,UE 205向AMF 210发送注册请求,该注册请求包括NSSAI(参见消息传递235)。该消息向H-PLMN发起注册和主认证。这里,注册请求用于主认证,并且与UE 205具有的与H-PLMN的移动服务订阅相关。
在步骤2,UE 205执行主认证和安全模式命令(“SMC”),这里涉及AMF 210和UDM215(参见框240)。
在步骤3中,AMF 210从UDM 215检索UE 205的订阅数据,包括用于需要切片认证的每个NSSAI的公钥(参见框245)。这里,AMF 210可以检查UE订阅数据,以确定NSSAI是否需要切片认证。
在步骤4,UE 205和AAA服务器225执行切片特定的认证(参见框305)。在步骤4a中,AMF 210发起切片认证,并且向UE 205发送EAP身份请求(参见消息传递310)。这里,AMF 210向UE 205发送S-NSSAI。然而,AMF 210不向UE 205发送公钥,因为在调用流程300中,它是隐藏用户ID的AMF 210。在步骤4b中,UE 205发送具有EAP身份响应的NAS消息(参见消息传递315)。
在图3B继续,在步骤4c中,UE 210使用公钥为S-NSSAI对用户ID加密,并且可以使用用于新鲜度的现时标志,即,加密的用户ID每次都会不同(参见框320)。现时标志可以在AMF 210中被随机生成。
在步骤4d,AMF 210发送具有隐藏的用户ID的认证请求,并且如果使用,则将用于新鲜度的现时标志发送到AAA服务器225(参见消息传递270)。AAA服务器225具有相应的私钥,并且能够对用户ID的解除隐藏并且为该用户ID的认证启动相关的EAP消息交换。由于公钥-私钥对的性质,只有相应的私钥的持有者才能够对用户ID解密。
在步骤4e,UE 205和AAA服务器交换另外的EAP消息以对用户ID进行认证(参见消息传递275)。在步骤4f中,一旦二次(切片特定的)认证是成功的,AAA服务器225便向AMF210发送EAP成功消息(参见消息传递280)。在步骤4g中,AMF 210将EAP成功消息与相关联的S-NSSAI向UE 205一起发送(参见消息传递285)。
在步骤5,切片特定的认证305是完整的,并且UE 205和AMF 210知道授权的和订阅的NSSAI的列表(参见框290)。
图4描绘了根据本公开的实施例的可以被用于保护用户身份和凭证的用户设备装置400。在各个实施例中,用户设备装置400被用于实施上述一个或多个解决方案。用户设备装置400可以是上述远程单元105和/或UE的一个实施例。此外,用户设备装置400可以包括处理器405、存储器410、输入设备415、输出设备420以及收发器425。在一些实施例中,输入设备415和输出设备420被组合成单个设备,诸如触摸屏。在某些实施例中,用户设备装置400可以不包括任何输入设备415和/或输出设备420。在各个实施例中,用户设备装置400可以包括以下的一个或多个:处理器405、存储器410和收发器425,并且可以不包括输入设备415和/或输出设备420。
在一个实施例中,处理器405可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知的控制器。例如,处理器405可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或相似的可编程控制器。在一些实施例中,处理器405执行存储在存储器410中的指令以执行本文中描述的方法和例程。处理器405被通信地耦合到存储器410、输入设备415、输出设备420和收发器425。
在各个实施例中,处理器405使用第一凭证组向移动通信网络注册,该移动通信网络支持多个网络切片。处理器405接收需要切片特定的认证的网络切片的公钥并且使用公钥对第二凭证组。这里,第二凭证组被用于利用网络切片进行认证。收发器425向移动通信网络发送消息,该消息包括加密后的第二凭证组。
在一些实施例中,处理器405在对第二凭证组加密时生成现时标志。这里,现时标志在加密处理中被使用。在这种实施例中,到移动通信网络的消息可以包括现时标志。在各个实施例中,到移动通信网络的消息发起用户设备装置400的切片特定的认证。
在一个实施例中,存储器410是计算机可读存储介质。在一些实施例中,存储器410包括易失性计算机存储介质。例如,存储器410可以包括RAM,包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器410包括非易失性计算机存储介质。例如,存储器410可以包括硬盘驱动器、闪速存储器或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器410包括易失性和非易失性计算机存储介质。
在一些实施例中,存储器410存储与保护用户身份和凭证相关的数据。例如,存储器410可以存储UE订阅凭据、公钥、现时标志、密钥到NSSAI的绑定等。在某些实施例中,存储器410也存储程序代码和相关数据,诸如在用户设备装置400上运行的操作系统或其他控制器算法。
在一个实施例中,输入设备415可以包括任何已知的计算机输入设备,其包括触控面板、按键、键盘、触控笔、麦克风等。在一些实施例中,输入设备415可以与输出设备420集成,例如,作为触摸屏或相似的触摸感显示器。在一些实施例中,输入设备415包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写被输入。在一些实施例中,输入设备415包括两个或更多的不同设备,诸如键盘和触控面板。
在一个实施例中,输出设备420被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备420包括能够向用户输出视觉数据的电子控制显示器或显示设备。例如,输出设备420可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的相似的显示设备。作为另一非限制性示例,输出设备420可以包括与用户设备装置400的其余部分分开但是通信地耦合到其余部分的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等。进一步地,输出设备420可以是智能电话、个人数字助理、电视机、平板计算机、笔记型(膝上型)计算机、个人计算机、车载仪表板等的组件。
在某些实施例中,输出设备420包括用于产生声音的一个或多个扬声器。例如,输出设备420可以产生听觉警报或通知(例如,蜂鸣声或钟声)。在一些实施例中,输出设备420包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备420的全部或部分可以与输入设备415集成。例如,输入设备415和输出设备420可以形成触摸屏或相似的触摸感显示器。在其他实施例中,输出设备420可以位于输入设备415附近。
如上所述,收发器425经由一个或多个接入网络与移动通信网络的一个或多个网络功能进行通信。收发器425在处理器405的控制下运行,以发送消息、数据和其他信号,并且也接收消息、数据和其他信号。例如,处理器405可以在特定时间选择性地激活收发器425(或其部分),以发送和接收消息。
收发器425可以包括一个或多个发送器430和一个或多个接收器435。虽然仅仅图示了一个发送器430和一个接收器435,但是用户设备装置400可以具有任何合适数量的发送器430和接收器435。进一步地,(多个)发送器430和(多个)接收器435可以是任何类型的发送器和接收器。另外,收发器425可以支持至少一个网络接口440。这里,至少一个网络接口440有助于与诸如eNB或gNB的RAN节点的通信,例如使用“Uu”接口。另外,至少一个网络接口440可以包括用于与移动核心网络中的一个或多个网络功能进行通信的接口,诸如UPF、AMF和/或SMF。
在一个实施例中,收发器425包括用于通过授权的无线频谱与移动通信网络进行通信的第一发送器/接收器对和用于通过未授权的无线频谱与移动通信网络进行通信的第二发送器/接收器对。在某些实施例中,用于通过授权的无线频谱与移动通信网络进行通信的第一发送器/接收器对和用于通过未授权的无线频谱与移动通信网络进行通信的第二发送器/接收器对可以被组合成单个收发器单元,例如利用授权的和未授权的无线频谱两者执行使用的功能的单个芯片。在一些实施例中,第一发送器/接收器对和第二发送器/接收器对可以共享一个或多个硬件组件。例如,某些收发器425、发送器430和接收器435可以被实现为物理上分开的组件,该组件访问共享硬件资源和/或软件资源,诸如例如,网络接口440。
在各个实施例中,一个或多个发送器430和/或一个或多个接收器435可以被实现和/或被集成到单个硬件组件中,诸如多收发器芯片、片上系统、专用集成电路(“ASIC”)或其他类型的硬件组件。在某些实施例中,一个或多个发送器430和/或一个或多个接收器435可以被实现和/或被集成到多芯片模块中。在一些实施例中,诸如网络接口440的其他组件或其他硬件组件/电路可以与任何数量的发送器430和/或接收器435一起被集成到单个芯片中。在这种实施例中,发送器430和接收器435可以逻辑上被配置为使用一个或多个共同控制信号的收发器425或实现相同的硬件芯片或多芯片模块中的模块化发送器430和接收器435。
图5描绘了根据本公开的实施例的可以被用于保护用户身份和凭证的网络功能装置500。在各个实施例中,网络功能装置500被用于实现上述一个或多个解决方案。网络功能装置500可以是上述AMF的一个实施例。此外,网络功能装置500可以包括处理器505、存储器510、输入设备515、输出设备520以及收发器525。在一些实施例中,输入设备515和输出设备520被组合成单个设备,诸如触摸屏。在某些实施例中,网络功能装置500可以不包括任何输入设备515和/或输出设备520。在各个实施例中,网络功能装置500可以包括以下一个或多个:处理器505、存储器510和收发器525,并且可以不包括输入设备515和/或输出设备520。
在一个实施例中,处理器505可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知的控制器。例如,处理器505可以是微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或相似的可编程控制器。在一些实施例中,处理器505执行存储在存储器510中的指令以执行本文中描述的方法和例程。处理器505被通信地耦合到存储器510、输入设备515、输出设备520和收发器525。
在各个实施例中,网络功能装置500是核心网络中的AMF。在这种实施例中,收发器525接收来自UE的注册请求,其中,UE使用第一凭证组向移动通信网络(例如,核心网络)注册。处理器505检索需要切片特定的认证的网络切片的公钥,并且使用公钥对第二凭证组加密,该第二凭证组用于利用网络切片进行认证。另外,处理器505控制收发器525向认证服务器发送消息,该消息包括加密后的第二凭证组。
在一些实施例中,第一凭证组是从UDM被接收的。在某些实施例中,第一凭证组是与UE的订阅数据一起被接收的。在这里,第一凭证组包括公钥。
在一些实施例中,第二凭证组是从UE被接收的。在一些实施例中,处理器505在对第二凭证组加密时生成现时标志,其中,现时标志是在加密过程中被使用的。在这种实施例中,到认证服务器的消息可以包括现时标志。
在一些实施例中,处理器505响应于注册请求检查UE的订阅数据,其中,公钥与订阅数据被存储在一起。在各个实施例中,到认证服务器的消息发起UE的切片特定的认证。
在各个实施例中,网络功能装置500是核心网络中的UDM。在这种实施例中,处理器505向第三方服务提供商提供网络开放服务,其中,第三方服务提供商操作切片认证服务器(例如,AAA服务器)。收发器525接收来自第三方服务提供商的第一凭证组。这里,第一凭证组包括需要切片特定的认证的网络切片的公钥。
另外,处理器505向AMF提供公钥作为订阅数据的一部分,其中,订阅包括网络切片。在一些实施例中,第一凭证组是通过NEF被接收的。
在一个实施例中,存储器510是计算机可读存储介质。在一些实施例中,存储器510包括易失性计算机存储介质。例如,存储器510可以包括RAM,包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器510包括非易失性计算机存储介质。例如,存储器510可以包括硬盘驱动器、闪速存储器或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器510包括易失性和非易失性计算机存储介质。
在一些实施例中,存储器510存储与保护用户身份和凭证相关的数据。例如,存储器510可以存储订阅配置文件、UE订阅凭证、公钥、现时标志、密钥到NSSAI的绑定等。在某些实施例中,存储器510也存储程序代码和相关数据,诸如在网络功能装置500上运行的操作系统或其他控制器算法。
在一个实施例中,输入设备515可以包括任何已知的计算机输入设备,其包括触控面板、按键、键盘、触控笔、麦克风等。在一些实施例中,输入设备515可以与输出设备520集成,例如,作为触摸屏或相似的触摸感显示器。在一些实施例中,输入设备515包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写被输入。在一些实施例中,输入设备515包括两个或多个不同设备,诸如键盘和触控面板。
在一个实施例中,输出设备520被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备520包括能够向用户输出视觉数据的电子控制显示器或显示设备。例如,输出设备520可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的相似的显示设备。作为另一非限制性示例,输出设备520可以包括与网络功能装置500的其余部分分开但是通信地耦合到其余部分的可穿戴显示器,诸如智能手表、智能眼镜、抬头显示器等。进一步地,输出设备520可以是智能电话、个人数字助理、电视机、平板计算机、笔记型(膝上型)计算机、个人计算机、车载仪表板等的组件。
在某些实施例中,输出设备520包括用于产生声音的一个或多个扬声器。例如,输出设备520可以产生听觉警报或通知(例如,蜂鸣声或钟声)。在一些实施例中,输出设备520包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备520的全部或部分可以与输入设备515集成。例如,输入设备515和输出设备520可以形成触摸屏或相似的触摸感显示器。在其他实施例中,输出设备520可以位于输入设备515附近。
收发器525包括至少发送器530和至少一个接收器535。一个或多个发送器530可以被用于向RAN发送消息,如本文中所描述的。相似地,一个或多个接收器535可以被用于接收来自RAN的消息,如本文中所描述的。虽然仅仅图示了一个发送器530和一个接收器535,但是网络功能装置500可以具有任何合适数量的发送器530和接收器535。进一步地,(多个)发送器525和(多个)接收器530可以是任何合适类型的发送器和接收器。
在各个实施例中,收发器525支持用于与UE和/或网络功能进行通信的一个或多个网络接口540。例如,当网络功能装置500作为AMF操作时,收发器525可以支持UE与AMF之间的N1(逻辑)接口。另外,收发器525可以支持各种5GC服务接口,诸如Namf接口和/或Nudm接口。
图6描绘了根据本公开的实施例的用于保护用户身份和凭证的方法600的一个实施例。在各个实施例中,方法600由上述UE执行,诸如远程单元105、UE 205和/或用户设备装置400。在一些实施例中,方法600由处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
方法600开始并且使用第一凭证组向移动通信网络注册605,该移动通信网络支持多个网络切片。方法600包括接收610需要切片特定的认证的网络切片的公钥。
方法600包括使用公钥对第二凭证组加密615。这里,第二凭证组被用于利用网络切片进行认证。方法600包括向移动通信网络发送620消息,该消息包括加密的第二凭证组。方法600结束。
图7描绘了根据本公开的实施例的用于保护用户身份和凭证的方法700的一个实施例。在各个实施例中,方法700由上述AMF执行,诸如AMF 133、AMF 210和/或网络功能装置500。在一些实施例中,方法700由处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
方法700开始并且接收705来自UE的注册请求,其中,UE使用第一凭证组向移动通信网络(例如,核心网络)注册。方法700包括检索710需要切片特定的认证的网络切片的公钥。
方法700包括使用公钥对第二凭证组加密715,该第二凭证组用于利用网络切片进行认证。方法700包括向认证服务器发送720消息,其中,消息包括加密的第二凭证组。方法700结束。
图8描绘了根据本公开的实施例的用于保护用户身份和凭证的方法800的一个实施例。在各个实施例中,方法800由上述UDM执行,诸如UDM/UDR 139、UDM 215和/或网络功能装置500。在一些实施例中,方法800由处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
方法800开始并且向第三方服务提供商提供805网络开放服务,其中,第三方服务提供商操作切片认证服务器(例如,AAA服务器)。方法800包括接收来自第三方服务提供商的第一凭证组。这里,第一凭证组包括需要切片特定的认证的网络切片的公钥。方法800包括815向AMF提供公钥作为订阅数据的一部分,其中,订阅包括网络切片。方法800结束。
根据本公开的实施例,本文中公开的是用于管理上行抢占的第一装置。第一装置可以由UE实施,诸如远程单元105、UE 205和/或用户设备装置400。第一装置包括处理器,该处理器利用第一凭证组向移动通信网络注册,该移动通信网络支持多个网络切片。处理器接收需要切片特定的认证的网络切片的公钥并且使用公钥对第二凭证组加密。这里,第二凭证组被用于利用网络切片进行认证。收发器向移动通信网络发送消息,该消息包括加密后的第二凭证组。
在一些实施例中,处理器在对第二凭证组加密时生成现时标志。这里,现时标志被用于对第二凭证组加密。在这种实施例中,到移动通信网络的消息可以包括现时标志。在各个实施例中,到移动通信网络的消息发起装置的切片特定的认证。
根据本公开的实施例,本文中公开的是用于管理上行抢占的第一种方法。第一种方法可以由UE执行,诸如远程单元105、UE 205和/或用户设备装置400。第一种方法包括使用第一凭证组向移动通信网络注册,该移动通信网络支持多个网络切片。第一种方法包括接收需要切片特定的认证的网络切片的公钥并且使用公钥对第二凭证组加密。这里,第二凭证组被用于利用网络切片进行认证。第一种方法包括向移动通信网络发送消息,该消息包括加密后的第二凭证组。
在一些实施例中,对第二凭证组加密包括生成现时标志。这里,现时标志被用于对第二凭证组加密。在这种实施例中,到移动通信网络的消息可以包括现时标志。在各个实施例中,到移动通信网络的消息发起装置的切片特定的认证。
根据本公开的实施例,本文公开的是用于管理上行抢占的第二装置。第二装置可以由AMF实施,诸如AMF 133、AMF 210和/或网络功能装置500。第二装置包括收发器,其接收来自UE的注册请求,其中,UE使用第一凭证组向移动通信网络(例如,核心网络)注册。第二装置包括处理器,该处理器检索需要切片特定的认证的网络切片的公钥,并且使用公钥对第二凭证组加密,该第二凭证组用于利用网络切片进行认证。另外,处理器控制收发器向认证服务器发送消息,该消息包括加密后的第二凭证组。
在一些实施例中,第一凭证组是从UDM被接收的。在某些实施例中,第一凭证组是与UE的订阅数据一起被接收的。这里,第一凭证组包括公钥。
在一些实施例中,第二凭证组是从UE被接收的。在一些实施例中,处理器在对第二凭证组加密时生成现时标志,其中,现时标志被用于对第二凭证组加密。在这种实施例中,到认证服务器的消息可以包括现时标志。
在一些实施例中,处理器响应于注册请求检查UE的订阅数据,其中,公钥与订阅数据被存储在一起。在各个实施例中,到认证服务器的消息发起UE的切片特定的认证。
根据本公开的实施例,本文中公开的是用于管理上行抢占的第二种方法。第二种方法可以由AMF实施,诸如AMF 133、AMF 210和/或网络功能装置500。第二种方法包括接收来自UE的注册请求,其中,UE使用第一凭证组向移动通信网络(例如,核心网络)注册,并且检索需要切片特定的认证的网络切片的公钥。第二种方法包括使用公钥对第二凭证组加密,该第二凭证组用于利用网络切片进行认证,以及向认证服务器发送消息,其中,消息包括加密后的第二凭证组。
在一些实施例中,第一凭证组是从UDM被接收的。在这种实施例中,第一凭证组是与UE的订阅数据一起被接收的。这里,第一凭证组包括公钥。
在一些实施例中,第二凭证组是从UE被接收的。在一些实施例中,对第二凭证组加密包括生成现时标志,其中,现时标志被用于对第二凭证组进行加密。在这种实施例中,到认证服务器的消息可以包括现时标志。
在一些实施例中,第二种方法进一步包括响应于注册请求检查UE的订阅数据,其中,公钥与订阅数据被存储在一起。在各个实施例中,到认证服务器的消息发起UE的切片特定的认证。
本文公开了根据本公开的实施例的用于管理上行抢占的第三装置。第三装置可以由UDM实施,诸如UDM/UDR 139、UDM 215和/或网络功能装置500。第三装置包括处理器,该处理器向第三方服务提供商提供网络开放服务,其中,第三方服务提供商操作切片认证服务器(例如,AAA服务器)。第三装置包括收发器,该收发器接收来自第三方服务提供商的第一凭证组。这里,第一凭证组包括需要切片特定的认证的网络切片的公钥。
另外,处理器向AMF提供公钥作为订阅数据的一部分,其中,订阅包括网络切片。在一些实施例中,第一凭证组是经由NEF被接收的。
根据本公开的实施例,本文中公开的是用于管理上行抢占的第三种方法。第三种方法可以由UDM实施,诸如UDM/UDR 139、UDM 215和/或网络功能装置500。第三种方法包括向第三方服务提供商提供网络开放服务,其中,第三方服务提供商操作切片认证服务器(例如,AAA服务器)。第三种方法包括接收来自第三方服务提供商的第一凭证组。这里,第一凭证组包括需要切片特定的认证的网络切片的公钥。
另外,第三种方法包括向AMF提供公钥作为订阅数据的一部分,其中,订阅包括网络切片。在一些实施例中,第一凭证组是经由NEF被接收的。
实施例可以以其他具体形式被实践。所描述的实施例被认为在各方面都仅仅是说明性的,而非限制性的。因此,本发明的范围由所附权利要求指示,而不是由前面的描述指示。在权利要求书的等价的意义和范围内的所有变化都被包含在其范围内。
Claims (18)
1.一种用户设备(UE)装置,所述装置包括:
处理器,所述处理器:
使用第一凭证组向移动通信网络注册,所述移动通信网络支持多个网络切片;
接收需要切片特定的认证的网络切片的第三方服务提供商的第三方公钥;
使用为隐藏所述UE的用户ID的新鲜度生成的现时标志并且使用所述第三方公钥对第二凭证组加密以隐藏所述用户ID,其中所述第二凭证组中的所述用户ID只能由通过所述第三方服务提供商操作的切片认证服务器解密并且用于利用所述网络切片进行认证;以及
收发器,所述收发器向所述移动通信网络发送消息,其中,所述消息包括加密后的所述第二凭证组。
2.根据权利要求1所述的装置,其中,与所述第三方公钥一起用于对所述第二凭证组加密的所述现时标志由所述UE生成。
3.根据权利要求2所述的装置,其中,到所述移动通信网络的所述消息包括所述现时标志。
4.根据权利要求1所述的装置,其中,访问和移动性管理功能(“AMF”)发起所述装置的切片特定的认证。
5.一种用于用户设备(UE)的方法,所述方法包括:
使用第一凭证组向移动通信网络注册,所述移动通信网络支持多个网络切片;
接收需要切片特定的认证的网络切片的第三方服务提供商的第三方公钥;
使用为隐藏所述UE的用户ID的新鲜度生成的现时标志并且使用所述公钥对包括所述用户ID的第二凭证组加密,其中所述第二凭证组中的所述UE的所述用户ID只能由通过所述第三方服务提供商操作的切片认证服务器解密并且用于利用所述网络切片进行认证;以及
向所述移动通信网络发送消息,其中,所述消息包括加密后的所述第二凭证组。
6.一种网络功能装置,所述装置包括:
收发器,所述收发器接收来自用户设备装置UE的注册请求,其中,所述UE使用第一凭证组向移动通信网络注册;以及
处理器,所述处理器:
检索需要切片特定的认证的网络切片的第三方服务提供商的第三方公钥;
使用为隐藏所述UE的用户ID的新鲜度生成的现时标志并且使用所述第三方公钥对第二凭证组加密以隐藏所述用户ID,其中所述第二凭证组中的所述用户ID只能由通过所述第三方服务提供商操作的切片认证服务器解密并且用于利用所述网络切片进行认证;以及
向所述切片认证服务器发送消息,其中,所述消息包括加密后的所述第二凭证组。
7.根据权利要求6所述的装置,其中,所述第一凭证组是从统一数据管理功能UDM被接收的。
8.根据权利要求7所述的装置,其中,所述第一凭证组是与所述UE的订阅数据一起被接收的。
9.根据权利要求6所述的装置,其中,所述第二凭证组是从所述UE被接收的。
10.根据权利要求6所述的装置,其中,到由所述第三方服务提供商操作的所述切片认证服务器的所述消息包括所述现时标志。
11.根据权利要求6所述的装置,其中,所述处理器响应于所述注册请求检查所述UE的订阅数据,其中,所述第三方公钥与所述订阅数据一起被存储。
12.根据权利要求6所述的装置,其中,访问和移动性管理功能(“AMF”)发起所述UE的切片特定的认证。
13.一种网络功能方法,所述方法包括:
接收来自用户设备装置UE的注册请求,其中,所述UE使用第一凭证组向移动通信网络注册;
检索第三方服务提供商的需要切片特定的认证的网络切片的第三方公钥;
使用为隐藏所述UE的用户ID的新鲜度生成的现时标志并且使用所述第三方公钥对第二凭证组加密以隐藏所述用户ID,所述第三方公钥只能由通过所述第三方服务提供商操作的切片认证服务器解密,所述第二凭证组用于利用所述网络切片进行认证;以及
向认证服务器发送消息,其中,所述消息包括加密后的所述第二凭证组。
14.根据权利要求13所述的方法,其中,所述第一凭证组是从统一数据管理功能UDM被接收的,其中,所述第一凭证组是与所述UE的订阅数据一起被接收的。
15.根据权利要求13所述的方法,所述方法进一步包括响应于所述注册请求检查所述UE的订阅数据,其中,所述第三方公钥与所述订阅数据一起被存储。
16.一种用于统一数据管理功能(“UDM”)的装置,所述装置包括:
处理器,所述处理器向第三方服务提供商提供网络开放服务,所述第三方服务提供商操作切片认证服务器;以及
收发器,所述收发器接收来自所述第三方服务提供商的第一凭证组,所述第一凭证组包括需要切片特定的认证的网络切片的第三方公钥,
其中,所述处理器向接入和移动性管理功能AMF提供所述第三方公钥作为订阅数据的一部分,所述第三方公钥只能由通过所述第三方服务提供商操作的所述切片认证服务器解密,其中,所述订阅包括所述网络切片。
17.根据权利要求16所述的装置,其中,所述第一凭证组是经由网络开放功能NEF被接收的。
18.一种用于统一数据管理(“UDM”)功能的方法,所述方法包括:
向第三方服务提供商提供网络开放服务,所述第三方服务提供商操作切片认证服务器;
接收来自所述第三方服务提供商的第一凭证组,所述第一凭证组包括需要切片特定的认证的网络切片的第三方公钥;以及
向接入和移动性管理功能AMF提供所述第三方公钥作为订阅数据的一部分,所述第三方公钥只能由通过所述第三方服务提供商操作的所述切片认证服务器解密,其中,所述订阅包括所述网络切片。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201962812829P | 2019-03-01 | 2019-03-01 | |
US62/812,829 | 2019-03-01 | ||
PCT/IB2020/000196 WO2020188355A1 (en) | 2019-03-01 | 2020-03-02 | Encrypting network slice credentials using a public key |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113491142A CN113491142A (zh) | 2021-10-08 |
CN113491142B true CN113491142B (zh) | 2024-04-12 |
Family
ID=72237286
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080017808.4A Active CN113491142B (zh) | 2019-03-01 | 2020-03-02 | 使用公钥加密网络切片凭证 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11546757B2 (zh) |
EP (1) | EP3932102A1 (zh) |
CN (1) | CN113491142B (zh) |
WO (1) | WO2020188355A1 (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021064091A1 (en) * | 2019-10-04 | 2021-04-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Privacy in a wireless communication network |
US20230023278A1 (en) * | 2019-12-19 | 2023-01-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Slice and/or subscriber identification module device lock |
US11201741B2 (en) | 2020-03-03 | 2021-12-14 | The Prudential Insurance Company Of America | System for improving data security |
CN112218294B (zh) * | 2020-09-08 | 2021-08-27 | 深圳市燃气集团股份有限公司 | 基于5g的物联网设备的接入方法、系统及存储介质 |
US11689367B2 (en) * | 2020-09-24 | 2023-06-27 | Huawei Technologies Co., Ltd. | Authentication method and system |
KR20230128007A (ko) * | 2021-01-06 | 2023-09-01 | 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 | 라우팅을 보조하는 방법, 단말기 디바이스 및 네트워크디바이스 |
WO2023000248A1 (en) * | 2021-07-22 | 2023-01-26 | Huawei Technologies Co., Ltd. | Authentication methods using zero-knowledge proof algorithms for user equipments and nodes implementing the authentication methods |
US20230413032A1 (en) * | 2022-05-26 | 2023-12-21 | Qualcomm Incorporated | Consent management procedures for wireless devices |
US12101301B1 (en) * | 2023-07-17 | 2024-09-24 | Mysten Labs, Inc. | Zero-knowledge proofs for login |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018231125A1 (en) * | 2017-06-16 | 2018-12-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Network, network nodes, wireless communication devices and method therein for handling network slices in a wireless communication network |
WO2019004929A2 (zh) * | 2017-06-29 | 2019-01-03 | 华为国际有限公司 | 网络切片分配方法、设备及系统 |
-
2020
- 2020-03-02 CN CN202080017808.4A patent/CN113491142B/zh active Active
- 2020-03-02 WO PCT/IB2020/000196 patent/WO2020188355A1/en active Application Filing
- 2020-03-02 US US16/806,756 patent/US11546757B2/en active Active
- 2020-03-02 EP EP20726930.9A patent/EP3932102A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018231125A1 (en) * | 2017-06-16 | 2018-12-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Network, network nodes, wireless communication devices and method therein for handling network slices in a wireless communication network |
WO2019004929A2 (zh) * | 2017-06-29 | 2019-01-03 | 华为国际有限公司 | 网络切片分配方法、设备及系统 |
Also Published As
Publication number | Publication date |
---|---|
EP3932102A1 (en) | 2022-01-05 |
US20200280854A1 (en) | 2020-09-03 |
CN113491142A (zh) | 2021-10-08 |
WO2020188355A1 (en) | 2020-09-24 |
US11546757B2 (en) | 2023-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113491142B (zh) | 使用公钥加密网络切片凭证 | |
US11539699B2 (en) | Network slice authentication | |
EP3704885B1 (en) | User authentication using connection information provided by a blockchain network | |
US11956747B2 (en) | Mobile network policy freshness | |
US12035137B2 (en) | Security mode integrity verification | |
US20200037165A1 (en) | Security protection for user plane traffic | |
CN113016216A (zh) | 报告功率余量 | |
US20230413060A1 (en) | Subscription onboarding using a verified digital identity | |
US10986497B2 (en) | Key refresh for small-data traffic | |
CN111448814B (zh) | 指示用于远程单元的网络 | |
CN113767712A (zh) | 通过直接通信链路的单播会话 | |
US20240022908A1 (en) | Authentication using a digital identifier for ue access |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |