CN116195362A - 通信网络中的认证 - Google Patents
通信网络中的认证 Download PDFInfo
- Publication number
- CN116195362A CN116195362A CN202180056023.2A CN202180056023A CN116195362A CN 116195362 A CN116195362 A CN 116195362A CN 202180056023 A CN202180056023 A CN 202180056023A CN 116195362 A CN116195362 A CN 116195362A
- Authority
- CN
- China
- Prior art keywords
- node
- ims
- indication
- authentication
- security key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种由第一IP多媒体系统IMS节点执行的用于处理用户设备UE在通信网络中的认证的方法。所述方法包括从第二IMS节点接收用于检索认证向量的请求。所述请求包括从订阅永久标识符生成的私有标识符。所述方法还包括发送用于检索指示的请求,其中所述请求包括订阅永久标识符;接收所述指示;以及使用所接收的指示来生成所述认证向量。另外,所述方法包括向所述第二IMS节点发送所生成的认证向量以用于认证所述UE。
Description
技术领域
本文实施例涉及第一I MS节点、第一核心节点、第二核心节点、第三核心节点、用户设备(UE)、以及在其中执行的用于通信的方法。此外,本文还提供了计算机程序和计算机可读存储介质。特定地,本文实施例涉及在通信网络内处理UE的认证。
背景技术
在典型的通信网络中,无线装置(也称为无线通信装置、移动站、站(STA)和/或UE)经由无线电接入网络(RAN)向一个或多个核心网络(CN)通信。RAN覆盖被划分为服务区域或小区区域的地理区域,其中每个服务区域或小区区域由无线电网络节点(诸如无线电接入节点,例如Wi-Fi点或无线电基站(RBS))所服务,所述无线电接入节点在一些网络中也可以被表示为例如NodeB、eNodeB、或gNodeB。服务区域或小区区域是由无线电网络节点提供无线电覆盖的地理区域。无线电网络节点通过在射频上操作的空中接口与无线电网络节点的范围内的无线装置进行通信。
通用移动电信系统(UMTS)是从第二代(2G)全球移动通信系统(GSM)演进而来的第三代(3G)电信网络。UMTS陆地无线电接入网络(UTRAN)实质上是将宽带码分多址(WCDMA)和/或高速分组接入(HSPA)用于用户设备的RAN。在称为第三代合作伙伴计划(3GPP)的论坛中,电信供应商提出并同意第三代网络的标准,并研究增强的数据速率和无线电容量。在一些RAN中(例如如在UMTS中),几个无线电网络节点可以例如通过陆线或微波而被连接到控制器节点(诸如无线电网络控制器(RNC)或基站控制器(BSC)),其监督并协调连接到其上的多个无线电网络节点的各种活动。这种类型的连接有时被称为回程连接。RNC和BSC通常被连接到一个或多个核心网络。
用于演进分组系统(EPS)的规范已经在3GPP内完成,并且这项工作在即将到来的3GPP版本中继续。EPS包括演进通用陆地无线电接入网络(E-UTRAN)(也称为长期演进(LTE)无线电接入网络)和演进分组核心(EPC)(也称为系统架构演进(SAE)核心网络)。E-UTRAN/LTE是3GPP无线电接入技术的变体,其中无线电网络节点直接连接到EPC核心网络而不是RNC。一般而言,在E-UTRAN/LTE中,RNC的功能在无线电网络节点(例如LTE中的eNodeB)和核心网络之间分布。这样,EPS的RAN具有包括可以直接连接到一个或多个核心网络的无线电网络节点的基本上“平的(f l at))”架构,即,它们不需要经由RNC连接到核心。
在诸如新空口(NR)等的新兴5G技术的情况下,使用大量的传送天线元件和接收天线元件是非常令人感兴趣的,因为它使得利用波束成形(诸如传送侧波束成形和接收侧波束成形)成为可能。传送侧波束成形意味着传送器可以在一个或多个所选方向上放大所传送信号,同时在其它方向上抑制所传送信号。类似地,在接收侧,接收器可以放大来自一个或多个所选方向的接收信号,同时抑制来自其它方向的、不想要的接收信号。
在3GPP中讨论了5G核心(5GC)中的初级认证过程,例如技术规范(TS)33.501。在图1中描绘了初级认证过程的概述,并示出了以下步骤。
步骤S1.UE向5GC发起非接入层(NAS)信令过程。在初始注册的情况下,NAS信令包括采用订阅隐藏标识符(SUC I)形式的UE i d,或者在后续请求的情况下,NAS信令包括包括全球唯一临时用户标识(GUT I)。
步骤S2.AMF发起初级认证过程,其包括接入和移动性管理功能(AMF)使用Nausf_UEAUthent i cate_Request联系认证服务器功能(AUSF)。
步骤S3.AUSF联系统一数据管理(UDM)以请求UE的认证信息。
步骤S4和S5.如果需要的话,UDM解隐藏SUC I,并基于订阅信息来选择适用于UE的认证方法,例如5G认证和密钥协议(AKA)、可扩展认证协议(EAP)-AKA或其它EAP过程,并且如果需要的话,相应地向AUSF提供相关参数。例如,对于AKA,UDM生成AKA认证向量。
步骤S6和S7.AUSF执行与UE的初级认证过程,例如,如图1所示的基于AKA的认证过程。结果,UE和AMF就安全密钥达成一致,所述安全密钥用于导出用于NAS和接入层(AS)保护的其它安全密钥。
此外,初级认证过程得到在UE和AUSF之间共享的安全密钥,例如Kausf。在由UDM所调用的后续过程中使用Kausf。该密钥在UE和AUSF中的存储是有条件的:对于在需要它的归属公共陆地移动网络(HPLMN)处支持的相关过程,需要这样的密钥。目前,Kausf被用在漫游和UE参数更新过程的操纵的上下文中。
步骤S8和S9.AUSF向UDM通知初级认证过程的结果。这可以被UDM用来改进认证结果的归属网络控制,以例如将用于后续UE过程的授权的UE的认证状态与UDM绑定。
3GPP TS 23.501版本16定义了用于在5GC中使能对非公共网络的支持的架构和解决方案。非公共网络(NPN)是为非公共用途所部署的5G系统(5GS)。NPN可以被部署为独立非公共网络(SNPN),即由NPN运营商运营,并且不依赖于由公共陆地移动网络(PLMN)提供的网络功能。
在3GPP TR 23.700-07版本17的上下文中,3GPP正在研究使能由PLMN向SNPN提供的服务和能力的可能性。特别地,基于互联网协议(I P)多媒体子系统(I MS)的语音/视频/消息传递能力成为焦点。
图2中示出的一种可能性提议将在SNPN的5GC中用于UE认证的UE证书重新用于PLMN处的I MS级别认证。也就是说,在SNPN UE配备有包括AKA证书的UMTS订户标识模块(USI M)的情况下,归属订户服务器(HSS)-I MS可以通过NU1参考点向UDM/认证证书储存库和处理功能(ARPF)请求AKA AV。在这种情况下,UDM/ARPF充当认证中心(AuC),并向HSS-I MS提供I MS AKA AV。
然而,在SNPN部署中,预期UE将不使用基于使用I MS I和AKA机制的认证机制,主要是因为UE甚至可能不能够容纳通用集成电路卡(U I CC)。标识和认证管理可能基于备选的标识符和证书,例如,采用网络接入标识符(NAI)格式的SUPI和使用EAP-传输层安全性(TLS)的基于证书的认证。
因此,在SNPN使用的UE中对3GPP TS 33.203中定义的I MS安全解决方案(即I MS-AKA)的支持可能也不适当。如此,应该使用用于实能对SNPN UE的I MS服务的备选认证机制。
I MS中的另一认证机制是基于HTTP摘要认证的会话发起协议(SI P)摘要认证,其使用用户名和密码作为证书。3GPP TS 33.203中也定义了SI P摘要认证。在图3中描绘了SIP摘要认证的过程。
3GPP Re l-16引入了被称为针对应用的认证和密钥管理(AKMA)的新特征以支持5G中基于3GPP证书的针对应用和3GPP服务的认证和密钥管理方面,包括3GPP TS 33.535中描述的I oT用例。
AKA证书可被利用于UE和应用功能(AF)之间的自举安全性,这允许UE与应用服务器安全地交换数据,如由图4中的一系列步骤S1A-S7A所示。AKMA重新使用在UE注册期间执行的5G初级认证过程的结果以认证UE。这被称为隐式自举。在这个过程中,AUSF生成AKMA密钥材料,例如,如图4中步骤S1A中所示的Kakma。Kakma由Kausf生成。AKMA密钥标识符(A-KID)也在此时生成。UE也可以在此时生成Kakma和A-KI D,但是UE通常将在需要发起AKMA过程时生成Kakma和A-KI D,如步骤S3A中所示。AKMA锚功能(AAnF)是由AKMA引入的新的逻辑实体,即,用于在UE和AF之间所使用的密钥材料生成的HPLMN中的锚功能。在初级认证之后,在步骤S2A,AUSF将生成的AKMA密钥材料推送到AAnF,AAnF维持将用于后续AKMA过程的UEAKMA上下文。注意,如步骤S2A中所示的将AKMA材料推送到AAnF的AUSF最近已经在3GPP中在Er i csson Tdoc S3-201050中得到同意,并且因此还没有被包括在3GPP TS
33.535中。然后,UE向AF发起包括A-KI D的应用请求,步骤S3A。在发起应用请求之前,UE还从Kakma生成AF特定密钥,例如Kaf。AF然后联系AAnF以获取Kaf,步骤S4A。AF使用A-KI D来指代UE。在AF属于外部网络的情况下,AF经由网络暴露功能(NEF)(未描绘)来联系AAnF。AAnF导出A-KI D指代的UE的对应Kaf,并将其提供给AF,步骤S5A和S6A-6。最后,在步骤S7A中,UE和AF可以基于生成的公共Kaf密钥来参与安全应用通信。
现有解决方案的问题在于,对于没有US I M的SNPN UE,不可能将SNPN证书重新用于I MS-AKA。另一个问题在于,使用S I P摘要的I MS认证要求SNPN UE被配置有PLMN证书,即用于PLMN的I MS域处的S I P摘要认证的用户名和密码。因此,将期望用于使能对SNPNUE的I MS服务的认证解决方案,其避免对SNPN UE的配置。
发明内容
本文实施例的目的是提供用于以高效方式来改善通信网络的性能的机制。
根据本文实施例的一方面,该目的可以通过一种由第一I MS节点(例如HSS)执行的用于处理UE在通信网络中的认证的方法来实现。第一I MS节点从第二I MS节点(例如,S-CSCF)接收用于检索认证向量的请求,其中该请求包括从订阅永久标识符生成的私有标识符。第一I MS节点还发送用于检索指示的请求。该请求包括从私有标识符生成的订阅永久标识符。第一I MS节点然后还接收该指示。第一I MS节点还使用所接收的指示来生成认证向量。I MS节点还向第二I MS节点发送所生成的认证向量,以用于认证UE。
根据本文实施例的另一方面,该目的可以通过一种由第一核心节点(例如,UDM)执行的用于处理UE在通信网络中的认证的方法来实现。第一核心节点从第一I MS节点接收用于检索指示的请求,其中该请求包括从私有标识符生成的订阅永久标识符。第一核心节点还选择第二核心节点,该第二核心节点存储UE在接入网络中的最新认证的第一安全密钥结果。第一核心节点然后向所选择的第二核心节点发送指示请求。第一核心节点还接收来自第二核心节点的指示。该指示基于存储在第二核心节点中的第一安全密钥。第一核心节点然后将所接收的指示提供给第一I MS节点。
根据本文实施例的另一方面,该目的可以通过一种由第二核心节点(例如,AUSF)执行的用于处理UE在通信网络中的认证的方法来实现。第二核心节点存储从UE在接入网络中的初级认证生成的第一安全密钥。第二核心节点还接收来自第一核心节点的指示请求。第二核心节点还基于UE在接入网络中的最新认证的第一安全密钥结果来生成指示。第二核心节点然后向第一核心节点发送所生成的指示。
根据本文实施例的另一方面,该目的可以通过一种由第三核心节点(例如,AAnF)执行的用于处理UE在通信网络中的认证的方法来实现。第三核心节点接收来自第一I MS节点的指示请求。第三核心节点还基于AKMA过程来生成指示。第三核心节点然后向第一I MS节点发送所生成的指示。
根据本文实施例的另一方面,该目的可以通过一种由UE执行的用于处理UE在通信网络中的认证的方法来实现。UE通过执行初级认证过程向接入网络注册。UE还存储从UE在接入网络中的初级认证生成的第一安全密钥。UE还从基于AKMA过程的第一安全密钥导出第二安全密钥。然后,UE基于存储的第一安全密钥或第二安全密钥生成密码,该密码将用于向I MS认证UE。UE还基于在对接入网络的初级认证期间生成的密码向第二I MS节点发送消息,以用于向I MS注册UE。该消息包括私有标识符和公共标识符。
根据本文实施例的另一方面,该目的通过提供一种用于处理UE在通信网络中的认证的第一I MS节点(例如HSS)来实现。第一I MS节点配置成从第二I MS节点接收用于检索认证向量的请求,其中该请求适于包括从订阅永久标识符生成的私有标识符。第一I MS节点还被配置成发送用于检索指示的请求,其中该请求适于包括从私有标识符生成的订阅永久标识符。第一I MS节点还被配置成接收该指示,并使用所接收的指示来生成认证向量。第一I MS节点还被配置成向第二I MS节点发送所生成的认证向量,以用于认证UE。
根据本文实施例的另一方面,该目的通过提供一种用于处理UE在通信网络中的认证的第一核心节点(例如,UDM)来实现。第一核心节点被配置成从第一I MS节点接收用于检索指示的请求,其中该请求适于包括从私有标识符生成的订阅永久标识符。第一核心节点还被配置成选择第二核心节点,该第二核心节点存储UE在接入网络中的最新认证的第一安全密钥结果。另外,第一核心节点被配置成向所选择的第二核心节点发送指示请求,并接收来自第二核心节点的指示,其中该指示适于基于存储在第二核心节点中的第一安全密钥。第一核心节点还被配置成将所接收的指示提供给第一I MS节点。
根据本文实施例的另一方面,该目的通过提供一种用于处理UE在通信网络中的认证的第二核心节点(例如,AUSF)来实现。第二核心节点被配置成存储从UE在接入网络中的初级认证生成的第一安全密钥。第二核心节点还被配置成接收来自第一核心节点的指示请求。第二核心节点还被配置成基于UE在接入网络中的最新认证的第一安全密钥结果来生成指示。第二核心节点还被配置成向第一核心节点发送所生成的指示。
根据本文实施例的另一方面,该目的通过提供一种用于处理UE在通信网络中的认证的第三核心节点(例如,AAnF)来实现。第三核心节点被配置成接收来自第一I MS节点的指示请求。第三核心节点还被配置成基于AKMA过程来生成指示。第三核心节点还被配置成向第一I MS节点发送所生成的指示。
根据本文实施例的另一方面,该目的通过提供一种用于处理UE在通信网络中的认证的UE来实现。UE被配置成通过执行初级认证过程向接入网络注册。UE还被配置成存储从UE在接入网络中的初级认证生成的第一安全密钥。另外,UE被配置成从基于AKMA过程的第一安全密钥导出第二安全密钥。UE还被配置成基于存储的第一安全密钥或第二安全密钥生成密码,该密码将用于向I MS认证UE。另外,UE被配置成基于在对接入网络的初级认证期间生成的密码向第二I MS节点发送消息,以用于向I MS注册UE。发送到第二I MS节点的消息包括私有标识符和公共标识符。
本文此外提供了一种包括指令的计算机程序,所述指令当在至少一个处理器上执行时,使所述至少一个处理器实行如分别由所述第一I MS节点、第一核心节点、第二核心节点、第三核心节点和UE执行的、根据以上方法中任一项。本文另外提供了一种在其上存储有计算机程序的计算机可读存储介质,所述计算机程序包括指令,所述指令当在至少一个处理器上执行时,使所述至少一个处理器实行如分别由所述第一I MS节点、第一核心节点、第二核心节点、第三核心节点和UE执行的、根据以上方法中任一项。
当在I MS域中认证UE时,可以基于第一安全密钥和/或基于AKMA过程来生成密码。在UE的初级认证期间生成的证书可以被重新使用,并且避免了UE的配置,这为UE提供了5GC中的准确认证机制,所述UE是例如不能容纳诸如订户标识模块(S I M)卡的通用集成电路卡(U I CC)的UE,或者不能使用基于I MS I-AKA的安全机制的UE。换句话说,所提供的认证机制使能用于UE接入I MS域的简单而又得到保护的认证机制,这进而以高效的方式提高了通信网络(例如,典型的通信网络)的性能。
根据一个方面,描述了一种由第一I P多媒体系统I MS节点执行的用于处理用户设备UE(10)在通信网络中的认证的方法。所述方法包括从第二I MS节点接收用于检索认证向量的请求。用于检索所述认证的所述请求包括从订阅永久标识符生成的私有标识符。所述方法还包括发送用于检索指示的请求,所述请求包括所述订阅永久标识符;接收所述指示;以及使用所接收的指示来生成所述认证向量。另外,所述方法包括向所述第二I MS节点发送所生成的认证向量以用于认证所述UE。
在一些实施例中,用于检索所述指示的所述请求被发送到第一核心节点,所述第一核心节点是统一数据管理UDM节点。
在一些其它实施例中,用于检索所述指示的所述请求被发送到第三核心节点,所述第三核心节点是用于应用的认证和密钥管理AKMA锚功能AAnF节点。
在一个实施例中,所述指示是密码和第二安全密钥之一,其中所述第二安全密钥是Kaf安全密钥。
在另一实施例中,所述认证向量是会话互联网协议摘要认证向量SD-AV。
在一些实施例中,所述私有标识符是互联网协议多媒体子系统I MS私有用户标识I MPI。
在一些其它实施例中,所述第一I MS节点是归属订户服务器HSS,并且所述第二IMS节点是服务呼叫会话控制功能S-CSCF节点。
根据另一方面,描述了一种由第一核心节点执行的用于处理用户设备UE在通信网络中的认证的方法。所述方法包括从第一I P多媒体系统I MS节点接收用于检索指示的请求,其中所述请求包括从私有标识符生成的订阅永久标识符。所述方法还包括选择存储所述UE在接入网络中的最新认证的第一安全密钥结果的第二核心节点;向所选择的第二核心节点发送指示请求;以及从所述第二核心节点接收所述指示,所述指示基于存储在所述第二核心节点中的第一安全密钥。另外,所述方法还包括向所述第一I MS节点提供所接收的指示。
在一些实施例中,所述指示是密码。
在一些其它实施例中,所述密码是会话互联网协议密码SI P摘要密码。
在一个实施例中,所述第一安全密钥是Kausf安全密钥。
在另一实施例中,所述第一核心节点是统一数据管理UDM节点,所述第二核心节点是认证服务器功能AUSF节点,并且所述第一I MS节点是归属订户服务器HSS。
根据一个方面,描述了一种由第二核心节点执行的用于处理用户设备UE在通信网络中的认证的方法。所述方法包括从第一核心节点接收指示请求;基于所述UE在接入网络中的最新认证的第一安全密钥结果来生成指示;以及向所述第一核心节点发送所生成的指示。
在一些实施例中,所述方法还包括存储从所述UE在接入网络中的初级认证生成的第一安全密钥。
在一些其它实施例中,所述第一安全密钥是Kausf安全密钥。
在一个实施例中,所述指示是密码。
在另一实施例中,所述密码是会话互联网协议密码SI P摘要密码。
在一些实施例中,所述第一核心节点是统一数据管理UDM节点,并且所述第二核心节点是认证服务器功能AUSF节点。
根据另一方面,描述了一种由第三核心节点执行的用于处理用户设备UE在通信网络中的认证的方法。所述方法包括从第一I MS节点接收指示请求;基于认证过程来生成所述指示;以及向所述第一I MS节点发送所生成的指示。
在一些实施例中,所述指示是第二安全密钥。
在一些其它实施例中,所述第二安全密钥是Kaf安全密钥。
在一个实施例中,所述认证过程是用于应用的认证和密钥协议AKMA过程。
在另一实施例中,所述第三核心节点是用于应用的认证和密钥管理AKMA锚功能AAnF节点,并且所述第一I MS节点是归属订户服务器HSS。
根据一个方面,描述了一种由用户设备UE执行的用于处理所述UE在通信网络中的认证的方法。所述方法包括基于存储的第一安全密钥和导出的第二安全密钥中的任一个来生成密码。所述密码用于向网络节点认证所述UE。所述方法还包括基于所生成的密码向第二I MS节点发送消息,以用于向所述网络节点注册所述UE。所述消息包括私有标识符和公共标识符。
在一些实施例中,所述方法还包括通过执行初级认证过程而向接入网络注册,其中所述接入网络是所述通信网络的一部分;以及存储从所述UE在所述接入网络中的所述初级认证生成的所述第一安全密钥。
在一些其它实施例中,所述第一安全密钥是Kausf安全密钥。
在一个实施例中,所述方法还包括从基于认证过程的所述第一安全密钥导出所述第二安全密钥。
在另一实施例中,所述第二安全密钥是Kaf安全密钥。
在一些实施例中,所述认证过程是用于应用的认证和密钥协议AKMA过程。
在一些其它实施例中,所述网络节点是I P多媒体系统I MS节点,并且所述第二IMS节点是服务呼叫会话控制功能S-CSCF。
在一个实施例中,所述密码是会话互联网协议密码S I P摘要密码。
在另一实施例中,所述私有标识符是互联网协议多媒体子系统I MS私有用户标识I MP I,所述公共标识符是I MS公共用户标识I MPU。所述I MP I和所述I MPU基于订阅永久标识符SUP I来生成。
根据另一方面,描述了一种用于处理用户设备UE在通信网络中的认证的第一I P多媒体系统I MS节点。所述第一I MS节点被配置成从第二I MS节点接收用于检索认证向量的请求,其中用于检索所述认证的所述请求包括从订阅永久标识符生成的私有标识符;以及发送用于检索指示的请求。用于检索所述指示的所述请求包括所述订阅永久标识符。所述第一I MS节点还被配置成接收所述指示;使用所接收的指示来生成所述认证向量;以及向所述第二I MS节点发送所生成的认证向量以用于认证所述UE。
在一些实施例中,用于检索所述指示的所述请求被发送到第一核心节点。所述第一核心节点是统一数据管理UDM节点。
在一些其它实施例中,用于检索所述指示的所述请求被发送到第三核心节点,并且所述第三核心节点是用于应用的认证和密钥管理AKMA锚功能AAnF节点。
在一个实施例中,所述指示是密码和第二安全密钥之一,所述第二安全密钥是Kaf安全密钥。
在另一实施例中,所述认证向量是会话互联网协议摘要认证向量SD-AV。
在一些实施例中,所述私有标识符是互联网协议多媒体子系统I MS私有用户标识I MP I。
在一些其它实施例中,所述第一I MS节点是归属订户服务器HSS,并且所述第二IMS节点是服务呼叫会话控制功能S-CSCF节点。
根据一个方面,描述了一种用于处理用户设备UE在通信网络中的认证的第一核心节点。所述第一核心节点被配置成包括从第一I P多媒体系统I MS节点接收用于检索指示的请求。所述请求包括从私有标识符生成的订阅永久标识符。所述第一核心节点还被配置成选择存储所述UE在接入网络中的最新认证的第一安全密钥结果的第二核心节点;向所选择的第二核心节点发送指示请求。另外,所述第一核心节点被配置成从所述第二核心节点接收所述指示,其中所述指示基于存储在所述第二核心节点中的第一安全密钥;以及向所述第一I MS节点提供所接收的指示。
在一些实施例中,所述指示是密码。
在一些其它实施例中,所述密码是会话互联网协议密码SI P摘要密码。
在一个实施例中,所述第一安全密钥是Kausf安全密钥。
在另一实施例中,所述第一核心节点是统一数据管理UDM节点,所述第二核心节点是认证服务器功能AUSF节点,并且所述第一I MS节点是归属订户服务器HSS。
根据另一方面,描述了一种用于处理用户设备UE在通信网络中的认证的第二核心节点。所述第二核心节点被配置成从第一核心节点接收指示请求;基于所述UE在接入网络中的最新认证的第一安全密钥结果来生成指示;以及向所述第一核心节点发送所生成的指示。
在一些实施例中,所述第二核心节点还被配置成存储从所述UE在接入网络中的初级认证生成的第一安全密钥。
在一些其它实施例中,所述第一安全密钥是Kausf安全密钥。
在一个实施例中,所述指示是密码。
在另一实施例中,所述密码是会话互联网协议密码SI P摘要密码。
在一些实施例中,所述第一核心节点是统一数据管理UDM节点,并且所述第二核心节点是认证服务器功能AUSF节点。
根据另一方面,描述了一种用于处理用户设备UE在通信网络中的认证的第三核心节点。所述第三核心节点被配置成从第一I MS节点接收指示请求;基于认证过程来生成所述指示;以及向所述第一I MS节点发送所生成的指示。
在一些实施例中,所述指示是第二安全密钥。
在一些其它实施例中,所述第二安全密钥是Kaf安全密钥。
在一个实施例中,所述认证过程是用于应用的认证和密钥协议AKMA过程。
在另一实施例中,所述第三核心节点是用于应用的认证和密钥管理AKMA锚功能AAnF节点,并且所述第一I MS节点是归属订户服务器HSS。
根据一个方面,描述了一种用于处理用户设备UE在通信网络中的认证的UE。所述UE被配置成基于存储的第一安全密钥和导出的第二安全密钥中的任一个来生成密码。所述密码用于向网络节点认证所述UE。所述UE还被配置成基于所生成的密码向第二I MS节点发送消息,以用于向所述网络节点注册所述UE。所述消息包括私有标识符和公共标识符。
在一些实施例中,所述UE还被配置成通过执行初级认证过程而向接入网络注册,其中所述接入网络是所述通信网络的一部分;以及存储从所述UE在所述接入网络中的所述初级认证生成的所述第一安全密钥。
在一些其它实施例中,所述第一安全密钥是Kausf安全密钥。
在一个实施例中,所述UE还被配置成从基于认证过程的所述第一安全密钥导出所述第二安全密钥。
在另一实施例中,所述第二安全密钥是Kaf安全密钥。
在一些实施例中,所述认证过程是用于应用的认证和密钥协议AKMA过程。
在一些其它实施例中,所述网络节点是I P多媒体系统I MS节点,并且所述第二IMS节点是服务呼叫会话控制功能S-CSCF。
在一个实施例中,所述密码是会话互联网协议密码SI P摘要密码。
在另一实施例中,所述私有标识符是互联网协议多媒体子系统I MS私有用户标识I MPI,所述公共标识符是I MS公共用户标识I MPU,所述I MPI和所述I MPU基于订阅永久标识符SUPI来生成。
根据一个方面,描述了一种计算机程序产品。所述计算机程序产品包括指令,所述指令当在至少一个处理器上执行时,使所述至少一个处理器实行如分别由所述第一I MS节点、第一核心节点、第二核心节点、第三核心节点和UE执行的、根据实施例中任一项所述的方法。
根据另一方面,描述了一种计算机可读存储介质。所述计算机可读存储介质在其上存储有计算机程序产品,所述计算机程序产品包括指令,所述指令当在至少一个处理器上执行时,使所述至少一个处理器实行如分别由所述第一I MS节点、第一核心节点、第二核心节点、第三核心节点和UE执行的、根据实施例中任一项所述的方法。
贯穿本说明书,第一、第二和第三核心节点可替换地被称为第一、第二和第三核心节点,以指示所述节点可以在诸如5GC之类的核心网络中实现。
附图说明
现在将关于附图更详细地描述实施例,在附图中:
图1是初级认证过程的示意概述;
图2是将在SNPN的5GC中用于UE认证的UE证书重新用于PLMN处的I MS级别认证的示例的示意概述;
图3是I MS中的认证机制的示意概述;
图4是I MS中的另一认证机制的示意概述;
图5是示出根据本公开原理的通信网络的实施例的示意框图;
图6是根据本公开原理的组合信令方案和流程图;
图7是描绘根据本公开原理的第一I MS节点中的方法的实施例的流程图;
图8是描绘根据本公开原理的第一接入网络节点中的方法的实施例的流程图;
图9是描绘根据本公开原理的第二接入网络节点中的方法的实施例的流程图;
图10是描绘根据本公开原理的第三接入网络节点中的方法的实施例的流程图;
图11是描绘根据本公开原理的UE中的方法的实施例的流程图;
图12是描绘根据本公开原理的用于使能对I MS域的接入的过程的参考架构的示意概述;
图13是根据本公开原理的组合信令方案和流程图;
图14是示出根据本公开原理的使用AKMA经由SNPN来接入I MS服务的示意概述;
图15是根据本公开原理的另一组合信令方案和流程图;
图16是示出根据本公开原理的第一I MS节点的实施例的示意框图;
图17是示出根据本公开原理的第一接入网络节点的实施例的示意框图;
图18是示出根据本公开原理的第二接入网络节点的实施例的示意框图;
图19是示出根据本公开原理的第三接入网络节点的实施例的示意框图;
图20是示出UE的实施例的示意框图;
图21示意性地示出根据本公开原理的经由中间网络连接到主机计算机的电信网络;
图22是根据本公开原理的经由无线电网络节点(例如,基站)通过部分无线连接与用户设备通信的主机计算机的一般化框图;以及
图23至图26是示出根据本公开原理的在包括主机计算机、无线电网络节点(例如基站)和用户设备的通信系统中实现的示例方法的流程图。
具体实施方式
本文实施例大体上涉及通信网络。图5是描绘通信网络1的示意概述。通信网络1包括连接到一个或多个CN 28的一个或多个接入网络26,例如RAN。通信网络1可以使用多种不同技术,诸如Wi-Fi、长期演进(LTE)、LTE-高级、5G、宽带码分多址(WCDMA)、全球移动通信系统/增强数据速率GSM演进(GSM/EDGE)、全球微波接入互操作性(Wi Max)、或超移动宽带(UMB),这里仅是提及几种可能的实现。本文实施例涉及在5G上下文中尤其感兴趣的最新技术趋势,然而,实施例也适用于对现有通信系统(诸如例如3G和LTE)的进一步开发。
在通信网络1中,UE(例如UE 10,诸如移动站、非接入点(非AP)STA、STA、无线装置和/或无线终端)经由一个或多个RAN连接到一个或多个CN 28(例如包括CN节点,诸如CN 28的第一核心节点11、第二核心节点12和第三核心节点13)。第一核心节点11可以是统一数据管理(UDM)节点。UDM节点支持认证证书储存库和处理功能(ARPF),并存储在AKA的认证中使用的长期安全证书。此外,第一核心节点11(例如UDM节点)存储订阅信息。第二核心节点12可以是认证服务器功能(AUSF)节点。第二核心节点12(例如,AUSF节点)执行与UE的认证,并做出关于UE认证的决定。第三核心节点13可以是AKMA锚功能(AAnF)。第三核心节点13(例如AAnF)可以是HPLMN中的锚功能,其生成要在UE和AF之间使用的密钥材料,并维持要用于后续自举请求的UE AKMA上下文。本领域技术人员应该理解,“UE”是非限制性术语,其意味着任何终端、无线装置(WD)、无线通信终端、用户设备、机器类型通信(MTC)装置、可操作物联网的装置、装置到装置(D2D)终端、移动装置(例如智能电话、膝上型计算机、移动电话、传感器、中继、移动平板计算机或在小区或服务区域内通信的任何装置)。
通信网络1包括无线电网络节点21,其提供地理区域上的无线电覆盖(覆盖区域22,例如第一无线电接入技术(RAT)(诸如新空口(NR)、LTE、UMTS、Wi-Fi等)的无线电覆盖区域)。无线电网络节点21可以是无线电核心节点(诸如无线电网络控制器)或接入点(诸如无线局域网(WLAN)接入点或接入点站(AP STA))、接入控制器、基站(例如无线电基站、诸如NodeB、演进节点B(eNB,eNodeB)、gNodeB、基站收发信台、接入点基站、基站路由器、无线电基站的传输布置)、独立接入点、或能够取决于例如所使用的第一无线电接入技术和术语而服务由第一无线电网络节点21所服务的服务区域内的UE的任何其它网络单元。
通信网络1提供I MS服务(诸如LTE上话音(VoLTE)等),并且包括I MS30的第一IMS节点15和第二I MS节点16。第一I MS节点15可以是归属订户服务器(HSS)。第二I MS节点16可以是呼叫会话控制功能(CSCF)节点,诸如服务CSCF(S-CSCF)节点。I MS 30(例如I MS网络)可以包括呼叫会话控制功能(CSCF)节点和归属订户服务器(HSS)。呼叫会话控制功能例如促进会话互联网协议(SI P)设立和拆卸(teardown),并且HSS除了充当认证、授权、计费(AAA)服务器之外,还扮演I MS中的位置服务器的角色。CSCF可以包括多个分布式功能,例如代理CSCF节点(P-CSCF)、询问CSCF(I-CSCF)节点、和服务CSCF(S-CSCF)节点。P-CSCF充当I MS网络中的入口点。HSS是当前一代蜂窝通信系统的主数据库。它包含与订户相关的信息,诸如认证信息和每个用户订阅的服务列表。
本文实施例使能使用SI P摘要方法在PLMN的I MS域中执行UE的认证,该SI P摘要方法使用UE在SNPN的5GC中的初级认证期间生成的证书,而不需要向UE提供额外证书等。
在SNPN的5GC中的初级认证过程期间使用的SUPI被用于在PLMN的I MS域处执行SIP摘要认证。在SNPN的5GC中的初级认证过程期间生成的第一安全密钥(例如,Kausf)被用于生成用于SI P摘要认证的密码输入。
通过本文实施例可以实现的优点在于,提供了一种机制来支持针对不能容纳通用集成电路卡(UI CC)(例如订户标识模块(S I M)卡)或者不能使用基于I MSI-AKA的安全机制的装置的在5GC中的认证机制。以这种方式支持认证机制使能用于UE接入I MS域的简单而又得到保护的认证机制。
值得注意的是,与使用静态密码相比,根据本文实施例的从Kausf生成摘要密码的过程增加了SI P摘要过程的安全性,因为Kausf在每次初级认证时都被刷新。
图6是根据本文一些实施例的组合流程图和信令方案。
步骤S600。
UE 10首先在初级认证过程期间向接入网络26(例如5G)注册,该认证过程在上文在图1中被进一步详细描述。该注册对应于步骤S1101。第二核心节点12(例如AUSF)存储第一安全密钥,该第一安全密钥在初级认证过程期间生成。第一安全密钥可以是Kausf。这对应于步骤S901。
步骤S600a。
在从第一安全密钥生成密码(例如,S I P摘要密码)的情况下,UE 10存储第一安全密钥,该第一安全密钥在初级认证过程期间生成。这对应于步骤S1102。
步骤S600b。
在经由AKMA生成密码的情况下,UE 10基于AKMA过程从第一安全密钥(例如,Kausf)导出第二安全密钥(例如,Kaf)。这对应于步骤S1103。
步骤S601。
UE 10基于所存储的第一安全密钥或第二安全密钥生成密码,该密码将用于向IMS认证UE。这对应于步骤S1104。
步骤S602。
UE 10通过向第二I MS节点16(例如,S-CSCF)发送消息来发起I MS注册,以用于基于在向接入网络26的初级认证期间生成的密码而向I MS注册UE 10。该消息包括私有标识符和公共标识符I MPU。私有标识符可以是I MP I,并且公共标识符可以是I MPU。这对应于步骤S1105。I MP I和/或I MPU基于由UE 10在初级认证过程期间使用的订阅永久标识符(SUP I)而生成。
步骤S603。
当从UE 10接收到I MS注册消息时,第二I MS节点16想要使用认证向量以用于认证UE 10。认证向量可以是S I P摘要认证向量(SD-AV)。因此,第二I MS节点16向第一I MS节点15(例如HSS)发送用于检索认证向量的请求。该请求包括从订阅永久标识符生成的私有标识符。
下面的步骤S604a、S605a和S606a涉及从第一安全密钥生成密码的情况。
步骤S604a。
当第一I MS节点15从第二I MS节点16接收到用于检索认证向量的请求时,第一IMS节点15想要基于在UE 10的初级认证期间生成的第一安全密钥来生成认证向量。因此,第一I MS节点15将向第一核心节点11(例如UDM)发送请求,以从第二核心节点12检索指示。该指示可以是密码,例如S I P摘要密码。这对应于步骤S701和S702。
步骤S605a。
第一核心节点11从第一I MS节点15接收用于检索指示的请求。该指示可以是密码,例如S I P摘要密码。该请求包括从私有标识符生成的订阅永久标识符。这对应于步骤S801。第一核心节点11然后选择第二核心节点,该第二核心节点存储UE 10在接入网络中的最新认证的第一安全密钥结果。这对应于步骤S802。第一核心节点11然后向所选择的第二核心节点12发送请求以生成指示。这对应于步骤S803。第二核心节点12接收来自第一核心节点的指示请求。这对应于步骤902。第二核心节点12然后基于UE 10在接入网络26中的最新认证的第一安全密钥结果来生成指示。这对应于步骤S903。第二核心节点12然后向第一核心节点11发送所生成的指示。这对应于步骤S904。
步骤S606a。
第一核心节点11从第二核心节点12接收指示,其中该指示基于存储在第二核心节点12中的第一安全密钥。这对应于步骤S804。第一核心节点11向第一I MS节点15提供由第二核心节点12生成的所接收的指示,例如S I P摘要密码。这对应于步骤S805。
下面的步骤S604b、S605b和S606b涉及经由AKMA生成密码的情况。
步骤S604b。
当第一I MS节点15从第二I MS节点16接收到用于检索认证向量的请求时,第一IMS节点15想要基于第二安全密钥来生成认证向量,该第二安全密钥可以是从SNPN的5GC的AKMA基础设施检索到的Kaf。为此,第一I MS节点15表现为AKMA架构中的应用功能(AF),并向第三核心节点13(例如AAnF)发送用于检索该指示的请求。在这种情况下,该指示可以是第二安全密钥。这对应于步骤S701和S702。
步骤S605b。
第三核心节点13从第一I MS节点15接收指示请求。这对应于步骤S1001。第三核心节点13然后基于AKMA过程来生成指示。该指示可以是第二安全密钥,诸如Kaf。这对应于步骤S1002。
步骤S606b。
第三核心节点13然后向第一I MS节点15发送所生成的指示,例如第二安全密钥。这对应于步骤S1003。
步骤S607。
第一I MS节点15从第一核心节点11或第三核心节点13接收指示。这对应于步骤S703。第一I MS节点15然后使用所接收的指示来生成认证向量。这对应于步骤S704。
第一I MS节点15向第二I MS节点16发送所生成的认证向量,以用于认证UE 10。这对应于步骤S705。
以上图6中的步骤使能用于不支持基于AKA的标识符和证书的UE(例如,SNPN UE)接入I MS域的简单认证机制。
在一些实施例中,UE 10在I MS注册期间向I MS(例如,S-CSCF)节点提供I MS私有标识符(I MP I)。I MP I可以由UE 10从永久标识符(SUP I)导出。I MS(例如,S-CSCF)节点可以使用朝向HSS节点的I MP I以用于认证和I MS注册。HSS使用诸如SUP I的永久标识符,以用于HSS和UDM节点之间的进一步交互。关于步骤S601,HSS节点可以从I MS(例如,S-CSCF)节点接收I MP I,其中I MP I可以从永久标识符导出,并且由UE 10提供给I MS(例如,S-CSCF)。关于步骤602,HSS节点可以向UDM节点发送请求,其中该请求包括基于步骤S601的所接收的I MP I而生成的永久标识符(SUP I)。
现在将参考图7中描绘的流程图来描述由第一I MS节点15执行的用于处理UE 10在通信网络中的认证的方法的示例实施例。以下描述的步骤不一定按下述顺序执行,并且可以按任何合适的顺序执行。
步骤S701。第一I MS节点15(例如HSS)首先从第二I MS节点16接收用于检索认证向量的请求,其中该请求包括从订阅永久标识符生成的私有标识符
步骤S702。第一I MS节点发送用于检索指示的请求,其中该请求包括从私有标识符生成的订阅永久标识符。在一些实施例中,用于检索指示的请求可以被发送到第一核心节点11。在一些实施例中,用于检索指示的请求可以被发送到第三核心节点13。
步骤S703。第一I MS节点15然后接收指示。该指示可以从第一核心节点11和/或第三核心节点13接收。在一些实施例中,该指示可以是密码和/或第二安全密钥。
步骤S704。第一I MS节点15然后使用所接收的指示来生成认证向量。认证向量可以是SI P摘要认证向量(SD-AV)。
步骤S705。第一I MS节点15向第二I MS节点16发送所生成的认证向量,以用于认证UE 10。
更具体地,本文描述的一个或多个框(以上称为步骤)可以由I MS节点15的一个或多个元件来执行,诸如由处理电路1501(包括接收单元1502、发送单元1503和/或生成单元1504)、存储器1507和/或通信接口1510中的一个或多个来执行。第一I MS节点15诸如经由处理电路1501和/或通信接口1510而被配置成从第二I MS节点(16)接收(框S701)用于检索认证向量的请求,其中用于检索认证的请求包括从订阅永久标识符生成的私有标识符,并且发送(框S702)用于检索指示的请求。用于检索指示的请求包括订阅永久标识符。第一IMS节点15诸如经由处理电路1501和/或通信接口1510而还被配置成接收(框S703)指示,使用所接收的指示来生成(框S704)认证向量,并将所生成的认证向量发送(框S705)到第二IMS节点(16)以用于认证UE。
在一些实施例中,用于检索指示的请求被发送到第一核心节点11,其中第一核心节点11是统一数据管理UDM节点。
在一些其它实施例中,用于检索指示的请求被发送到第三核心节点13,并且第三核心节点13是用于应用的认证和密钥管理AKMA锚功能AAnF节点。
在一个实施例中,该指示是密码和第二安全密钥之一,第二安全密钥是Kaf安全密钥。
在另一个实施例中,认证向量是会话互联网协议摘要认证向量SD-AV。
在一些实施例中,私有标识符是互联网协议多媒体子系统I MS私有用户标识IMPI。
在一些其它实施例中,第一I MS节点15是归属订户服务器HSS,并且第二I MS节点是服务呼叫会话控制功能S-CSCF节点。
现在将参考图8中描绘的流程图来描述由第一核心节点11执行的用于处理UE 10在通信网络中的认证的方法的示例实施例。步骤不一定按照下述顺序来执行,并且可以按照任何合适的顺序来执行。
步骤S801。第一核心节点11(例如UDM)从第一I P多媒体系统I MS节点15接收用于检索指示的请求,其中该请求包括从私有标识符生成的订阅永久标识符。
步骤S802。第一核心节点11选择第二核心节点12,所述第二核心节点12存储UE在接入网络中的最新认证的第一安全密钥结果。
步骤S803。第一核心节点11向所选择的第二核心节点12发送指示请求。
步骤S804。第一核心节点11从第二核心节点12接收指示,其中该指示基于存储在第二核心节点12中的第一安全密钥。在一些实施例中,该指示可以是密码。
步骤S805。第一核心节点11向第一I MS节点15提供所接收的指示。
更具体地,本文描述的一个或多个框(以上称为步骤)可以由第一核心节点11的一个或多个元件来执行,诸如由处理电路1601(包括接收单元1602、选择单元1603、发送单元1604和提供单元1605)、存储器1607和/或通信接口1610中的一个或多个来执行。第一核心节点11诸如经由处理电路1601和/或通信接口1610被配置成从第一I P多媒体系统I MS节点15接收(框S801)用于检索指示的请求,其中该请求包括从私有标识符生成的订阅永久标识符,选择(框S802)存储UE在接入网络中的最新认证的第一安全密钥结果的第二核心节点12,并且向所选择的第二核心节点12发送(框S803)指示请求。第一核心节点11诸如经由处理电路1601和/或通信接口1610而还被配置成从第二核心节点12接收(框S804)指示,其中该指示基于存储在第二核心节点12中的第一安全密钥,并且将所接收的指示提供(框S805)给第一I MS节点15。
在一些实施例中,该指示是密码。
在一些其它实施例中,密码是会话互联网协议密码SI P摘要密码。
在一个实施例中,第一安全密钥是Kausf安全密钥。
在另一实施例中,第一核心节点11是统一数据管理UDM节点,第二核心节点12是认证服务器功能AUSF节点,并且第一I MS节点15是归属订户服务器HSS。
现在将参考图9中描绘的流程图来描述由第二核心节点12执行的用于处理UE 10在通信网络中的认证的方法的示例实施例。步骤不一定按照下述顺序来执行,并且可以按照任何合适的顺序来执行。在一些实施例中可以执行的可选步骤用虚线框标记。
步骤S901。在一些实施例中,第二核心节点12(例如,AUSF)可以存储从UE在接入网络中的初级认证生成的第一安全密钥。
步骤S902。第二核心节点12接收来自第一核心节点11的指示请求。
步骤S903。第二核心节点12然后基于UE在接入网络中的最新认证的第一安全密钥结果来生成指示。在一些实施例中,该指示可以是密码。
步骤S904。第二核心节点12然后向第一核心节点11发送所生成的指示。
更具体地,本文描述的一个或多个框(以上称为步骤)可以由第二核心节点12的一个或多个元件来执行,诸如由处理电路1701(包括接收单元1702、生成单元1703、发送单元1704和/或存储单元1705)、存储器1707和/或通信接口1710中的一个或多个来执行。第二核心节点12诸如经由处理电路1701和/或通信接口1710而被配置成从第一核心节点11接收(框S902)指示请求,基于UE在接入网络中的最新认证的第一安全密钥结果来生成(框S903)指示,并将所生成的指示发送(框S904)给第一核心节点11。
在一些实施例中,第二核心节点12诸如经由处理电路1701和/或通信接口1710而还被配置成存储(框S901)从UE在接入网络中的初级认证生成的第一安全密钥。
在一些其它实施例中,第一安全密钥是Kausf安全密钥。
在一个实施例中,该指示是密码。
在另一个实施例中,密码是会话互联网协议密码S I P摘要密码。
在一些实施例中,第一核心节点11是统一数据管理UDM节点,并且第二核心节点12是认证服务器功能AUSF节点。
现在将参考图10中描绘的流程图来描述由第三核心节点13执行的用于处理UE 10在通信网络中的认证的方法的示例实施例。步骤不一定按照下述顺序来执行,并且可以按照任何合适的顺序来执行。
步骤S1001。第三核心节点13(例如AAnF)首先从第一I MS节点15(例如HSS节点)接收指示请求,第一I MS节点15可以使用永久标识符(诸如SUP I)。
步骤S1002。第三核心节点13然后基于AKMA过程来生成指示。在一些实施例中,该指示可以是第二安全密钥。
步骤S1003。第三核心节点13向第一I MS节点15发送所生成的指示。
更具体地,本文描述的一个或多个框(以上称为步骤)可以由第三核心节点13的一个或多个元件来执行,诸如由处理电路1801(包括接收单元1802、生成单元1803和/或发送单元1804)、存储器1807和/或通信接口1810中的一个或多个来执行。第三核心节点13诸如经由处理电路1801和/或通信接口1810而被配置成从第一I MS节点15接收(框S1001)指示请求,基于认证过程来生成(框S1002)指示,并且向第一I MS节点15发送(框S1003)所生成的指示。
在一些实施例中,该指示是第二安全密钥。
在一些其它实施例中,第二安全密钥是Kaf安全密钥。
在一个实施例中,认证过程是用于应用的认证和密钥协议AKMA过程。
在另一实施例中,第三核心节点13是用于应用的认证和密钥管理AKMA锚功能AAnF节点,并且第一I MS节点15是归属订户服务器HSS。
现在将参考图11中描绘的流程图来描述由UE 10执行的用于处理UE 10在通信网络中的认证的方法的示例实施例。步骤不一定按照下述顺序来执行,并且可以按照任何合适的顺序来执行。在一些实施例中可以执行的可选步骤用虚线框标记。
步骤S1101。根据一些实施例,UE 10可以首先通过执行初级认证过程来注册到接入网络26。
步骤S1102。根据一些实施例,UE 10然后可以存储从UE 10在接入网络26中的初级认证生成的第一安全密钥。
步骤S1103。根据一些实施例,UE 10然后可以基于AKMA过程从第一安全密钥导出第二安全密钥。
步骤S1104。UE 10然后基于所存储的第一安全密钥或第二安全密钥来生成密码,该密码将用于向I MS认证UE。
步骤S1105。UE 10基于在对接入网络的初级认证期间生成的密码向第二I MS节点(例如,S-CSCF)发送消息,以用于向I MS注册UE 10。该消息包括私有标识符和公共标识符。
更具体地,本文描述的一个或多个框(以上称为步骤)可以由UE 10的一个或多个元件来执行,诸如由处理电路1901(包括注册单元1902、存储单元1903、导出单元1904、生成单元1904和/或发送单元1906)、存储器1907和/或通信接口1910中的一个或多个来执行。UE10诸如经由处理电路1901和/或通信接口1910而被配置成基于所存储的第一安全密钥和所导出的第二安全密钥中的任一个来生成(框S1104)密码,该密码用于向网络节点认证UE10,并且向第二I MS节点发送(框S1105)消息,以用于基于所生成的密码向网络节点注册UE10。该消息包括私有标识符和公共标识符。
在一些实施例中,UE 10诸如经由处理电路1901和/或通信接口1910而还被配置成通过执行初级认证过程来注册(框S1101)到接入网络,其中接入网络是通信网络的一部分,并且存储(框S1102)从UE 10在接入网络中的初级认证生成的第一安全密钥。
在一些其它实施例中,第一安全密钥是Kausf安全密钥。
在一个实施例中,UE 10诸如经由处理电路1901和/或通信接口1910而被配置成从基于认证过程的第一安全密钥导出(框S1003)第二安全密钥。
在另一个实施例中,第二安全密钥是Kaf安全密钥。
在一些实施例中,认证过程是用于应用的认证和密钥协议AKMA过程。
在一些其它实施例中,网络节点是I P多媒体系统I MS节点,并且第二I MS节点是服务呼叫会话控制功能S-CSCF。
在一个实施例中,密码是会话互联网协议密码S I P摘要密码。
在另一个实施例中,私有标识符是互联网协议多媒体子系统I MS私有用户标识IMP I,并且公共标识符是I MS公共用户标识I MPU,I MP I和I MPU基于订阅永久标识符SUPI来生成。
如上所述,现在将进一步描述和例示本文实施例中的一些。下文适用于上述任何合适的(一个或多个)实施例并可与上述任何合适的(一个或多个)实施例相结合。
描述了一种机制,其用于当使用5GC接入时支持对不支持基于AKA的标识符和证书的UE(例如,SNPN UE)接入I MS域的认证。所提出的机制基于使用具有密码的S I P摘要,所述密码基于在UE在SNPN的5GC中的初级认证期间生成的Kausf。
图12示出基于Kausf经由独立非公共网络(SNPN)对I MS服务的接入。更具体地,图12描绘了用于使能不支持基于AKA的标识符和证书的UE 10接入I MS域的示例过程的参考架构,例如,当使用5GC接入时。
第一I MS节点15在本文被例示为HSS-I MS节点。
第一核心节点11在本文被例示为UDM节点。
第二核心节点12在本文被例示为AUSF节点。
第三核心节点13在本文被例示为AAnF节点。
第二I MS节点16在本文被例示为I MS核心节点或S-CSCF节点。
策略控制功能(PCF)节点34可以指使用I P过程在I P媒体层中实现策略的逻辑策略决策元件。接入和移动性管理功能(AMF)36可以发起初级认证过程。服务媒体/管理功能(SMF)节点38可以支持分组数据单元会话。使用平面功能性(UPF)40,其可以路由/转发分组并执行分组检查。代理呼叫会话控制功能(P-CSCF)42可以充当I MS网络的入口点。
图12中的主要原理在于:
-UE 10(例如SNPN UE)基于由UE 10(例如SNPN UE)使用的SUP I来生成采用NAI格式的I MP I–I MS私有用户标识以及I MPU–I MS公共用户标识,以接入SNPN 5GC。这种基于SUP I的I MP I/I MPU对在I MS注册(包括紧急注册)期间使用。对于呼叫会话建立,禁止基于SUP I的I MPU。
-为了使用S I P摘要认证来执行I MS级别认证,UE 10(例如,SNPN UE)使用从SNPN SUP I生成的I MP I作为用户名。此外,UE从在UE 10在SNPN的5GC中的初级认证期间生成的Kausf来生成S I P密码。
Kausf不直接用作S I P摘要的密码,因为Kausf也用在其它过程的上下文中,所以密钥分离的原则适用。UE 10如何从Kausf生成S I P摘要密码的细节没有在本说明书中涵盖,但是假设这可以使用密钥导出函数(KDF)(类似于由UE 10用于生成SoR-MAC-I UE的密钥导出函数(KDF),如3GPP TS 33.501中所定义的)来完成。
-在I MS核心网络侧,S-CSCF通过将由UE 10提供的密码与从HSS接收的密码进行比较来运行S I P摘要认证,如3GPP TS 33.203中定义的当前S I P摘要过程中所定义的。根据本文实施例,该解决方案提出HSS通过NU1参考点经由SNPN的5GC中的UDM从AUSF获取SI P摘要密码。
本文实施例示出了用于基于Kausf生成S I P摘要的密码的两种不同的机制:
如图13中所示,从Kausf生成S I P摘要密码;以及
如图15中所示,经由AKMA生成S I P摘要。
图13描绘了根据本文一些实施例的使用基于安全密钥(例如,Kausf)生成的S I P摘要密码进行I MS认证的流程,并且包括以下动作。
-第一I MS节点15在本文被例示为HSS-I MS节点。
-第一核心节点11在本文被例示为UDM节点。
-第二核心节点12在本文被例示为AUSF节点。
-第二I MS节点16在本文被例示为I MS核心节点或S-CSCF节点。
步骤S1301。UE 10在5GC中进行认证和注册。由UE 10所使用的SUP I和证书可能不基于I MS I/AKA。作为SNPN的5GC中的UE认证的一部分,UE 10和AUSF(例如第二核心节点12)存储Kausf,例如第一安全密钥。
步骤S1302。UE针对DNN I MS建立PDU会话,并发起I MS注册。由UE 10用来在I MS中进行注册的I MP I和/或I MPU基于UE用来在5GC中进行注册的SUP I。注意,SUP I可能包含用作I MP I的NAI。
步骤S1303。在接收到S I P REG I STER时,S-CSCF(例如第二I MS节点16)使用SI P摘要认证向量(SD-AV)以用于认证用户。S-CSCF向HSS(例如,第一I MS节点15)发送对(一个或多个)SD-AV的请求。
步骤S1304。在接收到来自S-CSCF的请求时,HSS基于在在UE 10在SNPN的5GC中的初级认证期间生成的Kausf来生成认证向量,例如SD-AV。为此,HSS向UDM(例如,第一核心节点11)发送请求,以从AUSF(例如,第二核心节点12)检索密码。该请求可以通过针对S I P摘要认证的附加指示基于现有的Nudm_UEAuthent i cate_Get服务操作来实现。该请求包括从I MP I生成的SUP I。
步骤S1305。UDM选择存储UE 10的最新Kausf的AUSF,并向AUSF发送请求以生成密码,例如S I P摘要密码。新的通用包括基于S I P摘要作为Kausf的密码的指示的Nausf_Password_Get服务操作可以在其它上下文中使用。特定的Nausf_S I PDi gestPWD_Get服务操作也是可行的。AUSF生成用于UE的S I P摘要认证的密码,并将其发送到UDM。
步骤S1306。UDM向HSS提供由AUSF生成的S I P摘要的密码。
步骤S1307。HSS使用从SNPN的5GC接收的密码来生成SD-AV。SD-AV是如3GPP TS33.203中所规定那样生成的。
步骤1308。S-CSCF执行与UE 10的S I P摘要认证,并完成如当前指定的I MS注册。
由于用于生成SD-AV的密码可以基于Kausf,并且在UE在SNPN的5GC中的每次初级认证时都刷新Kausf,因此在本文一些实施例中提出的S I P摘要机制提供了甚至比使用存储在HSS中的静态密码的传统S I P摘要方法更好的安全性。
图14示出使用AKMA经由SNPN对I MS服务的接入。更具体地,图14描绘了用于使能不支持基于AKA的标识符和证书的UE接入I MS域的示例过程的参考架构,例如,当使用5GC接入时。
第一I MS节点15在本文被例示为HSS-I MS节点。
第一核心节点11在本文被例示为UDM节点。
第二核心节点12在本文被例示为AUSF节点。
第三核心节点13在本文被例示为AAnF节点。
第二I MS节点16在本文被例示为I MS核心节点。
第二核心节点12(例如,AUSF)也是相关的,因为从PLMN的I MS到SNPN的5GC中的AUSF的互工作是代替地使用AKMA架构(即,经由AAnF)实现的。图14中的主要原理是PLMN中的HSS充当AKMA架构中的AF。在这种情况下,认为HSS充当SNPN的可信AF,即不需要使用NEF。然后,HSS基于从AKMA架构接收的Kaf生成用于S I P摘要的密码。
图15描绘了根据本文一些实施例的使用基于AKMA密钥材料的S I P摘要密码进行I MS认证的流程,并且包括以下动作。
第一I MS节点15在本文被例示为HSS-I MS节点。
第二核心节点12在本文被例示为AUSF节点。
第三核心节点13在本文被例示为AAnF节点。
第二I MS节点16在本文被例示为I MS核心节点。
步骤S1501。UE在5GC中进行认证和注册。由UE 10所使用的SUP I和证书不基于IMS I/AKA。作为SNPN的5GC中的UE认证的一部分,UE 10和AUSF(例如第二核心节点12)存储Kausf。此外,UE 10和AUSF生成AKMA密钥材料(即,Kakma和A-KI D),并且AUSF将该材料发送给AAnF。
步骤S1502。UE 10针对DNN I MS建立PDU会话,并发起I MS注册。由UE10用来在IMS中进行注册的I MP I和/或I MPU基于用来在5GC中进行注册的UE SUP I。注意,SUP I可能包含用作I MP I的NAI。
根据一些实施例,S I P注册可以对应于图4的步骤S3A中的应用会话建立请求。一个关键区别在于,在该实施例中,UE 10不需要在请求中包括-KI D,因为UE 10已经通过IMP I/I MPU而被充分标识。
步骤S1503。在接收到S I P REG I STER时,S-CSCF使用认证向量(例如S I P摘要认证向量(SD-AV))以用于认证用户。S-CSCF向HSS发送对(一个或多个)SD-AV的请求。
步骤S1504。当接收到来自S-CSCF的请求时,HSS基于从SNPN的5GC的AKMA基础设施检索到的第二安全密钥(例如,Kaf)来生成SD-AV。为此,HSS充当在AKMA架构中的AF,并向AAnF发送请求以检索Kaf。该请求使用Naanf_AKMA_AFKey服务操作来实现,例如,如3GPP TS33.535中所定义的,除了SUPI用于指代UE而不是A-KI D(例如,SUPI从I MPI生成)。
步骤S1505。AAnF为使用基线AKMA过程的HSS生成Kaf。
步骤S1506。AAnF向使用基线AKMA过程的HSS提供Kaf。
步骤S1507。HSS使用所接收的Kaf来生成SI P摘要密码。然后,如3GPP TS 33.203中所规定的,在SD-AV的生成中使用该密码。
步骤S1508-1509。HSS向S-CSCF提供SD-AV,所述S-CSCF执行与UE的SI P摘要认证,并完成如当前所指定的I MS注册。
第二安全密钥(例如Kaf)最初也是从安全密钥(例如Kausf)导出的,因此在某种程度上,该实施例也使用Kausf作为生成用于SI P摘要认证的密码的基础。
这可以更好地重新使用现有基线过程和接口。更新Naanf_AKMA_AFKey服务操作以使用SUPI而不是A-KI D作为UE的参考。另一方面,这意味着在PLMN的I MS处的HSS和SNPN的5GC处的AAnF之间的附加集成点。
图16是描绘根据本文实施例的用于处理UE 10在通信网络中的认证的第一I MS节点15的框图。
第一I MS节点15可以包括处理电路1501(例如一个或多个处理器),其被配置成执行本文的方法。
第一I MS节点15可以包括接收单元1502。第一I MS节点15、处理电路1501和/或接收单元1502被配置成从第二I MS节点16接收用于检索认证向量的请求,其中该请求适于包括从订阅永久标识符生成的私有标识符。
第一I MS节点15、处理电路1501和/或接收单元1502被配置成接收指示。该指示可以是密码或第二安全密钥。
第一I MS节点15可以包括发送单元1503。第一I MS节点15、处理电路1501和/或发送单元1503被配置成发送用于检索指示的请求,其中该请求适于包括从私有标识符生成的订阅永久标识符。用于检索指示的请求可以适于被发送到第一核心节点11。用于检索指示的请求可以适于被发送到第三核心节点13。
第一I MS节点15、处理电路1501和/或发送单元1503被配置成向第二I MS节点16发送所生成的认证向量,以用于认证UE 10。
第一I MS节点15可以包括生成单元1504。第一I MS节点15、处理电路1501和/或生成单元1504被配置成使用所接收的指示来生成认证向量。
第一I MS节点15还包括存储器1507。存储器1507包括用于存储数据和应用程序等的一个或多个单元,所述数据关于诸如指示信息、私有标识符、公共标识符、认证向量、第一安全密钥、第二安全密钥、输入/输出数据、元数据等,所述应用程序用于在被执行时执行本文公开的方法。第一I MS节点15还可以包括通信接口1510,其包括例如一个或多个天线或天线元件。通信接口1510可以被配置用于至少设立和维持与任何其它节点、UE或任何其它装置的无线/无线连接。
根据本文描述的实施例的用于第一I MS节点15的方法分别借助于例如包括指令(即软件代码部分)的计算机程序或计算机程序产品1508来实现,所述指令当在至少一个处理器上执行时促使至少一个处理器实行如由第一I MS节点15所执行的本文所描述的动作。计算机程序产品1508可被存储在计算机可读存储介质1509(例如盘、通用串行总线(USB)棒或类似物)上。计算机可读存储介质1509(在其上存储有计算机程序产品)可以包括指令,所述指令当在至少一个处理器上执行时促使至少一个处理器实行如由第一I MS节点15所执行的本文所描述的动作。在一些实施例中,计算机可读存储介质可以是暂态或非暂态计算机可读存储介质。
图17是描绘根据本文实施例的用于处理UE 10在通信网络中的认证的第一核心节点11的框图。
第一核心节点11可以包括处理电路1601(例如一个或多个处理器),其被配置成执行本文的方法。
第一核心节点11可以包括接收单元1602。第一核心节点11、处理电路1601和/或接收单元1602被配置成从第一I MS节点15接收用于检索指示的请求,其中该请求适于包括从私有标识符生成的订阅永久标识符。该指示可以是密码。
第一核心节点11、处理电路1601和/或接收单元1602被配置成从第二核心节点12接收指示,其中该指示适于基于存储在第二核心节点12中的第一安全密钥。
第一核心节点11可以包括选择单元1603。第一核心节点11、处理电路1601和/或选择单元1603被配置成选择第二核心节点12,该第二核心节点12存储UE 10在接入网络中的最新认证的第一安全密钥结果。
第一核心节点11可以包括发送单元1604。第一核心节点11、处理电路1601和/或发送单元1604被配置成向所选择的第二核心节点12发送指示请求。
第一核心节点11可以包括提供单元1605。第一核心节点11、处理电路1601和/或提供单元1605被配置成向第一I MS节点15提供所接收的指示。
第一核心节点11还包括存储器1607。存储器1607包括用于存储数据和应用程序等的一个或多个单元,所述数据关于诸如指示信息、私有标识符、公共标识符、认证向量、第一安全密钥、第二安全密钥、输入/输出数据、元数据等,所述应用程序用于在被执行时执行本文公开的方法。第一核心节点11还可以包括通信接口1610,其包括例如一个或多个天线或天线元件。通信接口1610可以被配置用于至少设立和维持与任何其它节点、UE或任何其它装置的无线/无线连接。
根据本文描述的实施例的用于第一核心节点11的方法分别借助于例如包括指令(即软件代码部分)的计算机程序或计算机程序产品1608来实现,所述指令当在至少一个处理器上执行时促使至少一个处理器实行如由第一核心节点11所执行的本文所描述的动作。计算机程序产品1608可被存储在计算机可读存储介质1609(例如盘、通用串行总线(USB)棒或类似物)上。计算机可读存储介质1609(在其上存储有计算机程序产品)可以包括指令,所述指令当在至少一个处理器上执行时促使至少一个处理器实行如由第一核心节点11所执行的本文所描述的动作。在一些实施例中,计算机可读存储介质可以是暂态或非暂态计算机可读存储介质。
图18是描绘根据本文实施例的用于处理UE 10在通信网络中的认证的
第二核心节点12的框图。
第二核心节点12可以包括处理电路1701(例如一个或多个处理器),其被配置成执行本文的方法。
第二核心节点12可以包括接收单元1702。第二核心节点12、处理电路1701和/或接收单元1702被配置成从第一核心节点11接收指示请求。该指示可以是密码。
第二核心节点12可以包括生成单元1703。第二核心节点12、处理电路1701和/或生成单元1703被配置成基于UE在接入网络中的最新认证的第一安全密钥结果来生成指示。
第二核心节点12可以包括发送单元1704。第二核心节点12、处理电路1701和/或发送单元1704被配置成向第一核心节点11发送所生成的指示。
第二核心节点12可以包括存储单元1705。第二核心节点12、处理电路1701和/或存储单元1705被配置成存储从UE 10在接入网络中的初级认证生成的第一安全密钥。
第二核心节点12还包括存储器1707。存储器1707包括用于存储数据和应用程序等的一个或多个单元,所述数据关于诸如指示信息、私有标识符、公共标识符、认证向量、第一安全密钥、第二安全密钥、输入/输出数据、元数据等,所述应用程序用于在被执行时执行本文公开的方法。第二核心节点12还可以包括通信接口1710,其包括例如一个或多个天线或天线元件。通信接口1710可以被配置用于至少设立和维持与任何其它节点、UE或任何其它装置的无线/无线连接。
根据本文描述的实施例的用于第二核心节点12的方法分别借助于例如包括指令(即软件代码部分)的计算机程序或计算机程序产品1708来实现,所述指令当在至少一个处理器上执行时促使至少一个处理器实行如由第二核心节点12所执行的本文所描述的动作。计算机程序产品1708可被存储在计算机可读存储介质1709(例如盘、通用串行总线(USB)棒或类似物)上。计算机可读存储介质1709(在其上存储有计算机程序产品)可以包括指令,所述指令当在至少一个处理器上执行时促使至少一个处理器实行如由第二核心节点12所执行的本文所描述的动作。在一些实施例中,计算机可读存储介质可以是暂态或非暂态计算机可读存储介质。
图19是描绘根据本文实施例的用于处理UE 10在通信网络中的认证的
第三核心节点13的框图。
第三核心节点13可以包括处理电路1801(例如一个或多个处理器),其被配置成执行本文的方法。
第三核心节点13可以包括接收单元1802。第三核心节点13、处理电路1801和/或接收单元1802被配置成从第一I MS节点15接收指示请求。
第三核心节点13可以包括生成单元1803。第三核心节点13、处理电路1801和/或生成单元1803被配置成基于AKMA过程来生成指示。该指示可以是第二安全密钥。
第三核心节点13可以包括发送单元1804。第三核心节点13、处理电路1801和/或发送单元1804被配置成向第一I MS节点15发送所生成的指示。
第三核心节点13还包括存储器1807。存储器1807包括用于存储数据和应用程序等的一个或多个单元,所述数据关于诸如指示信息、私有标识符、公共标识符、认证向量、第一安全密钥、第二安全密钥、输入/输出数据、元数据等,所述应用程序用于在被执行时执行本文公开的方法。第三核心节点13还可以包括通信接口1810,其包括例如一个或多个天线或天线元件。通信接口1810可以被配置用于至少设立和维持与任何其它节点、UE或任何其它装置的无线/无线连接。
根据本文描述的实施例的用于第三核心节点13的方法分别借助于例如包括指令(即软件代码部分)的计算机程序或计算机程序产品1808来实现,所述指令当在至少一个处理器上执行时促使至少一个处理器实行如由第三核心节点13所执行的本文所描述的动作。计算机程序产品1808可被存储在计算机可读存储介质1809(例如盘、通用串行总线(USB)棒或类似物)上。计算机可读存储介质1809(在其上存储有计算机程序产品)可以包括指令,所述指令当在至少一个处理器上执行时促使至少一个处理器实行如由第一核心节点11所执行的本文所描述的动作。在一些实施例中,计算机可读存储介质可以是暂态或非暂态计算机可读存储介质。
图20是描绘根据本文实施例的用于处理UE 10在通信网络中的认证的UE 10的框图。
UE 10可以包括处理电路1901(例如一个或多个处理器),其被配置成执行本文的方法。
UE 10可以包括注册单元1902。UE 10、处理电路1901和/或注册单元1902可以被配置成通过执行初级认证过程来注册到接入网络。
UE 10可以包括存储单元1903。UE 10、处理电路1901和/或存储单元1903可以被配置成存储从UE 10在接入网络中的初级认证生成的第一安全密钥。
UE可以包括导出单元1904。UE 10、处理电路1901和/或导出单元1904可以被配置成基于AKMA过程从第一安全密钥导出第二安全密钥。
UE 10可以包括生成单元1905。UE 10、处理电路1901和/或生成单元1905被配置成基于所存储的第一安全密钥或第二安全密钥来生成密码,该密码将被用于向I MS认证UE10。
UE可以包括发送单元1906。UE 10、处理电路1901和/或发送单元1906被配置成基于在对接入网络的初级认证期间生成的密码向第二I MS节点16发送消息,以用于将UE 10注册到I MS,其中该消息包括私有标识符和公共标识符。
UE 10还包括存储器1907。存储器1907包括用于存储数据和应用程序等的一个或多个单元,所述数据关于诸如指示信息、私有标识符、公共标识符、认证向量、第一安全密钥、第二安全密钥、输入/输出数据、元数据等,所述应用程序用于在被执行时执行本文公开的方法。UE 10还可以包括通信接口1910,其包括例如一个或多个天线或天线元件。通信接口1910可以被配置用于至少设立和维持与任何其它节点、UE或任何其它装置的无线/无线连接。
根据本文描述的实施例的用于UE 10的方法分别借助于例如包括指令(即软件代码部分)的计算机程序或计算机程序产品1908来实现,所述指令当在至少一个处理器上执行时促使至少一个处理器实行如由UE 10所执行的本文所描述的动作。计算机程序产品1908可被存储在计算机可读存储介质1909(例如盘、通用串行总线(USB)棒或类似物)上。计算机可读存储介质1909(在其上存储有计算机程序产品)可以包括指令,所述指令当在至少一个处理器上执行时促使至少一个处理器实行如由UE 10所执行的本文所描述的动作。在一些实施例中,计算机可读存储介质可以是暂态或非暂态计算机可读存储介质。
在一些实施例中,使用更通用的术语“网络节点”,并且它可以对应于与无线装置和/或与另一网络节点通信的任何类型的无线电网络节点或任何网络节点。网络节点的示例是gNodeB、eNodeB、NodeB、MeNB、SeNB、属于主小区群组(MCG)或辅小区群组(SCG)的网络节点、基站(BS)、多标准无线电(MSR)无线电节点(诸如MSR BS)、eNodeB、网络控制器、无线电网络控制器(RNC)、基站控制器(BSC)、中继器、施主节点控制中继器、基站收发信台(BTS)、接入点(AP)、传输点、传输节点、远程无线电单元(RRU)、远程无线电头端(RRH)、分布式天线系统(DAS)中的节点等。
在一些实施例中,使用非限制性术语无线装置或用户设备(UE),并且它指的是在蜂窝或移动通信系统中与网络节点和/或与另一无线装置通信的任何类型的无线装置。UE的示例是目标装置、装置到装置(D2D)UE、具有邻近能力的UE(proximity capab l e UE)(又称为ProSe UE)、机器类型UE或能够进行机器到机器(M2M)通信的UE、平板计算机、移动终端、智能电话、膝上型嵌入式设备(LEE)、膝上型安装式设备(LME)、USB软件狗(dong l e)等。
实施例适用于在其中装置接收和/或传送信号(例如数据)的任何无线电接入技术(RAT)或多RAT系统,诸如新空口(NR)、Wi-Fi、长期演进(LTE)、LTE高级(LTE-Advanced)、宽带码分多址(WCDMA)、全球移动通信系统/增强型数据速率GSM演进(GSM/EDGE)、全球微波接入互操作性(Wi Max)或超移动宽带(UMB),仅提及几种可能的实现。
如由熟悉通信设计的人员将容易理解的,该功能部件或电路可以使用数字逻辑和/或一个或多个微控制器、微处理器、或其它数字硬件来实现。在一些实施例中,各种功能中的若干或全部可被一起实施(诸如在单个专用集成电路(AS I C)中),或在两个或更多个分离装置(在其之间具有适当硬件和/或软件接口)中。例如,可以在与UE或网络节点的其它功能组件共享的处理器上实现所述功能中的若干功能。
备选地,所讨论的处理单元的功能元件中的若干功能元件可以通过使用专用硬件来提供,而其它功能元件通过用于执行软件的硬件与适当的软件或固件相关联地来提供。因此,如本文所使用的术语“处理器”或“控制器”不排它地指能够执行软件的硬件,并且可以隐式地包括但不限于数字信号处理器(DSP)硬件、和/或程序或应用数据。也可以包括其它硬件(常规和/或定制硬件)。通信装置的设计者将理解这些设计选择中固有的成本、性能和维护折衷。
应当理解,前面的描述和附图表示本文所教导的方法和设备的非限制性示例。如此,本文所教导的设备和技术不受前面的描述和附图所限制。相反,本文实施例仅受所附权利要求及其合法等效物所限制。
其它扩展和变体
参考图21,根据实施例,通信系统包括通信网络1(例如无线NR网络,诸如3GPP类型的蜂窝网络),其包括接入网络26(诸如无线电接入网络)和核心网络3214。接入网络26包括多个无线电网络节点21a、21b、21c(统称为21),例如基站、NB、eNB、gNB或其它类型的无线接入点,每个无线电网络节点定义对应的覆盖区域22,例如22a、22b、22c。每个无线电网络节点21a、21b、21c通过有线或无线连接32可连接到核心网络28。位于覆盖区域22a中的第一UE10a(例如无线装置,诸如非AP STA)配置成无线连接到对应无线电网络节点21a或被对应无线电网络节点21a寻呼。覆盖区域22b中的第二UE 10b(例如第二无线电节点,诸如非APSTA)可无线连接到对应无线电网络节点21b,例如基站。尽管在该示例中图示多个UE 10a和10b,但所公开的实施例同样能适用于其中唯一UE 10在覆盖区域中或其中唯一UE 10连接到对应无线电网络节点21的情形。
接入网络26自身连接到主机计算机3230,该主机计算机3230可以体现在独立服务器、云实现的服务器、分布式服务器的硬件和/或软件中或作为服务器场中的处理资源。主机计算机3230可以在服务提供商的所有权或控制下,或可以被服务提供商操作或代表服务提供商被操作。接入网络26与主机计算机3230之间的连接3221、3222可以直接从核心网络28扩展到主机计算机3230或可以经由可选的中间网络3220。中间网络3220可以是公共、私有或托管网络之一或者公共、私有或托管网络中的多于一个的组合;中间网络3220(如有的话)可以是骨干网络或互联网;特别地,中间网络3220可以包括两个或多于两个子网(未示出)。
图21的通信网络作为整体实现所连接的UE 10a、10b之一与主机计算机3230之间的连接性。连接性可以描述为过顶(OTT)连接3250。主机计算机3230和连接的UE 10a、10b配置成经由OTT连接3250使用接入网络26、核心网络28、任何中间网络3220以及可能的另外的基础设施(未示出)作为中介来传递数据和/或信令。OTT连接3250在OTT连接3250所经过的参与通信装置不知道上行链路和下行链路通信的路由的意义上可以是透明的。例如,可以不或不需要通知无线电网络节点21关于传入下行链路通信的过去路由,所述传入下行链路通信具有源于主机计算机3230的要转发(例如,移交)到连接的UE 10的数据。相似地,无线电网络节点21不需要知道源于UE 10朝向主机计算机3230的传出上行链路通信的未来路由。
根据实施例,现在将参考图22描述在前面的段落中论述的UE 10、无线电网络节点21和主机计算机3230的示例实现。在通信系统3300中,主机计算机3230包括硬件3315,该硬件3315包括通信接口3316,该通信接口3316配置成设立和维持与通信系统3300的不同通信装置的接口的有线或无线连接。主机计算机3310进一步包括处理电路3318,该处理电路3318可以具有存储和/或处理能力。特别地,处理电路3318可以包括适于执行指令的一个或多个可编程处理器、专用集成电路、现场可编程门阵列或这些的组合(未示出)。主机计算机3230进一步包括软件3311,该软件3311存储在主机计算机3230中或可由主机计算机3230访问并且可由处理电路3318执行。软件3311包括主机应用3312。主机应用3312可以可操作以向远程用户(诸如UE 10)提供服务,该UE 10经由端接在UE 10和主机计算机3230处的OTT连接3250而进行连接。在向远程用户提供服务时,主机应用3312可以提供使用OTT连接3250来传送的用户数据。
通信系统3300进一步包括无线电网络节点21(例如基站),其被提供在电信系统中并且包括使得其能够与主机计算机3230和UE 10通信的硬件3325。硬件3325可以包括用于设立和维持与通信系统3300的不同通信装置的接口的有线或无线连接的通信接口3326,以及用于至少设立和维持与位于由无线电网络节点21服务的覆盖区域(未示出)中的UE 10的无线连接3370的无线电接口3327。通信接口3326可以配置成促进到主机计算机3230的连接3360。连接3360可以是直接的或它可以经过电信系统的核心网络28(未示出)和/或经过电信系统外部的一个或多个中间网络。在示出的实施例中,无线电网络节点21的硬件3325进一步包括处理电路3328,其可以包括适于执行指令的一个或多个可编程处理器、专用集成电路、现场可编程门阵列或这些的组合(未示出)。无线电网络节点21进一步具有内部存储或经由外部连接可访问的软件3321。
通信系统3300进一步包括已经提到的UE 10。UE 10包括硬件3335,其可以包括无线电接口3337,该无线电接口3337配置成设立和维持与服务于UE10当前位于的覆盖区域的基站的无线连接3370。UE 10的硬件3335进一步包括处理电路1901,其可以包括适于执行指令的一个或多个可编程处理器、专用集成电路、现场可编程门阵列或这些的组合(未示出)。UE 10进一步包括软件3331,该软件3331被存储在UE 10中或可由UE 10访问并且可由处理电路1901执行。软件3331包括客户端应用3332。客户端应用3332可以可操作以经由UE 10在主机计算机3230的支持下向人类或非人类用户提供服务。在主机计算机3230中,执行的主机应用3312可以经由端接在UE 10和主机计算机3310处的OTT连接3250而与执行的客户端应用3332通信。在向用户提供服务时,客户端应用3332可以从主机应用3312接收请求数据并且响应于该请求数据来提供用户数据。OTT连接3250可以传输请求数据和用户数据两者。客户端应用3332可以与用户交互来生成它提供的用户数据。
注意图22中图示的主机计算机3230、无线电网络节点21和UE 10可以分别与图21的主机计算机3230、无线电网络节点21a、21b、21c中的一个以及UE 10a、10b中的一个相同。也就是说,这些实体的内部工作可以如在图22中示出的那样,并且独立地,周围网络拓扑可以是图21的周围网络拓扑。
在图22中,已经抽象绘制了OTT连接3250来图示主机计算机3230与用户设备10之间经由无线电网络节点21的通信,而没有明确提到任何中间装置和经由这些装置的消息的精确路由。网络基础设施可以确定路由,它可以配置成对UE 10或对操作主机计算机3230的服务提供商或对两者隐藏所述路由。尽管OTT连接3250是活动的,但网络基础设施可以进一步做出决定,它通过所述决定动态地改变路由(例如,在负载平衡考虑或网络重新配置的基础上)。
UE 10与无线电网络节点21之间的无线连接3370根据在该公开通篇中描述的实施例的教导。各种实施例中的一个或多个提高使用OTT连接3250来提供给UE 10的OTT服务的性能,在所述OTT连接3250中无线连接3370形成最后的段。更精确地,这些实施例的教导可以改善数据速率、时延和功耗,并且从而提供诸如用户等待时间、对文件大小的宽松限制、更好的响应性、延长的电池寿命等益处。
可以提供测量过程以用于监测数据速率、时延和一个或多个实施例改进的其它因素的目的。可以进一步存在用于响应于测量结果的变化而重新配置主机计算机3230与UE10之间的OTT连接3250的可选网络功能性。用于重新配置OTT连接3250的测量过程和/或网络功能性可以在主机计算机3230的软件3311中或在UE 10的软件3331或两者中实现。在实施例中,可以在OTT连接3250经过的通信装置中或与OTT连接3250经过的通信装置相关联地部署传感器(未示出);传感器可以通过供应上文例示的监测量的值或供应软件3311、3331可以从其计算或估计监测量的其它物理量的值来参与测量过程。OTT连接3250的重新配置可以包括消息格式、重传设定、优选的路由等;重新配置不需要影响无线电网络节点21,并且它可能对于无线电网络节点21是未知的或觉察不到的。这样的过程和功能性可以是本领域中已知的和经实践的。在某些实施例中,测量可以牵涉促进主机计算机3230的吞吐量、传播时间、时延等的测量的专用UE信令。可以实现测量是因为软件3311、3331在其监测传播时间、误差等时促使使用OTT连接3250来传送消息,特别是空或“虚设(dummy)”消息。
图23是图示根据一个实施例的通信系统中实现的方法的流程图。通信系统包括主机计算机、无线电网络节点(例如基站,诸如AP STA)和UE(诸如非AP STA)(它们可以是参考图21和图22所描述的那些主机计算机、基站和UE)。为了简化本公开,在此节中将只包括对图23的附图参考。在方法的第一动作3410中,主机计算机提供用户数据。在第一动作3410的可选子动作3411中,主机计算机通过执行主机应用来提供用户数据。在第二动作3420中,主机计算机发起将用户数据携带到UE的传输。在可选第三动作3430中,根据本公开通篇描述的实施例的教导,无线电网络节点(例如基站)向UE传送在主机计算机发起的传输中携带的用户数据。在可选第四动作3440中,UE执行与由主机计算机执行的主机应用相关联的客户端应用。
图24是示出根据一个实施例的、在通信系统中实现的方法的流程图。通信系统包括主机计算机、无线电网络节点(例如基站,诸如AP STA)和UE(诸如非AP STA)(它们可以是参考图21和图22所描述的那些主机计算机、基站和UE)。为了简化本公开,在此节中将只包括对图24的附图参考。在方法的第一动作3510中,主机计算机提供用户数据。在可选子动作(未示出)中,主机计算机通过执行主机应用来提供用户数据。在第二动作3520中,主机计算机发起将用户数据携带到UE的传输。根据本公开通篇描述的实施例的教导,传输可以经由无线电网络节点(例如基站)来传递。在可选第三动作3530中,UE接收在传输中携带的用户数据。
图25是示出根据一个实施例的、在通信系统中实现的方法的流程图。通信系统包括主机计算机、无线电网络节点(例如基站,诸如AP STA)和UE(诸如非AP STA)(它们可以是参考图21和图22所描述的那些主机计算机、基站和UE)。为了简化本公开,在此节中将只包括对图25的附图参考。在方法的可选第一动作3610中,UE接收由主机计算机提供的输入数据。另外或备选地,在可选第二动作3620中,UE提供用户数据。在第二动作3620的可选子动作3621中,UE通过执行客户端应用来提供用户数据。在第一动作3610的另一可选子动作3611中,UE执行客户端应用,该客户端应用提供用户数据作为对由主机计算机提供的所接收输入数据的反应。在提供用户数据时,所执行的客户端应用可以进一步考虑从用户接收的用户输入。不管提供用户数据所采用的特定方式如何,UE在可选第三子动作3630中发起用户数据到主机计算机的传输。在方法的第四动作3640中,根据本公开通篇描述的实施例的教导,主机计算机接收从UE传送的用户数据。
图26是示出根据一个实施例的、在通信系统中实现的方法的流程图。通信系统包括主机计算机、无线电网络节点(例如基站,诸如AP STA)和UE(诸如非AP STA)(它们可以是参考图21和图22所描述的那些主机计算机、基站和UE)。为了简化本公开,在此节中将只包括对图26的附图参考。在方法的可选第一动作3710中,根据本公开通篇描述的实施例的教导,无线电网络节点(例如基站)从UE接收用户数据。在可选第二动作3720中,无线电网络节点(例如基站)发起所接收的数据到主机计算机的传输。在第三动作3730中,主机计算机接收在由无线电网络节点(例如基站)发起的传输中携带的用户数据。
附加实施例被描述如下:
1.一种由第一I P多媒体系统I MS节点(15)(例如HSS)执行的用于处理用户设备UE(10)在通信网络中的认证的方法,所述方法包括:
-从第二I MS节点(16)(例如S-CSCF)接收(S701)用于检索认证向量的请求,其中所述请求包括从订阅永久标识符生成的私有标识符;
-发送(S702)用于检索指示的请求,其中所述请求包括从私有标识符生成的订阅永久标识符;
-接收(S703)所述指示;
-使用所接收的指示来生成(S704)所述认证向量;以及
-向所述第二I MS节点(16)发送(S705)所生成的认证向量以用于认证所述UE。
2.根据实施例1所述的方法,其中,用于检索所述指示的所述请求被发送到第一核心节点(11)。
3.根据实施例1所述的方法,其中,用于检索所述指示的所述请求被发送到第三核心节点(13)。
4.根据实施例1-3中任一项所述的方法,其中,所述指示是密码或第二安全密钥。
5.一种由第一核心节点(11)(例如UDM)执行的用于处理用户设备(10)UE在通信网络中的认证的方法,所述方法包括:
-从第一I P多媒体系统I MS节点(15)接收(S801)用于检索指示的请求,其中所述请求包括从私有标识符生成的订阅永久标识符;
-选择(S802)存储所述UE在接入网络中的最新认证的第一安全密钥结果的第二核心节点(12);
-向所选择的第二核心节点(12)发送(S803)指示请求;
-从所述第二核心节点(12)接收(S804)所述指示,其中所述指示基于存储在所述第二核心节点(12)中的第一安全密钥;以及
-向所述第一I MS节点(15)提供(S805)所接收的指示。
6.根据实施例5所述的方法,其中,所述指示是密码。
7.一种由第二核心节点(12)(例如AUSF)执行的用于处理用户设备(10)UE在通信网络中的认证的方法,所述方法包括:
-从第一核心节点(11)接收(S902)指示请求;
-基于所述UE在接入网络中的最新认证的第一安全密钥结果来生成(S903)指示;以及
-向所述第一核心节点(11)发送(S904)所生成的指示。
8.根据实施例7所述的方法,其中,所述方法还包括:
-存储(S901)从所述UE在接入网络中的初级认证生成的第一安全密钥;
9.根据实施例7和8中任一项所述的方法,其中,所述指示是密码。
10.一种由第三核心节点(13)(例如AAnF)执行的用于处理用户设备(10)UE在通信网络中的认证的方法,所述方法包括:
-从第一I MS节点(15)接收(S1001)指示请求;
-基于用于应用的认证和密钥协议AKMA过程来生成(S1002)所述指示;以及
-向所述第一I MS节点(15)发送(S1003)所生成的指示。
11.根据实施例10所述的方法,其中,所述指示是第二安全密钥。
12.一种由用户设备UE(10)执行的用于处理所述UE在通信网络中的认证的方法,所述方法包括:
-基于存储的第一安全密钥或第二安全密钥来生成(S1104)密码,所述密码将用于向I P多媒体系统I MS认证所述UE;以及
-基于在对接入网络的初级认证期间生成的所述密码向第二I MS节点(例如S-CSCF)发送(S1105)消息,以用于向所述I MS注册所述UE(10),其中所述消息包括私有标识符和公共标识符。
13.根据实施例12所述的方法,还包括:
-通过执行所述初级认证过程而向所述接入网络注册(S1101);
-存储(S1102)从所述UE在所述接入网络中的所述初级认证生成的所述第一安全密钥;以及
-从基于用于应用的认证和密钥协议AKMA过程的所述第一安全密钥导出(S1003)所述第二安全密钥。
14.一种用于处理用户设备UE(10)在通信网络中的认证的第一I P多媒体系统IMS节点(15)(例如HSS),所述第一I MS节点(15)被配置成:
从第二I MS节点(16)(例如S-CSCF)接收用于检索认证向量的请求,其中所述请求适于包括从订阅永久标识符生成的私有标识符;
发送用于检索指示的请求,其中所述请求适于包括从私有标识符生成的订阅永久标识符;
接收所述指示;
使用所接收的指示来生成所述认证向量;以及
向所述第二I MS节点(16)发送所生成的认证向量以用于认证所述UE(10)。
15.根据实施例14所述的第一I MS节点(15),其中,用于检索所述指示的所述请求适于被发送到第一核心节点(11)。
16.根据实施例14所述的第一I MS节点(15),其中,用于检索所述指示的所述请求适于被发送到第三核心节点(13)。
17.根据实施例14-16中任一项所述的第一I MS节点(15),其中,所述指示是密码或第二安全密钥。
18.一种用于处理用户设备(10)UE在通信网络中的认证的第一核心节点(11)(例如UDM),所述第一核心节点(11)被配置成:
从第一I P多媒体系统I MS节点(15)接收用于检索指示的请求,其中所述请求适于包括从私有标识符生成的订阅永久标识符;
选择存储所述UE在接入网络中的最新认证的第一安全密钥结果的第二核心节点(12)(例如AUSF);
向所选择的第二核心节点(12)发送指示请求;
从所述第二核心节点(12)接收所述指示,其中所述指示适于基于存储在所述第二核心节点(12)中的第一安全密钥;以及
向所述第一I MS节点(15)提供所接收的指示。
19.根据实施例18所述的第一核心节点(11),其中,所述指示是密码。
20.一种用于处理用户设备(10)UE在通信网络中的认证的第二核心节点(12)(例如AUSF),所述第二核心节点(12)被配置成:
从第一核心节点(11)接收指示请求;
基于所述UE在接入网络中的最新认证的第一安全密钥结果来生成指示;以及
向所述第一核心节点(11)发送所生成的指示。
21.根据实施例20所述的第二核心节点(12),还被配置成:
存储从所述UE在接入网络中的初级认证生成的第一安全密钥。
22.根据实施例20和21中任一项所述的第二核心节点(12),其中,所述指示是密码。
23.一种用于处理用户设备(10)UE在通信网络中的认证的第三核心节点(13)(例如AAnF),所述第三核心节点(13)被配置成:
从第一I MS节点(15)接收指示请求;
基于用于应用的认证和密钥协议AKMA过程来生成所述指示;以及
向所述第一I MS节点(15)发送所生成的指示。
24.根据实施例23所述的第三核心节点(13),其中,所述指示是第二安全密钥。
25.一种用于处理用户设备UE在通信网络中的认证的UE(10),所述UE(10)被配置成:
基于存储的第一安全密钥或第二安全密钥来生成密码,所述密码将用于向I P多媒体系统I MS认证所述UE;以及
基于在对接入网络的初级认证期间生成的所述密码向第二I MS节点(例如S-CSCF)发送消息,以用于向所述I MS注册所述UE(10),其中所述消息包括私有标识符和公共标识符。
26.根据实施例25所述的UE(10),还被配置成:
通过执行所述初级认证过程而向接入网络注册;
存储从所述UE在所述接入网络中的所述初级认证生成的所述第一安全密钥;以及
从基于用于应用的认证和密钥协议AKMA过程的所述第一安全密钥导出所述第二安全密钥。
27.一种包括指令的计算机程序产品,所述指令当在至少一个处理器上执行时,使所述至少一个处理器实行如分别由所述第一I MS节点(15)、第一核心节点(11)、第二核心节点(12)、第三核心节点(13)和UE(10)执行的、根据实施例1-13中任一项所述的方法。
一种在其上存储有计算机程序产品的计算机可读存储介质,所述计算机程序产品包括指令,所述指令当在至少一个处理器上执行时,使所述至少一个处理器实行如分别由所述第一I MS节点(15)、第一核心节点(11)、第二核心节点(12)、第三核心节点(13)和UE(10)执行的、根据实施例1-13中任一项所述的方法。
当使用词语“包括(compr i se或compr i s i ng)”时,它应被解释为非限制性的,即意味着“至少由……组成”。
本文实施例不限于上述优选实施例。可以使用各种替代、修改和等效物。
如本领域技术人员将理解的,本文描述的概念可被体现为方法、数据处理系统、和/或计算机程序产品。因此,本文描述的概念可以采取完全硬件实施例、完全软件实施例或组合软件和硬件方面的实施例的形式,所有这些在本文中一般被称为“电路”或“模块”。此外,本公开可以采取有形计算机可用存储介质上的计算机程序产品的形式,该有形计算机可用存储介质具有可以由计算机执行的、在该介质中体现的计算机程序代码。可以利用任何合适的有形计算机可读介质,包括硬盘、CD-ROM、电子存储装置、光存储装置、或磁存储装置。
本文参考方法、系统和计算机程序产品的流程图图示和/或框图描述一些实施例。将理解,流程图图示和/或框图的每个框以及流程图图示和/或框图中的框的组合可以由计算机程序指令实现。这些计算机程序指令可以被提供给通用计算机的处理器、专用计算机、或其它可编程数据处理设备以产生机器,使得经由计算机或其它可编程数据处理设备的处理器执行的指令创建用于实现流程图和/或框图的一个或多个框中指定的功能/动作的部件。
这些计算机程序指令还可以存储在计算机可读存储器或存储介质中,其可以引导计算机或其它可编程数据处理设备以特定方式起作用,使得存储在计算机可读存储器中的指令产生包括实现流程图和/或框图的一个或多个框中指定的功能/动作的指令部件的制品。
计算机程序指令还可以被加载到计算机或其它可编程数据处理设备上,以使在计算机或其它可编程设备上执行一系列操作步骤,以产生计算机实现的过程,使得在计算机或其它可编程设备上执行的指令提供用于实现流程图和/或框图的一个或多个框中指定的功能/动作的步骤。
应当理解,在框中指出的功能/动作可以不按照在操作图示中指出的顺序发生。例如,取决于所涉及的功能性/动作,连续示出的两个框实际上可以基本上同时执行,或者所述框有时可以以相反的顺序执行。尽管一些简图包括通信路径上的箭头以示出通信的主要方向,但是应当理解,通信可以在与所描绘的箭头相反的方向上发生。
用于实行本文描述的概念的操作的计算机程序代码可以用面向对象的编程语言(诸如Java或C++)来编写。然而,用于实行本公开的操作的计算机程序代码也可以以常规过程编程语言(诸如“C”编程语言)来编写。程序代码可以完全在用户的计算机上执行,部分在用户的计算机上执行,作为独立软件包执行,部分在用户的计算机上并且部分在远程计算机上执行,或者完全在远程计算机上执行。在后一种情形下,远程计算机可以通过局域网(LAN)或广域网(WAN)连接到用户的计算机,或者可以连接到外部计算机(例如,使用因特网服务提供商通过因特网)。
本文已经结合以上描述和附图公开了许多不同的实施例。将理解,在字面上描述和示出这些实施例的每种组合和子组合将是过度重复和混乱的。因此,所有实施例可以以任何方式和/或组合进行组合,并且包括附图的本说明书应当被解释为构成本文所述实施例的所有组合和子组合以及制造和使用它们的方式和过程的完整书面描述,并且应当支持对任何这样的组合或子组合的权利要求。
本领域技术人员将理解,本文所述的实施例不限于上面本文已特定示出和描述的内容。另外,除非上面作出相反的提及,否则应当注意,所有附图都不是按比例绘制的。在不脱离所附权利要求的范围的情况下,根据上述教导,各种修改和变化都是可能的。
Claims (66)
1.一种由第一IP多媒体系统IMS节点(15)执行的用于处理用户设备UE(10)在通信网络中的认证的方法,所述方法包括:
从第二IMS节点(16)接收(S701)用于检索认证向量的请求,用于检索所述认证的所述请求包括从订阅永久标识符生成的私有标识符;
发送(S702)用于检索指示的请求,用于检索所述指示的所述请求包括所述订阅永久标识符;
接收(S703)所述指示;
使用所接收的指示来生成(S704)所述认证向量;以及
向所述第二IMS节点(16)发送(S705)所生成的认证向量以用于认证所述UE。
2.根据权利要求1所述的方法,其中,用于检索所述指示的所述请求被发送到第一核心节点(11),所述第一核心节点(11)是统一数据管理UDM节点。
3.根据权利要求1所述的方法,其中,用于检索所述指示的所述请求被发送到第三核心节点(13),并且所述第三核心节点(13)是用于应用的认证和密钥管理AKMA锚功能AAnF节点。
4.根据权利要求1-3中任一项所述的方法,其中,所述指示是密码和第二安全密钥之一,所述第二安全密钥是Kaf安全密钥。
5.根据权利要求1-4中任一项所述的方法,其中,所述认证向量是会话互联网协议摘要认证向量SD-AV。
6.根据权利要求1-5中任一项所述的方法,其中,所述私有标识符是互联网协议多媒体子系统IMS私有用户标识IMPI。
7.根据权利要求1-6中任一项所述的方法,其中,所述第一IMS节点是归属订户服务器HSS,并且所述第二IMS节点是服务呼叫会话控制功能S-CSCF节点。
8.一种由第一核心节点(11)执行的用于处理用户设备(10)UE在通信网络中的认证的方法,所述方法包括:
从第一IP多媒体系统IMS节点(15)接收(S801)用于检索指示的请求,所述请求包括从私有标识符生成的订阅永久标识符;
选择(S802)存储所述UE在接入网络中的最新认证的第一安全密钥结果的第二核心节点(12);
向所选择的第二核心节点(12)发送(S803)指示请求;
从所述第二核心节点(12)接收(S804)所述指示,所述指示基于存储在所述第二核心节点(12)中的第一安全密钥;以及
向所述第一IMS节点(15)提供(S805)所接收的指示。
9.根据权利要求8所述的方法,其中,所述指示是密码。
10.根据权利要求9所述的方法,其中,所述密码是会话互联网协议密码SIP摘要密码。
11.根据权利要求8-10中任一项所述的方法,其中,所述第一安全密钥是Kausf安全密钥。
12.根据权利要求8-11中任一项所述的方法,其中,所述第一核心节点(11)是统一数据管理UDM节点,所述第二核心节点(12)是认证服务器功能AUSF节点,并且所述第一IMS节点(15)是归属订户服务器HSS。
13.一种由第二核心节点(12)执行的用于处理用户设备(10)UE在通信网络中的认证的方法,所述方法包括:
从第一核心节点(11)接收(S902)指示请求;
基于所述UE在接入网络中的最新认证的第一安全密钥结果来生成(S903)指示;以及
向所述第一核心节点(11)发送(S904)所生成的指示。
14.根据权利要求13所述的方法,其中,所述方法还包括:
存储(S901)从所述UE在接入网络中的初级认证生成的第一安全密钥。
15.根据权利要求14所述的方法,其中,所述第一安全密钥是Kausf安全密钥。
16.根据权利要求13-15中任一项所述的方法,其中,所述指示是密码。
17.根据权利要求16所述的方法,其中,所述密码是会话互联网协议密码SIP摘要密码。
18.根据权利要求13-17中任一项所述的方法,其中,所述第一核心节点(11)是统一数据管理UDM节点,并且所述第二核心节点(12)是认证服务器功能AUSF节点。
19.一种由第三核心节点(13)执行的用于处理用户设备(10)UE在通信网络中的认证的方法,所述方法包括:
从第一IMS节点(15)接收(S1001)指示请求;
基于认证过程来生成(S1002)所述指示;以及
向所述第一IMS节点(15)发送(S1003)所生成的指示。
20.根据权利要求19所述的方法,其中,所述指示是第二安全密钥。
21.根据权利要求20所述的方法,其中,所述第二安全密钥是Kaf安全密钥。
22.根据权利要求19-21中任一项所述的方法,其中,所述认证过程是用于应用的认证和密钥协议AKMA过程。
23.根据权利要求19-22中任一项所述的方法,其中,所述第三核心节点(13)是用于应用的认证和密钥管理AKMA锚功能AAnF节点,并且所述第一IMS节点(15)是归属订户服务器HSS。
24.一种由用户设备UE(10)执行的用于处理所述UE在通信网络中的认证的方法,所述方法包括:
基于存储的第一安全密钥和导出的第二安全密钥中的任一个来生成(S1104)密码,所述密码用于向网络节点认证所述UE;以及
基于所生成的密码向第二IMS节点发送(S1105)消息,以用于向所述网络节点注册所述UE(10),所述消息包括私有标识符和公共标识符。
25.根据权利要求24所述的方法,其中,所述方法还包括:
通过执行初级认证过程而向接入网络注册(S1101),所述接入网络是所述通信网络的一部分;以及
存储(S1102)从所述UE(10)在所述接入网络中的所述初级认证生成的所述第一安全密钥。
26.根据权利要求24和25中任一项所述的方法,其中,所述第一安全密钥是Kausf安全密钥。
27.根据权利要求24-26中任一项所述的方法,其中,所述方法还包括:
从基于认证过程的所述第一安全密钥导出(1003)所述第二安全密钥。
28.根据权利要求27所述的方法,其中,所述第二安全密钥是Kaf安全密钥。
29.根据权利要求27和28中任一项所述的方法,其中,所述认证过程是用于应用的认证和密钥协议AKMA过程。
30.根据权利要求24-29中任一项所述的方法,其中,所述网络节点是IP多媒体系统IMS节点,并且所述第二IMS节点是服务呼叫会话控制功能S-CSCF。
31.根据权利要求24-30中任一项所述的方法,其中,所述密码是会话互联网协议密码SIP摘要密码。
32.根据权利要求24-31中任一项所述的方法,其中,所述私有标识符是互联网协议多媒体子系统IMS私有用户标识IMPI,所述公共标识符是IMS公共用户标识IMPU,所述IMPI和所述IMPU基于订阅永久标识符SUPI来生成。
33.一种用于处理用户设备UE(10)在通信网络中的认证的第一IP多媒体系统IMS节点(15),所述第一IMS节点(15)被配置成:
从第二IMS节点(16)接收用于检索认证向量的请求,用于检索所述认证的所述请求包括从订阅永久标识符生成的私有标识符;
发送用于检索指示的请求,用于检索所述指示的所述请求包括所述订阅永久标识符;
接收所述指示;
使用所接收的指示来生成所述认证向量;以及
向所述第二IMS节点(16)发送所生成的认证向量以用于认证所述UE。
34.根据权利要求33所述的第一IMS节点(15),其中,用于检索所述指示的所述请求被发送到第一核心节点(11),所述第一核心节点(11)是统一数据管理UDM节点。
35.根据权利要求33所述的第一IMS节点(15),其中,用于检索所述指示的所述请求被发送到第三核心节点(13),并且所述第三核心节点(13)是用于应用的认证和密钥管理AKMA锚功能AAnF节点。
36.根据权利要求33-35中任一项所述的第一IMS节点(15),其中,所述指示是密码和第二安全密钥之一,所述第二安全密钥是Kaf安全密钥。
37.根据权利要求33-36中任一项所述的第一IMS节点(15),其中,所述认证向量是会话互联网协议摘要认证向量SD-AV。
38.根据权利要求33-37中任一项所述的第一IMS节点(15),其中,所述私有标识符是互联网协议多媒体子系统IMS私有用户标识IMPI。
39.根据权利要求33-38中任一项所述的第一IMS节点(15),其中,所述第一IMS节点是归属订户服务器HSS,并且所述第二IMS节点是服务呼叫会话控制功能S-CSCF节点。
40.一种用于处理用户设备(10)UE在通信网络中的认证的第一核心节点(11),所述第一核心节点(11)被配置成:
从第一IP多媒体系统IMS节点(15)接收用于检索指示的请求,所述请求包括从私有标识符生成的订阅永久标识符;
选择存储所述UE在接入网络中的最新认证的第一安全密钥结果的第二核心节点(12);
向所选择的第二核心节点(12)发送指示请求;
从所述第二核心节点(12)接收所述指示,所述指示基于存储在所述第二核心节点(12)中的第一安全密钥;以及
向所述第一IMS节点(15)提供所接收的指示。
41.根据权利要求40所述的第一核心节点(11),其中,所述指示是密码。
42.根据权利要求41所述的第一核心节点(11),其中,所述密码是会话互联网协议密码SIP摘要密码。
43.根据权利要求40-42中任一项所述的第一核心节点(11),其中,所述第一安全密钥是Kausf安全密钥。
44.根据权利要求40-43中任一项所述的第一核心节点(11),其中,所述第一核心节点(11)是统一数据管理UDM节点,所述第二核心节点(12)是认证服务器功能AUSF节点,并且所述第一IMS节点(15)是归属订户服务器HSS。
45.一种用于处理用户设备(10)UE在通信网络中的认证的第二核心节点(12),所述第二核心节点(12)被配置成:
从第一核心节点(11)接收指示请求;
基于所述UE在接入网络中的最新认证的第一安全密钥结果来生成指示;以及
向所述第一核心节点(11)发送所生成的指示。
46.根据权利要求45所述的第二核心节点(12),其中,所述第二核心节点(12)还被配置成:
存储从所述UE在接入网络中的初级认证生成的第一安全密钥。
47.根据权利要求46所述的第二核心节点(12),其中,所述第一安全密钥是Kausf安全密钥。
48.根据权利要求45-47中任一项所述的第二核心节点(12),其中,所述指示是密码。
49.根据权利要求48所述的第二核心节点(12),其中,所述密码是会话互联网协议密码SIP摘要密码。
50.根据权利要求45-49中任一项所述的第二核心节点(12),其中,所述第一核心节点(11)是统一数据管理UDM节点,并且所述第二核心节点(12)是认证服务器功能AUSF节点。
51.一种用于处理用户设备(10)UE在通信网络中的认证的第三核心节点(13),所述第三核心节点(13)被配置成:
从第一IMS节点(15)接收指示请求;
基于认证过程来生成所述指示;以及
向所述第一IMS节点(15)发送所生成的指示。
52.根据权利要求51所述的第三核心节点(13),其中,所述指示是第二安全密钥。
53.根据权利要求52所述的第三核心节点(13),其中,所述第二安全密钥是Kaf安全密钥。
54.根据权利要求51-53中任一项所述的第三核心节点(13),其中,所述认证过程是用于应用的认证和密钥协议AKMA过程。
55.根据权利要求51-54中任一项所述的第三核心节点(13),其中,所述第三核心节点(13)是用于应用的认证和密钥管理AKMA锚功能AAnF节点,并且所述第一IMS节点(15)是归属订户服务器HSS。
56.一种用于处理用户设备UE在通信网络中的认证的UE(10),所述UE(10)被配置成:
基于存储的第一安全密钥和导出的第二安全密钥中的任一个来生成密码,所述密码用于向网络节点认证所述UE;以及
基于所生成的密码向第二IMS节点发送消息,以用于向所述网络节点注册所述UE(10),所述消息包括私有标识符和公共标识符。
57.根据权利要求56所述的UE(10),其中,所述UE(10)还被配置成:
通过执行初级认证过程而向接入网络注册,所述接入网络是所述通信网络的一部分;以及
存储从所述UE(10)在所述接入网络中的所述初级认证生成的所述第一安全密钥。
58.根据权利要求56和57中任一项所述的UE(10),其中,所述第一安全密钥是Kausf安全密钥。
59.根据权利要求56-58中任一项所述的UE(10),其中,所述UE(10)还被配置成:
从基于认证过程的所述第一安全密钥导出所述第二安全密钥。
60.根据权利要求59所述的UE(10),其中,所述第二安全密钥是Kaf安全密钥。
61.根据权利要求59和60中任一项所述的UE(10),其中,所述认证过程是用于应用的认证和密钥协议AKMA过程。
62.根据权利要求56-61中任一项所述的UE(10),其中,所述网络节点是IP多媒体系统IMS节点,并且所述第二IMS节点是服务呼叫会话控制功能S-CSCF。
63.根据权利要求56-62中任一项所述的UE(10),其中,所述密码是会话互联网协议密码SIP摘要密码。
64.根据权利要求52-63中任一项所述的UE(10),其中,所述私有标识符是互联网协议多媒体子系统IMS私有用户标识IMPI,所述公共标识符是IMS公共用户标识IMPU,所述IMPI和所述IMPU基于订阅永久标识符SUPI来生成。
65.一种包括指令的计算机程序产品,所述指令当在至少一个处理器上执行时,使所述至少一个处理器实行如分别由所述第一IMS节点(15)、第一核心节点(11)、第二核心节点(12)、第三核心节点(13)和UE(10)执行的、根据权利要求1-32中任一项所述的方法。
66.一种在其上存储有计算机程序产品的计算机可读存储介质,所述计算机程序产品包括指令,所述指令当在至少一个处理器上执行时,使所述至少一个处理器实行如分别由所述第一IMS节点(15)、第一核心节点(11)、第二核心节点(12)、第三核心节点(13)和UE(10)执行的、根据权利要求1-32中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202063065239P | 2020-08-13 | 2020-08-13 | |
| US63/065239 | 2020-08-13 | ||
| PCT/SE2021/050790 WO2022035369A1 (en) | 2020-08-13 | 2021-08-13 | Authentication in a communication network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116195362A true CN116195362A (zh) | 2023-05-30 |
Family
ID=77447994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180056023.2A Pending CN116195362A (zh) | 2020-08-13 | 2021-08-13 | 通信网络中的认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230269582A1 (zh) |
| EP (1) | EP4197213A1 (zh) |
| CN (1) | CN116195362A (zh) |
| WO (1) | WO2022035369A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023245388A1 (zh) * | 2022-06-20 | 2023-12-28 | 北京小米移动软件有限公司 | 安全通信方法及装置 |
| WO2024014640A1 (ko) * | 2022-07-14 | 2024-01-18 | 엘지전자 주식회사 | 무선 통신 시스템에서 단말 인증 방법 및 장치 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1798910B1 (en) * | 2005-12-16 | 2011-07-06 | Vodafone Group PLC | Method of requesting and sending authentification vectors |
| US9451421B1 (en) * | 2015-06-30 | 2016-09-20 | Blackberry Limited | Method and system to authenticate multiple IMS identities |
-
2021
- 2021-08-13 CN CN202180056023.2A patent/CN116195362A/zh active Pending
- 2021-08-13 EP EP21758813.6A patent/EP4197213A1/en active Pending
- 2021-08-13 US US18/006,951 patent/US20230269582A1/en active Pending
- 2021-08-13 WO PCT/SE2021/050790 patent/WO2022035369A1/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| US20230269582A1 (en) | 2023-08-24 |
| WO2022035369A1 (en) | 2022-02-17 |
| EP4197213A1 (en) | 2023-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10798767B2 (en) | Method and apparatus for relaying user data between a secure connection and a data connection | |
| US9445443B2 (en) | Network based provisioning of UE credentials for non-operator wireless deployments | |
| US20210400489A1 (en) | 3gpp private lans | |
| US20220159460A1 (en) | Non-public network authentication in 5g | |
| EP2803219A2 (en) | Methods and apparatus for accelerated link setup between sta and access point of ieee 802.11 network | |
| JP7331177B2 (ja) | ネットワークステアリング情報のセキュア化 | |
| US20220174482A1 (en) | Establishing a protocol data unit session | |
| US20220330022A1 (en) | Ue onboarding and provisioning using one way authentication | |
| CN116195362A (zh) | 通信网络中的认证 | |
| US20220272533A1 (en) | Identity authentication method and communications apparatus | |
| TW201717688A (zh) | 不使用核心蜂巢式網路的蜂巢式裝置安全連接技術 | |
| WO2023016160A1 (zh) | 一种会话建立方法和相关装置 | |
| WO2022034476A1 (en) | Resource isolation via associated identifiers | |
| US20240179525A1 (en) | Secure communication method and apparatus | |
| JP7505022B2 (ja) | 通信方法、装置およびシステム | |
| WO2024067619A1 (zh) | 通信方法和通信装置 | |
| US20240022906A1 (en) | Method of wireless communication of network element, apparatus for wireless communication of network element, and method of wireless communication of user equipment | |
| US20240187856A1 (en) | Registration authentication based on a capability | |
| EP3281433A1 (en) | Apparatus and method for requesting and providing security credentials for specific networks | |
| CN117581521A (zh) | 网络节点、用户设备及在其中执行的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |