CN117917042A - 在应用实体与无线通信网络之间建立信任关系 - Google Patents
在应用实体与无线通信网络之间建立信任关系 Download PDFInfo
- Publication number
- CN117917042A CN117917042A CN202180099866.0A CN202180099866A CN117917042A CN 117917042 A CN117917042 A CN 117917042A CN 202180099866 A CN202180099866 A CN 202180099866A CN 117917042 A CN117917042 A CN 117917042A
- Authority
- CN
- China
- Prior art keywords
- network function
- application entity
- network
- token
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 78
- 230000004044 response Effects 0.000 claims abstract description 77
- 230000006870 function Effects 0.000 abstract description 311
- 238000000034 method Methods 0.000 abstract description 88
- 239000013256 coordination polymer Substances 0.000 description 76
- 238000007726 management method Methods 0.000 description 65
- 239000008186 active pharmaceutical agent Substances 0.000 description 42
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 37
- 238000010586 diagram Methods 0.000 description 23
- 230000001413 cellular effect Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 12
- 238000012545 processing Methods 0.000 description 11
- 238000001228 spectrum Methods 0.000 description 10
- 238000010295 mobile communication Methods 0.000 description 8
- 238000013475 authorization Methods 0.000 description 6
- 241000700159 Rattus Species 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000005641 tunneling Effects 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 4
- 230000006978 adaptation Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 239000004984 smart glass Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/48—Security arrangements using identity modules using secure binding, e.g. securely binding identity modules to devices, services or applications
Abstract
公开了用于在应用实体和无线通信网络之间建立信任关系的装置、方法和系统。一种装置(600)包括处理器(605)和收发器(625)。收发器(625)从应用实体向第一网络功能发送要向与应用实体不具有信任关系的第二网络功能认证该应用实体的请求,并且从第一和第二网络功能中的至少一个接收认证结果。处理器(605)在应用实体和第二网络功能之间建立信任关系,使得应用实体能够响应于应用实体被认证而与第二网络功能进行通信。
Description
技术领域
本文公开的主题总体上涉及无线通信,并且更具体地涉及在应用实体和无线通信网络之间建立信任关系。
背景技术
在无线网络中,垂直应用,例如,诸如应用功能的应用实体,可以基于垂直应用与网络切片提供商之间的协议使用中间件服务来按需请求管理服务以及控制平面服务,诸如新切片。
发明内容
公开了用于在应用实体和无线通信网络之间建立信任关系的过程。所述过程可以通过装置、系统、方法和/或计算机程序产品来实现。
移动通信网络中的应用实体的一种方法包括从应用实体向第一网络功能发送要向与该应用实体不具有信任关系的第二网络功能认证该应用实体的请求。第一网络功能可以与应用实体和第二网络功能具有信任关系。该请求可以包括用于认证应用实体的至少一个可验证的参数。该方法进一步包括从第一和第二网络功能中的至少一个接收认证的结果,以及在应用实体和第二网络功能之间建立信任关系使得应用实体能够响应于应用实体被认证而与第二网络功能通信。
中间件的一种方法包括在第一网络功能处生成用于第一网络功能的客户端凭证断言(“CCA”)令牌,以及从第一网络功能向第二网络功能发送认证请求以用于认证应用实体,该认证请求包括第一网络功能的CCA令牌,该应用实体与第一网络功能而不是第二网络功能具有信任关系。该方法进一步包括在第一网络功能处从第二网络功能接收包括用于第二网络功能的网络地址标识符(“NAT”)的对认证请求的响应,以及从第一网络功能向应用实体发送对认证请求的响应,其包括用于第二网络功能的NAI和用于在应用实体和第二网络功能之间建立安全关联的第一网络功能的CCA令牌。
网络功能的一种方法包括在第一网络功能处接收来自与第一网络功能不具有信任关系的应用实体的认证请求。该认证请求包括用于与第一网络功能和应用实体具有信任关系的第二网络功能的客户端凭证断言(“CCA”)令牌。该方法进一步包括在第一网络功能处验证CCA令牌与第二网络功能相关联,以及响应于验证CCA令牌而从第一网络功能向应用实体发送认证结果,该认证结果包括用于在应用实体和第三网络功能之间建立安全关联的第一网络功能的CCA令牌。
附图说明
将通过参考在附图中示出的特定实施例来呈现对以上简要描述的实施例的更具体的描述。应理解这些附图仅描绘了一些实施例并且因此不应被认为是对范围的限制,将通过使用附图以附加的特殊性和细节来描述和解释实施例,在附图中:
图1是图示用于在应用实体和无线通信网络之间建立信任关系的无线通信系统的一个实施例的示意性框图;
图2是图示无线通信网络内的实体之间的信任关系的一个实施例的图;
图3A是图示用于在应用实体和无线通信网络之间建立信任关系的过程的一个实施例的信号流程图;
图3B是图3A中描绘的过程的延续;
图4A是图示用于在应用实体和无线通信网络之间建立信任关系的另一过程的一个实施例的信号流程图;
图4B是图4A中描绘的过程的延续;
图5是图示可以被用于在应用实体和无线通信网络之间建立信任关系的用户设备装置的一个实施例的框图;
图6是图示可以被用于在应用实体和无线通信网络之间建立信任关系的网络装置的一个实施例的框图;
图7是图示用于在应用实体和无线通信网络之间建立信任关系的方法的一个实施例的流程图;
图8是图示用于在应用实体和无线通信网络之间建立信任关系的另一种方法的一个实施例的流程图;以及
图9是图示用于在应用实体和无线通信网络之间建立信任关系的另一种方法的一个实施例的流程图。
具体实施方式
如本领域技术人员将理解的,实施例的各方面可以被体现为系统、装置、方法或程序产品。因此,实施例可以采取完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)或组合软件和硬件方面的实施例的形式。
例如,所公开的实施例可以被实现为硬件电路,其包括定制的超大规模集成(“VLSI”)电路或门阵列、现成的半导体——诸如逻辑芯片、晶体管或其他分立的组件。所公开的实施例也可以被实现在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等的可编程硬件设备中。作为另一示例,所公开的实施例可以包括可执行代码的一个或多个物理块或逻辑块,其可以例如被组织为对象、过程或函数。
此外,实施例可以采取体现在一个或多个计算机可读存储设备中的程序产品的形式,该一个或多个计算机可读存储设备存储机器可读代码、计算机可读代码和/或程序代码,以下称为代码。存储设备可以是有形的、非暂时的和/或非传输的。存储设备可以不体现信号。在某个实施例中,存储设备仅采用用于接入代码的信号。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是,例如,但不限于电子、磁、光、电磁、红外、全息、微机械或半导体系统、装置或设备、或前述的任何适当的组合。
存储设备的更特定示例(非详尽列表)将包括以下各项:具有一个或多个电线的电气连接、便携式计算机软盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式光盘只读存储器(“CD-ROM”)、光存储设备、磁存储设备、或前述的任何适当的组合。在本文档的场境中,计算机可读存储介质可以是能够包含或存储用于由指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合使用的程序的任何有形介质。
用于执行实施例的操作的代码可以是任意数目的行,并且可以用包括诸如Python、Ruby、Java、Smalltalk、C++等面向对象的编程语言、和诸如“C”编程语言等传统过程编程语言、和/或诸如汇编语言的机器语言中的一种或多种编程语言的任意组合来编写。代码可以完全在用户的计算机上、部分在用户的计算机上、作为独立软件包、部分在用户的计算机上并且部分在远程计算机上或完全在远程计算机或服务器上完全执行。在最后一种场景下,远程计算机可以通过包括局域网(“LAN”)、无线LAN(“WLAN”)或广域网(“WAN”)的任何类型的网络连接到用户的计算机,或者可以连接到外部计算机(例如,通过使用互联网服务提供商(“ISP”)的互联网)。
此外,实施例的所描述的特征、结构或特性可以以任何适当的方式组合。在以下描述中,提供了许多特定细节,诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例,以提供对实施例的透彻理解。然而,相关领域的技术人员将认识到,实施例可以在没有这些特定细节中的一个或多个的情况下或者利用其他方法、组件、材料等来实践。在其他实例中,未详细示出或描述众所周知的结构、材料或操作以避免模糊实施例的各方面。
贯穿本说明书对“一个实施例”、“实施例”或类似语言的引用意指结合该实施例描述的具体特征、结构或特性被包括在至少一个实施例中。因此,除非另有明确说明,否则贯穿本说明书的短语“在一个实施例中”、“在实施例中”和类似语言的出现可以但不一定都指代相同的实施例,而是意指“一个或多个但不是所有实施例”。除非另有明确说明,否则术语“包括”、“包含”、“具有”及其变体意指“包括但不限于”。除非另有明确说明,否则所列举的项的列表并不暗示任何或所有项是相互排斥的。除非另有明确说明,否则术语“一(a)”、“一个(an)”和“该(the)”也指“一个或多个”。
如本文中所使用的,具有“和/或”连词的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“……中的一个或多个”的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和C中的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“……中的一个”的列表包括列表中的任何单个项中的一个且仅一个。例如,“A、B和C中的一个”包括仅A、仅B或仅C并且不包括A、B和C的组合。如本文中所使用的,“选自由A、B和C组成的组的成员”包括A、B或C中的一个且仅一个,并且不包括A、B和C的组合。如本文中所使用的,“选自由A、B和C及其组合组成的组的成员”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
以下参考根据实施例的方法、装置、系统和程序产品的示意流程图和/或示意性框图来描述实施例的各方面。将理解,示意流程图和/或示意性框图中的各个框以及示意流程图和/或示意性框图中的框的组合都能够通过代码实现。该代码可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图和/或框图中指定的功能/动作的装置。
代码还可以被存储在存储设备中,该存储设备能够引导计算机、其他可编程数据处理装置或其他设备以具有方式运行,使得存储在存储设备中的指令产生包括实现流程图和/或框图中指定的功能/动作的指令的制品。
代码还可以被加载到计算机、其他可编程数据处理装置或其他设备上以使一系列操作步骤在计算机、其他可编程装置或其他设备上执行,从而产生计算机实现的过程,使得在计算机或其他可编程装置上执行的代码提供用于实现流程图和/或框图中指定的功能/动作的过程。
附图中的流程图和/或框图图示了根据各种实施例的装置、系统、方法和程序产品的可能实施方式的架构、功能和操作。在这点上,流程图和/或框图中的每个框可以表示模块、区段或代码的一部分,其包括用于实现(多个)指定逻辑功能的代码的一个或多个可执行指令。
还应注意,在一些替代实施方式中,框中注释的功能可以不按图中标注的顺序出现。例如,取决于所涉及的功能,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行。可以设想到在功能、逻辑或效果上与示出的图中的一个或多个框或其部分等效的其他步骤和方法。
尽管在流程图和/或框图中可以采用各种箭头类型和线类型,但它们被理解为不限制对应实施例的范围。实际上,一些箭头或其他连接符可以被用于仅指示所描绘的实施例的逻辑流程。例如,箭头可以指示所描绘的实施例的列举步骤之间的未指定持续时间的等待或监控时段。还将注意,框图和/或流程图的每个框以及框图和/或流程图中的框的组合能够由执行指定功能或动作的基于专用硬件的系统或专用硬件与代码的组合实现。
每个图中的元件的描述可以参考前面的附图的元件。在所有附图中,相似的附图标记指代相似的元件,包括相似元件的替代实施例。
总体上,本公开描述用于在应用实体和无线通信网络之间建立信任关系的系统、方法以及装置。在某些实施例中,该方法可以使用在计算机可读介质上嵌入的计算机代码来执行。在某些实施例中,装置或系统可以包括包含计算机可读代码的计算机可读介质,当由处理器执行时,计算机可读代码使装置或系统执行下面描述的解决方案的至少一部分。
垂直应用,例如,应用实体或应用功能(AF),可以基于垂直和网络切片提供商之间的协议,例如经由中间件服务,按需请求管理服务以及控制平面服务,诸如新切片。然而,创建新切片将需要垂直/终端应用与5GS(例如,管理和控制平面)之间的一种形式的信任,以授权/认证应用请求并使垂直应用能够消费与所请求的切片相关的管理/控制服务。
然而,垂直应用/AF可能不被管理服务(“MnS”)生产者或控制平面(“CP”)信任,并且因此不能接入CP或管理平面(“MP”)服务。因此,存在一个问题,即,如何基于垂直应用的请求使垂直应用的授权/认证能够消费电信提供的服务(例如,管理和控制平面服务),其是垂直应用/AF可能需要的以直接接入MnS实施和CP服务来管理和控制其网络切片。本文描述的主题提供了一种用于在AF与MnS生产者和/或CP之间建立信任关系以使能够接入MnS实现和CP服务的解决方案。
图1描绘了根据本公开的实施例的用于在应用实体与无线通信网络之间建立信任关系的无线通信系统100。在一个实施例中,无线通信系统100包括至少一个远程单元105、第五代无线电接入网络(“5G-RAN”)115和移动核心网络140。5G-RAN 115和移动核心网络140形成移动通信网络。5G-RAN 115可以由包含至少一个蜂窝基站单元121的3GPP接入网络120和/或包含至少一个接入点131的非3GPP接入网络130构成。远程单元105使用3GPP通信链路123与3GPP接入网络120通信和/或使用非3GPP通信链路133与非3GPP接入网络130通信。尽管在图1中描绘了具体数量的远程单元105、3GPP接入网络120、蜂窝基站单元121、3GPP通信链路123、非3GPP接入网络130、接入点131、非3GPP通信链路133和移动核心网络140,但是本领域技术人员将认识到,无线通信系统100中可以包括任何数量的远程单元105、3GPP接入网络120、蜂窝基站单元121、3GPP通信链路123、非3GPP接入网络130、接入点131、非3GPP通信链路133和移动核心网络140。
在一个实施方式中,RAN 120符合第三代合作伙伴项目(“3GPP”)规范中指定的5G系统。例如,RAN 120可以是实施NR RAT和/或LTE RAT的NG-RAN。在另一示例中,RAN 120可以包括非3GPP RAT(例如或电气和电子工程师协会(“IEEE”)802.11系列兼容WLAN)。在另一实施方式中,RAN 120符合3GPP规范中指定的LTE系统。然而,更一般地,无线通信系统100可以实现一些其他开放或专有通信网络,例如全球微波接入互操作性(“WiMAX”)或IEEE 802.16系列标准等其他网络。本公开不旨在被限于任何具体的无线通信系统架构或协议的实施方式。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏机、安全系统(包括安全相机)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以被称为UE、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、设备或在本领域中使用的其他术语。在各种实施例中,远程单元105包括订户身份和/或标识模块(“SIM”)和提供移动终端功能(例如,无线电传输、切换、语音编码和解码、误差检测和校正、信令和对SIM的接入)的移动设备(“ME”)。在某些实施例中,远程单元105可以包括终端设备(“TE”)和/或被嵌入在电器或设备(例如,上述计算设备)中。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏机、安全系统(包括安全相机)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以被称为UE、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、设备或在本领域中使用的其他术语。
远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号与3GPP接入网络120中的一个或多个蜂窝基站单元121直接通信。此外,UL和DL通信信号可以通过3GPP通信链路123承载。类似地,远程单元105可以经由在非3GPP通信链路133上承载的UL和DL通信信号与非3GPP接入网络130中的一个或多个接入点131通信。这里,接入网络120和130是向远程单元105提供对移动核心网络140的接入的中间网络。
在一些实施例中,远程单元105经由与移动核心网络140的网络连接与远程主机(例如,在数据网络150中或在数据网络160中)通信。例如,远程单元105中的应用107(例如Web浏览器、媒体客户端、电话和/或互联网协议话音(“VoIP”)应用)可以触发远程单元105以经由5G-RAN 115(即,经由3GPP接入网络120和/或非3GPP网络130)与移动核心网络140建立协议数据单元(“PDU”)会话(或其他数据连接)。移动核心网络140然后使用PDU会话在远程单元105和远程主机之间中继业务。PDU会话表示远程单元105和用户平面功能(“UPF”)141之间的逻辑连接。
为了建立PDU会话(或PDN连接),远程单元105必须向移动核心网络140注册(在第四代(“4G”)系统的场境中也称为“附接至移动核心网络”)。注意,远程单元105可以与移动核心网络140建立一个或多个PDU会话(或其他数据连接)。这样,远程单元105可以具有至少一个PDU会话,以用于与分组数据网络150进行通信。附加地或替代地,远程单元105可以具有用于与分组数据网络160通信的至少一个PDU会话。远程单元105可以建立用于与其他数据网络和/或其他通信对等体通信的附加PDU会话。
在5G系统(“5GS”)的场境中,术语“PDU会话”是指通过UPF 131在远程单元105和特定数据网络(“DN”)之间提供端到端(“E2E”)用户平面(“UP”)连接性的数据连接。PDU会话支持一个或多个服务质量(“QoS”)流。在某些实施例中,QoS流和QoS简档之间可能存在一对一映射,使得属于特定QoS流的所有分组具有相同的5G QoS标识符(“5QI”)。
在诸如演进分组系统(“EPS”)的4G/LTE系统的场境中,分组数据网络(“PDN”)连接(也称为EPS会话)在远程单元和PDN之间提供E2E UP连接性。PDN连接性过程建立EPS承载,即,在远程单元105和移动核心网络130中的分组网关(“PGW”,未示出)之间的隧道。在某些实施例中,EPS承载和QoS简档之间存在一对一映射,使得属于特定EPS承载的所有分组具有相同的QoS类别标识符(“QCI”)。
如下面更详细描述的,远程单元105可以使用建立的与第一移动核心网络130的第一数据连接(例如,PDU会话)来建立与第二移动核心网络140的第二数据连接(例如,第二PDU会话的一部分)。当建立与第二移动核心网络140的数据连接(例如,PDU会话)时,远程单元105使用第一数据连接向第二移动核心网络140注册。
蜂窝基站单元121可以被分布在地理区域上。在某些实施例中,蜂窝基站单元121还可以被称为接入终端、接入点、基地、基站、节点B(“NB”)、演进型节点B(缩写为eNodeB或“eNB”,也称为演进通用陆地无线电接入网络(“E-UTRAN”)节点B)、5G/NR节点B(“gNB”)、家庭节点B、家庭节点B、中继节点、设备、或者本领域使用的任何其他术语。蜂窝基站单元121通常是诸如3GPP接入网络120的无线电接入网络(“RAN”)的一部分,其可以包括可通信地耦合至一个或多个对应的蜂窝基站单元121的一个或多个控制器。无线电接入网络的这些和其他元件未被图示,但通常是本领域的普通技术人员众所周知的。蜂窝基站单元121经由3GPP接入网络120连接到移动核心网络140。
蜂窝基站单元121可以经由3GPP无线通信链路123为例如小区或小区扇区的服务区域内的多个远程单元105服务。蜂窝基站单元121可以经由通信信号与一个或多个远程单元105直接通信。通常,蜂窝基站单元121发射DL通信信号,以在时间、频率和/或空间域中为远程单元105服务。此外,DL通信信号可以在3GPP无线通信链路123上承载。3GPP无线通信链路123可以是授权或未授权的无线电频谱中的任何合适的载波。3GPP无线通信链路123促进远程单元105中的一个或多个和/或蜂窝基站单元121中的一个或多个之间的通信。注意,在未授权频谱(称为“NR-U”)上的NR操作期间,基站单元121和远程单元105通过未授权(即,共享)无线电频谱进行通信。
非3GPP接入网络130可以分布在地理区域上。每个非3GPP接入网络130可以用服务区域服务多个远程单元105。非3GPP接入网络130中的接入点131可以通过接收UL通信信号和发射DL通信信号与一个或多个远程单元105直接通信,以在时间、频率和/或空间域中服务于远程单元105。UL和DL通信信号两者在非3GPP通信链路133上承载。3GPP通信链路123和非3GPP通信链接133可以采用不同的频率和/或不同的通信协议。在各种实施例中,接入点131可以使用未授权无线电频谱进行通信。移动核心网络140可以经由非3GPP接入网络130向远程单元105提供服务,如本文中更详细地描述。
在一些实施例中,非3GPP接入网络130经由互通实体135连接到移动核心网络140。互通实体135提供非3GPP接入网络130与移动核心网络140之间的互通。互通实体135支持经由“N2”和“N3”接口的连接性。如所描绘的,3GPP接入网络120和互通实体135都使用“N2”接口与AMF 143通信。3GPP接入网络120和互通实体135还使用“N3”接口与UPF 141通信。尽管描绘为在移动核心网络140之外,但在其它实施例中,互通实体135可以是核心网络的一部分。尽管描绘为在非3GPP RAN 130之外,但在其它实施例中,互通实体135可以是非3GPPRAN 130的一部分。
在某些实施例中,非3GPP接入网络130可以由移动核心网络140的运营商控制,并且可以直接接入移动核心网络140。这种非3GPP AN部署称为“可信非3GPP接入网络”。当非3GPP接入网络130由3GPP运营商或可信合作伙伴运营时,它被认为“可信”,并且支持某些安全特征,诸如强空中接口加密。相反,不受移动核心网络140的运营商(或可信合作伙伴)控制、不直接接入移动核心网络140、或不支持某些安全特征的非3GPP AN部署被称为“不可信”非3GPP接入网络。部署在可信非3GPP接入网络130中的互通实体135在本文中可以称为可信网络网关功能(“TNGF”)。部署在不可信非3GPP接入网络130中的互通实体135在本文中可以称为非3GPP互通功能(“N3IWF”)。尽管描绘为非3GPP接入网络130的一部分,但在一些实施例中,N3IWF可以是移动核心网络140的一部分或者可以位于数据网络150中。
在一个实施例中,移动核心网络140是5G核心(“5GC”)或演进分组核心(“EPC”),其可以耦合到数据网络150,如互联网和专用数据网络以及其它数据网络。远程单元105可以具有与移动核心网络140的订阅或其它账户。每个移动核心网络140属于单个公共陆地移动网络(“PLMN”)。本公开并不旨在限于任何具体的无线通信系统架构或协议的实施方案。
移动核心网络140包括若干网络功能(“NF”)。如所描绘的,移动核心网络140包括至少一个UPF141。移动核心网络140还包括多个控制面功能,包括但不限于服务于5G-RAN115的接入和移动性管理功能(“AMF”)143、会话管理功能(“SMF”)145、策略控制功能(“PCF”)146、认证服务器功能(“AUSF”)147、统一数据管理(“UDM”)和统一数据存储库功能(“UDR”)。
在5G架构中,(多个)UPF 141负责分组路由和转发、分组检查、QoS处理以及用于互连数据网络(“DN”)的外部PDU会话。AMF 143负责终止NAS信令、NAS加密和完整性保护、注册管理、连接管理、移动性管理、接入认证和授权、安全上下文管理。SMF 145负责会话管理(即,会话建立、修改、释放)、远程单元(即,UE)IP地址分配和管理、DL数据通知以及UPF的业务引导配置,以实现适当的业务路由。
PCF 146负责统一策略框架,从而为CP功能提供政策规则,接入UDR中政策决策的订阅信息。AUSF 147充当认证服务器。
UDM负责生成认证和密钥协商(“AKA”)凭证、用户标识处理、接入授权、订阅管理。UDR是订户信息的存储库并且能够被用于服务于多个网络功能。例如,UDR可以存储订阅数据、策略相关数据、允许向第三方应用开放的订户相关数据等。在一些实施例中,UDM与UDR共置,其描绘为组合实体“UDM/UDR”149。
在各种实施例中,移动核心网络140还可以包括网络开放功能(“NEF”)(其负责使客户和网络合作伙伴例如经由一个或多个API可容易地接入网络数据和资源)、网络存储库功能(“NRF”)(其提供NF服务注册和发现,使NF能够相互识别适当的服务,并且通过应用编程接口(“API”)相互通信)、或为5GC定义的其它NF。在某些实施例中,移动核心网络140可以包括认证、授权和计费(“AAA”)服务器。
在各种实施例中,移动核心网络140支持不同类型的移动数据连接和不同类型的网络切片,其中,每个移动数据连接利用特定的网络切片。这里,“网络切片”指代针对特定业务类型或通信服务而优化的移动核心网络140的一部分。网络实例可以由S-NSSAI标识,而授权远程单元105针对其使用的一组网络切片由NSSAI标识。在某些实施例中,各种网络片可以包括网络功能的分离的实例,诸如SMF和UPF 141。在一些实施例中,不同网络切片可以共享一些公共网络功能,诸如AMF 143。为了便于说明,图1中没有示出不同网络切片,但假设它们支持不同网络切片。
尽管在图1中描绘特定数目和类型的网络功能,但是本领域技术人员将认识到,移动核心网络140中可以包括任何数目和类型的网络功能。此外,在移动核心网络140包括EPC的情况下,可以利用适当的EPC实体(诸如MME、S-GW、P-GW、HSS等)替换所描绘的网络功能。
虽然图1描绘5G RAN和5G核心网络的组件,但用于在非3GPP接入上使用假名(pseudonym)进行接入认证的所描述实施例适用于其它类型的通信网络和RAT,包括IEEE802.11变体、GSM、GPRS、UMTS、LTE变体、CDMA 2000、蓝牙、ZigBee、Sigfoxx等。例如,在涉及EPC的4G/LTE变体中,AMF 143可以被映射到MME,SMF映射到PGW的控制面部分和/或MME,UPF141可以被映射到SGW和PGW的用户平面部分,UDM/UDR 149可以被映射到HSS等。
如所描绘的,远程单元105(例如,UE)可以经由两种类型的接入:(1)经由3GPP接入网络120,和(2)经由非3GPP接入网络130,连接到移动核心网络(例如,连接到5G移动通信网络)。第一类型的接入(例如,3GPP接入网络120)使用3GPP定义类型的无线通信(例如,NG-RAN),而第二类型的接入(例如,非3GPP接入网络130)使用非3GPP定义类型的无线通信(例如,WLAN)。5G-RAN 115指的是能够提供对移动核心网络140的接入的任何类型的5G接入网络,包括3GPP接入网络120和非3GPP接入网络130。
为了解决如上所述的在应用实体与MnS生产者和/或CP之间建立信任关系以使能够接入MnS实现和CP服务的问题,本公开提出了在应用实体和MnS生产者和/或CP之间建立信任关系以使能够使用在应用实体和MnS/CP之间具有信任关系的中间件服务来接入MnS实现和CP服务的解决方案。
有利地,所提出的解决方案提供了一种在应用实体与MnS和/或CP之间建立信任关系以接入MnS和/或CP服务以使用共同信任的中间件来管理其网络切片的有效方式。
垂直应用,例如,应用实体或应用功能(AF),可以基于垂直和网络切片提供商之间的协议,例如经由中间件服务,按需请求管理服务以及控制平面服务,诸如新切片。然而,创建新切片将需要垂直/终端应用与5GS(例如,管理和控制平面)之间的一种形式的信任,以授权/认证应用请求并使垂直应用能够消费与所请求的切片相关的管理/控制服务。
然而,垂直应用/AF可能不被管理服务(“MnS”)生产者或控制平面(“CP”)信任,并且因此不能接入CP或管理平面(“MP”)服务。因此,存在一个问题,即,如何基于垂直应用/AF可能需要以直接接入MnS实施和CP服务来管理和控制其网络切片的垂直应用的请求来启用垂直应用的授权/认证以消费电信提供的服务(例如,管理和控制平面服务)。本文描述的主题提供了一种用于在AF与MnS生产者和/或CP之间建立信任关系以使能够接入MnS实现和CP服务的解决方案。
如本文所使用的,垂直应用能够由应用服务提供商(“ASP”)提供,并且可以是网络侧处的应用或用户设备(“UE”)设备处的应用客户端。此类应用在与5GS交互时包括AF功能性。
如本文所使用的,中间件能够被定义为可信应用实体,其向垂直应用提供启用服务以与5GS集成。当与5GC交互时,中间件可以包括AF功能性。
如下文更详细描述的,应用实体(例如,垂直应用/AF)的认证是在MnS生产者和CP中的公共可信中间件的帮助下执行的。认证利用应用实体与中间件以及中间件与MnS生产者和/或CP之间的两种信任关系。中间件是双方信任的。通过将从中间件直接接收到的秘密令牌(例如,“认证密码”)与从应用实体接收到的秘密令牌进行比较来在MnS生产者中执行认证,其包括可信中间件正在经由应用实体发送请求的CCA令牌的验证。通过将从MnS生产者直接接收到的秘密令牌与从应用实体接收到的秘密令牌进行比较,在CP中执行认证,其包括可信MnS生产者经由应用实体发送请求的CCA令牌的验证。
作为背景,在3GPP SA6中,为垂直应用指定了应用支持层,称为垂直应用使能器层(TS23.286处的V2X使能器服务器、TR 23.745处的FF使能器服务器、TR 23.755处的UAS使能器服务器),其充当用于向垂直应用暴露北向API的中间件,并为已连接的设备提供一些服务器客户端支持的功能性。此外,3GPP SA6还为称为SEAL(TS 23.434)的所有垂直使能器层提供公用件。SEAL已经引入一项新服务,即,网络切片能力管理,它具有服务器和客户端应用对方。NSCM层为运行应用的所有设备提供网络切片适配/迁移能力触发器。这需要OAM和NSCM服务器以及设备侧处的NSCM服务器和NSCM客户端之间的交互(用于应用切片适配)。
SA6中的中间件采用使能器层的形式,其能够是SEAL功能或垂直特定使能器功能或边缘使能器层功能。
如此处所描述的应用实体能够被视为正在使用SEAL/使能器层服务的垂直应用。应用实体能够是应用服务器或UE处的应用,其需要消耗控制和管理和/或中间件服务。在这种情况下,当存在新的服务请求时,需要应用实体的额外授权来消费CP和MP服务,这不在应用实体与电信服务提供商(例如,CP和MP功能所有者)之间的服务协议涵盖的范围内。这种新的服务请求可以是例如新切片的创建或切片生命周期的适配(例如,切片供应和/或修改),以适应垂直客户的需求。
图2描绘了上述各种实体之间的信任关系。在一个实施例中,图2包括中间件信任域202和MNO信任域204。中间件信任域202包括应用实体206和中间件208。应用实体206可以包括AS、AF或UE处的应用,并且与中间件208具有协议,例如,应用实体206和中间件208在同一信任域202中。应用实体206可以与中间件206/网络运营商具有用于请求具体网络切片的服务水平协议。中间件208,例如,第三方应用功能负责将来自应用实体206的服务描述映射到切片描述,例如,映射到GSMA切片模板和/或服务/切片简档。中间件208具有在MNO信任域204内的MnS生产者210和CP 212之间建立的信任关系214,反之亦然。
MnS生产者210负责MNO信任域204内的管理,包括由中间件208请求的切片的实例化,并且可以被体现为NEF的CP 212根据切片模板和/或服务/切片简档中的描述来配置实例化的切片。MnS生产者210和CP 212位于MNO 204的相同信任域中。如本文所述,应用实体206可能需要与MnS生产者210和/或CP 212建立信任关系以经由新应用编程接口(“API”)216进行通信以请求和管理网络切片。
在一个实施例中,如图3A和图3B中的过程流程图所描绘的,应用实体302经由中间件304与MnS 306和CP 308建立信任关系。在所描绘的实施例中,在步骤la处(参见框310),假定应用实体302与中间件304具有信任关系,例如,基于TLS客户端-服务器侧证书或用于相互认证的IPsec隧道化。因此,假定应用实体302和中间件304之间的通信被加密并受到完整性保护。
在步骤1b处(参见框312),假定中间件与MnS生产者306和/或CP 308具有信任关系,例如,基于TLS客户端-服务器侧证书或用于相互认证的IPsec隧道化。因此假定中间件304与MnS生产者306和/或CP 308之间的通信被加密并且受到完整性保护。
在步骤2处,应用实体302向中间件304发送(参见消息传递314)MnS生产者API请求,包括应用实体302的标识以及MnS生产者306的管理信息,以及如果可用,应用ID。如果应用实体302不具有应用ID,则它可能必须发送服务描述,该服务描述被译成中间件304中的切片蓝图(例如,GSMA切片模板)。此服务描述可以是管理信息的一部分。
在步骤3处,中间件304授权(参见框316)该请求并选择MnS生产者306。中间件304创建秘密令牌(例如,令牌1),其可以像一次性密码一样使用。因此,秘密令牌的大小应当足够长,例如,256位、512位、1024位、2048位等。秘密令牌应该以随机方式生成,使得不可能基于先前创建的令牌来预测或重新创建未来的秘密令牌。
在步骤4处,中间件304向MnS生产者306发送(参见消息传递318)API请求,包括中间件ID、应用ID、秘密令牌(例如,令牌1)以及管理信息。如果请求中不包括应用ID,则管理信息包含有关所请求的切片的信息(例如,GSMA切片模板)。
在步骤5处,MnS生产者306授权(参见框320)来自中间件304的请求,并将中间件ID、应用ID和秘密令牌存储在一起。如果请求不包含应用ID,则MnS生产者306将至少在MnS生产者306内生成唯一的用于切片描述的应用ID和应用实体ID。除了应用ID之外或者代替应用ID,MnS生产者可以生成网络切片选择辅助信息(“NSSAI”)。
在步骤6处,MnS生产者306向中间件304发送(参见消息传递322)API响应,包括管理API的网络地址标识符(“NAI”)和应用ID(例如,NSSAI),例如,AppID@management.mno.com。NAI可以对于所有应用实体302是通用的或者对于具体应用实体302是特定的。
在步骤7处,在接收到API响应时,中间件304例如根据TS 33.501生成(参见框324)客户端凭证断言(“CCA”)令牌。
在步骤8处,中间件304向应用实体302发送(参见消息传递326)MnS API响应,其可以包括管理API的NAI、应用ID(例如,NSSAI)、秘密令牌(令牌1)以及CCA令牌。
在步骤9处,应用实体302可以例如利用Diffie-Hellman(“DH”)密钥生成和TLS/IPSec设置来设置(参见框328)与MnS生产者306的安全关联。
在步骤10处,应用实体302使用NAI将管理API请求直接发送(参见消息传递330)到管理API。请求可以包含应用实体ID、应用ID(例如,NSSAI)、秘密令牌(令牌1)和中间件304的CCA令牌。
在步骤11处,如图3B所示,MnS生产者306验证(参见块332)CCA令牌由中间件304签署,并且将应用ID(例如,NSSAI)和秘密令牌(令牌1)与在步骤5中接收到和存储的令牌进行比较。如果令牌匹配,则MnS生产者306间接地认证应用实体302,因为中间件304创建秘密令牌(令牌1)并且它不应该被除了MnS生产者306之外的任何其他功能知道。此外,经由应用实体302发送的来自中间件304的CCA令牌,包括秘密令牌(令牌1),示出该请求确实来自具有秘密令牌(令牌1)的可信中间件304,其被用作用于认证的一次性密码。注意,在步骤1b中,如上所述,假定在中间件304和MnS生产者306之间建立交叉认证过程以验证证书。
在步骤12处,在成功认证应用实体302后,MnS生产者306生成(参见框334)新的秘密令牌(令牌2),其用作一次性密码。因此,秘密令牌的大小应当足够长,例如,256位、512位、1024位、2048位等。秘密令牌应该以随机方式生成,使得不可能基于先前创建的令牌来预测或重新创建未来的秘密令牌。
在步骤13处,MnS生产者向CP 308发送(参见消息传递336)更新请求,其可以包括MnS生产者ID、应用实体ID、应用ID(例如,NSSAI)和秘密令牌(令牌2)、以及CP管理信息。
在步骤14处,CP 308存储(参见框338)应用实体ID、应用ID(例如,NSSAI)和秘密令牌(令牌2),用于认证来自应用实体302的稍后请求。
在步骤15处,CP 308向MnS生产者306发送(参见消息传递340)更新响应,包括CPAPI的NAI,例如,AppID@nef.mno.com。NAI可以对于所有应用实体302是通用的或者对于具体应用实体302是特定的。
在步骤16处,在接收到更新响应时,MnS生产者306例如根据TS 33.501生成CCA令牌。MnS生产者向应用实体302发送(参见消息传递342)管理API响应,其可以包括CP API的NAI、应用ID(例如,NSSAI)、CCA令牌和秘密令牌(令牌2)。
在步骤17处,应用实体302可以例如利用DH密钥生成和TLS/IP Sec设置来设置(参见框344)与CP 308的安全关联。
在步骤18处,应用实体302使用NAI将CP API请求直接发送(参见消息传递346)到CP API。请求可以包含应用实体ID、应用ID(例如,NSSAI)、CCA令牌和秘密令牌(令牌2)。
在步骤19处,CP 308通过将应用实体ID、应用ID(例如,NSSAI)和秘密令牌(令牌2)与在步骤13中存储的令牌进行比较来验证(参见块348)请求来自应用实体302。如果令牌匹配,则CP 308间接地认证应用实体302,因为MnS生产者306创建秘密令牌(令牌2),并且对于除了CP 308之外的任何其他功能不应该知道。此外,CP 308验证CCA是由MnS生产者306签署。经由应用实体302发送的来自MnS生产者306的包括秘密令牌(令牌2)的CCA令牌示出该请求确实来自带有秘密令牌(令牌2)的可信MnS生产者,其被用作用于认证的一次性密码。
在步骤20处,CP 308将带有认证结果的CP API响应发送(参见消息传递350)到应用实体302。应用实体302现在能够向MnS生产者306和CP 308发送消息。
在另一实施例中,中间件304不创建秘密令牌并将其发送到MnS生产者306。反而,仅使用CCA令牌来在MnS生产者306中验证该请求是经由应用实体302来自中间件304并且应用ID(例如,NSSAI)被用于与从中间件304到MnS生产者306的先前请求相关。
在另一实施例中,MnS生产者306不创建秘密令牌并将其发送到CP 304。反而,仅使用CCA令牌来在CP 308中验证该请求是经由应用实体来自MnS生产者306并且应用ID(例如,NSSAI)被用于与从MnS生产者306到CP 308的先前请求相关。
在另一实施例中,第一秘密令牌(令牌1)由应用实体302而不是中间件304创建,并且在第一消息中发送到中间件304(例如,在步骤2中)。在另一实施例中,中间件304和MnS生产者306都不创建秘密令牌。
在另一实施例中,CP 308中的认证是经由中间件304而不是MnS生产者306来执行的,例如,应用实体302向中间件304发送CP API请求,并且中间件306创建秘密令牌(令牌2)使得中间件CCA令牌被用于CP 308,如下图4A至4B所示。
在一个实施例中,如图3A和图3B中的过程流程图所描绘的,应用实体402经由中间件404与MnS 406和CP 408建立信任关系。在所描绘的实施例中,在步骤la处(参见框410),假定应用实体402与中间件404具有例如基于TLS客户端-服务器侧证书或用于相互认证的IPsec隧道化的信任关系。因此假定应用实体402和中间件404之间的通信被加密并受到完整性保护。
在步骤1b处(参见框412),假定中间件与MnS生产者406和/或CP 408具有例如基于TLS客户端-服务器侧证书或用于相互认证的IPsec隧道化的信任关系。因此假定中间件404与MnS生产者406和/或CP 408之间的通信被加密并且受到完整性保护。
在步骤2处,应用实体402向中间件404发送(参见消息传递414)MnS生产者API请求,包括应用实体402的标识以及MnS生产者406的管理信息,以及如果可用,应用ID。如果应用实体402没有应用ID,则它可能必须发送服务描述,该服务描述被译成中间件404中的切片蓝图(例如,GSMA切片模板)。此服务描述可以是管理信息的一部分。
在步骤3处,中间件404授权(参见框416)该请求并选择MnS生产者406。中间件404创建秘密令牌(例如,令牌1),其可以像一次性密码一样使用。因此,秘密令牌的大小应当足够长,例如,256位、512位、1024位、2048位等。秘密令牌应该以随机方式生成,使得不可能基于先前创建的令牌来预测或重新创建未来的秘密令牌。
在步骤4处,中间件404向MnS生产者406发送(参见消息传递418)API请求,包括中间件ID、应用ID、秘密令牌(例如,令牌1)和管理信息。如果请求中不包含应用ID,则管理信息包含有关所请求的切片的信息(例如,GSMA切片模板)。
在步骤5处,MnS生产者406授权(参见框420)来自中间件404的请求,并将中间件ID、应用ID和秘密令牌存储在一起。如果请求不包含应用ID,则MnS生产者406将至少在MnS生产者406内生成唯一的用于切片描述的应用ID和应用实体ID。除了应用ID之外或者代替应用ID,MnS生产者可以生成网络切片选择辅助信息(“NSSAI”)。
在步骤6处,MnS生产者406向中间件404发送(参见消息传递422)API响应,包括应用ID(例如,NSSAI)和管理API的网络地址标识符(“NAI”),例如,AppID@management.mno.com。NAI可以对于所有应用实体402是通用的或者对于具体应用实体402是特定的。
在步骤7处,在接收到API响应时,中间件404例如根据TS 33.501生成(参见框424)客户端凭证断言(“CCA”)令牌。
在步骤8处,中间件404向应用实体402发送(参见消息传递426)MnS API响应,其可以包括管理API的NAI、应用ID(例如,NSSAI)、秘密令牌(令牌1)和CCA令牌。
在步骤9处,应用实体402可以例如利用Diffie-Hellman(“DH”)密钥生成和TLS/IPSec设置来设置(参见框428)与MnS生产者406的安全关联。
在步骤10处,应用实体402使用NAI将管理API请求直接发送(参见消息传递430)到管理API。该请求可以包含应用实体ID、应用ID(例如,NSSAI)、秘密令牌(令牌1)和中间件404的CCA令牌。
在图4B所示的步骤11处,MnS生产者406验证(参见块432)CCA令牌是由中间件404签署的,并且将应用ID(例如,NSSAI)和秘密令牌(令牌1)与在步骤5中接收到和存储的令牌进行比较。如果令牌匹配,则MnS生产者406间接地认证应用实体402,因为中间件404创建秘密令牌(令牌1)并且它不应该被除了MnS生产者406之外的任何其他功能知道。此外,经由应用实体402发送的来自中间件404的包括秘密令牌(令牌1)的CCA令牌示出该请求确实来自具有秘密令牌(令牌1)的可信中间件404,其用作用于认证的一次性密码。注意,在步骤1b中,如上所述,假定在中间件404和MnS生产者406之间建立交叉认证过程以验证证书。
在步骤12处,MnS生产者406将带有认证结果的管理API响应发送(参见消息传递434)到应用实体402。应用实体402现在能够向MnS生产者406发送消息。
在步骤13处,应用实体402向中间件404发送(参见消息传递436)CP API请求,包括应用实体402的标识以及用于MnS生产者406的管理信息和应用ID(例如,NSSAI)。
在步骤14处,中间件404授权(参见框436)该请求并选择CP 408。中间件404创建秘密令牌(令牌2),其可以像一次性密码一样使用。因此,秘密令牌的大小应当足够长,例如,256位、512位、1024位、2048位等。秘密令牌应该以随机方式生成,使得不可能基于先前创建的令牌来预测或重新创建未来的秘密令牌。
在步骤15处,中间件404向CP 408发送(参见消息传递438)API请求,包括中间件ID、应用ID(例如,NSSAI)、秘密令牌(令牌2)和管理信息。
在步骤16处,CP 308授权(参见消息传递440)来自中间件404的请求,并将中间件ID、应用ID(例如,NSSAI)和秘密令牌(令牌2)一起存储。
在步骤17处,CP 308向中间件404发送(参见消息传递442)API响应,包括应用ID(例如,NSSAI)和CP API的NAI,例如,AppID@nef.mno.com。NAI可以对于所有应用实体402是通用的或者对于具体应用实体402是特定的。
在步骤18处,在接收到API响应时,中间件404例如根据TS 33.501生成(参见框444)CCA令牌。
在步骤19处,中间件404向应用实体402发送(参见消息传递446)API响应,其可以包括CP API的NAI、应用ID(例如,NSSAI)、秘密令牌(令牌2)、CCA令牌。
在步骤20处,应用实体402可以例如利用DH密钥生成和TLS/IPSec设置来设置(参见框448)与CP的安全关联。
在步骤21处,应用实体402使用NAI将CP API请求直接发送(参见消息传递450)到CP API。该请求可以包含应用实体ID、应用ID(例如,NSSAI)、秘密令牌(令牌2)和中间件404的CCA令牌。
在步骤22处,CP 408验证(参见框452)CCA是由中间件404签署的,并将应用ID(例如,NSSAI)和秘密令牌(令牌2)与在步骤5中存储的令牌进行比较。如果令牌匹配,则CP 408间接地认证应用实体402,因为中间件404创建秘密令牌(令牌2)并且它不应该被如CP 408和应用实体402的任何其他功能知道。此外,经由应用实体402发送的来自中间件404的还可以包括秘密令牌(令牌2)的CCA令牌示出该请求确实来自具有秘密令牌(令牌2)的可信中间件404,其被用作用于认证的一次性密码。注意,在步骤1b中,假定在中间件404和CP 408之间建立交叉认证过程以验证证书。
在步骤23处,CP 408将带有认证结果的CP API响应发送(参见消息传递454)到应用实体402。应用实体402现在能够向MnS生产者406和CP 408发送消息。
在另一个实施例中,中间件404不创建秘密令牌并将其发送到CP 408;反而,仅CCA令牌被用于在CP 408中验证该请求是经由应用实体402来自中间件404,并且应用ID(例如,NSSAI)被用于与来自中间件404到CP 408的先前请求相关。
在另一个实施例中,第一秘密令牌(令牌1)由应用实体402而不是中间件404创建,并且在第一消息中发送到中间件404(步骤2)。
图5描绘了根据本公开的实施例的可以用于在应用实体与无线通信网络之间建立信任关系的用户设备装置500。在各种实施例中,用户设备装置500被用于实现上述解决方案中的一个或多个。用户设备装置500可以是上述远程单元105和/或UE的一个实施例。此外,用户设备装置500可以包括处理器505、存储器510、输入设备515、输出设备520和收发器525。
在一些实施例中,输入设备515和输出设备520被组合成单个设备,诸如触摸屏。在某些实施例中,用户设备装置500可以不包括任何输入设备515和/或输出设备520。在各种实施例中,用户设备装置500可以包括以下各项中的一个或多个:处理器505、存储器510和收发器525,并且可以不包括输入设备515和/或输出设备520。
如所描绘的,收发器525包括至少一个发射器530和至少一个接收器535。在一些实施例中,收发器525与由一个或多个基站单元121支持的一个或多个小区(或无线覆盖区域)通信。在各种实施例中,收发器525能够在未授权频谱上操作。此外,收发器525可以包括支持一个或多个波束的多个UE面板。附加地,收发器525可以支持至少一个网络接口540和/或应用接口545。(多个)应用接口545可以支持一个或多个API。(多个)网络接口540可以支持3GPP参考点,诸如Uu、N1、PC5等。如本领域普通技术人员所理解的,可以支持其它网络接口540。
在一个实施例中,处理器505可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器505可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或类似的可编程控制器。在一些实施例中,处理器505执行存储在存储器510中的指令以执行本文中描述的方法和例程。处理器505通信地耦合到存储器510、输入设备515、输出设备520和收发器525。在某些实施例中,处理器505可以包括管理应用域和操作系统(“OS”)功能的应用处理器(也称为“主处理器”)以及管理无线电功能的基带处理器(也称为“基带无线电处理器”)。
在各种实施例中,处理器505控制用户设备装置500来实现上述UE行为。例如,收发器525从应用实体向第一网络功能发送要向与该应用实体不具有信任关系的第二网络功能认证该应用实体的请求。
在一个实施例中,收发器525从第一和第二网络功能中的至少一个接收认证结果,并且处理器505在应用实体和第二网络功能之间建立信任关系,使得应用实体能够响应于应用实体被认证而与第二网络功能进行通信。
在一个实施例中,收发器525从第一网络功能接收第二网络功能的网络地址标识符(“NAI”)以及与第一网络功能相关联的客户端凭证断言(“CCA”)令牌。在一个实施例中,处理器505在应用实体和第二网络功能之间建立安全关联,用于向第二网络功能发送管理消息。
在一个实施例中,收发器525使用第二网络功能的NAI从应用实体向第二网络功能发送管理消息。在一个实施例中,收发器525将第一秘密令牌发送到第二网络功能,并且响应于第一秘密令牌被验证而进一步接收第二秘密令牌、第三网络功能的NAI以及与第二网络功能相关联的CCA令牌。
在一个实施例中,处理器505在应用实体处生成第一秘密令牌。在一个实施例中,第一装置包括在应用实体和第三网络功能之间建立安全关联,用于向第三网络功能发送管理消息。
在一个实施例中,收发器525使用第三网络功能的NAI从应用实体向第三网络功能发送管理消息。在一些实施例中,收发器525将第二秘密令牌发送到第三网络功能,并且响应于第二秘密令牌被验证而进一步接收认证结果。在一个实施例中,处理器505确定用于应用实体的应用实体信息。
在一个实施例中,存储器510是计算机可读存储介质。在一些实施例中,存储器510包括易失性计算机存储介质。例如,存储器510可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器510包括非易失性计算机存储介质。例如,存储器510可以包括硬盘驱动器、闪存或任何其它合适的非易失性计算机存储设备。在一些实施例中,存储器510包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器510存储与在应用实体与无线通信网络之间建立信任关系相关的数据。例如,存储器510可以存储如上所述的各种参数、面板/波束配置、资源指配、策略等。在某些实施例中,存储器510还存储程序代码和相关数据,诸如在用户设备装置500上运行的操作系统或其它控制器算法。
在一个实施例中,输入设备515可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备515可以与输出设备520集成,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备515包括触摸屏,使得可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入设备515包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备520被设计成输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备520包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备520可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备520可以包括与用户设备装置500的其余部分分离但通信耦合的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等等。此外,输出设备520可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备520包括用于产生声音的一个或多个扬声器。例如,输出设备520可以产生可听警报或通知(例如,哔哔声或铃声)。在一些实施例中,输出设备520包括用于产生振动、运动或其它触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备520的全部或部分可以与输入设备515集成。例如,输入设备515和输出设备520可以形成触摸屏或类似的触敏显示器。在其它实施例中,输出设备520可以位于输入设备515附近。
收发器525经由一个或多个接入网络与移动通信网络的一个或多个网络功能进行通信。收发器525在处理器505的控制下运行以发射消息、数据和其它信号并且还接收消息、数据和其它信号。例如,处理器505可以在具体时间选择性地激活收发器525(或其部分)以便发送和接收消息。
收发器525包括至少发射器530和至少一个接收器535。一个或多个发射器530可以用于向基站单元121提供UL通信信号,诸如本文中描述的UL传输。类似地,一个或多个接收器535可以用于从基站单元121接收DL通信信号,如本文中所描述的。虽然仅图示了一个发射器530和一个接收器535,但是用户设备装置500可以具有任何合适数量的发射器530和接收器535。此外,(多个)发射器530和(多个)接收器535可以是任何合适类型的发射器和接收器。在一个实施例中,收发器525包括用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对。
在某些实施例中,用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在非授权无线电频谱上与移动通信网络通信的第二发射器/接收器对可以组合成单个收发器单元,例如执行与授权和非授权无线电频谱两者一起使用的功能的单个芯片。在一些实施例中,第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如,某些收发器525、发射器530和接收器535可以实现为接入共享硬件资源和/或软件资源(诸如例如网络接口540)的物理上分离的组件。
在各种实施例中,一个或多个发射器530和/或一个或多个接收器535可以被实现和/或集成到单个硬件组件中,诸如多收发器芯片、片上系统、ASIC或其它类型的硬件组件。在某些实施例中,一个或多个发射器530和/或一个或多个接收器535可以被实现和/或集成到多芯片模块中。在一些实施例中,诸如网络接口540或其它硬件组件/电路的其它组件可以与任意数量的发射器530和/或接收器535集成到单个芯片中。在这样的实施例中,发射器530和接收器535可以在逻辑上被配置为使用一个多个公共控制信号的收发器525,或者被配置为在同一硬件芯片中或多芯片模块中实现的模块化发射器530和接收器535。
图6描绘了根据本公开的实施例的可以用于在应用实体与无线通信网络之间建立信任关系的网络装置600。在一个实施例中,网络装置600可以是RAN节点的一种实施方式,诸如如上所述的基站单元121、RAN节点210、或gNB。此外,基本网络装置600可以包括处理器605、存储器610、输入设备615、输出设备620和收发器625。
在一些实施例中,输入设备615和输出设备620被组合成单个设备,诸如触摸屏。在某些实施例中,网络装置600可以不包括任何输入设备615和/或输出设备620。在各种实施例中,网络装置600可以包括以下各项中的一个或多个:处理器605、存储器610和收发器625,并且可以不包括输入设备615和/或输出设备620。
如所描绘的,收发器625包括至少一个发射器630和至少一个接收器635。这里,收发器625与一个或多个远程单元105通信。此外,收发器625可以支持至少一个网络接口640和/或应用接口645。(多个)应用接口645可以支持一个或多个API。(多个)网络接口640可以支持3GPP参考点,诸如Uu、N1、N2和N3。如本领域普通技术人员所理解的,可以支持其它网络接口640。
在一个实施例中,处理器605可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器605可以是微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似的可编程控制器。在一些实施例中,处理器605执行存储在存储器610中的指令以执行本文中描述的方法和例程。处理器605通信地耦合到存储器610、输入设备615、输出设备620和收发器625。在某些实施例中,处理器805可以包括管理应用域和操作系统(“OS”)功能的应用处理器(也称为“主处理器”)和管理无线电功能的基带处理器(也称为“基带无线电处理器”)。
在各种实施例中,网络装置600是如上所述的中间件、MnS或CP。在这样的实施例中,处理器605在第一网络功能处生成用于第一网络功能的客户端凭证断言(“CCA”)令牌。
在一个实施例中,收发器625从第一网络功能向第二网络功能发送用于认证应用实体的认证请求。在一些实施例中,收发器625在第一网络功能处从第二网络功能接收对认证请求的响应,其包括用于第二网络功能的网络地址标识符(“NAI”)。
在一个实施例中,收发器625从第一网络功能向应用实体发送对认证请求的响应,其包括用于第二网络功能的NAI和用于在应用实体与第二网络功能之间建立安全关联的第一网络功能的CCA令牌。
在一个实施例中,处理器605响应于向与第一网络功能具有信任关系并且与应用实体不具有信任关系的第二网络功能认证应用实体的请求,确定第一网络功能处的第一秘密令牌。
在一个实施例中,收发器625基于与应用实体相关联的服务描述来发送关于与应用实体相关联的所请求的切片的信息。
在一个实施例中,收发器625在第一网络功能处从与第一网络功能不具有信任关系的应用实体接收认证请求。在一些实施例中,处理器605在第一网络功能处验证CCA令牌与第二网络功能相关联。
在各种实施例中,收发器625响应于验证CCA令牌而从第一网络功能向应用实体发送认证结果。在一个实施例中,收发器625在第一网络功能处接收认证请求中的第一秘密令牌,并且响应于所接收的第一秘密令牌与从第二网络功能先前接收到的第一秘密令牌匹配而认证应用实体。
在各种实施例中,收发器625在第一网络功能处接收认证请求中的用于应用实体的应用标识符,并且响应于接收到的应用标识符与从第二网络功能先前接收到的应用标识符匹配而认证应用实体。
在一个实施例中,响应于对应用实体进行认证,收发器625将应用标识符和应用实体标识符从第一网络功能发送到第三网络功能以用于向第三网络功能认证应用实体。
在一个实施例中,处理器605在第一网络功能处生成第二秘密令牌并将第二秘密令牌发送到第三网络功能以用于利用第三网络功能来认证应用实体。
在一个实施例中,收发器625将第二秘密令牌从第一网络功能发送到应用实体以用于利用第三网络功能认证应用实体。
在一个实施例中,存储器610是计算机可读存储介质。在一些实施例中,存储器610包括易失性计算机存储介质。例如,存储器610可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器610包括非易失性计算机存储介质。例如,存储器610可以包括硬盘驱动器、闪存或任何其它合适的非易失性计算机存储设备。在一些实施例中,存储器610包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器610存储与在应用实体与无线通信网络之间建立信任关系相关的数据。例如,存储器610可以存储参数、配置、资源指配、策略等,如上所述。在某些实施例中,存储器610还存储程序代码和相关数据,诸如在网络装置600上运行的操作系统或其它控制器算法。
在一个实施例中,输入设备615可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备615可以与输出设备620集成,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备615包括触摸屏,使得可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入设备615包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备620被设计成输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备620包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备620可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备620可以包括与网络装置600的其余部分分离但通信耦合的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等。此外,输出设备620可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备620包括用于产生声音的一个或多个扬声器。例如,输出设备620可以产生可听警报或通知(例如,哔哔声或铃声)。在一些实施例中,输出设备620包括用于产生振动、运动或其它触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备620的全部或部分可以与输入设备615集成。例如,输入设备615和输出设备620可以形成触摸屏或类似的触敏显示器。在其它实施例中,输出设备620可以位于输入设备615附近。
收发器625包括至少发射器630和至少一个接收器635。一个或多个发射器630可以用于与UE通信,如本文中所描述的。类似地,一个或多个接收器635可以用于与NPN、PLMN和/或RAN中的网络功能进行通信,如本文中所描述的。虽然仅图示了一个发射器630和一个接收器635,但是网络装置600可以具有任何合适数量的发射器630和接收器635。此外,(多个)发射器630和(多个)接收器635可以是任何合适类型的发射器和接收器。
图7是用于在应用实体和无线通信网络之间建立信任关系的方法700的流程图。方法700可以由位于如本文所描述的UE上的应用实体执行,例如,远程单元105、UE 205和/或用户设备装置500和/或诸如网络装置600的网络设备。在一些实施例中,方法700可以由执行程序代码的处理器来执行,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
在一个实施例中,方法700包括从应用实体向第一网络功能发送705请求以向与应用实体不具有信任关系的第二网络功能认证应用实体。
在一些实施例中,方法700包括从第一和第二网络功能中的至少一个接收710认证结果。在各种实施例中,方法700包括在应用实体和第二网络功能之间建立715信任关系,使得应用实体能够响应于应用实体被认证而与第二网络功能进行通信。方法700结束。
图8是用于在应用实体和无线通信网络之间建立信任关系的方法800的流程图。方法800可以由位于诸如网络装置600的网络设备上的网络功能来执行。在一些实施例中,方法800可以由执行程序代码的处理器来执行,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
在一个实施例中,方法800包括在第一网络功能处生成805用于第一网络功能的客户端凭证断言(“CCA”)令牌。在各种实施例中,该方法800包括从第一网络功能向第二网络功能发送810用于认证应用实体的认证请求。
在一个实施例中,方法800包括在第一网络功能处从第二网络功能接收815对认证请求的响应,该响应包括用于第二网络功能的网络地址标识符(“NAI”)。在某些实施例中,方法800包括从第一网络功能向应用实体发送820对认证请求的响应,该响应包括用于第二网络功能的NAI和第一网络功能的CCA令牌,用于在应用实体与第二网络功能之间建立安全关联。方法800结束。
图9是用于在应用实体和无线通信网络之间建立信任关系的方法900的流程图。方法900可以由位于诸如网络装置600的网络设备上的网络功能来执行。在一些实施例中,该方法900可以由执行程序代码的处理器来执行,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
在一个实施例中,方法900包括在第一网络功能处接收来自与第一网络功能不具有信任关系的应用实体的认证请求。在进一步的实施例中,方法900包括在第一网络功能处验证CCA令牌与第二网络功能相关联。在某些实施例中,该方法900包括响应于验证CCA令牌而从第一网络功能向应用实体发送认证结果,该认证结果包括用于在应用实体与第三网络功能之间建立安全关联的第一网络功能的CCA令牌。方法900结束。
在一个实施例中,公开了用于在应用实体和无线通信网络之间建立信任关系的第一方法。第一方法可以由诸如用户设备装置500的UE设备和/或诸如网络装置600的网络设备上的应用实体来执行。在一个实施例中,第一方法包括从应用实体向第一网络功能发送向与应用实体不具有信任关系的第二网络功能认证应用实体的请求。第一网络功能可以与应用实体和第二网络功能具有信任关系。该请求可以包括用于认证应用实体的至少一个可验证的参数。
在某些实施例中,第一方法包括从第一和第二网络功能中的至少一个接收认证结果,并在应用实体和第二网络功能之间建立信任关系使得应用实体能够响应于应用实体被认证而与第二网络功能通信。
在一个实施例中,第一方法包括从第一网络功能接收第二网络功能的网络地址标识符(“NAT”)以及与第一网络功能相关联的客户端凭证断言(“CCA”)令牌。
在一个实施例中,第一方法包括在应用实体和第二网络功能之间建立安全关联,用于向第二网络功能发送管理消息。
在一些实施例中,第一方法包括使用第二网络功能的NAI从应用实体向第二网络功能发送管理消息,该第二管理消息包括应用实体标识符、应用标识符,以及第一网络功能的CCA令牌,以及响应于与第一网络功能相关联的CCA令牌被验证而从第二网络功能接收第二秘密令牌、第三网络功能的NAI以及与第二网络功能相关联的CCA。
在一个实施例中,第一方法包括将第一秘密令牌发送到第二网络功能并且响应于第一秘密令牌被验证而进一步接收第二秘密令牌、第三网络功能的NAI和与第二网络功能相关联的CCA令牌。
在一个实施例中,第一方法包括在应用实体处生成第一秘密令牌。在一个实施例中,第一方法包括在应用实体和第三网络功能之间建立安全关联,以用于向第三网络功能发送管理消息。
在一个实施例中,第一方法包括使用第三网络功能的NAI从应用实体向第三网络功能发送管理消息,该第三管理消息包括应用实体标识符、应用标识符,以及第二网络功能的CCA令牌并且响应于与第二网络功能相关联的CCA令牌在第三网络功能处被验证而从第三网络功能接收认证应用实体的结果。
在一个实施例中,第一方法包括将第二秘密令牌发送到第三网络功能并且响应于第二秘密令牌被验证而进一步接收认证结果。在某些实施例中,第一方法包括确定用于应用实体的应用实体信息,该应用实体信息包括用于利用移动无线通信网络认证应用实体的应用实体标识符、应用标识符和管理信息中的至少一个。
在一个实施例中,管理信息包括与应用实体相关联的服务描述,该服务描述在第二网络功能处被译成切片蓝图以导出应用标识符。
在一个实施例中,公开了用于在应用实体和无线通信网络之间建立信任关系的第一装置。第一装置可以被体现为诸如用户设备装置500的UE设备和/或诸如网络装置600的网络设备的应用实体。在一个实施例中,第一装置包括收发器,该收发器从应用实体向第一网络功能发送向与应用实体不具有信任关系的第二网络功能认证应用实体的请求。第一网络功能可以与应用实体和第二网络功能具有信任关系。该请求可以包括用于认证应用实体的至少一个可验证的参数。
在某些实施例中,第一装置包括收发器,该收发器从第一和第二网络功能中的至少一个接收认证结果;以及处理器,该处理器在应用实体与第二网络功能之间建立信任关系,使得应用实体能够响应于应用实体被认证而与第二网络功能进行通信。
在一个实施例中,第一装置包括收发器,该收发器从第一网络功能接收第二网络功能的网络地址标识符(“NAI”)以及与第一网络功能相关联的客户端凭证断言(“CCA”)。
在一个实施例中,第一装置包括处理器,该处理器在应用实体和第二网络功能之间建立安全关联,用于向第二网络功能发送管理消息。
在一些实施例中,第一装置包括收发器,该收发器使用第二网络功能的NAI从应用实体向第二网络功能发送管理消息,该第二管理消息包括应用实体标识符、应用标识符、以及第一网络功能的CCA令牌,并且响应于与第一网络功能相关联的CCA令牌被验证,从第二网络功能接收第二秘密令牌、第三网络功能的NAI以及与第二网络功能相关联的CCA令牌。
在一个实施例中,第一装置包括收发器,该收发器将第一秘密令牌发送到第二网络功能并且响应于第一秘密令牌被验证而进一步接收第二秘密令牌、第三网络功能的NAI以及与第二网络功能相关联的CCA令牌。
在一个实施例中,第一装置包括处理器,该处理器在应用实体处生成第一秘密令牌。在一个实施例中,第一装置包括在应用实体和第三网络功能之间建立安全关联,用于向第三网络功能发送管理消息。
在一个实施例中,第一装置包括收发器,该收发器使用第三网络功能的NAI从应用实体向第三网络功能发送管理消息,该第三管理消息包括应用实体标识符、应用标识符、以及第二网络功能的CCA令牌,并且响应于与第二网络功能相关联的CCA令牌正在第三网络功能处被验证而从第三网络功能接收认证应用实体的结果。
在一个实施例中,第一装置包括收发器,该收发器将第二秘密令牌发送到第三网络功能并且响应于第二秘密令牌被验证而进一步接收认证结果。在某些实施例中,第一装置包括处理器,该处理器确定用于应用实体的应用实体信息,该应用实体信息包括应用实体标识符、应用标识符以及管理信息中的至少一个,用于利用移动无线通信网络认证应用实体。
在一个实施例中,管理信息包括与应用实体相关联的服务描述,该服务描述在第二网络功能处被译成切片蓝图以导出应用标识符。
在一个实施例中,公开了用于在应用实体和无线通信网络之间建立信任关系的第二方法。第二方法可以由诸如网络装置600的网络设备的网络功能(例如,中间件)来执行。在一个实施例中,第二方法包括在第一网络功能处生成用于第一网络功能的客户端凭证断言(“CCA”)令牌。
在进一步的实施例中,第二方法包括从第一网络功能向第二网络功能发送用于认证应用实体的认证请求,该认证请求包括第一网络功能的CCA令牌,应用实体具有与第一网络功能而非第二网络功能的信任关系。
在一个实施例中,第二方法包括在第一网络功能处从第二网络功能接收对认证请求的响应,该响应包括用于第二网络功能的网络地址标识符(“NAI”)。
在一个实施例中,第二方法包括从第一网络功能向应用实体发送对认证请求的响应,该响应包括用于第二网络功能的NAI和用于在应用实体和第二网络功能之间建立安全关联的第一网络功能的CCA令牌。
在一个实施例中,第二方法包括响应于向与第一网络功能具有信任关系并且与应用实体不具有信任关系的第二网络功能认证应用实体的请求,在第一网络功能处确定第一秘密令牌。
在一个实施例中,从应用实体接收第一秘密令牌,该应用实体创建第一秘密令牌并将其发送到第一网络功能。在一些实施例中,第一网络功能创建第一秘密令牌并将其发送到应用实体。在一些实施例中,认证请求进一步包括第一秘密令牌、用于第一网络功能的标识符以及用于应用实体的应用标识符,用于验证认证请求并认证应用实体。
在一个实施例中,第二方法包括基于与应用实体相关联的服务描述来发送关于与应用实体相关联的所请求的切片的信息。
在一个实施例中,公开了一种用于在应用实体和无线通信网络之间建立信任关系的第二装置。第二装置可以被体现为诸如网络装置600的网络设备的网络功能,例如,中间件。在一个实施例中,第二装置包括处理器,该处理器在第一网络功能处生成用于第一网络功能的客户端凭证断言(“CCA”)令牌。
在进一步的实施例中,第二装置包括收发器,该收发器从第一网络功能向第二网络功能发送用于认证应用实体的认证请求,该认证请求包括第一网络功能的CCA令牌,该应用实体与第一网络功能而不是第二网络功能具有信任关系。
在一个实施例中,第二装置包括收发器,该收发器在第一网络功能处从第二网络功能接收对认证请求的响应,该响应包括用于第二网络功能的网络地址标识符(“NAI”)。
在一个实施例中,第二装置包括收发器,该收发器从第一网络功能向应用实体发送对认证请求的响应,该响应包括用于第二网络功能的NAI和第一网络功能的CCA令牌,用于在应用实体和第二网络功能之间建立安全关联。
在一个实施例中,第二装置包括处理器,该处理器响应于向与第一网络功能具有信任关系并且与应用实体不具有信任关系的第二网络功能认证应用实体的请求,在第一网络功能处确定第一秘密令牌。
在一个实施例中,从应用实体接收第一秘密令牌,该应用实体创建第一秘密令牌并将其发送到第一网络功能。在一些实施例中,第一网络功能创建第一秘密令牌并将其发送到应用实体。在一些实施例中,认证请求进一步包括第一秘密令牌、用于第一网络功能的标识符以及用于应用实体的应用标识符,用于验证认证请求并认证应用实体。
在一个实施例中,第二装置包括收发器,该收发器基于与应用实体相关联的服务描述来发送关于与应用实体相关联的所请求的切片的信息。
在一个实施例中,公开了用于在应用实体和无线通信网络之间建立信任关系的第三方法。第三方法可以由诸如网络装置600的网络设备的网络功能来执行。在一个实施例中,第三方法包括在第一网络功能处接收来自与第一网络功能不具有信任关系的应用实体的认证请求,该认证请求包括用于与第一网络功能和应用实体具有信任关系的第二网络功能的客户端凭证断言(“CCA”)令牌。
在一个实施例中,第三方法包括在第一网络功能处验证CCA令牌与第二网络功能相关联。在一些实施例中,第三方法包括响应于验证CCA令牌而从第一网络功能向应用实体发送认证结果,该认证结果包括用于在应用实体与第三网络功能之间建立安全关联的第一网络功能的CCA令牌。
在一个实施例中,第三方法包括在第一网络功能处接收认证请求中的第一秘密令牌,并且响应于接收到的第一秘密令牌匹配从第二网络功能先前接收到的第一秘密令牌而认证应用实体。
在一些实施例中,第三方法包括在第一网络功能处接收认证请求中的用于应用实体的应用标识符,并且响应于所接收的应用标识符匹配从第二网络功能先前接收到的应用标识符而认证应用实体。
在一个实施例中,第三方法包括响应于对应用实体进行认证,从第一网络功能将应用标识符和应用实体标识符发送到第三网络功能以用于利用第三网络功能来认证应用实体。
在一个实施例中,第三方法包括在第一网络功能处生成第二秘密令牌并将第二秘密令牌发送到第三网络功能以用于向第三网络认证应用实体。
在一个实施例中,第三方法包括从第一网络功能向应用实体发送第二秘密令牌以用于利用第三网络功能来认证应用实体。在一个实施例中,认证结果进一步包括用于与应用实体不具有信任关系的第三网络功能的网络地址标识符(“NAI”)。
在一个实施例中,公开了用于在应用实体和无线通信网络之间建立信任关系的第三装置。第三装置可以被体现为诸如网络装置600的网络设备的网络功能。在一个实施例中,第三装置包括收发器,该收发器在第一网络功能处接收来自与第一网络功能不具有信任关系的应用实体的认证请求,该认证请求包括用于与第一网络功能和应用实体具有信任关系的第二网络功能的客户端凭证断言(“CCA”)令牌。
在一个实施例中,第三装置包括处理器,该处理器在第一网络功能处验证CCA令牌与第二网络功能相关联。在一些实施例中,第三装置包括收发器,该收发器响应于验证CCA令牌而从第一网络功能向应用实体发送认证结果,该认证结果包括用于在应用实体和第三网络功能之间建立安全关联的第一网络功能的CCA令牌。
在一个实施例中,第三装置包括收发器,该收发器在第一网络功能处接收认证请求中的第一秘密令牌,响应于接收到的第一秘密令牌匹配从第二网络功能先前接收到的第一秘密令牌而对该应用实体认证。
在一些实施例中,第三装置包括收发器,该收发器在第一网络功能处接收认证请求中的用于应用实体的应用标识符,响应于所接收到的应用标识符匹配从第二网络功能先前接收到的应用标识符而认证该应用实体。
在一个实施例中,第三装置包括响应于对应用实体进行认证而从第一网络功能将应用标识符和应用实体标识符发送到第三网络功能,以用于利用第三网络功能认证应用实体。
在一个实施例中,第三装置包括处理器,该处理器在第一网络功能处生成第一网络功能处的第二秘密令牌,该第二秘密令牌被发送到第三网络功能,以用于利用第三网络功能来认证应用实体。
在一个实施例中,第三装置包括收发器,该收发器从第一网络功能将第二秘密令牌发送到应用实体以用于利用第三网络功能认证应用实体。在一个实施例中,认证结果进一步包括用于与应用实体不具有信任关系的第三网络功能的网络地址标识符(“NAI”)。
实施例可以以其它特定形式实践。所描述的实施例在所有方面都被认为仅是说明性的而不是限制性的。因此,本发明的范围由所附权利要求而不是由前述描述指示。在权利要求的等效含义和范围内的所有变化都应被涵盖在其范围内。
Claims (15)
1.一种装置,包括:
收发器,所述收发器:
从应用实体向第一网络功能发送向与所述应用实体不具有信任关系的第二网络功能认证所述应用实体的请求,所述第一网络功能与所述应用实体和所述第二网络功能具有信任关系,所述请求包括用于认证所述应用实体的至少一个可验证的参数;并且
从所述第一网络功能和所述第二网络功能中的至少一个接收认证的结果;以及
处理器,所述处理器在所述应用实体与所述第二网络功能之间建立信任关系,使得所述应用实体能够响应于所述应用实体被认证而与所述第二网络功能进行通信。
2.根据权利要求1所述的装置,其中,所述收发器被配置为从所述第一网络功能接收所述第二网络功能的网络地址标识符(“NAI”)以及与所述第一网络功能相关联的客户端凭证断言(“CCA”)。
3.根据权利要求2所述的装置,其中,所述收发器被配置为:
使用所述第二网络功能的NAI从所述应用实体向所述第二网络功能发送所述管理消息,所述第二管理消息包括应用实体标识符、应用标识符、以及所述第一网络功能的CCA令牌,并且
响应于与所述第一网络功能相关联的CCA令牌被验证,从所述第二网络功能接收第二秘密令牌、第三网络功能的NAI以及与所述第二网络功能相关联的CCA令牌。
4.根据权利要求3所述的装置,其中,所述收发器被配置为将第一秘密令牌发送到所述第二网络功能并且响应于所述第一秘密令牌被验证而进一步接收所述第二秘密令牌、所述第三网络功能的NAI以及与所述第二网络功能相关联的CCA令牌。
5.根据权利要求2所述的装置,其中,所述收发器被配置为:
使用所述第三网络功能的NAI从所述应用实体向第三网络功能发送管理消息,所述第三管理消息包括所述应用实体标识符、所述应用标识符、以及所述第二网络功能的CCA令牌,并且
响应于与所述第二网络功能相关联的CCA令牌在所述第三网络功能处被验证而从所述第三网络功能接收认证所述应用实体的结果。
6.根据权利要求5所述的装置,其中,所述收发器被配置为将所述第二秘密令牌发送到所述第三网络功能并且响应于所述第二秘密令牌被验证而进一步接收所述认证结果。
7.根据任一前述权利要求所述的装置,其中,所述处理器被配置为确定用于所述应用实体的应用实体信息,所述应用实体信息包括应用实体标识符、应用标识符以及管理信息中的至少一个,用于利用移动无线通信网络认证所述应用实体。
8.根据任一前述权利要求所述的装置,其中,所述管理信息包括与所述应用实体相关联的服务描述,所述服务描述在所述第二网络功能处被译成切片蓝图以导出所述应用标识符。
9.一种装置,包括:
处理器,所述处理器在第一网络功能处生成用于所述第一网络功能的客户端凭证断言(“CCA”)令牌;以及
收发器,所述收发器:
从所述第一网络功能向第二网络功能发送用于认证应用实体的认证请求,所述认证请求包括所述第一网络功能的CCA令牌,所述应用实体与所述第一网络功能而不是所述第二网络功能具有信任关系;
在所述第一网络功能处从所述第二网络功能接收对所述认证请求的响应,所述响应包括用于所述第二网络功能的网络地址标识符(“NAI”);并且
从所述第一网络功能向所述应用实体发送对所述认证请求的响应,所述响应包括用于所述第二网络功能的NAI和所述第一网络功能的CCA令牌,用于在所述应用实体和所述第二网络功能之间建立安全关联。
10.根据权利要求9所述的装置,其中,所述处理器被配置为响应于向与所述第一网络功能具有信任关系并且与所述应用实体不具有信任关系的所述第二网络功能认证所述应用实体的请求,在所述第一网络功能处确定第一秘密令牌。
11.根据权利要求10所述的装置,其中,所述认证请求进一步包括所述第一秘密令牌、用于所述第一网络功能的标识符以及用于所述应用实体的应用标识符,用于验证所述认证请求并认证所述应用实体。
12.一种装置,包括:
收发器,所述收发器在第一网络功能处接收来自与所述第一网络功能不具有信任关系的应用实体的认证请求,所述认证请求包括与所述第一网络功能和所述应用实体具有信任关系的第二网络功能的客户端凭证断言(“CCA”)令牌;以及
处理器,所述处理器在所述第一网络功能处验证所述CCA令牌与所述第二网络功能相关联,
其中,所述收发器响应于验证所述CCA令牌而从所述第一网络功能向所述应用实体发送认证结果,所述认证结果包括用于在所述应用实体和所述第三网络功能之间建立安全关联的所述第一网络功能的CCA令牌。
13.根据权利要求12所述的装置,其中,所述收发器被配置为在所述第一网络功能处接收所述认证请求中的第一秘密令牌,并且响应于所接收到的第一秘密令牌匹配从所述第二网络功能先前接收到的第一秘密令牌而认证所述应用实体。
14.根据权利要求13所述的装置,其中,所述收发器被配置为:
在所述第一网络功能处接收所述认证请求中的用于所述应用实体的应用标识符,响应于所接收到的应用标识符匹配从所述第二网络功能先前接收到的应用标识符而认证所述应用实体;并且
响应于对所述应用实体进行认证,从所述第一网络功能将所述应用标识符和应用实体标识符发送到所述第三网络功能,以用于利用所述第三网络功能认证所述应用实体。
15.根据权利要求12至14中的任意一项所述的装置,其中:
所述处理器被配置为在所述第一网络功能处生成所述第一网络功能处的第二秘密令牌,所述第二秘密令牌被发送到所述第三网络功能,以用于利用所述第三网络功能来认证所述应用实体;并且
所述收发器被配置为从所述第一网络功能将所述第二秘密令牌发送到所述应用实体以用于利用所述第三网络功能认证所述应用实体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GR20210100453 | 2021-07-02 | ||
GR20210100453 | 2021-07-02 | ||
PCT/EP2021/073414 WO2023274567A1 (en) | 2021-07-02 | 2021-08-24 | Establishing a trust relationship between an application entity and a wireless communication network |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117917042A true CN117917042A (zh) | 2024-04-19 |
Family
ID=77627136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180099866.0A Pending CN117917042A (zh) | 2021-07-02 | 2021-08-24 | 在应用实体与无线通信网络之间建立信任关系 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN117917042A (zh) |
WO (1) | WO2023274567A1 (zh) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10963553B2 (en) * | 2018-02-15 | 2021-03-30 | Nokia Technologies Oy | Security management for service authorization in communication systems with service-based architecture |
CN111107047B (zh) * | 2018-10-29 | 2021-03-23 | 华为技术有限公司 | 服务授权方法及通信装置 |
US10785652B1 (en) * | 2019-09-11 | 2020-09-22 | Cisco Technology, Inc. | Secure remote access to a 5G private network through a private network slice |
-
2021
- 2021-08-24 WO PCT/EP2021/073414 patent/WO2023274567A1/en unknown
- 2021-08-24 CN CN202180099866.0A patent/CN117917042A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2023274567A1 (en) | 2023-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112534851A (zh) | 委托数据连接 | |
CN114731346A (zh) | 使用用户标识符访问移动通信网络 | |
US20230231851A1 (en) | Authenticating a device not having a subscription in a network | |
US20230388788A1 (en) | Key-based authentication for a mobile edge computing network | |
US20230269589A1 (en) | Slice-specific security requirement information | |
KR20220164762A (ko) | Eap 절차에서의 통보 | |
US20230136693A1 (en) | Enabling roaming with authentication and key management for applications | |
WO2023198297A1 (en) | Registering with a mobile network after a first authentication with a wlan access network | |
US20230262457A1 (en) | Authentication using slice capability indication | |
CN117296401A (zh) | 建立到移动网络的附加注册 | |
CN115702579A (zh) | 具有安全上下文的网络功能重新分配 | |
EP4275376A1 (en) | Selecting a data connection based on digital certificate information | |
CN116171598A (zh) | 控制平面和用户平面受信任的非3gpp网关功能 | |
CN115943652A (zh) | 使用隐藏标识的移动网络认证 | |
CN117917042A (zh) | 在应用实体与无线通信网络之间建立信任关系 | |
CN115769618A (zh) | 使用假名用于通过非3gpp接入的接入认证 | |
US20230284030A1 (en) | Uas authentication and security establishment | |
US20230292114A1 (en) | Securing communications between user equipment devices | |
US20240098494A1 (en) | Revocation of uas-related authorization and security information | |
CN118020330A (zh) | 使用应用的认证及密钥管理实现漫游 | |
WO2024017486A1 (en) | Tunnel establishment for non-seamless wlan offloading | |
EP4173332A1 (en) | Security context for target amf | |
CN116724612A (zh) | 接收用于接入本地服务器的订阅 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |