TWI827187B - 用於新登處理之使用者裝備與通訊網路間之認證技術 - Google Patents
用於新登處理之使用者裝備與通訊網路間之認證技術 Download PDFInfo
- Publication number
- TWI827187B TWI827187B TW111129391A TW111129391A TWI827187B TW I827187 B TWI827187 B TW I827187B TW 111129391 A TW111129391 A TW 111129391A TW 111129391 A TW111129391 A TW 111129391A TW I827187 B TWI827187 B TW I827187B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- new login
- login processing
- user equipment
- new
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 74
- 238000004891 communication Methods 0.000 title claims abstract description 64
- 230000008569 process Effects 0.000 title claims abstract description 46
- 238000012545 processing Methods 0.000 claims description 128
- 230000006870 function Effects 0.000 claims description 88
- 238000007726 management method Methods 0.000 claims description 39
- 230000015654 memory Effects 0.000 claims description 21
- 238000013475 authorization Methods 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 10
- 238000013523 data management Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 230000001960 triggered effect Effects 0.000 claims description 5
- 238000004519 manufacturing process Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 2
- 230000011664 signaling Effects 0.000 description 11
- 238000012217 deletion Methods 0.000 description 5
- 230000037430 deletion Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
為用於使用者裝備之一新登處理過程期間之安全管理揭示技巧。舉例而言,從一新登處理網路之一觀點,一種方法包含經由該新登處理網路,基於先前為使用者裝備或一組使用者裝備組配、並由該新登處理網路維護之一新登處理記錄認證該使用者裝備。在成功認證後,從該新登處理網路至一佈建伺服器建立一通訊對話,以供該使用者裝備之遠端佈建。有助益的是,進行該新登處理過程而不用一預設憑證伺服器。
Description
領域大致係有關於通訊網路,並且更特別的是,但非專門有關於此類通訊網路中之安全管理。
本節介紹可有助於促進更加理解本發明之態樣。因此,本節之陳述應鑑於此來閱讀,且不應理解為允入先前技術中存在或不存在之內容。
第四代(4G)無線行動電信技術亦稱為長期演進(LTE)技術,旨在提供具有高資料率之高容量行動多媒體,特別是用於人類互動。下一代或第五代(5G)技術係意欲不僅用於人類互動,還用於所謂的物聯網(IoT)網路中之機器類型通訊。
儘管5G網路係意欲實現大規模IoT服務(例如:非常大量之有限容量裝置)及關鍵任務IoT服務(例如:需要高可靠度),但仍以增強型行動寬頻(eMBB)服務之形式支援對舊有行動通訊服務之改良,為行動裝置提供改良型無線網際網路接取。
在一例示性通訊系統中,諸如一行動終端機(用戶)之使用者裝備(一5G網路中之5G UE,或者更廣泛地說,一UE)透過一空氣介面與一基地台或在一5G網路中稱為一5G AN的一接取網路之接取點通訊。接取點(例如:gNB)採說明方式係通訊系統之一接取網路之部件。舉例而言,在一5G網路中,稱為
一5G AN之接取網路係在標題為「Technical Specification Group Services and System Aspects;System Architecture for the 5G System」之5G技術規格(TS)23.501、及標題為「Technical Specification Group Services and System Aspects;Procedures for the 5G System(5GS)」之TS 23.502中作說明,其揭露係完整地以參考方式併入本文中。一般而言,接取點(例如:gNB)為UE對一核心網路(CN或5GC)提供接取,其接著為UE對其他UE及/或諸如一封包接取(例如:網際網路)之一資料網路提供接取。
TS 23.501繼續定義一5G服務式架構(SBA),其將服務建模為使用表示狀態傳送應用程式規劃介面(Restful API)彼此通訊之網路功能(NF)。
再者,標題為「Technical Specification Group Services and System Aspects;Security Architecture and Procedures for the 5G System」之5G技術規格(TS)33.501進一步說明與一5G網路相關聯之安全管理細節,其揭露係完整地以參考方式併入本文中。
更應知,TS 23.501及TS 33.501還意指為用於UE之一新登處理過程,稱為「UE新登處理」或「裝置新登處理」(或更一般而言,新登處理過程)。更特別的是,新登處理係首次佈建上線之新裝置所憑藉之過程。新裝置獲得基線連線能力及網路連結服務,以使得裝置本身可憑藉進一步網路或應用層程序啟動載入。
安全管理在任何通訊系統中係一重要考量因素。然而,由於不斷嘗試改良與一5G網路相關聯之架構及協定,以便提高網路效率及/或用戶便利性,安全管理問題可帶來重大挑戰,尤其是在新登處理過程方面。
說明性實施例為用於使用者裝備之一新登處理過程期間之安全管理提供技巧。
舉例而言,在一項說明性實施例中,從使用者裝備之一觀點,一種方法包含藉由該使用者裝備,在該使用者裝備與一新登處理網路之間致使一認證過程之發起,其中該認證過程係基於先前經由該新登處理網路為該使用者裝備或一組使用者裝備組配、並由該新登處理網路維護之至少一個新登處理記錄。在成功完成該認證過程後,透過該新登處理網路向一佈建伺服器請求一通訊對話以供該使用者裝備之遠端佈建。
藉由進一步實例,在一項說明性實施例中,從一新登處理網路之一觀點,一種方法包含經由該新登處理網路,基於先前為使用者裝備或一組使用者裝備組配、並由該新登處理網路維護之一新登處理記錄認證該使用者裝備。在成功認證後,從該新登處理網路至一佈建伺服器建立一通訊對話,以供該使用者裝備之遠端佈建。
提供進一步說明性實施例,採用之形式為已於其中具體實現可執行程式碼之一非暫時性電腦可讀儲存媒體,該可執行程式碼在由一處理器執行時,致使該處理器進行以下步驟。更進一步說明性實施例包含具有被組配用以進行以上步驟之一處理器及記憶體的設備。
有助益的是,進行該新登處理過程而不用一預設憑證伺服器。
本文中所述之實施例之這些及其他特徵及優點將從附圖及以下詳細說明變得更加顯而易見。
100:通訊系統
102,202,302,402:UE
103:空氣介面
104:接取點/gNB
106:行動性管理功能
108:網路功能
110,314,406:SMF
112,322,408:UPF
114:網路
200:系統
204-1,204-N:網路實體
210,220-1,220-N:介面電路系統
212,222-1,222-N:處理器
214,224-1,224-N:安全管理處理模組
216,226-1,226-N:記憶體
218,228-1,228-N:安全管理儲存模組
300:新登處理過程
304,502:裝置擁有者
310:通訊網路
312,404:AMF
316,410:AUSF
318,412,506:UDM/UDR
319:新登處理記錄
320:NEF
330:PVS
400,500:信令流程
504:入口網站
圖1繪示可據以實施一或多項說明性實施例之一通訊系統。
圖2繪示可據以實施一或多項說明性實施例之使用者裝備及網路實體。
圖3根據一說明性實施例,針對一通訊網路繪示用於使用者裝備之一新登處理過程。
圖4根據一說明性實施例,繪示用於使用者裝備之一新登處理過程中之一信令流程。
圖5根據一說明性實施例,為建立/刪除用於使用者裝備之新登處理記錄繪示一信令流程。
本文中將搭配例示性通訊系統及在通訊系統中用於安全管理之相關聯技巧來說明實施例。然而,應瞭解的是,申請專利範圍之範疇不受限於所揭示之特定類型之通訊系統及/或過程。實施例可使用替代過程及操作予以在多種其他類型之通訊系統中實施。舉例而言,雖然是以利用3GPP系統元件之無線蜂巢式系統,諸如一3GPP下一代系統(5G),為背景作說明,所揭示之實施例仍可採用一直接方式予以調適成各種其他類型之通訊系統。
根據在一5G通訊系統環境中實施之說明性實施例,一或多個3GPP技術規格(TS)及技術報告(TR)可對可與發明性解決方案之部分互動之網路元件/功能及/或操作提供進一步解釋,例如以上引用之3GPP TS 23.501及3GPP TS 33.501。其他3GPP TS/TR文件可提供所屬技術領域中具有通常知識者將明白之其他細節。舉例而言,標題為「Technical Specification Group Services and System Aspects;Study on Enhanced Security Support for Non-Public Networks(NPN)」之TR 33.857可在下文提及或按其他方式適用於一些說明性實施例之脈絡;其揭露係完整地以參考方式併入本文中。然而,儘管適用於5G相關3GPP標準,實施例仍不必然意欲受限於任何特定標準。
再者,採說明方式於本文中使用時,將引用各種縮寫,包括、但不限於以下:
AMF:接取與行動性管理功能
API:應用程式規劃介面
AUSF:認證伺服器功能
CA:憑證機構
DCO:DCS擁有者
DCS:預設憑證伺服器
DNS:網域名稱伺服器
FQDN:完全合格網域名稱
HNI:本地網路身份
NEF:網路曝露功能
NF:網路功能
ONN:新登處理網路
ON-SNPN:新登處理SNPN
ON-SUPI:新登處理SUPI
PCF:政策控制功能
PEI:永久裝備識別符
PVS:佈建伺服器
SMF:對話管理功能
SNPN:獨立之非公共網路
SO-SNPN:訂用擁有者獨立之非公共網路
SUCI:訂用消隱識別符
SUPI:訂用永久識別符
UDR:統一資料儲存庫
UPF:使用者平面功能
在對說明性實施例作說明之前,下面將以圖1及2為背景,對一5G網路之某些主要組件之一般描述作說明,接著為UE對此一5G網路之新登處理說
明一現有過程。
圖1展示其中實施說明性實施例之一通訊系統100。要瞭解的是,通訊系統100中所示之元件係意欲代表系統內提供之主要功能,例如UE接取功能、行動性管理功能、認證功能、伺服閘道器功能等。如此,圖1中所示之區塊參照5G網路中提供這些主要功能之特定元件。然而,可將其他網路元件用於實施所代表之一些或全部主要功能。還要瞭解的是,圖1中未繪示一5G網路之所有功能。反而,表示促進解釋說明性實施例之至少一些功能。隨後之圖式可繪示一些附加元件/功能(即網路實體)。
因此,如所示,通訊系統100包含經由一空氣介面103與一接取點(gNB)104通訊之使用者裝備(UE)102。要瞭解的是,UE 102可將一或多種其他類型之接取點(例如:接取功能、網路等)用於與有別於一gNB之5G核心通訊。僅以舉例方式,接取點104可以是任何5G接取網路,諸如一N3IWF(非3GPP網接功能)、一TNGF(受信賴非3GPP閘道器功能)或一W-AGE(有線接取閘道器功能),或可對應於一舊有接取點(例如:eNB)。
UE 102可以是一行動電台,並且此一行動電台以舉例方式可包含一行動電話、一電腦、或任何其他類型之通訊裝置。「使用者裝備」一詞於本文中使用時,因此係意欲予以廣義地詮釋,以便含括各種不同類型之行動電台、用戶站或更一般而言,通訊裝置,包括諸如在一膝機或諸如一智慧型手機之其他裝備中插入之一資料卡之一組合之實例。此類通訊裝置還意欲含括通常稱為接取終端機之裝置。
在一項實施例中,UE 102包含一通用積體電路卡(UICC)部件及一行動裝備(ME)部件。UICC係UE之使用者相依部件,並且含有至少一個通用用戶識別模組(USIM)及適當之應用軟體。USIM安全地儲存一永久訂用識別符及其相關金鑰,其用於採獨有方式識別並認證連至接取網路之用戶。ME係UE之使用者
獨立部件,並且含有終端裝備(TE)功能及各種行動終端(MT)功能。
請注意,在一項實例中,永久訂用識別符係對UE獨特之一國際行動用戶身份(IMSI)。在一項實施例中,IMSI係一固定之15位數長度,並且由一3位數行動國家代碼(MCC)、一3位數行動網路代碼(MNC)、及一9位數行動電台識別號(MSIN)所組成。在一5G通訊系統中,一IMSI係稱為一訂用永久識別符(SUPI)。以一IMSI作為一SUPI來說明,MSIN提供用戶身份。因此,通常僅IMSI之MSIN部分才需要加密。IMSI之MNC及MCC部分提供路由資訊,由伺服網路用於路由安排至正確之本地網路。當一SUPI之MSIN被加密時,其稱為訂用消隱識別符(SUCI)。一SUPI之另一實例使用一網路接取識別符(NAI)。NAI通常用於IoT通訊。
接取點104採說明方式係通訊系統100之一接取網路之部件。此一接取網路舉例而言,可包含具有複數個基地台及一或多個相關聯無線電網路控制功能之一5G系統。基地台及無線電網路控制功能可以是邏輯上分離之實體,但在一給定實施例中,可予以在相同之實體網路元件中實施,舉例如一基地台路由器或蜂巢式接取點。
這項說明性實施例中之接取點104係操作性耦合至行動性管理功能106。在一5G網路中,行動性管理功能係藉由一接取與行動性管理功能(AMF)來實施。安全定錨功能(SEAF)亦可憑藉將一UE與行動性管理功能連線之AMF來實施。一行動性管理功能於本文中使用時,係通訊系統之核心網路(CN)部件中之元件或功能(即實體),除了其他網路操作,其還參與(透過接取點104)與UE之接取與行動性操作。更一般而言,AMF在本文中亦可稱為一接取及行動性管理實體。
在這項說明性實施例中,AMF 106係操作性耦合至其他網路功能108。如所示,一些功能108可包括一統一資料管理(UDM)功能、一統一資料儲
存庫(UDR)、以及一認證伺服器功能(AUSF)。更一般而言,AUSF及UDM/UDR(單獨地或共同地)在本文中亦稱為一認證實體。另外,功能108可包括、但不限於一網路曝露功能(NEF)、一應用功能(AF)、以及可當作服務生產者(NFp)及/或服務消費者(NFc)之其他網路功能。請注意,任何網路功能都可以是一項服務之一服務生產者及另一服務之一服務消費者。再者,當提供之服務包括資料時,提供資料之NFp係稱為一資料生產者,而請求資料之NFc則稱為一資料消費者。一資料生產者也可以是藉由修改或按其他方式處理由另一NF生產之處理資料來產生資料。
請注意,通常對一些或所有功能106及108駐留於其中之稱為一本地公用地移動式網路(HPLMN)者訂用一UE,諸如UE 102。HPLMN亦稱為本地環境(HE)。如果UE正在漫遊(不在HPLMN中),其通常係與亦稱為一受訪網路之一受訪公用地移動式網路(VPLMN)連線,而目前為該UE提供服務之網路係稱為一伺服網路。在漫遊狀況中,一些網路功能106及108可駐留在VPLMN中,在這種狀況中,VPLMN中之功能視需要與HPLMN中之功能通訊。然而,在一非漫遊情境中,行動性管理功能106及其他網路功能108駐留在相同之通訊網路中,即HPLMN中。本文中所述之實施例不受哪些功能駐留在哪個PLMN(即HPLMN或VPLMN)中限制。
接取點104亦操作性耦合(經由功能106及/或108中之一或多者)至一伺服閘道器功能,即對話管理功能(SMF)110,其係操作性耦合至一使用者平面功能(UPF)112。UPF 112係操作性耦合至一封包資料網路,例如網際網路114。請注意,與表示通訊網路之一控制平面(CP)的較細實線形成對照,本圖中較粗之實線表示通訊網路之一使用者平面(UP)。要了解,圖1中之網路114可另外或替代地代表其他網路基礎設施,包括、但不限於雲端運算基礎設施及/或邊緣運算基礎設施。這裡未說明此類網路元件之進一步典型操作及功能,因為其非為說
明性實施例之焦點,並且可在適當之3GPP 5G文檔中找到。請注意,106、108、110及112中所示之功能係網路功能(NF)之實例。
要了解,系統元件之這種特定布置結構只是一實例,並且附加或替代元件之其他類型及布置結構可用於在其他實施例中實施一通訊系統。舉例而言,在其他實施例中,系統100可包括本文中未明確示出之其他元件/功能。
因此,圖1之布置結構只是一無線蜂巢式系統之一種例示性組態,並且可使用系統元件之多種替代組態。舉例而言,雖然圖1之實施例中僅示出單一元件/功能,但這只是為了簡便起見且為求清楚作說明。一給定之替代實施例當然可包括更多數量之此類系統元件、以及通常與習知系統實作態樣相關聯之一類型之附加或替代元件。
還要注意的是,儘管圖1將系統元件繪示為單一性功能塊,構成5G網路之各種子網係劃分成所謂的網路切片。網路切片(網路分區)在一公用實體基礎設施上使用網路功能虛擬化(NFV)為各對應服務類型包含一系列網路功能(NF)集合(即功能鏈)。一給定服務,例如eMBB服務、大規模IoT服務、及關鍵任務IoT服務,視需要將網路切片具現化。因此,當建立一網路切片或功能之一執行個體時,將該網路切片或功能具現化。在一些實施例中,這涉及在底層實體基礎設施之一或多個主機裝置上安裝、或按其他方式運行網路切片或功能。UE 102被組配用以經由gNB 104接取這些服務中之一或多者。
圖2係一方塊圖,其根據說明性實施例,為方法中之各種參與者繪示運算架構。更特別的是,系統200係示為包含使用者裝備(UE)202及複數個網路實體204-1、...、204-N。舉例而言,在說明性實施例中並請往回參照圖1,UE 202可代表UE 102,而網路實體204-1、...、204-N則可代表功能106及108。要了解,UE 202及網路實體204-1、...、204-N被組配用以互動以提供安全管理及本文中所述之其他技巧。
使用者裝備202包括耦合至一記憶體216及介面電路系統210之一處理器212。使用者裝備202之處理器212包括一安全管理處理模組214,其可至少部分地以藉由處理器執行之軟體之形式來實施。處理模組214進行搭配隨後圖式及按其他方式在本文中所述之安全管理。使用者裝備202之記憶體216包括一安全管理儲存模組218,其儲存在安全管理操作期間產生或按其他方式使用之資料。
各該網路實體(在本文中單獨或統稱為204)包括一處理器222(222-1、...、222-N),其係耦合至一記憶體226(226-1、...226-N)及介面電路系統220(220-1、...、220-N)。各網路實體204之各處理器222包括一安全管理處理模組224(224-1、...、224-N),其可至少部分以藉由處理器222執行之軟體之形式來實施。處理模組224進行搭配隨後圖式及按其他方式在本文中所述之安全管理操作。各網路實體204之各記憶體226包括一安全管理儲存模組228(228-1、...、228-N),其儲存在安全管理操作期間產生或按其他方式使用之資料。
處理器212及222舉例而言,可包括諸如中央處理單元(CPU)之微處理器、特定應用積體電路(ASIC)、數位信號處理器(DSP)或其他類型之處理裝置、以及此類元件之部分或組合。
記憶體216及226可用於儲存一或多個軟體程式,該一或多個軟體程式係藉由相應處理器212及222執行以實施本文中所述之功能之至少一部分。舉例而言,如搭配隨後圖式及按其他方式在本文中所述之安全管理操作及其他功能可使用藉由處理器212及222執行之軟體碼,採用一直接方式來實施。
記憶體216及226中之一給定者因此可視為在本文中更一般地稱為一電腦程式產品、或再更一般地稱為具有可執行程式碼具體實現於其中之一處理器可讀儲存媒體之一實例。處理器可讀儲存媒體之其他實例可包括碟片或其
他類型之磁性或光學媒體,採用任何組合。說明性實施例可包括包含此類電腦程式產品或其他處理器可讀儲存媒體之製品。
再者,記憶體216及226更特別的是,舉例而言,可包括電子隨機存取記憶體(RAM),諸如靜態RAM(SRAM)、動態RAM(DRAM)或其他類型之依電性或非依電性電子記憶體。後者舉例而言,可包括非依電性記憶體,諸如快閃記憶體、磁性RAM(MRAM)、相變RAM(PC-RAM)或鐵電RAM(FRAM)。「記憶體」一詞於本文中使用時,係意欲予以廣義地詮釋,並且可另外或替代地含括例如一唯讀記憶體(ROM)、一碟片式記憶體、或其他類型之儲存裝置、以及此類裝置之部分或組合。
介面電路系統210及220採說明方式包含收發器或其他通訊硬體或韌體,其允許相關聯之系統元件採用本文中所述之方式彼此通訊。
從圖2顯而易見的是,使用者裝備202及複數個網路實體204被組配用於作為安全管理參與者經由其相應介面電路系統210及220彼此通訊。此通訊涉及各參與者發送資料至及/或接收資料自其他參與者中之一或多者。「資料」一詞於本文中使用時,係意欲予以廣義地詮釋,以含括可在參與者之間發送之任何類型之資訊,包括、但不限於身份資料、金鑰對、金鑰指示符、安全管理訊息、註冊請求/回應訊息及資料、請求/回應訊息、認證請求/回應訊息及資料、元資料、控制資料、音訊、視訊、多媒體、其他訊息等。
要了解,圖2所示組件之特定布置結構僅是一實例,並且可在其他實施例中使用眾多替代組態。舉例而言,任何給定之網路元件/功能都可被組配用以合併附加或替代組件,並且用以支援其他通訊協定。
諸如gNB 104、SMF 110及UPF 112之其他系統元件各可被組配用以包括諸如一處理器、記憶體及網路介面之組件。這些元件不需要在單獨之獨立處理平台上實施,而是舉例而言,可代表單一公用處理平台之不同功能部分。
更一般而言,圖2可視為代表被組配用以提供相應安全管理功能並且在一通訊系統中彼此操作性耦合之處理裝置。
如上述,3GPP TS 23.501將5G系統架構定義為基於服務,例如基於服務之架構(SBA)。在本文中明白,部署不同NF時,可有許多情況,其中一NF可需要與基於SBA之5G核心網路外部之一實體(例如,包括對應之(諸)PLMN,例如HPLMN及VPLMN)互動。因此,「內部」一詞於本文中使用時,採說明方式意指為基於SBA之5G核心網路(例如:基於SBA之介面)內之操作及/或通訊,而「外部」一詞採說明方式意指為基於SBA之5G核心網路(非SBA介面)外面之操作及/或通訊。
鑑於以上對一5G網路之一些說明性特徵之一般說明,本文中現將在下文說明根據說明性實施例所提之現有UE新登處理方法及解決方案。
如以上在[先前技術]一節中所述,新登處理係藉以佈建首次上線之新裝置(例如:UE 102)的過程。現有UE新登處理舉例而言,涉及以下步驟(如需進一步細節,請參閱上述TS 23.501及TS 33.501):
(i)在製造期間,UE接收一組預設憑證,其包括稱為一新登處理SUPI(ON-SUPI)之一獨特識別符、一私用金鑰以及用於採密碼編譯方式保護ON-SUPI之一對應憑證。
(ii)ON-SUPI及對應憑證係由稱為預設憑證擁有者(DCO)之一實體發行,其通常可以是裝置製造商。
(iii)如果一新登處理UE使用其預設憑證連線至一新登處理網路,諸如一新登處理獨立非公共網路(ON-SNPN),則ON-SNPN調用一認證伺服器,稱為一預設憑證伺服器(DCS),其係由DCO操作(請參閱3GPP TS 23.501)。
(iv)認證成功之後,新登處理UE可建立使用者平面(UP)連線能力,僅允許將其用於佈建目的。也就是說,只可能連線至一佈建伺服器(PVS)或網域名稱伺
服器(DNS)。
(v)新登處理UE建立連至PVS之一連線並從PVS接收SO-SNPN特定憑證。
目前由3GPP認可之新登處理解決方案包括部署由一DCO操作之一DCS。然而,在本文中明白,此一實作態樣為新登處理網路(其原則上可以是多個網路)與DCS之間的整合添增額外手法。由於新登處理網路及DCO之數量可能非常大,這對於生態系統跨越不同網路及網域適當地部署新登處理服務增加了負擔。
在本文中還明白,部署一DCS會添增一安全風險,因為其開啟了一新登處理UE連線至ON-SNPN之網域外面之一伺服器的可能性。對於特殊用途網路(例如:工業、關鍵基礎設施或軍事),這是一特殊問題,其中安全性係嚴格基於隔離之概念。
因此,一解決方案需要將一ON-SNPN之接取權限制於UE,其係由ON-SNPN或受ON-SNPN信賴之一實體授權,還需要將連線能力服務僅限制於遠端佈建過程(亦即,允許新登處理UE僅連線至PVS或DNS)。
說明性實施例使用預設憑證在一新登處理UE與一新登處理網路之間提供相互認證而不需要部署DCS,提供因應與現有方法相關聯之以上及其他挑戰的解決方案。舉例而言,在一些說明性實施例中,部署在UE上之預設憑證包含一私用金鑰及由DCO發行之一憑證,其可藉由ON-SNPN使用由一憑證機構(CA)發行之憑證來驗證,該憑證係用於簽署UE之預設憑證。根據說明性實施例,引進可組配新登處理記錄之概念,以限制經授權新登處理UE之接取,並且將連線能力服務限制於僅遠端佈建過程。
以舉例方式,圖3根據一說明性實施例,繪示用於使用者裝備之一新登處理過程300。如所示,假設UE 302係一新登處理UE,並且裝置擁有者304代表UE 302之製造商或其他擁有者。請注意,裝置擁有者304可以是一個人、一
運算系統或其他處理裝置、或製造商透過其與通訊網路310互動之其他實體。進一步假設通訊網路310係UE 302正在與之進行新登處理過程之網路,即ON-SNPN。如所示,通訊網路310包含AMF 312、SMF 314、AUSF 316、UDM/UDR 318、NEF 320及UPF 322。要了解,通訊網路310可包含未明確示出之其他NF。進一步,如將顯而易見且如將在下文進一步解釋者,進行新登處理過程300而不需要部署DCS。
一般而言,如圖3所示,UE 302為註冊、認證及對話管理目的,經由AMF 312與通訊網路310通訊。請注意,為了例示簡便起見,未明確示出將UE 302與通訊網路310連線之無線電接取網路(例如,包括一或多個gNB)。AMF 312搭配AUSF 316及UDM/UDR 318進行UE 302之認證(授權),並且憑藉UDM/UDR 318為UE 302進行脈絡管理註冊。一旦UE 302經認證,SMF 314便經由UPF 322為UE 302與PVS 330建立一受限對話。
更特別的是,如所示,裝置擁有者304透過NEF 320向UDM/UDR 318提供資訊以組配新登處理記錄319。替代地,裝置擁有者304可透過另一NF或直接經由藉由UDM/UDR 318提供之一介面(例如:一應用程式規劃介面或API)來提供此類資訊。裝置擁有者304可提供單一ON-SUPI、一系列單一ON-SUPI、一網域或任何其他資訊以允許尋址UDM/UDR 318中之新登處理記錄319。為該目的,假設裝置擁有者304與潛在新登處理網路,即諸如通訊網路310之ON-SNPN,之間有一協議,裝置擁有者304經由該協議被授予對NEF 318、另一NF或UDM/UDR 318之接取權,並且該協議係用於授權來自裝置擁有者304之請求。
UDM/UDR 318或任何其他網路功能儲存新登處理記錄319。以舉例方式,新登處理記錄319包含一ON-SUPI(或ON-SUCI)、一CA憑證、及PVS資訊以及用於新登處理之任何其他資訊。CA憑證資訊係由AUSF 316用於驗證由
UE 302提供之一憑證。PVS資訊可為PVS 330包含一完全合格網域名稱(FQDN)及/或網際網路協定(IP)位址,其用在新登處理UE 302之成功初級認證之後發生之過程(經由PVS 330)之遠端佈建部分期間。UDM/UDR 318中之新登處理記錄319可藉由使用ON-SUPI或安全儲存在裝置上之任何其他識別符(例如:一永久裝備識別符或PEI)、或UE 302之裝置憑證之部分來存取。每個裝置或每個裝置群組可由UDM/UDR 318儲存新登處理記錄。在使用ON-SUPI作為一存取金鑰之狀況中,根據一或多項例示性實施例並且如上述,對於單一新登處理SUPI(device12345@example.com)、對於一系列新登處理SUPI可有一筆新登處理記錄,或對於整個新登處理SUPI網域(example.com)可有一筆記錄。依照相同方式,對於PVS 330每個ON-SUPI可儲存有一個FQDN/IP位址,或者對於PVS 330可為一ON-SUPI群組或屬於某一網域或子網域之所有ON-SUPI儲存有一個FQDN/IP位址。
AUSF 316及UDM/UDR 318適用於使用新登處理記錄、及例如使用儲存在這些記錄中之根憑證來實現新登處理UE之認證。因此,舉例而言,如所示,AUSF 316使用儲存在UDM/UDR 318中之新登處理記錄319來授權UE 302。再者,AMF 312基於ON-SUPI/ON-SUCI或從UE 302接收之任何其他識別符來選擇AUSF 316。AMF 312在UE 302之新登處理註冊期間從UDM/UDR 318取回用於PVS 330之FQDN/IP位址或其他資訊。
可將諸如新登處理記錄319之新登處理記錄從UDM/UDR 318移除(刪除)。一旦UE 302之遠端佈建成功執行,這可由裝置擁有者304直接透過NEF 320、另一NF或UDM/UDR 318,經由一明確請求完成。替代地,UDM/UDR 318可隱含地從新登處理網路,即通訊網路310,移除藉由UE 302之取消註冊所觸發之新登處理記錄319。再者,新登處理記錄319可具有一有限壽命,並且係在該壽命期滿之後自動刪除,亦即,新登處理受限於由新登處理記錄319之壽命所定
義之時窗,並且一旦新登處理記錄319自動刪除,UE 302便藉由通訊網路310取消註冊。
圖4根據一說明性實施例,繪示用於使用者裝備之一新登處理過程中之一信令流程400。如所示,信令流程400涉及參與者:UE 402、AMF 404、SMF 406、UPF 408、AUSF 410及UDM/UDR 412。如將顯而易見的是,信令流程400中之參與者具有與以上在圖3之脈絡中所述組件相同或類似之功能。要了解,儘管信令流程400中之步驟之說明假設將一ON-SUPI用於識別新登處理記錄,但在替代實施例中仍可使用另一識別符。
在步驟1中,UE 402及AUSF 410開始使用可延伸認證協定-傳輸層安全性(EAP-TLS)來執行初級認證。然而,可使用一或多種替代初級認證方法。AUSF 410從接收自AMF 404之一認證請求推導出需要為UE 402執行之新登處理過程。在一項實例中,可將SUCI之一本地網路身份(HNI)設定為一預定義值,或可將一新登處理指示從AMF 404發送至AUSF 410。替代地,可指派一專屬SUPI類型來指出新登處理。在UE 402已驗證AUSF 410之伺服器憑證之後,UE 402發送其自有UE憑證。
在步驟2中,AUSF 410使用ON-SUPI或任何其他識別符(例如,推導自在步驟1中接收之UE憑證)向UDM/UDR 412發送一授權請求。此授權請求可以是一全新請求或一現有請求之一延伸。
在步驟3中,UDM/UDR 412檢查是否存在與ON-SUPI匹配之一新登處理記錄。此檢查包括個別新登處理記錄,其涵蓋單一ON-SUPI或一組ON-SUPI。
在步驟4中,如果步驟3中之檢查成功,則UDM/UDR 412向AUSF 410回覆從新登處理記錄取回之CA憑證;否則,UDM/UUDR 412向AUSF 410回覆一適當之錯誤訊息。
在步驟5中,AUSF 410使用由UDM/UDR 412在步驟4中供應之CA憑證來驗證UE憑證。
在步驟6中,AUSF 410藉由向AMF 404發送ON-SUPI(連同適當之5G金鑰)來完成初級認證。
在步驟7中,AMF 404使用ON-SUPI作為一請求參數向UDM/UDR 412發送註冊請求。舉例來說,根據一說明性實施例,Udm_UEContextManagement(amf-3ggp-access)註冊請求可用於此目的。
在步驟8中,UDM/UDR 412向AMF 404回覆一註冊回應,其包括PVS資訊(例如:FQDN/IP位址)及依據現有協定可能期望或按其他方式需要、或對於新登處理過程可能需要之任何其他資訊。如果在步驟7中使用一Udm_UEContextManagement註冊請求,則根據一說明性實施例,可為此目的延伸Udm_UEContextManagement中之Amf3GppAccessRegistration資料結構。
隨後,受限使用者平面連線能力係使用PVS資訊及上述任何附加資訊作為輸入來建立,以及UE 402連線至PVS,並且從PVS接收一規律性SO-SNPN用戶設定檔。這會在步驟9至12中總結。
在步驟9中,AMF 404通知UE 402已接受UE註冊,且因此可繼續進行遠端佈建。
在步驟10中,UE 402向AMF 404發送用於遠端佈建之一對話請求。
在步驟11中,AMF 404以PVS資訊及上述任何附加資訊作為輸入向SMF 406發送一對話建立請求。
在步驟12中,基於PVS及任何其他資訊,SMF 406將對話建立請求轉發至UPF 408,其接著將對話建立請求轉發至適當之PVS(圖未示),使得可由PVS繼續進行UE 402之遠端佈建。
圖5根據一說明性實施例,為建立/刪除用於使用者裝備之新登處
理記錄繪示一信令流程500。如所示,信令流程500涉及參與者:裝置擁有者502、入口網站504及UDM/UDR506。如將顯而易見的是,信令流程500中之參與者具有與以上在圖3之脈絡中所述組件相同或類似之功能。請注意,入口網站504舉例而言,可予以實施成NEF、另一NF、或與UDM/UDR 506相關聯之一API之部分。要了解,儘管信令流程500中之步驟之說明假設將一ON-SUPI用於識別新登處理記錄,但在替代實施例中仍可使用另一識別符。
在步驟1中,裝置擁有者502(或負責新登處理一UE之任何其他實體)與ON-SNPN之入口網站504(例如:圖3中之通訊網路310)連線。來自裝置擁有者502之請求包括新登處理UE(例如:UE 302)之ON-SUPI及裝置擁有者502從DCO接收之CA憑證,以及裝置擁有者502從稱為訂用擁有者SNPN(SO-SNPN)之一訂用持有者接收之其他資訊。
如上述,可將入口網站504實施成ON-SNPN之NEF之部分或利用ON-SNPN之NEF,或其可獨立於ON-SNPN之NEF來實施,舉例而言,直接在UDM/UDR 506處或在任何其他NF處實施。
在步驟2中,入口網站504授權傳入新登處理請求。這包括檢查請求者(例如:裝置擁有者502)是否有被給與權利並受信賴提出請求。舉例來說,請求者可以是ON-SNPN營運商之一員工或ON-SNPN之一受信賴商業合作夥伴。該授權亦包括檢查所提供之PVS資訊與ON-SNPN之政策是否一致。舉例而言,新登處理請求可僅在PVS或其他資訊意指之ON-SNPN及SNPN(例如:SO-SNPN)具有一恰當業務協議、並且已執行技術或業務相關整合步驟之情況下才予以授權。
在步驟3中,在成功授權之後,入口網站504向UDM/UDR 506發送一請求,以將一新新登處理記錄新增至UDM/UDR 506,其含有ON-SUPI、CA憑證、PVS及其他資訊。
要了解,步驟3中發送之PVS及其他資訊與步驟2中接收之PVS資訊可非為相同資訊。反而,入口網站504可執行中間步驟以推導新PVS資訊,這比使用在步驟2中接收之PVS資訊更適合供AMF、SMF、PCF及UPF解譯。舉例來說,裝置擁有者502可僅提供SO-SNPN之名稱,並且入口網站504(或由該入口網站使用之任何其他實體)可從與SO-SNPN之預先整合將此名稱轉化成對ON-SNPN屬於已知之IOP位址或FQDN之一清單。
在步驟4中,UDM/UDR 504為(諸)ON-SUPI新增一新新登處理記錄,其包括CA憑證、PVS及其他資訊。
如以上在圖3之脈絡中所述,說明性實施例提供用於將新登處理記錄從UDM/UDR 506刪除之方法。步驟5中總結此新登處理記錄刪除操作。
在一種方法中,裝置擁有者502(或發起新登處理請求之實體)可明確地請求使用與圖5之步驟1至4中所述類似之一流程來刪除新登處理記錄。代替向入口網站504在步驟1中發出一「請求新登處理」命令,裝置擁有者502發出一「新登處理完成」命令。在授權之後,其可包括該請求者與先前已請求新登處理之請求者是否相同之一檢查,入口網站504可觸發UDM/UDR 506處新登處理記錄之刪除。
在另一方法中,新登處理記錄之刪除可藉由AMF與UDM之間的互動來觸發。僅以舉例方式,新登處理記錄之刪除可由註冊請求觸發(圖4中之步驟7),或刪除可由從AMF發送至UDM之一取消註冊請求觸發,其發生在UE與PVS之間的通訊已成功完成之後。另一實施例可包含UE,當其從ON-SNPN取消註冊時,在對AMF之取消註冊請求中指出遠端佈建已成功完成。
於再一實施例中,如上述,新登處理記錄可具有有限壽命。可將壽命參數定義為「請求新登處理」命令之部分(圖5中之步驟1),或壽命參數可由ON-SNPN基於其自有政策來設定。僅以舉例方式,壽命參數可由一持續時間、
一時窗、或一到期日期來定義。壽命參數可連同一新登處理記錄由UDM/UDR 506儲存。UDM/UDR 506在一規律性基礎上掃描所有新登處理記錄,並且刪除或停用所有過期之新登處理記錄。另外,如果一新登處理記錄之壽命係由具有一開始時間之一時窗來定義,則無法在開始時間之前使用一新登處理記錄。
搭配本文中所述之簡圖作說明之特定處理操作及其他系統功能係僅以說明性舉例方式呈現,並且不應視為採用任何方式限制本揭露之範疇。替代實施例可使用其他類型之處理操作及傳訊協定。舉例而言,該等步驟之順序在其他實施例中可改變,或某些步驟可至少部分地彼此並行進行而不是以序列方式進行。此外,可週期性地重複該等步驟中之一或多者,或可彼此平行地進行該等方法之多個例子。
應該再次強調的是,本文中所述之各項實施例係僅以說明性舉例方式呈現,並且不應視為限制申請專利範圍之範疇。舉例而言,替代實施例可利用與以上在說明性實施例之脈絡中所述不同之通訊系統組態、使用者裝備組態、基地台組態、佈建及使用過程、傳訊協定以及訊息格式。隨附申請專利範圍之範疇內之這些及眾多其他替代實施例對所屬技術領域中具有通常知識者將輕易地顯而易見。
100:通訊系統
102:UE
103:空氣介面
104:接取點/gNB
106:行動性管理功能
108:網路功能
110:SMF
112:UPF
114:網路
Claims (36)
- 一種通訊設備,其包含:至少一個處理器;至少一個記憶體,其含有電腦程式碼;該至少一個記憶體及該電腦程式碼被組配成可配合該至少一個處理器而致使該設備至少進行下列作業:致使在該設備與一新登處理網路之間的一認證過程被發起,其中,該認證過程係以至少一個新登處理記錄為基礎,該至少一個新登處理記錄係先前經由該新登處理網路而針對該設備或一組設備所組配、並由該新登處理網路所維護的;以及在成功完成該認證過程之後,透過該新登處理網路而向一佈建伺服器請求一通訊對話以供用於對該設備的遠端佈建。
- 如請求項1之設備,其中,該新登處理網路包含一新登處理獨立非公共網路(ON-SNPN)。
- 如請求項1之設備,其中,該設備係被組配來接取該新登處理網路的使用者裝備的一部分。
- 如請求項3之設備,其中,由該新登處理網路維護的該至少一個新登處理記錄包含由該使用者裝備所特有的一新登處理識別符。
- 如請求項4之設備,其中,由該使用者裝備所特有的該新登處理識別符包含該使用者裝備之訂用識別符。
- 如請求項5之設備,其中,該使用者裝備之該訂用識別符包含一新登處理訂用永久識別符(SUPI)及一新登處理訂用消隱識別符(SUCI)其中一者。
- 一種通訊方法,其包含下列步驟: 藉由使用者裝備,致使在該使用者裝備與一新登處理網路之間的一認證過程被發起,其中,該認證過程係以至少一個新登處理記錄為基礎,該至少一個新登處理記錄係先前經由該新登處理網路而針對該使用者裝備或一組使用者裝備所組配、並由該新登處理網路所維護的;在成功完成該認證過程之後,透過該新登處理網路而向一佈建伺服器請求一通訊對話以供用於對該使用者裝備的遠端佈建;以及在成功完成遠端佈建之後,從該新登處理網路取消註冊,並在一取消註冊請求中向該新登處理網路提供有關成功遠端佈建的一指示。
- 如請求項7之方法,其中,該新登處理網路包含一新登處理獨立非公共網路(ON-SNPN)。
- 如請求項7之方法,其中,由該新登處理網路維護的該至少一個新登處理記錄包含由該使用者裝備所特有的一新登處理識別符。
- 如請求項9之方法,其中,由該使用者裝備所特有的該新登處理識別符包含一新登處理訂用永久識別符(SUPI)及一新登處理訂用消隱識別符(SUCI)其中一者。
- 一種包含非暫時性電腦可讀儲存媒體的製品,在該非暫時性電腦可讀儲存媒體中含有可執行程式碼,該可執行程式碼在由一處理器執行時會致使該處理器進行如請求項7所述之步驟。
- 一種通訊系統,其包含:一或多個處理器;一或多個記憶體,其含有電腦程式碼;該一或多個記憶體及該電腦程式碼被組配成可配合該一或多個處理器而致使該系統至少進行下列作業:經由一新登處理網路之一或多個網路實體,基於至少一個新登處理記 錄而認證使用者裝備,其中,該至少一個新登處理記錄係先前針對該使用者裝備或一組使用者裝備所組配、並由該一或多個網路實體中之一者所維護的;以及在成功認證之後,經由該一或多個網路實體中之至少一者而致能對一佈建伺服器的一通訊對話以供用於對該使用者裝備的遠端佈建。
- 如請求項12之系統,其中,該系統係一新登處理獨立非公共網路(ON-SNPN)的一部分。
- 如請求項12之系統,其中,該一或多個網路實體中之所藉以組配及維護該至少一個新登處理記錄的該網路實體包含一或多個資料管理及儲存庫網路功能。
- 如請求項14之系統,其中,該一或多個資料管理及儲存庫功能包含一統一資料管理(UDM)功能及一統一資料儲存庫(UDR)功能其中至少一者。
- 如請求項14之系統,其中,該一或多個資料管理及儲存庫網路功能可受操作來進行下列作業:(1)從與該使用者裝備相關聯的一所有權實體接收組態資訊;(2)從所接收到的該組態資訊中建立該至少一個新登處理記錄;以及(3)儲存該至少一個新登處理記錄。
- 如請求項14之系統,其中,該一或多個資料管理及儲存庫網路功能進一步可受操作來基於下列中之一或多者而刪除該至少一個新登處理記錄:(1)一明確請求;(2)一觸發動作;以及(3)與該至少一個新登處理記錄相關聯的一壽命參數。
- 如請求項14之系統,其中,該至少一個新登處理記錄包含由該使用者裝備所特有的一新登處理識別符。
- 如請求項18之系統,其中,由該使用者裝備所特有的該新登 處理識別符可被使用來取用由該一或多個資料管理及儲存庫功能所儲存的該至少一個新登處理記錄。
- 如請求項14之系統,其中,該至少一個新登處理記錄進一步包含複數個新登處理識別符,該等複數個新登處理識別符各與複數個使用者裝備中之一不同者相對應,且各係由所對應之使用者裝備所特有。
- 如請求項14之系統,其中,該至少一個新登處理記錄進一步包含由一憑證機構所發之一憑證。
- 如請求項21之系統,其中,由該憑證機構所發之該憑證可由該一或多個網路實體中之另一者使用來驗證由該使用者裝備所提供的一憑證。
- 如請求項22之系統,其中,使用由該認證機構發之該憑證來驗證由該使用者裝備所提供之該憑證的該一或多個網路實體中之該另一者包含一認證伺服器功能(AUSF)。
- 如請求項22之系統,其中,被用來驗證由該使用者裝備所提供之該憑證的該一或多個網路實體中之該另一者可被該一或多個網路實體中之又另一者基於該使用者裝備所特有的一新登處理識別符選擇。
- 如請求項24之系統,其中,該一或多個網路實體中之該又另一者包含一接取與行動性管理功能(AMF)。
- 如請求項14之系統,其中,該至少一個新登處理記錄進一步包含用於在成功認證之後接取該佈建伺服器以建立該通訊對話來對該使用者裝備進行遠端佈建的資訊。
- 一種通訊方法,其包含下列步驟:經由一新登處理網路,基於一新登處理記錄而認證使用者裝備,該新登處理記錄係先前針對該使用者裝備或一組使用者裝備所組配、並由該新登處理網路所維護的;以及 在成功認證之後,建立從該新登處理網路至一佈建伺服器的一通訊對話以供用於該使用者裝備之遠端佈建。
- 如請求項27之方法,其中,該認證步驟進一步包含:該新登處理網路之一第一網路實體向該新登處理網路之一第二網路實體發送一授權請求,其中,該授權請求包含由該使用者裝備所特有的一識別符、及指出該授權請求旨在新登處理的一指示。
- 如請求項28之方法,其中,該認證步驟進一步包含:該第二網路實體基於由該使用者裝備所特有之該識別符而取得該新登處理記錄,以及向該第一網路實體發送一授權回應,其中,該授權回應包含由一憑證機構所發之一憑證。
- 如請求項29之方法,其中,該認證步驟進一步包含:該第一網路實體利用由該認證機構所發之該憑證來驗證由該使用者裝備所提供的一憑證,以及在成功驗證之後,向該新登處理網路之一第三網路實體發送一認證回應,其中,該認證回應包含由該使用者裝備所特有之該識別符。
- 如請求項30之方法,其中,該認證步驟進一步包含:該第三網路實體向該第二網路實體發送一註冊請求,其中,該註冊請求包含由該使用者裝備所特有之該識別符、或由該使用者裝備所特有且係由該使用者裝備所提供的任何其他識別符。
- 如請求項31之方法,其中,該認證步驟進一步包含:該第二網路實體向該第三網路實體發送一註冊回應,其中,該註冊回應包含用於接取佈建伺服器的資訊,以及該第三網路實體向該使用者裝備提供一註冊接受。
- 如請求項32之方法,進一步包含在該認證步驟之前的下述步驟:該第二網路實體(1)從與該使用者裝備相關聯的一所有權實體接收組態資訊,(2)從所接收到的該組態資訊建立該新登處理記錄,並且(3)儲存該至少一個新登處理記錄。
- 如請求項33之方法,其中,該第二網路實體基於下列中之一或多者而刪除該新登處理記錄:(1)一明確請求;(2)一觸發動作;以及(3)與該新登處理記錄相關聯的一壽命參數。
- 如請求項34之方法,其中,該第一網路實體包含一認證伺服器功能(AUSF),該第二網路實體包含一統一資料管理(UDM)功能及/或一統一資料儲存庫(UDR)功能,且該第三網路實體包含一接取與行動性管理功能(AMF)。
- 一種包含非暫時性電腦可讀儲存媒體的製品,在該非暫時性電腦可讀儲存媒體中含有可執行程式碼,該可執行程式碼在由一或多個處理器執行時會致使該一或多個處理器進行如請求項27所述之步驟。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN202141035567 | 2021-08-06 | ||
| IN202141035567 | 2021-08-06 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202308363A TW202308363A (zh) | 2023-02-16 |
| TWI827187B true TWI827187B (zh) | 2023-12-21 |
Family
ID=83149157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW111129391A TWI827187B (zh) | 2021-08-06 | 2022-08-04 | 用於新登處理之使用者裝備與通訊網路間之認證技術 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230045417A1 (zh) |
| JP (1) | JP2023024400A (zh) |
| TW (1) | TWI827187B (zh) |
| WO (1) | WO2023012255A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220360584A1 (en) * | 2021-05-09 | 2022-11-10 | Nokia Technologies Oy | Data management for authorizing data consumers in communication network |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190261178A1 (en) * | 2016-07-05 | 2019-08-22 | Samsung Electronics Co., Ltd. | Method and system for authenticating access in mobile wireless network system |
| US20210058784A1 (en) * | 2019-11-08 | 2021-02-25 | Intel Corporation | User equipment onboarding based on default manufacturer credentials unlicensed |
| TW202201995A (zh) * | 2020-05-15 | 2022-01-01 | 香港商翼勝科技有限公司 | 無線通信的裝置和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112584486B (zh) * | 2019-09-30 | 2022-08-09 | 华为技术有限公司 | 一种通信方法及装置 |
-
2022
- 2022-08-02 US US17/879,101 patent/US20230045417A1/en active Pending
- 2022-08-04 TW TW111129391A patent/TWI827187B/zh active
- 2022-08-04 WO PCT/EP2022/071894 patent/WO2023012255A1/en unknown
- 2022-08-05 JP JP2022125437A patent/JP2023024400A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190261178A1 (en) * | 2016-07-05 | 2019-08-22 | Samsung Electronics Co., Ltd. | Method and system for authenticating access in mobile wireless network system |
| US20210058784A1 (en) * | 2019-11-08 | 2021-02-25 | Intel Corporation | User equipment onboarding based on default manufacturer credentials unlicensed |
| TW202201995A (zh) * | 2020-05-15 | 2022-01-01 | 香港商翼勝科技有限公司 | 無線通信的裝置和方法 |
Non-Patent Citations (2)
| Title |
|---|
| 網路文獻 Ericsson, Qualcomm, MediaTek Inc., etc., "UE onboarding", 3GPP TSG-SA WG2 Meeting #145-e; 2021/05/31. https://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_145E_Electronic_2021-05/INBOX; * |
| 網路文獻 Huawei, HiSilicon, Samsung, "De-registration for onboarding registered UE", 3GPP TSG-WG SA2 Meeting #145E e-meeting; S2-2105032, 2021/05/28. https://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_145E_Electronic_2021-05/INBOX * |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202308363A (zh) | 2023-02-16 |
| WO2023012255A1 (en) | 2023-02-09 |
| US20230045417A1 (en) | 2023-02-09 |
| JP2023024400A (ja) | 2023-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11716621B2 (en) | Apparatus and method for providing mobile edge computing services in wireless communication system | |
| US10645583B2 (en) | Security management for roaming service authorization in communication systems with service-based architecture | |
| EP3752941B1 (en) | Security management for service authorization in communication systems with service-based architecture | |
| US20210250186A1 (en) | Security management for edge proxies on an inter-network interface in a communication system | |
| US20210234706A1 (en) | Network function authentication based on public key binding in access token in a communication system | |
| US11722891B2 (en) | User authentication in first network using subscriber identity module for second legacy network | |
| CN112020869B (zh) | 在通信系统中的统一订阅标识符管理 | |
| US11924641B2 (en) | Security management for service access in a communication system | |
| US20150172269A1 (en) | Automated negotiation and selection of authentication protocols | |
| US20220248225A1 (en) | Secure access control in communication system | |
| WO2020053481A1 (en) | Network function authentication using a digitally signed service request in a communication system | |
| WO2022018580A1 (en) | Service authorization in communication systems | |
| TWI827187B (zh) | 用於新登處理之使用者裝備與通訊網路間之認證技術 | |
| WO2020208294A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over public network | |
| WO2020208295A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over private network | |
| US20240154803A1 (en) | Rekeying in authentication and key management for applications in communication network | |
| US11956627B2 (en) | Securing user equipment identifier for use external to communication network | |
| WO2024017487A1 (en) | Authorizing a non-seamless wireless local area network offload route |