CN114667751A - 一种支持对用户设备认证的方法 - Google Patents
一种支持对用户设备认证的方法 Download PDFInfo
- Publication number
- CN114667751A CN114667751A CN202080079259.3A CN202080079259A CN114667751A CN 114667751 A CN114667751 A CN 114667751A CN 202080079259 A CN202080079259 A CN 202080079259A CN 114667751 A CN114667751 A CN 114667751A
- Authority
- CN
- China
- Prior art keywords
- telecommunications network
- binding information
- udm
- ims
- sba
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种通过连接服务化架构SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中用户设备UE的认证的方法,所述方法包括以下步骤:由所述SBA电信网络中的统一数据管理UDM从所述SBA电信网络中的会话管理功能SMF接收绑定信息,其中所述绑定信息用于识别所述IMS电信网络中的所述UE;由所述SBA电信网络中的所述UDM从所述IMS电信网络中的归属用户服务器接收提供所述绑定信息的请求;并且由所述SBA电信网络中的所述UDM向所述IMS电信网络中的所述HSS提供所述绑定信息,从而支持对所述UE的认证。本文还介绍了补充方法和对应的节点。
Description
技术领域
本公开主要涉及电信领域,更具体地,涉及用于支持对电信网络中用户设备UE的认证的方法。
背景技术
第三代合作伙伴计划3GPP技术标准TS 33.203规定了在通过3GPP访问时安全访问互联网协议IP多媒体子系统IMS的安全功能和机制。IMS中的安全功能基于用户认证,该用户认证基于存储在通用集成电路卡UICC中的IMS用户身份模块ISIM应用中的标识符和凭证。然而,IMS也允许使用存储在UICC中的通用移动电信系统UMTS用户身份模块USIM应用中的凭证和标识符,该标识符和凭证主要用于3GPP访问认证,诸如通用分组无线业务GPRS和演进分组核心EPC,用于IMS级的认证。
此外,3GPP TS 33.203 Annex T还针对不完全符合IMS安全架构的早期IMS实施规定了临时安全解决方案,也就是所谓的GPRS IMS捆绑认证GIBA。尽管GIBA安全解决方案最初被设想为用于通过3GPP访问来促进早期IMS部署的临时步骤,但事实证明,它可以为IMS的大多数3GPP部署提供足够的安全性。因此,它获得了提升,不再被视为早期部署的临时解决方案,而只是主流IMS安全机制。
GIBA是一种认证机制,它是针对不完全符合IMS认证和密钥协议AKA的设备的临时解决方案。用户在建立分组数据协议PDP上下文时被分配的IP地址被传递到归属用户服务器HSS,并链接到他们的私有/公共ID。对IMS的未来请求必须按顺序来自相同的IP地址。
3GPP AKA是目前在IMS中定义的认证机制之一,它利用了在第三代CS和GPRS网络中也使用的通用3GPP AKA机制。3GPP AKA依赖于存储在UICC卡中的用户和存储在HSS中的网络之间的共享秘密,并且无需任何用户交互即可自动执行。
GIBA在以前称为早期IMS安全性,其部署在尚未提供完整IMS安全性的基础设施的、基于3GPP的网络中,例如具有早期IMS部署的网络(其未将IPsec和3GPP AKA用于IMS)。GIBA依赖于GPRS层的安全性,因此不需要特定的IMS或SIP认证过程。
该GIBA安全解决方案原则上预期在产品(主要是用户设备UE)可用之前使用,这些产品完全支持TS 33.203主体中定义的3GPP IMS安全特性。因此,需要确保建立简单但足够安全的机制,以防止早期IMS实现中存在的最大的安全威胁。
GIBA安全解决方案的工作原理是在HSS中创建公共/私有用户身份(即会话发起协议SIP级身份)和当前在GPRS访问级分配给用户的互联网协议IP地址(诸如承载/网络级身份)之间的安全绑定。因此,IMS级信令(尤其是用户声明的IMS身份)可以安全地绑定到分组交换PS域承载级安全上下文。使用Gm的GIBA的信令流程如图1所示。
图1随后在本公开中更详细地描述。
尽管GIBA被设计为主要用于GPRS访问,但它也可以在EPC中与充当RADIUS客户端的分组数据网络网关PDN-GW一起使用,并且支持Gi与充当RADIUS服务器的HSS交互。
GIBA还可以用于认证用户对IMS应用服务器的访问,作为GAA/GBA的替代方案。在这种情况下,IMS应用服务器IMS-AS通过Sh UDR Diameter命令向HSS请求绑定信息,以获取3GPP TS 29.328中定义的IP地址安全绑定信息。到目前为止,尚未指定在5GC中支持GIBA。
3GPP版本16TS 23.501定义了在第五代核心5GC中针对非公共网络NPN的支持的架构和解决方案。NPN是为非公共使用而部署的5GS。NPN可以部署为独立的非公共网络SNPN,即由NPN运营商运营,而不依赖于公共陆地移动网络PLMN提供的网络功能。
一些PLMN运营商仍在尝试启用PLMN向SNPN提供的服务和能力。特别是,基于IMS的语音/视频/消息传递功能成为焦点。
在SNPN部署中,预计UE不会使用基于使用国际移动用户身份IMSI和AKA机制的认证机制,主要是因为UE甚至可能无法托管UICC。身份和认证管理可能基于替代的标识符和凭证,诸如网络访问标识符NAI格式的订阅永久标识符SUPI,以及使用可扩展认证协议-传输层安全EAP-TLS的基于证书的认证。
因此,在SNPN中使用的UE中对33.203中定义的IMS安全解决方案的支持可能也没有就位,因此应该使用替代认证机制来为SNPN UE启用IMS服务。
IMS中另一种流行的认证机制是基于超文本传输协议HTTP摘要式认证的SIP摘要式认证,其使用用户名和密码作为凭证。但这需要为SNPN UE配置PLMN凭证。
需要一种为SNPN UE启用IMS服务能够最小化SNPN UE配置的认证解决方案。
发明内容
在本公开的第一方面,提出了一种通过连接服务化架构SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中的用户设备UE的认证的方法。所述方法包括以下步骤:由所述SBA电信网络中的统一数据管理UDM从所述SBA电信网络中的会话管理功能SMF接收绑定信息,其中所述绑定信息用于识别所述IMS电信网络中的所述UE;由所述SBA电信网络中的所述UDM从所述IMS电信网络中的归属用户服务器接收提供所述绑定信息的请求;并且由所述SBA电信网络中的所述UDM向所述IMS电信网络中的所述HSS提供所述绑定信息,从而支持对所述UE的认证。
发明人已经发现,如果UDM例如从会话管理功能SMF接收绑定信息,例如IP地址或订阅永久标识符/全球唯一个人标识符,并且在对IMS域中的UE进行认证期间,归属用户服务器HSS能够从UDM检索绑定信息。
绑定信息可以例如在服务化架构SBA网络中的UE的认证过程期间被提供给UDM。在这样的认证过程中,SMF在UDM中注册对应的PDU会话。这样,发明人发现在从SMF交换到UDM的消息中引入绑定信息可能是有益的。
根据本公开,IP多媒体子系统IMS是用于电信运营商的集成网络的概念,其将有助于IP用于无线或陆线上所有已知形式的分组通信。此类通信的示例包括传统电话、传真、电子邮件、互联网访问、Web服务、IP语音VoIP、即时消息传递IM、视频会议会话和视频点播VoD。IMS是第三代合作伙伴项目3GPP的一部分。
SBA电信网络可以是第五代5G网络。本公开提供了一种机制来支持5G核心5GC中对如下设备的认证机制:这些设备可能无法托管通用集成电路卡UICC或可能无法使用基于国际移动用户身份IMSI的安全机制。本公开实现了用于对那些UE访问IMS域的简单但安全的认证机制。
会话管理功能SMF可以是基于5G服务的架构的元素。SMF可主要负责与解耦的数据面交互,创建更新和删除协议数据单元PDU会话,以及使用用户面功能UPF管理会话上下文。
SMF可能涉及源自UE的PDU会话建立请求,其中UE请求在SBA(即5GC)电信网络中对UE的注册和认证。
根据实施例,通过Nudm服务的服务操作来提供绑定信息。例如,通过现有服务操作Nudm_UEContextManagement_Registration提供信息。UDM还可以通过Nudm_SDM_getservice提供绑定信息。此服务操作是通过标准化的Nudm接口提供的。为了利用现有的服务操作,服务操作可能必须被扩展以包括附加信息。在本公开中呈现了这样的修改。
根据示例实施例,绑定信息至少包括:
-UE IP地址
-协议数据单元PDU会话注册的时间戳。
当绑定信息包括时间戳时,这可以用于选择要提供给所述HSS的绑定信息。发明人认为,如果UDM保持关于DNN的旧SMF的信息停滞不前,时间戳可以帮助UDM确定最新的SMF,这是有利的。
根据实施例,该方法还包括如下步骤:由所述UDM向所述SMF提供关于数据网络名称DNN的信息,这将需要将UE IP地址报告给所述UDM。
根据示例,接收所述绑定信息的步骤包括:
-由所述UDM向所述SMF请求所述绑定信息,所述请求由从所述HSS接收到用于提供所述绑定信息的请求来触发,以及
-由所述UDM从所述SMF接收所述绑定信息。
根据另一示例,绑定信息包括指示生成所述绑定信息的时间的时间戳。
参照图10最好地解释上述两个示例,图10稍后将在本特定公开中更详细地解释。
在本公开的第二方面,提出了一种通过连接服务化架构SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中的用户设备UE的认证或实际认证的方法。根据第二方面的方法包括以下步骤:由所述IMS电信网络中的归属用户服务器HSS向所述SBA电信网络中的统一数据管理UDM发送提供绑定信息的请求,其中,所述绑定信息用于识别所述IMS电信网络中的UE;由所述IMS电信网络中的HSS从所述SBA电信网络中的UDM接收所请求的绑定信息;并且由所述IMS电信网络中的HSS向所述IMS电信网络中的服务呼叫/会话控制功能S-CSCF发送所述绑定信息,从而支持对所述UE的认证。最后的发送步骤可以被如下步骤代替或附加:所述IMS电信网络中的HSS节点基于所接收的绑定信息对所述UE进行认证。
特此提出,与本公开的第一方面相关的优点和特征在必要时也与本公开的第二方面相关。
根据示例,通过Nudm服务的服务操作来接收绑定信息。
在第二方面的示例中,所述绑定信息至少包括:
-UE IP地址
-协议数据单元PDU会话注册的时间戳。
根据本公开的第三方面,提供了一种通过连接服务化架构SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中的用户设备UE的认证的方法。该方法包括以下步骤:由会话管理功能SMF从统一数据管理UDM接收请求数据网络名称DNN的绑定信息的消息;由所述SMF向所述UDM发送所述UDM请求的DNN的绑定信息。
特此提出,与本公开的第一方面相关的优点和特征在必要时也与本公开的第三方面相关。
在第三方面的示例中,所述绑定信息至少包括:
-UE IP地址
-协议数据单元PDU会话注册的时间戳。
根据本公开的第四方面,提供了服务化架构SBA电信网络中的统一数据管理UDM节点,用于通过连接所述SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中的用户设备UE的认证。UDM节点包括:接收设备,用于从所述SBA电信网络中的会话管理功能SMF接收绑定信息,其中所述绑定信息用于识别所述IMS电信网络中的UE,其中所述接收设备还用于从所述IMS电信网络中的归属用户服务器接收用于提供所述绑定信息的请求;以及发送设备,用于向所述IMS电信网络中的HSS提供所述绑定信息。
与本公开的第一方面相关的特征和优点(作为一种支持对用户设备的认证的方法)也与第四方面(即支持对UE的认证的UDM节点)相关。
根据实施例,绑定信息用于通过Nudm服务的操作提供,例如Nudm_UECM_Registration或Nudm_SDM_getservice。
根据示例实施例,绑定信息至少包括:
-UE IP地址
-协议数据单元PDU会话注册的时间戳。
根据实施例,UDM还包括选择设备,用于基于所述时间戳来选择要提供给所述HSS的绑定信息。
在实施例中,UDM的发送设备还用于向所述SMF提供关于数据网络名称DNN的信息,这将需要将UE IP地址报告给所述UDM。
在另一示例中,发送设备还用于向所述SMF请求所述绑定信息,所述请求由从所述HSS接收到用于提供所述绑定信息的请求来触发,并且其中所述接收设备还用于由所述UDM从所述SMF接收所述绑定信息。
这里,绑定信息可以包括指示生成所述绑定信息的时间的时间戳。
上述示例可以关于图10得到最佳解释,图10稍后将在本特定公开中更详细地阐明。
在本公开的第五方面中,提供了互联网协议IP多媒体子系统IMS电信网络中的归属用户服务器HSS节点,用于通过连接服务化架构SBA电信网络来支持对所述IMS电信网络中的用户设备UE的认证。HSS节点包括:发送设备,用于向所述SBA电信网络中的统一数据管理UDM发送提供绑定信息的请求,其中所述绑定信息用于识别所述IMS电信网络中的UE;以及接收设备,用于从所述SBA电信网络中的UDM接收所请求的绑定信息。
根据本公开的第六方面,提供了服务化架构SBA电信网络中的会话管理功能SMF节点,用于通过连接所述SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中的用户设备UE的认证。SMF节点包括:接收设备,用于从统一数据管理UDM接收请求数据网络名称DNN的绑定信息的消息;以及发送设备,用于由所述SMF向所述UDM发送所述UDM请求的DNN的绑定信息。
在本公开的第七方面,提供了一种包括指令的计算机可读存储介质,当加载到通信网络中的一个或多个节点上时,所述指令用于执行根据本公开的任一方法。本领域技术人员理解用于执行根据本公开的第一方面的方法的计算机程序产品可以被加载到UDM节点上并且由UDM节点执行。类似地,用于执行根据本公开的第二方面的方法的计算机程序产品可以被加载到HSS节点上并且由HSS节点执行。最后,用于执行根据本公开的第三方面的方法的计算机程序产品可以被加载到SMF节点上并且由SMF节点执行。
在本公开的范围内,由用户数据管理UDM节点执行的步骤可以由电信网络中的任何其他数据管理节点执行。由会话管理功能SMF执行的步骤可以由电信网络中旨在管理会话的任何其他节点执行。
根据以下参照附图的描述,将更好地理解本公开的上述和其他特征和优点。在附图中,类似的附图标记表示完全相同的部分或执行完全相同或类似功能或操作的部分。
附图说明
图1示意性地示出了根据现有技术的早期互联网协议多媒体子系统IMS安全的消息序列。
图2示意性地示出了在第五代核心5GC网络中用于通用分组无线电服务GPRS IMS捆绑认证GIBA支持的信令序列。
图3示意性地示出了用于支持5GIBA以在IMS应用服务器IMS-AS中进行UE认证的信令序列。
图4至图6示意性地示出了根据本公开的方法。
图7示意性地示出了根据本公开的统一数据管理UDM。
图8示意性地示出了根据本公开的归属用户服务器HSS。
图9示意性地示出了根据本公开的会话管理功能SMF。
图10示意性地示出了根据本公开的方法。
具体实施方式
现在将参考附图更全面地描述本文中设想的一些示例。然而,其他示例包含在本文所公开的主题的范围内,所公开的主题不应被解释为仅限于本文所阐述的示例;相反,这些示例是通过示例的方式提供的,以向本领域技术人员传达主题的范围。
在本公开的上下文中,GIBA过程的一些可能的步骤在下面突出显示:
UE 2首先设置PDP上下文,如步骤10至15所示。当向IP多媒体子系统IMS激活分组数据协议PDP上下文时,作为RADIUS客户端的GPRS网关支持节点GGSN 4通过Gi接口将分配给UE 2的用户IP地址、IMSI和MSISDN提供给HSS 7中的RADIUS服务器。
当成功建立PDP上下文时,UE 2发送会话发起协议SIP注册请求16、17。注册请求包含分配给该UE 2的IP地址及UE 2的IMS公共标识符IMPU。
GGSN 4验证18在建立PDP上下文时分配给UE 2的IP地址与在注册请求中提供的IP地址匹配。当IP地址已被验证时,GGSN 4将注册请求转发19、20到代理呼叫会话控制功能P-CSCF 5。
P-CSCF 5根据注册请求的Via头中的IP地址来验证21源IP地址。如果源IP地址与Via头中的IP地址不同,则P-CSCF 5将该源IP地址添加到Via头中接收到的参数中。P-CSCF5然后将注册请求转发22、23到归属网络中的询问CSCF(I-CSCF)6。
I-CSCF 6联系24HSS 7以授权该UE 2访问IMS。HSS 7响应25UE 2被授权,并且I-CSCF 6将SIP注册请求转发27到被选择为UE 2服务的服务CSCF(S-CSCF)8。
S-CSCF 8联系28HSS 7并且指示将GIBA用于认证UE。HSS 7将存储的IP地址返回30给S-CSCF 8。然后,S-CSCF 8验证31HSS 7返回的IP地址是否与注册请求中获得的IP地址匹配。如果存在,则应使用接收到的参数。如果匹配,则对用户进行认证并授权在IMS中注册。
S-CSCF 8向HSS 7发送消息32,通知该S-CSCF 8将要为UE 2服务,并且HSS 7以提供S-CSCF 8为服务UE 2所需的信息的消息进行响应。
S-CSCF 8向UE 2返回34SIP 200OK响应,指示注册成功完成。
基于GIBA中使用的原则,实现对UE(其使用5GC访问时不支持基于AKA的标识符和凭证)访问IMS域的认证机制,以下称为5G IMS捆绑认证5GIBA。
本公开的构思围绕SMF通过现有的Nudm_UEContextManagement_Registration服务操作向UDM提供绑定信息,例如IP地址、SUPI/GPSI,以便HSS在IMS注册的认证期间从UDM检索绑定信息。
为了在5GC中注册绑定信息,对现有Nudm_UEContextManagement_Registration服务操作的扩展通过3GPP TS 29.503中定义的标准化Nudm接口进行。因此,SMF在UDM中注册的信息利用如下SMF数据中的UE上下文中的SMF注册时间戳和UE IP地址进行扩展:
本发明提出SMF中的UE上下文也有可能被SUPI/DNN请求过滤,如下所述。
图2示意性地示出了在第五代核心5GC网络中用于支持通用分组无线电服务GPRSIMS捆绑认证GIBA的信令序列40。
UE 2在5GC中认证和注册51。这种认证过程在现有技术中是已知的。UE 2使用的SUPI和凭证可能不基于国际移动用户身份/认证和密钥协议IMSI/AKA。
在步骤52中,UE 2为数据网络名称DNN IMS建立PDU会话。选择适合为DNN IMS建立PDU会话的SMF 41。
在步骤53、54中,SMF 41使用3GPP TS 23.502和3GPP TS 29.503中定义的现有Nudm_UEContextManagement_Registration服务操作在UDM 42中注册PDU会话。SMF 41包括分配给UE 2的IP地址,并且UDM 42将其存储为“SMF数据中的UE上下文”。另外,SMF 41可以包括用于PDU会话注册的时间戳。如果UDM 42保留关于旧SMF的停滞信息,该时间戳可以帮助UDM 42确定DNN的最新SMF 41。
SMF 41可以被配置为仅包括用于IMS DNN的UE IP地址,或者为所有DNN这样做。在另一实施例中,当SMF使用Nudm_SDM_Get向UDM请求SUPI/DNN的订阅数据时,UDM 42可以通知SMF 41哪些DNN将需要向UDM报告UE IP地址,如图2的步骤53所示。
DNN IMS的PDU会话建立在步骤55中完成。在随后的步骤56中,UE 2向IMS发送SIP注册请求。SIP注册请求包括UE的IMPI/IMPU和在5GC中分配给UE 2的IP地址。被UE 2用于在IMS中注册的IMPI/IMPU基于用于在5GC中注册的UE的SUPI。值得注意的是,SUPI可包含用作IMPI的NAI。
在步骤57,IMS核心43中的S-CSCF联系HSS 7并且指示将GIBA用于认证UE 2。HSS 7可以尝试使用Gi找到58由GGSN/PDN-GW提供给HSS的绑定信息。在缺少来自GPRS/EPS域的绑定信息的情况下或此外,HSS-IMS 7也会检查来自5GC的绑定信息。
在3GPP在TS 23.632中定义的UDICOM上下文中,并且HSS和UDM部署为单独的NF,HSS-IMS使用现有的Nudm_SDM_Get服务操作向UDM请求绑定信息(即,用于SUPI和IMS DNN的“SMF数据中的UE上下文”)。
HSS 7基于在步骤7中来自S-CSCF的认证请求中接收到的IMPI创建SUPI。UDM 42向HSS 7提供“SMF数据中的UE上下文”
在另一实施例中,在存在多个管理DNN IMS的SMF的情况下,UDM可以使用包括在“SMF数据中的UE上下文”中的时间戳来选择来自5GC域的最新绑定信息以提供给HSS。
在步骤59,HSS 7将存储的IP地址返回给S-CSCF 43。在存在来自5GC和GPRS/EPC域的绑定信息的情况下,HSS 7例如还基于来自GPRS/EPC的绑定信息的时间戳决定将哪个IP地址提供给S-CSCF。S-CSCF 43然后将HSS返回的IP地址与在SIP注册请求中获得的IP地址进行匹配。
在步骤60,IMS注册过程相应地进行,例如,如果HSS提供的IP地址与UE在SIP注册消息中提供给S-CSCF的IP地址相同,则IMS注册过程成功。
相同的原理可以用于支持5GIBA以在IMS-AS中进行UE认证,如图3中的信令图70所示:
在这种情况下,在步骤77至79中,HSS 7在通常从认证/聚合代理或IMS AS 44接收到针对IP地址安全绑定信息的请求时,在步骤73至74中请求在5GC中UE注册期间存储在UDM中的安全绑定信息。如果HSS 7提供的安全绑定信息与步骤76中UE提供的安全绑定信息相同,则IMS服务继续或停止80。其余步骤与结合图2呈现和描述的步骤相同,即图3中的步骤71对应于图2中的步骤51,以此类推。
支持对UE(其在使用5GC访问时不支持基于AKA的标识符和凭证)访问IMS域进行认证的机制。提议的机制基于GIBA中使用的原则。这将为不支持基于AKA的标识符和凭证的UE提供一种简单的认证机制来访问IMS域。
图4示出了一种方法100,用于通过连接服务化架构SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中的用户设备UE的认证。该方法包括以下步骤:由所述SBA电信网络中的统一数据管理UDM从所述SBA电信网络中的会话管理功能SMF接收101绑定信息,其中所述绑定信息用于识别所述IMS电信网络中的UE。在随后的步骤102中,UDM从所述IMS电信网络中的归属用户服务器接收提供所述绑定信息的请求,并且随后向所述IMS电信网络中的HSS提供103所述绑定信息,从而支持对所述用户的认证。
方法100还可以包括由所述UDM向所述SMF提供104关于数据网络名称DNN的信息的附加步骤,这将需要向所述UDM报告UE IP地址。
图5示出了一种方法110,用于通过连接服务化架构SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中的用户设备UE的认证。该方法包括以下步骤:由所述IMS电信网络中的归属用户服务器HSS向所述SBA电信网络中的统一数据管理UDM发送111提供绑定信息的请求,其中,所述绑定信息用于在所述IMS电信网络中识别所述UE。HSS从所述SBA电信网络中的UDM接收112所请求的绑定信息,并且将所述绑定信息发送113到所述IMS电信网络中的服务呼叫/会话控制功能S-CSCF,从而支持对所述UE的认证。
图6示意性地示出了一种方法120,用于通过连接服务化架构SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中的用户设备UE的认证。方法120包括以下步骤:由会话管理功能SMF向统一数据管理UDM接收121请求数据网络名称DNN的绑定信息的消息;并且由所述SMF向所述UDM发送所述UDM请求的DNN的绑定信息。
图7示意性地示出了服务化架构SBA电信网络中的统一数据管理UDM节点42,用于通过连接所述SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中的用户设备UE的认证。UDM节点42包括接收设备131、132,该接收设备131、132用于从所述SBA电信网络中的会话管理功能SMF接收绑定信息,其中所述绑定信息用于识别所述IMS电信网络中的UE。接收设备131、132还被用于从所述IMS电信网络中的归属用户服务器接收用于提供所述绑定信息的请求。
UDM节点42还包括发送设备133、134,该发送设备133、134用于向所述IMS电信网络中的HSS提供所述绑定信息。UDM节点还可以另外包括选择设备135,该选择设备135用于基于所述时间戳来选择要提供给所述HSS的绑定信息。
UDM节点42还包括存储器137,该存储器137用于存储一组计算机可读指令,这些指令在由处理器136执行时使UDM节点42执行根据本公开的方法。内部组件使用内部总线138相互通信。
图8示意性地示出了互联网协议IP多媒体子系统IMS电信网络中的归属用户服务器HSS节点7,用于通过连接服务化架构SBA电信网络来支持对所述IMS电信网络中的用户设备UE的认证。HSS节点7包括:发送设备143、144,用于向所述SBA电信网络中的统一数据管理UDM发送提供绑定信息的请求,其中所述绑定信息用于识别所述IMS电信网络中的UE;以及接收设备141、142,用于从所述SBA电信网络中的UDM接收所请求的绑定信息。
HSS节点7还包括存储器146,该存储器146用于存储一组计算机可读指令,这些指令在由处理器145执行时使HSS节点执行根据本公开的方法。内部组件使用内部总线147相互通信。
图9示意性地示出了服务化架构SBA电信网络中的会话管理功能SMF节点41,用于通过连接所述SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中的用户设备UE的认证。SMF节点41包括:接收设备151、152,用于从统一数据管理UDM接收请求数据网络名称DNN的绑定信息的消息;以及发送设备153、154,用于由所述SMF向所述UDM发送所述UDM请求的DNN的绑定信息。
SMF节点41还包括存储器156,该存储器156用于存储一组计算机可读指令,这些指令在由处理器155执行时使SMF节点41执行根据本公开的方法。内部组件使用内部总线157相互通信。
图10示意性地示出了根据本公开的方法。
该方法示出了用于在第五代核心5GC网络中支持通用分组无线电服务GPRS IMS捆绑认证GIBA的信令序列201。
UE 2在5GC中认证和注册51,就像参考图2所描绘的情况一样。在步骤52中,UE 2为数据网络名称DNN IMS建立PDU会话。选择适合为DNN IMS建立PDU会话的SMF 41。
在步骤202、203中,例如,SMF 41使用3GPP TS 23.502和3GPP TS 29.503中定义的现有Nudm_UEContextManagement_Registration服务操作在UDM 42中注册PDU会话。这里,与参考图2描述的情况相比,SMF 41不包括分配给UE 2的IP地址。
DNN IMS的PDU会话建立在步骤55中完成。在随后的步骤56中,UE 2向IMS发送SIP注册请求。SIP注册请求包括UE的IMPI/IMPU和在5GC中分配给UE 2的IP地址。被UE 2用于在IMS中注册的IMPI/IMPU基于用于在5GC中注册的UE的SUPI。值得注意的是,SUPI可包含用作IMPI的NAI。
在步骤204,IMS核心43中的S-CSCF联系HSS 7并指示将GIBA用于认证UE 2。HSS 7可以尝试使用Gi找到由GGSN/PDN-GW提供给HSS的绑定信息。在缺少来自GPRS/EPS域的绑定信息的情况下或此外,HSS-IMS也会检查来自5GC的绑定信息。
在3GPP在TS 23.632中定义的UDICOM上下文中,并且其中HSS和UDM部署为单独的NF,HSS-IMS使用现有的Nudm_SDM_Get服务操作向UDM请求绑定信息(即,用于SUPI和IMSDNN的“SMF数据中的UE上下文”)。
在该特定情况下,HSS 7请求205UDM 42提供UE 2的IP地址。这可以使用例如称为Nudm_Event_Exposure_Notifyservice的事件来实现,即一次性通知UE IP地址并立即报告。
在步骤206中,UDM 42使用例如具有立即回复的服务Nsmf_EventExposure来获取UE IP地址。然后,SMF 41在Nsmf_Event_Exposure_Notify操作中将UE IP地址提供给UDM42。所定义的SMF提供的现有服务操作不包括SMF 41可以在通知中包括生成UE IP地址的时间的时间戳。
在步骤207中,UDM 42在Nudm_EventExposure_Notify操作中将UE IP地址连同时间戳一起返回给HSS 7。最后,在步骤208,HSS 7将IP地址返回给S-CSCF 43。在存在来自5GC和GPRS/EPC域的绑定信息的情况下,HSS 7例如还基于来自GPRS/EPC的绑定信息的时间戳决定将哪个IP地址提供给S-CSCF。S-CSCF 43然后将HSS返回的IP地址与在SIP注册请求中获得的IP地址进行匹配。
在步骤60,IMS注册过程相应地进行,例如,如果HSS提供的IP地址与UE在SIP注册消息中提供给S-CSCF的IP地址相同,则IMS注册过程成功。
在本公开的范围内,由用户数据管理UDM节点执行的步骤可以由电信网络中的任何其他数据管理节点执行。由会话管理功能SMF执行的步骤可以由电信网络中旨在管理会话的任何其他节点执行。
本领域的熟练技术人员在实践请求保护的本公开时,可以根据对附图、说明书和所附权利要求的研究,理解和实现对上述公开的示例进行的其他改变。在权利要求中,词语“包括”不排除其他元件或步骤,并且不定冠词“一”或“一种”不排除复数。单独的处理器或其他单元可以实现权利要求中引用的几个条目的功能。仅在相互不同的从属权利要求中叙述某些措施的事实并不表示这些措施的组合不能有利地使用。计算机程序可以存储/分布于合适的介质上,如,与其他硬件一起或作为其他硬件的一部分提供的光学存储介质或固态介质,但是也可以以其他形式分布,如,经由互联网或有线或无线电信系统。权利要求中的任何附图标记不应被解释为限制其范围。
本公开不限于以上公开的示例,并且本领域技术人员在不脱离所附权利要求中所公开的本公开范围的前提下,不必应用创造性技术,可以对本发明进行修改和增强。
Claims (24)
1.一种用于通过连接服务化架构SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中用户设备UE的认证的方法,所述方法包括以下步骤:
-由所述SBA电信网络中的统一数据管理UDM从所述SBA电信网络中的会话管理功能SMF接收绑定信息,其中,所述绑定信息用于识别所述IMS电信网络中的UE;
-由所述SBA电信网络中的UDM从所述IMS电信网络中的归属用户服务器接收提供所述绑定信息的请求,以及
-由所述SBA电信网络中的UDM向所述IMS电信网络中的HSS提供所述绑定信息,从而支持对所述IMS电信网络中的UE的认证。
2.根据权利要求1所述的方法,其中,所述绑定信息是通过Nudm服务的服务操作提供的。
3.根据前述权利要求中任一项所述的方法,其中,所述绑定信息包括以下至少一项:
-UE IP地址
-协议数据单元PDU会话注册的时间戳。
4.根据权利要求3所述的方法,其中,所述UDM使用所述时间戳来选择要提供给所述HSS的绑定信息。
5.根据前述权利要求中任一项所述的方法,还包括以下步骤:
-由所述UDM向所述SMF提供关于数据网络名称DNN的信息,这将需要将所述UE IP地址报告给所述UDM。
6.根据前述权利要求中任一项所述的方法,其中,接收所述绑定信息的步骤包括:
-由所述UDM向所述SMF请求所述绑定信息,所述请求由从所述HSS接收到提供所述绑定信息的请求触发,以及
-由所述UDM从所述SMF接收所述绑定信息。
7.根据权利要求6所述的方法,其中,所述绑定信息包括指示生成所述绑定信息的时间的时间戳。
8.一种用于通过连接服务化架构SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中用户设备UE的认证的方法,所述方法包括以下步骤:
-由所述IMS电信网络中的归属用户服务器HSS向所述SBA电信网络中的统一数据管理UDM发送提供绑定信息的请求,其中,所述绑定信息用于识别所述IMS电信网络中的UE;
-由所述IMS电信网络中的HSS从所述SBA电信网络中的UDM接收所请求的绑定信息;
-由所述IMS电信网络中的HSS向所述IMS电信网络中的服务呼叫/会话控制功能S-CSCF发送所述绑定信息,从而支持对所述UE的认证。
9.根据权利要求8所述的方法,其中,所述绑定信息是通过Nudm服务的服务操作接收的。
10.根据权利要求8至9中任一项所述的方法,其中,所述绑定信息至少包括:
-UE IP地址
-协议数据单元PDU会话注册的时间戳。
11.一种用于通过连接服务化架构SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中用户设备UE的认证的方法,所述方法包括以下步骤:
-由会话管理功能SMF从统一数据管理UDM接收请求数据网络名称DNN的绑定信息的消息;
-由所述SMF向所述UDM发送所述UDM请求的所述DNN的绑定信息。
12.根据权利要求11所述的方法,其中,所述绑定信息至少包括:
-UE IP地址
-协议数据单元PDU会话注册的时间戳。
13.一种服务化架构SBA电信网络中的统一数据管理UDM节点,用于通过连接所述SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中用户设备UE的认证,所述UDM节点包括:
-接收设备,用于从所述SBA电信网络中的会话管理功能SMF接收绑定信息,其中,所述绑定信息用于识别所述IMS电信网络中的UE,其中,所述接收设备还用于从所述IMS电信网络中的归属用户服务器接收提供所述绑定信息的请求;以及
-发送设备,用于向所述IMS电信网络中的HSS提供所述绑定信息。
14.根据权利要求13所述的UDM,其中,所述绑定信息用于通过Nudm服务的操作来提供。
15.根据权利要求13至14中任一项所述的UDM,其中,所述绑定信息至少包括:
-UE IP地址
-协议数据单元PDU会话注册的时间戳。
16.根据权利要求13所述的UDM,其中,所述UDM还包括选择设备,所述选择设备用于基于所述时间戳来选择要提供给所述HSS的绑定信息。
17.根据权利要求13至16中任一项所述的UDM,其中,所述发送设备还用于向所述SMF提供关于数据网络名称DNN的信息,这将需要将所述UE IP地址报告给所述UDM。
18.根据权利要求13至17中任一项所述的UDM,其中,所述发送设备还用于向所述SMF请求所述绑定信息,所述请求由从所述HSS接收到提供所述绑定信息的请求触发,并且其中,所述接收设备还用于由所述UDM从所述SMF接收所述绑定信息。
19.根据权利要求18所述的UDM,其中,所述绑定信息包括指示生成所述绑定信息的时间的时间戳。
20.一种互联网协议IP多媒体子系统IMS电信网络中的归属用户服务器HSS节点,用于通过连接服务化架构SBA电信网络来支持对所述IMS电信网络中用户设备UE的认证,所述HSS节点包括:
-发送设备,用于向所述SBA电信网络中的统一数据管理UDM发送提供绑定信息的请求,其中,所述绑定信息用于识别所述IMS电信网络中的UE;
-接收设备,用于从所述SBA电信网络中的UDM接收所请求的绑定信息。
21.根据权利要求20所述的HSS节点,在所述IMS电信网络中,其中,所述绑定信息至少包括:
-UE IP地址
-协议数据单元PDU会话注册的时间戳。
22.一种服务化架构SBA电信网络中的会话管理功能SMF节点,用于通过连接所述SBA电信网络来支持对互联网协议IP多媒体子系统IMS电信网络中用户设备UE的认证,所述SMF节点包括:
-接收设备,用于从统一数据管理UDM接收请求数据网络名称DNN的绑定信息的消息;
-发送设备,用于由所述SMF向所述UDM发送所述UDM请求的所述DNN的绑定信息。
23.根据权利要求18所述的SMF,其中,所述绑定信息至少包括:
-UE IP地址
-协议数据单元PDU会话注册的时间戳。
24.一种包括指令的计算机可读存储介质,当加载到通信网络中的一个或多个节点上时,所述指令用于执行根据权利要求1至7或8至10或11中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP19383012.2 | 2019-11-15 | ||
| EP19383012 | 2019-11-15 | ||
| PCT/EP2020/050138 WO2021093997A1 (en) | 2019-11-15 | 2020-01-06 | A method for supporting authentication of a user equipment |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114667751A true CN114667751A (zh) | 2022-06-24 |
Family
ID=68610151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080079259.3A Pending CN114667751A (zh) | 2019-11-15 | 2020-01-06 | 一种支持对用户设备认证的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220408251A1 (zh) |
| EP (1) | EP4059247A1 (zh) |
| CN (1) | CN114667751A (zh) |
| WO (1) | WO2021093997A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220345446A1 (en) * | 2021-04-21 | 2022-10-27 | Avaya Management L.P. | Session initiation protocol (sip) authentication and registration in software defined perimeter (sdp) networks |
| US11979743B2 (en) * | 2021-06-16 | 2024-05-07 | Verizon Patent And Licensing Inc. | Systems and methods for secure access to 5G non-public networks using mobile network operator credentials |
| IT202100029642A1 (it) * | 2021-11-23 | 2023-05-23 | Athonet S R L | Metodo per la trasmissione e ricezione di dati multimediali |
| US12003480B1 (en) * | 2023-06-14 | 2024-06-04 | T-Mobile Usa, Inc. | Efficient emergency communications fallback |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100379315C (zh) * | 2005-06-21 | 2008-04-02 | 华为技术有限公司 | 对用户终端进行鉴权的方法 |
| US7984130B2 (en) * | 2006-07-14 | 2011-07-19 | Cellco Partnership | Multimedia next generation network architecture for IP services delivery based on network and user policy |
| US20080219241A1 (en) * | 2007-03-09 | 2008-09-11 | Nokia Corporation | Subscriber access authorization |
| EP2437459A1 (en) * | 2010-10-01 | 2012-04-04 | Alcatel Lucent | Communication agent for managing IMS network communication, a method for same, and a user equipment adapted for same |
| US8972728B2 (en) * | 2012-10-15 | 2015-03-03 | At&T Intellectual Property I, L.P. | Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices |
| US9370037B2 (en) * | 2013-08-23 | 2016-06-14 | Verizon Patent And Licensing Inc. | Intelligent policy and charging rule function (PCRF) restoration |
| WO2018202284A1 (en) * | 2017-05-03 | 2018-11-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Authorizing access to user data |
| WO2018204609A1 (en) * | 2017-05-05 | 2018-11-08 | Intel IP Corporation | Access control mechanism |
| EP3481139B1 (en) * | 2017-06-21 | 2022-10-12 | LG Electronics Inc. | Method and device for performing service request procedure in wireless communication system |
| WO2019204199A1 (en) * | 2018-04-18 | 2019-10-24 | Mavenir Networks, Inc. | Services-based architecture for ims |
| US10848525B2 (en) * | 2019-01-29 | 2020-11-24 | Verizon Patent And Licensing Inc. | Systems and method for selection of a user plane component for internet protocol multimedia subsystem sessions |
| US11363447B2 (en) * | 2019-08-01 | 2022-06-14 | Verizon Patent And Licensing Inc. | Method and device for managing and allocating binding service in a wireless network |
-
2020
- 2020-01-06 WO PCT/EP2020/050138 patent/WO2021093997A1/en unknown
- 2020-01-06 US US17/776,017 patent/US20220408251A1/en active Pending
- 2020-01-06 CN CN202080079259.3A patent/CN114667751A/zh active Pending
- 2020-01-06 EP EP20700022.5A patent/EP4059247A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20220408251A1 (en) | 2022-12-22 |
| WO2021093997A1 (en) | 2021-05-20 |
| EP4059247A1 (en) | 2022-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8578456B2 (en) | Authentication in an IP multimedia subsystem network where an in-use line identifier (LID) does not match a registered LID | |
| US20220408251A1 (en) | Method for supporting authentication of a user equipment | |
| EP2452485B1 (en) | Methods and apparatus for initiating provisioning of subscriber data in a hss of an ip multimedia subsystem network | |
| US20130046971A1 (en) | Authentication method, system and device | |
| US10142341B2 (en) | Apparatus, system and method for webRTC | |
| EP1973289B1 (en) | Method for providing subscriptions to packet-switched networks | |
| US8788678B2 (en) | IP multimedia subsystem user identity handling | |
| US8270418B2 (en) | Access control in a communication network | |
| JP2011501543A (ja) | マルチメディア通信セッションの確立 | |
| US20110173687A1 (en) | Methods and Arrangements for an Internet Multimedia Subsystem (IMS) | |
| US20160119788A1 (en) | Authentication of browser-based services via operator network | |
| US9992675B2 (en) | Changing IMS supplementary service data in an IMS network | |
| EP2250791B1 (en) | Securing contact information | |
| EP2119178B1 (en) | Method and apparatuses for the provision of network services offered through a set of servers in an ims network | |
| WO2019184717A1 (zh) | 一种通信方法、及相关产品 | |
| US20150118995A1 (en) | Internet protocol multimedia subsystem (ims) authentication for non-ims subscribers | |
| US11490255B2 (en) | RCS authentication | |
| US9332055B2 (en) | Method and apparatus for routing XCAP requests |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |