CN115004638A - 用户设备、非公共网络认证授权计费服务器、认证服务器功能实体 - Google Patents
用户设备、非公共网络认证授权计费服务器、认证服务器功能实体 Download PDFInfo
- Publication number
- CN115004638A CN115004638A CN202180010240.8A CN202180010240A CN115004638A CN 115004638 A CN115004638 A CN 115004638A CN 202180010240 A CN202180010240 A CN 202180010240A CN 115004638 A CN115004638 A CN 115004638A
- Authority
- CN
- China
- Prior art keywords
- authentication
- public network
- user equipment
- server
- authorization accounting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于移动通信系统的用户设备,包括电路,电路被配置为:与非公共网络认证授权计费服务器通信并启动与移动通信系统的注册过程;以及在非公用网络认证授权计费服务器和移动通信系统中的认证服务器功能实体之间提供认证接口。
Description
技术领域
本公开总体上涉及用于移动通信系统的用户设备、非公共网络认证授权计费服务器和认证服务器功能实体。
背景技术
已知几代移动通信系统,例如基于国际移动通信-2000(IMT-2000)规范的第三代(“3G”);提供国际移动通信进阶标准(IMT-进阶标准)中定义的功能的第四代(“4G”);以及目前正在开发的以及可能在2020年投入使用的第五代(“5G”)。
用于提供5G需求的候选者是所谓的长期演进(“LTE”),这是一种允许移动电话和数据终端进行高速数据通信的无线通信技术并且已经用于4G移动通信系统。满足5G要求的其他候选者被称为新的无线电(NR)接入技术系统。NR可以基于LTE技术,就像LTE的某些方面基于前几代移动通信技术一样。
LTE基于第二代(“2G”)的GSM/EDGE(“全球移动通信系统”/“GSM演进增强数据速率”,也称为EGPRS)和第三代(“3G”)网络技术的UMTS/HSPA(“通用移动通信系统”/“高速分组接入”)。
LTE在3GPP(“第三代合作伙伴项目”)的控制下标准化,并且存在后继LTE-A(LTE-进阶),后继LTE-A比基本LTE允许更高的数据速率,并且也在3GPP的控制下标准化。
对于未来来说,3GPP计划进一步发展LTE-A,使LTE-A能够满足5G的技术要求。
由于5G系统可以分别基于LTE-A或NR,因此认为5G技术的特定要求基本上将由LTE-A和NR标准文档中已经定义的特征和方法来处理。
此外,例如在3GPP TS 22.261(V 17.1.0)中3GPP规定了对非公共网络的支持,以及例如在3GPP TS 28.807(V 0.3.0)中研究了非公共网络的管理方面。非公共网络旨在仅供私有实体(如企业)使用,并且可以利用虚拟和物理元件两种以各种配置部署。具体而言,非公共网络可以作为完全独立的网络部署,可以由公共陆地移动网络(“PLMN”)托管,也可以作为PLMN的一部分提供。
在3GPP TS 33.501(V 16.1.0)中,规定了用户设备和移动通信系统之间的认证和授权的安全过程,特别是用户设备和非公共网络之间的认证过程。
尽管存在用于在非公共网络中认证用户设备的技术,但通常希望改进现有技术。
发明内容
根据第一方面,本公开提供了一种用于移动通信系统的用户设备,包括电路,该电路被配置为:与非公共网络认证授权计费服务器通信,并启动与移动通信系统的注册过程;以及在非公共网络认证授权计费服务器和移动通信系统中的认证服务器功能实体之间提供认证接口。
根据第二方面,本公开提供了一种非公共网络认证授权计费服务器,包括电路,该电路被配置为:与移动通信系统的关联的用户设备通信;以及从关联的用户设备接收信息,其中,关联的用户设备经由关联的用户设备在非公共网络认证授权计费服务器和移动通信系统中的认证服务器功能实体之间提供的认证接口从移动通信系统接收数据包。
根据第三方面,本公开提供了一种非公共网络认证授权计费服务器,包括电路,该电路被配置为:基于非公共网络认证授权计费服务器的预共享非公共网络认证授权计费服务器ID生成和加密扩展主会话密钥;以及经由有线接口将生成和加密的扩展主会话密钥传输到认证服务器功能实体。
根据第四方面,本公开提供了一种非公共网络认证授权计费服务器,包括电路,该电路被配置为:从认证服务器功能实体接收公钥;以及基于接收到的公钥生成和加密扩展主会话密钥,并经由有线接口将扩展主会话密钥传输给认证服务器功能实体。
根据第五方面,本公开提供了一种非公共网络认证授权计费服务器,包括电路,该电路被配置为:获得预先存储在非公共网络认证授权计费服务器中的安全存储器中的预定密钥;基于预定密钥生成和加密扩展主会话密钥;以及经由有线接口将生成和加密的扩展主会话密钥传输到认证服务器功能实体。
根据第六方面,本公开提供了一种用于移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:将与非公共网络认证授权计费服务器相关联的用户设备注册到移动通信系统;以及从用户设备接收指示用户设备与非公共网络认证授权计费服务器相关联的信令,其中,当响应于信令将用户设备认证和授权为与非公共网络认证授权计费服务器相关联的用户设备时,在非公共网络认证授权计费服务器和认证服务器功能实体之间提供认证接口。
根据第七方面,本公开提供了一种用于移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:经由有线接口接收由非公共网络认证授权计费服务器生成和加密的扩展主会话密钥;以及基于非公共网络认证授权计费服务器的预共享非公共网络认证授权计费服务器ID解密加密的扩展主会话密钥。
根据第八方面,本公开提供了一种用于移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:生成公钥和私钥;以及经由有线接口将公钥传输到非公共网络认证授权计费服务器,其中认证服务器功能实体持有私钥。
根据第九方面,本公开提供了一种用于移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:获得预先存储在认证服务器功能实体中的安全存储器中的预定密钥;经由有线接口接收由非公共网络认证授权计费服务器生成和加密的扩展主会话密钥;以及基于预定密钥解密加密的扩展主会话密钥。
其他方面在从属权利要求、以下描述和附图中阐述。
附图说明
结合附图以示例的方式解释实施例,其中:
图1示意性地示出了包括非公共网络的移动通信系统的第一实施例;
图2示意性地示出了包括非公共网络的移动通信系统的第一实施例,该非公共网络包括在为该非公共网络建立认证接口的状态下的用户设备;
图3以状态图示出了用于为非公共网络提供认证接口的实施例;
图4示意性地示出了包括非公共网络的移动通信系统的第二实施例,该非公共网络包括用于为该非公共网络提供认证接口的用户设备;
图5示意性地示出了包括非公共网络的移动通信系统的实施例,该非公共网络包括非公共网络认证授权计费服务器和认证服务器功能实体之间的有线接口;
图6以状态图示出了经由有线接口将扩展主会话密钥从非公共网络认证授权计费服务器传输到认证服务器功能实体的第一实施例;
图7以状态图示出了经由有线接口将扩展主会话密钥从非公共网络认证授权计费服务器传输到认证服务器功能实体的第二实施例;
图8以框图示出了用户设备、基站、认证授权计费服务器和认证服务器功能实体的实施例;以及
图9以框图中示出了可用于实现用户设备、基站、认证授权计费服务器和认证服务器功能实体的多用途计算机。
具体实施方式
在给出参考图2的实施例的详细描述之前,进行总体性解释。
如开头所述,通常已知几代移动通信系统,例如基于国际移动通信-2000(IMT-2000)规范的第三代(“3G”);提供了如在国际移动通信进阶标准(IMT进阶标准)中定义的功能的第四代(“4G”);以及正在开发中且可能在今年付诸实施的当前第五代(“5G”)。
满足5G要求的候选者之一被称为新的无线电(“NR”)接入技术系统。在一些实施例中,NR的一些方面可以基于LTE技术,就像LTE的一些方面基于前几代移动通信技术一样。
此外,例如在3GPP TS 22.261(V 17.1.0)中3GPP规定了对非公共网络的支持,以及例如在3GPP TS 28.807(V 0.3.0)中研究了非公共网络的管理方面。非公共网络旨在仅供私有实体(如企业)使用,并且可以利用虚拟和物理元件以各种配置部署。具体而言,非公共网络可以作为完全独立的网络部署,可以由公共陆地移动网络(“PLMN”)托管,也可以作为PLMN的一部分提供。
在一些实施例中,非公共网络是部署在移动运营商网络(“MNO”)之外的网络,并且非公共网络具有两个部署选项:
·NPN部署为独立的NPN(“SNPN”);以及
·NPN部署为MNO的一部分以作为非独立NPN(“NSNPN”)。
在一些实施例中,NPN由公共网络(NSNPN)托管,即公共移动通信系统,可以通过在公共网络(“PN”)中实现NPN的网络切片或接入点名称(“APN”)来实现。在这些实施例中,NPN部署需要小区广播CAG(“封闭接入组”)ID,也称为公共网络集成NPN(“PNI-NPN”)。在一些实施例中,NPN和公共网络共享部分无线接入网络(“RAN”)、控制平面功能(例如认证服务器功能(“AUSF”)或用户平面功能(“UPF”)。如前所述,可以通过实现网络切片等来实现。在这样的实施例中,允许公共网络客户和相应的用户设备(“UE”)使用NPN的RAN(例如NPN的基站)来用于公共网络的控制平面功能。在一些实施例中,NPN客户也是公共网络客户,并且允许在两个网络中注册。
在SNPN的情况下,在一些实施例中,小区广播PLMN(“公共陆地移动网络”)ID和NPNID。在这些实施例中,PLMN ID和NPN ID可能不是唯一的,因为SNPN应该是隐蔽的部署,因此预见公共网络之间无交互,但是,小区资源可以在公共和非公共网络之间共享。
可以预见,在3GPP Release-16中,指定了SNPN小区部署和NSNPN小区部署中的小区选择和重选行为,即共享运营商小区并还托管NPN小区功能。
在3GPP TS 33.501(V 16.1.0)中,规定了用户设备和移动通信系统之间的认证和授权的安全过程,特别是用户设备和非公共网络之间的认证过程。
通常,在一些实施例中,认证和密钥协商过程可以实现用户设备和网络之间的相互认证,可以基于可扩展认证协议(“EAP”)框架。通常,EAP-AKA是3GPP的基线,但也指定了其他方法,如EAP-AKA和TLS。EAP框架包括角色,例如,EAP对等方、EAP传递认证器和EAP服务器(后端认证服务器)。EAP传递认证器可能不检查EAP数据包,因此可能不需要实现任何认证方法(例如EAP-AKA(“EAP认证和密钥协商协议”)或EAP-TLS(EAP传输层安全))。EAP对等方和EAP服务器必须实现认证方法。
在一些实施例中,非公共网络认证授权计费(“NPN AAA”)服务器参与非公共网络上用户设备的认证,即用户设备在NPN AAA服务器上进行认证,例如,以访问NPN提供的服务。认证授权计费(“AAA”)服务器通常为技术人员所知,因此省略其详细描述。在此类实施例中,EAP服务器角色可以驻留在认证服务器功能(“AUSF”)实体或NPN AAA服务器上。
已经认识到,由于不同的身份验证方法通常需要不同的凭证,用于在(非独立)NPN处认证用户设备的认证方法可能会影响EAP对等方(即UE)和EAP服务器(即AUSF实体或NPNAAA服务器)以及密钥层次结构(例如,在3GPP TS 33.501(V 16.1.0)中指定)。
通常,在3GPP Rel-16中,安全框架已经指定了对(5G-)AKA、EAP-AKA和EAP-TLS方法的支持。所有这些选项都假设EAP服务器将位于移动通信系统的核心网络中。然而,在一些实施例中,NPN部署可以具有两种选择,即NPN AAA服务器与移动网络运营商(“MNO”)核心网络中的AUSF实体集成,或与物理和逻辑上驻留在NPN内的NPN和NPN AAA(EAP服务器)集成。在一些实施例中,NPN部署中的任何UE凭证可以基于证书,也可以不基于证书。
已经认识到,在一些实施例中,基于证书的凭证可以由支持EAP-TLS(利用NPN AAA服务器的基于证书的方法可能没有任何优势)由现有规范处理,并且对于不利用NPN AAA服务器的不基于证书的凭证,EAP-TTLS(EAP隧道传输层安全)可能是一种合适的认证方法(5G网络所需的变化可能是在NAS(“非接入层”)信令中封装第一阶段和第二阶段EAP消息)。
此外,对于利用NPN AAA服务器的不基于证书的凭证,在一些实施例中,已经认识到以下问题:
·5G核心网络与NPN AAA服务器之间的接口;
·如果EAP服务器位于NPN AAA服务器上,则将(扩展)主会话密钥(“E)MSK”)从NPNAAA服务器传输到AUSF实体;以及
·如果EAP服务器位于AUSF上,则支持RADIUS(“远程认证拨入用户服务”)或DIAMETER协议。
在一些实施例中,UE和NPN AAA服务器之间的认证方法是EAP-(T)TLS(“EAP-(隧道)传输层安全”),并且具有不基于证书的凭证的UE在EAP服务器角色所在的NPN AAA服务器上发起认证过程。
在这些实施例中,已经认识到,如上所述,(扩展)主会话密钥(“E)MSK”)需要以安全的方式传输到AUSF实体以进行进一步的密钥导出,因为(E)MSK是由UE和NPN AAA服务器导出的。因此,在这些实施例中,需要NPN AAA服务器和AUSF实体之间的认证接口。
下面在参考图1的情况下讨论示例场景,图1示意性地说明了包括非公共网络4的移动通信系统1的第一实施例。
移动通信系统1由移动网络运营商(“MNO”)提供,并包括包含小区2的NR无线接入网络(RAN),该小区由NR eNodeB 3(也称为gNB(下一代eNodeB))建立。
在小区2中,例如在工厂中部署非公共网络(NPN)4,非公共网络(NPN)4可以例如由网络切片建立,如上文针对NSNPN情况所述。NPN 4托管NPN 4自己的非公共网络认证授权计费(NPN AAA)服务器5,用于认证非公共网络用户设备(NPN UE)6,例如,非公共网络用户设备可以是或安装到机器上。NPN UE 6可以与gNB 3通信,以便经由核心网络8中的AUSF实体7在NPN AAA服务器5处进行认证。
在示例场景中,工厂(即NPN 4)拥有用于工厂的机器(即(机器)NPN UE 6)的凭证,并希望出于安全目的使用这些凭证。假设这些凭证类似于“K”值,“K”值可以存储在核心网络8中的SIM(“用户身份模块”)卡和ARPF(“认证凭证存储库和处理功能”)/UDM(“统一数据管理”)中,则(现场)NPN AAA服务器5可能不需要与MNO共享任何凭证(两个商业实体,即MNO和工厂所有者之间的信任关系可能不容易建立,工厂所有者可能更愿意在未来更换MNO供应商,而不必改变在地面上的每台机器内的SIM卡)。
例如,假设工厂位于安置机器和NPN AAA服务器5的位置A,MNO HQ(“总部”)位于位置B,其中位置A和B之间的距离不相邻(例如50公里),位置B放置核心网络实体,如UPF实体,AUSF实体7和ARPF/UDM实体(这仅用于说明目的,(5G)实体可以虚拟化并虚拟地托管在任何地方)。
因此,已经认识到,在NPN AAA服务器5和AUSF实体7之间需要认证接口。
AUSF实体7可被视为最安全的实体之一,然后可能必须暴露于每个NPN 4或工厂NPN AAA服务器5。(5G)核心网络具有称为NEF(“网络暴露功能”)的实体,以用于暴露不同的网络实体的目的。然而,已经认识到,AUSF实体7暴露可能存在安全风险,需要解决上述将EMSK从NPN AAA服务器5传输到AUSF实体7的问题。
因此,一些实施例涉及移动通信系统的用户设备,包括电路,该电路被配置为:与非公共网络认证授权计费服务器通信,并发起与移动通信系统的注册过程;以及在非公共网络认证授权计费服务器和移动通信系统中的认证服务器功能实体之间提供认证接口。
用户设备可以是或可以包括电子设备、智能手机、虚拟现实VR设备、笔记本电脑等。电路可以包括以下各项中的至少一项:处理器、微处理器、专用电路、存储器、存储装置、无线电接口、无线接口、网络接口等,例如,包括在用户设备中以实现本文所述功能的典型电子组件。用户设备包括移动通信系统的凭证,移动通信系统可以基于UMTS、LTE、LTE-A或NR、5G系统等。
用户设备可以经由众所周知的无线或网络接口与非公共网络认证授权计费(NPNAAA)服务器通信。在一些实施例中,用户设备作为电子组件物理集成在NPN AAA服务器中,以实现本文所述的功能。
注册过程可以是通常在移动通信系统中执行的任何注册过程。
认证接口在逻辑上位于NPN AAA服务器和核心网络中的AUSF实体之间,并在NPNAAA服务器和AUSF实体之间提供安全的逻辑和物理信道。用户设备与移动通信系统中的NPNAAA服务器相关联,可以包括将用于NPN AAA服务器的任何消息或数据包经由认证接口从移动通信系统(即用户设备)传输。
在一些实施例中,位于NPN中的非公共网络用户设备(NPN UE)经由用于在NPN AAA服务器上进行认证的认证接口传输数据包。在一些实施例中,数据包包括EAP数据包。
当NPN AAA服务器启动或通电时,或者当UE设备连接到AAA服务器时,用户设备启动与移动通信系统以及ARPF/UDM和AUSF网络实体的注册过程。例如,在注册过程中,可以向AUSF实体通知该用户设备是工厂NPN AAA服务器。
因此,在一些实施例中,用户设备在与移动通信系统的注册过程中向认证服务器功能实体以信号的方式发送用户设备与用于提供认证接口的非公共网络认证授权计费服务器相关联的指示。
在一些实施例中,用户设备包括专用SIM卡,以将用户设备识别为与NPN AAA服务器相关联。
在一些实施例中,信令基于接入层信令消息或非接入层信令消息。
这些消息可以是通常从用户设备传输到认证服务器功能实体的任何AS或NAS消息,并且可以包括指示与NPN AAA服务器的关联性的一个或多个位。
在一些实施例中,当启动注册过程时执行信令。
在一些实施例中,当用户设备和认证服务器功能实体已经建立安全环境(security context,安全上下文)时,执行信令。
在一些实施例中,当在所有节点上建立了安全环境时,执行信令。
安全环境的建立可以基于移动通信中支持的用于认证用户设备的任何认证方法,例如(5G-)AKA、EAP-AKA’或EAP-TLS。在一些实施例中,注册过程中使用的认证方法包括认证和密钥协商协议、可扩展认证协议认证和密钥协商协议和可扩展认证协议传输层安全中的一种。
当建立安全环境时,用户设备和AUSF实体已相互验证,AS和NAS的加密密钥和完整性保护密钥已到位。
因此,在一些实施例中,当响应于信令用户设备被认证和授权为与非公共网络认证授权计费服务器关联的用户设备时,在非公共网络认证授权计费服务器和认证服务器功能实体之间提供认证接口。
如上所述,在一些实施例中,因为(E)MSK由UE和NPN AAA服务器导出,(扩展)主会话密钥(“(E)MSK”)需要以安全的方式传输到AUSF实体以进行进一步的密钥导出。因此,在此类实施例中,需要NPN AAA服务器和AUSF实体之间的认证接口以用于传输。
此外,对于使用与NPN AAA服务器和移动通信关联的用户设备以及使用基于有线互联网的连接的情况,仍然存在关于将EMSK从NPN AAA传输到EAP-(T)TLS的AUSF实体(以安全方式)的问题。
因此,用户设备的电路进一步被配置为:经由认证接口将非公共网络认证授权计费服务器生成和加密的扩展主会话密钥传输给认证服务器功能实体。
在一些实施例中,用于将EMSK从NPN AAA服务器传输到AUSF实体的物理路径为:NPN AAA服务器->关联的用户设备->gNB->UPF(或AMF(用于控制平面解决方案))->AUSF实体。
在这些实施例中,可以使用关联的用户设备凭证对EMSK进行加密。例如,非公共网络用户设备(注意,这不是与NPN AAA服务器关联的用户设备,而是在NPN AAA服务器上发起认证的用户设备)的EMSK可以使用关联的用户设备的Kausf或CK/IK或RRCint、UPciph密钥或从CK/IK导出的新密钥进行加密,尤其是为此目的,并且仅对关联的用户设备有效。
因此,当用户设备和AUSF实体已经建立安全环境时,所有密钥都已就位,并且用户设备的凭证可用于生成和加密EMSK。
因此,在一些实施例中,基于用户设备的凭证对生成和加密的扩展主会话密钥进行加密,其中凭证是Kausf、CK/IK、RRCint和UPciph中之一。
在一些实施例中,基于用户设备的凭证对生成和加密的扩展主会话密钥进行加密,其中凭证自CK/IK导出。
认证接口可以由基于用户平面功能的解决方案提供,其中EAP信令消息(EAP数据包)可以被视为用户平面数据包。由于EAP信令消息的大小可能不大,因此可以保持现有的网络架构,由此安全功能仅驻留在控制平面(“CP”)路径上。CP解决方案的风险可能是:一些消息可能由不同的节点解释,节点例如为AMF(“访问移动性管理功能”)/SMF(“会话管理功能”)实体,因此,封装在NAS消息内的任何EAP消息可由AMF/SMF实体读取。
因此,在一些实施例中,经由移动通信系统的用户平面功能提供认证接口。
在一些实施例中,经由认证接口传输的可扩展认证协议数据包被视为用户平面数据包。
此外,在一些实施例中,用户设备的电路进一步被配置为:禁止访问移动通信系统提供的任何其他数据或其他服务。
用户设备可以将接收到的信息(例如数据包或信令消息)传递给NPN AAA服务器,NPN AAA服务器可以充当位于用户设备的AS/NAS层之上的应用程序。
在一些实施例中,用户设备的电路进一步被配置为:经由认证接口将从移动通信系统接收到的任何信息传输到相关联的非公共网络认证授权计费服务器。
在一些实施例中,接收到的信息包括来自位于非公共网络中的非公共网络用户设备的可扩展认证协议数据包,用于在非公共网络认证授权计费服务器上进行认证。
在一些实施例中,用户设备的电路进一步被配置为:将注册过程中的接入点名称确定为认证服务器功能实体或认证凭证存储库和处理功能实体或统一数据管理实体。
在一些实施例中,认证接口支持RADIUS或DIAMETER协议。
通常,与DIAMETER相比,RADIUS可能不太安全。然而,考虑到许多传统系统可能使用RADIUS,由于固有的3GPP安全性提供了鲁棒性,因此可以使用RADIUS。
此外,可能不需要支持EAP-TTLS,因为3GPP提供了安全的隧道。
根据本文所述的实施例,一些实施例涉及非公共网络认证授权计费服务器,包括电路,该电路被配置为:与移动通信系统的关联的用户设备通信;以及从关联的用户设备接收信息,其中,关联的用户设备经由由关联的用户设备提供的位于非公共网络认证授权计费服务器和移动通信系统中的认证服务器功能实体之间的认证接口从移动通信系统接收数据包。
认证授权计费(“AAA”)服务器通常为技术人员所知,因此省略其详细描述。电路可以包括以下各项中的至少一项:处理器、微处理器、专用电路、存储器、存储装置、无线电接口、无线接口、网络接口等,例如包括在认证授权计费服务器中以实现本文所述功能的典型电子组件。
用户设备与NPN AAA服务器的关联可以基于用户设备和NPN AAA服务器两者都已知的预定ID(标识),可以基于NPN AAA服务器已知的用户设备的(专用)SIM卡,可以基于在设置或操作或预定通信路径配置期间交换的预定消息或密钥等,或用户设备与NPN AAA服务器的关联可以由物理集成用户设备等来建立。
如上所述,在一些实施例中,一旦用户设备由移动通信系统认证和授权,则可以经由用户设备功能在NPN AAA服务器和AUSF实体之间设置认证接口,并且数据包经由认证接口和用户设备传输到NPN AAA服务器。
在一些实施例中,从关联的用户设备接收的信息包括来自位于非公共网络中的非公共网络用户设备的可扩展认证协议数据包,用于在非公共网络认证授权计算服务器上进行认证。
在一些实施例中,非公共网络认证授权交流计费服务器的电路进一步被配置为:基于关联的用户设备的凭证生成和加密扩展主会话密钥。
在一些实施例中,非公共网络认证授权计费服务器将生成和加密的扩展主会话密钥传输到关联的用户设备,用于经由认证接口将生成和加密的扩展主会话密钥传输到认证服务器功能实体。
作为用于在非公共网络认证授权服务器和认证服务器功能实体之间提供认证接口的示例过程:
NPN AAA服务器通电并与关联的用户设备通信,用于启动认证接口的提供。
然后,关联的用户设备搜索运营商网络并预占合适的小区,该小区在NPN和PLMN之间共享。
关联的用户设备启动注册过程,即RRC(“无线资源控制”)和NAS注册过程,并向核心网络信号通知其与NPN AAA服务器相关联。
针对典型用户设备启动安全过程,并在假设具有K值的用户设备作为典型用户设备时开始密钥导出。
然后,用户设备和网络(即移动通信系统)相互认证,并且用于AS和NAS的加密和完整性保护密钥已就位。
一旦用户设备和AUSF实体建立了5G安全环境,就会在(5G)网络上建立新的认证接口。NPN AAA服务器和关联的用户设备的物理节点安全责任在工厂内(作为示例)。
通常,在一些实施例中,存在以下一些优点:
·MNO可以销售NPN AAA服务器的专用SIM卡,并根据工厂业务收取费用;
·AUSF实体不暴露于互联网,所有业务通过运营商网络承载。该解决方案是可扩展的,允许多个NPN AAA服务器连接到AUSF实体;
·工厂所有者(例如)不向MNO暴露机器凭证,也不受单个运营商的约束,并且可以自由选择市场;
·可以支持诸如RADIUS或DIAMTER等传统协议;以及
·可不需要EAP-TTL的支持。
根据本文所述的实施例,一些实施例涉及移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:将与非公共网络认证授权计费服务器关联的用户设备注册到移动通信系统;以及从用户设备接收指示用户设备与非公共网络认证授权计费服务器相关联的信令,其中,当响应于信令用户设备被认证和授权为与非公共网络认证授权计费服务器关联的用户设备时,在非公共网络认证授权计费服务器和认证服务器功能实体之间提供认证接口。
认证服务器功能实体在移动通信系统中是众所周知的,因此,省略对其的详细描述。电路可以包括以下至少一个:处理器、微处理器、专用电路、存储器、存储装置、无线电接口、无线接口、网络接口等,例如,包括在认证服务器功能实体中以实现本文所述功能的典型电子组件。
在一些实施例中,认证服务器功能实体的电路进一步被配置为:经由认证接口接收非公共网络认证授权计费服务器生成和加密的扩展主会话密钥,其中,基于与非公共网络认证授权计费服务器关联的用户设备的凭证对生成和加密的扩展主会话密钥进行加密。
如上所述,在使用有线(基于互联网的)连接(有线接口)的情况下,仍然存在将EMSK从NPN AAA传输到用于EAP-(T)TLS的AUSF实体(以安全方式)的问题。
对于有线接口,可能有两个选项:
在一些实施例中,NPN AAA服务器被分配了ID,并且NPN AAA服务器和AUSF实体都知道该ID。在这些实施例中,使用NPN AAA服务器ID加密EMSK,该ID可以是NPN AAA服务器的证书。
或者,在一些实施例中,基于PKI(“公钥基础设施”)的解决方案中,AUSF实体向NPNAAA服务器发送公钥,并且AUSF实体持有私钥(例如,在存储器等中)。在NPN AAA服务器中,使用AUSF实体的公钥对EMSK进行加密。在AUSF实体中,利用私钥进行解密。
或者,在一些实施例中,作为基于预共享密钥(PSK)的解决方案,MNO为此目的提供密钥,该密钥可以单独存储在NPN AAA服务器的专用SIM卡中。SIM卡可具有存储额外信息的存储容量,并且只有授权用户才能访问该卡。注意,在一些实施例中,这不同于SIM中的3GPP预共享密钥(K)。在NPN AAA服务器中,使用密钥对EMSK进行加密。在AUSF实体中,使用由MNO配置的相同密钥进行解密。在另一个实施例中,NPN运营商发布密钥并将密钥存储在NPNAAA服务器中的安全存储器中。NPN运营商单独地将密钥提供给MNO,MNO提前将密钥存储在AUSF实体中。
因此,一些实施例涉及非公共网络认证授权计费服务器,包括电路,该电路被配置为:基于非公共网络认证授权计费服务器的预共享非公共网络认证授权计费服务器ID生成和加密扩展主会话密钥;以及经由有线接口将生成和加密的扩展主会话密钥传输到认证服务器功能实体。
因此,一些实施例涉及用于移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:经由有线接口接收由非公共网络认证授权计费服务器生成和加密的扩展主会话密钥;以及基于非公共网络认证授权计费服务器的预共享非公共网络认证授权计费服务器ID解密加密的扩展主会话密钥。
在一些实施例中,预共享的非公共网络认证授权计费服务器ID是非公共网络认证授权计费服务器的密钥、ID和证书中之一。
此外,一些实施例涉及用于移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:生成公钥和私钥;以及经由有线接口将公钥传输到非公共网络认证授权计费服务器,其中认证服务器功能实体持有私钥。
因此,一些实施例涉及非公共网络认证授权计费服务器,包括电路,该电路被配置为:从认证服务器功能实体接收公钥;基于接收到的公钥生成和加密扩展主会话密钥;以及经由有线接口将扩展主会话密钥传输到认证服务器功能实体。
在一些实施例中,认证服务器功能实体的电路进一步被配置为:经由有线接口接收由非公共网络认证授权计费服务器基于公钥生成和加密的扩展主会话密钥;以及基于保持的私钥对接收到的扩展主会话密钥进行解密。
此外,一些实施例涉及非公共网络认证授权计费服务器,包括电路,电路被配置为:获得预先存储在非公共网络认证授权计费服务器中的安全存储器中的预定密钥;基于预定密钥生成和加密扩展主会话密钥;以及经由有线接口将生成和加密的主会话密钥传输到认证服务器功能实体。
如上所述,密钥可以由MNO或NPN运营商提供,并且可以在MNO或NPN运营商之间预先交换。密钥可以存储在NPN AAA服务器和AUSF实体中的安全存储器中。安全存储器可以是NPN AAA服务器的专用SIM卡。SIM卡可具有存储额外信息的存储容量,并且只有授权用户(例如,只有NPN AAA服务器)可以访问。对于AUSF实体,SIM卡可以是受保护的存储器,特别是用于存储NPN运营商等的密钥。
根据本文所述的实施例,一些实施例涉及用于移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:获得预先存储在认证服务器功能实体中的安全存储器中的预定密钥;经由有线接口接收由非公共网络认证授权计费服务器生成和加密的扩展主会话密钥;以及基于预定密钥解密加密的扩展主会话密钥。
返回图2,图2示意性地示出了包括非公共网络4的移动通信系统1的第一实施例,该非公共网络4包括用户设备9,用户设备处于为非公共网络4建立认证接口的状态下。
移动通信系统1由移动网络运营商(“MNO”)提供,并包括包含小区2的NR无线接入网络(RAN),该小区由NR eNodeB 3(也称为gNB(下一代eNodeB))建立。
在小区2中,例如在工厂中部署非公共网络(NPN)4,非公共网络(NPN)4可以例如由网络切片建立,如上文针对非独立NPN所述。NPN 4托管自己的非公共网络认证授权计费(NPN AAA)服务器5,用于认证非公共网络用户设备(NPN UE)6,该用户设备(NPN UE)6可以是例如机器。NPN UE 6可以与gNB 3通信,以便经由核心网络8中的AUSF实体7在NPN AAA服务器5处进行认证。
此外,NPN AAA服务器5与关联的用户设备9(AAA UE)通信。AAA UE 9经由gNB 3与移动通信系统1通信,并在AUSF实体7处启动与移动通信系统1的注册过程。在注册过程中,AAA UE 9将其与NPN AAA服务器5的关联性信号通知给AUSF实体7,如本文所述,这由携带消息10(其可以包括用于信令的一个或多个位)的虚线所示,并且消息10是AS或NAS消息,并且在建立安全环境时传输。响应于该信令,经由AAA UE 9在NPN AAA服务器5和AUSF实体7之间提供认证接口。
图3以状态图示出了用于为非公共网络4提供认证接口的实施例。
本实施例基于根据图2和图4的非公共网络(NPN)4的部署。
在20处,非公共网络认证授权计费(NPN AAA)服务器5通电并与关联的用户设备(AAA UE)9通信,以用于启动NPN AAA服务器5和认证服务器功能(AUSF)实体7之间的认证接口11(见图4)的提供,AAA UE 9搜索运营商网络并预占合适的小区,即NPN 4和PLMN之间共享的小区2。
在以下内容中,出于说明目的,认证接口11被划分为内部认证接口11a(在NPN AAA服务器5和AAA UE 9之间,由NPN AAA服务器5和AAA UE 9之间的虚线区域所示)和外部认证接口11b(在AAA UE 9和AUSF实体7之间,由AAA UE 9到AUSF实体7的虚线表示)。
在21处,AAA UE 9发起与移动通信系统(即AUSF实体7)的注册过程,即RRC(“无线资源控制”)和NAS注册过程。
在22处,AAA UE 9和AUSF实体7建立安全环境,即执行安全过程,其中安全环境的建立基于移动通信中支持的用于认证AAA UE 9的任何认证方法,例如(5G-)AKA、EAP-AKA’或EAP-TLS,如本文所述。针对移动通信系统的典型用户设备启动安全过程,并且在假设AAAUE 9具有K值作为典型用户设备的情况下开始密钥导出。然后,AAA UE 9和AUSF实体7相互认证,并且用于AS和NAS的加密和完整性保护密钥就位。
在23处,当建立安全环境时,AAA UE 9以AS或NAS信令消息(该消息可以是通常交换的任何消息,包括用于AAA UE 9与NPN AAA服务器5相关联的信令的一个或多个位)向AUSF实体7发送信号。
然后,在24处,响应于信令,经由AAA UE 9在NPN AAA服务器5和AUSF实体7之间提供认证接口11。此外,经由移动通信系统的用户平面功能提供认证接口11,使得EAP信令消息被视为用户平面数据包。
在25处,AAA UE 9经由内部认证接口11a向NPN AAA服务器5发送凭证(Kausf、CK/IK、RRCint和UPciph中之一),用于生成和加密用于位于NPN 4中的非公共网络用户设备(NPN UE)6的扩展主会话密钥(EMSK),非公共网络用户设备(NPN UE)6例如为机器,该机器包括用于与移动通信系统通信和用于在NPN AAA服务器5处进行认证的用户设备。
在26a处,NPN UE 6(EAP对等方)经由用户平面功能通过网络发送用于在NPN AAA服务器5处进行认证的认证请求(EAP信令消息的数据包),认证请求由AUSF实体7(EAP传递认证器)在26b处通过外部认证接口11b透明地转发给AAA UE 9。
在26c处,AAA UE 9经由内部认证接口11a将包括EAP数据包的接收信息(数据包)发送到NPN AAA服务器5,用于在NPN AAA服务器5处对NPN UE 6进行认证。
在27处,NPN AAA服务器5基于AAA UE 9的凭证生成和加密EMSK(NPN AAA服务器5持有NPN UE 6的凭证以进行认证)。
在28a和28b处,生成和加密的EMS经由AAA UE 9提供的位于NPN AAA服务器5和AUSF实体7之间的认证接口11传输到AUSF实体7。
图4示意性地示出了包括非公共网络(NPN)4的移动通信系统1的第二实施例,该非公共网络(NPN)4包括用于为NPN 4提供认证接口11的用户设备(AAA UE)9。
该实施例基于图2的实施例,并示出了经由AAA UE 9在NPN AAA服务器5和AUSF实体7之间提供的新的逻辑和物理认证接口11。虚线的箭头示出了逻辑认证接口11,实线的箭头示出了认证接口11中的实际(物理)路径。出于说明目的,认证接口11被划分为内部认证接口11a(在NPN AAA服务器5和AAA UE 9之间,由NPN AAA服务器5和AAA UE 9之间的虚线区域所示)和外部认证接口11b(在AAA UE 9和AUSF实体7之间,由AAA UE 9到AUSF实体7的虚线表示)。
图5示意性地示出了移动通信系统la的实施例,该移动通信系统la包括非公共网络(NPN)4,该非公共网络(NPN)4包括非公共网络认证授权计费(NPN AAA)服务器5和认证服务器功能(AUSF)实体7之间的有线接口12。
除了NPN AAA服务器5经由有线接口12(例如基于互联网的连接)物理连接到AUSF实体7之外,该实施例基于图1的实施例,。
图6以状态图示出了扩展主会话密钥(EMSK)经由有线接口12从非公共网络认证授权计费(NPN AAA)服务器5传输到认证服务器功能(AUSF)实体7的第一实施例。
本实施例基于根据图5的非公共网络(NPN)4的部署。
在30处,NPN AAA服务器5基于NPN AAA服务器5的预共享NPN AAA服务器ID生成和加密EMSK,其中预共享NPN AAA ID是NPN AAA服务器5的密钥、ID和证书中之一。
在31处,NPN AAA服务器5经由有线接口12将生成和加密的EMSK传输到AUSF实体7。
在32处,AUSF实体7经由有线接口12接收EMSK,并基于NPN AAA服务器5的预共享NPN AAA服务器ID解密EMSK。
在替代实施例中,在30处,NPN AAA服务器5获得预先存储在NPN AAA服务器5中的安全存储器中的预定密钥(例如,该密钥从NPN AAA服务器5的专用SIM卡加载)。此外,NPNAAA服务器5基于预定密钥生成和加密EMSK。
在31处,NPN AAA服务器5经由有线接口12将生成的和加密的主会话密钥传输到AUSF实体7。
在32处,AUSF实体7获得预先存储在AUSF实体7中的安全存储器中的预定密钥(例如,从AUSF实体7中的受保护存储器加载密钥)。此外,AUSF实体7经由有线接口12接收由NPNAAA服务器5生成和加密的EMSK,并基于预定密钥解密EMSK。
图7以状态图示出了扩展主会话密钥(EMSK)经由有线接口12从非公共网络认证授权计费(NPN AAA)服务器5传输到认证服务器功能(AUSF)实体7的第二实施例。
本实施例基于根据图5的非公共网络(NPN)4的部署。
在40,AUSF实体7生成公钥和私钥。
在41处,AUSF实体7经由有线接口12将公钥传输到NPN AAA服务器,其中AUSF实体7持有私钥(在存储器中)。
在42处,NPN AAA服务器5从AUSF实体7接收公钥,并基于接收到的公钥生成和加密EMSK。
在43处,NPN AAA服务器5经由有线接口12将EMSK传输到AUSF实体7。
在44处,AUSF实体7经由有线接口12接收EMSK,并基于持有的私钥解密接收到的EMSK。
参考图8讨论用户设备(AAA UE)9、基站(BS)3(例如NR eNB/gNB)、AAA UE 9和BS 3之间的通信路径104、认证服务器功能(AUSF)实体7、BS 3和AUSF实体7之间的通信路径108(BS 3可以不直接连接到AUSF实体,但出于说明目的,通信路径108被说明为直接连接)、非公共网络认证授权计费(NPN AAA)服务器5、NPN AAA服务器5和AAA UE 9之间的通信路径109的实施例,其用于实现本公开实施例。
AAA UE 9具有发射器101、接收器102和控制器103,其中,一般来说,技术人员知道发射器101、接收器102和控制器103的技术功能,因此,省略对它们的更详细描述。
BS 3具有发射器105、接收器106和控制器107,其中在这里,一般来说,技术人员知道发射器105、接收器106和控制器107的功能,因此,省略对它们的更详细描述。
通信路径104具有从AAA UE 9到BS 3的上行链路路径104a和从BS 3到AAA UE 9的下行链路路径104b。
在操作期间,AAA UE 9的控制器103控制在接收器102处通过下行链路路径104b对下行链路信号的接收,并且控制器103控制经由发射器101通过上行链路路径104a对上行链路信号的传输。
类似地,在操作期间,BS 3的控制器107控制经由发射器105通过下行链路路径104b对下行链路信号的传输,并且控制器107控制在接收器106处通过上行链路路径104a对上行链路信号的接收。
BS 3可以通过通信路径108与AUSF实体7通信,通信路径108可以由通常用于这种通信的网络接口提供。由于技术人员已知通过网络接口的这种通信,因此省略对其更详细的描述。
NPN AAA服务器5可以经由通信路径109与AAA UE 9通信,通信路径109可以由通常用于这种通信的网络接口提供。由于技术人员已知经由网络接口的这种通信,因此省略对其更详细的描述。
图9以框图示出了可用于实现用户设备、基站、非公共网络认证授权计费服务器和认证服务器功能实体的多用途计算机130。
计算机130可以实现为使得计算机130基本上可以用作任何类型的用户设备、基站或新的无线电基站、发射和接收点、或非公共网络认证授权计费服务器、或本文所述的认证服务器功能实体。计算机具有组件131至141,组件131至141可以形成电路,例如本文所述的基站和用户设备等的电路中的任何一个。
使用软件、固件、程序等来执行本文所述方法的实施例可以安装在计算机130上,然后将计算机130配置为适合具体实施例。
计算机130具有CPU 131(中央处理单元),CPU 131可以例如根据存储在只读存储器(ROM)132中、存储在存储装置137中并加载到随机存取存储器(RAM)133、存储在可以插入相应的驱动器139等中介质140上的程序来执行本文所述的各种类型的过程和方法。
CPU 131、ROM 132和RAM 133与总线141连接,总线141又连接到输入/输出接口134。CPU、存储器和存储装置的数量仅为说明性示例,本领域技术人员将理解,当计算机130用作基站或用户设备时,可以相应地调整和配置计算机130以满足出现的特定要求。
在输入/输出接口134处,连接了几个组件:输入135、输出136、存储装置137、通信接口138和驱动器139,驱动器139中可以插入介质140(压缩盘、数字视频盘、紧凑型闪存等)。
输入135可以是指针设备(鼠标、图表等)、键盘、麦克风、相机、触摸屏等。
输出136可以具有显示器(液晶显示器、阴极射线管显示器、发光二极管显示器等)、扬声器等。
存储装置137可以具有硬盘、固态驱动器等。
通信接口138可适于例如经由局域网(LAN)、无线局域网(WLAN)、移动通信系统(GSM、UMTS、LTE、NR等)、蓝牙、红外等进行通信。
应当注意,上述描述仅涉及计算机130的示例配置。替代配置可通过附加或其他传感器、存储设备、接口等实现。例如,通信接口138可以支持所述UMTS、LTE和NR之外的其他无线电接入技术。
在计算机130用作基站的情况下,通信接口138还可以具有单独的空中接口(提供例如E-UTRA协议OFDMA(下行链路)和SC-FDMA(上行链路))和网络接口(实现例如协议,例如S1-AP、GTP-U、Sl-MME、X2-AP等)。计算机130还被实现为根据TCP传输数据。此外,计算机130可以具有一个或多个天线和/或天线阵列。本公开不限于此类协议的任何特殊性。
如果没有另外说明,则本说明书中描述的和所附权利要求中要求保护的所有单元和实体可以实现为例如在芯片上的集成电路逻辑,并且如果没有另外说明,则由这些单元和实体提供的功能可以通过软件实现。
在使用软件控制的数据处理设备至少部分地实现上述公开的实施例的情况下,应当理解,提供这种软件控制和传输的计算机程序,提供这种计算机程序的存储器或其他介质被设想为本公开的方面。
注意,本技术也可以如下所述进行配置。
(1)一种用于移动通信系统的用户设备,包括电路,该电路配置为:
与非公共网络认证授权计费服务器通信,并发起与移动通信系统的注册过程;以及
在非公共网络认证授权计费服务器和移动通信系统中的认证服务器功能实体之间提供认证接口。
(2)根据(1)的用户设备,其中,用户设备在与移动通信系统的注册过程中向认证服务器功能实体信号通知用户设备与用于提供认证接口的非公共网络认证授权计费服务器相关联的指示。
(3)根据(2)的用户设备,其中,信令基于接入层信令消息或非接入层信令消息。
(4)根据(2)或(3)的用户设备,其中,当用户设备和认证服务器功能实体已经建立安全环境时执行信令。
(5)根据(4)的用户设备,其中,当响应于信令用户设备被认证和授权为与非公共网络认证授权计费服务器关联的用户设备时,提供非公共网络认证授权计费服务器和认证服务器功能实体之间的认证接口。
(6)根据(1)至(5)中任一项的用户设备,其中,电路进一步被配置为:将由非公共网络认证授权计费服务器生成和加密的扩展主会话密钥经由认证接口传输到认证服务器功能实体。
(7)根据(6)的用户设备,其中,基于用户设备的凭证对生成和加密的扩展主会话密钥进行加密,其中凭证是Kausf、CK/IK、RRCint和UPciph之一。
(8)根据(6)或(7)的用户设备,其中,基于用户设备的凭证对生成和加密的扩展主密钥进行加密,其中凭证自CK/IK导出。
(9)根据(1)至(8)中任一项的用户设备,其中,认证接口经由移动通信系统的用户平面功能提供。
(10)根据(9)的用户设备,其中,经由认证接口传输的可扩展认证协议数据包被视为用户平面数据包。
(11)根据(1)至(10)中任一项的用户设备,其中,认证接口支持RADIUS或DIAMETER协议。
(12)根据(1)至(11)中任一项的用户设备,其中,在注册过程中使用的认证方法包括认证和密钥协商协议、可扩展认证协议认证和密钥协商协议以及可扩展认证协议传输层安全中的一种。
(13)根据(1)至(12)中任一项的用户设备,其中,电路进一步被配置为:将注册过程中的接入点名称确定为认证服务器功能实体或认证凭证存储库和处理功能实体或统一数据管理实体。
(14)根据(1)至(13)中任一项的用户设备,其中,电路进一步被配置为:禁止访问移动通信系统提供的任何其他数据或其他服务。
(15)根据(1)至(14)中任一项的用户设备,其中,电路进一步被配置为:经由认证接口将从移动通信系统接收到的任何信息传输到相关联的非公共网络认证授权计费服务器。
(16)根据(15)的用户设备,其中,所接收的信息包括来自位于非公共网络中的非公共网络用户设备的可扩展认证协议数据包,用于在非公共网络认证授权计费服务器上进行认证。
(17)根据(2)至(16)中任一项的用户设备,其中,当在所有节点上建立了安全环境时执行信令。
(18)一种非公共网络认证授权计费服务器,包括电路,该电路被配置为:
与移动通信系统的关联的用户设备通信;以及
从关联的用户设备接收信息,其中,关联的用户设备经由关联的用户设备在非公共网络认证授权计费服务器和移动通信系统中的认证服务器功能实体之间提供的认证接口从移动通信系统接收数据包。
(19)根据(18)的非公共网络认证授权计费服务器,其中,从关联的用户设备接收的信息包括来自位于非公共网络中的非公共网络用户设备的可扩展认证协议数据包,用于在非公共网络认证授权计费服务器上进行认证。
(20)根据(18)或(19)的非公共网络认证授权计费服务器,其中,电路进一步被配置为:
基于关联的用户设备的凭证生成和加密扩展主会话密钥。
(21)根据(20)的非公共网络认证授权计费服务器,其中,非公共网络认证授权计费服务器将生成和加密的扩展主会话密钥传输到关联的用户设备,以经由认证接口将生成和加密的扩展主会话密钥传输到认证服务器功能实体。
(22)一种非公共网络认证授权计费服务器,包括电路,该电路被配置为:
基于非公共网络认证授权计费服务器的预共享非公共网络认证授权计费服务器ID生成和加密扩展主会话密钥;以及
经由有线接口将生成和加密的扩展主会话密钥传输到认证服务器功能实体。
(23)根据(22)的非公共网络认证授权计费服务器,其中,预共享的非公共网络认证授权计费服务器ID是非公共网络认证授权计费服务器的密钥、ID和证书中之一。
(24)一种非公共网络认证授权计费服务器,包括电路,该电路被配置为:
从认证服务器功能实体接收公钥;
基于接收到的公钥生成和加密扩展主会话密钥;以及
经由有线接口将扩展主会话密钥传输到认证服务器功能实体。
(25)一种非公共网络认证授权计费服务器,包括电路,该电路被配置为:
获得预先存储在非公共网络认证授权计费服务器中的安全存储器中的预定密钥;
基于预定密钥生成和加密扩展主会话密钥;以及
经由有线接口将生成和加密的扩展主会话密钥传输到认证服务器功能实体。
(26)用于移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:
将与非公共网络认证授权计费服务器关联的用户设备注册到移动通信系统;以及
从用户设备接收指示用户设备与非公共网络认证授权计费服务器相关联的信令,其中,当响应于信令用户设备被认证和授权为与非公共网络认证授权计费服务器相关联的用户设备时,在非公共网络认证授权计费服务器和认证服务器功能实体之间提供认证接口。
(27)根据(26)的认证服务器功能实体,其中,电路进一步被配置为:
经由认证接口接收非公共网络认证授权计费服务器生成和加密的扩展主会话密钥,其中,基于与非公共网络认证授权计费服务器相关联的用户设备的凭证对生成和加密的扩展主会话密钥进行加密。
(28)一种用于移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:
经由有线接口接收由非公共网络认证授权计费服务器生成和加密的扩展主会话密钥;以及
基于非公共网络认证授权计费服务器的预共享非公共网络认证授权计费服务器ID解密加密的扩展主会话密钥。
(29)根据(28)的认证服务器功能实体,其中,预共享的非公共网络认证授权计费ID是非公共网络认证授权计费服务器的密钥、ID和证书中之一。
(30)一种用于移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:
生成公钥和私钥;以及
经由有线接口将公钥传输到非公共网络认证授权计费服务器,其中认证服务器功能实体持有私钥。
(31)根据(30)的认证服务器功能实体,其中,该电路进一步被配置为:
经由有线接口接收由非公共网络认证授权计费服务器基于公钥生成和加密的扩展主会话密钥;以及
基于持有的私钥解密接收到的扩展主会话密钥。
(32)一种用于移动通信系统的认证服务器功能实体,包括电路,该电路被配置为:
获得预先存储在认证服务器功能实体中的安全存储器中的预定密钥;
经由有线接口接收由非公共网络认证授权计费服务器生成和加密的扩展主会话密钥;以及
基于预定密钥解密加密的扩展主会话密钥。
Claims (32)
1.一种用于移动通信系统的用户设备,包括电路,所述电路被配置为:
与非公共网络认证授权计费服务器通信,并启动与所述移动通信系统的注册过程;以及
在所述非公共网络认证授权计费服务器和所述移动通信系统中的认证服务器功能实体之间提供认证接口。
2.根据权利要求1所述的用户设备,其中,在与所述移动通信系统的所述注册过程中,所述用户设备向所述认证服务器功能实体信令通知所述用户设备与所述非公共网络认证授权计费服务器相关联以提供所述认证接口的指示。
3.根据权利要求2所述的用户设备,其中,所述信令通知基于接入层信令消息或非接入层信令消息。
4.根据权利要求2所述的用户设备,其中,当所述用户设备和所述认证服务器功能实体已经建立安全环境时,执行所述信令通知。
5.根据权利要求4所述的用户设备,其中,当响应于所述信令通知所述用户设备被认证并授权为与所述非公共网络认证授权计费服务器相关联的所述用户设备时,在所述非公共网络认证授权计费服务器和所述认证服务器功能实体之间提供所述认证接口。
6.根据权利要求1所述的用户设备,其中,所述电路进一步被配置为:经由所述认证接口将由所述非公共网络认证授权计费服务器生成和加密的扩展主会话密钥传输给所述认证服务器功能实体。
7.根据权利要求6所述的用户设备,其中,基于所述用户设备的凭证对生成和加密的所述扩展主会话密钥进行加密,其中所述凭证是Kausf、CK/IK、RRCint和UPciph中之一。
8.根据权利要求6所述的用户设备,其中,基于所述用户设备的凭证对生成和加密的所述扩展主会话密钥进行加密,其中所述凭证自CK/IK导出。
9.根据权利要求1所述的用户设备,其中,所述认证接口经由所述移动通信系统的用户平面功能提供。
10.根据权利要求9所述的用户设备,其中,经由所述认证接口传输的可扩展认证协议数据包被视为用户平面数据包。
11.根据权利要求1所述的用户设备,其中,所述认证接口支持RADIUS或DIAMETER协议。
12.根据权利要求1所述的用户设备,其中,在所述注册过程中使用的认证方法包括认证和密钥协商协议、可扩展的认证协议认证和密钥协商协议以及可扩展的认证协议传输层安全中之一。
13.根据权利要求1所述的用户设备,其中,所述电路进一步被配置为:将所述注册过程中的接入点名称确定为所述认证服务器功能实体或认证凭证存储库和处理功能实体或统一数据管理实体。
14.根据权利要求1所述的用户设备,其中,所述电路进一步被配置为:禁止访问由所述移动通信系统提供的任何其他数据或其他服务。
15.根据权利要求1所述的用户设备,其中,所述电路进一步被配置为:经由所述认证接口将从所述移动通信系统接收的任何信息传输到相关联的所述非公共网络认证授权计费服务器。
16.根据权利要求15所述的用户设备,其中,接收的所述信息包括来自位于非公共网络中的非公共网络用户设备的可扩展认证协议数据包,以在所述非公共网络认证授权计算服务器进行认证。
17.根据权利要求2所述的用户设备,其中,当在所有节点上建立安全环境时,执行所述信令通知。
18.一种非公共网络认证授权计费服务器,包括电路,所述电路被配置为:
与移动通信系统的关联的用户设备通信;以及
从所述关联的用户设备接收信息,其中,所述关联的用户设备经由所述关联的用户设备在所述非公共网络认证授权计费服务器和所述移动通信系统中的认证服务器功能实体之间提供的认证接口从所述移动通信系统接收数据包。
19.根据权利要求18所述的非公共网络认证授权计费服务器,其中,从所述关联的用户设备接收的所述信息包括来自位于非公共网络中的非公共网络用户设备的可扩展认证协议数据包,用于在所述非公共网络认证授权计费服务器进行认证。
20.根据权利要求18所述的非公共网络认证授权计费服务器,其中,所述电路进一步被配置为:
基于所述关联的用户设备的凭证生成和加密扩展主会话密钥。
21.根据权利要求20所述的非公共网络认证授权计费服务器,其中,所述非公共网络认证授权计费服务器将生成和加密的所述扩展主会话密钥传输到所述关联的用户设备,以经由所述认证接口将生成和加密的所述扩展主会话密钥传输到所述认证服务器功能实体。
22.一种非公共网络认证授权计费服务器,包括电路,所述电路被配置为:
基于所述非公共网络认证授权计费服务器的预共享非公共网络认证授权计费服务器ID生成和加密扩展主会话密钥;以及
经由有线接口将生成和加密的所述扩展主会话密钥传输到认证服务器功能实体。
23.根据权利要求22所述的非公共网络认证授权计费服务器,其中,所述预共享非公共网络认证授权计费服务器ID是所述非公共网络认证授权计费服务器的密钥、ID和证书中之一。
24.一种非公共网络认证授权计费服务器,包括电路,所述电路被配置为:
从认证服务器功能实体接收公钥;
基于接收的所述公钥生成和加密扩展主会话密钥;以及
经由有线接口将所述扩展主会话密钥传输到所述认证服务器功能实体。
25.一种非公共网络认证授权计费服务器,包括电路,所述电路被配置为:
获得预先存储在所述非公共网络认证授权计费服务器中的安全存储器中的预定密钥;
基于所述预定密钥生成和加密扩展主会话密钥;以及
经由有线接口将生成和加密的所述扩展主会话密钥传输到认证服务器功能实体。
26.一种用于移动通信系统的认证服务器功能实体,包括电路,所述电路被配置为:
将与非公共网络认证授权计费服务器关联的用户设备注册到所述移动通信系统;以及
从所述用户设备接收指示所述用户设备与所述非公共网络认证授权计费服务器相关联的信令,其中,当响应于所述信令所述用户设备被认证和授权为与所述非公共网络认证授权计费服务器相关联的所述用户设备时,在所述非公共网络认证授权计费服务器和所述认证服务器功能实体之间提供认证接口。
27.根据权利要求26所述的认证服务器功能实体,其中,所述电路进一步被配置为:
经由所述认证接口接收由所述非公共网络认证授权计费服务器生成和加密的扩展主会话密钥,其中,基于与所述非公共网络认证授权计费服务器相关联的所述用户设备的凭证对生成和加密的所述扩展主会话密钥进行加密。
28.一种用于移动通信系统的认证服务器功能实体,包括电路,所述电路被配置为:
经由有线接口接收由非公共网络认证授权计费服务器生成和加密的扩展主会话密钥;以及
基于所述非公共网络认证授权计费服务器的预共享非公共网络认证授权计费服务器ID解密加密的所述扩展主会话密钥。
29.根据权利要求28所述的认证服务器功能实体,其中,所述预共享非公共网络认证授权计费ID是所述非公共网络认证授权计费服务器的密钥、ID和证书中之一。
30.一种用于移动通信系统的认证服务器功能实体,包括电路,所述电路被配置为:
生成公钥和私钥;以及
经由有线接口将所述公钥传输到非公共网络认证授权计费服务器,其中所述认证服务器功能实体持有所述私钥。
31.根据权利要求30所述的认证服务器功能实体,其中,所述电路进一步被配置为:
经由所述有线接口接收由所述非公共网络认证授权计费服务器基于所述公钥生成和加密的扩展主会话密钥;以及
基于持有的所述私钥解密接收的所述扩展主会话密钥。
32.一种用于移动通信系统的认证服务器功能实体,包括电路,所述电路被配置为:
获得预先存储在所述认证服务器功能实体中的安全存储器中的预定密钥;
经由有线接口接收由非公共网络认证授权计费服务器生成和加密的扩展主会话密钥;以及
基于所述预定密钥解密加密的所述扩展主会话密钥。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP20154959.9 | 2020-01-31 | ||
| EP20154959 | 2020-01-31 | ||
| PCT/EP2021/051750 WO2021151888A1 (en) | 2020-01-31 | 2021-01-26 | User equipment, non-public network authentication-authorization-accounting server, authentication server function entity |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115004638A true CN115004638A (zh) | 2022-09-02 |
Family
ID=69423217
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180010240.8A Pending CN115004638A (zh) | 2020-01-31 | 2021-01-26 | 用户设备、非公共网络认证授权计费服务器、认证服务器功能实体 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230057968A1 (zh) |
| CN (1) | CN115004638A (zh) |
| DE (1) | DE112021000866T5 (zh) |
| WO (1) | WO2021151888A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3077175A1 (fr) * | 2018-01-19 | 2019-07-26 | Orange | Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif |
| US11785456B2 (en) * | 2020-08-18 | 2023-10-10 | Cisco Technology, Inc. | Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1969761A4 (en) * | 2005-12-23 | 2009-02-04 | Bce Inc | WIRELESS DEVICE AUTHENTICATION BETWEEN DIFFERENT NETWORKS |
| WO2018137873A1 (en) * | 2017-01-27 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Secondary authentication of a user equipment |
-
2021
- 2021-01-26 CN CN202180010240.8A patent/CN115004638A/zh active Pending
- 2021-01-26 US US17/792,409 patent/US20230057968A1/en active Pending
- 2021-01-26 DE DE112021000866.8T patent/DE112021000866T5/de active Pending
- 2021-01-26 WO PCT/EP2021/051750 patent/WO2021151888A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| DE112021000866T5 (de) | 2023-01-05 |
| US20230057968A1 (en) | 2023-02-23 |
| WO2021151888A1 (en) | 2021-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10932132B1 (en) | Efficient authentication and secure communications in private communication systems having non-3GPP and 3GPP access | |
| KR102304147B1 (ko) | 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 | |
| US10887295B2 (en) | System and method for massive IoT group authentication | |
| TWI388180B (zh) | 通信系統中之金鑰產生 | |
| CN102215487B (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
| US20190036924A1 (en) | Method and apparatus for network access | |
| JP2019512942A (ja) | 5g技術のための認証機構 | |
| US11109206B2 (en) | Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment | |
| JP2014526841A (ja) | 並行した再認証および接続セットアップを使用したワイヤレス通信 | |
| US20190044740A1 (en) | Oracle authentication using multiple memory pufs | |
| CN108012264A (zh) | 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案 | |
| CN108990048B (zh) | 确定终端设备的标识的方法和装置 | |
| US20210297400A1 (en) | Secured Authenticated Communication between an Initiator and a Responder | |
| US11121871B2 (en) | Secured key exchange for wireless local area network (WLAN) zero configuration | |
| WO2021244509A1 (zh) | 数据传输方法和系统、电子设备及计算机可读存储介质 | |
| US20230057968A1 (en) | User equipment, non-public network authentication-authorization-accounting server, authentication server function entity | |
| US20220174497A1 (en) | Communication Method And Apparatus | |
| KR20230172603A (ko) | 온 디맨드 네트워크에서의 프로비저닝, 인증, 인가, 그리고 사용자 장비(ue) 키 생성 및 분배를 위한 방법 및 장치 | |
| CN114245372B (zh) | 一种认证方法、装置和系统 | |
| US20240056302A1 (en) | Apparatus, method, and computer program | |
| US20240080666A1 (en) | Wireless communication network authentication for a wireless user device that has a circuitry identifier | |
| WO2023141914A1 (zh) | 信息保护方法和设备 | |
| WO2023150931A1 (en) | Technologies for non-seamless wireless local area access offload | |
| EP4274161A1 (en) | Apparatus, methods, and computer programs | |
| EP4250641A1 (en) | Method, devices and system for performing key management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |