CN110235423A - 对用户设备的辅认证 - Google Patents
对用户设备的辅认证 Download PDFInfo
- Publication number
- CN110235423A CN110235423A CN201780084867.1A CN201780084867A CN110235423A CN 110235423 A CN110235423 A CN 110235423A CN 201780084867 A CN201780084867 A CN 201780084867A CN 110235423 A CN110235423 A CN 110235423A
- Authority
- CN
- China
- Prior art keywords
- eap
- user equipment
- smf
- certification
- auxiliary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/25—Maintenance of established connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/10—Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/022—Selective call receivers
- H04W88/023—Selective call receivers with message or information receiving capability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Accounting & Taxation (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Collating Specific Patterns (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用户设备(18),被配置为从会话管理功能SMF(14)接收可扩展认证协议EAP请求(28),其中所述SMF充当用于对所述用户设备(18)的辅认证的EAP认证器。所述辅认证是除了对所述用户设备(18)的主认证之外的对所述用户设备(18)的认证。所述用户设备(18)还被配置为响应于所述EAP请求(28),向所述SMF(14)发送EAP响应(30)。
Description
相关申请
本申请要求于2017年1月27日提交的序列号为62/451,645的美国临时专利申请的优先权,其全部内容通过引用并入本文。
技术领域
本申请总体涉及无线通信网络,并且具体地涉及对被配置用于无线通信网络中的用户设备的辅认证。
背景技术
无线通信网络通常基于由网络运营商预先提供并且被用户设备安全地存储的凭证来对该用户设备进行认证。支持用于对用户设备进行认证的替代方式将使无线通信网络进而能够支持各种可能的用例。例如,这将允许工厂所有者或企业针对认证和接入网络安全利用他们自己的标识和凭证管理***。
但是,支持替代认证方法在技术上具有挑战性。许多认证方法对传输网络有严格的建议和要求。此外,依赖于互联网协议(IP)连接来支持替代认证方法证明是不灵活的,并且危及控制平面与用户平面之间的分离。
发明内容
本文的一个或多个实施例利用用户设备与控制平面功能(例如,会话管理功能SMF)之间的可扩展认证协议(EAP),以便提供对用户设备的认证。这种认证可以是例如除了对用户设备的主认证之外(例如,在其之后)还被执行的辅认证。无论如何,以这种方式利用EAP可以证明是有利的,因为它支持不同类型的认证方法,不依赖于IP连接或特定类型的接入网络,和/或是基于控制平面的,从而保持控制平面与用户平面之间的分离。
更具体地,本文的实施例包括用于对用户设备的辅认证的方法。该方法可以包括:由用户设备从会话管理功能(SMF)接收可扩展认证协议(EAP)请求,其中所述SMF充当用于对用户设备的辅认证的EAP认证器,其中,辅认证是除了对用户设备的主认证之外的对用户设备的认证。该方法还可以包括:响应于EAP请求,从用户设备向SMF发送EAP响应。
本文的实施例还包括用于对用户设备的辅认证的方法。该方法可以包括:从会话管理功能(SMF)向用户设备发送可扩展认证协议(EAP)请求,其中所述SMF充当用于对用户设备的辅认证的EAP认证器,其中,辅认证是除了对用户设备的主认证之外的对用户设备的认证。该方法还可以包括:响应于EAP请求,在SMF处从用户设备接收EAP响应。
在一些实施例中,SMF还充当EAP服务器,其中所述EAP服务器执行用于对用户设备的辅认证的EAP认证方法。在其他实施例中,SMF被配置为在用户设备与EAP服务器之间转发EAP请求和EAP响应,其中所述EAP服务器执行EAP认证器的EAP认证方法。
本文的其他实施例包括用于对用户设备的辅认证的方法。该方法可以包括:经由会话管理功能(SMF)从EAP服务器向用户设备发送可扩展认证协议(EAP)请求,其中,所述SMF充当用于对用户设备的辅认证的直通(pass-through)EAP认证器,其中,辅认证是除了对用户设备的主认证之外的对用户设备的认证,并且其中,EAP服务器被配置为执行用于EAP认证器的EAP认证方法。该方法还可以包括:响应于EAP请求,在EAP服务器处经由SMF从用户设备接收EAP响应。
在一些实施例中,用户设备和SMF被配置用于无线通信网络中,其中,EAP服务器位于数据网络中,用户设备请求与所述数据网络的用户平面会话,其中,对用户设备的辅认证是对用户设备建立用户平面会话的认证,其中,辅认证由无线通信网络委派给数据网络。
在一些实施例中,经由SMF选择的用户平面功能在SMF与EAP服务器之间发送EAP请求和EAP响应。在一个实施例中,例如,用户平面功能充当EAP服务器的代理。在另一实施例中,用户平面功能充当路由器,其中经由所述路由器对于用户平面功能透明地发送EAP请求和EAP响应。
在这些实施例中的任何一个中,EAP请求和EAP响应可以被封装在SMF与UE之间的相应的非接入层(NAS)协议消息内。
在一些实施例中,在核心网络中的安全锚功能对用户设备进行主认证之后执行所述发送和接收。
在一些实施例中,核心网络包括分别专用于不同服务的多个不同的网络切片,其中,对用户设备的辅认证包括对用户设备接入核心网络的特定网络切片的切片特定认证。
在一些实施例中,该方法还包括:基于对用户设备的成功的辅认证,获得在用户设备与SMF之间共享的安全密钥。
在一些实施例中,从用户设备发送的会话建立请求触发对用户设备的辅认证。在一个这样的实施例中,会话建立请求包括用户设备的用于辅认证的辅标识。替代地或附加地,向用户设备发送的会话建立响应包括指示辅认证成功的EAP成功消息或指示辅认证失败的EAP失败消息。
在一些实施例中,该方法还包括:将对用户设备的辅认证绑定到用于执行辅认证的信道。
在一些实施例中,该方法还包括:基于对用户设备的成功的辅认证,导出在用户设备与SMF之间共享的安全密钥,其中,所述导出包括根据与用于执行辅认证的信道相关联的绑定信息来导出安全密钥。在一个这样的实施例中,所述绑定信息包括以下中的一项或多项:标识用户设备经由其接入无线通信网络的接入网络的类型的信息;标识无线通信网络的核心网络的类型的信息;标识用户设备正请求接入的核心网络切片的信息;以及标识用户设备正请求接入的核心网络切片的类型的信息。
在一些实施例中,SMF被包括在5G网络中。
实施例还包括对应的装置、计算机程序和载体。
因此,本文的一些实施例可以使用EAP(rfc3748)来进行用户设备(UE)与可能的外部认证、授权和计费(AAA)服务器之间的认证,其中SMF(5G核心中的会话管理功能)采取EAP认证器的角色。EAP有效载荷可以由UE与SMF之间的非接入层(NAS)协议来承载。NAS协议是控制平面的最高层。NAS协议可以在NAS移动性管理(NAS-MM)与NAS会话管理(NAS-SM)之间划分,并且NAS-SM消息在NAS-MM上承载在透明容器中。SMF与可能位于外部域中的后端AAA服务器进行交互。EAP分组可以在SMF与该外部服务器之间通过AAA以直接通信进行传输,如针对协议配置选项(PCO)选项那样,或者备选地在用户平面功能(UPF)上透明地传输。另一种可能性是不使用EAP服务器,而是SMF(即EAP认证器)执行EAP方法。
因此,一些实施例使用EAP,其中所述EAP提供对许多认证方法的支持,例如,EAP传输层安全(EAP-TLS)、EAP认证和密钥协定(EAP-AKA)、EAP隧道TLS(EAP-TTLS)以及EAP保护的EAP(EAP-PEAP)。一个或多个实施例基于NAS协议中对EAP消息的封装,并且因此不知道接入网络(AN)的类型。一些实施例是基于控制平面的,并且因此不知道PDU会话的类型(即互联网协议(IP)、非IP等)。通过使用EAP,一些实施例支持不同类型的凭证和认证方法。EAP交换将受益于NAS协议提供的对空中接口的保护。另外,EAP交换可以导致建立安全密钥,其中该安全密钥将用于例如面向所建立的数据网络保护用户平面。
附图说明
图1是根据一个或多个实施例的无线通信网络的框图。
图2是根据一些实施例的5G网络的框图。
图3是根据一些实施例的用于对UE的辅认证的呼叫流图。
图4是根据一些实施例的用于在UE与AAA服务器之间交换EAP消息的协议栈的框图。
图5是根据一些实施例的用于在SMF与AAA服务器之间交换EAP消息的协议栈的框图。
图6是根据一些实施例的由用户设备执行的方法的逻辑流程图。
图7是根据一些实施例的由控制平面功能(例如,SMF)执行的方法的逻辑流程图。
图8是根据一些实施例的由EAP服务器执行的方法的逻辑流程图。
图9A是根据一些实施例的用户设备的框图。
图9B是根据其他实施例的用户设备的框图。
图10A是根据一些实施例的控制平面设备的框图。
图10B是根据其他实施例的控制平面设备的框图。
图11A是根据一些实施例的EAP服务器的框图。
图11B是根据其他实施例的EAP服务器的框图。
具体实施方式
图1示出了根据一个或多个实施例的无线通信网络(例如5G网络)。该网络包括接入网络12和核心网络。核心网络包括一个或多个控制平面功能,其中一个控制平面功能被示为控制平面功能14。核心网络可以包括例如负责会话管理的会话管理功能(SMF)形式的一个控制平面功能和负责移动性管理的接入和移动性管理功能(AMF)形式的分离的控制平面功能。无论如何,核心网络还包括用户平面功能16。
如图1所示,用户设备18可以请求与数据网络22(例如,其提供网络运营商服务、互联网接入或者第三方服务)的会话20(例如,用户平面会话或分组数据单元PDU会话)。数据网络22可以在无线通信网络内部或外部。无论如何,用户平面功能16被配置为转发用于该会话的用户平面业务,而控制平面功能被配置为控制该会话(例如,经由用于该会话的控制信令)。
一个或多个实施例涉及对用户设备18的认证,例如,对用户设备18与数据网络22建立会话20的认证。在该认证是除了对用户设备的其他所谓的主认证(例如,其可以使用预先提供的凭证和/或由安全锚功能执行)之外而进行的认证的意义上,该认证本质上可以是辅助的。在一些实施例中,例如,用户设备12请求与数据网络22的会话20触发这样的辅认证(例如,在主认证之后)。该辅认证甚至可以由该数据网络16执行、控制和/或被委派给该数据网络16。
本文的一个或多个实施例利用用户设备18与核心网络中的控制平面功能14(例如,会话管理功能SMF)之间的可扩展认证协议(EAP),以便提供对用户设备18的辅认证。在这方面,控制平面功能14可以充当用于辅认证的EAP认证器24。用户设备18进而可以充当用于EAP认证的对等方(peer)。
在一些实施例中,控制平面功能14还充当实际执行用于辅认证的EAP认证方法的EAP服务器。在其他实施例中,与控制平面功能14(作为EAP认证器)分离的EAP服务器26执行用于EAP认证器的EAP认证方法。EAP服务器26可以例如位于数据网络22中,如图1所示。与EAP认证器分开的EAP服务器26可以被称为后端认证服务器或简称为认证服务器。将EAP服务器与控制平面功能14分离意味着,例如,不是要求控制平面功能14支持由用户设备18提供的每种认证方法,而是EAP灵活地允许控制平面功能14针对由EAP服务器26支持的一些或所有认证方法用作直通件(pass-through)。在一些实施例中,这进而允许将辅认证委派给数据网络22。因此,用户设备18可以经由控制平面功能14与EAP服务器26执行认证方法或过程,或者与由控制平面功能14提供的EAP服务器26执行认证方法或过程。这种基于EAP的方法可以证明是有利的,因为它支持不同类型的认证方法,不依赖于IP连接或特定类型的接入网络,和/或是基于控制平面的,从而保持控制平面与用户平面之间的分离。
在控制平面功能14充当用于对用户设备18的辅认证的EAP认证器24的情况下,用户设备18和控制平面功能14可以参与EAP认证交换。如图1所示,该交换可以涉及控制平面功能14向用户设备18发送EAP请求28,并且用户设备18进而从控制平面功能14接收该EAP请求28。该EAP请求28可以请求来自用户设备18的多种不同的可能类型的可请求信息中的任何一种(例如,标识、MD5挑战等)。所请求的信息的类型可以由请求28中的类型字段来指示。在任何情况下,EAP请求28可以请求信息以作为协商将使用哪种认证方法进行对用户设备18的辅认证的一部分。
响应于EAP请求28,用户设备18(作为EAP对等方)可以向控制平面功能14(作为EAP认证器24)发送EAP响应30。EAP响应30可以例如包括由EAP请求28中的类型字段指示的类型的信息。
一个或多个附加的请求和响应序列可以以类似的方式继续。这可以继续,直到作为EAP认证器的控制平面功能14不能认证用户设备18(例如,由于对一个或多个EAP请求的不可接受的EAP响应)为止,或者直到作为EAP认证器的控制平面功能14确定已经进行了成功的认证为止。
在一些实施例中,例如,用户设备发送用于建立会话20的请求触发对用户设备18的辅认证。在这种情况下,进而可以向用户设备发送会话建立响应,并且会话建立响应包括指示辅认证成功的EAP成功消息或指示辅认证失败的EAP失败消息。
在这些和其他实施例中,EAP请求28和EAP响应30可以被封装在相应的非接入层(NAS)协议消息中。NAS在这方面可以是控制平面的最高层。经过如此封装,无论接入网络12的类型如何,EAP请求28和EAP响应30都可以在用户设备18与控制平面功能14之间传送。
在涉及用于辅认证的EAP服务器26(例如,在如图1所示的数据网络22中)的实施例中,控制平面功能14可以在用户设备18与EAP服务器26之间转发EAP请求28和EAP响应30。控制平面功能14可以例如检查所发送或所接收的EAP消息,以便确定是否转发这些消息或将这些消息转发到何处。在任何情况下,EAP服务器26可以经由作为EAP认证器的控制平面功能14向用户设备18发送EAP请求28,并且响应于EAP请求,可以经由控制平面功能14从用户设备18接收EAP响应30。
在一些实施例中,EAP请求28和EAP响应30经由用户平面功能16(例如,其可以由控制平面功能14选择)在控制平面功能14与EAP服务器26之间发送。在一些实施例中,用户平面功能16可以用作EAP服务器26的代理。在其他实施例中,用户平面功能16用作路由器,其中经由该路由器对于用户平面功能16透明地发送EAP请求28和EAP响应30。
因此,这些和其他实施例可以允许无线通信网络将对用户设备18的辅认证(例如,用于对用户设备与数据网络22建立会话20进行认证)委派给数据网络22。特别是在数据网络22实现实际上执行用于这种认证的认证方法的EAP服务器26的情况下,这可以意味着无线通信网络通用且灵活地支持不同的认证方法。
备选地或附加地,在一些实施例中,核心网络可以包括分别专用于不同服务的多个不同的网络切片。在这种情况下,对用户设备18的辅认证可以包括对用户设备18接入核心网络的特定网络切片的切片特定认证。然后,以类似的方式,无线通信网络可以通用且灵活地支持不同的认证方法(例如,其对于不同的网络切片可以是不同的)。
现在将在由3GPP开发的5G(也称为下一代NG)的上下文中描述一个或多个实施例。5G旨在(除了其他方面)将控制平面与用户平面分离。控制平面负责控制和传输信令信息,而用户平面负责转发用户业务。对控制平面进行分离涉及从网关提取控制平面功能以留下较简单的用户平面节点。因此,网关被“划分”成可以独立缩放的S/PGW-U和S/PGW-C组件,其中SGW-U是处理用户平面功能的服务网关(SGW)的组件,PGW-U是处理用户平面功能的分组网关(PGW)的组件,SGW-C是处理控制平面功能的SGW的组件,PGW-C是处理控制平面功能的PGW的组件。这样,控制平面和所有相关联的复杂交互可以被集中,而用户平面被分布在IP服务结构上并且根据业务负载的需要进行缩放。
此外,5G能够进行网络功能虚拟化和软件定义的联网。5G***架构应利用已识别的控制平面(CP)网络功能之间的基于服务的交互。
此外,5G旨在使功能设计模块化,例如,以实现灵活且有效的网络切片。此外,在适用的情况下,过程(即,网络功能之间的交互的集合)被定义为服务,以使得它们的重用成为可能。
图2在这方面描绘了用于NG的基线架构。该架构包括各种网络功能。控制平面功能包括会话管理功能(SMF)、接入和移动性管理功能(AMF)、策略控制功能(PCF)、认证服务器功能(AUSF)和统一数据管理(UDM)。
SMF可以包括以下功能中的一些或全部。可以在SMF的单个实例中支持SMF功能中的一些或全部。SMF功能包括:会话管理(例如,会话建立、修改和释放,包括UPF与接入网络节点之间的隧道维护)、UE IP地址分配与管理(包括可选的授权)、UP功能的选择和控制、UPF处的用于将业务路由到适当的目的地的业务转向的配置、朝向策略控制功能的接口的端接、策略实施和服务质量(QoS)的一部分的控制、合法拦截(针对SM事件和到合法拦截***的接口)、NAS消息的SM部分的端接、下行链路数据通知、AN特定SM信息的发起、经由AMF通过N2到AN进行的发送、会话的服务和会话连续性(SSC)模式的确定(针对IP类型的PDU会话)、漫游功能、用于应用QoS服务水平协议(SLA)(所接入的公共陆地移动网络VPLMN)的本地实施的处理、计费数据收集和计费接口(VPLMN)、合法拦截(在VPLMN中针对SM事件和到LI***的接口)以及对与外部DN交互的支持,以便通过外部DN传输用于PDU会话授权/认证的信令。
与之相对,接入和移动性管理功能(AMF)可以包括以下功能中的一些或全部。在AMF的单个实例中可以支持AMF功能中的一些或全部:无线电接入网络(RAN)CP接口(N2)的端接、NAS(N1)的端接、NAS加密和完整性保护、注册管理、连接管理、可达性管理、移动性管理、合法拦截(针对AMF事件和到LI***的接口)、用于路由SM消息的透明代理、接入认证、接入授权、安全锚功能(SEA或SEAF)以及安全上下文管理(SCM)(从SEA接收其用于导出接入网络特定密钥的密钥)。特别是关于SEA,它与认证服务器功能(AUSF)和UE交互,并且接收作为UE认证过程的结果而建立的中间密钥。在基于USIM的认证的情况下,AMF从AUSF获取安全资料。
用户平面功能(UPF)可以包括以下功能中的一些或全部。UPF的单个实例中可以支持UPF功能中的一些或全部:用于无电接入技术(RAT)之内/之间的移动性(在适用的情况下)的锚点、到数据网络的互连的外部PDU会话点、分组路由与转发、策略规则实施的分组检查和用户平面部分、合法拦截(UP收集)、业务使用报告、用于支持将业务流路由到数据网络的上行链路分类器、用于支持多归属PDU会话的分支点、用户平面的QoS处理(例如,分组滤波、选通、上行链路/下行链路速率实施、上行链路业务验证(SDF到QoS流映射)、上行链路和下行链路中的传输级分组标记以及下行链路分组缓冲和下行链路数据通知触发。
这些网络功能中的任何一个都可以被实现为专用硬件上的网络元件,或者被实现为在专用硬件上运行的软件实例,或者被实现为在合适的平台上(例如,在云基础设施上)实例化的虚拟化功能。
NG***中的新特征之一是网络切片的概念。网络切片(NS)基本上是专用于提供特定服务的核心网络的实例。这将允许运营商处理各种各样的新用例,其中每个用例在服务质量(QoS)方面具有不同的服务要求。例如,运营商可以与用于要求极低延迟的公共安全服务的任务关键型切片并行地并且与用于具有极低带宽的电表的物联网(IoT)型切片并行地运行用于通常移动宽带(MBB)服务的切片。
为了支持各种服务类型,运营商将使用在公共IP服务基础设施上被部署为“网络切片”的多个核心网络。如图2所示,该构思是创建专用于不同服务的虚拟核心网络实例(或“切片”)。每个切片都可以针对业务配置文件和相关联的服务(例如,IoT、公共安全、移动虚拟网络运营商(MVNO)、联网汽车、WiFi语音或企业服务)的商业上下文进行优化。在网络切片可以是服务特定的和客户特定的意义上,网络切片可以是二维的。
预期的是5G将支持许多新的场景和用例,并且将成为IoT的推动者。预期的是NG***将为诸如传感器、智能可穿戴设备、车辆、机器等广泛的新设备提供连接性。于是,灵活性将是NG***中的关键属性。这被反映在网络接入的安全要求中,其命令支持备选认证方法和不同类型的凭证,而不是由运营商预先提供并被安全地存储在通用集成电路卡(UICC)中的寻常AKA凭证。这将允许工厂所有者或企业针对认证和接入网络安全性利用他们自己的标识和凭证管理***。
5G可以将用于接入不同网络切片(NS)的认证和授权过程分离。一种可能的场景如下。为了使NG-UE能够接入特定的NS,运营商可以首先经由AMF运行用于面向AUSF/UDM的初始网络接入的主(通常)认证,然后运行可能在第三方控制下进行的辅NS特定认证。这假设在第三方服务提供商与移动网络运营商(MNO)(例如,其在专用网络切片实例中向该第三方提供接入和传输服务)之间存在信任。
所谓的加密选项请求和被称为协议配置选项(PCO)的信息元素的使用可能与上述场景相关。PCO可以将密码认证协议(PAP)/质询握手认证协议(CHAP)用户名和密码传输给分组数据网络网关(PDN-GW),该PDN-GW然后通过AAA服务器(可能位于外部域中)运行该用户名和密码,以便进行接入授权。由于该信息是敏感的并且需要被保护,因此如果UE打算发送需要加密的PCO(例如,PAP/CHAP用户名和密码),则UE应在附加请求(Attach Request)消息中设置加密选项传输标志,并且仅在认证和NAS安全设置已经完成后发送PCO。
在NG***中使用或扩展该机制的局限性如下。
首先,在可能的认证方法方面,该机制非常受限。目前只支持PAP和CHAP。但是从安全的角度来看PAP已经过时了,所以我们只剩下CHAP。
其次,为了支持其他方法并且使用PCO信息单元素来传输认证信息,需要在MME与S-GW之间以及在S-GW与PDN-GW之间指定专用于此目的的特殊消息。这要处理需要不止一次往返的认证方法。
此外,很难看出这种机制如何适应将被进一步分解的下一代架构。事实上,考虑到新架构特征(TR 23.799),我们可以说UE与PDN-GW之间的路径中可能存在更多跳,例如关于正在进行的关于将MME拆分成AM和SM功能(TR 23.799)的工作以及用于控制和用户平面拆分(TR 23.714)的控制和用户平面分离(CUPS)工作。这意味着CN中的更多过载和信令。
最后,该机制是一种应对方案,因为UE与PDN-GW之间没有直接协议。使其足够通用以支持其他认证方法将在技术上具有挑战性,特别是因为许多方法对传输具有严格的建议和要求。
一个或多个实施例通过使用EAP进行辅认证解决了这些和/或其他挑战中的一些。EAP在IETF RFC 3748中进行了规定。EAP是一种支持多种认证方法的认证框架。
EAP架构的优点之一是其灵活性。EAP通常用于在认证器请求更多信息以便确定要使用的特定认证方法之后选择特定的认证机制。不是要求更新认证器以支持每种新的认证方法,而是EAP允许使用后端认证服务器,该后端认证服务器可以实现一些或全部认证方法,其中认证器充当一些或全部方法和对等方的直通件。EAP协议可以支持多种认证机制,而无需预先对特定的认证机制进行协商。
在EAP命名法中,EAP认证器是发起EAP认证的链环的末端。对等方是对认证器作出响应的链环的末端。后端认证服务器是向认证器提供认证服务的实体。使用时,该服务器通常执行用于认证器的EAP方法。EAP服务器是端接与对等方的EAP认证方法的实体。在没有使用后端认证服务器的情况下,EAP服务器是认证器的一部分。在认证器以直通模式操作的情况下,EAP服务器位于后端认证服务器上。成功的认证是EAP消息的交换,作为其结果,认证决定允许对等方进行接入,并且对等方决定使用该接入。认证器的决定通常涉及认证和授权方面;对等方可以成功地向认证器进行认证,但是由于策略原因,认证器可能拒绝接入。
EAP认证交换如下进行。认证器发送请求(Request)以对对等方进行认证。该请求具有类型(Type)字段以指示请求什么类型。请求类型的示例包括标识、MD5挑战等。通常,认证器将发送初始标识请求(Identity Request);但是,初始标识请求不是必需的,并且可以绕过初始标识请求。
对等方发送响应(Response)分组以答复有效的请求。与请求分组一样,响应分组包含类型字段,该类型字段与请求中的类型字段相对应。
认证器发送附加的请求分组,并且对等方用响应进行答复。
只要需要,请求和响应的序列就会继续。对话继续,直到认证器不能认证对等方为止(对一个或多个请求的不可接受的响应),在这种情况下,认证器实现必须发送EAP失败(EAP Failure)(代码4)。备选地,认证对话可以继续,直到认证器确定已经进行了成功的认证为止,在这种情况下,认证器必须发送EAP成功(EAP Success)(代码3)。
当作为“直通认证器”操作时,认证器对代码、标识符和长度字段执行检查。它将从对等方接收且去往其认证器层的EAP分组转发给后端认证服务器;将从后端认证服务器接收且去往该对等方的分组转发给该对等方。
图3示出了根据一些实施例的涉及主认证和使用EAP进行的辅认证二者的消息流。
步骤1:UE发送注册请求。
步骤2:在UE与SEAF之间执行主认证过程。在成功认证后,验证主标识(例如,国际移动用户标识符IMSI),并执行接下来的步骤。
步骤3:设置NAS安全,即CP安全。从现在开始,所有NAS消息都受到机密性和完整性保护。
步骤4:分两个步骤完成PDU会话建立请求的处理。在步骤4a中,UE向AMF发送PDU会话建立请求。该消息包含主标识,并且可以可选地承载稍后在EAP辅认证中使用的辅标识。该请求在UE与AMF之间受到完整性保护,并且可选地受到机密性保护。AMF验证该消息源自在步骤2中被认证的UE,并且对包括经验证的标识信息的该消息进行转发。在步骤4b中,SMF从AMF接收PDU会话建立请求。如果SMF尚未对主标识运行辅认证,并且它具有用于认证UE的本地策略,则SMF必须发起辅认证过程。SMF还维护重新认证策略,并且如果SMF在很长时间以前对所接收的主标识进行了认证,则可能需要发起重新认证。
步骤5:经由SMF在UE与外部AAA之间执行辅认证过程。于是在这种情况下,SMF充当EAP认证器,而外部AAA充当EAP服务器。通过NAS-SM协议对于AMF透明地传输EAP消息。这可能需要指定可以承载SM-EAP分组的新NAS-SM消息,例如,SM认证请求和SM认证响应。如果PDU会话建立请求承载UE的辅标识,则SMF可以跳过EAP标识请求,并直接发起与AAA服务器的EAP认证。通过空中接口进行的EAP交换受益于NAS层处的保护。
辅EAP认证可以可选地需要被绑定到用于进行辅EAP认证的信道,否则存在中间者(Man-in-the-middle)在信道之间隧道传输EAP分组的风险(例如,如果在各种信道上使用相同的EAP方法和凭证的话)。可以通过获取信道相关信息(例如,步骤2中使用的主标识,假设它可以包括与接入类型或核心网络类型相关的信息或网络切片相关信息)来完成信道绑定。信道相关信息或者直接在辅EAP认证内的加密操作中使用,或者出于一些目的稍后在使用根据辅认证创建的主密钥(即主会话密钥MSK或扩展的MSK(EMSK))时使用。信道信息可以是以下项之一:接入网络类型(例如,5G无线电、无线本地接入网络WLAN)、核心网络类型(例如,5G核心网络)或网络切片类型或标识符(例如,网络切片选择辅助信息NSSAI、SM-NSSAI或数据网络名称DNN)。
具体地,作为认证的结果,大多数EAP认证方法都创建主密钥(MSK和EMSK)。该密钥用于创建会话密钥,例如完整性保护密钥或加密密钥。信道绑定可以在两个地方完成:a)在EAP方法内部,在创建MSK/EMSK时,并且在这种情况下,绑定参数是密钥导出的输入值:MSK=KDF(绑定参数,其他参数)和/或EMSK=KDF(绑定参数,其他参数);或b)在已经创建MSK/EMSK之后,在创建其他(主)密钥时:密钥=KDF(绑定参数,MSK)和/或密钥=KDF(绑定参数,EMSK)。
步骤6:作为AAA交换的一部分,外部AAA服务器可以向SMF指示重新认证策略。这可以是例如需要进行新认证之前的最长时间。
在成功认证之后,AAA交换还可以包括向SMF交换服务/会话授权信息。在这种情况下,AAA可以向SMF提供服务授权配置文件(或服务授权配置文件标识符/令牌),其中SMF将能够根据该服务授权配置文件确定所请求的服务是否被授权给用户,以及如果被授权则在例如服务质量、体验质量、计费等方面以何种方式来供应服务。
步骤7:SMF可选地在主标识和辅标识之间进行绑定,并在本地进行存储。当SMF看到来自AMF的承载主标识的新请求时,它可以相信该消息源自具有辅标识的相同UE。
步骤8:在成功认证和授权之后,SMF将为与所请求的服务相关的用户平面选择用户平面功能UPF。
步骤9:SMF根据辅认证的结果发回PDU会话建立响应。该消息可以承载最终的EAP消息,即PDU会话建立接受可以承载EAP成功(EAP Success),或者PDU会话建立失败可以承载EAP失败(EAP Failure)。
在步骤5中,SMF采取EAP认证器的角色,并且可以依赖于例如由第三方控制的、数据网络中(可能位于另一安全域中)的后端AAA服务器。此时就如何在SMF与AAA服务器之间传输AAA消息保持开放。存在不同的可能性。在第一实施例中,类似于EPC PCO解决方案,经由SMF与AAA之间的直接接口传输AAA消息。当AAA由第三方控制时,该接口基于业务协议来建立。图4示出了支持基于EAP的辅认证的协议架构,其中在SMF与AAA服务器之间具有直接接口(称为XX)。在UE到SMF侧,它示出了关于如何通过NAS协议承载EAP消息的可能性。
在第二实施例中,通过UPF在NG4-NG6接口上透明地传输AAA消息。UPF可以采取AAA代理的角色,或者甚至更简单的IP路由器的角色。在这种情况下,SMF将在图3的步骤5中的AAA交换之前执行步骤8,因此可以经由所选择的UPF来处理AAA交换。图5示出了对基于EAP的辅认证的支持,其中EAP消息通过UPF在NG4-NG6接口上传输。也就是说,NG4-NG6接口被透明地用于在SMF和AAA服务器之间传送AAA消息。在这种特定情况下(图5),UPF可以充当IP路由器,以使得SMF与AAA服务器之间的AAA交换对UPF是透明的。
在第三实施例中,UPF实际上可以充当AAA代理。
在第四实施例中,SMF可以充当EAP服务器,并且在这种情况下根本不需要与外部AAA服务器的交互。
在第五实施例中,主标识和辅标识彼此相同或相关,例如,主标识(的一部分)被编码到辅标识中。用于认证的凭证仍然可以不同。
与基于PCO的机制类似,在UE请求建立特定或附加的PDU会话时,辅认证可以用于由外部方控制的附加授权。与UP保护和切片相关的其他用例在以下条款中进行描述。
用户平面保护:首先,如果在UPF中端接对UP业务的保护,则进行以下假设。与通过UE与接入网络之间的NGU接口进行的保护相独立,UE与UPF之间的用户平面保护是经由附加协议层来实现的。
在这种情况下,可以使用辅认证来建立必要的密钥。事实上,在成功认证之后,在SMF(EAP认证器)与UE(对等方)之间共享的所得的MSK密钥可以用于该特定目的。
然后,用于保护密钥分发、算法协商和安全模式激活的机制将是通用的并且不为认证方法所知。所有这些操作可以连同PDU会话建立(图3中的步骤9)一起执行。
对网络切片的支持:辅认证可以用于网络切片特定授权。事实上,在经由某个AMF成功进行主认证之后,可能可以经由由该特定AMF服务的所有网络切片为UE提供服务。可能的情况是UE被自动授权以基于订阅信息接入所有或一些切片。备选地,可以在为特定切片创建PDU会话期间使用辅认证基于特定切片来强制执行授权。
为了保护UE与特定切片之间的UP业务,可以使用前一条款中描述的机制。然而,切片的配置在谁管理或拥有哪种网络功能的意义上变得相关。从信任模型的角度来看,这将要求UPF和SMF是切片特定的;否则保护将不会起任何作用。
鉴于以上变型和修改,图6示出了根据一些实施例的用于对用户设备18的辅认证的方法,其中用户设备18被配置为在无线通信网络中使用,该无线通信网络例如包括接入网络12和核心网络。该方法由用户设备18执行。该方法可以包括:由用户设备18从控制平面功能14接收可扩展认证协议(EAP)请求28,其中该控制平面功能14位于核心网络中(例如,SMF)并且充当用于对用户设备18的辅认证的EAP认证器24(框100)。辅认证可以是除了对用户设备18的主认证之外的对用户设备18的认证。该方法还可以包括:响应于EAP请求28,从用户设备18向控制平面功能14(例如,SMF)发送EAP响应30(框110)。
图7示出了由控制平面功能14(例如,SMF)执行的对应方法。该方法可以包括:从控制平面功能14(例如,SMF)向用户设备18发送可扩展认证协议(EAP)请求28,其中控制平面功能14位于核心网络中并且充当用于对用户设备18的辅认证的EAP认证器24(框200)。同样,辅认证可以是除了对用户设备18的主认证之外的对用户设备18的认证。该方法还可以包括:响应于EAP请求28,在控制平面功能14处从用户设备18接收EAP响应30(框210)。
在一些实施例中,控制平面功能14还充当EAP服务器,其中该EAP服务器执行用于对用户设备18的辅认证的EAP认证方法。备选地,控制平面功能14可以充当直通认证器,其中该直通认证器在用户设备18与执行用于EAP认证器的EAP认证方法的EAP服务器26(与EAP认证器分离)之间转发EAP请求28和EAP响应30。
在这方面,图8示出了由EAP服务器26执行的用于对用户设备18的辅认证的方法。该方法可以包括:经由控制平面功能14(例如,SMF)从EAP服务器26向用户设备18发送可扩展认证协议(EAP)请求28(框300)。在这方面,控制平面功能位于核心网络中并且充当用于对用户设备18的辅认证的直通EAP认证器。辅认证可以是除了对用户设备18的主认证之外的对用户设备18的认证。EAP服务器26可以被配置为执行用于EAP认证器24的EAP认证方法。该方法还可以包括:响应于EAP请求28,在EAP服务器26处经由控制平面功能14从用户设备18接收EAP响应30(框310)。
在一些实施例中,EAP服务器26位于数据网络22中,用户设备18请求与该数据网络22的用户平面会话。对用户设备18的辅认证可以是对用户设备18建立用户平面会话20的认证。在一些实施例中,辅认证由无线通信网络委派给数据网络22。
注意,本文的网络节点是AN 14或核心网络中的任何类型的节点(例如,基站)。在网络节点是AN中的无线电网络节点的情况下,该节点能够通过无线电信号与另一节点进行通信。无线设备是能够通过无线电信号与无线电网络节点进行通信的任何类型设备。因此,无线设备可以指代机器对机器(M2M)设备、机器类型通信(MTC)设备、NB-IoT设备等。无线设备也可以是UE,但是应该注意,UE不一定具有在拥有和/或操作该设备的个人的意义上的“用户”。无线设备也可以被称为无线电设备、无线电通信设备、无线终端或简单地终端,除非上下文另外指示,否则使用这些术语中的任何一个旨在包括设备到设备UE或设备、能够进行机器对机器通信的机器类型设备或设备、配备有无线设备的传感器、支持无线的台式计算机、移动终端、智能电话、膝上型计算机嵌入设备(LEE)、膝上型计算机安装设备(LME)、USB加密狗、无线客户端设备(CPE)等。在本文的讨论中,也可以使用术语“机器对机器(M2M)设备”、“机器类型通信(MTC)设备”、“无线传感器”以及“传感器”。应该理解的是,这些设备可以是UE,但是通常被配置为发送和/或接收数据而无需直接的人的交互。
在IOT情形下,本文描述的无线通信设备可以是以下机器或设备或者可以被包括在以下机器或设备中:所述机器或设备执行监测或测量,并向另一设备或网络发送这些监测或测量的结果。这种机器的具体示例是功率计、工业机械或家用或个人器具(例如,电冰箱、电视、个人可穿戴设备(例如手表))等。在其他场景中,如本文所述的无线通信设备可以被包括在车辆中并且可以执行车辆的操作状态的监视和/或报告或与车辆相关联的其他功能。
本文的用户设备18可以通过实现任何功能装置或单元来执行本文的处理。在一个实施例中,例如,用户设备18包括被配置为执行图6中所示的步骤的各个电路。在这方面,电路可以包括专用于执行某些功能处理的电路和/或与存储器结合的一个或多个微处理器。在采用存储器(其可以包括一种或多种存储器,例如只读存储器(ROM)、随机存取存储器、高速缓存存储器、闪存存储器设备、光存储设备等)的实施例中,该存储器存储程序代码,该程序代码在由一个或多个微处理器执行时,执行本文所述的技术。也就是说,在一些实施例中,用户设备18的存储器包含可由处理电路执行的指令,从而用户设备18被配置为执行本文的处理。
图9A示出了根据一个或多个实施例的用户设备18的附加细节。如图所示,用户设备18包括处理电路410和通信电路420(例如,一个或多个无线电电路)。通信电路420可以被配置为经由可以位于用户设备18的内部和/或外部的一个或多个天线进行传输。处理电路410被配置为例如通过执行存储在存储器430中的指令来执行例如图6中的上述处理。在这方面,处理电路410可以实现某些功能装置或单元。
在这方面,图9B示出了根据一个或多个其他实施例的用户设备18的附加细节。如图所示,用户设备18可以包括用于接收EAP请求28的接收单元或模块440以及用于发送EAP响应30的发送单元或模块450。这些单元或模块可以由图9A中的处理电路410来实现。
类似地,控制平面功能14(例如,SMF)可以由控制平面中的控制平面设备来提供或实现。在这方面,控制平面设备可以包括一个或多个控制平面节点。多个分布式控制平面节点可以例如以分布式方式来托管或实现控制平面功能14。备选地,单个控制平面节点可以以集中方式来托管或实现控制平面功能14。
本文的控制平面设备可以通过实现任何功能装置或单元来执行控制平面功能14的本文的处理。在一个实施例中,例如,控制平面设备包括被配置为执行图7中所示的步骤的各个电路。在这方面,电路可以包括专用于执行某些功能处理的电路和/或与存储器结合的一个或多个微处理器。在采用存储器(其可以包括一种或多种存储器,例如只读存储器(ROM)、随机存取存储器、高速缓存存储器、闪存存储器设备、光存储设备等)的实施例中,该存储器存储程序代码,该程序代码在由一个或多个微处理器执行时,执行本文所述的技术。也就是说,在一些实施例中,控制平面设备的存储器包含可由处理电路执行的指令,从而控制平面设备被配置为执行本文的处理。
图10A示出了根据一个或多个实施例的控制平面设备500的附加细节。如图所示,控制平面设备500包括处理电路510和通信电路520。通信电路520可以被配置为例如经由一个或多个定义的接口与用户设备18进行通信。处理电路510被配置为例如通过执行存储在存储器530中的指令来执行例如图7中的上述处理。在这方面,处理电路510可以实现某些功能装置或单元。
在这方面,图10B示出了根据一个或多个其他实施例的控制平面设备500的附加细节。如图所示,控制平面设备500可以包括用于接收EAP响应30的接收单元或模块540以及用于发送EAP请求28的发送单元或模块5。这些单元或模块可以由图10A中的处理电路510来实现。
本文的EAP服务器26(也被称为后端认证服务器或认证服务器)可以通过实现任何功能装置或单元来执行本文的处理。在一个实施例中,例如,EAP服务器26包括被配置为执行图8中所示的步骤的各个电路。在这方面,电路可以包括专用于执行某些功能处理的电路和/或与存储器结合的一个或多个微处理器。在采用存储器(其可以包括一种或多种存储器,例如只读存储器(ROM)、随机存取存储器、高速缓存存储器、闪存存储器设备、光存储设备等)的实施例中,该存储器存储程序代码,该程序代码在由一个或多个微处理器执行时,执行本文所述的技术。也就是说,在一些实施例中,EAP服务器26的存储器包含可由处理电路执行的指令,从而认证服务器26被配置为执行本文的处理。
图11A示出了根据一个或多个实施例的EAP服务器26的附加细节。如图所示,EAP服务器26包括处理电路610和通信电路620。通信电路620可以被配置为例如经由一个或多个定义的接口与用户设备18和/或控制平面功能14进行通信。处理电路610被配置为例如通过执行存储在存储器630中的指令来执行例如图8中的上述处理。在这方面,处理电路610可以实现某些功能装置或单元。
在这方面,图11B示出了根据一个或多个其他实施例的EAP服务器26的附加细节。如图所示,EAP服务器26可以包括用于接收EAP响应30的接收单元或模块640以及用于发送EAP请求28的发送单元或模块650。这些单元或模块可以由图11A中的处理电路610来实现。
本领域技术人员还将理解,本文的实施例还包括对应的计算机程序。
计算机程序包括指令,该指令当在至少一个处理器(例如,用户设备18、控制平面设备500或EAP服务器26)上执行时,使该处理器执行上述各个处理中的任何一个。在这方面,计算机程序可以包括与上述装置或单元相对应的一个或多个代码模块。
实施例还包括包含这样的计算机程序的载体。载体可以包括电信号、光信号、无线电信号或计算机可读存储介质中的一种。
Claims (38)
1.一种用于对用户设备(18)的辅认证的方法,其中所述方法包括:
由所述用户设备(18)从会话管理功能SMF(14)接收(100)可扩展认证协议EAP请求(28),其中所述SMF充当用于对所述用户设备(18)的辅认证的EAP认证器,其中,所述辅认证是除了对所述用户设备(18)的主认证之外的对所述用户设备(18)的认证;以及
响应于所述EAP请求(28),从所述用户设备(18)向所述SMF(14)发送(110)EAP响应(30)。
2.一种用于对用户设备(18)的辅认证的方法,其中,所述方法包括:
从会话管理功能SMF(14)向用户设备(18)发送(200)可扩展认证协议EAP请求(28),其中,所述SMF(14)充当用于对所述用户设备(18)的辅认证的EAP认证器,其中,所述辅认证是除了对所述用户设备(18)的主认证之外的对所述用户设备(18)的认证;以及
响应于所述EAP请求(28),在所述SMF(14)处从所述用户设备(18)接收(210)EAP响应(30)。
3.根据权利要求1-2中任一项所述的方法,其中,所述SMF(14)还充当执行用于对所述用户设备(18)的所述辅认证的EAP认证方法的EAP服务器。
4.根据权利要求1-2中任一项所述的方法,其中,所述SMF(14)被配置为在所述用户设备(18)与执行用于所述EAP认证器的EAP认证方法的EAP服务器(26)之间转发所述EAP请求(28)和所述EAP响应(30)。
5.一种用于对用户设备(18)的辅认证的方法,其中,所述方法包括:
经由会话管理功能SMF(14)从EAP服务器(26)向所述用户设备(18)发送可扩展认证协议EAP请求(28),其中,所述SMF(14)充当用于对所述用户设备(18)的辅认证的EAP认证器,其中,所述辅认证是除了对所述用户设备(18)的主认证之外的对所述用户设备(18)的认证,并且其中,所述EAP服务器(26)被配置为执行用于所述EAP认证器的EAP认证方法;以及
响应于所述EAP请求(28),在所述EAP服务器(26)处经由所述SMF(14)从所述用户设备(18)接收(310)EAP响应(30)。
6.根据权利要求4-5中任一项所述的方法,其中,所述用户设备(18)和所述SMF(14)被配置用于无线通信网络,其中,所述EAP服务器位于数据网络中,其中所述用户设备(18)请求与所述数据网络的用户平面会话,其中,所述用户设备(18)的所述辅认证是对所述用户设备(18)建立所述用户平面会话的认证,其中,所述辅认证由所述无线通信网络委派给所述数据网络。
7.根据权利要求4-6中任一项所述的方法,其中,经由所述SMF(14)选择的用户平面功能在所述SMF(14)与所述EAP服务器之间发送所述EAP请求(28)和所述EAP响应(30)。
8.根据权利要求7所述的方法,其中,所述用户平面功能充当所述EAP服务器的代理。
9.根据权利要求7所述的方法,其中,所述用户平面功能充当路由器,其中经由所述路由器对于所述用户平面功能透明地发送所述EAP请求(28)和所述EAP响应(30)。
10.根据权利要求1-9中任一项所述的方法,其中,所述EAP请求(28)和所述EAP响应(30)被封装在所述SMF(14)与所述UE之间的相应的非接入层NAS协议消息内。
11.根据权利要求1-10中任一项所述的方法,其中,所述发送和接收是在核心网络中的安全锚功能对所述用户设备(18)进行主认证之后执行的。
12.根据权利要求1-11中任一项所述的方法,其中,核心网络包括分别专用于不同服务的多个不同的网络切片,其中,对所述用户设备(18)的所述辅认证包括对所述用户设备(18)接入所述核心网络的特定网络切片的切片特定认证。
13.根据权利要求1-12中任一项所述的方法,还包括:基于对所述用户设备(18)的成功的辅认证,获得在所述用户设备(18)与所述SMF(14)之间共享的安全密钥。
14.根据权利要求1-13中任一项所述的方法,其中,从所述用户设备(18)发送的会话建立请求触发对所述用户设备(18)的所述辅认证。
15.根据权利要求14所述的方法,其中,所述会话建立请求包括所述用户设备(18)的用于所述辅认证的辅标识。
16.根据权利要求14-15中任一项所述的方法,其中,向所述用户设备(18)发送的会话建立响应包括指示所述辅认证成功的EAP成功消息或指示所述辅认证失败的EAP失败消息。
17.根据权利要求1-16中任一项所述的方法,还包括:将对所述用户设备(18)的所述辅认证绑定到用于执行所述辅认证的信道。
18.根据权利要求1-17中任一项所述的方法,还包括:基于对所述用户设备(18)的成功的辅认证,导出在所述用户设备(18)与所述SMF(14)之间共享的安全密钥,其中,所述导出包括根据与用于执行所述辅认证的信道相关联的绑定信息来导出所述安全密钥。
19.根据权利要求18所述的方法,其中,所述绑定信息包括以下中的一项或多项:
标识所述用户设备(18)经由其接入无线通信网络的接入网络的类型的信息;
标识所述无线通信网络的核心网络的类型的信息;
标识所述用户设备(18)正请求接入的核心网络切片的信息;以及
标识所述用户设备(18)正请求接入的核心网络切片的类型的信息。
20.根据权利要求1-19中任一项所述的方法,其中,所述SMF(14)被包括在5G网络中。
21.一种用户设备(18),被配置为:
从会话管理功能SMF(14)接收可扩展认证协议EAP请求(28),其中所述SMF充当用于对所述用户设备(18)的辅认证的EAP认证器,其中所述辅认证是除了对所述用户设备(18)的主认证之外的对所述用户设备(18)的认证;以及
响应于所述EAP请求(28),向所述SMF(14)发送EAP响应(30)。
22.根据权利要求21所述的用户设备,被配置为执行根据权利要求3-4和6-20中任一项所述的方法。
23.一种被配置用于提供会话管理功能SMF(14)的网络设备,其中,所述SMF(14)被配置为:
从所述SMF(14)向用户设备(18)发送可扩展认证协议EAP请求(28),其中,所述SMF(14)充当用于对所述用户设备(18)的辅认证的EAP认证器,其中,所述辅认证是除了对所述用户设备(18)的主认证之外的对所述用户设备(18)的认证;以及
响应于所述EAP请求(28),在所述SMF(14)处从所述用户设备(18)接收EAP响应(30)。
24.根据权利要求23所述的网络设备,其中,所述网络设备被分布在多个网络节点上。
25.根据权利要求23所述的网络设备,其中,所述网络设备被集中在单个网络节点处。
26.根据权利要求23-25中任一项所述的网络设备,其中,所述SMF(14)被配置为执行根据权利要求2-4和6-20中任一项所述的方法。
27.一种可扩展认证协议EAP服务器,被配置为:
经由会话管理功能SMF(14)从EAP服务器向用户设备(18)发送EAP请求(28),其中所述SMF(14)充当用于对所述用户设备(18)的辅认证的EAP认证器,其中,所述辅认证是除了对所述用户设备(18)的主认证之外的对所述用户设备(18)的认证,并且其中,所述EAP服务器被配置为执行用于所述EAP认证器的EAP认证方法;以及
响应于所述EAP请求(28),在所述EAP服务器(26)处经由所述SMF(14)从所述用户设备(18)接收EAP响应(30)。
28.根据权利要求27所述的EAP服务器,被配置为执行根据权利要求6-20中任一项所述的方法。
29.一种计算机程序,包括指令,所述指令当由至少一个处理器执行时使所述处理器执行根据权利要求1-20中任一项所述的方法。
30.一种包含权利要求29所述的计算机程序的载体,其中,所述载体是电信号、光信号、无线电信号或计算机可读存储介质之一。
31.一种用户设备(18),包括:
处理电路(410)和存储器(430),所述存储器(430)包含可由所述处理电路(410)执行的指令,从而所述用户设备(18)被配置为:
从会话管理功能SMF接收可扩展认证协议EAP请求(28),其中所述SMF充当用于对所述用户设备(18)的辅认证的EAP认证器,其中,所述辅认证是除了对所述用户设备(18)的主认证之外的对所述用户设备(18)的认证;以及
响应于所述EAP请求(28),从所述用户设备(18)向所述SMF(14)发送EAP响应(30)。
32.根据权利要求31所述的用户设备,被配置为执行根据权利要求3-4和6-20中任一项所述的方法。
33.一种网络设备(500),被配置用于提供会话管理功能SMF(14),其中,所述控制平面设备(500)包括处理电路(510)和存储器(530),所述存储器(530)包含可由所述处理电路(510)执行的指令,从而所述SMF(14)被配置为:
从所述SMF(14)向用户设备(18)发送可扩展认证协议EAP请求(28),其中,所述SMF(14)充当用于对所述用户设备(18)的辅认证的EAP认证器,其中,所述辅认证是除了对所述用户设备(18)的主认证之外的对所述用户设备(18)的认证;以及
响应于所述EAP请求(28),在所述SMF(14)处从所述用户设备(18)接收EAP响应(30)。
34.根据权利要求33所述的网络设备,其中,所述网络设备被分布在多个网络节点上。
35.根据权利要求33所述的网络设备,其中,所述网络设备被集中在单个网络节点处。
36.根据权利要求33-35中任一项所述的网络设备,其中,所述SMF(14)被配置为执行根据权利要求2-4和6-20中任一项所述的方法。
37.一种可扩展认证协议EAP服务器(26),包括:
处理电路(610)和存储器(630),所述存储器(630)包含可由所述处理电路(610)执行的指令,从而所述EAP服务器(26)被配置为:
经由会话管理功能SMF(14)从EAP服务器向用户设备(18)发送EAP请求(28),其中所述SMF(14)充当用于对所述用户设备(18)的辅认证的EAP认证器,其中,所述辅认证是除了对所述用户设备(18)的主认证之外的对所述用户设备(18)的认证,并且其中,所述EAP服务器被配置为执行用于所述EAP认证器的EAP认证方法;以及
响应于所述EAP请求(28),在所述EAP服务器(26)处经由所述SMF(14)从所述用户设备(18)接收EAP响应(30)。
38.根据权利要求37所述的EAP服务器,被配置为执行根据权利要求6-20中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762451645P | 2017-01-27 | 2017-01-27 | |
| US62/451645 | 2017-01-27 | ||
| PCT/EP2017/084383 WO2018137873A1 (en) | 2017-01-27 | 2017-12-22 | Secondary authentication of a user equipment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110235423A true CN110235423A (zh) | 2019-09-13 |
| CN110235423B CN110235423B (zh) | 2022-10-21 |
Family
ID=60937747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780084867.1A Active CN110235423B (zh) | 2017-01-27 | 2017-12-22 | 对用户设备的辅认证 |
Country Status (8)
| Country | Link |
|---|---|
| US (3) | US20180317086A1 (zh) |
| EP (1) | EP3501155B1 (zh) |
| JP (1) | JP6889263B2 (zh) |
| CN (1) | CN110235423B (zh) |
| BR (1) | BR112019014670A2 (zh) |
| ES (1) | ES2947942T3 (zh) |
| RU (1) | RU2755258C2 (zh) |
| WO (1) | WO2018137873A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110996322A (zh) * | 2019-11-28 | 2020-04-10 | 楚天龙股份有限公司 | 一种实现终端二次认证的方法 |
| WO2021203947A1 (zh) * | 2020-04-10 | 2021-10-14 | 华为技术有限公司 | 一种通信方法及装置 |
| CN114024693A (zh) * | 2020-07-16 | 2022-02-08 | ***通信有限公司研究院 | 一种认证方法、装置、会话管理功能实体、服务器及终端 |
| CN114095928A (zh) * | 2021-11-08 | 2022-02-25 | 光宝科技股份有限公司 | 认证***和方法 |
| WO2022155796A1 (zh) * | 2021-01-19 | 2022-07-28 | 华为技术有限公司 | 通信方法以及相关装置 |
| WO2022179525A1 (en) * | 2021-02-23 | 2022-09-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for authentication |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10517021B2 (en) | 2016-06-30 | 2019-12-24 | Evolve Cellular Inc. | Long term evolution-primary WiFi (LTE-PW) |
| US10624020B2 (en) * | 2017-02-06 | 2020-04-14 | Qualcomm Incorporated | Non-access stratum transport for non-mobility management messages |
| CN110476447A (zh) * | 2017-03-21 | 2019-11-19 | 诺基亚技术有限公司 | 在支持网络切片的移动***中的增强的注册过程 |
| WO2018174383A1 (ko) * | 2017-03-21 | 2018-09-27 | 엘지전자 주식회사 | 세션 관리 방법 및 smf 노드 |
| WO2018176441A1 (zh) * | 2017-04-01 | 2018-10-04 | 华为技术有限公司 | 用户鉴权方法和装置 |
| US11576222B2 (en) * | 2017-05-12 | 2023-02-07 | Nokia Technologies Oy | Protocol data unit session splitting function and signaling |
| EP3565371A4 (en) * | 2017-07-20 | 2020-03-25 | Huawei International Pte. Ltd. | SESSION PROCESSING METHOD AND DEVICE |
| EP4167678A1 (en) | 2017-07-20 | 2023-04-19 | Huawei International Pte. Ltd. | Network security management method and apparatus |
| CN109391942A (zh) * | 2017-08-07 | 2019-02-26 | 华为技术有限公司 | 触发网络鉴权的方法及相关设备 |
| KR102404916B1 (ko) * | 2017-08-11 | 2022-06-07 | 삼성전자 주식회사 | 수동 로밍 및 데이터 이용권 |
| US10764935B2 (en) | 2018-02-12 | 2020-09-01 | Cisco Technology, Inc. | Methods and apparatus for selecting network slice, session management and user plane functions |
| US10728218B2 (en) * | 2018-02-26 | 2020-07-28 | Mcafee, Llc | Gateway with access checkpoint |
| EP3609149A1 (en) | 2018-08-08 | 2020-02-12 | Nokia Technologies Oy | Method and apparatus for security management in 5g networks |
| US10986010B2 (en) | 2018-08-09 | 2021-04-20 | At&T Intellectual Property I, L.P. | Mobility network slice selection |
| EP3854025A4 (en) * | 2018-09-17 | 2022-04-06 | Nokia Solutions and Networks Oy | IDENTITY CREDENTIALS MANAGEMENT |
| US10750553B2 (en) | 2018-09-25 | 2020-08-18 | Cisco Technology, Inc. | Systems and methods for selection of collocated nodes in 5G network |
| US20220046416A1 (en) * | 2018-09-28 | 2022-02-10 | Nec Corporation | Core network device, communication terminal, communication system, authentication method, and communication method |
| CN109040322B (zh) | 2018-10-08 | 2021-05-11 | 腾讯科技(深圳)有限公司 | 车辆通信方法、装置、计算机可读介质及电子设备 |
| CN111031571B (zh) | 2018-10-09 | 2022-01-14 | 华为技术有限公司 | 一种网络切片接入控制的方法及装置 |
| US20210400475A1 (en) * | 2018-11-12 | 2021-12-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication of a Communications Device |
| US10834079B2 (en) * | 2018-11-28 | 2020-11-10 | International Business Machines Corporation | Negotiative conversation chat bot |
| GB2579574B (en) * | 2018-12-03 | 2021-08-11 | Advanced Risc Mach Ltd | Bootstrapping with common credential data |
| KR20210114981A (ko) * | 2019-01-11 | 2021-09-24 | 아이디에이씨 홀딩스, 인크. | 슬라이스 특정 인증을 위한 방법들 및 장치들 |
| WO2020151798A1 (en) * | 2019-01-21 | 2020-07-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Network slice authentication |
| KR102587360B1 (ko) * | 2019-02-14 | 2023-10-11 | 삼성전자 주식회사 | Dn authorized pdu세션 재인증 지원 및 dn authorization data 변경에 따른 pdu세션 관리 방법 및 장치 |
| CN111654862B (zh) * | 2019-03-04 | 2021-12-03 | 华为技术有限公司 | 终端设备的注册方法及装置 |
| CN111818516B (zh) | 2019-04-12 | 2022-10-18 | 华为技术有限公司 | 认证方法、装置及设备 |
| EP3987834A4 (en) * | 2019-06-24 | 2023-04-05 | Nokia Technologies OY | DYNAMIC ASSIGNMENT OF NETWORK SLICE-SPECIFIC CREDENTIALS |
| CN114223232A (zh) * | 2019-08-15 | 2022-03-22 | 华为技术有限公司 | 通信方法和相关设备 |
| US20220369363A1 (en) * | 2019-08-23 | 2022-11-17 | Idac Holdings, Inc. | Authentication and authorization to access a network by an unmanned aerial vehicle |
| CN112449379B (zh) * | 2019-08-27 | 2024-02-09 | 中兴通讯股份有限公司 | 一种用户面迁移方法、设备、存储介质 |
| EP3826340A1 (en) * | 2019-11-21 | 2021-05-26 | Thales Dis France Sa | Method for authenticating a user on a network slice |
| US11777935B2 (en) | 2020-01-15 | 2023-10-03 | Cisco Technology, Inc. | Extending secondary authentication for fast roaming between service provider and enterprise network |
| US20230011095A1 (en) * | 2020-01-15 | 2023-01-12 | Hewlett-Packard Development Company, L.P. | Authentication system |
| DE112021000866T5 (de) * | 2020-01-31 | 2023-01-05 | Sony Group Corporation | Benutzergerät, authentifizierung-autorisierung-abrechnung-server eines nicht-öffentlichen netzes, authentifizierungsserverfunktionsentität |
| US11638312B2 (en) * | 2020-02-13 | 2023-04-25 | Qualcomm Incorporated | Slice allocation |
| US11765581B2 (en) | 2020-03-31 | 2023-09-19 | Cisco Technology, Inc. | Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information |
| US11706619B2 (en) | 2020-03-31 | 2023-07-18 | Cisco Technology, Inc. | Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network |
| US11778463B2 (en) | 2020-03-31 | 2023-10-03 | Cisco Technology, Inc. | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network |
| CN113784346A (zh) * | 2020-05-22 | 2021-12-10 | 华为技术有限公司 | 认证授权的方法和装置 |
| EP3929848A1 (en) | 2020-06-22 | 2021-12-29 | Laterpay AG | Laterpay 5g secondary authentication |
| US11310659B2 (en) | 2020-07-10 | 2022-04-19 | Cisco Technology, Inc. | Techniques for provisioning an enterprise electronic subscriber identity module (ESIM) profile for an enterprise user |
| CN112039838B (zh) * | 2020-07-15 | 2022-03-15 | 中国电子科技集团公司第三十研究所 | 一种适用于移动通信不同应用场景的二次认证方法和*** |
| US11490253B1 (en) * | 2020-08-14 | 2022-11-01 | Sprint Communications Company Lp | System and methods for over-the-air SIM profile transfer |
| US11785456B2 (en) * | 2020-08-18 | 2023-10-10 | Cisco Technology, Inc. | Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP) |
| CN112153641B (zh) * | 2020-09-09 | 2022-09-13 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 基于边缘upf的二次认证增强与端到端加密方法及*** |
| US11523332B2 (en) | 2020-12-29 | 2022-12-06 | Cisco Technology, Inc. | Cellular network onboarding through wireless local area network |
| WO2022262948A1 (en) * | 2021-06-15 | 2022-12-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and means for providing access to external networks |
| US11564081B1 (en) | 2021-07-06 | 2023-01-24 | Cisco Technology, Inc. | Auto-update and activation of locale-specific eSIM profile for a global enterprise user |
| CN113507705A (zh) * | 2021-07-13 | 2021-10-15 | 中国人民解放军战略支援部队信息工程大学 | 一种基于eap-tls协议的5g二次认证方法及*** |
| CN114221822B (zh) * | 2022-01-12 | 2023-10-27 | 杭州涂鸦信息技术有限公司 | 配网方法、网关设备以及计算机可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009910A (zh) * | 2006-01-25 | 2007-08-01 | 华为技术有限公司 | 在无线网络中实现扩展认证协议认证的方法及装置 |
| CN101536480A (zh) * | 2006-11-03 | 2009-09-16 | 摩托罗拉公司 | 用于网络接入的设备和/或用户认证 |
| CN101542973A (zh) * | 2007-02-09 | 2009-09-23 | 捷讯研究有限公司 | 使用eap对对等设备进行认证的方法和*** |
| US20110004762A1 (en) * | 2008-04-02 | 2011-01-06 | Nokia Siemens Networks Oy | Security for a non-3gpp access to an evolved packet system |
| CN102349321A (zh) * | 2009-03-10 | 2012-02-08 | 阿尔卡特朗讯公司 | 从接入网络至用户设备的会话专用信息的通信 |
| CN103067342A (zh) * | 2011-10-20 | 2013-04-24 | 中兴通讯股份有限公司 | 一种使用eap进行外部认证的设备、***及方法 |
| US20150282042A1 (en) * | 2014-03-28 | 2015-10-01 | Qualcomm Incorporated | Decoupling service and network provider identification in wireless communications |
| CN105103578A (zh) * | 2013-04-05 | 2015-11-25 | 交互数字专利控股公司 | 安全端对端和组通信 |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US8233934B2 (en) * | 2002-10-01 | 2012-07-31 | Nokia Corporation | Method and system for providing access via a first network to a service of a second network |
| AU2003276588A1 (en) * | 2002-11-18 | 2004-06-15 | Nokia Corporation | Faster authentication with parallel message processing |
| US8555344B1 (en) | 2003-06-05 | 2013-10-08 | Mcafee, Inc. | Methods and systems for fallback modes of operation within wireless computer networks |
| US7313690B2 (en) * | 2003-06-27 | 2007-12-25 | Microsoft Corporation | Three way validation and authentication of boot files transmitted from server to client |
| US7593717B2 (en) * | 2003-09-12 | 2009-09-22 | Alcatel-Lucent Usa Inc. | Authenticating access to a wireless local area network based on security value(s) associated with a cellular system |
| US20050271209A1 (en) * | 2004-06-07 | 2005-12-08 | Meghana Sahasrabudhe | AKA sequence number for replay protection in EAP-AKA authentication |
| WO2006101369A1 (en) | 2005-03-24 | 2006-09-28 | Lg Electronics Inc. | Method of connecting to network in broadband wireless access system |
| WO2007071009A1 (en) * | 2005-12-23 | 2007-06-28 | Bce Inc. | Wireless device authentication between different networks |
| US8615591B2 (en) | 2006-01-11 | 2013-12-24 | Cisco Technology, Inc. | Termination of a communication session between a client and a server |
| DE102006038591B4 (de) * | 2006-08-17 | 2008-07-03 | Siemens Ag | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| CN101163000B (zh) * | 2006-10-13 | 2011-03-02 | 中兴通讯股份有限公司 | 一种二次认证方法及*** |
| US8707416B2 (en) * | 2007-01-19 | 2014-04-22 | Toshiba America Research, Inc. | Bootstrapping kerberos from EAP (BKE) |
| US8341702B2 (en) * | 2007-11-01 | 2012-12-25 | Bridgewater Systems Corp. | Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol |
| US8601569B2 (en) * | 2010-04-09 | 2013-12-03 | International Business Machines Corporation | Secure access to a private network through a public wireless network |
| CN107070843A (zh) | 2011-04-28 | 2017-08-18 | 交互数字专利控股公司 | 一种用户设备以及在用户设备中的方法 |
| EP2675203B1 (en) * | 2012-06-11 | 2019-11-27 | BlackBerry Limited | Enabling multiple authentication applications |
| US9355231B2 (en) * | 2012-12-05 | 2016-05-31 | Telesign Corporation | Frictionless multi-factor authentication system and method |
| US9363736B2 (en) * | 2013-12-16 | 2016-06-07 | Qualcomm Incorporated | Methods and apparatus for provisioning of credentials in network deployments |
| WO2015139721A1 (en) * | 2014-03-17 | 2015-09-24 | Telefonaktiebolaget L M Ericsson (Publ) | Improved end-to-end data protection |
| AU2015202868A1 (en) * | 2014-05-26 | 2015-12-10 | Bass Morris Pty Ltd | Spine treatment apparatus |
| CN104936232A (zh) * | 2015-07-08 | 2015-09-23 | 重庆邮电大学 | 5g网络中基于用户标签的分流方法和*** |
| US20170171752A1 (en) * | 2015-12-14 | 2017-06-15 | Qualcomm Incorporated | Securing signaling interface between radio access network and a service management entity to support service slicing |
| US10172000B2 (en) * | 2016-03-17 | 2019-01-01 | M2MD Technologies, Inc. | Method and system for managing security keys for user and M2M devices in a wireless communication network environment |
| US10104544B2 (en) | 2016-04-05 | 2018-10-16 | Qualcomm Incorporated | LTE-level security for neutral host LTE |
| EP3456090B1 (en) * | 2016-05-12 | 2021-03-31 | Convida Wireless, Llc | Connecting to virtualized mobile core networks |
| WO2017200978A1 (en) * | 2016-05-16 | 2017-11-23 | Idac Holdings, Inc. | Security-based slice selection and assignment |
| KR102332075B1 (ko) * | 2016-07-05 | 2021-11-29 | 삼성전자 주식회사 | 모바일 무선 네트워크 시스템에서의 액세스 인증 방법 및 시스템 |
| KR102405409B1 (ko) * | 2016-07-05 | 2022-06-08 | 삼성전자 주식회사 | 데이터통신망에서의 특화된 접속 및 모빌리티와 페이징을 제공하기 위한 방법 및 장치 |
| WO2018053271A1 (en) * | 2016-09-16 | 2018-03-22 | Idac Holdings, Inc. | Unified authentication framework |
| CN109804651B (zh) * | 2016-10-05 | 2023-02-14 | 摩托罗拉移动有限责任公司 | 通过独立的非3gpp接入网络的核心网络附接 |
| JP6775683B2 (ja) * | 2016-10-31 | 2020-10-28 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | 次世代システムの認証 |
-
2017
- 2017-12-22 ES ES17825863T patent/ES2947942T3/es active Active
- 2017-12-22 WO PCT/EP2017/084383 patent/WO2018137873A1/en active Application Filing
- 2017-12-22 CN CN201780084867.1A patent/CN110235423B/zh active Active
- 2017-12-22 RU RU2019126798A patent/RU2755258C2/ru active
- 2017-12-22 EP EP17825863.8A patent/EP3501155B1/en active Active
- 2017-12-22 BR BR112019014670A patent/BR112019014670A2/pt unknown
- 2017-12-22 JP JP2019536862A patent/JP6889263B2/ja active Active
- 2017-12-22 US US15/761,835 patent/US20180317086A1/en not_active Abandoned
-
2019
- 2019-04-02 US US16/372,751 patent/US11575509B2/en active Active
-
2023
- 2023-01-04 US US18/149,826 patent/US11895229B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009910A (zh) * | 2006-01-25 | 2007-08-01 | 华为技术有限公司 | 在无线网络中实现扩展认证协议认证的方法及装置 |
| CN101536480A (zh) * | 2006-11-03 | 2009-09-16 | 摩托罗拉公司 | 用于网络接入的设备和/或用户认证 |
| CN101542973A (zh) * | 2007-02-09 | 2009-09-23 | 捷讯研究有限公司 | 使用eap对对等设备进行认证的方法和*** |
| US20110004762A1 (en) * | 2008-04-02 | 2011-01-06 | Nokia Siemens Networks Oy | Security for a non-3gpp access to an evolved packet system |
| CN102349321A (zh) * | 2009-03-10 | 2012-02-08 | 阿尔卡特朗讯公司 | 从接入网络至用户设备的会话专用信息的通信 |
| CN103067342A (zh) * | 2011-10-20 | 2013-04-24 | 中兴通讯股份有限公司 | 一种使用eap进行外部认证的设备、***及方法 |
| CN105103578A (zh) * | 2013-04-05 | 2015-11-25 | 交互数字专利控股公司 | 安全端对端和组通信 |
| US20150282042A1 (en) * | 2014-03-28 | 2015-10-01 | Qualcomm Incorporated | Decoupling service and network provider identification in wireless communications |
Non-Patent Citations (1)
| Title |
|---|
| ERICSSON: "3GPP STANDARD; 3GPP TR 33.899, 3RD GENERATION PARTNERSHIP", 《3RD GENERATION PARTNERSHIP PROJECT; TECHNICAL SPECIFICATION GROUP SERVICES AND SYSTEM ASPECTS; STUDY ON THE SECURITY ASPECTS OF THE NEXT GENERATION SYSTEM (RELEASE 14)》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110996322A (zh) * | 2019-11-28 | 2020-04-10 | 楚天龙股份有限公司 | 一种实现终端二次认证的方法 |
| CN110996322B (zh) * | 2019-11-28 | 2021-07-30 | 楚天龙股份有限公司 | 一种实现终端二次认证的方法 |
| WO2021203947A1 (zh) * | 2020-04-10 | 2021-10-14 | 华为技术有限公司 | 一种通信方法及装置 |
| CN113573298A (zh) * | 2020-04-10 | 2021-10-29 | 华为技术有限公司 | 一种通信方法及装置 |
| CN114024693A (zh) * | 2020-07-16 | 2022-02-08 | ***通信有限公司研究院 | 一种认证方法、装置、会话管理功能实体、服务器及终端 |
| WO2022155796A1 (zh) * | 2021-01-19 | 2022-07-28 | 华为技术有限公司 | 通信方法以及相关装置 |
| WO2022179525A1 (en) * | 2021-02-23 | 2022-09-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for authentication |
| CN114095928A (zh) * | 2021-11-08 | 2022-02-25 | 光宝科技股份有限公司 | 认证***和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3501155A1 (en) | 2019-06-26 |
| BR112019014670A2 (pt) | 2020-05-26 |
| CN110235423B (zh) | 2022-10-21 |
| US20230145044A1 (en) | 2023-05-11 |
| WO2018137873A1 (en) | 2018-08-02 |
| US11895229B2 (en) | 2024-02-06 |
| US20180317086A1 (en) | 2018-11-01 |
| ES2947942T3 (es) | 2023-08-24 |
| US20190230510A1 (en) | 2019-07-25 |
| RU2019126798A3 (zh) | 2021-03-02 |
| EP3501155B1 (en) | 2023-06-07 |
| JP6889263B2 (ja) | 2021-06-18 |
| US11575509B2 (en) | 2023-02-07 |
| RU2755258C2 (ru) | 2021-09-14 |
| RU2019126798A (ru) | 2021-03-02 |
| JP2020506578A (ja) | 2020-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110235423A (zh) | 对用户设备的辅认证 | |
| KR101961301B1 (ko) | 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 | |
| US10716002B2 (en) | Method and system for authenticating access in mobile wireless network system | |
| CN108966220B (zh) | 一种密钥推演的方法及网络设备 | |
| Prasad et al. | 3GPP 5G security | |
| US7200383B2 (en) | Subscriber authentication for unlicensed mobile access signaling | |
| CN109560929A (zh) | 密钥配置及安全策略确定方法、装置 | |
| US20100064135A1 (en) | Secure Negotiation of Authentication Capabilities | |
| CN108293223A (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| US20240015630A1 (en) | Routing Between Networks Based on Identifiers | |
| US20240022952A1 (en) | Resource Allocation in Non-Public Network | |
| US20240129794A1 (en) | Network Congestion Control | |
| CN113784351B (zh) | 切片服务验证方法、实体及设备 | |
| US20240129793A1 (en) | Network Overload Control | |
| US20230319685A1 (en) | Access Restriction of Wireless Device | |
| CN118400734A (zh) | 切片服务验证方法及其装置 | |
| CN118160338A (zh) | 通信网络中服务应用的安全信息推送 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40010037 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |