TW201316792A - 區域網協存取網路元件與終端設備的認證方法與裝置 - Google Patents
區域網協存取網路元件與終端設備的認證方法與裝置 Download PDFInfo
- Publication number
- TW201316792A TW201316792A TW100136290A TW100136290A TW201316792A TW 201316792 A TW201316792 A TW 201316792A TW 100136290 A TW100136290 A TW 100136290A TW 100136290 A TW100136290 A TW 100136290A TW 201316792 A TW201316792 A TW 201316792A
- Authority
- TW
- Taiwan
- Prior art keywords
- lipa
- authentication
- message
- rau
- network
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一種LIPA網路元件與UE的認證方法,可應用於備有一UE端、一逗留的LIPA網路元件端(LIPAV)、以及一家用LIPA網路元件端(LIPAH)的一跨LIPA通訊情境中。此UE端經由此LIPAV向一核心網路(CN)作註冊成功,達到此UE端與此LIPAV的互信關係;此UE端經由此LIPAH向此CN作註冊成功,達到此UE端與此LIPAH的互信關係;以及此LIPAH經由此LIPAV向此UE端要求再認證成功,達到此LIPAV與此LIPAH的互信關係。
Description
本揭露係關於一種區域網協存取(Local Internet Protocol Access,LIPA)網路元件(network entity)與終端設備(User Equipment,UE)的認證(authentication)方法與裝置。
電信網路中的LIPA是利用家用節點B(Home Node B,HNB)與家用e節點B(Home eNodeB,HeNB),HNB與HeNB縮寫為H(e)NB,後端寬頻接入核心網路(Core Network,CN)的特性,來提供終端設備不經過核心網路直接存取家用網路(home network)的一種服務。終端設備,如行動裝置、手機等,可透過LIPA與家用IP裝置,如個人電腦、印表機、電視、多媒體伺服器等,溝通,並享有包括如檔案傳輸、裝置分享、視訊串流、遠端控制等應用。對電信營運商而言,LIPA提供了新的服務與新的獲利機會,而不須耗費到核心網路的資源;對使用者來說可以享受高速傳輸的服務而不會受核心網路資源有限的影響。
跨網路認證的相關文獻與技術有很多。例如,在一篇文獻的揭示內容中,跨網路認證時,利用第三方的安全管理網路(secure management network,SMN)來進行不同網路之間的安全管理。網路及網路元件(Network Entity,NE)要先向SMN註冊並建立安全性關聯(security association);若與SMN沒有安全性關聯,則需經由與SMN有安全性關聯的閘道器來進行互相通訊(intercommunication)。
在另一篇文獻的揭示內容中,跨網路認證時,逗留的與家用的網路必須先建立互信關係,包括UE向逗留的網路認證、逗留的網路向家用網路要求認證UE、家用網路將逗留的網路的資料向中央伺服器(central server)要求認證並傳回逗留的網路,以及當UE收到逗留的網路提供的動態主機配置協定(Dynamic Host Configuration Protocol,DHCP)位址時,根據家用網路提供的資料來判斷是否信賴此逗留的網路。
在又一篇文獻的揭示內容中,跨網路連線時,存取、授權與會計(Access Authorization and Accounting,AAA)代理伺服器(proxy)可利用AAA伺服器產生的金鑰(key)為不同的網路造出多把金鑰。AAA代理伺服器存放並負責相對應的暫時的UE ID和金鑰、以及每一金鑰適用的網路,來加快換手(handover)時的認證速率。如此,UE可避免在網路上傳送永久的身份識別(permanent ID)。
在又一篇文獻的揭示內容中,多個節點先預存彼此的認證資料,透過此相同的認證資料,經由第三方認證中心取得互信聯盟列表、以及各互信聯盟的認證資料。在又一篇文獻的揭示內容中,多個應用程式經由單一GW向伺服器進行認證,其中GW從一認證中心一次取回所有應用程式的認證資料、GW能認證個別的應用程式、以及應用程式能經由GW進行網路傳輸等。
在第三代合作夥伴計畫(3rd Generation Partnership Project,3GPP)架構下,第一圖是一範例示意圖,說明一種現有的H(e)NB的網路存取架構。其中區域閘道器(Local Gateway,LGW)是一H(e)NB上的邏輯功能單元,具有閘道器一般封包無線服務(General Packet Radio Service,GPRS)支援節點(Support Node)的部分功能,負責將從UE收到的資料透過IP網路送給家用裝置,並把從家用裝置收到的資料透過電信網路送給UE,閘道器GPRS Support Node縮寫為GGSN。LGW與H(e)NB之間有一使用者平面通道,而LGW與服務(Serving) GPRS Support Node之間則有Gn/S5介面,服務GPRS Support Node縮寫為SGSN。
一個LGW和一個H(e)NB可形成一個邏輯上的網路元件,稱為一個LIPA網路元件(LIPA entity)。形成一個LIPA網路元件包括將LGW和H(e)NB實作成為一個獨立的網路元件,或是經由安全性關聯的方式成為一個邏輯上的網路元件。在第一圖中,此3GPP定義的H(e)NB的網路存取架構沒有提供支援全域性存取的功能。也就是說,UE只能在自己的家用H(e)NB(Home H(e)NB,HHNB)下,才可以存取自己的家用網路。其他家的家用H(e)ND稱之為逗留的(visiting)H(e)NB,其縮寫為VHNB。
為了使UE在VHNB與巨細胞(macrocell)下也可以存取家用網路,並且不修改到核心網路的元件與控制訊息,另一種實施方法如第二圖所示。第二圖是一修改過的(modified)的H(e)NB的網路存取架構的範例。在第二圖的範例架構中,LGW不只具有部分GGSN的功能還具有部分SGSN的功能,因此HNB與LGW之間需加入控制平面,而LGW之間也需要有Gn/S5介面。另外在此架構中,所有的控制訊息都會先透過LGW。當控制訊息是LGW可以處理時,則LGW扮演SGSN或GGSN的角色去做處理此控制訊息;當控制訊息非LGW可以處理時,則此控制訊息需被傳送至核心網路。因此在LGW與核心網路之間需有Iuh介面與Gn/S5介面。當HNB透過Iuh介面傳來的控制訊息無法由LGW來處理時,LGW會將此控制訊息透過Iuh介面傳送至核心網路;當一LGW無法處理由其他的LGW透過Gn/S5介面所傳來的控制訊息時,此LGW會將此控制訊息透過Gn/S5介面傳送至核心網路。
每一LIPA網路元件加入網路服務之前,必須先對CN完成認證並達成LIPA網路元件與CN的互信關係,才能對UE提供服務。而每一UE進入一LIPA網路的服務範圍時,必須先經由此LIPA網路的LIPA網路元件向CN認證成功,才得以使用此LIPA網路元件提供的服務,如第三圖所示的UE的附加(attach)程序,說明了一UE經由LIPA網路向CN,例如SGSN與專屬位置登記處(Home Location Register,HLR),進行認證的程序。
在上述以及其他既有的3GPP架構下,必須確保UE、核心網路、逗留的LIPA網路元件、以及家用LIPA網路元件彼此之間互相信任,並且確認UE對家用LIPA網路的存取權後才能啟始LIPA服務。
本揭露實施例可提供一種LIPA網路元件與UE的認證方法與裝置。
所揭露的一實施例是關於一種LIPA網路元件與UE的認證方法,此認證方法應用於一跨LIPA通訊情境中,此跨LIPA通訊情境備有一UE端、一逗留的LIPA網路元件端(LIPAV)、以及一家用LIPA網路元件端(LIPAH)。此認證方法包含:此UE端經由此LIPAV向一CN作註冊成功,達到此UE端與此LIPAV的互信關係;此UE端經由此LIPAH向此CN作註冊成功,達到此UE端與此LIPAH的互信關係;以及此LIPAH經由此LIPAV向此UE端要求再認證成功,達到此LIPAV與此LIPAH的互信關係。
所揭露的另一實施例是關於一種LIPA網路元件與UE的認證裝置,此認證裝置應用於一跨LIPA通訊情境中,此跨LIPA通訊情境備有一UE端、一逗留的LIPA網路元件端(LIPAV)、以及一家用LIPA網路元件端(LIPAH),該認證裝置包含一狀態機,此狀態機執行以下子狀態機的功能:一第一狀態機,做為此UE端與此LIPAV之間的一認證與通訊協定機制,並且藉由此UE端經由該LIPAV向一核心網路(CN)作註冊成功,來達到此UE端與此LIPAV的互信關係;一第二狀態機,做為此UE端與此LIPAH之間的一認證與通訊協定機制,並且藉由此UE端經由此LIPAH向該CN作註冊成功,來達到此UE端與此LIPAH的互信關係;以及一第三狀態機,做為LIPA網路元件之間的一再認證與通訊協定機制,並且藉由此LIPAH經由此LIPAV向此UE端要求再認證成功,來達到此LIPAV與此LIPAH的互信關係。
茲配合下列圖示、實施例之詳細說明及申請專利範圍,將上述及本發明之其他優點詳述於後。
在本揭露系統與方法的實施範例中,提供一種可與既有3GPP架構相容的全域性的認證機制。此機制結合H(e)NB對UE的存取控制以及UE對核心網路的認證方式,在不更改現有3GPP UE、核心網路元件、以及安全機制下,讓UE移動到VHNB下時,可經由逗留的LIPA網路對核心網路及家用LIPA網路進行一次性的認證,達到UE與核心網路的互相信任、逗留的LIPA網路與家用LIPA網路的互相信任、以及判斷UE對家用LIPA網路的存取權。
所以,進行此一次性的認證需要滿足的認證需求至少包括核心網路必須判斷發出連線要求的UE是否為合法UE並判斷此UE對家用LIPA網路元件的存取權、家用LIPA網路元件需要信任UE是合法的UE才能允許UE對家用LIPA網路的存取、以及逗留的LIPA網路元件與家用LIPA網路元件之間需要彼此信任才能交換帶有UE私密資訊(private information)的訊息。也就是說,此一次性的認證包含了UE與家用LIPA網路元件之間的認證、以及逗留的LIPA網路元件與家用LIPA網路元件之間的認證。
UE與核心網路之間的信任可採用既有的認證與金鑰同意(Authentication and Key Agreement,AKA)機制。UE對家用LIPA網路元件的存取權實施方式包括可以透過將家用HNB(或家用LGW)的封閉式用戶群組識別(Closed Subscriber Group Identity,CSG ID)傳送到後端核心網路去做存取控制。封閉式用戶群組識別代表一群特定用戶的識別身份。逗留的LIPA網路元件與家用LIPA網路元件之間的信任是較為複雜的部分。逗留的LIPA網路元件與家用LIPA網路元件之間會因為使用者的連線需求而建立連線,這類連線通常只在使用者經由逗留的LIPA網路去存取家用LIPA網路時才會動態建立;而動態建立連線的逗留的LIPA網路元件與家用LIPA網路元件之間沒有直接的安全性關聯(security association),也沒有彼此的金鑰與認證演算法,所以無法直接認證彼此。
在一跨LIPA通訊情境的應用中,前提之一為逗留的LIPA網路元件與家用LIPA網路元件皆獲得CN的認證之後才能提供服務,此跨LIPA通訊情境備有一UE端、一逗留的LIPA網路元件端、以及一家用LIPA網路元件端;此UE端備有一或多個UEs,此逗留的LIPA網路元件端備有一或多個逗留的LIPA網路元件,此家用LIPA網路元件端備有一或多個家用LIPA網路元件。
在本揭露實施範例中,進行UE、逗留的LIPA網路元件、以及家用LIPA網路元件三方相互認證之一次性的認證不包含形成一LIPA網路元件的H(e)NB和L-GW,此兩者之間的相互認證,以及安全性關聯的建立。在跨LIPA通訊的應用情境中,當UE進入逗留的LIPA網路時,若能經由逗留的LIPA網路元件對CN完成認證程序,則不僅UE與CN可以相互認證,UE也可以確信逗留的LIPA網路元件的合法性與正確性,如此可建立UE、CN、逗留的LIPA網路元件之間的兩兩互信關係。同理,若UE經由家用LIPA網路元件對CN完成認證程序,則可建立UE、CN、家用LIPA網路元件之間的兩兩互信關係。
換句話說,在本揭露實施範例中,當UE對CN認證時,可以經由逗留的LIPA網路元件以及經由家用LIPA網路元件。當UE通過CN認證時,逗留的LIPA網路元件與家用LIPA網路元件可相互確信彼此皆已通過CN的認證,依此來達到逗留的LIPA網路元件與家用LIPA網路元件之間的信任。
所以,根據本揭露一實施範例,UE、逗留的LIPA網路元件、以及家用LIPA網路元件三方相互認證可包含如第四圖所示的三部分。在第一部分410中,UE經由逗留的LIPA網路元件向CN作註冊(register)成功,達到UE與逗留的LIPA網路元件的互信關係。在第二部分420中,UE經由家用LIPA網路元件向CN作註冊成功,達到UE與家用LIPA網路元件的互信關係。在第三部分430中,家用LIPA網路元件經由逗留的LIPA網路元件向UE要求再認證(re-authentication)成功,達到逗留的LIPA網路元件與家用LIPA網路元件的互信關係。
根據第四圖的第一部分410至第三部分430,本揭露實施範例可提供幾種UE、逗留的LIPA網路元件、以及家用LIPA網路元件三方相互認證的實現方式。例如藉由使用者端觸發的認證程序、藉由簡化的路由區域更新(Routing Area Update,RAU)程序觸發的認證程序、藉由RAU加上服務無線網路子系統(Serving Radio Network Subsystem,SRNS)轉移(relocation)觸發的認證程序。
在一跨LIPA通訊情境中,第五A圖與第五B圖、第七A圖與第七B圖、以及第九A圖與第九B圖將分別說明實現此三種範例之每一步驟的運作細節。其中,實線上的訊息表示現有3GPP標準規範的訊息,實線上的標號表示現有3GPP標準規範的步驟;虛線上的訊息表示本揭露實施的訊息,虛線上的標號表示本揭露實施的步驟;UE表示UE端,LIPAV表示逗留的LIPA網路元件端,LIPAH表示家用LIPA網路元件端。
在藉由使用者端觸發認證程序中,由逗留的LIPA網路元件發出特定的訊息,例如發出安全性功能要求(Security Function Request),給家用LIPA網路元件,家用LIPA網路元件將此特定的訊息轉發給CN,以觸發完整的UE認證程序。認證程序中UE與CN會根據共有的分享秘密(shared secret)來算出可驗證彼此的數(number),而達到UE與CN的互信,並且此過程也可使參與的網路元件皆彼此互信。
第五A圖與第五B圖是根據本揭露一實施範例,說明藉由使用者端觸發的認證程序之每一步驟的運作細節。此認證程序的運作說明如下。
在步驟501中,UE經由LIPAV對CN完成註冊程序。註冊程序完成之後,表示UE、CN、LIPAV具有兩兩互信關係,並且UE、LIPAV、以及CN經由交換或儲存金鑰的程序而建立安全性關聯。在步驟502中,UE要求建立與家用LIPA網路的連線,於是向LIPAV發出以LIPAH為目標的一連線要求。在步驟503中,LIPAV判斷此連線要求為一跨LIPA的存取要求。此跨LIPA的存取要求決定後,啟動此認證程序。
在步驟504中,由LIPAV向LIPAH發出一特定的訊息,例如發出安全性功能要求,以驅動UE同時經由LIPAV和LIPAH對CN進行認證。此特定的訊息包含可辨識不同UE的UE ID;此時LIPAV並不信任LIPAH。在步驟505中,由於LIPAH並不信任LIPAV,因此LIPAH將此特定訊息轉發給CN,讓CN對UE進行認證。CN信任LIPAH才會接受LIPAH的訊息,此步驟505表示CN與LIPAH已具有互信關係。
在步驟506中,CN信任LIPAH,因此接受經由LIPAH發出的安全性功能要求,並據此向LIPAH發出使用者認證要求(user authentication request),以要求對UE進行認證。此認證中包括認證使用的演算法,例如RAND,以及用在CN和UE互相驗證的隨機序列,例如認證碼AUTN。
在步驟507中,LIPAH將此使用者認證要求,即CN對UE要求進行認證的訊息,轉發給LIPAV。在步驟508中,LIPAV收到LIPAH轉發的使用者認證要求的訊息後,因此對UE發出使用者認證要求,此認證要求訊息中包含認證使用的演算法以及用在CN和UE互相驗證的隨機序列。
在步驟509中,UE進行一驗證(verify)運算,並產生驗證結果。因為UE中存有CN與UE的共同秘密金鑰(shared secret),UE根據步驟508中訊息內容的參數(如AUTN),配合UE中儲存的共同秘密金鑰進行此驗證運算(此驗證運算可用晶片或軟體來實現),並產生此驗證結果。在步驟510中,UE根據此驗證結果,向LIPAV發出使用者認證回應(user authentication response)。
在步驟511中,LIPAV將UE回應的驗證結果,亦即使用者認證回應的訊息發送給LIPAH。在步驟512中,LIPAH將此使用者認證回應的訊息發送給CN作驗證。在步驟513中,CN驗證此使用者認證回應,其中CN根據與該UE的共同秘密金鑰、以及認證用的隨機序列,可算出CN對UE的驗證結果,CN並將自己算出的驗證結果和UE產生的驗證結果比對,以驗證UE。當驗證UE通過時,代表CN信任UE,並執行步驟514;當驗證UE不通過時,CN發送出拒絕訊息。
在步驟514中,CN向LIPAH發送出安全模式命令(security mode command),以將金鑰傳送給UE。在步驟514中,LIPAH因收到此安全模式命令,此安全模式命令中包含有CN送出的金鑰如Ck、Ik和演算法alg等,所以可確認UE的合法性與正確性;並且因為在步驟510中,UE信任LIPAV才能向LIPAV發送出驗證結果的訊息,進而得到LIPAH可信任LIPAV的判斷。步驟514達成CN信任LIPAH,以及LIPAH信任UE和LIPAV的結論。在步驟515中,LIPAH儲存CN送出的金鑰Ck、Ik等,作為之後與UE通訊的基礎。
在步驟516中,LIPAH轉發安全模式命令給LIPAV,其中包含CN送出的金鑰Ck、Ik和演算法alg等。在步驟517中,LIPAV儲存CN送出的金鑰Ck、Ik和演算法alg等資料,作為之後與UE通訊的基礎。在步驟518中,LIPAV根據LIPAH轉發的安全模式命令的訊息,對UE發出無線端的安全模式命令的訊息,此無線端的安全模式命令的訊息包含CN送出的金鑰和演算法等資料。UE收到此無線端的安全模式命令的訊息,驗證訊息中的參數(例如MDC-I)而達到信任CN的結論;且因為CN信任LIPAH,進而推導出UE可信任LIPAH。步驟518達成UE信任CN和LIPAH的結論。
在步驟519中,UE向LIPAV發出安全模式完成(security mode complete)的訊息,代表UE驗證CN的合法性與正確性,因此相信之前的認證要求的來源是CN,並因而相信LIPAH被CN信任,進而得到LIPAV可信任LIPAH的結論。在步驟520中,LIPAV儲存UE所選擇的演算法。
在步驟521中,LIPAV根據來自UE的安全模式完成的訊息,向LIPAH發出安全模式完成訊息。在步驟522中,LIPAH收到來自LIPAV的安全模式完成訊息後,儲存UE所選擇的演算法,並可確認UE已信任LIPAH。步驟522完成UE、LIPAH、LIPAV彼此之間的互信關係。
在步驟523中,LIPAH將LIPAV發出的安全模式完成訊息轉發給CN,此步驟使CN得知UE已確認CN的合法性和正確性,並且UE與CN通訊過程中所使用的LIPA網路元件皆已互相信任。也就是說,步驟523完成UE、LIPAH、LIPAV、CN彼此之間的互信關係。
上述第五A圖與第五B圖的實施範例中,步驟504~步驟505係執行再認證觸發訊息。步驟506~步驟513的運作中,除了LIPAH轉繼功能(relay function)外,是一正常的通用移動通訊系统(Universal Mobile Telecommunications System,UMTS)AKA程序,其中步驟507在LIPAH轉送使用者認證要求的訊息,步驟511和步驟512分別在LIPAV和LIPAH轉送使用者認證回應的訊息。步驟514~步驟523的運作中,除了LIPAH和LIPAV轉送功能外,是正常的安全模式控制程序(Normal Security Mode Control Procedure),其中步驟516在LIPAH轉送安全模式命令的訊息,步驟521在LIPAV轉送安全模式完成的訊息。
也就是說,從第五A圖與第五B圖的實施範例,藉由使用者端觸發認證程序可描述如第六圖的運作流程。在步驟610中,先由LIPAV向LIPAH發出一特定的訊息,如發出一安全性功能要求,以驅動UE同時經由LIPAV和LIPAH對CN進行認證;再由LIPAH將此特定訊息(安全性功能要求)轉發給CN,讓CN對UE進行認證。在步驟620中,於一既有的UMTS AKA程序中,在LIPAH與LIPAV之間加入一轉繼功能,此轉繼功能包含在LIPAH轉送一使用者認證要求訊息、以及在LIPAV轉送一使用者認證回應訊息。在步驟630中,於一既有的安全模式控制程序中,在LIPAH與LIPAV之間加入另一轉繼功能,此另一轉繼功能包含在LIPAH轉送一安全模式命令訊息、以及在LIPAV轉送一安全模式完成訊息。
在藉由簡化的RAU程序觸發的認證程序中,UE經由LIPAV對CN完成認證程序之後,UE、CN、LIPAV彼此之間具有互信關係。此時LIPAV發出RAU訊息給LIPAH,LIPAH將此RAU訊息轉發給CN,以觸發完整的UE認證程序。認證程序中UE與CN會根據共有的分享秘密來算出可驗證彼此的數,而達到UE與CN的互信,並且此過程也可使參與的網路元件皆彼此互信。
第七A圖與第七B圖是根據本揭露一實施範例,說明藉由簡化的RAU程序觸發的認證程序之每一步驟的運作細節。第七A圖與第七B圖的運作包含步驟501~步驟503、步驟704~步驟706、步驟506~步驟513、步驟514~步驟523、以及步驟725~步驟726。相較於第五A圖與第五B圖的實施範例,第七A圖與第七B圖的實施範例是以步驟704~步驟706來執行再認證觸發訊息,並且以步驟725和步驟726來完成RAU程序。以下說明步驟704~步驟706、以及步驟725~步驟726,其餘的步驟不再重述。
在第七A圖與第七B圖的實施範例中,當完成步驟501~步驟503,而連線要求被判定為一跨LIPA的存取要求後,啟動此認證程序。如第七A圖與第七B圖所示,在步驟704中,由LIPAV向LIPAH發出的特定的訊息如RAU要求,以驅動UE同時經由LIPAV和LIPAH對CN進行認證。此時LIPAV並不信任LIPAH,此RAU要求的訊息中避免傳送UE的私密資料,所以RAU要求的訊息包含的是UE的暫時性ID(例如暫時性P-TMSI)、此暫時性ID有效的位置資訊(例如暫時性RAI)、以及可判斷此暫時性ID合法性與正確性的驗證碼(例如暫時性P-TMSI簽署)。在步驟705中,由於LIPAH並不信任LIPAV,因此LIPAH將步驟704中的特定訊息,如RAU要求,轉發給CN,讓CN對UE進行認證。CN信任LIPAH才會接受LIPAH的訊息,此步驟705表示CN與LIPAH已具有互信關係。
根據此特定訊息,如RAU要求,在步驟706中,CN驗證UE的暫時性ID、UE暫時性ID的有效位置、以及UE暫時性ID的驗證碼。當驗證通過時,執行步驟514~步驟523;當驗證不通過時,則發出拒絕訊息給LIPAH。
當步驟514~步驟523完成時,已完成安全模式的設定程序,並且已完成UE、LIPAH、LIPAV、CN彼此之間的互信關係。如第七A圖所示,在步驟725中,CN向LIPAH發送出RAU回應,此RAU回應的訊息中包含UE的更新的ID(例如更新的P-TMSI)、此更新的ID有效的位置資訊(例如更新的RAI)、以及可判斷此更新的ID合法性與正確性的驗證碼(例如更新的P-TMSI簽署)。在步驟726中,LIPAH將此RAU回應的訊息轉發給LIPAV。依此,步驟725和步驟726完成了RAU程序。
完成RAU程序後,UE信任LIPAH,因此完成UE、LIPAV、LIPAH、CN的兩兩互信關係。UE就可換到LIPAH的服務範圍,得以使用LIPAH提供的服務。
第八圖是從第七A圖與第七B圖的實施範例,說明藉由簡化的RAU程序觸發的認證程序的一流程圖。此流程依序包含步驟810、步驟620、步驟630、以及步驟840。在步驟810中,先由LIPAV向LIPAH發出一RAU要求的特定的訊息,以驅動UE同時經由LIPAV和LIPAH對CN進行認證;再由LIPAH將此特定訊息轉發給CN,然後CN根據此特定訊息,來驗證此特定訊息裡的內容資訊,包含UE的暫時性ID、UE暫時性ID的有效位置、以及暫時性ID的驗證碼。步驟620與步驟630不再重述。在步驟840中,CN向LIPAH發送出RAU回應,此RAU回應中包含的是UE的更新的ID、此更新的ID有效的位置資訊、以及可判斷此更新的ID合法性與正確性的驗證碼;然後,LIPAH將此RAU回應的訊息轉發給LIPAV,如此,完成一RAU程序。
在藉由RAU加上SRNS轉移觸發的認證程序中,UE已經由LIPAV向CN完成註冊程序之後,UE、LIPAV、CN有互信關係。此時LIPAV將LIPAH當成新的SGSN/SRNC,並且發出RAU訊息給LIPAH,來觸發完整的RAU程序;此可造成CN端認定UE在LIPAH的服務範圍內。此RAU加上SRNS轉移觸發的認證程序中,CN與LIPAV、以及CN與LIPAH存在互信的關係,並在LIPAV與LIPAH已達到互信關係的情況下,再進行UE對LIPAH與CN的認證程序,接著達到UE與LIPAH與CN的互信。
第九A圖與第九B圖是根據本揭露一實施範例,說明藉由RAU加上SRNS轉移觸發認證程序之每一步驟的運作細節。此實施範例的運作包含步驟501~步驟503、步驟704~步驟706、步驟907~步驟911、以及步驟726。相較於第七A圖與第七B圖的實施範例,第九A圖與第九B圖的實施範例在觸發完整的RAU程序完成之後,以步驟907~步驟909來執行SRNS轉移程序;以步驟910來執行一安全程序;並且以步驟911來進行LIPAV與LIPAH之間交換UE的通訊服務資料;再以步驟726來完成RAU程序。以下說明步驟907~步驟911,其餘的步驟不再重述。
步驟706完成後,如前所述,此時CN已驗證UE的暫時性ID、UE暫時性ID的有效位置、以及暫時性ID的驗證碼,並讓CN與UE互信。在步驟907中,CN向LIPAV發出一要求訊息,如SRNS背景要求(Context Request),以要求UE在LIPAV內的通訊服務資料;此訊息表示CN與LIPAV有互信關係。步驟907也表示CN已驗證過LIPAH,因此LIPAV信任LIPAH。
在步驟908中,LIPAV向CN發送出一SRNS背景回應訊息,將UE在LIPAV內的通訊服務資料傳送給CN。CN收到UE在LIPAV內的通訊服務資料之後,在步驟909中,CN對LIPAH發出訊息,例如SGSN背景回應,以要求LIPAH準備相對應的通訊服務資源。步驟909也隱含了LIPAH可以信任UE。此SGSN背景回應訊息表示UE、LIPAV和LIPAH皆已被CN信任,因此LIPAV和LIPAH可以互相信任,LIPAH也可以信任UE。
在步驟910中,UE、LIPAV、LIPAH、CN進行金鑰產生、交換、儲存的安全程序。此安全程序完成之後,在步驟911中,LIPAV和LIPAH之間交換UE的通訊服務資料,並據以建立或解除(release)通訊服務資源。步驟911完成之後,再以步驟726來完成RAU程序。完成RAU程序後,UE信任LIPAH,因此完成UE、LIPAV、LIPAH、CN的兩兩互信關係。UE就可換到LIPAH的服務範圍,得以使用LIPAH提供的服務。
第十圖是從第九A圖與第九B圖的實施範例,說明藉由RAU加上SRNS轉移觸發認證程序的一流程圖。此流程依序包含步驟810、步驟1020、步驟910、以及步驟1040。繼步驟810之後,在步驟1020中,執行一SRNS轉移程序,包含CN向LIPAV要求UE在LIPAV內的通訊服務資料、LIPAV將UE在LIPAV內的通訊服務資料傳送給CN、以及CN要求LIPAH準備相對應的通訊服務資源。繼步驟910之後,在步驟1040中,先進行LIPAV與LIPAH之間交換UE的通訊服務資料,然後LIPAH將RAU回應的訊息轉發給LIPAV以完成RAU程序。
在上述跨LIPA通訊情境的應用中,第十一圖是根據一實施範例的一狀態機的示意圖,說明一種LIPA網路元件與UE的認證裝置。參考第十一圖,此認證裝置包含一狀態機1100,狀態機1100執行以下子狀態機的功能。一第一狀態機做為此UE端與此LIPAV之間的一認證與通訊協定機制,並且藉由UE經由LIPAV(如箭頭1110a所示),向CN作註冊(如標號1120所示)成功,來達到UE與LIPAV的互信關係;一第二狀態機做為UE與LIPAH之間的一認證與通訊協定機制,並且藉由UE經由LIPAH(如箭頭1110b所示)向CN作註冊(如標號1120所示)成功,來達到UE與LIPAH的互信關係;以及一第三狀態機,做為LIPA網路元件之間的一再認證與通訊協定機制,並且藉由LIPAH經由LIPAV(如箭頭1130所示)向UE要求再認證(如標號1140所示)成功,來達到LIPAV與LIPAH的互信關係。
也就是說,狀態機1100可執行UE、LIPAV、以及LIPAH三方相互認證,可經由LIPAV對CN及LIPAH進行一次性的認證,達到UE與CN的互相信任、LIPAV與LIPAH的互相信任、以及判斷UE對LIPAH的存取權。並且,根據上述第五A圖與第五B圖、第七A圖與第七B圖、以及第九A圖與第九B圖中的運作細節,此第三子狀態機可藉由一使用者認證要求訊息、或是一RAU要求訊息、或是一RAU要求訊息加上一SRNS轉移程序,來觸發向UE要求再認證。第三子狀態機執行一RAU時,還包含將一RAU回應訊息由LIPAH轉發給LIPAV,以完成此RAU程序。第三子狀態機執行SRNS轉移程序時,包含CN向LIPAV要求UE在LIPAV內的通訊服務資料、LIPAV將UE在LIPAV內的通訊服務資料傳送給CN、以及CN要求LIPAH準備相對應的通訊服務資源。
承上述,本揭露實施範例提供一種全域性的認證方法與裝置。本揭露實施範例可與既有的3GPP架構相容,此認證技術結合H(e)NB對UE的存取控制與UE對核心網路的認證方式,可在不更改既有的3GPP UE、核心網路元件、以及安全機制下,讓UE移動到VHNB之下時,可經由逗留的LIPA網路對核心網路及家用LIPA網路進行一次性的認證,達到UE與核心網路的互相信任、逗留的LIPA網路與家用LIPA網路的互相信任、以及判斷UE對家用LIPA網路的存取權。
以上所述者僅為本揭露實施例,當不能依此限定本揭露實施之範圍。即大凡本發明申請專利範圍所作之均等變化與修飾,皆應仍屬本發明專利涵蓋之範圍。
410...UE經由逗留的LIPA網路元件向CN作註冊成功,達到UE與逗留的LIPA網路元件的互信關係
420...UE經家用LIPA網路元件向CN作註冊成功,達到UE與家用LIPA網路元件的互信關係
430...家用LIPA網路元件經由逗留的LIPA網路元件向UE要求再認證成功,達到逗留的LIPA網路元件與家用LIPA網路元件的互信關係
UE...終端設備
LIPA...區域網協存取
CN...核心網路
501...UE經由LIPAV對CN完成註冊程序
502...UE向LIPAV發出以LIPAH為目標的一連線要求
503...LIPAV判斷此連線要求為一跨LIPA的存取要求
504...LIPAV向LIPAH發出一安全性功能要求的訊息
505...LIPAH將此安全性功能要求的訊息轉發給CN
506...CN接受此安全性功能要求,並據此向LIPAH發出使用者認證要求
507...LIPAH將此使用者認證要求轉發給LIPAV
508...LIPAV對UE發出使用者認證要求
509...進行一驗證運算,並產生驗證結果
510...UE根據此驗證結果,向LIPAV發出使用者認證回應
511...LIPAV將使用者認證回應的訊息發送給LIPAH
512...IPAH將此使用者認證回應的訊息發送給CN作驗證
513...CN驗證此使用者認證回應
514...CN向LIPAH發送出安全模式命令
515...儲存金鑰Ck、Ik等
516...LIPAH轉發安全模式命令給LIPAV
517...儲存金鑰Ck、Ik和演算法alg等資料
518...LIPAV根據LIPAH轉發的安全模式命令的訊息,對UE發出無線端的安全模式命令的訊息
519...UE向LIPAV發出安全模式完成的訊息
520...儲存UE所選擇的演算法
521...LIPAV根據來自UE的安全模式完成的訊息,向LIPAH發出安全模式完成訊息
522...儲存UE所選擇的演算法
523...LIPAH將LIPAV發出的安全模式完成訊息轉發給CN
610...由LIPAV向LIPAH發出一安全性功能要求,以驅動UE同時經由LIPAV和LIPAH對CN進行認證;再由LIPAH將此安全性功能要求轉發給CN,讓CN對UE進行認證
620...於一既有的UMTS AKA程序中,在LIPAH與LIPAV之間加入一轉繼功能,此轉繼功能包含在LIPAH轉送一使用者認證要求訊息、以及在LIPAV轉送一使用者認證回應訊息
630...於一既有的安全模式控制程序中,在LIPAH與LIPAV之間加入另一轉繼功能,此另一轉繼功能包含在LIPAH轉送一安全模式命令訊息、以及在LIPAV轉送一安全模式完成訊息
704...由LIPAV向LIPAH發出一RAU要求,以驅動UE同時經由LIPAV和LIPAH對CN進行認證
705...LIPAH將RAU要求轉發給CN,讓CN對UE進行認證
706...CN驗證UE的暫時性ID、UE暫時性ID的有效位置、以及暫時性ID的驗證碼
725...CN向LIPAH發送出RAU回應,此RAU回應的訊息中包含UE的更新的ID、此更新的ID有效的位置資訊、以及可判斷此更新的ID合法性與正確性的驗證碼
726...LIPAH將此RAU回應的訊息轉發給LIPAV
810...由LIPAV向LIPAH發出一RAU要求的特定的訊息,以驅動UE同時經由LIPAV和LIPAH對CN進行認證;再由LIPAH將此特定訊息轉發給CN,然後CN根據此特定訊息,來驗證此特定訊息裡的內容資訊,包括UE的暫時性ID、UE暫時性ID的有效位置、以及UE暫時性ID的驗證碼
840...CN向LIPAH發送出RAU回應,此RAU回應中包含UE的更新的ID、此更新的ID有效的位置資訊、以及可判斷此更新的ID合法性與正確性的驗證碼;然後,LIPAH將此RAU回應的訊息轉發給LIPAV,如此,完成一RAU程序
907...CN向LIPAV發出一SRNS背景要求
908...LIPAV向CN發送出一SRNS背景回應訊息
909...CN對LIPAH發出一SGSN背景回應訊息
910...進行金鑰產生、交換、儲存的安全程序
911...LIPAV和LIPAH之間交換UE的通訊服務資料,並據以建立或解除通訊服務資源
1020...執行一SRNS轉移程序,包含CN向LIPAV要求UE在LIPAV內的通訊服務資料、LIPAV將UE在LIPAV內的通訊服務資料傳送給CN、以及CN要求LIPAH準備相對應的通訊服務資源
1040...進行LIPAV與LIPAH之間交換UE的通訊服務資料,然後LIPAH將RAU回應的訊息轉發給LIPAV以完成RAU程序
1110a...UE經由LIPAV
1120...向CN作註冊
1110b...UE經由LIPAH
1130...LIPAH經由LIPAV
1140...向UE要求再認證
第一圖是一範例示意圖,說明一種現有的H(e)NB的網路存取架構。
第二圖是一範例示意圖,說明另一種修改過的H(e)NB的網路存取架構。
第三圖是一範例示意圖,說明UE的附加程序。
第四圖是根據一實施範例的一示意圖,說明UE、逗留的LIPA網路元件、以及家用LIPA網路元件三方相互認證的方法。
第五A圖與第五B圖是根據本揭露一實施範例,說明藉由使用者端觸發的認證程序之每一步驟的運作細節。
第六圖是從第五A圖與第五B圖的實施範例,說明藉由使用者端觸發的認證程序的一流程圖。
第七A圖與第七B圖是根據本揭露一實施範例,說明藉由簡化的RAU程序觸發的認證程序之每一步驟的運作細節。
第八圖是從第七A圖與第七B圖的實施範例,說明藉由簡化的RAU程序觸發的認證程序的一流程圖。
第九A圖與第九B圖是根據本揭露一實施範例,說明藉由RAU加上SRNS轉移觸發認證程序之每一步驟的運作細節。
第十圖是從第九A圖與第九B圖的實施範例,說明藉由RAU加上SRNS轉移觸發認證程序的一流程圖。
第十一圖是根據一實施範例的一狀態機的示意圖,說明一種LIPA網路元件與UE的認證裝置。
410...UE經由逗留的LIPA網路元件向CN作註冊成功,達到UE與逗留的LIPA網路元件的互信關係
420...UE經家用LIPA網路元件向CN作註冊成功,達到UE與家用LIPA網路元件的互信關係
430...家用LIPA網路元件經由逗留的LIPA網路元件向UE要求再認證成功,達到逗留的LIPA網路元件與家用LIPA網路元件的互信關係
UE...終端設備
LIPA...區域網協存取
CN...核心網路
Claims (19)
- 一種區域網協存取(LIPA)網路元件與終端設備(UE)的認證方法,應用於一跨LIPA通訊情境中,該跨LIPA通訊情境備有一UE端、一逗留的LIPA網路元件端(LIPAV)、以及一家用LIPA網路元件端(LIPAH),該認證方法包含:該UE端經由該LIPAV向一核心網路(CN)作註冊成功,達到該UE端與該LIPAV的互信關係;該UE端經由該LIPAH向該CN作註冊成功,達到該UE端與該LIPAH的互信關係;以及該LIPAH經由該LIPAV向該UE端要求再認證成功,達到該LIPAV與該LIPAH的互信關係。
- 如申請專利範圍第1項所述之認證方法,其中該UE端備有一或多個UE,該LIPAV備有一或多個逗留的LIPA網路元件,該LIPAH備有一或多個家用LIPA網路元件。
- 如申請專利範圍第1項所述之認證方法,其中該UE端、該LIPAV、以及該LIPAH三方相互認證是藉由一種使用者端觸發的認證程序來實現。
- 如申請專利範圍第1項所述之認證方法,其中該UE端、該LIPAV、以及該LIPAH三方相互認證是藉由一簡化的路由區域更新(RAU)程序觸發的認證程序來實現。
- 如申請專利範圍第1項所述之認證方法,其中該UE端、該LIPAV、以及該LIPAH三方相互認證是藉由一種RAU加上服務無線網路子系統(SRNS)轉移觸發的認證程序來實現。
- 如申請專利範圍第3項所述之認證方法,其中該使用者端觸發的認證程序包含:由該LIPAV向該LIPAH發出一特定的訊息,以驅動該UE端同時經由該LIPAV和該LIPAH對該CN進行認證,再由該LIPAH將該特定訊息轉發給該CN,讓該CN對該UE端進行認證;於一既有的通用移動通訊系统認證與金鑰同意程序中,在該LIPAH與該LIPAV之間加入一轉繼功能,包括在該LIPAV發出一使用者認證要求訊息、在該LIPAH轉送一使用者認證要求訊息、以及在該LIPAV轉送一使用者認證回應訊息;以及於一既有的安全模式控制程序中,在該LIPAH與該LIPAV之間加入另一轉繼功能,包括在該LIPAH轉送一安全模式命令訊息、以及在該LIPAV轉送一安全模式完成訊息。
- 如申請專利範圍第4項所述之認證方法,其中該簡化的RAU程序觸發的認證程序包含:由該LIPAV向該LIPAH發出一RAU要求的特定的訊息,以驅動該UE端同時經由該LIPAV和該LIPAH對該CN進行認證,該LIPAH轉發該特定訊息給該CN,該CN根據該特定訊息,來驗證該特定訊息的內容資訊;於一既有的通用移動通訊系统認證與金鑰同意程序中,在該LIPAH與該LIPAV之間加入一轉繼功能,包括在該LIPAH轉送一使用者認證要求訊息、在該LIPAV轉送一使用者認證回應訊息給該LIPAH、以及在該LIPAH轉送一使用者認證回應訊息給該CN;於一既有的安全模式控制程序中,在該LIPAH與該LIPAV之間加入另一轉繼功能,包括在該LIPAH轉送一安全模式命令訊息、以及在該LIPAV轉送一安全模式完成訊息;以及該CN向該LIPAH發送出一RAU回應,該LIPAH轉發該RAU回應給該LIPAV,而完成該簡化的RAU程序。
- 如申請專利範圍第5項所述之認證方法,其中該RAU加上SRNS轉移觸發的認證程序包含:由該LIPAV向該LIPAH發出一RAU要求的特定的訊息,以驅動該UE端同時經由LIPAV和該LIPAH對該CN進行認證,該LIPAH轉發該特定訊息給該CN,該CN根據該特定訊息,來驗證該特定訊息的內容資訊;執行一SRNS轉移程序,包含該CN向該LIPAV要求該UE端在該LIPAV內的通訊服務資料、該LIPAV將該UE端在該LIPAV內的通訊服務資料傳送給該CN、以及該CN要求該LIPAH準備相對應的通訊服務資源;該UE端、該LIPAV、該LIPAH、以及該CN進行金鑰產生、交換、儲存的一安全程序;以及進行該LIPAV與該LIPAH之間交換該UE端的通訊服務資料,然後該LIPAH將一RAU回應的訊息轉發給該LIPAV以完成該RAU程序。
- 如申請專利範圍第7項所述之認證方法,其中該RAU要求至少包含一UE暫時性ID、一UE暫時性ID的有效位置、以及一UE暫時性ID的驗證碼,該RAU回應至少包含一UE的更新的ID、一更新的ID有效的位置資訊、以及一可判斷更新的ID合法性與正確性的驗證碼。
- 一種區域網協存取(LIPA)網路元件與終端設備(UE)的認證裝置,應用於一跨LIPA通訊情境中,該跨LIPA通訊情境備有一UE端、一逗留的LIPA網路元件端(LIPAV)、以及一家用LIPA網路元件端(LIPAH),該認證裝置包含一狀態機,該狀態機執行以下子狀態機的功能:一第一子狀態機,做為該UE端與該LIPAV之間的一認證與通訊協定機制,並且藉由該UE端經由該LIPAV向一核心網路(CN)作註冊成功,來達到該UE端與該LIPAV的互信關係;一第二子狀態機,做為該UE端與該LIPAH之間的一認證與通訊協定機制,並且藉由該UE端經由該LIPAH向該CN作註冊成功,來達到該UE端與該LIPAH的互信關係;以及一第三子狀態機,做為LIPA網路元件之間的一再認證與通訊協定機制,並且藉由該LIPAH經由該LIPAV向該UE端要求再認證成功,來達到該LIPAV與該LIPAH的互信關係。
- 如申請專利範圍第10項所述之認證裝置,其中該UE端備有一或多個UE,該LIPAV備有一或多個逗留的LIPA網路元件,該LIPAH備有一或多個家用LIPA網路元件。
- 如申請專利範圍第10項所述之認證裝置,其中該狀態機執行該UE端、該LIPAV、以及該LIPAH三方相互認證係經由該LIPAV對該CN及該LIPAH進行一次性的認證。
- 如申請專利範圍第12項所述之認證裝置,其中該第三子狀態機是藉由一使用者認證要求訊息,來觸發向該UE端要求再認證。
- 如申請專利範圍第12項所述之認證裝置,其中該第三子狀態機是藉由一路由區域更新(RAU)要求訊息,來觸發向該UE端要求再認證。
- 如申請專利範圍第12項所述之認證裝置,其中該第三子狀態機是藉由一RAU要求訊息加上一服務無線網路子系統(SRNS)轉移程序,來觸發向該UE端要求再認證。
- 如申請專利範圍第14項所述之認證裝置,其中該RAU要求訊息至少包含一UE暫時性ID、一UE暫時性ID的有效位置、以及一UE暫時性ID的驗證碼。
- 如申請專利範圍第15項所述之認證裝置,其中該第三子狀態機執行該SRNS轉移程序,包含該CN向該LIPAV要求該UE端在該LIPAV內的通訊服務資料、該LIPAV將該UE端在該LIPAV內的通訊服務資料傳送給該CN、以及該CN要求該LIPAH準備相對應的通訊服務資源。
- 如申請專利範圍第14項所述之認證裝置,其中該第三子狀態機還執行:將一RAU回應訊息由該LIPAH轉發給該LIPAV,以完成一RAU程序。
- 如申請專利範圍第15項所述之認證裝置,其中該第三子狀態機還執行:將一RAU回應訊息由該LIPAH轉發給該LIPAV,以完成一RAU程序。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW100136290A TWI428031B (zh) | 2011-10-06 | 2011-10-06 | 區域網協存取網路元件與終端設備的認證方法與裝置 |
| CN201110353030.7A CN103037369B (zh) | 2011-10-06 | 2011-11-09 | 本地网协接入网络元件与终端设备的认证方法与装置 |
| US13/541,123 US9137661B2 (en) | 2011-10-06 | 2012-07-03 | Authentication method and apparatus for user equipment and LIPA network entities |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW100136290A TWI428031B (zh) | 2011-10-06 | 2011-10-06 | 區域網協存取網路元件與終端設備的認證方法與裝置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201316792A true TW201316792A (zh) | 2013-04-16 |
| TWI428031B TWI428031B (zh) | 2014-02-21 |
Family
ID=48023757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW100136290A TWI428031B (zh) | 2011-10-06 | 2011-10-06 | 區域網協存取網路元件與終端設備的認證方法與裝置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9137661B2 (zh) |
| CN (1) | CN103037369B (zh) |
| TW (1) | TWI428031B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2959420B1 (en) * | 2013-02-22 | 2019-09-11 | Paul Simmonds | Methods, apparatus and computer programs for entity authentication |
| US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
| US10536946B2 (en) | 2015-12-08 | 2020-01-14 | Huawei Technologies Co., Ltd. | Method and system for performing network slicing in a radio access network |
| JP6629450B2 (ja) * | 2015-12-08 | 2020-01-15 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 複数のサービスのためのユーザ機器状態構成のシステムおよび方法 |
| US10356608B2 (en) | 2016-02-18 | 2019-07-16 | Huawei Technologies Co., Ltd. | System and method of user equipment state configurations |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2356770A (en) * | 1999-11-23 | 2001-05-30 | Ericsson Telefon Ab L M | SRNS relocation in a UMTS network |
| CA2325670C (en) | 1999-12-30 | 2003-12-30 | At&T Corp. | Method for performing roaming amongst multiple ip networks |
| US6928295B2 (en) * | 2001-01-30 | 2005-08-09 | Broadcom Corporation | Wireless device authentication at mutual reduced transmit power |
| WO2003067439A1 (en) * | 2002-02-04 | 2003-08-14 | Flarion Technologies, Inc. | A method for extending mobile ip and aaa to enable integrated support for local access and roaming access connectivity |
| US20030196107A1 (en) | 2002-04-15 | 2003-10-16 | Robertson Samuel A. | Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks |
| FI20040036A0 (fi) * | 2004-01-13 | 2004-01-13 | Nokia Corp | Paikkainformaation tuottaminen vieraillussa verkossa |
| US7620041B2 (en) | 2004-04-15 | 2009-11-17 | Alcatel-Lucent Usa Inc. | Authentication mechanisms for call control message integrity and origin verification |
| US8280374B2 (en) * | 2006-08-04 | 2012-10-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Policy management in a roaming or handover scenario in an IP network |
| JP5144679B2 (ja) | 2006-12-19 | 2013-02-13 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 通信ネットワークにおけるユーザアクセス管理 |
| WO2008085207A2 (en) | 2006-12-29 | 2008-07-17 | Prodea Systems, Inc. | Multi-services application gateway |
| US8792450B2 (en) * | 2007-05-10 | 2014-07-29 | Starhome Gmbh | System and method for providing local IP connectivity for a roaming mobile subscriber |
| EP2037652A3 (en) * | 2007-06-19 | 2009-05-27 | Panasonic Corporation | Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network |
| KR101287309B1 (ko) * | 2008-09-24 | 2013-07-23 | 인터디지탈 패튼 홀딩스, 인크 | 홈 노드-b 장치 및 보안 프로토콜 |
| US8831566B2 (en) * | 2008-11-21 | 2014-09-09 | At&T Intellectual Property I, L.P. | Femtocell local breakout management services |
| GB0822599D0 (en) * | 2008-12-11 | 2009-01-21 | Vodafone Plc | Securing network rejection |
| TW201101865A (en) * | 2008-12-31 | 2011-01-01 | Interdigital Patent Holdings | Authentication method selection using a home enhanced Node B profile |
| KR101607363B1 (ko) * | 2009-03-05 | 2016-03-29 | 인터디지탈 패튼 홀딩스, 인크 | H(e)NB 무결성 검증 및 확인을 위한 방법 및 장치 |
| TW201728195A (zh) * | 2009-03-06 | 2017-08-01 | 內數位專利控股公司 | 無縣裝置平台認證及管理 |
| CN102056143A (zh) * | 2009-11-03 | 2011-05-11 | 中兴通讯股份有限公司 | 本地ip访问连接的管理方法 |
| KR101038096B1 (ko) * | 2010-01-04 | 2011-06-01 | 전자부품연구원 | 바이너리 cdma에서 키 인증 방법 |
| US9398517B2 (en) * | 2010-01-11 | 2016-07-19 | Blackberry Limited | System and method for enabling discovery of local service availability in local cellular coverage |
| CN102149071B (zh) * | 2010-02-08 | 2014-12-10 | 中兴通讯股份有限公司 | 一种对本地ip连接的建立进行控制的方法 |
| US20120057574A1 (en) * | 2010-03-05 | 2012-03-08 | Qualcomm Incorporated | Method and apparatus to control local internet protocol access for devices |
| CN101841886A (zh) * | 2010-04-15 | 2010-09-22 | 中兴通讯股份有限公司 | 一种lipa数据流的传输方法及系统 |
| EP2381713A1 (en) * | 2010-04-26 | 2011-10-26 | Research In Motion Limited | Apparatus and method for implementing a security mode configuration in a wireless communication device |
| CN101867928A (zh) * | 2010-05-21 | 2010-10-20 | 西安电子科技大学 | 移动用户通过家庭基站接入核心网的认证方法 |
| US8750857B2 (en) * | 2010-06-04 | 2014-06-10 | Qualcomm Incorporated | Method and apparatus for wireless distributed computing |
| US8676155B2 (en) * | 2010-09-24 | 2014-03-18 | At&T Intellectual Property I, L.P. | Conditional message forwarding functions |
| CN102111903B (zh) * | 2011-01-13 | 2013-07-24 | 大唐移动通信设备有限公司 | 本地ip接入连接建立方法、系统和设备 |
-
2011
- 2011-10-06 TW TW100136290A patent/TWI428031B/zh active
- 2011-11-09 CN CN201110353030.7A patent/CN103037369B/zh active Active
-
2012
- 2012-07-03 US US13/541,123 patent/US9137661B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| TWI428031B (zh) | 2014-02-21 |
| CN103037369A (zh) | 2013-04-10 |
| US20130091552A1 (en) | 2013-04-11 |
| US9137661B2 (en) | 2015-09-15 |
| CN103037369B (zh) | 2016-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4643657B2 (ja) | 通信システムにおけるユーザ認証及び認可 | |
| KR100762644B1 (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
| RU2440688C2 (ru) | Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи | |
| EP1875707B1 (en) | Utilizing generic authentication architecture for mobile internet protocol key distribution | |
| US20080026724A1 (en) | Method for wireless local area network user set-up session connection and authentication, authorization and accounting server | |
| JP4687788B2 (ja) | 無線アクセスシステムおよび無線アクセス方法 | |
| US8627064B2 (en) | Flexible system and method to manage digital certificates in a wireless network | |
| JP2020506588A (ja) | 信頼できないネットワークを用いたインタワーキング機能 | |
| WO2019017837A1 (zh) | 网络安全管理的方法及装置 | |
| EP1755271B1 (en) | A method for realizing the synchronous authentication among the different authentication control devices | |
| JP5351181B2 (ja) | 異種ネットワークのためのワンパス認証機構およびシステム | |
| TW200830901A (en) | Handoff method of mobile device utilizing dynamic tunnel | |
| JP2006515486A (ja) | セルラ通信システムにおいて再認証を可能にする方法および装置 | |
| WO2010000185A1 (zh) | 一种网络认证的方法、装置、系统及服务器 | |
| KR20080086127A (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
| WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
| JP2008541655A (ja) | 無線ローカルエリアネットワークでの安全なハンドオフ | |
| WO2008080351A1 (fr) | Procédé d'exploitation de réseau local sans fil basé sur une infrastructure d'authentification et de confidentialité de wlan (wapi) | |
| WO2009152676A1 (zh) | Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统 | |
| TWI428031B (zh) | 區域網協存取網路元件與終端設備的認證方法與裝置 | |
| JP2021522757A (ja) | コアネットワ−クへの非3gpp装置アクセス | |
| WO2010130118A1 (zh) | 一种对家用基站用户实施鉴权的系统及方法 | |
| WO2022237693A1 (zh) | Nswo业务的认证方法、设备和存储介质 | |
| JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
| WO2014121613A1 (zh) | 一种位置信息的获取方法及相应装置 |