CN116965003A - 基于路由信息的网络安全 - Google Patents
基于路由信息的网络安全 Download PDFInfo
- Publication number
- CN116965003A CN116965003A CN202280014136.0A CN202280014136A CN116965003A CN 116965003 A CN116965003 A CN 116965003A CN 202280014136 A CN202280014136 A CN 202280014136A CN 116965003 A CN116965003 A CN 116965003A
- Authority
- CN
- China
- Prior art keywords
- amf
- ausf
- security
- routing information
- seaf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 claims abstract description 68
- 238000007726 management method Methods 0.000 claims description 20
- 238000013523 data management Methods 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000000977 initiatory effect Effects 0.000 claims description 8
- 238000000034 method Methods 0.000 abstract description 82
- 230000006870 function Effects 0.000 description 71
- 238000004891 communication Methods 0.000 description 61
- 238000010586 diagram Methods 0.000 description 27
- DJGAAPFSPWAYTJ-UHFFFAOYSA-M metamizole sodium Chemical compound [Na+].O=C1C(N(CS([O-])(=O)=O)C)=C(C)N(C)N1C1=CC=CC=C1 DJGAAPFSPWAYTJ-UHFFFAOYSA-M 0.000 description 25
- 238000002955 isolation Methods 0.000 description 19
- 238000012795 verification Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 11
- 239000000284 extract Substances 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- ORQBXQOJMQIAOY-UHFFFAOYSA-N nobelium Chemical compound [No] ORQBXQOJMQIAOY-UHFFFAOYSA-N 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/306—Route determination based on the nature of the carried application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/02—Communication route or path selection, e.g. power-based or shortest path routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开用于基于路由信息的网络安全的设备、方法及系统。一种方法(700)包含在第一网络装置处接收(702)来自初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合的安全请求消息。所述安全请求消息包含指示服务网络名(SNN)、是否需要路由信息、订阅永久标识符(SUPI)或其某一组合的信息。所述方法(700)包含在所述第一网络装置处基于所述安全请求消息确定(704)路由信息。所述方法(700)包含将安全响应消息从所述第一网络装置传输(706)到所述初始AMF、所述初始SEAF或所述其组合。所述安全响应消息包含所述路由信息。
Description
相关申请案的交叉参考
本申请案主张标题为“用于支持AUSF选择及促进用于重分配的AMF的安全上下文配置的设备、方法及系统(APPARATUSES,METHODS,AND SYSTEMS FOR SUPPORTING AUSFSELECTION AND FACILITATING SECURITY CONTEXT PROVISIONING FOR A RE-ALLOCATEDAMF)”且为希巴·巴基亚·玛丽·巴斯卡兰(Sheeba Backia Mary Baskaran)在2021年2月11日申请的序列号为63/148,540的美国专利申请案的优先权,所述美国专利申请案以其全文引用的方式并入本文中。
技术领域
本文中公开的标的物大体上涉及无线通信,且更特定来说,涉及基于路由信息的网络安全。
背景技术
在某些无线通信网络中,可使用新的接入及移动性管理功能。在此类网络中,新的接入及移动性管理功能可能没有认证服务器功能选择信息。
发明内容
公开用于基于路由信息的网络安全的方法。设备及系统也执行所述方法的功能。方法的一个实施例包含在第一网络装置处接收来自初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合的安全请求消息。所述安全请求消息包含指示服务网络名(SNN)、是否需要路由信息、订阅永久标识符(SUPI)或其某一组合的信息。在一些实施例中,所述方法包含在所述第一网络装置处基于所述安全请求消息确定路由信息。在某些实施例中,所述方法包含将安全响应消息从所述第一网络装置传输到所述初始AMF、所述初始SEAF或所述其组合。所述安全响应消息包含所述路由信息。
一种用于基于路由信息的网络安全的设备包含第一网络装置。在一些实施例中,所述设备包含接收来自初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合的安全请求消息的接收器。所述安全请求消息包含指示服务网络名(SNN)、是否需要路由信息、订阅永久标识符(SUPI)或其某一组合的信息。在各种实施例中,所述设备包含基于所述安全请求消息确定路由信息的处理器。在某些实施例中,所述设备包含将安全响应消息传输到所述初始AMF、所述初始SEAF或所述其组合的传输器。所述安全响应消息包含所述路由信息。
一种用于基于路由信息的网络安全的方法的另一实施例包含在第二网络装置处接收来自无线电接入网络(RAN)的重路由的非接入层(NAS)消息。所述重路由的NAS消息包含路由信息。在一些实施例中,所述方法包含基于所述重路由的NAS消息确定用于密钥请求消息的传输的第一网络装置。在某些实施例中,所述方法包含将所述密钥请求消息传输到所述第一网络装置。
用于基于路由信息的网络安全的另一设备包含第二网络装置。在一些实施例中,所述设备包含接收来自无线电接入网络(RAN)的重路由的非接入层(NAS)消息的接收器。所述重路由的NAS消息包含路由信息。在各种实施例中,所述设备包含基于所述重路由的NAS消息确定用于密钥请求消息的传输的第一网络装置的处理器。在某些实施例中,所述设备包含将所述密钥请求消息传输到所述第一网络装置的传输器。
一种用于基于路由信息的网络安全的方法的其它实施例包含响应于确定重路由非接入层(NAS)消息将重路由的NAS消息从第三网络装置传输到无线电接入网络(RAN)。所述重路由的NAS消息包含路由信息。
用于基于路由信息的网络安全的其它设备包含第三网络装置。在一些实施例中,所述设备包含响应于确定重路由非接入层(NAS)消息将重路由的NAS消息传输到无线电接入网络(RAN)的传输器。所述重路由的NAS消息包含路由信息。
附图说明
上文简要描述的实施例的更特定描述将通过参考在附图中说明的特定实施例来呈现。应理解,这些图仅描绘一些实施例且因此不应被视作限制范围,将通过使用附图以额外详情及细节描述及解释实施例,其中:
图1是说明用于基于路由信息的网络安全的无线通信系统的一个实施例的示意性框图;
图2是说明可用于基于路由信息的网络安全的设备的一个实施例的示意性框图;
图3是说明可用于基于路由信息的网络安全的设备的一个实施例的示意性框图;
图4是说明用于以经由使用AUSF的RAN的NAS重路由提供用于AMF重分配的AUSF、UDM及/或任何3GPP NF路由信息的系统的一个实施例的示意性框图;
图5A及5B是说明用于在主认证期间进行基于AMF切片服务能力的安全处置的系统的一个实施例的示意性框图;
图6A及6B是说明用于在主认证期间进行基于AMF服务能力的安全处置的系统的一个实施例的示意性框图;
图7是说明用于基于路由信息的网络安全的方法的一个实施例的流程图;
图8是说明用于基于路由信息的网络安全的方法的另一实施例的流程图;及
图9是说明用于基于路由信息的网络安全的方法的其它实施例的流程图。
具体实施方式
如所属领域的技术人员将了解,实施例的方面可经体现为系统、设备、方法或程序产品。因此,实施例可采取完全硬件实施例、完全软件实施例(包含固件、常驻软件、微代码等)或组合软件与硬件方面的实施例的形式,其在本文中都可被统称为“电路”、“模块”或“系统”。此外,实施例可采用体现于存储机器可读代码、计算机可读代码及/或程序代码(下文称为代码)的一或多个计算机可读存储装置中的程序产品的形式。存储装置可为有形的、非暂时的及/或非传输的。存储装置可不体现信号。在特定实施例中,存储装置仅采用信号来存取代码。
本说明书中描述的某些功能单元可被标记为模块,以便更特定地强调它们的实施独立性。举例来说,模块可经实施为硬件电路(包括定制的超大规模集成(“VLSI”)电路或门阵列)、现成的半导体(例如逻辑芯片、晶体管)或其它离散组件。模块还可经实施为可编程硬件装置,例如现场可编程门阵列、可编程阵列逻辑、可编程逻辑装置或类似物。
模块还可经实施为代码及/或软件以由各种类型的处理器执行。代码的经识别模块可例如包含可执行代码的一或多个物理或逻辑块,其可例如被组织为对象、程序或功能。然而,经识别模块的可执行项无需在物理上定位在一起,而是可包含存储于不同位置中的离散指令,所述指令当在逻辑上结合在一起时包含模块且实现所述模块的所述用途。
实际上,代码模块可为单个指令或许多指令,且可甚至分布遍及若干不同代码段、不同编程及若干存储器装置。类似地,操作数据可在本文中被识别且说明于模块内,且可以任何合适的形式体现且组织于任何合适类型的数据结构内。操作数据可作为单个数据集被收集,或可分布遍及不同位置,包含遍及不同计算机可读存储装置。在模块或模块的部分经实施为软件时,软件部分被存储于一或多个计算机可读存储装置上。
可利用一或多个计算机可读媒体的任何组合。计算机可读媒体可为计算机可读存储媒体。计算机可读存储媒体可为存储代码的存储装置。存储装置可为例如(但不限于)电子、磁性、光学、电磁、红外、全息、微机械或半导体系统、设备或装置或前述内容的任何合适组合。
存储装置的更多特定实例(非详尽列表)将包含以下:具有一或多根导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或快闪存储器)、便携式光盘只读存储器(“CD-ROM”)、光学存储装置、磁性存储装置或前述内容的任何合适组合。在本档案的上下文中,计算机可读存储媒体可为任何有形媒体,其可含有或存储用于供指令执行系统、设备或装置使用或结合指令执行系统、设备或装置一起使用的程序。
用于实行实施例的操作的代码可为任何数目个行且可以包含面向对象的编程语言(例如Python、Ruby、Java、Smalltalk、C++或类似物)及常规的过程式编程语言(例如“C”编程语言或类似物)及/或机器语言(例如汇编语言)的一或多个编程语言的任何组合来编写。代码可完全在用户的计算机上执行、部分在用户的计算机上执行、作为独立软件包执行、部分在用户的计算机上且部分在远程计算机上执行或完全在远程计算机或服务器上。在后一案例中,远程计算机可通过任何类型的网络连接到用户的计算机,所述网络包含局域网(“LAN”)或广域网(“WAN”),或可进行到外部计算机的连接(例如,通过使用互联网服务提供商的互联网)。
贯穿本说明书对“一个实施例”、“实施例”或类似语言的参考意味着结合实施例描述的特定特征、结构或特性包含于至少一个实施例中。因此,除非另有明确指定,否则短语“在一个实施例中”、“在实施例中”及类似语言贯穿本说明书的出现可(但不一定)全都指同一实施例,而是意味着“一或多个但并非所有实施例”。除非另有明确指定,否则术语“包含”、“包括”、“具有”及其变化意味着“包含(但不限于)”。除非另有明确指定,否则列举的项目列表并不暗含任何或所有项目是相互排斥的。除非另有明确指定,否则术语“一(a/an)”及“所述”也指“一或多个”。
此外,实施例的所描述特征、结构或特性可以任何合适方式组合。在以下描述中,提供众多特定细节(例如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的实例)以提供实施例的透彻理解。然而,相关领域的技术人员应认识到,可在没有特定细节中的一或多者的情况下或用其它方法、组件、材料等等)实践实施例。在其它例子中,未详细展示或描述众所周知的结构、材料或操作以避免使实施例的方面模糊。
实施例的方面在下文参考根据实施例的方法、设备、系统及程序产品的示意性流程图及/或示意性框图来描述。应理解,示意性流程图及/或示意性框图的每一框及示意性流程图及/或示意性框图中的框的组合可由代码实施。代码可经提供到通用计算机、专用计算机或其它可编程数据处理设备的处理器以生产机器,使得经由计算机或其它可编程数据处理设备的处理器执行的指令创建用于实施在示意性流程图及/或示意性框图框或若干示意性框图框中指定的功能/动作的构件。
代码还可存储于存储装置中,所述代码可指示计算机、其它可编程数据处理设备或其它装置以特定方式起作用,使得存储于存储装置中的指令产生包含实施在示意性流程图及/或示意性框图框或若干示意性框图框中指定的功能/动作的指令的制品。
代码还可被加载到计算机、其它可编程数据处理设备或其它装置上以使一系列操作步骤在计算机、其它可编程设备或其它装置上执行来产生计算机实施过程,使得在计算机或其它可编程设备上执行的代码提供用于实施流程图及/或示意性框图框或若干示意性框图框中指定的功能/动作的过程。
图中的示意性流程图及/或示意性框图说明根据各种实施例的设备、系统、方法及程序产品的可能实施方案的架构、功能性及操作。在这方面,示意性流程图及/或示意性框图中的每一框可表示包含用于实施指定逻辑功能的代码的一或多个可执行指令的代码模块、代码段或代码部分。
还应注意,在一些替代实施方案中,框中所述的功能可不按图中所述的顺序发生。举例来说,连续展示的两个框实际上可基本上同时执行,或框有时可按相反顺序执行,这取决于所涉及的功能性。可设想在功能、逻辑或效果上等效于所说明图的一或多个框或其部分的其它步骤及方法。
尽管可在流程图及/或框图中采用各种箭头类型及线类型,但不应将它们理解为限制对应实施例的范围。实际上,一些箭头或其它连接符可用于仅指示所描绘实施例的逻辑流程。例如,箭头可指示所描绘实施例的列举步骤之间的未指定持续时间的等待或监测周期。还应注意,框图及/或流程图中的每一框以及框图及/或流程图中的框的组合可由执行指定功能或动作的基于专用硬件的系统或专用硬件与代码的组合实施。
每一图中的元件的描述可参考先前图的元件。相似数字指代所有图中的相似元件,包含相似元件的替代实施例。
图1描绘用于基于路由信息的网络安全的无线通信系统100的实施例。在一个实施例中,无线通信系统100包含远程单元102及网络单元104。尽管在图1中描绘特定数目个远程单元102及网络单元104,但所属领域的技术人员应认识到,在无线通信系统100中可包含任何数目的远程单元102及网络单元104。
在一个实施例中,远程单元102可包含计算装置,例如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、机顶盒、游戏机、安全系统(包含安全摄像头)、车载计算机、网络装置(例如路由器、交换机、调制解调器)、飞行器、无人机或类似物。在一些实施例中,远程单元102包含穿戴式装置,例如智能手表、健身手环、光学头戴式显示器或类似物。此外,远程单元102可称为订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、UE、用户终端、装置,或通过所属领域中使用的其它术语来指称。远程单元102可经由UL通信信号与网络单元104中的一或多者直接通信。在某些实施例中,远程单元102可经由侧链路通信与其它远程单元102直接通信。
网络单元104可分布遍及一个地理区。在某些实施例中,网络单元104还可指及/或可包含以下中的一或多者:接入点、接入终端、基地、基站、位置服务器、核心网络(“CN”)、无线电网络实体、节点-B、演进节点-B(“eNB”)、5G节点-B(“gNB”)、归属节点-B、中继节点、装置、核心网络、空中服务器、无线电接入节点、接入点(“AP”)、新无线电(“NR”)、网络实体、接入及移动性管理功能(“AMF”)、统一数据管理(“UDM”)、统一数据储存库(“UDR”)、UDM/UDR、策略控制功能(“PCF”)、无线电接入网络(“RAN”)、网络切片选择功能(“NSSF”)、操作、管理及维护(“OAM”)、会话管理功能(“SMF”)、用户平面功能(“UPF”)、应用功能、认证服务器功能(“AUSF”)、安全锚功能性(“SEAF”)、可信非3GPP网关功能(“TNGF”),或通过所属领域中使用的任何其它术语来指称。网络单元104通常是包含可通信地耦合到一或多个对应网络单元104的一或多个控制器的无线电接入网络的部分。无线电接入网络通常可通信地耦合到一或多个核心网络,所述核心网络可耦合到其它网络,如互联网及公共交换电话网络以及其它网络。无线电接入及核心网络的这些及其它元件未进行说明,但通常是所属领域的一般技术人员众所周知的。
在一个实施方案中,无线通信系统100符合在第三代合作伙伴项目(“3GPP”)中标准化的NR协议,其中网络单元104在下行链路(“DL”)上使用OFDM调制方案进行传输,且远程单元102在上行链路(“UL”)上使用单载波频分多址(“SC-FDMA”)方案或正交频分多路复用(“OFDM”)方案进行传输。然而,更一般来说,无线通信系统100可实施某一其它开放或专属通信协议,例如WiMAX、电气与电子工程师协会(“IEEE”)802.11变体、全球移动通信系统(“GSM”)、通用分组无线电服务(“GPRS”)、通用移动电信系统(“UMTS”)、长期演进(“LTE”)变体、码分多址2000(“CDMA2000”)、ZigBee、Sigfoxx以及其它协议。本公开不希望限于任何特定无线通信系统架构或协议的实施方案。
网络单元104可经由无线通信链路服务于服务区域(例如小区或小区扇区)内的数个远程单元102。网络单元104传输DL通信信号以在时域、频域及/或空间域中服务于远程单元102。
在某些实施例中,网络单元104可在第一网络装置处接收来自初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合的安全请求消息。所述安全请求消息包含指示服务网络名(SNN)、是否需要路由信息、订阅永久标识符(SUPI)或其某一组合的信息。在一些实施例中,网络单元104可在第一网络装置处基于安全请求消息确定路由信息。在某些实施例中,网络单元104可将安全响应消息从第一网络装置传输到初始AMF、初始SEAF或其组合。所述安全响应消息包含所述路由信息。因此,网络单元104可用于基于路由信息的网络安全。
在一些实施例中,网络单元104可在第二网络装置处接收来自无线电接入网络(RAN)的重路由的非接入层(NAS)消息。所述重路由的NAS消息包含路由信息。在一些实施例中,网络单元104可基于重路由的NAS消息确定用于密钥请求消息的传输的第一网络装置。在某些实施例中,网络单元104可将密钥请求消息传输到第一网络装置。因此,网络单元104可用于基于路由信息的网络安全。
在各种实施例中,网络单元104可响应于确定重路由非接入层(NAS)消息将重路由的NAS消息从第三网络装置传输到无线电接入网络(RAN)。所述重路由的NAS消息包含路由信息。因此,网络单元104可用于基于路由信息的网络安全。
图2描绘可用于基于路由信息的网络安全的设备200的一个实施例。设备200包含远程单元102的一个实施例。此外,远程单元102可包含处理器202、存储器204、输入装置206、显示器208、传输器210及接收器212。在一些实施例中,输入装置206及显示器208经组合成单个装置,例如触摸屏幕。在某些实施例中,远程单元102可不包含任何输入装置206及/或显示器208。在各种实施例中,远程单元102可包含处理器202、存储器204、传输器210及接收器212中的一或多者,且可不包含输入装置206及/或显示器208。
在一个实施例中,处理器202可包含能够执行计算机可读指令及/或能够执行逻辑运算的任何已知控制器。举例来说,处理器202可为微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或类似可编程控制器。在一些实施例中,处理器202执行存储于存储器204中的指令以执行本文中描述的方法及例程。处理器202通信地耦合到存储器204、输入装置206、显示器208、传输器210及接收器212。
在一个实施例中,存储器204是计算机可读存储媒体。在一些实施例中,存储器204包含易失性计算机存储媒体。举例来说,存储器204可包含RAM,其包含动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)及/或静态RAM(“SRAM”)。在一些实施例中,存储器204包含非易失性计算机存储媒体。举例来说,存储器204可包含硬盘驱动器、快闪存储器或任何其它合适的非易失性计算机存储装置。在一些实施例中,存储器204包含易失性及非易失性计算机存储媒体两者。在一些实施例中,存储器204还存储程序代码及相关数据,例如在远程单元102上操作的操作系统或其它控制器算法。
在一个实施例中,输入装置206可包含任何已知计算机输入装置,包含触摸面板、按钮、键盘、触控笔、麦克风或类似物。在一些实施例中,输入装置206可与显示器208集成,例如,作为触摸屏幕或类似触敏显示器。在一些实施例中,输入装置206包含触摸屏幕,使得文本可使用触摸屏幕上显示的虚拟键盘输入及/或通过在触摸屏幕上手写输入。在一些实施例中,输入装置206包含两个或更多个不同装置,例如键盘及触摸面板。
在一个实施例中,显示器208可包含任何已知电子可控显示器或显示器装置。显示器208可经设计以输出视觉信号、听觉信号及/或触觉信号。在一些实施例中,显示器208包含能够向用户输出视觉数据的电子显示器。举例来说,显示器208可包含(但不限于)能够向用户输出图像、文本或类似物的液晶显示器(“LCD”)、发光二极管(“LED”)显示器、有机发光二极管(“OLED”)显示器、投影仪或类似显示器装置。作为另一非限制性实例,显示器208可包含穿戴式显示器,例如智能手表、智能眼镜、抬头显示器或类似物。此外,显示器208可为智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板或类似物的组件。
在某些实施例中,显示器208包含用于产生声音的一或多个扬声器。举例来说,显示器208可产生听觉警报或通知(例如哔哔声或鸣响)。在一些实施例中,显示器208包含用于产生振动、运动或其它触觉反馈的一或多个触觉装置。在一些实施例中,显示器208的全部或部分可与输入装置206集成。举例来说,输入装置206与显示器208可形成触摸屏幕或类似触敏显示器。在其它实施例中,显示器208可定位在输入装置206附近。
尽管仅说明一个传输器210及一个接收器212,但远程单元102可具有任何合适数目的传输器210及接收器212。传输器210及接收器212可为任何合适类型的传输器及接收器。在一个实施例中,传输器210及接收器212可为收发器的部分。
图3描绘可用于基于路由信息的网络安全的设备300的一个实施例。设备300包含网络单元104的一个实施例。此外,网络单元104可包含处理器302、存储器304、输入装置306、显示器308、传输器310及接收器312。如可了解,处理器302、存储器304、输入装置306、显示器308、传输器310及接收器312可分别大体上类似于远程单元102的处理器202、存储器204、输入装置206、显示器208、传输器210及接收器212。
在某些实施例中,接收器312接收来自初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合的安全请求消息。所述安全请求消息包含指示服务网络名(SNN)、是否需要路由信息、订阅永久标识符(SUPI)或其某一组合的信息。在各种实施例中,处理器302基于安全请求消息确定路由信息。在某些实施例中,传输器310将安全响应消息传输到初始AMF、初始SEAF或其组合。所述安全响应消息包含所述路由信息。
在一些实施例中,接收器312接收来自无线电接入网络(RAN)的重路由的非接入层(NAS)消息。所述重路由的NAS消息包含路由信息。在各种实施例中,处理器302基于重路由的NAS消息确定用于密钥请求消息的传输的第一网络装置。在某些实施例中,传输器310将密钥请求消息传输到第一网络装置。
在某些实施例中,传输器310响应于确定重路由非接入层(NAS)消息将重路由的NAS消息传输到无线电接入网络(RAN)。所述重路由的NAS消息包含路由信息。
在某些实施例中,接收间接重路由非接入层(“NAS”)消息(例如,具有第五代(“5G”)全球唯一临时用户装备(“UE”)标识(“GUTI”)(“5G-GUTI”)的注册请求)的重分配的新接入及移动性管理功能(“AMF”)可能没有任何认证服务器功能(“AUSF”)选择信息来允许新AMF从正确的AUSF及/或统一数据管理(“UDM”)例子联系及提取UE安全上下文,且这可导致注册失败。
在一些实施例中,经由无线电接入网络(“RAN”)程序的间接AMF重分配及重路由使得能够在UE与无法服务于UE且可导致注册失败的初始AMF之间建立NAS安全。
在各种实施例中,在UE注册程序期间,如果初始AMF在主认证及UE安全上下文建立之后基于本地策略及订阅确定其无法服务于UE,那么初始AMF可经由RAN间接地将UE注册请求(例如,NAS消息)重路由到另一目标AMF。重路由的NAS消息不含任何AUSF路由信息。针对经由RAN的此间接重分配,目标可能无法联系保持UE安全上下文的正确AUSF,这可导致注册失败。
在某些实施例中,在两个AMF之间不存在经由RAN的AUSF及/或UDM路由信息传送以支持经由RAN的间接AMF重路由。
在一些实施例中,如果初始AMF基于本地策略及订阅信息决定经由RAN将NAS消息转发到目标AMF,那么除非目标AMF从网络切片选择功能(“NSSF”)返回且通过候选AMF的列表识别,否则初始AMF将重路由NAS消息发送到RAN。重路由NAS消息包含有关目标AMF的信息及完整的注册请求消息。如果初始AMF已经获得特定信息,那么包含所述信息。RAN由于切片包含NSSF提供的信息而将指示重路由的初始UE消息发送到目标AMF。
在各种实施例中,经由RAN场景的间接AMF重分配及重路由可包含:1)新目标AMF(例如,重分配的AMF)的AUSF及UDM选择、识别及/或路由;及/或2)针对重分配的目标AMF的基于AUSF的UE安全上下文配置以促进UE与目标AMF之间的NAS安全建立。
在某些实施例中,初始AMF及新目标AMF可能由于严格的垂直切片隔离要求而在其间没有任何的直接N14接口。在UE注册期间,如果初始AMF确定其无法服务于UE且如果其确定经由RAN重路由(例如,间接NAS及/或AMF重路由),那么初始AMF及/或安全锚功能(“SEAF”)可被允许不从AUSF提取UE安全上下文或允许初始AMF及/或SEAF不使用从AUSF提取的UE安全上下文且不与UE建立NAS安全以防止注册失败。此外,初始AMF用传输将初始NAS消息与新路由信息一起重路由到目标AMF(例如,经由RAN),以允许目标AMF从AUSF提取对应UE安全上下文。
在一些实施例中,可存在一种用以经由RAN将AUSF及UDM相关路由信息从初始AMF发送到目标AMF以促进重分配的目标AMF分别从AUSF及UDM提取UE相关安全上下文及订阅信息的方法。
在各种实施例中,初始AMF可从旧AMF、从AUSF及/或UDM或从其本地存储的UE上下文信息提取与AUSF及UDM选择相关的路由信息。
在第一实施例中,可存在一种用以在AMF重分配及间接NAS重路由(例如,经由RAN)期间基于可用于初始AMF、旧AMF及/或AUSF中的信息将AUSF及UDM路由信息提供到目标AMF的方法。明确来说,第一实施例描述初始AMF可如何用传输将路由信息(例如,经由RAN)提供到重分配的目标AMF以实现对应于重路由的初始NAS消息及/或完整的注册请求消息的正确的AUSF及UDM选择。
图4是说明用于以经由使用AUSF的RAN的NAS重路由提供用于AMF重分配的AUSF、UDM及/或任何3GPP网络功能(“NF”)路由信息的系统400的一个实施例的示意性框图。系统400包含UE 402、下一代(“NG”)RAN(“NG-RAN”)404、初始AMF及/或SEAF(“AMF/SEAF”)406、旧AMF 408、目标(“T”)AMF及/或SEAF(“T-AMF/SEAF”)410、AUSF 412、NSSF 414及UDM 416。所描述通信中的每一者可包含一或多个消息。
在某些实施例中,图4中描述的路由信息可使用以下中的任何一或多者构造及/或可含有以下中的任何一或多者:1)AUSF例子标识符(“ID”);2)UDM例子ID;3)AUSF群组ID;4)UDM群组ID;5)AUSF标识信息、互联网协议(“IP”)地址及/或完全合格域名(“FQDN”);6)UDM标识信息、IP地址及/或FQDN;7)路由指示符;及/或8)UE及/或订阅永久标识符(“SUPI”)群组ID。
在一些实施例中,图4的路由信息可称为AUSF路由信息、UDM路由信息、网络路由信息及/或重分配相关路由信息(“重分配-路由信息”)。在各种实施例中,服务网络名可称为“SNN”或“SN-名”。
在第一通信418中,UE用注册请求将初始NAS消息发送到初始AMF/SEAF 406。
在第二通信420中且在第三通信422中,如果注册请求是初始注册(例如,第二通信420没有发生),那么初始AMF/SAEF 406执行与UE 402的主认证。在成功主认证之后(例如,在于AUSF 412处进行成功的预期响应验证之后),AUSF 412可存储SUPI及/或Kausf(例如,与对应的服务网络名一起的Kseaf)。UE 402与初始AMF/SAEF 406之间的NAS安全可能已经建立或可能尚未建立。
在各种实施例中,可存在针对注册移动性更新程序的调适。如果第一通信418的注册请求含有5G-GUTI,那么初始AMF/SAEF 406通过提供5G-GUTI及注册请求来从旧AMF 408提取SUPI及安全上下文(例如,UE上下文)。如果初始AMF/SAEF 406由于间接AMF重分配而确定执行RAN重路由,那么执行步骤424到446并决定从AUSF 412提取AUSF路由信息。在某些实施例中,初始AMF/SAEF 406可与重路由NAS消息一起向T-AMF/SAEF 410提供AUSF路由信息(例如,从旧AMF 408提取)。
在第四通信424中且在第五通信426中,初始AMF/SAEF 406确定经由NG-RAN将NAS消息重路由到T-AMF/SAEF 410(例如,因为初始AMF/SAEF 406并非是服务于UE 402的适当AMF)。为了促进到T-AMF/SAEF 410的安全上下文配置,初始AMF/SAEF 406将AMFRealloc_Security上下文请求消息(或经由任何新等效AUSF服务-操作消息)发送到AUSF 412,所述上下文请求消息包含目标AMF信息(例如,AMF集合、AMF例子ID、AMF_Reroute_Security需要的指示、临时UE ID(例如,SUCI及/或5G-GUTI)、服务网络名(“SNN”)、路由信息需要的指示及/或SUPI)。
在接收到AMFRealloc_SecurityContext请求消息时,AUSF 412基于SUCI、5G-GUTI及/或SUPI及/或基于接收到的路由信息需要的指示指派428对应于UE 402的SUPI的路由信息。由AUSF 412指派的路由信息可为任何地址、FQDN及/或AUSF例子ID,其使任何请求NF能够识别、发现及/或选择保持对应SUCI及/或5G-GUTI及SUPI相关UE上下文的正确AUSF例子。基于SUPI,SNN识别本地存储的安全上下文(例如,Kseaf及/或AUSF)。此外,AUSF 412产生认证信息重路由安全上下文(例如,NAS_Sec_ID及/或AMF_AUTN)。NAS_Sec_ID是安全锚密钥及/或SUPI及目标AMF信息的散列码,其使AUSF 412能够认证T-AMF/SAEF 410以在较晚时间点提取任何特定安全上下文。应注意,由AUSF 412产生的认证信息可被指示为NAS_Sec_ID或AMF_AUTN。
在第六通信430中,AUSF 412在AMFRealloc_Security上下文响应消息中(或经由任何新等效AUSF服务-操作消息)将NAS_Sec_ID及AUSF路由信息发送到初始AMF/SEAF 406。
在第七通信432中,初始AMF/SEAF 406经由NG-RAN 404将重路由NAS消息与NAS_Sec_ID、AUSF路由信息及UDM路由信息一起发送到T-AMF/SEAF 410。额外信息包含目标AMF信息。
在某些实施例中,如果初始AMF/SEAF 406具有本地存储的或从旧AMF 408提取的SUCI及/或SUPI及AUSF及/或UDM路由信息(例如,AUSF群组ID、AUSF路由信息、UDM群组ID及/或UDM路由信息),那么AMF可经由NG-RAN 404将路由信息(例如,用AUSF及/或UDM路由信息)与重路由NAS消息一起提供到T-AMF/SEAF 410。
在一些实施例中,如果初始AMF/SEAF 406具有SUCI及/或SUPI及UDM路由信息(例如,UDM群组ID及/或UDM路由信息),那么AMF可经由NG-RAN 404将路由信息(例如,用AUSF提供的AUSF路由信息及本地存储的UDM路由信息)与重路由NAS消息一起提供到T-AMF/SEAF410。
在各种实施例中,如果T-AMF/SEAF 410可在于稍后步骤442处从AUSF获得SUPI之后选择正确的UDM及/或UDR例子,那么初始AMF/SEAF 406可能需要在经由RAN的重路由期间仅将AUSF路由信息提供(例如,可能无需提供UDM路由信息)到T-AMF/SEAF 410。
在第八通信434中,NG-RAN 404将接收到的重路由NAS消息与路由信息一起转发到适当T-AMF/SEAF 410。
在接收到具有NAS_Sec_ID及路由信息的重路由NAS消息之后,T-AMF/SEAF 410基于NAS_Sec_ID确定436从AUSF 412提取对应安全上下文以处置接收到的重路由的NAS消息。SUCI中的路由信息及AUSF路由信息可用于选择保持UE安全上下文的正确的AUSF 412。T-AMF/SEAF 410在本地存储接收到的AUSF路由信息。
在第九通信438中,T-AMF/SEAF 410将具有SUCI、NAS_Sec_ID、SNN及/或T-AMF/SEAF 410信息(例如,AMF ID或网络切片例子(“NSI”)ID等等)的NASKey_Request消息发送到AUSF 412。
AUSF 412在接收到NAS_Sec_ID、SUCI及AMF信息时提取440SUCI-SUPI对及相关信息且进一步验证NAS_Sec_ID以认证T-AMF/SEAF 410以提供安全信息。AUSF 412验证SNN以检查AMF是否被授权使用对应SNN。如果NAS_Sec_ID确认及SNN验证成功,那么AUSF 412产生对应于将要为T-AMF/SEAF 410提供的UE SUPI的SNN的新NAS安全上下文(例如,Kamf及/或Kseaf)。AUSF 412及/或SEAF可使用新目标AMF信息(例如,AMF ID及/或AMF集合ID)与其它输入一起作为输入参数用于AMF密钥产生。应注意,如果需要,那么AUSF 412可将安全上下文(例如,对应于SNN及SUPI的所存储的或新Kseaf)配置到重分配的T-AMF/SEAF 410,其中相关服务操作可因此被定义为密钥请求及/或响应消息。
在第十通信442中,AUSF 412将含有SUPI、NAS_Sec_ID、Kamf、N-NSCI(例如,用以向目标AMF指示Kamf从锚密钥导出-直接地或经由SEAF)及特殊ABBA参数(例如,用以指示为5G定义的切片特定安全特征)的NASKey_Response消息发送到T-AMF/SEAF 410。在某些实施例中,T-AMF/SEAF 410从接收到的Kseaf导出Kamf。AUSF 412在将密钥响应发送到T-AMF/SEAF410之后删除本地存储的AMF重分配相关UE上下文(例如,认证信息,例如NAS_Sec_ID、AMF_AUTN、5G-GUTI、SUCI及/或目标AMF信息)。
在第十一通信444中,T-AMF/SEAF 410通过发送目标AMF信息、切片特定ABBA及设置为1的N-NSCI旗标(例如,用以从AUSF及/或SEAF密钥导出新AMF密钥)向UE 402发起NAS安全模式命令,以使新NAS安全上下文与UE 402对准。T-AMF/SEAF 410与ngKSI一起在本地存储接收到的SUPI、重路由安全上下文(例如NAS_Sec_ID、N-NSCI、Kamf、AUSF路由信息及/或特殊ABBA参数)。
在一些实施例中,由UE接收到的目标AMF信息可允许UE使用新目标AMF信息(例如,AMF ID及/或AMF集合ID)与其它输入一起作为输入参数用于AMF密钥产生。
在各种实施例中,T-AMF/SEAF 410基于UE安全能力选择NAS安全算法(例如,完整性及加密算法)及将含有新NAS安全上下文指示符(“N-NSCI”)及特殊ABBA参数值(例如,用以指示5G系统(“5GS”)中支持的满足垂直切片隔离要求的切片特定特征的0x0001)的NAS安全模式命令消息发送到UE 402。
在某些实施例中,UE 402在接收到NAS安全模式命令消息中的N-NSCI时使用本地存储的或最新导出的锚密钥(例如,如用特殊的架构间防降维攻击(anti-bidding down)(“ABBA”)指示)来导出类似于目标AMF中可用的Kamf的Kamf。UE 402使用接收到的特殊ABBA值及在Kamf产生时接收到的N-NSCI。UE 402在接收到特殊切片特定ABBA参数时释放其它旧AMF连接(例如,如果存在)及相关联安全用于与针对其建立新NAS连接的对应接入相关的SNN且仅保留最近的NAS连接及安全。
在一些实施例中,UE 402在NAS安全模式命令消息的成功确认之后将NAS安全模式完成消息发送到T-AMF/SEAF 410。UE 402在接收到特殊切片特定ABBA参数时释放任何旧的NAS连接用于已针对其建立新NAS连接及安全的类似接入类型。在T-AMF/SEAF 410与UE 402之间的成功NAS安全模式命令程序之后,程序的剩余部分类似于现存5G系统般执行。
在第十二通信446中,T-AMF/SEAF 410基于从AUSF接收到的SUPI可选择正确的UDM及/或UDR例子(例如,通过其本身或使用NRF)以相应地更新UE认证状态、订阅数据及目标AMF信息(例如,用以针对UE 402执行Nudm服务操作)。
在第二实施例中,可存在一种用以在提供UE安全上下文之前的主认证期间允许初始AMF检查其服务于UE的能力的方法。在第二实施例中,初始AMF可经启用以适当地提前(例如,在与UE的NAS安全建立之前)验证UE的切片订阅数据以确定其是否能够在从AUSF接收任何UE安全上下文之前服务于UE。此外,如果AMF无法服务于UE,那么这可允许AMF避免与UE的NAS安全建立,且因此可减少UE注册期间的注册失败及系统可用性问题。
第二实施例可基于以下原理:使初始AMF能够在主认证后不久及/或期间验证UE的切片订阅数据以确定AMF是否能够在UE的安全上下文可在主认证期间被配置到初始AMF之前服务于UE,以防止系统可用性问题。图6A及6B描述主认证期间基于UE切片订阅数据的AMF服务能力验证及对AMF/SEAF的UE安全处置及/或配置。此外,主认证及认证程序发起需要的基本调适关于图5A及5B进行描述。
图5A及5B是说明用于在主认证期间进行基于AMF切片服务能力的安全处置的系统500的一个实施例的示意性框图。系统500包含UE 502、NG-RAN 504、初始AMF/SEAF 506、AUSF 508及认证凭证存储库及处理功能(“ARPF”)及/或UDM(“ARPF/UDM”)510。所描述通信中的每一者可包含一或多个消息。
在第一通信512中,UE 402将具有SUCI或5G-GUTI的注册请求消息发送到初始AMF/SEAF 506。
在第二通信514中,如果初始AMF/SEAF 506由于没有NAS安全而接收到具有一组有限信息元素(“IE”)(例如,称为明文IE)的注册请求消息(或如果初始AMF无法识别与在注册请求消息中接收到的5G-GUTI相关的任何AMF),那么初始AMF/SEAF 506通过包含切片选择信息不可用及/或切片选择信息未知指示来将接收到的含有注册请求的初始UE消息转发到SEAF。SEAF进一步将可含有SUCI、SUPI、SNN、切片选择信息不可用及/或切片选择信息未知指示的Nausf_UEAuthentication_Authenticate请求消息发送到AUSF 508。切片选择信息不可用及/或切片选择信息未知指示可指示接收到UE注册请求的初始AMF没有可使网络能选择适当切片的可用信息(例如,针对UE 502的所请求的网络切片选择辅助信息(“NSSAI”)或任何切片信息)。初始AMF/SEAF 506可基于发送到AUSF 508的任何AUSF服务操作消息中的SUCI、SUPI及/或本地AMF策略确定包含切片选择信息不可用及/或切片选择信息未知指示。AUSF 508可存储516SUCI及/或其它信息。
在各种实施例中,针对移动性注册更新,如果初始AMF/SEAF 506有权使用UE安全上下文或如果初始AMF/SEAF 506有权使用UE 502的SUPI,那么初始AMF可能无需包含切片选择信息未知指示。
在第三通信518中,AUSF 508将含有SUCI、SUPI及/或SNN的Nudm_UEAuthentication_Get请求发送到ARPF/UDM 510。AUSF 508在接收到切片选择信息不可用及/或切片选择信息未知指示时确定服务网络中的AMF需要其它信息来验证对应UE的服务能力。在某些实施例中,AUSF 508将含有SUCI、SUPI、SNN及/或切片选择信息不可用及/或切片选择信息未知指示的Nudm_UEAuthentication_Get请求发送到ARPF/UDM 510。
ARPF/UDM 510执行520SUCI去隐藏及认证方法选择。
在一些实施例中,如果ARPF/UDM 510接收到含有SUCI、SUPI、SNN及/或切片选择信息不可用及/或切片选择信息未知指示的Nudm_UEAuthentication_Get请求,那么ARPF/UDM510检查UE订阅信息及切片选择订阅数据以查看所订阅的单个NSSAI(“S-NSSAI”)或切片中的任一者是否需要隔离或具有严格服务及/或安全隔离要求。应注意,存储于ARPF/UDM 510中的切片订阅数据可包含有关切片隔离要求的信息(例如,基于垂直切片服务及安全要求)。
在第四通信522中,ARPF/UDM 510将含有AV(例如,可扩展认证协议(“EAP”)认证及密钥协议(“AKA”)的(“EAP-AKA的”)AV及/或基于认证方法的5G HE AV)及SUPI的Nudm_UEAuthentication_Get响应发送到AUSF 508。在各种实施例中,如果ARPF/UDM 510接收到切片选择信息不可用及/或切片选择信息未知指示或如果UDM基于切片订阅数据及/或UE订阅信息确定需要切片及/或服务隔离,那么ARPF/UDM 510将含有AV(例如,EAP-AKA的认证矢量(“AV”)及/或基于认证方法的5G HE AV)、SUPI、切片订阅数据、切片服务及/或切片安全隔离需要的指示符的Nudm_UEAuthentication_Get响应发送到AUSF 508。
在某些实施例中,如果ARPF/UDM 510基于对应UE订阅信息及UE切片选择订阅数据确定UE具有切片服务及/或安全隔离要求,那么ARPF/UDM 510在主认证期间在任何UDM服务操作消息中(例如,在Nudm_UEAuthentication_Get响应消息中)将切片安全及/或服务隔离需要的指示符发送到AUSF 508。
在第五通信524中,AUSF 508执行与UE 502的方法特定消息交换以执行主认证。
AUSF 508如果其发现响应验证526(例如,如果是5G AKA)或认证挑战验证(例如,EAP-AKA的)成功,那么5G网络认为主认证是成功的。
在AUSF 508处的成功认证验证之后,如果在步骤514中从初始AMF/SEAF 506接收到切片选择信息不可用及/或切片选择信息未知指示,那么AUSF 508确定528不将UE安全上下文(例如,Kseaf)提供到初始AMF/SEAF 506,直到初始AMF/SEAF 506向AUSF 508通知其能够服务于对应UE 502。
在各种实施例中,如果AUSF 508在AUSF 508处的成功认证验证之后从ARPF/UDM510接收到切片订阅数据,那么其将所述切片订阅数据与认证结果(例如,SUPI及锚密钥)一起提供到初始AMF/SEAF 506。
在某些实施例中,如果AUSF 508在AUSF 508处的成功认证验证之后从ARPF/UDM510接收到切片订阅数据及/或切片隔离需要的指示符,那么AUSF 508确定保持UE安全上下文(例如,对初始AMF/SAEF 506的锚密钥配置),直到AMF/SAEF 506基于切片选择订阅数据及SUPI将其(例如,AMF)能够服务于UE 502的确认提供到AUSF 508。
在第六通信530中,如果AUSF 508接收到切片选择信息不可用及/或切片选择信息未知指示,那么AUSF 508确定保持UE 502安全,且在响应验证之后,AUSF 508可将SUPI与Nausf_UEAuthentication_Authenticate响应消息中的AMF服务能力检查需要的指示及确认需要的指示一起发送到初始AMF/SEAF 506。
在一些实施例中,如果AUSF 508在AUSF 508处的成功认证验证之后从ARPF/UDM510接收到切片订阅数据及/或切片隔离需要的指示符,那么AUSF 508确定保持UE安全上下文(例如,对初始AMF/SEAF 506的锚密钥配置),直到AMF基于切片选择订阅数据及SUPI将其(例如,AMF)能够服务于UE 502的确认提供到AUSF 508。AUSF 508可将SUPI及切片选择订阅数据与Nausf_UEAuthentication_Authenticate响应消息中的AMF服务能力检查需要的指示及确认需要的指示一起发送到AUSF 508。
在各种实施例中,如果AUSF 508在AUSF 508处的成功认证验证之后从ARPF/UDM510接收到切片订阅数据及/或切片隔离需要的指示符,那么AUSF 508可将认证结果、SUPI、锚密钥、切片订阅数据及/或切片隔离需要的指示符与Nausf_UEAuthentication_Authenticate响应消息中的AMF服务能力检查需要的指示及确认需要的指示一起发送到AUSF 508。
在第七通信532及第八通信538中(系统500进一步包含NSSF 534及NRF 536)。初始AMF/SEAF 506在与AMF服务能力检查需要的指示及/或确认需要的指示一起接收到SUPI时,从ARPF/UDM 510提取订阅信息(例如,初始AMF/SEAF 506向ARPF/UDM 510发送Nudm_SDM_Get(例如,SUPI、切片选择订阅数据)服务操作消息且从ARPF/UDM 510接收Nudm_SDM_Get(例如,SUPI、切片选择订阅数据)服务操作消息)。初始AMF/SEAF 506基于SUPI及切片订阅数据确定是否需要对NAS或AMF重分配进行重路由。此外,初始AMF/SEAF 506使用具有NSSF的Nnssf_NSSelection_Get服务操作执行切片选择。如果初始AMF/SEAF 506没有在本地存储目标AMF地址,且如果初始AMF希望使用直接重路由到目标AMF或经由NG-RAN 504消息的重路由需要包含初始AMF/SEAF 506地址,那么初始AMF/SEAF 506从NR功能(“NRF”)调用Nnrf_NFDiscovery_Request服务操作以找到要求服务于UE 502的NF能力的正确的目标AMF。
在某些实施例中,初始AMF/SEAF 506在与切片选择订阅数据及/或切片隔离需要的指示符、AMF服务能力检查需要的指示及/或确认需要的指示一起接收到SUPI及认证结果时通过调用与ARPF/UDM 510的Nudm_SDM_Get服务操作来确定执行AMF服务能力验证,以将其AMF服务能力结果提供到AUSF 508作为提取UE安全上下文的确认。
在一些实施例中,初始AMF/SEAF 506在与切片选择订阅数据及/或切片隔离需要的指示符、AMF服务能力检查需要的指示及/或确认需要的指示一起接收到SUPI、AMF密钥、锚密钥、认证结果时确定不使用接收到的UE安全上下文(例如,AMF密钥)及确定在AMF的服务能力被确定之前不执行与UE的NAS安全模式命令(“SMC”)(或直到AMF确定其能够服务于UE才执行与UE的NAS安全模式命令(“SMC”))。此外,AMF通过调用现存服务操作(例如与ARPF/UDM 510的Nudm_SDM_Get服务操作、使用NSSF服务操作的网络切片选择及/或具有NRF的NF发现服务操作)来执行AMF服务能力验证,以将其AMF服务能力结果提供到AUSF 508作为提取UE安全上下文的确认。
如果初始AMF/SEAF 506基于步骤532及538确定540执行间接AMF重路由,那么初始AMF/SEAF 506确定不从AUSF 508提取UE安全上下文,且初始AMF/SEAF 506确定促进经由AUSF进行到最新选择的目标AMF的UE安全上下文配置。
在各种实施例中,如果初始AMF/SEAF 506确定执行经由RAN的间接AMF重路由,那么初始AMF/SEAF 506将AMF服务能力结果设置为切片不兼容、失败、不成功及/或“0”指示且原因是需要间接AMF重分配。
在某些实施例中,如果初始AMF/SEAF 506确定执行直接AMF重路由及/或如果初始AMF/SEAF 506能够基于UE订阅信息及/或切片订阅数据服务于UE 502,那么初始AMF/SEAF506将AMF服务能力设置为切片兼容、成功及/或“1”指示且原因是当前AMF能够服务于UE502及/或具服务能力的AMF。
在一些实施例中,为了适应移动性注册更新,初始AMF/SEAF 506可能总是在发起与UE 502的NAS SMC之前执行AMF服务能力检查。
在第九通信542中,初始AMF/SEAF 506将含有SUPI、AMF_Reroute_SecurityRequired指示、切片不兼容指示、新AMF重分配的指示(或重分配安全上下文需要的指示符)、目标AMF信息(例如,AMF ID及/或AMF例子ID)及/或订阅隐藏标识符(“SUCI”)的Nausf_UEAuthentication_Authenticate请求发送到AUSF 508。
在各种实施例中,初始AMF/SEAF 506将含有SUPI、AMF_Reroute_SecurityRequired指示、具有切片不兼容、失败、不成功及/或“0”指示及/或切片不兼容指示的AMF服务能力结果、新AMF重分配的指示、目标AMF信息(例如,AMF ID及/或AMF例子ID)及/或SUCI的Nausf_UEAuthentication_Authenticate请求发送到AUSF 508。
在某些实施例中,初始AMF/SEAF 506将含有SUPI、具有切片兼容、成功及/或“1”指示及/或切片兼容指示及/或当前AMF能够服务于UE 502及/或具服务能力的AMF的AMF服务能力结果及/或密钥请求指示的Nausf_UEAuthentication_Authenticate请求发送到AUSF508。
AUSF 508在接收到新AMF重分配的指示及/或切片不兼容指示、AMF_Reroute_SecurityRequired指示时,AUSF 508确定544存储UE安全上下文(例如,AUSF及SEAF密钥)以促进在需要时的较晚时间点(例如,在重分配之后)进行到目标AMF的安全配置。AUSF 508使用AUSF或SEAF密钥、SUPI、随机密钥(“RAND”)、服务网络名(“SNN”)及/或目标AMF的散列从可用于目标AMF的AUSF 508中的UE上下文导出认证信息(例如,NAS_Sec ID及/或AMF_AUTN具有与其指称由AUSF产生的认证信息相同的意义)。
在一些实施例中,AUSF 508在从初始AMF/SEAF 506接收到具有切片兼容、成功及/或“1”指示及/或切片兼容指示、当前AMF能够服务于UE 502、具服务能力的AMF的AMF服务能力结果及/或密钥请求指示时,AUSF 508将锚密钥、SUPI及认证结果提供到初始AMF,且初始AMF可类似于现存系统般建立NAS安全。
在第十通信546中,AUSF 508将含有认证结果为成功、SUPI、AMF_AUTN及/或路由信息的Nausf_UEAuthentication_Authenticate响应消息发送到初始AMF/SEAF 506。AUSF508在本地存储AMF_AUTN以及AMF不兼容指示、AMF重分配的指示、具有SUCI的SUPI、Kausf、Kseaf及/或对应SNN。初始AMF/SEAF 506将接收到的SUPI、认证结果为成功、SUPI、AMF_AUTN及/或路由信息转发到初始AMF/SEAF 506。
在第十一通信548中,初始AMF/SEAF 506在接收到SUPI、认证结果及AMF_AUTN时发现用SUCI针对UE 502发起的主认证程序成功,但由于因为AMF无法基于SUPI及切片订阅数据服务于UE 502的AMF的切片不兼容而没有提供NAS安全(例如,Kamf)。初始AMF/SEAF 506将具有初始UE消息、切片不兼容指示、路由信息及/或AMF_AUTN的重路由NAS消息发送到NG-RAN。系统500包含T-AMF/SEAF 550。
在第十二通信552中,NG-RAN 504将具有初始UE消息、切片不兼容指示、路由信息及/或AMF_AUTN的接收到的重路由NAS消息转发到T-AMF/SEAF 550。
在第十三通信554中,T-AMF/SEAF 550在接收到具有切片不兼容指示、路由信息及/或AMF_AUTN的重路由NAS消息时将基于路由ID及/或路由信息尝试联系正确的AUSF(直接地或经由同位SEAF)。T-AMF/SEAF 550将含有SUCI、SNN及/或接收到的AMF_AUTN(例如,用以用AUSF 508认证其本身以提取UE安全上下文)的Nausf_UEAuthentication_Authenticate请求发送到适当AUSF 508。
AUSF 508基于本地存储的UE认证信息验证556接收到的AMF_AUTN且基于本地存储的信息验证SNN。如果提供AMF_AUTN的T-AMF/SEAF 550针对SUCI及SUPI与本地存储的AMF_AUTN匹配,那么AUSF 508将AMF_AUTN验证(例如,重分配的AMF认证)视为成功且提取对应UE安全上下文(例如,Kausf及Kseaf)或如果已经不可用那么导出Kseaf。
在第十四通信558中,AUSF 508将密钥请求及/或含有认证结果、SUPI及/或Kseaf(锚密钥)的Nausf_UEAuthentication_Authenticate请求消息发送到T-AMF/SEAF 550。此外,SEAF将ABBA参数、认证结果为成功及Kamf密钥发送到T-AMF/SEAF 550。在一些实施例中,针对AMF重分配场景,AUSF 508将密钥响应及/或含有认证结果、SUPI及/或Kamf(例如,从Kseaf导出)的Nausf_UEAuthentication_Authenticate响应消息发送到T-AMF/SEAF550。
在第十五通信560中,T-AMF/SEAF 550在接收到Kamf及认证结果时触发与UE 502的NAS安全模式命令(例如NAS SMC)程序以建立UE NAS安全上下文。T-AMF/SEAF 550可在NAS安全模式命令消息中发送其AMF标识信息。UE 502在接收到AMF标识信息时可使用AMF标识信息作为Kamf密钥导出功能中的输入参数中的一者。
图6A及6B是说明用于在主认证期间进行基于AMF服务能力的安全处置的系统600的一个实施例的示意性框图。系统600包含UE 602、NG-RAN 604、初始AMF/SEAF 606、AUSF608及ARPF/UDM 610。所描述通信中的每一者可包含一或多个消息。
在第一通信612中,UE 602将具有SUCI或5G-GUTI的注册请求消息发送到初始AMF/SEAF 606。
在第二通信614中,初始AMF/SEAF 606通过包含设置为未知的AMF切片服务能力来将含有注册请求消息的接收到的初始UE消息转发到SEAF。AMF可基于SUCI及/或在没有可用于UE 602的切片选择信息及/或UE 602接入及移动性上下文的情况下将AMF服务能力设置为未知。SEAF进一步将可含有SUCI、SUPI、SNN及/或AMF切片服务能力的Nausf_UEAuthentication_Authenticate请求消息发送到AUSF 608。
AUSF 608将接收到的SNN及SUCI及/或SUPI临时存储616于其本地存储器中。在第三通信618中,AUSF 608将含有SUCI、SUPI及/或SNN的Nudm_UEAuthentication_Get请求发送到ARPF/UDM 610。
ARPF/UDM 610执行620SUCI去隐藏及认证方法选择。此外,UDM基于可用订阅信息(例如,切片选择订阅数据)确定是否存在需要的任何切片隔离。如果切片隔离要求信息是可用的,那么UDM确定将相关信息提供到AUSF 608。
在第四通信622中,UDM将含有AV(例如,EAP-AKA的AV及/或基于认证方法的5G HEAV)、SUPI及/或切片隔离需要的指示的Nudm_UEAuthentication_Get响应发送到AUSF 608。
在第五通信624中,AUSF 608执行与UE 602的方法特定消息交换以执行主认证。
AUSF 608如果其发现响应验证(例如,如果是5G AKA)或认证挑战验证(例如,EAP-AKA的)成功,那么5G网络认为626主认证是成功的。在AUSF 608处的成功认证验证之后,如果从初始AMF/SEAF 606接收到AMF服务能力未知及/或如果从UDM接收到切片隔离需要的指示,那么AUSF 608确定保持UE安全上下文,直到从初始AMF/SEAF 606接收到其能够服务于UE 602的确认。在一些实施例中,除了发送切片隔离需要的指示之外,AUSF 608还可提供安全上下文。
在第六通信630中,AUSF 608将包含认证结果为成功、SUPI及/或AMF服务能力检查需要的指示的Nausf_UEAuthentication_Authenticate请求消息发送到AMF/SEAF 606。在各种实施例中,还提供锚密钥。
在第七通信632及第八通信638(例如,在系统600的NSSF 634与NRF 636之间)中,初始AMF/SEAF 606在接收到AMF服务能力检查需要的指示时执行各种步骤(如果需要)。初始AMF/SEAF 606基于本地策略及订阅信息决定经由RAN重路由,接着,执行步骤640到660。而且,AMF确定不使用接收到的安全上下文(例如,如果接收到)。如果AMF发现其能够服务于UE 602(例如,无需经由RAN的重路由)且如果除了AMF服务能力检查需要的指示之外没有接收到安全上下文,那么初始AMF/SEAF 606可执行步骤以提取UE安全上下文,及接着,继续进行NAS SMC。
在第九通信640中,初始AMF/SEAF 606如果其确定执行经由RAN的重路由,那么其在AUSF服务操作消息中将SUPI、设置为“0”的AMF服务能力结果、AMF重路由安全需要的指示及/或目标AMF信息发送到AUSF 608。在某些实施例中,初始AMF/SEAF 606如果其确定其能够服务于UE(例如,确定没有经由RAN的重路由),那么其将SUPI及设置为‘1’的AMF服务能力结果发送到AUSF 608。在一些实施例中,AUSF 608在接收到SUPI及设置为“1”的AMF服务能力结果时确定将UE安全上下文提供到初始AMF/SEAF 606,及接着,AUSF 608可将SUPI、认证结果及/或锚密钥发送到初始AMF/SEAF 606。
在第十通信642中,AUSF 608在接收到具有AMF重路由安全需要的指示的设置为‘0’的AMF服务能力结果时确定其需要将安全提供到新目标AMF而不提供到当前AMF。此外,因为重路由安全上下文被请求,因此AUSF 608使用AUSF密钥、SUPI及/或RAND的散列导出AMF认证令牌(例如,AMF_AUTN)。AUSF 608在本地存储AMF_AUTN以及AMF不兼容指示为原因、具有SUCI的SUPI、Kausf及/或Kseaf(例如,如果可用)。AUSF 608进一步在AUSF服务操作消息中将AMF_AUTN发送到初始AMF/SEAF 606。
在第十一通信648中,初始AMF/SEAF 606如果其基于本地策略及订阅信息决定进行经由RAN的重路由,那么将含有初始UE消息、路由信息(例如,用以选择保持UE上下文的AUSF 608例子)及/或AMF_AUTN的重路由NAS消息发送到NG-RAN 604。系统600包含T-AMF/SEAF 650。
在第十二通信652中,NG-RAN 604将具有初始UE消息、切片不兼容指示、AMF_AUTN及/或路由信息的接收到的重路由NAS消息转发到T-AMF/SEAF 650。
在第十三通信654中,T-AMF/SEAF 650在接收到具有AMF_AUTN的重路由NAS消息时可基于路由信息尝试联系正确的AUSF(例如,直接地或经由同位SEAF)。T-AMF/SEAF 650将含有SUCI、SNN及/或接收到的AMF_AUTN(例如,用以用AUSF认证其本身以提取UE安全上下文)的Nausf_UEAuthentication_Authenticate请求发送到适当AUSF。
AUSF 608基于本地存储的UE认证信息验证656接收到的AMF_AUTN。如果提供AMF_AUTN的T-AMF/SEAF 650针对SUCI与本地存储的AMF_AUTN匹配,那么AUSF 608将AMF_AUTN验证(例如,重分配的AMF认证)视为成功且确定提供锚密钥。
在第十四通信658中,AUSF 608将含有认证结果、SUPI及/或Kseaf(例如,锚密钥)的Nausf_UEAuthentication_Authenticate响应发送到T-AMF/SEAF 650的SEAF。此外,SEAF将ABBA参数、认证结果为成功及/或Kamf密钥发送到T-AMF/SEAF 650。
在第十五通信660中,T-AMF/SEAF 650在接收到Kamf及认证结果时触发与UE 602的NAS安全模式命令(例如,NAS SMC)程序以建立UE NAS安全上下文。
图7是说明用于基于路由信息的网络安全的方法700的一个实施例的流程图。在某些实施例中,方法700描述在AMF重分配期间针对重分配的AMF的NF(例如,AUSF、UDM)选择及安全上下文配置且包含间接重路由。在一些实施例中,方法700由例如网络单元104的设备执行。在某些实施例中,方法700可由执行程序代码的处理器执行,处理器例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似物。
在各种实施例中,方法700包含在第一网络装置处接收702来自初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合的安全请求消息。所述安全请求消息包含指示服务网络名(SNN)、是否需要路由信息、订阅永久标识符(SUPI)或其某一组合的信息。在一些实施例中,方法700包含在第一网络装置处基于安全请求消息确定704路由信息。在某些实施例中,方法700包含将安全响应消息从第一网络装置传输706到初始AMF、初始SEAF或其组合。所述安全响应消息包含所述路由信息。
在某些实施例中,方法700进一步包括接收来自目标AMF、目标SEAF或其组合的密钥请求消息,其中所述密钥请求消息包括指示所述SNN、所述目标AMF或其组合的信息。在一些实施例中,方法700进一步包括基于密钥请求消息导出密钥,其中基于所述密钥请求消息导出所述密钥包括基于所述目标AMF导出所述密钥。在各种实施例中,方法700进一步包括验证SNN以验证目标AMF是否被授权使用SNN。
在一个实施例中,方法700进一步包括:将密钥响应消息传输到目标AMF、目标SEAF或其组合,其中所述密钥响应消息包括所述密钥;及响应于传输所述密钥响应消息删除本地存储的用户装备(UE)上下文信息。在某些实施例中,所述第一网络装置包括认证服务器功能(AUSF)、网络功能(NF)或其组合。在一些实施例中,所述路由信息包括AUSF例子标识符(ID)、统一数据管理(UDM)例子ID、AUSF群组ID、UDM群组ID、AUSF标识信息、UDM标识信息、路由指示符、网络路由信息、AUSF地址、UDM地址或其某一组合。
图8是说明用于基于路由信息的网络安全的方法800的另一实施例的流程图。在一些实施例中,方法800由例如网络单元104的设备执行。在某些实施例中,方法800可由执行程序代码的处理器执行,处理器例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似物。
在各种实施例中,方法800包含在第二网络装置处接收802来自无线电接入网络(RAN)的重路由的非接入层(NAS)消息。所述重路由的NAS消息包含路由信息。在一些实施例中,方法800包含基于重路由的NAS消息确定804用于密钥请求消息的传输的第一网络装置。在某些实施例中,方法800包含将密钥请求消息传输806到第一网络装置。
在某些实施例中,方法800进一步包括基于所述路由信息选择第三网络装置,其中所述第三网络装置包括统一数据管理(UDM)。在一些实施例中,所述第二网络装置包括目标接入及移动性管理功能(AMF)、目标安全锚功能(SEAF)或其组合。在各种实施例中,方法800进一步包括向UE发起NAS安全模式命令,其中发起所述NAS安全模式命令包括传输目标AMF信息、传输设置为1的NAS安全上下文指示符(NSCI)旗标或其组合。
在一个实施例中,所述目标AMF信息用作用于AMF密钥产生的输入。在某些实施例中,方法800进一步包括存储所述路由信息。
在一些实施例中,所述第一网络装置包括认证服务器功能(AUSF)、网络功能(NF)或其组合。在各种实施例中,所述路由信息包括AUSF例子标识符(ID)、UDM例子ID、AUSF群组ID、UDM群组ID、AUSF标识信息、UDM标识信息、路由指示符、网络路由信息、AUSF地址、UDM地址或其某一组合。
图9是说明用于基于路由信息的网络安全的方法900的其它实施例的流程图。在一些实施例中,方法900由例如网络单元104的设备执行。在某些实施例中,方法900可由执行程序代码的处理器执行,处理器例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似物。
在各种实施例中,方法900包含响应于确定重路由非接入层(NAS)消息将重路由的NAS消息从第三网络装置传输902到无线电接入网络(RAN)。所述重路由的NAS消息包含路由信息。
在某些实施例中,方法900进一步包括:将安全请求消息从所述第三网络装置传输到认证服务器功能(AUSF),其中所述安全请求消息包括指示服务网络名(SNN)、是否需要所述路由信息、订阅永久标识符(SUPI)或其某一组合的信息;及在所述第三网络装置处接收来自所述AUSF的安全响应消息,其中所述安全响应消息包括所述路由信息。
在一些实施例中,所述第三网络装置包括初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合。在各种实施例中,所述路由信息包括AUSF例子标识符(ID)、统一数据管理(UDM)例子ID、AUSF群组ID、UDM群组ID、AUSF标识信息、UDM标识信息、路由指示符、网络路由信息、AUSF地址、UDM地址或其某一组合。
在一个实施例中,一种设备包括第一网络装置。所述设备进一步包括:接收器,其接收来自初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合的安全请求消息,其中所述安全请求消息包含指示服务网络名(SNN)、是否需要路由信息、订阅永久标识符(SUPI)或其某一组合的信息;处理器,其基于所述安全请求消息确定路由信息;及传输器,其将安全响应消息传输到所述初始AMF、所述初始SEAF或所述其组合,其中所述安全响应消息包括所述路由信息。
在某些实施例中,所述接收器接收来自目标AMF、目标SEAF或其组合的密钥请求消息,且所述密钥请求消息包括指示所述SNN、所述目标AMF或其组合的信息。
在一些实施例中,所述处理器基于所述密钥请求消息导出密钥,其中基于所述密钥请求消息导出所述密钥包括基于所述目标AMF导出所述密钥。
在各种实施例中,所述处理器进一步验证SNN以验证目标AMF是否被授权使用SNN。
在一个实施例中:所述传输器将密钥响应消息传输到所述目标AMF、所述目标SEAF或所述其组合,其中所述密钥响应消息包括所述密钥;且所述处理器响应于传输所述密钥响应消息删除本地存储的用户装备(UE)上下文信息。
在某些实施例中,所述第一网络装置包括认证服务器功能(AUSF)、网络功能(NF)或其组合。
在一些实施例中,所述路由信息包括AUSF例子标识符(ID)、统一数据管理(UDM)例子ID、AUSF群组ID、UDM群组ID、AUSF标识信息、UDM标识信息、路由指示符、网络路由信息、AUSF地址、UDM地址或其某一组合。
在一个实施例中,一种第一网络装置的方法包括:在所述第一网络装置处接收来自初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合的安全请求消息,其中所述安全请求消息包含指示服务网络名(SNN)、是否需要路由信息、订阅永久标识符(SUPI)或其某一组合的信息;在所述第一网络装置处基于所述安全请求消息确定路由信息;及将安全响应消息从所述第一网络装置传输到所述初始AMF、所述初始SEAF或所述其组合,其中所述安全响应消息包括所述路由信息。
在某些实施例中,所述方法进一步包括接收来自目标AMF、目标SEAF或其组合的密钥请求消息,其中所述密钥请求消息包括指示所述SNN、所述目标AMF或其组合的信息。
在一些实施例中,所述方法进一步包括基于密钥请求消息导出密钥,其中基于所述密钥请求消息导出所述密钥包括基于所述目标AMF导出所述密钥。
在各种实施例中,所述方法进一步包括验证SNN以验证目标AMF是否被授权使用SNN。
在一个实施例中,所述方法进一步包括:将密钥响应消息传输到所述目标AMF、所述目标SEAF或所述其组合,其中所述密钥响应消息包括所述密钥;及响应于传输所述密钥响应消息删除本地存储的用户装备(UE)上下文信息。
在某些实施例中,所述第一网络装置包括认证服务器功能(AUSF)、网络功能(NF)或其组合。
在一些实施例中,所述路由信息包括AUSF例子标识符(ID)、统一数据管理(UDM)例子ID、AUSF群组ID、UDM群组ID、AUSF标识信息、UDM标识信息、路由指示符、网络路由信息、AUSF地址、UDM地址或其某一组合。
在一个实施例中,一种设备包括第二网络装置。所述设备进一步包括:接收器,其接收来自无线电接入网络(RAN)的重路由的非接入层(NAS)消息,其中所述重路由的NAS消息包括路由信息;处理器,其基于所述重路由的NAS消息确定用于密钥请求消息的传输的第一网络装置;及传输器,其将所述密钥请求消息传输到所述第一网络装置。
在某些实施例中,所述处理器基于所述路由信息选择第三网络装置,其中所述第三网络装置包括统一数据管理(UDM)。
在一些实施例中,所述第二网络装置包括目标接入及移动性管理功能(AMF)、目标安全锚功能(SEAF)或其组合。
在各种实施例中,所述处理器向UE发起NAS安全模式命令,其中发起所述NAS安全模式命令包括传输目标AMF信息、传输设置为1的NAS安全上下文指示符(NSCI)旗标或其组合。
在一个实施例中,所述目标AMF信息用作用于AMF密钥产生的输入。
在某些实施例中,所述处理器存储所述路由信息。
在一些实施例中,所述第一网络装置包括认证服务器功能(AUSF)、网络功能(NF)或其组合。
在各种实施例中,所述路由信息包括AUSF例子标识符(ID)、UDM例子ID、AUSF群组ID、UDM群组ID、AUSF标识信息、UDM标识信息、路由指示符、网络路由信息、AUSF地址、UDM地址或其某一组合。
在一个实施例中,一种第二网络装置的方法包括:在所述第二网络装置处接收来自无线电接入网络(RAN)的重路由的非接入层(NAS)消息,其中所述重路由的NAS消息包括路由信息;基于所述重路由的NAS消息确定用于密钥请求消息的传输的第一网络装置;及将所述密钥请求消息传输到所述第一网络装置。
在某些实施例中,所述方法进一步包括基于所述路由信息选择第三网络装置,其中所述第三网络装置包括统一数据管理(UDM)。
在一些实施例中,所述第二网络装置包括目标接入及移动性管理功能(AMF)、目标安全锚功能(SEAF)或其组合。
在各种实施例中,所述方法进一步包括向UE发起NAS安全模式命令,其中发起所述NAS安全模式命令包括传输目标AMF信息、传输设置为1的NAS安全上下文指示符(NSCI)旗标或其组合。
在一个实施例中,所述目标AMF信息用作用于AMF密钥产生的输入。
在某些实施例中,所述方法进一步包括存储所述路由信息。
在一些实施例中,所述第一网络装置包括认证服务器功能(AUSF)、网络功能(NF)或其组合。
在各种实施例中,所述路由信息包括AUSF例子标识符(ID)、UDM例子ID、AUSF群组ID、UDM群组ID、AUSF标识信息、UDM标识信息、路由指示符、网络路由信息、AUSF地址、UDM地址或其某一组合。
在一个实施例中,一种设备包括第三网络装置。所述设备进一步包括:传输器,其响应于确定重路由非接入层(NAS)消息,将重路由的NAS消息传输到无线电接入网络(RAN),其中所述重路由的NAS消息包括路由信息。
在某些实施例中,所述设备进一步包括接收器,其中:所述传输器将安全请求消息传输到认证服务器功能(AUSF),其中所述安全请求消息包括指示服务网络名(SNN)、是否需要所述路由信息、订阅永久标识符(SUPI)或其某一组合的信息;及接收器,其在所述第三网络装置处接收来自所述AUSF的安全响应消息,其中所述安全响应消息包括所述路由信息。
在一些实施例中,所述第三网络装置包括初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合。
在各种实施例中,所述路由信息包括AUSF例子标识符(ID)、统一数据管理(UDM)例子ID、AUSF群组ID、UDM群组ID、AUSF标识信息、UDM标识信息、路由指示符、网络路由信息、AUSF地址、UDM地址或其某一组合。
在一个实施例中,一种第三网络装置的方法包括:响应于确定重路由非接入层(NAS)消息,将重路由的NAS消息从所述第三网络装置传输到无线电接入网络(RAN),其中所述重路由的NAS消息包括路由信息。
在某些实施例中,所述方法进一步包括:将安全请求消息从所述第三网络装置传输到认证服务器功能(AUSF),其中所述安全请求消息包括指示服务网络名(SNN)、是否需要所述路由信息、订阅永久标识符(SUPI)或其某一组合的信息;及在所述第三网络装置处接收来自所述AUSF的安全响应消息,其中所述安全响应消息包括所述路由信息。
在一些实施例中,所述第三网络装置包括初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合。
在各种实施例中,所述路由信息包括AUSF例子标识符(ID)、统一数据管理(UDM)例子ID、AUSF群组ID、UDM群组ID、AUSF标识信息、UDM标识信息、路由指示符、网络路由信息、AUSF地址、UDM地址或其某一组合。
实施例可以其它特定形式实践。所描述实施例在所有方面都应被视为仅是说明性的而非限制性的。本发明的范围因此由所附权利要求书指示而非由前文描述指示。来自权利要求书的等效性的意义及范围内的所有变化都涵盖在其范围内。
Claims (15)
1.一种包括第一网络装置的设备,所述设备进一步包括:
接收器,其接收来自初始接入及移动性管理功能(AMF)、初始安全锚功能(SEAF)或其组合的安全请求消息,其中所述安全请求消息包含指示服务网络名(SNN)、是否需要路由信息、订阅永久标识符(SUPI)或其某一组合的信息;
处理器,其基于所述安全请求消息确定路由信息;及
传输器,其将安全响应消息传输到所述初始AMF、所述初始SEAF或所述其组合,其中所述安全响应消息包括所述路由信息。
2.根据权利要求1所述的设备,其中所述接收器接收来自目标AMF、目标SEAF或其组合的密钥请求消息,且所述密钥请求消息包括指示所述SNN、所述目标AMF或其组合的信息。
3.根据权利要求2所述的设备,其中所述处理器基于所述密钥请求消息导出密钥,其中基于所述密钥请求消息导出所述密钥包括基于所述目标AMF导出所述密钥。
4.根据权利要求3所述的设备,其中所述处理器验证所述SNN以验证所述目标AMF是否被授权使用所述SNN。
5.根据权利要求3所述的设备,其中:
所述传输器将密钥响应消息传输到所述目标AMF、所述目标SEAF或所述其组合,其中所述密钥响应消息包括所述密钥;且
所述处理器响应于传输所述密钥响应消息删除本地存储的用户装备(UE)上下文信息。
6.根据权利要求1所述的设备,其中所述第一网络装置包括认证服务器功能(AUSF)、网络功能(NF)或其组合。
7.根据权利要求1所述的设备,其中所述路由信息包括AUSF实例标识符(ID)、统一数据管理(UDM)实例ID、AUSF群组ID、UDM群组ID、AUSF标识信息、UDM标识信息、路由指示符、网络路由信息、AUSF地址、UDM地址或其某一组合。
8.一种包括第二网络装置的设备,所述设备进一步包括:
接收器,其接收来自无线电接入网络(RAN)的重路由的非接入层(NAS)消息,其中所述重路由的NAS消息包括路由信息;
处理器,其基于所述重路由的NAS消息确定用于密钥请求消息的传输的第一网络装置;及
传输器,其将所述密钥请求消息传输到所述第一网络装置。
9.根据权利要求8所述的设备,其中所述处理器基于所述路由信息选择第三网络装置,其中所述第三网络装置包括统一数据管理(UDM)。
10.根据权利要求8所述的设备,其中所述第二网络装置包括目标接入及移动性管理功能(AMF)、目标安全锚功能(SEAF)或其组合。
11.根据权利要求10所述的设备,其中所述处理器向UE发起NAS安全模式命令,其中发起所述NAS安全模式命令包括传输目标AMF信息、传输设置为1的NAS安全上下文指示符(NSCI)旗标或其组合。
12.根据权利要求11所述的设备,其中所述目标AMF信息用作用于AMF密钥产生的输入。
13.根据权利要求10所述的设备,其中所述处理器存储所述路由信息。
14.一种包括第三网络装置的设备,所述设备进一步包括:
传输器,其响应于确定重路由非接入层(NAS)消息,将重路由的NAS消息传输到无线电接入网络(RAN),其中所述重路由的NAS消息包括路由信息。
15.根据权利要求14所述的设备,其进一步包括接收器,其中:
所述传输器将安全请求消息传输到认证服务器功能(AUSF),其中所述安全请求消息包括指示服务网络名(SNN)、是否需要所述路由信息、订阅永久标识符(SUPI)或其某一组合的信息;及
接收器,其在所述第三网络装置处接收来自所述AUSF的安全响应消息,其中所述安全响应消息包括所述路由信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202163148540P | 2021-02-11 | 2021-02-11 | |
| US63/148,540 | 2021-02-11 | ||
| PCT/IB2022/051134 WO2022172160A1 (en) | 2021-02-11 | 2022-02-08 | Network security based on routing information |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116965003A true CN116965003A (zh) | 2023-10-27 |
Family
ID=80786889
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280014136.0A Pending CN116965003A (zh) | 2021-02-11 | 2022-02-08 | 基于路由信息的网络安全 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20240114335A1 (zh) |
| EP (1) | EP4292259A1 (zh) |
| CN (1) | CN116965003A (zh) |
| WO (1) | WO2022172160A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024192638A1 (zh) * | 2023-03-20 | 2024-09-26 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
-
2022
- 2022-02-08 EP EP22704960.8A patent/EP4292259A1/en active Pending
- 2022-02-08 WO PCT/IB2022/051134 patent/WO2022172160A1/en active Application Filing
- 2022-02-08 US US18/264,894 patent/US20240114335A1/en active Pending
- 2022-02-08 CN CN202280014136.0A patent/CN116965003A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20240114335A1 (en) | 2024-04-04 |
| EP4292259A1 (en) | 2023-12-20 |
| WO2022172160A1 (en) | 2022-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102342159B1 (ko) | 무선 통신 시스템에서 네트워크 슬라이싱을 지원하는 절차 | |
| US20230262453A1 (en) | Security context for target amf | |
| US20240121088A1 (en) | Provisioning server selection in a cellular network | |
| US20240154953A1 (en) | Authentication for a network service | |
| EP4173335B1 (en) | Authentication using slice capability indication | |
| WO2022149104A1 (en) | Revocation of uas-related authorization and security information | |
| US20240114335A1 (en) | Network security based on routing information | |
| CN115702579A (zh) | 具有安全上下文的网络功能重新分配 | |
| CN117178602A (zh) | 网络切片准入控制 | |
| CN117296401A (zh) | 建立到移动网络的附加注册 | |
| US20240187856A1 (en) | Registration authentication based on a capability | |
| US20240314552A1 (en) | Application registration with a network | |
| US20240129729A1 (en) | Rerouting message transmissions | |
| US20230199483A1 (en) | Deriving a key based on an edge enabler client identifier | |
| WO2023175461A1 (en) | Establishing an application session corresponding to a pin element | |
| WO2023175541A1 (en) | Authentication and registration of personal internet of things network elements | |
| WO2024037727A1 (en) | Methods and apparatuses for providing user consent information for data collection services in a wireless communications network | |
| CN118235487A (zh) | 在网络装置之间传递身份消息 | |
| JP2023537729A (ja) | Uas認証およびセキュリティ確立 | |
| JP2024537675A (ja) | セキュアドパケットのプロビジョニング | |
| JP2024503451A (ja) | 無人航空機に対する許可 | |
| CN118044239A (zh) | 协调双重注册 | |
| WO2024088552A1 (en) | Improving user plane function performance in a wireless communication network | |
| CN117223275A (zh) | 允许uav与uav-c之间的连接性 | |
| CN117917042A (zh) | 在应用实体与无线通信网络之间建立信任关系 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |