CN116235464A - 认证方法和系统 - Google Patents
认证方法和系统 Download PDFInfo
- Publication number
- CN116235464A CN116235464A CN202180065026.2A CN202180065026A CN116235464A CN 116235464 A CN116235464 A CN 116235464A CN 202180065026 A CN202180065026 A CN 202180065026A CN 116235464 A CN116235464 A CN 116235464A
- Authority
- CN
- China
- Prior art keywords
- aaa
- provider
- authentication
- infrastructure
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 116
- 238000004891 communication Methods 0.000 claims abstract description 71
- 238000013507 mapping Methods 0.000 claims abstract description 55
- 238000013475 authorization Methods 0.000 claims description 100
- 230000004044 response Effects 0.000 claims description 87
- 238000012795 verification Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 description 275
- 230000008569 process Effects 0.000 description 31
- 230000001960 triggered effect Effects 0.000 description 12
- 230000015654 memory Effects 0.000 description 10
- 239000000463 material Substances 0.000 description 8
- 230000008901 benefit Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000001934 delay Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000001010 compromised effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000001815 facial effect Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了一种认证方法和系统,其中能够提高对用户设备(UE)隐私和网络安全的保护。该系统包括通信上被UE和一个或多个网络实体信任并连接到UE和一个或多个网络实体的第三方,该第三方用于:获得指示UE或网络实体的身份的身份信息;验证UE和网络实体是否被授权在通信网络中进行通信。第三方还用于:创建映射信息,该映射信息包括由身份信息指示的每个身份与相应的临时认证标识符(ID)之间的映射;以及根据映射信息,将相应的临时认证ID发送给由第三方成功验证的UE和网络实体中的每一个。该系统还包括UE被认证以进行访问的一个或多个网络实体,每个网络实体用于与UE或其它网络实体基于它们相应的临时认证ID进行通信。
Description
相关申请交叉引用
本申请要求2020年9月24日提交的题为“认证方法和系统(AUTHENTICATIONMETHOD AND SYSTEM)”的美国非临时专利申请No.17/031,205的优先权,该美国非临时专利申请的内容通过引用并入本文。
技术领域
本公开涉及通信网络中的认证,具体地涉及认证方法和系统,特别是在统一认证架构中。
背景技术
在当前的网络系统(例如当前的5G网络系统)中,用户凭证等敏感信息经常例如为了注册而从用户设备(user equipment,UE)发送至或暴露于归属运营商,该归属运营商还存储接收到的敏感信息。至少一些敏感信息可以保存在归属运营商或网络功能处,以用于从归属运营商、切片(slice)或第三方进行单独的访问网络认证。照此,存在不希望的一方可能获得敏感信息的风险,并且这种可能性进一步涉及UE隐私问题。例如,考虑到唯一的UE标识符(例如订阅永久标识符(subscription permanent identifier,SUPI)或订阅隐匿标识符(subscription concealed identifier,SUCI))可以提供给网络功能,如访问管理功能(access management function,AMF)、会话管理功能(session management function,SMF)和认证服务器功能(authentication server function,AUSF),特别是当这些网络功能受到攻击时,或者当唯一的UE标识符被窃听攻击者跟踪时,可能会引起严重的安全和隐私问题。
在当前网络系统中,许多第三方服务器可以保存用户凭证。例如,当前技术(例如oauth2.0、单点登录(single sign-on,SSO))允许应用服务器使用临时令牌登录到资源服务器。这些技术许多使许多服务器能够轻松访问敏感和私人信息(例如用户帐户信息、驾照号码、手机号码),即使并非系统中的所有元素都受信任时。由于不受信任的生态系统(例如服务、第三方应用程序),用户在注册服务时不愿意向服务提供商提供其敏感和私人信息。
当前网络系统还有其它问题。在当前网络系统中,由于网络参与方或实体之间的不信任关系,采用了多重认证。多重认证的一些示例包括归属运营商的主注册(或网络访问)认证、切片访问认证、服务访问认证以及应用服务器和归属运营商之间的认证。然而,尽管实施这些多重认证是为了由减轻威胁行为者(如伪基础设施、伪应用服务器、伪基站和伪切片提供商)的恶意活动所产生的潜在影响,但单独的认证也会带来大量的通信开销和网络系统的长延时。
在目前的第三代合作伙伴计划(third generation partnership project,3GPP)网络系统中,当UE移出归属运营商的注册区域时,UE可能由归属运营商认证。照此,由于UE的移动性,UE需要频繁地被归属运营商认证。这种频繁的漫游认证可能会导致额外的通信开销和长延迟,从而可能导致网络性能不佳以及网络会话或呼叫掉线。这些问题在高移动性场景下可能会加剧,例如当UE位于高速公路上移动的车辆中或高速列车中时。
因此,需要用于通信服务的认证设备的方案,该方案不受现有技术的一个或多个限制约束。
背景信息被提供用于揭示申请人认为可能与本发明相关的信息。没有必要承认也不应解释任何上述信息构成与本发明相对的现有技术。
发明内容
本公开的实施例的目的是提供一种认证方法和系统,以提高对UE隐私和网络安全的保护。统一的认证架构为多个参与方提供一次性相互认证,并启用临时ID或认证ID。临时ID或认证ID用于UE访问认证和会话通信。
根据本公开的实施例,提供了一种用于在通信网络中对用户设备(UE)进行统一认证的系统。该系统包括在通信上被UE和一个或多个网络实体信任并连接到UE和一个或多个网络实体的第三方,该第三方用于:获得指示UE或网络实体的身份的身份信息;以及关于UE和网络实体是否被授权在通信网络中进行通信,对UE和网络实体进行验证。该第三方还用于:创建映射信息,该映射信息包括由身份信息指示的每个身份与相应的临时认证标识符(identifier,ID)之间的映射;以及根据映射信息,向由第三方成功验证的UE和网络实体中的每一个发送相应的临时认证ID。该系统还包括UE被认证以进行访问的一个或多个网络实体,上述网络实体中的每一个用于与UE或其它网络实体基于它们相应的临时认证ID进行通信。
本特征的可能技术优点可以在于,由于通信网络实体(例如小区、基础设施提供商、应用服务器和切片提供商)之间的可能的不信任关系,根据实施例的该系统可以提供统一认证,其可以使网络实体在初始访问网络/服务期间进行相互认证,从而减少网络系统中的大量通信开销。在各实施例中,临时ID可以用于与各网络实体的通信,从而使得敏感信息能够维护在受信任的第三方处。使用临时ID和相互认证可以实现有效的UE ID管理,缓解与UE ID隐私和网络安全相关的问题。
根据实施例,提供了一种用于在通信网络中对用户设备(UE)进行统一认证的方法。该方法包括:第三方获得指示UE或一个或多个网络实体的身份的身份信息,该第三方在通信上被UE和上述网络实体信任并连接到UE和上述网络实体;以及关于UE和上述网络实体是否被授权在通信网络中进行通信,第三方对UE和上述网络实体进行验证。该方法还包括:第三方创建映射信息,该映射信息包括由身份信息指示的每个身份与相应的临时认证标识符(ID)之间的映射;以及根据映射信息,第三方向由第三方成功验证的UE和网络实体中的每一个发送相应的临时认证ID。该方法还包括:UE被认证以进行访问的一个或多个网络实体与UE或其它网络实体基于它们相应的临时认证ID进行通信。
在一些实施例中,网络实体中的每一个还用于管理UE的移动性。上述网络实体可以用于:接收用于更新临时认证ID的请求,该请求包括临时认证ID和发送该请求的实体的ID;以及验证临时认证ID。验证成功后,上述网络实体可以用于:生成一个或多个新临时认证ID,并且更新本地映射信息以包括与新临时认证ID关联的映射;以及向第三方和其它网络实体通知新临时认证ID。
本特征的可能技术优点可以在于,根据实施例的统一认证系统可以减轻高移动性UE的额外消息交换。
上文结合本发明的各个方面描述了实施例,这些实施例可以基于这些方面来实现。本领域技术人员将理解,实施例可以结合描述这些实施例的方面来实现,但也可以与该方面的其它实施例一起实现。当实施例相互排斥或彼此不兼容时,这对于本领域技术人员将是明了的。一些实施例可以结合一个方面进行描述,但也可以适用于其它方面,这对本领域技术人员是明了的。
本发明的一些方面和实施例可以提供
附图说明
结合附图,通过以下详细描述,本发明的进一步特征和优点将变得明了,在附图中:
图1示出了用于当前第三代合作伙伴计划(3GPP)系统中的访问认证的架构。
图2示出了根据实施例的基于分布式可信第三方的访问认证的架构。
图3示出了根据实施例的基于分布式可信第三方的统一认证架构。
图4示出了根据实施例的在分布式可信第三方中的认证、授权和计费(authentication authorization and accounting,AAA)管理功能处使用分配给用户设备(UE)的公钥/私钥在线注册UE的方法。
图5示出了根据实施例的在分布式可信第三方中的AAA管理功能处使用分配给UE的公钥/私钥在线注册UE的方法。
图6示出了根据实施例的多个AAA管理功能的验证过程。
图7示出了根据实施例的在图6的验证过程期间添加至UE公钥链(public keychain,PKC)的块。
图8示出了根据实施例的小区和基础设施提供商注册的方法。
图9示出了根据实施例的分布式可信第三方中的各种类型的链。
图10示出了根据实施例的在当前系统和认证架构中于访问认证过程期间的标识符(identifier,ID)管理。
图11示出了根据实施例的移动UE的初始访问认证过程期间的ID管理。
图12示出了根据实施例的移动UE的初始访问认证方法。
图13示出了根据实施例的在移动UE、小区和Inf AAA处进行初始访问认证的过程。
图14示出了根据实施例的通过客户进行设备访问认证的方法。
图15示出了根据实施例的触发UE的临时UE ID或认证UE ID的更新的方法。
图16示出了根据实施例的由网络实体触发的临时UE ID或认证UE ID更新的示例。
图17示出了根据实施例的由类型I请求实体触发的临时UE ID或认证UE ID更新的方法。
图18示出了根据实施例的由类型II请求实体触发的临时UE ID或认证UE ID更新的方法。
图19示出了根据实施例的用于UE服务订阅提供的方法。
图20在示意图中示出了根据实施例的电子设备。
需要说明的是,在整个附图中,相同的特征由相同的附图标记标识。
具体实施方式
在本公开中,标识符(ID)是指用于唯一地标识实体(例如网络实体、UE等)的信息或信息集合。
本公开提供了基于用于通信服务的分布式可信第三方(例如,利用使用区块链的区块链配置或公钥基础设施(public key infrastructure,PKI)进行配置的)的统一认证架构。统一认证架构可以为参与方(例如用户设备(UE)、应用服务器、基础设施提供商、切片提供商、小区或基站)提供隐私保护(例如ID隐私保护)和(一次性)相互认证,并且管理相应的认证材料(例如,作为UE认证材料之一的UE公钥,UE临时ID或认证ID)。根据实施例,由参与方提供的材料中的一些(例如公钥)存储在它们的链(例如UE公钥链(UE public keychain,UE-PKC)、切片公钥链(slice public key chain,切片-PKC)、服务公钥链(servicepublic key chain,服务器-PKC)、基础设施公钥链(infrastructure public key chain,Inf-PKC)、InfM公钥链(InfM public key chain,InfM-PKC))中。存储在参与方的链中的材料可以受到硬件篡改保护,并且刷新的认证材料可以通过安全通信通道传输。提供了创建和管理一个或多个参与方的链的方法。应当理解,服务公钥是正在使用的公钥或可使用的公钥。
根据实施例,在统一认证架构中,每个角色、参与方或实体(例如服务提供商、切片提供商、基础设施提供商)是解耦的,并且可以充当运营商、供应商或第三方服务提供商。每个角色或UE可以向分布式可信第三方(例如,使用区块链配置所配置的)注册,分别获得相应的公钥/私钥或订阅,并且在分布式可信第三方的支持下进行相互认证。
根据实施例,与由于认证材料存储在归属运营商或服务器中而存在漏洞的当前系统相比,统一认证架构可以降低UE隐私泄露的风险。根据实施例,统一认证架构可以将UE认证与网络操作或服务解耦,并且可以提供漫游通以及较少的通信开销和延迟。在此统一认证架构中,UE的私密和敏感信息可以保存在分布式第三方中。以此方式,UE的私密和敏感信息可以对网络是未知的。网络不知道真实UE ID或真实UE ID与认证ID或临时ID之间的映射信息(例如映射表)。照此,可以保护真实的UE ID隐私(或UE的真实身份)。根据实施例,在统一认证架构中,可以避免伪网络实体,例如伪小区、伪基础设施、伪基站、伪切片提供商和伪服务器。照此,可以有效地减轻参与方之间——特别是基础设施与应用服务器之间——的不信任关系造成的影响。
本公开还提供了用于在通信网络中管理用户设备(UE)的移动性的方法的方法和网络功能(或装置)。该方法可以包括在统一认证架构中于访问认证期间管理UE标识符(例如映射UE ID、刷新临时UE ID或认证UE ID)。访问认证可以包括服务访问认证和网络访问认证。用于管理UE的移动性的方法可以包括生成与UE和网络实体关联的新的临时ID或认证ID,并且将生成的临时ID或认证ID通知给网络实体,以更新它们之间的通信关系。根据实施例,统一认证架构可以启用临时UE ID或认证UE ID。根据实施例,原始的真实UE标识符(ID)存储在分布式可信第三方(例如,被配置为区块链)中,并且临时UE ID或认证UE ID存储在不同的实体或角色中。临时UE ID或认证UE ID被用于会话通信和访问认证。如上所述,在统一认证架构中,临时UE ID或认证UE ID可以在访问认证期间被更新或刷新。以此方式,可以抵抗或防止跟踪攻击。
解耦的UE ID(例如,原始的真实UE ID与临时UE ID或认证UE ID解耦)可以缓解与UE ID隐私和网络安全相关的问题。例如,解耦的UE ID降低了由伪UE发起的拒绝服务(denial of service,DoS)攻击或伪蜂窝塔的恶意活动(例如,由恶意运营商修改的蜂窝塔引起)的风险。
根据实施例,UE可以被配置为机器对机器(machine-to-machine,M2M)设备。例如,UE可以被配置为物联网(internet of things,IoT)设备、可穿戴设备、车载设备(vehicular device/vehicular mounted device/vehicle on-board equipment)或本领域技术人员容易理解的其它UE配置。
根据一些实施例,基于用于通信服务的分布式可信第三方的统一认证架构可以适用于卫星通信和车联网(internet of vehicle,IoV)应用。
图1示出了用于当前第三代合作伙伴计划(3GPP)系统例如5G网络系统中的访问认证的架构100。参考图1,当前的访问认证架构100包括服务访问认证系统110和网络访问认证系统120。服务访问认证系统110包括UE 111、服务器113以及认证、授权和计费(AAA)服务器115。UE 111和服务器113彼此通信连接,并且服务器113和AAA服务器115彼此通信连接。AAA服务器115通信连接至中心根证书颁发机构(certificate authority,CA)131,该中心根证书颁发机构是发布根证书的可信颁发机构。UE 111可以向服务认证服务器115注册以访问应用服务器(例如服务器113)。
网络访问认证系统120包括UE 121、基础设施提供商123、切片提供商125和归属运营商127。UE 121通信连接至基础设施提供商123,该基础设施提供商123通信连接至切片提供商125。基础设施提供商123和切片提供商125中的每一个通信连接至归属运营商127。归属运营商127通信连接至中心根CA131。
在网络访问认证系统120中,UE 121通常向归属运营商127注册并且由归属运营商127认证。注册和认证过程可以通过基础设施提供商123、切片提供商125或两者执行。在此系统中,UE ID(例如SUPI)保存在网络功能中以用于通信。在一些情况下,当需要切片特定认证时,认证可以通过归属公共陆地移动网络(home public land mobile network,hPLMN)的操作进行。例如,切片特定认证可能需要家庭认证服务器功能(homeauthentication server function,hAUSF)的认证。
对于服务访问认证系统110和网络访问认证系统120两者,中心根CA 131可以用于生成和颁发证书。已经意识到,这种中央架构存在缺点。例如,由于大量证书撤销,可能会给中心根CA 131带来很大的负担,并且中心根CA 131经常成为威胁行为者的目标。此外,此中央架构在用户隐私披露方面具有漏洞,因为UE(例如UE 111和UE 121)的敏感认证材料通常保存在归属运营商、网络功能或服务器(例如应用服务器)中以用于(服务)访问认证。此外,多重认证,例如网络访问认证、切片认证、服务访问认证,会导致通信网络中的长延迟和大量开销。中央架构还可能由于UE的移动性而中断网络会话或服务连续性,特别是在高移动性场景中。
为了减弱中央认证架构的这些缺点,本公开提供了如图2所示的统一认证架构。图2示出了根据本发明的实施例的用于基于分布式可信第三方的访问认证的统一认证架构200。架构200便于ID管理、相互认证和UE订阅提供。在架构200中,与当前系统不同,UE的认证材料,例如UE的公钥和临时ID或认证ID,存储在分布式可信第三方(例如,被配置为区块链PKI)中。这种配置可以使架构200提供若干好处,例如提供隐私保护、漫游通以及减少的网络通信开销和延迟。此外,此统一认证架构200是可扩展的和开放的,并且架构200中的每个成员(实体)在权限和/或信任级别上基本上相等,并且例如对等地彼此连接。此外,架构200可以有效地阻止伪网络实体,例如伪小区、伪基础设施、伪基站、伪切片提供商和伪服务器。
参考图2,统一认证架构200包括服务提供商210、切片提供商220、基础设施管理器230、基础设施提供商240、UE 250和分布式可信第三方260中的一个或多个。服务提供商210、切片提供商220、基础设施管理器230、基础设施提供商240和UE 250中的每一个通信连接至分布式可信第三方260。分布式可信第三方260的示例被配置为区块链公钥基础设施(PKI),但它可以是使用其它合适的认证技术的可信方。在一些实施例中,统一认证架构200还可以包括其它网络实体(例如,图2未示出的网络实体),并且如果这些其它网络实体是统一认证架构200的一部分,则它们通信连接至分布式可信第三方260。
根据实施例,服务提供商210、切片提供商220、基础设施管理器230和基础设施提供商240中的每一个可以被解耦,并且例如充当运营商、供应商或第三方服务提供商。服务提供商210、切片提供商220、基础设施管理器230、基础设施提供商240和UE 250中的每一个可以将自身注册到分布式可信第三方260(例如,被配置为区块链PKI),并且获得相应的公钥/私钥或订阅。服务提供商210、切片提供商220、基础设施管理器230、基础设施提供商240和UE 250中的每一个可以在分布式可信第三方260的支持下彼此认证。原始的真实UE ID存储在分布式可信第三方260中,并且各种临时UE ID或认证UE ID分别存储在服务提供商210、切片提供商220、基础设施管理器230和基础设施提供商240中。这些临时UE ID或认证UE ID用于每个实体(例如角色、参与方)之间的会话通信和UE访问认证。
服务提供商210可以是服务提供商,并且通信连接至切片提供商220。服务提供商210与切片提供商220在分布式可信第三方260的支持下彼此认证。服务提供商210和切片提供商220可以使用临时标识符或认证标识符,例如UE_server_TID,用于在它们之间进行会话通信。用于服务提供商210与切片提供商220之间的会话通信的临时标识符或认证标识符可以存储在服务提供商210中。
切片提供商220可以是切片提供商,并且通信连接至基础设施管理器230。切片提供商220与基础设施管理器230在分布式可信第三方260的支持下彼此认证。切片提供商220和基础设施管理器230可以使用临时标识符或认证标识符,例如UE_slice_TID,用于在它们之间进行会话通信。用于切片提供商220与基础设施管理器230之间的会话通信的临时标识符或认证标识符可以存储在切片提供商220中。
基础设施管理器230可以是用于基础设施240的管理器实体,并且通信连接至基础设施提供商240。基础设施管理器230与基础设施提供商240在分布式可信第三方260的支持下彼此认证。基础设施管理器230和基础设施提供商240可以使用临时标识符或认证标识符,例如UE_InfM_TID,用于在它们之间进行会话通信。用于基础设施管理器230与基础设施提供商240之间的会话通信的临时标识符或认证标识符可以存储在基础设施管理器230中。
基础设施提供商240可以用于提供网络资源,以实现网络连接、通信、操作和管理。基础设施提供商240可以通信连接至UE 250。基础设施提供商240与UE 250在分布式可信第三方260的支持下彼此认证。基础设施提供商240和UE 250可以使用临时标识符或认证标识符,例如UE_Inf_TID,用于在它们之间进行会话通信。用于基础设施提供商240与UE 250之间的会话通信的临时标识符或认证标识符可以存储在基础设施提供商240中。
分布式可信第三方260包括一个或多个AAA管理功能265。AAA管理功能265中的每一个可以指示分布式可信第三方260中的AAA。AAA管理功能265可以通过分布式第三方260通信连接至服务提供商210、切片提供商220、基础设施管理器230、基础设施提供商240和UE250中的每一个。服务提供商210、切片提供商220、基础设施管理器230、基础设施提供商240和UE 250中的每一个可以向AAA管理功能265注册。AAA管理功能265可以实现各种任务,例如ID管理、认证、识别和授权,的执行或支持。
图3示出了根据本发明的实施例的基于分布式可信第三方的统一认证架构300。统一认证架构300包括云链层、逻辑网络层、应用层和基础设施层。云链层可以管理不同的链(例如,UE公钥链(UE-PKC)),这些链可以记录业务(transaction,事务、交易)列表。云链层也可以执行UE ID管理,例如提供UE ID映射信息或映射表。云链层可以执行用于访问认证的验证动作,也可以运行其它验证(例如黑名单管理)。逻辑网络层可以管理或控制基础设施提供以及切片的控制、维护和提供。逻辑网络层也可以对网络访问认证或密钥管理进行验证。应用层可以提供服务,并且对服务访问认证或密钥管理进行验证。基础设施层可以提供物理基础设施资源,并且提供网络访问认证。根据实施例,可以认为同一层中的每个域可以彼此不信任。
参考图3,统一认证架构300包括服务提供商310、切片提供商320、基础设施管理器330、基础设施提供商340和分布式可信第三方360中的一个或多个。在一些实施例中,统一认证架构300还可以包括其它网络实体,并且如果这些其它网络实体形成统一认证架构300的一部分,则这些其它网络实体通信连接至分布式可信第三方360。
进一步参考图3,分布式可信第三方360通信连接至切片提供商320(例如切片提供商A和切片提供商B)和基础设施管理器330。分布式可信第三方360可以是区块链公钥基础设施(PKI),但它可以是使用其它合适的认证技术的可信方。服务提供商310可以是服务提供商,并且可以被称为服务提供商310。服务器或服务提供商310可以通信连接至切片提供商320。切片提供商320和基础设施管理器330中的每一个可以通信连接至基础设施提供商340中的一个或多个,如图3所示。
进一步参考图3,服务器-AAA 311是由服务提供商310部署的认证/授权和密钥管理功能。服务器-AAA 311可以或不可以与服务提供商310放置在同一单元中。类似地,切片-AAA 321是由切片提供商320部署的认证/授权和密钥管理功能。切片-AAA321可以或可以不与切片提供商320放置在同一单元中。InfM 330是基础设施控制器或管理器,其可以控制或管理若干基础设施提供商(例如Inf 340)。InfM-AAA331是InfM 330部署的认证/授权和密钥管理功能。InfM-AAA 331可以或可以不与InfM 330放置在同一单元中。Inf-AAA 341是由基础设施提供商或Inf 340部署的认证/授权和密钥管理功能。Inf-AAA 341可以或可以不与Inf 340放置在同一单元中。AAA管理功能365是分布式可信第三方360(例如,其可以用于包括区块链)中的认证/授权和密钥管理功能。
根据实施例,UE(例如移动UE)可以向AAA管理功能(例如AAA管理功能365)注册。在一些实施例中,注册过程可以在现场完成。例如,UE的用户可以将身份证明带给AAA管理功能(例如AAA管理功能365)以注册UE。在一些实施例中,注册过程可以部分或全部在线执行。在一个示例中,UE可以生成其自己的公钥/私钥,并且将公钥连同其识别密码(cipher,暗码)提交给AAA管理功能(例如AAA管理功能365)。识别密码可以包括一个或多个参数,例如,UE的身份证明、UE ID、或指示UE偏好于访问的一个或多个网络或一个或多个服务的UE应用/网络偏好。在另一示例中,AAA管理功能(例如AAA管理功能365)可以为UE生成公钥/私钥集合,并且随后通过安全通信将生成的私钥发送给UE。在一些实施例中,为了确保此安全通信,可以使用会话密钥对包含私钥的发送消息进行加密。当UE与AAA管理功能不处于可信关系时,使用会话密钥进行的这种加密可能是有用的。在一些实施例中,安全通信可以使用由UE或AAA管理功能生成的公钥。
当UE在AAA管理功能(例如AAA管理功能365)处注册时,UE的公钥或其对应证书可以被添加至UE-PKC中。UE被允许访问的网络实体(例如服务提供商310、切片提供商320、基础设施管理器(InfM)330、基础设施提供商(Inf)340)也可以被添加至UE-PKC中。UE的订阅也可以存储在UE中。UE的订阅可以包括与UE关联的一个或多个参数,这些参数可以包括以下各项中的一个或多个:与UE关联的基础设施ID的列表和相应公钥;与UE关联的切片ID的列表和相应公钥;与UE关联的服务ID的列表和相应公钥;与UE关联的基础设施管理器ID的列表和相应公钥;由AAA管理功能生成的临时UE ID或认证ID以及AAA管理功能的用于指示对UE的授权的签名;AAA管理功能的公钥或UE的公钥/私钥。与UE关联的其它参数将容易被本领域技术人员理解。
图4示出了根据本公开的实施例的在分布式可信第三方中的AAA管理功能处使用UE生成的公钥/私钥对UE进行在线注册的方法400。参考图4,在步骤410处,UE 401生成其自己的公钥/私钥、对应于公钥/私钥的UE ID或一个或多个证书。UE的公钥/私钥可以使用例如椭圆曲线密码学(elliptic curve cryptography,ECC)或其它容易理解的合适方法生成。生成的UE ID可以是UE公钥的哈希值。
在步骤420处,UE 401向AAA管理功能402发送注册请求。注册请求可以包括在会话通信中标识用户的临时号码或在步骤410处生成的UE 401的公钥。
响应于注册请求,AAA管理功能402在步骤430处将响应发送给UE 401。响应包括AAA管理功能402的公钥。在一些实施例中,如果AAA管理功能402具有UE 401的公钥,则可以使用UE 401的公钥对响应进行加密。在UE 401与AAA管理功能402彼此不信任的情况下,UE与AAA管理功能可以彼此相互认证。例如,UE 401和AAA管理功能402可以使用现有的质询-响应方法或其它合适的方法彼此认证。
在步骤440处,UE 401将具有识别密码的签名的授权请求发送给AAA管理功能402。识别密码的内容可以包括一个或多个参数,例如UE身份证明(例如,驾驶执照、护照、出生证明、面部筛选或指纹)、UE ID、或可以指示UE 401偏好于访问的一个或多个网络或一个或多个服务的UE应用/网络偏好。在一些实施例中,可以使用AAA管理功能402的公钥对识别密码进行加密。授权请求可以在被发送给AAA管理功能402之前使用UE 401的私钥进行签名。
在接收到签名的授权请求后,AAA管理功能402在步骤450处使用其自己的私钥(即AAA管理功能402的私钥)对识别密码进行解密。当识别密码被解密时,AAA管理功能402检查识别密码中包含的UE身份证明的有效性。UE身份证明的有效性可以通过例如来自政府的全球用户信息数据库或其它适当的手段进行确认。此外,AAA管理功能402验证UE 401的签名。如果UE身份证明是有效的并且UE 401的签名得到验证,则AAA管理功能402将UE 401的公钥和对应的证书或UE 401被允许访问的网络实体(例如服务提供商、切片提供商、基础设施管理器(InfM)和基础设施提供商(Inf))存储在或添加至UE-PKC。
在步骤460处,AAA管理功能402可以将订阅密码发送给UE 401。订阅密码的内容可以包括以下各项中的一个或多个:可用基础设施的列表、可用切片的列表、可用服务的列表、可用基础设施管理器的列表、它们对应的当前公钥、由AAA管理功能402生成的用于UE401的临时UE ID或认证UE ID(例如TB_ui)、AAA管理功能402的用于指示对UE 401的授权的签名、AAA管理功能的公钥和UE的公钥/私钥。在一些实施例中,AAA管理功能402的签名的参数可以包括用于UE 401的临时UE ID或认证UE ID(例如TB_ui)。订阅密码可以使用UE 401的公钥进行加密。在步骤470处,UE 401接收订阅密码,并且对接收到的订阅密码进行解密,并且存储订阅。
图5示出了根据本发明的实施例的在分布式可信第三方中的AAA管理功能处使用UE生成的公钥/私钥对UE进行在线注册的另一方法500。参考图5,在步骤510处,UE 501和AAA管理功能502首先协商用于它们之间的安全通信的会话密钥。在一些实施例中,会话密钥可以使用迪菲-赫尔曼(Diffie-Hellman)密钥交换方法或其它容易理解的合适方法进行协商。
在协商后,UE 501在步骤520处向AAA管理功能502发送注册请求。注册请求可以包括UE 501的识别密码。识别密码的内容可以包括UE 501的身份证明、UE ID、或指示UE 501偏好于访问的一个或多个网络或一个或多个服务的UE应用/网络偏好。识别密码可以使用协商的会话密钥进行加密。
在接收到注册请求后,AAA管理功能502在步骤530处对识别密码进行解密并且获得身份证明。当获得身份证明时,AAA管理功能502检查UE身份证明的有效性。UE身份证明的有效性可以通过例如来自政府的全球用户信息数据库进行确认。如果UE身份证明是有效的,则AAA管理功能502生成UE 501的公钥/私钥以及对应的证书。此外,AAA管理功能502将UE 501的公钥、对应的证书、或UE 501被允许访问的网络实体(例如服务提供商、切片提供商、基础设施管理器(InfM)和基础设施提供商(Inf))存储在或添加至UE-PKC。
然后,在步骤540处,AAA管理功能502向UE 501发送响应。响应包括订阅密码,该订阅密码可以使用会话密钥进行加密。订阅密码的内容可以包括以下各项中的一个或多个:UE 501的公钥/私钥、AAA管理功能502的公钥、可用基础设施的列表、可用切片的列表、可用服务的列表、可用基础设施管理器(InfM)的列表、它们对应的当前公钥、由AAA管理功能502生成的用于UE 501的临时UE ID或认证UE ID(例如TB_ui)、以及AAA管理功能502的用于指示对UE 501的授权的签名。在一些实施例中,订阅密码可以使用UE 501的公钥进行加密。在步骤550处,UE 501接收订阅密码,对接收到的订阅密码进行解密,以及存储订阅。
根据实施例,如果UE的业务被验证,则任何AAA管理功能都可以将UE的公钥、对应的证书、或UE被允许访问的网络实体(例如服务提供商、切片提供商、基础设施管理器(InfM)、基础设施提供商(Inf))添加至UE-PKC中,如图6所示。图6示出了根据本公开的实施例的多个AAA管理功能的验证过程600。图7示出了根据本公开的实施例的在图6的验证过程600期间在UE-PKC中添加的块。
参考图6和图7,在步骤610处,AAA管理功能1 601使用其自己的签名(AAA管理功能1 601的签名)和具有UE的对应签名的经验证业务的列表来构建新块720。块720具有基本字段,例如版本、时间戳、默克尔树(Meckler tree,哈希树)根。块720还可以包括AAA管理功能1 601的签名721、具有对应的UE签名的UE业务(例如UE业务730)的列表722。UE业务730的内容可以包括一个或多个参数,例如UE的公钥731、UE的签名732、与安全性相关的其它信息(例如公钥的到期时间)、或UE请求访问的网络实体(例如服务提供商、切片提供商、基础设施管理器(InfM)、基础设施提供商(Inf))。块720的预哈希723可以由UE N的业务711引用。
一旦构建了块720,则AAA管理功能1 610在步骤620处将块广播给其它AAA管理功能,例如AAA管理功能2 602、AAA管理功能3 603和AAA管理功能n 604。块720可以包括AAA管理功能1 610的签名、UE的签名和UE业务中的一个或多个。根据实施例,AAA管理功能中的每一个(例如AAA管理功能1 610、AAA管理功能2 602、AAA管理功能3 603、AAA管理功能n 604等)可以放置在同一分布式可信第三方(例如区块链PKI)中。
当AAA管理功能2 602、AAA管理功能3 603、AAA管理功能n 604和其它AAA管理功能从AAA管理功能1 610接收到广播的块720时,在步骤630处,这些AAA管理功能中的每一个对块720中包含的一个或多个UE业务进行验证。
在步骤640处,接收广播的块720的AAA管理功能2 602、AAA管理功能3 603、AAA管理功能n 604和其它AAA管理功能将验证结果发送给AAA管理功能1 601。
在运行一个或多个共识方法或一个或多个算法(例如实用拜占庭容错(practicalByzantine fault tolerance,PBFT)、工作证明(proof-of-work,POW))之后,在步骤650处,将块720添加至UE-PKC中。如上所述,块720具有基本字段,例如版本、时间戳、默克尔树根。
根据实施例,切片提供商可以创建或维护网络切片。切片提供商可以首先向AAA管理功能注册,以便验证提交给一个或多个AAA管理功能的网络切片信息并将其添加至切片的公钥链中。在一些实施例中,注册过程可以在现场完成。在一些实施例中,注册过程可以部分或全部在线执行。切片提供商的在线注册过程可以基本上类似于图4和图5所示的UE的在线注册过程。注册后,切片提供商具有其自己的公钥/私钥以及AAA管理功能的公钥。AAA管理功能可以具有切片提供商的公钥、切片提供商的其它信息(例如切片提供商ID)或两者。
在AAA管理功能处进行注册后,切片提供商请求切片-AAA(例如切片提供商部署的切片-AAA)来为每个切片生成一对公钥/私钥。然后,切片-AAA可以对请求业务进行加密,其中可以使用签密或其它加密技术实现加密。请求业务可以包括切片ID、切片的公钥/私钥、对应的证书、切片提供商ID、指示网络切片偏好于使用的一个或多个服务或网络切片的切片应用/网络偏好。切片-AAA将加密的请求业务提交给AAA管理功能进行验证。
验证后,AAA管理功能将切片的公钥或对应的证书添加至切片-PKC中。AAA管理功能发送可以包括切片的订阅的响应。切片的订阅可以包括一个或多个参数,例如AAA管理功能的公钥、基础设施的列表、服务的列表、以及它们的公钥。切片-PKC中的块可以包括一个或多个参数,例如切片ID。
根据实施例,由于动态网络切片的变化,切片的公钥/私钥可能需要定期更新。公钥/私钥更新可以通过切片-AAA向AAA管理功能发送切片的公钥/私钥更新消息来触发。公钥/私钥更新消息可以包括新切片的公钥(更新的公钥)、切片ID或两者。此更新消息可以使用旧切片的私钥进行签名。AAA管理功能接收更新消息,并且使用旧切片的公钥验证签名。验证成功后,AAA管理功能构建有效块并且将其添加至切片-PKC中。AAA管理功能可以将指示公钥更新结果的响应发送给切片-AAA。
根据实施例,基础设施管理器可以将自身注册到AAA管理功能。在一些实施例中,注册过程可以在现场完成。在一些实施例中,注册过程可以部分或全部在线执行。基础设施管理器的在线注册过程可以基本上类似于图4和图5所示的UE的在线注册过程。注册后,基础设施管理器具有其自己的公钥/私钥以及AAA管理功能的公钥。AAA管理功能可以具有基础设施管理器的公钥、基础设施管理器的其它信息(例如InfM ID)或两者。AAA管理功能还将基础设施管理器的公钥、基础设施管理器的其它信息(例如InfM ID)或两者添加至InfM-PKC中。
根据实施例,基础设施管理器的识别密码可以包括一个或多个参数,例如,身份证明和指示基础设施管理器偏好于使用的一个或多个服务或网络切片的基础设施管理器的应用/网络偏好。基础设施管理器的订阅密码可以包括一个或多个参数,例如AAA管理功能的公钥、基础设施提供商的列表、服务的列表、以及它们的公钥。InfM-PKC中的块可以包括一个或多个参数,例如InfM ID。
根据实施例,基础设施管理器的公钥/私钥可能需要更新。基础设施管理器的公钥/私钥的更新可以通过基础设施管理器向AAA管理功能发送基础设施管理器的公钥/私钥更新消息来触发。公钥/私钥更新消息可以包括新基础设施管理器的公钥,该公钥在发送给AAA管理功能之前由旧基础设施管理器的私钥进行签名。AAA管理功能使用基础设施管理器的旧公钥来验证基础设施管理器的签名,并且将验证的基础设施管理器的签名添加至InfM-PKC中。
根据实施例,服务提供商或服务器可以将自身注册到AAA管理功能。在一些实施例中,注册过程可以在现场完成。在一些实施例中,注册过程可以部分或全部在线执行。服务提供商的在线注册过程可以基本上类似于图4和图5所示的UE的在线注册过程。注册后,服务提供商具有其自己的公钥/私钥以及AAA管理功能的公钥。AAA管理功能可以具有服务提供商的公钥、服务提供商的其它信息(例如服务提供商ID)或两者。在向AAA管理功能进行注册后,服务提供商请求服务器-AAA(例如服务提供商部署的服务器-AAA)为每个服务生成一对公钥/私钥,并且将服务的公钥添加至服务器-PKC中。
验证后,AAA管理功能将服务的公钥、服务的其它信息(例如服务ID)或两者添加至服务器-PKC中。服务的订阅可以被提供给服务器-AAA。服务的订阅可以包括一个或多个参数,例如AAA管理功能的公钥、基础设施提供商(Inf)的列表、网络切片或基础设施管理器(InfM)的列表、以及它们的相应公钥。
根据实施例,服务的公钥/私钥可能需要更新。公钥/私钥更新可以通过服务器-AAA向AAA管理功能发送服务的公钥/私钥更新消息来触发。公钥/私钥更新消息可以包括服务的新公钥(更新的公钥)、服务ID或两者。此更新消息可以在发送给AAA管理功能之前使用服务的旧私钥进行签名。AAA管理功能接收更新消息,并且使用服务的旧公钥验证签名。验证成功后,AAA管理功能将服务的新公钥添加至服务器-PKC中。
根据实施例,基础设施提供商可以将自身注册到AAA管理功能。在一些实施例中,注册过程可以在现场完成。在一些实施例中,注册过程可以部分或全部在线执行。基础设施提供商的在线注册过程可以基本上类似于图4和图5所示的UE的在线注册过程。注册后,基础设施提供商具有其自己的公钥/私钥以及AAA管理功能的公钥。AAA管理功能可以具有基础设施提供商的公钥、基础设施提供商的其它信息(例如基础设施提供商ID)或两者。在AAA管理功能进行注册后,基础设施提供商请求Inf-AAA(例如基础设施提供商部署的Inf-AAA)为每个基础设施提供商生成一对公钥/私钥,并且将基础设施提供商的公钥添加至链(例如Inf-PKC)中。
验证后,AAA管理功能将基础设施提供商的公钥、基础设施提供商的其它信息(例如Inf ID)或两者添加至Inf-PKC中。基础设施提供商的订阅可以被提供给Inf-AAA。基础设施提供商的订阅可以包括一个或多个参数,例如AAA管理功能的公钥、服务的列表、网络切片或基础设施管理器(InfM)的列表、以及相应公钥。
随后,Inf-AAA的公钥、小区的公钥和基础设施提供商的用于对UE的授权的签名中的一个或多个可以在安全通信中被传送给小区,如图8所示。因此,小区(或基站)可以持有基础设施提供商的公钥、它自己的公钥/私钥和基础设施提供商的用于对UE的授权的签名中的一个或多个。
根据实施例,基础设施提供商的公钥/私钥可能需要更新。公钥/私钥更新可以通过Inf-AAA向AAA管理功能发送基础设施提供商的公钥/私钥更新消息来触发。公钥/私钥更新消息可以包括基础设施提供商的新公钥(例如,更新的公钥)、基础设施提供商ID或两者。此更新消息可以在发送给AAA管理功能之前使用基础设施提供商的旧私钥进行签名。AAA管理功能接收更新消息,并且使用基础设施提供商的旧公钥来验证签名。验证成功后,AAA管理功能将基础设施提供商的新公钥添加至Inf-PKC中。
图8示出了根据本公开的实施例的小区和基础设施提供商注册的方法800。参考图8,Inf-AAA或Inf提供商802在步骤810处生成其自己的公钥/私钥。在步骤820处,Inf-AAA或Inf提供商802和AAA管理功能803生成或协商用于安全通信的会话密钥。AAA管理功能803将AAA管理功能803的公钥发送给Inf-AAA或Inf提供商802。
在步骤830处,Inf-AAA或Inf提供商802向AAA管理功能803发送具有识别密码的签名的认证请求。识别密码的内容可以包括一个或多个参数,例如身份证明、Inf ID、或指示Inf-AAA或Inf提供商802偏好于使用的一个或多个网络或一个或多个服务的Inf应用/网络偏好。在一些实施例中,可以使用AAA管理功能803的公钥对识别密码进行加密。授权请求在发送给AAA管理功能803之前使用Inf-AAA或Inf提供商802的私钥进行签名。
在接收到签名的认证请求后,AAA管理功能803在步骤840处可以使用其自己的私钥(即AAA管理功能803的私钥)对识别密码进行解密。当识别密码被解密时,AAA管理功能803验证与Inf-AAA或Inf提供商802关联的基础设施提供商的签名。如果基础设施提供商的签名被验证,则AAA管理功能803将基础设施提供商的公钥存储在或添加至Inf-PKC中。
然后,在步骤850处,AAA管理功能803将包括订阅密码的签名的认证响应发送给Inf-AAA或Inf提供商802。订阅密码的内容可以包括以下各项中的一个或多个:AAA管理功能803的公钥、服务的列表、网络切片或基础设施管理器(InfM)的列表、以及它们的公钥。在一些实施例中,订阅密码可以使用Inf-AAA或Inf提供商802的公钥进行加密。在步骤860处,Inf-AAA或Inf提供商802接收订阅密码,对接收到的订阅密码进行解密,以及将其存储在本地。
然后,在步骤870处,以与步骤820至850类似的方式,进行小区801的注册,并且安全地将订阅密码传送给小区801。结果,在步骤880处,小区801保存其公钥/私钥以及基础设施提供商的公钥。在一些实施例中,小区801还可以保存Inf提供商802针对对小区801的授权的签名。在步骤890处,Inf-AAA或Inf提供商802保存小区801的公钥和小区801的ID。在一些实施例中,步骤880和890的顺序可能并不重要。在一些实施例中,步骤880和890同时进行。在一些实施例中,步骤880和890依序发生或反向发生,或在其间具有延迟。
根据实施例,分布式可信第三方(例如区块链PKI)中的任何AAA管理功能都可以是管理员。例如,有权检查用户的身份的政府办公室或AAA管理功能可以是管理员,并且因此验证身份证明(例如驾驶执照、护照、出生证明、面部筛选、指纹)。管理员可以具有若干功能。管理员可以创建或维护各种链(例如认证链),也可以为每个链生成创世块。创世块可以包括用于智能合同或业务批准协议的策略。在一些实施例中,创世块可以是空的。管理员可以添加或删除管理员邀请或其它成员验证的成员。成员可以是AAA管理功能。管理员还可以执行成员的功能,例如查询和验证网络实体(例如UE、切片提供商、InfM、服务提供商和基础设施提供商)以及创建和验证来自个人的业务、来自成员的块或管理员。
根据实施例,管理员创建或维护各种链(例如认证链)。图9示出了根据本公开的实施例的分布式可信第三方中的各种类型的链。UE-PKC 910可以具有一个或多个参数,例如公钥或对应的证书。UE的公钥可以由切片-AAA、切片提供商、InfM-AAA或AAA管理功能进行查询。切片-PKC 920可以具有一个或多个参数,例如在链中的切片的ID、切片的公钥或对应的证书。InfM-PKC 930可以具有一个或多个参数,例如在链中的基础设施管理器的ID(InfM的ID)、InfM的公钥或对应的证书。服务器-PKC 940可以具有一个或多个参数,例如在链中的服务器的ID、服务器的公钥或对应的证书。Inf-PKC 950可以具有一个或多个参数,例如在链中的基础设施提供商的ID(Inf的ID)、Inf的公钥或对应的证书。根据实施例,如果切片的公钥、InfM的公钥、服务器的公钥和基础设施提供商的公钥中的一个或多个过期或受损,则过期或受损的公钥可以用新公钥刷新。在一些实施例中,新公钥可以使用其旧私钥进行签名,并且被发送给AAA管理功能或持有过期或受损公钥的其它成员。
已知的是,由于网络实体之间的不信任关系,网络实体经常受到威胁行为者(例如伪单元、伪基础设施提供商、伪应用服务器和伪切片提供商)的恶意行为的影响。根据实施例,在对网络/服务进行初始访问期间,可以向网络实体提供相互认证,从而减少网络系统中的大量通信开销。在各实施例中,UE的临时ID或UE的认证ID用于与各网络实体的通信,从而使UE的敏感信息仅在可信第三方处。使用临时ID(或UE的认证ID)和相互认证可以实现有效的UE ID管理,缓解与UE ID隐私和网络安全相关的问题,并且提供防止DoS攻击、伪小区检测、漫游通以及较少的通信开销和延迟等优势。
图10示出了当前系统和本公开的实施例的认证架构中的访问认证过程期间的ID管理。在当前系统1010中,在访问认证过程(例如网络访问认证、切片访问认证或服务访问认证过程)期间,UE ID保存在网络功能(例如AMF或UDM中的SUPI)中。例如,UE ID可以在初始注册过程期间从UE 1011发送给归属基础设施提供商1014,在切片认证过程期间从UE1011发送给切片提供商1016,以及在服务认证过程期间从UE 1011发送给服务提供商1018。在这些认证过程期间,UE ID可能被公开或暴露于其它网络实体。此外,用户敏感信息(例如用户凭证)保存在服务器中,例如归属运营商或第三方服务器中的UDM中。由于这些服务器经常成为威胁行为者(例如伪小区)的目标,因此可能会出现安全问题或不良后果,其中可能包括用户隐私泄露。
当前系统1010的另一问题在于,由于网络参与方之间或实体之间的不可信关系,可能需要使用中央权威机构(例如中央根CA 1012)的单独认证。例如,归属基础设施提供商1014、切片提供商1016和服务提供商1018等每个网络实体可能需要使用中心根CA 1012单独进行认证。在一些情况下,当需要切片特定认证时,认证可以通过归属公共陆地移动网络(home public land mobile network,hPLMN)的操作进行。单独认证可能会导致通信网络中的长延迟和大量开销。此外,由于X.509证书等证书的大量证书撤销,中心根CA 1012可能会具有很大的负担。
为了减少当前系统的至少一些缺点,提供了一种在访问网络或服务期间进行ID管理的方法。根据实施例,使用与UE的真实原始ID不同的临时UE ID或认证UE ID来用于网络实体之间的通信。例如,可以使用临时UE ID或认证UE ID(例如UE ID 1)来用于UE 1021与基础设施提供商1024之间的通信,可以使用不同的临时UE ID或认证UE ID(例如UE ID 2)来用于基础设施提供商1024与切片提供商1026之间的通信,并且可以使用另一不同的临时UE ID或认证UE ID(例如UE ID 3)来用于切片提供商1026与服务提供商1028之间的通信。分布式可信第三方1022(例如,可以维护区块链PKI)管理这些临时ID或认证ID,并且执行与ID映射信息相关的任务。根据实施例,参与方、实体或角色(例如UE 1021、基础设施提供商1024、切片提供商1026、服务提供商1028、小区或基站)的相互认证可以在分布式可信第三方1022(例如区块链PKI)的支持下提供。使用临时UE ID或认证UE ID用于进行网络通信的这样方式可以缓解与UE ID隐私和网络安全相关的问题,并且提供漫游通以及较少的通信开销和延迟。
图11示出了根据本公开的实施例的移动UE初始访问认证过程期间的ID管理。统一认证架构1100类似于图3所示的统一认证架构300。
参考图11,UE 1150可以将初始注册请求发送给网络。此初始注册请求消息可以使用UE 1150的私钥进行签名。此请求可以包括一个或多个参数,例如UE 1150的临时ID或认证ID(例如TB_ui)、UE的真实ID、指示UE 1150偏好于选择或访问的一个或多个网络或一个或多个服务的UE网络/服务偏好。可以使用AAA管理功能1165的公钥或AAA管理功能1165的指示对UE 1150的授权的签名来对一个或多个参数进行加密。AAA管理功能1165是分布式可信第三方1160(例如,通过使用区块链提供)中的认证/授权和密钥管理功能。在各实施例中,UE的临时ID或认证ID(例如TB_ui)可以从AAA管理功能1165获得。在一些实施例中,UE的临时ID或认证ID(例如TB_ui)可以是用于生成其它(临时)ID的输入参数,并且可以仅使用一次。UE的网络/服务偏好可以基于一个或多个因素例如对应的计费费用协议或其它协议来确定。
例如,UE的请求首先通过基础设施提供商1140或Inf-AAA1141发送给切片提供商1120、切片-AAA 1121或InfM-AAA 1131。然后,UE的请求可以被发送给服务提供商1110或服务器-AAA1111。然后,UE的请求可以被发送回切片提供商1120、切片-AAA1121或InfM-AAA1131,然后最终被发送给AAA管理功能1165。
根据实施例,统一认证架构1100中的每个角色、参与方或实体(例如,UE 1150、基础设施提供商1140、Inf-AAA 1141、InfM 1130、InfM-AAA1131、切片提供商1120、切片-AAA1121、服务提供商1110、服务器-AAA 1111)使用其自己的私钥对UE的请求进行签名。此外,这些实体中的每一个为UE 1150生成临时ID或认证ID。例如,基础设施提供商1140或Inf-AAA1141可以生成UE_Inf_TID,切片提供商1120、切片-AAA1121或InfM-AAA1131可以生成UE_slice/InfM_TID,并且服务提供商1110或服务器-AAA1111可以生成UE_server_TID。分配给UE 1150的每个临时ID或认证ID可以使用AAA管理功能1165的公钥进行加密。
根据实施例,AAA管理功能1165对密码进行解密并且验证所有签名。验证成功后,AAA管理功能1165创建或更新UE 1150的临时ID映射信息或认证ID映射信息(例如映射表)(例如,临时ID或认证ID到UE 1150的真实UE ID的映射信息(例如,映射表))。AAA管理功能1165还为统一认证架构1100中的每个角色、参与方或实体生成订阅。UE的订阅可以包括一个或多个参数,例如:UE ID映射信息(例如映射表);UE的用于与每个实体进行安全通信的临时会话密钥;允许的基础设施提供商1140、基础设施管理器1130、切片提供商1120、服务器或服务提供商1110的列表和它们的公钥;以及可用的基础设施提供商1140、基础设施管理器(InfM)1130、切片提供商1120、服务器或服务提供商1110的列表和它们的公钥。基础设施提供商1140的订阅可以包括一个或多个参数,例如:由InfM 1130或切片提供商1120生成的临时UE ID或认证UE ID;UE的服务偏好;UE的用于与UE 1150进行通信的临时会话密钥;允许的InfM 1130、切片提供商1120、服务器或服务提供商1110的列表和它们的公钥;以及可用的InfM 1130、切片提供商1120、服务器或服务提供商1110的列表和它们的公钥。基础设施管理器1130的订阅或切片提供商1120的订阅可以包括一个或多个参数,例如:由基础设施提供商1140或服务器1110生成的临时UE ID或认证UE ID;UE的服务偏好;UE的用于与UE 1150进行通信的临时会话密钥;允许的基础设施提供商1140、服务器或服务提供商1110的列表和它们的公钥;以及可用的基础设施提供商1140、服务器或服务提供商1110的列表和它们的公钥。服务器或服务提供商1110的订阅可以包括一个或多个参数,例如由服务器1110分配的临时UE ID或认证UE ID;UE的服务偏好;UE的用于与UE 1150进行通信的临时会话密钥;允许的基础设施提供商1140、基础设施管理器1130、切片提供商1120的列表和它们的公钥;以及可用的基础设施提供商1140、基础设施管理器1130、切片提供商1120的列表和它们的公钥。根据实施例,上述订阅可以使用每个实体的公钥进行加密,并且使用AAA管理功能1165的私钥进行签名。AAA管理功能1165将包含订阅的订阅密码发送回每个实体。
根据实施例,当每个实体或功能接收到订阅密码时,它们对接收到的订阅密码进行验证和解密,并且获得它们包含在订阅密码中的订阅。每个实体或功能可以生成指示对UE 1150的授权的签名。每个实体或功能可以将生成的签名发送给UE 1150。在一些实施例中,每个实体或功能可以基于UE的配置文件偏好生成UE的服务订阅。UE的服务订阅可以使用UE的临时会话密钥进行加密。UE的服务订阅可以包括一个或多个参数,例如关于资源或计费方式的协议或用于在切片-AAA1121或切片提供商1120或基础设施控制器或管理器1130中标识UE 1150的对应的随机ID(例如TK_ss)或用于在服务器1110中标识UE 1150的其它对应的随机ID(例如TK_is)。在接收到订阅密码后,UE 1150对接收到的订阅密码进行验证和解密,并且从解密的订阅密码获得其订阅。UE 1150可以在本地存储订阅和临时UE ID(或认证UE ID)。
根据实施例,实体——例如基础设施提供商1140和UE 1150——可以检测伪小区,从而仅连接至授权(合法)小区。在初始访问过程期间,伪小区可以由UE 1150通过基础设施提供商1140的指示对小区的授权的签名进行检测和标识。伪小区的发现可以在RACH过程之前进行。例如,使用当前技术(例如X.509证书),UE 1150可以使用根CA的公钥来验证由根CA预安装的小区证书。小区证书可以包括在系统信息广播消息中。在伪UE的情况下,伪UE(例如,未注册的UE)可以通过基础设施提供商1140使用AAA管理功能1165的指示对UE的授权的签名进行检测。
根据实施例,为了避免由伪UE发起的DoS攻击或伪蜂窝塔(例如,具有恶意运营商的经修改蜂窝塔)的其它恶意活动,基础设施提供商1140可以验证AAA管理功能1165对UE1150的签名。使用这样的验证,基础设施提供商1140可以确保UE 1150是向AAA管理功能1165注册的或UE 1150是被授权(合法)的。在一些情况下,基础设施提供商1140可以在基础设施提供商1140注册之后从AAA管理功能1165获得UE的临时ID或认证ID(例如TB_ui)。
UE ID可以使用AAA管理功能的公钥进行加密,以便保护UE ID的机密性免受空口攻击。根据实施例,临时UE ID或认证UE ID可以使用AAA管理功能的公钥或UE的临时会话密钥类似地进行加密。为了避免与其它临时ID或认证ID冲突,临时UE ID或认证UE ID可以根据某些功能与从AAA管理功能获得的TB_ui链接(例如一次性使用)。可以使用指示对UE的授权的签名来避免可能对基础设施提供商发起DoS攻击的无效(非法)UE。订阅可以被加密以保护机密性。可以对消息进行签名以保护完整性和不可否认性。可以使用基础设施提供商的用于对小区的授权的签名来避免伪小区。伪小区检测的过程可以在RRC连接建立期间执行。
图12示出了根据本公开的实施例的用于移动UE的初始访问认证的方法1200。根据实施例,当UE 1201初始访问网络时,UE 1201在步骤1210处将初始注册请求发送给Inf-AAA1202、基础设施提供商或基础设施中的移动性管理功能。在步骤1212处,Inf-AAA1202(或基础设施提供商或移动性管理功能)接收初始注册请求消息。在接收到初始注册消息后,Inf-AAA 1202可以验证UE 1201是否是有效的并且不是威胁行为者(例如,伪UE)。如果UE 1201的有效性被验证成功,则UE 1201已经注册。在这种情况下,可以不执行步骤1214而执行步骤1216。如果UE 1201未被验证,则在步骤1214处,可以向UE 1201通知UE 1201未注册。
在步骤1216处,Inf-AAA 1202(或基础设施提供商或移动性管理功能)生成UE的未来临时ID或认证ID(例如,UE_Inf_TID)。UE的未来临时ID或认证ID可以用于在与Inf-AAA1202(或基础设施提供商或移动性管理功能)的未来通信中UE 1201的标识。UE的未来临时ID或认证ID可以使用AAA管理功能1205的公钥进行加密。当UE的未来临时ID或认证ID被生成并加密时,Inf-AAA1202将请求消息发送给切片-AAA/InfM-AAA1203或切片提供商。
请求消息可以包括以下各项中的一个或多个:从AAA管理功能获得的UE 1201的临时ID或认证ID(例如TB_ui);Inf-AAA1202的ID和签名(或基础设施提供商或移动性管理功能的ID和签名);UE的签名;UE的服务偏好;以及加密的UE的未来临时ID或认证ID。在一些实施例中,UE的临时ID或认证ID(例如TB_ui)可以被替换成用于在切片-AAA/InfM-AAA1203或切片提供商或基础设施控制器(也可以被称为基础设施管理器)处标识UE 1201的新随机ID(例如TK_is)。Inf-AAA1202或基础设施提供商的签名的内容可以包括关于基础设施提供商的一些或全部信息,例如基础设施提供商的ID或基础设施提供商的公钥或基础设施提供商的ID的哈希。Inf-AAA 1202或基础设施提供商的签名可以使用基础设施提供商的私钥进行签名。
在接收到初始注册请求后,在步骤1218处,切片-AAA/InfM-AAA 1203或切片提供商或基础设施控制器将初始注册请求发送给服务提供商/服务器-AAA1204(或应用服务器)。切片-AAA/InfM-AAA1203或切片提供商或基础设施控制器还可以将随机ID(例如TK_ss)添加至接收到的请求中。此随机ID可以用于在服务提供商/服务器-AAA 1204处标识UE1201。
在步骤1220处,服务提供商/服务器-AAA 1204(或应用服务器)生成临时UE ID或认证UE ID(例如UE_server_TID)。此临时UE ID或认证UE ID(例如,UE_server_TID)可以用于在与服务提供商/服务器-AAA 1204(或应用服务器)的未来通信中UE的标识。此临时UEID或认证UE ID(例如UE_server_TID)可以使用AAA管理功能1205的公钥进行加密。
然后,服务提供商/服务器-AAA1204(或应用服务器)将初始注册响应发送给切片-AAA/InfM-AAA 1203或切片提供商。该响应可以包括一个或多个参数,例如加密的临时UEID或加密的认证UE ID(例如UE_server_TID)、服务提供商/服务器-AAA 1204(或应用服务器)的ID和签名、接收到的注册请求中的随机ID(例如TK_ss)。服务提供商/服务器-AAA1204(或应用服务器)的签名的内容可以包括关于服务提供商/服务器-AAA1204(或应用服务器)的一些或全部信息,例如服务提供商的ID或服务提供商的公钥或服务提供商的ID的哈希。服务提供商/服务器-AAA1204(或应用服务器)的签名可以使用服务提供商/服务器-AAA1204(或应用服务器)的私钥进行签名。
在步骤1222处,切片-AAA/InfM-AAA1203或切片提供商或基础设施控制器生成临时UE ID或认证UE ID(例如,UE_slice/InfM_TID)。此临时UE ID或认证UE ID(例如,UE_slice/InfM_TID)可以用于在与切片-AAA/InfM-AAA1203或切片提供商或基础设施控制器的未来通信中UE 1201的标识。此临时UE ID或认证UE ID(例如UE_slice/InfM_TID)可以使用AAA管理功能1205的公钥进行加密。然后,切片-AAA/InfM-AAA 1203或切片提供商或基础设施管理器生成其签名,该签名的内容可以包括与切片-AAA/InfM-AAA 1203或切片提供商或基础设施控制器的信息相关的一个或多个参数(例如切片-AAA/InfM-AAA 1203的ID、切片-AAA/InfM-AAA 1203的公钥、切片-AAA/InfM-AAA1203的哈希值)。上述内容可以使用切片-AAA/InfM-AAA1203或切片提供商或基础设施管理器的私钥进行签名。
切片-AAA/InfM-AAA 1203或切片提供商或基础设施管理器可以将查询请求发送给AAA管理功能1205。查询请求可以包括一个或多个参数,例如加密的UE 1201的ID、用于在AAA管理功能1205中标识UE 1201的随机ID(例如TK_sa)、UE 1201的签名、Inf-AAA 1202(或基础设施提供商或移动性管理功能)的ID和签名、切片-AAA/InfM-AAA1203的ID和签名、服务提供商/服务器-AAA1204(或应用服务器)的ID和签名、加密的UE 1201的服务偏好、加密的临时UE ID或加密的认证UE ID(例如,加密的UE_Inf_TID、加密的UE_slice/InfM_TID、加密的UE_server_TID)。
在步骤1224处,对UE 1201、Inf-AAA 1202(或基础设施提供商或移动性管理功能)、切片-AAA/InfM-AAA1203、服务提供商/服务器-AAA 1204(或应用服务器)的签名,AAA管理功能1205分别使用它们的公钥对这些签名进行验证。然后,AAA管理功能1205解密并获得UE的ID,并且创建或更新用于UE 1201的临时ID映射信息或认证ID映射信息(例如映射表)(例如,将临时ID或认证ID映射至UE 1201的真实UE ID)。在验证签名后,AAA管理功能1205生成订阅,该订阅指示允许或授权的参与方或角色的列表和它们的公钥、可用参与方的列表和它们的公钥。例如,当UE 1201的签名被验证时,UE 1201的订阅可以包括一个或多个参数,例如:UE的(临时)ID映射信息(例如映射表);UE的用于与每个角色进行安全通信的临时会话密钥;允许的基础设施/基础设施提供商、切片/InfM、服务器/服务提供商的列表和它们的公钥;以及可用的基础设施/基础设施提供商、切片/InfM、服务器/服务提供商的列表和它们的公钥。UE 1201的订阅可以使用对应的公钥(例如UE的公钥)进行加密,并且可以使用AAA管理功能1205的私钥进行签名。
在步骤1226处,AAA管理功能1205将查询响应发送给切片-AAA/InfM-AAA 1203。此查询响应可以具有一个或多个参数,例如用于在AAA管理功能1205中标识UE 1201的随机ID(例如TK_sa)、签密的UE 1201的订阅、签密的Inf-AAA 1202(或基础设施提供商或移动性管理功能)的订阅、或签密的切片-AAA/InfM-AAA 1203的订阅、以及签密的服务提供商/服务器-AAA 1204(或应用服务器的)的订阅。根据实施例,如果签名没有通过,则响应可以包括随机ID(例如TK_sa)。
Inf-AAA 1202、切片-AAA/InfM-AAA 1203和服务提供商/服务器-AAA1204的订阅的内容如下进行定义。(要说明的是,UE的订阅的内容已在上面定义。)Inf-AAA 1202(或基础设施提供商或移动性管理功能)的订阅可以包括一个或多个参数,例如:UE的用于相关通信的临时ID或认证ID;UE的服务偏好;UE的用于与UE 1201进行通信的临时会话密钥;允许的切片/InfM、服务器/服务提供商的列表和它们的公钥;以及可用的切片/InfM、服务器/服务提供商的列表和它们的公钥。切片-AAA/InfM-AAA 1203的订阅可以包括一个或多个参数,例如:UE的用于相关通信的临时ID或认证ID;UE的服务偏好;UE的用于与UE 1201进行通信的临时会话密钥;允许的基础设施/基础设施提供商、服务器/服务提供商的列表和它们的公钥;以及可用的基础设施/基础设施提供商、服务器/服务提供商的列表和它们的公钥。签密的服务提供商/服务器-AAA(或应用服务器)的订阅可以包括一个或多个参数,例如:UE的用于相关通信的临时ID或认证ID;UE的服务偏好;UE的用于与UE 1201进行通信的临时会话密钥;允许的基础设施/基础设施提供商、切片/InfM的列表和它们的公钥;以及可用的基础设施/基础设施提供商、切片/InfM的列表和它们的公钥。
在步骤1228处,切片-AAA/InfM-AAA1203对从AAA管理功能1205接收的查询响应(例如订阅密码)进行验证和解密,并且获得查询响应(例如订阅密码)中包含的切片-AAA/InfM-AAA1203的订阅。切片-AAA/InfM-AAA1203还生成其指示对UE 1201的授权的签名。切片-AAA/InfM-AAA的签名的内容可以包括一个或多个参数,例如切片-AAA或InfM-AAA1203的ID、用于标识UE 1201的随机ID(例如TK_is)和随机ID的哈希值(例如TK_is的哈希值)。可以使用切片-AAA/InfM-AAA的私钥对签名进行签名。在一些实施例中,签名还可以用于生成UE的服务订阅。UE的服务订阅可以包括一个或多个参数,例如关于允许资源的协议、协定的计费方式和用于标识UE 1201的随机ID(例如TK_is)。UE的服务订阅可以使用UE的临时会话密钥进行加密。
如果切片-AAA/InfM-AAA 1203的订阅包括允许的服务器,则在步骤1230处,切片-AAA/InfM-AAA1203将授权请求发送给允许的服务器。例如,如果切片-AAA/InfM-AAA的订阅指示服务提供商/服务器-AAA1204被允许或授权,则切片-AAA/InfM-AAA1203将授权请求发送给服务提供商/服务器-AAA 1204。授权请求可以使用切片-AAA/InfM-AAA的私钥进行签名。授权请求可以包括一个或多个参数,例如用于在服务提供商/服务器-AAA 1204处标识UE 1201的随机ID(例如TK_ss)、和签密的服务提供商/服务器-AAA的订阅。
在步骤1232处,服务提供商/服务器-AAA 1204对从切片-AAA/InfM-AAA1203接收的授权请求进行验证和解密,并且获得允许的切片-AAA/InfM-AAA的公钥。服务提供商/服务器-AAA 1204可以使用允许的切片-AAA/InfM-AAA的公钥来验证签名的授权请求。如果签名的授权请求被验证,则服务提供商/服务器-AAA 1204生成指示由服务提供商/服务器-AAA1204向UE 1201授予授权的签名。服务提供商/服务器-AAA的签名的内容可以包括一个或多个参数,例如服务提供商/服务器-AAA1204的ID、用于标识UE 1201的随机ID(例如TK_ss)和随机ID的哈希值(例如TK_ss的哈希值)。可以使用服务提供商/服务器-AAA的私钥对签名进行签名。在一些实施例中,签名还可以用于生成UE的服务订阅。UE的服务订阅可以包括一个或多个参数,例如关于允许资源的协议、计费方式和用于标识UE 1201的随机ID(例如TK_ss)。UE的服务订阅可以使用UE的临时会话密钥进行加密。
在步骤1234处,服务提供商/服务器-AAA 1204将授权响应发送给切片-AAA/InfM-AAA 1203。授权响应可以使用服务提供商/服务器-AAA的私钥进行签名。授权响应可以包括一个或多个参数,例如用于在服务提供商/服务器-AAA 1204处标识UE 1201的随机ID(例如TK_ss)、来自服务提供商/服务器-AAA 1204的临时UE ID或认证ID(例如UE_server_TID)、以及服务提供商/服务器-AAA对UE 1201的签名。在一些实施例中,授权响应还可以包括UE的配置文件订阅。在切片-AAA/InfM-AAA 1203不合法(或不被允许)的情况下,授权响应可以不包括服务提供商/服务器-AAA对UE 1201的签名和UE的配置文件订阅。
在步骤1236处,切片-AAA/InfM-AAA 1203接收签名的认证响应,并且使用允许的服务器的公钥(例如,服务提供商/服务器-AAA 1204的公钥)来验证签名的授权响应。如果签名的授权响应被验证,则切片-AAA/InfM-AAA1203接受服务器对UE 1201的签名(例如,服务提供商/服务器-AAA 1204的签名)和来自服务提供商/服务器-AAA 1204的UE的配置文件订阅。然后,切片-AAA/InfM-AAA 1203将注册响应发送给Inf-AAA 1202(或基础设施提供商或基础设施中的移动性管理功能)。注册响应使用切片-AAA/InfM-AAA的私钥进行签名。注册响应可以包括一个或多个参数,例如用于在服务提供商/服务器-AAA 1204处标识UE1201的随机ID(例如TK_is)、服务提供商/服务器-AAA对UE 1201的签名、切片-AAA/InfM-AAA对UE 1201的签名、签密的UE的订阅或签密的Inf-AAA 1202(或基础设施提供商或移动性管理功能)的订阅或来自服务提供商/服务器-AAA1204和切片-AAA/InfM-AAA1203的UE的服务订阅。如果服务提供商/服务器-AAA 1204未通过认证得到验证或允许,则注册响应将不包括服务提供商/服务器-AAA对UE 1201的签名和UE的配置文件订阅。
在步骤1238处,Inf-AAA 1202(或基础设施提供商或基础设施中的移动性管理功能)对注册响应中包含的签密的Inf-AAA(或基础设施提供商或移动性管理功能)的订阅进行验证和解密。然后,Inf-AAA 1202获得允许的切片提供商或InfM(例如,切片-AAA/InfM-AAA 1203)的公钥。Inf-AAA 1202使用允许的切片提供商或InfM(例如,切片-AAA/InfM-AAA1203)的公钥来验证签名的注册响应。如果切片-AAA/InfM-AAA 1203未通过认证得到验证或允许,则Inf-AAA1202(或基础设施提供商或移动性管理功能)拒绝注册响应。如果切片-AAA/InfM-AAA1203被验证,则Inf-AAA 1202存储UE 1201的临时ID或认证ID(例如,UE_slice_TID、UE_InfM_TID、UE_Inf_TID)。在验证之后,Inf-AAA 1202(或基础设施提供商或移动性管理功能)可以生成UE的服务订阅。UE的服务订阅可以包括一个或多个参数,例如关于允许资源的协议和协定的计费方式。UE的服务订阅可以由UE的临时会话密钥进行加密。
在步骤1240处,Inf-AAA 1202(或基础设施提供商或移动性管理功能)将签名的注册响应转发给UE 1201。如果UE 1201未被验证和认证,则响应可以包括从AAA管理功能获得的UE的临时ID或认证ID(例如TB_ui)以及UE 1201的认证失败的指示。另一方面,如果UE1201被验证和认证,则响应可以包括一个或多个参数,例如:从AAA管理功能获得的UE的临时ID或认证ID(例如TB_ui);签密的UE的订阅;来自Inf-AAA 1202(或基础设施提供商或移动性管理功能)、切片-AAA/InfM-AAA 1203或服务提供商/服务器-AAA 1204的加密的UE的服务订阅;Inf-AAA(或基础设施提供商或移动性管理功能)对UE 1201的签名;切片-AAA/InfM-AAA对UE 1201的签名;服务提供商/服务器-AAA对UE 1201的签名。注册响应可以使用Inf-AAA(或基础设施提供商或移动性管理功能)的私钥进行签名。
如果所有签名的验证都通过,则在步骤1242处,UE 1201对签密的UE的订阅进行解密,并且获得允许的Inf-AAA(或基础设施提供商或移动性管理功能)的公钥。UE 1201还存储:UE的订阅;切片-AAA/InfM-AAA 1203的签名;服务提供商/服务器-AAA的签名;来自Inf-AAA 1202(或基础设施提供商或移动性管理功能)、切片-AAA/InfM-AAA 1203和/或服务提供商/服务器-AAA1204的UE的服务订阅。
图13示出了根据本公开的实施例的用于在移动UE、小区和基础设施AAA处进行初始访问认证的过程1300。特别地,过程1300示出了图12中的方法1200的步骤1210至1214和步骤1240至1242,重点在于基础设施AAA。图13的UE 1201对应于图12中的UE 1201,并且小区1301和Inf-AAA1302对应于图12中的小区/Inf-AAA1202。
在步骤1310处,在UE 1201连接至网络之前,建立RRC_connection或确保RRC_connection的建立。然后,在步骤1312处,UE 1201可以直接或通过基站或小区1301将初始注册请求发送给基础设施1302。此请求可以包括一个或多个参数,例如从AAA管理功能获得的UE 1201的临时ID或认证ID(例如TB_ui)、UE的ID、UE的签名和UE的服务偏好。UE的临时ID或认证ID可以使用当前基础设施的公钥(例如Inf-AAA1302的公钥)进行加密,并且UE的真实ID和UE的服务偏好可以使用AAA管理功能的公钥进行加密。在一些实施例中,初始注册请求还可以包括AAA管理功能的指示对UE 1201的授权的签名。初始注册请求可以使用UE的私钥进行签名。UE的签名的内容可以包括UE的信息(例如,UE真实ID、UE的公钥或UE真实ID的哈希值)。
如果初始注册请求通过小区1301发送,则初始注册请求还包括随机ID(例如RNTI),该随机ID可以由小区1301分配以在RRC_connection过程期间标识UE 1201。在步骤1314处,小区/基站1301生成随机ID(例如RNTI)以标识当前会话中的UE 1201。在一些实施例中,随机ID(例如RNTI)可以在初始注册请求中被替换为小区的ID或其它随机ID(例如随机ID1)。此外,在步骤1314处,初始注册请求可以使用小区1301的私钥进行签名。然后,小区/基站1301将签名的注册请求转发给基础设施提供商或Inf-AAA1302。可以说明的是,步骤1310至1314对应于图12中的方法1200的步骤1210。
在步骤1316处,Inf-AAA 1302(或基础设施提供商或移动性管理功能)从小区1301接收初始注册请求消息。在接收到初始注册请求消息后,Inf-AAA 1302可以验证UE 1201是否是有效的并且不是威胁行为者(例如,伪UE)。例如,在UE的临时ID或认证ID保存在基础设施中的情况下,Inf-AAA1302可以检查UE的临时ID或认证ID(例如TB_ui)。在一些实施例中,在接收到初始注册请求消息后,通过使用AAA管理功能的公钥对UE的临时ID或认证ID(例如TB_ui)的哈希值进行解密,Inf-AAA 1302可以验证AAA管理功能(例如,图12中的AAA管理功能1205)的签名。在一些实施例中,在接收到签名的初始注册请求消息后,Inf-AAA1302可以使用小区的公钥来验证所需的签名的初始注册。可以说明的是,步骤1316对应于图12中的方法1200的步骤1212。
如果在步骤1316中成功验证了UE 1201的有效性,则UE 1201已经注册。在这种情况下,不需要执行步骤1318。如果UE 1201未被验证,则Inf-AAA1302(或基础设施提供商或移动性管理功能)在步骤1318处将指示UE 1201未注册的消息发送给UE 1201。可以说明的是,步骤1318对应于图12中的方法1200的步骤1214。
在步骤1320处,Inf-AAA1302(或基础设施提供商或移动性管理功能)将签名的注册响应转发给UE 1201。Inf-AAA1302(或基础设施提供商或移动性管理功能)生成用于对小区1301的授权的签名。可以使用Inf-AAA1302(或基础设施提供商或移动性管理功能)的私钥对签名进行签名。签名的内容可以包括一个或多个参数,例如有效(合法)小区ID、UE的临时ID或认证ID(例如TB_ui)或与UE 1201相关的其它信息。
注册响应可以包括一个或多个参数,例如:从AAA管理获得的UE的临时ID或认证ID(例如TB_ui);签密的UE订阅;来自Inf-AAA1302(或基础设施提供商或移动性管理功能)、切片-AAA/InfM-AAA或服务提供商/服务器-AAA的加密的UE服务订阅;Inf-AAA(或基础设施提供商或移动性管理功能)对UE 1201的签名;切片-AAA/InfM-AAA对UE 1201的签名;服务提供商/服务器-AAA对UE 1201的签名。注册响应可以使用Inf-AAA(或基础设施提供商或移动性管理功能)的私钥进行签名。注册响应还可以包括:基础设施提供商ID;随机ID(例如随机ID1);用于对小区1301的授权的签名的列表;以及使用临时会话密钥进行加密的对应合法小区ID的列表。如果小区1301是有效的(例如合法),则注册响应还可以包括UE的临时ID或认证ID(例如UE_Inf_TID或UE_slice/InfM_TID)。UE的临时ID或认证ID可以使用小区的公钥进行加密。注册响应被发送给小区1301。
在接收到注册响应后,如果小区1301是有效的(例如合法的),则在步骤1322处,小区1301使用Inf-AAA(或基础设施提供商或移动性管理功能)的私钥来验证注册响应消息。验证后,小区1301对注册响应消息进行解密,并且获得UE的临时ID或认证ID。然后,小区1301将注册响应发送给UE 1201。
如果注册响应由Inf-AAA1302(或基础设施提供商或移动性管理功能)签名,则在步骤1324处,UE 1201可以对注册响应、用于对小区1301的授权的签名或两者进行验证。换言之,如果小区广播消息(例如系统信息广播(system information broadcast,SIB)消息)用Inf-AAA(或基础设施提供商或移动性管理功能)的私钥进行签名(如上文在步骤1322所示),则UE 1201可以检测为小区。UE 1201可以使用Inf-AAA(或基础设施提供商或移动性管理功能)的公钥来验证注册响应、用于对小区1301的授权的签名或两者。可以说明的是,UE1201可以在RRC_connection建立之前检测伪小区。为此,用于对小区1301的授权的签名的列表可以包括在小区广播消息或注册响应中。
如果小区1301是有效的(合法的),则在步骤1326处,UE 1201可以与合法小区1301建立新RRC_connection。在建立新RRC_connection后,在步骤1328处,小区1301可以将重传UE的信息的请求发送给Inf-AAA1302(或基础设施提供商或移动性管理功能)。UE的信息可以包括UE的订阅、UE的服务订阅和指示对UE 1201的授权的签名。
在步骤1330处,Inf-AAA1302(或基础设施提供商或移动性管理功能)通过小区1301将UE的信息重传给UE 1201。重传的信息可以包括UE的订阅、UE的服务订阅和指示对UE1201的授权的签名。Inf-AAA 1302(或基础设施提供商或移动性管理功能)还可以向新合法小区1301通知UE的临时ID或认证ID(例如UE_Inf_TID、UE_slice/InfM_TID)。当接收到时,在步骤1332处,小区1301存储UE的临时ID或认证ID(例如UE_Inf_TID、UE_slice/InfM_TID)。
可以说明的是,步骤1320至1332对应于图12中方法1200的步骤1240。
如果签名的验证得到确认,则在步骤1334处,UE 1201对签密的UE的订阅进行解密,并且获得允许的Inf-AAA(或基础设施提供商或移动性管理功能)的公钥。UE 1201还存储:UE的订阅;切片-AAA/InfM-AAA的签名;服务提供商/服务器-AAA的签名;来自Inf-AAA1202(或基础设施提供商或移动性管理功能)、切片-AAA/InfM-AAA 1203和/或服务提供商/服务器-AAA 1204的UE的服务订阅。可以说明的是,步骤1334对应于图12中的方法1200的步骤1242。
在网络系统中,存在通过机器到机器(M2M)设备提供的服务,例如垂直服务。这样的垂直服务可以包括工业仪器和使能传感器或仪表传输设备收集或记录的信息(例如温度等)。提供这样的服务的设备可能具有类似的功能,并且可以由同一公司或同一行业(例如抄表公司)的人使用和共享。在这样的情况下,设备的客户和所有者可以首先执行设备的注册和认证过程,如图14所示。图14示出了根据本公开的实施例的通过客户进行设备访问认证的方法。统一认证架构1400类似于图11所示的统一认证架构1100。
根据实施例,设备1450中的每一个由客户或设备的所有者单独进行认证和授权。换言之,客户1470代表设备1450在网络处执行注册过程。客户1470将初始注册请求发送给分布式可信第三方1460(例如,使用区块链形成)中的AAA管理功能1465,用于请求认证和授权。初始注册请求可以通过服务提供商1410、切片提供商1420、基础设施管理器(InfM)1430和基础设施提供商1440中的一个或多个发送给AAA管理功能1465,如传输流1401所示。初始注册请求可以通过图12中的初始访问认证方法1200的类似步骤进行。在客户1470由AAA管理功能1465验证和认证之后,客户的订阅(例如,关于允许资源的协议、协定的计费方式、其它相关信息和其它协议)和客户的临时ID(或认证ID)被发送回客户1470,如传输流1402所示。客户1470还可以获得信息,例如允许的基础设施/基础设施提供商、切片/InfM的列表和它们的公钥,以及可用的基础设施/基础设施提供商、切片/InfM的列表和它们的公钥。然后,客户的订阅、客户的临时ID(或认证ID)和来自AAA管理功能1465的信息中的一个或多个可以被发送给设备1450,如传输流1403所示。
设备1450可以向客户1470注册。在一些实施例中,设备1450可以离线向客户1470注册。在一些实施例中,设备1450可以在初始注册请求被发送给AAA管理功能1465之前向客户1470注册。根据实施例,各种信息可以嵌入到设备1450中,例如客户的订阅、客户的临时ID(或认证ID)、客户的公钥和设备的公钥/私钥。
在网络系统中,当UE离开归属运营商的注册区域时,需要归属运营商参与网络访问认证和服务访问认证。归属运营商的参与可能会触发额外的消息交换,特别是在高移动性场景下。但是,在本公开的各实施例中,可能不需要额外的消息交换。根据实施例,临时UEID或认证UE ID可以由于安全要求和移动性要求而更新。根据实施例,当参与方或实体或功能已经对UE进行认证时,UE不需要(进一步)由AAA管理功能认证,从而减少由来自归属运营商的额外消息交换所造成的额外开销。
根据实施例,由于安全要求或移动性要求,UE的临时ID或认证ID可能需要刷新或更新。UE临时ID或认证ID的更新可以由UE或网络触发。在这样的情况下,UE可以直接或间接将临时UE ID或认证UE ID更新请求发送给分布式可信第三方(例如,使用区块链配置),以获得一个或多个新参数,例如新TB_ui和指示AAA管理功能对UE的授权的的新签名。图15示出了根据本公开的实施例的触发UE临时ID或认证ID更新的方法1500。
参考图15,在步骤1510处,UE 1501将用于临时UE ID或认证UE ID刷新的请求发送给AAA管理功能1502。临时UE ID或认证UE ID刷新请求可以包括一个或多个参数,例如UEID、指示对UE 1501授权的签名、加密的UE的临时ID或认证ID、以及UE的服务偏好。该请求可以使用AAA管理功能1502的公钥进行加密,并且使用UE的私钥进行签名。
在步骤1520处,AAA管理功能1502使用UE的公钥来验证接收到的请求,并且对接收到的请求进行解密。AAA管理功能1502从解密的请求获得UE的ID。然后,AAA管理功能1502生成UE 1501的新的临时UE ID或认证UE ID(例如,新TB_ui)和指示对UE 1501的授权的新签名。签名的内容可以包括一个或多个参数,例如UE 1501的新的临时UE ID或认证UE ID(例如,新TB_ui)。
在步骤1530处,AAA管理功能1502将对临时UE ID刷新请求的响应发送给UE 1501。此响应可以包括一个或多个参数,例如UE 1501的新的临时UE ID或认证UE ID(例如,新TB_ui)和指示AAA管理功能1502对UE 1501的授权的签名。该响应可以使用UE的公钥进行加密,并且使用AAA管理功能1502的私钥进行签名。
根据实施例,临时UE ID更新可以由网络实体出于安全要求或移动性要求而触发。例如,Inf-AAA可以生成新临时UE ID或新认证UE ID,并且将向相关实体(例如UE、切片-AAA、Inf-AAA)通知临时UE ID或认证UE ID更新。通知后,相关网络实体(例如切片-AAA或Inf-AAA)可以使用UE的新的临时ID或认证UE ID来更新它们与UE的关系,并且向AAA管理功能通知关系更新。可以通过离线、在线或两者的组合向AAA管理功能通知关系更新。
如果UE移动到与UE当前访问的网络实体不同的网络实体(例如基础设施提供商、切片)所覆盖的区域,则新网络实体可以为UE生成新的临时ID或认证ID,并且通知相关网络实体(例如UE、切片-AAA、Inf-AAA)。然后,相关网络实体(例如,切片-AAA或Inf-AAA)可以使用UE的新临时ID或UE的新认证ID来更新它们与UE的关系,并且通过离线、在线或两者的组合向AAA管理功能通知关系更新。
图16示出了根据本公开的实施例的由网络实体触发的临时UE ID或认证UE ID更新的示例。参考图16,统一认证架构1600类似于图14所示的统一认证架构1400。最初可以访问网络实体(服务器1611、切片提供商1621和基础设施提供商1641)的UE 1650移动到由基础设施提供商1642覆盖的区域。在移动后,UE 1650发送用于更新其临时UE ID或认证UE ID的请求。该请求可以包括一个或多个参数,例如接收该请求的网络实体(请求实体)的一个或多个ID、指示对UE 1650的认证的签名、加密的当前临时UE ID或加密的当前认证UE ID、UE的服务偏好、以及UE的配置文件偏好。UE 1650可以通过切片提供商的签名进行验证。如果UE 1650是未注册的UE,则验证可能失败。一旦UE 1650被验证,则基础设施提供商1642生成UE的新临时ID或UE的新认证ID(例如,UE_Inf_TID),并且通知切片提供商1621和服务器1611。切片提供商1621可以通过离线、在线或两者的组合将更新的UE ID信息(例如映射表)发送给分布式可信第三方1660(例如,使用区块链配置)中的AAA管理功能1665。
类似地,如果UE 1650再次移动到由基础设施1643和切片提供商1622覆盖的区域,则可以在UE的临时ID更新请求后使用服务器的签名来验证UE 1650。在验证UE 1650之后,基础设施1643和切片提供商1622生成UE的新的临时ID或认证ID(例如UE_Inf_TID、UE_slice_TID)。这将被通知给服务器1611。切片提供商1622可以通过离线、在线或两者的组合将更新的UE ID信息(例如映射表)发送给分布式可信第三方1660中的AAA管理功能1665。
根据实施例,设想存在用于UE移动性访问认证的三种分类类型的请求实体:(i)I类请求实体(x,A,A);(2)II类请求实体(x,x,A)/(A,x,A)/(A,x,x)/(A,A,x)/(x,A,x);和(3)III类请求实体(x,x,x)。在图16所示的统一认证架构1600中,I类请求实体(x,A,A)可以由箭头1601表示,II类请求实体(x,x,A)/(A,x,A)/(A,x,x)/(A,A,x)/(x,A,x)可以由箭头1602表示。可以说明的是,请求实体的格式为(基础设施ID,切片ID或InfM ID,服务ID)。还可以说明的是,“x”是指任何实体ID,“A”是指已经提供对UE的授权的实体A。
在各实施例中,I类请求实体和II类请求实体可以不需要AAA管理功能认证,但III类请求实体可能需要AAA管理功能认证。例如,进一步参考图16,UE 1650请求包括请求实体(A,A,A)的初始访问认证;然后UE 1650请求可以包括请求实体(B,A,A)或(C,B,A)等的移动性访问认证。如果UE 1650请求请求实体(A,A,A),则意味着UE 1650没有移出实体的注册区域。另一方面,如果UE 1650请求请求实体(x,x,x)(即III类请求实体),则意味着UE 1650可能需要运行初始访问认证,如本文其它地方所示。
图17示出了根据本公开的实施例的由I类请求实体(x,A,A)触发的临时UE ID或认证UE ID更新的方法。根据实施例,当I类请求实体(x,A,A)触发临时UE ID的更新时,UE仅在切片提供商或基础设施管理器(InfM)覆盖的相同注册区域内移动,并且请求相同的服务。当UE被认证和验证时,基础设施提供商或Inf-AAA可以生成UE的临时ID或认证ID(例如UE_Inf_TID)和指示对UE的授权的签名。
参考图17,在步骤1710处,UE 1701将移动性注册请求发送给Inf-AAA或基础设施提供商1702。移动性注册请求可以包括一个或多个参数,例如随机ID、使用当前基础设施(x)的公钥进行加密的请求实体(x,A,A)的ID、使用旧切片(A)/InfM(A)的公钥进行加密的旧的临时ID或认证ID(例如UE_slice/InfM_TID)、旧切片(A)/InfM(A)的指示对UE 1701的授权的签名、使用当前基础设施(x)的公钥进行加密的随机ID(例如TK_is)、使用旧切片(A)/InfM(A)的公钥进行加密的UE的服务偏好。
在接收到移动性注册请求后,在步骤1720处,Inf-AAA或基础设施提供商1702对请求进行解密,并且获得包含在请求中的一个或多个参数。例如,Inf-AAA或基础设施提供商1702获得使用当前基础设施(x)的公钥进行加密的请求实体(x,A,A)的ID和使用当前基础设施(x)的公钥进行加密的随机ID(例如TK_is)。如果Inf-AAA或基础设施提供商1702具有所请求的切片-AAA/InfM-AAA/切片提供商的公钥,则可以在此步骤处验证切片-AAA/InfM-AAA/切片提供商对UE 1701的签名。Inf-AAA或基础设施提供商1702为UE 1701生成用于在未来通信中标识UE 1701的新的临时ID或认证ID(例如,UE_Inf_TID)。如果切片对UE 1701的签名或InfM对UE 1701的签名未被验证(即验证失败),则在步骤1725处,Inf-AAA或基础设施提供商1702向UE 1701通知UE 1701未注册到网络。在此注册失败通知中,可以将随机ID发送给UE 1701。
在步骤1730处,Inf-AAA或基础设施提供商1702将移动性注册请求发送给切片-AAA/InfM-AAA或切片提供商1703。移动性注册请求可以包括一个或多个参数,例如基础设施ID(Inf ID)、使用旧切片(A)/InfM(A)的公钥进行加密的用于UE 1701的新的临时ID或认证ID(例如UE_Inf_TID)、用于在会话通信中标识UE 1701的新随机ID(例如TK_is)、使用切片-AAA/InfM-AAA的公钥进行加密的请求实体、用于UE 1701的其它临时ID或认证ID(例如UE_slice/InfM_TID)以及UE的服务偏好。UE 1701的其他加密的临时ID(例如UE_slice/InfM_TID)和UE的服务偏好也可以被加密。移动性注册请求使用基础设施的私钥进行签名。
在步骤1740处,切片-AAA/InfM-AAA或切片提供商1703验证(签名的)移动性注册请求并且对该请求进行解密。当请求被验证和解密时,切片-AAA/InfM-AAA或切片提供商1703在本地检查UE 1701的(例如其它)临时ID或认证ID(例如UE_slice_TID或UE_InfM_ID)。如果验证成功完成,则切片-AAA/InfM-AAA或切片提供商1703建立或维护针对接收到的临时UE ID或认证ID的映射(例如,UE_slice/InfM_TID与UE_Inf_TID之间的映射)。
在步骤1750处,切片-AAA/InfM-AAA或切片提供商1703将移动性注册响应发送给Inf-AAA或基础设施提供商1702。移动性注册响应可以包括验证结果和一个或多个参数,例如用于在会话通信中标识UE 1701的新随机ID(例如TK_is)、使用当前基础设施(x)的公钥进行加密的用于UE 1701的(其它)临时ID或认证ID(例如,UE_slice/InfM_TID)、使用基础设施(x)的公钥进行加密的UE的服务偏好。移动性注册响应可以使用旧切片(A)/InfM(A)的私钥进行签名。
在步骤1760处,Inf-AAA或基础设施提供商1702接收并且验证移动性注册响应。如果验证成功,则Inf-AAA或基础设施提供商1702生成UE 1701的服务订阅。Inf-AAA或基础设施提供商1702可以建立或维护临时UE ID或认证UE ID(例如UE_Inf_TID)的映射。
在步骤1770处,Inf-AAA或基础设施提供商1702将移动性注册响应发送给UE1701。移动性注册响应可以使用基础设施(x)的私钥进行签名。移动性注册响应可以包括一个或多个参数,例如随机ID、基础设施ID、基础设施对UE 1701的签名、使用会话密钥进行加密的UE的服务订阅。UE的服务订阅可以包括与基础设施或Inf-AAA或基础设施提供商1702关联的临时UE ID或认证UE ID(例如UE_Inf_TID)。
在步骤1780处,UE 1701使用基础设施的公钥来验证签名的移动性注册响应,并且对UE的服务订阅和基础设施对UE 1701的签名进行解密和存储。在收集用于新的临时UE ID或认证UE ID的一些映射信息(例如一个或多个映射表)之后,在步骤1790处,切片-AAA/InfM-AAA或切片提供商1703通过离线、在线或两者的组合将映射信息(例如一个或多个映射表)发送给AAA管理功能。
图18示出了根据本公开的实施例的由II类请求实体(x,x,A)/(A,x,A)/(A,x,x)/(A,A,x)/(x,A,x)触发的临时UE ID或认证UE ID更新的方法。根据实施例,当II类请求实体(x,x,A)/(A,x,A)/(A,x,x)/(A,A,x)/(x,A,x)触发临时UE ID或认证UE ID的更新时,UE在UE的移动时段期间请求相同的服务。虽然UE可以停留在或移出基础设施A的当前注册区域,但UE请求不同的切片提供商或基础设施管理器(InfM)。对于II类请求实体,在UE认证后,切片-AAA/InfM-AAA生成UE的临时ID或认证ID(例如,UE_slice_TID、UE_InfM_TID或UE_Inf_TID)以及指示对UE的授权的签名。当基础设施提供商或Inf-AAA不具有自己的临时UE ID或自己的认证UE ID时,基础设施提供商或Inf-AAA还可以生成指示对UE的授权的签名。
参考图18,在步骤1810处,UE 1801将移动性注册请求发送给Inf-AAA或基础设施提供商1802或移动性管理功能。移动性请求可以包括一个或多个参数,例如请求实体(x,x,A/A,x,A/A,x,x/x,A,x/A,A,x)的ID、UE的临时ID或认证ID、先前切片(A)/InfM(A)对UE1801的具有随机ID(例如TK_is)的授权签名、先前服务器(A)对UE 1801的具有随机ID(例如TK_ss)的授权签名、UE的服务偏好、用于访问Inf_AAA/基础设施提供商1802(或新基础设施)的随机ID。如果需要访问旧基础设施(A),则移动性请求可以包括使用旧基础设施(A)的公钥进行加密的UE 1801的临时ID或认证ID(例如TB_ui)及其来自旧基础设施(A)的对应签名。
关于移动性请求的一个或多个参数,在各实施例中,请求实体(x,x,A/A,x,A/A,x,x/x,A,x/A,A,x)的ID可以使用当前基础设施的公钥(例如Inf-AAA或基础设施提供商1802的公钥)进行加密。加密的UE的临时ID或认证ID可以使用先前实体的公钥进行加密。加密的UE的临时ID或认证ID可以包括:使用先前切片(A)/InfM(A)的公钥进行加密的用于访问旧切片(A)/InfM(A)的UE_slice/InfM_TID、使用旧服务器(A)的公钥进行加密的用于访问旧服务器(A)的UE_server_TID、和/或使用旧基础设施(A)的公钥进行加密的用于访问旧基础设施(A)的UE_Inf_TID。先前切片(A)/InfM(A)对UE 1801的具有随机ID(例如TK_is)的授权签名可以使用当前基础设施提供商的公钥(例如Inf-AAA或基础设施提供商的公钥)进行加密,并且先前服务器(A)对UE 1801的具有随机ID(例如TK_ss)的授权签名可以使用当前基础设施提供商的公钥(例如Inf-AAA或基础设施提供商的公钥)进行加密。UE的服务偏好可以使用先前切片(A)/InfM(A)的公钥、旧服务器(A)的公钥和/或先前基础设施(A)的公钥进行加密。
在接收到移动性请求后,在步骤1812处,Inf-AAA或基础设施提供商1802可以使用服务器-AAA/服务提供商的公钥来验证服务器-AAA/服务提供商的授权签名。此外,Inf-AAA或基础设施提供商1802可以使用切片-AAA/InfM-AAA的公钥来验证切片-AAA/InfM-AAA的授权签名。如果验证失败,则可以执行步骤1814。在步骤1814处,Inf-AAA或基础设施提供商1802发送指示UE未注册到网络的消息。此消息可以包括随机ID(例如TK_is)。如果验证成功,则Inf-AAA或基础设施提供商1802对接收到的移动性请求进行解密,并且在本地检查UE的临时ID或认证ID(例如UE_Inf_TID)。如果UE的临时ID或认证ID(例如UE_Inf_TID)不可用,则将生成UE 1801的新的临时ID或认证ID(例如UE_Inf_TID)并且可以执行步骤1816。
在步骤1816处,Inf-AAA或基础设施提供商1802向切片-AAA/InfM-AAA 1803发送授权请求。授权请求可以包括Inf-AAA或基础设施提供商的ID(Inf ID),并且可以使用Inf-AAA/基础设施提供商的私钥进行签名。授权请求可以包括一个或多个参数,例如:使用当前切片/InfM的公钥(例如切片-AAA/InfM-AAA的公钥)进行加密的请求实体;新随机ID(例如新TK_is),如果通信实体中的任一个是新的;UE的服务偏好;以及UE的临时ID或认证ID(例如UE_Inf_TID)。在各实施例中,加密的UE的服务偏好和UE的临时ID或认证ID(例如UE_Inf_TID)可以使用先前切片(A)的公钥、InfM(A)的公钥或先前服务器(A)的公钥进行加密。
在接收到认证请求后,在步骤1818处,切片-AAA/InfM-AAA 1803验证接收到的授权请求。接收到的授权请求可以使用Inf-AAA/基础设施提供商的私钥进行签名。切片-AAA/InfM-AAA 1803可以对接收到的认证请求进行解密,并且在本地检查UE的临时ID或认证ID(例如UE_slice/InfM_TID)。如果UE的临时ID或认证ID(例如UE_slice/InfM_TID)不可用,则切片-AAA/InfM-AAA1803可以为UE 1801生成新的临时ID或认证ID(例如UE_slice/InfM_TID)以及指示对UE 1801的授权的签名。
在步骤1820处,切片-AAA/InfM-AAA 1803将认证请求发送给服务器-AAA/服务提供商1804。授权请求可以使用切片-AAA/InfM-AAA的私钥进行签名,并且可以包括一个或多个参数,例如:切片ID或InfM ID;Inf ID;用于标识UE 1801的新随机ID(例如,新TK_ss),如果通信实体中的任一个是新的;请求实体的ID;UE的临时ID或认证ID(例如UE_slice/InfM_TID D);以及UE的服务偏好。在各实施例中,UE 1801的临时ID或认证ID中的一个或多个(例如,UE_slice/InfM_TID D)可以使用先前服务器(A)的公钥进行加密。请求实体的ID、UE的临时ID或认证ID和UE 1801的服务偏好中的一个或多个也可以被加密。
在接收到认证请求后,在步骤1822处,服务器-AAA/服务提供商1804对接收到的认证请求进行验证和解密。然后,服务器-AAA/服务提供商1804在本地检查UE的临时ID或认证ID(例如,UE_server_TID)。如果UE的临时ID或认证ID(例如UE_server_TID)不可用,则服务器-AAA/服务提供商1804可以为UE 1801生成新的临时ID或认证ID(例如UE_server_TID)以及指示对UE 1801的授权的签名。
在步骤1824处,服务器-AAA/服务提供商1804将授权响应发送给切片-AAA/InfM-AAA 1803。授权响应可以使用服务器-AAA/服务提供商的私钥进行签名。授权响应可以包括一个或多个参数,例如服务器-AAA/服务提供商的ID、用于标识UE 1801的新随机ID(例如,新TK_ss)、UE的服务订阅、使用切片-AAA/InfM-AAA的公钥进行加密的UE的临时ID或认证ID(例如,UE_server_TID)、对UE 1801的授权签名或UE的服务偏好。
在各实施例中,如果服务器-AAA/服务提供商1804知道UE的服务偏好,则授权响应可以包括UE的服务订阅。UE的服务订阅可以使用会话密钥进行加密。如果切片-AAA/InfM-AAA 1803不知道UE的服务偏好,则授权响应可以包括UE的服务偏好。UE的服务偏好可以使用切片-AAA/InfM-AAA的公钥进行加密。如果UE 1801访问旧服务器(A),则授权响应将不包括对UE 1801的授权签名和UE的服务订阅。UE的临时ID或认证ID(例如UE_server_TID)可以使用切片-AAA/InfM-AAA的公钥进行加密。
在步骤1826处,切片-AAA/InfM-AAA1803对签名的认证响应进行验证,并且建立用于UE 1801的临时ID或认证ID的映射(例如,将UE_server_TID与UE_slice/InfM_TID映射)。
在一些实施例中,在步骤1828处,切片-AAA/InfM-AAA1803可以将ID传递消息发送给服务器-AAA/服务提供商1804。ID传递消息可以包括一个或多个参数,例如用于标识UE1801的新随机ID(例如TK_ss)、UE的临时ID或认证ID(例如UE_slice/InfM_TID)以及UE的服务偏好。如果服务器-AAA/服务提供商1804不具有UE的服务偏好的记录,则UE的服务偏好可以包括在消息中。UE的临时ID或认证ID(例如UE_slice/InfM_TID)和UE的服务偏好可以使用服务器-AAA/服务提供商的公钥进行加密。响应于ID传递消息,在步骤1830处,服务器-AAA或服务提供商1804可以将UE的服务订阅发送给切片-AAA/InfM-AAA 1803。UE的服务订阅可以使用会话密钥进行加密。
切片-AAA/InfM-AAA1803将认证响应发送给Inf-AAA/基础设施提供商1802。授权响应可以使用切片-AAA/InfM-AAA的私钥进行签名,并且包括一个或多个参数,例如服务器-AAA/服务提供商的ID、切片-AAA/InfM-AAA的ID、新随机ID(例如,新TK_is)、UE的临时ID或认证ID(例如UE_slice_TID或UE_InfM_TID)、切片-AAA/InfM-AAA对UE 1801的授权签名、来自服务器-AAA/服务提供商1804的UE的服务订阅、来自切片-AAA/InfM-AAA 1803的UE的服务订阅、以及UE的服务偏好。
在各实施例中,来自服务器-AAA/服务提供商1804的UE的服务订阅和来自切片-AAA/InfM-AAA1803的UE的服务订阅可以被加密。UE的临时ID或认证ID(例如UE_slice_TID或UE_InfM_TID)可以使用Inf-AAA/基础设施提供商的公钥进行加密。如果Inf-AAA/基础设施提供商1802不具有UE的服务偏好的记录,则UE的服务偏好可以使用Inf-AAA/基础设施提供商的公钥进行加密。如果UE 1801访问旧切片(A)/InfM(A),则响应将不包括切片-AAA/InfM-AAA对UE 1801的授权签名和来自切片-AAA/InfM-AAA1803的UE的服务订阅。
在接收到认证响应后,在步骤1834处,Inf-AAA/基础设施提供商1802对接收到的授权响应进行验证,并且建立用于UE 1801的临时ID或认证ID的映射(例如,将UE_slice/InfM_TID与UE_Inf_TID映射)。
在步骤1836处,Inf_AAA/基础设施提供商1802可以将ID传递消息发送给切片-AAA/InfM-AAA1803。ID传递消息可以包括一个或多个参数,例如用于标识UE 1801的新随机ID(例如,新TK_is)、UE的临时ID或认证ID(例如,UE_Inf_TID)以及UE的服务偏好。在各实施例中,UE的临时ID或认证ID(例如,UE_Inf_TID)可以使用切片-AAA/InfM-AAA的公钥进行加密。如果切片-AAA/InfM-AAA1803没有UE的服务偏好的记录,则UE的服务偏好可以使用切片-AAA/InfM-AAA的公钥进行加密。
在步骤1838处,切片-AAA/InfM-AAA1803可以将UE的服务订阅发送给Inf_AAA/基础设施提供商1802。UE的服务订阅可以使用会话密钥进行加密。
在请求实体(A,x,x)的情况下,切片-AAA/InfM-AAA1803仅在步骤1836之后获得UE的服务偏好。在这种情况下,在步骤1840处,切片-AAA/InfM-AAA 1803可以将ID传递消息发送给服务器-AAA/服务提供商1804。ID传递消息可以包括一个或多个参数,例如用于标识UE1801的新随机ID(例如,新TK_ss)、UE的服务偏好。如果服务器-AAA/服务提供商1804不具有UE的服务偏好的记录,则UE的服务偏好可以使用服务器-AAA/服务提供商的公钥进行加密。
在步骤1842处,服务器-AAA/服务提供商1804可以将UE的服务订阅发送给Inf_AAA/基础设施提供商1802。UE的服务订阅可以使用会话密钥进行加密。
在步骤1844处,Inf_AAA/基础设施提供商1802将移动性注册响应发送给UE 1801。移动性注册响应可以使用Inf-AAA/基础设施提供商的私钥进行签名。移动性注册响应可以包括临时UE ID或认证ID(例如UE_slice_TID、UE_InfM_TID、UE_Inf_TID)和用于UE 1801的授权签名中的一个或多个。移动性注册响应可以包括一个或多个参数,例如:用于访问Inf_AAA/基础设施提供商1802(或新基础设施)的随机ID;Inf_AAA/基础设施提供商的ID;切片-AAA/InfM-AAA的ID;服务器-AAA/服务提供商的ID;来自Inf_AAA/基础设施提供商1802、切片-AAA/InfM-AAA 1803或服务器-AAA/服务提供商1804的UE的服务订阅;切片-AAA/InfM-AAA对UE 1801的授权签名;以及服务器-AAA/服务提供商对UE 1801的授权签名。如果UE1801访问旧基础设施(A),则移动性注册响应将不包括来自基础设施提供商的UE的服务订阅。在各实施例中,来自Inf_AAA/基础设施提供商1802、切片-AAA/InfM-AAA 1803或服务器-AAA/服务提供商1804的UE的服务订阅可以被加密。
在步骤1846处,UE 1801使用Inf-AAA/基础设施提供商的公钥对经签名的移动性注册响应进行验证和解密。然后,UE 1801保存或存储一个或多个临时UE ID或认证ID(例如UE_slice_TID、UE_InfM_TID、UE_Inf_TID)和用于UE 1801的授权签名。
在收集新临时UE ID或认证ID的一些映射信息(例如一个或多个映射表)之后,在步骤1848处,切片-AAA/InfM-AAA 1803通过离线、在线或两者的组合将映射信息发送给AAA管理。
本公开的实施例可以提供UE订阅。图19示出根据本公开的实施例的用于UE服务订阅提供的方法。根据实施例,如在本申请的其它地方所示,例如在图12、图17和图18所示,UE的服务订阅可以使用(临时)会话密钥进行加密。如果UE被AAA管理功能认证,则临时会话密钥可以由AAA管理功能分配给UE。此临时会话密钥只能使用一次。
参考图19,在步骤1910处,可以在访问认证过程期间建立会话密钥。在建立访问认证之后,在步骤1920处,UE 1901可以将UE的服务偏好消息发送给实体(例如切片控制器、切片提供商、基础设施提供商或服务提供商)。UE的服务偏好消息可以包括UE 1901偏好的一个或多个资源、计费方法或两者。
在步骤1930处,实体1902可以与相关实体协商UE的服务订阅。在协商完成后,如果UE 1901被认证,则在步骤1940处,实体1902可以将UE服务订阅发送给UE 1901。UE服务订阅可以包括可用的或允许的实体的列表及它们对应的密钥、安全要求(例如,所需的安全粒度(或级别))、请求UE对收集UE数据以增强UE体验的认证、(新)临时UE ID或认证UE ID或其任何组合。UE服务订阅可以使用(临时)会话密钥进行加密。
在一些实施例中,UE服务订阅可以包括在对UE的注册响应中。在这种情况下,UE服务订阅可以在访问认证过程之后协商,并且可以不执行请求UE服务偏好消息的步骤(例如步骤1920)。
在接收到UE服务订阅后,在步骤1950处,UE 1901可以将确认消息发送给实体1902。确认消息可以包括用于收集关于1901的数据的UE授权。
根据实施例,UE服务订阅可以从各种实体(例如切片控制器、切片/InfM提供商、基础设施提供商或服务提供商)接收。但是,可以由切片控制器、切片提供商或基础设施管理器控制的计费服务器可以保存这些UE服务订阅以生成计费或帐单。
图20是根据本公开的不同实施例的电子设备2000的示意图,该电子设备2000可以执行本文中明确或隐式描述的上述方法和特征的任何或所有的操作。例如,配备有网络功能的计算机可以被配置为电子设备2000。电子设备可以是移动设备或形成小区或基站的部分的设备、无线接入节点、控制功能、基础设施或无线通信接入网或核心网中的其它设备。电子设备可以是形成应用提供商、基础设施提供商、基础设施管理器、切片提供商、服务提供商或由所述设备中的一个部署的认证、授权和计费(AAA)服务器(例如切片-AAA、服务器-AAA、Inf-AAA、InfM-AAA等)的一部分的设备。电子设备可以是形成分布式可信第三方的部分的设备或者形成分布式可信第三方中的AAA服务器或AAA管理功能的部分的设备。
如图所示,设备包括:处理器2010,例如,中央处理单元(central processingunit,CPU)或专用处理器例如图形处理单元(graphics processing unit,GPU),或其它这样的处理器单元);存储器2020;非暂时性大容量存储装置2030;I/O接口2040;网络接口2050;和收发器2060,所有这些都通过双向总线2070通信耦合。根据某些实施例,可以使用任何或所有的所描述的元件,或者仅使用这些元件的子集。此外,设备2000可以包括一些元件的多个实例,例如,多个处理器、多个存储器或多个收发器。此外,硬件设备的元件可以直接耦合到其它元件,而不需要双向总线。除了处理器和存储器之外或者作为处理器和存储器的替代,可以使用集成电路等其它电子元件来执行所需的逻辑操作。
存储器2020可以包括任意类型的非暂时性存储器,例如静态随机存取存储器(static random access memory,SRAM)、动态随机存取存储器(dynamic random accessmemory,DRAM)、同步DRAM(synchronous DRAM,SDRAM)、只读存储器(read-only memory,ROM)或其任意组合等。大容量存储器2030可以包括任意类型的非暂时性存储设备,例如固态驱动器、硬盘驱动器、磁盘驱动器、光盘驱动器、USB盘或用于存储数据和机器可执行程序代码的任何计算机程序产品。根据某些实施例,存储器2020或大容量存储装置2030可以在其上记录能由处理器2010执行的用于执行上述任何方法操作的语句和指令。
应当理解,尽管为了说明的目的,本文已经描述了该技术的具体实施例,但在不脱离该技术的范围的情况下,可以进行各种修改。因此,说明书和附图仅被视为对所附权利要求书限定的本发明的说明,并且预期覆盖在本发明的范围内的任何和所有的修改、变型、组合或等同物。特别地,在本技术的范围内提供了用于存储机器可读取的信号的计算机程序产品或程序元件,或程序存储装置或存储设备,例如磁线、磁带、磁盘或光线、光带或光盘等,以用于根据本技术的方法控制计算机的操作和/或根据本技术的系统构造其部分或全部组件。
与本文描述的方法关联的动作可以实施为计算机程序产品中的编码指令。换言之,计算机程序产品是一种计算机可读介质,当计算机程序产品被加载到存储器中并在无线通信设备的微处理器上执行时,软件代码被记录在该介质上以执行方法。
此外,该方法的每个操作可以在任何计算设备(例如个人计算机、服务器、PDA等)上执行,并且依据从任何编程语言(例如C++、Java等)生成的一个或多个程序元件、模块或对象中的一个或多个或部分来执行。另外,每个操作或实现每个所述操作的文件或对象等可以由专用硬件或为此目的设计的电路模块执行。
通过上述实施例的描述,本发明可以仅通过硬件实施,也可以通过软件和必要的通用硬件平台来实施。基于这种理解,本发明的技术方案可以通过软件产品的形式体现。软件产品可以存储在非易失性或非暂时性存储介质中,非易失性或非暂时性存储介质可以是光盘只读存储器(compact disk read-only memory,CD-ROM)、USB闪存盘或可移动硬盘。软件产品包括许多指令,这些指令使得计算机设备(个人计算机、服务器或网络设备)能够执行本发明的实施例中提供的方法。例如,这样的执行可以对应于本文中描述的逻辑操作的模拟。根据本发明的实施例,软件产品可以附加地或替代地包括多个指令,这些指令使得计算机设备能够执行用于对数字逻辑装置进行配置或编程的操作。
尽管已经参考本发明的具体特征和实施例描述了本发明,但是明显在不脱离本发明的情况下可以对本发明做出各种修改和组合。因此,说明书和附图仅被视为对所附权利要求书限定的本发明的说明,并且预期覆盖在本发明的范围内的任何和所有的修改、变型、组合或等同物。
Claims (20)
1.一种用于在通信网络中对用户设备(UE)进行统一认证的系统,所述系统包括:
第三方,所述第三方在通信上被所述UE和一个或多个网络实体信任,并连接到所述UE和所述一个或多个网络实体,所述第三方用于:
获得指示所述UE或所述网络实体的身份的身份信息;
关于所述UE和所述网络实体是否被授权在所述通信网络中进行通信,对所述UE和所述网络实体进行验证;
创建映射信息,所述映射信息包括由所述身份信息指示的每个身份与相应的临时认证标识符(ID)之间的映射,以及
根据所述映射信息,向由所述第三方成功验证的所述UE和所述网络实体中的每一个发送所述相应的临时认证ID;和
所述UE被认证以进行访问的所述一个或多个网络实体,所述网络实体中的每一个用于与所述UE或其它网络实体基于它们相应的临时认证ID进行通信。
2.根据权利要求1所述的系统,其中,所述第三方还用于执行以下各项中的至少一个:
从所述网络实体获得所述临时认证ID;以及
根据指示所述UE的身份的所述身份信息,生成所述临时认证ID。
3.根据权利要求1或2所述的系统,其中,所述第三方还用于:
接收来自所述UE或所述网络实体的请求,所述请求包括由识别密码指示的以下各项中的一个或多个:所述UE或所述网络实体的身份证明;指示所述UE或所述网络实体的身份的所述身份信息;指示所述UE或所述网络实体偏好于访问的网络的偏好;指示所述UE或所述网络实体偏好于访问的服务的偏好,或它们的组合;
验证所接收到的信息是否匹配由所述第三方维护的信息;以及
验证成功后,向所述UE或所述网络实体发送指示一个或多个订阅的信息。
4.根据权利要求3所述的系统,其中,所述请求是用以在所述第三方进行授权的授权请求,并且所述第三方用于通过发送对所述请求的响应来发送所述信息,其中所述响应包括订阅密码。
5.根据权利要求4所述的系统,其中,所述订阅密码指示以下各项中的一个或多个:
可用基础设施提供商的列表和与所述基础设施提供商关联的可用当前公钥;
由网络切片提供商提供的可用切片的列表和与所述网络切片提供商关联的服务公钥;
由服务提供商提供的可用服务的列表和与所述服务提供商关联的服务公钥;
可用基础设施管理器的列表和与所述可用基础设施管理器关联的服务公钥;
所述临时认证ID;
所述第三方中的认证、授权和计费(AAA)管理功能的签名,所述签名指示对所述UE或所述网络实体的授权;
来自所述UE或所述网络实体的公钥和私钥;以及
来自所述第三方中的所述AAA管理功能的公钥。
6.根据权利要求1至5中任一项所述的系统,其中,所述网络实体中的每一个被配置为以下各项中的一个或多个:
服务提供商,用于向所述UE提供服务;
网络切片提供商,用于提供用于所述服务的网络切片资源;
基础设施提供商,用于提供用于支持所述服务的基础设施;
基础设施管理器,用于在访问节点的管理下管理所述基础设施或小区。
7.根据权利要求3所述的系统,其中,所述请求是用以向所述第三方进行注册的初始注册请求,所述请求包括指示一个或多个订阅的信息,所述订阅包括以下各项中的一个或多个:
所述映射信息;
与所述UE关联的临时会话密钥;
所述临时认证ID;
可用基础设施提供商的列表和来自所述可用基础设施提供商的服务公钥;
由网络切片提供商提供的可用切片的列表和来自所述网络切片提供商的服务公钥;
由服务提供商提供的可用服务的列表和来自所述服务提供商的服务公钥;以及
可用基础设施管理器的列表和来自所述可用基础设施管理器的服务公钥。
8.根据权利要求3至7中任一项所述的系统,其中,所述第三方还用于基于指示对所述UE的授权的认证信息对所述一个或多个订阅进行签名,并且所述网络实体中的每一个还用于基于所述第三方的公钥对所指示的订阅进行验证。
9.根据权利要求1至8中任一项所述的系统,其中,所述网络实体中的每一个还用于通过以下操作来管理所述UE的移动性:
接收用于更新所述临时认证ID的请求,所述请求包括所述临时认证ID和发送该请求的实体的ID;
验证所述临时认证ID;
验证成功后,生成一个或多个新临时认证ID,并且更新本地映射信息以包括与所述新临时认证ID关联的映射;
向所述第三方和其它网络实体通知所述新临时认证ID。
10.根据权利要求9所述的系统,其中,所述请求是还包括以下各项中的一个或多个的授权请求:加密的请求实体;随机ID;和与该请求关联的网络实体的一个或多个签名,所述签名中的每一个指示对所述UE的授权。
11.根据权利要求10所述的系统,其中,所述其它网络实体中的每一个还用于:
响应于用于更新所述临时认证ID的所述请求,发送包括所述UE的服务订阅的响应;以及
根据接收到的新临时认证ID,生成指示对所述UE的授权的签名。
12.一种用于在通信网络中对用户设备(UE)进行统一认证的方法,所述方法包括:
第三方获得指示所述UE或一个或多个网络实体的身份的身份信息,所述第三方在通信上被所述UE和所述网络实体信任并连接到所述UE和所述网络实体;
关于所述UE和所述网络实体是否被授权在所述通信网络中进行通信,所述第三方对所述UE和所述网络实体进行验证;
所述第三方创建映射信息,所述映射信息包括由所述身份信息指示的每个身份与相应的临时认证标识符(ID)之间的映射,以及
根据所述映射信息,所述第三方向由所述第三方成功验证的所述UE和所述网络实体中的每一个发送所述相应的临时认证ID;和
所述UE被认证以进行访问的所述一个或多个网络实体与所述UE或其它网络实体基于它们相应的临时认证ID进行通信。
13.根据权利要求12所述的方法,其中,所述第三方执行以下各项中的至少一个:
从所述网络实体获得所述临时认证ID;以及
根据指示所述UE的身份的所述身份信息,生成所述临时认证ID。
14.根据权利要求12或13所述的方法,还包括:
所述第三方接收来自所述UE或所述网络实体的请求,所述请求包括由识别密码指示的以下各项中的一个或多个:所述UE或所述网络实体的身份证明;指示所述UE或所述网络实体的身份的所述身份信息;指示所述UE或所述网络实体偏好于访问的网络的偏好;指示所述UE或所述网络实体偏好于访问的服务的偏好,或它们的组合;
所述第三方验证所接收到的信息是否匹配由所述第三方维护的信息;以及
验证成功后,所述第三方向所述UE或所述网络实体发送指示一个或多个订阅的信息。
15.根据权利要求14所述的方法,其中,所述请求是用以在所述第三方进行授权的授权请求,并且所述第三方通过发送对所述请求的响应来发送所述信息,其中所述响应包括订阅密码。
16.根据权利要求15所述的方法,其中,所述订阅密码指示以下各项中的一个或多个:
可用基础设施提供商的列表和与所述基础设施提供商关联的可用当前公钥;
由网络切片提供商提供的可用切片的列表和与所述网络切片提供商关联的服务公钥;
由服务提供商提供的可用服务的列表和与所述服务提供商关联的服务公钥;
可用基础设施管理器的列表和与所述可用基础设施管理器关联的服务公钥;
所述临时认证ID;
所述第三方中的认证、授权和计费(AAA)管理功能的签名,所述签名指示对所述UE或所述网络实体的授权;
来自所述UE或所述网络实体的公钥和私钥;以及
来自所述第三方中的所述AAA管理功能的公钥。
17.根据权利要求12至16中任一项所述的方法,其中,所述网络实体中的每一个被配置为以下各项中的一个或多个:
服务提供商,用于向所述UE提供服务;
网络切片提供商,用于提供用于所述服务的网络切片资源;
基础设施提供商,用于提供用于支持所述服务的基础设施;
基础设施管理器,用于在访问节点的管理下管理所述基础设施或小区。
18.根据权利要求14所述的方法,其中,所述请求是用以向所述第三方进行注册的初始注册请求,指示一个或多个订阅的所述标识信息包括以下各项中的一个或多个:
所述映射信息;
与所述UE关联的临时会话密钥;
所述临时认证ID;
可用基础设施提供商的列表和来自所述可用基础设施提供商的服务公钥;
由网络切片提供商提供的可用切片的列表和来自所述网络切片提供商的服务公钥;
由服务提供商提供的可用服务的列表和来自所述服务提供商的服务公钥;以及
可用基础设施管理器的列表和来自所述可用基础设施管理器的服务公钥。
19.根据权利要求14至18中任一项所述的方法,还包括:
所述第三方基于指示对所述UE的授权的认证信息对所述一个或多个订阅进行签名;以及
所述网络实体中的每一个基于所述第三方的公钥对所指示的订阅进行验证。
20.根据权利要求12至19中任一项所述的方法,其中,管理所述UE的移动性包括:
所述网络实体中的每一个接收用于更新所述临时认证ID的请求,所述请求包括所述临时认证ID和发送该请求的实体的ID;
所述网络实体中的每一个对所述临时认证ID进行验证;
验证成功后,所述网络实体中的每一个生成一个或多个新临时认证ID,并且更新本地映射信息以包括与所述新临时认证ID关联的映射;
所述网络实体中的每一个向所述第三方和其它网络实体通知所述新临时认证ID。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/031,205 US11689367B2 (en) | 2020-09-24 | 2020-09-24 | Authentication method and system |
US17/031,205 | 2020-09-24 | ||
PCT/CN2021/102535 WO2022062517A1 (en) | 2020-09-24 | 2021-06-25 | Authentication method and system |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116235464A true CN116235464A (zh) | 2023-06-06 |
Family
ID=80741005
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180065026.2A Pending CN116235464A (zh) | 2020-09-24 | 2021-06-25 | 认证方法和系统 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11689367B2 (zh) |
EP (1) | EP4205351A4 (zh) |
JP (1) | JP2023544529A (zh) |
CN (1) | CN116235464A (zh) |
WO (1) | WO2022062517A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220103351A1 (en) * | 2020-09-29 | 2022-03-31 | Ncr Corporation | Cryptographic Lock-And-Key Generation, Distribution, and Validation |
JP7458348B2 (ja) * | 2021-07-05 | 2024-03-29 | 株式会社東芝 | 通信システム、アクセスポイント装置、通信方法及びプログラム |
US20230092245A1 (en) * | 2021-09-17 | 2023-03-23 | Microsoft Technology Licensing, Llc | Resistance to side-channel attacks on 5g network slices |
CN115102695A (zh) * | 2022-06-16 | 2022-09-23 | 西安电子科技大学 | 基于区块链的车联网证书认证方法 |
US11496316B1 (en) * | 2022-07-15 | 2022-11-08 | Datesafe LLC | System and method for identity verification for online dating |
WO2024065312A1 (zh) * | 2022-09-28 | 2024-04-04 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
WO2024065339A1 (zh) * | 2022-09-28 | 2024-04-04 | 北京小米移动软件有限公司 | 一种网络卫星覆盖数据的授权方法、设备及存储介质 |
Family Cites Families (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9756664B2 (en) * | 2014-11-24 | 2017-09-05 | Qualcomm Incorporated | Methods of supporting location and emergency calls for an over-the-top service provider |
EP3035724A1 (en) * | 2014-12-19 | 2016-06-22 | Telefónica, S.A. | Method and system for dynamic managing of subscriber devices with multi-imsi sims in mobile networks |
CN108141756A (zh) * | 2015-09-29 | 2018-06-08 | 瑞典爱立信有限公司 | 促成网络切片管理 |
WO2017063708A1 (en) * | 2015-10-15 | 2017-04-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Apparatus and method for attaching user equipment to a mobile communications network |
FR3067197A1 (fr) * | 2017-06-01 | 2018-12-07 | Orange | Procede de selection d'une tranche de reseau relative a une application |
EP3629614A4 (en) * | 2017-06-29 | 2020-04-29 | Huawei International Pte. Ltd. | NETWORK SLICE ASSIGNMENT METHOD, DEVICE AND SYSTEM |
US20190220474A1 (en) * | 2018-01-16 | 2019-07-18 | Entigenlogic Llc | Utilizing multiple knowledge bases to form a query response |
US10997368B2 (en) | 2018-03-26 | 2021-05-04 | Entigenlogic Llc | Resolving ambiguity in a statement |
EP3547734A1 (en) * | 2018-03-30 | 2019-10-02 | Koninklijke KPN N.V. | Authentication for a communication system |
CN108600272B (zh) * | 2018-05-10 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 一种区块链数据处理方法、装置、处理设备及系统 |
CN108647968A (zh) * | 2018-05-10 | 2018-10-12 | 阿里巴巴集团控股有限公司 | 一种区块链数据处理方法、装置、处理设备及系统 |
CN108737403A (zh) | 2018-05-10 | 2018-11-02 | 阿里巴巴集团控股有限公司 | 一种区块链数据处理方法、装置、处理设备及系统 |
CN108632045A (zh) * | 2018-05-10 | 2018-10-09 | 阿里巴巴集团控股有限公司 | 一种区块链数据处理方法、装置、处理设备及系统 |
US10972463B2 (en) * | 2018-06-06 | 2021-04-06 | Cisco Technology, Inc. | Blockchain-based NB-IoT devices |
US10673618B2 (en) * | 2018-06-08 | 2020-06-02 | Cisco Technology, Inc. | Provisioning network resources in a wireless network using a native blockchain platform |
US10949557B2 (en) * | 2018-08-20 | 2021-03-16 | Cisco Technology, Inc. | Blockchain-based auditing, instantiation and maintenance of 5G network slices |
WO2020092542A1 (en) * | 2018-11-02 | 2020-05-07 | Intel Corporation | Protection of initial non-access stratum protocol message in 5g systems |
US10448251B1 (en) * | 2019-02-28 | 2019-10-15 | At&T Mobility Ii Llc | Blockchain authentication for mobile network access |
EP3932102A1 (en) * | 2019-03-01 | 2022-01-05 | Lenovo (Singapore) Pte. Ltd. | Encrypting network slice credentials using a public key |
EP3713186B1 (en) * | 2019-03-19 | 2024-01-17 | Deutsche Telekom AG | Techniques for enabling unique utilization of identities within a communication network |
US10856150B2 (en) * | 2019-03-22 | 2020-12-01 | Noblis, Inc. | Distributed ledger systems for authenticating LTE communications |
US11172358B2 (en) * | 2019-04-30 | 2021-11-09 | At&T Mobility Ii Llc | Blockchain-based front-end orchestrator for user plane network functions of a 5G network |
US20220303762A1 (en) * | 2019-06-17 | 2022-09-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Serving Network Controlled Network Slice Privacy |
CN110572824B (zh) * | 2019-07-27 | 2023-03-24 | 中国人民解放军战略支援部队信息工程大学 | 基于区块链的异构无线网络切换认证方法及系统 |
CN111093196B (zh) * | 2019-12-30 | 2022-04-08 | 全链通有限公司 | 5g用户终端接入5g网络的方法、用户终端设备及介质 |
-
2020
- 2020-09-24 US US17/031,205 patent/US11689367B2/en active Active
-
2021
- 2021-06-25 CN CN202180065026.2A patent/CN116235464A/zh active Pending
- 2021-06-25 JP JP2023518855A patent/JP2023544529A/ja active Pending
- 2021-06-25 EP EP21870897.2A patent/EP4205351A4/en active Pending
- 2021-06-25 WO PCT/CN2021/102535 patent/WO2022062517A1/en unknown
Also Published As
Publication number | Publication date |
---|---|
EP4205351A4 (en) | 2024-02-21 |
JP2023544529A (ja) | 2023-10-24 |
WO2022062517A1 (en) | 2022-03-31 |
US11689367B2 (en) | 2023-06-27 |
EP4205351A1 (en) | 2023-07-05 |
US20220094546A1 (en) | 2022-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11689367B2 (en) | Authentication method and system | |
EP3329637B1 (en) | System, apparatus and method for optimizing symmetric key cache using tickets issued by a certificate status check service provider | |
US11849029B2 (en) | Method of data transfer, a method of controlling use of data and cryptographic device | |
Alexiou et al. | Vespa: Vehicular security and privacy-preserving architecture | |
Rasheed et al. | Adaptive group-based zero knowledge proof-authentication protocol in vehicular ad hoc networks | |
JP6757845B2 (ja) | 秘密識別子を使用するユーザ機器に関連した動作 | |
Sharma et al. | BlockAPP: Using blockchain for authentication and privacy preservation in IoV | |
EP1972089A2 (en) | Token-based distributed generation of security keying material | |
KR20200123484A (ko) | 인증된 D2D(Device to Device) 통신을 위한 동적 도메인 키 교환 | |
WO2019001834A1 (en) | METHODS AND APPARATUSES FOR CONTROLLING ACCESS TO A NETWORK DEVICE FROM A USER DEVICE | |
Patel et al. | Vehiclechain: Blockchain-based vehicular data transmission scheme for smart city | |
US20190173880A1 (en) | Secure node management using selective authorization attestation | |
He et al. | An accountable, privacy-preserving, and efficient authentication framework for wireless access networks | |
CN115277168B (zh) | 一种访问服务器的方法以及装置、系统 | |
Benarous et al. | Privacy‐preserving authentication scheme for on‐road on‐demand refilling of pseudonym in VANET | |
Bousselham et al. | Security against malicious node in the vehicular cloud computing using a software-defined networking architecture | |
Dougherty et al. | APECS: A distributed access control framework for pervasive edge computing services | |
CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
CN115715004A (zh) | 一种针对大规模异构网络的隐私保护跨域认证方法 | |
Kleberger et al. | Protecting vehicles against unauthorised diagnostics sessions using trusted third parties | |
KR101749449B1 (ko) | 차량형 애드혹 네트워크를 위한 프라이버시를 보존하는 두 단계 익명성 인증 방법 및 시스템 | |
Kumar et al. | An anonymous and authenticated V2I communication with a simplified user revocation and re-registration strategy | |
EP4324159A1 (en) | Secure root-of-trust enrolment and identity management of embedded devices | |
JP2017139026A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
JP2015111440A (ja) | 信頼できる認証およびログオンのための方法および装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |