ES2896733T3 - Funcionamiento relacionado con un equipo de usuario que utiliza un identificador secreto - Google Patents

Funcionamiento relacionado con un equipo de usuario que utiliza un identificador secreto Download PDF

Info

Publication number
ES2896733T3
ES2896733T3 ES17751254T ES17751254T ES2896733T3 ES 2896733 T3 ES2896733 T3 ES 2896733T3 ES 17751254 T ES17751254 T ES 17751254T ES 17751254 T ES17751254 T ES 17751254T ES 2896733 T3 ES2896733 T3 ES 2896733T3
Authority
ES
Spain
Prior art keywords
plmn
imsi
network node
identifier
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17751254T
Other languages
English (en)
Inventor
Prajwol Nakarmi
Vesa Torvinen
Henda Noamen Ben
Christine Jost
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of ES2896733T3 publication Critical patent/ES2896733T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un método realizado por un nodo de red (106) de una red móvil terrestre pública de servicio, PLMN, (112) asociada con un equipo de usuario (102), UE, estando el método caracterizado por: recibir, desde el UE (102), una IMSI cifrada usando una clave de cifrado pública de una PLMN local (114) del UE (102) para el cifrado, IMSI cifrada que corresponde al UE (102); reenviar la IMSI cifrada a una PLMN local (114) del UE (102); recibir de la PLMN local (114) una IMSI en respuesta al reenvío de la IMSI cifrada; verificar que la IMSI cifrada corresponde al UE (102) mediante obtener la clave de cifrado pública para cifrar la IMSI, cifrar la IMSI recibida de la PLMN local (114) utilizando la clave pública de cifrado, y determinar que la IMSI cifrada por el nodo de red (106) y la IMSI cifrada recibida del UE (102) coinciden; y realizar, si hay coincidencia, una operación relacionada con una interceptación legal del UE (102) utilizando el IMSI.

Description

DESCRIPCIÓN
Funcionamiento relacionado con un equipo de usuario que utiliza un identificador secreto
Campo técnico
La invención se refiere a métodos en los que un identificador relacionado con un equipo de usuario (UE) se pone a disposición para una red móvil terrestre pública de servicio (PLMN). La invención también se refiere a nodos de red, a una red terrestre pública móvil, a programas informáticos y a productos de programa informático.
Antecedentes
En los sistemas de redes inalámbricas existentes (por ejemplo, sistemas 2G, 3G, 4G), ciertas operaciones requieren que las PLMN de servicio (distintas de la PLMN local del UE) tengan acceso a un identificador particular del UE, tal como una Identidad de abonado móvil internacional (IMSI). Sin embargo, el conocimiento de un identificador de larga duración correspondiente al UE permite que terceras partes comprometan la privacidad del usuario, por ejemplo, determinando la localización del usuario en base al identificador. Como resultado, este identificador de UE generalmente se mantiene privado y se trata como un secreto, y como tal, a menudo solo está disponible para el UE, la PLMN local del UE y cualquier otra parte o dispositivo al que se haya concedido acceso a la identidad por la PLMN local o el UE. Aunque algunas redes existentes utilizan métodos de cifrado y/o seudónimos para que las identidades de UE para comuniquen un identificador del UE entre PLMN y dispositivos, el identificador comunicado no es el identificador secreto de larga duración del UE requerido por algunas operaciones de PLMN de servicio. Por lo tanto, se necesitan técnicas mejoradas para una comunicación fiable de identificadores de UE secretos, para asegurar que la funcionalidad de UE requerida se mantenga a través de las PLMN sin exponer información sensible de usuario a partes no fiables.
Hay en curso discusiones generales relacionadas con seguridad, dentro del Tercer Proyecto de Asociación de Tercera Generación para el sistema de siguiente generación. El documento 3GPP TR 33.899 V0.2.0 analiza amenazas, requisitos potenciales y soluciones relacionadas con dicho sistema. El documento establece que hay que tener en cuenta la interceptación legal y otras regulaciones locales al diseñar el nuevo sistema, pero también que la exposición de una identidad de abonado podría dar lugar a incidentes de privacidad. No se proporciona ninguna solución al complejo problema de permitir que una PLMN de servicio lleve a cabo, por ejemplo, interceptación legal sin riesgo de interceptación del abonado incorrecto, cobro erróneo y acceso no autorizado a recursos de la red. La patente US-2012/044949-A1 describe una forma de intentar optimizar una ruta de datos entre dos nodos que se comunican. Se determina un agente de optimización de ruta (ROA) en la red actual del segundo nodo de comunicación. Se establece un túnel IP entre el primer nodo de comunicación y el ROA, donde el túnel IP y la asociación de seguridad correspondiente del túnel IP se basan en la dirección local del primer nodo de comunicación en su red doméstica. El documento US-2013/196630-A1 da a conocer un método para activar la interceptación legal en una red para dispositivos sin MSISDN. Una realización incluye recibir un identificador externo para un terminal o suscripción en una red, y consultar a un servidor para una IMSI que esté asociada con el terminal o suscripción identificada por el identificador externo. El método también puede incluir activar la interceptación en la red usando el IMSI.
La patente US-2013/324082-A1 da a conocer un método para la gestión y utilización de identificadores de abonado para proteger la privacidad de los abonados. Se inserta un identificador de abonado de corta duración en los mensajes de comunicación de un equipo de usuario, en lugar de un identificador de dispositivo único del equipo de usuario.
Resumen
La invención se define mediante las reivindicaciones adjuntas. Un objetivo de una o más realizaciones de la invención es permitir una comunicación fiable mejorada de un identificador de UE secreto a través de las PLMN sin exponer información sensible del usuario a partes no fiables.
Una o más realizaciones de la presente memoria permiten la comunicación de un identificador secreto de un UE desde una PLMN local del UE a una PLMN de servicio. Una vez obtenido por la PLMN de servicio, la PLMN de servicio puede utilizar el identificador secreto para realizar una operación relacionada con el UE. De este modo también se logra que la complejidad del sistema de red y las amenazas de seguridad se puedan reducir con respecto a las operaciones en una PLMN de servicio basada en un identificador de seudónimo.
Un primer aspecto de la invención se refiere a un método realizado por un nodo de red de una PLMN de servicio asociada con un UE. En el método, el nodo de red obtiene un identificador secreto que identifica de forma única el UE. El identificador secreto es un secreto que se comparte entre el UE y al menos una PLMN local del UE y que es compartido por la PLMN local con el nodo de red. El método también incluye que el nodo de red realice una operación relacionada con el UE utilizando el identificador secreto.
Un segundo aspecto de la invención se refiere a un método realizado por un nodo de red de una PLMN local asociada con un UE. El nodo de red determina revelar un identificador secreto que identifica de forma única el UE a una PLMN de servicio del UE. El identificador secreto es un secreto que se comparte entre el UE y al menos la PLMN local. Según el método, el nodo de red de la PLMN local revela el identificador secreto a la PLMN de servicio. Revelar el identificador secreto a la PLMN de servicio permite que la PLMN de servicio realice una operación relacionada con el UE utilizando el identificador secreto.
Un tercer aspecto se refiere a un nodo de red de una PLMN de servicio asociada con un UE. El nodo de red está configurado para obtener un identificador secreto que identifica de forma única el UE, donde el identificador secreto es un secreto que se comparte entre el UE y al menos una PLMN local del UE y que es compartido por la PLMN local con el nodo de red; y realizar una operación relacionada con el UE utilizando el identificador secreto.
Un cuarto aspecto se refiere a un nodo de red de una PLMN local asociada con un UE. Este nodo de red está configurado para determinar revelar, a una PLMN de servicio del UE, un identificador secreto que identifica de forma única el UE, donde el identificador secreto es un secreto que se comparte entre el UE y al menos la PLMN local; y revelar el identificador secreto a la PLMN de servicio, permitiendo el identificador secreto que la PLMN de servicio realice una operación relacionada con el UE utilizando el identificador secreto.
Un quinto aspecto se refiere a un nodo de red de una PLMN de servicio asociada con un UE, comprendiendo el nodo de red un procesador y una memoria, conteniendo la memoria instrucciones ejecutables por el procesador mediante las que el nodo de red es configurado para: obtener un identificador secreto que identifica de forma única el UE, donde el identificador secreto es un secreto que se comparte entre el UE y al menos una PLMN local del UE y que es compartido por la PLMN local con el nodo de red; y realizar una operación relacionada con el UE utilizando el identificador secreto.
Un sexto aspecto se refiere a un nodo de red de una PLMN local asociada con un UE, comprendiendo el nodo de red un procesador y una memoria, conteniendo la memoria instrucciones ejecutables por el procesador con las que el nodo de red es configura para: determinar revelar, a una PLMN de servicio del UE, un identificador secreto que identifica de forma única el UE, donde el identificador secreto es un secreto que se comparte entre el UE y al menos la PLMN local; y revelar el identificador secreto a la PLMN de servicio, permitiendo el identificador secreto que la PLMN de servicio realice una operación relacionada con el UE utilizando el identificador secreto.
Un séptimo aspecto se refiere a un nodo de red de una PLMN de servicio asociada con un UE. El nodo de red comprende: un primer módulo configurado para obtener un identificador secreto que identifica de forma única el UE, en el que el identificador secreto es un secreto que se comparte entre el UE y al menos una PLMN local del UE y que es compartido por la PLMN local con el nodo de red; y un segundo módulo para realizar una operación relacionada con el UE utilizando el identificador secreto.
Un octavo aspecto se refiere a un nodo de red de una PLMN local asociada con un UE. El nodo de red comprende: un primer módulo configurado para determinar revelar, a una PLMN de servicio del UE, un identificador secreto que identifica de forma única el UE, donde el identificador secreto es un secreto que se comparte entre el UE y al menos la PLMN local; y un segundo módulo configurado para revelar el identificador secreto a la PLMN de servicio, permitiendo el identificador secreto que la PLMN de servicio realice una operación relacionada con el UE utilizando el identificador secreto.
Un noveno aspecto se refiere a un programa informático que comprende instrucciones que, cuando son ejecutadas por al menos un procesador de un nodo de red, hacen que el nodo de red lleve a cabo cualquiera de los métodos anteriores.
Un décimo aspecto se refiere a una portadora que contiene el programa informático, en el que la portadora es una señal eléctrica, una señal óptica, una señal de radio o un medio de almacenamiento legible por ordenador.
Un undécimo aspecto se refiere a un método realizado por una PLMN de servicio asociada con un UE. El método comprende las etapas de recibir, desde una PLMN local del UE después de que el UE haya sido autenticado con éxito por la PLMN local o la PLMN de servicio, un identificador secreto que identifica de forma única el UE, en el que el identificador secreto es un secreto previamente compartido entre el UE y una PLMN local del UE; y realizar una operación relacionada con el UE.
Un duodécimo aspecto se refiere a un método realizado por una PLMN local asociada con un UE. El método comprende las etapas de determinar revelar, a una PLMN de servicio del UE, un identificador secreto que identifica de forma única el UE, en el que el identificador secreto es un secreto que se comparte entre el UE y la PLMN local; revelar el identificador secreto a la PLMN de servicio después de que el UE haya sido autenticado con éxito por la PLMN local o la PLMN de servicio, permitiendo el identificador secreto que la PLMN de servicio realice una operación relacionada con el UE.
Un decimotercer aspecto se refiere a una PLMN de servicio asociada con un UE. La PLMN de servicio comprende en este caso al menos dos nodos de red, donde un primer nodo de red está configurado para recibir, desde una PLMN local del UE después de que el UE haya sido autenticado con éxito por la PLMN local o la PLMN de servicio, un identificador secreto que identifica de forma única el UE, en el que el identificador secreto es un secreto que se compartió entre el UE y la PLMN local. Un segundo nodo de red está configurado en esta PLMN de servicio para realizar una operación relacionada con el UE utilizando el identificador secreto.
El identificador secreto puede, en una o más realizaciones de los aspectos mencionados anteriormente, ser un identificador de larga duración no cifrado, por ejemplo IMSI.
En una o más realizaciones de los aspectos mencionados anteriormente, el UE puede ser autenticado por la PLMN de servicio. En tales realizaciones, el identificador secreto puede enviarse desde la PLMN local en un mensaje de respuesta de actualización de localización desde la PLMN local.
La operación puede, en una o más realizaciones de los aspectos mencionados anteriormente, ser interceptación legal o control de cobro relacionado con el UE.
Breve descripción de los dibujos
La figura 1 ilustra una red de comunicaciones correspondiente a ejemplos de realización de la invención.
La figura 2 ilustra un método realizado por un nodo de red de una PLMN de servicio según una o más realizaciones. La figura 3 ilustra un método realizado por un nodo de red de una PLMN local según una o más realizaciones. La figura 4 ilustra un proceso y un flujo de señales implementados en realizaciones de ejemplo de la invención. La figura 5 ilustra un proceso y un flujo de señales implementados en realizaciones de ejemplo de la presente invención.
La figura 6 ilustra un proceso y un flujo de señales implementados en realizaciones de ejemplo de la presente invención.
La figura 7 ilustra aspectos de un nodo de red de ejemplo de una PLMN de servicio en realizaciones de ejemplo de la invención.
La figura 8 ilustra aspectos de un nodo de red de ejemplo de una PLMN local en realizaciones de ejemplo de la invención.
La figura 9 ilustra una realización de una PLMN de servicio.
Descripción detallada
La figura 1 ilustra un sistema de comunicación 100 que incluye una PLMN local 114 para un UE 102 y una PLMN de servicio 112 que proporciona acceso de red y servicios al UE 102. Tal como se muestra en la figura 1, la PLMN de servicio 112 incluye un nodo de red 106 (entre una pluralidad de dispositivos de red que no se muestran explícitamente), que está configurado para realizar al menos una operación 108 relacionada con el UE 102 (otras operaciones relacionadas con el UE realizadas pueden existir pero no se muestran). En algunos ejemplos, un identificador secreto 110 del UE 102 tiene que estar disponible para el nodo de red 106 (o para la PLMN de servicio 112, generalmente) para que se realice la operación 108. Sin embargo, por defecto, este identificador secreto 110 puede mantenerse como secreto entre la PLMN local 114 y el UE 102 (y potencialmente otros dispositivos y/o redes a los que se ha revelado previamente el identificador secreto 110). Así, en al menos algunos ejemplos, se puede requerir que la PLMN de servicio 112 obtenga el identificador secreto 110 como un requisito previo para realizar la operación 108. El UE puede ser, por ejemplo, un teléfono móvil, un ordenador portátil, una tableta y un dispositivo integrado en, por ejemplo, electrodomésticos (tal como un refrigerador) o un vehículo (tal como un sistema de información y entretenimiento en el tablero de un automóvil o camión). El nodo de red 106 puede ser, por ejemplo, una función de gestión de acceso y movilidad (AMF), una función de ancla de seguridad (SEAF), una función de gestión del contexto de seguridad (SCMF), una función de gestión de sesiones (SMF) y una función de control de políticas (PCF).
En una característica de la invención, el nodo de red 106 de la PLMN de servicio 112 obtiene el identificador secreto 110 del UE 102, por ejemplo, por medio de uno o más mensajes 101 enviados por un nodo de red 116 (o cualquier otro dispositivo permitido) del PLMN local 114. Al revelar este identificador secreto 110 a la PLMN de servicio 112, la PLMN local 114 permite que el nodo de red 106 de la PLMN de servicio 112 realice la operación 108. Otras características del funcionamiento, de la estructura y de las características del sistema de comunicación 100 y de los dispositivos y redes mostrados en la figura 1, se introducirán y explicarán a continuación con referencia a las figuras restantes. El nodo de red 116 puede ser, por ejemplo, una función de servidor de autenticación (AUSF), una función de repositorio y procesamiento de credenciales de autenticación (ARPF), gestión unificada de datos (UDM), servidor AAA (servidor de autenticación, autorización y contabilidad), función de almacenamiento de datos estructurados (SDSF) y función de almacenamiento de datos no estructurados (UDSF).
Antes de continuar con una descripción más detallada de las formas de realización de ejemplo, debe tenerse en cuenta que se puede entender que cualquier descripción que se refiera a una PLMN particular también se refiere al nodo de red asociado con la PLMn particular. Asimismo, se puede entender que cualquier descripción que se refiera a un nodo de red particular también se refiere a la PLMN asociada con el nodo de red particular. Por ejemplo, cualquier característica que se de a conocer como correspondiente a, o que esté siendo realizada por la PLMN local 114 debe entenderse igualmente como opcionalmente correspondiente a, o siendo realizada por el nodo de red 116 de la figura 1. De manera similar, cualquier característica que se de a conocer como correspondiente a, o siendo realizada por la PLMN de servicio 112 también debe entenderse como opcionalmente correspondiente a, o realizada por el nodo de red 106 de la figura 1. Dicho esto, cualesquiera dos o más características o funcionalidades descritas como realizadas por una PLMN no deben interpretarse como necesariamente asociadas con, o realizas por exactamente el mismo dispositivo en la PLMN. Por el contrario, cualesquiera dos o más características que se den a conocer como realizadas por, o asociadas con una PLMN en particular, o que se den a conocer como realizadas por, o asociadas con un nodo de red de una PLMN particular, deben leerse como opcionalmente asociadas con o realizadas por diferentes nodos de red de ejemplo de la PLMN. Un ejemplo de esto sería un aparato que comprende dos nodos de red de la PLMN de servicio, donde un primer nodo de red recibe el identificador secreto 110 de la PLMN local y a continuación habilita, por medio del conocimiento del identificador secreto 110, un segundo nodo de red para realizar una operación relacionada con el UE 102.
En un ejemplo de esta directiva, si la presente descripción establece que "la PLMN de servicio 112 almacena el identificador público en su memoria", también debe entenderse que asimismo establece que "el nodo de red 106 almacena el identificador público en la memoria del nodo de red 106 o en cualquier otro nodo de red o dispositivo de la PLMN de servicio 112 que contenga memoria en la que se pueda almacenar el identificador público". Además, si la descripción establece además que "la PLMN de servicio 112 compara un identificador público con un identificador secreto cifrado", debe entenderse que también establece que "se puede realizar una comparación del identificador público y un identificador secreto cifrado, en el mismo nodo de red 106 que almacenó el identificador público anterior, o en cualquier otro nodo de red (que no sea el nodo de red particular en cuya memoria se almacenó el identificador público) de la PLMN de servicio que se pueda entender que realiza dicha comparación ". En otras palabras, se debe entender que las PLMN local y de servicio comprenden opcionalmente una pluralidad de nodos de red, uno o más de los cuales pueden realizar las funciones o características descritas atribuidas a la PLMN o a un nodo de red de la misma.
La figura 2 ilustra un método 200 de ejemplo realizado por el nodo de red 106 de la PLMN de servicio 112 para realizar la operación 108 que requiere conocimiento del (o acceso al) identificador secreto 110 del UE 102 servido por la PLMN de servicio 112. En algunos ejemplos , el identificador secreto requerido 110 puede identificar el propio UE, aunque adicional o alternativamente puede estar asociado con una cuenta de usuario o abonado particular correspondiente al UE, donde la cuenta de abonado puede tener credenciales de autenticación particulares, cuenta o registros de cobro, políticas de acceso y generación de llaves electrónicas, parámetros de servicio que incluyen QoS o nivel de abonado para uno o más servicios, o similares, cada uno de los cuales puede establecerse y/o mantenerse en la PLMN local 114 del UE 102. Por consiguiente, para los fines de la presente descripción, el término equipo de usuario se refiere no solo a un dispositivo particular, sino que también puede referirse a un abonado o usuario que tiene una PLMN local asociada. En otras palabras, se puede decir de forma análoga que un identificador secreto 110 en forma de una identidad de abonado móvil internacional (IMSI) que identifica de forma única el UE 102 identifica de forma única a un abonado/usuario de la PLMN local 114 en lugar del UE, ya que la IMSI normalmente se almacena en una tarjeta de circuito integrado universal (UICC)/tarjeta de módulo de identidad de abonado (SIM) conectada a un equipo móvil (ME) para formar el UE, y la tarjeta SIM se puede cambiar a otro ME. Así, identificar de forma única el UE 102 significaría que la IMSI está asociada con un determinado abonado de la PLMN local en una base de datos compuesta o conectada a la PLMN local. Por supuesto, el experto en la materia también sabe que la IMSI en algunos sistemas, tal como, por lo menos, en al menos algunos sistemas 4G actuales, se utiliza de hecho para identificar al propio UE y no solo al abonado.
Las palabras "único" y "únicamente" se considerarán, por supuesto, en el contexto de esta invención. Desde un punto de vista filosófico, quizás nunca se pueda garantizar que, por ejemplo un cierto número, tal como un número binario, que sea único en una base de datos o en un grupo de bases de datos relacionadas con, por ejemplo, una PLMN local, no se pueda encontrar en otro lugar, tal como en una red informática completamente diferente o en una lista privada, para un abonado o UE completamente diferente.
Además, el identificador secreto 110 puede ser un identificador "de larga duración", que, para los propósitos de la presente solicitud, corresponde a un conjunto estático de caracteres alfanuméricos (o valores de bits digitales correspondientes) que se establecen en base a una premisa, acuerdo, y la intención de esto es que permanezca sin cambios, en ausencia de circunstancias atenuantes que requieran una alteración, durante la totalidad de la vigencia de la suscripción. El identificador secreto 110 puede ser un identificador de larga duración como, entre otros, IMSI y/o uno o más de los valores que componen la IMSI, tal como el número de identificación de suscripción móvil (MSIN), el código de red móvil ( MNC) y/o el código de país móvil (MCC). Alternativa o adicionalmente, el identificador secreto 110 puede comprender un identificador de larga duración, tal como una Identidad Internacional de Equipo Móvil (IMEI), una dirección de Protocolo de Internet (IP) o similar, o un identificador a de corta duración, tal como una Identidad Temporal Única Globalmente (GUTI), Identidad temporal de la red de radio celular (C-RNTI) o cualquier identificador conocido similar que se mantenga privado o que se pueda hacer privado o que de otro modo se pueda mantener en secreto entre un conjunto limitado de dispositivos. Con respecto a una dirección IP como identificador de larga duración, una dirección IP estática es claramente un ejemplo, pero dependiendo del caso de uso, también una dirección IP asignada por un servidor de Protocolo de configuración dinámica de anfitrión puede ser un identificador de larga duración. En otras circunstancias, una dirección IP asignada dinámicamente se considera un identificador de corta duración. Un identificador de larga duración, tal como lo entiende un experto en la técnica, no tiene que ser necesariamente un identificador permanente. En las discusiones sobre la quinta generación (5G), un identificador permanente/de larga duración a veces se denomina un identificador permanente del abonado (SUPI).
Volviendo al método 200, en el bloque 202, el nodo de red 106 obtiene un identificador secreto 110 que identifica de forma única el UE. Tal como se discutió anteriormente, el identificador secreto 110 es un secreto (es decir, es mantenido en privado por un conjunto limitado y discreto de redes y dispositivos) que se comparte entre el UE y al menos una PLMN local del UE y es enviado por la PLMN local al nodo de red 106.
Además, en el bloque 204 del método 200, el nodo de red 106 realiza la operación 108 relacionada con el UE 102, y utiliza el identificador secreto 110 obtenido para hacerlo. Aunque no todas las operaciones relacionadas con UE realizadas por un nodo de red o una PLMN de servicio requieren que se conozca el identificador secreto 110, algunas operaciones (incluidas algunas requeridas por ley) requieren (o pueden utilizar opcionalmente) el identificador secreto 110 antes de la ejecución. Por ejemplo, la operación 108 puede ser una operación relacionada con una interceptación legal del UE. Una PLMN de servicio que conoce el identificador secreto 110 del UE 102 puede, por tanto, soportar la interceptación legal sin la asistencia o visibilidad de una PLMN local. En otros ejemplos, la operación 108 puede ser de naturaleza económica o de marketing, tal como una operación para reconocer uno o más UE que han sido servidos previamente por una PLMN particular y proporcionar uno o más incentivos para que estos UE se conecten a la PLMN de servicio (o, si es inminente una nueva selección o traspaso opcional, incentivar a permanecer conectado a la PLMN de servicio). En otros ejemplos más, la operación puede estar relacionada con ciertos parámetros o garantías de servicio operativo específicos de UE, tales como establecer o modificar uno o más parámetros de Calidad de Servicio asociados con un UE (o usuario/abonado). Alternativamente, la operación podría estar relacionada con la política y/o el control de cobro asociado con el UE 102. Aunque estos pocos ejemplos proporcionan una imagen limitada de algunas operaciones de ejemplo que pueden utilizar un identificador secreto 110 de un UE o abonado de la red, la característica de obtener un identificador secreto por una PLMN de servicio o la revelación del identificador secreto por una PLMN local puede extenderse a cualquier operación o proceso que pueda aplicarse en una granularidad de un solo UE.
Además de las características de los bloques 202 y 204, el método 200 puede incluir aspectos adicionales o alternativos que no se muestran explícitamente en la figura 2. Por ejemplo, el nodo de red 106 de la PLMN de servicio 112 puede recibir, desde el UE, un identificador público (es decir, identificador no secreto o no cifrado asociado con el UE) y/o un seudónimo correspondiente al UE. Después de recibir el identificador público y/o el seudónimo, el nodo de red 106 puede reenviar el identificador público y/o el seudónimo a la PLMN local 114 del UE. El identificador público y/o el seudónimo enviado a la PLMN local puede servir como una solicitud implícita para que la PLMN local 114 revele el identificador secreto 110 a la PLMN de servicio 112 (por ejemplo, al nodo de red 106), o el nodo de red 106 puede generar y enviar una solicitud explícita para el identificador secreto 110 a la PLMN local 114 junto con el identificador público reenviado y/o el seudónimo. Como tal, la obtención del identificador secreto en el bloque 202 puede ser en respuesta al reenvío del identificador público y/o seudónimo correspondiente al UE 102.
Como se discutirá más adelante, los nodos de red de la PLMN de servicio y/o la PLMN local 114 pueden realizar la autenticación para ayudar a garantizar que el identificador secreto 110 no se revele en respuesta a una solicitud maliciosa de un tercero que no está autorizado para obtener el identificador secreto 110. Así, en algunos ejemplos, el nodo de red 106 puede recibir el identificador secreto 110 solo después de que el UE haya sido autenticado satisfactoriamente por la PLMN local (y/o la PLMN de servicio, ver más abajo). Por lo tanto, si la autenticación no tiene éxito en la PLMN local, la PLMN local 114 puede informar a la PLMN de servicio que la autenticación falló (por ejemplo, a través de un mensaje de fallo) o simplemente no revelar el identificador secreto a la PLMN de servicio, lo que puede servir como una indicación implícita de error de autenticación en algunos ejemplos. Sin embargo, cuando el identificador secreto 101 es enviado a la PLMN de servicio por la PLMN local (por ejemplo, después de la autenticación de UE de la PLMN local o la confirmación del éxito de la autenticación de la PLMN de servicio, en algunos ejemplos), este se puede comunicar a través de un mensaje de protocolo de autenticación extensible (EAP) desde la PLMN local 114 a la PLMN de servicio 112.
Como se introdujo anteriormente, la autenticación del UE 102 también puede ser realizada por los nodos de red 106 de la PLMN de servicio 112. Para realizar esta autenticación, un nodo de red 106 puede requerir un identificador público y/o seudónimo del UE 102 (para la identificación del UE objetivo de autenticación) e información de autenticación que contiene reglas y/o procesos necesarios para realizar el procedimiento de autenticación en el nodo de red 106. Por lo tanto, el método 200 puede incluir, en algunos ejemplos, obtener un identificador público y/o seudónimo del UE 102 desde el propio UE (o desde otro dispositivo que posea esta información) y recibir la información de autenticación desde la PLMN local 114 (por ejemplo, desde el nodo de red 116). En un aspecto, la información de autenticación es comunicada por la PLMN local a la PLMN de servicio en uno o más mensajes que se forman en un formato de Acuerdo de Claves y Autenticación del Sistema de Paquetes Evolucionado (EPS-AKA) y se comunica a través de un vector de autenticación que está contenido en uno o más mensajes comunicados.
Una vez que el identificador público y/o seudónimo y la información de autenticación han sido obtenidos/recibidos por el nodo de red 106 o por la PLMN de servicio 112, generalmente, el nodo de red 106 realiza operaciones de autenticación para determinar si el UE está autenticado (es decir, que el UE 102 es verdaderamente un abonado de la PLMN local 114 o que está autorizado de otro modo a solicitar a la PLMN local 114 que revele el identificador secreto 110 a la PLMN de servicio 112). Si las operaciones de autenticación son exitosas (por ejemplo, las operaciones determinan que el UE 102 (o una solicitud del mismo) es auténtico (es decir, que el UE 102 es un abonado verificado de la PLMN local 114)), el nodo de red 106 puede comunicar un mensaje de éxito de autenticación a la PLMN local para informar a la PLMN local que el UE ha sido autenticado satisfactoriamente por la PLMN de servicio. Además, cuando se recibe y procesa en la PLMN local 114, el mensaje de éxito de autenticación puede activar la PLMN local para que envíe el identificador secreto 110 a la PLMN de servicio.
En el ejemplo descrito anteriormente, la PLMN de servicio 112 recibe el identificador secreto 110 de la PLMN local después de que el UE 102 haya sido autenticado por la PLMN de servicio o por la PLMN local. En estas realizaciones, el nodo de red 106 puede recibir el identificador secreto de la PLMN local a través de un mensaje de respuesta de información de autenticación (AIA) (por ejemplo, de acuerdo con el protocolo de autenticación, autorización y contabilidad (AAA) Diameter) generado y enviado desde la PLMN local después de que la autenticación del UE 102 haya tenido éxito. Aunque realizar la autenticación antes de que la PLMN local envíe el identificador secreto 110 a la PLMN de servicio puede proporcionar un nivel adicional de seguridad para el método 200, no es un requisito para todas las realizaciones. Por consiguiente, en algunas realizaciones, la PLMN de servicio (por ejemplo, a través del nodo de red 106) puede recibir el identificador secreto 110 de la PLMN local 114 antes de que el UE 102 sea autenticado por la PLMN de servicio 112 o la PLMN local 112. En estas realizaciones alternativas, el identificador secreto puede enviarse a través de un mensaje de respuesta de actualizar localización (ULA) (por ejemplo, de acuerdo con el protocolo de autenticación, autorización y contabilidad (AAA) Diameter) generado y enviado desde la PLMN local antes de que la autenticación del UE 102 haya tenido éxito en las PLMN de servicio o local.
En un aspecto adicional de algunas realizaciones del método 200, tal como una medida de seguridad adicional para evitar la diseminación no autorizada del identificador secreto 110 y para verificar que el identificador secreto enviado por la PLMN local es genuino, la PLMN de servicio 112 (por ejemplo, a través del nodo de red 106) puede verificar que un identificador público y el identificador secreto 101 obtenido corresponden al mismo UE. Aunque este procedimiento de verificación se describe principalmente en la presente descripción como realizado por el nodo de red 106 (o por la PLMN de servicio 112, generalmente), esta no es una característica limitante. En su lugar, la verificación se puede realizar de forma alternativa o adicional en la PLMN local 114 y/o mediante otro dispositivo o red que no se muestre en la figura 1 (por ejemplo, un sistema de seguridad dedicado o un servicio AAA, por ejemplo).
Sin embargo, cuando se realiza en la PLMN de servicio 112, el procedimiento de verificación puede ampliar el grupo de características descrito anteriormente que puede realizar el nodo de red 106 al ejecutar el método 200. Por ejemplo, utilizar un esquema de cifrado asimétrico basado en una clave pública de la PLMN local, clave pública que es conocida tanto por el UE como por la PLMN local puede, en una realización de la verificación, ser como sigue. La verificación incluye que el nodo de red 106 obtenga información de cifrado para cifrar el identificador secreto 110, por ejemplo, de la PLMN local 114. Esta información de cifrado incluye la clave pública de la PLMN local 114 que se puede utilizar para cifrar el identificador secreto 110 en un identificador público cifrado del UE. Como se mencionó anteriormente, este identificador público puede ser obtenido inicialmente por el nodo de red 106 (o la PLMN de servicio 112, generalmente) del UE 102, es decir, el UE puede haber generado previamente el identificador público cifrando su IMSI con la clave pública de la PLMN local, y enviar este identificador público (es decir, el IMSI cifrado con la clave pública de la PLMN local) al nodo de red 106. Una vez obtenida por el nodo de red 106, el nodo de red 106 puede utilizar la información de cifrado para generar un identificador secreto cifrado, cifrando el identificador secreto 110 obtenido con la clave pública de la PLMN local. El nodo de red 106 puede proceder a continuación comparando el identificador secreto cifrado resultante y el identificador público recibido (y almacenado) previamente recibido del UE. Esta comparación puede tener como resultado una determinación por parte del nodo de red 106 de que el identificador secreto cifrado y el identificador público coinciden. Tal coincidencia puede indicar que la verificación ha tenido éxito. En un aspecto, los criterios que definen una "coincidencia" pueden ser preconfigurados por el usuario o por la PLMN local o la PLMN de servicio. Estos criterios para determinar que existe una coincidencia pueden adaptarse a un nivel deseado de precisión, requiriendo una coincidencia exacta a nivel de bits o definiendo un porcentaje, proporción o número en bruto de bits coincidentes que cumplan con un criterio de umbral de verificación predefinido). Independientemente de los criterios particulares implementados para definir el éxito de la verificación, si se cumplen los criterios, el nodo de red 106 puede verificar que el identificador público y el identificador secreto corresponden al mismo UE basándose en la determinación de que el identificador secreto cifrado y el identificador público coinciden. Como resultado, las solicitudes de UE no autorizados que tienen un identificador público que no "coincide" con el identificador secreto revelado 110 se pueden descubrir y remediar eficazmente para limitar la difusión del identificador secreto 110 a partes no autorizadas. En otras palabras, una operación como la interceptación legal se vuelve más fiable al determinar que el UE y la PLMN local no están defraudando a la PLMN de servicio.
En una primera realización alternativa de la verificación, se utiliza un esquema de cifrado integrado de curvas elípticas (ECIES). De manera similar a la realización descrita anteriormente, el UE 102 y la PLMN local 114 conocen la clave pública de la PLMN local, pero en este caso el UE 102 también tiene su propio par de claves pública y privada (es decir, del UE 102). El UE 102 genera una primera clave de cifrado simétrica basada en su propia clave privada y la clave pública de la PLMN local 114. El UE 102 genera a continuación el identificador público cifrando el identificador secreto (por ejemplo, IMSI) con la primera clave de cifrado simétrica. El identificador público y la clave pública del UE 102 se envían a la PLMN de servicio 112, que los recibe y también los reenvía a la PLMN local 114. A continuación, además de enviar el identificador secreto a la PLMN de servicio, la PLMN local también produce y envía la información de cifrado en forma de una segunda clave de cifrado simétrica, que es producida por la PLMN local utilizando la clave privada de la PLMN local y la clave pública recibida del UE 102. La PLMN de servicio 112 puede a continuación cifrar el identificador secreto recibido de la PLMN local 114 con la segunda clave de cifrado simétrica, y a continuación realizar la verificación comparando el identificador secreto cifrado con el identificador público. Se habilita una coincidencia debido al hecho de que la segunda clave simétrica es la misma que la primera clave simétrica debido a las propiedades criptográficas proporcionadas por algoritmos de intercambio de claves, tal como Diffie-Hellman.
Una segunda realización alternativa de la verificación es similar a la primera realización alternativa, pero en lugar de cifrar el identificador secreto recibido con la segunda clave de cifrado simétrica, la HPLMN de servicio descifra el identificador público con la segunda clave de cifrado simétrica y compara el identificador público descifrado con el identificador secreto. La figura 3 ilustra un método 300 de ejemplo realizado por un nodo de red 116 de una PLMN local 114 para revelar, a una PLMN de servicio 112 diferente, un identificador secreto 110 de un UE 102 que es servido por la PLMN de servicio 112. Según el método de ejemplo 300, en el bloque 302, el nodo de red 116 determina revelar, a la PLMN de servicio 112 del UE 102, un identificador secreto 110 que identifica de forma única el UE 102. Tal como se describió anteriormente, este identificador secreto 110 es un secreto que se comparte entre los UE 102 y al menos la PLMN local 114. Además, el método de ejemplo 300 incluye el nodo de red 116 que revela el identificador secreto a la PLMN de servicio. En algunos ejemplos no limitativos, revelar el identificador secreto a la PLMN de servicio puede incluir enviar un mensaje EAP a la PLMN de servicio, que incluye el identificador secreto 110. Independientemente del formato de mensaje particular utilizado para enviar el identificador secreto 110 a la PLMN de servicio 112, la PLMN de servicio 112 puede realizar una operación 108 relacionada con el UE 102 utilizando el identificador secreto revelado 110.
Aunque no se muestra explícitamente en la figura 3, el método 300 puede incluir opcionalmente aspectos adicionales, algunos de los cuales se han introducido anteriormente haciendo referencia al método 200 realizado en el lado de la PLMN de servicio 112. Por ejemplo, el nodo de red 116 puede realizar la autenticación del UE 102 como un aspecto adicional opcional del método 300. Cuando la autenticación se realiza en la PLMN local, se garantiza que el UE está presente en la PLMN de servicio. Al realizar esta autenticación, el nodo de red 116 puede, por ejemplo, recibir un identificador público y/o seudónimo del UE 102, que puede ser reenviado a la PLMN local 114 por la PLMN de servicio (por ejemplo, en una solicitud explícita o implícita para que la PLMN local 114 revele el identificador secreto 110 y/o para verificar el UE 102) o que se pueda guardar en la PLMN local a partir de una autenticación previa, por ejemplo. Tras ejecutar el procedimiento de autenticación, el nodo de red 116 puede determinar que el UE 102 se ha autenticado satisfactoriamente basándose en el identificador público y/o el seudónimo. En algunas implementaciones, una determinación por parte del nodo de red 116 de revelar el identificador secreto a la PLMN de servicio 112 requiere una autenticación exitosa del UE 102. Sin embargo, en algunos ejemplos, tal éxito de autenticación previa no es necesario para revelar el identificador secreto 110 a una PLMN de servicio particular 112, a pesar del aumento asociado del riesgo de diseminación del identificador secreto 110 a partes no autorizadas.
En determinadas realizaciones en las que la PLMN de servicio realiza el procedimiento de autenticación, la PLMN local 114 puede comunicar información de autenticación a la PLMN de servicio 112, que es utilizada por la PLMN de servicio 112 (por ejemplo, en el nodo de red 106) para realizar la autenticación independiente del UE 102. La información de autenticación puede formarse en un formato EPS-AKA y puede comunicarse a la PLMN de servicio 112 a través de un vector de autenticación. Además, en algunos ejemplos, el nodo de red 116 puede recibir un mensaje de éxito de autenticación de la PLMN de servicio 112 que informa a la PLMN local 114 de que el UE 102 ha sido autenticado satisfactoriamente por la PLMN de servicio 112. Recibir el mensaje de autenticación puede activar la PLMN local 114 para revelar el identificador secreto a la PLMN de servicio 112 en algunos casos. Revelar el identificador secreto 110 puede incluir que el nodo de red 116 envíe el identificador secreto 110 a la PLMN de servicio a través de un mensaje ULA. Sin embargo, en otras implementaciones de ejemplo, la autenticación previa del UE no es obligatoria y, así, el nodo de red 116 puede revelar opcionalmente el identificador secreto 110 enviándolo a la PLMN de servicio 112 antes de que se autentique el UE (por ejemplo mediante la PLMN de servicio o la PLMN local 114). En estos ejemplos, el nodo de red 116 puede enviar el identificador secreto 110 a la PLMN de servicio 112 después de que el UE 102 sea autenticado por la PLMN de servicio (por ejemplo, a través de un mensaje AIA). Cuando se realiza la autenticación en la PLMN de servicio, quizás no se garantiza que el UE esté presente en la PLMN de servicio, pero la PLMN de servicio todavía puede ser considerada responsable.
Las figuras 4, 5 y 6 presentan diferentes procesos de ejemplo y flujos de señal para diferentes realizaciones de ejemplo para revelar el identificador secreto 110 del UE 102 a una PLMN de servicio 112 del UE 102. Las realizaciones de ejemplo ilustradas en las figuras 4, 5 y 6 no pretenden en modo alguno ser un conjunto exclusivo de todas las posibles realizaciones. Por el contrario, estos ejemplos de realizaciones ilustrados representan un subconjunto de posibles realizaciones que se contemplan en la presente descripción.
Volviendo a estas realizaciones de ejemplo ilustradas, la figura 4 ilustra una implementación de ejemplo mediante la cual se requiere la autenticación del UE 102 antes de revelar el identificador secreto 110 a la PLMn de servicio 112 y donde la autenticación se realiza en la PLMN local utilizando un identificador (tal como un seudónimo o un identificador de larga duración cifrado del UE 102) público (es decir no secreto). Tal como se muestra en la figura 4, la PLMN de servicio puede iniciar el proceso determinando la necesidad de realizar una operación relacionada con el UE para la que el identificador privado del UE es un requisito previo para la ejecución. En base a esta determinación, la PLMN de servicio 112 envía una solicitud al UE 102 para el identificador público del UE (si no es ya conocido por la PLMN de servicio, en algunos ejemplos). En respuesta a la solicitud, el UE 102 envía este identificador público a la PLMN de servicio 112 y, después de recibir el identificador público, la PLMN de servicio 112 reenvía el identificador público a la PLMN local 114. Al reenviar el identificador público a la PLMN local 114, la PLMN de servicio 112 puede indicar implícitamente a la PLMN local 114 que la PLMN de servicio 112 solicita que la PLMN local 114 revele el identificador secreto 110 del UE 112. En ejemplos alternativos, la PLMN de servicio 112 puede enviar una solicitud explícita separada a la PLMN local 114 para que la PLMN local 114 revele el identificador secreto 110 del UE 112.
En la realización de ejemplo de la figura 4, después de recibir el identificador público, la PLMN local 114 realiza operaciones de autenticación y determina que la autenticación es exitosa. Esta autenticación exitosa indica que el UE 102 está realmente presente en (por ejemplo, está siendo servido actualmente por) PLMN de servicio 112. Basándose en esta autenticación exitosa, la PLMN local 114 toma la determinación de revelar el identificador secreto del UE 102 a la PLMN de servicio 112 y procede a revelar el identificador secreto a la PLMN de servicio 112. Esto se puede conseguir enviando el identificador secreto en un mensaje dedicado o montando los datos del identificador secreto sobre mensajes programados o en cola (y/o futuros) para ser enviados a la PLMN de servicio. Después de recibir el identificador secreto, la PLMN de servicio 112 realiza la operación relacionada con el UE.
La figura 5 ilustra otra implementación de ejemplo por la cual el procedimiento de verificación del UE es realizado por la PLMN de servicio 112. De nuevo, en la realización de ejemplo de la figura 5, se requiere la autenticación del UE 102 antes de revelar el identificador secreto 110 a la PLMN de servicio 112, y donde la autenticación se realiza en la PLMN local utilizando un identificador público. Para garantizar la legibilidad, las etapas iniciales para determinar la necesidad de realizar una operación relacionada con el UE, solicitar el identificador público del UE y que la PLMN de servicio realice la operación, no se muestran en la figura 5, aunque estas características se incluyan opcionalmente en esta implementación de ejemplo.
Tal como se muestra, una vez que el UE 102 devuelve el identificador público solicitado (por ejemplo, el IMSI del UE 102 cifrado con la clave pública de la PLMN local 114), la PLMN de servicio almacena el identificador público en la memoria (por ejemplo, en la memoria de uno o más nodos de red) y a continuación reenvía el identificador público a la PLMN local 114, que de nuevo activa la PLMN local 114 para realizar la autenticación. Cuando la autenticación tiene éxito, la PLMN local 114 determina revelar el identificador secreto a la PLMN de servicio 112. Además, la PLMN local 114 puede enviar información de cifrado a la PLMN de servicio 112 junto con el identificador secreto, dado que la información de cifrado es privada (es decir un secreto que puede ser guardado únicamente por la PLMN local 114 y cualesquiera otros dispositivos a los que la PLMN local 114 permita el acceso a la información de cifrado). La información de cifrado puede incluir una clave pública asociada con la PLMN local 114. En implementaciones alternativas, la información de cifrado puede enviarse antes (o después) de que la PLMN local 114 envíe el identificador secreto, y en otros ejemplos donde la información de cifrado se obtuvo previamente por la PLMN de servicio 112 durante una iteración de proceso separada, puede no enviarse en absoluto para iteraciones de proceso posteriores.
Al recibir de la PLMN local 114 el identificador secreto y la información de cifrado, la PLMN de servicio 112 realiza una operación de verificación, que puede ayudar a garantizar que el identificador público no corresponda a un UE diferente al UE 102 al que corresponde el identificador secreto revelado. Tal como se ha explicado haciendo referencia a las figuras anteriores, esta verificación puede implicar varias etapas, que pueden incluir utilizar la información de cifrado para generar una versión cifrada del identificador secreto. Una vez se ha generado el identificador secreto cifrado, la PLMN de servicio puede compararlo con el identificador público almacenado. Si la comparación revela que el identificador público y el identificador secreto cifrado coinciden (por ejemplo cumplen ciertos criterios estáticos o modificables que definen una coincidencia), el procedimiento de verificación puede tener éxito determinando que el identificador público y el identificador secreto corresponden a un único UE que es un abonado autenticado de la PLMN local 114. De nuevo, aunque no se muestra explícitamente en la figura 5, la PLMN de servicio puede realizar la operación relacionada con el UE después de la verificación.
La figura 6 ilustra otra implementación de ejemplo en la que el procedimiento de autenticación de UE es realizado por la PLMN de servicio 112. Además, la PLMN de servicio 112 de la figura 6 realiza el procedimiento de verificación de UE que se ha esbozado anteriormente con respecto a la figura 5. A diferencia de las realizaciones de procedimiento en las figuras 4 y 5, en la realización de ejemplo de la figura 6, la autenticación del UE 102 es opcional antes de revelar el identificador secreto 110 a la PLMN de servicio 112. Como tal, la PLMN local 114 puede revelar el identificador secreto a la PLMN de servicio 112 antes de que se realice autenticación alguna del UE (en este caso, antes de que se realice la autenticación en la PLMN de servicio 112). Alternativamente, la PLMN local 114 puede configurarse para requerir la confirmación de la PLMN de servicio 112 de que el UE se ha autenticado con éxito, antes de tomar la determinación de enviar el identificador secreto a la PLMn de servicio 112. Ambas opciones se ilustran en el proceso y el flujo de señal de la figura 6, y las señales asociadas con estas opciones se indican como opcionales (porque la opción "otra" puede implementarse en todos los casos) mediante líneas de señal discontinuas.
Para garantizar nuevamente la legibilidad, las etapas iniciales para determinar la necesidad de realizar una operación relacionada con el UE, solicitar el identificador público del UE y que la PLMN de servicio realice la operación, no se muestran en la figura 6, aunque estas características se incluyen opcionalmente en este implementación de ejemplo.
Tal como se ilustra en la parte superior del proceso y flujo de señales de la figura 6, una vez que el UE 102 envía el identificador público solicitado a la PLMN de servicio 112, la PLMN de servicio 112 almacena el identificador público en la memoria (por ejemplo, en la memoria de uno o más nodos de red) y a continuación reenvía el identificador público a la PLMN local 114. Sin embargo, en lugar de activar la autenticación por la PLMN local 114 como en las figuras 4 y 5, la recepción del identificador público activa la PLMN local 114 para enviar información de autenticación necesaria para la autenticación de UE a la PLMN de servicio 112. Además, tal como se mencionó anteriormente, la PLMN local 114 puede enviar opcionalmente el identificador secreto antes de que la PLMN de servicio 112 realice la autenticación (en una opción donde no se requiere autenticación o confirmación de la misma por la PLMN local 114 antes de revelar el identificador secreto). Esto está representado por la línea de señal punteada más alta de la figura 6.
Al recibir la información de autenticación, la PLMN de servicio 112 puede realizar el procedimiento de autenticación del UE. Si la autenticación falla, el proceso puede terminarse y una indicación de tal fallo puede enviarse opcionalmente a la PLMN local 114 (no mostrada). Sin embargo, si la autenticación es exitosa y la PLMN local 114 requiere la confirmación de la autenticación de UE exitosa antes de revelar el identificador secreto, la PLMN de servicio genera y envía un mensaje de confirmación de autenticación a la PLMN local 114. En respuesta a recibir el mensaje de confirmación de autenticación, el PLMN local 114 determina revelar el identificador secreto a la PLMN de servicio 112.
Además, tal como se mostró anteriormente haciendo referencia a la figura 5, la PLMN local 114 puede enviar información de cifrado a la PLMN de servicio 112 junto con el identificador secreto, lo que hace que la PLMN de servicio 112 realice las etapas de la operación de verificación para determinar que el identificador público y el identificador secreto corresponden a un único UE que es un abonado autenticado de la PLMN local 114. De nuevo, aunque no se muestra explícitamente en la figura 5, la PLMN de servicio puede realizar la operación relacionada con el UE después de la verificación.
La figura 7 ilustra detalles adicionales de un nodo de red de ejemplo 106 de una PLMN de servicio 112 según una o más realizaciones. El nodo de red 106 está configurado, por ejemplo, a través de medios o unidades funcionales (también pueden denominarse módulos o componentes en el presente documento), para implementar el procesamiento para realizar ciertos aspectos descritos anteriormente en relación con las figuras 2 y 4-6. El nodo de red 106 en algunas realizaciones, por ejemplo, incluye una unidad o medio de obtención 750 para obtener un identificador secreto de un UE, una unidad o medio de realización de operaciones 760 para realizar una o más operaciones que requieren el identificador secreto de un UE particular, una unidad o medio de autenticación 770 para realizar el procesamiento de autenticación del UE, y/o una unidad o medio de verificación 780 para realizar procedimientos de verificación asociados con un UE particular. Estos y potencialmente otros medios o unidades funcionales (no mostrados) juntos realizan los aspectos del método 200 presentado en la figura 2 y/o las características descritas en las figuras 4-6 como relacionadas con la PLMN de servicio 112 y/o el nodo de red 106.
En al menos algunas realizaciones, el nodo de red 106 comprende uno o más circuitos de procesamiento 720 configurados para implementar el procesamiento del método 200 de la figura 2 y cierto procesamiento asociado de las características descritas en relación con las figuras 4-6, tal como mediante la implementación de medios funcionales o unidades de arriba. En una realización, por ejemplo, el circuito o circuitos de procesamiento 720 implementan medios o unidades funcionales como circuitos respectivos. Por tanto, las unidades funcionales pueden implementarse con hardware puro, tal como ASIC o FPGA. En otra realización, los circuitos a este respecto pueden comprender circuitos dedicados a realizar cierto procesamiento funcional y/o uno o más microprocesadores junto con un producto de programa informático en forma de una memoria 730. En realizaciones que emplean la memoria 730, que puede comprender uno o varios tipos de memoria, tal como memoria de solo lectura (ROM), memoria de acceso aleatorio, memoria caché, dispositivos de memoria flash, dispositivos de almacenamiento óptico, etc., la memoria 730 almacena código de programa que, cuando es ejecutado por uno o más microprocesadores, lleva a cabo las técnicas descritas en este documento.
En una o más realizaciones, el nodo de red 106 también comprende una o más interfaces de comunicación 710. La una o más interfaces de comunicación 710 incluyen varios componentes (por ejemplo, antenas 740) para enviar y recibir datos y señales de control. Más particularmente, la o las interfaces 710 incluyen un transmisor que está configurado para utilizar técnicas conocidas de procesamiento de señal, típicamente de acuerdo con uno o más estándares, y están configuradas para acondicionar una señal para su transmisión (por ejemplo, por aire a través de una o más antenas 740). De manera similar, la o las interfaces incluyen un receptor que está configurado para convertir las señales recibidas (por ejemplo, a través de la o las antenas 740) en muestras digitales para su procesamiento por uno o más circuitos de procesamiento. En un aspecto, el módulo o unidad de obtención 750 puede comprender, o puede estar en comunicación con el receptor. El transmisor y/o receptor también puede incluir una o más antenas 740.
Los expertos en la técnica también apreciarán que las realizaciones de la presente memoria incluyen además programas informáticos correspondientes. Un programa informático 790 comprende instrucciones que, cuando se ejecutan en al menos un procesador del nodo de red 106, hacen que el nodo de red 106 lleve a cabo cualquiera de los respectivos procesos descritos anteriormente. Además, el procesamiento o la funcionalidad del nodo de red 106 puede considerarse como realizado por una única instancia o dispositivo o puede dividirse entre una pluralidad de instancias del nodo de red 106 que pueden estar presentes en una determinada PLMN de servicio, de manera que las instancias de dispositivo realizan en conjunto todas las funciones divulgadas. Además, el nodo de red 106 puede ser cualquier tipo conocido de dispositivo asociado con una PLMN que se sabe realiza un proceso o función dado a conocer. Ejemplos de tales nodos de red 106 incluyen eNB, entidades de gestión de movilidad (MME), pasarelas, servidores y similares. En otras palabras, el nodo de red 106 puede ser un nodo que reside en una parte de la red central o una parte de la red de acceso de la PLMN de servicio.
La figura 8 ilustra detalles adicionales de un nodo de red 116 de ejemplo de una PLMN local 114 según una o más realizaciones. El nodo de red 116 está configurado, por ejemplo, a través de medios o unidades funcionales (también pueden denominarse módulos o componentes en el presente documento), para implementar el procesamiento para realizar ciertos aspectos descritos anteriormente haciendo referencia a las figuras 2 y 4-6. El nodo de red 116 en algunas realizaciones, por ejemplo, incluye una unidad o medio de determinación 850 para determinar si revelar un identificador secreto de un UE, una unidad o medio de revelación 860 para revelar el identificador secreto, y una unidad o medio de autenticación 870 para realizar la autenticación de los UE. Estos y potencialmente otros medios o unidades funcionales (no mostrados) realizan juntos los aspectos del método 300 presentado en la figura 3 y/o las características descritas en las figuras 4-6 como relacionadas con la PLMN local 114 y/o el nodo de red 116.
En al menos algunas realizaciones, el nodo de red 116 comprende uno o más circuitos de procesamiento 820 configurados para implementar el procesamiento del método 200 de la figura 3 y cierto procesamiento asociado de las características descritas en relación con la PLMN local 114 y/o el nodo de red 116 a las figuras 4 -6, tal como implementando medios funcionales o unidades anteriores. En una realización, por ejemplo, el circuito o circuitos de procesamiento 820 implementan medios o unidades funcionales como circuitos respectivos. Por tanto, las unidades funcionales pueden implementarse con hardware puro, tal como ASIC o FPGA. En otra realización, los circuitos a este respecto pueden comprender circuitos dedicados a realizar cierto procesamiento funcional y/o uno o más microprocesadores junto con un producto de programa informático en forma de una memoria 830. En realizaciones que emplean la memoria 830, que puede comprender uno o varios tipos de memoria, tales como memoria de solo lectura (ROM), memoria de acceso aleatorio, memoria caché, dispositivos de memoria flash, dispositivos de almacenamiento óptico, etc., la memoria 830 almacena código de programa que, cuando es ejecutado por los uno o más microprocesadores, lleva a cabo las técnicas descritas en este documento.
En una o más realizaciones, el nodo de red 116 también comprende una o más interfaces de comunicación 810. Las una o más interfaces de comunicación 810 incluyen varios componentes (por ejemplo, antenas 840) para enviar y recibir datos y señales de control. Más particularmente, la interfaz o las interfaces 810 incluyen un transmisor que está configurado para utilizar técnicas conocidas de procesamiento de señal, típicamente de acuerdo con uno o más estándares, y está configurado para acondicionar una señal para su transmisión (por ejemplo, por aire a través de una o más antenas 840). En un aspecto, el módulo o unidad de revelación 860 puede comprender o puede estar en comunicación con el transmisor. De manera similar, la interfaz o las interfaces incluyen un receptor que está configurado para convertir las señales recibidas (por ejemplo, a través de la o las antenas 840) en muestras digitales para su procesamiento por uno o más circuitos de procesamiento. El transmisor y/o el receptor también pueden incluir una o más antenas 840.
Los expertos en la técnica también apreciarán que las realizaciones de la presente memoria incluyen además los programas informáticos correspondientes. Un programa informático 880 comprende instrucciones que, cuando se ejecutan en al menos un procesador del nodo de red 116, hacen que el nodo de red 116 lleve a cabo cualquiera de los respectivos procesos descritos anteriormente. Además, se puede considerar que el procesamiento o la funcionalidad del nodo de red 116 se realiza mediante una única instancia o dispositivo o se puede dividir en una pluralidad de instancias del nodo de red 116 que pueden estar presentes en una PLMN local determinada, de modo que juntas las instancias del dispositivo realizan todas las funciones divulgadas. Además, el nodo de red 116 puede ser cualquier tipo conocido de dispositivo asociado con una PLMN que proporcione servicios de comunicación inalámbrica y/o acceso de red a uno o más UE que se sabe realizan un proceso o función dado a conocer. Ejemplos de tales nodos de red 116 incluyen eNB, entidades de gestión de movilidad (MME), pasarelas, servidores y similares. En otras palabras, el nodo de red 116 puede ser un nodo que reside en una parte de la red central o una parte de la red de acceso de la PLMN local.
Las realizaciones incluyen además un soporte que contiene dicho programa informático. Este soporte puede comprender una señal electrónica, una señal óptica, una señal de radio o un medio de almacenamiento legible por ordenador (como las memorias 730 y 830 respectivamente). Un programa informático a este respecto puede comprender uno o más módulos de código o partes de código correspondientes a los medios o unidades descritos anteriormente.
Tal como se mencionó anteriormente junto con la figura 1, varios nodos de la PLMN de servicio 112 pueden realizar las etapas atribuidas a la PLMN de servicio o al nodo de red 106. La figura 9 ilustra una realización de una PLMN de servicio dentro de ese concepto. La PLMN de servicio comprende en este caso al menos dos nodos de red. Un primer nodo de red 900 está, de manera similar al nodo de red 106, configurado para recibir el identificador secreto 110 de la PLMN local después de que el UE 102 se haya autenticado con éxito. El primer nodo de red puede iniciar a continuación un segundo nodo de red 902 para realizar la operación 108 utilizando el identificador secreto. En caso de que la PLMN de servicio realice la autenticación, un tercer nodo de red 906 de la PLMN de servicio puede estar configurado para autenticar el UE 102 y comunicar con la PLMN local, es decir, informar a la PLMN local de una autenticación exitosa o solicitar explícitamente a la PLMN local que envíe el identificador secreto 110 a la PLMN de servicio/al primer nodo de red 900.
Las presentes realizaciones pueden, por supuesto, llevarse a cabo de otras formas distintas a las expuestas específicamente en el presente documento sin apartarse de las características esenciales de la invención. Las presentes realizaciones deben considerarse en todos los aspectos como ilustrativas y no restrictivas, y se prevé que todos los cambios que entren dentro del significado y rango de equivalencia de las reivindicaciones adjuntas estén incluidos en las mismas.

Claims (8)

REIVINDICACIONES
1. Un método realizado por un nodo de red (106) de una red móvil terrestre pública de servicio, PLMN, (112) asociada con un equipo de usuario (102), UE, estando el método caracterizado por:
recibir, desde el UE (102), una IMSI cifrada usando una clave de cifrado pública de una PLMN local (114) del UE (102) para el cifrado, IMSI cifrada que corresponde al UE (102);
reenviar la IMSI cifrada a una PLMN local (114) del UE (102);
recibir de la PLMN local (114) una IMSI en respuesta al reenvío de la IMSI cifrada;
verificar que la IMSI cifrada corresponde al UE (102) mediante
obtener la clave de cifrado pública para cifrar la IMSI,
cifrar la IMSI recibida de la PLMN local (114) utilizando la clave pública de cifrado, y
determinar que la IMSI cifrada por el nodo de red (106) y la IMSI cifrada recibida del UE (102) coinciden; y realizar, si hay coincidencia, una operación relacionada con una interceptación legal del UE (102) utilizando el IMSI.
2. El método según la reivindicación 1, en el que la IMSI se recibe desde la PLMN local (114) en base a que el UE (102) ha sido autenticado satisfactoriamente por la PLMN local (114).
3. El método según cualquiera de las reivindicaciones 1 -2, en el que recibir la IMSI comprende recibir un mensaje de Protocolo de autenticación extensible (EAP) desde la PLMN local (114).
4. El método según la reivindicación 1, que comprende además:
recibir información de autenticación desde la PLMN local (114), permitiendo la información de autenticación que la PLMN de servicio (112) realice la autenticación del UE (102); y
utilizar la información de autenticación para determinar, mediante la PLMN de servicio (112), que el UE (102) es autenticado con éxito.
5. Un nodo de red (106) de una red móvil terrestre pública de servicio, PLMN, (112) asociada con un equipo de usuario, UE (102), comprendiendo el nodo de red (106):
un procesador y una memoria, conteniendo la memoria instrucciones ejecutables por el procesador mediante las que el nodo de red (106) está caracterizado por estar configurado para:
recibir, desde el UE (102), una IMSI cifrada que ha sido cifrada usando una clave de cifrado pública de una PLMN local (114), IMSI cifrada que corresponde al UE (102);
reenviar la IMSI cifrada a la PLMN local (114) del UE (102);
recibir de la PLMN local (114) una IMSI en respuesta al reenvío de la IMSI cifrada;
verificar que la IMSI cifrada corresponde al UE (102) mediante
obtener la clave de cifrado pública para cifrar la IMSI,
cifrar la IMSI recibida de la PLMN local (114) utilizando la clave pública de cifrado, y
determinar que la IMSI cifrada por el nodo de red (106) y la IMSI cifrada recibida del UE (102) coinciden; y realizar una operación relacionada con una interceptación legal del UE (102) utilizando la IMSI si la IMSI cifrada por el nodo de red (106) coincide con la IMSI cifrada recibida del UE (102).
6. El nodo de red (106) según la reivindicación 5, en el que la IMSI se recibe desde la PLMN local (114) en base a que el UE (102) ha sido autenticado satisfactoriamente por la PLMN local (114).
7. El nodo de red (106) según la reivindicación 5, que además está configurado para:
recibir información de autenticación de la PLMN local (114), permitiendo la información de autenticación a la PLMN de servicio (112) realizar la autenticación del UE (102); y
utilizar la información de autenticación para determinar, mediante la PLMN de servicio (112), que el UE (102) se ha autenticado satisfactoriamente.
8. Un programa informático que comprende instrucciones que, cuando son ejecutadas por al menos un procesador de un nodo de red (106, 116), hacen que el nodo de red (106, 116) lleve a cabo un método según cualquiera de las reivindicaciones 1-4.
ES17751254T 2016-07-18 2017-07-12 Funcionamiento relacionado con un equipo de usuario que utiliza un identificador secreto Active ES2896733T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201662363814P 2016-07-18 2016-07-18
PCT/EP2017/067527 WO2018015243A1 (en) 2016-07-18 2017-07-12 Operation related to user equipment using secret identifier

Publications (1)

Publication Number Publication Date
ES2896733T3 true ES2896733T3 (es) 2022-02-25

Family

ID=59581837

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17751254T Active ES2896733T3 (es) 2016-07-18 2017-07-12 Funcionamiento relacionado con un equipo de usuario que utiliza un identificador secreto

Country Status (10)

Country Link
US (4) US10609561B2 (es)
EP (1) EP3485624B1 (es)
JP (1) JP6757845B2 (es)
KR (2) KR102408155B1 (es)
CN (1) CN109691058A (es)
ES (1) ES2896733T3 (es)
HU (1) HUE056644T2 (es)
PL (1) PL3485624T3 (es)
WO (1) WO2018015243A1 (es)
ZA (1) ZA201900351B (es)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3485624B1 (en) * 2016-07-18 2021-09-15 Telefonaktiebolaget LM Ericsson (PUBL) Operation related to user equipment using secret identifier
US11792172B2 (en) 2017-05-05 2023-10-17 Nokia Technologies Oy Privacy indicators for controlling authentication requests
US20190014095A1 (en) 2017-07-06 2019-01-10 At&T Intellectual Property I, L.P. Facilitating provisioning of an out-of-band pseudonym over a secure communication channel
MY208966A (en) 2017-07-20 2025-06-13 Huawei Int Pte Ltd Network security management method, apparatus, and network security management system
EP3518491A1 (en) * 2018-01-26 2019-07-31 Nokia Technologies Oy Registering or authenticating user equipment to a visited public land mobile network
WO2020146998A1 (en) * 2019-01-15 2020-07-23 Zte Corporation Method and device for preventing user tracking, storage medium and electronic device
EP3956792B1 (en) * 2019-04-17 2023-11-22 Nokia Technologies Oy Cryptographic key generation for mobile communications device
CN112218287B (zh) * 2019-07-12 2023-05-12 华为技术有限公司 一种通信方法及装置
US11228423B2 (en) * 2020-01-12 2022-01-18 Advanced New Technologies Co., Ltd. Method and device for security assessment of encryption models
KR102419453B1 (ko) 2021-11-26 2022-07-11 한국인터넷진흥원 사용자 단말 식별시스템 및 방법
US12425461B2 (en) 2023-03-03 2025-09-23 T-Mobile Usa, Inc. Enabling a first mobile device associated with a wireless telecommunication network to receive assistance from a second mobile device in a shared web page
EP4250794A1 (en) * 2022-03-21 2023-09-27 Thales Dis France SAS Lawful interception of activity of an application function
US20250016854A1 (en) * 2023-07-05 2025-01-09 Verizon Patent And Licensing Inc. Systems and methods for secure roaming network steering

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60012580T2 (de) 2000-02-11 2005-07-28 Nokia Corp. Verfahren und system zur identifizierungsinformations-bestimmung eines zur überwachenden teilnehmers in einem kommunikationsnetzwerk
US9167471B2 (en) * 2009-05-07 2015-10-20 Jasper Technologies, Inc. System and method for responding to aggressive behavior associated with wireless devices
EP2244495B1 (en) * 2009-04-20 2012-09-19 Panasonic Corporation Route optimazion of a data path between communicating nodes using a route optimization agent
WO2011038359A2 (en) * 2009-09-26 2011-03-31 Cisco Technology, Inc. Providing services at a communication network edge
EP2499853B1 (en) 2009-11-13 2015-09-16 Telefonaktiebolaget L M Ericsson (publ) Attaching to an access network
CN101808313B (zh) * 2010-03-09 2012-11-21 华为技术有限公司 获取tmsi的方法、移动台、归属位置寄存器和通信系统
US8712056B2 (en) * 2010-06-03 2014-04-29 At&T Intellectual Property I, L.P. Secure mobile ad hoc network
CN101969638B (zh) * 2010-09-30 2013-08-14 中国科学院软件研究所 一种移动通信中对imsi进行保护的方法
US9112905B2 (en) * 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US8687556B2 (en) * 2011-11-18 2014-04-01 Cisco Technology, Inc. Method for correlating connection information with mobile device identity
EP2629482A3 (en) * 2012-01-30 2014-02-19 Nokia Solutions and Networks Oy Lawful intercept without mobile station international subscriber directory number
US9031539B2 (en) * 2012-04-12 2015-05-12 At&T Intellectual Property I, L.P. Anonymous customer reference client
US9490402B2 (en) * 2012-08-17 2016-11-08 Zhiqiang Qian LED light-emitting device for white light
CN103152731A (zh) * 2013-02-27 2013-06-12 东南大学 一种3g接入的imsi隐私保护方法
US9350550B2 (en) * 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
US9445443B2 (en) * 2013-09-27 2016-09-13 Qualcomm Incorporated Network based provisioning of UE credentials for non-operator wireless deployments
US9734694B2 (en) * 2013-10-04 2017-08-15 Sol Mingso Li Systems and methods for programming, controlling and monitoring wireless networks
US9736688B2 (en) * 2013-10-04 2017-08-15 Sol Mingso Li Systems and methods for programming, controlling and monitoring wireless networks
US9942762B2 (en) * 2014-03-28 2018-04-10 Qualcomm Incorporated Provisioning credentials in wireless communications
WO2015157933A1 (en) * 2014-04-16 2015-10-22 Qualcomm Incorporated System and methods for dynamic sim provisioning on a dual-sim wireless communication device
US20150326612A1 (en) * 2014-05-06 2015-11-12 Qualcomm Incorporated Techniques for network selection in unlicensed frequency bands
CN105338511B (zh) * 2014-06-25 2019-08-16 华为技术有限公司 网络拓扑隐藏方法和设备
US9883384B2 (en) * 2014-07-16 2018-01-30 Qualcomm Incorporated UE-based network subscription management
US9998449B2 (en) * 2014-09-26 2018-06-12 Qualcomm Incorporated On-demand serving network authentication
US10117090B2 (en) * 2014-11-07 2018-10-30 T-Mobile Usa, Inc. Multiple device association with a single telephone number
CN104573473B (zh) * 2014-12-05 2018-02-02 小米科技有限责任公司 一种解锁管理权限的方法和认证设备
US10931644B2 (en) * 2015-06-23 2021-02-23 Telefonaktiebolaget Lm Ericsson (Publ) Methods, network nodes, mobile entity, computer programs and computer program products for protecting privacy of a mobile entity
US11297111B2 (en) * 2015-06-30 2022-04-05 Blackberry Limited Establishing a session initiation protocol session
US9451421B1 (en) * 2015-06-30 2016-09-20 Blackberry Limited Method and system to authenticate multiple IMS identities
US10021559B2 (en) * 2015-08-04 2018-07-10 Qualcomm Incorporated Supporting multiple concurrent service contexts with a single connectivity context
US9980133B2 (en) * 2015-08-12 2018-05-22 Blackberry Limited Network access identifier including an identifier for a cellular access network node
EP3345416A4 (en) * 2015-09-01 2019-03-06 Telefonaktiebolaget LM Ericsson (PUBL) METHOD AND DEVICES FOR AUTHENTICATING MOBILE SIM-SOLID TERMINALS ACCESSIBLE TO A WIRELESS COMMUNICATION NETWORK
US10531419B2 (en) * 2015-11-10 2020-01-07 Nec Corporation Communication system for providing IP multimedia subsystem centralized services
US10432399B2 (en) * 2016-07-12 2019-10-01 Huawei Technologies Co., Ltd. Method and apparatus for storing context information in a mobile device
US10516994B2 (en) * 2016-07-17 2019-12-24 Qualcomm Incorporated Authentication with privacy identity
EP3485624B1 (en) * 2016-07-18 2021-09-15 Telefonaktiebolaget LM Ericsson (PUBL) Operation related to user equipment using secret identifier

Also Published As

Publication number Publication date
EP3485624B1 (en) 2021-09-15
US10887300B2 (en) 2021-01-05
WO2018015243A1 (en) 2018-01-25
HUE056644T2 (hu) 2022-02-28
CN109691058A (zh) 2019-04-26
EP3485624A1 (en) 2019-05-22
US11539683B2 (en) 2022-12-27
US20230208823A1 (en) 2023-06-29
JP6757845B2 (ja) 2020-09-23
KR20190032435A (ko) 2019-03-27
KR20210035925A (ko) 2021-04-01
US20200178078A1 (en) 2020-06-04
KR102408155B1 (ko) 2022-06-14
KR102233860B1 (ko) 2021-03-31
JP2019522945A (ja) 2019-08-15
US10609561B2 (en) 2020-03-31
PL3485624T3 (pl) 2022-01-31
ZA201900351B (en) 2020-08-26
US20210075778A1 (en) 2021-03-11
US11870765B2 (en) 2024-01-09
US20190246275A1 (en) 2019-08-08

Similar Documents

Publication Publication Date Title
ES2896733T3 (es) Funcionamiento relacionado con un equipo de usuario que utiliza un identificador secreto
CN113016202B (zh) 用于基站的装置、方法和计算机可读存储介质
ES2930299T3 (es) Identificador oculto de suscripción
ES3037810T3 (en) Method, device, and system for anchor key generation and management in a communication network for encrypted communication with service applications
KR102315881B1 (ko) 사용자 단말과 진화된 패킷 코어 간의 상호 인증
EP2630816B1 (en) Authentication of access terminal identities in roaming networks
JP2022109996A (ja) 認証要求を制御するためのプライバシインジケータ
ES2861269T3 (es) Aparatos y procedimientos para comunicación inalámbrica
KR102860267B1 (ko) 서비스 애플리케이션과의 암호화된 통신을 위한 통신 네트워크에서 앵커 키를 업데이트하기 위한 방법, 디바이스, 및 시스템
US10484187B2 (en) Cellular network authentication
US11330428B2 (en) Privacy key in a wireless communication system
EP3488627B1 (en) Proof-of-presence indicator
US12363076B2 (en) Network exposure function (NEF) for SUCI-based UE-initiated service authorization
EP3439344A1 (en) Registering user equipment to a visited public land mobile network
ES3041788T3 (en) Method to prevent hidden communication on a channel during device authentication, corresponding vplmn and hplmn