CN116391378A - 使用验证数字标识的订阅入网 - Google Patents

使用验证数字标识的订阅入网 Download PDF

Info

Publication number
CN116391378A
CN116391378A CN202080106988.3A CN202080106988A CN116391378A CN 116391378 A CN116391378 A CN 116391378A CN 202080106988 A CN202080106988 A CN 202080106988A CN 116391378 A CN116391378 A CN 116391378A
Authority
CN
China
Prior art keywords
network
subscription
key
dig
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080106988.3A
Other languages
English (en)
Inventor
希巴·巴卡·玛丽·巴斯卡朗
阿波斯陶里斯·索尔金茨
安德烈亚斯·孔茨
哥纳季·韦列夫
鲁兹贝赫·阿塔斯
伊尚·瓦伊什纳维
埃马努伊尔·帕特罗米切拉基斯
迪米特里额斯·卡拉姆帕特斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Singapore Pte Ltd
Original Assignee
Lenovo Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Singapore Pte Ltd filed Critical Lenovo Singapore Pte Ltd
Publication of CN116391378A publication Critical patent/CN116391378A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

公开了用于基于数字标识符的订阅入网的装置、方法和***。一种装置(600)包括处理器(605),其获取(805)数字识别符(“DIG‑ID”),该DIG‑ID包括可验证安全标识,且使用私钥生成(810)DIG‑ID的数字签名和时间戳。该装置(600)包括收发器(625),其向移动通信网络发送(815)第一请求并且接收(820)包含入网认证成功指示和验证的DIG‑ID的响应,所述第一请求包括DIG‑ID、时间戳和所生成的数字签名。处理器(605)建立(825)到移动通信网络的供应连接,并经由供应连接接收(830)订阅凭证和/或用户订阅简档。

Description

使用验证数字标识的订阅入网
技术领域
本文公开的主题总体上涉及无线通信,并且更具体地涉及基于数字ID的订阅入网(onboarding)。
背景技术
在此定义以下缩略语,至少其中一些在以下描述中被提及:第三代合作伙伴计划(“3GPP”)、第五代接入网络(“5G-AN”)、第五代核心网络(“5CG”)、第五代***(“5GS”)、认证、授权和计费(“AAA”)、AAA代理(“AAA-P”)、肯定确认(“ACK”)、认证和密钥协商(“AKA”)、接入和移动性管理功能(“AMF”)、应用编程接口(“API”)、认证凭证存储和处理功能(“ARPF”)、接入层(“AS”)、应用服务器(“AS”)、认证服务器功能(“AUSF”)、认证令牌(“AUTN”)、认证向量(“AV”)、基站(“BS”)、区块链服务使能器功能(“BSEF”)、带宽部分(“BWP”)、空闲信道评估(“CCA”)、码分多址(“CDMA”)、控制元素(“CE”)、循环前缀(“CP”)、信道状态信息(“CSI”)、配置许可(“CG”)、核心网络(“CN”)、控制面(“CP”)、去中心化标识符(“DID”)、数字标识符(“DIG-ID”)、数字签名(“DS”)、分布式账本技术(“DLT”)、数字标识、认证和信任服务启用器功能(“D-IDASEF”)、基于数字ID的订阅永久标识符(“D-SUPI”)、下行链路控制信息(“DCI”)、下行链路(“DL”)、不连续传输(“DTX”)、增强型空闲信道评估(“eCCA”)、电子标识、认证和信任服务(“elDAS”)、增强型移动宽带(“eMBB”)、演进节点B(“eNB”)、演进型分组核心(“EPC”)、演进型分组***(“EPS”)、演进型UMTS陆地无线电接入(“E-UTRA”)、演进型UMTS陆地无线接入网络(“E-UTRAN”)、欧洲电信标准协会(“ETSI”)、通用分组无线电服务(“GPRS”)、全球移动通信***(“GSM”)、混合自动重复请求(“HARQ”)、归属订户服务器(“HSS”)、归属公共陆地移动网络(“HPLMN”)、标识(“ID”,也是相关概念的“标识符”或“标识”的首字母缩写)、标识提供商(“IDP”)、标识服务提供商(“IDSP”)、标识框架(“IDF”)、信息元素(“IE”)、物联网(“loT”)、先听后讲(“LBT”)、长期演进(“LTE”)、多址接入(“MA”)、移动性管理(“MM”)、移动性管理实体(“MME”)、移动网络运营商(“MNO”)、主会话密钥(“MSK”)、窄带(“NB”)、否定确认(“NACK”)或(“NAK”)、新一代(5G)节点-B(“gNB”)、新一代无线电接入网络(“NG-RAN”)、用于5GS网络的RAN)、新无线电(“NR”、5G无线电接入技术;也称为“5G NR”)、使用非执照频谱的NR(“NR-U”)、非接入层(“NAS”)、网络曝光功能(“NEF”)、一次性数(Number Used Once)(“随机数(Nonce)”)、网络切片选择辅助信息(“NSSAI”)、入网辅助信息(“OAI”)、许可分布式账本(“PDL”)、分组数据单元(“PDU”,连同“PDU会话”使用)、分组交换(“PS”,例如,分组交换域或分组交换服务)、主小区(“LTE”)、物理下行链路控制信道(“PDCCH”)、分组数据网络(“PS”)、物理下行链路共享信道(“PDSCH”)、PDN网关(“P-GW”)、物理混合自动重传请求指示符信道(“PHICH”)、物理随机接入信道(“PRACH”)、物理资源块(“PRB”)、物理上行链路控制信道(“PUCCH”)、物理上行链路共享信道(“PUSCH”)、公共陆地移动网络(“PLMN”)、服务质量(“QoS”)、无线电接入网络(“RAN”)、无线电资源控制(“RRC”)、随机接入信道(“RACH”)、随机接入响应(“RAR”)、参考信号(“RS”)、注册区域(“RA”,类似于LTE/EPC中使用的跟踪区域列表)、接收(“RX”)、无线电链路控制(“RLC”)、单载波辅小区(“SCell”)、共享信道(“SCH”)、服务网关安全锚功能(“SEAF”)、订阅标识符去隐藏功能(“SIDE”)、(“S-GW”)、会话管理(“SM”)、安全模式命令(“SMC”)、会话管理功能(“SMF”)、服务网络标识符(“SN Id”)、服务提供商(“SP”)、单网络切片选择辅助信息(“S-NSSAI”)、探测参考信号(“SRS”)、自主标识(“SSI”)、订阅隐藏标识符(“SUPI”)、订阅永久标识符(“TSP”)、定时对齐定时器(“TAT”)、跟踪区域(“TA”)、传送块(“TB”)、传送块大小(“UDR”)、时间戳(“TS”)、信任服务提供商(“TSP”)、传输时间间隔(“TTI”)、发射(“TX”)、统一数据管理(“UDR”)、用户数据存储库(“UDR”)、上行链路控制信息(“UCI”)、用户实体/设备(移动终端)(“UE”)、上行链路(“UL”)、用户面(“UP”)、通用移动电信***(“UMTS”)、UMTS陆地无线电接入(“UTRA”)、UMTS陆地无线电接入网络(“UTRAN”)、万维网联盟(“W3C”)和全球微波接入互操作性(“WiMAX”)。如本文所用,“HARQ-ACK”可以共同地表示肯定应答(“ACK”)和否定应答(“NACK”)以及不连续传输(“DTX”)。ACK意指正确接收到TB,而NACK(或NAK)意指错误接收到TB。DTX意指未检测到TB。
作为了解你的客户(“KYC”)要求的一部分的移动网络运营商(“MNO”)经受强制SIM注册义务,其要求客户在SIM卡能够被激活之前呈现政府认可的身份凭证。在大多数情况下,这些KYC规则仅允许客户呈现已经由政府机构发布的身份证件,诸如国家身份证、护照或驾驶执照。
发明内容
公开了用于基于数字ID的订阅入网的过程。所述过程可以由装置、***、方法和/或计算机程序产品来实现。
UE的一种方法包括获取数字标识符(“DIGIT-ID”),所述数字标识符包括可验证安全的标识,以及使用私钥生成DIGIT-ID和时间戳的数字签名。该方法包括向移动通信网络发送第一请求并接收第一响应,其中该第一请求包括DIG-ID、时间戳和所生成的数字签名,并且其中第一响应包括入网认证成功指示和验证的DIG-ID。该方法包括建立到移动通信网络的供应连接,并且经由供应连接接收订阅凭证和/或用户订阅简档。
网络功能的一种方法包括接收第一请求,该消息包含UE的DIGIT-ID、时间戳和数字签名,其中该数字标识符包括可验证安全的标识。该方法包括基于DIG-ID标识信任服务提供商并向信任服务提供商发送验证请求。这里,该验证请求包含DIG-ID、时间戳、数字签名、最小数据集请求和安全密钥请求。该方法包括响应于对DIG-ID的成功验证而从服务提供商接收验证的DIG-ID、验证结果、DIG-ID寿命、MDS信息和入网密钥。该方法包括基于MDS信息来调用UE的订阅供应,其中使用入网根密钥来保护订阅供应。
附图说明
将通过参考在附图中图示的具体实施例来呈现对以上简要描述的实施例的更具体的描述。理解这些附图仅描绘了一些实施例并且因此不应被认为是对范围的限制,将通过使用附图以附加的特异性和细节来描述和解释实施例,其中:
图1是图示用于基于数字ID的订阅入网的无线通信***的一个实施例的示意性框图;
图2是图示用于数字ID验证和订阅凭证/信息供应以使能够在MNO网络中进行订户入网以用于网络服务接入的过程的一个实施例的图;
图3A是图示用于在注册过程期间用于网络接入的基于数字ID的入网的过程的一个实施例的图;
图3B是图3A中的过程的延续;
图4A是图示用于在使用入网过程期间用于网络接入的基于数字ID的入网的过程的一个实施例的图;
图4B是图4A中的过程的延续;
图5是图示用于经由服务使能器功能进行基于数字ID的入网以启用基于数字ID的标识、认证和信任服务的过程的一个实施例的图;
图6是图示可以用于基于数字ID的订阅入网的用户设备装置的一个实施例的图;
图7是图示可以用于基于数字ID的订阅入网的网络设备装置的一个实施例的图;
图8是图示用于基于数字ID的订阅入网的方法的一个实施例的流程图;以及
图9是图示用于基于数字ID的订阅入网的方法的一个实施例的流程图。
具体实施方式
如本领域技术人员将理解的,实施例的方面可以体现为***、装置、方法或程序产品。因此,实施例可以采取完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)或结合软件和硬件方面的实施例的形式。
例如,所公开的实施例可以实现为硬件电路,包括定制的超大规模集成(“VLSI”)电路或门阵列、现成的半导体,诸如逻辑芯片、晶体管或其他分立的组件。公开的实施例也可以在可编程硬件设备中实现,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等。作为另一示例,所公开的实施例可以包括可执行代码的一个或多个物理或逻辑块,其可以例如被组织为对象、过程或功能。
此外,实施例可以采取体现在一个或多个计算机可读存储设备中的程序产品的形式,该一个或多个计算机存储设备存储机器可读代码、计算机可读代码和/或程序代码(以下称为代码)。存储设备可以是有形的、非暂时的和/或非传输的。存储设备可能不包含信号。在某个实施例中,存储设备仅使用用于接入代码的信号。
可以使用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是例如但不限于电子的、磁性的、光学的、电磁的、红外线的、全息的、微机械的或半导体***、装置或设备,或前述的任何合适的组合。
存储设备的更具体示例(非详尽列表)将包括以下内容:具有一个或多个电线的电连接、便携式计算机软盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式光盘只读存储器(“CD-ROM”)、光存储设备、磁存储设备,或前述的任何合适的组合。在本文档的场境中,计算机可读存储介质可以是可以包含或存储用于由指令执行***、装置或设备使用或与其结合使用的程序的任何有形介质。
用于执行实施例的操作的代码可以是任意数量的行,并且可以用包括诸如Python、Ruby、Java、Smalltalk、C++等的面向对象的编程语言、和诸如“C”编程语言等的传统的过程编程语言、和/或诸如汇编语言机器语言中的一个或多个编程语言的任意组合来编写。代码可以完全在用户计算机上执行,部分在用户计算机上,作为独立软件包,部分在用户计算机上,部分在远程计算机上或完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过包括局域网(“LAN”)或广域网(“WAN”)的任何类型的网络连接到用户的计算机,或者可以制造到外部计算机(例如,使用互联网服务提供商通过互联网)。
此外,实施例的描述的特征、结构或特性可以以任何合适的方式组合。在下面的描述中,提供了许多具体的细节,诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例,以提供实施例的透彻理解。然而,相关领域的技术人员将认识到,实施例可以在没有一个或多个具体细节的情况下或者使用其他方法、组件、材料等来实施。在其他情况下,未详细示出或描述众所周知的结构、材料或操作以避免模糊实施例的方面。
贯穿本说明书对“一个实施例”、“实施例”或类似语言的引用是指结合该实施例描述的特定特征、结构或特性被包括在至少一个实施例中。因此,除非另有明确规定,贯穿本说明书的短语“在一个实施例中”、“在实施例中”和类似语言的出现可以但不一定都指代相同的实施例,而是表示“一个或多个但不是所有实施例”。除非另有明确规定,否则术语“包括”、“包含”、“具有”及其变体是指“包括但不限于”。除非另有明确规定,列举的项目列表并不是指任何或所有项目是相互排斥的。除非另有明确说明,否则术语“一(a/an)”和“该”也是指“一个或多个”。
如本文所用,具有“和/或”连词的列表包括列表中的任何单个项目或列表中的项目的组合。例如,A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所用,使用术语“一个或多个”的列表包括列表中的任何单个项目或列表中的项目的组合。例如,A、B和C中的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所用,使用术语“中的一个”的列表包括列表中的任何单个项目中的一个且仅一个。例如,“A、B和C中的一个”包括仅A、仅B或仅C并且不包括A、B和C的组合。如本文所用,“选自由A、B和C组成的组的成员”包括A、B或C中的一个且仅一个,并且不包括A、B和C的组合。”如本文所用,“选自由A、B和C组成的组的成员及其组合”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
下面参考根据实施例的方法、装置、***和程序产品的示意流程图和/或示意框图来描述实施例的方面。应当理解,流程图和/或示意框图中的各个框,以及流程图和/或示意框图中框的组合都可以通过代码来实现。该代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以生产机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令,创建用于实现流程图和/或框图中指定的功能/动作的装置。
代码还可以存储在存储设备中,该存储设备可以指导计算机、其他可编程数据处理装置或其他设备以特定方式运行,使得存储在存储设备中的指令产生包括实现示意流程图和/或示意框图中指定的功能/动作的指令。
代码还可以入网到计算机、其他可编程数据处理设备或其他设备上,以使一系列操作步骤在计算机、其他可编程设备或其他设备上执行,从而产生计算机实现的过程,使得在计算机或其他可编程设备上执行的代码提供用于实现流程图和/或框图中指定的功能/动作的过程。
附图中的流程图和/或框图示出了根据各种实施例的装置、***、方法和程序产品的可能实现的架构、功能和操作。在这点上,流程图和/或框图中的每个框可以表示模块、段或代码的一部分,其包括用于实现指定逻辑功能的代码的一个或多个可执行指令。
还应注意,在一些替代实施方式中,框中标注的功能可能不按图中标注的顺序出现。例如,连续示出的两个框实际上可以基本上同时执行,或者框有时可以以相反的顺序执行,这取决于所涉及的功能。可以构想在功能、逻辑或效果上与所示图中的一个或多个框或其部分等效的其他步骤和方法。
尽管在流程图和/或框图中可以采用各种箭头类型和线类型,但它们被理解为不限制相应实施例的范围。实际上,一些箭头或其他连接器可用于仅指示所描绘实施例的逻辑流程。例如,箭头可以指示所描绘的实施例的枚举步骤之间的未指定持续时间的等待或监视时段。还将注意,框图和/或流程图的每个框,以及框图和/或流程图中的框的组合,可以由执行指定功能或动作的基于硬件的专用***或专用硬件和代码的组合实现。
每个图中的元件的描述可以参考前面的附图的元件。在所有附图中,相同的数字指代相同的元件,包括相同元件的替代实施例。
一般而言,本公开描述了用于基于数字ID的订阅入网的***、方法和装置。本文描述了基于数字标识符的针对UE的订户/用户认证和订阅供应,以实现针对UE的按需网络接入和服务。还描述了基于数字标识符的订阅处理以减轻身份欺诈和风险。本公开解决了与移动网络相关的以下问题。
与SIM激活相关的遗留的了解你的客户(“KYC”)过程中涉及的身份欺诈和复杂性是关键问题。因此,移动网络运营商正朝着采用数字KYC和在线登记的方向发展以支持更多的按需服务。垂直服务提供商市场随着数字变换而演进,而当前3GPP移动网络不支持按需用户标识、认证和网络订阅管理以在数字市场中启用用户按需服务(来自MNO或来自不同服务提供商)。
需要数字客户标识和订阅处理的较少的用例包括向没有USIM/UICC的设备提供服务订阅、按使用付费模型(即,其中用户在不购买专用SIM的情况下购买和使用正在进行的服务)、临时服务订阅(即,访问外国的用户能够在停留期间从本地MNO购买临时订阅)。在不同的场景中,诸如网络作为服务模型,其中在一些位置,5G网络能够可用于/部署自组织和/或临时事件,以向本地用户或设备(例如,体育场/体育场等)提供5G覆盖和连接性。
然而,KYC过程对于服务提供商而言能够是昂贵的、耗时的并且可能是麻烦的,特别是当MNO有义务对照政府数据库证实客户的ID凭证并且针对他们进行的每个证实查询收费时。除了与客户报名、数据保护和文件管理相关联的运营成本之外,身份欺诈的案例还能够导致巨额罚金并损害公司的品牌信誉。
随着IoT设备数量的发展,嵌入式SIM技术正在演变并替换物理SIM卡。一般而言,USIM/UICC存储订阅信息以及IMSI(国际移动订阅标识符),并且它们负责认证移动网络上的订户、接入网络以及利用订阅相关服务。eSIM和iSIM主要取决于远程SIM供应(“RSP”)方案。与用于网络接入的SIM激活相关的KYC过程中涉及的身份欺诈和复杂性成为对移动运营商和订户的巨大威胁。
随着loT设备数量的增加,没有USIM的设备也将在loT和垂直服务生态***中发挥重要作用的机会更高。目前,移动运营商和3GPP网络仅支持传统的KYC,即,订户只能够在商店的遗留的身份检查(例如护照)之后获得SIM卡并激活订阅,之后基于SIM的订阅激活和用户标识认证过程以提供网络接入和服务。为了在演进的数字市场中启用按需订阅和用户标识管理,到目前为止,3GPP网络不具有任何数字订阅和标识处理方法,也不具有任何标准订阅入网方法。
本文描述了支持数字ID验证以实现用户认证以及遵循成功的数字ID验证,向UE供应用户订阅信息以实现网络服务接入的过程。在附图2-5中描述了实施例,这些实施例覆盖了UE通过提供数字ID以从网络取回订阅信息作为入网到MNO网络的一部分(例如,用于PLMN/NPN/内容提供商的服务供应的运营商的网络中)来尝试网络接入的场景。
图1描绘了根据本公开的实施例的用于基于数字ID的订阅入网的无线通信***100。在一个实施例中,无线通信***100包括至少一个远程单元105、无线接入网络(“RAN”)120、移动核心网络130和服务提供商域140。RAN 120和移动核心网络130形成移动通信网络。移动通信网络能够向远程单元105提供对由服务提供商域140提供的一个或多个服务的接入。RAN 120可以由基站单元110组成,远程单元105使用无线通信链路与该基站单元110通信。尽管在图1中描绘了特定数量的远程单元105、基站单元110、RAN 120、移动核心网络130和服务提供商域140,但是本领域技术人员将认识到,在无线通信***100中可以包括任何数量的远程单元105、基站单元110、RAN 120、移动核心网络130和服务提供商域140。
在一个实施方式中,RAN 120符合3GPP规范中规定的5G***。在另一实施方式中,RAN 120符合3GPP规范中规定的LTE***。然而,更一般地,无线通信***100可以实现一些其他开放或专有通信网络,例如WiMAX,以及其他网络。本公开不旨在限于任何特定无线通信***架构或协议的实施方式。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、智能设备(例如,连接到互联网的设备)、机顶盒、游戏机、安全***(包括安全摄像头)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以被称为UE、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线传输/接收单元(“WTRU”)、设备,或通过本领域中使用的其他术语。
远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号与RAN 120中的一个或多个基站单元121直接通信。此外,UL和DL通信信号可以通过无线通信链路承载。这里,RAN 120是向远程单元105提供对移动核心网络130的接入的中间网络。
在一些实施例中,远程单元105经由与移动核心网络130的网络连接与应用服务器141通信。例如,移动应用107(例如,网络浏览器、媒体客户端、电话/VoIP应用)在远程单元105中可以触发远程单元105以经由RAN 120与移动核心网络130建立PDU会话(或其他数据连接)。移动核心网络130然后使用PDU会话在服务提供商域140中的远程单元105与应用服务器141之间中继业务。PDU会话代表远程单元105和UPF 131之间的逻辑连接。为了建立PDU会话,远程单元105必须向移动核心网络注册。注意,远程单元105可以与移动核心网络130建立一个或多个PDU会话(或其他数据连接)。因此,远程单元105可以同时具有用于与服务提供商域140通信的至少一个PDU会话和用于与另一数据网络(例如,分组数据网络150)通信的至少一个PDU会话。移动应用107的其他示例包括用户代理、ID服务应用、信任服务应用、订阅简档管理服务应用、区块链/DLT钱包,如下面参考附图2-图5所讨论的。
基站单元121可以分布在地理区域上。在某些实施例中,基站单元121也可以称为接入终端、接入点、基地、基站、节点B、eNB、gNB、家庭节点B、中继节点、RAN节点或本领域中使用的任何其他术语。基站单元121通常是诸如RAN 120的无线电接入网络(“RAN”)的一部分,其可以包括可通信地耦合到一个或多个相应基站单元121的一个或多个控制器。无线电接入网络的这些和其他元件未示出,但本领域普通技术人员通常公知。基站单元121经由RAN 120连接到移动核心网络130。
基站单元121可以经由无线通信链路123为例如小区或小区扇区的服务区域内的多个远程单元105服务。如所描绘的,基站单元121可以支持特定小区123(即,PCell或PSCell)和/或SCell 125。基站单元121可以经由通信信号直接与一个或多个远程单元105通信。通常,基站单元121传输DL通信信号以在时域、频域和/或空间域中服务远程单元105。此外,可以在无线通信链路上承载DL通信信号。无线通信链路可以是执照或非执照无线电频谱中的任何合适的载波。无线通信链路促进一个或多个远程单元105和/或一个或多个基站单元121之间的通信。
在一个实施例中,移动核心网络130是5G核心(“5GC”)或演进分组核心(“EPC”),其可以耦合到分组数据网络150(如互联网和专用数据网络),以及其他数据网络。远程单元105可以具有移动核心网络130的订阅或其他账户。每个移动核心网络130属于单个公共陆地移动网络(“PLMN”)。本公开不旨在限于任何特定无线通信***架构或协议的实施方式。
移动核心网络130包括若干网络功能(“NF”)。如图所示,移动核心网络130包括一个或多个用户面功能(“UPF”)141。移动核心网络130还包括多个控制面功能,包括但不限于服务于RAN 120的接入和移动性管理功能(“AMF”)132、安全锚功能(“SEAF”)134、认证服务器功能(“AUSF”)135、策略控制功能(“PCF”)136、数字标识、认证和信任服务启用器功能(“D-IDASEF”)137、和区块链服务启用器功能(“BSEF”)138以及统一数据管理/用户数据储存库功能(“UDM/UDR”)139。在各种实施例中,移动核心网络130还可以包括认证服务器功能(“AUSF”)、网络存储库功能(“NRF”)(由各种NF用于通过API发现并相互通信)、网络暴露功能(“NEF”)或为5GC定义的其他NF。在各种实施例中,AUSF 135为移动核心网络130提供入网功能,诸如入网启用器功能。在这样的实施例中,AUSF 135可以是入网启用器AUSF(“O-AUSF”)。
在各种实施例中,移动核心网络130支持不同类型的移动数据连接和不同类型的网络切片,其中每个移动数据连接利用特定的网络切片。这里,“网络切片”指的是移动核心网络130针对特定业务类型或通信服务优化的部分。每个网络切片包括CP和/或UP网络功能的集合。网络实例可以由S-NSSAI识别,而远程单元105被授权使用的网络切片集合由NSSAI识别。在某些实施例中,各种网络切片可以包括网络功能的单独实例,诸如SMF 133和UPF131。在一些实施例中,不同的网络切片可以共享一些共同的网络功能,诸如AMF 132。在图1中未显示不同的网络切片,但假定它们的支持。
尽管图1中描绘了特定数量和类型的网络功能,但本领域技术人员将认识到,任何数量和类型的网络功能都可以包括在移动核心网络130中。此外,在移动核心网络130是EPC的情况下,所描绘的网络功能可以用适当的EPC实体代替,诸如MME、S-GW、P-GW、HSS等。在某些实施例中,移动核心网络130可以包括AAA服务器。
服务提供商域140支持无线通信***100中的服务。经由服务提供商域140提供的服务的示例可以包括但不限于标识服务、信任服务、区块链服务、分布式账本服务。如所描绘的,服务提供商域140可以包括应用服务器141、标识服务提供商(“IDSP”)142、信任服务提供商(“TSP”)143和区块链服务基础设施(“BSI”)144。下面更详细地描述IDSP 142和TSP143。IDSP 142和TSP 143分别向移动核心网络130和/或远程单元105提供标识和信任服务。BSI 144与区块链/分布式账本网络160交互以向移动核心网络130和/或远程单元105提供区块链(例如,分布式账本)服务,以支持将端用户(或设备)105生成的数字ID和可验证凭证存储在去中心化平台中,以通过移动核心网络130实现基于数字ID的端用户认证。
虽然图1描绘了5G RAN和5G核心网络的组件,但所描述的用于基于数字ID的订阅入网的实施例应用于其他类型的通信网络和RAT,包括IEEE 802.11变体、GSM、GPRS、UMTS、LTE变体、CDMA 2000、蓝牙、ZigBee、Sigfoxx等。例如,在涉及EPC的LTE变体中,AMF 132可以映射到MME,SMF 133可以被映射到PGW的控制面部分和/或MME,UPF 131可以被映射到SGW和PGW的用户面部分,UDM/UDR 139可以被映射到HSS等。
在以下描述中,术语“RAN节点”被用于基站,但它可以被任何其他无线电接入节点替换,例如,gNB、eNB、BS、AP、NR等。此外,在5G NR的场境下主要描述操作。然而,所提出的解决方案/方法也同样适用于支持基于数字ID认证的移动订阅供应的其他移动通信***。
图2描绘了根据本公开的实施例的用于基于数字ID认证的移动订阅供应方法(例如,订户入网)的过程200。过程200可以由服务网络中的网络功能(“NF”)207和入网启用器AUSF(“O-AUSF”)209服务的UE 205执行。过程200还涉及数字标识和信任服务提供商(“ID/TSP”)211、存储入网相关用户信息的NF(被描绘为“MNO NF”213)以及供应服务器和/或订阅管理器215。O-AUSF 209可以是归属网络中负责服务/处理入网相关服务的网络功能。MNONF 213可以与ID/TSP 211通信,其中,ID/TSP可以属于第三方和/或可以在MNO外部。ID/TSP211是能够访问数字标识符基础结构和DIG-ID相关文件(即,可验证的声明)以验证接收到的DIG-ID和DIG-ID的用户/所有者的ID/TSP。在一个实施例中,MNO NF 213位于MNO网络外部。在另一实施例中,MNO NF 213位于MNO网络内。在一些实施例中,服务网络是归属网络(例如,H-PLMN)。在其它实施例中,服务网络是与归属网络不同的受访/漫游网络(例如,V-PLMN)。
在各种实施例中,UE 205是远程单元105的一个实施例,NF 207是AMF 132和/或SEAF 134的一个实施例,O-AUSF 209是AUSF 135的一个实施例。MNO NF 213可以是UDM/UDR139的一个实施例。过程200示出了用户能够如何通过向网络提供数字ID来将UE 205入网到移动运营商的网络,以便被成功认证并接收网络订阅信息从而启用网络服务接入。
在各种实施例中,数字ID是全局可解析的、密码可验证的标识符(即,可验证的安全用户标识符或设备标识符)。在某些实施例中,数字ID可以直接注册在分布式账本(例如,区块链)上。这里,UE 205可以是分布式账本技术(“DLT”)端用户设备。在一些实施例中,数字ID由需要通过向移动网络运营商(“MNO”)提供数字ID以用于用户认证来获得对MNO服务的接入的用户设备生成。在成功的用户认证时,MNO(例如,归属网络)提供临时订阅凭证或实际订阅简档,以将用户作为MNO网络的订户入网。这里,临时对比实际的确定可以基于订阅购买信息。
数字ID(“DIG-ID”)可以包含/指代任何以下标识:
·去中心化ID(“DID”):DID的语法=“did:”method-name method-specificc-id。示例DID是“did:example:123456789abcdefghi”。
·自主ID(“SSI”):这里,用户或组织(例如,MNO/服务提供商)控制和管理他们的标识。
·数字入网ID,诸如下面描述的订阅唯一入网ID(“SUOI”)。
图2中所示的解决方案的概述涉及以下步骤。
作为前提条件,假设用户已经从商店或经由在线登记购买了MNO网络订阅。然而,这里,用户设备不包含与所购买的订阅相关的任何实际订阅凭证或信息(或用户订阅简档)以接入网络服务。假设MNO在其网络中提供有限接入以向用户设备提供入网服务,而入网网络向UE提供初始注册和/或接入以用于UE入网。
可选地,UE 205可以连接到MNO网络(例如,PLMN或NPN),并且在没有安全的情况下建立控制面和用户面连接。然后,UE 205可以使用移动应用或浏览器来生成具有信任服务提供商(“TSP”)的DIG-ID。通常,TSP为电子交易提供信任服务,而ID服务提供商为受端到端应用安全保护的电子设备提供标识服务。注意,ID服务提供商和信任服务提供商可以由同一服务提供商(“SP”)提供并且可以共置。本文中使用的TSP可以指单独的信任服务提供商或组合的ID/信任服务提供商。
可替选地,如果UE 205具有无线局域网连接(例如,Wi-Fi连接),则其可以单独地或在在线购买MNO订阅时生成具有信任服务提供商的DIG-ID。在这种场景下,用户清楚地链接能够与MNO共享的DIG-ID相关文件和用户信息以及用户指定的DIG-ID相关信息的使用。
在订阅的在线购买期间,MNO门户或应用还可以提供用于链接ID/TSP相关动作的手段,并且MNO能够向ID/TSP 211提供可以规定MNO相关用户订阅简档的任何订阅相关数据(诸如订阅类型、MNO信息以及供应服务器/订阅数据管理功能的地址或URL或URI)。ID/TSP211将DIG-ID和DIG-ID文件地址存储在存储器中。DIG-ID文件地址可以解析为实际存储链接到DIG-ID的DIG-ID文件的任何去中心化平台或数据库。DIG-ID文件可以包括用于验证DIG-ID的公钥、如由用户根据MNO订阅激活要求配置的用户信息(即,任何可验证的凭证)以及MNO订阅相关信息(如果由MNO提供)。
UE 205可以本地存储(在可信安全平台、智能安全平台、数字平台、存储器和/或环境中)所有加密信息以及所生成的DIG-ID。加密信息可以包括以下中的一个或多个:设备公钥/私钥对、网络和/或ID/TSP 211的公钥、加密算法或共享密钥(例如,网络和/或TSP 211已知的)。类似地,ID/TSP 211可以存储加密信息,包括ID/TSP 211的公钥/私钥对、UE 205的公钥、加密算法或共享密钥(例如,UE 205已知的)。还应注意,UE 205可以包括与ID/TSP211交互的ID/信任服务应用217和与供应服务器/订阅管理器215交互的订阅简档管理服务应用219。
在步骤1,UE 205使用ID/信任服务提供商相关的用户代理或应用或浏览器来生成DIG-ID。UE 205产生新鲜度参数,诸如时间戳(或者也可以使用任何其它新鲜度参数)。UE205在请求消息中将DIG-ID、时间戳以及DIG-ID和时间戳的数字签名发送到服务MNO的网络中的NF 207(例如,AMF)(参见消息传递221)。在一个示例中,在N1容器中将请求发送到AMF。在某些实施例中,请求可以是注册请求消息。可替选地,请求可以是入网请求消息。
注意,如果UE 205没有手段在线生成新的DIG-ID,则UE 205可以使用其任何默认生物特征(如利用ID/TSP 211配置的)来生成DIG-ID,并且利用链接到用户的信任服务账户和ID/TSP 211的共享秘密密钥来保护DIG-ID,将其附加到ID/TSP 211的公钥和时间戳。另外,用户还能够发送之后可以帮助TSP解密DIG-ID并相应地验证它的新创建的DIG-ID、TSP公钥ID和时间戳的数字签名。
在步骤2,基于DIG-ID中的DIG-ID类型指示,NF 207将接收到的具有DIG-ID、时间戳和数字签名的请求转发到归属网络中的NF,诸如O-AUSF 209(参见消息传递223)。NF 207直接地或经由服务网络中的另一NF(例如,经由SEAF)转发请求。虽然所描绘的实施例示出了O-AUSF 209,但是应理解,O-AUSF 209可以用不同的AUSF或被配置成处置核心网络中的入网的另一网络功能(例如,新NF或现有3GPP NF)来替换。
在步骤3,在接收到具有DIG-ID、时间戳和数字签名的请求时,基于DIG-ID中的域信息,O-AUSF 209确定向ID/TSP 211发送ID验证请求以用于DIG-ID验证和相关用户认证(参见块225)。
在步骤4,O-AUSF 209向ID/TSP 211发送ID验证请求(即,服务操作消息),ID验证请求包括接收到的DIG-ID、时间戳、数字签名、任何MNO优选最小数据集(MDS)请求信息和安全密钥请求。
在步骤5,在接收到DID时,ID/TSP 211可以使用DID解析器或数据库来取回DID相关文件。ID/TSP 211还可以验证验证者(即,验证MNO信息以查看MNO是否被授权请求验证服务)。一旦取回了DID文件,ID/TSP 211使用DID相关的用户公钥来验证数字签名。如果数字签名验证成功,则ID/TSP 211取回如由用户配置的用户信息、附加MNO信息(如果存储),并且从共享秘密密钥生成入网根密钥(参见块229)。
在步骤6,ID/TSP 211向O-AUSF 209发送ID验证响应(即,服务操作消息),ID验证响应包括验证的DIG-ID(即,DIG-ID)、验证结果、最小数据集(用户信息和MNO订阅供应相关URI/URL/地址)和入网根密钥。注意,验证的DIG-ID可以与步骤4中发送的DIG-ID相同。在网络侧成功验证DIG-ID之后,ID/TSP 211与成功指示一起发送现在验证的DIG-ID,从而标识验证结果应用于哪个DIG-ID。
在步骤7,在接收到具有成功指示的ID验证响应时,O-AUSF 209基于接收到的MDS信息来确定是调用临时订阅凭证供应还是调用实际(即,非临时)订阅简档供应(参见块233)。在一个实施例中,如果仅用户信息被提供并且有资格进行临时订阅,则O-AUSF 209调用临时订阅凭证供应。在另一实施例中,仅当接收到供应服务器/订阅管理功能相关的URI/URL/地址时,O-AUSF 209才调用实际订阅简档供应。
在步骤8a,例如,使用服务操作消息,O-AUSF 209在MNO NF 213中存储接收到的DIG-ID、验证结果、最小数据集(例如,包含用户信息和MNO订阅供应相关URI/URL/地址)以及入网根密钥(参见消息传递235)。MNO NF 213可以是MNO中存储有入网相关用户信息的任何NF,诸如MNO中的UDM/UDR。
在支持供应的第一变体中,O-AUSF 209可以从UDM/UDR和/或MNO NF 213取回用于验证的DIG-ID的默认订阅凭证。这里,默认订阅凭证可以包括SUPI(即,用户订阅标识符)、AKA凭证、切片信息、MCC和MNC。
在支持供应的第二变体中,O-AUSF 209可以通过提供作为最小数据集的一部分接收的MNO相关信息和用户信息来从供应服务器和/或订阅管理器(被描绘为供应服务器/订阅管理器215)取回用于验证的DIG-ID的用户订阅简档。在所描绘的示例中,O-AUSF 209经由MNO NF213(即,UDM,参见消息传递237)取回用户订阅简档;然而,在其它实施例中,O-AUSF 209可以直接从供应服务器215取回用于验证的DIG-ID的用户订阅简档。用户订阅简档可以包括SUPI、AKA凭证、切片信息、MCC、MNC和网络接入相关信息,其将使得UE 205能够在可信安全位置(诸如eUICC或非UICC平台)中作为订阅简档存储在UE 205中。
在支持基于UP的供应的第三变体中,在接收到验证的DIG-ID、验证结果和MDS之后,MNO NF 213可以使用DIG-ID和MDS调用订阅取回和激活过程(对于KYC,参见消息传递237)。
在步骤8b,O-AUSF 209使用接收到的入网根密钥导出SEAF密钥(Kseaf),例如,作为KDF中的CK’、IK’/MSK/EMSK/Kausf。O-AUSF 209向服务网络中的NF 207发送响应消息,响应消息包括验证的DIG-ID、Kseaf和ID验证结果(参见消息传递239)。类似于步骤2,O-AUSF209可以直接地或经由网络中的另一NF(诸如SEAF)与NF 207(例如,AMF)通信。
在某些实施例中,在接收到响应消息时,服务网络中的SEAF从Kseaf生成AMF密钥(Kamf),并将响应转发到具有DIG-ID和包含成功指示的验证结果的AMF。
根据支持供应的第一变体,O-AUSF 209可以另外将用于验证的DIG-ID的默认订阅凭证连同DIG-ID、从入网根密钥导出的密钥以及用以生成密钥的随机数一起发送到AMF/SEAF。
根据支持供应的第二变体,O-AUSF 209可以另外将用于验证的DIG-ID的用户订阅简档连同DIG-ID、从入网根密钥导出的密钥及用以生成密钥的随机数一起发送到AMF/SEAF。
在步骤8c,在接收到DID、Kamf和成功指示时,NF 207(例如,AMF)发起NAS和AS以基于Kamf设置默认安全(参见消息传递241)。控制面和用户面安全也可以基于现有机制来设置,例如,使用加密和完整性保护算法的默认选择。注意,UE 205和NF 207使用入网根密钥——或从其导出的密钥——来保护供应。例如,入网根密钥可以用作Kausf以设置NAS、AS和UP安全。在步骤8c之后,UE 205将具有与MNO建立的安全。
如果NF 207接收到具有订阅凭证/用户订阅简档的入网容器信息,则其本地存储入网容器信息(例如,在AMF处)以及DIG-ID。NF 207可以可选地接收从入网根密钥导出的安全密钥。注意,如果没有接收到Kseaf,则没有建立NAS安全。
根据支持基于UP的供应的第三变体,可以在NAS和AS SMC之后运行RRC重新配置过程以设置UP安全。这里,PDU会话建立可以基于UDM/UDR中可用的MDS信息或预配置的信息被限制到供应服务器或订阅管理器215(其可以与MNO一起定位,或者可替选地,位于MNO网络外部)。
可以基于以下选项中的任一个来触发订阅凭证/简档供应。
根据第一选项,基于控制面(“CP”)的供应可以用于向UE提供订阅凭证/用户订阅简档。在采用控制面解决方案的情况下,执行步骤9,跳过步骤10。
在第一选项的第一变体中,用NAS安全保护CP供应连接。这里,AMF(例如,NF 207)使用NAS密钥来保护订阅凭证/用户订阅简档以及DIG-ID,并且在任何N1消息中向UE 205发送。
在第一选项的第二变体中,CP供应连接不受NAS安全保护。这里,AMF(例如,NF207)使用由O-AUSF 209提供并且从入网根密钥导出的密钥来保护用于验证的DID的订阅凭证/用户订阅简档。在步骤9a,可替选地,在步骤8c中。
在步骤9a,NF 207(AMF)通过N1在响应消息中将具有DIG-ID的入网容器发送到UE205(参见消息传递245)。在一些实施例中,用NAS安全保护N1消息以支持选项1的变体1。可替选地,NF 207(AMF)可以在响应消息中将具有DIG-ID的受保护入网容器发送到UE以支持选项1的变体2。下面进一步详细讨论受保护的入网容器。
根据第二选项,基于用户面(“UP”)的供应可以用于向UE提供订阅凭证/用户订阅简档。在采用控制面解决方案的情况下,执行步骤10,跳过步骤9。
在步骤10,可以通过与供应服务器或订阅管理器215建立的PDU会话向UE 205供应用户订阅简档(参见消息传递247)。具有向UE提供订阅信息的认证的服务器可以被定义为订阅管理器。如果DIG-ID验证结果成功,则在步骤8a(在237)中接收到DIG-ID、验证结果、寿命和MDS的订阅管理器可以确定促进向UE供应订阅。可替选地,如果MDS不包含任何MNO订阅相关信息,则可以提示UE 205购买或扫描与MNO订阅相关的QR码。
图3A-图3B示出了根据本公开的实施例的用于注册过程期间的网络接入的基于DIG-ID的订阅入网的过程300。过程300可以使用UE 205、RAN 301、AMF 303、AUSF 305、UDM307和数字ID/信任服务平台309来实施。在各种实施例中,RAN 301是RAN 120的一个实施例,AMF 303是AMF 132和/或NF 207的一个实施例,AUSF 305是O-AUSF 209和/或AUSF 138的一个实施例,UDM 307是UDM/UDR 139的一个实施例,并且数字标识/信任服务平台(“ID/TSP”)309是IDSP 142、TSP 143和/或ID/TSP 211的一个实施例。过程300示出了在注册过程期间基于DIG-ID的订户入网和订阅供应中涉及的详细消息交换。在过程300中,假设UE 205在UICC上没有用于网络接入的有效订阅简档。
在步骤0,作为前提条件,UE 205(即,具有任何移动应用/用户代理的设备)从MNO或服务提供商购买网络/服务订阅(参见块311)。服务提供商具有与标识服务框架/标识服务提供商和信任服务提供商309的服务级别协议,以启用经由DIG-ID/DID证实的安全订阅入网。用户代理可以是程序,诸如浏览器、移动应用、区块链/DLT钱包或其它Web客户端,其作为在持有者(例如,用户/UE/设备)、发行方(例如,任何法律团体/政府/组织)和验证者(例如,移动运营商/服务提供商/标识提供商/信任服务提供商)之间的通信的媒介。用户代理可以是上述移动应用107的一个实施例。
去中心化标识服务框架/标识服务提供商和信任服务提供商可以是一方或不同方,其促进与用户/设备相关的相关可验证凭证的DIG-ID/DID生成和安全链接、验证和存储。然后,用户/UE 205基于用户偏好和/或服务提供商要求(例如,具有任何一组属性,诸如姓名、地址、移动号码、年龄、机构/法律标识符、文件、生物特征等)经由用户代理生成DIG-ID/DID,并且通过用户代理提交用于订阅/服务激活的所需可验证凭证(诸如护照、个人ID、政府ID文件、驾驶执照等)。
由UE 205通过用户代理生成的DIG-ID/DID实际上充当到相关用户公钥存储装置(其可以用于使用用户的私钥创建的数字ID的数字签名的验证)和提交的可验证凭证的链接/直接或间接地址,其中,提交的可验证凭证可以由信任服务提供商/标识服务提供商在标识基础设施/框架(例如,自主网络/自主ID框架或elDAS框架)中验证并存储在单独的区块链/许可分布账本(PDL)中。标识/可验证声明可以被匿名地密封在区块链上并存储在第二许可的且密码保护的分布账本上。
DIG-ID/DID通常与密码材料相关联,诸如用户公钥-私钥对、ID/信任服务提供商信息(公钥和公钥标识符)和服务端点,用于建立安全通信信道。用户代理/应用可以由政府/网络运营商/服务提供商/信任服务提供商/标识服务提供商框架拥有。
UE 205将所有加密信息连同所生成的DIG-ID/DID一起本地存储在可信安全平台/智能安全平台/数字平台/存储器/环境中。加密信息能够包含任何证书(例如,ECDH)/用户公钥/私钥对、验证者公钥和公钥ID、订阅的寿命等。
在步骤0,UE 205仅进行成功的在线登记(即,服务订阅支付、DIG-ID/DID生成和到与KYC相关提交的可验证凭证的DIG-ID/DID链接以用于服务激活),并且UE 205已经生成DIG-ID/DID。UE 205具有与所需服务相关的可用DIG-ID/DID,并且UE 205不具有用于接入服务的实际订阅信息(例如,IMSUNAI、认证和密钥协议(AKA)凭证、切片信息等)。
在图3A-图3B的所描绘的实施例中,以DID作为DIG-ID来解释解决方案,并且根据DID来描述解决方案。然而,注意,相同的过程和描述适用于任何DIG-ID,诸如SSI或数字入网ID等,在这种情况下,代替DID,SSI/入网ID能够在用于任何DIG-ID适应性的消息流和步骤描述中被替换。此外,过程300还能够被采用到下列场景,其中PLMN/NPN网络运营商经由ID/信任服务提供商基础设施/去中心化ID框架执行DID用户标识认证,以触发MNO的PLMN/NPN/第三方服务提供商的订阅对UE 205入网和供应。
在步骤1,UE 205(其可以是任何移动用户设备或IoT设备)向AMF 303发送注册请求消息(通过NAS消息),注册请求消息包含入网指示和订阅唯一入网ID(SUOI)(或)具有时间戳(TS)的DID以及DID和时间戳的相关数字签名(DS)(参见消息传递313)。
这里,UE 205发送下列任一个
·SUOI+时间戳+签名;或
·DID+时间戳+签名;或
·隐藏的SUOI。
根据第一选项(选项A),UE 205在步骤0中生成数字ID(即,去中心化ID/自主ID/数字入网ID),并且如果DIG-ID的匿名和完整性保护是足够的,则在注册请求中发送该数字ID。这里,除了DID之外,时间戳(“TS”)由UE 205在注册请求中发送时添加。DID和TS的组合被指示为“DID_TS”。时间戳由UE 205使用以防止任何攻击者将缓存的DID重新用于重放攻击。
根据第一选项,UE 205创建针对DID_TS的数字签名以完整性保护DID,以及凭证所有者(即,UE/用户)拥有私钥的证明。数字签名的方法可以包括下面在选项B(情况1)中提到的任何方法。DID、时间戳和DID_TS的数字签名在注册请求中被UE发送到网络。在所描绘的实施例中,记号“具有DS的DID_TS”用于指示由标识所有者(即,UE 205)生成的具有时间戳和数字签名的数字ID。
根据第二选项(选项B),如果数字ID/DID需要通过隐藏进行隐私保护,则UE 205生成并使用订户唯一入网标识符(“SUOI”)在注册请求中进行入网。关于SUOI的生成和使用,UE 205可以使用特定于所需服务而生成的DID来构造SUOI。
SUOI可以具有下列格式中的任一个:
SUOI格式1:DIG-ID类型/DID类型、DIG-ID(即,去中心化ID/自主ID/数字入网ID)、服务提供商ID、标识/信任服务提供商信息。注意,所有上述信息可以级联在一起。DIG-ID/DID还能够另外包含任何DIG-ID/DID相关的安全信息,诸如SUOI的MAC/SUOI的数字签名。
SUOI格式2:DIG-ID(即,去中心化ID/自主ID/数字入网ID)@服务提供商ID.标识/信任服务提供商信息。注意,DID还能够另外包含任何DID相关的安全信息,诸如SUOI的MAC/SUOI的数字签名。
SUOI格式3:用户名=“DIG-ID类型_DIG-ID(即,去中心化ID/自主ID/数字入网ID)”@Realm=“服务提供商ID.标识/信任服务提供商信息”。其中,DIG-ID类型可以采用指示来指定它是否是去中心化ID/自主DI/数字入网ID/和其它数字ID类型。数字ID还能够另外含有任何数字ID相关的安全信息,诸如SUOI的MAC/SUOI的数字签名。
如果SUOI需要隐私,则UE可以使用以下选项中的任一个向AMF发送受保护的SUOI/隐藏的SUOI而非SUOI:
情况1:数字签名能够用于DIG-ID完整性保护。这里,DIG-ID的数字签名由UE生成,并且用于证明拥有用于保护DIG-ID的私钥的证明。该方案输出将包含DIG-ID的数字签名。注意,作为数字签名创建的前提条件,UE 205和服务提供商(例如,MNO/TSP/IDP)具有用于支持PKI的证书(例如,X.509、卡可验证证书等)。在与服务提供商(即,服务提供商能够为MNO或第三方)的在线登记期间,向UE提供具有用于其中允许它们连接的网络的签名公钥的证书。TSP(可信服务提供商)309将同样被提供有合格UE的证书。
在一个实施例中,每个服务提供商具有公钥和私钥对(sp_PUB_Key,sp_PRI_Key)。在一个实施例中,UE具有相应的公钥和私钥对(UE_PUB_Key、UE_PRI_Key)。在一个实施例中,每个服务提供商与所有UE共享其具有证书的公钥(sp_PUB_Key)。在一个实施例中,UE与服务提供商共享其具有证书的公钥(UE_PUB_Key)。
可选地,如果存在需要提供对服务提供商的订户的接入的不同网络运营商,则可以向网络运营商提供相同的sp_PRI_Key。在另一实施例中,UE和服务提供商通过对SUOI应用散列算法来创建消息摘要。在另一实施例中,UE和服务提供商用成为签名的核心网络UE_PRI_Key加密消息摘要。在一个实施例中,签名被附加到实际消息(即,SUOI)。
可替选地,共享秘密密钥可以用于生成DIG-ID的MAC标签。方案输出将包含DIG-ID的MAC标签。注意,SUOI可以支持隐藏的SUOI格式,包括:DIG-ID指示、DIG-ID、服务提供商/标识服务提供商/TSP ID和相关的公钥ID、保护方案ID、方案输出。
情况2:共享秘密密钥用于DIG-ID保护,类似于5G中的SUCI保护。这里,UE可以使用基于ID/TSP公钥导出的共享密钥来加密SUOI,并且相应的ID/TSP公钥ID与隐藏的SUOI一起由UE发送,以使得ID/TSP能够将隐藏的SUOI去隐藏为SUOI并相应地验证SUOI。注意,情况2还支持隐藏的SUOI格式,包括:DIG-ID指示、服务提供商/标识提供商/TSP ID、保护方案ID、SP/IP/TSP公钥ID、具有短时公钥的方案输出。
注意,如果DID被用作DIG-ID,则DIG-ID/DID信息可以包括来自例如DID的W3C工作草案的任何基于DID语法的信息。例如:URI方案标识符(did)、DID方法的标识符、DID方法特定标识符。
在步骤2,AMF 303向AUSF 305发送具有入网指示的认证请求消息(即,Nausf_UEAuth_Request),以及接收到的具有DS的SUOI(或隐藏的SUOI)/DID_TS(参见消息传递315)。
在步骤3,在接收到具有基于DID的明文/隐藏的SUOI/具有DS的DID_TS的入网指示时,AUSF 305向UDM 307发送具有接收到的入网指示和SUOI的认证数据请求消息(即,Nudm_UEAuth_Request),可替选地是隐藏的SUOI,可替选地是具有DS的DID_TS(参见消息传递317)。
在一个替选方案中,AUSF 305——在接收到具有基于DID的明文/隐藏的SUOI/带DS的DID_TS的入网指示时——向供应服务器发送具有接收到的入网指示和SUOI(或隐藏的SUOI)/具有DS的DID_TS的认证/入网数据请求消息。认证/入网数据请求消息的一个示例是服务操作消息Npserver_UEAuth_GetRequest。认证/入网数据请求消息的另一示例是服务操作消息Npserver_UESubscriptionProvioing_Request。
在步骤4,基于DID类型和/或服务提供商信息,UDM 307可以确定通过管理/控制DID和相关DID文件(可验证的用户/设备凭证)的ID服务/信任服务提供商来调用DID的验证。可替选地,基于DID类型,供应服务器可以确定通过管理/控制DID和相关DID文件(可验证的用户/设备凭证)的ID服务/信任服务提供商来调用DID的验证。
在步骤5,基于存在于DID或SUOI/隐藏的SUOI中的ID服务提供商信息和/或信任服务提供商信息,UDM 307选择ID/TSP 309,并向ID/TSP 309发送具有接收到的SUOI/DID/隐藏的DID的订户ID验证请求消息以及密钥请求指示。该消息可以包含关于订户/用户的附加信息请求指示,例如,姓名、地址、出生日期、银行账户等,以便生成完整订阅简档并满足KYC要求。ID服务提供商和/或信任服务提供商可以一起形成数字标识服务平台。
可替选地,基于存在于DID或SUOI/隐藏的SUOI/具有DS的DID_TS中的ID服务/信任服务提供商信息,供应服务器215向ID/TSP 309发送具有接收到的SUOI/DID/隐藏的DID/具有DS的DID_TS的订户ID验证请求消息以及密钥请求指示。
可替选地,如果UDM 307和/或供应服务器215接收到具有DS的DID_TS,则其使用具有DS的DID_TS来调用具有去中心化ID框架的ID验证请求,以验证DID和/或取回ID/信任服务提供商信息。基于接收到的ID/TSP 309地址信息,UDM/供应服务器向ID/TSP 309发送具有接收到的具有DS的DID_TS的订户ID验证请求消息以及密钥请求指示。
在步骤6,在接收到SUOI/隐藏的SUOI/具有DS的DID_TS时,ID/TSP 309基于将DID与DID文件存储的地址的关联存储在区块链/PDL中的通用解析器或本地数据库信息来验证DID。ID/TSP 309通过取回DID信息和用户文件(可验证的凭证)来验证DID使用的有效性、范围(范围是指与DID相关的使用信息,其阐明了DID可以由用户/网络使用的目的)和DID的真实性。
如果来自服务提供商/MNO域的任何NF(这里是UDM 307,或者它也能够为订阅供应服务器/接入服务器)请求任何订户相关信息,则ID/TSP 309生成具有关于订户/用户的所有所需订阅信息的最小数据集(例如,最小数据集能够包含订户名称、位置、DID有效性、服务支付信息、服务激活状态等)。
另外,如果服务提供商/MNO域还请求任何安全密钥请求以保护订阅入网,则ID/TSP 309基于UE 205中可用的安全凭证(例如:公钥/私钥对和共享密钥)来导出入网根密钥(KONB_Root)。使用MNO ID的入网根密钥(KONB_Root)的示例导出如下:
KONB_Root=KDF(共享秘密密钥,MNO ID) 等式1
其中,KDF表示具有共享秘密密钥和MNO标识符作为其输入的密钥导出函数。
使用服务提供商ID的入网根密钥(KONB_Root)的示例导出如下:
KONB_Root=KDF(共享秘密密钥,服务提供商ID)等式2
其中,KDF表示具有共享秘密密钥和服务提供商标识符作为其输入的密钥导出函数。
可替选地,如果ID/TSP 309接收到具有DS的DID_TS,则取回与DID文件一起存储的DID相关联的公钥,以验证与DID_TS一起接收到的数字签名。如果验证成功,则DID认证被认为是成功的,并且ID/TSP 309能够取回相关的DID信息以处理MNO/服务提供商的ID验证和密钥请求。
然而,如果在DID_TS中接收到的时间戳与在数字签名创建中使用的时间戳不同,则ID/TSP 309标识出时间戳已经被攻击者篡改,或者如果时间戳是过时的时间,则将其分类为重放攻击。
可替选地,如果ID/TSP 309接收到隐藏的SUOI/DID而不是明文SUOI,则使用与由公钥ID指示的公钥相关的私钥对隐藏的SUOI进行去隐藏。在证实从SUOI取回的DID、最小数据集生成和入网密钥生成中涉及的过程的其余部分将与上述相同。
关于数字签名验证的方法,如果数字签名应用于SUOI/DID_TS,则在服务提供商侧,服务提供商应使用相应的UE_PUB_Key来验证SUOI/DID_TS的签名。如果签名被成功地验证,则服务提供商可以接受消息;否则,在步骤7中丢弃消息并且将验证结果设定为失败。
在步骤7,ID/TSP 309向UDM 307(或服务提供商域中的NF)发送订户ID验证响应消息,其包含验证的DID、DID验证结果(成功或失败)、具有订户/用户信息的最小数据集和入网根密钥(KONB_Root)(参见消息传递325)。入网根密钥也被称为入网密钥。
可替选地,ID/TSP 309向供应服务器(或服务提供商域中的NF)发送订户ID验证响应消息,其包含验证的DID、DID验证结果(成功或失败)、具有用户信息的最小数据集和入网根密钥(KONB_Root)。
继续图3B,在步骤8,如果UDM 307接收到作为“成功”的DID验证结果,则UDM 307生成订阅信息并将其与接收到的信息一起存储在UDR中(参见块327),接收到的信息诸如为验证的DID、DID验证结果(成功或失败)、具有用户信息的最小数据集和入网根密钥(KONB_Root)。然而,如果UDM 307接收到作为“失败”的DID验证结果,则UDM 307将接收到的信息存储在UDR中,接收到的信息诸如为验证的DID、DID验证结果(失败)。
当DID验证是成功的时,UDM 307进一步生成随机数,并且使用随机数作为密钥导出中的输入从接收到的入网根密钥导出入网安全密钥(KONB_Sec),如下:
KONB_Sec=KDF(KONB_Root,MNO/服务提供商ID,随机数)等式3
其中,KDF表示具有共享秘密密钥和MNO ID作为其输入的密钥导出函数。
例如,通过如下导出入网加密密钥(KONB_enc)和入网完整性(KONB_int)密钥,KONB_Sec用于对包含供应给UE的用户订阅信息的入网容器进行机密性和完整性保护:
KONB_enc=KDF(KONB_Sec,MNO/服务提供商ID,“加密算法ID”,“DID”,关键字:“订阅入网”)等式4
KONB_int=KDF(KONB_Sec,MNO/服务提供商ID,“完整性算法ID”,“DID”,关键字:“订阅入网”)等式5
入网容器可以包括:K、SUPVIMSI、AKA证书、安全能力(认证方法、安全算法能力)、切片订阅信息、用于SUPI隐藏的移动运营商公钥和任何其它用户/服务订阅信息。UDM 307或者从供应服务器取回UE订阅信息,或者在本地生成UE订阅信息。UDM 307进一步用新用户订阅信息(K、IMSI、AKA凭证、SUCI生成输入、路由ID、切片订阅信息、安全信息等)来构造入网容器,并且用密钥KONB_enc来加密入网容器。
UDM 307使用完整性密钥KONB_int生成入网容器的MAC以及入网辅助信息(“OAI”)信息元素(“IE”),以完整性保护被发送到UE的订阅信息和相关信息。OAI IE包含关于具有“成功指示”的入网结果的信息、被用于标识用于保护入网容器(即,用户订阅信息)的加密和完整性保护算法的安全算法和ID以及相关信息。
可替选地,可以使用新随机数作为输入从入网根密钥(KONB_Root)导出入网安全密钥,并且入网安全密钥可以用于保护与订阅入网相关的订阅信息。
KONB_enc=KDF(KONB_Root、MNO/服务提供商ID,随机数,“完整性算法ID”,“DID”,关键字:“订阅入网”)等式6
KONB_int=KDF(KONB_Root、MNO/服务提供商ID,随机数,“完整性算法ID”,“DID”,关键字:“订阅入网”)等式7
可替选地,如果订阅入网过程中涉及供应服务器而不是UDM 307,则针对步骤8指定的所有上述处理将由供应服务器执行。
可替选地,UDM 307将密钥K存储在ARPF中作为用于订阅的新根密钥。UDM 307基于DID/SUPI选择认证方法,并且CK’/IK’(或)KAUSF可以根据正常规范从密钥K导出,并且如果UDM 307基于新凭证确定执行主认证以及订阅供应/在下一完整认证运行,则与认证向量(AUTN、RAND和密钥)一起供应给AUSF。
在步骤9,UDM 307将具有加密的订阅信息的受保护的入网容器连同随机数、OAI和MAC一起发送到AUSF 305(参见消息传递329)。在所描绘的示例中,通过使用散列函数来散列字符串而生成MAC:入网容器||Nonce||OAI||DID||MNO/服务提供商ID。这里,符号“||”用于示出级联。在某些实施例中,UDM 307在Nudm_UEAuth_GetResponse消息中发送受保护的入网容器。
可替选地,供应服务器可以例如使用服务操作消息Npserver_UEAuth_GetResponse和/或Npserver_UESubscriptionProvisiing_Response将具有加密的订阅信息的受保护的入网容器连同随机数、OAI和MAC(即,入网容器的散列||Nonce||OAI|DID||MNO/服务提供商ID)一起发送到AUSF 305。
可替选地,UDM 307可以向AUSF发送明文入网容器以及作为OAI的一部分包括的“所需NAS保护指示”以及入网安全上下文((KONB_Root)/(KONB_enc,KONB_int))和随机数。在某些实施例中,UDM 307将认证向量连同Nudm_UEAuth_Get响应消息中的入网容器一起发送到AUSF,这启用UE从而在从入网容器取回订阅信息之后立即继续主认证。
在步骤10,AUSF 305在服务操作消息(例如,Nudm_UEAuth_Response)中将接收到的具有加密订阅信息的受保护的入网容器连同随机数、OAI和MAC(即,入网容器散列||Nonce||OAI||DID||MNO/服务提供商ID)一起转发到AMF 303。
可替选地,AUSF 305可以将接收到的明文入网容器连同作为OAI的一部分包括的“所需NAS保护指示”连同入网安全上下文((KONB_Root)/(KONB_enc,KONB_int))和随机数转发给AMF 303。
可选地,AUSF 305还可以将认证质询和RAND连同入网容器(受保护或明文)一起发送到AMF 303,这启用UE 205从而在从入网容器取回订阅信息之后立即继续主认证。
在步骤11,AMF 303通过Auth_Response消息中的NAS传输/消息向UE 205发送接收到的具有加密的订阅信息的受保护的入网容器以及随机数、OAI和MAC(即,入网容器散列||Nonce||OAI||DID||MNO/服务提供商ID)。
可替选地,AMF 303接收具有随机数、入网安全上下文((KONB_Root)/(KONB_enc,KONB_int))和具有NAS保护指示的OAI的明文入网容器。如果AMF 303接收入网根密钥作为入网安全上下文,则AMF 303导出KONB_enc和KONB_int密钥。然后,AMF 303使用入网安全上下文(KONB_enc,KONB_int)将机密性和完整性保护应用于入网容器。AMF 303使用密钥KONB_enc加密入网容器,并使用完整性密钥KONB_int生成入网容器的MAC以及OAI IE,以完整性保护订阅信息。可以根据上面的等式6导出KONB_enc,而可以根据上面的等式7导出KONB_int
然后,AMF 303通过Auth_Response消息中的NAS传输/消息向UE 205发送具有加密的订阅信息的受保护的入网容器以及随机数、OAI和MAC(即,入网容器的散列||Nonce||OAI||DID||MNO/服务提供商ID)。OAI IE包含关于具有“成功指示”的入网结果的信息、被用于标识用于保护入网容器(即,用户订阅信息)的加密和完整性保护算法的安全算法ID以及“所需的保护指示”。
可替选地,AMF 303还可以将认证质询和RAND连同入网容器一起发送到UE 205,这启用UE 205从而在从入网容器取回订阅信息之后立即继续主认证。
可替选地,AMF 303向UE 205发送注册拒绝,包括受保护的入网容器和入网/入网认证成功指示。拒绝消息可以具有UE 205将使用在入网容器中供应的凭证来重新注册的指示。
步骤12,在接收到具有“成功指示”的入网结果的OAI时,UE 205可以使用接收到的随机数和与DID相关的本地可用共享秘密密钥,以基于类似于UDM 307/供应服务器的实施方式来生成诸如KONB_Root、KONB_Sec、KONB_enc、KONB_int密钥的入网安全上下文。UE 205使用KONB_enc来解密入网容器并且使用KONB_int来生成MAC并且验证所计算的MAC是否与接收到的MAC相同,以检查入网容器、随机数和OAI信息的完整性。如果MAC验证是成功的,则UE 205将接收到的订阅信息本地存储在可信存储装置中以将其用于后续网络/服务接入。
在入网容器中接收到的订阅信息可以包括以下信息中的一个或多个:
K、SUPI/IMSI、AKA凭证、安全能力(认证方法、安全算法能力)、切片订阅信息、任何其它用户/服务订阅信息等。
可替选地,如果UE 205接收到“所需的NAS保护指示”作为OAI的一部分,则UE 205理解入网容器在NAS级别受到保护,并且UE 205可以基于接收到的OAI信息来验证完整性并解密入网容器,如步骤12中所述。
可替选地,如果UE 205接收到具有入网/入网认证成功指示的受保护的入网容器的注册拒绝,则UE 205可以如前所述导出入网密钥,然后解密和验证入网容器。UE 205生成新鲜的SUCI,并基于接收到的接入容器中的订阅简档来发送初始注册。UE 205可以将订阅简档存储在新的USIM简档中或者更新现有的USIM简档。
可替选地,如果UE 205接收到认证质询和RAND以及入网容器,则在成功的订阅接收之后,UE 205继续与网络交换认证质询响应以继续主认证。
在步骤13,UE 205可以基于接收到的订阅信息向AMF 303发起注册请求(初始注册),并且可以执行主认证。如果主认证成功,则UE 205可以导出如3GPP TS 33.501中指定的Kausf。这里,新导出的Kausf替换基于入网根密钥的先前导出的Kausf。
在步骤14,AMF 303发起NAS SMC以设置NAS安全,然后AMF 303触发发起与RAN 301中的gNB设置的UE初始上下文。
在步骤15,gNB(在RAN 301中)发起并执行AS SMC以设置AS安全上下文。
在步骤16,在成功的AS安全设置之后,向UE 205发送受保护的注册接受消息。
图4A-图4B图示了根据本公开的实施例的在入网过程期间用于网络接入的基于DIG-ID的订阅入网的过程400。过程400可以使用UE 205、RAN 301、AMF 303、AUSF 305、UDM/UDR 307和数字ID/信任服务平台(“ID/TSP”)309来实施。过程400代表对过程300的可替选订阅入网过程,主要由于过程400使用5G入网过程/代替使用注册过程。
为了简洁起见,假设过程400与过程300相同,主要在5G***中用于携带交换入网消息的入网相关服务操作消息上具有以下差异。因此,下面提供的以下描述扩展了上面描述的类似步骤,存在关于5G入网过程所需的改变。
步骤0(参见块311)基本如上文参考图3A所述。
在步骤1,UE 205(其可以是任何移动用户设备或IoT设备)使用特定于所需服务生成的DID来构造订阅唯一入网ID(“SUOI”)。SUOI可以如上文参考图3A所描述来构造。可替选地,UE 205可以生成DID、时间戳和DID/时间戳组合(表示为“DID TS”)的数字签名(“DS”)。这里,UE 205向AMF 303发送入网请求消息(通过N1/NAS接口),其包含订阅入网指示和SUOI(可替选地,隐藏的SUOI)或具有DS的DID_TS(参见消息传递413)。
在步骤2,AMF 303将具有订阅入网指示的入网请求消息和接收到的SUOI(可替选地,隐藏的SUOI)或具有DS的DID_TS(参见消息传递415)转发到AUSF 305。在一些实施例中,AMF 303使用服务操作消息(即,Nausf_UEOnboard_Request)来转发接收到的入网请求。
在步骤3,在接收到具有基于DID的明文/隐藏的SUOI或具有DS的DID_TS的订阅入网指示时,AUSF 305向UDM/UDR 307发送具有接收到的订阅入网指示和SUOI(或隐藏的SUOI),可替选地是具有DS的DID_TS的认证/入网数据请求消息(参见消息传递407)。在一个实施例中,AUSF 305使用服务操作消息Nudm_UEOnboard_Request来发送认证/入网数据请求消息。在另一实施例中,AUSF 305使用服务操作消息Nudm_Subscription_GetRequest来发送认证/入网数据请求消息。
可替选地,在接收到具有基于DID的明文/隐藏SUOI或具有DS的DID_TS的订阅入网指示时,AUSF 305向供应服务器发送具有接收到的订阅入网指示和SUOI(或隐藏的SUOI),可替选地是具有DS的DID_TS的认证/入网数据请求消息。在一个实施例中,AUSF 305使用服务操作消息Npserver_UEOnboard_GetRequest来发送认证/入网数据请求消息。在另一实施例中,AUSF 305使用服务操作消息Npserver_UESubscriptionProvioing_Request来发送认证/入网数据请求消息。
在步骤4,基于DID类型和订阅入网指示,UDM/UDR 307可以确定通过管理/控制DID和相关的DID文件(可验证的用户/设备凭证)的ID服务/信任服务提供商309调用DID的验证。
可替选地,基于DID类型和订阅入网指示,供应服务器可以确定通过管理/控制DID和相关DID文件(可验证的用户/设备凭证)的ID服务/信任服务提供商来调用DID的验证。
步骤5-7基本上如上文参考图3A所述(参见消息传递321、块323和消息传递325)。
继续图4B,步骤8基本上如上参考图4B所述(参见块327)。
在步骤9,UDM/UDR 307在认证或入网数据响应消息(参见消息传递429)中向AUSF305发送具有加密的订阅信息的受保护的入网容器以及随机数、OAI和MAC(即,入网容器的散列||Nonce||OAI||DID||MNO/服务提供商ID)。在一个实施例中,UDM/UDR 307使用服务操作消息Nudm_UEOnboard_Response来发送受保护的入网容器。可替选地,UDM/UDR 307使用服务操作消息Nudm_Subscription_GetResponse来发送受保护的入网容器。
可替选地,供应服务器可以在认证或入网数据响应消息中向AUSF 305发送具有加密的订阅信息的受保护的入网容器以及随机数、OAI和MAC(入网容器的散列||Nonce||OAI||DID||MNO/服务提供商ID)。在一个实施例中,供应服务器使用服务操作消息Npserver_UEOnboard_GetResponse来发送受保护的入网容器。可替选地,供应服务器可以使用服务操作消息Npserver_UESubscriptionProvisiing_Response消息来发送受保护的入网容器。
可替选地,UDM 307和/或供应服务器可以在认证/入网数据响应消息中(例如,在服务操作消息Nudm_UEOnboard_Response、Nudm_Subscription_GetRequest、Npserver_UEOnboard_GetResponse和/或Npserver_UESubscriptionProvioing_Response消息之一中)向AUSF 305发送订阅信息以及随机数、入网安全上下文((KONB_Root)/(KONB_enc,KONB_int))和OAI。
在步骤10,AUSF 305例如在Nudm_UEOnboard_Response消息(参见消息传递425)中将接收到的具有加密订阅信息的受保护入网容器连同随机数、OAI和MAC(即,入网容器的散列||Nonce||OAI||DID||MNO/服务提供商ID)一起转发到AMF 303。
可替选地,AUSF 305在Nudm_UEOnboard_Response消息中将接收到的具有明文订阅信息的未受保护的入网容器连同Nonce、入网安全上下文((KONB_Root)/(KONB_enc,KONB_int))和OAI转发给AMF 303。
在步骤11,AMF 303通过Onboard_Response消息中的NAS传输/消息向UE 205发送具有加密的订阅信息以及随机数、OAI和MAC(即,入网容器的散列||Nonce||OAI||DID||MNO/服务提供商ID)的接收到的受保护的入网容器(参见消息传递433)。
可替选地,AMF 303对接收到的入网容器应用机密性和完整性保护,并通过Onboard_Response消息中的NAS传输/消息向UE发送加密的订阅信息以及随机数、OAI和MAC(即,入网容器散列||Nonce||OAI||DID||MNO/服务提供商ID)。
步骤12-16基本上如上文参考图3B所述(参见块335、消息传递337、消息传递339、消息传递341和消息传递343)。
注意,过程400还可以被采用到下列场景,其中,PLMN/NPN网络运营商经由ID/信任服务提供商基础设施/去中心化ID框架执行DID用户标识认证以触发MNO的PEMN/NPN/第三方服务提供商的订阅对UE 205的入网和供应。
图5图示了根据本公开的实施例的用于经由服务启用器功能进行基于DIG-ID的入网以启用基于DIGID的标识、认证和信任服务的过程500。过程500代表对过程300和400的可替选订阅入网过程。
为了简洁起见,假定过程500在图3A的步骤3之后开始,并替换过程300的步骤4至步骤8。可替选地,过程500可以在图4A的步骤3之后开始,并且替换过程400的步骤4至步骤8。图5中所示的以下DID验证和密钥请求过程可以用于启用3GPP网络功能(“NF”)501(诸如AUSF和/或UDM和/或供应服务器),从而经由数字标识、认证和信任服务启用器功能(“D-IDASEF”)或区块链服务启用器功能(“BSEF”)(统称为“D-IDASEF/BSEF”503)与外部标识框架505进行通信,以执行基于DID的ID验证和认证,从而启用向适当UE的订阅供应。D-IDASEF/BSEF 503是能够属于移动网络运营商或服务提供商域的新3GPP网络功能。在某些实施例中,D-IDASEF/BSEF 503执行AAA-代理功能。注意,D-IDASEF/BSEF 503可以是D-IDASEF 137和/或BSEF 138的实施例。
外部标识框架505可以包括标识服务提供商和/或信任服务提供商(“TSP”),例如,ID/TSP 211和/或ID/TSP 309。如上所述,ID/信任服务提供商能够一起形成数字标识服务平台(“DISP”)。在一些实施例中,标识框架505包括区块链服务基础设施(例如,BSI 144)和/或许可分布式账本(“PDL”)服务基础设施。在一些实施例中,标识框架505包括数字ID框架、去中心化ID框架和/或自主ID框架。
在各种实施例中,标识框架505与由PLMN或NPN运营商控制的标识提供商和/或DID服务基础设施提供的服务ID 507相关联。可替选地,提供服务ID 507的基础设施可以由第三方服务提供商控制。
标识框架505可以位于3GPP网络之外,例如,如果区块链/PDL服务基础设施由第三方服务提供商管理。在这样的实施例中,DIG-ID(例如,DID或SSI)可以被存储在区块链或PDL(例如,区块链和/或分布式账本网络160)中。在其它实施例中,标识框架505可以由3GPP网络中的MNO或服务提供商管理。注意,3GPP NF 501和D-IDASEF/BSEF 503位于3GPP网络中。AUSF/UDM可以直接与D-IDASEF/BSEF 503通信,也可以经由供应服务器(诸如供应服务器215)与D-IDASEF/BSEF 503通信。
过程500开始于步骤4,其中——基于DID类型和ID/信任服务提供商ID(即,域名)——3GPP NF 501(例如,AUSF/UDM)可以确定通过管理/控制DID和相关DID文件(可验证的用户/设备凭证)的ID服务/信任服务提供商来调用DID的验证(参见块509)。可替选地,基于DID类型和ID/信任服务提供商ID(即,域名),供应服务器(作为3GPP NF 501)可以确定通过管理/控制DID和相关DID文件(可验证的用户/设备凭证)的ID服务/信任服务提供商来调用DID的验证。
在步骤5a,基于存在于DID或SUO/隐藏的SUOI中的ID服务/信任服务提供商信息,3GPP NF 501(例如,AUSF/UDM)向D-IDASEF/BSEF 503发送具有接收到的SUOI/DID/隐藏的DID/具有DS的DID_TS以及密钥请求指示的订户ID验证请求消息(参见消息传递511)。可替选地,基于存在于DID或SUOI/隐藏的SUOI中的ID服务/信任服务提供商信息,供应服务器向D-IDASEF/BSEF 503发送具有接收到的SUOI/DID/隐藏的DID/具有DS的DID_TS以及密钥请求指示的订户ID验证请求消息。
在步骤5b,基于存在于DID或SUOI/隐藏SUOI中的ID服务/信任服务提供商信息,D-IDASEF/BSEF 503将具有接收到的SUOI/DID/隐藏的DID/具有DS的DID_TS以及密钥请求指示的接收到的订户ID验证请求消息转发到标识框架505(参见消息传递513)。
在步骤6,标识框架505(例如,ID/TSP)在接收到SUOI/DID/具有DS的DID_TS时,基于通用解析器或本地数据库信息来验证DID,通用解析器或本地数据库信息将DID与DID文件的地址以及相关联的用户公钥存储的关联存储在区块链/PDL中(参见块515)。标识框架505通过取回DID信息和用户文件(可验证的凭证)来验证DID使用的有效性、范围和DID的真实性。如果来自服务提供商/MNO域的任何NF(例如,UDM,可替选地可以是订阅供应服务器/入网服务器)请求任何订户相关信息,则标识框架505生成具有所有所需订户可验证凭证的最小数据集(“MDS”)(例如,最小数据集能够包含订户姓名、订户位置、DID有效性、服务支付信息、服务激活状态等)。
另外,如果服务提供商还请求保护订阅入网的任何安全密钥请求,则标识框架505(例如,ID/TSP)基于UE中可用的安全凭证(例如,公钥-私钥对和共享密钥)来导出入网根密钥(KONB_Root)。KONB_Root可根据以上等式1或等式2导出。
可替选地,如果标识框架505(例如,ID/TSP)接收到隐藏的SUOI/DID而不是明文SUOI,则使用与由公钥ID指示的公钥相关的私钥对隐藏的SUOI进行去隐藏。在从SUOI、最小数据集生成和入网密钥生成取回的DID的证实中涉及的过程的其余部分将与上述相同。
可替选地,如果标识框架505(例如,ID/TSP)接收到具有DS的DID_TS,则DID用于定位DID文件和公钥存储信息。然后,标识框架505取回用户公钥以验证DID的数字签名以及作为DID_TS的一部分提供的时间戳,从而验证接收到的DID源自授权的用户(即,UE 205)。
在步骤7a,标识框架505(例如,ID/TSP)向D-IDASEF/BSEF 503(或服务提供商域中的NF)发送订户ID验证响应消息,订户ID验证响应消息包含验证的DID、DID寿命、DID验证结果(成功或失败)、具有用户信息的最小数据集和入网根密钥(KONB_Root)(参见消息传递517)。标识框架505基于与UE的DID相关联的凭证/DID文件的寿命来确定DID寿命。
在步骤7b,D-IDASEF/BSEF 503向AUSF/UDM(例如,服务提供商域中的NF 501)转发所接收的订户ID验证响应消息,该订户ID验证响应消息包含验证的DID、DID寿命、DID验证结果(成功或失败)、具有用户信息的最小数据集和入网根密钥(KONB_Root)(参见消息传递519)。可替选地,D-IDASEF/BSEF 503向供应服务器(例如,服务提供商域中的NF 501)转发接收到的订户ID验证响应消息,接收到的订户ID验证响应消息包含验证的DID、DID验证结果(成功或失败)、具有用户信息的最小数据集和入网根密钥(KONB_Root)。
在步骤8,3GPP NF 501(例如,AUSF/UDM)如果接收到DID验证结果为“成功”,则将接收到的信息(诸如验证的DID、DID验证结果(成功或失败)、具有用户信息的最小数据集和入网根密钥(KONB_Root)存储在UDR中(参见块521)。然而,如果3GPP NF 501接收到作为“失败”的DID验证结果,则3GPP NF 501可以将诸如验证的DID、DID验证结果(失败)的接收到的信息存储在UDR中。
3GPP NF 501(例如,UDM)进一步生成随机数,并使用随机数作为密钥导出中的输入从接收到的入网根密钥导出入网安全密钥(KONB_Sec),如下。KONB_Sec用于对包含供应给UE205的用户订阅信息的入网容器进行机密性和完整性保护。可以使用等式3导出KONB_Sec。可使用等式4导出KONB_enc。可以使用等式5导出KONB_int
3GPP NF 501(例如,UDM)或者从供应服务器取回UE订阅信息,或者在本地生成UE订阅信息。3GPP NF 501(例如,UDM)可以进一步用新用户订阅信息(K、SUPI/IMSI、AKA凭证、SUCI生成输入诸如HN公钥ID、保护方案等、路由ID、切片订阅信息、安全信息等)构建入网容器。在某些实施例中,3GPP NF 501(例如,UDM)利用密钥KONB_enc加密入网容器,并且使用完整性密钥KONB_int生成入网容器的MAC以及OAI IE,以完整性保护被发送到UE的订阅信息和相关信息。OAI IE能够包含关于具有“成功指示”的入网结果的信息、用于标识被用于保护入网容器的加密和完整性保护算法的安全算法和ID(即,用户订阅信息)以及相关信息(例如,OAI)。
可替选地,可以使用新的随机数作为输入从入网根密钥(KONB_Root)导出入网安全密钥,并且入网安全密钥能够用于保护与订阅入网相关的订阅信息。在这样的实施例中,可以使用等式6导出KONB_enc,而可以使用等式7导出KONB_int
可替选地,如果供应服务器而不是UDM涉及订阅入网过程,则所有上述处理将由供应服务器执行。可替选地,UDM可以生成入网安全密钥,并将其与随机数和具有“所需NAS保护指示”的OAI一起提供给AMF,以触发AMF使用所提供的入网安全密钥来保护入网容器。
在一个实施例中,过程500通过执行来自图3B的步骤9-16完成。在另一实施例中,过程500通过执行来自图4B的步骤9-16完成。
在可替选选项中,例如,为了支持经由网络运营商(例如,NPN/PLMN)向UE提供UE订阅信息的服务提供商(例如,内容服务提供商或提供按需服务的服务提供商),过程500还可以用于下列场景,其中,网络运营商A使用由服务提供商B提供的凭证(基于用户在线登记以按使用模型付费)向服务提供商B的用户提供网络接入。
这里,对于该场景,服务提供商B将处理步骤5b、6和7a的消息,并且在成功的基于DID的ID认证之后,服务提供商B在步骤7a中将最小数据集中的用户订阅信息提供给网络运营商A。然后,网络运营商A将通过添加网络运营商A特定切片选择信息(例如,NSSAI)和其它所需的网络订阅信息来使用用户订阅信息相关的最小数据集来构造完整的用户订阅信息,并且使用图3B中,可替选地是图4B中所示的过程向UE提供用户订阅信息(根据关于网络运营商A和服务提供商B的上述修改,步骤描述是适用的)。
图6描绘了根据本公开的实施例的可以用于配置针对SDT的LCH映射限制的用户设备装置600。在各种实施例中,用户设备装置600用于实现上述解决方案中的一种或多种。用户设备装置600可以是上述远程单元105和/或UE 205的一个实施例。此外,用户设备装置600可以包括处理器605、存储器610、输入设备615、输出设备620和收发器625。
在一些实施例中,输入设备615和输出设备620被组合成单个设备,诸如触摸屏。在某些实施例中,用户设备装置600可以不包括任何输入设备615和/或输出设备620。在各种实施例中,用户设备装置600可以包括下述中的一个或多个:处理器605、存储器610和收发器625,并且可以不包括输入设备615和/或输出设备620。
如所描绘,收发器625包括至少一个发射器630和至少一个接收器635。在此,收发器625与由一个或多个基站单元121支持的一个或多个服务小区通信。附加地,收发器625可以支持至少一个网络接口640和/或应用接口645。应用接口645可以支持一个或多个API。网络接口640可以支持3GPP参考点,诸如Uu和PC5等。如本领域普通技术人员所理解的,可以支持其它网络接口640。
在一个实施例中,处理器605可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器605可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或类似的可编程控制器。在一些实施例中,处理器605执行存储在存储器610中的指令以执行本文描述的方法和例程。处理器605通信地耦合到存储器610、输入设备615、输出设备620和收发器625。
在各种实施例中,处理器605控制用户设备装置600以实现上述UE行为。例如,处理器605控制用户设备装置600以实现上述UE行为。例如,处理器605获取DIG-ID,所述DIG-ID包括可验证的安全标识。在一些实施例中,该DIG-ID包括下述中的至少一个:DID、SSI和DOID。在某些实施例中,获取DIG-ID包括购买与移动通信网络相关联的订阅和/或在UE处生成DIG-ID。
处理器605使用私钥生成DIG-ID的数字签名和时间戳。在一些实施例中,DIG-ID是链接到存储在与信任服务提供商和/或ID服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的用户的可验证凭证的可验证安全标识符。在这样的实施例中,DIG-ID被用于在向UE的入网和订阅凭证供应期间执行用户认证。在某些实施例中,DIG-ID被包含在NAI的用户名部分内,所述NAI具有该形式<username@realm>。在这样的实施例中,NAI可以包括DIG-ID以及下述中的至少一个:时间戳、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。
经由收发器625,处理器605向移动通信网络(即,向服务MNO)发送第一请求并接收第一响应。这里,第一请求包括DIG-ID、时间戳和生成的数字签名,并且第一响应包括入网认证成功指示和验证的DIG-ID。
在一些实施例中,第一请求包含SUOI,该SUOI包含DIG-ID、时间戳和数字签名。在某些实施例中,SUOI还包括下述中的一个或多个:DIG-ID类型、服务提供商标识符、ID服务提供商域信息和信任服务提供商域信息。在这样的实施例中,使用整个SUOI生成数字签名。注意,数字签名帮助消息接收者(即,服务MNO)确认所接收的ID和相关信息未被任何攻击者篡改(例如,更改)。
在某些实施例中,使用共享秘密加密密钥来保护DIG-ID。在使用共享秘密加密密钥保护DIG-ID的情况下,SUOI进一步包括SUOI的MAC、用户的公钥以及与由ID服务提供商信息标识的ID服务提供商和/或由信任服务提供商信息标识的信任服务提供商相对应的公钥标识符。
处理器605建立到移动通信网络的供应连接,并且经由供应连接接收订阅凭证和/或用户订阅简档。在一些实施例中,DIG-ID包括下述中的至少一个:DID、SSI和DOID。在一些实施例中,接收订阅凭证和/或用户订阅简档包括在NAS消息或用户面消息内接收受保护的入网容器,其使用基于入网根密钥从安全密钥导出的加密密钥和完整性密钥来保护。
在一些实施例中,第一请求包括发起与移动通信网络的注册过程的注册请求。在这样的实施例中,在成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后,在通过NAS或控制面消息的注册过程期间,在入网容器中向UE供应订阅凭证和/或用户订阅简档。这里,安全设置可以至少通过非接入层,并且可选地可以包括接入层和用户面。
在其他实施例中,第一请求包括入网请求。在这样的实施例中,在入网和供应过程期间在成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后在入网响应中和/或在用户面消息中订阅凭证和/或用户订阅简档被供应给UE。
在一些实施例中,接收订阅凭证和/或用户订阅简档包括从移动通信网络中的AMF接收NAS消息内的受保护的入网容器,其中该NAS消息包括OAI、随机数和MAC。在这样的实施例中,处理器605可以使用共享秘密密钥和成功验证的DIG-ID来导出入网根密钥,并且使用入网根密钥作为AUSF密钥。处理器605可以使用入网根密钥并且使用下述中的至少一个来进一步导出至少一个安全密钥:随机数、PLMN标识符和网络标识符。
然后,处理器605可以使用一个安全密钥作为SEAF密钥,并且,或者设置关于网络的安全(即,NAS安全、AS安全和/或用户面安全),或者使用一个安全密钥来导出用于解密受保护的入网容器的入网机密性密钥以及用于验证提供受保护的入网容器的NAS消息的MAC的入网完整性密钥。另外,处理器605可以基于OAI来验证NAS消息的MAC,其中该OAI包含具有“成功指示”的入网结果和一个或多个安全算法标识符。响应于成功验证MAC,处理器605可以解密和存储所接收的订阅凭证和/或用户订阅简档。
在一个实施例中,存储器610是计算机可读存储介质。在一些实施例中,存储器610包括易失性计算机存储介质。例如,存储器610可以包括RAM,包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器610包括非易失性计算机存储介质。例如,存储器610可以包括硬盘驱动器、闪存或任何其它合适的非易失性计算机存储设备。在一些实施例中,存储器610包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器610存储与基于数字ID的订阅入网有关的数据。例如,存储器610可以存储UE标识符、用户标识符、网络功能标识符、加密密钥、安全算法、数字签名、消息认证码、网络资源标识符等。在某些实施例中,存储器610还存储程序代码和相关数据,诸如在装置600上运行的操作***或其它控制器算法。
在一个实施例中,输入设备615可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备615可以与输出设备620集成,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备615包括触摸屏,使得可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入设备615包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备620被设计成输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备620包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备620可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一个非限制性示例,输出设备620可以包括与用户设备装置600的其余部分分离但通信耦合的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等等。此外,输出设备620可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备620包括一个或多个用于产生声音的扬声器。例如,输出设备620可以产生可听警报或通知(例如,哔哔声或铃声)。在一些实施例中,输出设备620包括用于产生振动、运动或其它触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备620的全部或部分可以与输入设备615集成。例如,输入设备615和输出设备620可以形成触摸屏或类似的触敏显示器。在其它实施例中,输出设备620可以位于输入设备615附近。
收发器625包括至少发射器630和至少一个接收器635。一个或多个发射器630可以用于向基站单元121提供UL通信信号,例如本文描述的UL传输。类似地,一个或多个接收器635可以用于从基站单元121接收DL通信信号,如本文所述。虽然仅图示了一个发射器630和一个接收器635,但是用户设备装置600可以具有任何合适数量的发射器630和接收器635。此外,发射器630和接收器635可以是任何合适类型的发射器和接收器。在一个实施例中,收发器625包括用于在执照无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在非执照无线电频谱上与移动通信网络通信的第二发射器/接收器对。
在某些实施例中,用于在执照无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在非执照无线电频谱上与移动通信网络通信的第二发射器/接收器对可以组合成单个收发器单元,例如执行与执照和非执照无线电频谱两者一起使用的功能的单个芯片。在一些实施例中,第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如,某些收发器625、发射器630和接收器635可以实现为接入共享硬件资源和/或软件资源(诸如例如网络接口640)的物理上分离的组件。
在各种实施例中,一个或多个发射器630和/或一个或多个接收器635可以被实现和/或集成到单个硬件组件中,该硬件组件诸如为多收发器芯片、片上***、ASIC或其它类型的硬件组件。在某些实施例中,一个或多个发射器630和/或一个或多个接收器635可以被实现和/或集成到多芯片模块中。在一些实施例中,诸如网络接口640或其它硬件组件/电路的其它组件可以与任意数量的发射器630和/或接收器635集成到单个芯片中。在这样的实施例中,发射器630和接收器635可以在逻辑上被配置为使用一个多个公共控制信号的收发器625,或者被配置为在同一硬件芯片中或多芯片模块中实现的模块化发射器630和接收器635。
图7描绘了根据本公开的实施例的可以用于基于数字ID的订阅入网的网络设备装置700的一个实施例。在一些实施例中,网络装置700可以是用于实现上述任解决方案中的任意一种的网络功能的一个实施例。例如,网络设备装置700可以包括硬件和/或软件资源,以实现移动通信网络(即,PLMN、NPN和/或MNO)中的上述网络功能之一,诸如AUSF 135、D-IDASEF 137、BSEF 138、UDM/UDR 139、O-AUSF209、AUSF 305、UDM/UDR 307、3GPP NF 501和/或D-IDASEF/BSEF 503。进一步地,网络设备装置700可以包括处理器705、存储器710、输入设备715、输出设备720和收发器725。在某些实施例中,网络设备装置700不包括任何输入设备715和/或输出设备720。
如所描绘的,收发器725包括至少一个发射器730和至少一个接收器735。这里,收发器725与一个或多个远程单元105通信。此外,收发器725可以支持至少一个网络接口740和/或应用接口745。应用接口745可以支持一个或多个API。网络接口740可以支持3GPP参考点,诸如N1、N3等等。如本领域普通技术人员所理解的,可以支持其它网络接口740。
在一个实施例中,处理器705可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器705可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或类似的可编程控制器。在一些实施例中,处理器705执行存储在存储器710中的指令以执行本文描述的方法和例程。处理器705通信地耦合到存储器710、输入设备715、输出设备720和收发器725。
在各种实施例中,处理器705控制网络设备装置700以实现上述网络功能行为。例如,经由网络接口740,处理器705接收第一请求,该消息包含UE的DIG-ID、时间戳和数字签名,其中该数字标识符包括可验证安全标识。例如,DIG-ID可以包括下述中的至少一个:DID、SSI、可验证安全标识符和DOID。
在一些实施例中,DIG-ID是链接到存储在与信任服务提供商和/或ID服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的用户的可验证凭证的可验证安全标识符。在这样的实施例中,DIG-ID被用于在向UE的入网和订阅凭证供应期间执行用户认证。在某些实施例中,DIG-ID被包含在NAI的用户名部分内,所述NAI具有形式<usemame@realm>。在这样的实施例中,NAI可以包括DIG-ID以及下述中的至少一个:时间戳、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。
在一些实施例中,第一请求包含SUOI,该SUOI包括DIG-ID、时间戳和数字签名。在某些实施例中,SUOI进一步包括下述中的一个或多个:DIG-ID类型、服务提供商标识符、ID服务提供商域信息和信任服务提供商域信息。在这样的实施例中,使用整个SUOI生成数字签名。
在某些实施例中,使用共享秘密加密密钥来保护DIG-ID。在使用共享秘密加密密钥保护DIG-ID的情况下,SUOI进一步包括SUOI的MAC、用户的公钥和/或与由ID服务提供商信息标识的ID服务提供商和/或由信任服务提供商信息标识的信任服务提供商相对应的公钥标识符。
处理器705基于DIG-ID标识信任服务提供商,并且控制网络接口740以向信任服务提供商发送验证请求。这里,验证请求包含DIG-ID、时间戳、数字签名、最小数据集请求和安全密钥请求。
处理器705响应于DIG-ID的成功验证而(例如,经由网络接口740)从服务提供商接收验证的DIG-ID、验证结果、DIG-ID寿命、MDS信息和入网根密钥。在各种实施例中,MDS信息包括用户信息。在某些实施例中,基于MDS信息调用UE的订阅供应包括调用临时订阅凭证供应。在一些实施例中,MDS信息包括下述中的至少一个:用户信息、订阅购买信息、订阅服务相关信息、订阅有效性和用于订阅供应的网络资源(即,MNO订阅供应相关URI/URL/地址)。在这样的实施例中,基于MDS信息来调用针对UE的订阅供应可以包括调用实际的用户订阅简档供应。
在一些实施例中,处理器将验证的数字ID、验证结果、数字ID寿命、MDS信息和入网根密钥存储在移动通信网络的DMF或UDM/UDR中。具体地,数据可以存储在UDR中,其中UDM是提供对数据的接入的前端。这里,UDM和UDR一起形成网络功能,称为“UDM/UDR”。
处理器705基于MDS信息调用UE的订阅供应,其中使用入网根密钥来保护该订阅供应。
在一些实施例中,处理器生成随机数并且使用入网根密钥以及下述中的至少一个来导出一个或多个安全密钥:随机数、PLMN标识符和网络标识符。在这样的实施例中,处理器使用一个安全密钥来导出一个或多个入网安全密钥(即,用于加密入网容器并且完整性保护入网容器的机密性密钥和完整性密钥),并且生成明文或受保护的入网容器以及用于UE的OAI,其中使用导出的安全密钥中的至少一个来保护入网容器。
在某些实施例中,处理器从DMF或UDM/UDR取回DIG-ID的默认订阅凭证并且导出一个或多个入网安全密钥。在这样的实施例中,默认订阅凭证和一个或多个入网安全密钥被提供给作为AMF和/或SEAF的第二网络功能。
在一些实施例中,处理器使用接收到的入网根密钥作为AUSF密钥,并将一个安全密钥作为SEAF密钥提供给AMF/SEAF,以与UE设置安全(即,NAS安全、AS安全和/或用户面安全)以用于供应连接。在某些实施例中,响应于在未受保护的入网容器中接收到默认订阅凭证,第二网络功能(即,AMF/SEAF)使用从接收到的入网安全密钥导出的加密密钥和完整性密钥来向入网容器应用机密性保护和完整性保护。在这样的实施例中,UE的订阅供应包括第二网络功能向UE发送NAS消息,所述NAS消息受机密性和完整性保护或者包含受保护的入网容器、入网辅助信息、随机数和MAC。
在一些实施例中,入网容器包括订阅凭证(即,SUPI)、秘密长期密钥(表示为‘K’)、认证和密钥协议(“AKA”)凭证、以及切片信息(例如,一个或多个S-NSSAI)。在某些实施例中,订阅凭证包括订阅唯一永久标识符。此外,入网容器可以进一步包括网络接入信息和附加订阅信息。
在一些实施例中,第一请求包括发起与移动通信网络的认证过程的认证请求。在这样的实施例中,在注册过程期间,在通过NAS或控制面消息使用入网容器成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后,向UE供应订阅凭证和/或用户订阅简档。这里,安全设置可以至少通过NAS,并且可选地可以包括接入层(AS)和用户面(UP)安全设置。注意,UE可以向AMF/SEAF发送注册请求,并且然后AMF/SEAF在接收到注册请求时向AUSF发送具有注册请求中接收到的所有信息的认证请求。
在其他实施例中,第一请求包括入网请求。在这样的实施例中,在入网和供应过程期间在成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后,在入网响应中和/或在用户面消息中向UE供应订阅凭证和/或用户订阅简档。
在一个实施例中,存储器710是计算机可读存储介质。在一些实施例中,存储器710包括易失性计算机存储介质。例如,存储器710可以包括RAM,包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器710包括非易失性计算机存储介质。例如,存储器710可以包括硬盘驱动器、闪存或任何其它合适的非易失性计算机存储设备。在一些实施例中,存储器710包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器710存储与基于数字ID的订阅入网有关的数据,例如存储UE标识符、用户标识符、网络功能标识符、加密密钥、安全算法、数字签名、消息认证码、网络资源标识符等。在某些实施例中,存储器710还存储程序代码和相关数据,诸如在网络设备装置700和一个或多个软件应用上操作的操作***(“OS”)或其他控制器算法。
在一个实施例中,输入设备715可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备715可以与输出设备720集成,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备715包括触摸屏,使得可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入设备715包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备720可以包括任何已知的电子可控显示器或显示设备。输出设备720被设计成输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备720包括能够向用户输出视觉数据的电子显示器。此外,输出设备720可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备720包括用于产生声音的一个或多个扬声器。例如,输出设备720可以产生可听警报或通知(例如,哔哔声或铃声)。在一些实施例中,输出设备720包括用于产生振动、运动或其它触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备720的全部或部分可以与输入设备715集成。例如,输入设备715和输出设备720可以形成触摸屏或类似的触敏显示器。在其它实施例中,输出设备720的全部或者部分可以位于输入设备715附近。
如在上面所讨论的,收发器725可以与一个或多个远程单元和/或与提供对一个或多个PLMN的接入的一个或多个网络功能进行通信。收发器725在处理器705的控制下操作以发射消息、数据和其他信号,并且还接收消息、数据和其他信号。例如,处理器705可以在特殊时间选择性地激活收发器(或其部分)以便发送和接收消息。
收发器725可以包括一个或多个发射器730和一个或多个接收器735。在某些实施例中,一个或多个发射器730和/或一个或多个接收器735可以共享收发器硬件和/或电路。例如,一个或多个发射器730和/或一个或多个接收器735可以共享天线、天线调谐器、放大器、滤波器、振荡器、混频器、调制器/解调器、电源等。在一个实施例中,收发器725使用不同的通信协议或协议栈实现多个逻辑收发器,同时使用公共物理硬件。
图8描绘了根据本公开的实施例的用于基于数字ID的订阅入网的方法800的一个实施例。在各种实施例中,该方法800由UE执行,诸如上述的远程单元105、UE 205和/或用户设备装置600。在一些实施例中,该方法800由处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
该方法800开始并获取805DIG-ID,所述DIG-ID包括可验证的安全标识。该方法800包括使用私钥生成810DIG-ID的数字签名和时间戳。该方法800包括向移动通信网络(即,服务MNO)发送815第一请求,该第一请求包括DIG-ID、时间戳和生成的数字签名。该方法800包括接收820入网认证成功指示和验证的DIG-ID。该方法800包括建立825到移动通信网络的供应连接。该方法800包括经由供应连接接收830订阅凭证和/或用户订阅简档。该方法800结束。
图9描绘了根据本公开的实施例的用于基于数字ID的订阅入网的方法900的一个实施例。在各种实施例中,该方法900由网络功能执行,诸如上述的AUSF 135、D-IDASEF137、BSEF 138、UDM/UDR 139、O-AUSF 209、AUSF 305、UDM/UDR 307、3GPP NF 501和/或D-IDASEF/BSEF 503和/或网络设备装置700。在一些实施例中,该方法900由处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
该方法900开始并接收905第一请求,该消息包含UE的DIG-ID、时间戳和数字签名,其中该数字标识符包括可验证安全标识。该方法900包括基于DIG-ID标识910信任服务提供商。该方法900包括向信任服务提供商发送915验证请求。这里,该验证请求包含DIG-ID、时间戳、数字签名、最小数据集请求和安全密钥请求。该方法900包括响应于DIG-ID的成功验证而从服务提供商接收920验证的DIG-ID、验证结果、DIG-ID寿命、MDS信息和入网根密钥。该方法900包括基于MDS信息调用925UE的订阅供应,其中使用入网根密钥来保护该订阅供应。该方法900结束。
本文公开了根据本公开的实施例的用于基于数字ID的订阅入网的第一装置。第一装置可以由UE,诸如上述的远程单元105、UE 205和/或用户设备装置600来实现。该第一装置包括处理器,该处理器获取DIG-ID,所述DIG-ID包括可验证安全标识。处理器使用私钥生成DIG-ID的数字签名和时间戳。第一装置包括收发器,该收发器向移动通信网络(即,向服务MNO)发送第一请求并且接收第一响应,其中该第一请求包括DIG-ID、时间戳和生成的数字签名,并且其中第一响应包括入网认证成功指示和验证的DIG-ID。该处理器建立到移动通信网络的供应连接,并且经由供应连接接收订阅凭证和/或用户订阅简档。
在一些实施例中,第一请求包含SUOI,该SUOI包括DIG-ID、时间戳和数字签名。在某些实施例中,SUOI还包括下述中的一个或多个:DIG-ID类型、服务提供商标识符、ID服务提供商域信息和信任服务提供商域信息。在这样的实施例中,使用整个SUOI生成数字签名。
在某些实施例中,使用共享秘密加密密钥来保护DIG-ID。在这样的实施例中,SUOI进一步包括SUOI的MAC、用户的公钥、以及与由ID服务提供商信息标识的ID服务提供商和/或由信任服务提供商信息标识的信任服务提供商相对应的公钥标识符。
在一些实施例中,第一请求包括发起与移动通信网络的注册过程的注册请求。在这样的实施例中,在成功的基于数字ID的用户认证和/或基于入网根密钥的安全设置之后,在通过NAS或控制面消息的注册过程期间,在入网容器中向UE供应订阅凭证和/或用户订阅简档。这里,安全设置可以至少通过NAS,并且可选地可以包括AS和UP。
在其他实施例中,第一请求包括入网请求。在这样的实施例中,在入网和供应过程期间在成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后在入网响应中和/或在用户面消息中订阅凭证和/或用户订阅简档被供应给UE。
在一些实施例中,接收订阅凭证和/或用户订阅简档包括从移动通信网络中的AMF接收NAS消息内的受保护的入网容器,其中该NAS消息包括OAI、随机数和MAC。在这样的实施例中,处理器可以使用共享秘密密钥和成功验证的DIG-ID来导出入网根密钥,并且使用入网根密钥作为AUSF密钥。处理器可以使用入网根密钥并且使用下述中的至少一个来进一步导出至少一个安全密钥:随机数、PLMN标识符和网络标识符。然后,处理器可以使用一个安全密钥作为SEAF密钥,并且设置与网络的安全(即,NAS安全、AS安全和/或用户面安全),或者使用一个安全密钥来导出用于解密受保护的入网容器的入网机密性密钥以及用于验证提供受保护的入网容器的NAS消息的MAC的入网完整性密钥。另外,处理器可以基于OAI来验证NAS消息的MAC,其中该OAI包含具有“成功指示”的入网结果和一个或多个安全算法标识符。响应于成功验证MAC,处理器可以解密和存储接收到的订阅凭证和/或用户订阅简档。
在一些实施例中,DIG-ID包括下述中的至少一个:DID、SSI和DOID。在某些实施例中,获取DIG-ID包括购买与移动通信网络相关联的订阅和/或在UE处生成DIG-ID。在一些实施例中,接收订阅凭证和/或用户订阅简档包括在NAS消息或用户面消息内接收受保护的入网容器,该入网容器使用基于入网根密钥从安全密钥导出的加密密钥和完整性密钥来保护。
在一些实施例中,DIG-ID是链接到存储在与信任服务提供商和/或ID服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的用户的可验证凭证的可验证安全标识符。在这样的实施例中,DIG-ID用于在向UE的入网和订阅凭证供应期间执行用户认证。在某些实施例中,DIG-ID被包含在NAI的用户名部分内,所述NAI具有形式<usemame@realm>。在这样的实施例中,NAI可以包括DIG-ID以及下述中的至少一个:时间戳、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。
本文公开了根据本公开的实施例的用于基于数字ID的订阅入网的第一方法。第一方法可以由UE执行,诸如上述的远程单元105、UE 205和/或用户设备装置600。第一方法包括获取DIG-ID,所述DIG-ID包括可验证安全标识。第一方法包括使用私钥生成DIG-ID的数字签名和时间戳。第一方法包括向移动通信网络(即,向服务MNO)发送第一请求,其中该第一请求包括DIG-ID、时间戳和生成的数字签名。第一方法包括从移动通信网络接收第一响应,其中该第一响应包括入网认证成功指示和验证的DIG-ID。第一方法包括建立到移动通信网络的供应连接。该第一方法包括经由供应连接接收订阅凭证和/或用户订阅简档。
在一些实施例中,第一请求包含SUOI,该SUOI包括DIG-ID、时间戳和数字签名。在某些实施例中,SUOI还包括下述中的一个或多个:DIG-ID类型、服务提供商标识符、ID服务提供商域信息和信任服务提供商域信息。在这样的实施例中,使用整个SUOI生成数字签名。
在某些实施例中,使用共享秘密加密密钥来保护DIG-ID。在这样的实施例中,SUOI进一步包括SUOI的MAC、用户的公钥、以及与由ID服务提供商信息标识的ID服务提供商和/或由信任服务提供商信息标识的信任服务提供商相对应的公钥标识符。
在一些实施例中,第一请求包括发起与移动通信网络的注册过程的注册请求。在这样的实施例中,在成功的基于数字ID的用户认证和/或基于入网根密钥的安全设置之后,在通过NAS或控制面消息的注册过程期间,在入网容器中向UE供应订阅凭证和/或用户订阅简档。这里,安全设置可以至少通过NAS,并且可选地可以包括AS和UP。在其他实施例中,第一请求包括入网请求。在这样的实施例中,在入网和供应过程期间在成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后在入网响应中和/或在用户面消息中订阅凭证和/或用户订阅简档被供应给UE。
在一些实施例中,接收订阅凭证和/或用户订阅简档包括从移动通信网络中的AMF接收NAS消息内的受保护的入网容器,其中该NAS消息包括OAI、随机数和MAC。在这样的实施例中,该第一方法可以包括:使用共享秘密密钥和成功验证的DIG-ID来导出入网根密钥;使用入网根密钥作为AUSF密钥;使用入网根密钥并且使用下述中的至少一个来导出至少一个安全密钥:随机数、PLMN标识符和网络标识符;使用一个安全密钥作为SEAF密钥并且设置与网络的安全(即,NAS安全、AS安全和/或用户面安全)或者使用一个安全密钥来导出用于解密受保护的入网容器的入网机密性密钥以及用于验证提供受保护的入网容器的NAS消息的MAC的入网完整性密钥;基于包含具有“成功指示”的入网结果和安全算法标识符的OAI来验证NAS消息的MAC;以及响应于成功验证MAC解密和存储接收到的订阅凭证和/或用户订阅简档。
在一些实施例中,DIG-ID包括下述中的至少一个:DID、SSI和DOID。在某些实施例中,获取DIG-ID包括购买与移动通信网络相关联的订阅和/或在UE处生成DIG-ID。在一些实施例中,接收订阅凭证和/或用户订阅简档包括在NAS消息或用户面消息内接收受保护的入网容器,该入网容器使用基于入网根密钥从安全密钥导出的加密密钥和完整性密钥来保护。
在一些实施例中,DIG-ID是链接到存储在与信任服务提供商和/或ID服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的用户的可验证凭证的可验证安全标识符。在这样的实施例中,DIG-ID用于在向UE的入网和订阅凭证供应期间执行用户认证。在某些实施例中,DIG-ID被包含在NAI的用户名部分内,所述NAI具有形式<usemame@realm>。在这样的实施例中,NAI可以包括DIG-ID以及下述中的至少一个:时间戳、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。
本文公开了根据本公开的实施例的用于基于数字ID的订阅入网的第二装置。第二装置可以由移动通信网络(即,PLMN、NPN和/或MNO)中的网络功能来实现,诸如上述的AUSF135、D-IDASEF 137、BSEF 138、UDM/UDR 139、O-AUSF 209、AUSF 305、UDM/UDR 307、3GPP NF501和/或D-IDASEF/BSEF 503和/或网络设备装置700。
第二装置包括收发器,该收发器接收第一请求,该消息包含UE的DIG-ID、时间戳和数字签名,其中该数字标识符包括可验证的安全标识。该第二装置包括处理器,该处理器基于DIG-ID标识信任服务提供商并且控制收发器以将验证请求发送到信任服务提供商。这里,验证请求包含DIG-ID、时间戳、数字签名、最小数据集请求和安全密钥请求。收发器响应于DIG-ID的成功验证而从服务提供商接收验证的DIG-ID、验证结果、DIG-ID寿命、MDS信息和入网根密钥。处理器基于MDS信息调用UE的订阅供应,其中使用入网根密钥来保护该订阅供应。
在各种实施例中,MDS信息包括用户信息。在某些实施例中,基于MDS信息调用UE的订阅供应包括调用临时订阅凭证供应。在一些实施例中,MDS信息包括下述中的至少一个:用户信息、订阅购买信息、订阅服务相关信息、订阅有效性和用于订阅供应的网络资源(即,MNO订阅供应相关URI/URL/地址)。在这样的实施例中,基于MDS信息来调用针对UE的订阅供应可以包括调用实际的用户订阅简档供应。
在一些实施例中,处理器生成随机数并且使用入网根密钥以及下述中的至少一个来导出一个或多个安全密钥:随机数、PLMN标识符和网络标识符。在这样的实施例中,处理器使用一个安全密钥来导出一个或多个入网安全密钥(即,用于加密入网容器并且完整性保护入网容器的机密性密钥和完整性密钥),并且生成明文或受保护的入网容器以及用于UE的OAI,其中使用导出的安全密钥中的至少一个来保护入网容器。
在一些实施例中,处理器将验证的DIG-ID、验证结果、DIG-ID寿命、MDS信息和入网根密钥存储在移动通信网络的DMF或UDM/UDR中。具体地,数据可以存储在UDR中,其中UDM是提供对数据的接入的前端。这里,UDM和UDR一起形成网络功能,称为“UDM/UDR”。在某些实施例中,处理器从DMF或UDM/UDR取回DIG-ID的默认订阅凭证并且导出一个或多个入网安全密钥。在这样的实施例中,默认订阅凭证和一个或多个入网安全密钥被提供给作为AMF和/或SEAF的第二网络功能。
在一些实施例中,处理器使用接收到的入网根密钥作为AUSF密钥,并将一个安全密钥作为SEAF密钥提供给AMF/SEAF,以与UE设置安全(即,NAS安全、AS安全和/或用户面安全)以用于供应连接。在某些实施例中,响应于在未受保护的入网容器中接收到默认订阅凭证,第二网络功能(即,AMF/SEAF)使用从接收到的入网安全密钥导出的加密密钥和完整性密钥来向入网容器应用机密性保护和完整性保护。在这样的实施例中,UE的订阅供应包括第二网络功能向UE发送NAS消息,所述NAS消息受机密性和完整性保护或者包含受保护的入网容器、入网辅助信息、随机数和MAC。
在一些实施例中,入网容器包括订阅凭证(即,SUPI)、秘密长期密钥(表示为‘K’)、认证和密钥协议(“AKA”)凭证、以及切片信息(例如,一个或多个S-NSSAI)。在某些实施例中,订阅凭证包括订阅唯一永久标识符。此外,入网容器可以进一步包括网络接入信息和附加订阅信息。
在一些实施例中,第一请求包含SUOI,该SUOI包括DIG-ID、时间戳和数字签名。在某些实施例中,SUOI进一步包括下述中的一个或多个:DIG-ID类型、服务提供商标识符、ID服务提供商域信息和信任服务提供商域信息。在这样的实施例中,使用整个SUOI生成数字签名。
在某些实施例中,使用共享秘密加密密钥来保护DIG-ID。在这样的实施例中,SUOI进一步包括SUOI的MAC、用户的公钥、以及与由ID服务提供商信息标识的ID服务提供商和/或由信任服务提供商信息标识的信任服务提供商相对应的公钥标识符。
在一些实施例中,第一请求包括发起与移动通信网络的认证过程的认证请求。在这样的实施例中,在注册过程期间,在通过NAS或控制面消息使用入网容器成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后,向UE供应订阅凭证和/或用户订阅简档。这里,安全设置可以至少通过NAS,并且可选地可以包括AS和UP。
在其他实施例中,第一请求包括入网请求。在这样的实施例中,在入网和供应过程期间在成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后,在入网响应和/或用户面消息中向UE供应订阅凭证和/或用户订阅简档。
在一些实施例中,DIG-ID是链接到存储在与信任服务提供商和/或ID服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的用户的可验证凭证的可验证安全标识符。例如,DIG-ID包括下述中的至少一个:DID、SSI、可验证安全标识符和DOID。在这样的实施例中,DIG-ID被用于在向UE的入网和订阅凭证供应期间执行用户认证。在某些实施例中,DIG-ID被包含在NAI的用户名部分内,所述NAI具有形式<username@realm>。在这样的实施例中,NAI可以包括DIG-ID以及下述中的至少一个:时间戳、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。
本文公开了根据本公开的实施例的用于基于数字ID的订阅入网的第二方法。第二方法可以由移动通信网络(即,PLMN、NPN和/或MNO)中的网络功能来执行,诸如上述的AUSF135、D-IDASEF 137、BSEF 138、UDM/UDR 139、O-AUSF 209、AUSF 305、UDM/UDR 307、3GPP NF501和/或D-IDASEF/BSEF 503和/或网络设备装置700。第二方法包括接收第一请求,该消息包含UE的DIG-ID、时间戳和数字签名,其中该数字标识符包括可验证安全标识。该第二方法包括基于DIG-ID标识信任服务提供商并且将验证请求发送到信任服务提供商。这里,验证请求包含DIG-ID、时间戳、数字签名、最小数据集请求和安全密钥请求。第二方法包括响应于DIG-ID的成功验证而从服务提供商接收验证的DIG-ID、验证结果、DIG-ID寿命、MDS信息和入网根密钥。第二方法包括基于MDS信息调用UE的订阅供应,其中使用入网根密钥来保护订阅供应。
在各种实施例中,MDS信息包括用户信息。在某些实施例中,基于MDS信息调用UE的订阅供应包括调用临时订阅凭证供应。在一些实施例中,MDS信息包括下述中的至少一个:用户信息、订阅购买信息、订阅服务相关信息、订阅有效性和用于订阅供应的网络资源(即,MNO订阅供应相关URI/URL/地址)。在这样的实施例中,基于MDS信息来调用针对UE的订阅供应可以包括调用实际的用户订阅简档供应。
在一些实施例中,第二方法包括生成随机数并且使用入网根密钥以及下述中的至少一个来导出一个或多个安全密钥:随机数、PLMN标识符和网络标识符。在这样的实施例中,该第二方法进一步包括使用一个安全密钥来导出一个或多个入网安全密钥(即,用于加密入网容器并且完整性保护入网容器的机密性密钥和完整性密钥),并且生成明文或受保护的入网容器以及用于UE的OAI,其中使用导出的安全密钥中的至少一个来保护入网容器。
在一些实施例中,该第二方法包括将验证的DIG-ID、验证结果、DIG-ID寿命、MDS信息和入网根密钥存储在移动通信网络的DMF或UDM/UDR中。具体地,数据可以存储在UDR中,其中UDM是提供对数据的接入的前端。这里,UDM和UDR一起形成网络功能,称为“UDM/UDR”。在某些实施例中,该第二方法包括从DMF或UDM/UDR取回DIG-ID的默认订阅凭证并且导出一个或多个入网安全密钥。在这样的实施例中,默认订阅凭证和一个或多个入网安全密钥被提供给作为AMF和/或SEAF的第二网络功能。
在一些实施例中,该第二方法包括使用接收到的入网根密钥作为AUSF密钥,并将一个安全密钥作为SEAF密钥提供给AMF/SEAF,以与UE设置安全(即,NAS安全、AS安全和/或用户面安全)以用于供应连接。在某些实施例中,响应于在未受保护的入网容器中接收到默认订阅凭证,第二网络功能(即,AMF/SEAF)使用从接收到的入网安全密钥导出的加密密钥和完整性密钥来向入网容器应用机密性保护和完整性保护。在这样的实施例中,UE的订阅供应包括第二网络功能向UE发送NAS消息,所述NAS消息受机密性和完整性保护或者包含受保护的入网容器、入网辅助信息、随机数和MAC。
在一些实施例中,入网容器包括订阅凭证(即,SUPI)、秘密长期密钥(表示为‘K’)、认证和密钥协议(“AKA”)凭证、以及切片信息(例如,一个或多个S-NSSAI)。在某些实施例中,订阅凭证包括订阅唯一永久标识符。此外,入网容器可以进一步包括网络接入信息和附加订阅信息。
在一些实施例中,第一请求包含SUOI,该SUOI包括DIG-ID、时间戳和数字签名。在某些实施例中,SUOI进一步包括下述中的一个或多个:DIG-ID类型、服务提供商标识符、ID服务提供商域信息和信任服务提供商域信息。在这样的实施例中,使用整个SUOI生成数字签名。
在某些实施例中,使用共享秘密加密密钥来保护DIG-ID。在这样的实施例中,SUOI进一步包括SUOI的MAC、用户的公钥、以及与由ID服务提供商信息标识的ID服务提供商和/或由信任服务提供商信息标识的信任服务提供商相对应的公钥标识符。
在一些实施例中,第一请求包括发起与移动通信网络的认证过程的认证请求。在这样的实施例中,在注册过程期间,在通过NAS或控制面消息使用入网容器成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后,向UE供应订阅凭证和/或用户订阅简档。这里,安全设置可以至少通过NAS,并且可选地可以包括AS和UP。
在其他实施例中,第一请求包括入网请求。在这样的实施例中,在入网和供应过程期间在成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后,在入网响应和/或用户面消息中向UE供应订阅凭证和/或用户订阅简档。
在一些实施例中,DIG-ID是链接到存储在与信任服务提供商和/或ID服务提供商相关联的可信和去中心化平台或数字标识符基础设施上的用户的可验证凭证的可验证安全标识符。例如,DIG-ID包括下述中的至少一个:DID、SSI、可验证安全标识符和DOID。在这样的实施例中,DIG-ID被用于在向UE的入网和订阅凭证供应期间执行用户认证。在某些实施例中,DIG-ID被包含在NAI的用户名部分内,所述NAI具有形式<username@realm>。在这样的实施例中,NAI可以包括DIG-ID以及下述中的至少一个:时间戳、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息。
实施例可以以其他特定形式来实践。所描述的实施例在所有方面都被认为仅是说明性的而不是限制性的。因此,本发明的范围由所附权利要求而不是由前述描述指示。在权利要求的等效含义和范围内的所有变化都应包含在其范围内。

Claims (20)

1.一种UE的方法,包括:
获取数字标识符(“DIG-ID”),所述数字标识符包括可验证安全标识;
使用私钥生成所述DIG-ID的数字签名和时间戳;
向移动通信网络发送第一请求,所述第一请求包括所述DIG-ID、所述时间戳和所生成的数字签名;
接收入网认证成功指示和验证的DIG-ID;
建立到所述移动通信网络的供应连接;以及
经由所述供应连接接收订阅凭证和用户订阅简档中的至少一个。
2.根据权利要求1所述的方法,
其中,所述第一请求包含订阅唯一入网ID(“SUOI”),所述SUOI包括所述DIG-ID、所述时间戳和所述数字签名,其中所述SUOI进一步包括下述中的一个或多个:DIG-ID类型、服务提供商标识符、标识(“ID”)服务提供商域信息和信任服务提供商域信息,其中使用所述SUOI生成所述数字签名,
其中,如果使用共享秘密加密密钥来保护所述DIG-ID,则所述SUOI进一步包括SUOI的消息认证码(“MAC”)、所述用户的公钥、以及与由所述ID服务提供商信息标识的ID服务提供商和/或由所述信任服务提供商信息标识的信任服务提供商相对应的公钥标识符。
3.根据权利要求1所述的方法,其中,所述第一请求包括发起与所述移动通信网络的注册过程的注册请求,其中,所述UE在所述注册过程期间在成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后通过非接入层(“NAS”)或控制面消息在入网容器中接收所述订阅凭证和/或用户订阅简档。
4.根据权利要求1所述的方法,其中,所述第一请求包括入网请求,其中,所述UE在入网和供应过程期间在成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后在入网响应和/或用户面消息中接收所述订阅凭证和/或用户订阅简档。
5.根据权利要求1所述的方法,其中,所述数字标识符包括下述中的至少一个:去中心化标识符(“DID”)、自主标识符(“SSI”)和数字入网标识符(“DOID”),其中获取所述DIGID包括购买与所述移动通信网络相关联的订阅和/或在所述UE处生成所述DIG-ID。
6.根据权利要求1所述的方法,
其中,接收订阅凭证和/或用户订阅简档包括从所述移动通信网络中的接入和移动性管理功能(“AMF”)接收受保护的入网容器,
其中,所述受保护的入网容器在非接入层(“NAS”)消息或者用户面消息内被接收,使用基于入网根密钥从安全密钥导出的加密密钥和完整性密钥保护所述入网容器,
其中,所述NAS消息包括入网辅助信息(“OAI”)、随机数和消息认证码(“MAC”)。
7.根据权利要求6所述的方法,进一步包括:
使用共享秘密密钥和成功验证的DIG-ID导出入网根密钥;
使用所述入网根密钥作为认证服务器功能(“AUSF”)密钥;
使用所述入网根密钥并且使用下述中的至少一个来导出至少一个安全密钥:所述随机数、PLMN标识符、以及网络标识符;
使用所述一个安全密钥作为安全锚密钥并且设置关于所述网络的安全,或者使用所述一个安全密钥以导出用于解密受保护的入网容器的入网机密性密钥和用于验证提供所述受保护的入网容器的所述NAS消息的所述MAC的入网完整性密钥;
基于包含具有“成功指示”的入网结果和安全算法标识符的所述OAI来验证所述NAS消息的所述MAC;以及
响应于成功验证所述MAC,解密并且存储接收到的订阅凭证和/或用户订阅简档。
8.一种移动通信网络中的网络功能的方法,所述方法包括:
接收第一请求,所述消息包含UE的数字标识符(“DIG-ID”)、时间戳和数字签名,所述数字标识符包括可验证的安全标识;
基于所述DIG-ID标识信任服务提供商;
向所述信任服务提供商发送验证请求,所述验证请求包含所述DIG-ID、所述时间戳、所述数字签名、最小数据集请求和安全密钥请求;
响应于所述DIG-ID的成功验证,从所述服务提供商接收验证的DIG-ID、验证结果、DIG-ID寿命、最小数据集(“MDS”)信息和所述入网根密钥;以及
基于所述MDS信息调用所述UE的订阅供应,其中所述订阅供应使用所述入网根密钥被保护。
9.根据权利要求8所述的方法,
其中,所述MDS信息至少包括用户信息,
其中,基于所述MDS信息调用所述UE的订阅供应包括响应于所述MDS信息仅包含用户信息而调用临时订阅凭证供应,
其中,基于所述MDS信息调用所述UE的订阅供应包括响应于所述MDS信息包含用户信息以及订阅购买信息、订阅服务相关信息、订阅有效性和用于订阅供应的网络资源中的一个或多个来调用实际用户订阅简档供应。
10.根据权利要求8所述的方法,进一步包括:
生成随机数;
使用所述入网根密钥和下述中的至少一个导出一个或多个安全密钥:所述随机数、PLMN标识符和网络标识符;
使用所述一个安全密钥以导出入网安全密钥;
生成明文或受保护的入网容器,以及用于所述UE的OAI,所述入网容器使用导出的安全密钥中的至少一个安全密钥来被保护;以及
在所述移动通信网络的数据管理功能(“DMF”)或统一数据管理和统一数据存储库(“UDM/UDR”)中存储所验证的DIG-ID、验证结果、DIG-ID寿命、所述MDS信息和所述入网根密钥。
11.根据权利要求10所述的方法,进一步包括:从所述DMF或UDM/UDR取回用于所述DIG-ID的默认订阅凭证,并且导出一个或多个入网安全密钥,其中所述默认订阅凭证和所述一个或多个入网安全密钥被提供到第二网络功能,所述第二网络功能是下述中的一个:接入和移动性管理功能(“AMF”)和安全锚功能(“SEAF”)。
12.根据权利要求11所述的方法,进一步使用接收到的入网根密钥作为认证服务器功能(“AUSF”)密钥,并且将所述一个安全密钥作为安全锚密钥提供给所述AMF和/或SEAF以设置用于供应连接的与UE的安全性。
13.根据权利要求10所述的方法,
其中,所述第二网络功能响应于在未受保护的入网容器中接收到所述默认订阅凭证,使用从接收到的入网安全密钥导出的加密密钥和完整性密钥,将机密性保护和完整性保护应用于所述入网容器,
其中,所述UE的所述订阅供应包括所述第二网络功能向所述UE发送非接入层(“NAS”)消息,所述NAS消息受机密性和完整性保护或者包含所述受保护的入网容器、入网辅助信息、随机数以及消息认证码(“MAC”)。
14.根据权利要求13所述的方法,
其中,所述入网容器包括订阅凭证、秘密长期密钥(K)、认证和密钥协议(“AKA”)凭证以及切片信息,
其中,所述订阅凭证包括订阅唯一永久标识符,其中所述入网容器进一步包括网络接入信息和附加订阅信息。
15.根据权利要求8所述的方法,其中,所述第一请求包含订阅唯一入网ID(“SUOI”),所述SUOI包含所述DIG-ID、所述时间戳和所述数字签名,其中,所述SUOI进一步包括下述中的一个或者多个:DIG-ID类型、服务提供商标识符、标识(“ID”)服务提供商域信息和信任服务提供商域信息,其中,所述数字签名是使用所述SUOI生成的。
16.根据权利要求15所述的方法,其中,如果所述DIG-ID是使用共享机密加密密钥来被保护的,则所述SUOI进一步包括SUOI的消息认证码(“MAC”)、所述用户的公钥、以及与由所述ID服务提供商信息标识的ID服务提供商和/或由所述信任服务提供商信息标识的信任服务提供商相对应的公钥标识符。
17.根据权利要求8所述的方法,其中,所述第一请求包括发起与所述移动通信网络的认证过程的认证请求,其中在所述注册过程期间,在通过非接入层(“NAS”)或控制面消息在入网容器中成功的基于DIG-ID的用户认证和/或基于入网根密钥的安全设置之后,向所述UE供应所述订阅凭证和/或用户订阅简档。
18.根据权利要求8所述的方法,其中,所述第一请求包括入网请求,其中,在入网和供应过程期间,在入网响应中和/或在用户面消息中,向所述UE供应订阅凭证和/或用户订阅简档。
19.根据权利要求8所述的方法,
其中,所述DIG-ID是链接到所述用户的可验证凭证的可验证安全标识符,所述用户的所述可验证凭证被存储在与所述信任服务提供商和/或ID服务提供商相关联的可信和去中心化平台或数字标识符基础设施上;
其中,所述DIG-ID包括下述中的至少一个:去中心化标识符(“DID”)、自主标识符(“SSI”)、可验证安全标识符和数字入网标识符(“DOID”);
其中,所述DIG-ID被用于在向所述UE的入网和订阅凭证供应期间执行用户认证。
20.根据权利要求19所述的方法,其中,所述DIG-ID被包含在网络接入标识符(“NAI”)的用户名部分内,所述NAI包括所述DIG-ID以及下述中的至少一个:时间戳、数字签名、密钥相关信息、信任服务提供商信息和/或标识服务提供商信息,其中所述NAI具有形式<usemame@realm>。
CN202080106988.3A 2020-11-06 2020-11-06 使用验证数字标识的订阅入网 Pending CN116391378A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2020/081375 WO2022096126A1 (en) 2020-11-06 2020-11-06 Subscription onboarding using a verified digital identity

Publications (1)

Publication Number Publication Date
CN116391378A true CN116391378A (zh) 2023-07-04

Family

ID=73288572

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080106988.3A Pending CN116391378A (zh) 2020-11-06 2020-11-06 使用验证数字标识的订阅入网

Country Status (5)

Country Link
US (1) US20230413060A1 (zh)
EP (1) EP4241479A1 (zh)
KR (1) KR20230101818A (zh)
CN (1) CN116391378A (zh)
WO (1) WO2022096126A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023217398A1 (en) * 2022-05-13 2023-11-16 Lenovo (Singapore) Pte. Ltd Method to enable adaptable operation and service provision of a mobile network
CN115174146B (zh) * 2022-06-02 2024-02-23 浙江毫微米科技有限公司 基于分布式身份的通信方法及装置
US20240029061A1 (en) * 2022-07-25 2024-01-25 AVAST Software s.r.o. Systems and methods for transacting over a network
WO2024054497A1 (en) * 2022-09-06 2024-03-14 Apple Inc. Cellular onboarding using a communication connection or qr code
WO2024062375A1 (en) * 2022-09-21 2024-03-28 Lenovo (Singapore) Pte. Ltd. Decentralized identity authentication and authorization

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150032655A1 (en) * 2013-07-23 2015-01-29 Bare Said Facilitating Introductions During The Onboarding Process Using A Mobile Device
EP3903518A1 (en) * 2018-12-28 2021-11-03 Apple Inc. Providing verified claims of user identity
US10743176B1 (en) * 2019-04-05 2020-08-11 Verizon Patent And Licensing, Inc. Secure onboarding of a device having an embedded universal integrated circuit card without a preloaded provisioning profile

Also Published As

Publication number Publication date
WO2022096126A1 (en) 2022-05-12
EP4241479A1 (en) 2023-09-13
US20230413060A1 (en) 2023-12-21
KR20230101818A (ko) 2023-07-06

Similar Documents

Publication Publication Date Title
EP3704885B1 (en) User authentication using connection information provided by a blockchain network
KR102535674B1 (ko) 블록체인 결제들을 이용한 네트워크 액세스의 제공
US20230413060A1 (en) Subscription onboarding using a verified digital identity
CN113491142B (zh) 使用公钥加密网络切片凭证
KR20140107678A (ko) 신뢰적인 연합 아이덴티티를 위한 방법 및 장치
WO2020053481A1 (en) Network function authentication using a digitally signed service request in a communication system
US20220338115A1 (en) Indicating a network for a remote unit
US20220104165A1 (en) Indicating a network for a remote unit
US20230224704A1 (en) Using a pseudonym for access authentication over non-3gpp access
US20240056313A1 (en) Selecting a data connection based on digital certificate information
US20240022908A1 (en) Authentication using a digital identifier for ue access
WO2024049335A1 (en) Two factor authentication
WO2023175461A1 (en) Establishing an application session corresponding to a pin element
WO2023274567A1 (en) Establishing a trust relationship between an application entity and a wireless communication network
WO2021243343A2 (en) Method and apparatus for critical control message transfer across networks
CN116830524A (zh) 蜂窝网络中的置备服务器选择

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination