CN115699838A - 认证在网络中不具有订阅的设备 - Google Patents
认证在网络中不具有订阅的设备 Download PDFInfo
- Publication number
- CN115699838A CN115699838A CN202180039823.3A CN202180039823A CN115699838A CN 115699838 A CN115699838 A CN 115699838A CN 202180039823 A CN202180039823 A CN 202180039823A CN 115699838 A CN115699838 A CN 115699838A
- Authority
- CN
- China
- Prior art keywords
- authentication
- identifier
- request
- remote unit
- service provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/06—De-registration or detaching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/105—PBS [Private Base Station] network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
公开了用于使用外部凭证访问NPN的装置、方法和系统。移动通信网络中的一种装置(800)包括处理器(805)和接收(905)对UE的注册请求的收发器(825)。这里,UE不具有向移动通信网络的订阅。处理器(805)标识(910)UE的服务提供商并且控制收发器(825)以向所标识的服务提供商的AAA服务器发送(915)认证消息。处理器(805)响应于UE的成功认证而从AAA服务器接收(920)包含主会话密钥的认证响应,并且使用主会话密钥导出(925)安全密钥(例如,KAUSF、KSEAF)的集合。
Description
相关申请的交叉引用
本申请要求Andreas Kunz、Sheeba Backia Mary Baskaran、以及Genadi Velev于2020年6月5日提交的、标题为“ACCESSING SNPN WITH EXTERNAL CREDENTIALS(用外部凭证访问SNPN)”的美国临时专利申请号63/035,654的优先权,该申请通过引用并入本文。
技术领域
本文中公开的主题一般涉及无线通信,并且更具体地涉及用外部凭证访问非公共网络(“NPN”)。
背景技术
在某些无线通信系统中,为了注册到独立的非公共网络(“SNPN”),设备(即,用户设备(“UE”)需要得到认证并且有必要按照第三代合作伙伴项目(“3GPP”)技术规范(“TS”)33.501中第五代(“5G”)系统的规定设置安全性。但是,SNPN可能不持有此特殊UE的任何订阅并且因此SNPN无法对UE进行认证。
发明内容
公开了使用外部凭证访问NPN的过程。所述过程可以由装置、系统、方法或计算机程序产品来实现。
移动通信网络中的认证功能的一种方法包括接收对用户设备(“UE”)的注册请求,其中该UE不具有向移动通信网络的订阅。该方法包括标识UE的服务提供商并且将认证消息发送到所标识的服务提供商的认证、授权和计费(“AAA”)服务器。该方法包括响应于UE的成功认证而从AAA服务器接收包含主会话密钥的认证响应,并且使用主会话密钥导出安全密钥的集合。
附图说明
将通过参考在附图中示出的具体实施例来呈现对以上简要描述的实施例的更具体的描述。理解这些附图仅描绘了一些实施例并且因此不应被认为是对范围的限制,将通过使用附图以附加的特殊性和细节来描述和解释实施例,在附图中:
图1是图示用于使用外部凭证访问NPN的无线通信系统的一个实施例的示意性框图;
图2是图示用于使用外部认证和密钥协议进行注册的过程的一个实施例的图;
图3A是图示用于使用外部认证和密钥协议进行注册的过程的另一个实施例的图;
图3B是图3A中的图的延续;
图4A是图示用于使用外部认证和密钥协议进行注册的过程的替代实施例的图;
图4B是图4A中的图的延续;
图5是图示用于订阅撤销过程的一个实施例的图;
图6是图示用于重新认证过程的一个实施例的图;
图7是图示可以被用于使用外部凭证访问NPN的用户设备装置的一个实施例的图;
图8是图示可以被用于使用外部凭证访问NPN的网络装置的一个实施例的图;以及
图9是图示用于使用外部凭证访问NPN的一种方法的一个实施例的流程图。
具体实施方式
如本领域技术人员将理解的,实施例的各方面可以体现为系统、装置、方法或程序产品。因此,实施例可以采取完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)或组合软件和硬件各方面的实施例的形式。
例如,所公开的实施例可以实现为硬件电路,其包括定制的超大规模集成(“VLSI”)电路或门阵列、现成的半导体,诸如逻辑芯片、晶体管或其他分立的组件。所公开的实施例也可以被实现在可编程硬件设备中,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等。作为另一示例,所公开的实施例可以包括可执行代码的一个或多个物理块或逻辑块,其可以例如被组织为对象、过程或功能。
此外,实施例可以采取体现在一个或多个计算机可读存储设备中的程序产品的形式,该一个或多个计算机可读存储设备存储机器可读代码、计算机可读代码和/或程序代码,以下称为代码。存储设备可以是有形的、非暂时的和/或非传输的。存储设备可以不体现信号。在某个实施例中,存储设备仅采用用于接入代码的信号。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是,例如,但不限于电子、磁、光、电磁、红外、全息、微机械或半导体系统、装置或设备、或前述的任何适当的组合。
存储设备的更具体示例(非详尽列表)将包括以下:具有一条或多条电线的电气连接、便携式计算机软盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式致密盘只读存储器(“CD-ROM”)、光存储设备、磁存储设备、或前述的任何适当的组合。在本文档的上下文中,计算机可读存储介质可以是能够包含或存储用于由指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合使用的程序的任何有形介质。
用于执行实施例的操作的代码可以是任意数量的行,并且可以用包括诸如Python、Ruby、Java、Smalltalk、C++等面向对象的编程语言、和诸如“C”编程语言等传统过程编程语言、和/或诸如汇编语言的机器语言中的一种或多种编程语言的任意组合来编写。代码可以在用户的计算机上、部分在用户的计算机上、作为独立软件包、部分在用户的计算机上并且部分在远程计算机上或完全在远程计算机或服务器上完全执行。在后一种场景下,远程计算机可以通过包括局域网(“LAN”)、无线LAN(“WLAN”)或广域网(“WAN”)的任何类型的网络连接到用户的计算机,或者可以连接到外部计算机(例如,通过使用互联网服务提供商(“ISP”)的互联网)。
此外,实施例的所述特征、结构或特性可以以任何适当的方式组合。在下面的描述中,提供了许多具体细节,诸如编程的示例、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等,以提供对实施例的透彻理解。然而,相关领域的技术人员将认识到,实施例可以在没有这些具体细节中的一个或多个的情况下或者利用其他方法、组件、材料等来实践。在其他实例中,未详细示出或描述众所周知的结构、材料或操作以避免模糊实施例的各方面。
贯穿本说明书对“一个实施例”、“实施例”或类似语言的引用意指结合该实施例描述的特定特征、结构或特性被包括在至少一个实施例中。因此,除非另有明确说明,否则贯穿本说明书的短语“在一个实施例中”、“在实施例中”和类似语言的出现可以但不一定都指代相同的实施例,而是意指“一个或多个但不是所有实施例”。除非另有明确说明,否则术语“包括”、“包含”、“具有”及其变形意指“包括但不限于”。除非另有明确说明,否则所列举的项的列表并不暗示任何或所有项是相互排斥的。除非另有明确说明,否则术语“一个”、“一”和“该”也指“一个或多个”。
如本文所使用的,具有“和/或”连词的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“……中的一个或多个”的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和C中的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所使用的,使用术语“……中的一个”的列表包括列表中的任何单个项中的一个且仅一个。例如,“A、B和C中的一个”包括仅A、仅B或仅C并且不包括A、B和C的组合。如本文所使用的,“选自由A、B和C组成的组的成员”包括A、B或C中的一个且仅一个,并且不包括A、B和C的组合。”如本文所使用的,“选自由A、B和C及其组合组成的组的成员”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
下面参考根据实施例的方法、装置、系统和程序产品的示意流程图和/或示意性框图来描述实施例的各方面。将理解,示意流程图和/或示意性框图中的各个框以及示意流程图和/或示意性框图中的框的组合都能够通过代码实现。该代码可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图和/或框图中指定的功能/动作的装置。
代码还可以被存储在存储设备中,该存储设备能够引导计算机、其他可编程数据处理装置或其他设备以特定方式运行,使得存储在存储设备中的指令产生包括实现流程图和/或框图中指定的功能/动作的指令的制品。
代码还可以被加载到计算机、其他可编程数据处理装置或其他设备上以使一系列操作步骤在计算机、其他可编程装置或其他设备上执行,从而产生计算机实现的过程,使得在计算机或其他可编程装置上执行的代码提供用于实现流程图和/或框图中指定的功能/动作的过程。
附图中的流程图和/或框图示了根据各种实施例的装置、系统、方法和程序产品的可能实现方式的架构、功能性和操作。在这点上,流程图和/或框图中的每个框可以表示模块、段或代码的一部分,其包括用于实现(多个)指定逻辑功能的代码的一个或多个可执行指令。
还应注意,在一些替代实现方式中,框中标注的功能可以不按图中标注的顺序出现。例如,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行,这取决于所涉及的功能性。可以设想到在功能、逻辑或效果上与示出的图中的一个或多个框或其部分等效的其他步骤和方法。
尽管在流程图和/或框图中可以采用各种箭头类型和线类型,但它们被理解为不限制对应实施例的范围。实际上,一些箭头或其他连接器可以用于仅指示描绘的实施例的逻辑流程。例如,箭头可以指示描绘的实施例的列举步骤之间的未指定持续时间的等待或监视时间段。还将注意,框图和/或流程图的每个框以及框图和/或流程图中的框的组合能够由执行指定功能或动作的基于专用硬件的系统或专用硬件与代码的组合实现。
每个图中的元件的描述可以参考前面的附图的元件。在所有附图中,相同的标号指代相同的元件,包括相同元件的替代实施例。
一般而言,本公开描述了用于用外部凭证访问独立的非公共网络的系统、方法和装置。为了注册到独立的非公共网络(“SNPN”),UE需要得到认证并且有必要按照3GPP TS33.501中针对5G系统的规定设置安全性。问题在于SNPN不持有此特殊UE的任何订阅并且因此SNPN无法认证UE。然而,在UE属于与SNPN具有服务协议的服务提供商的情况下,然后UE将能够使用对服务提供商的订阅来访问SNPN。问题是当UE的安全凭证被存储在SNPN信任域之外的实体中时,并且当此实体执行对UE的认证时,如何对SNPN网络接入执行初级认证和授权。在一个实施例中,服务提供商不支持AUSF和/或UDM功能性。在其他实施例中,服务提供者支持AUSF和UDM功能性,但是初级认证和授权使用SNPN中的AUSF和UDM功能性。
当前的3GPP规范没有讨论能够如何执行SNPN和AAA服务器之间的密钥供应以及必须执行什么才能允许对于SNPN来说未知的UE获得对SNPN的访问权并得到作为用于该服务的合法UE的认证。
为了补救上述问题,公开了UE的新行为。在一些实施例中,UE使用SNPN的SNN作为接入网络标识参数及其长度从密钥CK、IK导出密钥CK'、IK'。这里,CK可以表示密码密钥,并且IK可以表示完整性密钥。在一些实施例中,UE使用服务提供商标识符(“SP-ID”)作为接入网络标识参数及其长度从CK、IK导出CK'、IK'。在某些实施例中,UE使用网络访问标识符(“NAI”)的用户名或指配的UE ID来导出主密钥(“MK”)。在某些实施例中,UE经由非接入层(“NAS”)安全模式命令(“SMC”)消息接收SNPN指配的UE ID。
为了补救上述问题,公开了AMF的新行为。在一些实施例中,AMF基于NAI的域和配置的允许服务提供商的列表执行授权。在一些实施例中,AMF创建来自SNPN的指配的UE ID和来自服务提供商的订阅ID(NAI的用户名)的绑定。在一些实施例中,AMF向UE发送NAS SMC消息中的SNPN指配的UE ID。为了重新认证,AMF可以在向诸如AUSF、AAA代理、和/或AAA互通功能的认证代理的认证请求中向NAI发送标识。
为了进一步补救上述问题,公开了认证功能的新行为。在一些实施例中,诸如AUSF、AAA代理和/或AAA互通功能的认证代理(“AUP”)基于NAI的域和配置的允许服务提供商的列表执行授权。在一些实施例中,AUP从AAA服务器接收认证响应,该响应包含MSK。在一些实施例中,AUP从MSK导出KAUSF和KSEAF。
在一些实施例中,AUP向AAA服务器请求认证,可以向AAA服务器提供SNPN SNN。在一些实施例中,AUP从AAA服务器接收认证响应,该响应包含KSP_AUSF或CK'、IK'、有效时间、路由ID和具有UE的真实用户名的NAI。在一些实施例中,AUP使用NAI的用户名或指配的UE ID来导出MK。在一些实施例中,AUP向AMF/SEAF提供有效时间和UE ID。
为了进一步补救上述问题,公开了AAA服务器的新行为。在各种实施例中,AAA服务器可以预先配置有存储默认配置文件的UDM的路由ID和UE ID的池/数量。在一些实施例中,AAA服务器使用SNPN的SNN作为接入网络标识参数及其长度从CK、IK导出CK'、IK'。在一些实施例中,AAA服务器使用服务提供商标识符SP-ID作为接入网络标识参数及其长度,从CK、IK导出CK'、IK'。在一些实施例中,AAA服务器使用NAI的用户名导出MK。在一些实施例中,AAA服务器提供KSP_AUSF或CK'、IK'、有效时间、路由ID,并且在可扩展认证协议(“EAP”)方法支持隐私的情况下,提供具有UE的真实用户名的NAI。
为了进一步补救上述问题,公开了UDM的新行为。在各种实施例中,UDM被预配置有没有用于服务提供商的虚拟订阅的安全上下文的默认配置文件。此外,UDM可以被预配置有(虚拟/临时)订阅池或能够被指配给服务提供商的订户的最大数量的有效订阅,或者根据要求动态地生成订阅。
在一些实施例中,UDM向服务提供商的订户指配并激活具有默认配置文件的订阅(如果可用)。在一些实施例中,UDM将订阅UE ID与服务提供商的订户的NAI绑定。在一些实施例中,如果有效订阅的最大数量被耗尽或者不能从预配置的订阅池指配更多订阅,则UDM拒绝订阅。在一些实施例中,一旦具有指配的UE ID的UE注销,UDM就会停用UE的订阅并去除绑定,使得可以将UE ID指配给来自同一服务提供商的另一个订户。
图1描绘了根据本公开的实施例的用于使用外部凭证访问NPN的无线通信系统100。在一个实施例中,无线通信系统100包括至少一个远程单元105、无线电接入网络(“RAN”)120和移动核心网络140。RAN 120和移动核心网络140形成移动通信网络。RAN 120可以由基站单元121组成,远程单元105使用无线通信链路123与基站单元121通信。尽管在图1中描绘了特定数量的远程单元105、基站单元121、无线通信链路123、RAN 120和移动核心网络140,但本领域技术人员将认识到任何数量的远程单元105、基站单元121、无线通信链路123、RAN 120和移动核心网络140都可以被包括在无线通信系统100中。
在一种实现方式中,RAN 120符合3GPP规范中规定的5G系统。例如,RAN 120可以是新一代RAN(“NG-RAN”),其实现NR无线电接入技术(“RAT”)和/或长期演进(“LTE”)RAT。在另一示例中,RAN 120可以包括非3GPP RAT(例如,
或电气和电子工程师协会(“IEEE”)802.11系列兼容的WLAN)。在另一实现方式中,RAN 120符合3GPP规范中规定的LTE系统。然而,更一般地,无线通信系统100可以实现一些其他开放或专有通信网络,例如,全球微波接入互操作性(“WiMAX”)或IEEE 802.16系列标准,以及其他网络。本公开不旨在被限制于任何特定无线通信系统架构或协议的实现方式。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏控制台、安全系统(包括安全相机)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以被称为UE、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、设备、或本领域使用的其他术语。在各种实施例中,远程单元105包括订户标识和/或标识模块(“SIM”)和移动设备(“ME”),其提供移动终端功能(例如,无线电传输、转换、语音编码和解码、错误检测和校正、到SIM的信令和接入)。在某些实施例中,远程单元105可以包括终端设备(“TE”)和/或被嵌入在电器或设备(例如,如上所述的计算设备)中。
远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号与RAN 120中的一个或多个基站单元121直接地通信。此外,可以在无线通信链路123上承载UL和DL通信信号。这里,RAN 120是向远程单元105提供对移动核心网络140的接入的中间网络。
在一些实施例中,远程单元105经由与移动核心网络140的网络连接与应用服务器151通信。例如,远程单元105中的应用107(例如,web浏览器、媒体客户端、电话和/或互联网协议语音(“VoIP”)应用)可以触发远程单元105经由RAN 120与移动核心网络140建立协议数据单元(“PDU”)会话(或其他数据连接)。移动核心网络140然后使用PDU会话在远程单元105与分组数据网络150中的应用服务器151之间中继业务。PDU会话表示远程单元105与用户平面功能(“UPF”)141之间的逻辑连接。
为了建立PDU会话(或PDN连接),远程单元105必须向移动核心网络140注册(在第四代(“4G”)系统的上下文中也称为“附接到移动核心网络”)。注意,远程单元105可以与移动核心网络140建立一个或多个PDU会话(或其他数据连接)。因此,远程单元105可以具有用于与分组数据网络150通信的至少一个PDU会话。远程单元105可以建立附加的PDU会话用于与其他数据网络和/或其他通信对等体进行通信。
在5G系统(“5GS”)的上下文中,术语“PDU会话”是指通过UPF141在远程单元105与特定数据网络(“DN”)之间提供端到端(“E2E”)用户平面(“UP”)连接性的数据连接。PDU会话支持一个或多个服务质量(“QoS”)流。在某些实施例中,在QoS流与QoS配置文件之间可以存在一对一的映射,使得属于特定QoS流的所有分组具有相同的5G QoS标识符(“5QI”)。
在4G/LTE系统的上下文中,诸如演进型分组系统(“EPS”),分组数据网络(“PDN”)连接(也称为EPS会话)提供远程单元与PDN之间的E2E UP连接性。PDN连接性过程建立EPS承载,即,远程单元105与移动核心网络140中的分组网关(“PGW”,未示出)之间的隧道。在某些实施例中,在EPS承载与QoS配置文件之间存在一对一映射,使得所有属于特定EPS承载的分组都具有同一QoS类标识符(“QCI”)。
基站单元121可以被分布在地理区域上。在某些实施例中,基站单元121也可以被称为接入终端、接入点、基地、基站、节点B(“NB”)、演进型节点B(缩写为eNodeB或“eNB”,也称为演进型通用陆地无线接入网络(“E-UTRAN”)节点B)、5G/NR节点B(“gNB”)、家庭节点B、中继节点、RAN节点或本领域中使用的任何其他术语。基站单元121通常是诸如RAN 120的RAN的一部分,其可以包括可通信地耦合到一个或多个对应基站单元121的一个或多个控制器。无线电接入网络的这些和其他元件未示出,但本领域普通技术人员通常公知。基站单元121经由RAN 120连接到移动核心网络140。
基站单元121可以经由无线通信链路123为例如小区或小区扇区的服务区内的多个远程单元105服务。基站单元121可以经由通信信号与一个或多个远程单元105直接地通信。通常,基站单元121发射DL通信信号以在时域、频域和/或空间域中服务远程单元105。此外,可以在无线通信链路123上承载DL通信信号。无线通信链路123可以是授权或未授权无线电频谱中的任何合适的载波。无线通信链路123促进在一个或多个远程单元105和/或一个或多个基站单元121之间的通信。注意,在未授权频谱(“NR-U”)操作中的NR期间,基站单元121和远程单元105通过未授权的(即,共享的)的无线电频谱进行通信。
在一个实施例中,移动核心网络140是5G核心网络(“5GC”)或演进型分组核心(“EPC”),其可以被耦合到分组数据网络150,如互联网和私有数据网络,以及其他数据网络。远程单元105可以具有关于移动核心网络140的订阅或其他账户。每个移动核心网络140属于单个PLMN。本公开不旨在限于任何特定无线通信系统架构或协议的实现方式。
移动核心网络140包括若干网络功能(“NF”)。如所描绘的,移动核心网络140包括至少一个UPF 141。移动核心网络140还包括多个控制平面(“CP”)功能,其包括但不限于服务于RAN 120的接入和移动性管理功能(“AMF”)143、会话管理功能(“SMF”)145、策略控制功能(“PCF”)147、以及统一数据管理功能(“UDM”)。在一些实施例中,UDM与用户数据存储库(“UDR”)准共址,其被描述为组合实体“UDM/UDR”149。在各种实施例中,移动核心网络140还可以包括认证服务器功能(“AUSF”)、网络存储库功能(“NRF”)(由各种NF用于通过应用程序编程接口(“API”)发现并且彼此通信)、或为5GC定义的其他NF。在某些实施例中,移动核心网络140可以包括认证、授权和计费(“AAA”)服务器。
在各种实施例中,移动核心网络140支持不同类型的移动数据连接和不同类型的网络切片,其中,每个移动数据连接利用特定网络切片。这里,“网络切片”是指移动核心网络140针对特定业务类型或通信服务优化的部分。网络实例可以由单个网络切片选择辅助信息(“S-NSSAI”)加以标识,而远程单元105被授权使用的网络切片的集合由网络切片选择辅助信息(“NSSAI”)加以标识。这里,“NSSAI”是指包括一个或多个S-NSSAI值的向量值。在某些实施例中,各种网络切片可以包括网络功能的分开的实例,诸如SMF 145和UPF 141。在一些实施例中,不同的网络切片可以共享一些共同的网络功能,诸如AMF 143。为便于图示,在图1中未示出不同的网络切片,但假定它们的支持。
尽管在图1中描绘了特定数量和类型的网络功能,但本领域技术人员将认识到任何数量和类型的网络功能都可以被包括在移动核心网络140中。此外,在其中移动核心网络140是EPC的LTE变形中,所描绘的网络功能可以用适当的EPC实体代替,诸如移动管理实体(“MME”)、服务网关(“SGW”)、PGW、归属订户服务器(“HSS”)等。例如,AMF 143可以被映射到MME,SMF 145可以被映射到PGW的控制平面部分和/或被映射到MME,UPF 141可以被映射到SGW和PGW的用户平面部分,UDM/UDR 149可以被映射到HSS等。
在各种实施例中,服务提供商域160是远程单元105具有订阅的PLMN。服务提供商域160在移动核心网络140外部。如下文更详细描述的,远程单元105可以使用外部凭证,即,服务提供商域160的凭证,以向移动核心网络140注册。此处,对远程单元105进行认证可以涉及位于服务提供商域160中的AAA服务器161。
虽然图1描绘了5G RAN和5G核心网络的组件,但所描述的用于使用外部凭证访问NPN的实施例应用于其他类型的通信网络和RAT,包括IEEE 802.11变形、全球移动通信系统(“GSM”,即,2G数字蜂窝网络)、通用分组无线电服务(“GPRS”)、通用移动电信系统(“UMTS”)、LTE变形、CDMA 2000、蓝牙、ZigBee、Sigfox等。
在以下描述中,术语“RAN节点”被用于基站,但是它可以用任何其他无线电接入节点,例如,gNB、eNB、基站(“BS”)、接入点(“AP”)等代替。此外,主要在5G NR的上下文中描述操作。然而,所提出的解决方案/方法也同样地适用于使用外部凭证访问NPN的其他移动通信系统。
图2描绘了用于根据本公开的实施例的用于使用外部认证和密钥协议进行注册的过程200。过程200涉及UE 201、SNPN中的AMF和/或SEAF(描述为AMF/SEAF 203)、SNPN中的UDM 205、SNPN中的AUP/AUSF 207以及服务提供商域中的外部AAA服务器209。AUP可以与AUSF共置,并且为简单起见,两者一起在图中被示出。
SNPN可以具有配置的UDM 205和AUP,它们处理与外部AAA服务器209的认证。UDM205和AUP的发现能够基于SNPN中的预配置,或者基于SP-ID(UE的NAI的域部分),或基于标识UDM 205并存储在AAA服务器209中的针对此SNPN的订阅配置文件中的路由ID。
根据第一解决方案,主会话密钥(“MSK”)从AAA服务器被供应给认证代理功能(例如,称为“AUP”,它能够是增强型AUSF、AAA代理或AAA互通功能),其中AUP导出KAUSF和KSEAF。在此解决方案中,做出以下假定:
具有其自己的标识符(即,SP-ID)的服务提供商与SNPN具有业务关系(即,服务协议)并且被允许使用SNPN中一定数量的订阅,由单独的UE ID标识,其可以是例如,用户永久标识符(“SUPI”)、国际移动订户标识符(“IMSI”)、通用公共订阅标识符(“GPSI”)等。UE ID表示针对UE的SNPN中的临时订阅标识符。UE是服务提供商的订户,并且两者都具有共享的凭证的集合,其可以或者不可以存储在UE 201中的通用订户标识模块(“USIM”)中。此外,此凭证可以是用户名/密码、公钥/私钥集、凭证等。
服务提供商被允许为服务提供商的所有订户使用SNPN中的某个“默认配置文件”。对于在SNPN中配置或指配的UE ID池或数量,此“默认配置文件”是相同的。SNPN中的UE ID与服务提供商的订阅标识符无关,这里称为“用户名”,即,在SNPN处正在注册的服务提供商的订户可能会或可能不会在SNPN中获得不同的UE ID以用于后续在SNPN中的注册。对于与服务提供商的相同用户名的重新认证,UE ID可能保持不变。服务提供商可以设置有效时间,该有效时间表达到UE 201的下一次需要的重新认证的间隔,或者服务提供商在SNPN处为UE 201发布的订阅信息的生命周期。
注册过程200开始于步骤0,其中服务提供商与SNPN有服务协议,并且SNPN在成功认证后向服务提供商的订户指配SNPN特定的UE ID。UE ID的指配可以动态创建,或者来自某个SNPN特定的UE ID池或一定数量的SNPN特定的UE ID,或者只是可用的未激活的UE ID,并且SNPN仅计数针对此特定服务提供商在SNPN中有效的临时订阅的数量。服务提供商和SNPN确认用于UE ID池的“默认配置文件”,即,来自服务提供商的所有订户关于例如,QoS、NSSAI等具有相同的配置文件(参见框211)。
与5G系统中的普通订户配置文件的重要区别在于,默认配置文件不包含任何安全相关信息,即,没有用于SUPI(取消)隐藏的公钥/私钥对,也没有共享根秘密K。这优点在于服务提供商能够在默认配置文件中保留具有预先商定的特征的集合的SNPN中的大量的虚拟订阅。
在步骤1处,UE 201向AMF/SEAF 203发送作为UE身份的具有服务提供商的NAI(例如,以“pseudonym@realm”或“username@realm”的形式)的注册请求(参见消息传递213)。如果服务提供商的EAP方法支持隐私,则NAI的用户名可以设置为匿名,或者设置为预配置的假名或服务提供商的订阅标识符。NAI的用户名部分也可以是订户隐藏标识符(“SUCI”)、SUPI、IMSI或对AAA服务器209有意义的任何其他标识符。
在步骤2处,AMF/SEAF 203基于NAI的域检测注册请求不是来自SNPN的订户而是来自服务提供商。AMF/SEAF 203通过验证NAI的域以及SNPN是否具有与此服务提供商的有效协议来授权该请求。AMF/SEAF 203将请求转发给AUP/AUSF 207,该AUP/AUSF 207可以被预先配置以处理对外部服务提供商的请求(参见消息传递215)。
在步骤3处,AUP/AUSF 207可以通过验证NAI的域以及SNPN是否具有与此服务提供商的有效协议来执行注册请求的授权。在AMF/SEAF 203不执行授权的情况下,可以执行AUP/AUSF 207中的授权,或者在授权之外执行授权。AUP/AUSF 207标识服务提供商并向相应的AAA服务器209发送相关消息(参见消息传递217)。如果AAA服务器209支持基于服务的接口,则AUP/AUSF 207向AAA服务器209发送相应的认证请求,如果不支持,则AUP/AUSF 207发送AAA协议认证请求消息,包括UE NAI(例如,pseudonym@realm)。在某些实施例中,到AAA服务器209的消息还包含SNPN服务网络名称(“SNN”)。
在步骤4处,AAA服务器209基于用户名验证认证请求。如果AAA服务器209支持隐私,则相关的EAP消息,例如,在隧道模式下,将接收在与UE 201的第一次交换中受保护的真实标识。如果AAA服务器209支持SUCI作为用户名及其取消隐藏,则AAA服务器209将SUCI作为用户名隐藏到SUPI。AAA服务器209基于用户名选择订户配置文件(参见框219),并使用UE201中的预共享的凭证和AAA服务器209中的订户配置文件执行与UE 201的基于EAP的认证(参见消息传递221)。
在步骤5a处,在成功认证之后,AAA服务器209从CK、IK导出CK'、IK'(参见框223)。在一个实施例中,密钥导出按照3GPP TS33.402中的规定来实现。AAA服务器209可以遵循正常的密钥导出并从CK'、IK'导出主密钥(“MK”),例如,根据IETF RFC 5448使用对密钥导出的输入,即,MK=PRF'(IK'|CK',"EAP-AKA'"|Identity),其中PRF作为伪随机数函数并且Identity作为服务提供商的订阅配置文件中的用户名,其中符号“|”指示构建输入字符串的级联操作。
AAA服务器209可以创建主会话密钥(“MSK”)或扩展主会话密钥(“EMSK”)。在一些实施例中,MSK是MK的子串,即,MK[640..1151](其中符号“[n..m]”表示从比特“n”到比特“m”的子串)并且EMSK是MK的最后512个比特(即,MK[1152..1663])。可替选地,KAUSF可以通过具有CK'、IK'作为输入和SNN的密钥导出函数(KDF)如下导出:KAUSF:KDF(CK'||IK',SNN),其中符号“||”指示CK'和IK'的级联。
在步骤5b处,UE 201相应地导出相同的密钥(参见框225)。
AAA服务器209可以为SNPN选择存储的路由ID(在步骤0中预配置)以及一个认证周期的有效时间,即,在其之后AMF/SEAF 203应该触发重新认证请求。
在步骤6处,AAA服务器209将认证响应中的认证结果发回给AUP/AUSF 207(参见消息传递227)。此消息可能包括以下至少一项:具有UE的AAA服务器中的订阅配置文件的真实用户名的NAI(例如,username@realm)、UE NAI(例如,pseudonym@realm)、MSK、有效时间和路由ID。
在步骤7处,AUP/AUSF 207验证响应并从MSK导出KAUSF(参见框229)。AUP/AUSF 207还从KAUSF导出KSEAF,例如,根据3GPP TS 33.501。
在步骤8处,AUP/AUSF 207可以向AMF/SEAF 203发送认证响应(参见消息传递231)。这里,认证响应可以包括以下参数中的一个或多个:来自服务提供商和KSEAF的认证结果、UE ID(例如,SUPI)、有效时间,即,到下一次重新认证的时间。AUP/AUSF 207可能包括在步骤2中收到的NAI(例如,pseudonym@realm),使得AMF/SEAF 203能够与响应消息相关。
在步骤9处,AMF/SEAF 203可以存储来自服务提供商的UE ID和NAI(例如,username@realm),用于在有效时间的期满之后潜在的重新认证。AMF/SEAF 203可以基于NAI或UE ID从UDM 205请求订阅配置文件(参见框233)。
在步骤10处,AMF/SEAF 203可以从现在起执行像普通5G订户一样的普通过程,例如,NAS SMC、AS SMC等,并为NAS协议和无线电接口设置安全性(参见框235)。过程200结束。
图3A-3B描绘了根据本公开的实施例的用于用外部认证和密钥协议进行注册的过程300。过程300涉及UE 201、SNPN中的AMF/SEAF203、SNPN中的UDM 205、SNPN中的AUP/AUSF207以及服务提供商域中的AAA服务器209。
根据第二解决方案,密钥KAUSF从AAA服务器209被供应给AUP/AUSF 207。在此解决方案中,做出以下假定:
具有其自己的标识符SP-ID的服务提供商与SNPN具有服务协议并且被允许在SNPN中使用一定数量的订阅,其由单独的UE ID标识,其可以是,例如,SUPI、IMSI、GPSI等。UE ID表示UE 201的SNPN中的临时订阅标识符。UE 201是服务提供商的订户,并且两者都具有共享的凭证的集合,这些凭证可以存储或不可以存储在UE 201中的USIM中。此外,此凭证可以是用户名/密码、公钥/私钥集、凭证等。
服务提供商被允许为服务提供商的所有订户使用SNPN中的某个“默认配置文件”。对于在SNPN中配置或指配的UE ID的池或数量,此“默认配置文件”是相同的。SNPN中的UEID与服务提供商的订阅标识符无关,这里称为“用户名”,即,在SNPN处正在注册的服务提供商的订户可能会或可能不会在SNPN中得到不同的UE ID以用于后续在SNPN中的注册。对于与服务提供商的相同用户名的重新认证,UE ID可能保持不变。服务提供商可以设置有效时间,该有效时间表达到UE 201的下一次需要的重新认证的间隔,或者服务提供商在SNPN处为UE 201发布的订阅信息的生命周期。
SNPN可以具有配置的UDM 205和AUP,其正在处理与外部AAA服务器209的认证。在一些实施例中,AUP与AUSF被共置,如图3A-3B所描绘的。UDM 205和AUP的发现能够基于SNPN中的预配置,或基于SP-ID(UE的NAI的域部分),或基于标识UDM 205并存储在AAA服务器209中的针对此SNPN的订阅配置文件中的路由ID。
在图3A处,注册过程300通过执行与上文参考图2所讨论的相同的步骤1-4开始(参见框211和219;参见消息传递213、215、217和221)。
在步骤5a处,在成功认证之后,AAA服务器209使用SNPN的SNN或服务提供商标识符SP-ID作为接入网络标识参数及其长度从CK、IK导出CK'、IK'(参见框301)。在一个实施例中,密钥导出是按照3GPP TS 33.402中的规定被实现的。AAA服务器209可以遵循正常的密钥导出,并根据IETF RFC 5448使用对密钥导出的输入来导出主密钥(“MK”),即,MK=PRF'(IK'|CK',"EAP-AKA'"|Identity),其中PRF作为伪随机数函数并且Identity作为服务提供商的订阅配置文件中的用户名,其中符号“|”指示构建输入字符串的级联操作。
AAA服务器209可以创建扩展主会话密钥(EMSK),它是MK的最后512个比特(即,MK[1152..1663])和KSP_AUSF,它是EMSK的最重要的356个比特。可替选地,KSP_AUSF可以通过以CK'、IK'作为输入和SNN的密钥导出函数(KDF)被如下导出:KSP_AUSF:KDF(CK'||IK',SNN),其中符号'||'指示CK'和IK'的级联。
在步骤5b处,UE 201相应地导出相同的密钥(参见框303)。
AAA服务器209可以在一个认证周期内为SNPN选择存储的路由ID(在步骤0中预配置)以及有效时间,即,在其之后AMF/SEAF 203应该触发重新认证请求。
在步骤6处,AAA服务器209将认证响应中的认证结果发回给AUP/AUSF 207(参见消息传递305)。此消息可以包括以下至少之一:具有UE 201的AAA服务器209中的订阅配置文件的真实用户名的NAI(例如,username@realm)、UE NAI(例如,pseudonym@realm)、KSP_AUSF、有效时间和路由ID。在替代方案中,发送MK或EMSK替代KSP_AUSF,并且AUP/AUSF 207将在导出KSEAF之前在步骤7中从其导出KAUSF。
继续图3B,在步骤7a处,AUP/AUSF 207验证响应并选择存储服务提供商的默认配置文件的UDM 205,例如,基于预配置或基于路由ID。AUP/AUSF 207向具有服务提供商订户的NAI(例如,username@realm)的UDM 205发送对用于具有外部订阅的UE 201的指配内部标识符的请求(例如,称为UE ID请求)(参见消息传递307)。
在步骤7b处,UDM 205指配SNPN特定的UE ID并将其绑定到服务提供商订户的NAI(例如,username@realm)(参见框309)。UE ID可以是SUPI、IMSI、GPSI或SNPN内部的任何其他合适的标识。指配的UE ID是全球唯一的,但只适用于SNPN域,即,在SNPN域外没有承载UEID的信令。
UDM 205可以动态地生成UE ID,或者可以具有用于特定SP的SNPN特定标识的池,或者利用对此服务提供商激活的订阅的当前数量进行计数的计数器可以仅具有允许数量的订阅。UDM 205可以在UE201从服务提供商注销时停用UE ID并去除绑定。
如果UDM 205中已激活的订阅的数量超过与服务提供商商定的最大数量,或者没有UE ID留在为服务提供商预配置的UE ID的池中,则UDM 205可以拒绝来自AUP/AUSF 207的请求,即,在这种情况下,UE 201将被拒绝并且不能访问SNPN,直到此服务提供商的另一个UE201注销。
在步骤7c处,UDM 205可以向AUP/AUSF 207提供指配的UE ID(参见消息传递311)。UDM 205还可以提供UE ID被指配到的NAI,使得AUSF能够与消息相关。
在步骤7d处,AUP/AUSF 207可以根据3GPP TS 33.501从KSP_AUSF中导出KSEAF(参见框313)。
在步骤8处,AUP/AUSF 207可以向AMF/SEAF 203发送认证响应(参见消息传递315)。这里,认证响应可以包括以下参数中的一个或多个:来自服务提供商和KSEAF的认证结果、指配的UE ID、有效时间,即,到下一次重新认证的时间。AUP/AUSF 207可以包括在步骤3中接收到的NAI(例如,pseudonym@realm),使得AMF/SEAF 203能够与响应消息相关。
在步骤9处,AMF/SEAF 203可以存储来自服务提供商的UE ID和NAI的绑定(例如,username@realm),用于在有效时间期满之后潜在的重新认证。AMF/SEAF 203可以基于NAI或UE ID从UDM 205请求订阅配置文件(参见框317)。在稍后重新认证的情况下,AMF/SEAF203需要向AUP/AUSF 207发起认证请求,其带有来自服务提供商的NAI并且不带有指配的UEID。
在步骤10处,AMF/SEAF 203可以从现在起执行像针对普通5G订户的普通过程,例如,NAS SMC、AS SMC等,并且为NAS协议和无线电接口设置安全性(参见框319)。过程300结束。
图4A-4B描绘了根据本公开的第三解决方案的实施例的具有替代密钥导出的注册过程400的示例(与过程400相比)。根据第三解决方案,使用不同的密钥导出和分发方案图4A-4B中描述的密钥导出在步骤4到步骤7之间进行如下修改。
过程400通过执行与上文参考图2所讨论的相同的步骤0-4开始(参见框211和219;参见消息传递213、215、217和221)。
在步骤5a中,AAA服务器209在成功认证之后使用SNPN的SNN或服务提供商标识符SP-ID作为接入网络标识参数及其长度从CK、IK导出CK'、IK'(参见框401)。在一个实施例中,密钥导出是按照3GPP TS 33.402中的规定实现的。AAA服务器209可以在一个认证周期内为SNPN选择存储的路由ID(即,在步骤0中预配置)以及有效时间,即,在其之后AMF/SEAF203应触发重新认证请求。
在步骤5b处,UE根据第三解决方案导出安全密钥(参见框403)。这里,UE可以导出SP和/或SNN特定密钥CK'、IK'、KAUSF和KSEAF。UE 205从CK'、IK'导出主密钥(“MK”),如下所述。
在步骤6处,AAA服务器209将认证响应中的认证结果发回给AUP/AUSF 207(参见消息传递405)。此消息可以包括CK'、IK'、有效时间、路由ID以及具有UE 201的AAA服务器209的订阅配置文件中的真实用户名的NAI。
继续图4B,在步骤7a处,AUP/AUSF 207验证响应并选择存储服务提供商的默认配置文件的UDM 205,例如,基于预配置或基于路由ID。AUP/AUSF 207将UE ID请求与服务提供商订户的NAI一起发送到UDM 205(参见消息传递407)。
在步骤7b处,UDM 205指配UE ID并将其绑定到服务提供商订户的NAI(参见框409)。UE ID可以是SUPI、IMSI、GPSI或SNPN内的任何其他合适的标识。UDM 205可以动态地生成UE ID,或者可以具有订阅的池或者可以利用正在计数此服务提供商激活的订阅的当前订阅数量的计数器仅具有允许数量的订阅。
当UE 201从服务提供商注销时,UDM 205可以停用UE ID并去除绑定。如果UDM 205中已激活的订阅数量超过与服务提供商商定的最大数量,或者没有UE ID留在为服务提供商预配置的UE ID的池中,则UDM 205可以拒绝来自AUP/AUSF 207的请求,即,在这种情况下,UE 201将被拒绝并且不能访问SNPN,直到此服务提供商的另一个UE201注销。
在步骤7c处,UDM 205将指配的UE ID提供给AUP/AUSF 207(参见消息传递411)。
在步骤7d处,AUP/AUSF 207可以遵循正常的密钥导出并且根据IETF RFC 4448使用对密钥导出的输入从CK'、IK'导出主密钥(“MK”),即,MK=PRF'(IK'|CK',"EAP-AKA'"|Identity),其中PRF作为伪随机数函数并且Identity作为在步骤6中从服务提供商的AAA服务器209接收到的NAI的用户名,其中符号“|”指示要构建输入字符串的级联操作(参见框413)。AUP/AUSF 207可以创建扩展主会话密钥(“EMSK”),它是MK的最后512个比特(即,MK[1152..1663])和KAUSF,它是EMSK的最重要的256个比特。AUP/AUSF 207可以根据3GPP TS33.501从KAUSF导出KSEAF,例如,KSEAF=KDF(KAUSF,SNN,SNN的长度)。
UE 201在步骤1中发送的NAI中的假名可以是SUCI,并且从AAA服务器209发送到AUP/AUSF 207的用户名可以是SUPI。在这种情况下,UE 201还使用SUPI来导出MK(参见框403)。
过程400通过执行与上面参考图4B所讨论的相同的步骤8-10来完成(参见消息传递315;见框317和319)。
根据第四种解决方案,在步骤7d和10处,使用不同的密钥导出和分发方案对过程400进行如下修改:
在修改的步骤7d处,AUP/AUSF 207可以遵循正常的密钥导出并且根据IETF RFC4448使用对密钥导出的输入从CK'、IK'导出主密钥(MK),即,MK=PRF'(IK'|CK',"EAP-AKA'"|Identity),其中PRF作为伪随机数函数并且Identity作为在步骤7c中从UDM 205接收的UE ID,其中符号‘|’指示级联操作来构建输入字符串。UE ID可以是SUPI或IMSI。请注意,步骤5处的UE密钥导出也将被修改,使得在UE 201中导出的密钥和在网络中导出的密钥匹配。
在修改的步骤10处,AMF/SEAF 203向UE 201发送NAS SMC消息,还包含指配的UEID。UE 201中的步骤4将在此时执行,因为UE 201不得不等待密钥导出,直到接收到UE ID以便于导出MK并遵循导出的密钥直到KAMF和NAS密钥,使得它能够验证接收到的NAS SMC的完整性。
图5描绘了根据本公开的实施例的订阅撤销过程500的示例。根据第五解决方案,UE 201可能由于各种原因不再订阅或从AAA服务器209注销。在这种情况下,对于该特殊UE201仍然具有有效注册的SNPN也应该注销UE 201。
在步骤1处,AAA服务器209可以标识在任何SNPN中是否存在针对过期或停用的订户配置文件的有效注册(参见框501)。
在步骤2处,AAA服务器209可以向AUP/AUSF 207发送注销请求消息,其可以包括具有UE 201的AAA服务器209的订阅配置文件中的真实用户名的NAI并且可以包括路由ID(参见消息传递503)。
在步骤3处,AUP/AUSF 207验证响应并选择存储服务提供商的默认配置文件的UDM205,例如,基于预配置或基于路由ID。AUP/AUSF 207将注销请求与服务提供商订户的NAI一起发送给UDM205(参见消息传递505)。
在步骤4处,UDM 205去除UE ID(例如,SUPI)和NAI之间的绑定。UDM 205可以停用UE ID以供进一步使用(参见框507)。
在步骤5处,UDM 205根据3GPP TS 23.502触发网络发起的注销过程,其将UE 201从SNPN注销(参见框509)。
在步骤6处,UDM 205向AUP/AUSF 207发送注销确认并且可以包括NAI,使得AUP/AUSF 207能够将响应与请求相关(参见消息传递511)。
在步骤7处,AUP/AUSF 207向AAA服务器209发送注销响应消息,其可以包括username@realm,使得AAA服务器209能够将响应与请求相关,并且可以去除订阅配置文件(参见消息传递513)。
图6描绘了根据本公开的实施例的用于AAA服务器触发的重新认证的过程600。
根据第六解决方案,AAA服务器209可能出于各种原因想要触发重新认证,例如,以便于检查订户是否仍然位于SNPN处。
在步骤1处,AAA服务器209可能会得到对特定订户要求重新认证的触发,例如,基于如先前实施例中指定的定时器或由AAA服务器设置的有效时间(参见框601)。
在步骤2处,AAA服务器209可以向AUP/AUSF 207发送用于重新认证的EAP请求,其可以包括服务提供商订户的NAI并且可以包括路由ID(参见消息传递603)。
在步骤3处,AUP/AUSF 207验证响应并选择存储服务提供商的默认配置文件的UDM205,例如,基于预配置或基于路由ID。AUP/AUSF 207将路由请求与服务提供商订户的NAI一起发送给UDM205,因为AUP/AUSF 207不具有哪个UE 201由哪个AMF/SEAF 203服务的绑定(参见消息传递605)。
在步骤4处,UDM 205可以用NAI检查UE 201的注册状态并且查找服务于UE 201的AMF/SEAF 203实例(参见框607)。
在步骤5处,UDM 205可以在路由响应消息中将AMF/SEAF 203实例ID返回给AUP/AUSF 207(参见消息传递609)。
在步骤6处,AUP/AUSF 207可以将用于重新认证的EAP请求转发到AMF/SEAF 203,该AMF/SEAF 203可以在NAS容器消息中将其发送到UE 201(参见消息传递611)。
在步骤7处,执行UE 201和AAA服务器209之间的认证,并且可以在上述解决方案中描述的任何密钥导出以及任何进一步的步骤之后进行该过程(参见框613)。
在步骤8处,UE 205、AUP/AUSF 207和/或AAA服务器209根据上述解决方案中的任意一个执行密钥导出(和分发,在适用的情况下)(参见框615)。
图7描绘根据本公开的实施例的可以被用于使用外部凭证访问NPN的用户设备装置700。在各种实施例中,用户设备装置700被用于实现上述解决方案中的一种或多种。用户设备装置700可以是上述远程单元105和/或UE 201的一个实施例。此外,用户设备装置700可以包括处理器705、存储器710、输入设备715、输出设备720和收发器725。
在一些实施例中,输入设备715和输出设备720被组合成单个设备,诸如触摸屏。在某些实施例中,用户设备装置700可以不包括任何输入设备715和/或输出设备720。在各种实施例中,用户设备装置700可以包括以下中的一个或多个:处理器705、存储器710和收发器725,并且可以不包括输入设备715和/或输出设备720。
如所描绘的,收发器725包括至少一个发射器730和至少一个接收器735。在一些实施例中,收发器725与由一个或多个基站单元121支持的一个或多个小区(或无线覆盖区域)通信。在各种实施例中,收发器725能够在未授权频谱上操作。此外,收发器725可以包括支持一个或多个波束的多个UE面板。另外,收发器725可以支持至少一个网络接口740和/或应用接口745。应用接口745可以支持一个或多个API。网络接口740可以支持3GPP参考点,诸如Uu、N1、PC5等。如本领域的普通技术人员所理解的,可以支持其他网络接口740。
在一个实施例中,处理器705可以包括能够执行计算机可读指令和/或能够执行逻辑运算的任何已知控制器。例如,处理器705可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中,处理器705执行存储在存储器710中的指令以执行本文中所描述的方法和例程。处理器705被通信地耦合到存储器710、输入设备715、输出设备720和收发器725。
在各种实施例中,处理器705控制用户设备装置700以实现上述的UE行为。在某些实施例中,处理器705可以包括管理应用域和操作系统(“OS”)功能的应用处理器(也称为“主处理器”)和管理无线电功能的基带处理器(也称为“基带无线电处理器”)。
在一个实施例中,存储器710是计算机可读存储介质。在一些实施例中,存储器710包括易失性计算机存储介质。例如,存储器710可以包括RAM,包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器710包括非易失性计算机存储介质。例如,存储器710可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器710包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器710存储与使用外部凭证访问NPN有关的数据。例如,存储器710可以存储如上所述的各种参数、面板/波束配置、资源指配、策略等。在某些实施例中,存储器710还存储程序代码和相关数据,诸如在装置700上操作的操作系统或其他控制器算法。
在一个实施例中,输入设备715可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、触笔、麦克风等。在一些实施例中,输入设备715可以与输出设备720集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备715包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写来输入。在一些实施例中,输入设备715包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备720被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备720包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备720可以包括但不限于液晶显示器(“LCD”)、发光二极管(“LED”)显示器、有机LED(“OLED”)显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备720可以包括与用户设备装置700的其余部分分开但通信地耦合的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等等。此外,输出设备720可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备720包括用于产生声音的一个或多个扬声器。例如,输出设备720可以产生听觉警报或通知(例如,哔哔声或铃声)。在一些实施例中,输出设备720包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备720的全部或部分可以与输入设备715集成。例如,输入设备715和输出设备720可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备720可以位于输入设备715附近。
收发器725经由一个或多个接入网络与移动通信网络的一个或多个网络功能通信。收发器725在处理器705的控制下操作以发射消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器705可以在特定时间选择性地激活收发器725(或其部分)以便发送和接收消息。
收发器725至少包括发射器730和至少一个接收器735。一个或多个发射器730可以被用于向基站单元121提供UL通信信号,诸如本文中所描述的UL传输。类似地,一个或多个接收器735可以被用于从基站单元121接收DL通信信号,如本文所述。尽管仅图示了一个发射器730和一个接收器735,但是用户设备装置700可以具有任何合适数量的发射器730和接收器735。此外,发射器730和接收器735可以是任何合适类型的发射器和接收器。在一个实施例中,收发器725包括用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对。
在某些实施例中,用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对可以被组合成单个收发器单元,例如执行用于授权和未授权无线电频谱两者的功能的单个芯片。在一些实施例中,第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如,某些收发器725、发射器730和接收器735可以被实现为物理上分开的组件,这些组件接入共享的硬件资源和/或软件资源,诸如例如网络接口740。
在各种实施例中,一个或多个发射器730和/或一个或多个接收器735可以被实现和/或被集成到单个硬件组件中,诸如多收发器芯片、片上系统、专用集成电路(ASIC)或其他类型的硬件组件。在某些实施例中,一个或多个发射器730和/或一个或多个接收器735可以被实现和/或被集成到多芯片模块中。在一些实施例中,诸如网络接口740的其他组件或其他硬件组件/电路可以与任意数量的发射器730和/或接收器735集成到单个芯片中。在这样的实施例中,发射器730和接收器735可以逻辑上被配置为使用一个或多个公共控制信号的收发器725或者被实现在相同硬件芯片中或多芯片模块中的模块化发射器730和接收器735。
图8描绘根据本公开的实施例的可以被用于使用外部凭证访问NPN的网络装置800。在一个实施例中,网络装置800可以是移动通信网络中的认证代理装置的一种实现方式,诸如如上所述的AUSF 148和/或AUP/AUSF 207。此外,网络装置800可以包括处理器805、存储器810、输入设备815、输出设备820和收发器825。
在一些实施例中,输入设备815和输出设备820被组合成单个设备,诸如触摸屏。在某些实施例中,网络装置800可以不包括任何输入设备815和/或输出设备820。在各种实施例中,网络装置800可以包括以下中的一个或多个:处理器805、存储器810和收发器825,并且可以不包括输入设备815和/或输出设备820。
如所描绘的,收发器825包括至少一个发射器830和至少一个接收器835。这里,收发器825与一个或多个远程单元通信。此外,收发器825可以支持至少一个网络接口840和/或应用接口845。应用接口845可以支持一个或多个API。网络接口840可以支持3GPP参考点,诸如Uu、N1、N2和N3。如本领域普通技术人员所理解的,可以支持其他网络接口840。
在一个实施例中,处理器805可以包括能够执行计算机可读指令和/或能够执行逻辑运算的任何已知控制器。例如,处理器805可以是微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似的可编程控制器。在一些实施例中,处理器805执行存储在存储器810中的指令以执行本文中所描述的方法和例程。处理器805被通信地耦合到存储器810、输入设备815、输出设备820和收发器825。
在各种实施例中,网络装置800是与一个或者多个UE通信的RAN节点(例如,gNB),如本文中所描述的。在这样的实施例中,处理器805控制网络装置800以执行上述RAN行为。当作为RAN节点操作时,处理器805可以包括管理应用域和操作系统(“OS”)功能的应用处理器(也称为“主处理器”)和管理无线电功能的基带处理器(也称为“基带无线电处理器”)。
在各种实施例中,网络装置800是第一移动通信网络(例如,NPN)中的AMF和/或SEAF。在这样的实施例中,处理器805控制网络装置800以实现NPN中的AMF/SEAF的上述行为。例如,如本文所述,处理器805可以使用外部凭证(即,与服务提供商的凭证)促进UE向NPN的注册、认证、注销和/或重新认证。
在各种实施例中,网络装置800是第一移动通信网络(例如,NPN)中的UDM/UDR。在这样的实施例中,处理器805控制网络装置800实现NPN中的UDM/UDR的上述行为。例如,如本文所述,处理器805可以使用外部凭证(即,与服务提供商的凭证)促进UE向NPN的注册、认证、注销和/或重新认证。
在各种实施例中,网络装置800是服务提供商域(例如,PLMN)中的AAA服务器。在这样的实施例中,处理器805控制网络装置800以实现服务提供商域中的AAA服务器的上述行为。例如,如本文所述,处理器805可以使用外部凭证(即,与服务提供商的凭证)促进UE向NPN的认证、订阅撤销和/或重新认证。
在各种实施例中,网络装置800是第一移动通信网络(即,NPN)中的认证代理。在这样的实施例中,处理器805控制网络装置800以实现NPN中的AUP和/或AUSF的上述行为。例如,收发器825可以接收对UE的注册请求。这里,UE不具有向NPN的订阅。这里,处理器805标识UE的服务提供商(例如,PLMN)并控制收发器825以向标识的服务提供商的AAA服务器发送认证消息。处理器805响应于UE的成功认证而从AAA服务器接收认证响应,该认证响应包含主会话密钥(“MSK”)。另外,处理器805使用MSK导出安全密钥(例如,KAUSF、KSEAF)的集合。
在一些实施例中,注册请求包含NAI。这里,第一方法包括通过标识NAI的域并验证在第一移动通信网络和服务提供商之间存在服务协议来授权注册请求。在某些实施例中,服务于远程单元的接入管理功能(即,AMF)可以在发送到认证代理功能之前授权注册请求。
在一些实施例中,认证响应包括第一移动通信网络的路由标识符和主会话密钥的有效时间,其中在有效时间期满之后需要远程单元的重新认证。在一些实施例中,导出的安全密钥的集合包括认证服务器功能密钥(即,KAUSF)和安全锚功能密钥(即,KSEAF),其中KAUSF是从主会话密钥(而不是从扩展主会话密钥)中导出并且KSEAF是从KAUSF导出。在一个实施例中,KAUSF特定于第一移动通信网络。在另一个实施例中,KAUSF特定于服务提供商。在其他实施例中,KAUSF既不特定于第一移动通信网络也不特定于服务提供商。
在某些实施例中,注册请求是从服务于远程单元的接入管理功能(即,AMF)接收的。这里,第一方法包括向服务接入管理功能发送第二认证响应,该第二认证响应包含远程单元的UE标识符、有效时间和KSEAF。在进一步的实施例中,第一移动通信网络可以是非公共网络(“NPN”),诸如独立的非公共网络(“SNPN”),并且服务提供商可以是第二移动通信网络,诸如公共陆地移动网络(“PLMN”)。
在一些实施例中,处理器805进一步将特定于服务提供商的远程单元的第一标识符(例如,NAI)绑定到特定于第一移动通信网络的第二标识符(例如,UE ID或SUPI)。在某些实施例中,处理器805进一步从AAA服务器接收注销远程单元的注销请求并验证该注销请求。在这样的实施例中,处理器805进一步触发去除第一标识符到第二标识符的绑定(例如,通过向UDM发送注销请求)。
在一些实施例中,处理器805进一步从AAA服务器接收重新认证请求并且向用户数据管理功能发送路由请求。在这样的实施例中,处理器805进一步接收包含服务接入管理功能的标识符的路由响应并且将重新认证请求转发到服务接入管理功能。
在某些实施例中,重新认证请求包括路由标识符。在这样的实施例中,发送路由请求包括根据路由标识符标识用户数据管理功能和向标识的用户数据管理功能发送路由请求。
在一个实施例中,存储器810是计算机可读存储介质。在一些实施例中,存储器810包括易失性计算机存储介质。例如,存储器810可以包括RAM,包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器810包括非易失性计算机存储介质。例如,存储器810可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器810包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器810存储与使用外部凭证访问NPN有关的数据。例如,存储器810可以存储如上所述的参数、配置、资源指配、策略等。在某些实施例中,存储器810还存储程序代码和相关数据,诸如在装置800上操作的操作系统或其他控制器算法。
在一个实施例中,输入设备815可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、触笔、麦克风等。在一些实施例中,输入设备815可以与输出设备820集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备815包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写来输入。在一些实施例中,输入设备815包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备820被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备820包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备820可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备820可以包括与网络装置800的其余部分分离但通信地耦合的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等等。此外,输出设备820可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备820包括用于产生声音的一个或多个扬声器。例如,输出设备820可以产生听觉警报或通知(例如,哔哔声或铃声)。在一些实施例中,输出设备820包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备820的全部或部分可以与输入设备815集成。例如,输入设备815和输出设备820可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备820可以位于输入设备815附近。
收发器825至少包括发射器830和至少一个接收器835。如本文中所描述的,一个或多个发射器830可以被用于与UE通信。类似地,如本文中所描述的,一个或多个接收器835可以被用于与PLMN和/或RAN中的网络功能通信。尽管仅图示了一个发射器830和一个接收器835,但是网络装置800可以具有任何合适数量的发射器830和接收器835。此外,发射器830和接收器835可以是任何合适类型的发射器和接收器。
该收发器825可在未授权的频谱上操作,其中该收发器825包括多个gNB面板。如在本文所使用的,“gNB面板”指的是可以映射到物理gNB天线的逻辑实体。取决于实现方式,“gNB面板”能够具有天线组单元的操作作用以独立地控制其Tx波束。
图9描绘了根据本公开的实施例的用于使用外部凭证访问NPN的方法900的一个实施例。在各种实施例中,方法900由移动通信网络中的认证代理装置执行,诸如如上所述的AUSF 148和/或AUP/AUSF207和/或网络装置800。在一些实施例中,方法900由处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
方法900开始并且接收905对UE的注册请求,其中UE不具有向移动通信网络的订阅。方法900包括标识910远程单元的服务提供商。方法900包括向标识的服务提供商的AAA服务器发送915认证消息。方法900包括响应于UE的成功认证而从AAA服务器接收920认证响应,其中该认证响应包含主会话密钥。方法900包括使用主会话密钥导出925安全密钥的集合。方法900结束。
这里公开了根据本公开的实施例的用于使用外部凭证访问NPN的第一装置。第一装置可以由移动通信网络中的认证代理装置实现,诸如上述的AUSF 148和/或AUP/AUSF207和/或网络装置800。第一装置包括接收对远程单元(例如,UE)的注册请求的收发器(例如,支持网络接口)。这里,远程单元不具有向第一移动通信网络的订阅。
第一装置包括处理器,该处理器标识远程单元的服务提供商并控制收发器以向标识的服务提供商的AAA服务器发送认证消息。处理器响应于远程单元的成功认证接收来自AAA服务器的认证响应,该认证响应包含主会话密钥,并且使用主会话密钥导出安全密钥(例如,KAUSF、KSEAF)的集合。
在一些实施例中,注册请求包含NAI。这里,第一方法包括通过标识NAI的域并验证在第一移动通信网络和服务提供商之间存在服务协议来授权注册请求。在某些实施例中,服务于远程单元的接入管理功能(即,AMF)可以在发送到认证代理功能之前授权注册请求。
在一些实施例中,认证响应包括第一移动通信网络的路由标识符和主会话密钥的有效时间,其中在有效时间期满之后需要远程单元的重新认证。在一些实施例中,导出的安全密钥的集合包括认证服务器功能密钥(即,KAUSF)和安全锚功能密钥(即,KSEAF),其中KAUSF是从主会话密钥(而不是从扩展主会话密钥)中导出并且KSEAF是从KAUSF导出。在一个实施例中,KAUSF特定于第一移动通信网络。在另一个实施例中,KAUSF特定于服务提供商。在其他实施例中,KAUSF既不特定于第一移动通信网络也不特定于服务提供商。
在某些实施例中,注册请求是从服务于远程单元的接入管理功能(即,AMF)接收的。这里,第一方法包括向服务接入管理功能发送第二认证响应,该第二认证响应包含远程单元的UE标识符、有效时间和KSEAF。在进一步的实施例中,第一移动通信网络可以是非公共网络(“NPN”),诸如独立的非公共网络(“SNPN”),并且服务提供商可以是第二移动通信网络,诸如公共陆地移动网络(“PLMN”)。
在一些实施例中,处理器进一步将特定于服务提供商的远程单元的第一标识符(例如,NAI)绑定到特定于第一移动通信网络的第二标识符(例如,UE ID或SUPI)。在某些实施例中,处理器进一步从AAA服务器接收注销远程单元的注销请求并验证注销请求。在这样的实施例中,处理器进一步触发去除第一标识符与第二标识符的绑定(例如,通过向UDM发送注销请求)。
在一些实施例中,处理器进一步从AAA服务器接收重新认证请求并且向用户数据管理功能发送路由请求。在这样的实施例中,处理器进一步接收包含服务接入管理功能的标识符的路由响应并且将重新认证请求转发到服务接入管理功能。
在某些实施例中,重新认证请求包括路由标识符。在这样的实施例中,发送路由请求包括根据路由标识符标识用户数据管理功能和向所标识的用户数据管理功能发送路由请求。
这里公开了根据本公开的实施例的用于使用外部凭证访问NPN的第一方法。第一方法可以由移动通信网络中的认证代理功能执行,诸如上述的AUSF 148和/或AUP/AUSF207和/或网络装置800。第一方法包括接收对远程单元(即,UE)的注册请求,其中该远程单元不具有向第一移动通信网络的订阅。
第一方法包括标识远程单元的服务提供商并且向所标识的服务提供商的AAA服务器发送认证消息。第一方法包括响应于远程单元的成功认证而从AAA服务器接收认证响应,该认证响应包含主会话密钥并使用主会话密钥导出安全密钥(例如,KAUSF、KSEAF)的集合。
在一些实施例中,注册请求包含NAI。在这样的实施例中,第一方法可以包括通过标识NAI的域并验证第一移动通信网络和服务提供商之间存在服务协议来授权注册请求。在某些实施例中,服务于远程单元的接入管理功能(即,AMF)可以在发送到认证代理功能之前授权注册请求。
在一些实施例中,认证响应包括第一移动通信网络的路由标识符和主会话密钥的有效时间,其中在有效时间期满之后需要远程单元的重新认证。在一些实施例中,导出的安全密钥的集合包括认证服务器功能密钥(“KAUSF”)和安全锚功能密钥(“KSEAF”),其中KAUSF是从主会话密钥(而不是从扩展主会话密钥)导出的并且KSEAF是从KAUSF导出的。在一个实施例中,KAUSF特定于第一移动通信网络。在另一个实施例中,KAUSF特定于服务提供商。在其他实施例中,KAUSF既不特定于第一移动通信网络也不特定于服务提供商。
在某些实施例中,注册请求是从服务于远程单元的接入管理功能(即,AMF)接收的。在这样的实施例中,第一方法包括向服务接入管理功能发送第二认证响应,该第二认证响应包含远程单元的UE标识符、有效时间和KSEAF。在进一步的实施例中,第一移动通信网络可以是非公共网络(“NPN”),诸如独立的非公共网络(“SNPN”),并且服务提供商可以是第二移动通信网络,诸如公共陆地移动网络(“PLMN”)。
在一些实施例中,第一方法包括将特定于服务提供商的远程单元的第一标识符(例如,NAI)绑定到在第一移动通信网络中使用的第二标识符(例如,UE ID或SUPI)。在某些实施例中,第一方法进一步包括从AAA服务器接收注销远程单元的注销请求,验证注销请求,以及触发第一标识符到第二标识符的绑定的去除(例如,通过向UDM发送注销请求)。
在一些实施例中,第一方法包括从AAA服务器接收重新认证请求并且向用户数据管理功能发送路由请求。这里,第一方法进一步包括接收包含服务接入管理功能的标识符的路由响应并且将重新认证请求转发到服务接入管理功能。
在某些实施例中,重新认证请求包括路由标识符。在这样的实施例中,发送路由请求可以包括根据路由标识符标识用户数据管理功能和向标识的用户数据管理功能发送路由请求。
实施例可以以其他特定形式来实践。所描述的实施例在所有方面都被认为仅是说明性的而不是限制性的。因此,本发明的范围由所附权利要求而不是由前述描述指示。在权利要求的等效含义和范围内的所有变化都应被涵盖在其范围内。
Claims (18)
1.一种在移动通信网络中的认证代理的方法,所述方法包括:
接收对远程单元的注册请求,其中所述远程单元不具有向所述移动通信网络的订阅;
标识所述远程单元的服务提供商;
向所述标识的服务提供商的认证、授权和计费(“AAA”)服务器发送认证消息;
响应于所述远程单元的成功认证而从所述AAA服务器接收认证响应,所述认证响应包含主会话密钥;以及
使用所述主会话密钥导出安全密钥的集合。
2.根据权利要求1所述的方法,其中,所述注册请求包含网络访问标识符(“NAI”),所述方法进一步包括通过标识所述NAI的域并且验证所述移动通信网络和所述服务提供商之间存在服务协议来授权所述注册请求。
3.根据权利要求1所述的方法,其中,所述认证响应包括所述移动通信网络的路由标识符和所述主会话密钥的有效时间,其中在所述有效时间期满之后需要所述远程单元的重新认证。
4.根据权利要求1所述的方法,其中,所导出的安全密钥的集合包括认证服务器功能密钥(“KAUSF”)和安全锚功能密钥(“KSEAF”),所述KAUSF是从所述主会话密钥导出的并且所述KSEAF是从所述KAUSF导出的。
5.根据权利要求4所述的方法,其中,所述注册请求是从服务于所述远程单元的接入管理功能接收的,所述方法进一步包括向所述服务接入管理功能发送第二认证响应,所述第二认证响应包含所述远程单元的用户设备(“UE”)标识符、有效时间和所述KSEAF。
6.根据权利要求1所述的方法,进一步包括,将特定于所述服务提供商的所述远程单元的第一标识符绑定到特定于所述移动通信网络的第二标识符。
7.根据权利要求6所述的方法,进一步包括:
从所述AAA服务器接收注销所述远程单元的注销请求;
验证所述注销请求;以及
触发第一标识符到第二标识符的所述绑定的去除。
8.根据权利要求1所述的方法,进一步包括:
从所述AAA服务器接收重新认证请求;
向用户数据管理功能发送路由请求;
接收包含服务接入管理功能的标识符的路由响应;以及
将所述重新认证请求转发到所述服务接入管理功能。
9.根据权利要求8所述的方法,其中,所述重新认证请求包括路由标识符,其中发送所述路由请求包括根据所述路由标识符标识所述用户数据管理功能和向所述标识的用户数据管理功能发送所述路由请求。
10.一种在移动通信网络中的认证代理装置,所述装置包括:
收发器,所述收发器接收对远程单元的注册请求,其中所述远程单元不具有向所述移动通信网络的订阅;以及
处理器,所述处理器标识所述远程单元的服务提供商,
其中,所述收发器进一步:
向所述标识的服务提供商的认证、授权和计费(“AAA”)服务器发送认证消息;并且
响应于所述远程单元的成功认证而从所述AAA服务器接收认证响应,所述认证响应包含主会话密钥;并且
其中,所述处理器使用所述主会话密钥导出安全密钥的集合。
11.根据权利要求10所述的装置,其中,所述注册请求包含网络访问标识符(“NAI”),所述处理器通过标识所述NAI的域并且验证所述移动通信网络和所述服务提供商之间存在服务协议来授权所述注册请求。
12.根据权利要求10所述的装置,其中,所述认证响应包括所述移动通信网络的路由标识符和所述主会话密钥的有效时间,其中在所述有效时间期满之后需要所述远程单元的重新认证。
13.根据权利要求10所述的装置,其中,所导出的安全密钥的集合包括认证服务器功能密钥(“KAUSF”)和安全锚功能密钥(“KSEAF”),所述KAUSF是从所述主会话密钥导出的并且所述KSEAF是从所述KAUSF导出的。
14.根据权利要求13所述的装置,其中,所述注册请求是从服务于所述远程单元的接入管理功能接收的,其中所述收发器向所述服务接入管理功能发送第二认证响应,所述第二认证响应包含所述远程单元的用户设备(“UE”)标识符、有效时间和所述KSEAF。
15.根据权利要求10所述的装置,其中,所述处理器将特定于所述服务提供商的所述远程单元的第一标识符绑定到特定于所述移动通信网络的第二标识符。
16.根据权利要求15所述的装置,其中,所述处理器进一步:
从所述AAA服务器接收注销所述远程单元的注销请求;
验证所述注销请求;并且
触发第一标识符到第二标识符的所述绑定的去除。
17.根据权利要求10所述的装置,其中,所述处理器进一步:
从所述AAA服务器接收重新认证请求;
向用户数据管理功能发送路由请求;
接收包含服务接入管理功能的标识符的路由响应;并且
将所述重新认证请求转发到所述服务接入管理功能。
18.根据权利要求17所述的装置,其中,所述重新认证请求包括路由标识符,其中发送所述路由请求包括根据所述路由标识符标识所述用户数据管理功能和向所述标识的用户数据管理功能发送所述路由请求。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202063035654P | 2020-06-05 | 2020-06-05 | |
| US63/035,654 | 2020-06-05 | ||
| PCT/IB2021/054936 WO2021245629A1 (en) | 2020-06-05 | 2021-06-04 | Authenticating a device not having a subscription in a network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115699838A true CN115699838A (zh) | 2023-02-03 |
Family
ID=76444475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180039823.3A Pending CN115699838A (zh) | 2020-06-05 | 2021-06-04 | 认证在网络中不具有订阅的设备 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20230231851A1 (zh) |
| EP (1) | EP4162714A1 (zh) |
| KR (1) | KR20230019930A (zh) |
| CN (1) | CN115699838A (zh) |
| BR (1) | BR112022024850A2 (zh) |
| MX (1) | MX2022015402A (zh) |
| WO (1) | WO2021245629A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11457360B2 (en) * | 2019-03-08 | 2022-09-27 | Lenovo (Singapore) Pte. Ltd. | Security mode integrity verification |
| EP4203392B1 (en) * | 2021-12-27 | 2024-09-11 | Koninklijke KPN N.V. | Authentication support for an electronic device to connect to a telecommunications network |
| WO2023126296A1 (en) * | 2021-12-27 | 2023-07-06 | Koninklijke Kpn N.V. | Authentication support for an electronic device to connect to a telecommunications network |
| EP4300883A1 (de) * | 2022-06-30 | 2024-01-03 | Siemens Mobility GmbH | Netzwerkadapter geeignet zum unterstützen eines berechtigten sendens und/oder empfangens von daten |
| WO2024092826A1 (zh) * | 2022-11-04 | 2024-05-10 | 北京小米移动软件有限公司 | 身份验证方法及装置 |
| TW202425687A (zh) * | 2022-12-05 | 2024-06-16 | 聯發科技股份有限公司 | 處理網路存取控制的網路端及方法 |
| EP4395393A1 (en) * | 2022-12-29 | 2024-07-03 | Nokia Technologies Oy | Reauthentication and revocation in non-seamless wireless local area network offload access environment |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
| CN118413351A (zh) * | 2018-08-07 | 2024-07-30 | 联想(新加坡)私人有限公司 | 委托数据连接 |
-
2021
- 2021-06-04 MX MX2022015402A patent/MX2022015402A/es unknown
- 2021-06-04 KR KR1020237000069A patent/KR20230019930A/ko active Search and Examination
- 2021-06-04 CN CN202180039823.3A patent/CN115699838A/zh active Pending
- 2021-06-04 EP EP21732546.3A patent/EP4162714A1/en active Pending
- 2021-06-04 US US18/008,417 patent/US20230231851A1/en active Pending
- 2021-06-04 WO PCT/IB2021/054936 patent/WO2021245629A1/en active Application Filing
- 2021-06-04 BR BR112022024850A patent/BR112022024850A2/pt unknown
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230019930A (ko) | 2023-02-09 |
| US20230231851A1 (en) | 2023-07-20 |
| MX2022015402A (es) | 2023-01-16 |
| BR112022024850A2 (pt) | 2022-12-27 |
| EP4162714A1 (en) | 2023-04-12 |
| WO2021245629A1 (en) | 2021-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230231851A1 (en) | Authenticating a device not having a subscription in a network | |
| WO2020030248A1 (en) | Delegated data connection | |
| US20230269589A1 (en) | Slice-specific security requirement information | |
| US20230224704A1 (en) | Using a pseudonym for access authentication over non-3gpp access | |
| US20230247423A1 (en) | Supporting remote unit reauthentication | |
| US20230231720A1 (en) | Supporting remote unit reauthentication | |
| CN114830701A (zh) | 通过另一移动网络向移动网络注册 | |
| CN115943652A (zh) | 使用隐藏标识的移动网络认证 | |
| CN115699677A (zh) | 用于确定认证类型的方法和装置 | |
| CN116830524A (zh) | 蜂窝网络中的置备服务器选择 | |
| WO2021260661A1 (en) | Security context for target amf | |
| CN118020330A (zh) | 使用应用的认证及密钥管理实现漫游 | |
| WO2023198297A1 (en) | Registering with a mobile network after a first authentication with a wlan access network | |
| US20240236906A1 (en) | Establishing an additional registration with a mobile network | |
| US20230292114A1 (en) | Securing communications between user equipment devices | |
| US20240313969A1 (en) | Establishing a trust relationship between an application entity and a wireless communication network | |
| US20230284030A1 (en) | Uas authentication and security establishment | |
| US20240187856A1 (en) | Registration authentication based on a capability | |
| WO2024017486A1 (en) | Tunnel establishment for non-seamless wlan offloading | |
| WO2023041188A1 (en) | Method to connect to an access network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |