ES2806991T3 - Autentificación para sistemas de próxima generación - Google Patents
Autentificación para sistemas de próxima generación Download PDFInfo
- Publication number
- ES2806991T3 ES2806991T3 ES17797092T ES17797092T ES2806991T3 ES 2806991 T3 ES2806991 T3 ES 2806991T3 ES 17797092 T ES17797092 T ES 17797092T ES 17797092 T ES17797092 T ES 17797092T ES 2806991 T3 ES2806991 T3 ES 2806991T3
- Authority
- ES
- Spain
- Prior art keywords
- authentication
- upf
- eap
- response
- computer program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Business, Economics & Management (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
- Computer And Data Communications (AREA)
Abstract
Un método para autentificación secundaria en una red, realizado por un equipo de usuario (UE), comprendiendo el método: establecer (100) una autentificación primaria con una función de anclaje de seguridad, SEAF; establecer (110) una sesión o conexión de plano de usuario, UP, con o mediante una función UP, UPF; recibir (130) una solicitud de autentificación basada en un protocolo de autentificación extensible, EAP, a través de la UPF; enviar (140) una respuesta de autentificación basada en EAP a la UPF; y recibir un resultado de autentificación basado en EAP a través de la UPF, el resultado de autentificación basado en EAP basado en una respuesta de verificación desde un servidor externo de autentificación, autorización y contabilidad, AAA.
Description
DESCRIPCIÓN
Autentificación para sistemas de próxima generación
Campo técnico
La presente divulgación se refiere a un método y a un aparato para autentificación secundaria en una red.
Antecedentes
El Proyecto de Asociación de 3a Generación (3GPP) está desarrollando actualmente los estándares para 5G, también conocidos como sistemas de próxima generación (NG). Se espera que 5G sea compatible con muchos escenarios nuevos y casos de uso y sea un habilitador para Internet de las cosas (loT). Se espera que los sistemas NG proporcionen conectividad a una amplia gama de dispositivos nuevos, tal como sensores, dispositivos portátiles inteligentes, vehículos, máquinas, etc. Por lo tanto, la flexibilidad es una propiedad clave en Sistemas de NG. Esto se refleja en el requisito de seguridad para el acceso a la red que exige el soporte de métodos de autentificación alternativos y diferentes tipos de credenciales, en comparación con las credenciales habituales de autentificación y acuerdo de clave (AKA) aprovisionadas previamente por un operador y almacenadas de forma segura en una tarjeta de circuito integrado universal (UICC). Esto permitiría a los propietarios de fábricas o empresas aprovechar sus propios sistemas de gestión de identidad y credenciales para la autentificación y la seguridad de la red de acceso. Entre las nuevas características de sistemas de NG está el concepto de segmentación de red. Un segmento de red (NS) es básicamente una instancia de una red central dedicada para proporcionar un servicio particular. Esto permitirá a los operadores manejar una amplia variedad de nuevos casos de uso, cada uno con diferentes requisitos de servicio en términos de calidad de servicio (QoS). Por ejemplo, un operador podría estar ejecutando un NS para los servicios habituales de banda ancha móvil (MBB), en paralelo con un NS de misión crítica para servicios de seguridad pública (tal como la función de pulsar para hablar de misión crítica (MCPTT)) que requiere una latencia muy baja, más en paralelo con un NS de loT para medidores de electricidad con muy poco ancho de banda.
Entre los temas que se estudian en relación con la segmentación de red se encuentra el desacoplamiento de los procedimientos de autentificación y autorización para acceder a diferentes NS.
Qualcomm Inc., LG Electronics: "Way forward on support of non-3GPP access and update o solution 8.6 for support of untrusted non-3GPP access", el Proyecto de Asociación de 3a Generación (3GPP), Reunión SA WG2 #117, S2-166283, divulga un método de autentificación a través de acceso no fiable no 3GPP. Después de obtener conectividad IP a través de un acceso no fiable que no sea 3GPP, un UE descubre una puerta de enlace (llamada ngPDG) utilizando un mecanismo similar al descubrimiento de ePDG en el EPC. El UE luego realiza una conexión de red en dos etapas. En primer lugar, el UE establece un túnel IPSec con la ngPDG utilizando los mismos procedimientos definidos para la ePDG en EPC. En segundo lugar, una vez que se establece el túnel y, por lo tanto, el UE se autentifica, el UE envía la señalización NAS que contiene una solicitud de conexión. La red, al recibir la solicitud de conexión NAS del UE, verifica que el UE ya está autentificado y procesa el procedimiento de conexión sin volver a autentificar el UE.
Sumario
Un objeto de las realizaciones presentadas en el presente documento es permitir el desacoplamiento de la autentificación en sistemas de próxima generación.
Según un primer aspecto, se presenta un método para autentificación secundaria en una red. El método lo realiza un equipo de usuario (UE) y comprende establecer una autentificación primaria con una función de anclaje de seguridad (SEAF), establecer una sesión de plano de usuario (UP) o conexión con o mediante una función UP (UPF), recibir una solicitud de autentificación basada en el protocolo de autentificación extensible (EAP) desde la UPF, enviar una respuesta de autentificación basada en EAP a la UPF y recibir un resultado de autentificación basado en EAP de la UPF, el resultado de autentificación basado en EAP basado en una respuesta de verificación de un servidor externo de autentificación, autorización y contabilidad (AAA).
El UE puede ser además un UE de próxima generación (NG). La UPF puede ser además una NG UPF.
Según un segundo aspecto, se presenta un método para autentificación secundaria en una red. El método se realiza mediante una función de plano de usuario (UP) (UPF), y comprende establecer una sesión de plano de usuario (UP) o conexión con un equipo de usuario (UE), enviar una solicitud de autentificación basada en el protocolo de autentificación extensible (EAP) al UE, recibir una respuesta de autentificación basada en EAP del UE, enviar una solicitud de verificación de la respuesta de autentificación basada en EAP recibida a un servidor externo de autentificación, autorización y contabilidad (AAA), recibir una respuesta de verificación del servidor externo AAA y enviar un resultado de autentificación al UE, en el que el resultado de autentificación se basa en la respuesta de verificación desde el servidor externo AAA.
El UE puede ser además un UE de próxima generación (NG). La UPF puede ser además una NG UPF.
Según un tercer aspecto, se presenta un equipo de usuario (UE) para operar en una red. El UE comprende un procesador y un producto de programa de ordenador. El producto del programa de ordenador almacena instrucciones que, cuando son ejecutadas por el procesador, hacen que el UE establezca una autentificación primaria con una función de anclaje de seguridad (SEAF), establezca una sesión de plano de usuario (UP) o una conexión con una función UP (UPF), reciba una solicitud de autentificación basada en el protocolo de autentificación extensible (EAP) de la UPF, enviar una respuesta de autentificación basada en EAP a la UPF y recibir un resultado de autentificación basado en EAP a través de la UPF, el resultado de autentificación basado en EAP basado en una respuesta de verificación desde un servidor externo de autentificación, autorización y contabilidad (AAA).
El UE puede ser además un UE de próxima generación (NG). La UPF puede ser además una NG UPF.
Según un cuarto aspecto, se presenta una función de plano de usuario (UP) (UPF) operativa en una red. La UPF comprende un procesador y un producto de programa de ordenador. El producto del programa de ordenador almacena instrucciones que, cuando son ejecutadas por el procesador, hacen que la UPF establezca una sesión de plano de usuario (UP) o una conexión con un equipo de usuario (UE), envíe una solicitud de autentificación basada en el protocolo de autentificación extensible (EAP) al UE, reciba una respuesta de autentificación basada en EAP del UE, envíe una solicitud de verificación de la respuesta de autentificación basada en EAP recibida a un servidor externo de autentificación, autorización y contabilidad (AAA), reciba una respuesta de verificación del servidor externo AAA y envíe un resultado de autentificación al UE, en el que el resultado de autentificación se basa en la respuesta de verificación desde el servidor externo AAA.
El UE puede ser además un UE de próxima generación (NG). La UPF puede ser además una NG UPF.
Según un ejemplo de la presente divulgación, se presenta un equipo de usuario (UE) para operar en una red. El UE comprende medios para establecer una sesión de plano de usuario (UP) o conexión con una función UP (UPF), medios para recibir una solicitud de autentificación basada en el protocolo de autentificación extensible (EAP) de la UPF, y medios para enviar una respuesta de autentificación basada en EAP a la UPF
El UE puede comprender además medios para establecer una autentificación primaria con una función de anclaje de seguridad (SEAF).
El UE puede comprender además medios para recibir un resultado de autentificación basado en EAP desde la UPF. El UE puede ser además un UE de próxima generación (NG). La UPF puede ser además una NG UPF.
Según otro ejemplo de la presente divulgación, se presenta una función de plano de usuario (UP) operativa (UPF) en una red. La UPF comprende medios para establecer una sesión o conexión de plano de usuario (UP) con un equipo de usuario (UE), medios para enviar una solicitud de autentificación basada en el protocolo de autentificación extensible (EAP) al UE, y medios para recibir una respuesta de autentificación basada en EAP desde el UE La UPF puede comprender además medios para enviar una solicitud de verificación de la respuesta de autentificación basada en EAP recibida a un servidor de autentificación, autorización y contabilidad (AAA); y medios para recibir una respuesta de verificación desde el servidor AAA.
La UPF puede comprender además medios para enviar un resultado de autentificación al UE, en el que la autentificación se basa en la respuesta de verificación desde el servidor AAA.
El UE puede ser además un UE de próxima generación (NG). La UPF puede ser además una NG UPF.
Según un séptimo aspecto, se presenta un programa de ordenador para autentificación secundaria en una red. El programa de ordenador comprende un código de programa de ordenador que, cuando se ejecuta en un equipo de usuario (UE), hace que el UE realice las etapas del primer aspecto.
El UE puede ser además un UE de próxima generación (NG). La UPF puede ser además una NG UPF.
Según un octavo aspecto, se presenta un programa de ordenador para autentificación secundaria en una red. El programa de ordenador que comprende código del programa de ordenador que, cuando se ejecuta en una función de plano de usuario (UP) (UPF), hace que la UPF realice las etapas del segundo aspecto.
El UE puede ser además un UE de próxima generación (NG). La UPF puede ser además una NG UPF.
Según un noveno aspecto, se presenta un producto de programa de ordenador. El producto de programa de ordenador comprende un programa de ordenador y un medio de almacenamiento legible por ordenador en el que se almacena el programa de ordenador. En general, todos los términos utilizados en las reivindicaciones se han de interpretar de acuerdo con su significado ordinario en el campo técnico, a menos que explícitamente se defina de otro modo en este documento. Todas las referencias a "un/el elemento, aparato, componente, medio, etapa, etc." deben interpretarse abiertamente como referencias a al menos una instancia del elemento, aparato, componente, medio, etapa, etc., a menos que se indique explícitamente lo contrario. Las etapas de cualquier método divulgado aquí no tienen que realizarse en el orden exacto descrito, a menos que se indique explícitamente.
Breve descripción de los dibujos
Ahora se describe el concepto inventivo, a modo de ejemplo, con referencia a los dibujos adjuntos, en los que: La figura 1 es un diagrama esquemático que ilustra un entorno en el que se pueden aplicar las realizaciones presentadas en el presente documento;
La figura 2 muestra esquemáticamente un flujo para autentificación secundaria en LTE;
La figura 3 muestra esquemáticamente un flujo para autentificación secundaria basada en EAP en sistemas de próxima generación;
Las figuras 4-5 muestran esquemáticamente arquitecturas de protocolo para autentificación secundaria basadas en EAP para realizaciones presentadas en el presente documento;
Las figuras 6A-6B son diagramas de flujo que ilustran métodos para realizaciones presentadas en el presente documento;
Las figuras 7-8 son diagramas esquemáticos que ilustran algunos componentes de los dispositivos presentados en el presente documento; y
Las figuras 9-10 son diagramas esquemáticos que muestran módulos funcionales de dispositivos presentados en el presente documento.
Descripción detallada
El concepto inventivo se describirá ahora más completamente en lo sucesivo con referencia a los dibujos adjuntos, en los que se muestran ciertas realizaciones preferidas del concepto inventivo. Sin embargo, este concepto inventivo puede realizarse de muchas formas diferentes y no debe interpretarse como limitada a las realizaciones expuestas en este documento; más bien, estas realizaciones se proporcionan a modo de ejemplo, de modo que esta divulgación será minuciosa y completa, y transmitirá completamente el alcance del concepto inventivo a los expertos en la materia. Números similares se refieren a elementos similares en toda la descripción.
Un escenario posible para desacoplar los procedimientos de autentificación y autorización para acceder a diferentes segmentos de red (NS) es el siguiente. Para que un equipo de usuario Ng (UE) acceda a un NS particular, el operador primero ejecutará una autentificación primaria (habitual) para el acceso inicial a la red seguido de una autentificación secundaria específica de NS. La autentificación secundaria específica de NS posiblemente esté bajo el control de un tercero. Esto supone una confianza entre el proveedor de servicios de terceros y el operador de red móvil (MNO) que, por ejemplo, ofrece servicios de acceso y transporte a este tercero en una instancia de NS dedicada.
En la evolución a largo plazo (LTE), existe un mecanismo que podría ser relevante para el escenario descrito. Este mecanismo se describe en la cláusula 5.3.2 del TS 23.401. Se basa en la llamada solicitud de opción cifrada y utiliza un elemento de información llamado opciones de configuración de protocolo (PCO).
El PCO es uno de los elementos de información en los mensajes de estrato sin acceso (NAS). El PCO se puede usar en varios tipos de mensajes, tal como una solicitud de conectividad de red de paquetes de datos (PDN) para enviar información de manera transparente a través de una entidad de gestión de movilidad (MME) y una puerta de enlace de servicio (S-GW) a una PDN-GW. Por ejemplo, el PCO puede incluir una preferencia de asignación de dirección que indica que el UE prefiere obtener una dirección de protocolo de Internet versión 4 (IPv4) solo después de una activación de portador predeterminada por medio del protocolo de configuración dinámica de servidor versión cuatro (DHCPv4).
Un caso de uso de PCO es la transferencia del protocolo de autentificación de contraseña (PAP) y los nombres de usuario y contraseñas del protocolo de autentificación de protocolo de enlace (CHAP) a la PDN-GW, que luego los ejecuta a través de un servidor de autentificación, autorización y contabilidad (AAA) para autorización de acceso. El servidor AAA puede estar ubicado en un dominio externo. Dado que los nombres de usuario y las contraseñas son confidenciales y deben protegerse, si el UE tiene la intención de enviar el PCO que requiera cifrado (por ejemplo, nombres de usuario y contraseñas PAP/CHAP), el UE establecerá un indicador de transferencia de opciones cifradas en un mensaje de solicitud de adjunto y enviará el PCO solo después de que se haya completado la autentificación y la configuración de seguridad NAS.
La figura 2 muestra el flujo de mensajes requerido para ejecutar dicho procedimiento de autentificación adicional (es decir, secundario) a través de PDN-Gw en LTE. A continuación, se proporciona una descripción más detallada de las etapas a seguir.
Un UE está dentro del dominio de UE. Un MME, una S-GW, un servidor de abonado doméstico (HSS) y una PDN-GW están dentro del dominio MNO. Un servidor AAA está dentro de un dominio de terceros.
En la etapa 1, el UE envía un mensaje de solicitud de conexión con un indicador de transferencia de opciones cifrado establecido en el MME.
En la etapa 2, se ejecuta un procedimiento de autentificación y acuerdo de clave (AKA) entre el UE y e1HSS. Tras una autentificación exitosa, se ejecutan las siguientes etapas.
En la etapa 3 se configura una seguridad NAS, utilizando el comando de modo seguro (SMC). Después de configurar la seguridad NAS, todos los mensajes NAS están protegidos con confidencialidad e integridad.
En la etapa 4, el MME envía un mensaje de solicitud de opciones cifradas al UE para recuperar el PCO.
En la etapa 5, el UE responde con un mensaje de respuesta de opciones cifradas que incluye el nombre de usuario y la contraseña PAP/c Ha P en el elemento de información PCO. En caso de que el UE tenga suscripciones a múltiples PDN, el UE también incluye un nombre de punto de acceso (APN) en el mensaje.
En la etapa 6, el MME descifra los datos recibidos, utiliza los posibles APN proporcionados para identificar una PDN-GW y reenvía el PCO a través de la S-GW a la PDN-GW objetivo en un mensaje de solicitud de creación de sesión. En la etapa 7, la PDN-GW envía la información PAP/CHAP recibida en un mensaje de solicitud de acceso de diámetro/radio a un servidor AAA externo. Tras el éxito, el procedimiento de creación de la sesión continúa como de costumbre.
Las etapas 4-7 anteriores representan, por lo tanto, una autentificación secundaria, realizada después de que se haya completado la primera autentificación en la etapa 2. Sin embargo, el uso de este mecanismo o extensión en sistemas Ng proporcionaría algunos inconvenientes.
En primer lugar, el mecanismo es muy limitado en términos de posibles métodos de autentificación. Actualmente solo hay soporte para PAP y CHAP. Pero dado que PAP hoy es obsoleto desde un punto de vista de seguridad, solo CHAP es esencialmente posible de usar.
En segundo lugar, para admitir otros métodos y utilizar el elemento de información PCO para el transporte de información de autentificación, se requeriría el mecanismo para especificar mensajes especiales entre el MME y la S-GW y la S-GW y la PDN-GW dedicadas a este propósito. Es decir, manejar métodos de autentificación que requieren más de un solo viaje de ida y vuelta.
Además, es difícil ver cómo este mecanismo encajaría en la arquitectura NG, que se desglosará más adelante. De hecho, teniendo en cuenta las nuevas características arquitectónicas (TR 23.799), probablemente habrá más saltos en el camino entre el UE y la PDN-GW, por ejemplo, en relación con el trabajo en curso en la división del MME en una función de gestión de la movilidad (Mm F) y una función de gestión de sesión SMF (TR 23.799) y el control y la separación del plano de usuario (CUPS) funcionan para el control y la división del plano de usuario (TR 23.714). Esto implica más sobrecarga y señalización en la red central (CN).
Finalmente, este mecanismo es una solución alternativa porque no existe un protocolo directo entre el UE y la PDN-GW. Hacerlo lo suficientemente genérico como para admitir otros métodos de autentificación sería técnicamente difícil, especialmente porque muchos métodos tienen recomendaciones y requisitos estrictos en la capa de transporte.
Ejecutando la autentificación secundaria en el plano de usuario (UP), una vez que se configura, se presenta. Se puede ejecutar una sesión UP limitada para el procedimiento de autentificación secundaria, en lugar de permitir el acceso total al PDN. Una vez que se completa la autentificación secundaria, una sesión UP limitada puede actualizarse a una que tenga acceso completo a una red de datos. También se presenta el uso de un protocolo de autentificación extensible (EAP), como se define en RFC3748. El EAP se utiliza para la autentificación entre el UE y un servidor AAA potencialmente externo, donde una función NG-UP (UPF), que desempeña un papel similar al del PDN-GWin LTE, respalda el papel de un autentificador EAP. Las cargas útiles de EAP serían transportadas por un protocolo para llevar autentificación para el acceso a la red (PANA), como se define en RFC5191, cuyo protocolo está basado en IP. Otra alternativa es que la NG-UPF respalde el papel del servidor EAP.
La solución presentada utiliza EAP, que es ampliamente utilizado y proporciona soporte para muchos métodos de autentificación, tal como la seguridad de la capa de transporte EAP (t Ls ), la autentificación EAP y el acuerdo de clave (AKA), el TLS tunelizado EAP (TTLS) y el protocolo de autentificación extensible protegido EAP (PEAP). La solución presentada está basada en IP y, por lo tanto, es independiente del tipo de red de acceso (AN). Además, dado que está basado en UP, la autentificación secundaria se puede realizar de forma independiente sobre una base específica de NS incluso para escenarios en los que el NG-UE admite múltiples conexiones NS posiblemente simultáneas. Al usar el EAP, la solución también admite diferentes tipos de credenciales y métodos de autentificación. El intercambio de EAP puede beneficiarse de la protección sobre una interfaz aérea.
La autentificación secundaria se ejecuta así de los portadores de UP una vez que el NG-UE tiene asignada una dirección IP. Luego, el EAP se usa para la autentificación entre el NG-UE y el servidor AAA (potencialmente externo)
donde la NG-UPF respalda el papel del autentificador de EAP.
Una realización en la que la NG-UPF actúa como un autentificador de EAP se presenta con referencia a la figura 3. La figura 3 muestra un flujo en el que se ejecuta una autentificación secundaria basada en UP con un servidor externo AAA. El NG-UE está en el dominio del UE. La función de gestión de movilidad NG (MMF), la función de gestión de sesión NG (SMF), la función de anclaje de seguridad NG (SEAF) y NG-UPF están en el dominio MNO. La NG-UPF es una UPF correspondiente a un PDN-GWin LTE. El servidor a Aa está en un dominio de terceros. Los requisitos en la NG-UPF es incluir el soporte de PANA y EAP, posiblemente además del soporte de todas las características UP necesarias de la PDN-GW en LTE, tal como el soporte de una interfaz SGi. En general, se utiliza un prefijo NG para la función del sistema NG correspondiente a los conceptos LTE.
En la etapa 1, el NG-UE envía una solicitud de conexión iniciando el procedimiento de conexión. La solución presentada en el presente documento no depende de cómo se admite el corte de red, por ejemplo, cómo se seleccionan las instancias NS y cómo se dirige el NG-UE a las apropiadas.
En la etapa 2, el NG-UE ejecuta una autentificación primaria con el NG SEAF. El NG SEAF puede conectarse además a una función del servidor de autentificación NG (AUSF). Una autentificación secundaria posterior no depende de cómo se implementen NG SEAF y NG MMF (es decir, colocados o divididos) ni de la ubicación de NG SEAF (red móvil terrestre pública local o visitada (PLMN)).
En la etapa 3 se establece una seguridad del plano de control entre el NG-UE y el punto final del NG NAS. El punto final del Ng NAS puede ser, por ejemplo, el nG MMF o el NG SMF.
En la etapa 4, se establece una sesión de unidad de datos de protocolo (PDU) para el transporte de datos UP entre el NG-UE y una red de datos a través de la NG-UPF. La etapa 4 puede ser una sesión limitada que solo permite ejecutar el procedimiento de autentificación secundaria. La autentificación secundaria posterior depende de la configuración del UP, ya que establece la conectividad IP entre el NG-UE y la NG-UPF.
En la etapa 5, se ejecuta una autentificación secundaria basada en EAP entre el NG-UE y la NG-UPF, respaldando aquí el papel de un autentificador EAP y confiando en un servidor AAA externo de extremo trasero. A partir de entonces, se le otorga acceso al NG-UE en la red de datos en función del resultado de este procedimiento de autentificación.
Esta solución presentada es independiente de cómo se integrará el acceso no 3GPP y si las etapas 1 a 3 se ejecutan exactamente como se muestra aquí o de manera diferente. Mientras se establezca una conectividad IP entre el NG-UE y la NG-UPF, lo que se logra en la etapa 4, la autentificación basada en EAP se puede ejecutar en la etapa 5. En caso de que se haya establecido la seguridad de la red de acceso de radio (RAN) antes de la etapa 5, entonces el intercambio de EAP estaría protegido también en la interfaz aérea.
La figura 4 muestra una arquitectura de protocolo para la autentificación secundaria basada en EAP, entre la NG-UPF y el NG-UE con la NG-UPF como autentificador EAP, como se describe con referencia a la figura 3. La arquitectura mostrada en la figura 4 es similar a la arquitectura de LTE con respecto al transporte del tráfico UP entre el Ue y la PDN-GW. Los cuadros en gris resaltan las capas de protocolo adicionales requeridas para proporcionar la autentificación secundaria basada en EAP descrita anteriormente.
Con referencia a la figura 5, se presenta una realización con una arquitectura de protocolo para la autentificación secundaria basada en EAP con NG-UPF como servidor EAP.
En esta realización, la NG-UPF termina el intercambio EAP y respalda el papel de un servidor EAP completo. El flujo de mensajes para esta realización es, por lo tanto, similar al de la figura 3, excepto que en la etapa 5 no se contacta con un servidor AAA externo.
Se ha presentado un mecanismo para autentificación adicional o secundaria en sistemas NG entre el NG-UE y la NG-UPF que termina el tráfico UP dentro de la red central y posiblemente interactúa con un servidor AAA externo. La NG-UPF corresponde a la PDN-GW en LTE. El mecanismo se basa en el tráfico EAP sobre IP sobre UP de modo que la NG-UPF respalda el papel de autentificador EAP o el papel del servidor EAP.
Una red de comunicación 4, en la que las realizaciones descritas en el presente documento pueden implementarse se presenta en la figura 1. Un equipo de usuario (UE) 1 se puede conectar de forma inalámbrica a una estación base (bS) 2. La BS 2 está conectada a una red central (c N) 3.
Un método, según una realización, para la autentificación secundaria en una red se presenta con referencia a la figura 6A. El método lo realiza un equipo de usuario (UE) de próxima generación (NG), y comprende establecer 110 una sesión de plano de usuario (UP) o conexión con una función NG-UP (UPF), recibir 130 una solicitud de autentificación basada en protocolo de autentificación extensible (EAP) desde la NG-UPF, y enviar 140 una respuesta de autentificación basada en EAP a la NG-UPF.
El método puede comprender además establecer 100 una autentificación primaria con un NG SEAF.
El método puede comprender además recibir un resultado de autentificación basado en EAP desde la UPF.
Un método, según una realización, para la autentificación secundaria en una red central se presenta con referencia a la figura 6B. El método se realiza mediante una función de plano de usuario (UP) (UPF) de próxima generación (NG), y comprende establecer 110 una sesión de plano de usuario (UP) o conexión con un equipo de usuario NG (UE), enviando a 120 una solicitud de autentificación basada en el protocolo de autentificación extensible (EAP) en el NG UE, y recibir 150 una respuesta de autentificación basada en EAP desde el NG UE.
El método puede comprender además enviar 160 una solicitud de verificación de la respuesta de autentificación basada en EAP recibida a un servidor de autentificación, autorización y contabilidad (AAA), y recibir 170 una respuesta de verificación desde el servidor AAA.
El método puede comprender además enviar un resultado de autentificación al UE, en el que la autentificación se basa en la respuesta de verificación desde el servidor AAA.
Un NG UE, de acuerdo con una realización, para operar en una red se presenta con referencia a la figura 7. El NG UE 1 comprende un procesador 10 y un producto de programa de ordenador 12, 13. El producto del programa de ordenador almacena instrucciones que, cuando son ejecutadas por el procesador, hacen que el NG UE establezca 110 una sesión UP o conexión con una NG-UPF, reciba 130 una solicitud de autentificación basada en EAP desde la NG-UPF y envíe 140 una respuesta de autentificación basada en EAP a la NG-UPF.
Una NG-UPF de acuerdo con una realización, operativa en una red central se presenta con referencia a la figura 8. La NG-UPF comprende un procesador 10, y un producto de programa de ordenador 12, 13 que almacena instrucciones que, cuando son ejecutadas por el procesador, hacen que la NG-UPF establezca 110 una sesión UP o conexión a un NG UE, envíe 120 una solicitud de autentificación basada en EAP al NG UE y reciba 150 una respuesta de autentificación basada en EAP desde el NG UE.
Un NG UE, según una realización, para operar en una red, se presenta con referencia a la figura 9. El NG UE comprende un administrador de comunicación 61 para establecer 110 una sesión UP o conexión con una NG-UPF, recibir 130 una solicitud de autentificación basada en EAP desde la NG-UPF y enviar 140 una respuesta de autentificación basada en EAP a la NG-UPF.
Una NG-UPF, de acuerdo con una realización, operativo en una red se presenta con referencia a la figura 10. La NG-UPF comprende un administrador de comunicación 71 para establecer 110 una sesión UP o conexión con un NG UE, enviar 120 una solicitud de autentificación basada en EAP al NG UE, y para recibir 150 una respuesta de autentificación basada en EAP desde el NG UE.
Se presenta un programa de ordenador 14, 15, según una realización, para autentificación secundaria en una red. El programa de ordenador comprende un código de programa de ordenador que, cuando se ejecuta en un NG UE, hace que el NG UE establezca 110 una sesión UP o una conexión con una NG-UPF, reciba 130 una solicitud de autentificación basada en EAP desde la NG-UPF y envíe 140 una respuesta de autentificación basada en EAP a la NG-UPF.
Se presenta un programa de ordenador 14, 15, según una realización, para autentificación secundaria en una red. El programa de ordenador comprende un código de programa de ordenador que, cuando se ejecuta en una NG-UPF, hace que la NG-UPF establezca 110 una sesión UP o una conexión con un NG UE, envíe 120 una solicitud de autentificación basada en EAP al NG UE y reciba 150 una respuesta de autentificación basada en EAP desde el NG UE.
Se presenta un producto de programa de ordenador 12, 13, según una realización. El producto de programa de ordenador comprende un programa de ordenador 14, 15 como se presentó anteriormente y un medio de almacenamiento legible por ordenador en el que se almacena el programa de ordenador 14, 15.
La figura 7 es un diagrama esquemático que muestra algunos componentes del NG UE 1. Se puede proporcionar un procesador 10 usando cualquier combinación de una o más de una unidad de procesamiento central adecuada, CPU, multiprocesador, microcontrolador, procesador de señal digital, DSP, circuito integrado específico de la aplicación, etc., capaz de ejecutar instrucciones de software de un programa de ordenador 14 almacenado en una memoria. Por lo tanto, se puede considerar que la memoria es o forma parte del producto de programa de ordenador 12. El procesador 10 puede configurarse para ejecutar métodos descritos en el presente documento con referencia a las figuras 12 y 13.
La memoria puede ser cualquier combinación de memoria de lectura y escritura y memoria de solo lectura, ROM. La memoria también puede comprender almacenamiento persistente, que, por ejemplo, puede ser cualquiera o una combinación de memoria magnética, memoria óptica, memoria de estado sólido o incluso memoria montada de forma remota.
También se puede proporcionar un segundo producto de programa de ordenador 13 en forma de memoria de datos, por ejemplo, para leer y/o almacenar datos durante la ejecución de instrucciones de software en el procesador 10.
La memoria de datos puede ser cualquier combinación de memoria de lectura y escritura y memoria de solo lectura, ROM, y también puede comprender almacenamiento persistente, que, por ejemplo, puede ser cualquiera o una combinación de memoria magnética, memoria óptica, memoria de estado sólido o incluso memoria montada de forma remota. La memoria de datos puede contener, por ejemplo, otras instrucciones de software 15, para mejorar la funcionalidad del NG UE 1.
El NG UE 1 puede comprender además una entrada/salida, I/0, interfaz 11 que incluye, por ejemplo, una interfaz de usuario. El NG UE 1 puede comprender además un receptor configurado para recibir señalización de otros nodos, y un transmisor configurado para transmitir señalización a otros nodos (no ilustrados). Se omiten otros componentes de la NG UE 1 para no oscurecer los conceptos presentados en el presente documento.
La figura 9 es un diagrama esquemático que muestra bloques funcionales del NG UE 1. Los módulos pueden implementarse solo como instrucciones de software, como un programa de ordenador que se ejecuta en el servidor de caché o solo hardware, como circuitos integrados específicos de la aplicación, matrices de puertas programables en campo, componentes lógicos discretos, transceptores, etc., o como una combinación de los mismos. En una realización alternativa, algunos de los bloques funcionales pueden implementarse mediante software y otros mediante hardware. Los módulos corresponden a las etapas del método ilustrado en la figura 6A, que comprende una unidad de gestión de comunicación 61 y una unidad de módulo de determinación 60. En las realizaciones donde uno o más de los módulos son implementados por un programa de ordenador, se entenderá que estos módulos no corresponden necesariamente a módulos de proceso, sino que pueden escribirse como instrucciones de acuerdo con un lenguaje de programación en el que se implementarían, ya que algunos lenguajes de programación no suelen contener módulos de proceso.
El administrador de comunicación 61 es para operar en una red. Este módulo corresponde a la etapa UP de establecimiento 110, la etapa 130 de solicitud de recepción y la etapa 140 de respuesta de envío de la figura 6A. Este módulo puede ser implementado, por ejemplo, por el procesador 10 de la figura 7, cuando se ejecuta el programa de ordenador.
El administrador de determinación 60 es para operar en una red. Este módulo corresponde a la etapa de autentificación primaria 100 de la figura 6A. Este módulo puede ser implementado, por ejemplo, por el procesador 10 de la figura 7, cuando se ejecuta el programa de ordenador.
La figura 8 es un diagrama esquemático que muestra algunos componentes de la NG-UPF 3. Se puede proporcionar un procesador 10 usando cualquier combinación de una o más de una unidad de procesamiento central adecuada, CPU, multiprocesador, microcontrolador, procesador de señal digital, DSP, circuito integrado específico de la aplicación, etc., capaz de ejecutar instrucciones de software de un programa de ordenador 14 almacenado en una memoria. Por lo tanto, se puede considerar que la memoria es o forma parte del producto de programa de ordenador 12. El procesador 10 puede configurarse para ejecutar los métodos descritos en el presente documento con referencia a la figura 6B.
La memoria puede ser cualquier combinación de memoria de lectura y escritura, RAM, y memoria de solo lectura, ROM. La memoria también puede comprender almacenamiento persistente, que, por ejemplo, puede ser cualquiera o una combinación de memoria magnética, memoria óptica, memoria de estado sólido o incluso memoria montada de forma remota.
También se puede proporcionar un segundo producto de programa de ordenador 13 en forma de memoria de datos, por ejemplo, para leer y/o almacenar datos durante la ejecución de instrucciones de software en el procesador 10. La memoria de datos puede ser cualquier combinación de memoria de lectura y escritura y memoria, RAM, de solo lectura, ROM, y también puede comprender almacenamiento persistente, que, por ejemplo, puede ser cualquiera o una combinación de memoria magnética, memoria óptica, memoria de estado sólido o incluso memoria montada de forma remota. La memoria de datos puede, por ejemplo, contener otras instrucciones de software 15, para mejorar la funcionalidad de la NG-UPF 3.
La NG-UPF 3 puede comprender además una entrada/salida, I/0, interfaz 11 que incluye, por ejemplo, una interfaz de usuario. La NG-UPF 3 puede comprender además un receptor configurado para recibir señalización desde otros nodos, y un transmisor configurado para transmitir señalización a otros nodos (no ilustrados). Se omiten otros componentes de la NG-UPF 3 para no oscurecer los conceptos presentados en el presente documento.
La figura 10 es un diagrama esquemático que muestra bloques funcionales de la NG-UPF 3. Los módulos pueden implementarse solo como instrucciones de software, como un programa de ordenador que se ejecuta en el servidor de caché o solo hardware, como circuitos integrados específicos de la aplicación, matrices de puertas programables en campo, componentes lógicos discretos, transceptores, etc., o como una combinación de los mismos. En una realización alternativa, algunos de los bloques funcionales pueden implementarse mediante software y otros mediante hardware. Los módulos corresponden a las etapas de los métodos ilustrados en la figura 6B, que comprenden una unidad de gestión de comunicación 71 y una unidad de gestión de determinación 70. En las realizaciones donde uno o más de los módulos son implementados por un programa de ordenador, se entenderá que estos módulos no corresponden necesariamente a módulos de proceso, sino que pueden escribirse como
instrucciones de acuerdo con un lenguaje de programación en el que se implementarían, ya que algunos lenguajes de programación no suelen contener módulos de proceso.
El administrador de comunicación 71 es para operar en una red central. Este módulo corresponde a la etapa UP de establecimiento 110, la etapa 120 de solicitud de envío y la etapa 150 de respuesta de recepción de la figura 6B. Este módulo puede ser implementado, por ejemplo, por el procesador 10 de la figura 8, cuando se ejecuta el programa de ordenador.
La unidad de gestión de determinación 70 es para operar en una red central. Este módulo corresponde a la etapa 160 de solicitud de verificación y a la etapa 170 de respuesta de verificación de la figura 6B. Este módulo puede ser implementado, por ejemplo, por el procesador 10 de la figura 8, cuando se ejecuta el programa de ordenador.
El concepto inventivo se ha descrito principalmente anteriormente con referencia a unas pocas realizaciones. Sin embargo, como apreciará fácilmente una persona experta en la técnica, otras realizaciones que las descritas anteriormente son igualmente posibles dentro del alcance de las reivindicaciones de patente adjuntas.
Claims (17)
1. Un método para autentificación secundaria en una red, realizado por un equipo de usuario (UE), comprendiendo el método:
establecer (100) una autentificación primaria con una función de anclaje de seguridad, SEAF;
establecer (110) una sesión o conexión de plano de usuario, UP, con o mediante una función UP, UPF;
recibir (130) una solicitud de autentificación basada en un protocolo de autentificación extensible, EAP, a través de la UPF;
enviar (140) una respuesta de autentificación basada en EAP a la UPF; y
recibir un resultado de autentificación basado en EAP a través de la UPF, el resultado de autentificación basado en EAP basado en una respuesta de verificación desde un servidor externo de autentificación, autorización y contabilidad, AAA.
2. El método según la reivindicación 1, en el que el equipo de usuario, UE, es un UE de próxima generación, NG.
3. El método según la reivindicación 1, en el que la función de plano de usuario, UPF, es una UPF de próxima generación, NG.
4. El método según la reivindicación 1, en el que la SEAF está conectada además a una función del servidor de autentificación, AUSF.
5. Un método para autentificación secundaria en una red, realizado por una función UP de plano de usuario, UPF, comprendiendo el método:
establecer (110) una sesión UP o conexión a un equipo de usuario, UE;
enviar (120) una solicitud de autentificación basada en un protocolo de autentificación extensible, EAP, al UE; recibir (150) una respuesta de autentificación basada en EAP desde el UE;
enviar (160) una solicitud de verificación de la respuesta de autentificación basada en EAP recibida a un servidor externo de autentificación, autorización y contabilidad, AAA;
recibir (170) una respuesta de verificación desde el servidor externo AAA; y
enviar un resultado de autentificación al UE, en el que el resultado de autentificación se basa en la respuesta de verificación desde el servidor externo AAA.
6. El método según la reivindicación 5, en el que el equipo de usuario, UE, es un equipo de usuario, UE, de próxima generación.
7. El método según la reivindicación 5, en el que la función de plano de usuario, UPF, es una UPF de próxima generación, NG.
8. Un equipo de usuario, UE, para operar en una red, comprendiendo el UE:
un procesador (10); y
un producto de programa de ordenador (12, 12) que almacena instrucciones que, cuando son ejecutadas por el procesador, hacen que el UE:
establezca (100) una autentificación primaria con una función de anclaje de seguridad, SEAF;
establezca (110) una sesión o conexión de plano de usuario, UP, con o mediante una función UP, UPF; reciba (130) una solicitud de autentificación basada en un protocolo de autentificación extensible, EAP, a través de la UPF;
envíe (140) una respuesta de autentificación basada en EAP a la UPF; y
reciba un resultado de autentificación basado en EAP a través de la UPF, el resultado de autentificación basado en EAP basado en una respuesta de verificación desde un servidor externo de autentificación, autorización y contabilidad, AAA.
9. El equipo de usuario, UE, según la reivindicación 8, en el que el UE es un UE de próxima generación, NG.
10. El equipo de usuario, UE, según la reivindicación 8, en el que la UPF es una UPF de próxima generación, NG.
11. El equipo de usuario, UE, según la reivindicación 8, en el que la SEAF está conectada además a una función de servidor de autentificación, AUSF.
12. Una función de plano de usuario, UP, UPF, operativa en una red, comprendiendo la UPF:
un procesador (10); y
un producto de programa de ordenador (12, 13) que almacena instrucciones que, cuando son ejecutadas por el procesador, hacen que la UPF:
establezca (110) una sesión UP o conexión con un equipo de usuario, UE;
envíe (120) una solicitud de autentificación basada en un protocolo de autentificación extensible, EAP, a la UPF; reciba (150) una respuesta de autentificación basada en EAP desde el UE;
envíe (160) una solicitud de verificación de la respuesta de autentificación basada en EAP recibida a un servidor externo de autentificación, autorización y contabilidad, AAA;
reciba (170) una respuesta de verificación desde el servidor externo AAA; y
envíe un resultado de autentificación al UE, en el que el resultado de autentificación se basa en la respuesta de verificación desde el servidor externo AAA.
13. La función de plano de usuario, UP, UPF, según la reivindicación 12, en la que la UPF es una próxima generación, NG, UPF.
14. La función de plano de usuario, UP, UPF, según la reivindicación 12, en la que el UE es una próxima generación, NG, UE.
15. Un programa de ordenador (14, 15) para autentificación secundaria en una red, comprendiendo el programa de ordenador un código de programa de ordenador que, cuando se ejecuta en un equipo de usuario, UE, hace que el UE:
establezca (100) una autentificación primaria con una función de anclaje de seguridad, SEAF;
establezca (110) una sesión o conexión de plano de usuario, UP, con o mediante una función UP, UPF;
reciba (130) una solicitud de autentificación basada en un protocolo de autentificación extensible, EAP, a través de la UPF;
envíe (140) una respuesta de autentificación basada en EAP a la UPF;
y reciba un resultado de autentificación basado en EAP a través de la UPF, el resultado de autentificación basado en EAP basado en una respuesta de verificación desde un servidor externo de autentificación, autorización y contabilidad, AAA.
16. Un programa de ordenador (14, 15) para autentificación secundaria en una red, comprendiendo el programa de ordenador un código de programa de ordenador que, cuando se ejecuta en una función de plano de usuario, UP, UPF, hace que la UPF:
establezca (110) una sesión o conexión de plano de usuario, UP, a un equipo de usuario, UE;
envíe (120) una solicitud de autentificación basada en un protocolo de autentificación extensible, EAP, a la UPF; reciba (150) una respuesta de autentificación basada en EAP desde el UE;
envíe (160) una solicitud de verificación de la respuesta de autentificación basada en EAP recibida a un servidor externo de autentificación, autorización y contabilidad, AAA;
reciba (170) una respuesta de verificación desde el servidor externo AAA; y
envíe un resultado de autentificación al UE, en el que la autentificación se basa en la respuesta de verificación desde el servidor externo AAA.
17. Un producto de programa de ordenador (12, 13) que comprende un medio de almacenamiento legible por ordenador en el que se almacena un programa de ordenador (14, 15) de acuerdo con una cualquiera de las reivindicaciones 15 o 16.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662415006P | 2016-10-31 | 2016-10-31 | |
| PCT/EP2017/077330 WO2018077960A1 (en) | 2016-10-31 | 2017-10-25 | Authentication for next generation systems |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2806991T3 true ES2806991T3 (es) | 2021-02-19 |
Family
ID=60293936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES17797092T Active ES2806991T3 (es) | 2016-10-31 | 2017-10-25 | Autentificación para sistemas de próxima generación |
Country Status (15)
| Country | Link |
|---|---|
| US (2) | US10609556B2 (es) |
| EP (1) | EP3459278B1 (es) |
| JP (1) | JP6775683B2 (es) |
| KR (1) | KR102136037B1 (es) |
| CN (1) | CN109891921B (es) |
| BR (1) | BR112019008447A2 (es) |
| CA (1) | CA3042304C (es) |
| DK (1) | DK3459278T3 (es) |
| ES (1) | ES2806991T3 (es) |
| MA (1) | MA45505B1 (es) |
| MX (1) | MX2019004705A (es) |
| MY (1) | MY195382A (es) |
| RU (1) | RU2727160C1 (es) |
| WO (1) | WO2018077960A1 (es) |
| ZA (1) | ZA201902024B (es) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2530750A (en) * | 2014-09-30 | 2016-04-06 | Vodafone Ip Licensing Ltd | Communications bearer selection for a communications interface |
| CN110235423B (zh) | 2017-01-27 | 2022-10-21 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
| US11564193B2 (en) | 2018-05-18 | 2023-01-24 | Nokia Technologies Oy | Authentication in public land mobile networks comprising tenant slices |
| US11032743B1 (en) * | 2019-11-30 | 2021-06-08 | Charter Communications Operating, Llc | Methods and apparatus for supporting devices of different types using a residential gateway |
| EP4356636A1 (en) * | 2021-06-15 | 2024-04-24 | Telefonaktiebolaget LM Ericsson (publ) | Methods and means for providing access to external networks |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8447981B2 (en) * | 2006-05-24 | 2013-05-21 | Huawei Technologies Co., Ltd. | Method and system for generating and distributing mobile IP security key after re-authentication |
| FI20075252A0 (fi) | 2007-04-13 | 2007-04-13 | Nokia Corp | Menetelmä, radiojärjestelmä, matkaviestin ja tukiasema |
| US8145905B2 (en) | 2007-05-07 | 2012-03-27 | Qualcomm Incorporated | Method and apparatus for efficient support for multiple authentications |
| US9276909B2 (en) * | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
| FR2943881A1 (fr) * | 2009-03-31 | 2010-10-01 | France Telecom | Procede et dispositif de gestion d'une authentification d'un utilisateur. |
| CN102461230B (zh) * | 2009-04-07 | 2015-06-17 | 托吉瓦控股股份公司 | 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 |
| US8627422B2 (en) | 2010-11-06 | 2014-01-07 | Qualcomm Incorporated | Authentication in secure user plane location (SUPL) systems |
| WO2012149783A1 (zh) | 2011-09-29 | 2012-11-08 | 华为技术有限公司 | 用于接入移动网络的方法和装置以及用户设备 |
| KR102064099B1 (ko) * | 2013-09-16 | 2020-02-17 | 콘비다 와이어리스, 엘엘씨 | Eap/다이어미터를 통한 와이파이 qos의 이동 네트워크 운영자(mno) 제어 |
| US9883385B2 (en) * | 2015-09-15 | 2018-01-30 | Qualcomm Incorporated | Apparatus and method for mobility procedure involving mobility management entity relocation |
| US10009751B2 (en) * | 2015-12-28 | 2018-06-26 | Cisco Technology, Inc. | Virtual mobility anchor for network sharing |
| US10104544B2 (en) * | 2016-04-05 | 2018-10-16 | Qualcomm Incorporated | LTE-level security for neutral host LTE |
| US10716002B2 (en) * | 2016-07-05 | 2020-07-14 | Samsung Electronics Co., Ltd. | Method and system for authenticating access in mobile wireless network system |
| EP3449648B1 (en) * | 2016-07-05 | 2024-05-01 | Samsung Electronics Co., Ltd. | Method and apparatus for accessing cellular network for sim profile |
| CN107623668A (zh) * | 2016-07-16 | 2018-01-23 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
| US10433163B2 (en) * | 2016-09-19 | 2019-10-01 | Qualcomm Incorporated | Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure |
| FI3516819T3 (fi) * | 2016-09-20 | 2023-01-31 | Seuraavan sukupolven avainjoukon tunnus | |
| WO2018070436A1 (en) * | 2016-10-11 | 2018-04-19 | Nec Corporation | Method, session management function node, user plane function node, and user equipment for session management parameters maintenance and computer readable recording medium therein |
-
2017
- 2017-10-25 MY MYPI2019001885A patent/MY195382A/en unknown
- 2017-10-25 MX MX2019004705A patent/MX2019004705A/es unknown
- 2017-10-25 DK DK17797092.8T patent/DK3459278T3/da active
- 2017-10-25 WO PCT/EP2017/077330 patent/WO2018077960A1/en unknown
- 2017-10-25 KR KR1020197013866A patent/KR102136037B1/ko active IP Right Grant
- 2017-10-25 CN CN201780065985.8A patent/CN109891921B/zh active Active
- 2017-10-25 EP EP17797092.8A patent/EP3459278B1/en active Active
- 2017-10-25 ES ES17797092T patent/ES2806991T3/es active Active
- 2017-10-25 MA MA45505A patent/MA45505B1/fr unknown
- 2017-10-25 US US15/744,192 patent/US10609556B2/en active Active
- 2017-10-25 CA CA3042304A patent/CA3042304C/en active Active
- 2017-10-25 JP JP2019521802A patent/JP6775683B2/ja active Active
- 2017-10-25 RU RU2019116611A patent/RU2727160C1/ru active
- 2017-10-25 BR BR112019008447A patent/BR112019008447A2/pt unknown
-
2019
- 2019-04-01 ZA ZA2019/02024A patent/ZA201902024B/en unknown
-
2020
- 2020-02-20 US US16/796,060 patent/US10904756B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019533951A (ja) | 2019-11-21 |
| ZA201902024B (en) | 2020-10-28 |
| MA45505A1 (fr) | 2019-06-28 |
| KR102136037B1 (ko) | 2020-07-21 |
| US20200196147A1 (en) | 2020-06-18 |
| KR20190065413A (ko) | 2019-06-11 |
| US10609556B2 (en) | 2020-03-31 |
| CA3042304C (en) | 2021-08-24 |
| BR112019008447A2 (pt) | 2019-07-09 |
| MX2019004705A (es) | 2019-06-06 |
| DK3459278T3 (da) | 2020-06-15 |
| CA3042304A1 (en) | 2018-05-03 |
| MA45505B1 (fr) | 2019-11-29 |
| CN109891921A (zh) | 2019-06-14 |
| EP3459278A1 (en) | 2019-03-27 |
| JP6775683B2 (ja) | 2020-10-28 |
| RU2727160C1 (ru) | 2020-07-21 |
| US20190007830A1 (en) | 2019-01-03 |
| WO2018077960A1 (en) | 2018-05-03 |
| MY195382A (en) | 2023-01-18 |
| EP3459278B1 (en) | 2020-04-22 |
| CN109891921B (zh) | 2022-03-01 |
| US10904756B2 (en) | 2021-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2806991T3 (es) | Autentificación para sistemas de próxima generación | |
| ES2947942T3 (es) | Autenticación secundaria de un equipo de usuario | |
| KR101961301B1 (ko) | 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 | |
| ES2935527T3 (es) | Manejo del contexto de seguridad en 5G durante el modo conectado | |
| ES2861269T3 (es) | Aparatos y procedimientos para comunicación inalámbrica | |
| KR102547749B1 (ko) | 완전 순방향 비밀성을 통한 인증 및 키 합의 | |
| US11082838B2 (en) | Extensible authentication protocol with mobile device identification | |
| ES2643290T3 (es) | Sistemas y procedimientos de realización de la configuración y autentificación de enlaces | |
| ES2827573T3 (es) | Perfil de usuario, política y distribución de claves de PMIP en una red de comunicación inalámbrica | |
| ES2896733T3 (es) | Funcionamiento relacionado con un equipo de usuario que utiliza un identificador secreto | |
| BR112017000218B1 (pt) | Método de comunicação sem fio realizado por um servidor de rede, método de comunicação sem fio realizado por um equipamento de usuário, aparelhos para comunicação sem fio, e, memórias legíveis por computador | |
| BR112018005017B1 (pt) | Aparelho e método para procedimento de mobilidade envolvendo relocação de entidade de gerenciamento de mobilidade | |
| BR112021002402A2 (pt) | método e aparelho para realização segura de conexões através de redes de acesso heterogêneas | |
| JP2022109996A (ja) | 認証要求を制御するためのプライバシインジケータ | |
| ES2888952T3 (es) | Aprovisionamiento remoto de un equipo de usuario en una red celular | |
| JP2019068416A (ja) | システム間移動におけるセキュリティ | |
| ES2877067T3 (es) | Configuración de la comprobación de vivacidad utilizando mensajes de intercambio de claves de internet | |
| BR112020002515A2 (pt) | método de acionamento de autenticação de rede e dispositivo relacionado | |
| ES2582858T3 (es) | Implementación de una asociación de seguridad durante la adscripción de un terminal a una red de acceso | |
| ES2865293T3 (es) | Dispositivo electrónico que comprende un módulo seguro que soporta un modo de gestión local de configurar de un perfil de abonado | |
| OA19340A (en) | Authentification for next generation systems | |
| ES2381552A1 (es) | Procedimiento de re-autenticación. |