TW202306403A - 用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品 - Google Patents

用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品 Download PDF

Info

Publication number
TW202306403A
TW202306403A TW111126976A TW111126976A TW202306403A TW 202306403 A TW202306403 A TW 202306403A TW 111126976 A TW111126976 A TW 111126976A TW 111126976 A TW111126976 A TW 111126976A TW 202306403 A TW202306403 A TW 202306403A
Authority
TW
Taiwan
Prior art keywords
identifier
authentication
function
network
network entity
Prior art date
Application number
TW111126976A
Other languages
English (en)
Other versions
TWI828235B (zh
Inventor
蘇雷什 奈爾
達納塞卡蘭 蘭加納坦 馬夫雷迪
勞倫特 西博
Original Assignee
芬蘭商諾基亞科技公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 芬蘭商諾基亞科技公司 filed Critical 芬蘭商諾基亞科技公司
Publication of TW202306403A publication Critical patent/TW202306403A/zh
Application granted granted Critical
Publication of TWI828235B publication Critical patent/TWI828235B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

提供用於使一使用者裝備(UE)能夠連接至無線接取網路之方法、電腦程式產品、及設備,其支援非無縫無線區域網路(WLAN)卸載(NSWO),諸如使用UE之第五代(5G)憑證。一種設備可包括一處理器及儲存電腦程式碼之一記憶體,其被組配用以致使該設備藉由該UE請求連至一網路實體之一無線連接;藉由該UE從該網路實體接收一身份請求;以及回應於該身份請求,致使藉由該UE向該網路實體傳送包括一UE識別符之一身份回應,使得該UE被組配用以在使用該UE識別符成功認證時與該網路實體建立一安全上下文。

Description

用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品
例示性實施例大致係有關於使用使用者裝備(UE)識別符之認證,諸如非無縫無線卸載(NWSO)認證。
電信網路,諸如5G網路,在行動網路使用者體驗方面帶來許多改善。舉例來說,5G網路應該提供允許一更大吞吐量、更低潛時、更高可靠度、更高連線能力、及更高移動性範圍之新技術解決方案。隨著包括5G網路之蜂巢式系統支援越來越多UE及服務,包括針對頻寬、潛時、及可靠度要求具有多種使用案例及多樣化需求之應用,蜂巢式系統可能需要使UE能夠連接至使用UE之5G憑證支援NSWO之無線接取網路。
在一些例示性實施例中,提供一種方法,其包含藉由一使用者裝備(UE)請求連至一網路實體之一無線連接,藉由該UE從該網路實體接收一身份請求,以及回應於該身份請求,致使藉由該UE向該網路實體傳送包含一UE識別符之一身份回應,使得該UE被組配用以在使用該UE識別符成功認證時與該網路實體建立一安全上下文。
在一些實施例中,提供一種方法,其包含在一網路實體處從一使用者裝備(UE)為連至該網路實體之一無線連接接收一請求,致使藉由該網路實體向該UE傳送一身份請求,以及回應於該身份請求,在該網路實體處從該UE接收包含一UE識別符之一身份回應,使得該網路實體被組配用以在使用該UE識別符成功認證時與該UE建立一安全上下文。
在一些實施例中,提供一種方法,其用於在一網路功能處為從一使用者裝備(UE)至一網路實體之一無線連接接收一請求,藉由該網路功能從該網路實體接收一UE識別符,致使藉由該網路功能向一認證功能傳送該UE識別符及一無線連接指示符,以及在使用該UE識別符成功認證時藉由該網路功能儲存接收自該認證功能之一永久UE識別符,以及將接收自該認證功能之一主金鑰發送至該網路實體。
在一些實施例中,提供一種方法,用於在一認證器功能處從一網路功能接收包含一使用者裝備(UE)識別符及一無線連接指示符之一認證請求,致使藉由該認證器功能向一統一資料管理者(UDM)傳送包含該UE識別符及一無線連接指示符之一認證請求,在該認證器功能處從該UDM接收包含一永久UE識別符及一認證向量之一認證回應,以及儲存該認證向量之一或多個參數以供未來認證。
在一些實施例中,提供一種設備,其包含至少一個處理器,以及包括電腦程式碼之至少一個記憶體,該至少一個記憶體及該電腦程式碼被組配用以與該至少一個處理器配合,致使該設備至少進行下列動作:藉由一使用者裝備(UE)請求連至一網路實體之一無線連接,藉由該UE從該網路實體接收一身份請求,以及回應於該身份請求,致使藉由該UE向該網路實體傳送包含一UE識別符之一身份回應,使得該UE被組配用以在使用該UE識別符成功認證時與該網路實體建立一安全上下文。
在一些實施例中,提供一種設備,其包含至少一個處理器,以及包括電腦程式碼之至少一個記憶體,該至少一個記憶體及該電腦程式碼被組配用以與該至少一個處理器配合,致使該設備至少進行下列動作:在一網路實體處從一使用者裝備(UE)為連至該網路實體之一無線連接接收一請求,致使藉由該網路實體向該UE傳送一身份請求,以及回應於該身份請求,在該網路實體處從該UE接收包含一UE識別符之一身份回應,使得該網路實體被組配用以在使用該UE識別符成功認證時與該UE建立一安全上下文。
在一些實施例中,提供一種設備,其包含至少一個處理器,以及包括電腦程式碼之至少一個記憶體,該至少一個記憶體及該電腦程式碼被組配用以與該至少一個處理器配合,致使該設備至少進行下列動作:在一網路功能處為從一使用者裝備(UE)至一網路實體之一無線連接接收一請求,藉由該網路功能從該網路實體接收一UE識別符,致使藉由該網路功能向一認證功能傳送該UE識別符及一無線連接指示符,以及在使用該UE識別符成功認證時藉由該網路功能儲存接收自該認證功能之一永久UE識別符,以及將接收自該認證功能之一主金鑰發送至該網路實體。
在一些實施例中,提供一種設備,其包含至少一個處理器,以及包括電腦程式碼之至少一個記憶體,該至少一個記憶體及該電腦程式碼被組配用以與該至少一個處理器配合,致使該設備至少進行下列動作:在一認證器功能處從一網路功能接收包含一使用者裝備(UE)識別符及一無線連接指示符之一認證請求,致使藉由該認證器功能向一統一資料管理者(UDM)傳送包含該UE識別符及一無線連接指示符之該認證請求,在該認證器功能處從該UDM接收包含一永久UE識別符及一認證向量之一認證回應,以及儲存該認證向量之一或多個參數以供未來認證。
在一些例示性實施例中,提供一種設備,其包含藉由一使用者裝備(UE)請求連至一網路實體之一無線連接用的構件,藉由該UE從該網路實體接收一身份請求用的構件,以及回應於該身份請求,致使藉由該UE向該網路實體傳送包含一UE識別符之一身份回應,使得該UE被組配用以在使用該UE識別符成功認證時與該網路實體建立一安全上下文用的構件。
在一些實施例中,提供一種設備,其包含在一網路實體處從一使用者裝備(UE)為連至該網路實體之一無線連接接收一請求用的構件,致使藉由該網路實體向該UE傳送一身份請求用的構件,以及回應於該身份請求,在該網路實體處從該UE接收包含一UE識別符之一身份回應,使得該網路實體被組配用以在使用該UE識別符成功認證時與該UE建立一安全上下文用的構件。
在一些實施例中,一種設備包含在一網路功能處為從一使用者裝備(UE)至一網路實體之一無線連接接收一請求用的構件,藉由該網路功能從該網路實體接收一UE識別符用的構件,致使藉由該網路功能向一認證功能傳送該UE識別符及一無線連接指示符用的構件,以及在使用該UE識別符成功認證時藉由該網路功能儲存接收自該認證功能之一永久UE識別符用的構件,以及將接收自該認證功能之一主金鑰發送至該網路實體用的構件。
在一些實施例中,提供一種設備,其包含在一認證器功能處從一網路功能接收包含一使用者裝備(UE)識別符及一無線連接指示符之一認證請求用的構件,致使藉由該認證器功能向一統一資料管理者(UDM)傳送包含該UE識別符及一無線連接指示符之一認證請求用的構件,在該認證器功能處從該UDM接收包含一永久UE識別符及一認證向量之一認證回應用的構件,以及儲存該認證向量之一或多個參數以供未來認證用的構件。
在一些例示性實施例中,提供一種電腦程式產品,其包含包括程式碼之一非暫時性電腦可讀媒體,該程式碼在受執行時,至少致使藉由一使用者裝備(UE)請求連至一網路實體之一無線連接,藉由該UE從該網路實體接收一身份請求,以及回應於該身份請求,致使藉由該UE向該網路實體傳送包含一UE識別符之一身份回應,使得該UE被組配用以在使用該UE識別符成功認證時與該網路實體建立一安全上下文。
在一些例示性實施例中,提供一種電腦程式產品,其包含包括程式碼之一非暫時性電腦可讀媒體,該程式碼在受執行時,至少致使在一網路實體處從一使用者裝備(UE)為連至該網路實體之一無線連接接收一請求,致使藉由該網路實體向該UE傳送一身份請求,以及回應於該身份請求,在該網路實體處從該UE接收包含一UE識別符之一身份回應,使得該網路實體被組配用以在使用該UE識別符成功認證時與該UE建立一安全上下文。
在一些例示性實施例中,提供一種電腦程式產品,其包含包括程式碼之一非暫時性電腦可讀媒體,該程式碼在受執行時,至少致使在一網路功能處為從一使用者裝備(UE)至一網路實體之一無線連接接收一請求,藉由該網路功能從該網路實體接收一UE識別符,致使藉由該網路功能向一認證功能傳送該UE識別符及一無線連接指示符,以及在使用該UE識別符成功認證時藉由該網路功能儲存接收自該認證功能之一永久UE識別符,以及將接收自該認證功能之一主金鑰發送至該網路實體。
在一些例示性實施例中,提供一種電腦程式產品,其包含包括程式碼之一非暫時性電腦可讀媒體,該程式碼在受執行時,至少致使在一認證器功能處從一網路功能接收包含一使用者裝備(UE)識別符及一無線連接指示符之一認證請求,致使藉由該認證器功能向一統一資料管理者(UDM)傳送包含該UE識別符及一無線連接指示符之一認證請求,在該認證器功能處從該UDM接收包含一永久UE識別符及一認證向量之一認證回應,以及儲存該認證向量之一或多個參數以供未來認證。
各項其他態樣亦在以下詳細說明中及所附申請專利範圍中作說明。取決於所欲組態,可在系統、設備、方法、實體、功能、及/或物品中實施上述態樣及特徵。附圖及以下說明中提出本文中所述之標的內容之一或多個變例之細節。透過本說明及圖式、以及透過申請專利範圍,本文中所述標的內容之特徵及優點將顯而易見。
本發明之一些實施例現將在下文中參照附圖更完全地作說明,其中展示本發明之一些、但非全部實施例。的確,本發明之各項實施例可採用許多不同形式來具體實現,並且不應該視為受限於本文中所提之實施例;反而,提供這些實施例是為了使本揭露滿足適用之法律要求。「或」一詞在本文中係以替代及連接詞概念使用,除非另有所指。「說明性」及「例示性」等詞僅用作實例,未指出品質等級。相似的參考符號在各處意指為相似的元件。「資料」、「內容」、「資訊」及類似用語於本文中使用時,可互換地用於意指為能夠根據本發明之某些實施例予以傳送、接收及/或儲存之資料。因此,不應使用任何此類用語來限制本發明之實施例之精神及範疇。
另外,「電路」一詞於本文中使用時,意指為(a)唯硬體電路實作態樣(例如:類比電路系統及/或數位電路系統中之實作態樣);(b)電路與包含儲存在一或多個電腦可讀記憶體上之軟體及/或韌體指令的電腦程式產品之組合,其一起運作以致使一設備進行本文中所述之一或多種功能;以及(c)即使軟體或韌體實際上不存在,也需要軟體或韌體才能操作之電路,舉例如一(諸)微處理器或一(諸)微處理器之一部分。「電路系統」之定義適用於本文中此用語之所有使用,包括申請專利範圍任何請求項中此用語之所有使用。舉進一步實例而言,「電路系統」一詞於本文中使用時,亦包括一實作態樣,該實作態樣包含一或多個處理器及/或其(諸)部分以及隨附之軟體及/或韌體。舉另一例而言,「電路系統」一詞於本文中使用時,舉例而言,亦包括用於一行動電話之一基頻積體電路或應用處理器積體電路或位在一伺服器、一蜂巢式網路裝置、其他網路裝置、及/或其他運算裝置中之一類似積體電路。
另外,「節點」、「實體」、「中間物」、「中間實體」、「中間節」等詞及類似用語可互換地用於意指為根據本發明之例示性實施例,經由有資料建立、修改、刪除、傳輸、接收、及/或儲存能力之一網路或複數個網路連接、或在其上運行之程式。因此,不應使用任何此類用語來限制本發明之實施例之精神及範疇。
另外,「使用者裝備」、「使用者裝置」、「裝置」、「設備」、「行動裝置」、「個人電腦」、「膝上型電腦」、「膝機」、「桌上型電腦」、 「桌機」、「行動電話」、「平板」、「智慧型手機」、「智慧型裝置」、「手機」、「運算裝置」、「通訊裝置」、「使用者通訊裝置」、「終端機」等詞、及類似用語可互換地用於意指為一種設備,其諸如可藉由一運算裝置來具體實現,被組配用以根據本揭露之某些實施例,至少為了通訊信號有線及/或無線傳輸之目的而存取一網路或複數個網路。因此,不應使用任何此類用語來限制本揭露之實施例之精神及範疇。
意指為一非暫時性實體儲存媒體(例如:依電性或非依電性記憶體裝置)之一「電腦可讀儲存媒體」於本文中使用時,可與意指為一電磁信號之一「電腦可讀傳輸介質」作區別。此一媒體可採取許多形式,包括、但不限於一非暫時性電腦可讀儲存媒體(例如:非依電性媒體、依電性媒體)、及傳輸介質。傳輸介質舉例而言,包括同軸電纜、銅線、光纖電纜、以及在沒有電線或纜線之情況下透過空間行進之載波,諸如聲波及電磁波,包括無線電波、光波及紅外波。信號包括透過傳輸介質傳輸之振幅、頻率、相位、極化或其他物理性質中之人為暫態變化。
非暫時性電腦可讀媒體之實例包括一磁性電腦可讀媒體(例如:一軟式磁片、硬碟、磁帶、任何其他磁性媒體)、一光學電腦可讀媒體(例如:一光碟唯讀記憶體(CD-ROM)、一數位多樣化光碟(DVD)、一藍光光碟(BD)、類似者、或以上的組合)、一隨機存取記憶體(RAM)、一可規劃唯讀記憶體(PROM)、一可抹除可規劃唯讀記憶體(EPROM)、一快閃EPROM、或一電腦可讀取之任何其他非暫時性媒體。電腦可讀儲存媒體一詞在本文中係用於意指為傳輸介質除外之任何電腦可讀媒體。然而,將了解的是,倘若將某些實施例描述為使用一電腦可讀儲存媒體,則在替代實施例中,除了該電腦可讀儲存媒體以外,其他類型之電腦可讀媒體也可予以代換或使用。
在下文中,某些實施例係參照能夠經由一無線網路進行通訊之通訊裝置、及伺服此類通訊裝置之通訊系統來解釋。在詳細解釋某些例示性實施例之前,簡要解釋一無線通訊系統以及通訊裝置之某些一般原理,以協助理解所述實例之基礎技術。
第三代合夥專案(3GPP)係一標準組織,其開發行動電話協定,並且以開發及維護各種標準而為人所知,包括第二代(2G)、第三代(3G)、第四代(4G)、長期演進(LTE)、及5G標準。4G網路系統允許NSWO (亦即,使一UE能夠經由行動網路核心基於接取認證將用戶身份模組(SIM)用於連接至一WLAN接取網路,並且將所選擇之流量卸載至該WLAN)。此為4G網路中之一部署功能,並且使4G UE能夠例如使用基於SIM之接取認證連接至一Wi-Fi場所,如一酒店或體育場 。再者,此類特徵允許將行動網路訂閱及漫遊協議用於WLAN接取,及用於將所選擇之流量卸載至WLAN,其中要卸載之流量之選擇係基於政策,並且其中卸載之流量未使用3GPP定義之實體。然而,此類能力不受目前5G規格支援,使得一UE無法使用其5G憑證(例如:SIM)連接至一WLAN接取網路,也使流量卸載至WLAN,如4G演進封包核心(EPC)中之情況。
儘管目前5G規格之問題在於不i)使UE能夠使用UE之5G憑證連接至支援NSWO之部署WLAN,以及ii)將所選擇之流量直接卸載至這些WLAN,對於5G接取認證,兩種認證方法:一可延伸認證協定認證及金鑰協定(EAP-AKA')及5G AKA透過3GPP接取及非3GPP接取都予以支援,以供接取擁有SIM之營運商或其漫遊合作夥伴之一的5G系統。目前,透過受信賴非3GPP接取用於4G NSWO之程序預期UE可採用未加密形式將其國際行動用戶身份(IMSI)發送至核心網路中之授權及歸責(AAA)伺服器。為了針對帶有一5GC中所定義憑證之使用者支援NSWO,NSWO認證程序將需要使用由5GC所提供之憑證(例如,由5GC中之統一資料管理者(UDM)/認證憑證儲存庫及處理功能所提供)。此類新NSWO認證程序還應該支援與5G系統(5GS)中相同或類似層級之安全性及隱私,使得絕不公開IMSI/訂閱永久識別符(SUPI)。因此,由於UE可由營運商使用EAP-AKA'佈建,EAP-AKA'可以是5G NSWO要採用之較佳認證方法。目前,已部署之(企業) WLAN AP僅支援透過RADIUS之EAP認證框架或對一營運商擁有之AAA的直徑介面。由於5GC能夠支援一統一認證方法,包括EAP-AKA',可延伸相同介面以支援使用相同憑證(例如:IMSI/SUPI)之NSWO。如此,將相同之EAP-AKA基礎設施重復用於NSWO認證也可向企業使用者提供等同5G之認證安全性。
如此,根據一些實施例,UE在連接至WLAN AP時需要認證才有益於NSWO,否則NSWO可能遭由受詐欺性UE誤用。詐欺性UE未認證而接取企業WLAN可消耗WLAN資源並阻止合法UE之NSWO。這可致使NSWO UE出現分散式拒絕服務(DDoS)情境。再者,如果用戶身份隱私在認證程序期間不可用,則用戶憑藉「IMSI捕手」進行之追蹤可導致可追蹤性及可連結性攻擊。在這種狀況中,且如下文詳述,5GS應支援將5GC憑證用於NSWO、以及為永久使用者識別符(IMSI/SUPI)不遭受竊聽者竊聽提供隱藏之EAP-AKA'認證方法。
本文中提供方法、設備、及電腦程式產品之一些例示性實施例,用於使UE能夠連接至部署之WLAN,其使用UE之5G憑證支援NSWO網接,諸如與4G 3GPP網路網接,並且能夠將所選擇之流量直接卸載至這些WLAN。
以舉例方式,但不是要作為限制,一例示性實施例之方法、設備及電腦程式產品將搭配一5G無線網路作說明。然而,在其他實施例中,該等方法、設備及電腦程式產品可搭配其他類型之網路加以利用。然而,為了說明性目的,圖1根據一些例示性實施例,繪示一5G無線網路100之一部分之一實例。無線網路100 (例如:5G無線網路)可包括一使用者裝備(UE) 102,UE 102被組配用以無線耦合至藉由一無線區域網路接取系統(含有一或多個WLAN AP、及/或其他類型之無線接取實體)伺服之一WLAN。無線網路(例如:5G無線網路)可包括一新網路功能:被組配用以支援NSWO認證之非無縫無線卸載網路功能(NSWO NF) 101。NSWO NF 101係連接至WLAN接取系統104,並且連接至一認證伺服器功能(AUSF) 116。亦可稱為EAP認證器之AUSF被組配用以實行UE之認證,並且為UE之認證儲存資料。圖1亦繪示連接至UDM 112之AUSF,UDM 112被組配用以儲存使用者訂閱資料、以及能夠將一訂閱消隱識別符(SUCI)解密等。
根據一些實施例,可提供一種允許在5G網路中使用基於SIM之Wi-Fi接取認證使NSWO資料流量流至公共網際網路之作法。在一些實施例中,此一作法允許將行動網路訂閱及漫遊協議用於Wi-Fi接取。此類Wi-Fi接取舉例而言,可包括支援Wi-Fi之酒店、體育場、音樂廳、建築物、或類似者,其中用以接取網際網路Wi-Fi卸載之網際網路協定(IP)連線能力需要基於SIM之認證。此類作法可包含方法、設備、系統、電腦程式產品、及/或類似者。在一些實施例中,可提供此一作法,其中向作為網路接取識別符(NAI)之部分的一訂閱消隱識別符(SUCI)提供從UE 102向亦可稱為一網路實體之WLAN接取系統104傳送之一身份回應(例如:EAP身份回應)。回應於一身份請求(例如:EAP身份請求),身份回應可從UE 102傳送至WLAN接取系統104。此類身份請求可包括對於UE憑證之一明確請求。在這種狀況中,WLAN接取系統104不需要知道NAI含有一SUCI而不含有一IMSI。SUCI係含有已消隱SUPI之隱私保存UE識別符。換句話說,SUCI係SUPI之一秘密版本。在一些實施例中,UE將一基於橢圓曲線整合式加密方案(ECIES)之保護方案,與在USIM註冊期間安全佈建至5G系統(5GS)用戶身份模組(USIM)之一本地網路之公開金鑰配合,用於產生一SUCI。
在一些實施例中,WLAN接取系統104將此SUCI轉發至NSWO NF 101,以便經由EAP程序觸發NSWO認證。在一些實施例中,SUPI係用於連至5G核心之常規3GPP接取或非3GPP接取。SUPI亦可專門用於NSWO連接。在一些實施例中,NSWO NF 101被組配用以朝向5G核心中之AUSF 116用作為一接取與行動性管理功能(AMF)代理器、以及朝向WLAN接取系統104用作為一AAA代理器以實行NSWO認證。
如圖2所示,可提供一通訊網路200,其中UE 102諸如藉由一WLAN接取系統104、網路實體、及/或類似者,移動到一不受信賴之非3GPP接取201裡或初始附接於其中。舉例而言,在一非3GPP網路的背景下,諸如圖2所示,通訊網路200可包含經由一SWa介面202連接至非3GPP接取201之一NSWO NF 101。在一些實施例中,NSWO NF 101可經由一RADIUS介面或一直徑SWa介面連接至非3GPP接取201。再者,NSWO NF 101係經由新介面Nx (5G核心介面尚未定義之名稱)連接至AUSF 116。
本文中所述之各種作法、方法、過程、程序、訊息傳遞、以及UE註冊及認證協定可藉由或使用任何適合的運算裝置來實行。舉例而言,在網路側,可提供一網路實體來實行這些程序或過程中之至少一些。舉進一步實例而言,在UE側,UE可以是或包含一設備,諸如一行動運算裝置或類似者。此類網路實體及設備之實例在本文中之下面作說明,可實行本文中所述之各種作法、方法、過程、程序、訊息傳遞、以及UE註冊協定。
圖3根據一些例示性實施例,繪示一網路實體300的一方塊圖。網路實體300舉例而言,可被組配用以提供如關於圖9所述之一或多個網路側操作。此外,一網路實體可具有複數個網路功能。舉例而言,可將網路實體併入一或多個網路實體及功能104、101、116及112,如以上參照圖1所述。
根據一些例示性實施例,網路實體300可包括一網路介面306、一處理器302、以及一記憶體304。網路介面306可包括有線及/或無線收發器,以使得能夠接取其他實體、節點、及/或功能,包括基地台、實體104、101、116及112、網際網路、功能、及/或其他實體。記憶體304可包含包括程式碼之依電性及/或非依電性記憶體,該等程式碼在受至少一個處理器302執行時,還提供本文中所揭示之過程,包括過程800及/或類似過程。
圖6根據一些例示性實施例,繪示一設備10的一方塊圖。在一些實施例中,設備10可代表一使用者裝備,諸如使用者裝備102。可在其他網路實體中實施設備10或其中之部分,該等網路實體包括基地台/WLAN接取點、功能以及其他網路實體(例如:裝置104、101、116及112)。
設備10可包括與傳送器14及接收器16通訊之至少一個天線12。替代地,傳送及接收天線可分離。設備10亦可包括被組配用以分別將信號提供至及將信號接收自該等傳送器及接收器、以及對該設備之功能進行控制之一處理器20。處理器20可被組配用以藉由向該等傳送器及接收器經由電氣引線或採用無線方式使控制傳訊生效,對該等傳送器及接收器之功能進行控制。同樣地,處理器20可被組配用以藉由經由電氣引線或採用無線方式將處理器20連接至諸如一顯示器、或一記憶體等其他元件使控制傳訊生效,對設備10之其他元件進行控制。處理器20舉例而言,可採用各種方式來具體實現,包括電路系統、至少一個處理核心、具有(諸)隨附數位信號處理器之一或多個微處理器、不具有一隨附數位信號處理器之一或多個處理器、一或多個共處理器、一或多個多核心處理器、一或多個控制器、處理電路系統、一或多個電腦、包括積體電路(例如:一特定應用積體電路(ASIC)、一可現場規劃閘陣列(FPGA)、及/或類似者)之各種其他處理元件、或以上的某種組合。因此,處理器20雖然在圖6中係繪示為單一處理器核心,其在一些例示性實施例中,仍可包含複數個處理器或處理核心。
設備10可有能力利用一或多種空氣介面標準、通訊協定、調變類型、接取類型、及/或類似者來操作。根據一適用蜂巢式系統之一空氣介面標準、及/或任何數量之不同有線或無線網路技術,包含但不限於Wi-Fi、WLAN技術,諸如電機電子工程師學會(IEEE) 802.11、802.16、802.3、ADSL、DOCSIS、及/或類似技巧,由處理器20發送及接收之信號可包括傳訊資訊。另外,這些信號可包括語音資料、使用者產生之資料、使用者請求之資料、及/或類似資料。
舉例而言,設備10及/或其中之一蜂巢式數據機可有能力根據各種通訊協定,諸如第一代(1G)通訊協定、第二代(2G或2.5G)通訊協定、第三代(3G)通訊協定、第四代(4G)通訊協定、第五代(5G)通訊協定、網際網路協定多媒體子系統(IMS)通訊協定(例如:對話發起協定(SIP))及/或類似者,來進行操作。舉例而言,設備10可有能力根據2G無線通訊協定IS-136、分時多重進接TDMA、全球行動通訊系統、GSM、IS-95、分碼多重進接、CDMA、及/或類似協定進行操作。另外,舉例而言,設備10可有能力根據2.5G無線通訊協定通用封包無線電服務(GPRS)、增強型數據GSM環境(EDGE)、及/或類似者進行操作。再者,舉例而言,設備10可有能力根據3G無線通訊協定進行操作,諸如通用移動電信系統(UMTS)、分碼多重進接2000 (CDMA2000)、寬頻分碼多重進接(WCDMA)、分時-同步分碼多重進接(TD-SCDMA)、及/或類似協定。設備10可另外有能力根據3.9G無線通訊協定進行操作,諸如長期演進技術(LTE)、演進式通用地面無線電接取網路(E-UTRAN)、及/或類似協定。另外,舉例而言,設備10可有能力根據諸如LTE進階版、5G、及/或類似者之4G無線通訊協定、以及隨後可開發之類似無線通訊協定進行操作。
據瞭解,處理器20可包括用於實施設備10之音訊/視訊及邏輯功能的電路系統。舉例而言,處理器20可包含一數位信號處理器裝置、一微處理器裝置、一類比數位轉換器、一數位類比轉換器、及/或類似裝置。設備10之控制及信號處理功能可在這些裝置之間根據其各自能力進行分配。處理器20可另外包含一內部語音寫碼器(VC) 20a、一內部資料數據機(DM) 20b、及/或類似者。再者,處理器20可包括用以操作一或多個軟體程式之功能,可將該等軟體程式儲存在記憶體中。一般而言,處理器20及所儲存軟體指令可被組配用以致使設備10進行動作。舉例而言,處理器20可有能力操作一連線程式,諸如一網頁瀏覽器。該連線程式可允許設備10根據一協定,諸如無線應用協定、WAP、超文字傳輸協定、HTTP、及/或類似協定,傳送及接收網頁內容,諸如基於位置之內容。
設備10亦可包含一使用者介面,該使用者介面舉例而言,包括一耳機或揚聲器24、一振鈴器22、一麥克風26、一顯示器28、一使用者輸入介面、及/或類似者,其可操作性耦合至處理器20。如上述,顯示器28可包括一觸敏顯示器,其中一使用者可透過觸碰及/或手勢進行選擇、輸入值、及/或類似者。處理器20亦可包括使用者介面電路系統,其被組配用以控制使用者介面之一或多個元件之至少一些功能,諸如揚聲器24、振鈴器22、麥克風26、顯示器28、及/或類似元件之至少一些功能。處理器20及/或包含處理器20之使用者介面電路系統可被組配用以透過在處理器20可存取之一記憶體上,例如在依電性記憶體40、非依電性記憶體42、及/或類似記憶體上,儲存之電腦程式指令,例如軟體及/或韌體,來控制使用者介面之一或多個元件之一或多個功能。設備10可包括一電池,用於供電給與行動終端機有關之各種電路,例如,用以提供機械振動作為一可檢測輸出之一電路。使用者輸入介面包含允許設備20接收資料之裝置,諸如一鍵板30 (其可以是顯示器28上呈現之一虛擬鍵盤、或一外部耦合鍵盤)、及/或其他輸入裝置。
如圖6所示,設備10亦可包括用於共享及/或取得資料之一或多個機制。舉例而言,設備10可包括一短距射頻(RF)收發器及/或訊問器64,因此可根據RF技術與電子裝置共享及/或從電子裝置取得資料。設備10可包括其他短距收發器,諸如一紅外線(IR)收發器66、使用BluetoothTM無線技術操作之一BluetoothTM (BT)收發器68、一無線通用串列匯流排(USB)收發器70、一BluetoothTM低能量收發器、一ZigBee收發器、一ANT收發器、一蜂巢式裝置間收發器、一無線區域鏈路收發器、及/或任何其他短距無線電技術。設備10、及尤其是短距收發器舉例而言,可有能力將資料傳送至及/或將資料接收自該設備近區內之電子裝置,諸如10公尺內之電子裝置。包括Wi-Fi或無線區域網路連結數據機之設備10亦可有能力根據各種無線網路技巧,包括6LoWpan、Wi-Fi、Wi-Fi低功率、WLAN技巧,諸如IEEE 802.11技巧、IEEE 802.15技巧、IEEE 802.16技巧、及/或類似技巧,將資料傳送及/或接收自電子裝置。
設備10可包含記憶體,諸如一用戶身份模組(SIM) 38、一可移除式使用者身份模組(R-UIM)、一通用積體電路卡(UICC)、一電子UICC (eUICC)、及/或類似者,其可儲存與一行動用戶有關之資訊元素。除了SIM以外,設備10還可包括其他可移除式及/或固定記憶體。設備10可包括依電性記憶體40及/或非依電性記憶體42。舉例而言,依電性記憶體40可包括含動態及/或靜態RAM之隨機存取記憶體(RAM)、晶片上或晶片外快取記憶體、及/或類似依電性記憶體。可嵌入及/或可移除之非依電性記憶體42舉例而言,可包括唯讀記憶體、快閃記憶體、例如硬碟、軟碟機、磁帶之磁性儲存裝置、光碟機及/或媒體、非依電性隨機存取記憶體(NVRAM)、及/或類似非依電性記憶體。與依電性記憶體40相似,非依電性記憶體42可包括用於暫時儲存資料之一快取區。可在處理器20中嵌入依電性及/或非依電性記憶體之至少一部分。該等記憶體可儲存可由該設備用於進行本文中所揭示操作之一或多個軟體程式、指令、資訊件、資料、及/或類似者。替代地或另外,該設備可被組配用以造成本文中關於基地台/WLAN接取點及包括UE之網路節點所揭示之操作。
該等記憶體可包含能夠獨特地識別設備10之一識別符,諸如一國際行動裝備識別(IMEI)碼。該等記憶體可包含能夠獨特地識別設備10之一識別符,諸如一國際行動裝備識別(IMEI)碼。在例示性實施例中,處理器20可使用儲存在記憶體40及/或42處之電腦碼來組配,以提供本文中關於基地台/WLAN存取點、及包括UE之網路節點所揭示之操作(請參照例如方法70及/或80)。
圖4為NSWO中之UE認證繪示一程序之一例示性實施例。如圖示,於元素1,在UE與WLAN AP之間建立一連接。在一些實施例中,該連接可使用基於IEEE 802.11之一特定程序來建立。如元素2中所示,WLAN AP可向UE傳送一身份請求以便認證UE。舉例而言,WLAN AP可向UE傳送一EAP身份請求。回應於身份請求,UE可憑藉包含一UE識別符或其UE憑證之一身份回應作為回應。舉例而言,並且如元素3中所示,UE以SUCI作為NAI之部分,憑藉一EAP身份回應作為回應。在一些實施例中,WLAN AP不需要知道NAI含有一SUCI而不含有一IMSI。如元素4中所示,WLAN AP (或WLAN接取系統104之一專屬元素)向一新網路實體發送帶有一EAP身份回應之一SWa協定訊息。舉例而言,新網路實體係一NSWO網路功能。在一些實施例中,EAP身份回應可透過一半徑介面或一直徑介面來發送。在這項例示性實施例中,NAI包括使用者識別符(例如:SUCI)。在例示性實施例中,新網路實體NSWO NF朝向AUSF當作一AMF代理器。在另一項實施例中,NSWO NF朝向WLAN接取點當作一AAA代理器。如元素5中所示,NSWO NF朝向AUSF發送帶有SUCI及NSWO指示符之訊息Nausf_UEAuthentication_Authenticate Request。在一些實施例中,NSWO_indicator輸送為非無縫WLAN卸載目的觸發認證程序之資訊。如元素6中所示,AUSF (即EAP認證器)向UDM發送一Nudm_UEAuthentication_Get Request,包括SUCI及NSWO指示符。在接收到Nudm_UEAuthentication_Get Request後,UDM便從SUCI調用SUPI之一去消隱。換句話說,UDM觸發用戶身份去消隱功能(SIDF),其係UDM之一功能元件,負責在UDM可處理無線連接註冊請求之前,解密SUCI以透露UE之SUPI。如元素7中所示,UDM可接著產生一認證向量,諸如EAP AKA'認證向量(RAND、AUTN、XRES、CK'及IK'),並在諸如Nudm_UEAuthentication_Get Response訊息之一認證回應訊息中,連同SUPI將認證參數傳送至AUSF。在一些實施例中,AUSF儲存至少一個參數,諸如預期結果(XRES)以供未來驗證。
如元素8中所示,AUSF在一Nausf_UEAuthentication_Authenticate Response訊息中向NSWO NF傳送一認證詰問訊息,諸如EAP-Request/AKA'-Challenge訊息。之後且如元素9中所示,NSWO NF向WLAN AP (或向WLAN接取系統104之一專屬元素)發送帶有EAP-Request/AKA'-Challenge訊息之SWa協定訊息。WLAN AP將接著向UE轉發相同之認證詰問訊息,諸如EAP-Request/AKA'-Challenge訊息,如元素10所示。在一些實施例中且如元素11中所示,在接收到RAND及AUTN時,UE之USIM藉由檢查是否可接受AUTN來驗證AV'之新近度,如TS 33.102中所述。若如此,USIM運算一回應。USIM可接著向ME回傳諸如RES、CK、IK之參數。ME可根據TS 33.501附件A.3推導CK'及IK'。如果USIM上AUTN驗證失敗,則USIM及ME如TS 33.501子條項6.1.3.3中所述繼續進行。
如元素12中所示,UE可向WLAN AP傳送EAP-Response/AKA'-Challenge訊息,並且在元素13中,WLAN AP (或WLAN接取系統104之一專屬元件)在SWa協定訊息中向NSWO NF轉發EAP-Response/AKA'-Challenge訊息。NSWO NF將向AUSF傳送帶有EAP-Response/AKA'-Challenge訊息之Nausf_UEAuthentication_Authenticate Request,如元素14中所示。AUSF可驗證接收到之回應與儲存且預期之回應XRES是否不同,如元素15中所示。如果AUSF已成功驗證接收到之回應,則將如下進入元素16,否則將向NSWO NF回傳一錯誤。AUSF將接著向UDM通知認證結果,如TS 33.501子條項6.1.4中所述。AUSF推導所需之主金鑰KNSWO,如下文在圖5中所述且如元素16所示,AUSF向NSWO NF發送帶有EAP-success、主金鑰及SUPI之Nausf_UEAuthentication_Authenticate Response訊息。在一些實施例中,NSWO NF可儲存SUPI。如元素17a所示,NSWO NF向WLAN AP (或向WLAN接取系統104之一專屬元件)傳送帶有EAP-success及主金鑰之一SWa協定訊息。EAP-success訊息係從WLAN AP轉發至UE,如元素17b所示。在一些實施例中,SWa上之主金鑰(MSK)亦可藉由NSWO NF來確定。如元素18a中所示,WLAN金鑰係在UE及WLAN AP中獨立產生。之後,執行一4方交握(請參閱IEEE 802.11),其在WLAN AP與UE之間建立一安全上下文,如元素18b所示。最後且如元素19中所示,NSWO NF亦可任選地向UDM註冊(用於已認證之UE之NSWO服務)。如果訂閱取消,則UDM可朝向NSW發送一撤銷註冊通知。如果從UDM接收到撤銷註冊通知,則NSWO NF將朝向WLAN觸發一非3GPP接取網路發起之工作階段終止(如TS 29.273條項5.2.2.4中所述)。
在一些實施例中,可需要在網路實體及UE中產生新主金鑰或錨金鑰(例如:NSWO金鑰)。圖5繪示網路實體UDM/ARPF及AUSF中之金鑰推導。如圖5所示,CK'、IK'、KAUSF之金鑰推導與TS 33.501條項6.2.2中所述維持相同,差別在於使用SN名稱。金鑰KNSWO係從金鑰KAUSF、達成一致之SN名稱及AUSF中之SUPI產生。在一些實施例中,向NSWO NF分享產生之KNSWO金鑰。
伺服網路名稱係用於NSWO金鑰之推導。在一些實施例中,伺服網路名稱係攜載於以下之欄位/功能中:IETF RFC 5448 bis中定義之AT_KDF_INPUT屬性之網路名稱欄位中;如3GPP TS 33.501附件A中規定之KAUSF推導函數中;及/或如3GPP TS 33.501附件A中規定之RES*及XRES*推導函數中。在一些實施例中,伺服網路名稱係一服務碼及SN Id之串連,使得服務碼在SN Id前面加上一分隔字元「:」。例如,SN Id = PLMN ID:NID。對於獨立之非公共網路,輸入中用於各種金鑰/參數推導之SN Id對伺服SNPN進行識別,並且在TS 24.501 [35]中有詳細規定。SN Id識別伺服PLMN或伺服SNPN。由於NSWO認證程序流程中未考量伺服網路,主金鑰/錨金鑰產生及回應產生未考量本地網路PLMN或預設伺服網路值。如果使用的是一預設伺服網路名稱,則其必須相互預先達成一致並在網路及UE兩者中都獨立使用。以一公共網路來說明,SNN-PLMN-ID中之MCC及MNC係本地網路PLMN之MCC及MNC。如果本地網路或預設伺服網路PLMN之MNC有兩位數,則在開頭新增一零。以一私人網路來說明,SNN-SNPN-ID中之MCC及MNC係本地網路SNPN之MCC及MNC。如果本地網路或預設伺服網路SNPN之MNC有兩位數,則在開頭新增一零。另外或替代地,NSWO NF亦可在經由WLAN AP從UE接收一認證請求期間,向AUSF提供一預設伺服網路名稱,諸如「WLAN」或「NSWO WLAN」。UE亦將經由組態知道要使用之此類預設伺服網路名稱。另外或替代地,UE正嘗試抵達之WLAN接取點之SSID可用作為一伺服網路名稱。
現請參照圖5,主/錨金鑰推導係繪示在網路實體中,例如實體UDM/ARPF、AUSF及NSWO NF。與4G相似,5G亦支援相互認證,其中網路對UE (例如:用戶)進行認證,且UE用戶對網路進行認證(例如,其判斷與之通訊之網路是否對本地網路中產生之一有效認證向量具有存取權)。這是藉由將伺服網路名稱(例如:「達成一致之SN名稱」)新增到本地網路中UDM/ARPF兩者處之一KDF (金鑰推導函數)裡、AUSF裡、以及如圖7所示在UE本身中來實現。在一例示性實施例中並且如圖5所示,主/錨金鑰(例如:金鑰KNSWO)係產生自金鑰KAUSF、達成一致之SN名稱及AUSF中之SUPI。
圖7繪示UE中之KNSWO金鑰推導。在一些實施例中,CK'、IK'、KAUSF之金鑰推導與TS 33.501條項6.2.2中所述維持相同,差別在於使用SN名稱。如圖7所示,金鑰KNSWO係從金鑰KAUSF、達成一致之SN名稱及ME中之SUPI產生。另外且在一些實施例中,向NSWO NF分享產生之KNSWO金鑰。有了KNSWO金鑰,現有可能對UE與網路實體之間的NAS信令進行安全保護。再者,這確保為了認證成功,從本地網路請求認證向量之受訪網路與在認證程序期間與裝置實際連接之網路相同。
圖8繪示藉由UE用於無線通訊之一方法800。該方法包含於802藉由一使用者裝備(UE)請求連至一網路實體之一無線連接。在一例示性實施例中,該無線連接係在一可延伸認證協定(EAP)程序期間連至該網路實體之一非無縫無線卸載(NSWO)連接。該請求802可使用包含構件之任何適合的設備來實行,例如,包含一或多個處理器及一或多個記憶體之一設備、網路介面306、傳送器14、設備10、一行動電話、或類似者。該方法更包含於804藉由該UE從該網路實體接收一身份請求。該身份請求係一EAP-ID-Request。該接收804可使用包含構件之任何適合的設備來實行,例如,包含一或多個處理器及一或多個記憶體之一設備、網路介面306、一接收器16、設備10、一行動電話、包含一接收器-詢答機或其他適合的通訊裝置之一運算裝置、或類似者。該方法更包含於806回應於該身份請求,致使藉由該UE向該網路實體傳送包含一UE識別符之一身份回應,使得該UE被組配用以在使用該UE識別符成功認證時與該網路實體建立一安全上下文。一例示性實施例之該UE識別符係用於連至一第五代核心(5GC)之常規第三代合夥專案(3GPP)接取或非3GPP接取的一訂閱消隱識別符(SUCI)。再者,一例示性實施例之該UE識別符當作用於該NSWO連接中之一5GC憑證。該致使傳送806可使用包含構件之任何適合的設備來實行,例如,包含一或多個處理器及一或多個記憶體之一設備、網路介面306、傳送器14、設備10、一行動電話、包含一接收器-詢答機或其他適合的通訊裝置之一運算裝置、或類似者。該身份回應可以是一EAP-ID-Response,並且EAP-ID-Response之NAI可包括SUCI而不是與UE相關聯之一IMSI。
圖9繪示用於無線通訊之一方法900。該方法包含於902在一網路實體處從一使用者裝備(UE)為連至該網路實體之一無線連接接收一請求。在一例示性實施例中,該無線連接係在一可延伸認證協定(EAP)程序期間連至該網路實體之一非無縫無線卸載(NSWO)連接。該接收902可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、一網路介面306、接收器16、網路實體300、WLAN AP 104、包含一無線接收器之一網絡實體、或類似者。該方法更包含於904致使藉由該網路實體向該UE傳送一身份請求。該身份請求可以是一EAP-ID-Request。該致使傳送904可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、一網路介面306、傳送器14、網路實體300、WLAN AP 104、包含一無線接收器之一網絡實體、或類似者。該方法更包含於906回應於該身份請求,在該網路實體處從該UE接收包含一UE識別符之一身份回應,使得該網路實體被組配用以在使用該UE識別符成功認證時與該UE建立一安全上下文。該身份回應可以是一EAP-ID-Response。一項實施例之該UE識別符係用於連至一第五代核心(5GC)之常規第三代合夥專案(3GPP)接取或非3GPP接取的一訂閱消隱識別符(SUCI)。再者,一例示性實施例之該UE識別符當作用於該NSWO連接中之一5GC憑證。該接收906可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、接收器16、網路實體300、WLAN AP 104、包含一無線接收器之一網絡實體、或類似者。
該方法更包含致使藉由該網路實體向一網路功能傳送該身份回應。該網路功能可以是一NSWO網路功能,其被組配用以朝向一第五代核心(5GC)中之一認證伺服器功能(AUSF)用作為一接取與行動性管理功能(AMF)代理器,並且朝向該無線連接用作為一認證、授權、及歸責(AAA)代理器。該致使藉由該網路實體向一網路功能傳送該身份回應可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、傳送器14、網路實體300、WLAN AP 104、包含一無線接收器之一網絡實體、或類似者。該方法更包含在該網路實體處從該網路功能接收一認證詰問訊息。一例示性實施例之該認證詰問訊息係一EAP-Request/AKA'-Challenge訊息。該方法更包含致使藉由該網路實體向該UE傳送該認證詰問訊息。該等接收及致使傳送該認證詰問訊息可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、一網路介面306、傳送器14、網路實體300、WLAN AP 104、包含一無線接收器之一網絡實體、或類似者。該方法更包含致使回應於使用該UE識別符成功認證,藉由該網路實體向該UE傳送一成功訊息。該成功訊息可以是一EAP-Success訊息。該致使回應於使用該UE識別符成功認證,藉由該網路實體向該UE傳送一成功訊息可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、傳送器14、網路實體300、WLAN AP 104、包含一無線接收器之一網絡實體、或類似者。
圖10繪示用於無線通訊之一方法1000。該方法包含於1002在一網路功能處從一使用者裝備(UE)為連至一網路實體之一無線連接接收一請求。該無線連接係例如在一可延伸認證協定(EAP)程序期間連至該網路實體之一非無縫無線卸載(NSWO)連接。該接收1002可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、接收器16、網路實體300、NSWO NF 101、包含一無線接收器之一網絡實體、或類似者。該方法更包含於1004藉由該網路功能,從該網路實體接收一UE識別符。該接收1004可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、接收器16、網路實體300、NSWO NF 101、包含一無線接收器之一網絡實體、或類似者。在一例示性實施例中,該UE識別符係用於連至一第五代核心(5GC)之常規第三代合夥專案(3GPP)接取或非3GPP接取的一訂閱消隱識別符(SUCI)。再者,該UE識別符可當作用於該NSWO連接中之一5GC憑證。該方法更包含致使藉由該網路功能向一認證功能傳送該UE識別符及一無線連接指示符1006。該致使傳送1006可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、傳送器14、網路實體300、NSWO NF 101、包含一無線接收器之一網絡實體、或類似者。該方法更包含於1008在使用該UE識別符成功認證時藉由該網路功能儲存接收自該認證功能之一永久UE識別符,以及將接收自該認證功能之一主金鑰發送至該網路實體。該儲存1008可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路實體300、NSWO NF 101、包含一無線接收器之一網絡實體、或類似者。一項例示性實施例之該永久UE識別符係推導自該UE識別符之一訂閱永久識別符(SUPI)。該無線連接指示符指出一可延伸認證協定(EAP)程序係為了非無縫無線卸載(NSWO)連接目的而觸發。該認證功能被組配用以使用該無線連接指示符確定一認證類型,並且根據該認證類型為了NSWO連接目的而觸發該EAP程序。該方法更包含將接收自該認證功能之一主金鑰發送至該網路實體。該方法更包含致使藉由該網路功能向一統一資料管理者(UDM)傳送用於註冊該UE之一註冊請求訊息。該致使藉由該網路功能向一統一資料管理者(UDM)傳送用於註冊該UE之一註冊請求訊息可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、傳送器14、網路實體300、NSWO NF 101、包含一無線接收器之一網絡實體、或類似者。該註冊請求訊息可以是一Nudm_UECM_Registration請求。
該方法更包含在該網路功能處從該UDM接收到用於撤銷註冊該UE之一撤銷註冊訊息時,觸發連至該網路實體之該無線連接的一終止。該在該網路功能處從該UDM接收到用於撤銷註冊該UE之一撤銷註冊訊息時以供觸發連至該網路實體之該無線連接的一終止可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、接收器16、網路實體300、NSWO NF 101、包含一無線接收器之一網絡實體、或類似者。撤銷註冊請求訊息可以是一Nudm_UECM_DeregistrationNotification請求。在一例示性實施例中,該網路功能被組配用以朝向一第五代核心(5GC)中之一認證伺服器功能(AUSF)用作為一接取與行動性管理功能(AMF)代理器,並且朝向該無線連接用作為一認證、授權、及歸責(AAA)代理器。
圖11繪示用於無線通訊之一方法1100。該方法包含於1102在一認證器功能處從一網路功能接收包含一使用者裝備(UE)識別符及一無線連接指示符之一認證請求。該無線連接係諸如在一可延伸認證協定(EAP)程序期間連至該網路實體之一非無縫無線卸載(NSWO)連接。該接收1102可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、接收器16、網路實體300、AUSF 116、包含一無線接收器之一網絡實體、或類似者。該方法更包含於1104致使藉由該認證器功能向一統一資料管理者(UDM)傳送包含該UE識別符及一無線連接指示符之一認證請求。該認證請求可以是一Nausf_UEAuthentication_Authenticate請求。在一例示性實施例中,該UE識別符係用於連至一第五代核心(5GC)之常規第三代合夥專案(3GPP)接取或非3GPP接取的一訂閱消隱識別符(SUCI)。再者,該UE識別符可當作用於該NSWO連接中之一5GC憑證。這項例示性實施例之該無線連接指示符指出一可延伸認證協定(EAP)程序係為了非無縫無線卸載(NSWO)連接目的而觸發。該致使傳送1104可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、傳送器14、網路實體300、AUSF 116、包含一無線接收器之一網絡實體、或類似者。該方法更包含於1106在該認證器功能處從該UDM接收包含一永久UE識別符及一認證向量之一認證回應。該認證回應可以是一Nausf_UEAuthentication_Authenticate回應。該接收1106可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、接收器16、網路實體300、AUSF 116、包含一無線接收器之一網絡實體、或類似者。在一例示性實施例中,該UE識別符係一訂閱消隱識別符(SUCI),並且該永久UE識別符係推導自該SUCI之一訂閱永久識別符SUPI。該網路功能可被組配用以朝向一第五代核心(5GC)中之一認證伺服器功能(AUSF)用作為一接取與行動性管理功能(AMF)代理器,並且朝向該無線連接用作為一認證、授權、及歸責(AAA)代理器。該方法更包含於1108儲存該認證向量之一或多個參數以供未來認證。該儲存1108可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路實體300、AUSF 116、包含一無線接收器之一網絡實體、或類似者。
該方法更包含致使藉由該認證器功能向該網路功能傳送一認證詰問訊息。該致使藉由該認證器功能向該網路功能傳送一認證詰問訊息可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、傳送器14、網路實體300、AUSF 116、包含一無線接收器之一網絡實體、或類似者。該方法更包含在該認證器功能處判斷對該認證詰問訊息之一回應是否有效。該在該認證器功能處判斷對該認證詰問訊息之一回應是否有效可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路實體300、AUSF 116、包含一無線接收器之一網絡實體、或類似者。如果有效,則該方法更包含致使該認證器功能向該網路功能傳送包含一主金鑰及一永久UE識別符之一成功訊息。致使傳送該成功訊息可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、傳送器14、網路實體300、AUSF 116、包含一無線接收器之一網絡實體、或類似者。該主金鑰係至少部分基於由該網路功能提供之一伺服網路名稱由於一金鑰推導過程而建立。如果非有效,則該方法更包含致使該認證器功能向該網路功能傳送指出不允許無線連接至該網路實體之一不成功訊息。致使傳送該不成功訊息可使用包含構件之任何適合的網路實體來實行,例如,包含一或多個處理器及一或多個記憶體之一網路實體、網路介面306、傳送器14、網路實體300、AUSF 116、包含一無線接收器之一網絡實體、或類似者。
如上述,參照之方法流程圖可根據包含電腦程式碼之相關電腦程式產品藉由一設備來實行。將瞭解的是,流程圖之各程序塊以及流程圖中諸程序塊之組合可藉由各種手段來實施,諸如硬體、韌體、處理器、電路系統、及/或與執行包括一或多個電腦程式指令之軟體相關聯之其他裝置。舉例而言,上述程序中之一或多者可藉由電腦程式指令來具體實現。關於這點,具體實現上述程序之電腦程式指令可藉由一設備,例如10,之一記憶體裝置,例如40及42,來儲存,其運用本發明之一實施例,並且藉由該設備之處理器,例如20,來執行。如將會了解的是,可將任何此類電腦程式指令載入到一電腦或其他可規劃設備(例如:硬體)上,以產生一機器,使得所產生之電腦或其他可規劃設備實施流程圖程序塊中指定之功能。亦可將這些電腦程式指令儲存在可引導一電腦或其他可規劃設備以一特定方式起作用之一電腦可讀記憶體中,使得儲存在電腦可讀記憶體中之指令產生一製品,其執行實施流程圖程序塊中指定之功能。亦可將電腦程式指令載入到一電腦或其他可規劃設備上,用於在電腦或其他可規劃設備上進行一系列操作以產生一電腦實施過程,使得在電腦或其他可規劃設備上執行之指令提供操作以實施流程圖程序塊中指定之功能。
在一些進一步例示性實施例中,提供一種電腦程式產品,該電腦程式產品可藉由一設備(例如:網路實體300)或一其組件來儲存或儲存於其上。該電腦碼可由一設備(例如:網路實體300)執行。因此,將一電腦程式產品定義在那些例子中,其中諸如電腦可讀程式碼部分之電腦程式指令係藉由至少一個非暫時性電腦可讀儲存媒體來儲存,該至少一個非暫時性電腦可讀儲存媒體帶有電腦程式指令,諸如電腦可讀程式碼部分,其被組配用以一經執行便進行上述功能。在其他實施例中,諸如電腦可讀程式碼部分等電腦程式指令不需要藉由一非暫時性電腦可讀儲存媒體來儲存或按其他方式具體實現,但可改為藉由一暫時性媒體來具體實現,該暫時性媒體帶有電腦程式指令,諸如電腦可讀程式碼部分,其仍然被組配用以一經執行便進行上述功能。
因此,流程圖之程序塊支援用於進行所指定功能之構件組合以及用於進行所指定功能之操作組合。亦將瞭解的是,流程圖之一或多個程序塊、以及流程圖中之程序塊之組合可藉由進行指定功能之特殊用途硬體式電腦系統、或特殊用途硬體與電腦指令之組合來實施。
在一些實施例中,可修改或進一步放大以上操作、方法、步驟、過程、設備、或類似者中之某些。再者,在一些實施例中,可包括附加任選操作、方法、步驟、過程、硬體、或類似者。對以上操作之修改、新增、扣減、倒數、相關性、比例關係、不成比例關係、衰減及/或、或放大可依照任何順序及依照任何組合來進行。還將了解的是,在特定操作、方法、過程、或類似者需要特定硬體之例子中,此類硬體可視為用於任何此類實施例之設備200之部分。
所屬技術領域中具有通常知識者將想到本文中所提本發明之許多修改及其他實施例,這些發明所涉及之該等修改及其他實施例受益於前述說明及相關聯圖式中介紹之教示。因此,要瞭解的是,本發明並不受限於所揭示之特定實施例,而且修改及其他實施例旨在被包括在隨附申請專利範圍之範疇內。
此外,雖然前述說明及相關聯圖式在元件及/或功能之某些例示性組合之背景下說明某些例示性實施例,應了解的是,仍可藉由替代實施例提供元件及/或功能之不同組合,但不會脫離隨附申請專利範圍之範疇。關於這點,舉例而言,與以上明確所述不同之元件及/或功能組合亦得以思忖為可在隨附申請專利範圍之一些請求項中提出。雖然本文中運用特定用語,其仍僅係以一通用性及描述性概念加以使用,並非為了限制之目的而使用。
10:設備 12:天線 14:傳送器 16:接收器 20,302:處理器 20a:內部語音寫碼器 20b:內部資料數據機 22:振鈴器 24:揚聲器 26:麥克風 28:顯示器 30:鍵板 38:用戶身份模組 40:依電性記憶體 42:非依電性記憶體 64:短距射頻(RF)收發器及/或訊問器 66:紅外線(IR)收發器 68:藍牙TM(BT)收發器 70:無線通用串列匯流排(USB)收發器 100:5G無線網路 101:NSWO NF 102:UE 104:WLAN接取系統 112:UDM 116:AUSF 200:通訊網路 201:不受信賴之非3GPP接取 202:SWa介面 300:網路實體 304:記憶體 306:網路介面 800,900,1000,1100:方法 802,804,806,902,904,906,1002,1004,1006,1008,1102,1104,1106,1108:步驟
因此,已採用一般用語說明本揭露之某些例示性實施例,現將參照附圖,其不必然按照比例繪示,並且其中:
圖1根據一些例示性實施例,繪示一5G無線網路之一部分之一實例;
圖2根據一些例示性實施例,為包含網路實體之一通訊網路繪示一例示性架構;
圖3根據一些例示性實施例,繪示一設備之一實例;
圖4係一流程圖,其根據一些例示性實施例,繪示網路實體之間經由一網路基礎設施之信令;
圖5根據一些例示性實施例,繪示一網路實體中之例示性金鑰推導操作;
圖6根據一些例示性實施例,繪示一設備之一實例;
圖7根據一些例示性實施例,繪示一UE中之例示性金鑰推導操作;
圖8係一流程圖,其繪示根據一些例示性實施例進行之例示性操作,諸如藉由一UE或網路實體進行之例示性操作;
圖9係一流程圖,其繪示根據一些例示性實施例進行之例示性操作,諸如藉由一UE或網路實體進行之例示性操作;
圖10係一流程圖,其繪示根據一些例示性實施例進行之例示性操作,諸如藉由一UE或網路實體進行之例示性操作;以及
圖11係一流程圖,其繪示根據一些例示性實施例進行之例示性操作,諸如藉由一UE或網路實體進行之例示性操作。
800:過程
802,804,806:步驟

Claims (58)

  1. 一種方法,其包含: 藉由一使用者裝備(UE)請求連至一網路實體之一無線連接; 藉由該UE從該網路實體接收一身份請求;以及 回應於該身份請求,致使藉由該UE向該網路實體傳送包含一UE識別符之一身份回應,使得該UE被組配用以在使用該UE識別符成功認證時與該網路實體建立一安全上下文。
  2. 如請求項1之方法,其中該無線連接係在一可延伸認證協定(EAP)程序期間連至該網路實體之一非無縫無線卸載(NSWO)連接。
  3. 如請求項1或2之方法,其中該UE識別符係用於連至一第五代核心(5GC)之常規第三代合夥專案(3GPP)接取或非3GPP接取的一訂閱消隱識別符(SUCI)。
  4. 如請求項1至3中任一項之方法,其中該UE識別符當作用於該NSWO連接中之一5GC憑證。
  5. 一種方法,其包含: 在一網路實體處從一使用者裝備(UE)為連至該網路實體之一無線連接接收一請求; 致使藉由該網路實體向該UE傳送一身份請求;以及 回應於該身份請求,在該網路實體處從該UE接收包含一UE識別符之一身份回應,使得該網路實體被組配用以在使用該UE識別符成功認證時與該UE建立一安全上下文。
  6. 如請求項5之方法,其更包含: 致使藉由該網路實體向一網路功能傳送該身份回應; 在該網路實體處從該網路功能接收一認證詰問訊息; 致使藉由該網路實體向該UE傳送該認證詰問訊息;以及 致使回應於使用該UE識別符成功認證,藉由該網路實體向該UE傳送一成功訊息。
  7. 如請求項5或6之方法,其中該網路功能被組配用以朝向一第五代核心(5GC)中之一認證伺服器功能(AUSF)用作為一接取與行動性管理功能(AMF)代理器,並且朝向該無線連接用作為一認證、授權、及歸責(AAA)代理器。
  8. 如請求項5至7中任一項之方法,其中該無線連接係使用一可延伸認證協定(EAP)程序連至該網路實體之一非無縫無線卸載(NSWO)連接。
  9. 如請求項5至8中任一項之方法,其中該UE識別符係一訂閱消隱識別符(SUCI)。
  10. 如請求項5至9中任一項之方法,其中該UE識別符當作用於該NSWO連接中之一5GC憑證。
  11. 一種方法,其包含: 藉由一網路功能,從一網路實體接收一UE識別符; 致使藉由該網路功能向一認證功能傳送該UE識別符及一無線連接指示符;以及 在使用該UE識別符成功認證後,將接收自該認證功能之一主金鑰發送至該網路實體。
  12. 如請求項11之方法,其更包含藉由該網路功能儲存接收自該認證功能之一永久UE識別符,其中該永久UE識別符係推導自該UE識別符之一訂閱永久識別符(SUPI)。
  13. 如請求項11或12之方法,其中該無線連接指示符指出一可延伸認證協定(EAP)程序係為了非無縫無線卸載(NSWO)連接目的而觸發。
  14. 如請求項11至13中任一項之方法,其中該認證功能被組配用以使用該無線連接指示符確定一認證類型,並且根據該認證類型為了NSWO連接目的而觸發該EAP程序。
  15. 如請求項11至14中任一項之方法,其更包含: 致使藉由該網路功能向一統一資料管理者(UDM)傳送用於註冊該UE之一註冊請求訊息;以及 在該網路功能處從該UDM接收到用於撤銷註冊該UE之一撤銷註冊訊息時,觸發連至該網路實體之該無線連接的一終止。
  16. 如請求項11至15中任一項之方法,其更包含: 在該網路功能處接收該主金鑰及該SUPI,其中該主金鑰係至少部分基於由該網路功能提供之一伺服網路名稱由於一金鑰推導過程而建立。
  17. 如請求項11至16中任一項之方法,其中該網路功能被組配用以朝向一第五代核心(5GC)中之一認證伺服器功能(AUSF)用作為一接取與行動性管理功能(AMF)代理器,並且朝向該無線連接用作為一認證、授權、及歸責(AAA)代理器。
  18. 如請求項11至17中任一項之方法,其中該UE識別符係一訂閱消隱識別符(SUCI)。
  19. 如請求項11至18中任一項之方法,其中該UE識別符當作用於該NSWO連接中之一5GC憑證。
  20. 一種方法,其包含: 在一認證器功能處從一網路功能接收包含一使用者裝備(UE)識別符及一無線連接指示符之一認證請求; 致使藉由該認證器功能向一統一資料管理者(UDM)傳送包含該UE識別符及一無線連接指示符之一認證請求; 在該認證器功能處從該UDM接收包含一永久UE識別符及一認證向量之一認證回應;以及 儲存該認證向量之一或多個參數以供未來認證。
  21. 如請求項20之方法,其更包含: 致使藉由該認證器功能向該網路功能傳送一認證詰問訊息; 在該認證器功能處判斷對該認證詰問訊息之一回應是否有效; 如果有效,則致使藉由該認證器功能向該網路功能傳送包含一主金鑰及一永久UE識別符之一成功訊息;以及 如果非有效,則致使藉由該認證器功能向該網路功能傳送指出不允許無線連接至該網路實體之一不成功訊息。
  22. 如請求項21之方法,其中該主金鑰係至少部分基於由該網路功能提供之一伺服網路名稱由於一金鑰推導過程而建立。
  23. 如請求項20至22中任一項之方法,其中該網路功能被組配用以朝向一第五代核心(5GC)中之一認證伺服器功能(AUSF)用作為一接取與行動性管理功能(AMF)代理器,並且朝向該無線連接用作為一認證、授權、及歸責(AAA)代理器。
  24. 如請求項20至23中任一項之方法,其中該UE識別符係一訂閱消隱識別符(SUCI),並且該永久UE識別符係推導自該SUCI之一訂閱永久識別符(SUPI)。
  25. 如請求項20至24中任一項之方法,其中該UE識別符當作用於該NSWO連接中之一5GC憑證。
  26. 一種設備,其包含: 藉由一使用者裝備(UE)請求連至一網路實體之一無線連接用的構件; 藉由該UE從該網路實體接收一身份請求用的構件;以及 回應於該身份請求,致使藉由該UE向該網路實體傳送包含一UE識別符之一身份回應,使得該UE被組配用以在使用該UE識別符成功認證時與該網路實體建立一安全上下文用的構件。
  27. 如請求項26之設備,其中該無線連接係在一可延伸認證協定(EAP)程序期間連至該網路實體之一非無縫無線卸載(NSWO)連接。
  28. 如請求項26或27之設備,其中該UE識別符係用於連至一第五代核心(5GC)之常規第三代合夥專案(3GPP)接取或非3GPP接取的一訂閱消隱識別符(SUCI)。
  29. 如請求項26至28中任一項之設備,其中該UE識別符當作用於該NSWO連接中之一5GC憑證。
  30. 一種設備,其包含: 在一網路實體處從一使用者裝備(UE)為連至該網路實體之一無線連接接收一請求用的構件; 致使藉由該網路實體向該UE傳送一身份請求用的構件;以及 回應於該身份請求,在該網路實體處從該UE接收包含一UE識別符之一身份回應,使得該網路實體被組配用以在使用該UE識別符成功認證時與該UE建立一安全上下文用的構件。
  31. 如請求項320之設備,其更包含: 致使藉由該網路實體向一網路功能傳送該身份回應用的構件; 在該網路實體處從該網路功能接收一認證詰問訊息用的構件; 致使藉由該網路實體向該UE傳送該認證詰問訊息用的構件;以及 致使回應於使用該UE識別符成功認證,藉由該網路實體向該UE傳送一成功訊息用的構件。
  32. 如請求項30或31之設備,其中該網路功能被組配用以朝向一第五代核心(5GC)中之一認證伺服器功能(AUSF)用作為一接取與行動性管理功能(AMF)代理器,並且朝向該無線連接用作為一認證、授權、及歸責(AAA)代理器。
  33. 如請求項30至32中任一項之設備,其中該無線連接係使用一可延伸認證協定(EAP)程序連至該網路實體之一非無縫無線卸載(NSWO)連接。
  34. 如請求項30至33中任一項之設備,其中該UE識別符係一訂閱消隱識別符(SUCI)。
  35. 如請求項30至34中任一項之設備,其中該UE識別符當作用於該NSWO連接中之一5GC憑證。
  36. 一種設備,其包含: 藉由一網路功能,從一網路實體接收一UE識別符用的構件; 致使藉由該網路功能向一認證功能傳送該UE識別符及一無線連接指示符用的構件;以及 在使用該UE識別符成功認證後,將來自該認證功能之一主金鑰發送至該網路實體用的構件。
  37. 如請求項36之設備,其更包含在使用該UE識別符成功認證時藉由該網路功能儲存接收自該認證功能之一永久UE識別符用的構件,並且其中該永久UE識別符係推導自該UE識別符之一訂閱永久識別符(SUPI)。
  38. 如請求項36或37之設備,其中該無線連接指示符指出一可延伸認證協定(EAP)程序係為了非無縫無線卸載(NSWO)連接目的而觸發。
  39. 如請求項36至38中任一項之設備,其中該認證功能被組配用以使用該無線連接指示符確定一認證類型,並且根據該認證類型為了NSWO連接目的而觸發該EAP程序。
  40. 如請求項36至39中任一項之設備,其更包含: 致使藉由該網路功能向一統一資料管理者(UDM)傳送用於註冊該UE之一註冊請求訊息用的構件;以及 在該網路功能處從該UDM接收到用於撤銷註冊該UE之一撤銷註冊訊息時,觸發連至該網路實體之該無線連接的一終止用的構件。
  41. 如請求項36至40中任一項之設備,其更包含: 在該網路功能處接收該主金鑰及該SUPI用的構件,其中該主金鑰係至少部分基於由該網路功能提供之一伺服網路名稱由於一金鑰推導過程而建立。
  42. 如請求項36至41中任一項之設備,其中該網路功能被組配用以朝向一第五代核心(5GC)中之一認證伺服器功能(AUSF)用作為一接取與行動性管理功能(AMF)代理器,並且朝向該無線連接用作為一認證、授權、及歸責(AAA)代理器。
  43. 如請求項36至42中任一項之設備,其中該UE識別符係一訂閱消隱識別符(SUCI)。
  44. 如請求項36至43中任一項之設備,其中該UE識別符當作用於該NSWO連接中之一5GC憑證。
  45. 一種設備,其包含: 在一認證器功能處從一網路功能接收包含一使用者裝備(UE)識別符及一無線連接指示符之一認證請求用的構件; 致使藉由該認證器功能向一統一資料管理者(UDM)傳送包含該UE識別符及一無線連接指示符之一認證請求用的構件; 在該認證器功能處從該UDM接收包含一永久UE識別符及一認證向量之一認證回應用的構件;以及 儲存該認證向量之一或多個參數以供未來認證用的構件。
  46. 如請求項45之設備,其更包含: 致使藉由該認證器功能向該網路功能傳送一認證詰問訊息用的構件; 在該認證器功能處判斷對該認證詰問訊息之一回應是否有效用的構件; 如果有效,致使藉由該認證器功能向該網路功能傳送包含一主金鑰及該永久UE識別符之一成功訊息用的構件;以及 如果非有效,致使藉由該認證器功能向該網路功能傳送指出不允許無線連接至該網路實體之一不成功訊息用的構件。
  47. 如請求項46之設備,其中該主金鑰係至少部分基於由該網路功能提供之一伺服網路名稱由於一金鑰推導過程而建立。
  48. 如請求項45至47中任一項之設備,其中該網路功能被組配用以朝向一第五代核心(5GC)中之一認證伺服器功能(AUSF)用作為一接取與行動性管理功能(AMF)代理器,並且朝向該無線連接用作為一認證、授權、及歸責(AAA)代理器。
  49. 如請求項45至48中任一項之設備,其中該UE識別符係一訂閱消隱識別符(SUCI),並且該永久UE識別符係推導自該SUCI之一訂閱永久識別符(SUPI)。
  50. 如請求項45至49中任一項之設備,其中該UE識別符當作用於該NSWO連接中之一5GC憑證。
  51. 一種設備,其包含: 至少一個處理器;以及 包括電腦程式碼之至少一個記憶體,該至少一個記憶體及該電腦程式碼被組配用以與該至少一個處理器配合,致使該設備至少進行如請求項1至4中任一項之方法。
  52. 一種設備,其包含: 至少一個處理器;以及 包括電腦程式碼之至少一個記憶體,該至少一個記憶體及該電腦程式碼被組配用以與該至少一個處理器配合,致使該設備至少進行如請求項5至10中任一項之方法。
  53. 一種設備,其包含: 至少一個處理器;以及 包括電腦程式碼之至少一個記憶體,該至少一個記憶體及該電腦程式碼被組配用以與該至少一個處理器配合,致使該設備至少進行如請求項11至19中任一項之方法。
  54. 一種設備,其包含: 至少一個處理器;以及 包括電腦程式碼之至少一個記憶體,該至少一個記憶體及該電腦程式碼被組配用以與該至少一個處理器配合,致使該設備至少進行如請求項20至25中任一項之方法。
  55. 一種電腦程式產品,其包含包括程式碼之一非暫時性電腦可讀媒體,該程式碼在受執行時,致使進行如請求項1至4中任一項之方法。
  56. 一種電腦程式產品,其包含包括程式碼之一非暫時性電腦可讀媒體,該程式碼在受執行時,致使進行如請求項5至10中任一項之方法。
  57. 一種電腦程式產品,其包含包括程式碼之一非暫時性電腦可讀媒體,該程式碼在受執行時,致使進行如請求項11至19中任一項之方法。
  58. 一種電腦程式產品,其包含包括程式碼之一非暫時性電腦可讀媒體,該程式碼在受執行時,致使進行如請求項20至25中任一項之方法。
TW111126976A 2021-07-19 2022-07-19 用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品 TWI828235B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US202163223461P 2021-07-19 2021-07-19
US63/223,461 2021-07-19

Publications (2)

Publication Number Publication Date
TW202306403A true TW202306403A (zh) 2023-02-01
TWI828235B TWI828235B (zh) 2024-01-01

Family

ID=82851643

Family Applications (1)

Application Number Title Priority Date Filing Date
TW111126976A TWI828235B (zh) 2021-07-19 2022-07-19 用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品

Country Status (3)

Country Link
US (1) US20230016347A1 (zh)
TW (1) TWI828235B (zh)
WO (1) WO2023001742A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11785456B2 (en) * 2020-08-18 2023-10-10 Cisco Technology, Inc. Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2628486C2 (ru) * 2013-01-03 2017-08-17 Хуавей Текнолоджиз Ко., Лтд. Системы и способы доступа к сети
WO2018065052A1 (en) * 2016-10-05 2018-04-12 Motorola Mobility Llc Core network attachment through standalone non-3gpp access networks
JP2023552887A (ja) * 2020-12-15 2023-12-19 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 非3gppアクセス認証のための方法、エンティティ、およびコンピュータ可読媒体
BR112023011735A2 (pt) * 2020-12-15 2024-02-15 Ericsson Telefon Ab L M Métodos, entidades e meios legíveis por computador para autenticação de acesso não 3gpp

Also Published As

Publication number Publication date
TWI828235B (zh) 2024-01-01
US20230016347A1 (en) 2023-01-19
WO2023001742A1 (en) 2023-01-26

Similar Documents

Publication Publication Date Title
US11089480B2 (en) Provisioning electronic subscriber identity modules to mobile wireless devices
US9614831B2 (en) Authentication and secure channel setup for communication handoff scenarios
US9648019B2 (en) Wi-Fi integration for non-SIM devices
US11553381B2 (en) Method and apparatus for multiple registrations
US11082838B2 (en) Extensible authentication protocol with mobile device identification
CA2995311C (en) Network access identifier including an identifier for a cellular access network node
CN106105134B (zh) 用于改进端到端数据保护的方法和装置
US20120284785A1 (en) Method for facilitating access to a first access nework of a wireless communication system, wireless communication device, and wireless communication system
CN110891271B (zh) 一种鉴权方法及装置
US11889308B2 (en) Multi-access edge computing (MEC)-key id derivation in authentication between UE and edge servers
US20220330022A1 (en) Ue onboarding and provisioning using one way authentication
KR20230124621A (ko) 비-3gpp 서비스 액세스를 위한 ue 인증 방법 및 시스템
US20230247423A1 (en) Supporting remote unit reauthentication
TWI828235B (zh) 用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品
WO2023016160A1 (zh) 一种会话建立方法和相关装置
JP2020505845A (ja) 緊急アクセス中のパラメータ交換のための方法およびデバイス
US20230224704A1 (en) Using a pseudonym for access authentication over non-3gpp access
WO2019140337A1 (en) Method and apparatus for multiple registrations
US20220264296A1 (en) Enhanced onboarding in cellular communication networks
Singh et al. Heterogeneous networking: Security challenges and considerations
WO2024067619A1 (zh) 通信方法和通信装置
US20230231720A1 (en) Supporting remote unit reauthentication
TW202341695A (zh) 用以進行應用程式認證及金鑰管理(akma)認證服務之設備、方法及電腦可讀媒體
WO2022195461A1 (en) Registration authentication based on a capability
CN117203999A (zh) 基于akma的边缘使能器客户端与边缘配置或使能器服务器之间的mec认证