CN115943652A - 使用隐藏标识的移动网络认证 - Google Patents
使用隐藏标识的移动网络认证 Download PDFInfo
- Publication number
- CN115943652A CN115943652A CN202080102260.3A CN202080102260A CN115943652A CN 115943652 A CN115943652 A CN 115943652A CN 202080102260 A CN202080102260 A CN 202080102260A CN 115943652 A CN115943652 A CN 115943652A
- Authority
- CN
- China
- Prior art keywords
- authentication
- network
- identifier
- remote unit
- hidden
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于支持使用隐藏标识与移动核心网络的认证的装置、方法和系统。一种装置(300)包括处理器(305),其向网络功能发送(505)包括隐藏标识符的第一认证消息以经由非3GPP接入网络与移动通信网络进行认证。处理器(305)响应于第一认证消息从网络功能(510)接收第二认证消息。第二认证消息包括基于隐藏标识符的认证响应。处理器(305)响应于包括质询分组的认证响应完成(515)与移动通信网络的认证。处理器(305)响应于与移动通信网络的成功认证而接收(520)用于接入移动通信网络的配置信息。
Description
技术领域
本文中公开的主题总体上涉及支持使用隐藏标识与移动核心网络的认证。
背景技术
在此定义以下缩写和首字母缩写,在以下描述内引用其中的至少一些。
第三代合作伙伴计划(“3GPP”)、第五代核心网络(“5GC”)、接入和移动性管理功能(“AMF”)、接入点名称(“APN”)、接入层(“AS”)、接入网络信息(“ANT”)、应用编程接口(“API”)、数据网络名称(“DNN”)、下行链路(“DL”)、增强型移动宽带(“eMBB”)、演进型节点B(“eNB”)、演进型分组核心(“EPC”)、演进型分组系统(“EPS”)、演进型UMTS陆地无线电接入网络(“E-UTRAN”)、归属订户服务器(“HSS”)、IP多媒体子系统(“IMS”,又称“IP多媒体核心网子系统”)、互联网协议(“IP”)、长期演进(“LTE”)、高级LTE(“LTE-A”)、介质接入控制(“MAC”)、移动网络运营商(“MNO”)、移动性管理实体(“MME”)、非接入层(“NAS”)、窄带(“NB”)、网络功能(“NF”)、网络接入标识符(“NAI”)、下一代(例如,5G)节点B(“gNB”)、下一代无线电接入网络(“NG-RAN”)、新无线电(“NR”)、非3GPP接入网络(“N3AN”)、策略控制功能(“PCF”)、分组数据网络(“PDN”)、分组数据单元(“PDU”)、PDN网关(“PGW”)、公共陆地移动网络(“PLMN”)、服务质量(“QoS”)、无线电接入网络(“RAN”)、无线电接入技术(“RAT”)、无线电资源控制(“RRC”)、接收(“Rx”)、安全模式控制(“SMC”)、单网络切片选择辅助信息(“S-NSSAI”)、服务网关(“SGW”)、会话管理功能(“SMF”)、传输控制协议(“TCP”)、发射(“Tx”)、可信非3GPP接入网络(“TNAN”)、可信非3GPP接入点(“TNAP”)、可信非3GPP网关功能(“TNGF”)、统一数据管理(“UDM”)、用户实体/设备(移动终端)(“UE”)、上行链路(“UL”)、用户平面(“UP”)、通用移动电信系统(“UMTS”)、用户数据报协议(“UDP”)、用户位置信息(“ULI”)、无线局域网(“WLAN”)、以及全球微波接入互操作性(“WiMAX”)。
在某些实施例中,UE可以经由非3GPP接入网络(“N3AN”)中的网关功能接入5G核心(“5GC”)网络。
发明内容
例如用于支持使用隐藏标识与移动核心网络的认证的UE的方法包括向网络功能发送第一认证消息以经由非3GPP接入网络与移动通信网络进行认证。这里,第一认证消息包括用于装置的隐藏标识符。该方法包括响应于第一认证消息从网络功能接收第二认证消息。这里,第二认证消息包括基于隐藏标识符的认证响应。该方法包括响应于包括质询分组的认证响应完成与移动通信网络的认证。该方法包括响应于与移动通信网络的成功认证而接收用于接入移动通信网络的配置信息。
例如用于支持使用隐藏标识与移动核心网络的认证的的AAA功能方法,包括从网络功能接收第一认证消息以经由非3GPP接入网络与移动通信网络认证远程单元。这里,第一认证消息包括用于远程单元的标识符和认证类型。该方法包括检测该标识符是用于远程单元的隐藏标识符。这里,隐藏标识符指示远程单元具有5G能力。该方法包括创建包括隐藏标识符和认证方法的认证向量请求消息,该认证类型指定认证方法。该方法包括将认证向量请求消息发送到网络功能。这里,网络功能去隐藏隐藏标识符以检索用于远程单元的永久标识符。该方法包括从网络功能接收认证向量响应消息。这里,认证向量响应消息包括用于远程单元的永久标识符和认证向量。
例如用于支持使用隐藏标识与移动核心网络的认证的HSS的方法,包括从第一网络功能接收认证向量请求消息以经由非3GPP接入网络认证远程单元。这里,认证向量请求消息包括用于远程单元的标识符。该方法包括检测该标识符是用于远程单元的隐藏标识符。这里,隐藏标识符指示远程单元具有5G能力。该方法包括基于隐藏标识符选择第二网络功能。这里,第二网络功能被配置成去隐藏隐藏标识符。该方法包括将认证向量请求消息发送到第二网络功能,用于请求与隐藏标识符和认证类型相关联的认证向量。该方法包括从第二网络功能接收认证向量响应消息。这里,认证向量响应消息包括用于远程单元的永久标识符和认证向量。
例如用于支持使用隐藏标识与移动核心网络的认证的UDM的方法,包括从网络功能接收认证向量请求消息以经由非3GPP接入网络与移动通信网络认证远程单元。这里,认证向量请求消息包括用于远程单元的标识符和认证类型。该方法包括检测该标识符是用于远程单元的隐藏标识符。这里,隐藏标识符指示远程单元具有5G能力。该方法包括去隐藏隐藏标识符以确定用于远程单元的永久标识符。该方法包括创建包括用于远程单元的去隐藏的永久标识符和认证方法的认证向量响应消息,该认证类型指定认证方法。该方法包括将认证向量响应消息发送到网络功能。
例如用于支持使用隐藏标识与移动核心网络的认证的AUSF的方法,包括从网络功能接收认证向量请求消息以经由非3GPP接入网络与移动通信网络认证远程单元。这里,认证向量请求消息包括用于远程单元的标识符。该方法包括检测该标识符是用于远程单元的隐藏标识符。这里,隐藏标识符指示远程单元具有5G能力。该方法包括基于隐藏标识符的路由标识符来选择用于去隐藏隐藏标识符的网络功能。该方法包括向网络功能发送认证向量请求消息。这里,网络功能去隐藏隐藏标识符以检索用于远程单元的永久标识符。该方法包括从网络功能接收认证向量响应消息。这里,认证向量响应消息包括用于远程单元的永久标识符和认证向量。
附图说明
将通过参考附图中图示的特定实施例来呈现上文简要描述的实施例的更具体描述。应理解,这些附图仅描绘了一些实施例,并且因此不应被认为是对范围的限制,将通过使用附图利用附加的特异性和细节来描述和解释实施例,在附图中:
图1是图示用于支持使用隐藏标识与移动核心网络的认证的无线通信系统的一个实施例的图;
图2A是图示用于支持使用隐藏标识与移动核心网络的认证的解决方案的一个实施例的信号流程图;
图2B是图2A中描绘的过程的延续;
图2C是图2A中描绘的过程的延续;
图2D是图2B和2C中描绘的过程的延续;
图3是图示支持使用隐藏标识与移动核心网络的认证的用户设备装置的一个实施例的框图;
图4是图示支持使用隐藏标识与移动核心网络的认证的用户设备装置的一个实施例的框图;
图5是图示用于支持使用隐藏标识与移动核心网络的认证的第一方法的一个实施例的流程图;
图6是图示用于支持使用隐藏标识与移动核心网络的认证的第二方法的一个实施例的流程图;
图7是图示用于支持使用隐藏标识与移动核心网络的认证的第三方法的一个实施例的流程图;
图8是图示用于支持使用隐藏标识与移动核心网络的认证的第四方法的一个实施例的流程图;以及
图9是图示用于支持使用隐藏标识与移动核心网络的认证的第五方法的一个实施例的流程图。
具体实施方式
如本领域的技术人员将理解的,实施例的各方面可以被体现为系统、装置、方法或程序产品。因此,实施例可以采用完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或者组合软件和硬件方面的实施例的形式。
例如,所公开的实施例可以被实现为包括定制的超大规模集成(“VLSI”)电路或门阵列、诸如逻辑芯片、晶体管或其他分立组件的现成半导体的硬件电路。所公开的实施例还可以被实现在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等的可编程硬件设备中。作为另一示例,所公开的实施例可以包括可执行代码的一个或多个物理或逻辑框,其例如可以被组织为对象、过程或函数。
此外,实施例可以采用体现在存储在下文中被称为代码的机器可读代码、计算机可读代码和/或程序代码的一个或多个计算机可读存储设备中的程序产品的形式。存储设备可以是有形的、非暂时性的和/或非传输的。存储设备可以不体现信号。在某个实施例中,存储设备仅采用用于接入代码的信号。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是,例如,但不限于电子、磁、光、电磁、红外、全息、微机械或半导体系统、装置或设备、或前述的任何适当的组合。
存储设备的更具体示例(非详尽列表)将包括以下:具有一个或多个线缆的电气连接、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式致密盘只读存储器(“CD-ROM”)、光学存储设备、磁存储设备或前述任何适当的组合。在本文档的上下文中,计算机可读存储介质可以是任何有形介质,其能够包含或存储程序以供指令执行系统、装置或设备使用或与其结合使用。
本说明书中对“一个实施例”、“实施例”或类似语言的引用意指结合该实施例描述的特定特征、结构或特性被包括在至少一个实施例中。因此,除非另有明确指定,否则在整个说明书中,短语“在一个实施例中”、“在实施例中”和类似语言的出现可以但不必然全部是指相同的实施例,而是意指“一个或多个但不是所有实施例”。除非另有明确指定,否则术语“包括”、“包含”、“具有”及其变体意指“包括但不限于”。除非另有明确指定,否则列举的项的列表并不暗示任何或所有项是互斥的。除非另有明确指定,否则术语“一”、“一个”和“该”也指“一个或多个”。
如本文中所使用的,具有“和/或”的连接的列表包括列表中的任何单个项目或列表中的项目组合。例如,A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“中的一个或多个”的列表包括列表中的任何单个项目或列表中的项目组合。例如,A、B和C中的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“中的一个”的列表包括该列表中的任何单个项目中的一个且仅一个。例如,“A、B和C中的一个”包括仅A、仅B或仅C并且排除A、B和C的组合。如本文中所使用的,“选自由A、B和C组成的组的成员”包括A、B或C中的一个且仅一个并且排除A、B和C的组合。如本文中所使用的,“选自由A、B和C及其组合组成的组的成员”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
此外,所描述的实施例的特征、结构或特性可以以任何适当的方式组合。在以下描述中,提供许多具体细节,诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例,以提供对实施例的透彻理解。然而,相关领域的技术人员将认识到,实施例可以在没有一个或多个具体细节的情况下,或者利用其他方法、组件、材料等来实践。在其他实例中,未详细示出或描述公知的结构、材料或操作以避免使实施例的各方面模糊。
下面参考根据实施例的方法、装置、系统和程序产品的示意性流程图和/或示意性框图来描述实施例的各方面。将理解,示意性流程图和/或示意性框图的每个框以及示意性流程图和/或示意性框图中的框的组合能够通过代码实现。该代码能够被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在示意性流程图和/或示意性框图中指定的功能/动作的装置。
代码还可以被存储在存储设备中,该存储设备能够指示计算机、其他可编程数据处理装置或其他设备以特定方式运行,使得存储在存储设备中的指令产生包括指令的制品,该指令实现在示意性流程图和/或示意性框图中指定的功能/动作。
代码还可以被加载到计算机、其他可编程数据处理装置或其他设备上,以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤,以产生计算机实现的过程,使得在计算机或其他可编程装置上执行的代码提供用于实现在示意性流程图和/或示意性框图中指定的功能/动作的过程。
附图中的示意性流程图和/或示意性框图示根据各个实施例的装置、系统、方法和程序产品的可能实施方式的架构、功能性和操作。在这方面,示意性流程图和/或示意性框图中的每个框可以表示代码的模块、片段或部分,其包括用于实现指定的逻辑功能的代码的一个或多个可执行指令。
还应注意,在一些替代实施方式中,框中注释的功能可以不按附图中注释的次序发生。例如,取决于所涉及的功能性,相继示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的次序执行。可以设想在功能、逻辑或效果上等同于所图示的附图的一个或多个框或其部分的其他步骤和方法。
每个附图中的元件的描述可以参考前面的附图的元件。在所有附图中,相同的附图标记指代相同的元件,包括相同元件的替代实施例。
公开了用于支持使用隐藏标识的移动核心网络的认证的方法、装置和系统。当前,3GPP TS33.402中用于可信非3GPP接入的过程预见UE通过空中接口并向核心网络中的AAA服务器以明文——例如,未加密的——发送其国际移动订户标识(“IMSI”)。5G UE可以向后兼容前几代,但是在早期技术中实施的安全措施可能不具有与5G中相同的安全级别,例如,比5G中的安全级别低,比5G中的安全要求低,等等。
导致的问题是当将UE重定向到EPC的非3GPP接入时,具有5G能力的UE检索秘密订户标识的向下竞争攻击(bidding down attack),因为UE可能表现得像4G UE,并且可能直接在第一消息中或作为标识请求消息的应答发送其秘密订户标识,如当前在3GPPTS33.402v15.0.0中所述的。5G UE的这种4G行为可能违反了5G要求,其中,秘密订户永久标识(“SUPI”)可能需要被隐藏在第一消息中或作为标识请求消息的应答。
如当前在TS 33.402中所述的,对于认证,UE发送EAP响应/标识消息。UE应发送其符合3GPP TS 23.003v16.0.0中当前规定的网络接入标识符(“NAI”)格式的标识(即,具有格式“username@realm”)。NAI包含在认证过程的先前运行中分配给UE的假名,或者在首次认证的情况下,包含IMSI。在第一认证的情况下,NAI应指示TS 23.003中规定的EAP-AKA’。
UE可以在用于加密的任何安全信道被启用之前发送秘密订户标识,秘密订户标识可能已经从其IMSI导出或者可能与其IMSI相同。由于UE具有5G能力,因此在5G过程中可能不这样做,因为在5G中,UE和网络可能需要支持订户标识隐私,在对5GC的非3GPP接入过程期间也是如此。
本文公开的是使具有5G能力的UE能够执行“用于EPS中的非3GPP接入的接入认证”的过程,如当前在TS 33.402条款6.2中规定的。如本文中使用的,“用于EPS中的非3GPP接入的接入认证”是指用于接入(即,非3GPP接入网络)和接收IP地址的认证。这之后,UE能够借助于NAS信令注册到5GC网络,其中,UE将由5GC认证。换言之,UE可以接入5GC,并且它也可以通过使用EAP-AKA/EAP-AKA’与EPC的认证来连接到非3GPP接入网络。UE可以是4G和5G双模UE,其可以使用如5G所要求的SUCI进行任何注册,例如,非3GPP注册,其中,SUCI是可能已经从UE的IMSI导出的或可能与UE的IMSI相同的隐藏的秘密订户标识。
因为UE是具有5G能力的,所以其秘密订户标识——订阅永久标识(“SUPI”)——可能被隐藏,例如,SUCI,或替换为临时标识,诸如5G-GUTI。本文公开的主题描述了将相同概念应用于用于具有5G能力的UE的4G非3GPP接入,例如,UE在朝向4G网络的EAP响应中使用其隐藏的5G标识。网络中的增强可能是必要的,以便支持这样大的改变,诸如例如针对下面的实施例,UE不需要通过非3GPP接入支持NAS协议,例如,UE具有3GPP凭证,但可能不通过非3GPP接入支持NAS。
图1描绘了用于支持使用隐藏标识与移动核心网络的认证的无线通信系统100。在一个实施例中,无线通信系统100包括至少一个远程单元105、至少一个非3GPP接入网络120,其可以包括可信非3GPP接入网络(“TNAN”)、以及PLMN中的移动核心网络140。然而,本领域技术人员将根据本公开认识到,也可以使用不可信的非3GPP接入网络。非3GPP接入网络120可以由至少一个基站单元121组成。远程单元105可以根据非3GPP接入网络120部署的无线电接入技术使用非3GPP通信链路113与非3GPP接入网络120通信。即使在图1中描绘特定数量的远程单元105、基站单元121、非3GPP接入网络120、和移动核心网络140,本领域的技术人员将认识到任意数量的远程单元105、基站单元121、非3GPP接入网络120、和移动核心网络140可以包括在无线通信系统100中。
在一个实施方式中,无线通信系统100符合3GPP规范中指定的4G和5G系统。然而,更一般地,无线通信系统100可以实现一些其它开放或专有通信网络,例如LTE/EPC(被称为“4G”)或WiMAX以及其他网络。本公开不旨在限于任何特定无线通信系统架构或协议的实施方式。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏控制台、安全系统(包括安全相机)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以被称为UE、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、设备、或本领域中使用的其他术语。
远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号与非3GPP接入网络120中的一个或多个基站单元121直接通信。此外,UL和DL通信信号可以在通信链路113上承载。注意,非3GPP接入网络120是向远程单元105提供对移动核心网络140的接入的中间网络。
基站单元121可以经由通信链路113在例如小区或小区扇区的服务区域内服务于许多远程单元105。基站单元121可以经由通信信号直接与远程单元105中的一个或多个通信。通常,基站单元121发射DL通信信号以在时间、频率和/或空间域中服务于远程单元105。此外,DL通信信号可以在通信链路113上承载。通信链路113可以是授权或未授权无线电频谱中的任何合适的载波。通信链路113促进远程单元105中的一个或多个和/或基站单元121中的一个或多个之间的通信。
如上所述,非3GPP接入网120支持安全信令接口并与4G和5G核心网互通。非3GPP接入网络120可以包括代理AAA;在所描绘的实施例中,非3GPP接入网络120包括AAA代理123。
基站单元121可以被分布在地理区域上。在某些实施例中,基站单元121也可以被称为非3GPP接入点、接入终端、接入点、基地、基站、中继节点、设备,或者本领域中使用的任何其它术语。基站单元121通常是诸如非3GPP接入网络120的无线电接入网络(“RAN”)的一部分,其可以包括可通信地耦合到一个或多个对应的基站单元121的一个或多个控制器。无线电接入网络的这些和其它元件未被图示,但一般由本领域普通技术人员公知。基站单元121经由非3GPP接入网络120连接到移动核心网络140。
在一些实施例中,远程单元105经由与移动核心网络140的网络连接与应用服务器(或其他通信对等体)通信。例如,远程单元105中的应用(例如,web浏览器、媒体客户端、电话/VoIP应用)可以触发远程单元105以与使用非3GPP接入网120与移动核心网络140建立PDU会话(或其它数据连接)。为了建立PDU会话,远程单元105必须向移动核心网络注册。
在一个实施例中,移动核心网络140是5G核心(“5GC”)或演进型分组核心(“EPC”),其可以被耦合到数据网络(诸如互联网和专用数据网络,以及其他数据网络)。远程单元105可以利用移动核心网络140具有订阅或其他账户。本公开不旨在限于任何特定无线通信系统架构或协议的实施方式。
移动核心网络140包括若干网络功能(“NF”)。如所描绘的,移动核心网络140包括至少一个用户平面功能(“UPF”)141。移动核心网络140还包括多个控制平面功能,包括但不限于接入和移动性管理功能(“AMF”)143、会话管理功能(“SMF”)145、和策略控制功能(“PCF”)147。在某些实施例中,移动核心网络140还可以包括归属订户服务器(“HSS”)151、统一数据管理功能(“UDM”)155、认证服务器功能(“AUSF”)153、订阅标识符去隐藏功能(“SIDF”)157、网络存储库功能(“NRF”)(由各种NF用于通过API彼此发现和通信)、或为5G核心定义的其他NF。在某些实施例中,移动核心网络140还可以包括3GPP AAA服务器149,以提供认证、授权、策略控制和路由信息以接入网关或用于非3GPP接入的互通功能。注意,3GPPAAA服务器可以与移动核心网络140中的其他网络功能合并和/或准共置。
在各种实施例中,移动核心网络140支持不同类型的移动数据连接和不同类型的网络切片,其中每个移动数据连接利用特定的网络切片。这里,“网络切片”指的是移动核心网络140中针对特定业务类型或通信服务优化的部分。网络实例可以由S-NSSAI标识,而远程单元105被授权使用的网络切片的集合由NSSAI标识。每个网络切片包括CP和UP网络功能的集合,其中每个网络切片针对特定类型的服务或业务类型而被优化。为了便于说明,在图1中未示出不同的网络切片,但假定它们的支持。在一个示例中,每个网络切片包括SMF和UPF,但是各种网络切片共享AMF143、PCF147和UDM155。在另一示例中,每个网络切片包括AMF、SMF和UPF。
尽管在图1中描绘了特定数量和类型的网络功能,但是本领域的技术人员将认识到任何数量和类型的网络功能可以包括在移动核心网络140中。虽然图1描述了5G RAN和5G核心网络的组件,但所描述的用于支持使用隐藏标识与移动核心网络的认证的实施例应用于其他类型的通信网络和RAT,包括IEEE802.11变体、GSM、GPRS、UMTS、LTE变体、CDMA 2000、蓝牙、ZigBee、Sigfoxx等。
此外,在移动核心网络140包括EPC的情况下,所描绘的网络功能可以用,诸如MME、S-GW、P-GW、HSS等的适当的EPC实体代替。例如,AMF 143可以被映射到MME,SMF 145可以被映射到PGW的控制平面部分和/或到MME,UPF 141可以被映射到SGW和PGW的用户平面部分,UDM可以被映射到HSS等。
在各种实施例中,远程单元105是具有4G和5G能力的设备,其使用隐藏标识符,而不是清楚地发送的标识符,以经由非3GPP接入网络120,例如WLAN,向移动核心网络140,例如,4G核心网络、5G核心网络等等注册。本文所公开的主题是针对经由在诸如4G/5G核心网络的核心移动网络140中的对3GPP AAA服务器149、HSS 151、AUSF 153、UDM155的接入使用用于远程单元105的隐藏标识符向移动核心网络认证来检索对应于隐藏标识符的用于远程设备105的永久标识符。
图2A至图2D描绘了根据本公开的实施例的用于支持使用隐藏标识与移动核心网络认证的过程200。过程200涉及UE 205(例如,远程单元105的一个实施例)、非3GPP接入网络207以及VPLMN 210内的代理AAA服务器211(例如,AAA代理123的一个实施例)。过程200还涉及3GPP AAA服务器217、HSS 219(在一些实施例方式中)、AUSF 223(在其它实施方式中)以及UDM/SIDF 221,它们在HPLMN215内。在最典型情况下,可信非3GPP接入网络210是符合IEEE 802.11规范的WLAN接入网络。
在一种实施方式中,如图2A、图2B和图2D中所图示的,UE 205向3GPP AAA服务器217提供不揭露其永久订阅ID的SUCI,例如,IMSI/SUPI。存在如下所述并在图2B中示出的两个选项:在选项A中,3GPP AAA服务器217经由HSS 219从UDM 221访问SUPI,而在选项B中,3GPP AAA服务器217直接从UDM 221访问来自UDM 221的SUPI。然而,在选项A和B两者中,3GPP AAA服务器217正在执行认证。
在另一实施方式中,如图2A、图2C和图2D中的选项C图示的,3GPP AAA服务器217与AUSF 223(例如,代替HSS 219)通信并且认证过程在UE 205与AUSF 223之间(例如,不在UE205与3GPP AAA服务器217之间)运行。在该实施例中,如下文更详细地解释的,3GPP AAA服务器217检测到来自UE 205的NAI中包括SUCI而不是IMSI。3GPP AAA服务器217映射来自NAI的认证方法指示(例如,0、1、6等)来向AUSF 223指示认证方法,例如认证方法=EAP-AKA’。3GPP AAA服务器217与AUSF 223之间的接口可以是基于服务的接口(“SBI”)或AAA接口,并且因此,3GPP AAA服务器217起AMF(即,使用SBI)或AAA代理211(即,使用AAA接口)的角色。AUSF 223进一步将该指示提供给UDM 221,以便指示的认证方法由UDM 221而不是另一基于UDM 221中的其它本地标准选择。AUSF 223认证UE205而不是3GPP AAA服务器217。
过程200始于图2A,在步骤1中,UE 205在非3GPP接入网络207中与非3GPP接入点,例如,WLAN接入点,建立层-2(L2)连接(参见消息传递225)。在IEEE 802.11WLAN的情况下,该L2连接对应于802.11关联。WLAN AP可以广播包括非3GPP接入207通过其支持AAA连接性的PLMN的PLMN列表。UE 205是具有5G能力的,但是非3GPP接入207仅广告UE 205订阅的PLMN的AAA连接性(与EPC互通)。UE 205可以连接到WLAN AP。
在步骤2-3,EAP过程由例如非3GPP接入点或WLAN AP的非3GPP接入207发起。EAP消息被封装成层-2分组,例如,被封装成IEEE802.11/802.1x分组。非3GPP接入207请求UE标识,并且UE 205发送网络接入标识符(“NAI”)作为响应(参见消息传递227)。UE 205将网络标识为具有AAA连接性的网络,并且在EAP-响应中以3GPP TS23.003中定义的NAI格式发送其SUCI而不是IMSI(参见框229),例如:
NAI=0<SUCI>@wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.org
等式1
NAI=0<SUCI>@nai.epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org
等式2
NAI=6<SUCI>@nai.epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org
等式3
NAI=wlan.mnc<homeMNC>.mcc<homeMCC>.3gppnetwork.org
!6<SUCI>@wlan.mnc<visitedMNC>.mcc<visitedMCC>.3gppnetwor k.org
等式4
其中,前导数字标识认证方法,例如,前导0数字指示EAP-AKA认证并且前导6数字指示EAP-AKA’认证。
如本文所述,UE 205在使用EAP-AKA、EAP-AKA’与EPC的认证连接到非3GPP接入网络207时使用隐藏标识符SUCI作为NAI的一部分,这可能是5G标准所要求的。隐藏标识符SUCI可以是UE的IMSI或者可以从UE的IMSI导出。无论如何,如本文所述,UE的标识符被隐藏,例如,被加密,使得其在使用具有5G能力的UE连接到4G非3GPP接入网络207时不以明文形式在空中发送。
在步骤4中,非3GPP接入207可以基于NAI的领域或域将EAP-响应转发到VPLMN 210中的AAA代理211(参见消息传递231)。被转发到AAA代理211的消息可以包括作为用户名的NAI以及EAP有效载荷,例如,SWa AAA请求(用户名=NAI,EAP有效载荷)。
在步骤5中,VPLMN 210中的AAA代理211基于NAI的领域/域将EAP-响应发送到HPLMN 215中的3GPP AAA服务器217(参见消息传递233)。被转发到AAA代理211的消息可以包括作为用户名的NAI、用于VPLMN的标识符以及EAP有效载荷,例如,SWd AAA请求(用户名=NAI,受访-网络-标识符,EAP有效载荷)。
在步骤6A中(参见框235),3GPP AAA服务器217检测到NAI的用户名部分中的标识符是隐藏标识符,例如,SUCI,而不是IMSI。在步骤6B中(参见框237),3GPP AAA服务器217检测/确定来自NAI的认证方法,例如,基于NAI中的SUCI前缀(例如,前导数字0、1、6)。
在这一点上,过程200取决于HPLMN 215的实施方式遵循选项A、选项B或选项C中的任一个。如图2中描绘的,在选项A中,在步骤A1处,3GPP AAA-服务器217向HPLMN 215中的HSS 219发送认证向量请求(参见消息传递239),其具有隐藏标识符,例如,SUCI,作为用户名,以及用于请求的认证方法的指示,例如,认证方法=EAP-AKA’,其从NAI中的SUCI前缀导出。被发送到HSS 219的认证向量请求例如可以具有形式SWx AAA请求(用户名=SUCI,受访-网络-标识符,认证向量的数量,认证方法=EAP-AKA’)。
在步骤S2(参见框241),HSS 219检测到用户名是隐藏标识符,例如,SUCI,且不是IMSI。在步骤A3(参见框243),HSS 219例如基于诸如SUCI的归属网络ID(例如,MCC、MNC)的路由标识符来选择UDM 221。
在步骤A4,HSS 219连接到UDM 221以通过向UDM/SIDF 221发送带SUCI的AKA-AV请求(参见消息245)以及用于所请求的认证方法的指示来请求认证向量发送。例如,AKA-AV请求可以为Nudm_UEAuthentication_GetRequest(SUCI,服务网络名,RAND&AUTS,认证请求类型=EAP-AKA’)。在步骤A4的可替选实施例中,HSS 219连接到UDM 221,以通过向UDM/SIDF221发送带有SUCI的标识请求,以请求去隐藏隐藏标识符,例如,SUCI。
在步骤A5,UDM 221验证AKA-AV请求并且查询SIDF 221以用于去隐藏隐藏标识符,例如,SUCI,以揭露永久标识符,例如,SUPI。UDM 221根据所请求的认证方法,例如,对于5GEAP-AKA’主认证,生成AKA-AV响应。UDM 221可以生成EAP-AKA AV来代替EAP-AKA’AV。UDM221在对在步骤A4中接收到的请求的AKA AV响应中向HSS 219提供(参见消息传递247)用于EAP-AKA或EAP-AKA’的AKA-AV。例如,EAP-AKA AV响应可以是Nudm_UEAuthentication_GetResponse(SUPI,认证类型=EAP-AKA’,认证向量)。
在步骤5的可替选实施例中,在标识请求在步骤A4中被发送到UDM 221的情况下,UDM 221验证请求并查询SIDF 221以去隐藏隐藏标识符,例如,SUCI,以揭露永久标识符,例如,SUPI,并且在对在可替选步骤A4中接收到的请求的标识响应中向HSS 219发送SUPI。UDM221将永久标识符,例如,SUPI,以IMSI格式发送到HSS 219。
在步骤A6,HSS 219基于接收到的永久标识符选择对应的订户简档,例如,SUPI,且生成AKA-AV并将AKA-AV提供给3GPP AAA服务器217(参见消息传递249)。HSS发送到3GPPAAA服务器217的AKA-AV可以是SWx AAA响应(用户名=SUPI,结果,认证数据)。在这种情况下,仅需要增强HSS 219从而与UDM 221通信以去隐藏隐藏标识符,例如,SUCI。HSS 219可以基于针对所请求的认证方法的指示来生成EAP-AKA’AV,代替EAP-AKA AV。
继续参考图2B,在步骤B1的选项B中,3GPP AAA服务器217直接选择UDM 221(参见框251),代替使用HSS 219。UDM 221可以基于例如SUCI的隐藏标识符的路由标识符来选择。
在步骤B2,3GPP AAA服务器217在使用AAA接口时将AKA-AV请求(参见消息传递253)直接发送到UDM 221。在一些实施方式中,如果3GPP AAA服务器217用基于服务的接口(“SBI”)增强,那么它表现得像AUSF 223并且向UDM 221发送Nudm_UEAuthentication_Get请求,例如,Nudm_UEAuthentication_GetRequest(SUCI,服务网络名,RAND&AUTS,认证请求类型=EAP-AKA’)。因此,对UDM 221的请求包括隐藏标识符,例如,SUCI,以及用于所请求的认证方法的指示,例如,认证请求类型=EAP-AKA’。
在步骤B3,UDM 221去隐藏隐藏标识符,例如,SUCI,以揭露永久标识符,例如,SUPI,以选择订户简档并生成与5G EAP-AKA’主认证类似的EAP-AKA’认证向量。UDM 221将AKA-AV,包括永久标识符,例如,SUPI,提供(参见消息传递255)回到3GPP AAA服务器217,例如,Nudm_UEAuthentication_GetResponse(SUPI,认证类型=EAP-AKA’,认证向量)。UDM221可以根据来自3GPP AAA服务器217的所请求的认证方法来生成EAP-AKA AV,代替EAP-AKA’AV。
现在参考图2C,在选项C中,在步骤C1,3GPP AAA服务器217向AUSF 223发送(参见消息传递257)带作为用户名例如用户名=SUCI的隐藏标识符以及用于所请求的认证方法的指示,例如,认证请求类型=EAP-AKA’的认证向量请求,。消息取决于3GPP AAA服务器217与AUSF 223之间的接口——如果3GPP AAA服务器217托管与AUSF223的SBI,则3GPP AAA服务器217发送带有隐藏标识符的Nausf_UEAuthentication_Authenticate请求消息,例如,Nausf_UEAuthentication_Authenticate请求(SUCI,服务网络名,认证请求类型=EAP-AKA’)。可替选地,如果3GPP AAA服务器217托管与AUSF 223的AAA协议接口,则3GPP AAA服务器217向AUSF 223发送AKA AV请求。
在步骤C2,AUSF 223选择UDM 221,例如,基于SUCI的路由标识符,并且向UDM/SIDF221发送(参见消息传送259)带例如SUCI的隐藏标识符以及用于所请求的认证方法的指示的UE认证请求。例如,AUSF 223可以发送Nudm_UEAuthentication_GetRequest消息,例如,Nudm_UEAuthentication_GetRequest(SUI,服务网络名,RAND&AUTS,认证请求类型=EAP-AKA’)。
在步骤C3,UDM 221验证接收到的UE认证请求并且查询SIDF221以用于去隐藏隐藏标识符,例如,SUCI,以揭露永久标识符,例如,SUPI。UDM 221根据所请求的认证方法生成AKA-AV,例如,用于5G EAP-AKA’主认证。UDM 221可以根据所请求的认证方法生成EAP-AKAAV,代替EAP-AKA’AV。UDM 221在对AUSF 223的UE认证响应中提供(参见消息传递261)认证向量。例如,UDM 221可以发送Nudm_UEAuthentication_GetResponse消息,例如,Nudm_UEAuthentication_GetResponse(SUPI,认证类型=EAP-AKA’,认证向量)。
在步骤C4,AUSF 223通过向3GPP AAA服务器217发送认证响应消息(参见消息传递263)来开始向UE 205的认证。例如,AUSF 223可以发送诸如Nausf_UEAuthentication_Authenticate响应(认证类型=EAP-AKA’,URI,authCtxld,EAP有效载荷)的Nausf_UEAuthentication_Authenticate响应消息。
取决于3GPP AAA服务器217如何连接到AUSF 223,其可以起到数种作用。例如,如果3GPP AAA服务器217托管与AUSF 223的SBI,则3GPP AAA服务器217起到作为AMF的作用。在另一实施方式中,如果3GPP AAA服务器217托管与AUSF 223的AAA协议接口,则3GPP AAA服务器起到AAA代理211的作用。
现在参考图2D,其适用于选项A、选项B和选项C中的每一个,除非另外指定,否则步骤C5-C16中的过程200(参见消息传递265-287)通常遵循在3GPP TS 33.402v16.2.0的子条款6.2中规定的正常认证过程,以认证UE 205并完成EAP认证过程。在一些实施方式中,3GPPAAA服务器217可以起用于认证具有5G能力的UE 205的AUSF 223的作用。
在步骤C5,3GPP AAA服务器217向VPLMN 210中的代理AAA211发送(参见消息传递265)带用户名(例如,NAI)和EAP有效载荷的响应。例如,EAP响应消息可以是SWd AAA响应(用户名=NAI,EAP有效载荷)。
在步骤C6,代理AAA211向非3GPP接入207发送(参见消息传递267)具有从3GPP AAA服务器217接收的用户名和有效载荷的响应,例如,SWa AAA响应(用户名=NAI,EAP有效载荷)。
在步骤C7,非3GPP接入207向UE 205发送(参见消息传递269)EAP有效载荷,例如,EAP-请求/AKA-质询。当UE 205接收到EAP-请求/AKA-质询时,它知道它仅根据3GPPTS33.402的子条款6.2执行接入认证而不是对5GC的完全主认证。特别地,如果网络用EAP-AKA质询来响应,这指示网络支持使用连接到UDM 221的3GPP AAA服务器217、HSS 219和/或AUSF 223去隐藏隐藏标识符,例如,SUCI,如上文在图2A-2C中的过程流程图中所述的。否则,如果网络以认证拒绝响应,则网络的4G 3GPP AAA服务器217、HSS 219和/或AUSF 223不理解SUCI。
在步骤C8-C10,响应于在步骤C7中接收到质询分组,过程200向3GPP AAA服务器217发送(参见消息传送271-275)进一步的EAP认证消息,以进行EAP认证。在选项C中,在步骤C11和C12处,过程200与AUSF 223交换(参见消息传递277-279)附加的认证消息以继续认证。在步骤C13-C16中,3GPP AAA服务器217创建MSK(参见框281)并向UE 205发送(参见消息传递283-287)EAP-成功标志。
在步骤10A-10B,在成功认证之后,例如,在接收到EAP-成功标志之后,5G UE 205接收IP配置接入信息。与非3GPP接入207的安全建立可以使用从MSK导出的密钥来建立(参见消息传递289),例如,作为用于WLAN的4次握手的一部分。在某些实施例中,UE 205可以仅在非3GPP接入207处具有本地IP接入(参见消息传递291),并且可以不具有对5GC的接入。
虽然图2A-2D描绘了经由VPLMN 210中的代理AAA 211与HPLMN 215中的3GPP AAA服务器217交互的UE 205,但是在其它实施例中,UE 205可以经由非3GPP接入207与3GPPAAA服务器217交互,而不使用代理AAA 211。例如,如果UE 205没有漫游,则UE 205可以在不使用代理AAA 211的情况下经由非3GPP接入207与3GPP AAA服务器217交互。
图3描绘了根据本公开的实施例的用户设备装置300的一个实施例。用户设备装置300可以是远程单元105和/或UE 205的一个实施例。此外,用户设备装置300可以包括处理器305、存储器310、输入设备315、输出设备320、收发器325。在一些实施例中,输入设备315和输出设备320被组合成单个设备,诸如触摸屏。在某些实施例中,用户设备装置300可以不包括任何输入设备315和/或输出设备320。
如所描绘的,收发器325包括至少一个发射器330和至少一个接收器335。这里,收发器325经由接入网络与移动核心网络(例如,7GC)通信。此外,收发器325可以支持至少一个网络接口340。这里,至少一个网络接口340有助于与AAA代理123或AAA服务器149的通信。
在一个实施例中,处理器305可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器305可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中,处理器305执行存储在存储器310中的指令以执行本文中所描述的方法和例程。处理器305被通信地耦合到存储器310、输入设备315、输出设备320和收发器325。
在各种实施例中,处理器305控制用户设备装置300以实现上述UE行为。在一些实施例中,处理器305(例如,经由收发器325)向网络功能发送第一认证消息,以经由非3GPP接入网络与移动通信网络进行认证。第一认证消息包括用于装置300的隐藏标识符。在某些实施例中,处理器305响应于第一认证消息从网络功能(例如,经由收发器325)接收第二认证消息。这里,第二认证消息包括基于隐藏标识符的认证响应。
在进一步的实施例中,处理器305响应于包含质询分组的认证响应完成与移动通信网络的认证并且响应于与移动通信网络的成功认证接收用于接入移动通信网络的配置信息。
在一个实施例中,用于在第一认证消息中发送给网络功能的装置300的隐藏标识符包括订阅隐藏标识符。在某些实施例中,SUCI作为用于装置的网络接入标识符(“NAI”)的一部分被发送,NAI具有SUCI@realm的格式。在一个实施例中,网络功能包括代理AAA服务器,其基于NAI的域将NAI转发到AAA服务器。
在一些实施例中,用于接入移动通信网络的配置信息包括用于接入移动通信网络的非3GPP接入点的网际协议(“IP”)接入配置信息。在一个实施例中,响应于接收到质询分组,处理器305在没有执行完全主网络接入层(“NAS”)认证的情况下执行与移动通信网络的接入认证。
在一个实施例中,响应于在第二认证消息中接收到、包括认证拒绝指示符的认证响应,装置300与移动通信网络的认证失败,其中认证响应于网络功能不能够去隐藏标识符而被拒绝。
在各种实施例中,处理器305响应于装置在发送第一认证消息之前与非3GPP接入网络建立连接而接收对用于装置305的标识符的请求。在一些实施例中,移动通信网络包括具有对5G统一数据管理(“UDM”)服务器的接入的4G非3GPP接入网络,并且装置300是具有4G和5G能力。在某些实施例中,网络功能包括移动通信网络中的4G 3GPP AAA服务器。4G 3GPPAAA服务器检测在来自装置300的第一认证消息中发送的隐藏标识符。
在一个实施例中,存储器310是计算机可读存储介质。在一些实施例中,存储器310包括易失性计算机存储介质。例如,存储器310可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器310包括非易失性计算机存储介质。例如,存储器310可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器310包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器310存储与支持使用隐藏标识与移动核心网络的认证有关的数据,例如存储安全密钥、IP地址等。在某些实施例中,存储器310还存储程序代码和相关数据,诸如操作系统(“OS”)或在用户设备装置300上运行的其他控制器算法和一个或多个软件应用。
在一个实施例中,输入设备315可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备315可以与输出设备320集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备315包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写被输入。在一些实施例中,输入设备315包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备320可以包括任何已知的电子可控显示器或显示设备。输出设备320被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备320包括能够向用户输出视觉数据的电子显示器。例如,输出设备320可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备320可以包括可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等等。此外,输出设备320可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备320包括用于产生声音的一个或多个扬声器。例如,输出设备320可以产生听觉警报或通知(例如,蜂鸣声或鸣响)。在一些实施例中,输出设备320包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备320的全部或部分可以与输入设备315集成。例如,输入设备315和输出设备320可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备320的全部或者部分可以位于输入设备315附近。
如在上面所讨论的,收发器325经由一个或多个接入网络与移动通信网络的一个或多个网络功能通信。收发器325在处理器305的控制下操作以发射消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器305可以在特定时间处选择性地激活收发器(或其部分)以便发送和接收消息。
收发器325可以包括一个或多个发射器330和一个或多个接收器335。尽管仅图示了一个发射器330和一个接收器335,但是用户设备装置300可以具有任何合适数量的发射器330和接收器335。此外,发射器330和接收器335可以是任何合适类型的发射器和接收器。在一个实施例中,收发器325包括用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对。
在某些实施例中,用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对可以被组合成单个收发器单元,例如执行用于授权和未授权无线电频谱两者的功能的单个芯片。在一些实施例中,第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如,某些收发器325、发射器330和接收器335可以被实现为物理上分开的组件,这些组件接入共享的硬件资源和/或软件资源,诸如例如,网络接口340。
在各种实施例中,一个或多个发射器330和/或一个或多个接收器335可以被实现和/或集成到诸如多收发器芯片、片上系统、ASIC或其他类型的硬件组件的单个硬件组件中。在某些实施例中,一个或多个发射器330和/或一个或多个接收器335可以被实现和/或集成到多芯片模块中。在一些实施例中,诸如网络接口340的其他组件或其他硬件组件/电路可以与任意数量的发射器330和/或接收器335集成到单个芯片中。在这样的实施例中,发射器330和接收器335可以逻辑上被配置成使用一个更常见的控制信号的收发器325或者实现在相同硬件芯片中或多芯片模块中的模块化发射器330和接收器335。
图4描绘了根据本公开的实施例的网络设备装置400的一个实施例。在一些实施例中,网络设备装置400可以是3GPP AAA服务器、HSS、AUSF和/或UDM的一个实施例。此外,网络设备装置400可以包括处理器405、存储器410、输入设备415、输出设备420、收发器425。在一些实施例中,输入设备415和输出设备420被组合成单个设备,诸如触摸屏。在某些实施例中,网络设备装置400可以不包括任何输入设备415和/或输出设备420。
如所描绘的,收发器425包括至少一个发射器430和至少一个接收器435。这里,收发器425与一个或多个远程单元105通信。另外,收发器425可以支持至少一个网络接口440,诸如在图1中描绘的SWa、SWd、N8和N13。在一些实施例中,收发器425支持用于与RAN节点通信的第一接口、用于与移动核心网络(例如,8GC)中的一个或多个网络功能通信的第二接口和用于与远程单元105(例如,UE 300)通信的第三接口。
在一个实施例中,处理器405可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器405可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中,处理器405执行存储在存储器410中的指令以执行本文中所描述的方法和例程。处理器405通信地耦合到存储器410、输入设备415、输出设备420和第一收发器425。
在各种实施例中,处理器405控制网络设备装置400以实现上述3GPP AAA服务器行为。在一个实施例中,处理器405(例如,经由收发器425)接收来自网络功能的第一认证消息以经由非3GPP接入网络与移动通信网络认证远程单元105,例如,UE 300。这里,第一认证消息包括用于远程单元105的标识符和认证类型。在某些实施例中,处理器405检测到该标识符是用于远程单元105的隐藏标识符。这里,隐藏标识符指示远程单元105具有5G能力。
在一个实施例中,处理器405创建包括隐藏标识符和认证方法的认证向量请求消息。这里,认证类型可以指定认证方法。在各种实施例中,处理器405(例如经由收发器425)将认证向量请求消息发送到网络功能。这里,网络功能去隐藏隐藏标识符以检索用于远程单元105的永久标识符。在一些实施例中,处理器405从网络功能接收认证向量响应消息。认证向量响应消息可以包括用于远程单元105的永久标识符和认证向量。
在一个实施例中,处理器405在作为第一认证消息的一部分代替国际移动订户标识(“IMSI”)接收到的网络接入标识符(“NAI”)的用户名部分中检测隐藏标识符。在某些实施例中,隐藏标识符包括用于远程单元105的订阅隐藏标识符(“SUCI”)。在各种实施例中,认证向量请求消息被发送到的网络功能包括归属订户服务器(“HSS”)。
在一个实施例中,将认证向量请求消息发送到的网络功能包括统一数据管理(“UDM”)服务器。在一些实施例中,处理器405基于与隐藏标识符相关联的路由信息来选择UDM服务器。在各种实施例中,装置400通过基于服务的接口(“SBI”)来增强以表示认证服务器功能(“AUSF”)并直接与UDM服务器通信。
在一个实施例中,认证向量请求消息包括响应于装置托管SBI以与DUM通信的Nudm_UEAuthentication_Getrequest消息和响应于装置托管与UDM的AAA协议接口的认证和密钥协议(“AKA”)认证向量(“AV”)之一。
在某些实施例中,向其发送认证向量请求消息的网络功能包括认证服务器功能(“AUSF”)。在一个实施例中,认证向量请求消息包括Nausf_UEAuthentication_Authenticate请求消息(例如,响应于托管与AUSF的基于服务的接口(“SBI”)、装置400充当AMF)、以及认证和密钥协议(“AKA”)认证向量(“AV”)请求消息(例如,响应于装置400托管与AUSF的AAA协议接口,装置400充当AAA代理)之一。在某些实施例中,接收到的认证向量响应消息中的永久标识符包括用于远程单元105的订阅永久标识符(“SUPI”)。
在各种实施例中,处理器405控制网络设备装置400以实现上述HSS行为。在一个实施例中,处理器405(例如,经由收发器415)接收来自第一网络功能的认证向量请求消息以经由非3GPP接入网络与移动通信网络认证远程单元105,例如,UE 300。这里,认证向量请求消息包括用于远程单元105的标识符和指定认证方法的认证类型。
在一个实施例中,处理器405检测到标识符是用于远程单元105的隐藏标识符。这里,隐藏标识符指示远程单元105是具有5G能力。在进一步的实施例中,处理器405基于隐藏标识符选择第二网络功能。这里,第二网络功能被配置成去隐藏隐藏标识符。
在一些实施例中,处理器405(例如,经由收发器425)向第二网络功能发送认证向量请求消息,用于请求与隐藏标识符和认证类型相关联的认证向量。在某些实施例中,处理器405从第二网络功能接收认证向量响应消息。这里,认证向量响应消息包括用于远程单元105的永久标识符和认证向量。
在一个实施例中,第一网络功能包括AAA服务器并且第二网络功能包括统一数据管理(“UDM”)服务器。在进一步的实施例中,处理器405连接到UDM服务器,用于通过发送包括隐藏标识符的标识请求来去隐藏隐藏标识符。在一个实施例中,处理器405向UDM服务器发送认证和密钥协议(“AKA”)认证向量(“AV”)请求消息,用于去隐藏隐藏标识符。
在各种实施例中,处理器405向UDM服务器发送标识请求消息,用于去隐藏隐藏标识符。在某些实施例中,认证向量请求消息中的隐藏标识符包括用于远程单元105的订阅隐藏标识符(“SUCI”)。在一个实施例中,接收到的认证向量响应消息中的永久标识符包括用于远程单元105的订阅永久标识符(“SUPI”)。
在各种实施例中,处理器405控制网络设备装置400以实现上述UDM行为。在一个实施例中,处理器405(例如,经由收发器425)接收来自网络功能的认证向量请求消息,以经由非3GPP接入网络与移动通信网络认证远程单元105,例如,UE,300。这里,认证向量请求消息包括用于远程单元105的标识符和认证类型。
在一个实施例中,处理器405检测到该标识符是用于远程单元105的隐藏标识符。这里,隐藏标识符指示远程单元105是具有5G能力。在各种实施例中,处理器405去隐藏隐藏标识符以确定用于远程单元105的永久标识符。在某些实施例中,处理器405创建包括用于远程单元105的去隐藏的永久标识符和认证方法的认证向量响应消息,其中该认证类型指定认证方法。在各种实施例中,处理器405(例如,经由收发器425)向网络功能发送认证向量响应消息。
在一个实施例中,处理器405在去隐藏隐藏标识符之前验证所接收的认证向量请求消息。在某些实施例中,处理器405查询订阅标识符去隐藏功能("SIDF")以去隐藏隐藏标识符。在一个实施例中,认证向量请求消息进一步包括认证方法。这里,处理器405根据接收到的认证方法生成认证向量响应消息。
在某些实施例中,网络功能包括用户服务器(“HSS”)并且处理器405响应于包括标识请求的认证向量请求消息在标识响应中向HSS发送去隐藏标识符。在一个实施例中,网络功能包括3GPP AAA服务器并且处理器405在认证向量响应消息中向3GPP AAA服务器发送去隐藏标识符。在进一步的实施例中,网络功能包括认证服务器功能(“AUSF”)并且处理器405在认证向量响应消息中向AUSF发送去隐藏标识符。
在一个实施例中,接收到的认证向量响应消息中的永久标识符包括用于远程单元105的订阅永久标识符(“SUPI”)。在某些实施例中,处理器405以国际移动订户标识(“IMSI”)格式来格式化SUPI。在一个实施例中,处理器405根据在接收到的认证向量请求消息中的认证类型中指定的认证方法来创建认证向量响应消息。
在各种实施例中,处理器405控制网络设备装置400以实现上述AUSF行为。在一个实施例中,处理器405(例如,经由收发器425)接收来自网络功能的认证向量请求消息,以经由非3GPP接入网络与移动通信网络认证远程单元105,例如,UE,300。这里,认证向量请求消息包括用于远程单元105的标识符。
在一个实施例中,处理器405检测到标识符是用于远程单元105的隐藏标识符。这里,隐藏标识符指示远程单元105是具有5G能力。在一些实施例中,处理器405基于隐藏标识符的路由标识符来选择用于去隐藏隐藏标识符的网络功能。
在一个实施例中,处理器405(例如,经由收发器425)向网络功能发送认证向量请求消息。这里,网络功能去隐藏隐藏标识符以检索用于远程单元105的永久标识符。在进一步的实施例中,处理器405从网络功能接收认证向量响应消息。这里,该认证向量响应消息包括用于远程单元105的永久标识符和认证向量。
在一个实施例中,存储器410是计算机可读存储介质。在一些实施例中,存储器410包括易失性计算机存储介质。例如,存储器410可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器410包括非易失性计算机存储介质。例如,存储器410可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器410包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器410存储与支持使用隐藏标识与移动核心网络的认证有关的数据,例如存储安全密钥、IP地址、UE上下文等。在某些实施例中,存储器410还存储程序代码和相关数据,诸如操作系统(“OS”)或在网络设备装置400上运行的其他控制器算法以及一个或多个软件应用。
在一个实施例中,输入设备415可以包括任何已知的计算机输入设备,其包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备415可以与输出设备420集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备415包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写被输入。在一些实施例中,输入设备415包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备420可以包括任何已知的电子可控显示器或显示设备。输出设备420可以被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备420包括能够向用户输出视觉数据的电子显示器。例如,输出设备420可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备420可以包括可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等等。此外,输出设备420可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备420包括用于产生声音的一个或多个扬声器。例如,输出设备420可以产生听觉警报或通知(例如,蜂鸣声或鸣响)。在一些实施例中,输出设备420包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备420的全部或部分可以与输入设备415集成。例如,输入设备415和输出设备420可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备420的全部或部分可以位于输入设备415附近。
如在上面所讨论的,收发器425可以与一个或多个远程单元105和/或与提供对一个或多个PLMN的接入的一个或多个互通功能通信。收发器425还可以与一个或多个网络功能(例如,在移动核心网络140中)通信。收发器425在处理器405的控制下操作以发射消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器405可以在特定时间选择性地激活收发器(或其部分)以便发送和接收消息。
收发器425可以包括一个或多个发射器430和一个或多个接收器435。在某些实施例中,一个或多个发射器430和/或一个或多个接收器435可以共享收发器硬件和/或电路。例如,一个或多个发射器430和/或一个或多个接收器435可以共享天线、天线调谐器、放大器、滤波器、振荡器、混频器、调制器/解调器、电源等。在一个实施例中,收发器425使用不同的通信协议或协议栈实现多个逻辑收发器,同时使用公共物理硬件。
图5描绘了根据本公开的实施例的用于支持使用隐藏标识与移动核心网络的认证的方法500的一个实施例。在各种实施例中,方法500由诸如如上所述的远程单元105、UE205和/或用户设备装置300的UE执行。在一些实施例中,方法500由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等处理器执行。
方法500开始并向网络功能发送505第一认证消息以经由非3GPP接入网络207与移动通信网络认证远程单元105。第一认证消息包括隐藏标识符。
方法500包括响应于第一认证消息从网络功能510接收第二认证消息。第二认证消息包括基于隐藏标识符的认证响应。
方法500响应于包括质询分组的认证响应完成515与移动通信网络515的认证。
方法500包括响应于与移动通信网络的成功认证而接收520用于接入移动通信网络的配置信息。方法500结束。
图6描绘了根据本公开的实施例的用于支持使用隐藏标识与移动核心网络的认证的方法600的一个实施例。在各种实施例中,方法600由诸如上述的3GPP AAA服务器217和/或网络设备装置400的AAA服务器执行。在一些实施例中,方法600由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等的处理器执行。
方法600开始并从网络功能接收605第一认证消息,以经由非3GPP接入网络207与移动通信网络105认证远程单元。第一认证消息包括用于远程单元105的标识符和认证类型。该方法600包括检测610该标识符是用于远程单元105的隐藏标识符。隐藏标识符指示远程单元105是具有5G能力。
该方法600包括创建615认证向量请求消息,该认证向量请求消息包含隐藏标识符和认证方法,该认证类型指定认证方法。该方法600包括向网络功能发送620认证向量请求消息。这里,网络功能去隐藏隐藏标识符,以检索用于远程单元105的永久标识符。该方法600包括从网络功能接收625认证向量响应消息。这里,认证向量响应消息包括用于远程单元105的永久标识符和认证向量。方法600结束。
图7描绘了根据本公开的实施例的用于支持使用隐藏标识与移动核心网络的认证的方法700的一个实施例。在各种实施例中,方法700由诸如如上的HSS 219和/或网络设备装置400的HSS执行。在一些实施例中,方法700由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等的处理器执行。
方法700开始并且从第一网络功能接收705认证向量请求消息以经由非3GPP接入网络207与移动通信网络认证远程单元105。这里,认证向量请求消息包括用于远程单元105的标识符和指定认证方法的认证类型。
方法700包括检测710标识符是用于远程单元105的隐藏标识符。隐藏标识符指示远程单元105是具有5G能力。方法700基于隐藏标识符715选择第二网络功能。这里,第二网络功能被配置成去隐藏隐藏标识符。
方法700向第二网络功能发送720用于请求与隐藏标识符和认证类型相关联的认证向量的认证向量请求消息。该方法700包括从第二网络功能接收725认证向量响应消息。这里,认证向量响应消息包括用于远程单元105的永久标识符和认证向量。方法700结束。
图8描述了根据本公开的实施例的用于支持使用隐藏标识与移动核心网络的认证的方法800的一个实施例。在各种实施例中,方法800由诸如上述的UDM 221和/或网络设备装置400的UDM执行。在一些实施例中,方法800由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等的处理器执行。
方法800开始并且从网络功能接收805认证向量请求消息以经由非3GPP接入网络207与移动通信网络认证远程单元105。这里,认证向量请求消息包括用于远程单元105的标识符和认证类型。方法800检测到810该标识符是用于远程单元105的隐藏标识符。这里,隐藏标识符指示远程单元是具有5G能力。
方法800去隐藏815隐藏标识符以确定用于远程单元105的永久标识符。该方法800包括创建820包括用于远程单元105的去隐藏的永久标识符和认证方法的认证向量响应消息,其中该认证类型指定认证方法。方法800向网络功能发送825认证向量响应消息。方法800结束。
图9描述根据本公开的实施例的用于支持使用隐藏标识与移动核心网络的认证的方法900的一个实施例。在各种实施例中,方法900由诸如上述的AUSF 223和/或网络设备装置400的AUSF执行。在一些实施例中,方法900由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等的处理器执行。
方法900开始并从网络功能接收905认证向量请求消息,以经由非3GPP接入网络207与移动通信网络认证远程单元105。这里,认证向量请求消息包括用于远程单元105的标识符。
方法900包括检测910标识符是用于远程单元105的隐藏标识符。隐藏标识符指示远程单元105是具有5G能力。该方法900包括基于隐藏标识符的路由标识符选择915用于去隐藏隐藏标识符的网络功能。
方法900包括向网络功能920发送认证向量请求消息。网络功能去隐藏隐藏标识符以检索用于远程单元105的永久标识符。该方法900包括从网络功能925接收认证向量响应消息。这里,认证向量响应消息包括用于远程单元105的永久标识符。方法900结束和认证向量。
根据本公开的实施例,本文公开了用于支持使用隐藏标识与移动核心网络的认证的第一装置。第一装置可以由诸如远程单元105、UE205和/或用户设备装置300的UE实现。第一装置包括收发器,该收发器与非3GPP接入网络通信;和处理器,该处理器在非3GPP接入网络中与第一接入点建立连通性。
这里,处理器向网络功能发送第一认证消息以经由非3GPP接入网络与移动通信网络认证。第一认证消息包括用于装置的隐藏标识符。在某些实施例中,处理器响应于第一认证消息从网络功能接收第二认证消息。这里,第二认证消息包括基于隐藏标识符的认证响应。
在进一步的实施例中,处理器响应于包括质询分组的认证响应完成与移动通信网络的认证并且响应于与移动通信网络的成功认证接收用于接入移动通信网络的配置信息。
在一个实施例中,用于在第一认证消息中发送到网络功能的装置的隐藏标识符包括订阅隐藏标识符。在某些实施例中,SUCI作为用于装置的网络接入标识符(“NAI”)的一部分被发送,该NAI具有SUCI@realm的格式。在一个实施例中,网络功能包括代理AAA服务器,该代理AAA服务器基于NAI的域将NAI转发到AAA服务器。
在一些实施例中,用于接入移动通信网络的配置信息包括用于接入移动通信网络的非3GPP接入点的网际协议(“IP”)接入配置信息。在一个实施例中,响应于接收到质询分组,处理器在没有执行完全主网络接入层(“NAS”)认证的情况下执行与移动通信网络的接入认证。
在一个实施例中,响应于在第二认证消息中接收到、包括认证拒绝指示符的认证响应,装置与移动通信网络的认证失败,其中认证响应于网络功能不能够去隐藏隐藏标识符而被拒绝。
在各种实施例中,处理器响应于装置在发送第一认证消息之前与非3GPP接入网络建立连接而接收对用于装置的标识符的请求。在一些实施例中,移动通信网络包括具有对5G统一数据管理(“UDM”)服务器的接入的4G非3GPP接入网络,并且该装置是具有4G和5G能力。在某些实施例中,网络功能包括移动通信网络中的4G 3GPP AAA服务器。4G 3GPP AAA服务器检测来自装置的第一认证消息中发送的隐藏标识符。
根据本公开的实施例,本文公开了用于支持使用隐藏标识与移动核心网络的认证的第一方法。第一方法可以由诸如远程单元105、UE205和/或用户设备装置300的UE执行。第一方法包括向网络功能发送第一认证消息以经由非3GPP接入网络与移动通信网络认证。第一认证消息包括用于装置的隐藏标识符。在某些实施例中,第一方法响应于第一认证消息从网络功能接收第二认证消息。这里,第二认证消息包括基于隐藏标识符的认证响应。
在进一步的实施例中,第一方法响应于包括质询分组的认证响应完成与移动通信网络的认证并且响应于与移动通信网络的成功认证接收用于接入移动通信网络的配置信息。
在一个实施例中,用于在第一认证消息中发送到网络功能的装置的隐藏标识符包括订阅隐藏标识符。在某些实施例中,SUCI作为用于装置的网络接入标识符(“NAI”)的一部分被发送,该NAI具有SUCI@realm的格式。在一个实施例中,网络功能包括代理AAA服务器,该代理AAA服务器基于NAI的域将NAI转发到AAA服务器。
在一些实施例中,用于接入移动通信网络的配置信息包括用于接入移动通信网络的非3GPP接入点的网际协议(“IP”)接入配置信息。在一个实施例中,响应于接收到质询分组,第一方法在没有执行完全主网络接入层(“NAS”)认证的情况下执行与移动通信网络的接入认证。
在一个实施例中,响应于在包括第二认证消息中接收到的、认证拒绝指示符的认证响应,UE与移动通信网络的认证失败,其中认证响应于网络功能不能够去隐藏隐藏标识符而被拒绝。
在各种实施例中,第一方法响应于装置在发送第一认证消息之前与非3GPP接入网络建立连接而接收对用于装置的标识符的请求。在一些实施例中,移动通信网络包括具有对5G统一数据管理(“UDM”)服务器的接入的4G非3GPP接入网络,并且该装置是具有4G和5G能力。在某些实施例中,网络功能包括移动通信网络中的4G 3GPP AAA服务器。4G 3GPP AAA服务器检测来自装置的第一认证消息中发送的隐藏标识符。
根据本公开的实施例,本文公开了用于支持使用隐藏标识与移动核心网络的认证的第二装置。第二装置可以由诸如3GPP AAA服务器217和/或网络设备装置400的AAA服务器实现。第二装置包括网络接口,其与移动通信网络通信;和处理器,其与非3GPP接入网络中的第一接入点建立连接性。
在一个实施例中,处理器接收来自网络功能的第一认证消息以经由非3GPP接入网络与移动通信网络认证远程单元。这里,第一认证消息包括用于远程单元的标识符和认证类型。在某些实施例中,处理器检测到标识符是用于远程单元的隐藏标识符。这里,隐藏标识符指示远程单元是具有5G能力。
在一个实施例中,处理器创建包括隐藏标识符和认证方法的认证向量请求消息,其中该认证类型指定认证方法。在各种实施例中,处理器将认证向量请求消息发送到网络功能。这里,网络功能去隐藏隐藏标识符以检索用于远程单元的永久标识符。在一些实施例中,处理器从网络功能接收认证向量响应消息,该认证向量响应消息包括用于远程单元的永久标识符和认证向量。
在一个实施例中,处理器在作为第一认证消息的一部分接收到的网络接入标识符(“NAI”)的用户名部分而不是国际移动订户标识(“IMSI”)中检测隐藏标识符。在某些实施例中,隐藏标识符包括用于远程单元的订阅隐藏标识符(“SUCI”)。在各种实施例中,认证向量请求消息被发送到的网络功能包括归属订户服务器(“HSS”)。
在一个实施例中,将认证向量请求消息发送到的网络功能包括统一数据管理(“UDM”)服务器。在一些实施例中,处理器基于与隐藏标识符相关联的路由信息来选择UDM服务器。在各种实施例中,该装置通过基于服务的接口(“SBI”)被增强以表示认证服务器功能(“AUSF”)并且直接与UDM服务器通信。
在一个实施例中,认证向量请求消息包括响应于装置托管SBI以与UDM通信的Nudm_UEAuthentication_Get请求消息和响应于装置托管与UDM的AAA协议接口的认证和密钥协议(“AKA”)认证向量(“AV”)请求消息之一。
在某些实施例中,认证向量请求消息被发送到的网络功能包括认证服务器功能(“AUSF”)。在一个实施例中,认证向量请求消息包括下述中的一个:响应于装置托管与AUSF的基于服务的接口(“SBI”)的Nausf_UEAuthentication_Authenticate请求消息,所述装置充当接入和移动性管理功能(“AMF”),以及响应于装置托管与UDM的AAA协议接口的认证和密钥协议(“AKA”)认证向量(“AV”)请求消息,所述装置充当AAA服务器。在某些实施例中,接收到的认证向量响应消息中的永久标识符包括用于远程单元的订阅永久标识符(“SUPI”)。
根据本公开的实施例,本文公开了用于支持使用隐藏标识与移动核心网络认证的第二方法。第二方法可以由诸如3GPP AAA服务器217和/或网络设备装置400的AAA服务器执行。在一个实施例中,第二方法从网络功能接收第一认证消息以经由非3GPP接入网络与移动通信网络认证远程单元。这里,第一认证消息包括用于远程单元的标识符。在某些实施例中,第二方法检测到标识符是用于远程单元的隐藏标识符和认证类型。这里,隐藏标识符指示远程单元是具有5G能力。
在一个实施例中,第二方法创建包括隐藏标识符和认证方法的认证向量请求消息,其中该认证类型指定认证方法。在各种实施例中,第二方法将认证向量请求消息发送到网络功能。这里,网络功能去隐藏隐藏标识符以检索用于远程单元的永久标识符。在一些实施例中,第二方法从网络功能接收认证向量响应消息,该认证向量响应消息包括用于远程单元的永久标识符和认证向量。
在一个实施例中,第二方法在作为第一认证消息的一部分接收到的网络接入标识符(“NAI”)的用户名部分而不是国际移动订户标识(“IMSI”)中检测隐藏标识符。在某些实施例中,隐藏标识符包括用于远程单元的订阅隐藏标识符(“SUCI”)。在各种实施例中,认证向量请求消息被发送到的网络功能包括归属订户服务器(“HSS”)。
在一个实施例中,将认证向量请求消息发送到的网络功能包括统一数据管理(“UDM”)服务器。在一些实施例中,第二方法基于与隐藏标识符相关联的路由信息来选择UDM服务器。在各种实施例中,该装置通过基于服务的接口(“SBI”)被增强以表示认证服务器功能(“AUSF”)并且直接与UDM服务器通信。
在一个实施例中,认证向量请求消息包括响应于装置托管SBI以与UDM通信的Nudm_UEAuthentication_Get请求消息和响应于装置托管与UDM的AAA协议接口的认证和密钥协议(“AKA”)认证向量(“AV”)请求消息之一。
在某些实施例中,认证向量请求消息被发送到的网络功能包括认证服务器功能(“AUSF”)。在一个实施例中,认证向量请求消息包括下述中的一个:响应于装置托管与AUSF的基于服务的接口(“SBI”)的Nausf_UEAuthentication_Authenticate请求消息,所述装置充当接入和移动性管理功能(“AMF”),以及响应于装置托管与UDM的AAA协议接口的认证和密钥协议(“AKA”)认证向量(“AV”)请求消息,所述装置充当AAA服务器。在某些实施例中,接收到的认证向量响应消息中的永久标识符包括用于远程单元的订阅永久标识符(“SUPI”)。
根据本公开的实施例,本文公开了用于支持使用隐藏标识与移动核心网络认证的第三装置。第三装置可以由诸如HSS 219和/或网络设备装置400的HSS服务器实现。第三装置包括网络接口,该网络接口与移动通信网络通信;和处理器,该处理器从第一网络功能接收认证向量请求消息以经由非3GPP接入网络与移动通信网络认证远程单元。这里,认证向量请求消息包括用于远程单元的标识符和指定认证方法的认证类型。
在一个实施例中,处理器检测到标识符是用于远程单元的隐藏标识符。这里,隐藏标识符指示远程单元是具有5G能力。在进一步的实施例中,处理器基于隐藏标识符选择第二网络功能。这里,第二网络功能被配置成去隐藏隐藏标识符。
在一些实施例中,处理器向第二网络功能发送用于请求与隐藏标识符和认证类型相关联的认证向量的认证向量请求消息。在某些实施例中,处理器从第二网络功能接收认证向量响应消息。这里,认证向量响应消息包括用于远程单元的永久标识符和认证向量。
在一个实施例中,第一网络功能包括AAA服务器并且第二网络功能包括统一数据管理(“UDM”)服务器。在进一步的实施例中,处理器连接到UDM服务器,用于通过发送包括隐藏标识符的标识请求去隐藏隐藏标识符。在一个实施例中,处理器向UDM服务器发送认证和密钥协议(“AKA”)认证向量(“AV”)请求消息,用于去隐藏隐藏标识符。
在各种实施例中,处理器向UDM服务器发送标识请求消息,用于去隐藏隐藏标识符。在某些实施例中,认证向量请求消息中的隐藏标识符包括用于远程单元的订阅隐藏标识符(“SUCI”)。在一个实施例中,接收到的认证向量响应消息中的永久标识符包括用于远程单元的订阅永久标识符(“SUPI”)。
根据本公开的实施例,本文公开了用于支持使用隐藏标识与移动核心网络认证的第三方法。第三方法可以由诸如HSS 219和/或网络设备装置400的HSS服务器执行。在一个实施例中,第三方法从第一网络功能接收认证向量请求消息以经由非3GPP接入网络与移动通信网络认证远程单元。这里,认证向量请求消息包括用于远程单元的标识符和指定认证方法的认证类型。
在一个实施例中,第三方法检测到标识符是用于远程单元的隐藏标识符。这里,隐藏标识符指示远程单元是具有5G能力。在进一步的实施例中,第三方法基于隐藏标识符和认证类型来选择第二网络功能。这里,第二网络功能被配置成去隐藏隐藏标识符。
在一些实施例中,第三方法向第二网络功能发送认证向量请求消息,用于请求与隐藏标识符相关联的认证向量。在某些实施例中,第三方法从第二网络功能接收认证向量响应消息。这里,认证向量响应消息包括用于远程单元的永久标识符和认证向量。
在一个实施例中,第一网络功能包括AAA服务器并且第二网络功能包括统一数据管理(“UDM”)服务器。在进一步的实施例中,第三方法连接到UDM服务器,用于通过发送包括隐藏标识符的标识请求去隐藏隐藏标识符。在一个实施例中,第三方法向UDM服务器发送认证和密钥协议(“AKA”)认证向量(“AV”)请求消息,用于去隐藏隐藏标识符。
在各种实施例中,第三方法向UDM服务器发送标识请求消息,用于去隐藏隐藏标识符。在某些实施例中,认证向量请求消息中的隐藏标识符包括用于远程单元的订阅隐藏标识符(“SUCI”)。在一个实施例中,接收到的认证向量响应消息中的永久标识符包括用于远程单元的订阅永久标识符(“SUPI”)。
根据本公开的实施例,本文公开了用于支持使用隐藏标识与移动核心网络的认证的第四装置。第四装置可以由诸如UDM 221和/或网络设备装置400的UDM实现。第四装置包括网络接口,其与移动通信网络通信;和处理器,其从网络功能接收认证向量请求消息,以经由非3GPP接入网络与移动通信网络认证远程单元。这里,认证向量请求消息包括用于远程单元的标识符和认证类型。
在一个实施例中,处理器检测到标识符是用于远程单元的隐藏标识符。这里,隐藏标识符指示远程单元是具有5G能力。在各种实施例中,处理器去隐藏隐藏标识符以确定用于远程单元的永久标识符。在某些实施例中,处理器创建包括用于远程单元的去隐藏的永久标识符和认证方法的认证向量响应消息,其中该认证类型指定认证方法。在各种实施例中,处理器将认证向量响应消息发送到网络功能。
在一个实施例中,处理器在去隐藏隐藏标识符之前验证所接收到的认证向量请求消息。在某些实施例中,处理器查询订阅标识符去隐藏功能(“SIDF”)以去隐藏隐藏标识符。在一个实施例中,认证向量请求消息进一步包括认证方法。这里,处理器根据接收到的认证方法来生成认证向量响应消息。
在某些实施例中,网络功能包括用户服务器(“HSS”)并且处理器在响应于包括标识请求的认证向量请求消息在标识响应中向HSS发送去隐藏标识符。在一个实施例中,网络功能包括3GPP AAA服务器,并且处理器在认证向量响应消息中向3GPP AAA服务器发送去隐藏标识符。在进一步的实施例中,网络功能包括认证服务器功能(“AUSF”)并且处理器在认证向量响应消息中向AUSF发送去隐藏标识符。
在一个实施例中,在接收到的认证向量响应消息中的永久标识符包括用于远程单元的订阅永久标识符(“SUPI”)。在某些实施例中,处理器以国际移动订户标识(“IMSI”)格式格式化SUPI。在一个实施例中,处理器根据在接收到的认证向量请求消息中指定的认证方法来创建认证向量响应消息。
根据本公开的实施例,本文公开了用于支持使用隐藏标识与移动核心网络认证的第四方法。第四方法可以由诸如UDM 221和/或网络设备装置400的UDM执行。在一个实施例中,第四方法从网络功能接收认证向量请求消息,以经由非3GPP接入网络与移动通信网络认证远程单元。这里,该认证向量请求消息包括用于远程单元的标识符和认证类型。
在一个实施例中,第四方法检测到标识符是用于远程单元的隐藏标识符。这里,隐藏标识符指示远程单元是具有5G能力。在各种实施例中,第四方法去隐藏隐藏标识符以确定用于远程单元的永久标识符。在某些实施例中,第四方法创建包括用于远程单元的去隐藏的永久标识符和认证方法的认证向量响应消息,其中该认证类型指定认证方法。在各种实施例中,第四方法将认证向量响应消息发送到网络功能。
在一个实施例中,第四方法在去隐藏隐藏标识符之前验证所接收到的认证向量请求消息。在某些实施例中,第四方法查询订阅标识符去隐藏功能(“SIDF”)以去隐藏隐藏标识符。在一个实施例中,认证向量请求消息进一步包括认证方法。这里,第四方法根据接收到的认证方法生成认证向量响应消息。
在某些实施例中,网络功能包括用户服务器(“HSS”)并且处理器在响应于包括标识请求的认证向量请求消息在标识响应中向HSS发送去隐藏标识符。在一个实施例中,网络功能包括3GPP AAA服务器,并且第四方法在认证向量响应消息中向3GPP AAA服务器发送去隐藏标识符。在进一步的实施例中,网络功能包括认证服务器功能(“AUSF”)并且第四方法在认证向量响应消息中向AUSF发送去隐藏标识符。
在一个实施例中,在接收到的认证向量响应消息中的永久标识符包括用于远程单元的订阅永久标识符(“SUPI”)。在某些实施例中,第四方法以国际移动订户标识(“IMSI”)格式格式化SUPI。
根据本公开的实施例,本文公开了用于支持使用隐藏标识与移动核心网络认证的第五装置。第五装置可以由诸如AUSF 223和/或网络设备装置400的AUSF实现。第五装置包括网络接口,其与移动通信网络通信;和处理器,其从网络功能接收认证向量请求消息以经由非3GPP接入网络与移动通信网络认证远程单元。这里,该认证向量请求消息包括用于远程单元的标识符。
在一个实施例中,处理器检测到标识符是用于远程单元的隐藏标识符。这里,隐藏标识符指示远程单元是具有5G能力。在一些实施例中,处理器基于隐藏标识符的路由标识符来选择用于去隐藏隐藏标识符的网络功能。
在一个实施例中,处理器向网络功能发送认证向量请求消息。这里,网络功能去隐藏隐藏标识符以检索用于远程单元的永久标识符。在进一步的实施例中,处理器从网络功能接收认证向量响应消息。这里,认证向量响应消息包括用于远程单元的永久标识符和认证向量。
根据本公开的实施例,本文公开了用于支持使用隐藏标识与移动核心网络认证的第五方法。第五方法可以由诸如AUSF 223和/或网络设备装置400的AUSF执行。在一个实施例中,第五方法从网络功能接收认证向量请求消息以经由非3GPP接入网络与移动通信网络认证远程单元。这里,认证向量请求消息包括用于远程单元的标识符。
在一个实施例中,第五方法检测到标识符是用于远程单元的隐藏标识符。这里,隐藏标识符指示远程单元具有5G能力。在一些实施例中,第五方法基于隐藏标识符的路由标识符来选择用于去隐藏隐藏标识符的网络功能。
在一个实施例中,第五方法向网络功能发送认证向量请求消息。这里,网络功能去隐藏隐藏标识符以检索用于远程单元的永久标识符。在进一步的实施例中,第五方法从网络功能接收认证向量响应消息。这里,认证向量响应消息包括用于远程单元的永久标识符和认证向量。
实施例可以以其他特定形式被实践。所描述的实施例在所有方面仅被认为是说明性的而不是限制性的。因此,本发明的范围由所附权利要求而不是由前述说明书指示。在权利要求的含义和范围内的所有变化都应被涵盖在其范围内。
Claims (20)
1.一种装置,包括:
收发器,所述收发器使用非3GPP接入网络与移动通信网络通信;以及
处理器,所述处理器:
向网络功能发送第一认证消息以经由所述非3GPP接入网络与所述移动通信网络认证,所述第一认证消息包括用于所述装置的隐藏标识符;
响应于所述第一认证消息从所述网络功能接收第二认证消息,所述第二认证消息包括基于所述隐藏标识符的认证响应;
响应于包括质询分组的所述认证响应完成与所述移动通信网络的认证;以及
响应于与所述移动通信网络的成功认证,接收用于接入所述移动通信网络的配置信息。
2.根据权利要求1所述的装置,其中,在所述第一认证消息中发送到所述网络功能的用于所述装置的所述隐藏标识符包括订阅隐藏标识符(“SUCI”)。
3.根据权利要求2所述的装置,其中,所述SUCI作为用于所述装置的网络接入标识符(“NAI”)的一部分被发送,所述NAI具有SUCI@realm的格式。
4.根据权利要求1所述的装置,其中,用于接入所述移动通信网络的所述配置信息包括用于接入所述移动通信网络的非3GPP接入点的网际协议(“IP”)接入配置信息。
5.根据权利要求1所述的装置,其中,响应于接收到所述质询分组,所述处理器在没有执行完全主网络接入层(“NAS”)认证的情况下执行与所述移动通信网络的接入认证。
6.根据权利要求1所述的装置,其中,响应于在所述第二认证消息中接收到的、包括认证拒绝指示符的认证响应,所述装置与所述移动通信网络的认证失败,其中认证响应于所述网络功能不能够去隐藏所述隐藏标识符而被拒绝。
7.根据权利要求1所述的装置,其中,所述处理器响应于所述装置在发送所述第一认证消息之前与所述非3GPP接入网络建立连接而接收对用于所述装置的标识符的请求。
8.根据权利要求1所述的装置,其中,
所述移动通信网络包括具有对5G统一数据管理(“UDM”)服务器的接入的4G非3GPP接入网络,并且所述装置具有4G和5G能力;并且
所述网络功能包括所述移动通信网络中的4G 3GPP AAA服务器,所述4G 3GPP AAA服务器检测在来自所述装置的所述第一认证消息中发送的所述隐藏标识符。
9.一种装置,包括:
网络接口,所述网络接口与移动通信网络通信;以及
处理器,所述处理器:
从网络功能接收第一认证消息以经由非3GPP接入网络与所述移动通信网络认证远程单元,所述第一认证消息包括用于所述远程单元的标识符和认证类型;
检测所述标识符是用于所述远程单元的隐藏标识符,所述隐藏标识符指示所述远程单元具有5G能力;
创建包括所述隐藏标识符和认证方法的认证向量请求消息,其中所述认证类型指定所述认证方法;
将所述认证向量请求消息发送到所述网络功能,所述网络功能去隐藏所述隐藏标识符以检索用于所述远程单元的永久标识符;并且
从所述网络功能接收认证向量响应消息,所述认证向量响应消息包括用于所述远程单元的所述永久标识符和认证向量。
10.根据权利要求9所述的装置,其中,所述处理器在作为所述第一认证消息的一部分接收到的网络接入标识符(“NAI”)的用户名部分而不是国际移动订户标识(“IMSI”)中检测所述隐藏标识符。
11.根据权利要求10所述的装置,其中,所述隐藏标识符包括用于所述远程单元的订阅隐藏标识符(“SUCI”)。
12.根据权利要求9所述的装置,其中,所述认证向量请求消息被发送到的所述网络功能包括归属订户服务器(“HSS”)。
13.根据权利要求9所述的装置,其中,所述认证向量请求消息被发送到的所述网络功能包括统一数据管理(“UDM”)服务器。
14.根据权利要求13所述的装置,其中,所述处理器基于与所述隐藏标识符相关联的路由信息来选择所述UDM服务器。
15.根据权利要求13所述的装置,其中,所述装置通过基于服务的接口(“SBI”)被增强以表示认证服务器功能(“AUSF”)并且直接与所述UDM服务器通信。
16.根据权利要求15所述的装置,其中,所述认证向量请求消息包括下述之一:
响应于所述装置托管SBI以与所述UDM通信的Nudm_UEAuthentication_Get请求消息;以及
响应于所述装置托管与所述UDM的AAA协议接口的认证和密钥协议(“AKA”)认证向量(“AV”)请求消息。
17.根据权利要求9所述的装置,其中,所述认证向量请求消息被发送到的所述网络功能包括认证服务器功能(“AUSF”)。
18.根据权利要求17所述的装置,其中,所述认证向量请求消息包括下述之一:
响应于所述装置托管与所述AUSF的基于服务的接口(“SBI”)的Nausf_UEAuthentication_Authenticate请求消息,所述装置充当接入和移动性管理功能(“AMF”);以及
响应于所述装置托管与所述AUSF的AAA协议接口的认证和密钥协议(“AKA”)认证向量(“AV”)请求消息,所述装置充当AAA代理。
19.一种装置,包括:
网络接口,所述网络接口与移动通信网络通信;以及
处理器,所述处理器:
从第一网络功能接收认证向量请求消息以经由非3GPP接入网络与所述移动通信网络认证远程单元,所述认证向量请求消息包括用于所述远程单元的标识符和指定认证方法的认证类型;
检测所述标识符是用于所述远程单元的隐藏标识符,所述隐藏标识符指示所述远程单元具有5G能力;
基于所述隐藏标识符选择第二网络功能,所述第二网络功能被配置成去隐藏所述隐藏标识符;
向所述第二网络功能发送所述认证向量请求消息,用于请求与所述隐藏标识符和所述认证类型关联的认证向量;以及
从所述第二网络功能接收认证向量响应消息,所述认证向量响应消息包括用于所述远程单元的永久标识符和所述认证向量。
20.一种装置,包括:
网络接口,所述网络接口与移动通信网络通信;以及
处理器,所述处理器:
从网络功能接收认证向量请求消息以经由非3GPP接入网络与移动通信网络认证远程单元,所述认证向量请求消息包括用于所述远程单元的标识符和认证类型;
检测所述标识符是用于所述远程单元的隐藏标识符,所述隐藏标识符指示所述远程单元具有5G能力;
去隐藏所述隐藏标识符以确定用于所述远程单元的永久标识符;
创建包括用于所述远程单元的去隐藏的永久标识符和认证方法的认证向量响应消息,所述认证类型指定所述认证方法;以及
向所述网络功能发送所述认证向量响应消息。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2020/067372 WO2021259452A1 (en) | 2020-06-22 | 2020-06-22 | Mobile network authentication using a concealed identity |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115943652A true CN115943652A (zh) | 2023-04-07 |
Family
ID=71138740
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080102260.3A Pending CN115943652A (zh) | 2020-06-22 | 2020-06-22 | 使用隐藏标识的移动网络认证 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20230262463A1 (zh) |
EP (1) | EP4169279A1 (zh) |
CN (1) | CN115943652A (zh) |
WO (1) | WO2021259452A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11956629B2 (en) * | 2020-10-06 | 2024-04-09 | Lynk Global, Inc. | Method and system for providing authentication of a wireless device and cell broadcast service between wireless mobile devices and a satellite network |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10833876B2 (en) * | 2016-10-28 | 2020-11-10 | Apple Inc. | Protection of the UE identity during 802.1x carrier hotspot and Wi-Fi calling authentication |
US20210306849A1 (en) * | 2018-08-09 | 2021-09-30 | Nokia Technologies Oy | Method and apparatus for security realization of connections over heterogeneous access networks |
-
2020
- 2020-06-22 CN CN202080102260.3A patent/CN115943652A/zh active Pending
- 2020-06-22 US US18/012,360 patent/US20230262463A1/en active Pending
- 2020-06-22 EP EP20734509.1A patent/EP4169279A1/en active Pending
- 2020-06-22 WO PCT/EP2020/067372 patent/WO2021259452A1/en unknown
Also Published As
Publication number | Publication date |
---|---|
US20230262463A1 (en) | 2023-08-17 |
EP4169279A1 (en) | 2023-04-26 |
WO2021259452A1 (en) | 2021-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230262593A1 (en) | Access network selection for a ue not supporting nas over non-3gpp access | |
EP4128858B1 (en) | Relocating an access gateway | |
US20230247423A1 (en) | Supporting remote unit reauthentication | |
US20220346051A1 (en) | Registering with a mobile network through another mobile network | |
US20230262455A1 (en) | Determining an authentication type | |
US20230179999A1 (en) | Gateway function reauthentication | |
US20220116769A1 (en) | Notification in eap procedure | |
US20230262463A1 (en) | Mobile network authentication using a concealed identity | |
US20230224704A1 (en) | Using a pseudonym for access authentication over non-3gpp access | |
US20240031969A1 (en) | Control-plane and user-plane trusted non-3gpp gateway function | |
US20230188988A1 (en) | Gateway function reauthentication | |
US20230156650A1 (en) | Relocating an access gateway | |
EP4104549A1 (en) | Determining an access network radio access type | |
US20230231720A1 (en) | Supporting remote unit reauthentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |