CN114097261A - 网络切片特定凭证的动态分配 - Google Patents
网络切片特定凭证的动态分配 Download PDFInfo
- Publication number
- CN114097261A CN114097261A CN201980097819.5A CN201980097819A CN114097261A CN 114097261 A CN114097261 A CN 114097261A CN 201980097819 A CN201980097819 A CN 201980097819A CN 114097261 A CN114097261 A CN 114097261A
- Authority
- CN
- China
- Prior art keywords
- credential
- network slice
- network
- credentials
- trigger
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004224 protection Effects 0.000 claims abstract description 84
- 230000004044 response Effects 0.000 claims abstract description 76
- 230000004048 modification Effects 0.000 claims abstract description 46
- 238000012986 modification Methods 0.000 claims abstract description 46
- 238000013475 authorization Methods 0.000 claims abstract description 16
- 230000008676 import Effects 0.000 claims abstract description 12
- 230000006870 function Effects 0.000 claims description 45
- 238000000034 method Methods 0.000 claims description 37
- 230000008859 change Effects 0.000 claims description 23
- 238000002955 isolation Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 101000979909 Homo sapiens NMDA receptor synaptonuclear signaling and neuronal migration factor Proteins 0.000 description 59
- 102100024546 NMDA receptor synaptonuclear signaling and neuronal migration factor Human genes 0.000 description 59
- 238000007726 management method Methods 0.000 description 36
- 101001109689 Homo sapiens Nuclear receptor subfamily 4 group A member 3 Proteins 0.000 description 32
- 102100022673 Nuclear receptor subfamily 4 group A member 3 Human genes 0.000 description 32
- 238000004891 communication Methods 0.000 description 30
- 238000010586 diagram Methods 0.000 description 14
- 230000008901 benefit Effects 0.000 description 9
- 238000009795 derivation Methods 0.000 description 7
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000001360 synchronised effect Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 241000761456 Nops Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 108010020615 nociceptin receptor Proteins 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5009—Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
凭证管理器响应于网络切片的部署而导入针对网络切片的凭证。该凭证不被其他网络切片所知。储存库被配置为存储凭证并基于由网络切片的服务配置文件定义的凭证保护策略来保护凭证。储存库被实现在凭证管理器,认证、授权和记帐(AAA)(AAA)服务器或其他位置中。凭证的属性响应于修改触发而被修改,并且凭证响应于撤销触发而被撤销。
Description
背景技术
诸如第五代(5G)通信系统和工业4.0等未来几代通信系统预计将支持诸如虚拟现实、增强现实、可靠的机器远程操作、工厂自动化、网络辅助交通控制和自动驾驶车辆等应用,以及支持物理设备互联的蜂窝“物联网(IoT)”,物理设备诸如是电器、车辆、建筑物和嵌入使设备能够通过互联网收集和交互数据的电子设备、软件、传感器、驱动器和网络连接的其他物品。5G通信系统实现网络切片以提供根据特定要求定制的连接和数据处理,例如,如与移动网络运营商(MNO)协商的服务水平协议(SLA)中所述。第三代合作伙伴计划(3GPP)技术规范(TS)23.501通过引用被整体并入本文,其将网络切片定义为提供特定网络能力和网络特性的逻辑网络。在某些情况下,网络切片作为独立的端到端逻辑网络实施,其在共享的物理基础设施上运行并以协商的服务质量提供连接性。不同类型的网络切片具有不同的技术属性、要求、期望或能力,诸如时延、数据安全、能量效率、移动性、大规模连接、可达性、服务质量(QoS)以及吞吐量。
发明内容
以下呈现所公开主题的简化概述以提供对所公开主题的一些方面的基本理解。本概述不是所公开主题的详尽概览。其无意标识所公开主题的关键或重要要素或划定所公开主题的范围。其唯一目的在于以简化的形式呈现一些概念,作为稍后被讨论的更详细描述的前序。
在一些实施例中,提供了一种装置。该装置的一些实施例包括处理器,该处理器被配置为响应于网络切片的部署而导入针对网络切片的凭证。该凭证不被其他网络切片所知。该装置还包括储存库,该储存库被配置为存储凭证并且基于由网络切片的服务配置文件定义的凭证保护策略来保护凭证。
处理器的一些实施例被实现在凭证管理器中并且储存库被实现在凭证管理器,和认证、授权和记账(AAA)服务器中的至少一项中。
在一些实施例中,存储在储存库中的凭证根据与单网络切片选择辅助信息(S-NSSAI)相关联的加密、访问控制、存储隔离和完整性保护策略中的至少一项而被保护,S-NSSAI按照网络切片的配置文件中所定义的。
在一些实施例中,处理器被配置为响应于修改触发而修改凭证的至少一个属性。
在一些实施例中,修改触发包括以下至少一项:破坏凭证、凭证丢失、凭证到期、网络切片的安全状态或环境的改变、法规或策略的改变。
在一些实施例中,凭证的属性包括以下至少一项:凭证的值、凭证保护策略、针对认证和保护与S-NSSAI相关联的业务中的至少一项对凭证的使用、以及与S-NSSAI相关联的订户认证标志,订户认证标志指示主认证被使用还是辅认证被使用。
在一些实施例中,处理器被配置为响应于修改触发而触发对网络切片认证标志、网络功能上的业务保护选项中的至少一项的修改,并且处理器被配置为响应于修改触发而触发用户设备上的凭证的修改。
在一些实施例中,处理器被配置为响应于撤销触发而撤销凭证。
在一些实施例中,撤销触发包括以下至少一项:网络切片的终止、S-NSSAI与网络切片的解除关联、以及租户与网络切片的解除关联。
在一些实施例中,处理器被配置为响应于撤销触发而触发网络切片认证标志、业务保护选项中的至少一项的更新,并且其中处理器被配置为响应于撤销触发而触发凭证从用户设备的移除。
在一些实施例中,凭证管理器触发网络切片认证标志、网络功能上的业务保护选项中的至少一项的配置,并且其中凭证管理器向用户设备提供凭证以经由网络切片访问服务。
在一些实施例中,提供了一种方法。该方法包括响应于网络切片的部署而导入针对网络切片的凭证。该凭证不被其他网络切片所知。该方法还包括将凭证存储在储存库中,以及基于由网络切片的服务配置文件定义的凭证保护策略来保护凭证。
在一些实施例中,储存库被实现在凭证管理器以及认证、授权和记账(AAA)服务器中的至少一个中。
在一些实施例中,保护凭证包括:根据与单网络切片选择辅助信息(S-NSSAI)相关联的加密、访问控制、存储隔离和完整性保护策略中的至少一项来保护凭证,S-NSSAI在网络切片的服务配置文件中被定义。
该方法的一些实施例包括,触发网络切片认证标志、网络功能上的业务保护选项中的至少一项的配置,以及向用户设备提供凭证以经由网络切片访问服务。
该方法的一些实施例包括,响应于修改触发而修改凭证的至少一个属性。
在一些实施例中,修改触发包括以下至少一项:破坏凭证、凭证丢失、凭证到期、网络切片的安全状态或环境的改变、法规或策略的改变。
在一些实施例中,凭证的属性包括以下至少一项:凭证的值、凭证保护策略、针对认证和保护与单网络切片选择辅助信息(S-NSSAI)相关联的业务中的至少一项、以及与S-NSSAI相关联的订户认证标志,该订户认证标志指示主认证被使用还是辅认证被使用。
该方法的一些实施例包括,响应于修改触发,触发对网络切片认证标志、网络功能上的业务保护选项中的至少一项的修改,以及响应于修改触发而触发来自用户设备的凭证的修改。
该方法的一些实施例包括,响应于撤销触发而撤销凭证。
在一些实施例中,撤销触发包括以下至少一项:网络切片的终止、S-NSSAI与网络切片的解除关联、以及租户与网络切片的解除关联。
该方法的一些实施例包括,响应于撤销触发而触发对网络切片认证标志、网络功能上的业务保护选项中的至少一项的修改以及响应于撤销触发而触发凭证从用户设备的移除。
在一些实施例中,提供了一种装置。该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器。至少一个存储器和计算机程序代码被配置为利用至少一个处理器使装置至少执行:响应于网络切片的部署而将针对网络切片的凭证导入到认证、授权和记账(AAA)服务器,其中该凭证不被其他网络切片所知,将凭证存储在储存库中,以及基于由网络切片的服务配置文件定义的凭证保护策略来保护凭证。
在一些实施例中,至少一个存储器和计算机程序代码被配置为利用至少一个处理器使装置至少执行:响应于修改触发而修改凭证的至少一个属性,以及响应于撤销触发而撤销凭证。
附图说明
通过参考附图,可以更好地理解本公开,并且使得其众多特征和优点对于本领域技术人员而言是显而易见的。在不同附图中使用的相同附图标记指示相似或相同的项目。
图1是根据一些实施例的支持订户的主认证和授权的网络系统的框图。
图2是根据一些实施例的在5G网络中实现管理功能的处理系统的框图。
图3是根据一些实施例的用于5G网络节点的密钥分发和密钥导出方案的第一部分的框图。
图4是根据一些实施例的用于5G网络节点的密钥分发和密钥导出方案的第二部分的框图。
图5是根据一些实施例的在网络运营商内部模式中实现网络切片特定凭证管理的网络实体的集合的框图。
图6示出了根据一些实施例的用于在网络运营商内部模式中导入和分发网络切片特定凭证的消息交换。
图7示出了根据一些实施例的用于在网络运营商内部模式中更新网络切片特定凭证的消息交换。
图8示出了根据一些实施例的用于在网络运营商内部模式中撤销网络切片特定凭证的消息交换。
图9是根据一些实施例的在网络切片即服务场景中实现网络切片特定凭证管理的网络实体的集合的框图。
图10示出了根据一些实施例的用于在NSaaS模式中导入和分发网络切片特定凭证的消息交换。
图11示出了根据一些实施例的用于在NSaaS模式中更新网络切片特定凭证的消息交换。
图12示出了根据一些实施例的用于在NSaaS模式中撤销网络切片特定凭证的消息交换。
图13是根据一些实施例的将凭证管理映射到参考架构的通信和网络系统的框图。
具体实施方式
网络切片提供用户平面或控制平面功能以支持经由网络切片与用户设备的无线连接性。用户设备可以同时接入多个网络切片,并且单个网络切片可以依据用户设备的隔离要求来为多个用户设备提供服务。用户设备的一些实施例向5G网络提供网络切片选择辅助信息(NSSAI)参数以辅助用户设备选择切片实例。5G网络还可以使用设备能力、订阅信息和本地运营商策略来进行选择。NSSAI是较小组件的集合或列表,由Single-NSSAI(S-NSSAI)指示,其中每个包括切片服务类型(SST)和可能的切片区分符(SD)。切片服务类型是指在特征和服务方面的预期网络行为(例如,专门用于宽带或大规模IoT),而切片区分符可以帮助在多个相同类型的网络切片实例中进行选择,例如将与不同服务相关的业务隔离到不同的切片中。单个NSSAI可能导致选择对若干切片的选择,这些切片由相应的S-NSSAI标识。
强制主认证由MNO执行,例如,响应于服务网络接收到指示由用户设备请求的一个或多个网络切片的NSSAI。当用户设备不发送NSSAI时,5G核心网的一些实施例使用订阅的S-NSSAI作为默认标识符。主认证和密钥协商(AKA)程序支持用户设备与服务网络之间的相互认证,其提供包括密钥材料的凭证,以支持服务网络与用户设备之间的安全通信。因此,主认证为服务于用户设备的基站提供订阅特定会话凭证。凭证被存储在5G网络的核心网中的统一数据管理器(UDM)中。5G网络中的常规主认证仅支持订户(或用户设备)之间的逻辑隔离,而不支持网络切片之间的逻辑隔离,因为多个网络切片可以与单个订户相关联,并且单个网络切片可以与多个订户相关联。尽管可以利用切片特定凭证来执行辅认证,但当前标准并未建立用于管理切片特定凭证的技术。此外,5G移动网络可以基于网络切片和其他技术来实现新服务的快速部署、现有服务的更新以及过时服务的终止。因此,动态切片特定凭证管理对于适应网络切片的动态性至关重要。
图2-13公开了凭证管理器,其为MNO或网络切片的租户提供切片特定凭证的管理。例如,运营商可以实例化或被分配有三个网络切片。这些网络切片中的两个被分配给运营商的垂直客户(例如,租户),并且一个网络切片保留给运营商,以用于运营商订户的流媒体服务。运营商可以为例如垂直客户和运营商的用户等不同级别的用户定义不同的S-NSSAI。在一些实施例中,凭证管理器可以是网络切片管理功能/通信服务管理功能(NSMF/CSMF)的一部分。凭证管理器响应于将网络切片分配给诸如垂直客户或MNO之类的租户,导入至少包括(例如,来自管理员)切片特定密钥材料的凭证。凭证被存储在储存库中,诸如,凭证管理器或认证、授权和记帐(AAA)服务器。在一些实施例中,凭证由运营商根据网络蓝图规划的S-NSSAI标识。如果多个租户共享相同的网络切片,则针对多个租户的凭证可以按租户按S-NSSAI进行分组。所存储的凭证根据在网络切片的服务配置文件中定义的凭证保护策略而被保护。例如,凭证可以根据与在网络切片的服务配置文件中定义的S-NSSAI相关联的加密过程而被加密,该服务配置文件由凭证管理器提供给凭证储存库,诸如AAA服务器。可以使用其他凭证保护技术,包括访问控制、存储隔离和完整性保护。使用切片特定凭证在具有或没有主认证的情况下均促进切片特定认证,并促进基于每个切片的业务隔离和保护。
凭证管理器的一些实施例响应于诸如检测到被破坏或丢失的凭证、凭证到期、网络切片的安全状态/环境的改变、法规或策略的改变、针对诸如AAA服务器等网络功能的访问信息的改变等触发来更新或修改凭证的属性。属性包括凭证的值、凭证保护策略、凭证的使用(例如,仅用于认证或还用于保护与网络切片相关联的业务)、订户认证标志等,订户认证标志指示主认证被使用还是辅认证被使用。更新或修改包括更改凭证的属性。例如,响应于检测到对凭证的访问的异常,可以修改凭证保护策略以将弱加密方案改变为更强的加密方案。作为另一示例,响应于针对网络切片的凭证已被破坏的指示,切片特定密钥材料可以被替换和重新分发。作为又一示例,响应于AAA服务器的配置的改变,UDM可以被更新以改变针对AAA服务器的访问信息。访问信息包括AAA服务器的地址、AAA服务器的凭证等。作为又一示例,更新可以包括根据新的安全策略请求使用切片特定密钥对空中或传输业务进行加密或添加/删除附认证。凭证管理器的一些实施例响应于诸如切片的终止、将所支持的S-NSSAI与切片解除关联、将租户与切片解除关联等触发而撤销凭证。凭证管理器和AAA服务器的一些实施例在网络运营商域中实现,而凭证管理器和AAA服务器的其他实施例在服务提供商域中实现。
图1是根据一些实施例的支持订户的主认证和授权的网络系统100的框图。网络系统100根据第五代(5G)向订户提供包括移动和固定接入的网络服务。
网络系统100包括5G网络系统100的核心网110。核心网110包括接入和移动性管理功能(AMF)115,其在网络系统100中管理针对设备的接入控制和移动性。AMF 115的一些实施例处置注册管理(RM)和连接管理(CM)任务。网络系统100的一些实施例包括安全锚定功能(SEAF)118,其在用户设备与归属网络之间的认证过程期间充当“中间人”。SEAF 118可以拒绝来自用户设备的认证,但其依赖于归属网络来接受用户设备的认证。
会话管理功能(SMF)120根据网络策略在网络系统100中建立和管理会话。用户设备与核心网110之间的关联可以表示为由SMF 120管理的分组数据单元(PDU)会话。PDU会话支持用户设备与数据网络之间的数据连接性。SMF 120生成包括NAS容器的消息以用于传输到AMF 115。核心网110还包括一个或多个用户平面功能(UPF)125,其可以被部署在网络系统100中以向网络系统100的用户提供服务。核心网110还包括统一数据管理器(UDM)130,UDM 130处理凭证、位置管理、订阅管理等。UDM 130存储包括用户订阅数据的数据,诸如订阅标识符、安全凭证、访问和移动性相关订阅数据以及会话相关订阅数据。如本文所讨论的,认证服务器功能(AUSF)132被包括以促进5G安全过程。核心网110的一些实施例包括其他功能,诸如策略控制功能和网络功能储存库功能,为了清楚起见并未在图1中示出。如本文所讨论的,核心网110的一些实施例使用网络功能虚拟化和软件定义网络来实现。例如,不同的网络切片可以用于为不同的用户或设备实例化AMF 115、SEAF 118、SMF 120、UPF125、UDM 130或AUSF 132的不同实例。每个PDU会话都是一个网络切片的部分。
在所示实施例中,用户设备135具有到接入点145的无线连接140。无线连接140是非3GPP接入类型,诸如Wi-Fi连接。接入点145具有到网络150的有线(非3GPP)连接,其能够承载诸如以太网网络的互联网协议(IP)业务。有线连接的一些实施例使用诸如数字订户线路接入复用器(DSLAM)或千兆位无源光网络(GPON)之类的线路终端设备。因此,网络系统100可以经由非3GPP接入类型向用户设备135提供对核心网110的接入。网络系统100还可以向用户设备135提供对核心网110的移动接入,例如,经由无线电接入网155,无线电接入网155通过诸如N2接口的相应接口被连接到AMF 115。无线电接入网155还通过诸如N3接口等的相应接口被连接到UPF 125,为了清楚起见在图1中并未示出。无线电接入网155经由无线连接160向用户设备135提供无线连接性。无线连接160根据3GPP接入类型来提供无线连接性。
互连功能165被设置在网络140与核心网110之间。互连功能165也可以称为非3GPP互连功能(N3IWF),因为互连功能165用于将核心网110连接到接入点145,该接入点145经由非3GPP接入类型来提供连接性。互连功能165被配置为修改或转译从固定接入用户设备传送到核心网110的消息,使得从核心网110的角度来看固定接入用户设备是根据3GPP标准或协议而接入核心网110。互连功能165还被配置为修改或转译从核心网110传送到固定接入用户设备的消息,使得由固定接入用户设备接收的消息符合相应的非3GPP标准或协议。互连功能165支持与AMF 115和UPF 125的接口。
网络系统100与管理对网络切片的访问的管理域(诸如,如图2所示)中的实体一起操作。例如,网络切片管理功能/通信服务管理功能(NSMF/CSMF)可以响应于网络切片向租户的分配而部署网络切片。如本文所使用的,术语“租户”是指网络切片的客户,例如,经由一个或多个网络切片向订户提供服务的垂直客户或企业。在某些情况下,如果MNO向租户提供诸如网络切片即服务(NSaaS)等管理和编排功能,则租户提供用于服务用户的网络切片。在其他实施例中,网络切片由作为服务提供商的电信运营商管理。如本文所使用的,术语“订户”是指电信运营商的客户(例如,MNO)。订户也称为最终用户,其可以是租户的客户。为了清楚起见并未示出租户与其他实体之间的连接。
响应于网络切片的部署(或者租户或S-NSSAI的关联/解除关联),切片特定凭证管理器触发管理功能,诸如导入、更新、修改、移除、存储和保护切片特定凭证。例如,凭证管理器可以发送消息以指令NSMF/CSMF导入针对网络切片的切片特定凭证。切片特定凭证不被其他网络切片所知,并提供由网络系统100支持的网络切片之间的隔离。储存库存储凭证并基于由网络的服务配置文件定义的凭证保护策略来保护凭证片。储存库被实现在凭证管理器,认证、授权和记账(AAA)服务器或其他位置中的至少一个中。凭证的属性响应于修改触发而被修改,并且凭证响应于撤销触发而被撤销。
图2是根据一些实施例的在5G网络的管理域中实现管理功能的处理系统200的框图。管理域管理诸如在网络运营商域中实现的网络切片管理功能(NSMF)205和凭证管理器210,以及诸如凭证储存库215和AAA服务器218等其他实体的管理功能。在所示实施例中,NSMF 205、凭证管理器210、凭证储存库215和AAA服务器218被示为不同且独立的实体。然而,在一些实施例中,NSMF 205、凭证管理器210、凭证储存库215和AAA服务器218的组合被集成到同一实体中。例如,单个硬件平台可以用来实现凭证管理器210和AAA服务器218。又例如,凭证储存库215可以被实现在凭证管理器210或AAA服务器218中。
切片特定凭证管理器210包括收发器220,其支持与包括NSMF 205和凭证储存库215的其他实体的通信。收发器220可以实现为单个集成电路(例如,使用单个ASIC或FPGA)或实现为片上系统(SOC),其包括用于实现收发器220的功能的不同模块。凭证管理器210还包括处理器225和存储器230。处理器225执行存储在存储器230中的指令并在存储器230中存储信息,诸如执行指令的结果。在一些实施例中,存储器230用于实现凭证储存库215。收发器220、处理器225和存储器230因此可以被配置为实现下面详细公开的技术的一些实施例。
凭证储存库215包括收发器235,收发器235支持与包括凭证管理器210的其他实体的通信。收发器235可以实现为单个集成电路(例如,使用单个ASIC或FPGA)或实现为片上系统(SOC),其包括用于实现收发器235的功能的不同模块。凭证储存库215还包括处理器240和存储器245。处理器240可以用于执行存储在存储器245中的指令并在存储器245中存储信息,诸如执行指令的结果和凭证管理器210提供的切片特定凭证。收发器235、处理器240和存储器245因此可以被配置为实现下面详细公开的技术的一些实施例。
处理系统200支持对提供用户平面或控制平面功能的一个或多个网络切片的切片特定凭证的管理和分发。每个网络切片都是完整的逻辑网络,该完整的逻辑网络提供的功能因切片而异。如本文所讨论的,租户可以经由多个切片同时提供服务,并且多个租户可以经由单个切片提供服务。用户设备可以经由多个切片同时访问服务。用户设备的一些实施例向网络提供网络切片选择辅助信息(NSSAI)参数以辅助用户设备对切片实例的选择。单个NSSAI可能导致对多个切片的选择。处理系统200还可以使用设备能力、订阅信息和本地运营商策略来进行选择。NSSAI是较小组件的集合,Single-NSSAI(S-NSSAI),其中每个包括切片服务类型(SST)和可能的切片区分符(SD)。切片服务类型是指在特征和服务方面的预期网络行为(例如,专门用于宽带或大规模IoT),而切片区分符可以帮助在多个相同类型的网络切片实例中进行选择,例如,将与不同服务相关的业务隔离到不同的切片中。
图3是根据一些实施例的用于5G网络节点的密钥分发和密钥导出方案的第一部分300的框图。第一部分300用于在图1所示的网络系统100的一些实施例中导出和分发密钥。第一部分300在UDM 301、AUSF 302、SEAF 303、AMF 304和N3IWF 305中导出和分发密钥,UDM301、AUSF 302、SEAF 303、AMF 304和N3IWF 305以与图1所示的网络系统100中的对应实体相同或类似的方式配置和操作。
UDM 301包括密钥310、311以及密钥导出函数(KDF)312、313。AUSF 302包括密钥314、315、316以及KDF 317、318、319。SEAF 303包括密钥320以及KDF 321。AMF 304包括密钥322、323、324、325、326以及KDF 327、328、329、330、331、332、333。KDF 327、328分别向节点1和2提供密钥。N3IWF 305包括密钥334。图3中所示的KDF对密钥的导出和分发在在第三代合作伙伴计划(3GPP)技术规范(TS)33.501的图6.2.2-1中详细公开,其全部内容通过引用被并入本文。
图4是根据一些实施例的用于5G网络节点的密钥分发和密钥导出方案的第二部分400的框图。在图1所示的网络系统100的一些实施例中,第二部分400与图3所示的第一部分300结合使用以导出和分发密钥。第二部分400在第一基站401和第二基站402中导出和分发密钥,第一基站401和第二基站402也称为无线电接入网或gNB。
第一基站401包括密钥410、411、412、413、414、415、416、417、418、419。在一些实施例中,密钥410、411经由节点1和2从图3所示的AMF 304被接收。第一基站401包括KDF 420、421、422、423、424、425、426、427、428。第二基站402包括密钥430、431。由图1所示的KDF对密钥的导出和分发在3GPP TS 33.501的图6.2.2-1中详细公开,其全部内容通过引用被并入本文。
图5是根据一些实施例的在网络运营商内部模式中实现网络切片特定凭证管理的网络实体的集合500的框图。集合500包括通信服务提供商(CSP)505、网络运营商(NOP)510和通信网络515。通信网络515的一些实施例是使用图1所示的网络系统100实现的。实线箭头表示管理面通信,长虚线箭头表示密钥分发,并且短虚线表示信令面通信。集合500中的CSP 505包括CSMF 520。NOP 510包括NSMF 525、AAA服务器530、NSSMF 535、NFMF 540、凭证管理器545和凭证储存库550以存储网络切片特定凭证并根据凭证保护策略来保护网络切片特定凭证。通信网络515包括AMF 555、AUSF 560和UDM 565。CSMF 520、NSMF 525、NSSMF535和NFMF 540的操作在3GPP TR 28.801和TS 28.533中定义,其全部内容通过引用被并入本文。AMF 555和UDM 565的操作在3GPP TS 23.501中定义,全部内容通过引用被并入本文。AAA服务器的操作在3GPP TR 23.740中描述,全部内容通过引用被并入本文。通信系统还包括具有内部订户身份模块(SIM)575的用户设备570。
集合500被配置为向网络切片的服务配置文件的每个S-NSSAI提供网络切片特定凭证管理、认证标志和业务保护选项等。存储在UDM 565中的S-NSSAI属性被配置为允许提供(添加、删除、更新等)网络切片特定访问控制和来自OAM的保护。AAA服务器530和凭证管理器545以及凭证储存库550被配置为支持导入、更新和删除(撤销)具有相关保护的网络切片特定(长期)凭证。凭证管理器545存储(并且在一些情况下根据凭证保护策略保护)切片特定凭证。NSMF 525和CSMF 520的接口和功能被配置为支持在切片和租户生命周期期间管理网络切片特定凭证的生命周期,并支持与切片/租户特定凭证的改变相关的通知。
集合500的一些实施例的操作在图6-8中示出。例如,响应于通信切片实例(CSI)580或网络切片实例(NSI)585的分配而配置、更新和撤销网络切片特定凭证在图6-8中公开。
图6示出了根据一些实施例的用于在网络运营商内部模式中导入和分发网络切片特定凭证的消息交换600。在图5所示的集合500的一些实施例中实现消息交换600。消息在安全管理员(ADMIN)、CSMF、NSMF、凭证管理器(CM)、凭证储存库(CR)、UDM与用户设备(UE)之间被交换。消息交换600的前提条件是针对每个网络切片(例如,由对应的S-NSSAI标识)的凭证保护策略、认证标志选项、以及业务保护选项被设计和用来配置要部署的网络切片实例(NSI)的服务配置文件。
CSMF发送(在箭头605处)请求以将NSI分配给NSMF。在框610,NSMF成功地部署/更新NSI,然后发送(在箭头615处)向CM通知所请求的NSI已被成功部署的消息。响应于接收到NSI已被成功部署的指示,CM发送(在箭头620处)向ADMIN通知所请求的NSI已被成功部署的消息。
响应于成功部署NSI,网络运营商的安全管理员向CM导入(在箭头625处)针对网络切片(例如,针对NSI的每个S-NSSAI)的凭证。单个NSI可以配置多个S-NSSAI。网络切片实例是管理概念,其反映了在部署/缩放等期间分配给支持服务的网络资源。S-NSSAI是信令概念,用于在信令过程期间为UE分配无线电或传输资源。因此,在S-NSSAI与网络切片实例之间存在m:n映射。例如,当租户要求NSMF分配网络切片以支持服务类型时,租户将与服务类型相关的S-NSSAI列表添加到服务配置文件中。基于服务配置文件,NSMF可以向租户部署新的网络切片,或者将支持该服务类型的现有网络切片实例重用于租户。在后一种情况下,网络切片实例支持不止一个S-NSSAI。凭证被导入管理系统。凭证的一些实施例包括安全密钥、密码、证明和其他信息,如本文所讨论的。如果多个租户共享NSI,则NSMF将每个租户的相关凭证按照S-NSSAI分组。
CM使用基于凭证保护策略确定的安全方法将凭证导入(在箭头630处)到CR。在一些实施例中,在服务配置文件中定义了NSI的每个S-NSSAI的凭证保护策略。用于保护每个S-NSSAI(以及在某些情况下,租户)的凭证的凭证保护策略可以连同凭证一起被传输到CR,例如,在由箭头635指示的消息中。
CR存储导入的凭证,如箭头635所示。然后基于对应的S-NSSAI或租户的凭证保护策略来保护存储的凭证。例如,凭证保护策略可以定义用于加密存储的凭证并在必要时解密存储的凭证的加密算法。
CM指令(或触发)NSMF(如箭头640所示)提供切片特定安全参数以配置其他实体。在所示实施例中,NSMF响应于接收到指令640在UDM中配置其他切片特定安全参数,如箭头645所示。在一些实施例中,NSMF经由NSSMF和NFMF配置切片特定安全参数。切片特定安全参数包括认证标志、业务保护选项、AAA服务器的访问信息等中的一个或多个。在一些实施例中,用于主认证的订户标识符或用于网络切片特定认证的用户标识符在AAA服务器与UDM之间被交换和同步。
CM还向适当的用户设备分发(在箭头650处)凭证,例如,经由NSMF、核心网和无线电网络等。
消息交换600的后置条件包括支持AAA服务器以针对切片特定凭证访问CR,以及核心网功能以访问AAA服务器,进一步支持使用网络切片特定凭证的网络切片特定认证。后置条件还包括使用从网络切片特定凭证导出的安全密钥支持网络切片特定业务保护。受保护的业务包括传输业务、空中接口上的业务等。
图7示出了根据一些实施例的用于在网络运营商内部模式中更新网络切片特定凭证的消息交换700。在图5所示的集合500的一些实施例中实现消息交换700。因此,在安全管理员(ADMIN)、NSMF、CM、CR、UDM与用户设备(UE)之间交换消息。消息交换700响应于检测到更新或修改触发而被发起,例如,检测到触发是消息交换700的前提条件。修改触发的示例包括网络切片特定凭证被破坏或丢失、网络到期分片凭证、NSI的安全状态或安全环境的改变、法规或运营商的安全策略或租户的安全策略的改变、AAA服务器的访问信息的改变等。
如果检测到的修改指示认证或保护策略要被修改,则NSMF响应于检测到修改触发而更新用于相应S-NSSAI或租户的服务配置文件中的认证或保护的一个或多个策略,如箭头705所示。在一些情况下,NSMF通知CM已经检测到修改触发,如箭头710所示。在一些实施例中,CM通过向CR发送消息来指令CR更新用于受影响的S-NSSAI或NSI的租户的凭证保护相关策略,如箭头715所示。
CM响应于修改触发,向运营商的安全管理员通知与网络切片相关联的凭证和属性需要被替换或更新,如箭头720所示。在一些实施例中,CM发送消息720,消息720指示凭证被破坏或已到期。
安全管理员向CM发送消息以更新凭证,例如通过更新针对受影响的S-NSSAI或NSI的租户的凭证,如箭头725所示。响应于接收到更新的凭证,CM将更新的凭证导入CR,如箭头730所示。
如果从CM接收的信息包括更新或修改的凭证,则CR更新凭证,如箭头735所示。CR还保护凭证,如箭头735所示。凭证保护策略可以是先前建立的凭证保护策略(如果从CM接收的信息不包括更新的策略)或新建立的凭证保护策略(如果从CM接收的信息包括更新的策略)。
CM触发(在箭头740处)向适当的用户设备分发更新的凭证,例如,经由NSMF、核心网和无线电网络等。然而,如果检测到认证或保护策略没有改变,则步骤720-740可以被省略。
CM发送消息745以触发对关于核心网的配置信息的更新。响应于接收到消息745,NSMF更新UDM中的包括切片特定安全参数的配置信息,如箭头750所示。在一些实施例中,NSMF经由NSSMF和NFMF更新切片特定安全参数。切片特定安全参数包括认证标志、业务保护选项、AAA服务器的访问信息等中的一个或多个。在一些实施例中,用于主认证的订户标识符或用于网络切片特定认证的用户标识符在AAA服务器与UDM之间被交换和同步。
在一些实施例中,消息交换700的后置条件包括记录(logging)更新的行为以用于后续审计。
图8示出了根据一些实施例的用于在网络运营商内部模式中撤销网络切片特定凭证的消息交换800。在图5所示的集合500的一些实施例中实现消息交换800。消息在CSMF、NSMF、CR、UDM与用户设备(UE)之间被交换。消息交换800响应于检测到撤销触发而被发起,例如,检测到触发是消息交换800的前提条件。撤销触发的示例包括网络切片的终止、所支持的NSSAI与网络切片的解除关联、租户与网络切片的解除关联等。
在所示的实施例中,撤消触发是从CSMF向NSMF发送的消息,如箭头805所示。该消息请求NSI的解除分配、S-NSSAI与支持的列表的解除关联、或基于使用NSI的合同的租户的解除关联。
NSMF在框810终止/更新NSI。响应于NSI的成功终止/更新,NSMF通过向CM发送消息来请求移除受影响的凭证,如箭头815所示。响应于接收到请求时,CM从CR中删除任何先前存储的凭证(如箭头820所示)。CM还发送消息825以指示NSMF更新核心网的配置信息。
响应于接收到消息825,NSMF更新UDM中的片特定安全参数,如箭头830所示。在一些实施例中,NSMF经由NSSMF和NFMF更新片特定安全参数。切片特定安全参数包括认证标志、业务保护选项、AAA的访问信息等中的一项或多项。在一些实施例中,用于主认证的订户标识符或用于网络切片特定认证的用户标识符在AAA服务器与UDM之间被交换和同步。
CM例如通过NSMF、核心网和无线电网络等触发(在箭头835)从适当的用户设备移除凭证。
消息交换800的后置条件包括记录终止、更新或修改行为以供以后审计,并确保受影响的用户不再能够访问与NSI相关联的网络切片表面。
图9是根据一些实施例的在网络切片即服务场景中实现网络切片特定凭证管理的网络实体的集合900的框图。集合900包括通信服务提供商(CSP)905、网络运营商(NOP)910和通信网络915。通信网络915的一些实施例是使用图1所示的网络系统100实现的。实线箭头表示管理面通信,长虚线箭头表示密钥分发,并且短虚线表示信令面通信。集合900中的CSP 905包括CSMF 920、AAA服务器925、凭证管理器930和CR 935。NOP 910包括NSMF 940、NSSMF 945和NFMF 950。通信网络515包括AMF 955、AUSF 960和UDM 965。这些实体以与图1所示的网络系统100中的对应实体相同或类似的方式操作。通信系统还包括具有内部订户身份模块(SIM)975的用户设备970。
集合900用于向网络切片的服务配置文件的每个S-NSSAI提供网络切片特定凭证管理、认证标志和业务保护选项等。存储在UDM 965中的S-NSAAI属性被配置为允许提供(添加、删除、更新等)网络切片特定访问控制和来自OAM的保护。AAA服务器925和凭证管理器930被配置为支持导入、更新和删除(撤销)具有相关保护的网络切片特定(长期)凭证。凭证储存库935被配置为存储(并且在一些情况下根据凭证保护策略保护)网络切片特定凭证。NSMF 940和CSMF 920的接口和功能被配置为支持在切片和租户生命周期期间管理网络切片特定凭证的生命周期,并支持与切片/租户特定凭证的改变相关的通知。
集合900的一些实施例的操作在图10-13中示出。例如,响应于网络切片即服务(NSaaS)980或网络切片实例(NSI)985的分配而配置、更新和撤销网络切片特定凭证在图6-8中公开。
图10示出了根据一些实施例的用于在网络切片即服务(NSaaS)模式中导入和分发网络切片特定凭证的消息交换1000。在图9所示的集合900的一些实施例中实现消息交换1000。因此,在管理员(ADMIN)、CSMF、NSMF、CM、CR、UDM与用户设备(UE)之间交换消息。消息交换1000的前提条件是凭证保护策略、认证标志选项和业务保护选项针对每个S-NSSAI被设计并用来配置要部署的网络切片实例(NSI)的服务配置文件。
CSMF发送请求1005以将NSI分配给NSMF。在框1010,NSMF成功地部署/更新NSI。CSMF向CM发送(在箭头1015处)通知所请求的NSI已被成功部署的消息。响应于接收到消息1015,CM向安全管理员发送(在箭头1020处)通知所请求的NSI已被成功部署并请求适当凭证被导入的消息。
响应于成功地部署NSI,租户/通信服务提供商的安全管理员导入(在箭头1025处)针对网络切片的凭证,例如,如NSI的S-NSSAI所指示的。凭证被导入到CM。如本文所讨论的,凭证的一些实施例包括安全密钥和其他信息。如果多个租户共享NSI,则NSMF根据S-NSSAI对相关凭证进行分组。
CM使用基于凭证保护策略确定的安全方法将网络切片特定凭证导入(在箭头1030处)到CR。在一些实施例中,凭证保护策略是在每个NSI的S-NSSAI的服务配置文件/网络切片模板中定义的。用于保护每个S-NSSAI(以及在某些情况下,租户)的凭证的凭证保护策略可以连同凭证一起传输到CR,例如,在由箭头1030指示的消息中。
在所示的实施例中,CR存储导入的凭证,如箭头1035所示。然后基于对应的S-NSSAI或租户的凭证保护策略来保护所存储的凭证。例如,凭证保护策略可以定义用于对存储的凭证进行加密并在必要时解密所存储的凭证的加密算法。然而,将导入的凭证存储在CR中是可选的并且在一些实施例中不一定实现。
CM指令(或触发)CSMF(如箭头1040所示)向其他实体提供切片特定安全参数和凭证。在所示的实施例中,CSMF向NSMF通知凭证已被导入到CR,如箭头1045所示。作为响应,NSMF在UDM中配置其他切片特定安全参数,如箭头1050所示。在一些实施例中,NSMF经由NSSMF和NFMF配置访问参数。访问参数包括认证标志、业务保护选项、AAA服务器的访问信息等中的一项或多项。在一些实施例中,用于主认证的订户标识符或用于网络切片特定认证的用户标识符在AAA服务器与UDM之间被交换和同步。
CM触发(在箭头1055处)凭证向适当用户设备的分发,例如,经由NSMF、核心网和无线电网络等。
消息交换1000的后置条件包括使用网络切片特定凭证来支持网络切片特定认证。后置条件还包括使用从网络切片特定凭证导出的安全密钥支持网络切片特定业务保护。受保护的业务包括传输业务、空中接口上的业务等。
图11示出了根据一些实施例的用于在NSaaS模式中更新网络切片特定凭证的消息交换1100。在图9所示的集合900的一些实施例中实现消息交换1100。消息在管理员(ADMIN)、CSMF、NSMF、CM、CR、UDM与用户设备(UE)之间被交换。消息交换1100响应于检测到更新或修改触发而被发起,例如,检测到触发是消息交换1100的前提条件。修改触发的示例包括网络切片特定凭证被破坏或丢失、网络切片特定凭证到期、NSI的安全状态的改变或安全环境的改变、法规或运营商的安全策略或租户的安全策略的改变、针对AAA服务器或UDM的访问信息的改变等等。
如果修改包括认证或保护策略的更改,则响应于检测到的修改触发,CSMF向NSMF发送消息,以指示应在相应NSSAI或租户的服务配置文件中更新一个或多个认证或保护策略,如箭头1105所示。然而,如果没有检测到认证或保护策略的更改,则步骤1110-1120可以被省略。响应于修改触发,NSMF在UDM中配置其他切片特定安全参数,如箭头1110所示。在一些实施例中,NSMF经由NSSMF和NFMF配置访问参数。访问参数包括认证标志、业务保护选项、AAA服务器的访问信息等中的一个或多个。在一些实施例中,用于主认证的订户标识符或用于网络切片特定认证的用户标识符在AAA服务器和UDM之间被交换和同步。
响应于修改触发,CSMF还向CM发送消息,以指示需要更新针对受影响的S-NSSAI或NSI的租户的凭证保护相关策略,如箭头1115所示。响应于接收到消息1115,CM发送消息1120,以触发对CR上存储的凭证保护相关策略的修改。
如果修改指示凭证被破坏或已经到期,则CM向安全管理员发送消息1125,以指示凭证被破坏或已经到期。响应于接收到消息1125,安全管理员向CM发送消息以更新凭证,例如通过更新用于受影响的S-NSSAI或NSI租户的凭证,如箭头1130所示。响应于接收更新的凭证,CM将更新的凭证导入CR,如箭头1135所示。CR更新和存储凭证,如箭头1140所示。更新/修改的凭证也可以根据凭证保护相关策略而被保护。
CM触发(在箭头1145处)凭证向适当的用户设备的分发,例如,经由NSMF、核心网和无线电网络等。
在一些实施例中,消息交换1100的后置条件包括用日记记录更新的行为以用于后续审计。
图12示出了根据一些实施例的用于在NSaaS模式中撤销网络切片特定凭证的消息交换1200。在图9所示的集合900的一些实施例中实现消息交换1200。消息在CSMF、NSMF、CM、CR、UDM与用户设备(UE)之间被交换。消息交换1200响应于检测到撤销触发而被发起,例如,检测到触发是消息交换1200的前提条件。撤销触发的示例包括网络切片的终止、支持的S-NSSAI与网络切片的解除关联、从网络切片中移除租户等。
在所示实施例中,撤消触发是从CSMF发送到NSMF的消息,如箭头1205所示。该消息请求NSI的解除分配、S-NSSAI从支持的列表中的移除或对基于使用NSI的合同的租户的移除。
NSMF在框1210终止/更新NSI。响应于NSI的成功终止,CSMF通过向CM发送消息来请求从AAA服务器移除受影响的凭证,如箭头1215所示。接收到请求后,CM发送消息1220,其指令CR移除受影响的凭证。
CM发送消息1225,通知CSMF凭证已被移除。作为响应,CSMF向NSMF发送消息1230,指示要更新核心网配置。响应于接收到消息1230,NSMF在UDM中配置切片特定安全参数参数,如箭头1235所示。在一些实施例中,NSMF经由NSSMF和NFMF配置访问参数。访问参数包括认证标志、业务保护选项、AAA服务器的访问信息等中的一个或多个。在一些实施例中,用于主认证的订户标识符或用于网络切片特定认证的用户标识符在AAA服务器和UDM之间交换和同步。
CM触发(在箭头1240)从适当的用户设备移除凭证,例如,经由NSMF、核心网和无线电网络等。
消息交换1200的后置条件包括记录终止、更新或修改行为以供以后审计,并确保受影响的用户不再能够访问与NSI相关联的网络切片表面。
图13是根据一些实施例的将凭证管理映射到参考架构的通信和网络系统1300的框图。在所示实施例中,参考架构是ETSI零接触网络和服务管理(ZSM)参考架构。通信系统1300包括实现CSMF的端到端(E2E)管理域1305。通信系统1300还包括实现NSMF和NSSMF的集成间结构1310和3GPP管理域1315。3GPP管理域1315包括集成内结构1320和数据服务1325,其可用于在网络运营商内部模式下在网络切片中存储切片特定凭证。集成间结构1310连接到跨域数据服务1330,其可用于在网络切片中存储切片特定凭证作为服务模式。
本文中公开的技术的一些实施例具有优于传统实践的优点。对于网络切片特定访问认证和授权,运营商(网络运营商内部模式的网络切片)或切片的租户(网络切片即服务模式)可以根据特定的安全策略灵活部署自己的切片相关密钥。此外,根据(行业)法规要求的改变、运营商或租户策略的改变、切片的生命周期状态、密钥的生命周期和凭证的安全状态,分发、更新或撤销网络切片特定密钥和切片。此外,如果有多个租户使用单个切片,运营商能够管理每个租户的凭证。此外,租户或运营商可以选择密钥来保护特定切片的业务。
·在MNO设计网络切片时,NSMF/CSMF提供将切片特定的关键要求(例如凭证保护策略、业务保护策略、认证策略等)添加到服务配置文件中的功能。
·部署切片后,凭证管理器或NSMF/CSMF提供将切片的一批密钥(或其他凭证)导入切片特定凭证储存库并配置安全规则以根据定义的安全策略保护凭证的功能.然后,凭证管理器能够通过NSMF、NSSMF和NFMF触发配置5G核心网,以支持基于切片的认证和业务保护,例如,通过在UDM中的特定S-NSSAI上配置认证标志或业务保护标志。然后,NSMF/CSMF/CM触发通过核心和无线电网络向订户的移动设备分发切片特定密钥。
·凭证管理器或NSMF/CSMF可以根据安全策略、凭证的安全状态等自动触发网络切片的凭证修改。此外,凭证管理器/NSMF/CSMF可以相应地自动触发5G核心网功能和移动设备(UE)的更新
·一旦切片被终止,凭证管理器/CSMF/NSMF可以触发从用户设备撤销凭证。
·凭证管理器/CSMF/NSMF可以将针对单个切片的租户的凭证分组并基于租户来管理凭证,例如在创建、更改或删除租户时导入、更新、撤销针对租户的凭证。
本文中公开的技术的一些实施例被应用于为切片建立安全传输。本文中公开的技术的一些实施例也适用于单个租户使用多个切片来构建通信服务和/或跨多个运营商的切片的情况。
下面是需要使用本文公开的网络切片特定密钥来保护用户平面以避免将切片业务信息泄露给其他切片的用例的示例,以及需要管理切片特定凭证和相关策略的用例的示例:
-订户的UE被连接到两个切片,一个用于金融交易,另一个用于聊天目的。第一个切片确保高机密性,因此该切片需要使用更安全的算法对用户业务进行加密。而用于聊天的切片仅需要使用更简单的算法进行加密,这反映在处理器时间上。一般来说,单个UE最多可以连接8个(不同的)切片,它们可能对加密具有不同要求。
-没有用于MNO(作为切片提供者)和租户(作为切片客户)根据切片生命周期(包括切片设计、部署、修改和终止)来管理用于切片的密钥的机制。在传统的网络切片中,用于单个gNB中的网络切片的密钥的生命周期是相同的。但是,像大公司这样的租户可能不想使用从3GPP网络认证密钥导出的密钥。租户可能具有要求他们使用自己独立生成的密钥(例如,切片特定密钥)的策略,但仍需要使用由3GPP网络提供的功能来分发和管理此类密钥。
-另外,在3GPP TR 23.740和3GPP TR 33.813中讨论了针对网络切片的辅认证和授权的概念。基于研究提出的解决方案,作为切片提供商的MNO和作为切片客户的租户可能需要对网络切片的访问控制以及额外的授权和认证。在主认证之后,可能需要切片认证来控制对特定切片服务的访问并支持以租户和用户为中心的标识符和认证。该解决方案考虑部署在公共陆地移动网络(PLMN)或第三方网络中的AAA服务器,其允许对具有访问某些切片的权限的用户进行特定于切片的辅认证和授权。在UE被3GPP系统认证以进行PLMN接入后,AAA服务器处置用户ID和凭证以用于非3GPP用户ID级别的辅认证。对于切片特定的辅认证和授权,需要向UE提供必要的凭证和向AAA服务器认证其自身所必要的算法。
-此外,由于内存和计算限制,用于IoT的UE可能仅实现很少的协议。如果特定UE使用用于主认证的协议,则可能意味着这些UE无法实现租户所需的其他协议。对于IoT设备而言具有针对切片的单个认证将是有益的。
在一些实施例中,上述技术的某些方面可以由执行软件的处理系统的一个或多个处理器来实现。该软件包括存储或以其他方式有形地体现在非瞬态性计算机可读存储介质上的一组或多组可执行指令。软件可以包括指令和某些数据,该指令和某些数据在由一个或多个处理器执行时,操纵一个或多个处理器以执行上述技术的一个或多个方面。非瞬态计算机可读存储介质可以包括例如,磁盘或光盘存储设备、固态存储设备例如闪存、高速缓存、随机存取存储器(RAM)或其他非易失性存储设备或多个设备等。存储在非瞬态计算机可读存储介质上的可执行指令可以是源代码、汇编语言代码、目标代码或由一个或多个处理器解释或以其他方式执行的其他指令格式。
计算机可读存储介质可以包括在使用期间可由计算机系统访问以向计算机系统提供指令和/或数据的任何存储介质或存储介质的组合。这样的存储介质可以包括但不限于光学介质(例如,压缩盘(CD)、数字多功能盘(DVD)、蓝光光盘)、磁介质(例如,软盘、磁带或磁硬盘驱动器)、易失性存储器(例如随机存取存储器(RAM)或高速缓存)、非易失性存储器(例如,只读存储器(ROM)或闪存)或基于微机电系统(MEMS)的存储介质。计算机可读存储介质可以嵌入在计算系统中(例如,系统RAM或ROM)、固定地附接到计算系统(例如,磁硬盘驱动器)、可移除地附接到计算系统(例如,光盘或基于通用串行总线(USB)的闪存),或经由有线或无线网络(例如,网络可访问存储(NAS))耦合到计算机系统。
本申请中使用的术语“电路系统”可以指以下一项或多项或全部:
(a)纯硬件电路实现(诸如仅在模拟和/或数字电路系统中实现);
(b)硬件电路和软件的组合,诸如:
(i)模拟和/或(多个)数字硬件电路与软件/固件的组合,以及
(ii)具有软件(包括(多个)数字信号处理器)、软件和存储器的(多个)硬件处理器的任何部分,其共同工作以使装置(诸如通信设备或基站)执行前述的各种功能;以及
(c)需要软件(例如固件)用于操作的(多个)硬件电路和/或(多个)处理器,诸如(多个)微处理器或(多个)微处理器的部分,但当不需要软件用于操作时,软件可能不存在。
电路的定义适用于该术语在本申请中的所有使用,包括在任何权利要求中的使用。作为另一个示例,如本申请中所使用的,术语电路还涵盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器的一部分及其(或它们的)伴随软件和/或固件的实现。术语电路还涵盖,例如,如果适用于特定的权利要求元素,用于移动设备的基带集成电路或处理器集成电路或服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。
注意,并非所有上述一般描述中的活动或元素都是必需的,可能不需要特定活动或设备的一部分,并且可以执行一个或多个其他活动,或包含除了那些描述的元素之外的元素。更进一步,列出活动的顺序不一定是执行它们的顺序。此外,已经参考特定实施例描述了这些概念。然而,本领域的普通技术人员应认识到,在不脱离如以下权利要求中阐述的本公开的范围的情况下,可以进行各种修改和改变。因此,说明书和附图被认为是说明性的而非限制性的,并且所有这些修改都旨在包括在本公开的范围内。
上面已经关于特定实施例描述了益处、其他优势和问题的解决方案。但是,益处、优势、问题的解决方案以及可能导致任何益处、优势或解决方案出现或变得更加明显的任何特征,不应被解释为作为任何或所有权利要求的关键、所需或必需的特征。此外,以上公开的特定实施例仅是说明性的,因为所公开的主题可以以不同但等效的方式被修改和实践,这对于受益于本文教导的本领域技术人员而言是显而易见的。除了在下面的权利要求中描述的之外,不旨在限制本文所示的构造或设计的细节。因此很明显,以上公开的特定实施例可以被改变或修改并且所有这样的变化都被认为在所公开的主题的范围内。因此,本文寻求的保护如以下权利要求中所述。
Claims (24)
1.一种装置,包括:
处理器,被配置为响应于网络切片的部署而导入针对所述网络切片的凭证,其中所述凭证不被其他网络切片所知;以及
储存库,被配置为存储所述凭证并基于由所述网络切片的服务配置文件定义的凭证保护策略来保护所述凭证。
2.根据权利要求1所述的装置,其中所述处理器被实现在凭证管理器中,并且其中所述储存库被实现在所述凭证管理器和认证、授权和记账AAA服务器中的至少一个中。
3.根据权利要求1所述的装置,其中存储在所述储存库中的所述凭证根据与单网络切片选择辅助信息S-NSSAI相关联的加密、访问控制、存储隔离和完整性保护策略中的至少一项而被保护,所述单网络切片选择辅助信息S-NSSAI在所述网络切片的所述服务配置文件中被定义。
4.根据权利要求1所述的装置,其中所述处理器被配置为响应于修改触发而修改所述凭证的至少一个属性。
5.根据权利要求4所述的装置,其中所述修改触发包括以下至少一项:泄露所述凭证、丢失所述凭证、所述凭证到期、所述网络切片的安全状态或环境的改变、法规或策略的改变。
6.根据权利要求4所述的装置,其中所述凭证的所述属性包括以下至少一项:所述凭证的值、所述凭证保护策略、针对认证和保护与所述S-NSSAI相关联的业务中的至少一项对所述凭证的使用、以及与所述S-NSSAI相关联的订户认证标志,所述订户认证标志指示主认证被使用还是辅认证被使用。
7.根据权利要求4所述的装置,其中所述处理器被配置为响应于所述修改触发而触发对网络切片认证标志、网络功能上的业务保护选项中的至少一项的修改,并且其中所述处理器被配置为响应于所述修改触发而在用户设备上触发对所述凭证的所述修改。
8.根据权利要求1所述的装置,其中所述处理器被配置为响应于撤销触发而撤销所述凭证。
9.根据权利要求8所述的装置,其中所述撤销触发包括以下至少一项:所述网络切片的终止、所述S-NSSAI与所述网络切片的解除关联、以及租户与所述网络切片的解除关联。
10.根据权利要求8所述的装置,其中所述处理器被配置为响应于所述撤销触发而触发所述网络切片认证标志、业务保护选项中的至少一项的更新,并且其中所述处理器被配置为响应于所述撤销触发而触发所述凭证从用户设备的移除。
11.根据权利要求1所述的装置,其中所述凭证管理器触发网络切片认证标志、网络功能上的业务保护选项中的至少一项的配置,并且其中所述凭证管理器向用户设备提供所述凭证以经由所述网络切片来访问服务。
12.一种方法,包括:
响应于网络切片的部署,导入针对所述网络切片的凭证,其中所述凭证不被其他网络切片所知;
将所述凭证存储在储存库中;以及
基于由所述网络切片的服务配置文件定义的凭证保护策略来保护所述凭证。
13.根据权利要求12所述的方法,其中所述储存库被实现在所述凭证管理器和认证、授权和记账服务器中的至少一项中。
14.根据权利要求12所述的方法,其中保护所述凭证包括根据以下至少一项来保护所述凭证:与单网络切片选择辅助信息S-NSSAI相关联的加密、访问控制、存储隔离和完整性保护策略,所述单网络切片选择辅助信息在所述网络切片的所述服务配置文件中被定义。
15.根据权利要求12所述的方法,还包括:
触发网络切片认证标志、网络功能上的业务保护选项中的至少一项的配置;以及
向用户设备提供所述凭证以经由所述网络切片来访问服务。
16.根据权利要求12所述的方法,还包括:
响应于修改触发而修改所述凭证的至少一个属性。
17.根据权利要求16所述的方法,其中所述修改触发包括以下至少一项:泄露所述凭证、丢失所述凭证、所述凭证到期、所述网络切片的安全状态或环境的改变、法规或策略的改变。
18.根据权利要求16所述的方法,其中所述凭证的所述属性包括以下至少一项:所述凭证的值、所述凭证保护策略、针对认证和保护与单网络切片选择辅助信息S-NSSAI相关联的业务中的至少一项对所述凭证的使用、以及与所述S-NSSAI相关联的订户认证标志,所述订户认证标志指示主认证被使用还是辅认证被使用。
19.根据权利要求16所述的方法,还包括:
响应于所述修改触发,触发对网络切片认证标志、网络功能上的业务保护选项中的至少一项的修改;以及
响应于所述修改触发,触发对来自用户设备的所述凭证的所述修改。
20.根据权利要求12所述的方法,还包括:
响应于撤销触发而撤销所述凭证。
21.根据权利要求20所述的方法,其中所述撤销触发包括以下至少一项:所述网络切片的终止、所述S-NSSAI与所述网络切片的解除关联以及租户与所述网络切片的解除关联。
22.根据权利要求20所述的方法,还包括:
响应于所述撤销触发,触发对网络切片认证标志、网络功能上的业务保护选项中的至少一项的修改;以及
响应于所述撤销触发而触发所述凭证从用户设备的移除。
23.一种装置,包括:
至少一个处理器;以及
至少一个存储器,包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为利用所述至少一个处理器使所述装置至少执行:
响应于网络切片的部署,将针对网络切片的凭证导入到认证、授权和记账AAA服务器,其中所述凭证不被其他网络切片所知;
将所述凭证存储在储存库中;以及
基于由所述网络切片的服务配置文件定义的凭证保护策略来保护所述凭证。
24.根据权利要求23所述的装置,其中所述至少一个存储器和所述计算机程序代码被配置为利用所述至少一个处理器使所述装置至少执行:
响应于修改触发而修改所述凭证的至少一个属性;以及
响应于撤销触发而撤销所述凭证。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2019/092583 WO2020257986A1 (en) | 2019-06-24 | 2019-06-24 | Dynamic allocation of network slice-specific credentials |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114097261A true CN114097261A (zh) | 2022-02-25 |
Family
ID=74059608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980097819.5A Pending CN114097261A (zh) | 2019-06-24 | 2019-06-24 | 网络切片特定凭证的动态分配 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220263826A1 (zh) |
| EP (1) | EP3987834A4 (zh) |
| CN (1) | CN114097261A (zh) |
| WO (1) | WO2020257986A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023236093A1 (en) * | 2022-06-08 | 2023-12-14 | Nokia Shanghai Bell Co., Ltd. | Devices, methods, apparatuses, and computer readable media for network slice isolation |
| US20240089218A1 (en) * | 2022-09-14 | 2024-03-14 | At&T Intellectual Property I, L.P. | System and method of software defined network enabled slicing as a service utilizing artificial intelligence |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106717044A (zh) * | 2014-09-26 | 2017-05-24 | 高通股份有限公司 | 服务网络认证 |
| WO2018013925A1 (en) * | 2016-07-15 | 2018-01-18 | Idac Holdings, Inc. | Adaptive authorization framework for communication networks |
| WO2018053271A1 (en) * | 2016-09-16 | 2018-03-22 | Idac Holdings, Inc. | Unified authentication framework |
| CN107925871A (zh) * | 2015-08-14 | 2018-04-17 | 微软技术许可有限责任公司 | 移动运营商简档管理委托 |
| CN108141756A (zh) * | 2015-09-29 | 2018-06-08 | 瑞典爱立信有限公司 | 促成网络切片管理 |
| US20180317086A1 (en) * | 2017-01-27 | 2018-11-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Secondary Authentication of a User Equipment |
| WO2019004929A2 (zh) * | 2017-06-29 | 2019-01-03 | 华为国际有限公司 | 网络切片分配方法、设备及系统 |
| CN109151907A (zh) * | 2017-06-15 | 2019-01-04 | 鸿海精密工业股份有限公司 | 网络切片方法与装置 |
| WO2019020171A1 (en) * | 2017-07-25 | 2019-01-31 | Huawei Technologies Co., Ltd. | METHOD, SYSTEM AND OPTIONS FOR MULTI-OPERATOR SERVICE LIFE CYCLE MANAGEMENT |
| CN109792457A (zh) * | 2016-09-29 | 2019-05-21 | 康维达无线有限责任公司 | 存储和检索设备的网络上下文 |
| US20190182875A1 (en) * | 2017-12-08 | 2019-06-13 | Comcast Cable Communications, Llc | User Plane Function Selection For Isolated Network Slice |
-
2019
- 2019-06-24 US US17/621,971 patent/US20220263826A1/en active Pending
- 2019-06-24 EP EP19934414.4A patent/EP3987834A4/en active Pending
- 2019-06-24 CN CN201980097819.5A patent/CN114097261A/zh active Pending
- 2019-06-24 WO PCT/CN2019/092583 patent/WO2020257986A1/en unknown
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106717044A (zh) * | 2014-09-26 | 2017-05-24 | 高通股份有限公司 | 服务网络认证 |
| CN107925871A (zh) * | 2015-08-14 | 2018-04-17 | 微软技术许可有限责任公司 | 移动运营商简档管理委托 |
| CN108141756A (zh) * | 2015-09-29 | 2018-06-08 | 瑞典爱立信有限公司 | 促成网络切片管理 |
| WO2018013925A1 (en) * | 2016-07-15 | 2018-01-18 | Idac Holdings, Inc. | Adaptive authorization framework for communication networks |
| WO2018053271A1 (en) * | 2016-09-16 | 2018-03-22 | Idac Holdings, Inc. | Unified authentication framework |
| CN109792457A (zh) * | 2016-09-29 | 2019-05-21 | 康维达无线有限责任公司 | 存储和检索设备的网络上下文 |
| US20180317086A1 (en) * | 2017-01-27 | 2018-11-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Secondary Authentication of a User Equipment |
| CN109151907A (zh) * | 2017-06-15 | 2019-01-04 | 鸿海精密工业股份有限公司 | 网络切片方法与装置 |
| WO2019004929A2 (zh) * | 2017-06-29 | 2019-01-03 | 华为国际有限公司 | 网络切片分配方法、设备及系统 |
| WO2019020171A1 (en) * | 2017-07-25 | 2019-01-31 | Huawei Technologies Co., Ltd. | METHOD, SYSTEM AND OPTIONS FOR MULTI-OPERATOR SERVICE LIFE CYCLE MANAGEMENT |
| US20190182875A1 (en) * | 2017-12-08 | 2019-06-13 | Comcast Cable Communications, Llc | User Plane Function Selection For Isolated Network Slice |
Non-Patent Citations (2)
| Title |
|---|
| HUAWEI, HISILICON: ""S3-161374_pCR_amendment to security requirements and threats for key issue #8 3 on network slicing"", 3GPP TSG_SA\\WG3_SECURITY, 20 September 2016 (2016-09-20) * |
| HUAWEI, HISILICON: "S3-170128 "Declaring the public/private key pairs (e.g in EAP-TLS) should be stored in AUSF instead of ARPF"", 3GPP TSG_SA\\WG3_SECURITY, no. 3, 29 January 2017 (2017-01-29) * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3987834A1 (en) | 2022-04-27 |
| WO2020257986A1 (en) | 2020-12-30 |
| EP3987834A4 (en) | 2023-04-05 |
| US20220263826A1 (en) | 2022-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3627793B1 (en) | Session processing method and device | |
| EP3659358B1 (en) | Secure short message service over non-access stratum | |
| EP3281436B1 (en) | Method and apparatus for downloading a profile in a wireless communication system | |
| KR102051492B1 (ko) | 머신-대-머신 서비스 제공 방법 및 장치 | |
| US8195944B2 (en) | Automated method for securely establishing simple network management protocol version 3 (SNMPv3) authentication and privacy keys | |
| CN106464534B (zh) | 配设和管理用户驻地设备装置的片 | |
| CN109964453B (zh) | 统一安全性架构 | |
| RU2611020C2 (ru) | Способ и система для установления туннеля по протоколам для обеспечения защиты данных | |
| US20210377054A1 (en) | Systems and methods for managing public key infrastructure certificates for components of a network | |
| AU2014261983B2 (en) | Communication managing method and communication system | |
| CN112449315A (zh) | 一种网络切片的管理方法及相关装置 | |
| WO2012128876A1 (en) | A flexible system and method to manage digital certificates in a wireless network | |
| US11855977B2 (en) | Systems and methods for configuring a network function proxy for secure communication | |
| WO2018079690A1 (ja) | 通信システム、ネットワーク装置、認証方法、通信端末、及びセキュリティ装置 | |
| US20140189357A1 (en) | Encryption and authentication based network management method and apparatus | |
| CN109076086A (zh) | 执行认证和密钥协商之前的安全信令 | |
| EP3119056B1 (en) | Machine to machine virtual private network | |
| CN114097261A (zh) | 网络切片特定凭证的动态分配 | |
| Hauser et al. | Establishing a session database for SDN using 802.1 X and multiple authentication resources | |
| Nguyen et al. | An SDN-based connectivity control system for Wi-Fi devices | |
| CN111147273B (zh) | 一种数据安全的实现方法及相关设备 | |
| CN112887968B (zh) | 一种网络设备管理方法、装置、网络管理设备及介质 | |
| Passpoint | Deployment Guidelines | |
| WO2022242774A1 (en) | Methods and devices in communication network | |
| KR20220130438A (ko) | 5g lan 서비스 제공 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |