TWI797819B - 認證系統和方法 - Google Patents

認證系統和方法 Download PDF

Info

Publication number
TWI797819B
TWI797819B TW110141483A TW110141483A TWI797819B TW I797819 B TWI797819 B TW I797819B TW 110141483 A TW110141483 A TW 110141483A TW 110141483 A TW110141483 A TW 110141483A TW I797819 B TWI797819 B TW I797819B
Authority
TW
Taiwan
Prior art keywords
authentication
mentioned
user equipment
security
core network
Prior art date
Application number
TW110141483A
Other languages
English (en)
Other versions
TW202224394A (zh
Inventor
許立人
Original Assignee
光寶科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 光寶科技股份有限公司 filed Critical 光寶科技股份有限公司
Priority to TW110141483A priority Critical patent/TWI797819B/zh
Priority to US17/666,919 priority patent/US20220166798A1/en
Publication of TW202224394A publication Critical patent/TW202224394A/zh
Application granted granted Critical
Publication of TWI797819B publication Critical patent/TWI797819B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)

Abstract

本發明提供一種認證系統。認證系統可包括一核心網路和一用戶設備。用戶設備可傳送註冊請求至核心網路,以進行安全認證。核心網路可根據來自用戶設備之註冊請求,選取一可擴展認證協定-隧道傳輸層安全(EAP-TTLS)方法,進行認證安全認證。

Description

認證系統和方法
本發明之實施例主要係有關於一認證技術,特別係有關於在5G網路,使用可擴展認證協定-隧道傳輸層安全(Extensible Authentication Protocol-Tunneled Transport Layer Security,EAP-TTLS)方法來進行用戶設備和網路端之安全認證之認證技術。
在目前第三代合作夥伴計畫(3 rd-Generation Partnership Project,3GPP)中針對5G新無線(New Radio,NR)行動通訊之規範下,會採用嚴謹的認證程序來確認使用者是否可合法地存取網路資源。
然而,由於在3GPP之規範中,將可使用非授權頻譜(Unlicensed Spectrum)來存取5G NR網路,因此,在用戶裝置和網路端之安全認證,一種更彈性又可兼顧安全性的認證方法將是值得注意之課題。
有鑑於上述先前技術之問題,本發明之實施例提供了一種認證系統和方法。
根據本發明之一實施例提供了一種認證系統。認證系統可包括一核心網路和一用戶設備。用戶設備可傳送註冊請求至核心網路,以進行安全認證。核心網路可根據來自用戶設備之註冊請求,選取一可擴展認證協定-隧道傳輸層安全(EAP-TTLS)方法,進行認證安全認證。
根據本發明之一實施例,核心網路可包括一安全錨功能裝置、一認證伺服器功能裝置和一統一資料管理裝置。安全錨功能裝置可接收註冊請求,以及根據註冊請求產生一認證請求。認證伺服器功能裝置可從安全錨功能裝置接收認證請求。統一資料管理裝置可從認證伺服器功能裝置接收認證請求,並根據認證請求,選取EAP-TTLS方法,進行安全認證。
根據本發明之一實施例,核心網路可根據EAP-TTLS方法傳送一憑證資料給用戶設備。用戶設備可根據憑證資料對網路端進行認證。當用戶設備根據憑證資料成功地認證網路端時,用戶設備傳送一認證資料給核心網路。認證資料可包括一帳號和一密碼。核心網路可根據認證資料對用戶設備進行認證。當上述核心網路根據認證資料成功地認證用戶設備時,即表示安全認證成功。
根據本發明之一實施例,核心網路可根據註冊請求對應之一訂閱永久標識符(SUPI),判斷是否選取EAP-TTLS方法進行認證安全認證。
根據本發明之一實施例提供了一種認證方法。上述認證方法適用一認證系統。上述認證方法之步驟可包括:藉由上述認證系統之一用戶設備,傳送一註冊請求至上述認證系統之一核心網路,以進行一安全認證;以及 藉由上述核心網路,根據上述註冊請求,選取一可擴展認證協定-隧道傳輸層安全(EAP-TTLS)方法,進行上述安全認證。
關於本發明其他附加的特徵與優點,此領域之熟習技術人士,在不脫離本發明之精神和範圍內,當可根據本案實施方法中所揭露之認證系統和方法,做些許的更動與潤飾而得到。
本章節所敘述的是實施本發明之較佳方式,目的在於說明本發明之精神而非用以限定本發明之保護範圍,本發明之保護範圍當視後附之申請專利範圍所界定者為準。
第1圖係顯示根據本發明之一實施例所述之一用戶設備110之方塊圖。如第1圖所示,用戶設備110可包括至少一基頻信號處理裝置111、一無線射頻(radio frequency,RF)信號處理裝置112、一處理器113、一記憶體裝置114,以及包括至少一天線之天線模組。注意地是,在第1圖中所示之方塊圖,僅係為了方便說明本發明之實施例,但本發明並不以第1圖為限。
根據本發明一實施例,用戶設備110可係一智慧型手機、一個人資料助理(personal data assistant,PDA)、一呼叫器、一筆記型電腦、一桌上型電腦、一無線手持裝置,或任何具有無線通訊介面之運算裝置。
無線射頻信號處理裝置112可經由天線接收射頻信號,且對所接收之射頻信號進行處理,以將所接收之射頻信號轉換為基頻信號,以供基頻信號處理裝置111來使用;或者無線射頻信號處理裝置112亦可從基頻信號處理裝置111接收基頻信號,並將所接收之基頻信號轉換為射頻信號,並將此射頻信號傳送至一同級通訊裝置(peer communication device)。無線射頻信號處理裝置112可包含複數硬體元件以進行無線信號頻率之轉換。舉例來說:無線射頻信號處理裝置112可包含一功率放大器(power amplifier)、一混波器(mixer)、一類比數位轉換器(analog-to-digital convertor,ADC)、一數位類比轉換器(digital-to-analog convertor,DAC)等等。
基頻信號處理裝置111更用以處理基頻信號以取得由一同級通訊裝置所傳送之資訊或資料。基頻信號處理裝置111更包含複數硬體元件用以處理基頻信號。
處理器113可用以控制基頻信號處理裝置111和無線射頻信號處理裝置112之操作。根據本發明一實施例,處理器113亦可用以執行對應基頻信號處理裝置111和無線射頻信號處理裝置112之軟體模組之程式碼。當程式碼執行時,伴隨著一資料結構之特定資料之程式碼可稱作一處理器邏輯單元(processor logic unit)或一堆疊實例(stack instance)。因此,處理器113可視為包含複數處理器邏輯單元,每一處理器邏輯單元用以執行對應軟體模組之一或多個特定功能或任務。
記憶裝置114可用以儲存用戶設備110之軟體和韌體程式碼、系統資料、使用者資料等。記憶裝置114可係一揮發性記憶體(volatile memory)(例如:隨機存取記憶體(Random Access Memory, RAM)),或一非揮發性記憶體(non-volatile memory)(例如:快閃記憶體(flash memory)、唯讀記憶體(Read Only Memory, ROM))、一硬碟或上述記憶裝置之組合。
根據本發明一實施例,無線射頻信號處理裝置112和基頻信號處理裝置111可共同視為一無線模組,可用以和一無線網路進行傳輸,以依照一預定義之無線存取技術(Radio Access Technology, RAT)提供無線傳輸服務。注意地是,在一些實施例中,用戶設備110更可擴張為包含複數天線且/或複數無線模組,本發明並不以第1圖所示之架構為限。
第2圖係根據本發明一實施例所述之無線通訊系統200之示意圖。如第2圖所示,無線通訊系統200可包括一用戶設備210、一基地台220(例如:一gNB)、一5G核心網路(core network)230和一網際網路(或資料網路)240。此外,如第2圖所示,5G核心網路230可包含一安全錨功能(Security Anchor Function,SEAF)裝置231、一認證伺服器功能(Authentication Server Function,AUSF) 裝置232和一統一資料管理(Unified Data Management,UDM)裝置233。注意地是,在第2圖中所示之示意圖,僅係為了方便說明本發明之實施例,但本發明並不以第2圖為限。5G核心網路230亦包含其他裝置和元件。此外,第1圖所示之用戶設備110可應用於用戶設備210。此外,注意地是,在本發明之核心網路係以5G核心網路來做說明,但本發明並不以此為限。任何與5G核心網路有類似架構之核心網路都可適用本發明之實施例。
根據本發明之一實施例,當用戶設備210要和網路端進行一安全認證時,5G核心網路230可採用一可擴展認證協定-隧道傳輸層安全(Extensible Authentication Protocol-Tunneled Transport Layer Security,EAP-TTLS)方法來進行認證安全認證。底下將會有更詳細之說明。
第3A-3B圖係根據本發明一實施例所述之認證方法之流程圖。底下將搭配第2圖來做說明。
在步驟S301,當用戶設備210要和網路端進行安全認證時,5G核心網路230之安全錨功能裝置231可從基地台220接收到來自用戶設備210之一註冊請求(Registration Request)。根據本發明一實施例,註冊請求可包含對應用戶設備210之一用戶隱藏識別符 (Subscription Concealed Identifier,SUCI)。
在步驟S302,5G核心網路230之安全錨功能裝置231可根據接收到之註冊請求產生一認證請求(Authentication Request),並將認證請求傳送給認證伺服器功能裝置232。根據本發明一實施例,步驟S302之認證請求可包含對應用戶設備210之SUCI和一服務網路名稱(serving network name,SN-name)。
在步驟S303,認證伺服器功能裝置232根據來自安全錨功能裝置231之認證請求,傳送一認證請求給統一資料管理裝置233。根據本發明一實施例,步驟S303之認證請求可包含對應用戶設備210之SUCI和服務網路名稱。
在步驟S304,統一資料管理裝置233可根據認證請求判斷是否選取EAP-TTLS方法,進行認證安全認證。具體來說,可藉由用戶識別符解隱藏功能(Subscription Identifier De-concealing Function,SIDF)對認證請求中對應用戶設備210之SUCI進行解密,以取得對應用戶設備210之用戶永久標識符(Subscription Permanent Identifier,SUPI)。接著,統一資料管理裝置233可根據對應用戶設備210之SUPI判斷是否選取EAP-TTLS方法來進行後續認證安全認證之流程。根據本發明一實施例,若統一資料管理裝置233根據對應用戶設備210之SUPI判斷無法選取EAP-TTLS方法來進行後續認證安全認證之流程,統一資料管理裝置233可選取其他現有之認證方法來進行認證(例如:3GPP TS 33.501所使用之方法),例如:可擴展認證協定-認證和金鑰協議(Extensible Authentication Protocol-Authentication and Key Agreement’,EAP-AKA’)、5G-AKA和可擴展認證協定-傳輸層安全(Extensible Authentication Protocol-Transport Layer Security,EAP-TLS)。在第3A圖中,統一資料管理裝置233係選取EAP-TTLS方法來進行後續認證安全認證之流程。根據本發明一實施例,可在統一資料管理裝置233中預先設定對於對應無安裝通用用戶識別模組(universal subscriber identity module,USIM)之用戶設備之SUPI會採用EAP-TTLS方法來進行安全認證。
在步驟S305,統一資料管理裝置233會傳送一認證回應(Authentication Response)給認證伺服器功能裝置232。根據本發明一實施例,步驟S305之認證回應可包含對應用戶設備210之SUPI,以及指示選取EAP-TTLS方法之一指示符。
在步驟S306,認證伺服器功能裝置232會根據從統一資料管理裝置233接收到之認證回應,選取EAP-TTLS方法作為認證方法,以及傳送一認證回應給安全錨功能裝置231。根據本發明一實施例,步驟S306之認證回應可包含EAP-類型=EAP-TTLS(TTLS Start)之資訊。
在步驟S307,安全錨功能裝置231接收到來自認證伺服器功能裝置232之認證回應後,安全錨功能裝置231會傳送一認證請求給用戶設備210。根據本發明一實施例,步驟S307之認證請求可包含EAP-類型=EAP-TTLS(TTLS Start)之資訊,以及下一代無線存取網路之金鑰集識別符(Key Set Identifier for Next Generation Radio Access Network,ngKSI)和反投標下間結構(Anti-Bidding down Between Architecture,ABBA)參數。
在步驟S308,用戶設備210接收到來自安全錨功能裝置231之認證請求後,用戶設備210會回覆一認證回應給安全錨功能裝置231。根據本發明一實施例,步驟S308之認證回應可包含EAP-類型=EAP-TTLS(TTLS client_hello)之資訊。
在步驟S309,安全錨功能裝置231接收到來自用戶設備210之認證回應後,安全錨功能裝置231會傳送一認證請求給認證伺服器功能裝置232。根據本發明一實施例,步驟S309之認證請求可包含EAP-類型=EAP-TTLS(TTLS client_hello)之資訊。
在步驟S310,認證伺服器功能裝置232接收到來自安全錨功能裝置231之認證請求後,認證伺服器功能裝置232會傳送一認證回應給安全錨功能裝置231。根據本發明一實施例,步驟S310之認證回應可包含EAP-類型=EAP-TTLS之資訊以及一憑證資料,其中憑證資料可包含server_hello、server_certificate、server_key_exchange、certificate_request和server_hellodone之資訊。
在步驟S311,安全錨功能裝置231接收到來自認證伺服器功能裝置232之認證回應後,安全錨功能裝置231會傳送一認證請求給用戶設備210。根據本發明一實施例,步驟S311之認證請求可包含EAP-類型=EAP-TTLS之資訊、憑證資料以及ngKSI和ABBA參數,其中憑證資料可包含server_hello、server_certificate、server_key_exchange、certificate_request和server_hellodone之資訊。
在步驟S312,用戶設備210接收到來自安全錨功能裝置231之認證請求後,用戶設備210會根據接收到之認證請求所包含之資訊對網路端進行認證。當用戶設備210根據接收到之認證請求所包含之資訊無法認證網路端時,即表示用戶設備210和網路端間的安全認證失敗。
在步驟S313,當用戶設備210根據接收到之認證請求所包含之資訊成功地認證網路端時,用戶設備210將會回覆一認證回應給安全錨功能裝置231。根據本發明一實施例,步驟S313之認證回應可包含EAP-類型=EAP-TTLS之資訊以及一認證資料。根據本發明一實施例,認證資料可包括一帳號和一密碼。特別說明地是,由於在此實施例中係採用EAP-TTLS方法來進行用戶設備210和網路端之安全認證,因此,相較於EAP-TLS方法,將可不需要在用戶設備210安裝憑證。也就是說,用戶設備210將僅須提供認證資料(例如:帳號和密碼)給網路端來進行安全認證,而不需要提供憑證資料給網路端。此外,相較於基於使用者身分模組(Subscriber Identity Module,SIM)卡進行認證之EAP-AKA’和5G-AKA方法,EAP-TTLS方法不需要安裝SIM卡即可進行認證。
在步驟S314,安全錨功能裝置231接收到來自用戶設備210之認證回應後,安全錨功能裝置231會傳送一認證請求給認證伺服器功能裝置232。根據本發明一實施例,步驟S314之認證請求可包含EAP-類型=EAP-TTLS之資訊以及用戶設備210提供之認證資料。
在步驟S315,認證伺服器功能裝置232接收到來自安全錨功能裝置231之認證請求後,認證伺服器功能裝置232可根據接收到之認證請求所包含之資訊(即用戶設備210提供之認證資料)對用戶設備210進行認證。當認證伺服器功能裝置232根據認證請求所包含之資訊,無法成功地認證用戶設備210時,即表示用戶設備210和網路端間的安全認證失敗。
在步驟S316,當認證伺服器功能裝置232可根據認證請求所包含之資訊,成功地認證用戶設備210時,認證伺服器功能裝置232將會傳送一認證回應給安全錨功能裝置231。根據本發明一實施例,步驟S316之認證回應可包含EAP-類型=EAP-TTLS之資訊,以及change_cipher_spec和setver_finished之資訊。
在步驟S317,安全錨功能裝置231接收到來自認證伺服器功能裝置232之認證回應後,安全錨功能裝置231會傳送一認證請求給用戶設備210。根據本發明一實施例,步驟S317之認證請求可包含EAP-類型=EAP-TTLS之資訊、change_cipher_spec和setver_finished之資訊,以及ngKSI和ABBA參數。
在步驟S318,用戶設備210接收到來自安全錨功能裝置231之認證請求後,用戶設備210會回覆一認證回應給安全錨功能裝置231。根據本發明一實施例,步驟S318之認證回應僅包含EAP-類型=EAP-TTLS之資訊。
在步驟S319,安全錨功能裝置231接收到來自用戶設備210之認證回應後,安全錨功能裝置231會傳送一認證請求給認證伺服器功能裝置232。根據本發明一實施例,步驟S319之認證請求僅包含EAP-類型=EAP-TTLS之資訊。
在步驟S320,認證伺服器功能裝置232接收到來自安全錨功能裝置231之認證請求後,會傳送一認證回應給安全錨功能裝置231。根據本發明一實施例,步驟S320之認證回應可包含EAP成功之資訊、一錨金鑰(anchor key)和對應用戶設備210之SUPI。
在步驟S321,安全錨功能裝置231接收到來自認證伺服器功能裝置232之認證回應後,安全錨功能裝置231會傳送EAP成功之資訊以及ngKSI和ABBA參數給用戶設備210。即表示用戶設備210和網路端間的安全認證完成。
第4圖係根據本發明一實施例所述之認證方法之流程圖。此認證方法可應用於認證系統200。如第4圖所示,在步驟S410,認證系統200之用戶設備傳送一註冊請求至認證系統200之5G核心網路,以進行一安全認證。
在步驟S420,認證系統200之5G核心網路根據用戶設備之註冊請求,選取一可擴展認證協定-隧道傳輸層安全(EAP-TTLS)方法,進行認證安全認證。
根據本發明之實施例,認證方法之步驟S410更包括,藉由認證系統200之5G核心網路之一安全錨功能裝置接收註冊要求,以及根據註冊請求產生一認證請求。認證方法之步驟S420更包括,藉由認證系統200之5G核心網路之一認證伺服器功能裝置,從安全錨功能裝置接收認證請求,以及藉由認證系統200之5G核心網路之一統一資料管理裝置,從認證伺服器功能裝置接收認證請求,並根據認證請求,選取EAP-TTLS方法,以進行認證安全認證。
根據本發明之實施例,在認證方法中,認證系統200之5G核心網路可根據EAP-TTLS方法傳送一憑證資料給認證系統200之用戶設備。用戶設備可根據憑證資料對網路端進行認證。當用戶設備根據憑證資料無法認證網路端時,即表示用戶設備和網路端間的安全認證失敗。當用戶設備根據憑證資料成功地認證網路端時,用戶設備可傳送一認證資料給5G核心網路。根據本發明一實施例,認證資料可包括一帳號和一密碼。5G核心網路可根據用戶設備提供之認證資料對用戶設備進行認證。當5G核心網路根據認證資料無法成功地認證用戶設備證時,即表示用戶設備和網路端之安全認證失敗。當5G核心網路根據認證資料可成功地認證用戶設備時,即表示用戶設備和網路端之安全認證成功。
根據本發明之實施例,在認證方法之步驟S420,5G核心網路可根據註冊請求對應之一訂閱永久標識符(SUPI),判斷是否選取EAP-TTLS方法進行安全認證。若5G核心網路判斷無法選取EAP-TTLS方法來進行後續認證安全認證之流程,5G核心網路可選取其他現有之認證方法來進行認證(例如:3GPP TS 33.501所使用之方法),例如:可擴展認證協定-認證和金鑰協議(Extensible Authentication Protocol–Authentication and Key Agreement’,EAP-AKA’)、5G-AKA和可擴展認證協定-傳輸層安全(Extensible Authentication Protocol-Transport Layer Security, EAP-TLS)。
根據本發明提出之認證方法,將可採用EAP-TTLS方法來進行用戶設備和網路端之安全認證。因此,根據本發明提出之認證方法,將可使得在5G NR通訊,用戶設備和網路端之安全認證過程中,可採用更方便且彈性之作法來進行用戶設備和網路端之安全認證。
本說明書中以及申請專利範圍中的序號,例如「第一」、「第二」等等,僅係為了方便說明,彼此之間並沒有順序上的先後關係。
本發明之說明書所揭露之方法和演算法之步驟,可直接透過執行一處理器直接應用在硬體以及軟體模組或兩者之結合上。一軟體模組(包括執行指令和相關數據)和其它數據可儲存在數據記憶體中,像是隨機存取記憶體(RAM)、快閃記憶體(flash memory)、唯讀記憶體(ROM)、可抹除可規化唯讀記憶體(EPROM)、電子可抹除可規劃唯讀記憶體(EEPROM)、暫存器、硬碟、可攜式應碟、光碟唯讀記憶體(CD-ROM)、DVD或在此領域習之技術中任何其它電腦可讀取之儲存媒體格式。一儲存媒體可耦接至一機器裝置,舉例來說,像是電腦/處理器(爲了說明之方便,在本說明書以處理器來表示),上述處理器可透過來讀取資訊(像是程式碼),以及寫入資訊至儲存媒體。一儲存媒體可整合一處理器。一特殊應用積體電路(ASIC)包括處理器和儲存媒體。一用戶設備則包括一特殊應用積體電路。換句話說,處理器和儲存媒體以不直接連接用戶設備的方式,包含於用戶設備中。此外,在一些實施例中,任何適合電腦程序之產品包括可讀取之儲存媒體,其中可讀取之儲存媒體包括和一或多個所揭露實施例相關之程式碼。在一些實施例中,電腦程序之產品可包括封裝材料。
以上段落使用多種層面描述。顯然的,本文的教示可以多種方式實現,而在範例中揭露之任何特定架構或功能僅為一代表性之狀況。根據本文之教示,任何熟知此技藝之人士應理解在本文揭露之各層面可獨立實作或兩種以上之層面可以合併實作。
雖然本揭露已以實施例揭露如上,然其並非用以限定本揭露,任何熟習此技藝者,在不脫離本揭露之精神和範圍內,當可作些許之更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。
110、210:用戶設備 111:基頻信號處理裝置 112:無線射頻信號處理裝置 113:處理器 114:記憶體裝置 200:無線通訊系統 220:基地台 230:5G核心網路 231:安全錨功能裝置 232:認證伺服器功能裝置 233:統一資料管理裝置 240:網際網路 S301~S321、S410~S420:步驟
第1圖係顯示根據本發明之一實施例所述之一用戶設備110之方塊圖。 第2圖係根據本發明一實施例所述之無線通訊系統200之示意圖。 第3A-3B圖係根據本發明一實施例所述之認證方法之流程圖。 第4圖係根據本發明一實施例所述之認證方法之流程圖。
S410~S420:步驟

Claims (8)

  1. 一種認證系統,包括:一核心網路,根據一註冊請求,選取一可擴展認證協定-隧道傳輸層安全(EAP-TTLS)方法,進行認證一安全認證;以及一用戶設備,傳送上述註冊請求至上述核心網路,以進行上述安全認證,其中當上述用戶設備根據一憑證資料成功地認證網路端時,上述用戶設備傳送一認證資料給上述核心網路,其中上述認證資料包括一帳號和一密碼,其中上述核心網路之一認證伺服器功能裝置根據上述認證資料對上述用戶設備進行認證,其中當上述認證伺服器功能裝置根據上述認證資料成功地認證上述用戶設備時,即表示上述安全認證成功。
  2. 如請求項1之認證系統,其中上述核心網路包括:一安全錨功能裝置,接收上述註冊請求,以及根據上述註冊請求產生一認證請求;上述認證伺服器功能裝置,從上述安全錨功能裝置接收上述認證請求;以及一統一資料管理裝置,從上述認證伺服器功能裝置接收上述認證請求,並根據上述認證請求,選取上述EAP-TTLS方法,進行上述安全認證。
  3. 如請求項1之認證系統,其中上述核心網路根據上述 EAP-TTLS方法傳送上述憑證資料給上述用戶設備。
  4. 如請求項1之認證系統,其中上述核心網路根據上述註冊請求對應之一訂閱永久標識符(SUPI),判斷是否選取上述EAP-TTLS方法進行認證上述安全認證。
  5. 一種認證方法,適用一認證系統,包括:藉由上述認證系統之一用戶設備,傳送一註冊請求至上述認證系統之一核心網路,以進行一安全認證;以及藉由上述核心網路,根據上述註冊請求,選取一可擴展認證協定-隧道傳輸層安全(EAP-TTLS)方法,進行上述安全認證,其中上述認證方法更包括:當上述用戶設備根據一憑證資料成功地認證網路端時,藉由上述用戶設備傳送一認證資料給上述核心網路,其中上述認證資料包括一帳號和一密碼;以及藉由上述核心網路之一認證伺服器功能裝置根據上述認證資料對上述用戶設備進行認證;其中當上述認證伺服器功能裝置根據上述認證資料成功地認證上述用戶設備時,即表示上述安全認證成功。
  6. 如請求項5之認證方法,更包括:藉由上述核心網路之一安全錨功能裝置,接收上述註冊請求,以及根據上述註冊請求產生一認證請求;藉由上述核心網路之上述認證伺服器功能裝置,從上述安全錨功能裝置接收上述認證請求;以及 藉由上述核心網路之一統一資料管理裝置,從上述認證伺服器功能裝置接收上述認證請求,並根據上述認證請求,選取上述EAP-TTLS方法,進行上述安全認證。
  7. 如請求項5之認證方法,其中上述核心網路根據上述EAP-TTLS方法傳送上述憑證資料給上述用戶設備。
  8. 如請求項5之認證方法,更包括:藉由上述核心網路根據上述註冊請求對應之一訂閱永久標識符(SUPI),判斷是否選取上述EAP-TTLS方法進行認證上述安全認證。
TW110141483A 2021-11-08 2021-11-08 認證系統和方法 TWI797819B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW110141483A TWI797819B (zh) 2021-11-08 2021-11-08 認證系統和方法
US17/666,919 US20220166798A1 (en) 2021-11-08 2022-02-08 Authentication system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW110141483A TWI797819B (zh) 2021-11-08 2021-11-08 認證系統和方法

Publications (2)

Publication Number Publication Date
TW202224394A TW202224394A (zh) 2022-06-16
TWI797819B true TWI797819B (zh) 2023-04-01

Family

ID=81657664

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110141483A TWI797819B (zh) 2021-11-08 2021-11-08 認證系統和方法

Country Status (2)

Country Link
US (1) US20220166798A1 (zh)
TW (1) TWI797819B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120005727A1 (en) * 2009-03-10 2012-01-05 Kt Corporation Method for user terminal authentication and authentication server and user terminal thereof
TW201306610A (zh) * 2011-06-28 2013-02-01 Interdigital Patent Holdings 驗證協定之自動協商及選擇
WO2018008983A1 (en) * 2016-07-05 2018-01-11 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DK3659314T3 (da) * 2017-07-25 2021-07-05 Ericsson Telefon Ab L M Abonnementskjult identifikator
EP3777011A1 (en) * 2018-04-05 2021-02-17 Nokia Technologies Oy User authentication in first network using subscriber identity module for second legacy network
US11696128B2 (en) * 2019-10-09 2023-07-04 Cisco Technology, Inc. Reducing authentication steps during Wi-Fi and 5G handover
EP4173334A1 (en) * 2020-06-26 2023-05-03 Telefonaktiebolaget LM Ericsson (publ) Subscription retrieval for anonymous identification
WO2022236596A1 (en) * 2021-05-10 2022-11-17 Apple Inc. Multi-access edge computing (mec) -key id derivation in authentication between ue and edge servers

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120005727A1 (en) * 2009-03-10 2012-01-05 Kt Corporation Method for user terminal authentication and authentication server and user terminal thereof
TW201306610A (zh) * 2011-06-28 2013-02-01 Interdigital Patent Holdings 驗證協定之自動協商及選擇
WO2018008983A1 (en) * 2016-07-05 2018-01-11 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system
US20190261178A1 (en) * 2016-07-05 2019-08-22 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
網路文獻 OnGo Allianc, "Extended Subscribers Authentication Technical Specification", 2020/12/15. [https://ongoalliance.org/wp-content/uploads/2021/06/OnGo-TS-1003-V4.0.0_Published-December-15-2020.pdf] *

Also Published As

Publication number Publication date
TW202224394A (zh) 2022-06-16
US20220166798A1 (en) 2022-05-26

Similar Documents

Publication Publication Date Title
CN113225176B (zh) 密钥获取方法及装置
US10856135B2 (en) Method and apparatus for network access
US11496320B2 (en) Registration method and apparatus based on service-based architecture
US20160360407A1 (en) Distributed configurator entity
CN114268943B (zh) 授权方法及装置
CN101366299B (zh) 使用特殊随机询问的引导认证
HUE035780T2 (en) Systems and procedures for performing link building and authentication
CN113556227B (zh) 网络连接管理方法、装置、计算机可读介质及电子设备
CN102318386A (zh) 向网络的基于服务的认证
US9788202B2 (en) Method of accessing a WLAN access point
US8959587B2 (en) System and method for authentication for wireless emergency services
US20070283153A1 (en) Method and system for mutual authentication of wireless communication network nodes
WO2019029531A1 (zh) 触发网络鉴权的方法及相关设备
EP3956792B1 (en) Cryptographic key generation for mobile communications device
CN110366175B (zh) 安全协商方法、终端设备和网络设备
CN114071452B (zh) 用户签约数据的获取方法及装置
KR101300844B1 (ko) 한번에 복수의 psk 기반 인증을 수행하는 방법 및 상기방법을 수행하는 시스템
JP5091963B2 (ja) 通信局、認証局及び認証方法
JP2018526846A (ja) ワイヤレスデバイスのコンフィギュレーションおよび認証
JP2009505271A (ja) 単一処理で複数のpskベース認証を実行する方法及びこの方法を実行するシステム
JP6665782B2 (ja) 無線通信装置、無線通信システム、無線通信方法及びプログラム
TWI797819B (zh) 認證系統和方法
US20120120933A1 (en) Method for enhanced radio resource management in a public land mobile network
KR100667186B1 (ko) 무선 이동 단말의 인증 시스템 구현 장치 및 방법
CN114095928A (zh) 认证系统和方法