DE112021000866T5 - Benutzergerät, authentifizierung-autorisierung-abrechnung-server eines nicht-öffentlichen netzes, authentifizierungsserverfunktionsentität - Google Patents

Benutzergerät, authentifizierung-autorisierung-abrechnung-server eines nicht-öffentlichen netzes, authentifizierungsserverfunktionsentität Download PDF

Info

Publication number
DE112021000866T5
DE112021000866T5 DE112021000866.8T DE112021000866T DE112021000866T5 DE 112021000866 T5 DE112021000866 T5 DE 112021000866T5 DE 112021000866 T DE112021000866 T DE 112021000866T DE 112021000866 T5 DE112021000866 T5 DE 112021000866T5
Authority
DE
Germany
Prior art keywords
authentication
server
authorization
private network
user device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112021000866.8T
Other languages
English (en)
Inventor
Vivek Sharma
Hideji Wakabayashi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Group Corp
Original Assignee
Sony Group Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Group Corp filed Critical Sony Group Corp
Publication of DE112021000866T5 publication Critical patent/DE112021000866T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Ein Benutzergerät für ein Mobiltelekommunikationssystem, das eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum: Kommunizieren mit einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes und Initiieren einer Registrierungsprozedur mit dem Mobiltelekommunikationssystem; und Bereitstellen einer Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität im Mobiltelekommunikationssystem.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Offenbarung betrifft allgemein Benutzergeräte, Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes und Authentifizierungsserverfunktionsentitäten für ein Mobiltelekommunikationssystem.
  • TECHNISCHER HINTERGRUND
  • Mehrere Generationen von Mobiltelekommunikationssystemen sind bekannt, z. B. die Drittgeneration („3G“), die auf den Spezifikationen von International Mobile Telecommunications-2000 (IMT-2000) basiert, die Viertgeneration („4G“), die Fähigkeiten bereitstellt, wie in dem International Mobile Telecommunications-Advanced-Standard (IMT-Advanced-Standard) definiert, und die aktuelle Fünftgeneration („5G“), die in Entwicklung ist und die möglicherweise im Jahr 2020 in die Praxis umgesetzt werden könnte.
  • Ein Kandidat zum Bereitstellen der Anforderungen von 5G ist das sogenannte Long Term Evolution („LTE“), das eine Drahtloskommunikationstechnologie ist, die Hochgeschwindigkeits-Datenkommunikationen für Mobiltelefone und Datenendgeräte ermöglicht und die schon für 4G-Mobiltelekommunikationssysteme verwendet wird. Andere Kandidaten zum Erfüllen der 5G-Anforderungen werden als New-Radio(NR)-Zugangstechnologiesysteme bezeichnet. Ein NR kann auf LTE-Technologie basieren, genauso wie einige Aspekte von LTE auf vorherigen Generationen von Mobilkommunikationstechnologie basierten.
  • LTE basiert auf dem GSM/EDGE („Global System for Mobile Communications“/„Enhanced Data rates for GSM Evolution“ - „globales System für Mobilkommunikationen“/„erweiterte Datenraten für GSM-Evolution“, auch EGPRS genannt) der Zweitgeneration(„2G“)- und UMTS/HSPA („Universal Mobile Telecommunications System“/„High Speed Packet Access“ - „universales Mobiltelekommunikationssystem“/„Hochgeschwindigkeitspaketzugang“) der Drittgeneration(„3G“)-Netzwerktechnologie.
  • LTE ist unter der Kontrolle von 3GPP („3rd Generation Partnership Project“) standardisiert und es gibt einen Nachfolger, LTE-A (LTE Advanced), der höhere Datenraten als das Basis-LTE ermöglicht und der auch unter der Kontrolle von 3GPP standardisiert ist.
  • Für die Zukunft plant 3GPP eine weitere Entwicklung von LTE-A, sodass es in der Lage sein wird, die technischen Anforderungen von 5G zu erfüllen.
  • Da das 5G-System auf LTE-A bzw. NR basieren kann, wird angenommen, dass spezifische Anforderungen für die 5G-Technologien im Grunde mit den Merkmalen und Verfahren umgegangen werden, die schon in der LTE-A- und NR-Standard-Dokumentation definiert sind.
  • Darüber hinaus spezifizierte 3GPP eine Unterstützung für nicht-öffentliche Netze, zum Beispiel in 3GPP TS 22.261 (V 17.1.0), und untersuchte Verwaltungsaspekte nicht-öffentlicher Netze z. B. in 3GPP TS 28.807 (V 0.3.0). Nicht-öffentliche Netze sind für die alleinige Verwendung einer privaten Entität wie etwa eines Unternehmens vorgesehen und können in einer Vielfalt von Konfigurationen, die sowohl virtuelle als auch physische Elemente nutzen, eingesetzt werden. Insbesondere können sie als vollständig unabhängige Netze eingesetzt werden, sie können durch ein öffentliches Landmobilnetz („PLMN“) gehostet werden oder sie können als ein Slice eines PLMN angeboten werden.
  • In 3GPP TS 33.501 (V 16.1.0) sind Sicherheitsprozeduren zur Authentifizierung und Autorisierung zwischen einem Benutzergerät und dem Mobiltelekommunikationssystem, und insbesondere Authentifizierungsprozeduren zwischen einem Benutzergerät und einem nicht-öffentlichen Netz, spezifiziert.
  • Obwohl es Techniken für eine Authentifizierung eines Benutzergeräts in nicht-öffentlichen Netzen gibt, ist es allgemein wünschenswert, die bestehenden Techniken zu verbessern.
  • Figurenliste
  • Gemäß einem ersten Aspekt der Offenbarung ist ein Benutzergerät für ein Mobiltelekommunikationssystem bereitgestellt, das eine Schaltungsanordnung umfasst, die ausgelegt ist zum:
    • Kommunizieren mit einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes und Initiieren einer Registrierungsprozedur mit dem Mobiltelekommunikationssystem; und
    • Bereitstellen einer Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität im Mobiltelekommunikationssystem.
  • Gemäß einem zweiten Aspekt der Offenbarung ist ein Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes bereitgestellt, der eine Schaltungsanordnung umfasst, die ausgelegt ist zum:
    • Kommunizieren mit einem assoziierten Benutzergerät für ein Mobiltelekommunikationssystem; und
    • Empfangen von Informationen von dem assoziierten Benutzergerät, wobei das assoziierte Benutzergerät die Datenpakete vom Mobiltelekommunikationssystem über eine Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität im Mobiltelekommunikationssystem, die durch das assoziierte Benutzergerät bereitgestellt wird, empfing.
  • Gemäß einem dritten Aspekt der Offenbarung ist ein Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes bereitgestellt, der eine Schaltungsanordnung umfasst, die ausgelegt ist zum:
    • Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf einer vorher vereinbarten Authentifizierung-Autorisierung-Abrechnung-Server-ID eines nicht-öffentlichen Netzes des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes; und
    • Transferieren des erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssels über eine drahtgebundene Schnittstelle zu einer Authentifizierungsserverfunktionsentität.
  • Gemäß einem vierten Aspekt der Offenbarung ist ein Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes bereitgestellt, der eine Schaltungsanordnung umfasst, die ausgelegt ist zum:
    • Empfangen eines öffentlichen Schlüssels von einer Authentifizierungsserverfunktionsentität; und
    • Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf dem empfangenen öffentlichen Schlüssel und Transferieren des erweiterten Master-Sitzungsschlüssels über eine drahtgebundene Schnittstelle zu der Authentifizierungsserverfunktionsentität.
  • Gemäß einem fünften Aspekt der Offenbarung ist ein Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes bereitgestellt, der eine Schaltungsanordnung umfasst, die ausgelegt ist zum:
    • Erhalten eines vorbestimmten Geheimschlüssels, der in einem sicheren Speicher in dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes im Voraus gespeichert wird;
    • Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf dem vorbestimmten Geheimschlüssel; und
    • Transferieren des erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssels über eine drahtgebundene Schnittstelle zu einer Authentifizierungsserverfunktionsentität.
  • Gemäß einem sechsten Aspekt der Offenbarung ist eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem bereitgestellt, die eine Schaltungsanordnung umfasst, die ausgelegt ist zum:
    • Registrieren eines Benutzergeräts, das mit einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes assoziiert ist, bei dem Mobiltelekommunikationssystem; und
    • Empfangen einer Signalisierung vom Benutzergerät, die angibt, dass das Benutzergerät mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist, wobei eine Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und der Authentifizierungsserverfunktionsentität bereitgestellt wird, wenn das Benutzergerät als Reaktion auf die Signalisierung als das Benutzergerät authentifiziert und autorisiert wird, das mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist.
  • Gemäß einem siebten Aspekt der Offenbarung ist eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem bereitgestellt, die eine Schaltungsanordnung umfasst, die ausgelegt ist zum:
    • Empfangen eines erweiterten Master-Sitzungsschlüssels, der durch einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über eine drahtgebundene Schnittstelle; und
    • Entschlüsseln des verschlüsselten erweiterten Master-Sitzungsschlüssels basierend auf einer vorher vereinbarten Authentifizierung-Autorisierung-Abrechnung-Server-ID eines nicht-öffentlichen Netzes des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes.
  • Gemäß einem achten Aspekt der Offenbarung ist eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem bereitgestellt, die eine Schaltungsanordnung umfasst, die ausgelegt ist zum:
    • Erzeugen eines öffentlichen Schlüssels und eines privaten Schlüssels; und
    • Übertragen des öffentlichen Schlüssels über eine drahtgebundene Schnittstelle zu einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, wobei die Authentifizierungsserverfunktionsentität den privaten Schlüssel hält.
  • Gemäß einem neunten Aspekt der Offenbarung ist eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem bereitgestellt, die eine Schaltungsanordnung umfasst, die ausgelegt ist zum:
    • Erhalten eines vorbestimmten Geheimschlüssels, der in einem sicheren Speicher in der Authentifizierungsserverfunktionsentität im Voraus gespeichert wird;
    • Empfangen eines erweiterten Master-Sitzungsschlüssels, der durch einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über eine drahtgebundene Schnittstelle; und
    • Entschlüsseln des verschlüsselten erweiterten Master-Sitzungsschlüssels basierend auf dem vorbestimmten Geheimschlüssel.
  • Weitere Aspekte sind in den abhängigen Ansprüchen, der folgenden Beschreibung und den Zeichnungen dargelegt.
  • Figurenliste
  • Ausführungsformen werden beispielhaft mit Bezug auf die begleitenden Zeichnungen erläutert, in denen gilt:
    • 1 veranschaulicht schematisch eine erste Ausführungsform eines Mobiltelekommunikationssystems, das ein nicht-öffentliches Netz beinhaltet;
    • 2 veranschaulicht schematisch eine erste Ausführungsform eines Mobiltelekommunikationssystems, das ein nicht-öffentliches Netz einschließlich eines Benutzergeräts in einem Zustand des Herstellens einer Authentifizierungsschnittstelle für das nicht-öffentliche Netz beinhaltet;
    • 3 veranschaulicht in einem Zustandsdiagramm eine Ausführungsform zum Bereitstellen einer Authentifizierungsschnittstelle für ein nicht-öffentliches Netz;
    • 4 veranschaulicht schematisch eine zweite Ausführungsform eines Mobiltelekommunikationssystems, das ein nicht-öffentliches Netz einschließlich eines Benutzergeräts zum Bereitstellen einer Authentifizierungsschnittstelle für das nicht-öffentliche Netz beinhaltet;
    • 5 veranschaulicht schematisch eine Ausführungsform eines Mobiltelekommunikationssystems, das ein nicht-öffentliches Netz einschließlich einer drahtgebundenen Schnittstelle zwischen einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität beinhaltet;
    • 6 veranschaulicht ein Zustandsdiagramm einer ersten Ausführungsform eines Transfers eines erweiterten Master-Sitzungsschlüssels von einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes über eine drahtgebundene Schnittstelle zu einer Authentifizierungs s erverfunktions entität;
    • 7 veranschaulicht ein Zustandsdiagramm einer zweiten Ausführungsform eines Transfers eines erweiterten Master-Sitzungsschlüssels von einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes über eine drahtgebundene Schnittstelle zu einer Authentifizierungs s erverfunktions entität;
    • 8 veranschaulicht in einem Blockdiagramm eine Ausführungsform eines Benutzergeräts, einer Basisstation, eines Authentifizierung-Autorisierung-Abrechnung-Servers und einer Authentifizierungsserverfunktionsentität; und
    • 9 veranschaulicht in einem Blockdiagramm einen Mehrzweck-Computer, der zum Implementieren eines Benutzergeräts, einer Basisstation, eines Authentifizierung-Autorisierung-Abrechnung-Servers und einer Authentifizierungsserverfunktionsentität verwendet werden kann.
  • AUSFÜHRLICHE BESCHREIBUNG DER AUSFÜHRUNGSFORMEN
  • Bevor eine ausführliche Beschreibung der Ausführungsformen unter Bezug auf 2 gegeben wird, werden allgemeine Erläuterungen vorgenommen.
  • Wie zu Beginn erwähnt, sind allgemein mehrere Generationen von Mobiltelekommunikationssystemen bekannt, z. B. die Drittgeneration („3G“), die auf den Spezifikationen von International Mobile Telecommunications-2000 (IMT-2000) basiert, die Viertgeneration („4G“), die Fähigkeiten bereitstellt, wie in dem International Mobile Telecommunications-Advanced-Standard (IMT-Advanced-Standard) definiert, und die aktuelle Fünftgeneration („5G“), die in Entwicklung ist und die möglicherweise in diesem Jahr in die Praxis umgesetzt werden könnte.
  • Einer der Kandidaten zum Erfüllen der 5G-Anforderungen wird als New-Radio(„NR“)-Zugangstechnologiesystem bezeichnet. Einige Aspekte von NR können in einigen Ausführungsformen auf LTE-Technologie basieren, genauso wie einige Aspekte von LTE auf vorherigen Generationen von Mobilkommunikationstechnologie basierten.
  • Darüber hinaus spezifizierte 3GPP eine Unterstützung für nicht-öffentliche Netze, zum Beispiel in 3GPP TS 22.261 (V 17.1.0), und untersuchte Verwaltungsaspekte nicht-öffentlicher Netze z. B. in 3GPP TS 28.807 (V 0.3.0). Nicht-öffentliche Netze sind für die alleinige Verwendung einer privaten Entität wie etwa eines Unternehmens vorgesehen und können in einer Vielfalt von Konfigurationen, die sowohl virtuelle als auch physische Elemente nutzen, eingesetzt werden. Insbesondere können sie als vollständig unabhängige Netze eingesetzt werden, sie können durch ein öffentliches Landmobilnetz („PLMN“) gehostet werden oder sie können als ein Slice eines PLMN angeboten werden.
  • In einigen Ausführungsformen ist ein nicht-öffentliches Netz ein Netz, das außerhalb eines Mobilbetreibernetzes („MNO“) eingesetzt wird, und weist zwei Einsatzoptionen auf:
    • • das NPN wird als ein unabhängiges NPN (Standalone-NPN, „SNPN“) eingesetzt; und
    • • das NPN wird als ein Teil des MNO als ein nicht unabhängiges NPN eingesetzt (Non-Standalone-NPN, „NSNPN“).
  • In einigen Ausführungsformen wird ein NPN durch ein öffentliches Netz (NSNPN) gehostet, d. h. ein öffentliches Mobiltelekommunikationssystem, das durch Implementieren eines Netz-Slice oder eines Zugangspunktnamens (Access Point Name, „APN“) für das NPN im öffentlichen Netz (Public Network, „PN“) umgesetzt werden kann. In solchen Ausführungsformen erfordert der NPN-Einsatz, dass eine Zelle eine CAG-ID (CAG: „Closed Access Group“ - „geschlossene Zugangsgruppe“) broadcastet, was auch als ein in ein öffentliches Netz integriertes NPN (Public Network Integrated-NPN, „PNI-NPN“) bezeichnet wird. In einigen Ausführungsformen teilen sich das NPN und das öffentliche Netz Teile des Funkzugangsnetzes (Radio Access Network, „RAN“), Steuerebenenfunktionen (z. B. Authentifizierungsserverfunktionen (Authentication Server Functions, „AUSF“)) oder Benutzerebenenfunktionen (User Plane Functions, „UPF“). Wie erwähnt, kann dies durch Implementieren eines Netz-Slice oder dergleichen umgesetzt werden. In solchen Ausführungsformen ist einem Kunde eines öffentlichen Netzes und dem entsprechenden Benutzergerät (User Equipment, „UE“) gestattet, das RAN des NPN (zum Beispiel eine Basisstation des NPN) für Steuerebenenfunktionen des öffentlichen Netzes zu verwenden. In einigen Ausführungsformen ist ein NPN-Kunde auch ein Kunde eines öffentlichen Netzes, und ihm wird gestattet, sich bei beiden Netzen zu registrieren.
  • In einem Fall eines SNPN broadcastet in einigen Ausführungsformen eine Zelle eine PLMN-ID (PLMN: „Public Land Mobile Network“ - „öffentliches Landmobilnetz“) und eine NPN-ID. In solchen Ausführungsformen sind die PLMN-ID und die NPN-ID möglicherweise nicht eindeutig, da das SNPN ein abgesonderter Einsatz sein soll, sodass keine Interaktion zwischen einem öffentlichen Netz vorgesehen ist, aber Zellressourcen können zwischen sowohl öffentlichen als auch nicht-öffentlichen Netzen geteilt werden.
  • Es wird vorgesehen, dass in 3GPP Release-16 ein Zellenauswahl- und -neuauswahlverhalten bei einem SNPN-Zelleneinsatz und bei NSNPN-Zelleneinsätzen, d. h. bei denen eine Betreiberzelle geteilt wird und diese auch die NPN-Zellenfunktion hostet, spezifiziert wird.
  • In 3GPP TS 33.501 (V 16.1.0) sind Sicherheitsprozeduren zur Authentifizierung und Autorisierung zwischen einem Benutzergerät und dem Mobiltelekommunikationssystem, und insbesondere Authentifizierungsprozeduren zwischen einem Benutzergerät und einem nicht-öffentlichen Netz, spezifiziert.
  • Im Allgemeinen können in einigen Ausführungsformen eine Authentifizierungs- und Schlüsselvereinbarungsprozedur eine gegenseitige Authentifizierung zwischen einem Benutzergerät und einem Netz ermöglichen, was auf einem erweiterbaren Authentifizierungsprotokoll-Framework (Extensible Authentication Protocol, „EAP“) basieren kann. Typischerweise ist EAP-AKA die Basislinie für 3GPP, aber andere Verfahren wie EAP-AKA' und TLS sind auch spezifiziert. Das EAP-Framework beinhaltet Rollen, zum Beispiel einen EAP-Peer, einen EAP-Pass-Through-Authentifikator und einen EAP-Server (Backend-Authentifizierungsserver). Der EAP-Pass-Through-Authentifikator wird möglicherweise kein EAP-Datenpaket untersuchen und muss somit möglicherweise kein Authentifizierungsverfahren (z. B. EAP-AKA' (EAP-Authentication and Key Agreement Protocol' - EAP-Authentifizierungs- und Schlüsselvereinbarungsprotokoll') oder EAP-TLS (EAP-Transport Layer Security - EAP- Transportschichtsicherheit)) implementieren. Der EAP-Peer und der EAP-Server müssen ein Authentifizierungsverfahren implementieren.
  • In einigen Ausführungsformen ist ein Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes („NPN-AAA“-Server) bei der Authentifizierung eines Benutzergeräts am nicht-öffentlichen Netz beteiligt, d. h. das Benutzergerät identifiziert am NPN-AAA-Server zum Beispiel den Zugang zu Diensten, die durch das NPN angeboten werden. Ein Authentifizierung-Autorisierung-Abrechnung(„AAA“)-Server ist dem Fachmann allgemein bekannt, und somit wird eine ausführliche Beschreibung von diesem weggelassen. In solchen Ausführungsformen kann sich die EAP-Server-Rolle entweder auf einer Authentifizierungsserverfunktion(„AUSF“)-Entität oder dem NPN-AAA-Server befinden.
  • Es wurde erkannt, dass das Authentifizierungsverfahren zum Authentifizieren eines Benutzergeräts am (Non-Standalone) NPN Auswirkungen auf den EAP-Peer (d. h. UE) und den EAP-Server (d. h. AUSF-Entität oder NPN-AAA-Server) und die Schlüsselhierarchie (z. B. in 3GPP TS 33.501 (V 16.1.0) spezifiziert) haben kann, da unterschiedliche Authentifizierungsverfahren typischerweise unterschiedliche Berechtigungsnachweise erfordern.
  • Allgemein hat in 3GPP Rel-16 das Sicherheits-Framework schon die Unterstützung von (5G-)-AKA-, EAP-AKA'- und EAP-TLS-Verfahren spezifiziert. Alle diese Optionen nehmen an, dass der EAP-Server sich im Kernnetz des Mobiltelekommunikationssystems befinden wird. NPN-Einsätze können jedoch in einigen Ausführungsformen beide Optionen aufweisen, d. h. der NPN-AAA-Server integriert mit einer AUSF-Entität in einem Mobilnetzbetreiber(„MNO“)-Kemnetz oder integriert mit dem NPN und NPN-AAA (EAP-Server), die sich physisch und logisch innerhalb des NPN befindet. Jegliche UE-Berechtigungsnachweise in einem NPN-Einsatz können in einigen Ausführungsformen entweder auf Zertifikaten basieren oder nicht-zertifikatbasiert sein.
  • Es wurde erkannt, dass zertifikatbasierte Berechtigungsnachweise in einigen Ausführungsformen durch die bestehenden Spezifikationen durch die Unterstützung von EAP-TLS (ein zertifikatbasierter Ansatz mit einem NPN-AAA-Server bietet möglicherweise keine Vorteile) gehandhabt werden können, und für nicht-zertifikatbasierte Berechtigungsnachweise ohne einen NPN-AAA-Server kann EAP-TTLS (EAP-getunnelte Transportschichtsicherheit) ein geeignetes Authentifizierungsverfahren sein (eine an 5G-Netzen erforderliche Änderung kann darin bestehen, Erstphasen- und Zweitphasen-EAP-Nachrichten in einer NAS(„Non-Access Stratum“)-Signalisierung zu kapseln).
  • Darüber hinaus wurden die folgenden Probleme für nicht-zertifikatbasierte Berechtigungsnachweise mit einem NPN-AAA-Server in einigen Ausführungsformen erkannt:
    • • Schnittstelle zwischen (5G) Kernnetz und NPN-AAA-Server;
    • • Transfer eines (erweiterten) Master-Sitzungsschlüssels („(E)MSK“) vom NPN-AAA-Server zu der AUSF-Entität, falls sich der EAP-Server auf dem NPN-AAA-Server befindet; und
    • • Unterstützung von RADIUS- („Remote Authentication Dial In User Service“) oder DIAMETER-Protokoll, falls sich der EAP-Server auf der AUSF befindet.
  • In einigen Ausführungsformen ist das Authentifizierungsverfahren zwischen einem UE und einem NPN-AAA-Server EAP-(T)TLS („EAP-(tunneled) transport layer security“ - „EAP-(getunnelte) Transportschichtsicherheit“), und das UE mit nicht-zertifikatbasierten Berechtigungsnachweisen initiiert eine Authentifizierungsprozedur am NPN-AAA-Server, auf dem sich die EAP-Server-Rolle befindet.
  • In solchen Ausführungsformen wurde erkannt, dass, wie oben erwähnt, ein (erweiterter) Master-Sitzungsschlüssel („(E)MSK“) auf eine sichere Weise zu der AUSF-Entität für eine weitere Schlüsselableitung transferiert werden muss, da der (E)MSK durch das UE und den NPN-AAA-Server abgeleitet wird. In solchen Ausführungsformen ist daher eine Authentifizierungsschnittstelle zwischen dem NPN-AAA-Server und der AUSF-Entität erforderlich.
  • Ein beispielhaftes Szenario wird im Folgenden unter Bezug auf 1 besprochen, die schematisch eine erste Ausführungsform eines Mobiltelekommunikationssystems 1 einschließlich eines nicht-öffentlichen Netzes 4 veranschaulicht.
  • Das Mobiltelekommunikationssystem 1 wird durch einen Mobilnetzbetreiber („MNO“) bereitgestellt und beinhaltet ein NR-Funkzugangsnetz (RAN) einschließlich einer Zelle 2, die durch eine NR-eNodeB 3 (auch als gNB (eNodeB der nächsten Generation) bezeichnet) hergestellt wird.
  • In der Zelle 2 wird ein nicht-öffentliches Netz (NPN) 4 zum Beispiel in einer Fabrik eingesetzt, das zum Beispiel durch ein Netz-Slice hergestellt werden kann, wie oben für den NSNPN-Fall erwähnt.
  • Das NPN 4 hostet seinen eigenen Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes (NPN-AAA-Server) 5 zur Authentifizierung eines Benutzergeräts des nicht-öffentlichen Netzes (NPN-UE) 6, das zum Beispiel eine Maschine sein kann oder daran befestigt sein kann. Das NPN-UE 6 kann mit der gNB 3 kommunizieren, um am NPN-AAA-Server 5 über eine AUSF-Entität 7 in einem Kernnetz 8 zu identifizieren.
  • In einem beispielhaften Szenario besitzt die Fabrik, d. h. das NPN 4, Berechtigungsnachweise für ihre Maschinen, d. h. das (Maschinen-) NPN-UE 6, und möchte diese Berechtigungsnachweise für Sicherheitszwecke verwenden. Unter der Annahme, dass diese Berechtigungsnachweise einem „K“-Wert ähnlich sind, der in einer SIM-Karte (SIM: „Subscriber Identity Module“ - „Teilnehmeridentitätsmodul“) und einer ARPF („Authentication credential Repository and Processing Function“ - „Authentifizierungsberechtigungsnachweisrepositorium und -verarbeitungsfunktion“)/UDM („Unified Data Management“ - „Vereinheitlichte Datenverwaltung “) im Kernnetz 8 gespeichert sein kann, dann wird der (Onsite-) NPN-AAA-Server 5 möglicherweise nicht erfordern, dass Berechtigungsnachweise mit dem MNO geteilt werden (die Vertrauensbeziehung zwischen zwei Geschäftsentitäten, d. h. MNO und dem Fabrikeigentümer, entwickelt sich möglicherweise nicht einfach und der Fabrikeigentümer kann bevorzugen, den MNO-Anbieter in der Zukunft zu wechseln, ohne den Aufwand, SIM-Karten in jeder Maschine in der Halle ändern zu müssen).
  • Unter der Annahme, dass sich die Fabrik zum Beispiel an Standort A befindet, an dem die Maschine(n) untergebracht ist (sind), und sich der NPN-AAA-Server 5 und das MNO-HQ („Hauptquartier“) an Standort B befinden, wobei die Entfernung zwischen Standort A und B nicht benachbart ist (z. B. 50 km), an dem Kernnetzentitäten wie etwa die UPF-Entität, die AUSF-Entität 7 und die ARPF/UDM-Entität untergebracht sind (dies ist nur für Veranschaulichungswerke und (5G) Entitäten können praktisch überall virtualisiert und gehostet werden).
  • Daher wurde erkannt, dass eine Authentifizierungsschnittstelle zwischen dem NPN-AAA-Server 5 und der AUSF-Entität 7 erforderlich ist.
  • Die AUSF-Entität 7 kann als eine der sichersten Entitäten angesehen werden und muss dann möglicherweise sowohl jedem NPN 4 oder dem Fabrik-NPN-AAA-Server 5 exponiert werden. Das (5G) Kernnetz weist eine Entität namens NEF („Network Exposure Function“ - „Netzexpositionsfunktion“) für den Zweck des Exponierens unterschiedlicher Netzentitäten auf. Es wurde jedoch erkannt, dass Sicherheitsrisiken für die Exposition der AUSF-Entität 7 existieren können und das oben erwähnte Problem des Transferierens des EMSK vom NPN-AAA-Server 5 zu der AUSF-Entität 7 gelöst werden muss.
  • Daher betreffen einige Ausführungsformen ein Benutzergerät für ein Mobiltelekommunikationssystem, das eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
    • Kommunizieren mit einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes und Initiieren einer Registrierungsprozedur mit dem Mobiltelekommunikationssystem; und
    • Bereitstellen einer Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität im Mobiltelekommunikationssystem.
  • Das Benutzergerät kann eine elektronische Vorrichtung, ein Smartphone, eine VR-Vorrichtung, ein Laptop oder dergleichen sein oder beinhalten. Die Schaltungsanordnung kann mindestens eines von Folgendem beinhalten: einen Prozessor, einen Mikroprozessor, eine dedizierte Schaltung, einen Speicher, eine Speicherung, eine Funkschnittstelle, eine drahtlose Schnittstelle, eine Netzwerkschnittstelle oder dergleichen, z. B. typische elektronische Komponenten, die in einem Benutzergerät enthalten sind, um die wie hierin beschriebenen Funktionen zu erreichen. Das Benutzergerät beinhaltet Berechtigungsnachweise eines Mobiltelekommunikationssystems, das auf UMTS, LTE, RTE-A basieren kann, oder eines NR-, 5G-Systems oder dergleichen.
  • Das Benutzergerät kann mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes (NPN-AAA-Server) über die drahtlose Schnittstelle oder Netzwerkschnittstelle kommunizieren, die allgemein bekannt ist. In einigen Ausführungsformen ist das Benutzergerät physisch in den NPN-AAA-Server als eine elektronische Komponente integriert, um die wie hierin beschriebenen Funktionen zu erreichen.
  • Die Registrierungsprozedur kann eine beliebige Registrierungsprozedur sein, die typischerweise in einem Mobiltelekommunikationssystem durchgeführt wird.
  • Die Authentifizierungsschnittstelle befindet sich logisch zwischen dem NPN-AAA-Server und der AUSF-Entität in einem Kernnetz und liefert einen sicheren logischen und physischen Kanal zwischen dem NPN-AAA-Server und der AUSF-Entität. Das Benutzergerät ist mit dem NPN-AAA-Server im Mobiltelekommunikationssystem assoziiert, was beinhalten kann, dass jegliche Nachrichten oder Datenpakete für den NPN-AAA-Server vom Mobiltelekommunikationssystem über die Authentifizierungsschnittstelle, d. h. das Benutzergerät, übertragen werden.
  • In einigen Ausführungsformen überträgt ein Benutzergerät des nicht-öffentlichen Netzes (NPN-UE), das sich im NPN befindet, Datenpakete über die Authentifizierungsschnittstelle zur Authentifizierung am NPN-AAA-Server. In einigen Ausführungsformen beinhalten die Datenpakete EAP-Datenpakete.
  • Wenn der NPN-AAA-Server gestartet oder eingeschaltet wird, oder wenn die UE-Vorrichtung an den AAA-Server angeschlossen wird, initiiert das Benutzergerät die Registrierungsprozedur mit dem Mobiltelekommunikationssystem und den ARPF/UDM- und AUSF-Netzentitäten. Während der Registrierungsprozedur kann die AUSF-Entität zum Beispiel informiert werden, dass dieses Benutzergerät ein Fabrik-NPN-AAA-Server ist.
  • In einigen Ausführungsformen signalisiert somit das Benutzergerät der Authentifizierungsserverfunktionsentität eine Indikation während der Registrierungsprozedur mit dem Mobiltelekommunikationssystem, dass das Benutzergerät mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes zum Bereitstellen der Authentifizierungsschnittstelle assoziiert ist.
  • In einigen Ausführungsformen beinhaltet das Benutzergerät eine spezielle SIM-Karte zum Identifizieren, dass es mit dem NPN-AAA-Server assoziiert ist.
  • In einigen Ausführungsformen basiert die Signalisierung auf einer Access-Stratum-Signalisierungsnachricht oder einer Non-Access-Stratum-Signalisierungsnachricht.
  • Diese Nachrichten können eine beliebige AS- oder NAS-Nachricht sein, die typischerweise vom Benutzergerät zu der Authentifizierungsserverfunktionsentität übertragen wird, und können ein oder mehrere Bits beinhalten, die die Assoziation mit dem NPN-AAA-Server angeben.
  • In einigen Ausführungsformen wird die Signalisierung durchgeführt, wenn die Registrierungsprozedur initiiert wird.
  • In einigen Ausführungsformen wird die Signalisierung durchgeführt, wenn das Benutzergerät und die Authentifizierungsserverfunktionsentität einen Sicherheitskontext hergestellt haben.
  • In einigen Ausführungsformen wird die Signalisierung durchgeführt, wenn ein Sicherheitskontext über alle Knoten hinweg hergestellt wurde.
  • Die Herstellung des Sicherheitskontexts kann auf einem beliebigen Authentifizierungsverfahren basieren, das bei den Mobiltelekommunikationen zur Authentifizierung eines Benutzergeräts unterstützt wird, wie etwa (5G-)AKA, EAP-AKA' oder EAP-TLS. In einigen Ausführungsformen beinhaltet ein bei der Registrierungsprozedur verwendetes Authentifizierungsverfahren eines von einem Authentifizierungs- und Schlüsselvereinbarungsprotokoll, einem Erweiterbares-Authentifizierungsprotokoll-Authentifizierungs- und Schlüsselvereinbarungsprotokoll‘ und einer Erweiterbares-Authentifizierungsprotokoll-Transportschichtsicherheit.
  • Wenn der Sicherheitskontext hergestellt ist, haben sich das Benutzergerät und die AUSF-Entität gegenseitig authentifiziert und Chiffrierschlüssel und Integritätsschutzschlüssel für AS und NAS sind vorhanden.
  • Daher wird in einigen Ausführungsformen die Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und der Authentifizierungsserverfunktionsentität bereitgestellt, wenn das Benutzergerät als Reaktion auf die Signalisierung als das Benutzergerät authentifiziert und autorisiert wird, das mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist.
  • Wie oben erwähnt, muss in einigen Ausführungsformen ein (erweiterter) Master-Sitzungsschlüssel („(E)MSK“) auf eine sichere Weise zu der AUSF-Entität für eine weitere Schlüsselableitung transferiert werden, da der (E)MSK durch das UE und den NPN-AAA-Server abgeleitet wird. In solchen Ausführungsformen ist daher eine Authentifizierungsschnittstelle zwischen dem NPN-AAA-Server und der AUSF-Entität für den Transfer erforderlich.
  • Darüber hinaus besteht das Problem des Transferierens des EMSK vom NPN-AAA zu der AUSF-Entität (auf eine sichere Weise) für EAP-(T)TLS weiterhin für die Fälle, bei denen das Benutzergerät mit dem NPN-AAA-Server assoziiert ist und eine Mobiletelekommunikation verwendet wird, und bei denen eine drahtgebundene internetbasierte Verbindung verwendet wird.
  • Somit ist die Schaltungsanordnung des Benutzergeräts ferner ausgelegt zum:
    • Transferieren eines erweiterten Master-Sitzungsschlüssels, der durch den Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über eine Authentifizierungsschnittstelle zu der Authentifizierungsserverfunktionsentität.
  • In einigen Ausführungsformen ist der physische Pfad, der zum Transferieren des EMSK vom NPN-AAA-Server zu der AUSF-Entität genommen wird:
    • NPN-AAA-Server -> assoziiertes Benutzergerät -> gNB -> UPF (oder AMF (für Steuerebenenlösung)) -> AUSF-Entität.
  • In solchen Ausführungsformen kann der EMSK unter Verwendung der Berechtigungsnachweise des assoziierten Benutzergeräts verschlüsselt werden. Beispielsweise kann der EMSK für ein Benutzergerät eines nicht-öffentlichen Netzes (es ist anzumerken, dass dies nicht das Benutzergerät ist, das mit dem NPN-AAA-Server assoziiert ist, sondern stattdessen ein Benutzergerät, das eine Authentifizierung am NPN-AAA-Server initiiert) unter Verwendung von Kausf- oder CK/IK- oder RRCint- UPciph-Schlüsseln des assoziierten Benutzergeräts oder eines neuen Schlüssels, der aus CK/IK insbesondere für diesen Zweck abgeleitet wird und nur für das assoziierte Benutzergerät gültig ist, verschlüsselt werden.
  • Wenn dementsprechend das Benutzergerät und die AUSF-Entität einen Sicherheitskontext hergestellt haben, sind alle Schlüssel vorhanden und Berechtigungsnachweise des Benutzergerät können zum Erzeugen und Verschlüsseln des EMSK verwendet werden.
  • In einigen Ausführungsformen wird daher der erzeugte und verschlüsselte erweiterte Master-Sitzungsschlüssel basierend auf einem Berechtigungsnachweis des Benutzergeräts verschlüsselt, wobei der Berechtigungsnachweis eines von Kausf, CK/IK, RRCint und Upciph ist.
  • In einigen Ausführungsformen wird der erzeugte und verschlüsselte erweiterte Master-Sitzungsschlüssel basierend auf einem Berechtigungsnachweis des Benutzergeräts verschlüsselt, wobei der Berechtigungsnachweis aus CK/IK abgeleitet wird.
  • Die Authentifizierungsschnittstelle kann durch eine Lösung basierend auf einer Benutzerebenenfunktionen bereitgestellt werden, wobei EAP-Signalisierungsnachrichten (EAP-Datenpakete) als Benutzerebenen-Datenpakete behandelt werden können. Da EAP-Signalisierungsnachrichten möglicherweise nicht groß sein können, kann die bestehende Netzarchitektur beibehalten werden, wodurch sich die Sicherheitsfunktionen nur auf Steuerebenen(„CP“)-Pfaden befinden. Das Risiko für eine CP-Lösung kann darin bestehen, dass einige der Nachrichten durch andere Knoten wie etwa zum Beispiel AMF- („Access Mobility Management Function“ - „Zugangsmobilitätsverwaltungsfunktion“)/SMF(„Session Management Function“ — „Sitzungsverwaltungsfunktion“)-Entitäten interpretiert werden können, und somit kann eine jegliche EAP-Nachricht, die in einer NAS-Nachricht eingekapselt ist, durch AMF-/SMF-Entitäten gelesen werden.
  • In einigen Ausführungsformen wird daher die Authentifizierungsschnittstelle über eine Benutzerebenenfunktion des Mobiltelekommunikationssystems bereitgestellt.
  • In einigen Ausführungsformen werden Datenpakete eines erweiterbaren Authentifizierungsprotokolls, die über die Authentifizierungsschnittstelle übertragen werden, als Benutzerebenen-Datenpakete behandelt.
  • Darüber hinaus ist in einigen Ausführungsformen die Schaltungsanordnung des Benutzergeräts ferner ausgelegt zum:
    • Verbieten des Zugriffs auf beliebige andere Daten oder andere Dienste, die durch das Mobiltelekommunikationssystem angeboten werden.
  • Das Benutzergerät kann die empfangenen Informationen (z. B. Datenpakete oder Signalisierungsnachrichten) zu dem NPN-AAA-Server weiterleiten und der NPN-AAA-Server kann als eine Anwendung agieren, die auf den AS/NAS-Schichten des Benutzergeräts liegt.
  • In einigen Ausführungsformen ist die Schaltungsanordnung des Benutzergeräts ferner ausgelegt zum:
    • Übertragen jeglicher empfangenen Informationen vom Mobiltelekommunikationssystem über die Authentifizierungsschnittstelle zu dem assoziierten Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes.
  • In einigen Ausführungsformen beinhalten die empfangenen Informationen Datenpakete des erweiterbaren Authentifizierungsprotokolls von einem Benutzergerät des nicht-öffentlichen Netzes, das sich in einem nicht-öffentlichen Netz befindet, zur Authentifizierung am Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes.
  • In einigen Ausführungsformen ist die Schaltungsanordnung des Benutzergeräts ferner ausgelegt zum:
    • Bestimmen eines Zugangspunktnamens in der Registrierungsprozedur als die Authentifizierungsserverfunktionsentität oder eine Authentifizierungsberechtigungsnachweisrepositorium- und -verarbeitungsfunktionsentität oder eine vereinheitlichte Datenverwaltungsentität.
  • In einigen Ausführungsformen unterstützt die Authentifizierungsschnittstelle ein RADIUS- oder ein DIAMETER-Protokoll.
  • Im Allgemeinen kann RADIUS im Vergleich zu DIAMETER weniger sicher sein. Jedoch in Anbetracht dessen, dass viele Legacy-Systeme möglicherweise RADIUS verwenden, kann es aufgrund der Robustheit, die durch inhärente 3GPP-Sicherheit bereitgestellt wird, verwendet werden.
  • Zusätzlich gibt es möglicherweise keine Notwendigkeit, EAP-TTLS zu unterstützen, da 3GPP einen sicheren Tunnel bereitstellt.
  • Gemäß der wie hierin beschriebenen Ausführungsformen betreffen einige Ausführungsformen einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung umfasst, die ausgelegt ist zum:
    • Kommunizieren mit einem assoziierten Benutzergerät für ein Mobiltelekommunikationssystem; und
    • Empfangen von Informationen von dem assoziierten Benutzergerät, wobei das assoziierte Benutzergerät die Datenpakete vom Mobiltelekommunikationssystem über eine Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität im Mobiltelekommunikationssystem, die durch das assoziierte Benutzergerät bereitgestellt wird, empfing.
  • Ein Authentifizierung-Autorisierung-Abrechnung(„AAA“)-Server ist dem Fachmann allgemein bekannt, und somit wird eine ausführliche Beschreibung von diesem weggelassen. Die Schaltungsanordnung kann mindestens eines von Folgendem beinhalten: einen Prozessor, einen Mikroprozessor, eine dedizierte Schaltung, einen Speicher, eine Speicherung, eine Funkschnittstelle, eine drahtlose Schnittstelle, eine Netzwerkschnittstelle oder dergleichen, z. B. typische elektronische Komponenten, die in einem Authentifizierung-Autorisierung-Abrechnung-Server enthalten sind, um die wie hierin beschriebenen Funktionen zu erreichen.
  • Die Assoziation des Benutzergeräts mit dem NPN-AAA-Server kann auf einer vorbestimmten ID (Identifikation), die sowohl dem Benutzergerät als auch dem NPN-AAA-Server bekannt ist, einer (speziellen) SIM-Karte für das Benutzergerät, die dem NPN-AAA-Server bekannt ist, einer vorbestimmten Nachricht oder einem vorbestimmten Schlüssel und dergleichen, die/der während der Einrichtung oder des Betriebs ausgetauscht wird, oder einer vorbestimmten Kommunikationspfadkonfiguration basieren oder kann durch physisches Integrieren des Benutzergeräts oder dergleichen hergestellt werden.
  • Wie oben erwähnt, kann in manchen Ausführungsformen, sobald das Benutzergerät durch das Mobiltelekommunikationssystem authentifiziert und autorisiert ist, eine Authentifizierungsschnittstelle zwischen dem NPN-AAA-Server und der AUSF-Entität über die Benutzergerätefunktionalität eingerichtet werden und Datenpakete werden über die Authentifizierungsschnittstelle und das Benutzergerät zu dem NPN-AAA-Server übertragen.
  • In einigen Ausführungsformen beinhalten die von dem assoziierten Benutzergerät empfangenen Informationen Datenpakete des erweiterbaren Authentifizierungsprotokolls von einem Benutzergerät des nicht-öffentlichen Netzes, das sich in einem nicht-öffentlichen Netz befindet, zur Authentifizierung am Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes.
  • In einigen Ausführungsformen ist die Schaltungsanordnung des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes ferner ausgelegt zum:
    • Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf einem Berechtigungsnachweis des assoziierten Benutzergeräts.
  • In einigen Ausführungsformen überträgt der Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes den erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssel zu dem assoziierten Benutzergerät zum Transferieren des erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssels über die Authentifizierungsschnittstelle zu der Authentifizierungsserverfunktionsentität.
  • Als eine beispielhafte Prozedur zum Bereitstellen einer Authentifizierungsschnittstelle zwischen einem Authentifizierung-Autorisierung-Server eines nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität:
    • Der NPN-AAA-Server wird hochgefahren und kommuniziert mit einem assoziierten Benutzergerät zum Initiieren einer Bereitstellung einer Authentifizierungsschnittstelle.
  • Dann sucht das assoziierte Benutzergerät nach einem Betreibernetz und campiert auf einer geeigneten Zelle, die zwischen dem NPN und dem PLMN gemeinsam genutzt wird.
  • Das assoziierte Benutzergerät initiiert eine Registrierungsprozedur, d. h. RRC („Radio Resource Control“ - „Funkressourcensteuerung“) und NAS-Registrierungsprozedur, und signalisiert dem Kernnetz, dass es mit dem NPN-AAA-Server assoziiert ist.
  • Eine Sicherheitsprozedur wird wie für ein typisches Benutzergerät initiiert und eine Schlüsselableitung startet, während angenommen wird, dass das Benutzergerät einen K-Wert wie ein typisches Benutzergerät aufweist.
  • Dann authentifizieren sich das Benutzergerät und das Netz, d. h. das Mobiltelekommunikationssystem, gegenseitig und Chiffrier- und Integritätsschutzschlüssel für AS und NAS sind vorhanden.
  • Sobald das Benutzergerät und die AUSF-Entität einen 5G-Sicherheitskontext hergestellt haben, wird eine neue Authentifizierungsschnittstelle über das (5G) Netz eingerichtet. Die Verantwortung der Sicherheit der physischen Knoten des NPM-AAA-Servers und des assoziierten Benutzergeräts liegt bei der Fabrik (als ein Beispiel).
  • Im Allgemeinen bestehen in einigen Ausführungsformen einige der folgenden Vorteile:
    • • der MNO kann in der Lage sein, eine spezielle SIM-Karte für den MPN-AAA-Server zu verkaufen und gemäß der Fabrikbranche Gebühren berechnen;
    • • die AUSF-Entität wird nicht dem Internet ausgesetzt und der gesamte Verkehr wird über das Betreibernetz geführt. Die Lösung ist skalierbar und ermöglicht, dass mehrere NPN-AAA-Server mit der AUSF-Entität verbunden sind;
    • • Der Fabrikeigentümer (zum Beispiel) legt die Maschinenberechtigungsnachweise nicht zu dem MNO frei und ist nicht an einen einzelnen Betreiber gebunden und frei in der Marktwahl;
    • • Legacy-Protokolle wie etwa RADIUS oder DIAMETER können unterstützt werden; und
    • • eine Unterstützung von EAP-TTLS wird möglicherweise nicht benötigt.
  • Gemäß den wie hierin beschriebenen Ausführungsformen betreffen einige Ausführungsformen eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
    • Registrieren eines Benutzergeräts, das mit einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes assoziiert ist, bei dem Mobiltelekommunikationssystem; und
    • Empfangen einer Signalisierung vom Benutzergerät, die angibt, dass das Benutzergerät mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist, wobei eine Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und der Authentifizierungsserverfunktionsentität bereitgestellt wird, wenn das Benutzergerät als Reaktion auf die Signalisierung als das Benutzergerät authentifiziert und autorisiert wird, das mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist.
  • Eine Authentifizierungsserverfunktionsentität ist in einem Mobiltelekommunikationssystem allgemein bekannt, und somit wird eine ausführliche Beschreibung von dieser weggelassen. Die Schaltungsanordnung kann mindestens eines von Folgendem beinhalten: einen Prozessor, einen Mikroprozessor, eine dedizierte Schaltung, einen Speicher, eine Speicherung, eine Funkschnittstelle, eine drahtlose Schnittstelle, eine Netzwerkschnittstelle oder dergleichen, z. B. typische elektronische Komponenten, die in einer Authentifizierungsserverfunktionsentität enthalten sind, um die wie hierin beschriebenen Funktionen zu erreichen.
  • In einigen Ausführungsformen ist die Schaltungsanordnung der Authentifizierungsserverfunktionsentität ferner ausgelegt zum:
    • Empfangen eines erweiterten Master-Sitzungsschlüssels, der durch den Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über die Authentifizierungsschnittstelle, wobei der erzeugte und verschlüsselte erweiterte Master-Sitzungsschlüssel basierend auf einem Berechtigungsnachweis des Benutzergeräts, das mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist, verschlüsselt wird.
  • Wie oben erwähnt, besteht das Problem des Transferierens des EMSK vom NPN-AAA zu der AUSF-Entität (auf eine sichere Weise) für EAP-(T)TLS weiterhin für den Fall, bei dem eine drahtgebundene (internetbasierte) Verbindung (drahtgebundene Schnittstelle) verwendet wird.
  • Für eine drahtgebundene Schnittstelle kann es zwei Optionen geben:
    • In einigen Ausführungsformen wird dem NPN-AAA-Server eine ID zugewiesen, und diese ID ist sowohl dem NPN-AAA-Server als auch der AUSF-Entität bekannt. In solchen Ausführungsformen wird der EMSK unter Verwendung der NPN-AAA-Server-ID verschlüsselt, die ein Zertifikat des NPN-AAA-Servers sein kann.
  • Alternativ sendet in manchen Ausführungsformen, bei einer PKI-basierten Lösung (PKI: „Public Key Infrastructure“ - „öffentliche Schlüssel-Infrastruktur“), die AUSF-Entität einen öffentlichen Schlüssel zu dem NPN-AAA-Server und die AUSF-Entität hält den privaten Schlüssel (z. B. in einem Speicher oder dergleichen). Im NPN-AAA-Server wird der EMSK unter Verwendung des öffentlichen Schlüssels der AUSF-Entität verschlüsselt. In der AUSF-Entität wird er mit dem privaten Schlüssel entschlüsselt.
  • Alternativ stellt in einigen Ausführungsformen, bei einer Lösung mit vorher vereinbartem Schlüssel (Pre-Shared Key, PSK), der MNO den Geheimschlüssel für diesen Zweck bereit, der separat in einer speziellen SIM-Karte für den NPN-AAA-Server gespeichert werden könnte. Die SIM-Karte kann Speicherfähigkeit zum Speichern zusätzlicher Informationen aufweisen, und nur der autorisierte Benutzer kann auf sie zugreifen. Es ist anzumerken, dass sich dies in einigen Ausführungsformen von dem vorher vereinbarten 3GPP-Schlüssel (K) in der SIM unterscheidet. Im NPN-AAA-Server wird der EMSK unter Verwendung des Geheimschlüssels verschlüsselt. In der AUSF-Entität wird er mit dem gleichen Geheimschlüssel entschlüsselt, der durch den MNO konfiguriert wird. In einer anderen Ausführungsformen gibt ein NPN-Betreiber den Geheimschlüssel heraus und speichert ihn in einem sicheren Speicher im NPN-AAA-Server. Der NPN-Betreiber liefert ihn getrennt zu dem MNO und der MNO speichert ihn im Voraus in der AUSF-Entität.
  • Daher betreffen einige Ausführungsformen einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
    • Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf einer vorher vereinbarten Authentifizierung-Autorisierung-Abrechnung-Server-ID eines nicht-öffentlichen Netzes des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes; und
    • Transferieren des erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssels über eine drahtgebundene Schnittstelle zu einer Authentifizierungsserverfunktionsentität.
  • Dementsprechend betreffen einige Ausführungsformen eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
    • Empfangen eines erweiterten Master-Sitzungsschlüssels, der durch einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über eine drahtgebundene Schnittstelle; und
    • Entschlüsseln des verschlüsselten erweiterten Master-Sitzungsschlüssels basierend auf einer vorher vereinbarten Authentifizierung-Autorisierung-Abrechnung-Server-ID eines nicht-öffentlichen Netzes des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes.
  • In einigen Ausführungsformen ist die vorher vereinbarte Authentifizierung-Autorisierung-Abrechnung-Server-ID des nicht-öffentlichen Netzes eines aus dem Schlüssel, einer ID und einem Zertifikat des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes.
  • Darüber hinaus betreffen einige Ausführungsformen eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung umfasst, die ausgelegt ist zum:
    • Erzeugen eines öffentlichen Schlüssels und eines privaten Schlüssels; und
    • Übertragen des öffentlichen Schlüssels über eine drahtgebundene Schnittstelle zu einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, wobei die Authentifizierungsserverfunktionsentität den privaten Schlüssel hält.
  • Dementsprechend betreffen einige Ausführungsformen einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
    • Empfangen eines öffentlichen Schlüssels von einer Authentifizierungsserverfunktionsentität;
    • Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf dem empfangenen öffentlichen Schlüssel; und
    • Transferieren des erweiterten Master-Sitzungsschlüssels über eine drahtgebundene Schnittstelle zu der Authentifizierungsserverfunktionsentität.
  • In einigen Ausführungsformen ist die Schaltungsanordnung der Authentifizierungsserverfunktionsentität ferner ausgelegt zum:
    • Empfangen, über die drahtgebundene Schnittstelle, eines erweiterten Master-Sitzungsschlüssels, der durch den Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes basierend auf dem öffentlichen Schlüssel erzeugt und verschlüsselt wird; und
    • Entschlüsseln des empfangenen erweiterten Master-Sitzungsschlüssels basierend auf dem gehaltenen privaten Schlüssel.
  • Darüber hinaus betreffen einige Ausführungsformen einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
    • Erhalten eines vorbestimmten Geheimschlüssels, der in einem sicheren Speicher in dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes im Voraus gespeichert wird;
    • Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf dem vorbestimmten Geheimschlüssel; und
    • Transferieren des erzeugten und verschlüsselten Master-Sitzungsschlüssels zu einer Authentifizierungsserverfunktionsentität über eine drahtgebundene Schnittstelle.
  • Wie oben erwähnt, kann der Geheimschlüssel durch einen MNO oder einen NPN-Betreiber bereitgestellt werden und kann zwischen dem MNO oder dem NPN-Betreiber im Voraus ausgetauscht werden. Der Geheimschlüssel kann in einem sicheren Speicher in sowohl dem NPN-AAA-Server als auch der AUSF-Entität gespeichert werden. Der sichere Speicher kann eine spezielle SIM-Karte für den NPN-AAA-Server sein. Die SIM-Karte kann Speicherfähigkeit zum Speichern zusätzlicher Informationen aufweisen, und nur der autorisierte Benutzer kann auf sie zugreifen (z. B. nur der NPN-AAA-Server). Für die AUSF-Entität kann er ein geschützter Speicher speziell für die Speicherung von Geheimschlüsseln von NPN-Betreibern oder dergleichen sein.
  • Gemäß den wie hierin beschriebenen Ausführungsformen betreffen einige Ausführungsformen eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
    • Erhalten eines vorbestimmten Geheimschlüssels, der in einem sicheren Speicher in der Authentifizierungsserverfunktionsentität im Voraus gespeichert wird;
    • Empfangen eines erweiterten Master-Sitzungsschlüssels, der durch einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über eine drahtgebundene Schnittstelle; und
    • Entschlüsseln des verschlüsselten erweiterten Master-Sitzungsschlüssels basierend auf dem vorbestimmten Geheimschlüssel.
  • Erneut mit Bezug auf 2, die schematisch eine erste Ausführungsform eines Mobiltelekommunikationssystems 1 veranschaulicht, das ein nicht-öffentliches Netz 4 einschließlich eines Benutzergeräts 9 in einem Zustand des Erstellens einer Authentifizierungsschnittstelle für das nicht-öffentliche Netz 4 beinhaltet.
  • Das Mobiltelekommunikationssystem 1 wird durch einen Mobilnetzbetreiber („MNO“) bereitgestellt und beinhaltet ein NR-Funkzugangsnetz (RAN) einschließlich einer Zelle 2, die durch eine NR-eNodeB 3 (auch als gNB (eNodeB der nächsten Generation) bezeichnet) hergestellt wird.
  • In der Zelle 2 wird ein nicht-öffentliches Netz (NPN) 4 zum Beispiel in einer Fabrik eingesetzt, das zum Beispiel durch ein Netz-Slice hergestellt werden kann, wie oben für den Non-Standalone-NPN Fall erwähnt. Das NPN 4 hostet seinen eigenen Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes (NPN-AAA-Server) 5 zur Authentifizierung eines Benutzergeräts des nicht-öffentlichen Netzes (NPN-UE) 6, das zum Beispiel eine Maschine sein kann. Das NPN-UE 6 kann mit der gNB 3 kommunizieren, um am NPN-AAA-Server 5 über eine AUSF-Entität 7 in einem Kernnetz 8 zu identifizieren.
  • Darüber hinaus kommuniziert der NPN-AAA-Server 5 mit einem assoziierten Benutzergerät 9 (AAA-UE). Das AAA-UE 9 kommuniziert mit dem Mobiltelekommunikationssystem 1 über die gNB 3 und initiiert eine Registrierungsprozedur mit dem Mobiltelekommunikationssystem 1 an der AUSF-Entität 7. Während der Registrierungsprozedur signalisiert das AAA-UE 9 der AUSF-Entität 7, dass es mit dem NPN-AAA-Server 5 assoziiert ist, wie hierin beschrieben, was durch die gepunkt-gestrichelte Linie veranschaulicht wird, die eine Nachricht 10 führt (die ein oder mehrere Bits für die Signalisierung beinhalten kann), und die Nachricht 10 ist eine AS- oder NAS-Nachricht und wird übertragen, wenn ein Sicherheitskontext hergestellt ist. Als Reaktion auf die Signalisierung wird eine Authentifizierungsschnittstelle zwischen dem NPN-AAA-Server 5 und der AUSF-Entität 7 über das AAA-UE 9 bereitgestellt.
  • 3 veranschaulicht in einem Zustandsdiagramm eine Ausführungsform zum Bereitstellen einer Authentifizierungsschnittstelle für ein nicht-öffentliches Netz 4.
  • Diese Ausführungsform basiert auf einem Einsatz eines nicht-öffentlichen Netzes (NPN) 4 gemäß 2 und 4.
  • Bei 20 wird der Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes (NPN-AAA-Server) 5 hochgefahren und kommuniziert mit einem assoziierten Benutzergerät (AAA-UE) 9 zum Initiieren einer Bereitstellung einer Authentifizierungsschnittstelle 11 (siehe 4) zwischen dem NPN-AAA-Server 5 und einer Authentifizierungsserverfunktion(AUSF)-Entität 7, und das AAA-UE 9 sucht nach einem Betreibernetz und campiert auf einer geeigneten Zelle, d. h. der Zelle 2, die zwischen dem NPN 4 und einem PLMN gemeinsam genutzt wird.
  • Im Folgenden ist die Authentifizierungsschnittstelle 11 für Veranschaulichungszwecke in eine interne Authentifizierungsschnittstelle 11a (zwischen dem NPN-AAA-Server 5 und dem AAA-UE 9, veranschaulicht durch den gestrichelten Bereich zwischen dem NPN-AAA-Server 5 und dem AAA-UE 9) und eine externe Authentifizierungsschnittstelle 11b (zwischen dem AAA-UE 9 und der AUSF-Entität 7, veranschaulicht durch die gepunkt-gestrichelte Linie vom AAA-UE 9 zu der AUSF-Entität 7) unterteilt.
  • Bei 21 initiiert das AAA-UE 9 eine Registrierungsprozedur, d. h. RRC („Radio Resource Control“ - „Funkressourcensteuerung“) und NAS-Registrierungsprozedur, mit dem Mobiltelekommunikationssystem, d. h. der AUSF-Entität 7.
  • Bei 22 stellen das AAA-UE 9 und die AUSF-Entität 7 einen Sicherheitskontext her, d. h. führen eine Sicherheitsprozedur durch, wobei die Herstellung des Sicherheitskontexts auf einem beliebigen Authentifizierungsverfahren basiert, das in den Mobiltelekommunikationen für die Authentifizierung des AAA-UE 9 unterstützt wird, wie etwa (5G-)AKA, EAP-AKA' oder EAP-TLS, wie hierin beschrieben. Die Sicherheitsprozedur wird wie für ein typisches Benutzergerät für ein Mobiltelekommunikationssystem initiiert und eine Schlüsselableitung startet, während angenommen wird, dass das AAA-UE 9 einen K-Wert wie das typische Benutzergerät aufweist. Dann authentifizieren sich das AAA-UE 9 und die AUSF-Entität 7 gegenseitig und Chiffrier- und Integritätsschutzschlüssel für AS und NAS sind vorhanden.
  • Bei 23 signalisiert das AAA-UE 9 der AUSF-Entität 7, wenn der Sicherheitskontext hergestellt ist, in einer AS- oder NAS-Signalisierungsnachricht (die eine beliebige Nachricht sein kann, die typischerweise ausgetauscht wird und ein oder mehrere Bits für die Signalisierung beinhaltet, die mit dem NPN-AAA-Server 5 assoziiert ist).
  • Dann wird bei 24 als Reaktion auf die Signalisierung eine Authentifizierungsschnittstelle 11 zwischen dem NPN-AAA-Server 5 und der AUSF-Entität 7 über das AAA-UE 9 bereitgestellt. Darüber hinaus wird die Authentifizierungsschnittstelle 11 über eine Benutzerebenenfunktion des Mobiltelekommunikationssystems bereitgestellt, sodass EAP-Signalisierungsnachrichten als Benutzerebenen-Datenpakete behandelt werden.
  • Bei 25 überträgt das AAA-UE 9 einen Berechtigungsnachweis (einen von Kausf, CK/IK, RRCint und Upciph) über die interne Authentifizierungsschnittstelle 11a zu dem NPN-AAA-Server 5 zum Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels (EMSK) für ein Benutzergerät eines nicht-öffentlichen Netzes (NPN-UE) 6, das sich im NPN 4 befindet, zum Beispiel eine Maschine, die ein Benutzergerät für eine Kommunikation mit dem Mobiltelekommunikationssystem und für die Authentifizierung am NPN-AAA-Server 5 beinhaltet.
  • Bei 26a überträgt das NPN-UE 6 (EAP-Peer) eine Authentifizierungsanfrage (Datenpakete einer EAP-Signalisierungsnachricht) zur Authentifizierung am NPN-AAA-Server 5 über das Netz über die Benutzerebenenfunktion, die bei 26b transparent durch die AUSF-Entität 7 (EAP-Pass-Through-Authentifikator) über die externe Authentifizierungsschnittstelle 11b zu dem AAA-UE 9 weitergeleitet wird.
  • Bei 26c überträgt das AAA-UE 9 die empfangenen Informationen (Datenpakete) einschließlich EAP-Datenpakete über die interne Authentifizierungsschnittstelle 11a zu dem NPN-AAA-Server 5 zur Authentifizierung des NPN-UE 6 am NPN-AAA-Server 5.
  • Bei 27 erzeugt und verschlüsselt der NPN-AAA-Server 5 den EMSK basierend auf einem Berechtigungsnachweis des AAA-UE 9 (der NPN-AAA-Server 5 hält die Berechtigungsnachweise des NPN-UE 6 zur Authentifizierung).
  • Bei 28a und 28b wird der erzeugte und verschlüsselte EMSK über die Authentifizierungsschnittstelle 11 zwischen dem NPN-AAA-Server 5 und der AUSF-Entität 7, die durch das AAA-UE 9 bereitgestellt wird, zu der AUSF-Entität 7 transferiert.
  • 4 veranschaulicht schematisch eine zweite Ausführungsform eines Mobiltelekommunikationssystems 1, das ein nicht-öffentliches Netz (NPN) 4 einschließlich eines Benutzergeräts (AAA-UE) 9 zum Bereitstellen einer Authentifizierungsschnittstelle 11 für das NPN 4 beinhaltet.
  • Diese Ausführungsform basiert auf der Ausführungsform von 2 und veranschaulicht die neue logische und physische Authentifizierungsschnittstelle 11 zwischen dem NPN-AAA-Server 5 und der AUSF-Entität 7 über das AAA-UE 9. Der Pfeil mit der gepunkt-gestrichelten Linie zeigt die logische Authentifizierungsschnittstelle 11 und der Pfeil mit durchgezogenen Linien zeigt den tatsächlichen (physischen) Pfad in der Authentifizierungsschnittstelle 11. Die Authentifizierungsschnittstelle 11 ist für Veranschaulichungszwecke in eine interne Authentifizierungsschnittstelle 11a (zwischen dem NPN-AAA-Server 5 und dem AAA-UE 9, veranschaulicht durch den gestrichelten Bereich zwischen dem NPN-AAA-Server 5 und dem AAA-UE 9) und eine externe Authentifizierungsschnittstelle 11b (zwischen dem AAA-UE 9 und der AUSF-Entität 7, veranschaulicht durch die gepunkt-gestrichelte Linie vom AAA-UE 9 zu der AUSF-Entität 7) unterteilt.
  • 5 veranschaulicht schematisch eine Ausführungsform eines Mobiltelekommunikationssystems 1a, das ein nicht-öffentliches Netz (NPN) 4 einschließlich einer drahtgebundenen Schnittstelle 12 zwischen einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes (NPN-AAA-Server) 5 und einer Authentifizierungsserverfunktion(AUSF)-Entität 7 beinhaltet.
  • Diese Ausführungsform basiert auf der Ausführungsform von 1, mit der Ausnahme, dass der NPN-AAA-Server 5 physisch über eine drahtgebundene Schnittstelle 12 (z. B. eine internetbasierte Verbindung) mit der AUSF-Entität 7 verbunden ist.
  • 6 veranschaulicht ein Zustandsdiagramm einer ersten Ausführungsform eines Transfers eines erweiterten Master-Sitzungsschlüssels (EMSK) von einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes (NPN-AAA-Server) 5 über eine drahtgebundene Schnittstelle 12 zu einer Authentifizierungsserverfunktion(AUSF)-Entität 7.
  • Diese Ausführungsform basiert auf einem Einsatz eines nicht-öffentlichen Netzes (NPN) 4 gemäß 5.
  • Bei 30 erzeugt und verschlüsselt der NPN-AAA-Server 5 einen EMSK basierend auf der vorher vereinbarten NPN-AAA-Server-ID des NPN-AAA-Servers 5, wobei die vorher vereinbarte NPN-AAA-ID eines aus einem Schlüssel, einer ID und einem Zertifikat des NPN-AAA-Servers 5 ist.
  • Bei 31 transferiert der NPN-AAA-Server 5 den erzeugten und verschlüsselten EMSK über eine drahtgebundene Schnittstelle 12 zu einer AUSF-Entität 7.
  • Bei 32 empfängt die AUSF-Entität 7 den EMSK über die drahtgebundene Schnittstelle 12 und entschlüsselt den EMSK basierend auf der vorher vereinbarten NPN-AAA-Server-ID des NPN-AAA-Servers 5.
  • In einer alternativen Ausführungsformen erhält der NPN-AAA-Server 5 bei 30 einen vorbestimmten Geheimschlüssel, der in einem sicheren Speicher im NPN-AAA-Server 5 im Voraus gespeichert wird (z. B. wird der Geheimschlüssel aus einer speziellen SIM-Karte für den NPN-AAA-Server 5 geladen). Darüber hinaus erzeugt und verschlüsselt der NPN-AAA-Server 5 einen EMSK basierend auf dem vorbestimmten Geheimschlüssel.
  • Bei 31 transferiert der NPN-AAA-Server 5 den erzeugten und verschlüsselten Master-Sitzungsschlüssel über die drahtgebundene Schnittstelle 12 zu der AUSF-Entität 7.
  • Bei 32 erhält die AUSF-Entität 7 den vorbestimmten Geheimschlüssel, der in einem sicheren Speicher in der AUSF-Entität 7 im Voraus gespeichert wird (z. B. wird der Geheimschlüssel aus einem geschützten Speicher in der AUSF-Entität 7 geladen). Darüber hinaus empfängt die AUSF-Entität 7 den durch den NPN-AAA-Server 5 erzeugten und verschlüsselten EMSK über die drahtgebundene Schnittstelle 12 und entschlüsselt den EMSK basierend auf dem vorbestimmten Geheimschlüssel.
  • 7 veranschaulicht ein Zustandsdiagramm einer zweiten Ausführungsform eines Transfers eines erweiterten Master-Sitzungsschlüssels (EMSK) von einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes (NPN-AAA-Server) 5 über eine drahtgebundene Schnittstelle 12 zu einer Authentifizierungsserverfunktion(AUSF)-Entität 7.
  • Diese Ausführungsform basiert auf einem Einsatz eines nicht-öffentlichen Netzes (NPN) 4 gemäß 5.
  • Bei 40 erzeugt die AUSF-Entität 7 einen öffentlichen Schlüssel und einen privaten Schlüssel.
  • Bei 41 überträgt die AUSF-Entität 7 den öffentlichen Schlüssel über eine drahtgebundene Schnittstelle 12 zu einem NPN-AAA-Server, wobei die AUSF-Entität 7 den privaten Schlüssel (in einem Speicher) hält.
  • Bei 42 empfängt der NPN-AAA-Server 5 den öffentlichen Schlüssel von der AUSF-Entität 7 und erzeugt einen EMSK basierend auf dem empfangenen öffentlichen Schlüssel.
  • Bei 43 transferiert der NPN-AAA-Server 5 den EMSK über die drahtgebundene Schnittstelle 12 zu der AUSF-Entität 7.
  • Bei 44 empfängt die AUSF-Entität 7 den EMSK über die drahtgebundene Schnittstelle 12 und entschlüsselt den empfangenen EMSK basierend auf dem gehaltenen privaten Schlüssel.
  • Eine Ausführungsform eines Benutzergeräts (AAA-UE) 9, einer Basisstation (BS) 3 (z. B. NR eNB/gNB), eines Kommunikationspfades 104 zwischen dem AAA-UE 9 und der BS 3, einer Authentifizierungsserverfunktion(AUSF)-Entität 7, eines Kommunikationspfades 108 zwischen der BS 3 und der AUSF-Entität 7 (die BS 3 ist möglicherweise nicht direkt mit der AUSF-Entität verbunden, aber für Veranschaulichungszwecke ist der Kommunikationspfad 108 als eine direkte Verbindung veranschaulicht), eines Authentifizierung-Autorisierung-Abrechnung-Servers für ein nicht-öffentliches Netz (NPN-AAA-Server) 5 und eines Kommunikationspfades 109 zwischen dem NPN-AAA-Server 5 und dem AAA-UE 9, der zum Implementieren von Ausführungsformen der vorliegenden Offenbarung verwendet wird, ist unter Bezugnahme auf 8 beschrieben.
  • Das AAA-UE 9 weist einen Sender 101, einen Empfänger 102 und eine Steuerung 103 auf, wobei allgemein die technische Funktionalität des Senders 101, des Empfängers 102 und der Steuerung 103 dem Fachmann bekannt sind, und somit wird eine ausführlichere Beschreibung von diesen weggelassen.
  • Die BS 3 weist einen Sender 105, einen Empfänger 106 und eine Steuerung 107 auf, wobei auch hier allgemein die Funktionalität des Senders 105, des Empfängers 106 und der Steuerung 107 dem Fachmann bekannt sind, und somit wird eine ausführlichere Beschreibung von diesen weggelassen.
  • Der Kommunikationspfad 104 weist einen Uplink-Pfad 104a, der vom AAA-UE 9 zu der BS 3 läuft, und einen Downlink-Pfad 104b, der von der BS 3 zu dem AAA-UE 9 läuft, auf.
  • Während des Betriebs steuert die Steuerung 103 des AAA-UE 9 den Empfang von Downlink-Signalen über den Downlink-Pfad 104b am Empfänger 102 und steuert die Steuerung 103 die Übertragung von Uplink-Signalen über den Uplink-Pfad 104a über den Sender 101.
  • Gleichermaßen steuert die Steuerung 107 der BS 3 während des Betriebs die Übertragung von Downlink-Signalen über den Downlink-Pfad 104b über den Sender 105 und steuert die Steuerung 107 den Empfang von Uplink-Signalen über den Uplink-Pfad 104a am Empfänger 106.
  • Die BS 3 kann mit der AUSF-Entität 7 über den Kommunikationspfad 108 kommunizieren, der über eine Netzschnittstelle bereitgestellt werden kann, die typischerweise für eine solche Kommunikation verwendet wird. Von daher ist eine Kommunikation über eine Netzschnittstelle dem Fachmann bekannt, und eine ausführlichere Beschreibung von dieser wird weggelassen.
  • Der NPN-AAA-Server 5 kann mit dem AAA-UE 9 über den Kommunikationspfad 109 kommunizieren, der über eine Netzschnittstelle bereitgestellt werden kann, die typischerweise für eine solche Kommunikation verwendet wird. Von daher ist eine Kommunikation über eine Netzschnittstelle dem Fachmann bekannt, und eine ausführlichere Beschreibung von dieser wird weggelassen.
  • 9 veranschaulicht in einem Blockdiagramm einen Mehrzweck-Computer 130, der zum Implementieren eines Benutzergeräts, einer Basisstation, eines Authentifizierung-Autorisierung-Abrechnung-Servers eines nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität verwendet werden kann.
  • Der Computer 130 kann so implementiert werden, dass er im Grunde als eine beliebige Art von Benutzergerät, Basisstation oder New-Radio-Basisstation, Übertragungs- und Empfangspunkt oder Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes oder Authentifizierungsserverfunktionsentität fungieren kann, wie hierin beschrieben. Der Computer weist Komponenten 131 bis 141 auf, die eine Schaltungsanordnung bilden können, wie etwa eine beliebige der Schaltungsanordnungen der Basisstationen und der Benutzergeräte, und dergleichen, wie hierin beschrieben.
  • Ausführungsformen, die Software, Firmware, Programme oder dergleichen zum Durchführen der wie hierin beschriebenen Verfahren verwenden, können auf dem Computer 130 installiert sein, der dann konfiguriert wird, für die konkrete Ausführungsform geeignet zu sein.
  • Der Computer 130 weist eine CPU 131 (Zentralverarbeitungseinheit) auf, die verschiedene Arten von Prozeduren und Verfahren ausführen kann, wie hierin beschrieben, zum Beispiel gemäß Programmen, die in einem Nurlesespeicher (ROM) 132 gespeichert sind, in einer Speicherung 137 gespeichert sind und in einen Direktzugriffsspeicher (RAM) 133 geladen werden, auf einem Medium 140 gespeichert sind, das in ein jeweiliges Laufwerk 139 eingesetzt werden kann, usw.
  • Die CPU 131, der ROM 132 und der RAM 133 sind mit einem Bus 141 verbunden, der im Gegenzug mit einer Eingabe/Ausgabe-Schnittstelle 134 verbunden ist. Die Anzahl von CPUs, Speichern und Speicherungen ist nur beispielhaft, und der Fachmann wird verstehen, dass der Computer 130 entsprechend ausgebildet und konfiguriert sein kann, um spezifische Anforderungen zu erfüllen, die auftreten, wenn er als eine Basisstation oder als ein Benutzergerät fungiert.
  • An der Eingabe/Ausgabe-Schnittstelle 134 sind mehrere Komponenten verbunden: eine Eingabe 135, eine Ausgabe 136, die Speicherung 137, eine Kommunikationsschnittstelle 138 und das Laufwerk 139, in das das Medium 140 (Compact Disc, Digital Video Disc, Compact-Flash-Speicher oder dergleichen) eingesetzt werden kann.
  • Die Eingabe 135 kann eine Zeigervorrichtung (Maus, Grafiktafel oder dergleichen), eine Tastatur, ein Mikrofon, eine Kamera, ein Touchscreen usw. sein.
  • Die Ausgabe 136 kann eine Anzeige (Flüssigkristallanzeige, Kathodenstrahlröhrenanzeige, Leuchtdiodenanzeige usw.), Lautsprecher usw. aufweisen.
  • Die Speicherung 137 kann eine Festplatte, ein Solid-State-Laufwerk und dergleichen aufweisen.
  • Die Kommunikationsschnittstelle 138 kann dazu ausgebildet sein, zum Beispiel über ein Lokalnetzwerk (LAN), ein drahtloses Lokalnetzwerk (WLAN), ein Mobiltelekommunikationssystem (GSM, UMTS, LTE, NR usw.), Bluetooth, Infrarot usw. zu kommunizieren.
  • Es sollte angemerkt werden, dass die obige Beschreibung nur eine beispielhafte Konfiguration des Computers 130 betrifft. Alternative Konfigurationen können mit zusätzlichen oder anderen Sensoren, Speicherungsvorrichtungen, Schnittstellen oder dergleichen implementiert werden. Beispielsweise kann die Kommunikationsschnittstelle 138 andere Funkzugangstechnologien als die erwähnten UMTS, LTE und NR unterstützen.
  • Wenn der Computer 130 als eine Basisstation fungiert, kann die Kommunikationsschnittstelle 138 ferner eine jeweilige Luftschnittstelle (die z. B. E-UTRA-Protokoll-OFDMA (Downlink) und SC-FDMA (Uplink) bereitstellt) und Netzwerkschnittstellen (die zum Beispiel Protokolle wie etwa S1-AP, GTP-U, S1-MME, X2-AP oder dergleichen implementieren) aufweisen. Der Computer 130 wird auch implementiert, um Daten gemäß TCP zu übertragen. Darüber hinaus kann der Computer 130 eine oder mehrere Antennen und/oder ein Antennenarray aufweisen. Die vorliegende Offenbarung ist nicht auf irgendwelche Besonderheiten solcher Protokolle beschränkt.
  • Alle Einheiten und Entitäten, die in dieser Spezifikation beschrieben und in den angehängten Ansprüchen beansprucht sind, können, falls nicht anders angegeben, als integrierte Schaltungslogik, zum Beispiel auf einem Chip, implementiert werden, und Funktionalität, die durch solche Einheiten und Entitäten bereitgestellt wird, kann, falls nicht anders angegeben, durch Software implementiert werden.
  • Insofern die oben beschriebenen Ausführungsformen der Offenbarung zumindest teilweise unter Verwendung einer softwaregesteuerten Datenverarbeitungseinrichtung implementiert werden, versteht es sich, dass ein Computerprogramm, das eine solche Softwaresteuerung bereitstellt, und ein Übertragungs-, Speicherungs- oder anderes Medium, durch das ein solches Computerprogramm bereitgestellt wird, als Aspekte der vorliegenden Offenbarung vorgesehen sind.
  • Es ist anzumerken, dass die vorliegende Technologie auch wie unten beschrieben ausgelegt sein kann.
    1. (1) Ein Benutzergerät für ein Mobiltelekommunikationssystem, das eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
      • Kommunizieren mit einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes und Initiieren einer Registrierungsprozedur mit dem Mobiltelekommunikationssystem; und
      • Bereitstellen einer Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität im Mobiltelekommunikationssystem.
    2. (2) Das Benutzergerät nach (1), wobei das Benutzergerät der Authentifizierungsserverfunktionsentität eine Indikation während der Registrierungsprozedur mit dem Mobiltelekommunikationssystem signalisiert, dass das Benutzergerät mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes zum Bereitstellen der Authentifizierungsschnittstelle assoziiert ist.
    3. (3) Das Benutzergerät nach (2), wobei die Signalisierung auf einer Access-Stratum-Signalisierungsnachricht oder einer Non-Access-Stratum-Signalisierungsnachricht basiert.
    4. (4) Das Benutzergerät nach (2) oder (3), wobei die Signalisierung durchgeführt wird, wenn das Benutzergerät und die Authentifizierungsserverfunktionsentität einen Sicherheitskontext hergestellt haben.
    5. (5) Das Benutzergerät nach (4), wobei die Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und der Authentifizierungsserverfunktionsentität bereitgestellt wird, wenn das Benutzergerät als Reaktion auf die Signalisierung als das Benutzergerät authentifiziert und autorisiert wird, das mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist.
    6. (6) Das Benutzergerät nach einem von (1) bis (5), wobei die Schaltungsanordnung ferner ausgelegt ist zum:
      • Transferieren eines erweiterten Master-Sitzungsschlüssels, der durch den Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über eine Authentifizierungsschnittstelle zu der Authentifizierungsserverfunktionsentität.
    7. (7) Das Benutzergerät nach (6), wobei der erzeugte und verschlüsselte erweiterte Master-Sitzungsschlüssel basierend auf einem Berechtigungsnachweis des Benutzergeräts verschlüsselt wird, wobei der Berechtigungsnachweis eines von Kausf, CK/IK, RRCint und Upciph ist.
    8. (8) Das Benutzergerät nach (6) oder (7), wobei der erzeugte und verschlüsselte erweiterte Master-Sitzungsschlüssel basierend auf einem Berechtigungsnachweis des Benutzergeräts verschlüsselt wird, wobei der Berechtigungsnachweis aus CK/IK abgeleitet wird.
    9. (9) Das Benutzergerät nach einem von (1) bis (8), wobei die Authentifizierungsschnittstelle über eine Benutzerebenenfunktion des Mobiltelekommunikationssystems bereitgestellt wird.
    10. (10) Das Benutzergerät nach (9), wobei Datenpakete eines erweiterbaren Authentifizierungsprotokolls, die über die Authentifizierungsschnittstelle übertragen werden, als Benutzerebenen-Datenpakete behandelt werden.
    11. (11) Das Benutzergerät nach einem von (1) bis (10), wobei die Authentifizierungsschnittstelle ein RADIUS- oder ein DIAMETER-Protokoll unterstützt.
    12. (12) Das Benutzergerät nach einem von (1) bis (11), wobei ein bei der Registrierungsprozedur verwendetes Authentifizierungsverfahren eines von einem Authentifizierungs- und Schlüsselvereinbarungsprotokoll, einem Erweiterbares-Authentifizierungsprotokoll-Authentifizierungs- und Schlüsselvereinbarungsprotokoll‘ und einer Erweiterbares-Authentifizierungsprotokoll-Transportschichtsicherheit beinhaltet.
    13. (13) Das Benutzergerät nach einem von (1) bis (12), wobei die Schaltungsanordnung ferner ausgelegt ist zum:
      • Bestimmen eines Zugangspunktnamens in der Registrierungsprozedur als die Authentifizierungsserverfunktionsentität oder eine Authentifizierungsberechtigungsnachweisrepositorium- und -verarbeitungsfunktionsentität oder eine vereinheitlichte Datenverwaltungsentität.
    14. (14) Das Benutzergerät nach einem von (1) bis (13), wobei die Schaltungsanordnung ferner ausgelegt ist zum:
      • Verbieten des Zugriffs auf beliebige andere Daten oder andere Dienste, die durch das Mobiltelekommunikationssystem angeboten werden.
    15. (15) Das Benutzergerät nach einem von (1) bis (14), wobei die Schaltungsanordnung ferner ausgelegt ist zum:
      • Übertragen jeglicher empfangenen Informationen vom Mobiltelekommunikationssystem über die Authentifizierungsschnittstelle zu dem assoziierten Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes.
    16. (16) Das Benutzergerät nach (15), wobei die empfangenen Informationen Datenpakete des erweiterbaren Authentifizierungsprotokolls von einem Benutzergerät des nicht-öffentlichen Netzes, das sich in einem nicht-öffentlichen Netz befindet, zur Authentifizierung am Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes beinhalten.
    17. (17) Das Benutzergerät nach einem von (2) bis (16), wobei die Signalisierung durchgeführt wird, wenn ein Sicherheitskontext über alle Knoten hinweg hergestellt wurde.
    18. (18) Ein Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
      • Kommunizieren mit einem assoziierten Benutzergerät für ein Mobiltelekommunikationssystem; und
      • Empfangen von Informationen von dem assoziierten Benutzergerät, wobei das assoziierte Benutzergerät die Datenpakete vom Mobiltelekommunikationssystem über eine Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität im Mobiltelekommunikationssystem, die durch das assoziierte Benutzergerät bereitgestellt wird, empfing.
    19. (19) Der Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes nach (18), wobei die von dem assoziierten Benutzergerät empfangenen Informationen Datenpakete des erweiterbaren Authentifizierungsprotokolls von einem Benutzergerät des nicht-öffentlichen Netzes, das sich in einem nicht-öffentlichen Netz befindet, zur Authentifizierung am Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes beinhalten.
    20. (20) Der Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes nach (18) oder (19), wobei die Schaltungsanordnung ferner ausgelegt ist zum:
      • Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf einem Berechtigungsnachweis des assoziierten Benutzergeräts.
    21. (21) Der Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes nach (20), wobei der Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes den erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssel zu dem assoziierten Benutzergerät zum Transferieren des erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssels über die Authentifizierungsschnittstelle zu der Authentifizierungsserverfunktionsentität überträgt.
    22. (22) Ein Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
      • Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf einer vorher vereinbarten Authentifizierung-Autorisierung-Abrechnung-Server-ID eines nicht-öffentlichen Netzes des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes; und
      • Transferieren des erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssels über eine drahtgebundene Schnittstelle zu einer Authentifizierungsserverfunktionsentität.
    23. (23) Der Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes nach (22), wobei die vorher vereinbarte Authentifizierung-Autorisierung-Abrechnung-Server-ID des nicht-öffentlichen Netzes eines aus einem Schlüssel, einer ID und einem Zertifikat des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes ist.
    24. (24) Ein Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
      • Empfangen eines öffentlichen Schlüssels von einer Authentifizierungsserverfunktionsentität;
      • Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf dem empfangenen öffentlichen Schlüssel; und
      • Transferieren des erweiterten Master-Sitzungsschlüssels über eine drahtgebundene Schnittstelle zu der Authentifizierungsserverfunktionsentität.
    25. (25) Ein Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
      • Erhalten eines vorbestimmten Geheimschlüssels, der in einem sicheren Speicher in dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes im Voraus gespeichert wird;
      • Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf dem vorbestimmten Geheimschlüssel; und
      • Transferieren des erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssels über eine drahtgebundene Schnittstelle zu einer Authentifizierungsserverfunktionsentität.
    26. (26) Eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
      • Registrieren eines Benutzergeräts, das mit einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes assoziiert ist, bei dem Mobiltelekommunikationssystem; und
      • Empfangen einer Signalisierung vom Benutzergerät, die angibt, dass das Benutzergerät mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist, wobei eine Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und der Authentifizierungsserverfunktionsentität bereitgestellt wird, wenn das Benutzergerät als Reaktion auf die Signalisierung als das Benutzergerät authentifiziert und autorisiert wird, das mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist.
    27. (27) Die Authentifizierungsserverfunktionsentität nach (26), wobei die Schaltungsanordnung ferner ausgelegt ist zum:
      • Empfangen eines erweiterten Master-Sitzungsschlüssels, der durch den Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über die Authentifizierungsschnittstelle, wobei der erzeugte und verschlüsselte erweiterte Master-Sitzungsschlüssel basierend auf einem Berechtigungsnachweis des Benutzergeräts, das mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist, verschlüsselt wird.
    28. (28) Eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
      • Empfangen eines erweiterten Master-Sitzungsschlüssels, der durch einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über eine drahtgebundene Schnittstelle; und
      • Entschlüsseln des verschlüsselten erweiterten Master-Sitzungsschlüssels basierend auf einer vorher vereinbarten Authentifizierung-Autorisierung-Abrechnung-Server-ID eines nicht-öffentlichen Netzes des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes.
    29. (29) Die Authentifizierungsserverfunktionsentität nach (28), wobei die vorher vereinbarte Authentifizierung-Autorisierung-Abrechnung-ID des nicht-öffentlichen Netzes eines aus einem Schlüssel, einer ID und einem Zertifikat des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes ist.
    30. (30) Eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
      • Erzeugen eines öffentlichen Schlüssels und eines privaten Schlüssels; und Übertragen des öffentlichen Schlüssels über eine drahtgebundene Schnittstelle zu einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, wobei die Authentifizierungsserverfunktionsentität den privaten Schlüssel hält.
    31. (31) Die Authentifizierungsserverfunktionsentität nach (30), wobei die Schaltungsanordnung ferner ausgelegt ist zum:
      • Empfangen, über die drahtgebundene Schnittstelle, eines erweiterten Master-Sitzungsschlüssels, der durch den Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes basierend auf dem öffentlichen Schlüssel erzeugt und verschlüsselt wird; und
      • Entschlüsseln des empfangenen erweiterten Master-Sitzungsschlüssels basierend auf dem gehaltenen privaten Schlüssel.
    32. (32) Eine Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung beinhaltet, die ausgelegt ist zum:
      • Erhalten eines vorbestimmten Geheimschlüssels, der in einem sicheren Speicher in der Authentifizierungsserverfunktionsentität im Voraus gespeichert wird;
      • Empfangen eines erweiterten Master-Sitzungsschlüssels, der durch einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über eine drahtgebundene Schnittstelle; und
      • Entschlüsseln des verschlüsselten erweiterten Master-Sitzungsschlüssels basierend auf dem vorbestimmten Geheimschlüssel.

Claims (32)

  1. Benutzergerät für ein Mobiltelekommunikationssystem, das eine Schaltungsanordnung umfasst, die ausgelegt ist zum: Kommunizieren mit einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes und Initiieren einer Registrierungsprozedur mit dem Mobiltelekommunikationssystem; und Bereitstellen einer Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität im Mobiltelekommunikationssystem.
  2. Benutzergerät nach Anspruch 1, wobei das Benutzergerät der Authentifizierungsserverfunktionsentität eine Indikation während der Registrierungsprozedur mit dem Mobiltelekommunikationssystem signalisiert, dass das Benutzergerät mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes zum Bereitstellen der Authentifizierungsschnittstelle assoziiert ist.
  3. Benutzergerät nach Anspruch 2, wobei die Signalisierung auf einer Access-Stratum-Signalisierungsnachricht oder einer Non-Access-Stratum-Signalisierungsnachricht basiert.
  4. Benutzergerät nach Anspruch 2, wobei die Signalisierung durchgeführt wird, wenn das Benutzergerät und die Authentifizierungsserverfunktionsentität einen Sicherheitskontext hergestellt haben.
  5. Benutzergerät nach Anspruch 4, wobei die Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und der Authentifizierungsserverfunktionsentität bereitgestellt wird, wenn das Benutzergerät als Reaktion auf die Signalisierung als das Benutzergerät authentifiziert und autorisiert wird, das mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist.
  6. Benutzergerät nach Anspruch 1, wobei die Schaltungsanordnung ferner ausgelegt ist zum: Transferieren eines erweiterten Master-Sitzungsschlüssels, der durch den Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über die Authentifizierungsschnittstelle zu der Authentifizierungsserverfunktionsentität.
  7. Benutzergerät nach Anspruch 6, wobei der erzeugte und verschlüsselte erweiterte Master-Sitzungsschlüssel basierend auf einem Berechtigungsnachweis des Benutzergeräts verschlüsselt wird, wobei der Berechtigungsnachweis eines von Kausf, CK/IK, RRCint und Upciph ist.
  8. Benutzergerät nach Anspruch 6, wobei der erzeugte und verschlüsselte erweiterte Master-Sitzungsschlüssel basierend auf einem Berechtigungsnachweis des Benutzergeräts verschlüsselt wird, wobei der Berechtigungsnachweis aus CK/IK abgeleitet wird.
  9. Benutzergerät nach Anspruch 1, wobei die Authentifizierungsschnittstelle über eine Benutzer-ebenenfunktion des Mobiltelekommunikationssystems bereitgestellt wird.
  10. Benutzergerät nach Anspruch 9, wobei Datenpakete eines erweiterbaren Authentifizierungsprotokolls, die über die Authentifizierungsschnittstelle übertragen werden, als Benutzerebenen-Datenpakete behandelt werden.
  11. Benutzergerät nach Anspruch 1, wobei die Authentifizierungsschnittstelle ein RADIUS- oder ein DIAMETER-Protokoll unterstützt.
  12. Benutzergerät nach Anspruch 1, wobei ein bei der Registrierungsprozedur verwendetes Authentifizierungsverfahren eines von einem Authentifizierungs- und Schlüsselvereinbarungsprotokoll, einem Erweiterbares-Authentifizierungsprotokoll-Authentifizierungs- und Schlüsselvereinbarungsprotokoll‘ und einer Erweiterbares-Authentifizierungsprotokoll-Transportschichtsicherheit beinhaltet.
  13. Benutzergerät nach Anspruch 1, wobei die Schaltungsanordnung ferner ausgelegt ist zum: Bestimmen eines Zugangspunktnamens in der Registrierungsprozedur als die Authentifizierungsserverfunktionsentität oder eine Authentifizierungsberechtigungsnachweisrepositorium- und -verarbeitungsfunktionsentität oder eine vereinheitlichte Datenverwaltungsentität.
  14. Benutzergerät nach Anspruch 1, wobei die Schaltungsanordnung ferner ausgelegt ist zum: Verbieten des Zugriffs auf beliebige andere Daten oder andere Dienste, die durch das Mobiltelekommunikationssystem angeboten werden.
  15. Benutzergerät nach Anspruch 1, wobei die Schaltungsanordnung ferner ausgelegt ist zum: Übertragen jeglicher empfangenen Informationen vom Mobiltelekommunikationssystem über die Authentifizierungsschnittstelle zu dem assoziierten Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes.
  16. Benutzergerät nach Anspruch 15, wobei die empfangenen Informationen Datenpakete des erweiterbaren Authentifizierungsprotokolls von einem Benutzergerät des nicht-öffentlichen Netzes, das sich in einem nicht-öffentlichen Netz befindet, zur Authentifizierung am Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes beinhalten.
  17. Benutzergerät nach Anspruch 2, wobei die Signalisierung durchgeführt wird, wenn ein Sicherheitskontext über alle Knoten hinweg hergestellt wurde.
  18. Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung umfasst, die ausgelegt ist zum: Kommunizieren mit einem assoziierten Benutzergerät für ein Mobiltelekommunikationssystem; und Empfangen von Informationen von dem assoziierten Benutzergerät, wobei das assoziierte Benutzergerät die Datenpakete vom Mobiltelekommunikationssystem über eine Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und einer Authentifizierungsserverfunktionsentität im Mobiltelekommunikationssystem, die durch das assoziierte Benutzergerät bereitgestellt wird, empfing.
  19. Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes nach Anspruch 18, wobei die von dem assoziierten Benutzergerät empfangenen Informationen Datenpakete des erweiterbaren Authentifizierungsprotokolls von einem Benutzergerät des nicht-öffentlichen Netzes, das sich in einem nicht-öffentlichen Netz befindet, zur Authentifizierung am Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes beinhalten.
  20. Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes nach Anspruch 18, wobei die Schaltungsanordnung ferner ausgelegt ist zum: Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf einem Berechtigungsnachweis des assoziierten Benutzergeräts.
  21. Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes nach Anspruch 20, wobei der Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes den erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssel zu dem assoziierten Benutzergerät zum Transferieren des erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssels über die Authentifizierungsschnittstelle zu der Authentifizierungsserverfunktionsentität überträgt.
  22. Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung umfasst, die ausgelegt ist zum: Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf einer vorher vereinbarten Authentifizierung-Autorisierung-Abrechnung-Server-ID eines nicht-öffentlichen Netzes des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes; und Transferieren des erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssels über eine drahtgebundene Schnittstelle zu einer Authentifizierungsserverfunktionsentität.
  23. Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes nach Anspruch 22, wobei die vorher vereinbarte Authentifizierung-Autorisierung-Abrechnung-Server-ID des nicht-öffentlichen Netzes eines aus einem Schlüssel, einer ID und einem Zertifikat des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes ist.
  24. Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung umfasst, die ausgelegt ist zum: Empfangen eines öffentlichen Schlüssels von einer Authentifizierungsserverfunktionsentität; Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf dem empfangenen öffentlichen Schlüssel; und Transferieren des erweiterten Master-Sitzungsschlüssels über eine drahtgebundene Schnittstelle zu der Authentifizierungsserverfunktionsentität.
  25. Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, der eine Schaltungsanordnung umfasst, die ausgelegt ist zum: Erhalten eines vorbestimmten Geheimschlüssels, der in einem sicheren Speicher in dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes im Voraus gespeichert wird; Erzeugen und Verschlüsseln eines erweiterten Master-Sitzungsschlüssels basierend auf dem vorbestimmten Geheimschlüssel; und Transferieren des erzeugten und verschlüsselten erweiterten Master-Sitzungsschlüssels über eine drahtgebundene Schnittstelle zu einer Authentifizierungsserverfunktionsentität.
  26. Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung umfasst, die ausgelegt ist zum: Registrieren eines Benutzergeräts, das mit einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes assoziiert ist, bei dem Mobiltelekommunikationssystem; und Empfangen einer Signalisierung vom Benutzergerät, die angibt, dass das Benutzergerät mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist, wobei eine Authentifizierungsschnittstelle zwischen dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes und der Authentifizierungsserverfunktionsentität bereitgestellt wird, wenn das Benutzergerät als Reaktion auf die Signalisierung als das Benutzergerät authentifiziert und autorisiert wird, das mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist.
  27. Authentifizierungsserverfunktionsentität nach Anspruch 26, wobei die Schaltungsanordnung ferner ausgelegt ist zum: Empfangen eines erweiterten Master-Sitzungsschlüssels, der durch den Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über die Authentifizierungsschnittstelle, wobei der erzeugte und verschlüsselte erweiterte Master-Sitzungsschlüssel basierend auf einem Berechtigungsnachweis des Benutzergeräts, das mit dem Authentifizierung-Autorisierung-Abrechnung-Server des nicht-öffentlichen Netzes assoziiert ist, verschlüsselt wird.
  28. Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung umfasst, die ausgelegt ist zum: Empfangen eines erweiterten Master-Sitzungsschlüssels, der durch einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über eine drahtgebundene Schnittstelle; und Entschlüsseln des verschlüsselten erweiterten Master-Sitzungsschlüssels basierend auf einer vorher vereinbarten Authentifizierung-Autorisierung-Abrechnung-Server-ID eines nicht-öffentlichen Netzes des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes.
  29. Authentifizierungsserverfunktionsentität nach Anspruch 28, wobei die vorher vereinbarte Authentifizierung-Autorisierung-Abrechnung-ID des nicht-öffentlichen Netzes eines aus einem Schlüssel, einer ID und einem Zertifikat des Authentifizierung-Autorisierung-Abrechnung-Servers des nicht-öffentlichen Netzes ist.
  30. Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung umfasst, die ausgelegt ist zum: Erzeugen eines öffentlichen Schlüssels und eines privaten Schlüssels; und Übertragen des öffentlichen Schlüssels über eine drahtgebundene Schnittstelle zu einem Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes, wobei die Authentifizierungsserverfunktionsentität den privaten Schlüssel hält.
  31. Authentifizierungsserverfunktionsentität nach Anspruch 30, wobei die Schaltungsanordnung ferner ausgelegt ist zum: Empfangen, über die drahtgebundene Schnittstelle, eines erweiterten Master-Sitzungsschlüssels, der durch den Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes basierend auf dem öffentlichen Schlüssel erzeugt und verschlüsselt wird; und Entschlüsseln des empfangenen erweiterten Master-Sitzungsschlüssels basierend auf dem gehaltenen privaten Schlüssel.
  32. Authentifizierungsserverfunktionsentität für ein Mobiltelekommunikationssystem, die eine Schaltungsanordnung umfasst, die ausgelegt ist zum: Erhalten eines vorbestimmten Geheimschlüssels, der in einem sicheren Speicher in der Authentifizierungsserverfunktionsentität im Voraus gespeichert wird; Empfangen eines erweiterten Master-Sitzungsschlüssels, der durch einen Authentifizierung-Autorisierung-Abrechnung-Server eines nicht-öffentlichen Netzes erzeugt und verschlüsselt wird, über eine drahtgebundene Schnittstelle; und Entschlüsseln des verschlüsselten erweiterten Master-Sitzungsschlüssels basierend auf dem vorbestimmten Geheimschlüssel.
DE112021000866.8T 2020-01-31 2021-01-26 Benutzergerät, authentifizierung-autorisierung-abrechnung-server eines nicht-öffentlichen netzes, authentifizierungsserverfunktionsentität Pending DE112021000866T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP20154959.9 2020-01-31
EP20154959 2020-01-31
PCT/EP2021/051750 WO2021151888A1 (en) 2020-01-31 2021-01-26 User equipment, non-public network authentication-authorization-accounting server, authentication server function entity

Publications (1)

Publication Number Publication Date
DE112021000866T5 true DE112021000866T5 (de) 2023-01-05

Family

ID=69423217

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112021000866.8T Pending DE112021000866T5 (de) 2020-01-31 2021-01-26 Benutzergerät, authentifizierung-autorisierung-abrechnung-server eines nicht-öffentlichen netzes, authentifizierungsserverfunktionsentität

Country Status (4)

Country Link
US (1) US20230057968A1 (de)
CN (1) CN115004638A (de)
DE (1) DE112021000866T5 (de)
WO (1) WO2021151888A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
US11785456B2 (en) 2020-08-18 2023-10-10 Cisco Technology, Inc. Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090217048A1 (en) * 2005-12-23 2009-08-27 Bce Inc. Wireless device authentication between different networks
WO2018137873A1 (en) * 2017-01-27 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Secondary authentication of a user equipment

Also Published As

Publication number Publication date
WO2021151888A1 (en) 2021-08-05
US20230057968A1 (en) 2023-02-23
CN115004638A (zh) 2022-09-02

Similar Documents

Publication Publication Date Title
US10505718B1 (en) Systems, devices, and techniques for registering user equipment (UE) in wireless networks using a native blockchain platform
US11451549B2 (en) Authorization for network function registration
DE102017212994B3 (de) INSTALLATION UND TESTEN EINES ELEKTRONISCHEN TEILNEHMERIDENTITÄTSMODULS (eSIM)
DE102019218394A1 (de) Bereitstellung von elektronischen teilnehmeridentitätsmodulen für mobile drahtlose vorrichtungen
DE102018214850A1 (de) Verwaltung einer eingebetteten universellen integrierten Schaltkarten (EUICC)-Bereitstellung mit mehreren Zertifikatsausstellern (CIS)
DE102017215230B4 (de) Sichere kontrolle von profilrichtlinienregeln
DE112016004598T5 (de) INSTANZIIERUNG VON MEHREREN INSTANZEN EINES ELEKTRONISCHEN TEILNEHMERIDENTITÄTSMODULS (eSIM)
DE102016122120B4 (de) Schalten einer Netzwerk-Konnektivität unter Verwendung eines Authentifizierungsgerät
DE112021000866T5 (de) Benutzergerät, authentifizierung-autorisierung-abrechnung-server eines nicht-öffentlichen netzes, authentifizierungsserverfunktionsentität
DE112018000632T5 (de) Verfahren und systeme zum verbinden eines drahtlosen kommunikationsgeräts mit einem verlegbaren drahtlosen kommunikationsnetzwerk
DE102021209124A1 (de) Systeme und verfahren zum datenschutz einer multilink-vorrichtung
DE102016122124A1 (de) Schalten einer Netzwerk-Konnektivität unter Verwendung eines Authentifizierungsgerät
DE60224391T2 (de) Sicherer Zugang zu einem Teilnehmermodul
EP4013091A1 (de) Kommunikationsverfahren und -vorrichtung
WO2020012065A1 (en) Security management for unauthorized requests in communication system with service-based architecture
CN111372250A (zh) 基站的判断方法及装置、存储介质和电子装置
US20240056302A1 (en) Apparatus, method, and computer program
WO2023213208A1 (zh) 一种通信方法及通信装置
DE102020200622B4 (de) Initialisierungsvektorerzeugung beim Ausführen von Verschlüsselung und Authentifizierung in drahtlosen Kommunikationen
EP3669508B1 (de) Geschützte nachrichtenübertragung
WO2023245318A1 (en) Devices and methods for policy communication in a wireless local area network
WO2024098176A1 (en) Systems and methods for ue identification at the access layer
EP4395391A1 (de) Benutzergerätecluster zur netzwerkregistrierung und -authentifizierung
EP4362516A1 (de) Verfahren und vorrichtung zur drahtlosen kommunikation
DE102021114182A1 (de) Unterstützung für frühe datenweiterleitung für sekundärknoten (sn) terminierte bearer

Legal Events

Date Code Title Description
R012 Request for examination validly filed