ES2947942T3 - Autenticación secundaria de un equipo de usuario - Google Patents

Autenticación secundaria de un equipo de usuario Download PDF

Info

Publication number
ES2947942T3
ES2947942T3 ES17825863T ES17825863T ES2947942T3 ES 2947942 T3 ES2947942 T3 ES 2947942T3 ES 17825863 T ES17825863 T ES 17825863T ES 17825863 T ES17825863 T ES 17825863T ES 2947942 T3 ES2947942 T3 ES 2947942T3
Authority
ES
Spain
Prior art keywords
eap
user equipment
authentication
smf
secondary authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17825863T
Other languages
English (en)
Inventor
Henda Noamen Ben
Zamora David Castellanos
Vesa Torvinen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of ES2947942T3 publication Critical patent/ES2947942T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/25Maintenance of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/022Selective call receivers
    • H04W88/023Selective call receivers with message or information receiving capability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Abstract

Un equipo de usuario (18) está configurado para recibir una solicitud (28) de protocolo de autenticación extensible, EAP, desde una función de gestión de sesión, SMF, (14) que sirve como autenticador EAP para la autenticación secundaria del equipo de usuario (18). La autenticación secundaria es la autenticación del equipo de usuario (18) además de la autenticación primaria del equipo de usuario (18). El equipo de usuario (18) también está configurado para, en respuesta a la solicitud de EAP (28), transmitir una respuesta de EAP (30) a la SMF (14). (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Autenticación secundaria de un equipo de usuario
Solicitudes relacionadas
Esta solicitud reivindica la prioridad para la solicitud de patente provisional número de serie US 62/451,645, presentada el 27 de enero de 2017.
Campo técnico
La presente solicitud se refiere en general a una red de comunicación inalámbrica y se refiere específicamente a la autenticación secundaria de un equipo de usuario configurado para su uso en una red de comunicación inalámbrica.
Antecedentes
Una red de comunicación inalámbrica autentica convencionalmente un equipo de usuario basándose en credenciales que el operador de la red proporciona previamente y que se almacenan de forma segura con el equipo de usuario. Soportar formas alternativas de autenticar un equipo de usuario permitiría que la red de comunicación inalámbrica soporte a su vez una variedad de posibles casos de uso. Por ejemplo, esto permitiría a los propietarios de fábricas o empresas aprovechar sus propios sistemas de gestión de credenciales e identidades para la autenticación y la seguridad de la red de acceso.
Sin embargo, soportar métodos de autenticación alternativos resulta técnicamente desafiante. Muchos métodos de autenticación tienen recomendaciones y requisitos estrictos sobre la red de transporte. Además, aunque 3GPP TR 33.899 da a conocer una solución en la que una función del plano de usuario (UPF) sirve como un autenticador de protocolo de autenticación extensible (EAP) para autenticación secundaria, depender de la conectividad del protocolo de internet (IP) para el soporte de métodos de autenticación alternativos resulta inflexible y pone en peligro la separación entre el plano de control y el plano de usuario.
Compendio
Una o más realizaciones en el presente documento explotan un protocolo de autenticación extensible (EAP) entre un equipo de usuario y una función del plano de control (por ejemplo, una función de gestión de sesión, SMF), para proporcionar autenticación del equipo de usuario. Dicha autenticación puede ser, por ejemplo, una autenticación secundaria que se realiza además (por ejemplo, después) de la autenticación primaria del equipo de usuario. Independientemente, explotar EAP de esta manera puede resultar ventajoso porque soporta diferentes tipos de métodos de autenticación, no depende de la conectividad IP o de un tipo particular de red de acceso y/o se basa en el plano de control para mantener la separación entre el plano de control y el plano de usuario.
Más particularmente, las realizaciones del presente documento incluyen un método para la autenticación secundaria de un equipo de usuario. El método puede comprender recibir, por el equipo de usuario, una solicitud de protocolo de autenticación extensible (EAP) de una función de gestión de sesión (SMF) que sirve como autenticador EAP para la autenticación secundaria del equipo de usuario, donde la autenticación secundaria es la autenticación del equipo de usuario además de la autenticación primaria del equipo de usuario. El método también puede comprender, en respuesta a la solicitud EAP, transmitir una respuesta EAP desde el equipo de usuario a la SMF.
Las realizaciones de este documento también incluyen un método para la autenticación secundaria de un equipo de usuario. El método puede comprender transmitir una solicitud de protocolo de autenticación extensible (EAP) desde una función de gestión de sesión (SMF) a un equipo de usuario, donde la SMF sirve como un autenticador EAP para la autenticación secundaria del equipo de usuario, donde la autenticación secundaria es la autenticación del equipo de usuario además de la autenticación primaria del equipo de usuario. El método puede comprender además, en respuesta a la solicitud EAP, recibir en la SMF una respuesta EAP del equipo de usuario.
En algunas realizaciones, la SMF también sirve como servidor EAP que ejecuta un método de autenticación EAP para la autenticación secundaria del equipo de usuario. En otras realizaciones, la SMF está configurada para reenviar la solicitud EAP y la respuesta EAP entre el equipo de usuario y un servidor EAP que ejecuta un método de autenticación EAP para el autenticador EAP.
Otras realizaciones en el presente documento incluyen un método para la autenticación secundaria de un equipo de usuario. El método puede comprender transmitir una solicitud de protocolo de autenticación extensible (EAP) desde un servidor EAP a un equipo de usuario por medio de una función de gestión de sesión (SMF), donde la SMF sirve como un autenticador EAP de pasaporte para la autenticación secundaria del equipo de usuario, donde la autenticación secundaria es la autenticación del equipo de usuario además de la autenticación primaria del equipo de usuario y donde el servidor EAP está configurado para ejecutar un método de autenticación EAP para el autenticador EAP. El método puede comprender, además, en respuesta a la solicitud EAP, recibir en el servidor EAP por medio de la SMF una respuesta EAP del equipo de usuario.
En algunas realizaciones, el equipo de usuario y la SMF están configurados para su uso en una red de comunicación inalámbrica, donde el servidor EAP está en una red de datos con la que el equipo de usuario solicita una sesión de plano de usuario, donde la autenticación secundaria del equipo de usuario es autenticación del equipo de usuario para establecer la sesión del plano de usuario, y donde la red de comunicación inalámbrica delega la autenticación secundaria a la red de datos.
En algunas realizaciones, la solicitud EAP y la respuesta EAP se transmiten entre la SMF y el servidor EAP por medio de una función del plano de usuario seleccionada por la SMF. En una realización, por ejemplo, la función del plano de usuario sirve como intermediario para el servidor EAP. En otra realización, la función del plano de usuario sirve como un enrutador a través del cual la solicitud EAP y la respuesta EAP se transmiten de forma transparente a la función del plano de usuario.
En cualquiera de estas realizaciones, la solicitud EAP y la respuesta EAP pueden encapsularse dentro de mensajes de protocolo de estrato de no acceso (NAS) respectivos entre la SMF y el UE.
En algunas realizaciones, la transmisión y la recepción se realizan después de la autenticación primaria del equipo de usuario mediante una función de anclaje de seguridad en una red central.
En algunas realizaciones, una red central comprende múltiples segmentos de red diferentes dedicados respectivamente a diferentes servicios, donde la autenticación secundaria del equipo de usuario comprende autenticación específica por segmento del equipo de usuario para acceder a un segmento de red específico de la red central.
En algunas realizaciones, el método comprende, además, en base a una autenticación secundaria exitosa del equipo de usuario, obtener una clave de seguridad compartida entre el equipo de usuario y la SMF.
En algunas realizaciones, una solicitud de establecimiento de sesión transmitida desde el equipo de usuario activa la autenticación secundaria del equipo de usuario. En una realización de este tipo, la solicitud de establecimiento de sesión incluye una identidad secundaria del equipo de usuario utilizado para la autenticación secundaria. Alternativa o adicionalmente, una respuesta de establecimiento de sesión transmitida al equipo de usuario incluye un mensaje de éxito de EAP que indica el éxito de la autenticación secundaria o un mensaje de fallo de EAP que indica el fallo de la autenticación secundaria.
En algunas realizaciones, el método comprende además vincular la autenticación secundaria del equipo de usuario a un canal sobre el que se realiza la autenticación secundaria.
En algunas realizaciones, el método comprende además obtener, en base a una autenticación secundaria exitosa del equipo de usuario, una clave de seguridad compartida entre el equipo de usuario y la SMF, donde dicha obtención comprende obtener la clave de seguridad en función de información de vinculación asociada con un canal sobre el que se realiza la autenticación secundaria. En una realización de este tipo, dicha información vinculante comprende uno o más de: información que identifica un tipo de red de acceso a través de la cual el equipo de usuario accede a una red de comunicación inalámbrica; información que identifica un tipo de red central de la red de comunicación inalámbrica; información que identifica un segmento de red central al que el equipo de usuario está solicitando acceso; e información que identifica un tipo de segmento de red central al que el equipo de usuario está solicitando acceso.
En alguna realización, la SMF está incluida en una red 5G.
Las realizaciones también incluyen los correspondientes aparatos, programas informáticos y portadoras.
Por lo tanto, algunas realizaciones del presente documento pueden usar EAP (rfc3748) para autenticación entre un equipo de usuario (UE) y un servidor potencialmente externo de autenticación, autorización y contabilidad (AAA) donde la SMF, una función de gestión de sesión en el núcleo 5G, respalda el rol del autenticador EAP. Las cargas útiles EAP pueden ser transportadas por el protocolo del estrato sin acceso (NAS) entre el UE y la SMF. El protocolo NAS es el estrato más alto del plano de control. El protocolo NAS se puede dividir entre gestión de movilidad NAS (NAS-MM) y gestión de sesión NAS (NAS-SM), y los mensajes NAS-SM se transportan sobre NAS-MM en un contenedor transparente. La SMF interactúa con un servidor AAA final posiblemente ubicado en un dominio externo. Los paquetes EAP pueden transportarse a través de AAA entre la SMF y este servidor externo en comunicación directa como para la opción opciones de configuración de protocolo (PCO) o, alternativamente, de forma transparente sobre la función del plano de usuario (UPF). Otra posibilidad sería que el servidor EAP no se utilice y la SMF (es decir, el autenticador EAP) ejecute el método EAP.
Por lo tanto, algunas realizaciones aprovechan EAP que proporciona soporte para muchos métodos de autenticación, como seguridad de la capa de transporte eAp (EAP-TLS), autenticación y acuerdo de claves EAP (EAP-AKA), TLS tunelizada EAP (EAP-TTLS) y eAp protegido EAP (eAp- PEAP). Una o más realizaciones se basan en la encapsulación de los mensajes EAP en el protocolo NAS y, por lo tanto, son independientes del tipo de red de acceso (AN). Algunas realizaciones se basan en el plano de control y, por lo tanto, son independientes del tipo de sesión de PDU, es decir, protocolo de internet (IP), no IP, etc. Mediante el uso de EAP, algunas realizaciones soportan diferentes tipos de credenciales y métodos de autenticación. El intercambio EAP se beneficiaría de la protección de las interfaces por aire proporcionadas por el protocolo NAS. Además, el intercambio de EAP puede tener como resultado el establecimiento de claves de seguridad que se utilizarán, por ejemplo la protección del plano de usuario hacia la red de datos establecida.
Breve descripción de los dibujos
La figura 1 es un diagrama de bloques de una red de comunicación inalámbrica según una o más realizaciones. La figura 2 es un diagrama de bloques de una red 5G según algunas realizaciones.
La figura 3 es un diagrama de flujo de llamadas para la autenticación secundaria de un UE según algunas realizaciones.
La figura 4 es un diagrama de bloques de una pila de protocolos para intercambiar mensajes EAP entre un UE y un servidor AAA según algunas realizaciones.
La figura 5 es un diagrama de bloques de una pila de protocolos para intercambiar mensajes EAP entre un servidor AAA y SMF según algunas realizaciones.
La figura 6 es un diagrama de flujo lógico de un método realizado por un equipo de usuario según algunas realizaciones.
La figura 7 es un diagrama de flujo lógico de un método realizado por una función del plano de control (por ejemplo, SMF) según algunas realizaciones.
La figura 8 es un diagrama de flujo lógico de un método realizado por un servidor EAP según algunas realizaciones. La figura 9A es un diagrama de bloques de un equipo de usuario según algunas realizaciones.
La figura 9B es un diagrama de bloques de un equipo de usuario según otras realizaciones.
La figura 10A es un diagrama de bloques de un equipo del plano de control según algunas realizaciones.
La figura 10B es un diagrama de bloques de un equipo del plano de control según otras realizaciones.
La figura 11A es un diagrama de bloques de un servidor EAP según algunas realizaciones.
La figura 11B es un diagrama de bloques de un servidor EAP según otras realizaciones.
Descripción detallada
La figura 1 ilustra una red de comunicación inalámbrica (por ejemplo, una red 5G) según una o más realizaciones. La red incluye una red de acceso 12 y una red central. La red central incluye una o más funciones del plano de control, una de las cuales se muestra como función del plano de control 14. La red central puede incluir, por ejemplo, una función del plano de control en forma de función de gestión de sesión (SMF) responsable de la gestión de sesión y una función del plano de control independiente en forma de función de gestión de acceso y movilidad (AMF) responsable de la gestión de la movilidad. En cualquier caso, la red central también incluye una función del plano de usuario 16.
Como se muestra en la figura 1, un equipo de usuario 18 puede solicitar una sesión 20 (por ejemplo, una sesión de plano de usuario o una sesión de unidad de datos en paquetes, PDU) con una red de datos 22 (por ejemplo, que proporciona servicios de operador de red, acceso a internet o servicios de tercera parte). La red de datos 22 puede ser interna o externa a la red de comunicación inalámbrica. Independientemente, la función del plano de usuario 16 está configurada para reenviar el tráfico del plano de usuario para esta sesión, mientras que la función o funciones del plano de control están configuradas para controlar esa sesión (por ejemplo, por medio de señalización de control para esa sesión).
Una o más realizaciones se refieren a la autenticación del equipo de usuario 18, por ejemplo, la autenticación del equipo de usuario 18 para establecer la sesión 20 con la red de datos 22. La autenticación puede ser de naturaleza secundaria, en el sentido de que es una autenticación que ocurre además de otra denominada autenticación primaria del equipo de usuario (por ejemplo, que puede usar credenciales proporcionadas previamente y/o ser realizada por una función de anclaje de seguridad). En algunas realizaciones, por ejemplo, el equipo de usuario 12 que solicita la sesión 20 con la red de datos 22 activa dicha autenticación secundaria, por ejemplo, después de la autenticación primaria. Esta autenticación secundaria puede incluso ser realizada por, controlada por y/o delegada a esa red de datos 16.
Una o más realizaciones en el presente documento explotan un protocolo de autenticación extensible (EAP) entre el equipo de usuario 18 y una función del plano de control 14 (por ejemplo, una función de gestión de sesión, SMF) en la red central, para proporcionar la autenticación secundaria del equipo de usuario 18. La función del plano de control 14 a este respecto puede servir como un autenticador EAP 24 para la autenticación secundaria. El equipo de usuario 18 puede, a su vez, servir como par para la autenticación EAP.
En algunas realizaciones, la función del plano de control 14 también sirve como un servidor EAP que realmente ejecuta un método de autenticación EAP para la autenticación secundaria. En otras realizaciones, un servidor EAP 26 separado de la función del plano de control 14 (como autenticador EAP) ejecuta un método de autenticación EAP para el autenticador EAP. El servidor EAP 26 puede, por ejemplo, estar ubicado en la red de datos 22 como se muestra en la figura 1. Un servidor EAP 26 separado del autenticador EAP puede denominarse servidor de autenticación final o simplemente servidor de autenticación. Separar el servidor EAP de la función del plano de control 14 significa que, en lugar de requerir que la función del plano de control 14 soporte cada método de autenticación provisto por el equipo de usuario 18, por ejemplo, EAP permite de manera flexible que la función del plano de control 14 actúe como un pasaporte a través de algunos o todos los métodos de autenticación que están soportados por el servidor EAP 26. Esto, a su vez, permite delegar la autenticación secundaria a la red de datos 22 en algunas realizaciones. Por consiguiente, el equipo de usuario 18 puede realizar un método o procedimiento de autenticación con el servidor EAP 26 por medio de la función del plano de control 14, o proporcionada por la misma. Tal enfoque basado en EAP puede resultar ventajoso porque soporta diferentes tipos de métodos de autenticación, no depende de la conectividad IP o de un tipo particular de red de acceso, y/o está basado en un plano de control para mantener la separación entre el plano de control y el plano de usuario.
Con la función del plano de control 14 sirviendo como autenticador EAP 24 para la autenticación secundaria del equipo de usuario 18, el equipo de usuario 18 y la función del plano de control 14 pueden participar en un intercambio de autenticación EAP. Como se muestra en la figura 1, ese intercambio puede implicar que la función del plano de control 14 transmita una solicitud EAP 28 al equipo de usuario 18, y el equipo de usuario 18, a su vez, reciba la solicitud EAP 28 de la función del plano de control 14. Esta solicitud EAP 28 puede solicitar cualquiera de múltiples tipos diferentes posibles de información solicitable desde el equipo de usuario 18 (por ejemplo, una identidad, un desafío MD5, etc.). El tipo de información solicitada puede indicarse mediante un campo de tipo en la solicitud 28. En cualquier caso, la solicitud EAP 28 puede solicitar información como parte de la negociación sobre qué método de autenticación se utilizará para la autenticación secundaria del equipo de usuario 18.
En respuesta a la solicitud EAP 28, el equipo de usuario 18 (como par de EAP) puede transmitir una respuesta EAP 30 a la función del plano de control 14 (como autenticador EAP 24). La respuesta EAP 30 puede, por ejemplo, incluir el tipo de información indicada por el campo de tipo en la solicitud EAP 28.
Una o más secuencias adicionales de solicitudes y respuestas pueden continuar de manera similar. Esto puede continuar hasta que la función del plano de control 14 como autenticador EAP no pueda autenticar el equipo de usuario 18 (por ejemplo, debido a una respuesta EAP inaceptable a una o más solicitudes EAP), o hasta que la función del plano de control 14 como autenticador EAP determine que la autenticación ha sido exitosa.
En algunas realizaciones, por ejemplo, la transmisión del equipo de usuario de una solicitud para el establecimiento de la sesión 20 activa la autenticación secundaria del equipo de usuario 18. En este caso, una respuesta de establecimiento de sesión puede a su vez transmitirse al equipo de usuario e incluir un mensaje de éxito de EAP que indica el éxito de la autenticación secundaria o un mensaje de fallo de EAP que indica el fallo de la autenticación secundaria.
En estas y otras realizaciones, la solicitud EAP 28 y la respuesta EAP 30 pueden encapsularse dentro de mensajes de protocolo de estrato de no acceso (NAS) respectivos. NAS en este sentido puede ser el estrato más alto del plano de control. Así encapsuladas, la solicitud EAP 28 y la respuesta EAP 30 pueden comunicarse entre el equipo de usuario 18 y la función del plano de control 14 sin importar el tipo de red de acceso 12.
En realizaciones que involucran el servidor EAP 26 (por ejemplo, en la red de datos 22 que se muestra en la figura 1) para la autenticación secundaria, la función del plano de control 14 puede reenviar la solicitud EAP 28 y la respuesta EAP 30 entre el equipo de usuario 18 y el servidor EAP 26. La función del plano de control 14 puede, por ejemplo, inspeccionar mensajes EAP transmitidos o recibidos, para determinar si reenviar esos mensajes o hacia dónde. En cualquier caso, el servidor EAP 26 puede transmitir la solicitud EAP 28 al equipo de usuario 18 a través de la función del plano de control 14 como autenticador EAP y, en respuesta a la solicitud EAP, puede recibir a través de la función del plano de control 14 la respuesta EAP 30 de el equipo de usuario 18.
En algunas realizaciones, la solicitud EAP 28 y la respuesta EAP 30 se transmiten entre la función del plano de control 14 y el servidor EAP 26 a través de la función del plano de usuario 16, por ejemplo, que puede seleccionarse mediante la función del plano de control 14. En algunas realizaciones, la función del plano de usuario 16 puede servir como un intermediario para el servidor EAP 26. En otras realizaciones, la función del plano de usuario 16 sirve como un enrutador a través del cual la solicitud EAP 28 y la respuesta EAP 30 se transmiten de forma transparente a la función del plano de usuario 16.
Por lo tanto, estas y otras realizaciones pueden permitir que la red de comunicación inalámbrica delegue a la red de datos 22 la autenticación secundaria del equipo de usuario 18 (por ejemplo, para autenticar el establecimiento de la sesión 20 del equipo de usuario con la red de datos 22). Especialmente cuando la red de datos 22 implementa el servidor EAP 26 que realmente ejecuta el método de autenticación usado para dicha autenticación, esto puede significar que la red de comunicación inalámbrica soporta de manera genérica y flexible diferentes métodos de autenticación.
Alternativa o adicionalmente, la red central en algunas realizaciones puede comprender múltiples segmentos de red diferentes dedicados respectivamente a diferentes servicios. En este caso, la autenticación secundaria del equipo de usuario 18 puede comprender una autenticación específica por segmento del equipo de usuario 18 para acceder a un segmento de red específico de la red central. Entonces, de manera similar, la red de comunicación inalámbrica puede soportar de manera genérica y flexible diferentes métodos de autenticación (por ejemplo, que pueden ser diferentes para diferentes segmentos de red).
A continuación se describirán una o más realizaciones en el contexto de 5G (también conocido como siguiente generación, NG), tal como está siendo desarrollado por 3GPP. 5G tiene como objetivo (entre otras cosas) separar el plano de control del plano de usuario. El plano de control es responsable del control y la transmisión de la información de señalización, mientras que el plano de usuario es responsable de reenviar el tráfico de usuario. Separar el plano de control implica extraer las funciones del plano de control de una puerta de enlace para dejar un nodo de plano de usuario más simple. Por lo tanto, una puerta de enlace se "divide" en componentes S/PGW-U y S/PGW-C que pueden escalar independientemente, donde SGW-U es el componente de una puerta de enlace de servicio (SGW) que maneja las funciones del plano de usuario, PGW-U es el componente de una puerta de enlace de paquetes (PGW) que maneja las funciones del plano de usuario, SGW-C es el componente de una SGW que maneja las funciones del plano de control y PGW-C es el componente de una PGW que maneja las funciones del plano de control. De esta manera, el plano de control y todas las interacciones complejas asociadas se pueden centralizar, mientras que el plano de usuario se distribuye a través de la estructura de servicios IP y se escala según lo requiera la carga de tráfico.
Además, 5G permite virtualización de funciones de red y redes definidas por software. La arquitectura del sistema 5G aprovechará las interacciones basadas en servicios entre las funciones de red del plano de control (CP) cuando se identifiquen.
Además, 5G tiene como objetivo modularizar el diseño de funciones, por ejemplo, para permitir una segmentación de la red flexible y eficiente. Además, siempre que sea aplicable, los procedimientos (es decir, el conjunto de interacciones entre funciones de red) se definen como servicios, de modo que sea posible su reutilización.
En este sentido, la figura 2 muestra una arquitectura básica para NG. La arquitectura incluye varias funciones de red. Las funciones del plano de control incluyen una función de gestión de sesión (SMF), una función de gestión de acceso y movilidad (AMF), una función de control de políticas (PCF), una función de servidor de autenticación (AUSF) y gestión unificada de datos (UDM).
La SMF puede incluir algunas o todas las siguientes funcionalidades. Algunas o todas las funciones de SMF pueden soportarse en una sola instancia de una SMF. La funcionalidad SMF incluye la gestión de sesiones (por ejemplo, establecimiento, modificación y liberación de sesiones, incluido el mantenimiento de túneles entre UPF y el nodo de red de acceso), asignación y gestión de direcciones IP de UE (incluyendo autorización opcional), selección y control de la función UP, configuración de dirección de tráfico en UPF para enrutar el tráfico al destino adecuado, terminación de interfaces hacia funciones de control de políticas, control de parte de la aplicación de políticas y calidad de servicio (QoS), intercepción legal (para eventos SM e interfaz al sistema de intercepción legal), terminación de partes SM de mensajes NAS, notificación de datos de enlace descendente, iniciación de información SM específica de AN, enviada a través de AMF sobre N2 a AN, determinación del modo de continuidad de servicio y sesión (SSC) de una sesión (para sesión de PDU de tipo IP), funcionalidad de itinerancia, manejo de aplicación local a aplicar acuerdos de nivel de servicio (SLA) de QoS (red móvil terrestre pública visitada, VPLMN), recopilación de datos de cobro e interfaz de cobro (VPLMN), intercepción legal (en VPLMN para eventos SM e interfaz con el sistema Ll) y soporte para interacción con DN externo para transporte de señalización para autorización/autenticación de sesión de PDU por DN externo.
Por el contrario, la función de gestión de acceso y movilidad (AMF) puede incluir algunas o todas las siguientes funcionalidades. Algunas o todas las funciones de AMF pueden soportarse en una sola instancia de AMF: terminación de la interfaz CP de la red de acceso de radio (RAN) (N2), terminación de NAS (N1), protección de integridad y cifrado de NAS, gestión de registro, gestión de conexión, gestión de accesibilidad, gestión de movilidad, intercepción legal (para eventos AMF e interfaz con el sistema LI), intermediario transparente para enrutar mensajes SM, autenticación de acceso, autorización de acceso, función de anclaje de seguridad (SEA o SEAF) y gestión de contexto de seguridad (SCM) que recibe una clave de la SEA que utiliza para obtener claves específicas de la red de acceso. Particularmente en relación con la SEA, esta interactúa con la función del servidor de autenticación (AUSF) y el UE, y recibe la clave intermedia que se estableció como resultado del proceso de autenticación del UE. En caso de autenticación basada en USIM, la AMF recupera el material de seguridad de la AUSF.
Una función del plano de usuario (UPF) puede incluir algunas o todas las siguientes funcionalidades. Algunas o todas las funciones de la UPF pueden soportarse en una única instancia de una UPF: punto de anclaje para movilidad de tecnología de acceso intrarradio/entre radios (RAT) (cuando corresponda), punto de sesión de PDU externo de interconexión a la red de datos, enrutamiento y reenvío de paquetes, inspección de paquetes y parte del plano de usuario de la aplicación de reglas de política, interceptación legal (recopilación UP), informes de uso de tráfico, clasificador de enlace ascendente para soportar flujos de tráfico de enrutamiento a una red de datos, punto de bifurcación para soportar sesión de PDU multiconexión, manejo de QoS para el plano de usuario, por ejemplo filtrado de paquetes, compuertas, cumplimiento de velocidades de enlace ascendente/enlace descendente, verificación de tráfico de enlace ascendente (mapeo de flujo SDF a QoS), marcación de paquetes a nivel de transporte en el enlace ascendente y el enlace descendente, y almacenamiento en búfer de paquetes de enlace descendente y activación de notificación de datos de enlace descendente.
Cualquiera de estas funciones de red puede implementarse como un elemento de red en un hardware dedicado, como una instancia de software que se ejecuta en un hardware dedicado, o como una función virtualizada instanciada en una plataforma adecuada, por ejemplo en una infraestructura en la nube.
Entre las nuevas características de los sistemas NG está el concepto de segmentación de la red. Un segmento de red (NS) es básicamente una instancia de una red central dedicada a proporcionar un servicio en particular. Esto permitirá a los operadores manejar esta amplia variedad de nuevos casos de uso, cada uno con diferentes requisitos de servicio en términos de calidad de servicio (QoS). Por ejemplo, un operador podría estar ejecutando un segmento para servicios habituales de banda ancha móvil (MBB), en paralelo con un segmento de misión crítica para servicios de seguridad pública (pulsar para hablar de misión crítica, MCPTT) que requiere una latencia muy baja y en paralelo con una conexión a un segmento de internet de las cosas (IoT) para medidores de electricidad con un ancho de banda muy bajo.
Para soportar diversos tipos de servicios, los operadores utilizarán múltiples redes centrales desplegadas como "segmentos de red" en una infraestructura de servicios IP común. La idea, mostrada en la figura 2, es crear instancias de red central virtual (o "segmentos") dedicadas a diferentes servicios. Cada segmento se puede optimizar para el perfil de tráfico y el contexto comercial del servicio asociado, por ejemplo, IoT, seguridad pública, operador de red virtual móvil (MVNO), automóvil conectado, voz sobre WiFi o servicios empresariales. Los segmentos de red pueden ser bidimensionales en el sentido de que pueden ser específicos tanto por servicio como por cliente.
Se espera que 5G soporte muchos nuevos escenarios y casos de uso, y sea un habilitador para IoT. Se espera que los sistemas NG proporcionen conectividad a una amplia gama de nuevos dispositivos, como sensores, dispositivos ponibles inteligentes, vehículos, máquinas, etc. La flexibilidad sería entonces una propiedad clave en los sistemas NG. Esto se refleja en el requisito de seguridad para el acceso a la red que exige el soporte de métodos de autenticación alternativos y tipos de credenciales diferentes de las credenciales AKA habituales proporcionadas previamente por el operador y almacenadas de forma segura en la tarjeta de circuito integrado universal (UICC). Esto permitiría a los propietarios de fábricas o empresas aprovechar sus propios sistemas de gestión de credenciales e identidad para la autenticación y la seguridad de la red de acceso.
5G puede desacoplar los procedimientos de autenticación y autorización para acceder a diferentes segmentos de red (NS). Un escenario posible es el siguiente. Para que un NG-UE acceda a un NS en particular, el operador puede ejecutar primero la autenticación primaria (habitual) para el acceso inicial a la red hacia AUSHUDM a través de AMF, seguido de una autenticación secundaria específica por NS, posiblemente bajo el control de una tercera parte. Esto, suponiendo confianza entre el proveedor de servicios de tercera parte y el operador de red móvil (MNO) que, por ejemplo, ofrece servicios de acceso y transporte a esta tercera parte en una instancia de segmento de red dedicada.
Una denominada solicitud de opción cifrada y el uso de un elemento de información denominado opciones de configuración de protocolo (PCO) podrían ser relevantes para el escenario descrito anteriormente. Las PCO podrían transferir nombres de usuario y contraseñas del protocolo de autenticación de contraseña (PAP)/protocolo de autenticación por desafío mutuo (CHAP) a la puerta de enlace de la red de datos de paquete (PDN-GW) que ,a continuación, los ejecuta por medio de un servidor AAA (posiblemente ubicado en un dominio externo) para autorización de acceso. Dado que esta información es confidencial y tiene que ser protegida, si el UE tiene la intención de enviar PCO que requieran cifrado (por ejemplo, nombres de usuario y contraseñas de PAP/CHAP), el UE establecerá el indicador de transferencia de opciones cifradas en el mensaje de solicitud de registro y enviará las PCO solo después de que se hayan completado la autenticación y la configuración de seguridad del NAS.
Entre las limitaciones de este mecanismo para su uso o extensión en sistemas de GN se encuentran las siguientes. Primero, el mecanismo es muy limitado en términos de posibles métodos de autenticación. Actualmente solo hay soporte para PAP y CHAP. Pero dado que PAP está obsoleto desde el punto de vista de la seguridad, solo queda CHAP.
En segundo lugar, para soportar otros métodos y utilizar el elemento de información PCO para el transporte de información de autenticación, sería necesario especificar mensajes especiales entre el MME y la S-GW y la S-GW y PDN-GW dedicadas a este fin. Esto es para manejar métodos de autenticación que requieren más de un solo viaje de ida y vuelta.
Además, es difícil ver cómo encajaría este mecanismo en la arquitectura de próxima generación que se desglosará más adelante. De hecho, teniendo en cuenta las nuevas características arquitectónicas (TR 23.799), se puede afirmar que probablemente habrá más saltos en el camino entre la UE y la PDN-GW, por ejemplo, en relación con el trabajo en curso sobre la división de la MME en una función AM y una SM (TR 23.799) y el trabajo de separación de los planos de control y de usuario (CUPS) para la división de los planos de control y de usuario (TR 23.714). Esto implica más sobrecarga y señalización en la CN.
Finalmente, este mecanismo es una solución porque no existe un protocolo directo entre el UE y la PDN-GW. Hacerlo lo suficientemente genérico para soportar otros métodos de autenticación sería un desafío técnico, especialmente porque muchos métodos tienen recomendaciones y requisitos estrictos en el transporte.
Una o más realizaciones abordan algunos de estos y/u otros desafíos para la autenticación secundaria mediante el uso de EAP. EAP se especifica en IETF RFC 3748. EAP es un marco de autenticación que soporta varios métodos de autenticación.
Una de las ventajas de la arquitectura EAP es su flexibilidad. EAP se utiliza para seleccionar un mecanismo de autenticación específico, generalmente después de que el autenticador solicita más información para determinar el método de autenticación específico que se utilizará. En lugar de requerir que el autenticador se actualice para soportar cada nuevo método de autenticación, EAP permite el uso de un servidor de autenticación final, que puede implementar algunos o todos los métodos de autenticación, con el autenticador actuando como un pasaporte para algunos o todos los métodos y pares. El protocolo EAP puede soportar múltiples mecanismos de autenticación sin tener que negociar previamente uno en particular.
En la nomenclatura EAP, un autenticador EAP es el final del enlace que inicia la autenticación EAP. Un par es el final del enlace que responde al autenticador. Un servidor de autenticación final es una entidad que proporciona un servicio de autenticación a un autenticador. Cuando se usa, este servidor generalmente ejecuta métodos EAP para el autenticador. Un servidor EAP es la entidad que finaliza el método de autenticación EAP con el par. En el caso en que no se utiliza un servidor de autenticación final, el servidor EAP es parte del autenticador. En el caso en que el autenticador funciona en modo de pasaporte, el servidor EAP se encuentra en el servidor de autenticación final. La autenticación exitosa es un intercambio de mensajes EAP, como resultado de lo cual la autenticación decide permitir el acceso del par, y el par decide usar este acceso. La decisión del autenticador generalmente involucra aspectos de autenticación y autorización; el par puede autenticarse con éxito en el autenticador, pero el autenticador puede denegar el acceso debido a razones de política.
El intercambio de autenticación EAP procede de la siguiente manera. El autenticador envía una solicitud para autenticar al par. La solicitud tiene un campo tipo para indicar lo que se solicita. Los ejemplos de tipos de solicitud incluyen identidad, desafío MD5, etc. Por lo general, el autenticador enviará una solicitud de identidad inicial; sin embargo, no se requiere una solicitud de identidad inicial y PUEDE omitirse.
El par envía un paquete de respuesta en respuesta a una solicitud válida. Al igual que con el paquete de solicitud, el paquete de respuesta contiene un campo de tipo, que corresponde al campo de tipo de la solicitud.
El autenticador envía un paquete de solicitud adicional y el par responde con una respuesta.
La secuencia de solicitudes y respuestas continúa tanto tiempo como sea necesario. La conversación continúa hasta que el autenticador no puede autenticar al par (respuestas inaceptables a una o más solicitudes), en cuyo caso la implementación del autenticador TIENE QUE transmitir un fallo EAP (código 4). Alternativamente, la conversación de autenticación puede continuar hasta que el autenticador determine que se ha producido una autenticación exitosa, en cuyo caso el autenticador TIENE QUE transmitir un éxito de EAP (código 3).
Cuando funciona como un "autenticador de pasaporte", un autenticador realiza verificaciones en los campos código, identificador y longitud. Este reenvía los paquetes EAP recibidos del par y destinados a su capa de autenticación al servidor de autenticación final; los paquetes recibidos del servidor de autenticación final destinados al par se reenvían a este.
La figura 3 ilustra el flujo de mensajes que implican tanto una autenticación primaria como una secundaria, usando EAP, según algunas realizaciones.
Etapa 1: el UE envía una solicitud de registro.
Etapa 2: el procedimiento de autenticación primaria se ejecuta entre el UE y la SEAF. Tras una autenticación exitosa, se verifica la identidad primaria (por ejemplo, identificador de abonado móvil internacional, IMSI) y se ejecutan las siguientes etapas.
Etapa 3: se establece la seguridad de NAS, es decir, la seguridad de CP. A partir de ahora, todos los mensajes NAS están protegidos en confidencialidad e integridad.
Etapa 4: el manejo de la solicitud de establecimiento de sesión de PDU se realiza en dos etapas. En la etapa 4a, el UE envía la solicitud de establecimiento de sesión de PDU a AMF. Este mensaje contiene la identidad primaria y, opcionalmente, puede llevar la identidad secundaria utilizada más adelante en la autenticación secundaria EAP. La solicitud está protegida en integridad y, opcionalmente, en confidencialidad entre el UE y la AMF. La AMF verifica que el mensaje se origine en el UE que se autenticó en la etapa 2 y lo reenvía, incluida la información de identidad verificada. En la etapa 4b, la SMF recibe una solicitud de establecimiento de sesión de PDU de la AMF. Si la SMF no ha ejecutado la autenticación secundaria para la identidad primaria y tiene una política local para autenticar los UE, la SMF tiene que iniciar el procedimiento de autenticación secundaria. La SMF también mantiene una política de reautenticación y, si la identidad primaria recibida fue autenticada por la SMF hace mucho tiempo, es posible que tenga que iniciar la reautenticación.
Etapa 5: el procedimiento de autenticación secundaria se realiza entre el UE y el AAA externo por medio de la SMF. Entonces, en este caso, la SMF sirve como autenticador EAP y el AAA externo sirve como servidor EAP. Los mensajes EAP se transportan sobre el protocolo NAS-SM, de forma transparente a AMF. Esto puede requerir la especificación de nuevos mensajes NAS-SM que pueden transportar paquetes SM-EAP, por ejemplo SM-autenticación-solicitud y SM-autenticación-respuesta. Si la solicitud de establecimiento de sesión de PDU lleva la identidad secundaria del UE, la SMF puede omitir la solicitud de identidad EAP e iniciar la autenticación EAP directamente con el servidor AAA. El intercambio EAP sobre la interfaz aérea se beneficia de la protección en la capa NAS.
Es posible que, opcionalmente, la autenticación EAP secundaria tenga que vincularse al canal en el que se ejecutó o, de lo contrario, existe el riesgo de que un intermediario tunelice paquetes EAP entre los canales (por ejemplo, si se utilizan el mismo método EAP y las mismas credenciales sobre varios canales). La vinculación de canales se puede realizar tomando información relacionada con el canal (por ejemplo, la identidad primaria utilizada en la etapa 2, suponiendo que pueda incluir información relacionada con el tipo de acceso o el tipo de red central o la información relacionada con el segmento de red). La información relacionada con el canal se usa directamente en las operaciones criptográficas dentro de la autenticación EAP secundaria, o más tarde cuando se usa la clave maestra (es decir, clave de sesión maestra, MSK o MSK extendida, EMSK) creada a partir de la autenticación secundaria para algunos fines. La información del canal puede ser una de las siguientes: tipo de red de acceso (por ejemplo, radio 5G, red inalámbrica de acceso local WLAN), el tipo de red central (por ejemplo, red central 5G) o el tipo o identificador de segmento de red (por ejemplo, información de asistencia de selección de segmento de red NSSAI, SM-NSSAI o nombre de red de datos DNN).
En particular, la mayoría de los métodos de autenticación EAP crean una clave maestra (MSK y EMSK) como resultado de la autenticación. Esta clave se utiliza para crear claves de sesión, por ejemplo clave de protección de integridad o clave de cifrado. La vinculación de canales se puede realizar en dos lugares: a) dentro del método EAP al crear MSK/EMSK, y en este caso los parámetros de vinculación son valores de entrada para la obtención de clave: MSK = KDF (parámetros de vinculación, otros parámetros) y/o EMSK = KDF(parámetros de vinculación, otros parámetros); o b) después de que se haya creado el MSK/EMSK al crear alguna otra clave (maestra): clave = KDF (parámetros de vinculación, MSK) y/o clave = KDF (parámetros de vinculación, EMSK).
Etapa 6: como parte del intercambio AAA, el servidor AAA externo puede indicar a la SMF una política de reautenticación. Esto podría ser, por ejemplo, el tiempo máximo después del cual se requiere una nueva autenticación.
Después de una autenticación exitosa, el intercambio AAA también puede incluir el intercambio de información de autorización de servicio/sesión a la SMF. En este caso, el AAA podrá proporcionar a la SMF un perfil de autorización de servicio (o identificador/testigo de perfil de autorización de servicio) a partir del cual la SMF podrá determinar si el servicio solicitado está autorizado para el usuario, y, si está autorizado, de qué manera se ofrecerá el servicio en términos de, por ejemplo calidad de servicio, calidad de experiencia, cobro, etc.
Etapa 7: la SMF opcionalmente vincula la identidad primaria con la identidad secundaria y almacena esto localmente. Cuando la SMF ve una nueva solicitud de AMF que lleva la identidad primaria, puede confiar en que los mensajes se originan en el mismo UE que tiene la identidad secundaria.
Etapa 8: después de una autenticación y autorización exitosas, la SMF seleccionará una función del plano de usuario, UPF, para el plano de usuario relacionado con el servicio solicitado.
Etapa 9: la SMF devuelve una respuesta de establecimiento de sesión de PDU según el resultado de la autenticación secundaria. Este mensaje puede llevar el mensaje EAP final, es decir, la aceptación del establecimiento de sesión de PDU puede llevar éxito de EAP o el fallo de establecimiento de sesión de PDU puede llevar fallo de EAP.
En la etapa 5, la SMF respalda la función del autenticador EAP y puede depender de un servidor AAA final en la red de datos, posiblemente en otro dominio de seguridad, por ejemplo controlado por una tercera parte. A continuación, se deja abierto cómo se transportan los mensajes AAA entre la SMF y el servidor AAA. Existen diferentes posibilidades. En una primera realización, los mensajes AAA se transportan a través de una interfaz directa entre SMF y AAA de forma similar a la solución EPC PCO. Esta interfaz se establece en base a acuerdos comerciales cuando el AAA está controlada por una tercera parte. La figura 4 muestra la arquitectura del protocolo para el soporte de la autenticación secundaria basada en EAP con una interfaz directa entre la SMF y el servidor AAA (denominada XX). En el lado de UE a SMF, muestra una posibilidad de cómo los mensajes eAp se transportan sobre el protocolo NAS.
En una segunda realización, los mensajes AAA se transfieren de forma transparente sobre las interfaces NG4-NG6 a través de la UPF. La UPF podría validar el papel de un intermediario AAA o, más sencillo, de un router IP. En este caso, la SMF ejecutará la etapa 8 antes del intercambio AAA en la etapa 5 de la figura 3, por lo que es posible manejar el intercambio AAA a través de la UPF seleccionada. La figura 5 muestra el soporte de la autenticación secundaria basada en EAP donde los mensajes EAP se transportan a través de la UPF sobre las interfaces NG4-NG6. Es decir, las interfaces NG4-NG6 se utilizan de forma transparente para transportar mensajes AAA entre SMF y el servidor AAA. En este caso particular (figura 5), la UPF podría actuar como un enrutador IP para que el intercambio AAA entre la SMF y el servidor AAA sea transparente para la UPF.
En una tercera realización, la UPF puede actuar realmente como un intermediario AAA.
En una cuarta realización, la SMF puede actuar como el servidor EAP y, en tal caso, no hay necesidad de interacción con un servidor AAA externo en absoluto.
En una quinta realización, la identidad primaria y la identidad secundaria son iguales o están relacionadas entre sí, por ejemplo (una parte de) la identidad primaria está codificada en la identidad secundaria. Las credenciales utilizadas para la autenticación pueden seguir siendo diferentes.
De manera similar al mecanismo basado en PCO, la autenticación secundaria podría usarse para una autorización adicional controlada por una parte externa tras la solicitud del UE para el establecimiento de sesiones de PDU específicas o adicionales. Otros casos de uso relacionados con la protección y segmentación del UP se describen en las siguientes cláusulas.
Protección del plano de usuario: en primer lugar, si la protección del tráfico UP termina en una UPF, se hace la siguiente suposición. Se implementa una protección del plano de usuario entre el UE y una UPF a través de una capa de protocolo adicional independientemente de la protección sobre la interfaz nGu entre el UE y la red de acceso.
En tal caso, la autenticación secundaria podría utilizarse para establecer las claves necesarias. De hecho, después de una autenticación exitosa, la clave MSK resultante compartida entre la SMF (autenticador EAP) y el UE (par) podría usarse para este propósito particular.
Los mecanismos de distribución de las claves de protección, negociación de algoritmos y activación del modo de seguridad serían entonces genéricos e independientes del método de autenticación. Todas estas operaciones podrían realizarse junto con el establecimiento de sesión de PDU (etapa 9 en la figura 3).
Soporte de segmentación de la red: la autenticación secundaria podría usarse para la autorización específica de segmentos de red. De hecho, tras una autenticación primaria exitosa a través de una AMF determinada, el UE podría potencialmente recibir servicios a través de todos los segmentos de red servidos por esa AMF en particular. Podría darse el caso de que el UE esté automáticamente autorizado para acceder a todos o algunos de los segmentos en función de información de abonos. Alternativamente, la autorización se podría aplicar sobre una base específica por segmento utilizando la autenticación secundaria durante la creación de una sesión de PDU para un segmento en particular.
Para la protección del tráfico UP entre el UE y un segmento particular, podría usarse el mecanismo descrito en la cláusula anterior. Sin embargo, la configuración de los segmentos en el sentido de quién gestiona o posee qué función de red se vuelve relevante. Desde la perspectiva del modelo de confianza, esto requeriría que UPF y SMF sean específicas por segmento; de lo contrario, la protección no serviría para nada.
En vista de las variaciones y modificaciones anteriores, la figura 6 ilustra un método para la autenticación secundaria de un equipo de usuario 18 configurado para su uso en una red de comunicación inalámbrica, por ejemplo, que comprende una red de acceso 12 y una red central, según algunas realizaciones. El método es realizado por el equipo de usuario 18. El método puede comprender recibir, por el equipo de usuario 18, una solicitud 28 de protocolo de autenticación extensible (EAP) desde una función del plano de control 14 que está en la red central (por ejemplo, una SMF) y que sirve como un autenticador EAP 24 para la autenticación secundaria del equipo de usuario 18 (bloque 100). La autenticación secundaria puede ser la autenticación del equipo de usuario 18 además de la autenticación primaria del equipo de usuario 18. El método también puede comprender, en respuesta a la solicitud EAP 28, transmitir una respuesta EAP 30 desde el equipo de usuario 18 a la función del plano de control 14 (por ejemplo, SMF) (bloque 110).
La figura 7 ilustra un método correspondiente realizado por la función del plano de control 14 (S.f., SMF). El método puede comprender transmitir una solicitud de protocolo de autenticación extensible (EAP) 28 desde una función del plano de control 14 (por ejemplo, SMF) a un equipo de usuario 18, donde la función del plano de control 14 está en la red central y sirve como autenticador EAP 24 para autenticación secundaria del equipo de usuario 18 (bloque 200). Nuevamente, la autenticación secundaria puede ser la autenticación del equipo de usuario 18 además de la autenticación primaria del equipo de usuario 18. El método también puede comprender, en respuesta a la solicitud EAP 28, recibir en la función del plano de control 14 una respuesta EAP 30 del equipo de usuario 18 (bloque 210).
En algunas realizaciones, la función del plano de control 14 también sirve como un servidor EAP que ejecuta un método de autenticación EAP para la autenticación secundaria del equipo de usuario 18. Alternativamente, la función del plano de control 14 puede servir como un autenticador de pasaporte que reenvía la solicitud EAP 28 y la respuesta EAP 30 entre el equipo de usuario 18 y un servidor EAP 26 (separado del autenticador EAP) que ejecuta un método de autenticación EAP para el autenticador EAP.
La figura 8 ilustra a este respecto un método realizado por un servidor EAP 26 para la autenticación secundaria del equipo de usuario 18. El método puede comprender transmitir una solicitud 28 de protocolo de autenticación extensible (EAP) desde un servidor EAP 26 a un equipo de usuario 18 a través de una función del plano de control 14 (por ejemplo, SMF) (bloque 300). La función del plano de control en este sentido está en la red central y sirve como un autenticador EAP de pasaporte para la autenticación secundaria del equipo de usuario 18. La autenticación secundaria puede ser la autenticación del equipo de usuario 18 además de la autenticación primaria del equipo de usuario 18. El servidor EAP 26 puede configurarse para ejecutar un método de autenticación EAP para el autenticador EAP 24. El método puede comprender, además, en respuesta a la solicitud EAP 28, recibir en el servidor EAP 26 a través de la función del plano de control 14 una respuesta EAP 30 del equipo de usuario 18 (bloque 310).
En algunas realizaciones, el servidor EAP 26 está en una red de datos 22 con la que el equipo de usuario 18 solicita una sesión de plano de usuario. La autenticación secundaria del equipo de usuario 18 puede ser la autenticación del equipo de usuario 18 para establecer la sesión del plano de usuario 20. En algunas realizaciones, la red de comunicación inalámbrica delega la autenticación secundaria a la red de datos 22.
Cabe señalar que un nodo de red en este documento es cualquier tipo de nodo en la AN 14 (por ejemplo, una estación base) o red central. Cuando el nodo de red es un nodo de red de radio en la AN, el nodo puede ser capaz de comunicar con otro nodo a través de señales de radio. Un dispositivo inalámbrico es cualquier tipo de dispositivo capaz de comunicar con un nodo de red de radio sobre señales de radio. Por lo tanto, un dispositivo inalámbrico puede referirse a un dispositivo de máquina a máquina (M2M), un dispositivo de comunicaciones de tipo máquina (MTC), un dispositivo NB-IoT, etc. El dispositivo inalámbrico también puede ser un UE, sin embargo, debe tenerse en cuenta que el UE no tiene necesariamente un "usuario" en el sentido de una persona individual que posee y/u opera el dispositivo. Un dispositivo inalámbrico también puede denominarse dispositivo de radio, dispositivo de comunicación por radio, terminal inalámbrico o simplemente terminal -a menos que el contexto indique lo contrario, el uso de cualquiera de estos términos pretende incluir UE de dispositivo a dispositivo o dispositivos, dispositivos de tipo máquina o dispositivos capaces de comunicar de máquina a máquina, sensores equipados con un dispositivo inalámbrico, ordenadores de mesa con capacidad inalámbrica, terminales móviles, teléfonos inteligentes, equipos integrados en ordenadores portátiles (LEE), equipos montados en ordenadores portátiles (LME), llaves USB, equipo inalámbrico en las instalaciones del cliente (CPE), etc. En la discusión de la presente memoria, pueden utilizarse asimismo los términos dispositivo máquina a máquina (M2M), dispositivo de comunicación tipo máquina (MTC), sensor inalámbrico y sensor. Debe entenderse que estos dispositivos pueden ser UE, pero generalmente están configurados para transmitir y/o recibir datos sin interacción humana directa.
En un escenario de IOT, un dispositivo de comunicación inalámbrico como se describe en el presente documento puede ser, o puede estar incluido en, una máquina o dispositivo que realiza monitorización o mediciones, y transmite los resultados de tales mediciones de monitorización a otro dispositivo o red. Ejemplos particulares de tales máquinas son medidores de potencia, maquinaria industrial o electrodomésticos o aparatos personales, por ejemplo refrigeradores, televisores, accesorios personales ponibles como relojes, etc. En otros escenarios, un dispositivo de comunicación inalámbrico como el descrito en este documento puede estar incluido en un vehículo y puede llevar a cabo monitorización y/o información sobre el estado operativo del vehículo u otras funciones asociadas con el vehículo.
El equipo de usuario 18 de este documento puede realizar el procesamiento de este documento implementando cualesquiera medios o unidades funcionales. En una realización, por ejemplo, el equipo de usuario 18 comprende circuitos respectivos configurados para realizar las etapas mostradas en la figura 6. Los circuitos a este respecto pueden comprender circuitos dedicados a realizar cierto procesamiento funcional y/o uno o más microprocesadores junto con la memoria. En realizaciones que emplean memoria, que puede comprender uno o varios tipos de memoria, como memoria de solo lectura (ROM), memoria de acceso aleatorio, memoria caché, dispositivos de memoria flash, dispositivos de almacenamiento óptico, etc., la memoria almacena código de programa que, cuando es ejecutado por los uno o más microprocesadores, lleva a cabo las técnicas descritas en este documento. Es decir, en algunas realizaciones, la memoria del equipo de usuario 18 contiene instrucciones ejecutables por los circuitos de procesamiento por lo que el equipo de usuario 18 está configurado para llevar a cabo el procesamiento del presente documento.
La figura 9A ilustra detalles adicionales de un equipo de usuario 18 según una o más realizaciones. Como se muestra, el equipo de usuario 18 incluye circuitos de procesamiento 410 y circuitos de comunicación 420 (por ejemplo, uno o más circuitos de radio). Los circuitos de comunicación 420 pueden configurarse para transmitir a través de una o más antenas, que pueden ser internas y/o externas al equipo de usuario 18. Los circuitos de procesamiento 410 están configurados para realizar el procesamiento descrito anteriormente, por ejemplo, en la figura 6, tal como ejecutando instrucciones almacenadas en la memoria 430. Los circuitos de procesamiento 410 en este sentido pueden implementar ciertos medios o unidades funcionales.
La figura 9B, a este respecto, ilustra detalles adicionales de un equipo de usuario 18 según una o más realizaciones. Como se muestra, el equipo de usuario 18 puede incluir una unidad o módulo de recepción 440 para recibir la solicitud EAP 28 y una unidad o módulo de transmisión 450 para transmitir la respuesta EAP 30. Estas unidades o módulos pueden implementarse mediante los circuitos de procesamiento 410 en la figura 9A.
De manera similar, la función del plano de control 14 (por ejemplo, SMF) puede ser proporcionada o implementada por el equipo del plano de control en el plano de control. El equipo del plano de control a este respecto puede incluir uno o más nodos del plano de control. Múltiples nodos del plano de control distribuidos pueden, por ejemplo, alojar o implementar la función del plano de control 14 de manera distribuida. Alternativamente, un único nodo del plano de control puede alojar o implementar la función del plano de control 14 de forma centralizada.
El equipo del plano de control del presente documento puede realizar el procesamiento del presente documento de la función del plano de control 14 implementando cualesquiera medios o unidades funcionales. En una realización, por ejemplo, el equipo del plano de control comprende circuitos respectivos configurados para realizar las etapas mostradas en la figura 7. Los circuitos a este respecto pueden comprender circuitos dedicados a realizar cierto procesamiento funcional y/o uno o más microprocesadores junto con memoria. En realizaciones que emplean memoria, que puede comprender uno o varios tipos de memoria, como memoria de solo lectura (ROM), memoria de acceso aleatorio, memoria caché, dispositivos de memoria flash, dispositivos de almacenamiento óptico, etc., la memoria almacena código de programa que, cuando es ejecutado por los uno o más microprocesadores, lleva a cabo las técnicas descritas en este documento. Es decir, en algunas realizaciones, la memoria del equipo del plano de control contiene instrucciones ejecutables por los circuitos de procesamiento, por lo que el equipo del plano de control está configurado para llevar a cabo el procesamiento del presente documento.
La figura 10A ilustra detalles adicionales del equipo del plano de control 500 según una o más realizaciones. Como se muestra, el equipo del plano de control 500 incluye circuitos de procesamiento 510 y circuitos de comunicación 520. Los circuitos de comunicación 520 pueden estar configurados para comunicar con el equipo de usuario 18, por ejemplo, a través de una o más interfaces definidas. Los circuitos de procesamiento 510 están configurados para realizar el procesamiento descrito anteriormente, por ejemplo, en la figura 7, como por ejemplo ejecutando instrucciones almacenadas en la memoria 530. Los circuitos de procesamiento 510 en este sentido pueden implementar ciertos medios o unidades funcionales.
La figura 10B, a este respecto, ilustra detalles adicionales del equipo del plano de control 500 según una o más realizaciones. Como se muestra, el equipo del plano de control 500 puede incluir una unidad o módulo receptor 540 para recibir la respuesta EAP 30 y una unidad o módulo transmisor 5 para transmitir la solicitud EAP 28. Estas unidades o módulos pueden implementarse mediante los circuitos de procesamiento 510 de la figura 10A.
El servidor EAP 26 (también denominado servidor de autenticación final o servidor de autenticación) en el presente documento puede realizar el procesamiento del presente documento mediante la implementación de cualesquiera medios o unidades funcionales. En una realización, por ejemplo, el servidor EAP 26 comprende circuitos respectivos configurados para realizar las etapas mostradas en la figura 8. Los circuitos a este respecto pueden comprender circuitos dedicados a realizar cierto procesamiento funcional y/o uno o más microprocesadores junto con la memoria. En realizaciones que emplean memoria, que puede comprender uno o varios tipos de memoria, como memoria de solo lectura (ROM), memoria de acceso aleatorio, memoria caché, dispositivos de memoria flash, dispositivos de almacenamiento óptico, etc., la memoria almacena código de programa que, cuando es ejecutado por los uno o más microprocesadores, lleva a cabo las técnicas descritas en este documento. Es decir, en algunas realizaciones, la memoria del servidor EAP 26 contiene instrucciones ejecutables por los circuitos de procesamiento, por lo que el servidor de autenticación 26 está configurado para llevar a cabo el procesamiento del presente documento.
La figura 11A ilustra detalles adicionales de un servidor EAP 26 según una o más realizaciones. Como se muestra, el servidor EAP 26 incluye circuitos de procesamiento 610 y circuitos de comunicación 620. Los circuitos de comunicación 620 pueden estar configurados para comunicar con el equipo de usuario 18 y/o la función del plano de control 14, por ejemplo, a través de una o más interfaces definidas. Los circuitos de procesamiento 610 están configurados para realizar el procesamiento descrito anteriormente, por ejemplo, en la figura 8, como por ejemplo ejecutando instrucciones almacenadas en la memoria 630. Los circuitos de procesamiento 610 en este sentido pueden implementar ciertos medios o unidades funcionales.
La figura 11B a este respecto ilustra detalles adicionales de un servidor EAP 26 según una o más realizaciones. Como se muestra, el servidor EAP 26 puede incluir una unidad o módulo receptor 640 para recibir la respuesta EAP 30 y una unidad o módulo transmisor 650 para transmitir la solicitud EAP 28. Estas unidades o módulos pueden implementarse mediante los circuitos de procesamiento 610 de la figura 11A.
Los expertos en la técnica también apreciarán que las realizaciones de este documento incluyen además programas informáticos correspondientes.
Un programa de ordenador comprende instrucciones que, cuando se ejecutan en al menos un procesador (por ejemplo, de un equipo de usuario 18, equipo del plano de control 500 o servidor EAP 26), hacen que el procesador lleve a cabo cualquiera de los procesos respectivos descritos anteriormente. Un programa informático en este sentido puede comprender uno o más módulos de código correspondientes a los medios o unidades descritos anteriormente.
Las realizaciones incluyen además una portadora que contiene dicho programa informático. Esta portadora puede comprender una de entre una señal electrónica, una señal óptica, una señal de radio o un medio de almacenamiento legible por ordenador. El alcance de protección de la invención está limitado por las reivindicaciones adjuntas.

Claims (13)

REIVINDICACIONES
1. Un método para la autenticación secundaria de un equipo de usuario, UE, (18), donde el método está caracterizado por:
recibir (100), por el equipo de usuario (18), una solicitud de protocolo de autenticación extensible, EAP, (28) de una identidad del UE a utilizar en la autenticación secundaria, siendo encapsulada la solicitud EAP (28) dentro de un mensaje de protocolo del estrato de no acceso, NAS, de una función de gestión de sesión, SMF, (14) que sirve como autenticador EAP para la autenticación secundaria del equipo de usuario (18), donde la autenticación secundaria es la autenticación del equipo de usuario (18) para el establecimiento de una sesión de unidad de datos en paquetes con una red de datos (22) además de la autenticación primaria del equipo de usuario (18) ejecutada entre el equipo de usuario (18) y una función de anclaje de seguridad; y
en respuesta a la solicitud EAP (28), transmitir (110) una respuesta EAP (30) encapsulada dentro de un mensaje de protocolo NAS desde el equipo de usuario (18) a la SMF (14), donde la respuesta EAP (30) incluye la identidad.
2. Un método para la autenticación secundaria de un equipo de usuario, UE, (18), donde el método está caracterizado por:
transmitir (200) una solicitud (28) de protocolo de autenticación extensible, EAP, para una identidad del UE a utilizar en la autenticación secundaria, encapsulándose la solicitud EAP (28) dentro de un mensaje de protocolo de estrato sin acceso, NAS, de una función de gestión de sesión, SMF, (14) al equipo de usuario (18), donde la SMF (14) sirve como un autenticador EAP para la autenticación secundaria del equipo de usuario (18), donde la autenticación secundaria es la autenticación del equipo de usuario (18) para el establecimiento de una sesión de unidad de datos en paquetes con una red de datos (22) además de la autenticación primaria del equipo de usuario (18) ejecutada entre el equipo de usuario (18) y una función de anclaje de seguridad; y
en respuesta a la solicitud EAP (28), recibir (210) en la SMF (14) una respuesta EAP (30) encapsulada dentro de un mensaje de protocolo NAS del equipo de usuario (18), donde la respuesta EAP (30) incluye la identidad.
3. El método según cualquiera de las reivindicaciones 1-2, donde la SMF (14) también sirve como un servidor EAP que ejecuta un método de autenticación EAP para la autenticación secundaria del equipo de usuario (18).
4. El método según cualquiera de las reivindicaciones 1-2, en el que la SMF (14) está configurada para reenviar la solicitud EAP (28) y la respuesta EAP (30) entre el equipo de usuario (18) y un servidor EAP (26) que ejecuta un método de autenticación EAP para el autenticador EAP.
5. El método según cualquiera de las reivindicaciones 1-4, en el que una red central comprende múltiples segmentos de red diferentes dedicados respectivamente a diferentes servicios, en el que la autenticación secundaria del equipo de usuario (18) comprende autenticación específica por segmento del equipo de usuario (18) para acceder un segmento de red específico de la red central.
6. El método según cualquiera de las reivindicaciones 1-5, además caracterizado por, en base a la autenticación secundaria exitosa del equipo de usuario (18), obtener una clave de seguridad compartida entre el equipo de usuario (18) y la SMF (14).
7. El método según cualquiera de las reivindicaciones 1-6, en el que una solicitud de establecimiento de sesión transmitida desde el equipo de usuario (18) activa la autenticación secundaria del equipo de usuario (18).
8. El método según la reivindicación 7, en el que la solicitud de establecimiento de sesión incluye una identidad secundaria del equipo de usuario (18) utilizado para la autenticación secundaria.
9. El método según cualquiera de las reivindicaciones 7-8, en el que una respuesta de establecimiento de sesión transmitida al equipo de usuario (18) incluye un mensaje de éxito EAP que indica el éxito de la autenticación secundaria o un mensaje de fallo EAP que indica el fallo de la autenticación secundaria.
10. El método según cualquiera de las reivindicaciones 1-9, además caracterizado por vincular la autenticación secundaria del equipo de usuario (18) a un canal sobre el que se realiza la autenticación secundaria.
11. El método según cualquiera de las reivindicaciones 1-10, además caracterizado por obtener, en base a una autenticación secundaria exitosa del equipo de usuario (18), una clave de seguridad compartida entre el equipo de usuario (18) y la SMF (14), en el que dicha obtención comprende obtener la clave de seguridad en función de información de vinculación asociada con un canal sobre el que se realiza la autenticación secundaria.
12. Un equipo de usuario, UE, (18) configurado para:
recibir una solicitud (28) de protocolo de autenticación extensible, EAP, para una identidad del UE a utilizar en la autenticación secundaria, encapsulándose la solicitud EAP (28) dentro de un mensaje de protocolo de estrato sin acceso, NAS, procedente de una función de gestión de sesión, SMF, (14) que sirve como autenticador EAP para la autenticación secundaria del equipo de usuario (18) para el establecimiento de una sesión de unidad de datos en paquetes con una red de datos (22), donde la autenticación secundaria es la autenticación del equipo de usuario (18) además de la autenticación primaria del equipo de usuario (18) ejecutada entre el equipo de usuario (18) y una función de anclaje de seguridad; y
en respuesta a la solicitud EAP (28), transmitir una respuesta EAP (30) encapsulada dentro de un mensaje de protocolo NAS a la SMF (14), donde la respuesta EAP (30) incluye la identidad.
13. Equipo de red configurado para disponer una función de gestión de sesión, SMF, (14), en el que la SMF (14) está configurada para:
transmitir una solicitud (28) de protocolo de autenticación extensible, EAP, para una identidad de un equipo de usuario, UE, a utilizar en la autenticación secundaria, encapsulándose la solicitud EAP (28) dentro de un mensaje de protocolo de estrato sin acceso, NAS, de la SMF (14) a un equipo de usuario (18), donde la SMF (14) sirve como un autenticador EAP para la autenticación secundaria del equipo de usuario (18) para el establecimiento de una sesión de unidad de datos en paquetes con una red de datos (22), donde la autenticación secundaria es la autenticación del equipo de usuario (18) además de la autenticación primaria del equipo de usuario (18) ejecutada entre el equipo de usuario (18) y una función de anclaje de seguridad; y
en respuesta a la solicitud EAP (28), recibir en la SMF (14) una respuesta EAP (30) encapsulada dentro de un mensaje de protocolo NAS del equipo de usuario (18), donde la respuesta EAP (30) incluye la identidad.
ES17825863T 2017-01-27 2017-12-22 Autenticación secundaria de un equipo de usuario Active ES2947942T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201762451645P 2017-01-27 2017-01-27
PCT/EP2017/084383 WO2018137873A1 (en) 2017-01-27 2017-12-22 Secondary authentication of a user equipment

Publications (1)

Publication Number Publication Date
ES2947942T3 true ES2947942T3 (es) 2023-08-24

Family

ID=60937747

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17825863T Active ES2947942T3 (es) 2017-01-27 2017-12-22 Autenticación secundaria de un equipo de usuario

Country Status (8)

Country Link
US (3) US20180317086A1 (es)
EP (1) EP3501155B1 (es)
JP (1) JP6889263B2 (es)
CN (1) CN110235423B (es)
BR (1) BR112019014670A2 (es)
ES (1) ES2947942T3 (es)
RU (1) RU2755258C2 (es)
WO (1) WO2018137873A1 (es)

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10517021B2 (en) 2016-06-30 2019-12-24 Evolve Cellular Inc. Long term evolution-primary WiFi (LTE-PW)
US10624020B2 (en) * 2017-02-06 2020-04-14 Qualcomm Incorporated Non-access stratum transport for non-mobility management messages
US11223947B2 (en) * 2017-03-21 2022-01-11 Nokia Technologies Oy Enhanced registration procedure in a mobile system supporting network slicing
WO2018174383A1 (ko) * 2017-03-21 2018-09-27 엘지전자 주식회사 세션 관리 방법 및 smf 노드
EP3598711B1 (en) * 2017-04-01 2021-09-08 Huawei Technologies Co., Ltd. User authentication method and device
EP3622745B1 (en) * 2017-05-12 2023-06-21 Nokia Technologies Oy Protocol data unit session splitting function and signalling
KR102345932B1 (ko) * 2017-07-20 2021-12-30 후아웨이 인터내셔널 피티이. 엘티디. 네트워크 보안 관리 방법 및 장치
EP3565371A4 (en) * 2017-07-20 2020-03-25 Huawei International Pte. Ltd. SESSION PROCESSING METHOD AND DEVICE
CN109391942A (zh) * 2017-08-07 2019-02-26 华为技术有限公司 触发网络鉴权的方法及相关设备
KR102404916B1 (ko) * 2017-08-11 2022-06-07 삼성전자 주식회사 수동 로밍 및 데이터 이용권
US10764935B2 (en) 2018-02-12 2020-09-01 Cisco Technology, Inc. Methods and apparatus for selecting network slice, session management and user plane functions
US10728218B2 (en) * 2018-02-26 2020-07-28 Mcafee, Llc Gateway with access checkpoint
EP3609149A1 (en) 2018-08-08 2020-02-12 Nokia Technologies Oy Method and apparatus for security management in 5g networks
US10986010B2 (en) 2018-08-09 2021-04-20 At&T Intellectual Property I, L.P. Mobility network slice selection
EP3854025A4 (en) * 2018-09-17 2022-04-06 Nokia Solutions and Networks Oy IDENTITY CREDENTIALS MANAGEMENT
US10750553B2 (en) 2018-09-25 2020-08-18 Cisco Technology, Inc. Systems and methods for selection of collocated nodes in 5G network
JP7099536B2 (ja) * 2018-09-28 2022-07-12 日本電気株式会社 コアネットワーク装置、通信端末、コアネットワーク装置の方法、プログラム、及び通信端末の方法
CN109040322B (zh) 2018-10-08 2021-05-11 腾讯科技(深圳)有限公司 车辆通信方法、装置、计算机可读介质及电子设备
CN114615703A (zh) 2018-10-09 2022-06-10 华为技术有限公司 一种网络切片接入控制的方法及装置
WO2020099148A1 (en) * 2018-11-12 2020-05-22 Telefonaktiebolaget Lm Ericsson (Publ) Authentication of a communications device
US10834079B2 (en) * 2018-11-28 2020-11-10 International Business Machines Corporation Negotiative conversation chat bot
GB2579574B (en) * 2018-12-03 2021-08-11 Advanced Risc Mach Ltd Bootstrapping with common credential data
KR20210114981A (ko) * 2019-01-11 2021-09-24 아이디에이씨 홀딩스, 인크. 슬라이스 특정 인증을 위한 방법들 및 장치들
EP3915287A1 (en) * 2019-01-21 2021-12-01 Telefonaktiebolaget LM Ericsson (publ) Network slice authentication
KR102587360B1 (ko) * 2019-02-14 2023-10-11 삼성전자 주식회사 Dn authorized pdu세션 재인증 지원 및 dn authorization data 변경에 따른 pdu세션 관리 방법 및 장치
CN111654862B (zh) * 2019-03-04 2021-12-03 华为技术有限公司 终端设备的注册方法及装置
CN111818516B (zh) * 2019-04-12 2022-10-18 华为技术有限公司 认证方法、装置及设备
US20220263826A1 (en) * 2019-06-24 2022-08-18 Nokia Technologies Oy Dynamic allocation of network slice-specific credentials
CN114223232A (zh) * 2019-08-15 2022-03-22 华为技术有限公司 通信方法和相关设备
EP4018691A1 (en) * 2019-08-23 2022-06-29 IDAC Holdings, Inc. Authentication and authorization to access a network by an unmanned aerial vehicle
CN112449379B (zh) * 2019-08-27 2024-02-09 中兴通讯股份有限公司 一种用户面迁移方法、设备、存储介质
EP3826340A1 (en) * 2019-11-21 2021-05-26 Thales Dis France Sa Method for authenticating a user on a network slice
CN110996322B (zh) * 2019-11-28 2021-07-30 楚天龙股份有限公司 一种实现终端二次认证的方法
WO2021145870A1 (en) * 2020-01-15 2021-07-22 Hewlett-Packard Development Company, L.P. Authentication system
US11777935B2 (en) 2020-01-15 2023-10-03 Cisco Technology, Inc. Extending secondary authentication for fast roaming between service provider and enterprise network
DE112021000866T5 (de) * 2020-01-31 2023-01-05 Sony Group Corporation Benutzergerät, authentifizierung-autorisierung-abrechnung-server eines nicht-öffentlichen netzes, authentifizierungsserverfunktionsentität
US11638312B2 (en) * 2020-02-13 2023-04-25 Qualcomm Incorporated Slice allocation
US11778463B2 (en) 2020-03-31 2023-10-03 Cisco Technology, Inc. Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network
US11765581B2 (en) 2020-03-31 2023-09-19 Cisco Technology, Inc. Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information
US11706619B2 (en) 2020-03-31 2023-07-18 Cisco Technology, Inc. Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network
CN113573298B (zh) * 2020-04-10 2022-05-24 华为技术有限公司 一种通信方法及装置
CN113784346A (zh) * 2020-05-22 2021-12-10 华为技术有限公司 认证授权的方法和装置
EP3929848A1 (en) 2020-06-22 2021-12-29 Laterpay AG Laterpay 5g secondary authentication
US11310659B2 (en) 2020-07-10 2022-04-19 Cisco Technology, Inc. Techniques for provisioning an enterprise electronic subscriber identity module (ESIM) profile for an enterprise user
CN112039838B (zh) * 2020-07-15 2022-03-15 中国电子科技集团公司第三十研究所 一种适用于移动通信不同应用场景的二次认证方法和系统
US11490253B1 (en) * 2020-08-14 2022-11-01 Sprint Communications Company Lp System and methods for over-the-air SIM profile transfer
US11785456B2 (en) * 2020-08-18 2023-10-10 Cisco Technology, Inc. Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP)
CN112153641B (zh) * 2020-09-09 2022-09-13 上海微波技术研究所(中国电子科技集团公司第五十研究所) 基于边缘upf的二次认证增强与端到端加密方法及系统
US11523332B2 (en) 2020-12-29 2022-12-06 Cisco Technology, Inc. Cellular network onboarding through wireless local area network
WO2022155796A1 (zh) * 2021-01-19 2022-07-28 华为技术有限公司 通信方法以及相关装置
EP4298813A1 (en) * 2021-02-23 2024-01-03 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for authentication
EP4356636A1 (en) * 2021-06-15 2024-04-24 Telefonaktiebolaget LM Ericsson (publ) Methods and means for providing access to external networks
US11564081B1 (en) 2021-07-06 2023-01-24 Cisco Technology, Inc. Auto-update and activation of locale-specific eSIM profile for a global enterprise user
CN113507705A (zh) * 2021-07-13 2021-10-15 中国人民解放军战略支援部队信息工程大学 一种基于eap-tls协议的5g二次认证方法及系统
CN114095928A (zh) * 2021-11-08 2022-02-25 光宝科技股份有限公司 认证系统和方法
CN114221822B (zh) * 2022-01-12 2023-10-27 杭州涂鸦信息技术有限公司 配网方法、网关设备以及计算机可读存储介质

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
WO2004032554A1 (en) * 2002-10-01 2004-04-15 Nokia Corporation Method and system for providing access via a first network to a service of a second network
US7458095B2 (en) * 2002-11-18 2008-11-25 Nokia Siemens Networks Oy Faster authentication with parallel message processing
US8555344B1 (en) 2003-06-05 2013-10-08 Mcafee, Inc. Methods and systems for fallback modes of operation within wireless computer networks
US7313690B2 (en) * 2003-06-27 2007-12-25 Microsoft Corporation Three way validation and authentication of boot files transmitted from server to client
US7593717B2 (en) * 2003-09-12 2009-09-22 Alcatel-Lucent Usa Inc. Authenticating access to a wireless local area network based on security value(s) associated with a cellular system
US20050271209A1 (en) * 2004-06-07 2005-12-08 Meghana Sahasrabudhe AKA sequence number for replay protection in EAP-AKA authentication
CA2597438C (en) 2005-03-24 2011-11-01 Lg Electronics Inc. Method of connecting to network in broadband wireless access system
WO2007071009A1 (en) * 2005-12-23 2007-06-28 Bce Inc. Wireless device authentication between different networks
US8615591B2 (en) 2006-01-11 2013-12-24 Cisco Technology, Inc. Termination of a communication session between a client and a server
CN101009910A (zh) * 2006-01-25 2007-08-01 华为技术有限公司 在无线网络中实现扩展认证协议认证的方法及装置
DE102006038591B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
CN101163000B (zh) * 2006-10-13 2011-03-02 中兴通讯股份有限公司 一种二次认证方法及系统
US20080108322A1 (en) * 2006-11-03 2008-05-08 Motorola, Inc. Device and / or user authentication for network access
US8707416B2 (en) * 2007-01-19 2014-04-22 Toshiba America Research, Inc. Bootstrapping kerberos from EAP (BKE)
EP1956791A1 (en) * 2007-02-09 2008-08-13 Research In Motion Limited Method and system for authenticating peer devices using EAP
US8341702B2 (en) * 2007-11-01 2012-12-25 Bridgewater Systems Corp. Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol
EP2258126B9 (en) * 2008-04-02 2013-06-19 Nokia Siemens Networks OY Security for a non-3gpp access to an evolved packet system
US8826376B2 (en) * 2009-03-10 2014-09-02 Alcatel Lucent Communication of session-specific information to user equipment from an access network
US8601569B2 (en) * 2010-04-09 2013-12-03 International Business Machines Corporation Secure access to a private network through a public wireless network
EP3297246A1 (en) 2011-04-28 2018-03-21 Interdigital Patent Holdings, Inc. Sso framework for multiple sso technologies
CN103067342B (zh) * 2011-10-20 2018-01-19 中兴通讯股份有限公司 一种使用eap进行外部认证的设备、系统及方法
EP2675203B1 (en) * 2012-06-11 2019-11-27 BlackBerry Limited Enabling multiple authentication applications
US9355231B2 (en) * 2012-12-05 2016-05-31 Telesign Corporation Frictionless multi-factor authentication system and method
WO2014165747A1 (en) * 2013-04-05 2014-10-09 Interdigital Patent Holdings, Inc. Securing peer-to-peer and group communications
US9363736B2 (en) * 2013-12-16 2016-06-07 Qualcomm Incorporated Methods and apparatus for provisioning of credentials in network deployments
US10425448B2 (en) * 2014-03-17 2019-09-24 Telefonaktiebolaget Lm Ericsson (Publ) End-to-end data protection
US9332480B2 (en) * 2014-03-28 2016-05-03 Qualcomm Incorporated Decoupling service and network provider identification in wireless communications
AU2015202868A1 (en) * 2014-05-26 2015-12-10 Bass Morris Pty Ltd Spine treatment apparatus
CN104936232A (zh) * 2015-07-08 2015-09-23 重庆邮电大学 5g网络中基于用户标签的分流方法和系统
US20170171752A1 (en) * 2015-12-14 2017-06-15 Qualcomm Incorporated Securing signaling interface between radio access network and a service management entity to support service slicing
US10172000B2 (en) * 2016-03-17 2019-01-01 M2MD Technologies, Inc. Method and system for managing security keys for user and M2M devices in a wireless communication network environment
US10104544B2 (en) 2016-04-05 2018-10-16 Qualcomm Incorporated LTE-level security for neutral host LTE
KR102284105B1 (ko) * 2016-05-12 2021-07-30 콘비다 와이어리스, 엘엘씨 가상화된 모바일 코어 네트워크들에의 접속
WO2017200978A1 (en) * 2016-05-16 2017-11-23 Idac Holdings, Inc. Security-based slice selection and assignment
KR102405409B1 (ko) * 2016-07-05 2022-06-08 삼성전자 주식회사 데이터통신망에서의 특화된 접속 및 모빌리티와 페이징을 제공하기 위한 방법 및 장치
CN109417709B (zh) * 2016-07-05 2022-06-10 三星电子株式会社 用于在移动无线网络系统中认证接入的方法和系统
WO2018053271A1 (en) * 2016-09-16 2018-03-22 Idac Holdings, Inc. Unified authentication framework
CN109804651B (zh) * 2016-10-05 2023-02-14 摩托罗拉移动有限责任公司 通过独立的非3gpp接入网络的核心网络附接
KR102136037B1 (ko) * 2016-10-31 2020-07-21 텔레폰악티에볼라겟엘엠에릭슨(펍) 차세대 시스템을 위한 인증

Also Published As

Publication number Publication date
US11575509B2 (en) 2023-02-07
WO2018137873A1 (en) 2018-08-02
CN110235423B (zh) 2022-10-21
JP2020506578A (ja) 2020-02-27
US11895229B2 (en) 2024-02-06
US20180317086A1 (en) 2018-11-01
RU2019126798A3 (es) 2021-03-02
US20230145044A1 (en) 2023-05-11
CN110235423A (zh) 2019-09-13
JP6889263B2 (ja) 2021-06-18
EP3501155A1 (en) 2019-06-26
EP3501155B1 (en) 2023-06-07
RU2755258C2 (ru) 2021-09-14
BR112019014670A2 (pt) 2020-05-26
US20190230510A1 (en) 2019-07-25
RU2019126798A (ru) 2021-03-02

Similar Documents

Publication Publication Date Title
ES2947942T3 (es) Autenticación secundaria de un equipo de usuario
KR101961301B1 (ko) 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
US10716002B2 (en) Method and system for authenticating access in mobile wireless network system
CN110830991B (zh) 安全会话方法和装置
EP3771245A1 (en) Privacy protection and extensible authentication protocol authentication and authorization in cellular networks
JP5572720B2 (ja) ワイヤレスリレーノードをセキュアにするための方法および装置
ES2734989T3 (es) Comunicaciones seguras para dispositivos informáticos que utilizan servicios de proximidad
US10129235B2 (en) Key hierarchy for network slicing
JP6912470B2 (ja) 複数の接続およびサービスコンテキストをサポートするためのセキュリティモデルを使用したワイヤレス通信のための方法および装置
RU2727160C1 (ru) Аутентификация для систем следующего поколения
ES2703555T3 (es) Protección de intercambio de mensajes WLCP entre TWAG y UE
US20240129794A1 (en) Network Congestion Control
ES2822916T3 (es) Entidad de acceso de red y método para establecer una conexión de itinerancia mediante una entidad de acceso de red
US20230319685A1 (en) Access Restriction of Wireless Device
US20240129793A1 (en) Network Overload Control