CN116391377A - 用于ue接入的使用数字标识符的认证 - Google Patents
用于ue接入的使用数字标识符的认证 Download PDFInfo
- Publication number
- CN116391377A CN116391377A CN202080106955.9A CN202080106955A CN116391377A CN 116391377 A CN116391377 A CN 116391377A CN 202080106955 A CN202080106955 A CN 202080106955A CN 116391377 A CN116391377 A CN 116391377A
- Authority
- CN
- China
- Prior art keywords
- dig
- identifier
- network
- service provider
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 113
- 230000004044 response Effects 0.000 claims abstract description 33
- 238000010295 mobile communication Methods 0.000 claims description 39
- 238000012795 verification Methods 0.000 claims description 15
- 230000006870 function Effects 0.000 description 70
- 238000004891 communication Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 21
- 238000012545 processing Methods 0.000 description 15
- 238000007726 management method Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 11
- 238000001228 spectrum Methods 0.000 description 7
- 238000009795 derivation Methods 0.000 description 5
- 102100036409 Activated CDC42 kinase 1 Human genes 0.000 description 4
- 239000008186 active pharmaceutical agent Substances 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 4
- 101000741965 Homo sapiens Inactive tyrosine-protein kinase PRAG1 Proteins 0.000 description 3
- 102100038659 Inactive tyrosine-protein kinase PRAG1 Human genes 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 239000013256 coordination polymer Substances 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000007774 longterm Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 102100022887 GTP-binding nuclear protein Ran Human genes 0.000 description 2
- 101000879635 Streptomyces albogriseolus Subtilisin inhibitor Proteins 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 102100023379 NF-kappa-B-repressing factor Human genes 0.000 description 1
- 241000700159 Rattus Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 208000028626 extracranial carotid artery aneurysm Diseases 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- DJGAAPFSPWAYTJ-UHFFFAOYSA-M metamizole sodium Chemical compound [Na+].O=C1C(N(CS([O-])(=O)=O)C)=C(C)N(C)N1C1=CC=CC=C1 DJGAAPFSPWAYTJ-UHFFFAOYSA-M 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
公开了用于网络接入的基于数字标识符的认证的装置、方法和系统。一种装置(600)包括网络接口(640),其从网络功能接收(805)第一认证请求消息,并且从服务提供商接收(810)订阅信息,该消息包含基于数字标识符(“DIG‑ID”)的UE标识符,所述DIG‑ID包括可验证的安全标识,使用DIG‑ID来标识所述服务提供商。该装置(600)包括处理器(605),其响应于使用DIG‑ID对UE的成功认证而存储(815)订阅信息和UE安全上下文。这里,UE安全上下文包含使用DIG‑ID导出的至少一个安全密钥。网络接口(610)向网络功能发射(820)至少一个安全密钥,其中至少一个安全密钥被用于保护UE的业务。
Description
技术领域
本文公开的主题总体上涉及无线通信,并且更具体地涉及支持基于数字ID的用户认证以启用针对UE的网络接入。
背景技术
在此定义以下缩略语,至少其中一些在以下描述中被提及:第三代合作伙伴计划(“3GPP”)、第五代接入网络(“5G-AN”)、第五代核心网络(“5GC”)、第五代系统(“5GS”)、认证、授权和计费(“AAA”)、AAA代理(“AAA-P”)、AAA服务器(“AAA-S”)、肯定确认(“ACK”)、认证和密钥协商(“AKA”)、接入和移动性管理功能(“AMF”)、应用编程接口(“API”)、认证凭证存储和处理功能(“ARPF”)、接入层(“AS”)、应用服务器(“AS”)、认证服务器功能(“AUSF”)、认证令牌(“AUTN”)、认证向量(“AV”)、基站(“BS”)、区块链服务使能器功能(“BSEF”)、带宽部分(“BWP”)、空闲信道评估(“CCA”)、码分多址(“CDMA”)、控制元素(“CE”)、循环前缀(“CP”)、信道状态信息(“CSI”)、配置的许可(“CG”)、核心网络(“CN”)、控制平面(“CP”)、去中心化标识符(“DID”)、数字标识符(“DIGID”)、数字签名(“DS”)、分布式账本技术(“DLT”)、数字标识、认证和信任服务启用器功能(“D-IDASEF”)、基于数字ID的订阅永久标识符(“D-SUPI”)、下行链路控制信息(“DCI”)、下行链路(“DL”)、不连续传输(“DTX”)、增强型空闲信道评估(“eCCA”)、电子标识、认证和信任服务(“elDAS”)、增强型移动宽带(“eMBB”)、演进节点B(“eNB”)、演进型分组核心(“EPC”)、演进型分组系统(“EPS”)、演进型UMTS陆地无线电接入(“E-UTRA”)、演进型UMTS陆地无线接入网络(“E-UTRAN”)、欧洲电信标准协会(“ETSI”)、通用分组无线电服务(“GPRS”)、全球移动通信系统(“GSM”)、混合自动重传请求(“HARQ”)、归属订户服务器(“HSS”)、归属公共陆地移动网络(“HPLMN”)、标识(“ID”,也是相关概念“标识符”或“标识”的首字母缩写)、标识提供商(“IDP”)、标识服务提供商(“IDSP”)、标识框架(“IDF”)、信息元素(“IE”)、物联网(“loT”)、先听后说(“LBT”)、长期演进(“LTE”)、多址接入(“MA”)、移动性管理(“MM”)、移动性管理实体(“MME”)、移动网络运营商(“MNO”)、主会话密钥(“MSK”)、窄带(“NB”)、否定确认(“NACK”)或(“NAK”)、新一代(5G)节点-B(“gNB”)、新一代无线电接入网络(“NG-RAN”)、用于5GS网络的RAN)、新无线电(“NR”、5G无线电接入技术;也称为“5G NR”)、使用未许可频谱的NR(“NR-U”)、非接入层(“NAS”)、网络曝光功能(“NEF”)、一次性随机数(“Nonce”)、网络切片选择辅助信息(“NSSAI”)、配置入网辅助信息(“OAI”)、许可分布式账本(“PDL”)、分组数据单元(“PDU”,连同“PDU会话”使用)、分组交换(“PS”,例如,分组交换域或分组交换服务)、主小区(“LTE”)、物理下行链路控制信道(“PDCCH”)、分组数据网络(“PDN”)、物理下行链路共享信道(“PDSCH”)、PDN网关(“P-GW”)、物理混合自动重传请求指示符信道(“PHICH”)、物理随机接入信道(“PRACH”)、物理资源块(“PRB”)、物理上行链路控制信道(“PUCCH”)、物理上行链路共享信道(“PUSCH”)、公共陆地移动网络(“PLMN”)、服务质量(“QoS”)、无线电接入网络(“RAN”)、无线电资源控制(“RRC”)、随机接入信道(“RACH”)、随机接入响应(“RAR”)、参考信号(“RS”)、注册区域(“RA”,类似于LTE/EPC中使用的跟踪区域列表)、接收(“RX”)、无线电链路控制(“RLC”)、单载波辅小区(“SCell”)、共享信道(“SCH”)、服务网关安全锚功能(“SEAF”)、订阅标识符去隐藏功能(“SIDF”)、(“S-GW”)、会话管理(“SM”)、安全模式命令(“SMC”)、会话管理功能(“SMF”)、服务网络标识符(“SN Id”)、服务提供商(“SP”)、单网络切片选择辅助信息(“S-NSSAI”)、探测参考信号(“SRS”)、自主身份(“SSI”)、订阅隐藏标识符(“SUCI”)、订阅永久标识符(“SUPI”)、定时对齐定时器(“TAT”)、跟踪区域(“TA”)、传送块(“TB”)、传送块大小(“TBS”)、时间戳(“TS”)、信任服务提供商(“TSP”)、传输时间间隔(“TTI”)、发射(“TX”)、统一数据管理(“UDM”)、用户数据存储库(“UDR”)、上行链路控制信息(“UCI”)、用户实体/设备(移动终端)(“UE”)、上行链路(“UL”)、用户平面(“UP”)、通用移动电信系统(“UMTS”)、UMTS陆地无线电接入(“UTRA”)、UMTS陆地无线电接入网络(“UTRAN”)、万维网联盟(“W3C”)和全球微波接入互操作性(“WiMAX”)。如本文所用,“HARQ-ACK”可以表示共同地肯定确认(“ACK”)和否定确认(“NACK”)以及不连续传输(“DTX”)。ACK意指正确接收到TB,而NACK(或NAK)意指错误地接收到TB。DTX意指未检测到TB。
当前3GPP网络限制与在UICC/USIM中提供的长期MNO订阅相关的用户订阅标识。在其中用户能够倾向于经由用户没有订阅的不同MNO网络使用不同的第三方服务的场景中,用户可能需要购买临时订阅以经由不同的MNO使用第三方服务。
发明内容
公开了用于网络接入的基于数字ID的认证的程序。所述程序可以由装置、系统、方法和/或计算机程序产品来实现。
UE的一种方法包括获取数字标识符(“DIG-ID”),所述数字标识符包括可验证的安全标识,以及使用DIG-ID来生成UE永久标识符。这里,UE永久标识符指示保存UE的订阅信息的服务提供商和在UE处启用DIG-ID生成的信任服务提供商。该方法包括向移动通信网络发送注册请求消息以及使用该DIG-ID来执行认证。这里,UE响应于成功认证经由移动通信网络接入由服务提供商提供的服务。
一种网络功能的方法包括接收第一认证请求消息,该消息包含基于DIG-ID的UE标识符,所述DIG-ID包括可验证的安全标识。该方法包括从服务提供商接收订阅信息,所述服务提供商使用DIG-ID来标识。该方法包括响应于使用DIG-ID对UE的成功认证而存储订阅信息和UE安全上下文。这里,UE安全上下文包含使用DIG-ID导出的至少一个安全密钥。该方法包括将至少一个安全密钥发射到移动通信网络中的网络功能。这里,至少一个安全密钥被用于保护UE的业务。
附图说明
将通过参考在附图中图示的具体实施例来呈现对以上简要描述的实施例的更具体的描述。理解这些附图仅描绘了一些实施例并且因此不应被认为是对范围的限制,将通过使用附图以附加的特殊性和细节来描述和解释实施例,其中:
图1是图示用于网络接入的基于数字ID的认证的无线通信系统的一个实施例的示意性框图;
图2是图示使用用于网络接入和MNO服务的基于去中心化ID/自主ID的SUPI进行主认证的程序的一个实施例的图;
图3A是图示使用用于网络接入的基于去中心化ID/自主ID的SUPI进行主认证的程序的一个实施例的图;
图3B是图3A中的程序的延续;
图3C是图3B中的程序的延续;
图4A是图示基于数字ID的订阅永久标识符的一个实施例的图;
图4B是图示基于数字ID的订阅隐藏标识符的一个实施例的图;
图5是图示可以用于网络接入的基于数字ID的认证的用户设备装置的一个实施例的图;
图6是图示可以用于网络接入的基于数字ID的认证的网络设备装置的一个实施例的图;
图7是图示用于网络接入的基于数字ID的认证的方法的一个实施例的流程图;以及
图8是图示用于网络接入的基于数字ID的认证的方法的另一实施例的流程图。
具体实施方式
如本领域技术人员将理解的,实施例的各方面可以体现为系统、装置、方法或程序产品。因此,实施例可以采取完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)或结合软件和硬件方面的实施例的形式。
例如,所公开的实施例可以实现为硬件电路,其包括定制的超大规模集成(“VLSI”)电路或门阵列、诸如逻辑芯片的现成的半导体、晶体管或其他分立的组件。所公开的实施例也可以在可编程硬件设备中实现,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等。作为另一示例,所公开的实施例可以包括可执行代码的一个或多个物理或逻辑块,该可执行代码可以例如被组织为对象、过程或功能。
此外,实施例可以采取体现在一个或多个计算机可读存储设备中的程序产品的形式,该一个或多个计算机存储设备存储机器可读代码、计算机可读代码、和/或程序代码(以下称为代码)。存储设备可以是有形的、非暂时的和/或非传输的。存储设备可能不包含信号。在某个实施例中,存储设备仅采用用于接入代码的信号。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是例如但不限于电子的、磁性的、光学的、电磁的、红外线的、全息的、微机械的或半导体系统、装置或设备,或前述的任何合适的组合。
存储设备的更具体示例(非详尽列表)将包括以下内容:具有一根或多根电线的电连接、便携式计算机软盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式光盘只读存储器(“CD-ROM”)、光存储设备、磁存储设备,或前述的任何合适的组合。在本文档的情境中,计算机可读存储介质可以是能够包含或存储用于由指令执行系统、装置或设备使用或与其结合使用的程序的任何有形介质。
用于执行实施例的操作的代码可以是任意数量的行,并且可以用包括诸如Python、Ruby、Java、Smalltalk、C++等面向对象的编程语言、和诸如“C”编程语言等传统的过程编程语言、和/或诸如汇编语言的机器语言中的一个或多个编程语言的任意组合来编写。代码可以完全在用户计算机上执行,部分在用户计算机上,作为独立软件包,部分在用户计算机上,部分在远程计算机上或完全在远程计算机或服务器上执行。在后一种场景下,远程计算机可以通过包括局域网(“LAN”)或广域网(“WAN”)的任何类型的网络连接到用户的计算机,或者可以进行到外部计算机(例如,使用因特网服务提供商通过因特网)的连接。
此外,实施例的描述的特征、结构或特性可以以任何合适的方式组合。在下面的描述中,提供了许多具体的细节,诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等示例,以提供实施例的透彻理解。然而,相关领域的技术人员将认识到,实施例可以在没有一个或多个具体细节的情况下或者以其他方法、组件、材料等来实施。在其他情况下,未详细示出或描述众所周知的结构、材料或操作以避免模糊实施例的各方面。
贯穿本说明书对“一个实施例”、“实施例”或类似语言的引用是指结合该实施例描述的特定特征、结构或特性被包括在至少一个实施例中。因此,除非另有明确规定,贯穿本说明书的短语“在一个实施例中”、“在实施例中”和类似语言的出现可以但不一定都指代相同的实施例,而是表示“一个或多个但不是所有实施例”。除非另有明确规定,否则术语“包括”、“包含”、“具有”及其变体是指“包括但不限于”。除非另有明确规定,列举的项目列表并不是指任何或所有项目是相互排斥的。除非另有明确说明,否则术语“一(a/an)”和“该”也是指“一个或多个”。
如本文所用,具有“和/或”连词的列表包括列表中的任何单个项目或列表中的项目的组合。例如,A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所用,使用术语“一个或多个”的列表包括列表中的任何单个项目或列表中的项目的组合。例如,A、B和C中的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所用,使用术语“……中的一个”的列表包括列表中的任何单个项目中的一个且仅一个。例如,“A、B和C中的一个”包括仅A、仅B或仅C并且不包括A、B和C的组合。如本文所用,“选自由A、B和C组成的组的成员”包括A、B或C中的一个且仅一个,并且不包括A、B和C的组合。”如本文所用,“选自由A、B和C组成的组的成员及其组合”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
下面参考根据实施例的方法、装置、系统和程序产品的示意流程图和/或示意框图来描述实施例的各方面。应当理解,流程图和/或示意框图中的各个框,以及流程图和/或示意框图中框的组合都可以通过代码来实现。该代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以生产机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令,创建用于实现流程图和/或框图中指定的功能/动作的装置。
代码还可以存储在存储设备中,该存储设备能够指导计算机、其他可编程数据处理装置或其他设备以特定方式运行,使得存储在存储设备中的指令产生包括实现示意流程图和/或示意框图中指定的功能/动作的指令。
代码还可以加载到计算机、其他可编程数据处理设备或其他设备上,以使一系列操作步骤在计算机、其他可编程设备或其他设备上执行,从而产生计算机实现的过程,使得在计算机或其他可编程设备上执行的代码提供用于实现流程图和/或框图中指定的功能/动作的过程。
附图中的流程图和/或框图示出了根据各种实施例的装置、系统、方法和程序产品的可能实现的架构、功能和操作。在这点上,流程图和/或框图中的每个框可以表示模块、段或代码的一部分,其包括用于实现(多个)指定逻辑功能的代码的一个或多个可执行指令。
还应注意,在一些替代实施方式中,框中标注的功能可能不按图中标注的顺序出现。例如,连续示出的两个框实际上可以基本上同时执行,或者框有时可以以相反的顺序执行,这取决于所涉及的功能性。可以构想在功能、逻辑或效果上与所示图中的一个或多个框或其部分等效的其他步骤和方法。
尽管在流程图和/或框图中可以采用各种箭头类型和线类型,但它们被理解为不限制相应实施例的范围。实际上,一些箭头或其他连接器可用于仅指示所描绘实施例的逻辑流程。例如,箭头可以指示所描绘的实施例的枚举步骤之间的未指定持续时间的等待或监视时段。还将注意,框图和/或流程图的每个框,以及框图和/或流程图中的框的组合,可以由执行指定功能或动作的基于硬件的专用系统或专用硬件和代码的组合实现。
每个图中的元件的描述可以参考前面的附图的元件。在所有附图中,相同的数字指代相同的元件,包括相同元件的替代实施例。
一般而言,本公开描述了用于网络接入的基于数字ID认证的系统、方法和装置。本文描述了基于数字用户/网络订阅标识符的订户/用户认证以启用针对UE的按需网络接入和服务。还描述了基于数字标识符的订阅处理以减轻身份欺诈和风险。本公开解决了与移动网络相关的以下问题。
垂直服务提供商市场随着数字变换而演进,而当前3GPP移动网络不支持按需用户ID和订阅管理以启用来自数字市场中的不同服务提供商的用户按需服务。当前3GPP网络限制与在UICC/USIM中供应的长期移动网络运营商(“MNO”)订阅相关的用户订阅标识。在其中用户能够倾向于经由用户没有订阅的不同MNO网络使用不同第三方服务的场景中,用户可能需要购买临时订阅以经由不同MNO使用第三方服务。
要求数字订户/客户标识和临时订阅处理的较少用例包括按使用付费模型(即,其中用户在不购买专用SIM卡的情况下购买和使用正在进行的服务)、临时服务订阅(即,在网络中作为服务模型,其中在一些位置,5G网络能够针对点对点和/或临时事件是可用的/进行部署,以向本地用户或设备(例如,体育场/体育馆等)提供5G覆盖和连接)。5G网络运营商可以允许用户/设备接入特定的按需服务,特定的按需服务也可以由其它(多个)移动运营商或(多个)第三方内容提供商作为附加收入机会提供。用户/设备可以是(或不是)5G网络和/或服务提供商的订户,但是基于用户能够进行在线注册(而不经历遗留KYC、标识和订阅处理过程)并享受服务的需要)。
作为了解你的客户(“KYC”)要求的一部分的移动网络运营商(“MNO”)经受强制SIM注册义务,其要求客户在SIM卡和相关订阅能够被激活之前呈现政府认可的身份凭证。在大多数情况下,这些KYC法规仅允许客户呈现由政府当局发布的身份文档,诸如国家身份证、护照或驾驶执照。
然而,KYC过程对于服务提供商而言能够是昂贵的、耗时的并且可能是麻烦的,特别是当MNO有义务对照政府数据库证实客户的ID凭证并且针对他们进行的每个证实查询收费时。除了与客户登记、数据保护和文档管理相关联的运营成本之外,身份欺诈的案例还能够导致巨额罚金并损害公司的品牌信誉。
随着IoT设备数量的发展,嵌入式SIM技术正在演变并替换物理SIM卡。一般而言,USIM/UICC存储订阅信息以及IMSI(国际移动订阅标识符),并且它们负责认证移动网络上的订户、接入网络以及利用订阅相关服务。eSIM和iSIM主要取决于远程SIM供应(“RSP”)解决方案。与用于网络接入的SIM激活相关的KYC过程中涉及的身份欺诈和复杂性成为对移动运营商和订户的巨大威胁。
随着loT设备数量的增加,没有USIM的设备也将在loT和垂直服务生态系统中发挥重要作用的机会更高。目前,移动运营商和3GPP网络仅支持传统的KYC,即,订户只能够在商店的遗留身份检查(例如护照)之后获得SIM卡并激活订阅,之后基于SIM的订阅激活和用户标识认证过程以提供网络接入和服务。为了在演进的数字市场中启用按需订阅和用户标识管理,到目前为止,3GPP网络不具有任何数字订阅和标识处理方法,也不具有任何标准订阅配置入网方法。
本文描述了支持基于数字ID的订户标识和认证以启用按需网络接入并防止ID欺诈的程序。目前,传统的移动订阅ID将为诸如IMSI(具有MSIN、MCC、MNC)或NAI的格式。为了支持针对与按需服务/按使用付费模型相关的端用户的动态和临时订阅,可以由UE基于数字ID/去中心化ID来构造数字订阅唯一永久ID(D-SUPI)或者能够给UE供应数字ID/去中心化ID以支持数字用户/网络/服务订阅标识并且处理D-SUPI。
图1描绘了根据本公开的实施例的用于网络接入的基于数字ID的认证的无线通信系统100。在一个实施例中,无线通信系统100包括至少一个远程单元105、无线电接入网络(“RAN”)120、移动核心网络130和服务提供商域140。RAN 120和移动核心网络130形成移动通信网络。移动通信网络能够向远程单元105提供对由服务提供商域140提供的一个或多个服务的接入。RAN 120可以由基站单元110组成,远程单元105使用无线通信链路与该基站单元110通信。尽管在图1中描绘了特定数量的远程单元105、基站单元110、RAN 120、移动核心网络130和服务提供商域140,但是本领域技术人员将认识到,在无线通信系统100中可以包括任何数量的远程单元105、基站单元110、RAN 120、移动核心网络130和服务提供商域140。
在一个实施方式中,RAN 120符合3GPP规范中规定的5G系统。在另一实施方式中,RAN 120符合3GPP规范中规定的LTE系统。然而,更一般地,无线通信系统100可以实现一些其他开放或专有通信网络,例如WiMAX,以及其他网络。本公开不旨在限于任何特定无线通信系统架构或协议的实施方式。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到因特网的电视)、智能设备(例如,连接到因特网的设备)、机顶盒、游戏机、安全系统(包括安全摄像头)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以被称为UE、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、设备,或通过本领域中使用的其他术语。
远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号与RAN 120中的一个或多个基站单元121直接通信。此外,UL和DL通信信号可以通过无线通信链路承载。这里,RAN 120是向远程单元105提供对移动核心网络130的接入的中间网络。
在一些实施例中,远程单元105经由与移动核心网络130的网络连接与应用服务器141通信。例如,移动应用107(例如,网络浏览器、媒体客户端、电话/VoIP应用)在远程单元105中可以触发远程单元105以经由RAN 120与移动核心网络130建立PDU会话(或其他数据连接)。移动核心网络130然后使用PDU会话在服务提供商域140中的远程单元105与应用服务器141之间中继业务。PDU会话代表远程单元105和UPF 131之间的逻辑连接。为了建立PDU会话,远程单元105必须向移动核心网络130注册。注意,远程单元105可以与移动核心网络130建立一个或多个PDU会话(或其他数据连接)。因此,远程单元105可以同时具有用于与服务提供商域140通信的至少一个PDU会话和用于与另一数据网络(例如,分组数据网络150)通信的至少一个PDU会话。移动应用107的其他示例包括ID服务应用、信任服务应用、订阅简档管理服务应用、区块链/DLT客户端,如下面参考附图2至3所讨论的。
基站单元121可以分布在地理区域上。在某些实施例中,基站单元121也可以称为接入终端、接入点、基地、基站、节点B、eNB、gNB、家庭节点B、中继节点、RAN节点或本领域中使用的任何其他术语。基站单元121通常是诸如RAN 120的无线电接入网络(“RAN”)的一部分,其可以包括可通信地耦合到一个或多个对应基站单元121的一个或多个控制器。无线电接入网络的这些和其他元件未示出,但本领域普通技术人员通常公知。基站单元121经由RAN 120连接到移动核心网络130。
基站单元121可以经由无线通信链路123为例如小区或小区扇区的服务区域内的多个远程单元105服务。如所描绘的,基站单元121可以支持特定小区123(即,PCell或PSCell)和/或SCell 125。基站单元121可以经由通信信号直接与一个或多个远程单元105通信。通常,基站单元121发射DL通信信号以在时域、频域和/或空间域中服务远程单元105。此外,可以在无线通信链路上承载DL通信信号。无线通信链路可以是许可或未许可无线电频谱中的任何合适的载波。无线通信链路促进一个或多个远程单元105和/或一个或多个基站单元121之间的通信。
在一个实施例中,移动核心网络130是5G核心(“5GC”)或演进分组核心(“EPC”),其可以耦合到分组数据网络150(如因特网和专用数据网络),以及其他数据网络。远程单元105可以具有移动核心网络130的订阅或其他账户。每个移动核心网络130属于单个公共陆地移动网络(“PLMN”)。本公开不旨在限于任何特定无线通信系统架构或协议的实施方式。
移动核心网络130包括若干网络功能(“NF”)。如图所示,移动核心网络130包括一个或多个用户平面功能(“UPF”)131。移动核心网络130还包括多个控制平面功能,其包括但不限于服务于RAN 120的接入和移动性管理功能(“AMF”)132、会话管理功能(“SMF”)133、安全锚功能(“SEAF”)134、认证服务器功能(“AUSF”)135、策略控制功能(“PCF”)136、数字标识、认证和信任服务启用器功能(“D-IDASEF”)137、和区块链服务启用器功能(“BSEF”)138以及统一数据管理/用户数据储存库功能(“UDM/UDR”)139。在各种实施例中,移动核心网络130还可以包括网络存储库功能(“NRF”)(由各种NF用于通过API发现并相互通信)、网络暴露功能(“NEF”)或为5GC定义的其他NF。在各种实施例中,AUSF 135为移动核心网络130提供配置入网功能,诸如配置入网启用器功能。在这样的实施例中,AUSF 135可以是配置入网启用器AUSF(“O-AUSF”)。
在各种实施例中,移动核心网络130支持不同类型的移动数据连接和不同类型的网络切片,其中每个移动数据连接利用特定的网络切片。这里,“网络切片”指的是移动核心网络130针对特定业务类型或通信服务优化的部分。每个网络切片包括CP和/或UP网络功能的集合。网络实例可以由S-NSSAI识别,而远程单元105被授权使用的网络切片集合由NSSAI识别。在某些实施例中,各种网络切片可以包括网络功能的单独实例,诸如SMF 133和UPF131。在一些实施例中,不同的网络切片可以共享一些共同的网络功能,诸如AMF 132。在图1中未显示不同的网络切片,但假定它们的支持。
尽管图1中描绘了特定数量和类型的网络功能,但本领域技术人员将认识到,任何数量和类型的网络功能都可以包括在移动核心网络130中。此外,在移动核心网络130是EPC的情况下,所描绘的网络功能可以用适当的EPC实体代替,诸如MME、S-GW、P-GW、HSS等。在某些实施例中,移动核心网络130可以包括AAA服务器。
服务提供商域140支持无线通信系统100中的服务。经由服务提供商域140提供的服务的示例可以包括但不限于第三方服务(例如,内容服务、多媒体服务、网络服务等)、标识服务、信任服务、区块链服务、分布式账本服务。如所描绘的,服务提供商域140可以包括应用服务器141、标识服务提供商(“IDSP”)142、信任服务提供商(“TSP”)143和区块链服务基础设施(“BSI”)144。下面更详细地描述IDSP 142和TSP 143。IDSP 142和TSP 143分别向移动核心网络130和/或远程单元105提供标识和信任服务。BSI 144与区块链/分布式账本网络160交互以向移动核心网络130和/或远程单元105提供区块链(例如,分布式账本)服务。在一些实施例中,服务提供商域140还包括认证、授权和计费服务器(“AAA-S”)145,其中该IDSP 142和TSP 143分别向AAA-S 145提供标识和信任服务。可替选地,BSI 144与区块链/分布式账本网络160交互以向AAA-S 145提供区块链(例如,分布式账本)服务。在一些实施例中,服务提供商域140包括AUSF 146和UDM/UDR 147,其中该IDSP 142和TSP 143分别向UDM/UDR 147提供标识和信任服务。可替选地,BSI 144与区块链/分布式账本网络160交互以向UDM/UDR 147提供区块链(例如,分布式账本)服务。
虽然图1描绘了5G RAN和5G核心网络的组件,但所描述的用于网络接入的基于数字ID的认证的实施例应用于其他类型的通信网络和RAT,包括IEEE 802.11变体、GSM、GPRS、UMTS、LTE变体、CDMA 2000、蓝牙、ZigBee、Sigfoxx等。例如,在涉及EPC的LTE变体中,AMF132可以被映射到MME,SMF 133可以被映射到PGW的控制平面部分和/或MME,UPF 131可以被映射到SGW和PGW的用户平面部分,UDM/UDR 139可以被映射到HSS等。
在以下描述中,术语“RAN节点”被用于基站,但它可以被任何其他无线电接入节点替换,例如,gNB、eNB、BS、AP、NR等。此外,在5G NR的情境下主要描述操作。然而,所提出的解决方案/方法也同样适用于支持用于网络接入的基于数字ID的认证的其他移动通信系统。
在各种实施例中,无线通信系统100支持基于通过在线注册从UE中可用的数字ID生成的数字SUPI的注册。数字SUPI能够由远程单元105基于在线注册期间和/或之后采集的用户生成的数字ID来构造。
本文中使用的数字ID(“DIG-ID”)是指可验证的安全标识,并且能够包含以下标识中的任何一个:
·去中心化ID(“DID”):DID的语法=“did:”method-name method-specific-id。示例DID为“did:example:123456789abcdefghi”。
·自主ID(“SSI”):这里,用户或组织(例如,MNO/服务提供商)控制和管理他们的标识。
·数字国际移动订阅标识符(“IMSI”):这里,数字IMSI可以包含可验证的用户ID/数字ID,而不是10位移动订户标识号(MSIN),例如,MCC、MNC和可验证的安全用户ID/数字ID。
·数字网络接入标识符(“NAI”)(例如,具有<username@realm>形式,其中,用户名(username)包括DIGID,并且realm包括能够访问DIGID和相关信息的相关联的服务提供商/域信息)。
·数字国际移动设备标识符(“IMEI”)。这里,数字IMEI可以包含与存储在去中心化平台中的实际IMEI和设备信息链接的可验证的安全设备标识符/数字ID。
图2描绘了根据本公开的实施例的用于使用基于数字ID的SUPI进行网络接入和MNO服务的主认证的程序200。程序200涉及UE 205、服务网络(例如,AMF)中的NF 207、归属网络中的AUSF 209以及归属网络中的UDM/UDR 211。在一些实施例中,服务网络是归属网络(例如,H-PLMN)。在其它实施例中,服务网络是与归属网络不同的受访/漫游网络(例如,V-PLMN)。
在各种实施例中,UE 205是远程单元105的一个实施例,NF 207可以是AMF 132和/或SEAF 134的一个实施例,AUSF 209是AUSF 135的一个实施例,并且UDM/UDR 211是UDM/UDR 139的一个实施例。应注意,UE 205可以是分布式账本技术(“DET”)端用户设备。程序200示出了用户如何能够使用数字ID(DIG-ID)作为SUPI来请求网络接入,例如,在网络接入注册期间使用网络服务。移动网络运营商(“MNO”)可以验证DIG-ID以执行用户标识认证从而提供网络接入。
作为程序200的前提条件,用户执行在线注册以购买MNO订阅。在在线签名的过程中,用户使用ID服务平台和/或信任服务平台来创建数字ID(例如,去中心化ID),这允许MNO经由ID/信任服务提供商验证用户DIG-ID。MNO验证DIG-ID并发布成功DIG-ID验证,用户接收MNO订阅,并且MNO允许UE 205接入服务。
在步骤1处,可信平台中的设备将MNO订阅信息与经验证的DIG-ID一起存储。订阅信息也能够被称为用户订阅简档。订阅信息能够包含IMSI(可选的)或非IMSI凭证、AKA凭证、网络接入信息、切片信息、与数字订阅相关的路由信息(D-路由指示符)、SUCI生成信息和任何其它网络相关信息。下面参考图4B描述D-SUCI的一个示例。
UE 205确定使用经验证的DIG-ID作为网络订阅标识符来向网络进行认证以注册到MNO网络。UE 205将经验证的数字ID作为输入来生成数字SUPI(参见块215)。此外,UE 205使用现有SUPI隐藏机制从数字SUPI生成数字SUCI(D-SUCI)。下面参考图4A描述D-SUPI的一个示例。
在步骤2处,用户在注册请求中向服务网络中的NF 207(例如,AMF)发送D-SUCI(参见消息传递219)。
在步骤3处:NF将认证请求中的接收到的D-SUCI转发给归属网络中的AUSF 209。可替选地,NF 207可以将具有D-SUCI的认证请求转发到归属网络中的另一NF,所述另一NF被配置有处理基于DIG-ID的认证的功能性。在这样的实施例中,程序200中的AUSF 209将被其它NF代替,下面描述的AUSF 209行为由其它NF实现。应注意,NF 207直接或经由服务网络中的任何其它NF向归属网络发送认证请求。
在步骤4处,AUSF 209基于数字路由指示信息将接收到的具有D-SUCI的认证请求转发到处理数字订阅和D-SUCI的UDM实例(参见消息传递221)。
在步骤5处,UDM 211将D-SUCI去隐藏为D-SUPI,提取DIG-ID,并验证所获得的DIG-ID,例如(参见块223)。如果验证成功,则UDM/UDR 211基于DIG-ID来选择认证方法。在一些实施例中,UDM 211使用作为用户订阅信息(例如,本地存储的DIG-ID)一部分的本地存储在UDR中的信息来验证DIG-ID。在其它实施例中,UDM 211通过查询去中心化区块链/PDL或ID服务提供商/信任服务提供商/ID框架来验证DIG-ID。
在步骤6处,UDM/UDR 211执行与UE的认证方法特定消息交换(参见消息传递225)。
在步骤7处,如果认证成功,则UDM/UDR 211使用DIG-ID作为密钥导出中的输入之一来导出安全密钥(例如,ACK;IK或CK’、IK’或Kausf)(参见块227)。然而,如果认证失败,则UDM/UDR 211经由服务网络NF向UE发送认证失败消息。
在步骤8处,UDM/UDR 211在认证响应(成功)消息中向AUSF 209提供密钥、D-SUPI、认证结果(参见消息传递229)。
在步骤9处,AUSF 209使用DIG-ID作为密钥导出中的一个输入从由UDM/UDR 211提供的密钥导出另一服务网络特定安全密钥(例如,Kseaf)(参见块231)。AUSF 209直接或经由服务网络(例如,SEAF)中的另一NF向服务网络中的NF 207(例如,AMF)提供服务网络特定安全密钥、D-SUPI、认证结果。
在步骤10处,NF 207(例如,AMF/SEAF)存储被绑定到DIG-ID的服务网络特定密钥,并使用其来生成用于UE 205的非接入层和接入层级别密钥(参见块233)。
在步骤11处,NF 207向UE 205发送认证结果(参见消息传递235)。UE 205进一步使用DIG-ID作为密钥导出中的输入来生成类似于网络的第一安全密钥和服务网络特定密钥。
图3A-3C图示了根据本公开的实施例的用于使用基于数字ID的SUPI进行网络接入的主认证的程序300。程序300可以使用UE 205、网络基础设施运营商310和服务提供商309来实现。网络基础设施运营商301包括RAN 303、AMF/SEAF 305、AUSF 209和UDM/UDR 211。应注意,UDM/UDR 211可以直接或经由AAA-P接入服务提供商。在一些实施例中,网络基础设施运营商301包括新3GPP NF,其充当认证服务启用器功能,诸如D-IDASEF和/或BSEF(被统一描绘为D-IDASEF/BSEF 307)。在这样的实施例中,AUSF 209和/或服务提供商309可以与D-IDASEF/BSEF 307而不是UDM/UDR 211进行交互,如下面进一步详述的。
AMF/SEAF 305可以是AMF 132和/或SEAF 134的实施例。在一些实施例中,AMF/SEAF 305是在服务网络中的NF 207的实施例。D-IDASEF/BSEF 307可以是D-IDASEF 137和/或BSEF 138的实施例。服务提供商309包括PEMN和/或NPN和/或内容服务提供商的NF 311,其可以充当用于PLMN/NPN/内容服务提供商的AUSF/UDM/UDR或AAA服务器。在一个实施例中,NF 311是服务提供商域140中的AAA-S145的实施例。在另一实施例中,NF 311是服务提供商域140中的AUSF 146和/或UDM/UDR 147的实施例。
图3A-3C描绘了用于使用不同的第三方凭证来使用由服务提供商309通过MNO A的网络提供的第三方服务的UE网络接入注册(例如,MNO A网络)的另一场景。这里,MNO A和第三方能够具有服务级别协议(“SLA”),例如,其中内容服务提供商使用不同的MNO在体育场中提供实时流,其中,用户不是该MNO的订户。程序300是按使用付费模式的一个示例,其中用户在不购买专用SIM卡的情况下方便地购买和使用服务。
关于用户发现和供应:用户发现来自内容提供商B的服务的可用性。用户选择网络A并与内容提供商B进行在线注册。应注意,用户可以在与内容提供商B成功在线注册之后生成数字ID(DIG-ID)。内容提供商B可以向网络A通知用户特定信息和要求(例如,连同DIG-ID)。
关于对服务的接入:UE 205利用由内容提供商B提供的凭证来接入网络A。这里,用户可以使用DIG-ID作为SUPI和由第三方提供的相关联的订阅信息来接入。网络A向UE 205提供与内容提供商B协商的配置。UE 205建立适当的(多个)PDU会话,并且用户享受事件和额外服务。
基于其使用的数字ID能够被定义为在UE处通过数字手段生成/供应的网络订阅ID(或)用户订阅ID(或)服务订阅ID,以使网络能够认证用户以提供网络接入,从而通过MNO A网络来支持不同的MNO B服务或第三方服务。数字ID是链接到存储在可信和去中心化平台上的用户的可验证声明的可验证的安全ID。
TS 23.003中定义的SUPI格式中的SUPI类型字段能够基于用于由UE 205构造SUPI/D-SUPI的DIG-ID来指示具有以下新SUPI类型中的任何一种的DIG-ID相关SUPI(“D-SUPI”)。
数字标识符(“DIG-ID”)可以采取以下形式之一:
NAI形式:username@realm。用户名包含关于SUPI类型(其是DIG-ID Type)和实际ID(其是DIG-ID)的信息。realm包含关于保存订阅信息(或订阅的所有者)的域名/ID和提供DIG-ID(或通过提供用于在UE处生成DIG-ID的方法来提供信任服务;并且促进DIG-ID连同相关信息一起存储在去中心化平台中)的域名/ID的信息。DIG-ID的示例NAI形式如下:DIG-IDType.DIG-ID@ServiceproviderID.ID/Trustserviceprovider ID。
数字形式:DIG-ID的示例如下:
DIG-IDType.DIG-ID.D-RoutingID.ServiceproviderID.Trustservicepr oviderID。这里,D-Routing ID(即,参考DIG-ID路由标识符或信息)可以包含路由信息以选择被配置成执行基于DIG-ID的ID验证和认证的标识认证和信任服务启用器功能(“D-IDASEF”)或AAA-P或区块链服务启用器功能(“BSEF”)或任何3GPP NF。
去中心化标识符(“DID”)可以采取以下形式之一:
NAI形式:username@realm。用户名包含关于SUPI类型(其是DID Type)和实际ID(其是DID)的信息。realm包含关于保存订阅信息的域名/ID,和提供DID(或者通过提供用于在UE处生成DIG-ID的方法来提供信任服务;并且促进DIG-ID连同相关信息一起存储在去中心化平台中)的域名/ID的信息。DID的示例NAI形式如下:DIDType.DID@ServiceproviderID.ID/TrustserviceproviderID。
数字形式:数字形式的DID的示例如下:DIDType.DID.D-RoutingID.ServiceproviderID./TrustserviceproviderID。这里,D-RoutingID(即,参考DID路由标识符或信息)可以包含路由信息以选择被配置成执行基于DID的ID验证和认证的D-IDASEF或AAA-P或BSEF或任何3GPP NF。
自主标识符(“SSI”)可以采取以下形式之一:
NAI形式:用户名包含关于作为SSI/DID类型的SUPI类型和作为SSI的实际ID的信息。SSI的示例NAI形式如下:SSIType.SSI@ServiceproviderID.ID/TrustserviceproviderID。realm包含关于保存订阅信息的域名/ID和提供SSI(或在UE处启用SSI生成)的域名/ID的信息。
数字形式:数字形式的SSI的示例如下:SSIType.SSI.D-RoutingID.ServiceproviderID.TrustserviceproviderID。D-RoutingID(DID路由标识符或信息)能够包含路由信息以选择认证和信任服务启用器功能(“D-IDASEF”)或AAA-P或区块链服务启用器功能(“BSEF”)或任何3GPP NF以执行基于SSI的ID验证和认证。
应注意,UE 205可以使用与3GPP 33.501中使用的SUCI构建方法类似的方法从诸如基于DID/SSI的SUPI类型的DIG-ID来构建SUCI,具有以下改变:
SUPI类型被设置为4和7之间的值以指示DIG-ID/DID/SSI。归属网络ID被设置为指示PLMN ID或服务提供商ID的值(例如,具有以NAI格式为SUPI指定的realm部分的域名)。ID/信任服务提供商ID被设置为指示提供DID/SSI(或在UE处启用DID/SSI生成)的ID/信任服务提供商的值。如果DID/SSI由UE生成并存储在去中心化平台(诸如由服务提供商管理和/或能够接入的区块链)中,则能够忽略该字段。
常规路由指示符被替换为D-Routing指示符,其指示由相关PLMN/NPN/内容服务提供商指配的信任服务提供商信息/ID。可替选地,D-Routing ID能够包含路由信息以选择D-IDASEF或AAA-P或BSEF或任何3GPP NF来执行基于SSI的ID验证和认证。由PEMN/NPN/内容服务提供商指定和使用保护方案ID。公钥ID代表由PEMN或SNPN/内容服务提供商供应的公钥。方案Output是用于D-SUPI保护的公钥保护方案的输出。在各种实施例中,保护方案能够类似于3GPP TS 33.501中指定的方法。
在图3A-3C的所描绘的实施例中,以DID作为DIG-ID来解释解决方案并且根据DID来描述解决方案。然而,应注意,相同的程序和描述可应用于任何DIG-ID,诸如去中心化ID或自主ID或任何其它数字ID,在代替DID、SSI等的情况下,针对任何DIG-ID适应性能够在消息流和步骤描述中替换。
作为程序300的前提条件,在步骤0处,用户通过在线注册购买第三方服务订阅,并且针对UE/用户订阅进行自主/数字/去中心ID生成。这可以使用UE 205的移动应用或使用基于用户代理来完成。UE 205和信任服务提供商(“TSP”)平台/基础设施交换它们的公钥信息以促进DID安全和基于DID的服务。经由基于应用的方法在在线注册过程之后执行配置入网。参见块313。
在步骤1处,UE 205向AMF/SEAF发送具有基于DID的SUCI(D-SUCI)的注册请求(参见消息传递315)。UE 205能够在UICC/非UICC/可信安全平台/智能安全平台上为该PLMN创建服务订阅简档/USIM或用户网络订阅简档,以供稍后在主认证期间使用。
在步骤2处,AMF/SEAF 305向AUSF 209发送具有接收到的基于DID的SUCI(称为“D-SUCI”)的Nausf_UEAuth_Request消息。可替选地,在接收到D-SUCI时,AMF/SEAF 305可以基于D-Routing ID/D-SUCI中提供的信息直接向适当的D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)发送认证请求消息。在这种情况下,跳过步骤3。
在步骤3处,AUSF 209基于D-Routing ID/D-SUCI中提供的信息向D-IDASEF/BSEF307或UDM/UDR 211(或其它3GPP NF)发送Nudm_UEAuth_GetRequest/认证请求消息(参见消息传递319)。
在步骤4处,基于指示DID/SSI类型的SUPI类型,D-IDASEF/BSEF 307或UDM/UDR211(或其它3GPP NF)确定向MNO具有SLA的第三方服务提供商调用DID/SSI的认证(参见块321)。
可替选地,基于指示DID/SSI类型的SUPI类型,D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)确定通过使用服务提供商供应的DID和UDM/UDR 211中本地可用的相关订阅信息来调用对DID/SSI的认证。D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)将D-SUCI去隐藏到D-SUPI,提取DID并使用本地存储的DID来验证DID。
如果DID验证成功,则D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)基于DID来选择认证方法并执行与UE的认证。如果认证成功,则D-IDASEF/BSEF 307或UDM/UDR211(或其它3GPP NF)导出密钥CK’、IK’/Kausf,其能够通过使用DID作为安全密钥生成中的附加输入来绑定到DID。在该替选方案中,跳过步骤5a、5b、5c、5d、6a、6b和7。这涵盖了在步骤0中退出3GPP范围之后由服务提供商向网络运营商预先供应DID和DID相关用户订阅信息的情况。
在步骤5a处,D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)向具有D-SUCI和订阅请求指示的服务提供商NF 311(即,PLMN/NPN/内容服务提供商的任何NF/AAA服务器)发送认证请求消息(例如,Nsp_UEAuth_GetRequest消息)(参见消息传递323)。在一个示例中,NF 311是内容服务提供商的UDM(例如,UDM/UDR 147),使得认证请求消息被发送到服务提供商域中的UDM。在另一示例中,NF 311代表内容服务提供商的AUSF和UDM这两者(例如,AUSF 146、UDM/UDR 147),使得认证请求经由服务提供商域中的AUSF被发送到服务提供商域中的UDM。
在步骤5b处,服务提供商NF 311将D-SUCI去隐藏为D-SUPI并提取DID(参见消息传递325)。应注意,服务提供商NF 311能够为AAA服务器、AUSF、UDM或任何其它第三方特定网络功能。
继续图3B,在步骤5c处,服务提供商NF通过查询去中心化区块链/PDL或ID服务提供商/信任服务提供商/ID框架来验证DID(参见消息传递327)。可替选地,服务提供商NF可以使用存储在本地存储器中的公钥来验证DID,并且基于DID相关文档(即,可验证的凭证)来验证DID以证实DID相关用户信息。
在步骤5d处,服务提供商NF相应地从去中心化区块链/PDL或ID服务提供商/信任服务提供商/ID框架接收DID验证结果(作为成功/失败)(参见消息传递329)。
在步骤6a-b处,服务提供商NF基于DID验证结果,如果结果是成功,则选择基于D-SUPI/DID的认证方法(参见块331),并且运行包括方法特定认证消息交换的与UE的主要认证(参见消息传递333)。如果DID验证失败,则服务提供商NF确定向运营商网络中的D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)发送具有DID验证作为原因的认证失败。
在步骤7处,关于成功的DID验证和认证的服务提供商NF生成被绑定到DID和服务提供商ID的安全上下文,并且在认证响应消息(示例:Nsp_UEAuth_GetResponse消息)中向D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)提供安全上下文(EMSK/CK’、IK’、Kausf)以及D-SUPI/DID、结果‘成功’、订阅信息(切片信息或任何用户/订户和订阅相关信息)、SP-ID(参见消息传递335)。D-SUPI/DID和SP ID用作安全上下文(EMSK/CK’、IK’、Kausf)密钥导出中的附加输入。
可替选地,服务提供商NF在接收失败的DID验证时不运行与UE的认证,并且向D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)发送具有DID(结果‘失败’)并且原因为‘DID验证失败’的认证响应消息(例如,Nsp_UEAuth_GetResponse消息)。
在步骤8处,D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)存储接收到的D-SUPI/DID、SP ID、订阅信息以及结果,并且存储安全上下文(EMSK/CK’、IK’、Kausf)(参见块337)。如果D-IDASEF/BSEF 307(或其它3GPP NF)接收到步骤7,则在UDM/UDR 211中完成步骤7中接收到的信息的存储。如果接收到EMSK,则D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)进一步生成Kausf,或者如果从服务提供商接收到,则发送CK’、IK’对/Kausf。
可替选地,D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)在接收到失败的DID验证/失败的认证作为结果时,将经由AUSF和SEAF/AMF将结果作为‘认证失败’发送到UE。可替选地,D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)本地存储CK’、IK’/Kausf、DID以及认证结果。
在步骤9处,D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)将CK’、IK’对/Kausf连同认证结果‘成功’、DID SUPI和SP ID一起发送到AUSF(参见消息传递339)。可替选地,D-IDASEF/BSEF 307或UDM/UDR 211(或其它3GPP NF)从接收到的Kausf导出Kseaf,并将Kseaf连同认证结果‘成功’、DID SUPI和SP ID一起发送到AMF/SEAF。在这种情况下,跳过步骤8和10。
继续图3C,在步骤10处,AUSF 209本地存储接收到的DID SUPI和SP ID以及Kausf(参见块341)。AUSF 209使用DID作为密钥导出中的附加输入来从Kausf导出Kseaf。
在步骤11处,AUSF 209向AMF/SEAF发送Nausf_UEAuth_Response消息,其包括结果、锚密钥和DID SUPI(参见消息传递343)。
在步骤12处,AMF/SEAF 305指配服务提供商特定SP-ngKSI和SP-ABBA值以唯一地标识与外部/第三方服务提供商相关的安全特征和UE安全上下文。AMF/SEAF 305在N1消息中向UE 205发送结果‘认证成功’、SP-ngKSI、SP-ABBA(参见消息传递345)。可替选地,AMF/SEAF 305在N1消息中向UE 205发送结果‘认证成功’、ngKSI、ABBA。
在步骤13处,UE 205在接收到结果为‘认证成功’时,导出类似于网络的Kausf和Kseaf,并将其与接收到的SP-ngKSI和SP-ABBA参数一起存储。可替选地,UE 205在接收到结果为‘认证成功’时,导出类似于网络的Kausf和Kseaf,并将其与接收到的ngKSI和ABBA参数一起存储。
在步骤14处,AMF 305发起NAS SMC以设置NAS安全性,然后AMF 305触发以发起与gNB设置的UE初始上下文(参见消息传递349)。
在步骤15,RAN 303中的gNB发起并执行接入层(“AS”)SMC以设立AS安全上下文(参见消息传递351)。
在步骤16处,在成功的AS安全性设置之后,将受保护的注册接受消息发送到UE205(参见消息传递353)。在UE 205注册到MNO的网络之后,MNO能够稍后使用UE配置更新程序基于MNO策略来更新网络接入信息和网络特定订阅信息。
图4A图示了根据本公开的实施例的基于数字ID的SUPI(“D-SUPI”)400的一个示例。如图所示,D-SUPI 400包含:移动国家代码(“MCC”)405、移动网络代码(“MNC”)410和经验证的DIG-ID 415(即,诸如DID、SSI等的任何数字ID)。
图4B图示了根据本公开的实施例的基于数字ID的SUCI(“D-SUCI”)420的一个示例。如图所示,D-SUCI 420包含:SUPI类型425、归属网络标识符430、D-Routing ID 435、保护方案ID 440、归属网络公钥ID 445和方案输出450。应注意,SUPI类型425被设定为对应于“数字标识符”的值。当前,定义以下SUPI类型值:“0”指示IMSI;“1”指示网络特定标识符(“NSI”);“2”指示全局线路标识符(“GLI”);“3”指示全局电缆标识符(“GCI”)。因为处于范围4至7中的值当前是为将来使用而预留的备用值,所以预测4和7之间的值将用于指示对应于“数字标识符”类型或对应于以下类型中的任何一个的SUPI类型:“去中心化ID”、“自主ID”、“可验证的安全用户ID”、“可验证的安全设备ID”、“可验证的安全服务ID”、“可验证的安全订阅ID”和/或“可验证的安全订户ID”。
图5描绘了根据本公开的实施例的可以用于网络接入的基于数字ID的认证的用户设备装置500。在各种实施例中,用户设备装置500用于实现上述解决方案中的一个或多个。用户设备装置500可以是上述远程单元105和/或UE 205的一个实施例。此外,用户设备装置500可以包括处理器505、存储器510、输入设备515、输出设备520和收发器525。
在一些实施例中,输入设备515和输出设备520被组合成单个设备,诸如触摸屏。在某些实施例中,用户设备装置500可以不包括任何输入设备515和/或输出设备520。在各种实施例中,用户设备装置500可以包括以下中的一个或多个:处理器505、存储器510和收发器525,并且可以不包括输入设备515和/或输出设备520。
如所描绘的,收发器525包括至少一个发射器530和至少一个接收器535。这里,收发器525与由一个或多个基站单元121支持的一个或者多个服务小区通信。此外,收发器525可以支持至少一个网络接口540和/或应用接口545。(多个)应用接口545可以支持一个或多个API。(多个)网络接口540可以支持3GPP参考点,诸如Uu和PC5。如本领域普通技术人员所理解的,可以支持其他网络接口540。
在一个实施例中,处理器505可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器505可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中,处理器505执行存储在存储器510中的指令以执行本文所述的方法和例程。处理器505通信地耦合到存储器510、输入设备515、输出设备520和收发器525。
在各种实施例中,处理器505控制用户设备装置500以实现上述UE行为。例如,处理器505获取DIG-ID,所述DIG-ID包括可验证的安全标识。在某些实施例中,获取DIG-ID包括购买与移动通信网络/第三方服务提供商相关联的订阅和/或在用户设备装置处生成DIG-ID。
处理器505使用DIG-ID生成UE永久标识符,其中该UE永久标识符指示保存UE的订阅信息的服务提供商和在UE(用户设备装置)处启用DIG-ID生成的信任服务提供商。可替选地,UE永久标识符能够被称为用户订阅标识符/订阅唯一标识符。在各种实施例中,仅在用户设备装置500处,例如,经由用户代理和/或移动应用和/或数字钱包(其能够提供信任服务并且启用公钥基础设施以密码算法来生成可验证的安全ID和数字签名)生成DIG-ID。所生成的DIG-ID连同相关文档和/或信息和/或可验证的凭证也将被存储在能够由任何验证者(例如,MNO和/或第三方服务提供商)直接或通过信任服务提供商接入的去中心化平台(例如,数字ID基础设施)中,以验证DIG-ID。
经由收发器525,处理器505向移动通信网络发送注册请求消息并使用DIG-ID执行认证,其中该用户设备装置500响应于成功认证而经由移动通信网络接入由服务提供商提供的服务。
在一些实施例中,处理器505从UE永久标识符(即,DIG-ID或D-SUPI)构造隐藏的基于DIG-ID的标识符(即,D-SUCI)。在这样的实施例中,注册请求消息包括隐藏的基于数字ID的标识符。这里,隐藏的基于DIG-ID的标识符包括具有指示UE永久标识符的数字标识符类型(例如,DIG-ID/DID/SSI/可验证的ID类型)的值的类型指示符。
在某些实施例中,隐藏的基于数字ID的标识符进一步包括路由信息,该路由信息包括以下中的一个或多个:服务提供商ID、服务提供商公钥ID和数字ID路由指示符。在这样的实施例中,路由信息能够由接入管理功能用于将请求消息路由到处理基于DIG-ID的用户ID认证的特殊网络功能。在某些实施例中,响应于使用纯文本DIG-ID或使用空方案来构造基于隐藏DIG-ID的标识符(即,D-SUCI),如果请求消息不包括服务提供商公钥ID,则该请求消息包括数字签名和基于隐藏DIG-ID的标识符。
在一些实施例中,DIG-ID包括以下中的一个或多个:网络订阅标识符、用户订阅标识符、可验证的用户标识符、DID、SSI、可验证的订阅标识符和服务订阅标识符。在一些实施例中,在UE处生成和/或供应DIG-ID以启用在网络处的用户认证以提供网络接入来支持通过移动通信网络的特定服务(即,MNO服务或第三方服务)。在一些实施例中,DIG-ID指示伴随DIG-ID的数字标识符类型(即,数字ID/DID/SSU可验证的ID类型)。在一些实施例中,可验证的安全标识被链接到存储在与信任服务提供商和/或标识服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的用户的可验证的凭证。
在一些实施例中,该DIG-ID被包含在具有形式<username@realm>的NAI的用户名部分内。在这样的实施例中,NAI可以包括DIG-ID和以下中的至少一个:时间戳(或诸如随机数的任何新鲜度参数)、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。在一些实施例中,可验证的安全标识包括以下之一:DID和SSI。
在一个实施例中,存储器510是计算机可读存储介质。在一些实施例中,存储器510包括易失性计算机存储介质。例如,存储器510可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器510包括非易失性计算机存储介质。例如,存储器510可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器510包括易失性和非易失性计算机存储介质这两者。
在一些实施例中,存储器510存储与用于网络接入的基于数字ID的认证相关的数据。例如,存储器510可以存储UE标识符、用户标识符、网络功能标识符、加密密钥、安全算法、数字签名、消息认证码、网络资源标识符等。在某些实施例中,存储器510还存储程序代码和相关数据,诸如在远程单元105上运行的操作系统或其他控制器算法。
在一个实施例中,输入设备515可以包括任何已知的计算机输入设备,该已知的计算机输入设备包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备515可以与输出设备520集成,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备515包括触摸屏,使得可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上的手写输入文本。在一些实施例中,输入设备515包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备520被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备520包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备520可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备520可以包括与用户设备装置500的其余部分分离但通信耦合的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等。此外,输出设备520可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备520包括用于产生声音的一个或多个扬声器。例如,输出设备520可以产生听觉警报或通知(例如,蜂鸣声或嘟嘟声)。在一些实施例中,输出设备520包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备520的全部或部分可以与输入设备515集成。例如,输入设备515和输出设备520可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备520可以位于输入设备515附近。
收发器525包括至少发射器530和至少一个接收器535。一个或多个发射器530可以用于向基站单元121提供UL通信信号,诸如本文描述的UL传输。类似地,如本文所述,一个或多个接收器535可以用于从基站单元121接收DL通信信号,如本文所述。尽管仅示出了一个发射器530和一个接收器535,但是用户设备装置500可以具有任何合适数量的发射器530和接收器535。此外,(多个)发射器530和(多个)接收器535可以是任何合适类型的发射器530和接收器535。在一个实施例中,收发器525包括用于在许可无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未许可无线电频谱上与移动通信网络通信的第二发射器/接收器对。
在某些实施例中,用于在许可无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未许可无线电频谱上与移动通信网络通信的第二发射器/接收器对可以组合成单个收发器单元,例如执行用于许可和未许可无线电频谱的功能的单芯片。在一些实施例中,第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如,某些收发器525、发射器530和接收器535可以实现为物理上分离的组件,这些组件访问共享硬件资源和/或软件资源,诸如例如网络接口540。
在各种实施例中,一个或多个发射器530和/或一个或多个接收器535可以被实现和/或集成到单个硬件组件中,诸如多收发器芯片、片上系统、ASIC、或其他类型的硬件组件。在某些实施例中,一个或多个发射器530和/或一个或多个接收器535可以被实现和/或集成到多芯片模块中。在一些实施例中,诸如网络接口540的其他组件或其他硬件组件/电路可以与任意数量的发射器530和/或接收器535集成到单个芯片中。在这样的实施例中,发射器530和接收器535可以被逻辑地配置为使用一个或多个常见的控制信号的收发器525,或者被实现为在相同硬件芯片或多芯片模块中实现的模块化发射器530和接收器535。
图6描绘了根据本公开的实施例的可以用于网络接入的基于数字ID的认证的网络设备装置600的一个实施例。在一些实施例中,网络装置600可以是用于实现上述解决方案中的任意一个的网络功能的一个实施例。例如,网络设备装置600可以包括硬件和/或软件资源以在移动通信网络(即,PLMN、NPN和/或MNO)中实现上述网络功能之一,诸如AUSF 135、UDM/UDR 139、UDM/UDR 211和/或D-IDASEF/BSEF 307。此外,网络设备装置600可以包括处理器605、存储器610、输入设备615、输出设备620和收发器625。在某些实施例中,网络设备装置600不包括任何输入设备615和/或输出设备620。
如所描述的,收发器625包括至少一个发射器630和至少一个接收器635。这里,收发器625与一个或多个远程单元105通信。另外,收发器625可以支持至少一个网络接口640和/或应用接口645。(多个)应用接口645可以支持一个或多个API。(多个)网络接口640可以支持3GPP参考点,诸如N1、N3等。如本领域普通技术人员所理解的,可以支持其他网络接口640。
在一个实施例中,处理器605可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器605可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中,处理器605执行存储在存储器610中的指令以执行本文所述的方法和例程。处理器605通信地耦合到存储器610、输入设备615、输出设备620和收发器625。
在各种实施例中,处理器605控制网络设备装置600以实现上述网络功能(“NF”)行为。例如,经由网络接口640,处理器605接收第一认证请求消息,该消息包含基于数字标识符(“DIG-ID”)的UE标识符,所述DIG-ID包括可验证的安全标识。
在各种实施例中,DIG-ID包括以下中的一个或多个:网络订阅标识符、用户订阅标识符、可验证的用户标识符、DID、SSI、可验证的订阅标识符和服务订阅标识符。在一些实施例中,在UE处生成和/或提供DIG-ID以启用在网络处的用户认证以提供网络接入来支持通过移动通信网络的特定服务(即,MNO服务或第三方服务)。在一些实施例中,DIG-ID指示伴随DIG-ID的数字标识符类型(即,数字ID/DID/SSI/可验证的ID类型)。在一些实施例中,可验证的安全标识被链接到存储在与信任服务提供商和/或标识服务提供商相关联的可信和去中心化平台或数字标识符基础设施(或能够由第三方服务提供商接入的去中心化平台或数字标识符基础设施)上的用户的可验证的凭证。
在一些实施例中,处理器605确定向服务提供商认证UE。此处,该确定可以基于DIG-ID的DIG-ID类型并且还基于与DIG-ID相关联的服务提供商信息。
处理器605从服务提供商接收订阅信息(例如,经由网络接口640),使用DIG-ID来识别所述服务提供商。在某些实施例中,该DIG-ID被包含在NAI的用户名部分内,其中NAI具有形式<username@realm>。在这样的实施例中,NAI可以包括DIG-ID以及以下中的至少一个:时间戳、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。在某些实施例中,DIG-ID是DID和/或SSI。
响应于使用DIG-ID对UE的成功认证,处理器605存储订阅信息和UE安全上下文。这里,UE安全上下文包含使用DIG-ID导出的至少一个安全密钥。在一个实施例中,处理器605例如在存储器610中本地存储订阅信息和UE安全上下文。在其他实施例中,处理器605将订阅信息和UE安全上下文存储在联网的存储设备中,例如,在UDR中。
在一些实施例中,经由网络接口640,处理器605向服务提供商发送第二认证请求消息,并且响应于UE的成功认证而从服务提供商接收UE安全上下文。在这样的实施例中,第二认证请求消息包含隐藏或明文形式的基于DIG-ID的标识符并且包含订阅信息请求。在一个实施例中,以明文形式的基于DIG-ID的标识符支持AAA服务器验证服务提供商网络中的基于DIG-ID的标识符,其中该AAA服务器不具有支持去隐藏特征的能力。
经由网络接口640,处理器605将至少一个安全密钥发射到移动通信网络中的网络功能。这里,至少一个安全密钥被用于保护UE的业务。在一些实施例中,UE导出对应于UE安全上下文的至少一个匹配安全密钥,所述导出基于以下中的一个或多个:DIG-ID、PLMN ID、NID和SP ID。在一些实施例中,UE安全上下文被绑定到以下中的一个或多个:DIG-ID、PLMNID、NID和SP ID。在某些实施例中,进一步使用SP ID来导出至少一个安全密钥。
在一些实施例中,从作为AMF和/或SEAF的网络功能接收第一认证请求。在这样的实施例中,发射至少一个安全密钥包括向AMF和/或SEAF发送。在某些实施例中,在AMF和/或SEAF处接收的一个安全密钥被用作AMF密钥(Kamf)和/或SEAF密钥(Kseaf)。
在一些实施例中,从AUSF接收第一认证请求。在这样的实施例中,发射至少一个安全密钥包括向AUSF发送。在某些实施例中,在AUSF处接收的一个安全密钥被用作以下中的一个或多个:AUSF密钥(Kausf)、扩展主会话密钥(EMSK)和/或密码和完整性密钥(CK’、IK’)。
在一些实施例中,基于DIG-ID的UE标识符包括隐藏的基于DIG-ID的标识符(即,D-SUCI)。在一些实施例中,处理器605对UE标识符执行去隐藏以获取UE的永久标识符,所述永久标识符还基于DIG-ID(即,D-SUPI)。附加地,处理器605可以检索DIG-ID并且使用本地存储的DIG-ID来验证DIG-ID。这里,响应于成功验证DIG-ID而执行UE的认证。
在某些实施例中,验证DIG-ID包括以对应于用户的公钥来验证DIG-ID的数字签名。在某些实施例中,处理器605响应于UE的成功认证而导出UE安全上下文。注意,可以使用与服务提供商公钥ID相关的私钥/密钥来完成去隐藏。可替选地,服务提供商可以通过使用订户/用户的公钥来验证D-SUCI的数字签名。
在一个实施例中,存储器610是计算机可读存储介质。在一些实施例中,存储器610包括易失性计算机存储介质。例如,存储器610可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器610包括非易失性计算机存储介质。例如,存储器610可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器610包括易失性和非易失性计算机存储介质这两者。
在一些实施例中,存储器610存储与用于网络接入的基于数字ID的认证有关的数据,例如存储UE标识符、用户标识符、网络功能标识符、加密密钥、安全算法、数字签名、消息认证码、网络资源标识符等。在某些实施例中,存储器610还存储程序代码和相关数据,诸如操作系统(“OS”)或在网络设备装置600上运行的其他控制器算法以及一个或多个软件应用。
在一个实施例中,输入设备615可以包括任何已知的计算机输入设备,该已知的计算机输入设备包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备615可以与输出设备620集成,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备615包括触摸屏,使得可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上的手写输入文本。在一些实施例中,输入设备615包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备620可以包括任何已知的电子可控显示器或显示设备。输出设备620可以被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备620包括能够向用户输出视觉数据的电子显示器。此外,输出设备620可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备620包括用于产生声音的一个或多个扬声器。例如,输出设备620可以产生听觉警报或通知(例如,蜂鸣声或嘟嘟声)。在一些实施例中,输出设备620包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备620的全部或部分可以与输入设备615集成。例如,输入设备615和输出设备620可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备620的全部或部分可以位于输入设备615附近。
如上所述,收发器625可以与一个或多个远程单元和/或与提供对一个或多个PLMN的接入的一个或多个网络功能通信。收发器625在处理器605的控制下操作以发射消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器605可以在特定时间选择性地激活收发器(或其部分)以便发送和接收消息。
收发器625可以包括一个或多个发射器630和一个或多个接收器635。在某些实施例中,一个或多个发射器630和/或一个或多个接收器635可以共享收发器硬件和/或电路系统。例如,一个或多个发射器630和/或一个或多个接收器635可以共享(多个)天线、(多个)天线调谐器、(多个)放大器、(多个)滤波器、(多个)振荡器、(多个)混频器、(多个)调制器/解调器、电源等。在一个实施例中,收发器625使用不同的通信协议或协议栈实现多个逻辑收发器,同时使用公共物理硬件。
图7描绘了根据本公开的实施例的用于网络接入的基于数字ID的认证的方法700的一个实施例。在各种实施例中,方法700由UE执行,诸如上述的远程单元105、UE 205和/或用户设备装置500。在一些实施例中,方法700由处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
方法700开始并获取705DIG-ID,所述DIG-ID包括可验证的安全标识。方法700包括使用DIG-ID生成710UE永久标识符。这里,UE永久标识符指示保存UE的订阅信息的服务提供商和在UE处启用DIG-ID生成的信任服务提供商(或支持DIG-ID创建和在去中心化平台中存储具有相关信息的DIG-ID的信任服务提供商)。
方法700包括向移动通信网络发送715注册请求消息。方法700包括使用DIG-ID执行720认证。这里,响应于成功认证,UE经由移动通信网络接入由服务提供商提供的服务。方法700结束。
图8描绘了根据本公开的实施例的用于网络接入的基于数字ID的认证的方法800的一个实施例。在各种实施例中,方法800由网络功能执行,诸如上述AUSF 135、UDM/UDR139、UDM/UDR 211、D-IDASEF/BSEF 307和/或网络设备装置600。在一些实施例中,方法800由处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
方法800开始并接收805第一认证请求消息,该消息包含基于数字标识符(“DIG-ID”)的UE标识符,所述DIG-ID包括可验证的安全标识。方法800包含从服务提供商接收810订阅信息,使用DIG-ID标识所述服务提供商。
方法800包括响应于使用DIG-ID对UE的成功认证而存储815订阅信息和UE安全上下文。这里,UE安全上下文包含使用DIG-ID导出的至少一个安全密钥。方法800包括向移动通信网络中的网络功能发射820至少一个安全密钥。这里,至少一个安全密钥被用于保护UE的业务。方法800结束。
本文公开了根据本公开的实施例的用于网络接入的基于数字ID的认证的第一装置。第一装置可以由诸如上述的远程单元105、UE 205和/或用户设备装置500的UE来实现。第一装置包括处理器,该处理器获取DIG-ID,所述DIG-ID包括可验证的安全标识。处理器使用DIG-ID生成UE永久标识符,其中UE永久标识符指示保存UE的订阅信息的服务提供商以及在UE处启用DIG-ID生成的信任服务提供商。第一装置包括收发器,该收发器向移动通信网络发送注册请求消息。经由收发器,处理器使用DIG-ID执行认证,其中响应于成功认证,UE经由移动通信网络接入由服务提供商提供的服务。
在一些实施例中,处理器从UE永久标识符构造隐藏的基于数字ID的标识符(即,D-SUCI)。在这样的实施例中,注册请求消息包括隐藏的基于DIG-ID的标识符。这里,隐藏的基于DIG-ID的标识符包括具有指示UE永久标识符的数字标识符类型(例如,数字ID/DID/SSU可验证的ID类型)的值的类型指示符。
在某些实施例中,隐藏的基于DIG-ID的标识符进一步包括路由信息,该路由信息包括以下中的一个或多个:服务提供商ID、服务提供商公钥ID和DIG-ID路由指示符。在这样的实施例中,路由信息能够由接入管理功能用于将请求消息路由到处理基于DIG-ID的用户ID认证的特殊网络功能。在某些实施例中,响应于使用纯文本DIG-ID或使用空方案来构造隐藏的基于DIG-ID的标识符(即,D-SUCI),如果请求消息不包括服务提供商公钥ID,则请求消息包括数字签名和隐藏的基于DIG-ID的标识符。
在一些实施例中,DIG-ID包括以下中的一个或多个:网络订阅标识符、用户订阅标识符、可验证的用户标识符、DID、SSI、可验证的订阅标识符和服务订阅标识符。在一些实施例中,在UE处生成和/或供应DIG-ID以启用在网络处的用户认证以提供网络接入来支持通过移动通信网络的特定服务(即,MNO服务或第三方服务)。在一些实施例中,DIG-ID指示伴随DIG-ID的数字标识符类型(即,数字ID/DID/SSI/可验证的ID类型)。在一些实施例中,可验证的安全标识被链接到存储在与信任服务提供商和/或标识服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的用户的可验证的凭证。
在一些实施例中,DIG-ID被包含在具有形式<username@realm>的NAI的用户名部分内。在这样的实施例中,NAI可以包括DIG-ID和以下中的至少一个:时间戳(或任何新鲜度参数,诸如随机数)、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。在一些实施例中,可验证的安全标识包括以下之一:DID和SSI。
本文公开了根据本公开的实施例的用于网络接入的基于数字ID的认证的第一方法。第一方法可以由UE执行,诸如上述的远程单元105、UE 205和/或用户设备装置500。第一方法包括获取DIG-ID,所述DIG-ID包括可验证的安全标识。第一方法包括使用DIG-ID生成UE永久标识符,其中该UE永久标识符指示保存UE的订阅信息的服务提供商以及在UE处启用DIG-ID生成的信任服务提供商。第一方法包括向移动通信网络发送注册请求消息并且使用DIG-ID执行认证,其中该UE响应于成功认证经由移动通信网络接入由服务提供商提供的服务。
在一些实施例中,第一方法包括从UE永久标识符构造隐藏的基于数字ID的标识符(即,D-SUCI)。在这样的实施例中,注册请求消息包括隐藏的基于DIG-ID的标识符。这里,隐藏的基于DIG-ID的标识符包括具有指示UE永久标识符的数字标识符类型(例如,数字ID/DID/SSU可验证的ID类型)的值的类型指示符。
在某些实施例中,隐藏的基于DIG-ID的标识符进一步包括路由信息,该路由信息包括以下中的一个或多个:服务提供商ID、服务提供商公钥ID和DIG-ID路由指示符。在这样的实施例中,路由信息能够由接入管理功能用于将请求消息路由到处理基于DIG-ID的用户ID认证的特殊网络功能。在某些实施例中,响应于使用纯文本DIG-ID或使用空方案来构造隐藏的基于DIG-ID的标识符(即,D-SUCI),如果请求消息不包括服务提供商公钥ID,则请求消息包括数字签名和隐藏的基于DIG-ID的标识符。
在一些实施例中,DIG-ID包括以下中的一个或多个:网络订阅标识符、用户订阅标识符、可验证的用户标识符、DID、SSI、可验证的订阅标识符和服务订阅标识符。在一些实施例中,在UE处生成和/或供应DIG-ID以启用在网络处的用户认证以提供网络接入来支持通过移动通信网络的特定服务(即,MNO服务或第三方服务)。在一些实施例中,DIG-ID指示伴随DIG-ID的数字标识符类型(即,数字ID/DID/SSI/可验证的ID类型)。在一些实施例中,可验证的安全标识被链接到存储在与信任服务提供商和/或标识服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的用户的可验证的凭证。
在一些实施例中,DIG-ID被包含在具有形式<username@realm>的NAI的用户名部分内。在这样的实施例中,NAI可以包括DIG-ID和以下中的至少一个:时间戳(或任何新鲜度参数,诸如随机数)、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。在一些实施例中,可验证的安全标识包括以下之一:DID和SSI。
本文公开了根据本公开的实施例的用于网络接入的基于数字ID的认证的第二装置。第二装置可以由移动通信网络(即,PLMN、NPN和/或MNO)中的网络功能来实现,诸如上述AUSF 135、UDM/UDR 139、UDM/UDR 211、D-IDASEF/BSEF 307和/或网络设备装置600。第二装置包括网络接口,该网络接口接收第一认证请求消息,该消息包含基于数字标识符(“DIG-ID”)的UE标识符,所述DIG-ID包括可验证的安全标识。网络接口从服务提供商接收订阅信息,使用DIG-ID来标识所述服务提供商。第二装置包括处理器,该处理器响应于使用DIG-ID对UE的成功认证而存储订阅信息和UE安全性上下文。这里,UE安全上下文包含使用DIG-ID导出的至少一个安全密钥。经由网络接口,处理器将至少一个安全密钥发射到移动通信网络中的网络功能。这里,至少一个安全密钥被用于保护UE的业务。
在一些实施例中,处理器确定以向服务提供商认证UE。此处,该确定可以基于DIG-ID的DIG-ID类型并且还基于与DIG-ID相关联的服务提供商信息。在一些实施例中,基于DIG-ID的UE标识符包括隐藏的基于DIG-ID的标识符(即,D-SUCI)。
在一些实施例中,处理器对UE标识符执行去隐藏以获取UE的永久标识符,所述永久标识符还基于DIG-ID。附加地,处理器可以检索DIG-ID并且使用本地存储的DIG-ID来验证DIG-ID。这里,响应于成功验证DIG-ID而执行UE的认证。在某些实施例中,验证DIG-ID包括以对应于用户的公钥来验证DIG-ID的数字签名。在某些实施例中,处理器响应于UE的成功认证而导出UE安全上下文。
在一些实施例中,经由网络接口,处理器向服务提供商发送第二认证请求消息,并且响应于UE的成功认证而从服务提供商接收UE安全上下文。在这样的实施例中,第二认证请求消息包含以隐藏或明文形式的基于DIG-ID的标识符并且包含订阅信息请求。
在一些实施例中,UE导出对应于UE安全上下文的至少一个匹配安全密钥,所述导出基于以下中的一个或多个:DIG-ID、PLMN ID、NID和SP ID。在一些实施例中,UE安全上下文被绑定到以下中的一个或多个:DIG-ID、PLMN ID、NID和SP ID。在某些实施例中,进一步使用SP ID导出至少一个安全密钥。
在一些实施例中,从作为AMF和/或SEAF的网络功能接收第一认证请求。在这样的实施例中,发射至少一个安全密钥包括向AMF和/或SEAF发送。在某些实施例中,在AMF和/或SEAF处接收的一个安全密钥被用作AMF密钥(Kamf)和/或SEAF密钥(Kseaf)。
在一些实施例中,从AUSF接收第一认证请求。在这样的实施例中,发射至少一个安全密钥包括向AUSF发送。在某些实施例中,在AUSF处接收的一个安全密钥被用作以下中的一个或多个:AUSF密钥(Kausf)、扩展主会话密钥(EMSK)和/或密码和完整性密钥(CK’、IK’)。
在各种实施例中,DIG-ID包括以下中的一个或多个:网络订阅标识符、用户订阅标识符、可验证的用户标识符、DID、SSI、可验证的订阅标识符和服务订阅标识符。在一些实施例中,在UE处生成和/或供应DIG-ID以启用在网络处的用户认证以提供网络接入来支持通过移动通信网络的特定服务(即,MNO服务或第三方服务)。在一些实施例中,DIG-ID指示伴随DIG-ID的数字标识符类型(即,数字ID/DID/SSI/可验证的ID类型)。
在一些实施例中,可验证的安全标识被链接到存储在与信任服务提供商和/或标识服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的用户的可验证的凭证。在某些实施例中,DIG-ID被包含在NAI的用户名部分内,其中NAI具有形式<username@realm>。在这样的实施例中,NAI包括DIG-ID以及以下中的至少一个:时间戳(或任何新鲜度参数,诸如随机数)、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。在某些实施例中,可验证的安全标识是DID和/或SSI。
本文公开了根据本公开的实施例的用于网络接入的基于数字ID的认证的第二方法。第二方法可以由移动通信网络(即,PLMN、NPN和/或MNO)中的网络功能来执行,诸如上述AUSF 135、UDM/UDR 139、UDM/UDR 211、D-IDASEF/BSEF 307和/或网络设备装置600。第二方法包括接收第一认证请求消息,该消息包含基于数字标识符(“DIG-ID”)的UE标识符,所述数字标识符包括可验证的安全标识。第二方法包括从服务提供商接收订阅信息,使用DIG-ID来标识所述服务提供商。第二方法包括响应于使用DIG-ID对UE的成功认证而存储订阅信息和UE安全上下文。这里,UE安全上下文包含使用DIG-ID导出的至少一个安全密钥。第二方法包括将至少一个安全密钥发射到移动通信网络中的网络功能。这里,至少一个安全密钥被用于保护UE的业务。
在一些实施例中,第二方法包括确定以向服务提供商认证UE,所述确定基于DIG-ID的DIG-ID类型并且还基于与DIG-ID相关联的服务提供商信息。在一些实施例中,基于DIG-ID的UE标识符包括隐藏的基于DIG-ID的标识符(即,D-SUCI)。
在一些实施例中,第二方法包括对UE标识符去隐藏以获取UE的永久标识符,所述永久标识符还基于DIG-ID,检索DIG-ID并且使用本地存储的DIG-ID来验证DIG-ID。这里,响应于成功验证DIG-ID而执行UE的认证。在某些实施例中,验证DIG-ID包括以对应于用户的公钥验证DIG-ID的数字签名。在某些实施例中,第二方法进一步包括响应于UE的成功认证而导出UE安全上下文。
在一些实施例中,第二方法包括向服务提供商发送第二认证请求消息,以及响应于UE的成功认证而从服务提供商接收UE安全上下文。在这样的实施例中,第二认证请求消息包含以隐藏或明文形式的基于DIG-ID的标识符并且包含订阅信息请求。
在一些实施例中,UE导出对应于UE安全上下文的至少一个匹配安全密钥,所述导出基于以下中的一个或多个:DIG-ID、PLMN ID、NID和SP ID。在一些实施例中,UE安全上下文被绑定到以下中的一个或多个:DIG-ID、PLMN ID、NID和SP ID。在某些实施例中,进一步使用SP ID来导出至少一个安全密钥。
在一些实施例中,从作为AMF和/或SEAF的网络功能接收第一认证请求。在这样的实施例中,发射至少一个安全密钥包括向AMF和/或SEAF发送。在某些实施例中,在AMF和/或SEAF处接收的一个安全密钥被用作AMF密钥(Kamf)和/或SEAF密钥(Kseaf)。
在一些实施例中,从AUSF接收第一认证请求。在这样的实施例中,发射至少一个安全密钥包括向AUSF发送。在某些实施例中,在AUSF处接收的一个安全密钥被用作以下中的一个或多个:AUSF密钥(Kausf)、扩展主会话密钥(EMSK)和/或密码和完整性密钥(CK’、IK’)。
在各种实施例中,DIG-ID包括以下中的一个或多个:网络订阅标识符、用户订阅标识符、可验证的用户标识符、DID、SSI、可验证的订阅标识符和服务订阅标识符。在一些实施例中,在UE处生成和/或供应DIG-ID以启用在网络处的用户认证以提供网络接入来支持通过移动通信网络的特定服务(即,MNO服务或第三方服务)。在一些实施例中,DIG-ID指示伴随DIG-ID的数字标识符类型(即,数字ID/DID/SSI/可验证的ID类型)。
在一些实施例中,可验证的安全标识被链接到存储在与信任服务提供商和/或标识服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的用户的可验证的凭证。在某些实施例中,DIG-ID被包含在NAI的用户名部分内,其中NAI具有形式<username@realm>。在这样的实施例中,NAI包括DIG-ID以及以下中的至少一个:时间戳(或任何新鲜度参数,诸如随机数)、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。在某些实施例中,可验证的安全标识是DID和/或SSI。
实施例可以以其他特定形式来实践。所描述的实施例在所有方面都被认为仅是说明性的而不是限制性的。因此,本发明的范围由所附权利要求而不是由前述描述指示。在权利要求的等效含义和范围内的所有变化都应包含在其范围内。
Claims (20)
1.一种用户设备装置(“UE”)的方法,包括:
获取数字标识符(“DIG-ID”),所述数字标识符包括可验证的安全标识;
使用所述DIG-ID来生成UE永久标识符,其中,所述UE永久标识符指示保存所述UE的订阅信息的服务提供商以及在所述UE处启用所述DIG-ID生成的信任服务提供商;
向移动通信网络发送注册请求消息;以及
使用所述DIG-ID来执行认证,其中,所述UE响应于成功认证经由所述移动通信网络接入由所述服务提供商提供的服务。
2.根据权利要求1所述的方法,进一步包括从所述UE永久标识符构造隐藏的基于DIG-ID的标识符,其中,所述注册请求消息包括所述隐藏的基于DIG-ID的标识符,其中,所述隐藏的基于DIG-ID的标识符包括具有指示所述UE永久标识符的数字标识符类型的值的类型指示符。
3.根据权利要求2所述的方法,其中,所述隐藏的基于DIG-ID的标识符进一步包括路由信息,所述路由信息包括以下中的一个或多个:服务提供商ID、服务提供商公钥ID和DIG-ID路由指示符,其中,所述路由信息能够由接入管理功能用于将所述请求消息路由到处理基于DIG-ID的用户ID认证的特殊网络功能。
4.根据权利要求2所述的方法,其中,响应于使用纯文本DIG-ID或使用空方案来构造所述隐藏的基于DIG-ID的标识符,如果所述请求消息不包括服务提供商公钥ID,则所述请求消息包括数字签名和所述隐藏的基于DIG-ID的标识符。
5.根据权利要求1所述的方法,
其中,所述DIG-ID包括以下中的一个或多个:网络订阅标识符、用户订阅标识符、可验证的用户标识符、去中心化标识符(“DID”)、自主标识符(“SSI”)、可验证的订阅标识符和服务订阅标识符,
其中,在所述UE处生成和/或供应所述DIG-ID以启用在所述网络处的用户认证以提供网络接入来支持通过所述移动通信网络的特定服务,
其中,所述DIG-ID指示伴随所述DIG-ID的所述数字标识符类型,
其中,所述可验证的安全标识包括以下之一:去中心化标识符和自主标识符;
其中,所述可验证的安全标识被链接到存储在与所述信任服务提供商和/或标识服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的所述用户的可验证的凭证。
6.根据权利要求5所述的方法,其中,所述DIG-ID被包含在网络接入标识符(“NAI”)的用户名部分内,所述NAI包括所述DIG-ID和以下中的至少一个:时间戳、随机数、新鲜度参数、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息,其中,所述NAI具有形式<username@realm>。
7.一种移动通信网络中的网络功能的方法,所述方法包括:
接收第一认证请求消息,所述消息包含基于数字标识符(“DIG-ID”)的UE标识符,所述数字标识符包括可验证的安全标识;
从服务提供商接收订阅信息,使用所述DIG-ID来标识所述服务提供商;
响应于使用所述DIG-ID对所述UE的成功认证而存储所述订阅信息和UE安全上下文,其中,所述UE安全上下文包含使用所述DIG-ID导出的至少一个安全密钥,
将所述至少一个安全密钥发射到所述移动通信网络中的网络功能,其中,所述至少一个安全密钥被用于保护所述UE的业务。
8.根据权利要求7所述的方法,进一步包括确定以向所述服务提供商认证所述UE,所述确定基于所述DIG-ID的DIG-ID类型并且还基于与所述DIG-ID相关联的服务提供商信息。
9.根据权利要求7所述的方法,其中,基于DIG-ID的所述UE标识符包括隐藏的基于DIG-ID的标识符。
10.根据权利要求9所述的方法,所述方法进一步包括:
对所述UE标识符去隐藏以获取所述UE的永久标识符,所述永久标识符还基于所述DIG-ID,
检索所述DIG-ID;以及
使用本地存储的DIG-ID来验证所述DIG-ID,其中,响应于对所述DIG-ID的成功验证而执行对所述UE的认证。
11.根据权利要求10所述的方法,其中,验证所述DIG-ID包括以对应于所述用户的公钥来验证所述DIG-ID的数字签名,所述方法进一步包括响应于对所述UE的成功认证而导出所述UE安全上下文。
12.根据权利要求7所述的方法,进一步包括:
向服务提供商发送第二认证请求消息,所述第二认证请求消息包含以隐藏或明文形式的所述基于DIG-ID的标识符并且包含订阅信息请求;以及
响应于对所述UE的成功认证而从所述服务提供商接收所述UE安全上下文。
13.根据权利要求7所述的方法,其中,所述UE导出与所述UE安全上下文相对应的至少一个匹配安全密钥,所述导出基于以下中的一个或多个:所述DIG-ID、PLMN标识符(“PLMNID”)、网络标识符(“NID”)和服务提供商标识符(“SPID”)。
14.根据权利要求7所述的方法,其中,所述UE安全上下文被绑定到以下中的一个或多个:所述DIG-ID、PLMN标识符(“PLMNID”)、网络标识符(“NID”)以及服务提供商标识符(“SPID”),其中,所述至少一个安全密钥是进一步使用所述SPID导出的。
15.根据权利要求7所述的方法,其中,所述第一认证请求是从网络功能接收的,所述网络功能是以下之一:接入和移动性管理功能(“AMF”)和安全锚功能(“SEAF”),其中,发射所述至少一个安全密钥包括向所述AMF和/或SEAF发送。
16.根据权利要求15所述的方法,其中,在AMF和/或SEAF处接收到的所述一个安全密钥被用作AMF密钥(Kamf)和/或SEAF密钥(Kseaf)。
17.根据权利要求7所述的方法,其中,所述第一认证请求是从认证服务器功能(“AUSF”)接收的,其中,发射所述至少一个安全密钥包括向所述AUSF发送。
18.根据权利要求17所述的方法,其中,在AUSF处接收到的所述一个安全密钥被用作以下中的一个或多个:AUSF密钥(Kausf)、扩展主会话密钥(EMSK)和/或密码和完整性密钥(CK’,IK’)。
19.根据权利要求7所述的方法,
其中,所述DIG-ID包括以下中的一个或多个:网络订阅标识符、用户订阅标识符、可验证的用户标识符、去中心化标识符(“DID”)、自主标识符(“SSI”)、可验证的订阅标识符和服务订阅标识符,
其中,在所述UE处生成和/或供应所述DIG-ID以启用在所述网络处的用户认证以提供网络接入来支持通过所述移动通信网络的特定服务,
其中,所述DIG-ID指示伴随所述DIG-ID的所述数字标识符类型,
其中,所述可验证的安全标识包括以下之一:去中心化标识符和自主标识符,
其中,所述可验证的安全标识被链接到存储在与所述信任服务提供商和/或标识服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的所述用户的可验证的凭证。
20.根据权利要求19所述的方法,其中,所述DIG-ID被包含在网络接入标识符(“NAI”)的用户名部分内,所述NAI包括所述DIG-ID和以下中的至少一个:时间戳、随机数、新鲜度参数、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息,其中,所述NAI具有形式<username@realm>。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2020/081366 WO2022096125A1 (en) | 2020-11-06 | 2020-11-06 | Authentication using a digital identifier for ue access |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116391377A true CN116391377A (zh) | 2023-07-04 |
Family
ID=73344018
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080106955.9A Pending CN116391377A (zh) | 2020-11-06 | 2020-11-06 | 用于ue接入的使用数字标识符的认证 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20240022908A1 (zh) |
EP (1) | EP4241480A1 (zh) |
CN (1) | CN116391377A (zh) |
WO (1) | WO2022096125A1 (zh) |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11134376B2 (en) * | 2018-12-20 | 2021-09-28 | T-Mobile Usa, Inc. | 5G device compatibility with legacy SIM |
-
2020
- 2020-11-06 WO PCT/EP2020/081366 patent/WO2022096125A1/en active Application Filing
- 2020-11-06 CN CN202080106955.9A patent/CN116391377A/zh active Pending
- 2020-11-06 US US18/252,178 patent/US20240022908A1/en active Pending
- 2020-11-06 EP EP20804481.8A patent/EP4241480A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2022096125A1 (en) | 2022-05-12 |
US20240022908A1 (en) | 2024-01-18 |
EP4241480A1 (en) | 2023-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111543073B (zh) | 用于用户认证的装置和方法 | |
KR102535674B1 (ko) | 블록체인 결제들을 이용한 네트워크 액세스의 제공 | |
WO2020030852A1 (en) | Network function authentication based on public key binding in access token in a communication system | |
CN114731346B (zh) | 使用用户标识符访问移动通信网络 | |
US20230413060A1 (en) | Subscription onboarding using a verified digital identity | |
CN113491142B (zh) | 使用公钥加密网络切片凭证 | |
US20230388788A1 (en) | Key-based authentication for a mobile edge computing network | |
US20230209340A1 (en) | Method and apparatus for transferring network access information between terminals in mobile communication system | |
US20230224704A1 (en) | Using a pseudonym for access authentication over non-3gpp access | |
US20240022908A1 (en) | Authentication using a digital identifier for ue access | |
US20240179525A1 (en) | Secure communication method and apparatus | |
WO2024049335A1 (en) | Two factor authentication | |
WO2023144649A1 (en) | Application programming interface (api) access management in wireless systems | |
WO2023144650A1 (en) | Application programming interface (api) access management in wireless systems | |
CN117917042A (zh) | 在应用实体与无线通信网络之间建立信任关系 | |
CN117413554A (zh) | 密钥管理方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |