CN116349266A - 用于跨网络的关键控制消息传递的方法和装置 - Google Patents
用于跨网络的关键控制消息传递的方法和装置 Download PDFInfo
- Publication number
- CN116349266A CN116349266A CN202180065023.9A CN202180065023A CN116349266A CN 116349266 A CN116349266 A CN 116349266A CN 202180065023 A CN202180065023 A CN 202180065023A CN 116349266 A CN116349266 A CN 116349266A
- Authority
- CN
- China
- Prior art keywords
- network
- information
- information container
- communication device
- container
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
网络中的网络设备可以生成网络信息容器,所述网络信息容器包括待发送给通信设备的信息。所述网络是拜访网络服务的所述通信设备的归属网络。所述网络信息容器可以受到完整性保护和/或密码保护。所述网络设备可以通过所述拜访网络向所述通信设备发送消息,所述消息包括所述网络信息容器和凭证指示符,所述凭证指示符指示用于保护所述网络信息容器的凭证的类型。所述凭证的类型可以是3GPP凭证或非3GPP凭证。基于所述凭证的类型,所述通信设备可以通过一个或多个安全参数验证所述网络信息容器,并在验证成功时获取所述网络信息容器中的所述信息,在验证失败时丢弃所述网络信息容器。
Description
本申请要求于2020年9月29日提交的申请号为63/084793、发明名称为“用于私有网络中的关键控制消息传递的方法和装置(Method and Apparatus for CriticalControl Message Transfer in Private Networks)”的美国临时申请的优先权,其全部内容通过引用结合在本文中,如原文再现一般。
技术领域
本公开大体上涉及无线通信,并且在特定实施例中,涉及用于跨网络的关键控制消息传递的技术和机制。
背景技术
当UE位于UE的归属网络的覆盖范围外时,UE可通过拜访网络进行通信。拜访网络可以与归属网络具有业务关系(例如,漫游协议),并可以为UE提供本地连接。拜访网络可以是公共网络,也可以是私有网络。归属网络可以是公共网络,也可以是私有网络。
当UE位于归属网络的覆盖范围外时,归属网络可以引导UE选择拜访网络。例如,归属网络可以为UE提供预配置的优选网络列表,例如公共网络的优选漫游列表或私有网络的优选网络列表。UE可以先通过优选网络列表来选择归属网络优选的拜访网络(例如,选择信誉更高或漫游费用更便宜的拜访网络),然后UE才注册或连接到所选择的拜访网络。
作为另一个示例,归属网络可以提供引导指令(steering instruction),以在UE正在注册或已经连接到拜访网络时将UE引导到更优选的网络。
在任一示例中,当需要在归属网络与该归属网络覆盖范围外的UE之间传递关键信息时,需要保护关键信息的传递。此外,因为拜访网络可能是UE的归属网络请求UE避开的网络,所以还需要对拜访网络隐藏这些关键信息,并避免拜访网络阻止UE与其归属网络之间的通信。
发明内容
本公开的各实施例描述用于跨网络的关键控制消息传递的方法和装置,这些实施例通常实现了技术优势。
根据本公开的一个方面,提供了一种方法,所述方法包括:通信设备通过所述通信设备的第一拜访网络接收来自所述通信设备的第一归属网络的消息,所述消息包括第一网络信息容器和凭证指示符,所述第一网络信息容器包括受到完整性保护和/或密码保护的信息,所述凭证指示符指示用于保护所述第一网络信息容器的凭证的类型;基于所述凭证的类型,所述通信设备通过一个或多个安全参数验证所述第一网络信息容器;当所述第一网络信息容器验证成功时,所述通信设备获取所述第一网络信息容器中包括的所述信息。
可选地,在上述任一方面中,所述消息还包括指示用于保护所述第一网络信息容器的保护机制类型的信息。
可选地,在上述任一方面中,所述保护机制类型包括仅完整性保护、仅密码保护或完整性和密码保护。
可选地,在上述任一方面中,验证所述第一网络信息容器包括:所述通信设备通过所述一个或多个安全参数验证所述第一网络信息容器的完整性;和/或所述通信设备通过所述一个或多个安全参数解密所述第一网络信息容器。
可选地,在上述任一方面中,所述一个或多个安全参数包括以下中的一个或多个:用于验证所述第一网络信息容器或接入网络的安全参数,所述安全参数包括证书、公钥或私钥;密钥标识符;同步(synchronization)或新鲜度(freshness quantity);随机数;或网络安全偏好。
可选地,在上述任一方面中,所述方法还包括:当所述第一网络信息容器验证成功时,所述通信设备执行所述第一网络信息容器中包括的指令。
可选地,在上述任一方面中,所述指令:指示所述通信设备连接到第二拜访网络;或指示所述通信设备基于所述第一归属网络提供的候选网络列表进行网络选择,以选择新的拜访网络。
可选地,在上述任一方面中,所述方法还包括:所述通信设备使用所述凭证指示符指示的所述凭证的类型和/或所述第一网络信息容器中的信息,接入所述第二拜访网络或所述新的拜访网络。
可选地,在上述任一方面中,所述第二拜访网络是所述第一归属网络为所述通信设备配置的优选网络。
可选地,在上述任一方面中,所述方法还包括:所述通信设备通过所述第一拜访网络向所述第一归属网络发送第二网络信息容器,所述第二网络信息容器包括受到完整性保护和/或密码保护的信息。
可选地,在上述任一方面中,所述方法还包括:当所述第一网络信息容器验证不成功时,所述通信设备丢弃所述第一网络信息容器。
可选地,在上述任一方面中,所述凭证的类型包括3GPP凭证或非3GPP凭证。
可选地,在上述任一方面中,所述第一网络信息容器包括以下中的至少一个:网络引导指令、网络引导策略、所述通信设备的优选拜访网络列表、服务或拜访网络的服务质量(quality of service,QoS)要求、所述通信设备的配置和/或能力信息、或安全参数。
可选地,在上述任一方面中,所述消息还包括所述一个或多个安全参数。
可选地,在上述任一方面中,所述消息还包括所述第一归属网络的运营商信息。
可选地,在上述任一方面中,所述消息是非接入层(non-access stratum,NAS)消息。
可选地,在上述任一方面中,所述通信设备具有或不具有通用集成电路卡(universal integrated circuit card,UICC)。
可选地,在上述任一方面中,所述方法还包括:所述通信设备接收与所述通信设备的第二归属网络对应的第三网络信息容器和与所述通信设备的第一归属网络对应的所述第一网络信息容器。
可选地,在上述任一方面中,所述第一归属网络和所述第二归属网络中的一个是私有网络。
可选地,在上述任一方面中,所述第一网络信息容器包括用于接入公共网络的信息和用于接入私有网络的信息。
可选地,在上述任一方面中,所述第一归属网络是公共网络或私有网络。
可选地,在上述任一方面中,所述第一拜访网络是公共网络或私有网络。
可选地,在上述任一方面中,所述消息还包括使用限制信息(information ofusage restriction),根据所述使用限制信息使用所述第一网络信息容器。
可选地,在上述任一方面中,所述方法还包括:所述通信设备在接收所述消息之前,通过所述第一拜访网络与所述第一归属网络进行鉴权(authentication)和授权。
根据本公开的另一方面,提供了一种方法,所述方法包括:第一网络的网络设备确定向通信设备发送第一信息,所述第一网络是所述通信设备的归属网络,所述通信设备由第一拜访网络服务;所述网络设备生成包括所述第一信息的网络信息容器,所述网络信息容器受到完整性保护和/或密码保护;所述网络设备确定用于保护所述网络信息容器的凭证的类型;所述网络设备通过所述第一拜访网络向所述通信设备发送消息,所述消息包括所述网络信息容器和指示所述凭证的类型的凭证指示符。
可选地,在上述任一方面中,所述网络信息容器包括以下中的至少一个:网络引导指令、网络引导策略、所述通信设备的优选拜访网络列表、服务或拜访网络的服务质量(quality of service,QoS)要求、所述通信设备的配置和/或能力信息、或安全参数。
可选地,在上述任一方面中,所述网络引导指令:指示所述通信设备连接到第二拜访网络;或指示所述通信设备基于所述归属网络提供的候选网络列表进行网络选择,以选择新的拜访网络。
可选地,在上述任一方面中,所述消息还包括用于验证所述网络信息容器的一个或多个安全参数。
可选地,在上述任一方面中,所述一个或多个安全参数包括以下中的一个或多个:用于验证所述网络信息容器或接入网络的安全参数,所述安全参数包括证书、公钥或私钥;密钥标识符;同步或新鲜度;随机数;或网络安全偏好。
可选地,在上述任一方面中,所述消息还包括所述归属网络的运营商信息。
可选地,在上述任一方面中,所述消息是非接入层(non-access stratum,NAS)消息。
可选地,在上述任一方面中,所述通信设备具有或不具有通用集成电路卡(universal integrated circuit card,UICC)。
可选地,在上述任一方面中,所述网络信息容器包括用于接入公共网络的信息和用于接入私有网络的信息。
可选地,在上述任一方面中,所述归属网络是公共网络或私有网络。
可选地,在上述任一方面中,所述第一拜访网络是公共网络或私有网络。
可选地,在上述任一方面中,所述消息还包括使用限制信息,根据所述使用限制信息使用所述网络信息容器。
可选地,在上述任一方面中,所述方法还包括:所述网络设备通过所述第一拜访网络从所述通信设备接收包括受到完整性保护和/或密码保护的信息的信息容器。
可选地,在上述任一方面中,所述消息还包括指示用于保护所述网络信息容器的保护机制类型的信息。
可选地,在上述任一方面中,所述保护机制类型包括仅完整性保护、仅密码保护或完整性和密码保护。
可选地,在上述任一方面中,所述凭证的类型包括3GPP凭证或非3GPP凭证。
根据本公开的另一方面,提供了一种装置,所述装置包括:包括指令的非瞬时性内存存储;与所述内存存储通信的一个或多个处理器,其中,当由所述一个或多个处理器执行时,所述指令使所述装置执行上述任一方面。
根据本公开的另一方面,提供了一种存储计算机指令的非瞬时性计算机可读介质,当由第一网络的装置的一个或多个处理器执行时,所述计算机指令使所述装置执行上述任一方面。
根据本公开的另一方面,提供了一种系统,所述系统包括第一网络的网络设备和通信设备,所述第一网络是所述通信设备的归属网络,所述通信设备由拜访网络服务。所述网络设备用于执行:确定向所述通信设备发送第一信息;生成包括所述第一信息的网络信息容器,所述网络信息容器受到完整性保护和/或密码保护;确定用于保护所述网络信息容器的凭证的类型;通过所述拜访网络向所述通信设备发送消息,所述消息包括所述网络信息容器和指示所述凭证的类型的凭证指示符。所述通信设备用于执行:通过所述拜访网络接收来自所述通信设备的所述归属网络的消息;基于所述凭证的类型,通过一个或多个安全参数验证所述网络信息容器;当所述网络信息容器验证成功时,获取所述网络信息容器中包括的第一信息。
本公开的上述方面改进了当UE位于归属网络的覆盖范围外时,UE与其归属网络之间传递信息的安全性,使得UE知道使用哪种类型的凭证来保护传递的信息。基于此,UE能够验证传递的信息。
附图说明
为了更完整地理解本公开及其优势,现在参考下文结合附图进行的描述,在附图中:
图1示出了UE位于其归属网络外的示例性场景的示意图;
图2示出了通信网络的示意图,突出显示了根据现有技术的SoR容器和3GPP凭证的传输;
图3示出了3GPP TS 24.501中的表8.2.8.1.1;
图4示出了实施例NAS消息的示意图,突出显示了私有网络信息容器的通信;
图5为UE、该UE的归属网络和该UE的拜访网络之间的实施例操作的示意图;
图6为UE、该UE的两个归属网络和该UE的拜访网络之间的实施例操作的示意图;
图7为私有网络信息容器密钥(private network information container key)和策略提供(policy provisioning)的实施例方法的示意图;
图8为无线通信的实施例方法的流程图;
图9为无线通信的另一实施例方法的流程图;
图10为无线通信的另一实施例方法的流程图;
图11为实施例通信系统的示意图;
图12A示出了示例性的终端设备(end device,ED);
图12B示出了示例性的基站;以及
图13为可用于实现本文公开的设备和方法的实施例计算系统的框图。
除非另有指示,否则不同图中的对应数字和符号通常指代对应部分。绘制各图是为了清楚地说明实施例的相关方面,因此未必是按比例绘制的。
具体实施方式
下文详细讨论了本公开的实施例的制作和使用。但是,应当理解,本文公开的概念可以在各种特定上下文中体现,并且本文讨论的特定实施例仅仅是说明性的,并不用于限制权利要求的范围。此外,应当理解,在不脱离由所附权利要求书界定的本公开的精神和范围的情况下,可以对本文做出各种改变、替代和更改。
为了便于描述,以下列出了本公开中使用的一些缩写:
●N3IWF:Non-3GPP interworking Function,非3GPP互通功能
●SNPN:Stand-alone Non-Public-Network,独立非公共网络
●UPF:User Plane Function,用户面功能
●DN:Data Network,数据网络
●PLMN:Public-Line-Mobile Network,公共网络-移动网
●SP:Service Provider,服务提供商
●UDM:Unified Data Management,统一数据管理
●NWDAF:NetWork Data Analytic Function,网络数据分析功能
●UICC:Universal Integrated Circuit Card,通用集成电路卡。UICC是在一些高速无线3G网络中使用的手机或笔记本电脑中包括的新一代用户识别模块(subscriberidentification module,SIM)。
●SLA:Service License Agreement,服务许可协议
NAS:Non-Access Stratum,非接入层
在用户设备(user equipment,UE)的归属网络覆盖范围外的UE可以通过UE的拜访网络与归属网络通信。传统上,当要通过拜访网络在归属网络(归属网络是公共网络)与UE之间传递信息时,可以使用第三代合作伙伴项目(third generation partnershipproject,3GPP)凭证和保护机制保护信息,并传输信息。但是,该方案不适用于不使用或不支持3GPP凭证和保护机制的归属网络。不使用或不支持3GPP凭证的归属网络的示例可以包括为私有、非公共用途或为特定用户构建的私有3GPP网络。
本公开的实施例提供了当UE位于归属网络覆盖范围外时,UE与其归属网络之间的通信方法。这些实施例支持通过拜访网络在归属网络与UE之间传递受到完整性保护和/或密码保护的信息,并允许UE知道是使用3GPP凭证和/或保护机制还是使用非3GPP凭证和/或保护机制,以便UE能够选择相应的保护机制和密钥,在UE与归属网络之间安全地传递信息,并接入拜访网络。这些实施例提高了UE位于归属网络覆盖范围外时通信的安全性,并且适用于公共网络和私有网络。
在一些实施例中,网络中的网络设备可以生成网络信息容器,该网络信息容器包括待发送给位于网络的覆盖范围外的通信设备的信息。网络是拜访网络服务的通信设备的归属网络。网络信息容器可以受到完整性保护和/或密码保护。网络设备可以通过拜访网络向通信设备发送消息,该消息包括网络信息容器和凭证指示符,凭证指示符指示用于保护网络信息容器的凭证的类型。所述凭证的类型可以是3GPP凭证或非3GPP凭证。根据凭证的类型,通信设备可以通过一个或多个安全参数验证网络信息容器,并在验证成功时获取网络信息容器中的信息,在验证失败时丢弃网络信息容器。在下文中提供更多详细信息。
当UE位于UE的归属网络的覆盖范围外时,UE可以使用拜访网络进行通信。UE的归属网络可以是UE已订阅的网络,例如用户订阅通信服务的网络。拜访网络可以与归属网络具有业务关系(例如,漫游协议),并为UE提供本地连接。拜访网络可以是公共网络或私有网络。归属网络可以是公共网络,也可以是私有网络。(注:漫游(Roaming)是公共网络的特定术语,其中涉及一些监管要求。术语“漫游”现在一般不用于私有网络。)
图1示出了UE位于其归属网络覆盖范围外的示例性场景100的示意图。如图所示,UE 105位于其归属网络110的覆盖范围外,但位于拜访网络120、130的覆盖范围内。在图1中,每个椭圆表示相应网络的覆盖范围。UE可以选择UE进行无线通信的拜访网络120或130。当UE位于归属网络110的覆盖范围外时,归属网络110可以引导UE 105选择拜访网络。
归属网络110通常有两种方式来引导UE 105的选择。在一种方式中,归属网络110可以为UE提供预配置的优选网络列表,例如公共网络的优选漫游列表或私有网络的优选网络列表。UE 105可以先通过优选网络列表来选择归属网络110优选的拜访网络(例如,选择信誉更高或漫游费用更便宜的拜访网络),然后UE才注册或连接到所选择的拜访网络。例如,当UE 105位于归属网络110的覆盖范围外时,UE 105可以根据归属网络110提供的优选网络列表来选择拜访网络130。
在另一种方式中,归属网络110可以提供引导指令,以在UE 105正在注册或已经连接到拜访网络时将UE引导到更优选的网络。例如,当UE 105位于归属网络110的覆盖范围外时,UE连接到拜访网络120。UE 105可以从归属网络110接收指示UE 105连接到归属网络可能优选的拜访网络130的引导指令。
使用优选网络对UE和UE的归属网络均有利(例如,漫游费用更低)。已经提出了解决方案,使得已经订阅了UE的UE服务提供商在其UE已经注册或连接到不优选的网络时将该UE引导到更优选的网络。
3GPP引入了一种机制,使得使用3GPP定义的凭证和安全机制的公共归属网络将其UE引导到优选的公共拜访网络,称为“漫游优选”(steering of roaming,SoR),其中公共归属网络使用公共拜访网络的控制面通过SoR容器向UE发送引导指令。当私有归属网络不使用3GPP凭证和安全机制时,SoR机制可能不适合私有归属网络。私有网络可以是为私有用户或非公共用户或为特定用户构建的网络。例如,企业网络是只有企业用户才能接入而不是普通公众能接入的私有网络。使用5G规范构建的私有网络可以使用3GPP规范中定义的相同协议、相同过程和相同消息机制,但此类私有网络可以使用非3GPP凭证(例如证书、公钥/私钥等)进行鉴权。3GPP正在研究解决方案,允许私有归属网络的服务提供商在其UE注册或连接到拜访网络时将该UE引导到另一个拜访网络。在3GPP SA2(架构工作组)和3GPP SA3(安全工作组)中,新3GPP R17关于私有网络的网络增强研究项目(FS_NPN)。2020年5月7日提交的申请号63/021460、发明名称为“用于网络发起的SNPN部署连续性的方法和装置(Methodand Apparatus for Network Initiated Continuity of SNPN Deployments)”的美国临时申请引入了一种私有网络引导机制,其中私有网络向UE发送特殊的引导指令,该申请通过全文引用结合在本文中。
UE的归属网络可以向UE提供优选网络列表和一个或多个引导指令,以便指导/引导UE到归属网络更需要的拜访网络。这两个信息,即优选网络列表和一个或多个引导指令,可以由UE在不同的连接阶段使用。例如,优选网络列表可以用于UE的网络选择阶段,一个或多个引导指令可以在UE处于连接状态时使用。因此,传递信息存在不同的安全问题,具体如下所述。
在任何情况下,例如,当网络无法预测UE将接入的位置时,网络可能无法向UE提供优选网络列表。
当UE位于归属网络的覆盖范围外时,UE需要连接到拜访网络。基本假设是,拜访网络(即使拜访网络由于高漫游费用等而不是归属网络运营商优选的)性能良好(例如,在不修改其内容的情况下,将信令流量一直载送到UE的归属网络;即使信令的目的是将UE重定向到另一个网络,也不会故意丢弃信令流量等)。在这种假设下,归属网络不应担心UE当前连接的拜访网络在将优选网络列表转发给UE之前会修改从归属网络发送给UE的信息,例如优选网络列表。然而,当优选网络列表通过当前连接的拜访网络发送到UE时,归属网络要采取的更谨慎的动作可以是为优选网络列表提供安全保护。特别是当UE正在接入不属于优选网络列表中的拜访网络或拜访网络性能不佳时,这将有助于保护优选网络列表的传递。
如上所述,当UE接入归属网络时,归属网络可能无法在任何情况下向UE提供适当的优选网络列表。因此,当UE例如第一次接入拜访网络时,需要实时提供这样的网络优选列表。归属网络可能需要通过拜访网络向UE发送列表。
如果UE已经连接到拜访网络,并且来自归属网络的优选网络列表不会触发UE离开当前连接的拜访网络到另一个网络,则归属网络无需担心当前连接的拜访网络在将优选网络列表转发给UE之前会修改优选网络列表。
引导信息(steering information)(引导指令(steering instruction))用于将UE从当前连接的拜访网络引导到新的拜访网络。引导信息是控制消息的一个示例。然而,即使当前连接的拜访网络性能良好,当前连接的拜访网络仍然可能存在修改引导指令以将UE保持在其网络中的风险。因此,来自归属网络的引导指令和归属网络尝试发送给UE的任何其它信息需要具有安全保护(例如,完整性保护(integrity protection)和/或加密码保护(ciphering protection)),以避免修改了该控制消息和其它信息。
考虑到上述各种情况和关注点,需要从UE的归属网络发送并由拜访网络(例如,私有网络)转发给UE的关键控制信息,例如UE的归属网络确定的引导信息或拜访网络的优选列表,受到端到端(end-to-end,E2E)保护。类似地,还需要对UE通过拜访网络发送到归属网络的关键控制信息进行E2E保护。不能保证拜访网络(例如,性能不佳的网络或其他用户以前可能提供过负面评论或评级的网络)在不可能滥用或操纵控制信息的情况下递送控制信息。
当前的3GPP标准定义了专用的容器(例如,SoR容器)来携带完整性保护的公共网络SoR指令,例如具有从3GPP凭证派生(derive,也称为推导、导出)出的密钥的公共网络SoR指令。3GPP凭证可以包括用于唯一标识UE订阅的长期密钥和订阅标识符,这些密钥和订阅标识符可以用于UE和3GPP核心网的相互鉴权。3GPP凭证也可用于派生其它安全参数。这些3GPP凭证可以在UE(例如,如果有则存储在UE的UICC中,例如SIM卡)与UE的归属网络(例如,存储在UDM中)之间共享。因此,SoR容器与3GPP凭证和UE中的UICC紧密相连。
目前,SoR容器受到完整性保护。3GPP TS 33.501,V15.4.0,R15(2019-05)中规定了完整性保护和相关算法,该版本通过引用并入本文。作为示例,可以基于UE与公共归属网络之间的一次鉴权过程(primary authentication procedure,也称为首次鉴权过程、主鉴权过程)生成密钥(例如,Kausf)。然后,归属网络使用密钥对SoR容器进行完整性保护,例如,通过使用完整性算法计算SoR容器的消息鉴权码(第一个代码)。消息鉴权码可以附加到SoR容器中并发送。UE可以使用相同的密钥来验证在传输过程中是否修改了SoR容器。例如,UE可以基于接收到的SoR容器计算消息鉴权码(第二个代码),并通过比较第二个代码与接收到的第一个代码来验证SoR容器的完整性。由于SoR容器仅受到完整性保护,因此可以接收SoR容器的人仍然可以看到该SoR容器。但是,对SoR容器的任何修改都是可以检测到的。修改SoR容器时计算的完整性代码(或消息鉴权码)将与SoR容器发送方的代码不同。
图2示出了通信网络的示意图200,突出显示了根据现有技术的SoR容器和3GPP凭证的传输。网络200包括UE 222的公共归属网络202。UE 222包括UICC 224。公共归属网络202包括存储3GPP凭证的UDM 204。公共归属网络202可以通过网络功能(networkfunction,NF)306向UE 222传输包含SoR指令的SoR容器,以及存储在UDM 204中的3GPP凭证。UE 222可以将接收到的3GPP凭证存储在UICC 224中。UE可以基于保存的3GPP凭证派生出密钥,并验证接收到的SoR容器。图3示出了3GPP TS 24.501,V16.5.1,R16(2020-08),“5G;5G系统(5G system,5GS)的非接入层(non-access-stratum,NAS)协议;阶段3”中的表8.2.8.1.1,该表通过引用并入本文。图3示出了表8.2.8.1.1中的SoR透明容器。
但是,对于一些独立私有网络,使用非3GPP凭证进行鉴权和接入独立私有网络。这些私有网络可以使用非3GPP凭证和保护机制,与3GPP凭证和保护机制不同。例如,私有网络可以使用公钥/私钥方案来保护传输的信息(容器)。UE可以使用归属网络的公钥保护容器,只有拥有私钥的归属网络才能恢复或验证容器。非3GPP凭证可以采取若干形式,例如基于非3GPP凭证派生出密钥,并使用密钥保护容器完整性/隐私;直接使用(非3GPP凭证的)私钥通过网络保护容器完整性/隐私,而UE使用网络的公钥确认容器,等等。因此,当前的SoR机制不适合不使用或不支持3GPP凭证进行容器鉴权和后续保护的私有网络。此外,UE可能没有存储3GPP凭证或非3GPP凭证的UICC。因此,例如图2中的上述现有技术可能不适合使用。此外,当UE同时订阅了公共网络和私有网络(即,UE有两个归属网络)时,这两个网络可以使用不同的安全或密钥机制。UE与归属网络之间需要协调,以选择正确的机制和正确的密钥,以在UE与归属网络之间安全地传达引导指令和其它信息。
因此,归属网络的服务提供商需要方法和装置来使用非3GPP凭证通过拜访网络向其UE提供控制信息,例如引导指令。本公开实施例提供了一种通过UE的拜访网络在UE与UE的归属网络之间传递信息的机制。这些实施例提高了通信的安全性,允许对拜访网络隐藏信息,并避免拜访网络阻止UE与其归属网络之间的通信(因为拜访网络可能是UE的归属网络请求UE避开的网络)。这些实施例适用于公共网络和私有网络。
在一些实施例中,可以建立新的私有网络信息容器(或称为网络信息容器),以通过UE的拜访网络(即,UE位于归属网络的覆盖范围)在UE的归属网络与UE之间传达需要安全保护的信息,例如移动指令。本公开中使用的术语“私有网络信息容器”仅仅用以区分于传统的SoR容器,不应限于仅涉及私有网络的情况。私有网络信息容器是专用的私有网络信息容器,用于在UE与其私有归属网络之间交换关键信息,UE与其私有归属网络都可能不实现3GPP定义的凭证和安全机制。私有网络信息容器可以在NAS消息或任何其它适用消息中传输。根据保护机制,私有网络信息容器的内容可以用从非3GPP凭证(例如,证书、公钥或私钥等)派生出的安全参数来保护。安全参数可以通过一次鉴权过程(根据3GPP TS 33.501,V15.4.0,R15(2019-05)的规范,每个接入公共网络或私有网络的UE都需要经历一次鉴权过程)或鉴权过程后的专用密钥创建过程建立、确定或派生。例如,当先前使用的密钥已经过期时,可以执行专用密钥创建过程。在这种情况下,可以在不运行另一个一次鉴权过程的情况下刷新密钥。例如,根据3GPP TS 33.501,鉴权过程可以是一次鉴权或一次鉴权之后的二次鉴权。可以建立实施例机制,允许UE和归属网络交换指示,以指示当UE能够支持多种安全机制或具有不同的订阅时,允许哪个安全机制和容器(传统上已经定义了用于传递优选公共网络列表的容器)用于归属网络传达移动指令。这些实施例对不支持实施例机制的UE没有影响。在下面的描述中,术语“私有网络信息容器”和“容器”可互换使用。
图4示出了根据本公开的实施例的NAS消息400的实施例,突出显示了私有网络信息容器的通信。NAS消息400可以通过位于归属网络覆盖范围外的UE的拜访网络在UE与UE的归属网络之间进行传递。NAS消息400可以由UE发送,也可以由归属网络发送。NAS消息400可以是用于携带网络信息容器的任何现有或未来NAS消息。NAS消息400,例如,可以为更新或附着消息、鉴权消息、服务请求等。如图所示,NAS消息400包括凭证指示402、安全参数404(包括一个或多个参数)、私有网络信息容器406和归属运营商信息408。
凭证指示402指示与私有网络信息容器406一起使用的凭证的类型,例如,3GPP凭证或非3GPP凭证。例如,凭证指示402可以指示用于对私有网络信息容器406进行完整性保护的密钥是基于3GPP凭证还是基于非3GPP凭证。密钥可以通过UE与其归属网络之间的鉴权过程获取,也可以根据归属网络的凭证派生得到。因此,凭证指示402指示用于保护容器的凭证的类型。作为另一个示例,凭证指示402可以指示UE将使用哪种类型的凭证(例如,3GPP或非3GPP)来接入拜访网络,例如,对拜访网络进行鉴权。凭证指示402还可以指示应用于私有网络信息容器406的保护类型(例如,安全机制)。例如,保护类型可以是仅3GPP或非3GPP完整性、仅3GPP或非3GPP密码、或3GPP或非3GPP完整性和密码。这里的密码保护也称为隐私保护,其中发送方使用密码密钥等一个或多个安全参数,基于发送方和接收方双方商定的加密算法加密信息,信息的接收方可以使用密码密钥等一个或多个安全参数解密受到密码保护的信息。密码密钥可以是公钥或私钥。通常,用于对信息/消息进行加密码/加密的安全参数例如可以包括密钥和同步度,也可以包括小区ID、小区正在使用的频率和/或消息的传输方向(即,上行或下行)等其它参数。保护类型可以与凭证指示402一起指示,或者与凭证指示402分开指示。作为示例,凭证指示402可以是指示将使用何种类型的凭证和/或安全机制的标志(或指示符)。例如,如果标志设置为(或指示)3GPP(例如,使用一个比特“0”),则意味着3GPP凭证和安全机制(例如,完整性保护)用于私有网络信息容器406。如果标志设置为非3GPP(例如,使用一个比特“1”),则意味着非3GPP凭证和安全机制(例如,完整性和密码保护)用于私有网络信息容器406。作为另一个示例,凭证指示402可以是指示使用3GPP还是非3GPP凭证的一个比特,NAS消息400包括保护指示符,该保护指示符可以是两个比特,以指示应用于容器的保护类型。本领域的技术人员或普通技术人员将认识到用于指示凭证类型和保护类型的许多变化、修改和实施例。
安全参数404可用于验证私有网络信息容器406。私有网络信息容器406可以受到完整性保护和/或密码保护。接收私有网络信息容器406的UE可以使用安全参数404(其也可以基于所指示的保护类型)验证(确认或鉴权)私有网络信息容器406的完整性和隐私。安全参数404可以包括以下信息中的一个或多个:
一个或多个参数,例如证书、公钥和/或私钥等,可用于验证私有网络信息容器406,或用于接入/连接拜访网络(例如,对拜访网络进行鉴权);
密钥标识符。例如,密钥标识符可以标识要使用的密钥或密钥对(例如,公钥/私钥对),例如,用于验证容器406(例如,计算消息)或用于接入/连接拜访网络;
同步或新鲜度(例如,单调递增的计数器或序列号,用于密码同步的计数器)。同步或新鲜度有助于确保容器的保护在未来无法重放(replay);
指示将使用哪种保护算法(哪种完整性保护算法或哪种密码保护算法)的指示符;
随机数。随机数类似于同步或新鲜度,但可以随机生成。提供随机数的目的是避免受保护信息的重放;或
网络安全偏好(例如,网络安全策略相关信息)。例如,可以包括要接入的网络的安全偏好/策略。
凭证指示402和安全参数404可以由UE或UE的归属网络等私有网络信息容器406的发送方提供。
这些实施例中的私有网络信息容器406可以用于在UE与UE的归属网络之间传达信息,这需要E2E完整性和/或隐私保护。包含在私有网络信息容器406中的信息可以由UE用于选择、连接和/或接入拜访网络,或者可以由UE的归属网络用于为UE配置一个或多个拜访网络,例如优选拜访网络。私有网络信息容器406可以包括以下信息中的一个或多个:
网络引导指令。这可以从归属网络传输到UE。
网络引导策略。这可以从归属网络传输到UE。网络引导策略的示例可以包括UE可用于引导到的多个拜访网络的偏好顺序、网络地理位置限制等。偏好可以基于安全保护要求确定。例如,第一偏好可以是需要密码和完整性保护,第二偏好可以是需要密码保护,第三偏好可以是需要完整性保护。例如,如果拜访网络需要密码保护,而UE不支持,则UE可以不选择拜访网络。
UE的优选拜访网络列表。这可以从归属网络传输到UE。UE的归属网络可以确定/配置优选拜访网络列表,供UE选择一个要引导到的网络。
对UE的服务(例如,当前服务)或UE的拜访网络(目标拜访网络)的服务质量(quality of service,QoS)要求。这可以从UE传输到UE的归属网络。QoS可以是提供给UE的服务所要求的要求,也可以是拜访网络必须满足的要求。例如,当UE确定当前拜访网络不满足QoS时,UE可以确定连接到另一个拜访网络,即使当前拜访网络可能已经满足其它网络引导策略。UE选择并连接到哪个拜访网络可以是基于一个或多个因素做出的决策,例如:引导策略(例如,网络引导策略)、安全策略(例如,归属网络要求或UE支持的安全保护类型)、(例如,UE和/或服务的)QoS要求、UE能力(UE capability)(例如,UE是否支持某种类型的保护,或RF能力)等。基于这些要求,UE可以用于选择归属网络最适合优选的网络。可能可用的拜访网络都无法满足UE和归属网络的所有要求。
UE的配置和能力信息。UE的配置信息可以包括射频(radio frequency,RF)相关参数,例如网络或UE支持的频段。UE的配置信息不应被除其归属网络以外的任何其它实体可见或修改。UE的能力信息可以包括UE安全能力,例如支持保护类型或保护算法的能力。UE能力有时可以由归属网络重新发送回UE,以通知UE有关UE能力信息已由归属网络接收,并且没有被试图监听UE与归属网络之间的通信的任何人修改。
用于私有网络信息容器406的完整性保护和/或密码保护的安全参数。这可以包括安全参数404,或消息鉴权码(或确认码,根据容器的内容、同步度和/或其它信息计算)。
私有网络信息容器406可以用于在UE的归属网络与UE之间传达信息,例如移动性信息或非移动性信息,其中信息需要E2E完整性和/或隐私保护。取决于使用的保护机制,UE可以使用由归属网络发送的或由UE基于由凭证指示402指示的凭证类型派生出的密钥(例如,在与归属网络的一次鉴权过程中生成的密钥),并且可以使用在安全参数404中携带的信息等其它信息,来验证私有网络信息容器406。
使用NAS消息携带私有网络信息容器406的优点是,在用户面会话建立之前,UE不会产生任何漫游费用。通常针对通过用户面协议数据单元(protocol data unit,PDU)会话传递的用户面数据量对UE收取费用,但不针对控制面数据或信令产生任何费用。
归属运营商信息408可以包括关于UE的归属网络的运营商(或服务提供商)的信息,例如,运营商的标识符。UE根据归属运营商信息408,确定私有网络信息容器406与UE的归属网络之间的对应关系。
在一个实施例中,私有网络信息容器可以包括受保护部分和未受保护部分。受保护部分可以包括上述信息,而未受保护部分可以包括安全参数,例如安全参数404。因此,在该实施例中,私有网络信息容器也可以包括安全参数。当整个容器仅受完整性保护时,容器内的所有内容都是纯文本。将安全参数放置在容器内的优点是,与将安全参数放置在容器外相比,安全参数受到额外完整性保护。
私有网络信息容器可以在UE与归属网络之间的控制面中传递,也可以在归属网络与拜访网络之间的控制面中传递。例如,在归属网络通过归属网络和拜访网络这两个网络之间的控制面接口向拜访网络提供私有网络信息容器后,可以在UE与拜访网络之间的NAS消息中携带私有网络信息容器。
在一些实施例中,在UE的归属网络对UE进行鉴权和授权之后,可以基于非3GPP凭证保护私有网络信息容器(可以是完整性和/或隐私保护。也就是说,归属网络支持非3GPP凭证。公共归属网络的传统机制假设UE的当前拜访网络是可信的,网络信息容器仅受归属网络的完整性保护。当前拜访网络可能够检测甚至修改容器的内容,例如指示UE前往另一个网络的引导指令,并且当前拜访网络仍然将容器递送给UE。UE可以确定容器的内容被当前拜访网络检测或修改,并可以丢弃容器。
在一些情况下,容器中的信息需要额外保护(即,隐私保护),使得当前拜访网络无法接入容器。根据本公开的实施例,容器可以受到完整性保护和密码保护。基于非3GPP凭证保护容器可以采取若干形式,例如可以派生出用于对容器进行完整性或隐私保护的密钥;或者直接使用私钥通过网络保护容器完整性或隐私,并且UE使用网络的公钥确认/验证容器等。
当UE或UE的归属网络发送私有网络信息容器时,UE或UE的归属网络可以使用在UE与归属网络的一次鉴权期间使用的凭证保护私有网络信息容器。例如,公私钥对凭证的公钥可以直接用于保护容器,也可以根据凭证派生/生成密钥用于保护容器。一组安全参数可以与私有网络信息容器一起发送,使得私有网络信息容器的接收方(例如,UE或归属网络)可能够确定用于保护私有网络信息容器的保护方案,并派生出必要的信息(例如,基于一次鉴权派生出的密钥,例如Kausf),如果私有网络信息容器额外加密,则执行私有网络信息容器的完整性检测和/或解密。
在UE通过同一拜访网络连接到公共网络和私有网络(UE具有两个归属网络,一个是公共网络,另一个是私有网络)的情况下,NAS消息,例如NAS消息400,可以包括两个(2)个网络信息容器(例如,一个用于公共归属网络,一个用于私有归属网络)。NAS消息还可以包括归属运营商信息,以区分不同归属网络的容器。例如,NAS消息可以包括与UE的公共归属网络对应的运营商1的信息,以及与UE的私有归属网络对应的运营商2的信息。公共归属网络和私有归属网络中的每一个对应于NAS消息中的两个网络信息容器中的一个。有关运营商的此信息可以在NAS消息中的私有网络信息容器内部或外部传递。
在UE能够支持基于3GPP的凭证(这可以意味着UE装备有UICC)和非3GPP凭证的情况下,一个实施例还可以包括指示,例如,关于图4描述的指示402,该指示在同一控制面消息中与网络信息容器一起发送,以指示网络信息容器是受3GPP密钥保护还是受非3GPP密钥保护。该指示可以指示凭证的类型,其可以包括3GPP凭证或非3GPP凭证。该指示也可以用于存在预定义容器(例如,TS 24.501中定义的SoR容器)的情况,该容器可配置为包括公共和私有网络的信息。例如,容器可以包括优选公共网络的列表和UE当不在其归属网络的覆盖范围内时可以接入的优选私有网络的列表。在这种情况下,该指示还可以指示用于保护该容器的安全机制。
私有网络信息容器和使用私有网络信息容器的相关网络功能可能需要额外的安全考虑。在一些实施例中,可以提供关于私有网络信息容器和使用私有网络信息容器的那些网络功能的一个或多个使用限制的授权策略或指示。这些使用限制可以包括UE或可以使用容器的拜访网络的位置、允许的拜访网络运营商和可以使用容器或相关功能的拜访网络、使用容器的有效时间段等。例如,授权策略和指示可以在UE的归属网络鉴权和授权过程或UE的策略更新过程期间提供给UE。
这些实施例是与接入技术无关的,并且可以应用于新空口(new radio,NR)和长期演进(long term evolution,LTE)网络,或3GPP中正在考虑的任何其它接入技术,例如WiFi。注:3GPP标准中的当前逻辑是,使用3GPP定义标准的私有网络将遵守3GPP约定,即适当使用AS和/或NAS消息。
私有网络信息容器可以扩展为共用关键信息容器,以支持私有网络和公共网络。在这种情况下,可能没有单独的私有和公共网络容器,而是使用单个共用容器。例如,现有的SoR容器可用于传达私有网络和公共网络的信息。本文讨论的指示可用于该共用容器,以便于来自私有网络和公共网络的不同需求。例如,UE具有私有归属网络和公共归属网络,私有归属网络和公共归属网络中的每一个都可以生成共用网络信息容器,用于向UE发送信息。在这种情况下,公共归属网络不需要单独生成公共网络信息容器来发送信息,类似地,私有归属网络也不需要单独生成私有网络信息容器来发送信息。因此,公共归属网络和私有归属网络可以使用相同的公共网络信息容器(例如,相同的结构、相同的字段等)来安全地传递信息。
本公开的示例性实施例可以支持如下表1和表2所示的不同UE和网络部署场景。UE的归属网络可以是公共网络或私有网络。拜访网络也可以是公共网络或私有网络。表1示出了UE具有UICC的情况,本申请实施例可以支持并应用于归属网络为私有网络,拜访网络为私有或公共网络的场景。表2示出了UE不具有UICC的情况,本申请实施例可以支持并应用于归属网络为公共网络或私有网络且拜访网络为私有网络或公共网络的场景。
表1
| 公共拜访网络 | 私有拜访网络 | |
| 公共归属网络 | 这是现有技术 | 实施例支持 |
| 私有归属网络 | 实施例支持 | 实施例支持 |
表2
| 公共拜访网络 | 私有拜访网络 | |
| 公共归属网络 | 实施例支持 | 实施例支持 |
| 私有归属网络 | 实施例支持 | 实施例支持 |
图5为UE、该UE的归属网络和该UE的拜访网络之间的实施例操作500的示意图,突出显示了受保护的私有网络信息容器的通信。如图所示,UE 512可以不在其归属网络514的覆盖范围内,并且可以进入网络516的覆盖范围。UE 512可以选择网络516作为其拜访网络,并连接到网络516。UE 512可以通过网络516与其归属网络514执行一次鉴权和授权(步骤522)。归属网络514可以是不支持3GPP凭证的私有网络。网络516可以是私有网络或公共网络。在一次鉴权和授权期间,归属网络514可以基于非3GPP凭证生成一个或多个参数,例如密钥,并通过拜访网络516将该一个或多个参数发送给UE 512。该一个或多个参数可用于保护在UE 512与归属网络514之间传递的信息。例如,当归属网络514具有待发送给UE 512的信息时,归属网络514可以生成包括该信息的私有网络信息容器,并使用密钥(和其它参数)和安全机制保护私有网络信息,例如对私有网络信息容器应用完整性保护和/或密码保护。然后,归属网络514可以通过UE 512的拜访网络516(例如,通过拜访网络516的网络功能518)向UE 512传输受保护的私有网络信息容器532(步骤524、526)。归属网络514可以传输NAS消息,例如图4所示的NAS消息,以携带受保护的私有网络信息容器532。
作为示例,受保护的私有网络信息容器532可以包括指示UE 512连接到新的拜访网络或执行网络重选的引导指令。受保护的私有网络信息容器532还可以包括由UE 512用于接入新的拜访网络(例如,与新的拜访网络进行鉴权)的凭证。当UE 512成功验证受保护的私有网络信息容器532时,UE 512可以执行引导指令以连接到新的拜访网络,并(例如,使用凭证)与新的拜访网络执行鉴权。当与新的拜访网络的鉴权成功时,然后,UE 512可以通过新的拜访网络执行无线通信,在这种情况下,UE 512与归属网络514之间的通信将通过新的拜访网络进行。受到完整性/密码保护的实施例网络信息容器可用于通过新的拜访网络在UE 512与归属网络514之间传递关键信息。可以使用在步骤522中的一次鉴权和授权期间生成的相同参数来保护网络信息容器。
类似地,当UE 512具有待发送给归属网络514的信息时,UE 512可以生成包括该信息的受保护的网络信息容器532,并通过拜访网络516,例如通过NAS消息将受保护的私有网络信息容器发送到归属网络514。NAS消息还可以包括UE的安全参数,例如UE安全能力。UE512向归属网络514发送的信息可以包括UE 512请求引导到另一个拜访网络的请求。这可能是当UE的拜访网络不满足UE的安全要求/QoS要求,并且UE需要连接到另一个拜访网络时的情况。例如,如果拜访网络的安全设置使得对于拜访网络中的所有后续通信无法实现密码保护和/或完整性保护,则UE可以向归属网络请求另一个优选的拜访网络。UE 512向归属网络514发送的信息还可以包括目标拜访网络的要求和/或对UE服务的QoS要求。UE还可以使用受保护的网络信息容器发送其它信息,例如,关于拜访网络的报告。例如,当拜访网络性能不佳(例如,请求UE与拜访网络重复重新鉴权)时,UE需要将这种情况报告回归属网络。在这种情况下,受保护的容器可以对拜访网络隐藏此类信息。
图6为UE、该UE的两个归属网络和该UE的拜访网络之间的实施例操作600的示意图,突出显示了对应于这两个归属网络的相应受保护的私有网络信息容器的通信。在该示例中,UE 612具有两个网络614和616的订阅(双订阅(dual subscription)),也就是说,UE612具有两个归属网络。在示例中,归属网络614可以是不支持3GPP凭证的私有网络,归属网络616可以是支持3GPP凭证的公共网络。UE 612可以不在其归属网络614和616的覆盖范围内,并连接到作为其拜访网络的网络618。这可以是归属网络614和616都指示UE 612连接到相同的拜访网络618的情况,或者是UE 612基于归属网络614和616两者的要求(例如,引导策略、安全策略、QoS要求等)选择相同的拜访网络618的情况。UE 612可以通过网络618与归属网络614执行一次鉴权和授权(步骤622、步骤624)。例如,在与归属网络614的一次鉴权和授权之后,UE 612还可以基于归属网络614的凭证,例如使用从非3GPP凭证派生出的密钥,与网络618执行鉴权(步骤624)。UE 612可以通过网络618与归属网络616执行一次鉴权和授权(步骤626、步骤624)。例如,在与归属网络616的一次鉴权和授权之后,UE 612还可以基于归属网络616的凭证,例如使用从3GPP凭证派生出的密钥,与网络618执行鉴权(步骤624)。在UE 612连接到两个相应的拜访网络的情况下,例如,基于其两个相应的归属网络的要求/引导策略(例如,UE 612基于归属网络614的要求选择第一拜访网络,并基于归属网络616的要求选择第二拜访网络),UE 612可以通过相应的拜访网络与其相应的归属网络进行鉴权和授权,并且可以使用相应的归属网络的凭证与其相应的拜访网络进行鉴权。
在UE 612连接到网络618之后,UE 612和归属网络614可以通过拜访网络618交换私有网络信息容器642(步骤628、步骤630)。私有网络信息容器642对应于归属网络614。UE612和归属网络616还可以通过拜访网络618交换公共网络信息容器644(步骤630、步骤632)。公共网络信息容器644可以受到保护,并对应于归属网络616。私有网络信息容器642和公共网络信息容器644可以受到完整性和/或密码保护,并且可以在如关于图4所讨论的NAS消息中发送。归属网络614可以向UE 612传输非3GPP标志,以指示UE将使用非3GPP凭证。例如,用于验证受保护的私有网络信息容器642或用于对UE 612的拜访网络进行鉴权/授权的密钥可以基于非3GPP凭证派生。归属网络616可以向UE 612传输3GPP标志,以指示UE将使用3GPP凭证。例如,用于验证受保护的公共网络信息容器644或用于对UE 612的拜访网络进行鉴权/授权的密钥基于3GPP凭证派生。
图7为私有网络信息容器密钥和策略提供的实施例方法700的示意图。如图所示,不在其私有归属网络3的覆盖范围内的UE 702选择私有拜访网络1(在以下描述中也可以称为网络1,或拜访网络1),并通过私有拜访网络1成功地与其私有归属网络3进行一次鉴权和授权(步骤1 732)。这可以通过私有拜访网络1(例如,通过网络1的(无线)接入网((radio)access network,(R)AN)704、网络1的接入和移动性管理功能(access and mobilitymanagement function,AMF)706、网络1的UDM 708和/或网络1的鉴权服务器功能(authentication server function,AUSF)710)与归属网络3(例如,通过归属网络3的AUSF712)之间的交互来执行。在UE 702与其归属网络3之间进行一次鉴权和授权。在一次鉴权和授权期间,归属网络3可以生成安全参数,这些安全参数可以用于保护在归属网络3与UE702之间传递的信息,和/或可以用于UE 702与拜访网络1之间的鉴权。当UE 702鉴权和授权成功时,归属网络3可以向拜访网络1通知UE 702鉴权和授权成功。然后,拜访网络1可以确定是否允许UE 702继续接入拜访网络1,或者,拜访网络1可以请求UE 702与拜访网络1执行二次鉴权。在图7的该示例中,拜访网络1不请求UE 702执行二次鉴权。
归属网络3可以例如通过网络1的AUSF 710和归属网络3的AUSF 712向UE 702提供基于非3GPP凭证创建的密钥(用于保护容器)、用于私有网络信息容器的新的安全参数、以及使用私有网络信息容器的策略(限制策略),例如,指定当UE 702连接到私有拜访网络2时是否允许UE 702使用私有网络信息容器(步骤2 734)。例如,归属网络3提供的上述信息可以是归属网络3在与UE 702进行一次鉴权和授权期间生成的。可能不需要为每个鉴权和授权过程向UE 702提供新的安全参数和策略,因为信息可以存储在UE 702的存储器中以便长期使用。步骤2 734可以发生在授权阶段、策略更新过程或允许归属网络3更新UE 702的配置和策略的其它过程中。UE 702可以存储密钥、安全参数和策略,以便用于未来的私有网络信息容器(步骤3 736)。该密钥可以用于发送或接收私有网络信息容器。例如,密钥和安全参数可以用于验证归属网络3通过拜访网络1发送给UE 702的私有网络信息容器。在归属网络3使用公私钥机制保护容器的示例中,密钥可以是归属网络3发送的公钥。然后,公钥可用于验证私有网络信息容器,例如,如图7的步骤5 740所示。在实施例中,归属网络3可以不在步骤2 734中向UE发送密钥。在这种情况下,UE 702可以基于图7的步骤4 738中指示的凭证派生出密钥,并使用派生出的密钥验证私有网络信息容器。
当归属网络3需要向需要隐私/完整性保护的UE 702发送信息(例如指令)时,归属网络3可以通过拜访网络1向UE 702发送包含该指令的受保护的私有网络信息容器、安全密钥和指示该安全密钥是基于非3GPP凭证的指示(步骤4 738)。该示例中的指令可以将UE702引导到与拜访网络1不同的另一个拜访网络。UE 702可以使用安全密钥接入其它拜访网络。步骤4 738中的信息可以从归属网络3的UDM 714发送到网络1的UDM 708、网络1的AMF706、网络1的RAN 704和UE 702。该信息可以在NAS消息中发送,例如,如图4所示的NAS消息400,在这种情况下,安全密钥可以作为安全参数404的一部分发送。UE 702可以使用存储的密钥(也可以使用步骤2 734中发送的新安全参数中的一个或多个,和/或NAS消息中携带的一个或多个安全参数)来检测消息的真实性(对受保护的私有网络信息容器进行验证/鉴权),如果通过,UE 702执行指令(步骤5 740)。UE 702可以使用安全参数(例如关于图4描述的那些参数)来验证受保护的私有网络信息容器。UE 702可以验证受保护的私有网络信息容器的完整性和隐私。作为示例,为了验证受保护的私有网络信息容器,UE 702可以使用步骤736中UE 702存储的密钥计算消息鉴权码(message authentication code,MAC)、同步度(可以由归属网络1在步骤2 734或步骤4 738中发送给UE 702)和容器(以及可能的其它信息),并验证计算的MAC是否与携带容器的消息所附加的MAC相同。UE 702还可以例如基于归属网络1发送的安全参数执行消息的解密(如果加密)。
图7仅示例性示出了私有归属网络向UE传递私有网络信息容器。UE还可以通过图7所示的类似过程向其私有归属网络发送私有网络信息容器。在这种情况下,可以执行与图7的步骤1-3类似的步骤。然而,在步骤4 738中,UE使用上行控制消息将容器发送到私有归属网络,并且不需要执行步骤5 740。
图8为无线通信的实施例方法800的流程图。方法800可以指示UE的操作。如图所示,在步骤802,UE与其归属网络交互以进行一次鉴权和授权(authentication andauthorization,A&A)。这可以在UE连接/接入归属网络时执行。该示例中的归属网络是私有网络。在步骤804,如果A&A成功,则UE接收并存储一个或多个新的安全参数(例如公钥)用于未来与归属网络进行通信。在步骤806,UE可以通过拜访网络从归属网络接收私有网络信息容器,以及指示要使用哪种类型的凭证的指示。当UE位于归属网络的覆盖范围外并连接到拜访网络时,可能会出现这种情况。在步骤808,UE可以使用安全参数来检测私有网络信息容器的安全性,例如,通过检测容器的完整性和/或隐私(通过解密容器)。安全参数可以由归属网络与私有网络信息容器一起发送,也可以在私有网络信息容器内发送,也可以在传输私有网络信息容器之前发送。在步骤810,UE确定安全检测是否成功。在步骤812,如果检测不成功,UE可以丢弃私有网络信息容器,并向归属网络发送错误消息,指示未成功接收私有网络信息容器。在步骤814,如果检测成功,UE可以获取私有网络信息容器中包含的信息,例如一个或多个指令,并执行这些指令。例如,私有网络信息容器可以包括指示UE连接到可能是归属网络更优选的另一个拜访网络的引导指令。为了执行该指令,例如,连接到另一个拜访网络,在步骤816,UE可以检测是否要使用3GPP凭证,例如,与另一个拜访网络进行鉴权。这可以基于在步骤806接收的指示执行。当指示要使用3GPP凭证时,在步骤818,UE使用存储在UICC中的3GPP凭证。当指示要使用非3GPP凭证时,在步骤820,UE使用步骤802中的一次鉴权期间获取的非3GPP凭证。
图9为无线通信的另一个实施例方法900的流程图。方法900可以指示由UE等通信设备执行的操作。通信设备不在其归属网络的覆盖范围内,并通过拜访网络与归属网络通信。如图所示,通信设备通过拜访网络从归属网络接收消息,其中该消息包括网络信息容器和凭证指示符(步骤902)。网络信息容器包括受到完整性保护和/或密码保护的信息。凭证指示符指示用于保护网络信息容器的凭证的类型。通信设备可以基于凭证指示通过一个或多个安全参数验证网络信息容器(步骤904)。当网络信息容器验证成功时,通信设备可以获取网络信息容器中包括的信息(步骤906)。然后,通信设备可以基于网络信息容器中的信息执行进一步操作。例如,该信息可以包括指示通信设备连接到另一个拜访网络的引导指令,在这种情况下,通信设备可以例如基于所指示的凭证类型(例如,使用基于凭证类型派生出的密钥)执行连接和接入另一个拜访网络的指令。作为另一个示例,该信息可以包括指示通信设备执行小区选择以从归属网络提供的优选网络列表中选择新的拜访网络的指令,在这种情况下,通信设备可以例如基于所指示的凭证类型从优选网络列表中选择网络作为新的拜访网络,并连接到所选择的网络。如果网络信息容器验证不成功,通信设备可以丢弃网络信息容器。在这种情况下,通信设备可以向归属网络发送指示未成功接收网络信息容器的消息。
图10为无线通信的另一个实施例方法1000的流程图。方法1000可以指示由网络的网络设备执行的操作。在该示例中,网络是通信设备的归属网络。通信设备不在归属网络的覆盖范围内,并通过拜访网络与归属网络通信。如图所示,网络设备确定向通信设备发送信息(步骤1002),并生成包括该信息的网络信息容器,其中该网络信息容器受到完整性保护和/或密码保护(步骤1004)。网络设备确定用于保护网络信息容器的凭证类型(步骤1006)。然后,网络设备通过拜访网络向通信设备发送网络信息容器和指示凭证类型的凭证指示符(步骤1008)。
图11示出了可应用于本申请的实施例的示例性通信系统1100。通常,通过系统1100,多个无线或有线用户能够传输和接收数据和其它内容。系统1100可以实现一种或多种信道接入方法,例如码分多址(code division multiple access,CDMA)、时分多址(timedivision multiple access,TDMA)、频分多址(frequency division multiple access,FDMA)、正交FDMA(orthogonal FDMA,OFDMA)、单载波FDMA(single-carrier FDMA,SC-FDMA)或非正交多址(non-orthogonal multiple access,NOMA)。
在该示例中,通信系统1100包括电子设备(electronic device,ED)1110a至1110c、无线接入网(radio access network,RAN)1120a和1120b、核心网1130、公共交换电话网(public switched telephone network,PSTN)1140、互联网1150和其它网络1160。虽然图11示出了一定数量的这些组件或元件,但是系统1100中可以包括任何数量的这些组件或元件。
ED 1110a至1110c用于在系统1100中进行操作或通信。例如,ED 1110a至1110c用于通过无线或有线通信信道进行传输或接收。ED 1110a至1110c都表示任何合适的终端用户设备,并且可以包括如下设备(或者可以称为):用户设备(user equipment,UE)、无线传输或接收单元(wireless transmit or receive unit,WTRU)、移动站、固定或移动用户单元、蜂窝电话、个人数字助理(personal digital assistant,PDA)、智能手机、笔记本电脑、计算机、触摸板、无线传感器或消费型电子设备(consumer electronics device)。
本文中的RAN 1120a和1120b分别包括基站1170a和1170b。每个基站1170a和1170b都用于与ED 1110a至1110c中的一个或多个进行无线连接,以便能够接入核心网1130、PSTN1140、互联网1150或其它网络1160。例如,基站1170a和1170b可以包括(或是)若干众所周知的设备中的一个或多个设备,例如基站收发站(base transceiver station,BTS)、Node-B(NodeB)、演进型NodeB(evolved NodeB,eNodeB)、下一代(next generation,NG)NodeB(next generation NodeB,gNB)、家庭NodeB、家庭eNodeB、站点控制器、接入点(accesspoint,AP)或无线路由器。ED 1110a至1110c用于与互联网1150进行连接和通信,并且可以接入核心网1130、PSTN 1140或其它网络1160。
在图11所示的实施例中,基站1170a形成RAN 1120a的一部分,RAN 1120a可以包括其它基站、元件或设备。此外,基站1170b形成RAN 1120b的一部分,RAN 1120b可以包括其它基站、元件和/或设备。每个基站1170a和1170b用于在特定地理区域(有时称为“小区”)内传输或接收无线信号。在一些实施例中,可以使用多入多出(multiple-input multiple-output,MIMO)技术,每个小区具有多个收发器。
基站1170a和1170b使用无线通信链路通过一个或多个空口11110与ED 1110a至1110c中的一个或多个进行通信。空口11110可以使用任何合适的无线接入技术。
可以设想,系统1100可以使用多信道接入功能,包括如上所述的方案。在特定实施例中,基站和ED实现5G新空口(new radio,NR)、LTE、LTE-A或LTE-B。当然,也可以使用其它多址方案和无线协议。
RAN 1120a和1120b与核心网1130进行通信,以向ED 1110a至1110c提供语音、数据、应用、基于IP的语音传输(voice over internet protocol,VoIP)或其它业务。可以理解的是,RAN 1120a和1120b或核心网1130可以与一个或多个其它RAN(未示出)进行直接或间接通信。核心网1130还可以用作其它网络(例如,PSTN 1140、互联网1150和其它网络1160)的网关接入。另外,ED 1110a至1110c中的部分或全部能够使用不同无线技术或协议通过不同的无线链路与不同的无线网络进行通信。ED可以通过有线通信信道与服务提供商或交换机(未示出)以及与互联网1150进行通信,而不是进行无线通信(或者另外进行无线通信)。
虽然图11示出了通信系统的一个示例,但是可以对图11进行各种更改。例如,在任何合适的配置中,通信系统1100都可以包括任意数量的ED、基站、网络或其它组件。
图12A和图12B示出了可以实现本公开提供的各种方法和理念的示例性设备。特别地,图12A示出了示例性ED 1210(例如,UE),图12B示出了示例性基站1270。系统1100或任何其它合适的系统中可以使用这些组件。
如图12A所示,ED 1210包括至少一个处理单元1200。处理单元1200实现ED 1210的各种处理操作。例如,处理单元1200可以执行信号编码、数据处理、功率控制、输入/输出处理或使得ED 1210能够在系统1100中进行操作的任何其它功能。处理单元1200还支持上文更详细地描述的方法和教示。每个处理单元1200包括任何合适的用于执行一个或多个操作的处理设备或计算设备。例如,每个处理单元1200可以包括微处理器、微控制器、数字信号处理器、现场可编程门阵列或专用集成电路。
ED 1210还包括至少一个收发器1202。收发器1202用于调制数据或其它内容,以便由至少一个天线或网络接口控制器(network interface controller,NIC)1204传输。收发器1202还用于对通过至少一个天线1204接收的数据或其它内容进行解调。每个收发器1202包括任何合适的用于生成进行无线或有线传输的信号或用于处理通过无线或有线方式接收的信号的结构。每个天线1204包括任何合适的用于传输或接收无线信号或有线信号的结构。一个或多个收发器1202可以用于ED 1210,一个或多个天线1204可以用于ED 1210。虽然收发器1202示为单独的功能单元,但还可以使用至少一个发送器和至少一个单独的接收器来实现。
ED 1210还包括一个或多个输入/输出设备1206或接口(例如连接到互联网1150的有线接口)。输入/输出设备1206有助于与网络中的用户或其它设备进行交互(网络通信)。每个输入/输出设备1206包括任何合适的用于向用户提供信息或从用户接收信息的结构,例如扬声器、麦克风、小键盘(keypad)、键盘(keyboard)、显示器或触摸屏,包括网络接口通信。
此外,ED 1210包括至少一个存储器1208。存储器1208存储由ED 1210使用、生成或收集的指令和数据。例如,存储器1208可以存储由一个或多个处理单元1200执行的软件或固件指令以及存储用于减少或消除传入信号中的干扰的数据。每个存储器1208包括任何合适的一个或多个易失性或非易失性存储与检索设备。可以使用任何合适类型的存储器,例如,随机存取存储器(random access memory,RAM)、只读存储器(read only memory,ROM)、硬盘、光盘、用户识别模块(subscriber identity module,SIM)卡、记忆棒、安全数码(secure digital,SD)卡等。
如图12B所示,基站1270包括至少一个处理单元1250、至少一个收发器1252(包括发送器和接收器的功能)、一个或多个天线1256、至少一个存储器1258和一个或多个输入/输出设备或接口1266。本领域技术人员可以理解的调度器与处理单元1250耦合。调度器可以包括在基站1270内,也可以与基站1270分开操作。处理单元1250实现基站1270的各种处理操作,例如信号编码、数据处理、功率控制、输入/输出处理或任何其它功能。处理单元1250还可以支持上文详细描述的方法和理念。每个处理单元1250包括任何合适的用于执行一个或多个操作的处理设备或计算设备。例如,每个处理单元1250可以包括微处理器、微控制器、数字信号处理器、现场可编程门阵列或专用集成电路。
每个收发器1252包括任何合适的用于生成与一个或多个ED或其它设备进行无线或有线传输的信号的结构。每个收发器1252还包括任何合适的用于处理从一个或多个ED或其它设备通过无线或有线方式接收的信号的结构。虽然示出了发送器和接收器组合为收发器1252,但它们可以是单独的组件。每个天线1256包括任何合适的用于传输或接收无线信号或有线信号的结构。虽然这里示出了共用天线1256耦合到收发器1252,但是一个或多个天线1256可以耦合到一个或多个收发器1252,从而使得单独的天线1256耦合到发送器和接收器(如果配置为单独的组件)。每个存储器1258包括任何合适的一个或多个易失性或非易失性存储与检索设备。每个输入/输出设备1266有助于与网络中的用户或其它设备进行交互(网络通信)。每个输入/输出设备1266包括任何合适的用于向用户提供信息或从用户接收信息/提供来自用户的信息的结构,包括网络接口通信。
图13是可用于实现本文中公开的设备和方法的计算系统1300的框图。例如,该计算系统可以是UE、接入网(access network,AN)、移动性管理(mobility management,MM)、会话管理(session management,SM)、用户面网关(user plane gateway,UPGW)或接入层(access stratum,AS)中的任何实体。具体设备可以使用所有示出的组件或仅这些组件的一个子集,且设备的集成程度可能不同。此外,设备可以包括组件的多个实例,例如多个处理单元、多个处理器、多个存储器、多个发送器、多个接收器等。计算系统1300包括处理单元1302。处理单元包括中央处理单元(central processing unit,CPU)1314、存储器1308,还可以包括连接到总线1320的大容量存储设备1304、视频适配器1310和I/O接口1312。
总线1320可以是任何类型的若干总线架构中的一个或多个,包括内存总线或内存控制器、外设总线或视频总线。CPU 1314可以包括任何类型的电子数据处理器。存储器1308可包括任何类型的非瞬时性系统存储器,例如静态随机存取存储器(static randomaccess memory,SRAM)、动态随机存取存储器(dynamic random access memory,DRAM)、同步DRAM(synchronous DRAM,SDRAM)、只读存储器(read-only memory,ROM)或其组合。在实施例中,存储器1308可以包括供启动时使用的ROM以及在执行程序时使用的存储程序和数据的DRAM。
大容量存储器1304可以包括任何类型的非瞬时性存储设备,用于存储数据、程序和其它信息并使这些数据、程序和其它信息可通过总线1320接入。大容量存储器1304可以包括例如固态硬盘、硬盘驱动器、磁盘驱动器或光盘驱动器中的一种或多种。
视频适配器1310和I/O接口1312提供接口以将外部输入和输出设备耦合到处理单元1302。如图所示,输入和输出设备的示例包括与视频适配器1310耦合的显示器1318和与I/O接口1312耦合的鼠标、键盘或打印机1316。其它设备可以与处理单元1302耦合,并且可以利用额外的或较少的接口卡。例如,通用串行总线(universal serial bus,USB)(未示出)等串行接口可以用于为外部设备提供接口。
处理单元1302还包括一个或多个网络接口1306,网络接口1306可以包括有线链路(例如以太网电缆)或到接入节点或不同网络的无线链路。网络接口1306可以使处理单元1302通过网络与远程单元通信。例如,网络接口1306可以通过一个或多个发送器/传输天线和一个或多个接收器/接收天线提供无线通信。在实施例中,处理单元1302耦合到局域网1322或广域网,以与远程设备(例如其它处理单元、互联网或远程存储设施)进行数据处理和通信。
应当理解,本文中提供的实施例方法中的一个或多个步骤可以由对应的单元或模块执行。例如,信号可以由传输单元或传输模块进行传输。信号可以由接收单元或接收模块进行接收。信号可以由处理单元或处理模块进行处理。其它步骤可以由验证单元/模块、完整性检测单元/模块、获取单元/模块、加解密单元/模块、指示单元/模块、接入单元/模块、丢弃单元/模块、执行单元/模块、鉴权和授权单元/模块、确定单元/模块、生成单元/模块和/或完整性保护单元/模块执行。相应的单元/模块可以是硬件、软件或其组合。例如,单元/模块中的一个或多个可以是集成电路,例如现场可编程门阵列(field programmablegate array,FPGA)或专用集成电路(application-specific integrated circuit,ASIC)。
尽管进行了详细的描述,但应理解,可在不脱离由所附权利要求书界定的本公开的精神和范围的情况下,对本文做出各种改变、替代和更改。此外,本公开的范围不希望限于本文中所描述的特定实施例,本领域普通技术人员将从本公开中容易了解到,过程、机器、制造工艺、物质成分、构件、方法或步骤(包括目前存在的或以后将开发的)可执行与本文所述对应实施例大致相同的功能或实现与本文所述对应实施例大致相同的效果。因此,所附权利要求书旨在于其范围内包括这些过程、机器、制造品、物质组成、模块、方法或步骤。
Claims (45)
1.一种方法,其特征在于,所述方法包括:
通信设备通过所述通信设备的第一拜访网络接收来自所述通信设备的第一归属网络的消息,所述消息包括第一网络信息容器和凭证指示符,所述第一网络信息容器包括受到完整性保护和/或密码保护的信息,所述凭证指示符指示用于保护所述第一网络信息容器的凭证的类型;
基于所述凭证的类型,所述通信设备通过一个或多个安全参数验证所述第一网络信息容器;以及
当所述第一网络信息容器验证成功时,所述通信设备获取所述第一网络信息容器中包括的所述信息。
2.根据权利要求1所述的方法,其特征在于,所述消息还包括指示用于保护所述第一网络信息容器的保护机制类型的信息。
3.根据权利要求2所述的方法,其特征在于,所述保护机制类型包括仅完整性保护、仅密码保护或完整性和密码保护。
4.根据权利要求1至3中任一项所述的方法,其特征在于,验证所述第一网络信息容器包括:
所述通信设备通过所述一个或多个安全参数验证所述第一网络信息容器的完整性;和/或
所述通信设备通过所述一个或多个安全参数解密所述第一网络信息容器。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述一个或多个安全参数包括以下中的一个或多个:
用于验证所述第一网络信息容器或接入网络的安全参数,所述安全参数包括证书、公钥或私钥;
密钥标识符;
同步或新鲜度;
随机数;或
网络安全偏好。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
当所述第一网络信息容器验证成功时,所述通信设备执行所述第一网络信息容器中包括的指令。
7.根据权利要求6所述的方法,其特征在于,所述指令:
指示所述通信设备连接到第二拜访网络;或
指示所述通信设备基于所述第一归属网络提供的候选网络列表进行网络选择,以选择新的拜访网络。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述通信设备使用所述凭证指示符指示的所述凭证的类型和/或所述第一网络信息容器中的信息,接入所述第二拜访网络或所述新的拜访网络。
9.根据权利要求7所述的方法,其特征在于,所述第二拜访网络是所述第一归属网络为所述通信设备配置的优选网络。
10.根据权利要求1至9中任一项所述的方法,其特征在于,所述方法还包括:
所述通信设备通过所述第一拜访网络向所述第一归属网络发送第二网络信息容器,所述第二网络信息容器包括受到完整性保护和/或密码保护的信息。
11.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
当所述第一网络信息容器验证不成功时,所述通信设备丢弃所述第一网络信息容器。
12.根据权利要求1至11中任一项所述的方法,其特征在于,所述凭证的类型包括3GPP凭证或非3GPP凭证。
13.根据权利要求1至12中任一项所述的方法,其特征在于,所述第一网络信息容器包括以下中的至少一个:
网络引导指令;
网络引导策略;
所述通信设备的优选拜访网络列表;
服务或拜访网络的服务质量(QoS)要求;
所述通信设备的配置和/或能力信息;或
安全参数。
14.根据权利要求1至13中任一项所述的方法,其特征在于,所述消息还包括所述一个或多个安全参数。
15.根据权利要求1至14中任一项所述的方法,其特征在于,所述消息还包括所述第一归属网络的运营商信息。
16.根据权利要求1至15中任一项所述的方法,其特征在于,所述消息是非接入层(NAS)消息。
17.根据权利要求1至16中任一项所述的方法,其特征在于,所述通信设备具有或不具有通用集成电路卡(UICC)。
18.根据权利要求1至17中任一项所述的方法,其特征在于,所述方法还包括:
所述通信设备接收与所述通信设备的第二归属网络对应的第三网络信息容器和与所述通信设备的所述第一归属网络对应的所述第一网络信息容器。
19.根据权利要求18所述的方法,其特征在于,所述第一归属网络和所述第二归属网络中的一个是私有网络。
20.根据权利要求1至19中任一项所述的方法,其特征在于,所述第一网络信息容器包括用于接入公共网络的信息和用于接入私有网络的信息。
21.根据权利要求1至20中任一项所述的方法,其特征在于,所述第一归属网络是公共网络或私有网络。
22.根据权利要求1至21中任一项所述的方法,其特征在于,所述第一拜访网络是公共网络或私有网络。
23.根据权利要求1至22中任一项所述的方法,其特征在于,所述消息还包括使用限制信息,根据所述使用限制信息使用所述第一网络信息容器。
24.根据权利要求1至23中任一项所述的方法,其特征在于,所述方法还包括:
所述通信设备在接收所述消息之前,通过所述第一拜访网络与所述第一归属网络进行鉴权和授权。
25.一种方法,其特征在于,所述方法包括:
第一网络的网络设备确定向通信设备发送第一信息,所述第一网络是所述通信设备的归属网络,所述通信设备由第一拜访网络服务;
所述网络设备生成包括所述第一信息的网络信息容器,所述网络信息容器受到完整性保护和/或密码保护;
所述网络设备确定用于保护所述网络信息容器的凭证的类型;以及
所述网络设备通过所述第一拜访网络向所述通信设备发送消息,所述消息包括所述网络信息容器和指示所述凭证的类型的凭证指示符。
26.根据权利要求25所述的方法,其特征在于,所述网络信息容器包括以下中的至少一个:
网络引导指令;
网络引导策略;
所述通信设备的优选拜访网络列表;
服务或拜访网络的服务质量(QoS)要求;
所述通信设备的配置和/或能力信息;或
安全参数。
27.根据权利要求26所述的方法,其特征在于,所述网络引导指令:
指示所述通信设备连接到第二拜访网络;或
指示所述通信设备基于所述归属网络提供的候选网络列表进行网络选择,以选择新的拜访网络。
28.根据权利要求25至27中任一项所述的方法,其特征在于,所述消息还包括用于验证所述网络信息容器的一个或多个安全参数。
29.根据权利要求28所述的方法,其特征在于,所述一个或多个安全参数包括以下中的一个或多个:
用于验证所述网络信息容器或接入网络的安全参数,所述安全参数包括证书、公钥或私钥;
密钥标识符;
同步或新鲜度;
随机数;或
网络安全偏好。
30.根据权利要求25至29中任一项所述的方法,其特征在于,所述消息还包括所述归属网络的运营商信息。
31.根据权利要求25至30中任一项所述的方法,其特征在于,所述消息是非接入层(NAS)消息。
32.根据权利要求25至31中任一项所述的方法,其特征在于,所述通信设备具有或不具有通用集成电路卡(UICC)。
33.根据权利要求25至32中任一项所述的方法,其特征在于,所述网络信息容器包括用于接入公共网络的信息和用于接入私有网络的信息。
34.根据权利要求25至33中任一项所述的方法,其特征在于,所述归属网络是公共网络或私有网络。
35.根据权利要求25至34中任一项所述的方法,其特征在于,所述第一拜访网络是公共网络或私有网络。
36.根据权利要求25至35中任一项所述的方法,其特征在于,所述消息还包括使用限制信息,根据所述使用限制信息使用所述网络信息容器。
37.根据权利要求25至36中任一项所述的方法,其特征在于,所述方法还包括:
所述网络设备通过所述第一拜访网络从所述通信设备接收包括受到完整性保护和/或密码保护的信息的信息容器。
38.根据权利要求25至37中任一项所述的方法,其特征在于,所述消息还包括指示用于保护所述网络信息容器的保护机制类型的信息。
39.根据权利要求38所述的方法,其特征在于,所述保护机制类型包括仅完整性保护、仅密码保护或完整性和密码保护。
40.根据权利要求25至39中任一项所述的方法,其特征在于,所述凭证的类型包括3GPP凭证或非3GPP凭证。
41.一种装置,其特征在于,所述装置包括:
包括指令的非瞬时性内存存储;以及
与所述内存存储通信的一个或多个处理器,其中,当由所述一个或多个处理器执行时,所述指令使所述装置执行:
通过所述装置的第一拜访网络接收来自所述装置的第一归属网络的消息,所述消息包括第一网络信息容器和凭证指示符,所述第一网络信息容器包括受到完整性保护和/或密码保护的信息,所述凭证指示符指示用于保护所述第一网络信息容器的凭证的类型;
基于所述凭证的类型,通过一个或多个安全参数验证所述第一网络信息容器;以及
当所述第一网络信息容器验证成功时,获取所述第一网络信息容器中包括的所述信息。
42.一种存储计算机指令的非瞬时性计算机可读介质,其特征在于,当由装置的一个或多个处理器执行时,所述计算机指令使得所述装置执行:
通过所述装置的第一拜访网络接收来自所述装置的第一归属网络的消息,所述消息包括第一网络信息容器和凭证指示符,所述第一网络信息容器包括受到完整性保护和/或密码保护的信息,所述凭证指示符指示用于保护所述第一网络信息容器的凭证的类型;
基于所述凭证的类型,通过一个或多个安全参数验证所述网络信息容器;以及
当所述第一网络信息容器验证成功时,获取所述第一网络信息容器中包括的所述信息。
43.一种第一网络的装置,其特征在于,所述装置包括:
包括指令的非瞬时性内存存储;以及
与所述内存存储通信的一个或多个处理器,其中,当由所述一个或多个处理器执行时,所述指令使所述装置执行:
确定向通信设备发送第一信息,所述第一网络是所述通信设备的归属网络,所述通信设备由第一拜访网络服务;
生成包括所述第一信息的网络信息容器,所述网络信息容器受到完整性保护和/或密码保护;
确定用于保护所述网络信息容器的凭证的类型;以及
通过所述第一拜访网络向所述通信设备发送消息,所述消息包括所述网络信息容器和指示所述凭证的类型的凭证指示符。
44.一种存储计算机指令的非瞬时性计算机可读介质,其特征在于,当由第一网络的装置的一个或多个处理器执行时,所述计算机指令使得所述装置执行:
确定向通信设备发送第一信息,所述第一网络是所述通信设备的归属网络,所述通信设备由第一拜访网络服务;
生成包括所述第一信息的网络信息容器,所述网络信息容器受到完整性保护和/或密码保护;
确定用于保护所述网络信息容器的凭证的类型;以及
通过所述第一拜访网络向所述通信设备发送消息,所述消息包括所述网络信息容器和指示所述凭证的类型的凭证指示符。
45.一种系统,所述系统包括第一网络的网络设备和通信设备,所述第一网络是所述通信设备的归属网络,所述通信设备由拜访网络服务,其特征在于
所述网络设备用于执行:
确定向所述通信设备发送第一信息;
生成包括所述第一信息的网络信息容器,所述网络信息容器受到完整性保护和/或密码保护;
确定用于保护所述网络信息容器的凭证的类型;以及
通过所述拜访网络向所述通信设备发送消息,所述消息包括所述网络信息容器和指示所述凭证的类型的凭证指示符;以及
所述通信设备用于执行:
通过所述拜访网络接收来自所述通信设备的所述归属网络的所述消息;
基于所述凭证的类型,通过一个或多个安全参数验证所述网络信息容器;以及
当所述网络信息容器验证成功时,获取所述网络信息容器中包括的所述第一信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202063084793P | 2020-09-29 | 2020-09-29 | |
| US63/084,793 | 2020-09-29 | ||
| PCT/US2021/052468 WO2021243343A2 (en) | 2020-09-29 | 2021-09-28 | Method and apparatus for critical control message transfer across networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116349266A true CN116349266A (zh) | 2023-06-27 |
Family
ID=78599128
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180065023.9A Pending CN116349266A (zh) | 2020-09-29 | 2021-09-28 | 用于跨网络的关键控制消息传递的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230231849A1 (zh) |
| EP (1) | EP4209025A2 (zh) |
| CN (1) | CN116349266A (zh) |
| WO (1) | WO2021243343A2 (zh) |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10911934B2 (en) * | 2017-07-18 | 2021-02-02 | Samsung Electronics Co., Ltd. | Method and system to detect anti-steering of roaming activity in wireless communication network |
-
2021
- 2021-09-28 EP EP21806445.9A patent/EP4209025A2/en active Pending
- 2021-09-28 CN CN202180065023.9A patent/CN116349266A/zh active Pending
- 2021-09-28 WO PCT/US2021/052468 patent/WO2021243343A2/en unknown
-
2023
- 2023-03-24 US US18/189,889 patent/US20230231849A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021243343A2 (en) | 2021-12-02 |
| US20230231849A1 (en) | 2023-07-20 |
| WO2021243343A3 (en) | 2022-02-24 |
| EP4209025A2 (en) | 2023-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110086833B (zh) | 用于到蜂窝网络的受赞助连通性的方法、装置和介质 | |
| CN110049492B (zh) | 通信方法、核心网网元、终端设备及存储介质 | |
| US11863663B2 (en) | Initial network authorization for a communications device | |
| US11589228B2 (en) | Subscriber identity privacy protection against fake base stations | |
| EP2730113B1 (en) | Methods and devices for authenticating a wireless device to a foreign domain | |
| KR101684753B1 (ko) | 신뢰적인 연합 아이덴티티를 위한 방법 및 장치 | |
| JP5784776B2 (ja) | 認証能力のセキュアなネゴシエーション | |
| US20200162913A1 (en) | Terminal authenticating method, apparatus, and system | |
| JP2019512942A (ja) | 5g技術のための認証機構 | |
| EP3823331A1 (en) | Mutual authentication with modified message authentication code | |
| KR20170132184A (ko) | 완전 순방향 비밀성을 통한 인증 및 키 합의 | |
| CN109788480B (zh) | 一种通信方法及装置 | |
| CN112087724A (zh) | 一种通信方法、网络设备、用户设备和接入网设备 | |
| US20230413060A1 (en) | Subscription onboarding using a verified digital identity | |
| EP2730074A1 (en) | Methods for attaching a wireless device to a foreign 3gpp wireless domain using alternative authentication mechanisms | |
| CN112119651B (zh) | 接入技术不可知的服务网络认证方法和装置 | |
| CN111615837B (zh) | 数据传输方法、相关设备以及系统 | |
| US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
| EP3412050A1 (en) | An agent-based authentication and key agreement method for devices without sim card | |
| CN116349266A (zh) | 用于跨网络的关键控制消息传递的方法和装置 | |
| CN111465007B (zh) | 一种认证方法、装置和系统 | |
| CN117203935A (zh) | 用于在按需网络中进行设置、认证、授权和用户设备(ue)密钥生成和分发的方法和装置 | |
| CN111052779A (zh) | 通信方法和通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |