CN109891921B - 下一代系统的认证的方法、装置和计算机可读存储介质 - Google Patents
下一代系统的认证的方法、装置和计算机可读存储介质 Download PDFInfo
- Publication number
- CN109891921B CN109891921B CN201780065985.8A CN201780065985A CN109891921B CN 109891921 B CN109891921 B CN 109891921B CN 201780065985 A CN201780065985 A CN 201780065985A CN 109891921 B CN109891921 B CN 109891921B
- Authority
- CN
- China
- Prior art keywords
- authentication
- upf
- eap
- sending
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Communication Control (AREA)
Abstract
用于网络中的辅助认证的方法和装置。一种由用户设备(UE)执行的方法包括:建立与用户平面(UP)功能(UPF)的UP会话或连接;从所述UPF接收基于可扩展认证协议(EAP)的认证请求;以及向所述UPF发送基于EAP的认证响应。一种由用户平面UP功能(UPF)执行的方法包括:建立到用户设备(UE)的UP会话或连接;向所述UE发送基于可扩展认证协议(EAP)的认证请求;以及从所述UE接收基于EAP的认证响应。
Description
技术领域
本公开涉及用于网络中的辅助认证的方法和装置。
背景技术
第三代合作伙伴计划(3GPP)目前正在开发用于5G(也被称为下一代(NG))系统的标准。预期的是5G将支持许多新场景和用例,并将成为物联网(IoT)的促成者。预期的是NG系统将为诸如传感器、智能可穿戴设备、车辆、机器等广泛的新设备提供连接性。因此,灵活性将是NG系统中的关键属性。这被反映在针对网络接入的安全性要求中,其强制支持备选认证方法和与由运营商预先配置并被安全地存储在通用集成电路卡(UICC)中的寻常认证和密钥协商(AKA)凭证相比不同类型的凭证。这将允许工厂所有者或企业针对认证和接入网络安全性利用他们自己的身份和凭证管理系统。
NG系统的新特征之一是网络切片的概念。网络切片(NS)基本上是专用于提供特定服务的核心网络的实例。这将允许运营商处理各种新用例,每个用例在服务质量(QoS)方面具有不同的服务要求。例如,运营商可以与用于要求极低延迟的公共安全服务的任务关键型NS(例如,任务关键型按键通话(MCPTT))并行地、进一步与用于具有极低带宽的电表的IoT NS并行地运行用于通常移动宽带(MBB)服务的NS。
所研究的与网络切片相关的主题之一是用于接入不同NS的认证和授权过程的分离。
发明内容
本文提出的实施例的目的是实现下一代系统中的认证的分离。
根据第一方面,提出了一种用于网络中的辅助认证的方法。该方法由用户设备(UE)执行,并且包括:建立与用户平面(UP)功能(UPF)的UP会话或连接;从UPF接收基于可扩展认证协议(EAP)的认证请求;以及向UPF发送基于EAP的认证响应。
该方法还可以包括与安全性锚功能(SEAF)建立主认证。
该方法还可以包括从UPF接收基于EAP的认证结果。
UE还可以是下一代(NG)UE。UPF还可以是NG UPF。
根据第二方面,提出了一种用于网络中的辅助认证的方法。该方法由用户平面(UP)功能(UPF)执行,并且包括:建立与用户设备(UE)的用户平面(UP)会话或连接;向UE发送基于可扩展认证协议(EAP)的认证请求;以及从UE接收基于EAP的认证响应。
该方法还可以包括:向认证、授权和计费(AAA)服务器发送对所接收的基于EAP的认证响应的验证请求;以及从AAA服务器接收验证响应。
该方法还可以包括向UE发送认证结果,其中,认证基于来自AAA服务器的验证响应。
UE还可以是下一代(NG)UE。UPF还可以是NG UPF。
根据第三方面,提出了一种用于在网络中操作的用户设备(UE)。该UE包括处理器和计算机程序产品。该计算机程序产品存储指令,该指令当由处理器执行时,使UE执行以下操作:建立与用户平面(UP)功能(UPF)的UP会话或连接;从UPF接收基于可扩展认证协议(EAP)的认证请求;以及向UPF发送基于EAP的认证响应。
可以进一步使UE执行以下操作:与安全性锚功能(SEAF)建立主认证。
可以进一步使UE执行以下功能:从UPF接收基于EAP的认证结果。
UE还可以是下一代(NG)UE。UPF还可以是NG UPF。
根据第四方面,提出了一种在网络中操作的用户平面(UP)功能(UPF)。该UPF包括处理器和计算机程序产品。该计算机程序产品存储指令,该指令当由处理器执行时,使UPF执行以下操作:建立与用户设备(UE)的用户平面(UP)会话或连接;向UE发送基于可扩展认证协议(EAP)的认证请求;以及从UE接收基于EAP的认证响应。
还可以使UPF执行以下操作:向认证、授权和计费(AAA)服务器发送对所接收的基于EAP的认证响应的验证请求;以及从AAA服务器接收验证响应。
还可以使UPF执行以下操作:向UE发送认证结果,其中,认证基于来自AAA服务器的验证响应。
UE还可以是下一代(NG)UE。UPF还可以是NG UPF。
根据第五方面,提出了一种用于在网络中操作的用户设备(UE)。该UE包括:用于建立与用户平面(UP)功能(UPF)的UP会话或连接的装置;用于从UPF接收基于可扩展认证协议(EAP)的认证请求的装置;和用于向UPF发送基于EAP的认证响应的装置。
UE还可以包括:用于与安全性锚功能(SEAF)建立主认证的装置。
UE还可以包括:用于从UPF接收基于EAP的认证结果的装置。
UE还可以是下一代(NG)UE。UPF还可以是NG UPF。
根据第六方面,提出了一种在网络中操作的用户平面(UP)功能(UPF)。该UPF包括:用于建立与用户设备(UE)的用户平面(UP)会话或连接的装置;用于向UE发送基于可扩展认证协议(EAP)的认证请求的装置;和用于从UE接收基于EAP的认证响应的装置。
UPF还可以包括:用于向认证、授权和计费(AAA)服务器发送对所接收的基于EAP的认证响应的验证请求的装置;和用于从AAA服务器接收验证响应的装置。
UPF还可以包括:用于向UE发送认证结果的装置,其中,认证基于来自AAA服务器的验证响应。
UE还可以是下一代(NG)UE。UPF还可以是NG UPF。
根据第七方面,提出了一种用于网络中的辅助认证的计算机程序。该计算机程序包括计算机程序代码,该计算机程序代码当在用户设备(UE)上运行时,使UE执行以下操作:建立与用户平面(UP)功能(UPF)的UP会话或连接;从UPF接收基于可扩展认证协议(EAP)的认证请求;以及向UPF发送基于EAP的认证响应。
UE还可以是下一代(NG)UE。UPF还可以是NG UPF。
根据第八方面,提出了一种用于网络中的辅助认证的计算机程序。该计算机程序包括计算机程序代码,该计算机程序代码当在用户平面(UP)功能(UPF)上运行时,使UPF执行以下功能:建立与用户设备(UE)的用户平面(UP)会话或连接;向UE发送基于可扩展认证协议(EAP)的认证请求;以及从UE接收基于EAP的认证响应。
UE还可以是下一代(NG)UE。UPF还可以是NG UPF。
根据第九方面,提出了一种计算机程序产品。该计算机程序产品包括计算机程序和其上存储所述计算机程序的计算机可读存储装置。一般地,除非本文另有明确说明,否则权利要求中使用的所有术语根据其技术领域中的普通含义来解释。除非另有明确说明,否则对“一/一个/所述元件、设备、组件、装置、步骤等”的所有引用应被开放地解释为指代元件、设备、组件、装置、步骤等中的至少一个实例。除非明确说明,否则本文公开的任何方法的步骤不必以所公开的确切顺序来执行。
附图说明
现在参考附图以示例方式描述本发明构思,在附图中:
图1是示出了可以应用本文提出的实施例的环境的示意图;
图2示意性地示出了用于LTE中的辅助认证的流程;
图3示意性地示出了下一代系统中的基于EAP的辅助认证的流程;
图4和图5示意性地示出了本文提出的实施例的基于EAP的辅助认证的协议架构;
图6A和图6B是示出了本文提出的实施例的方法的流程;
图7和图8是示出了本文提出的设备的一些组件的示意图;以及
图9和图10是示出了本文提出的设备的功能模块的示意图。
具体实施方式
现在将在下文参考其中示出发明构思的特定实施例的附图来更全面地描述发明构思。然而,本发明构思可以按照多种不同形式来表现,并且不应当被看做限制于在本文中阐述的实施例;相反,这些实施例作为示例来提供,使得本公开全面和完整,并且向本领域技术人员完全传达本发明构思的范围。在说明书全文中,相似的标记指代相似的元素。
使用于接入不同网络切片(NS)的认证和授权过程分离的一种可能场景如下。为了使NG用户设备(UE)接入特定NS,运营商首先将运行用于初始网络接入的主(通常)认证,然后运行NS特定辅助认证。NS特定辅助认证可能在第三方的控制之下。这假设在第三方服务提供商与移动网络运营商(MNO)之间存在信任,例如,该移动网络运营商在专用NS实例中向该第三方提供接入和传输服务。
在长期演进(LTE)中,存在可能与所描述的场景相关的机制。TS 23.401中的第5.3.2节描述了这种机制。它基于所谓的加密选项请求,并使用被称为协议配置选项(PCO)的信息元素。
PCO是非接入层(NAS)消息中的信息元素之一。PCO可以用于若干种类型的消息(例如分组数据网络(PDN)连接性请求)中,以通过移动性管理实体(MME)和服务网关(S-GW)向PDN-GW透明地发送信息。例如,PCO可以包括地址分配偏好,该地址分配偏好指示UE优选地仅在通过动态主机配置协议版本4(DHCPv4)进行默认承载激活之后获得因特网协议版本4(IPv4)地址。
PCO的一个用例是将密码认证协议(PAP)和质询握手认证协议(CHAP)用户名和密码传输给PDN-GW,PDN-GW然后通过用于接入认证的认证、授权和计费(AAA)服务器运行它们。AAA服务器可以位于外部域中。由于用户名和密码是敏感的并且需要受到保护,如果UE打算发送需要加密的PCO(例如,PAP/CHAP用户名和密码),则UE应在附接请求消息中设置加密选项传输标志,并且仅在认证和NAS安全性设置完成之后才发送PCO。
图2示出了通过LTE中的PDN-GW运行这种附加(即,辅助)认证过程所需的消息流。在下文中,提供了对其中的步骤的更详细描述。
UE位于UE域内。MME、S-GW、归属订户服务器(HSS)和PDN-GW位于MNO域内。AAA服务器位于第三方域内。
在步骤1中,UE向MME发送附接请求消息,其中附接请求消息设置有加密选项传输标志。
在步骤2中,在UE与HSS之间运行认证和密钥协商(AKA)过程。在认证成功后执行接下来的步骤。
在步骤3中,使用安全模式命令(SMC)建立NAS安全性。在设置了NAS安全性之后,所有NAS消息都将受到机密性和完整性保护。
在步骤4中,MME向UE发送加密选项请求消息以便取回PCO。
在步骤5中,UE利用加密选项响应消息进行回复,其中加密选项响应消息在PCO信息元素中包括PAP/CHAP用户名和密码。在UE具有对多个PDN的订阅的情况下,UE也在消息中包括接入点名称(APN)。
在步骤6中,MME对所接收的数据进行解密,使用可能提供的APN来识别PDN-GW,并在创建会话请求消息中通过S-GW向目标PDN-GW转发PCO。
在步骤7中,PDN-GW在直径/半径接入请求消息中向外部AAA服务器转发所接收的PAP/CHAP信息。在成功后,会话创建过程像往常一样进行。
因此,上述步骤4至步骤7表示在步骤2中的第一次认证完成之后执行的辅助认证。然而,在NG系统中使用这种机制或将这种机制扩展到NG系统将带来一些缺点。
首先,该机制在可能的认证方法方面非常受限。目前只支持PAP和CHAP。但是,由于从安全性角度来说目前的PAP已经被淘汰,因此实质上只可能使用CHAP。
其次,为了支持其他方法以及针对认证信息的传输使用PCO信息元素,将要求该机制在MME与S-GW之间以及S-GW与PDN-GW之间指定专用于该目的的特殊消息。即,处理需要不止一次往返的认证方法。
此外,很难看出这种机制如何适合NG架构,而NG架构将被进一步分解。事实上,考虑到新架构特征(TR 23.799),UE与PDN-GW之间的路径中可能存在更多跳,例如关于正在进行的将MME拆分成移动性管理功能(MMF)和会话管理功能SMF(TR 23.799)的工作以及用于控制和用户平面拆分(TR 23.714)的控制和用户平面分离(CUPS)工作。这意味着核心网络(CN)中的更多过载和信令。
最后,该机制是一种应对方案,因为UE与PDN-GW之间没有直接协议。使其足够通用以支持其他认证方法将在技术上具有挑战性,特别是因为许多方法对传输层具有严格的建议和要求。
提出了一旦建立了用户平面(UP),就在用户平面(UP)上运行辅助认证。可以针对辅助认证过程运行受限的UP会话,而不是允许对PDN的完全接入。一旦完成了辅助认证,就可以将受限的UP会话升级为对数据网络具有完全接入的会话。还提出了RFC3748中定义的可扩展认证协议(EAP)的使用。EAP用于UE与潜在的外部AAA服务器之间的认证,其中扮演与LTE中的PDN-GW类似角色的NG-UP功能(UPF)承担EAP认证器的角色。EAP有效载荷将由承载用于网络接入的认证的协议(PANA)来承载,如RFC5191中所定义的,该协议是基于IP的。另一种备选方案是NG-UPF承担EAP服务器的角色。
所提出的解决方案使用广泛使用的EAP,并为许多认证方法提供支持,这些认证方法例如是EAP传输层安全性(TLS)、EAP认证和密钥协商(AKA)、EAP隧道TLS(TTLS)和EAP保护的可扩展认证协议(PEAP)。所提出的解决方案是基于IP的,并且因此不知道接入网络(AN)的类型。此外,由于它是基于UP的,所以即使对于NG-UE支持多个可能同时的NS连接性的情况,也可以在NS特定的基础上独立地执行辅助认证。通过使用EAP,该解决方案还支持不同类型的凭证和认证方法。EAP交换可以受益于空中接口的保护。
因此,一旦NG-UE被分配IP地址,辅助认证就在UP承载上运行。然后,EAP用于NG-UE与(可能是外部的)AAA服务器之间的认证,其中NG-UPF承担EAP认证器的角色。
参考图3提出了NG-UPF充当EAP认证器的实施例。
图3示出了利用外部AAA服务器运行基于UP的辅助认证的流程。NG-UE位于UE域中。NG移动性管理功能(MMF)、NG会话管理功能(SMF)、NG安全性锚功能(SEAF)和NG-UPF位于MNO域中。NG-UPF是对应于LTE中的PDN-GW的UPF。AAA服务器位于第三方域中。对NG-UPF的要求是:除了可能支持LTE中PDN-GW的所有所需UP特征(例如支持SGi接口)之外,还包括支持PANA和EAP。通常,NG前缀用于对应于LTE概念的NG系统功能。
在步骤1中,NG-UE发送启动附接过程的附接请求。本文提出的解决方案不依赖于如何支持网络切片,例如,如何选择NS实例以及如何将NG-UE引导到正确的实例。
在步骤2中,NG-UE与NG SEAF运行主认证。NG SEAF还可以连接到NG认证服务器功能(AUSF)。随后,辅助认证不依赖于如何部署NG SEAF和NG MMF(即并置或拆分),也不依赖于NG SEAF的位置(归属或访问的公共陆地移动网络(PLMN))。
在步骤3中,在NG-UE与NG NAS的端点之间建立控制平面安全性。NG NAS的端点可以是例如NG MMF或NG SMF。
在步骤4中,此后建立协议数据单元(PDU)会话,用于经由NG-UPF在NG-UE与数据网络之间传输UP数据。步骤4可以是仅允许运行辅助认证过程的受限会话。稍后的辅助认证取决于UP被建立,因为它建立了NG-UE与NG-UPF之间的IP连接性。
在步骤5中,在NG-UE与NG-UPF之间运行基于EAP的辅助认证,这里NG-UPF承担EAP认证器的角色并且依赖于后端外部AAA服务器。此后,基于该认证过程的结果,NG-UE被授权接入数据网络。
所提出的该解决方案不关注如何集成非3GPP接入以及步骤1至步骤3是确切地按照所描述的那样执行还是不同地执行。只要在NG-UE与NG-UPF之间建立了IP连接性(这在步骤4中实现),就可以在步骤5中运行基于EAP的认证。如果在步骤5之前已经建立了无线电接入网络(RAN)安全性,那么EAP交换也将在空中接口上受到保护。
图4示出了用于NG-UPF与NG-UE之间的基于EAP的辅助认证的协议架构,其中NG-UPF作为EAP认证器,如参考图3描述的。对于UE与PDN-GW之间的UP业务的传输,图4中示出的架构类似于LTE的架构。灰色框强调显示用于提供上述基于EAP的辅助认证所需的附加协议层。
参考图5提出了用于基于EAP的辅助认证的协议架构的实施例,其中NG-UPF作为EAP服务器。
在该实施例中,NG-UPF端接(terminate)EAP交换并承担整个EAP服务器的角色。因此,除了在步骤5中未联系外部AAA服务器之外,该实施例的消息流类似于图3的消息流。
已经提出了NG-UE与NG-UPF之间的NG系统中的附加或辅助认证的机制,NG-UPF端接核心网络内的UP业务并且可能与外部AAA服务器交互。NG-UPF对应于LTE中的PDN-GW。该机制基于UP业务上的IP上的EAP(EAP over IP over UP traffic),使得NG-UPF承担EAP认证器角色或EAP服务器角色。
在图1中提出了通信网络4,其中可以实现本文描述的实施例。用户设备(UE)1可无线连接到基站(BS)2。BS 2连接到核心网络(CN)3。
参考图6A提出了根据实施例的用于网络中的辅助认证的方法。该方法由下一代(NG)用户设备(UE)执行,并且包括:建立110与NG用户平面(UP)功能(UPF)的UP会话或连接,从NG-UPF接收130基于可扩展认证协议(EAP)的认证请求,以及向NG-UPF发送140基于EAP的认证响应。
该方法还可以包括与NG SEAF建立100主认证。
该方法还可以包括从UPF接收基于EAP的认证结果。
参考图6B提出了根据实施例的用于核心网络中的辅助认证的方法。该方法由下一代(NG)用户平面(UP)功能(UPF)执行,并且包括:建立110与NG用户设备(UE)的用户平面(UP)会话或连接,向NG UE发送120基于可扩展认证协议(EAP)的认证请求,以及从NG UE接收150基于EAP的认证响应。
该方法还可以包括:向认证、授权和计费(AAA)服务器发送160对所接收的基于EAP的认证响应的验证请求,以及从AAA服务器接收170验证响应。
该方法还可以包括向UE发送认证结果,其中,认证基于来自AAA服务器的验证响应。
参考图7提出了根据实施例的用于在网络中操作的NG UE。NG UE 1包括处理器10和计算机程序产品12、13。计算机程序产品存储指令,该指令当由处理器执行时使NG UE执行以下操作:建立110与NG-UPF的UP会话或连接,从NG-UPF接收130基于EAP的认证请求,以及向NG-UPF发送140基于EAP的认证响应。
参考图8提出了根据实施例的在核心网络中操作的NG-UPF。NG-UPF包括处理器10和存储指令的计算机程序产品12、13,该指令当由处理器执行时使NG-UPF执行以下操作:建立110到NG UE的UP会话或连接,向NG UE发送120基于EAP的认证请求,以及从NG UE接收150基于EAP的认证响应。
参考图9提出了根据实施例的用于在网络中操作的NG UE。NG UE包括用于执行如下操作的通信管理器61:建立110与NG-UPF的UP会话或连接,从NG-UPF接收130基于EAP的认证请求,以及向NG-UPF发送140基于EAP的认证响应。
参考图10提出了根据实施例的在网络中操作的NG-UPF。NG-UPF包括用于执行如下操作的通信管理器71:建立110与NG UE的UP会话或连接,向NG UE发送120基于EAP的认证请求,以及从NG UE接收150基于EAP的认证响应。
提出了根据实施例的用于网络中的辅助认证的计算机程序14、15。该计算机程序包括计算机程序代码,该计算机程序代码当在NG UE上运行时,使NG UE执行如下操作:建立110与NG-UPF的UP会话或连接,从NG-UPF接收130基于EAP的认证请求,以及向NG-UPF发送140基于EAP的认证响应。
提出了根据实施例的用于网络中的辅助认证的计算机程序14、15。该计算机程序包括计算机程序代码,该计算机程序代码当在NG-UPF上运行时,使NG-UPF执行如下操作:建立110与NG UE的UP会话或连接,向NG UE发送120基于EAP的认证请求,以及从NG UE接收150基于EAP的认证响应。
提出了根据实施例的计算机程序产品12、13。该计算机程序产品包括如上所述的计算机程序14、15和其上存储计算机程序14、15的计算机可读存储装置。
图7是示出了NG UE 1的一些组件的示意图。可以使用能够执行存储在存储器中的计算机程序14的软件指令的合适的中央处理单元(CPU)、多处理器、微控制器、数字信号处理器(DSP)、专用集成电路等中的一个或多个的任何组合来提供处理器10。存储器因此可以被认为是计算机程序产品12的一部分或形成计算机程序产品12的一部分。处理器10可以被配置为执行本文中参考图6A和图6B描述的方法。
存储器可以是读写存储器和只读存储器(ROM)的任意组合。存储器还可以包括持久存储设备,其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装存储器中的任意单独一个或组合。
还可以提供数据存储器形式的第二计算机程序产品13,例如,用于在处理器10中执行软件指令期间读取和/或存储数据。数据存储器可以是读写存储器和只读存储器(ROM)的任意组合,并且还可以包括持久存储设备,其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装存储器中的任意单独一个或组合。数据存储器可以例如保存其他软件指令15,以改进NG UE 1的功能。
NG UE 1还可以包括输入/输出(I/O)接口11,该I/O接口包括例如用户接口。NG UE1还可以包括:接收器,被配置为从其他节点接收信令;和发送器,被配置为向其他节点发送信令(未示出)。NG UE 1的其他组件被省略,以便不会模糊本文提出的构思。
图9是示出了NG UE 1的功能块的示意图。模块可以仅被实现为诸如在高速缓存服务器中执行的计算机程序之类的软件指令或者仅被实现为诸如专用集成电路、现场可编程门阵列、离散逻辑组件、收发机等之类的硬件,或者实现为其组合。在备选实施例中,一些功能块可以由软件实现,而另一些功能块可以由硬件实现。这些模块对应于图6A所示方法中的步骤,包括通信管理器单元61和确定模块单元60。应该理解的是,在一个或多个模块由计算机程序实现的实施例中,这些模块不一定对应于处理模块,而是可以根据其将被实现的编程语言编写为指令,因为一些编程语言通常不包含处理模块。
通信管理器61用于在网络中操作。该模块对应于图6A的建立UP步骤110、接收请求步骤130和发送响应步骤140。该模块可以例如由图7的处理器10在运行计算机程序时实现。
确定管理器60用于在网络中操作。该模块对应于图6A的主认证步骤100。该模块可以例如由图7的处理器10在运行计算机程序时实现。
图8是示出了NG-UPF 3的一些组件的示意图。可以使用能够执行存储在存储器中的计算机程序14的软件指令的合适的中央处理单元(CPU)、多处理器、微控制器、数字信号处理器(DSP)、专用集成电路等中的一个或多个的任何组合来提供处理器10。存储器因此可以被认为是计算机程序产品12的一部分或形成计算机程序产品12的一部分。处理器10可以被配置为执行本文参考图6B描述的方法。
存储器可以是读写存储器(RAM)和只读存储器(ROM)的任意组合。存储器还可以包括持久存储设备,其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装存储器中的任意单独一个或组合。
还可以提供数据存储器形式的第二计算机程序产品13,例如,用于在处理器10中执行软件指令期间读取和/或存储数据。数据存储器可以是读写存储器(RAM)和只读存储器(ROM)的任意组合,并且还可以包括持久存储设备,其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装存储器中的任意单独一个或组合。数据存储器可以例如保存其他软件指令15,以改进NG-UPF 3的功能。
NG-UPF 3还可以包括输入/输出(I/O)接口11,该I/O接口包括例如用户接口。NG-UPF 3还可以包括:接收器,被配置为从其他节点接收信令;和发送器,被配置为向其他节点发送信令(未示出)。NG-UPF 3的其他组件被省略,以便不会模糊本文提出的构思。
图10是示出了NG-UPF 3的功能块的示意图。模块可以仅被实现为诸如在高速缓存服务器中执行的计算机程序之类的软件指令或者仅被实现为诸如专用集成电路、现场可编程门阵列、离散逻辑组件、收发机等之类的硬件,或者实现为其组合。在备选实施例中,一些功能块可以由软件实现,而另一些功能块可以由硬件实现。这些模块对应于图6B所示方法中的步骤,包括通信管理器单元71和确定管理器单元70。应该理解的是,在一个或多个模块由计算机程序实现的实施例中,这些模块不一定对应于处理模块,而是可以根据其将被实现的编程语言编写为指令,因为一些编程语言通常不包含处理模块。
通信管理器71用于在核心网络中操作。该模块对应于图6B的建立UP步骤110、发送请求步骤120和接收响应步骤150。该模块可以例如由图8的处理器10在运行计算机程序时实现。
确定管理器单元70用于在核心网络中操作。该模块对应于图6B的验证请求步骤160和验证响应步骤170。该模块可以例如由图8的处理器10在运行计算机程序时实现。
以上已经参考一些实施例主要地描述了本发明构思。然而,本领域技术人员容易理解的是:上面公开的实施例之外的其它实施例在如由所附专利权利要求所限定的本发明构思的范围之内同样是可能的。
以下是进一步示出了所公开的主题的各个方面的某些列举的实施例。
1、一种由下一代(NG)用户设备(UE)执行的用于网络中的辅助认证的方法,所述方法包括:
建立(110)与NG用户平面(UP)功能(UPF)的UP会话或连接;
从所述UP NG-UPF接收(130)基于可扩展认证协议(EAP)的认证请求;以及
向所述UP NG-UPF发送(140)基于EAP的认证响应。
2、根据项目1所述的方法,还包括:
与NG安全性锚功能(SEAF)建立(100)主认证。
3、一种由下一代(NG)用户平面UP功能(UPF)执行的用于网络中的辅助认证的方法,所述方法包括:
建立(110)与NG用户设备(UE)的UP会话或连接;
向所述NG UE发送(120)基于可扩展认证协议(EAP)的认证请求;以及
从所述NG UE接收(150)基于EAP的认证响应。
4、根据项目3所述的方法,还包括:
向认证、授权和计费AAA服务器发送(160)对所接收的基于EAP的认证响应的验证请求;以及
从所述AAA服务器接收(170)验证响应。
5、一种用于在网络中操作的下一代(NG)用户设备(UE),所述NG UE包括:
处理器(10);和
存储指令的计算机程序产品(12、13),所述指令当被所述处理器执行时,使所述NGUE执行以下操作:
建立(110)与NG用户平面(UP)功能(UPF)的UP会话或连接;
从所述NG-UPF接收(130)基于可扩展认证协议(EAP)的认证请求;以及
向所述NG-UPF发送(140)基于EAP的认证响应。
6、根据项目5所述的NG用户设备(UE),还使所述NG UE执行以下操作:
与NG安全性锚功能(SEAF)建立(100)主认证。
7、一种在网络中操作的下一代(NG)用户平面(UP)功能(UPF),所述NG-UPF包括:
处理器(10);和
存储指令的计算机程序产品(12、13),所述指令当被所述处理器执行时,使所述NG-UPF执行以下操作:
建立(110)与NG用户设备(UE)的UP会话或连接;
向所述NG UE发送(120)基于可扩展认证协议(EAP)的认证请求;以及
从所述NG UE接收(150)基于EAP的认证响应。
8、根据项目7所述的NG用户平面(UP)功能(UPF),还使所述NG-UPF执行以下操作:
向认证、授权和计费AAA服务器发送(160)对所接收的基于EAP的认证响应的验证请求;以及
从所述AAA服务器接收(170)验证响应。
9、一种用于在网络中操作的下一代(NG)用户设备(UE),所述NG UE包括:
通信管理器(61),用于建立(110)与NG用户平面(UP)功能(UPF)的UP会话或连接,从所述NG-UPF接收(130)基于可扩展认证协议(EAP)的认证请求,以及向所述NG-UPF发送(140)基于EAP的认证响应。
10、一种在网络中操作的下一代(NG)用户平面(UP)功能(UPF),所述NG-UPF包括:
通信管理器(71),用于建立(110)与NG用户设备(UE)的用户平面(UP)会话或连接,向所述NG UE发送(120)基于可扩展认证协议(EAP)的认证请求,以及从所述NG UE接收(150)基于EAP的认证响应。
11、一种用于网络中的辅助认证的计算机程序(14、15),所述计算机程序包括计算机程序代码,所述计算机程序代码当在下一代(NG)用户设备UE上运行时,使所述NG UE执行以下操作:
建立(110)与NG用户平面(UP)功能(UPF)的UP会话或连接;
从所述NG-UPF接收(130)基于可扩展认证协议(EAP)的认证请求;以及
向所述NG-UPF发送(140)基于EAP的认证响应。
12、一种用于网络中的辅助认证的计算机程序(14、15),所述计算机程序包括计算机程序代码,所述计算机程序代码当在下一代(NG)用户平面(UP)功能(UPF)上运行时,使所述NG-UPF执行以下操作:
建立(110)到NG用户设备(UE)的用户平面(UP)会话或连接;
向所述NG UE发送(120)基于可扩展认证协议(EAP)的认证请求;以及
从所述NG UE接收(150)基于EAP的认证响应。
13、一种计算机程序产品(12、13),包括根据项目11和12中任一项所述的计算机程序(14、15)和其上存储所述计算机程序(14、15)的计算机可读存储装置。
Claims (16)
1.一种由用户设备UE执行的用于网络中的辅助认证的方法,所述方法包括:
与安全性锚功能SEAF建立(100)主认证;
建立(110)与用户平面UP功能UPF的UP会话或连接,或经由所述UPF建立(110)所述UP会话或连接;
经由所述UPF接收(130)基于可扩展认证协议EAP的认证请求;
向所述UPF发送(140)基于EAP的认证响应;以及
经由所述UPF接收基于EAP的认证结果,所述基于EAP的认证结果基于来自外部认证、授权和计费AAA服务器的验证响应。
2.根据权利要求1所述的方法,其中,所述用户设备UE是下一代NG UE。
3.根据权利要求1所述的方法,其中,所述用户平面功能UPF是下一代NG UPF。
4.根据权利要求1所述的方法,其中,所述SEAF还连接到认证服务器功能AUSF。
5.一种由用户平面UP功能UPF执行的用于网络中的辅助认证的方法,所述方法包括:
建立(110)到用户设备UE的UP会话或连接;
向所述UE发送(120)基于可扩展认证协议EAP的认证请求;
从所述UE接收(150)基于EAP的认证响应;
向外部认证、授权和计费AAA服务器发送(160)对所接收的基于EAP的认证响应的验证请求;
从所述外部AAA服务器接收(170)验证响应;以及
向所述UE发送认证结果,其中,所述认证结果基于来自所述外部AAA服务器的验证响应。
6.根据权利要求5所述的方法,其中,所述用户设备UE是下一代NG用户设备UE。
7.根据权利要求5所述的方法,其中,所述用户平面功能UPF是下一代NG UPF。
8.一种用于在网络中操作的用户设备UE,所述UE包括:
处理器(10);和
存储指令的存储器,所述指令当被所述处理器执行时,使所述UE执行以下操作:
与安全性锚功能SEAF建立(100)主认证;
建立(110)与用户平面UP功能UPF的UP会话或连接,或经由所述UPF建立(110)所述UP会话或连接;
经由所述UPF接收(130)基于可扩展认证协议EAP的认证请求;
向所述UPF发送(140)基于EAP的认证响应;以及
经由所述UPF接收基于EAP的认证结果,所述基于EAP的认证结果基于来自外部认证、授权和计费AAA服务器的验证响应。
9.根据权利要求8所述的用户设备UE,其中,所述UE是下一代NG UE。
10.根据权利要求8所述的用户设备UE,其中,所述UPF是下一代NG UPF。
11.根据权利要求8所述的用户设备UE,其中,所述SEAF还连接到认证服务器功能AUSF。
12.一种在网络中操作的用户平面UP功能UPF,所述UPF包括:
处理器(10);和
存储指令的存储器,所述指令当被所述处理器执行时,使所述UPF执行以下操作:
建立(110)与用户设备UE的UP会话或连接;
向所述UE发送(120)基于可扩展认证协议EAP的认证请求;
从所述UE接收(150)基于EAP的认证响应;
向外部认证、授权和计费AAA服务器发送(160)对所接收的基于EAP的认证响应的验证请求;
从所述外部AAA服务器接收(170)验证响应;以及
向所述UE发送认证结果,其中,所述认证结果基于来自所述外部AAA服务器的验证响应。
13.根据权利要求12所述的用户平面UP功能UPF,其中,所述UPF是下一代NG UPF。
14.根据权利要求12所述的用户平面UP功能UPF,其中,所述UE是下一代NG UE。
15.一种存储用于网络中的辅助认证的计算机程序(14、15)的计算机可读存储介质,所述计算机程序包括计算机程序代码,所述计算机程序代码当在用户设备UE上运行时,使所述UE执行以下操作:
与安全性锚功能SEAF建立(100)主认证;
建立(110)与用户平面UP功能UPF的UP会话或连接,或经由所述UPF建立(110)所述UP会话或连接;
经由所述UPF接收(130)基于可扩展认证协议EAP的认证请求;
向所述UPF发送(140)基于EAP的认证响应;以及
经由所述UPF接收基于EAP的认证结果,所述基于EAP的认证结果基于来自外部认证、授权和计费AAA服务器的验证响应。
16.一种存储用于网络中的辅助认证的计算机程序(14、15)的计算机可读存储介质,所述计算机程序包括计算机程序代码,所述计算机程序代码当在用户平面UP功能UPF上运行时,使所述UPF执行以下操作:
建立(110)到用户设备UE的用户平面UP会话或连接;
向所述UE发送(120)基于可扩展认证协议EAP的认证请求;
从所述UE接收(150)基于EAP的认证响应;
向外部认证、授权和计费AAA服务器发送(160)对所接收的基于EAP的认证响应的验证请求;
从所述外部AAA服务器接收(170)验证响应;以及
向所述UE发送认证结果,其中,所述认证基于来自所述外部AAA服务器的验证响应。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662415006P | 2016-10-31 | 2016-10-31 | |
US62/415,006 | 2016-10-31 | ||
PCT/EP2017/077330 WO2018077960A1 (en) | 2016-10-31 | 2017-10-25 | Authentication for next generation systems |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109891921A CN109891921A (zh) | 2019-06-14 |
CN109891921B true CN109891921B (zh) | 2022-03-01 |
Family
ID=60293936
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780065985.8A Active CN109891921B (zh) | 2016-10-31 | 2017-10-25 | 下一代系统的认证的方法、装置和计算机可读存储介质 |
Country Status (15)
Country | Link |
---|---|
US (2) | US10609556B2 (zh) |
EP (1) | EP3459278B1 (zh) |
JP (1) | JP6775683B2 (zh) |
KR (1) | KR102136037B1 (zh) |
CN (1) | CN109891921B (zh) |
BR (1) | BR112019008447A2 (zh) |
CA (1) | CA3042304C (zh) |
DK (1) | DK3459278T3 (zh) |
ES (1) | ES2806991T3 (zh) |
MA (1) | MA45505B1 (zh) |
MX (1) | MX2019004705A (zh) |
MY (1) | MY195382A (zh) |
RU (1) | RU2727160C1 (zh) |
WO (1) | WO2018077960A1 (zh) |
ZA (1) | ZA201902024B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2530750A (en) * | 2014-09-30 | 2016-04-06 | Vodafone Ip Licensing Ltd | Communications bearer selection for a communications interface |
RU2755258C2 (ru) * | 2017-01-27 | 2021-09-14 | Телефонактиеболагет Лм Эрикссон (Пабл) | Вторичная аутентификация пользовательского устройства |
US11564193B2 (en) | 2018-05-18 | 2023-01-24 | Nokia Technologies Oy | Authentication in public land mobile networks comprising tenant slices |
US11032743B1 (en) * | 2019-11-30 | 2021-06-08 | Charter Communications Operating, Llc | Methods and apparatus for supporting devices of different types using a residential gateway |
EP4356636A1 (en) * | 2021-06-15 | 2024-04-24 | Telefonaktiebolaget LM Ericsson (publ) | Methods and means for providing access to external networks |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102369750A (zh) * | 2009-03-31 | 2012-03-07 | 法国电信公司 | 用于管理用户的认证的方法和装置 |
CN102461230A (zh) * | 2009-04-07 | 2012-05-16 | 托吉瓦控股股份公司 | 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007134547A1 (fr) * | 2006-05-24 | 2007-11-29 | Huawei Technologies Co., Ltd. | Procédé et système pour créer et distribuer une clé de sécurité ip mobile après réauthentification |
FI20075252A0 (fi) | 2007-04-13 | 2007-04-13 | Nokia Corp | Menetelmä, radiojärjestelmä, matkaviestin ja tukiasema |
US8145905B2 (en) | 2007-05-07 | 2012-03-27 | Qualcomm Incorporated | Method and apparatus for efficient support for multiple authentications |
US9276909B2 (en) * | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
US8627422B2 (en) | 2010-11-06 | 2014-01-07 | Qualcomm Incorporated | Authentication in secure user plane location (SUPL) systems |
CN102388639B (zh) | 2011-09-29 | 2015-04-08 | 华为技术有限公司 | 用于接入移动网络的方法和装置以及用户设备 |
EP3047625A1 (en) * | 2013-09-16 | 2016-07-27 | Convida Wireless, LLC | Mobile network operator (mno) control of wifi qos via eap/diameter |
US9883385B2 (en) * | 2015-09-15 | 2018-01-30 | Qualcomm Incorporated | Apparatus and method for mobility procedure involving mobility management entity relocation |
US10009751B2 (en) * | 2015-12-28 | 2018-06-26 | Cisco Technology, Inc. | Virtual mobility anchor for network sharing |
US10104544B2 (en) * | 2016-04-05 | 2018-10-16 | Qualcomm Incorporated | LTE-level security for neutral host LTE |
EP3449648B1 (en) * | 2016-07-05 | 2024-05-01 | Samsung Electronics Co., Ltd. | Method and apparatus for accessing cellular network for sim profile |
EP3466135B1 (en) * | 2016-07-05 | 2022-01-05 | Samsung Electronics Co., Ltd. | Method and system for authenticating access in mobile wireless network system |
CN107623668A (zh) * | 2016-07-16 | 2018-01-23 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
US10433163B2 (en) * | 2016-09-19 | 2019-10-01 | Qualcomm Incorporated | Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure |
FI3516819T3 (fi) * | 2016-09-20 | 2023-01-31 | Seuraavan sukupolven avainjoukon tunnus | |
EP3527039A1 (en) * | 2016-10-11 | 2019-08-21 | Nec Corporation | Method, session management function node, user plane function node, and user equipment for session management parameters maintenance and computer readable recording medium therein |
-
2017
- 2017-10-25 ES ES17797092T patent/ES2806991T3/es active Active
- 2017-10-25 EP EP17797092.8A patent/EP3459278B1/en active Active
- 2017-10-25 CN CN201780065985.8A patent/CN109891921B/zh active Active
- 2017-10-25 RU RU2019116611A patent/RU2727160C1/ru active
- 2017-10-25 US US15/744,192 patent/US10609556B2/en active Active
- 2017-10-25 MA MA45505A patent/MA45505B1/fr unknown
- 2017-10-25 KR KR1020197013866A patent/KR102136037B1/ko active IP Right Grant
- 2017-10-25 DK DK17797092.8T patent/DK3459278T3/da active
- 2017-10-25 MX MX2019004705A patent/MX2019004705A/es unknown
- 2017-10-25 WO PCT/EP2017/077330 patent/WO2018077960A1/en unknown
- 2017-10-25 MY MYPI2019001885A patent/MY195382A/en unknown
- 2017-10-25 BR BR112019008447A patent/BR112019008447A2/pt unknown
- 2017-10-25 JP JP2019521802A patent/JP6775683B2/ja active Active
- 2017-10-25 CA CA3042304A patent/CA3042304C/en active Active
-
2019
- 2019-04-01 ZA ZA2019/02024A patent/ZA201902024B/en unknown
-
2020
- 2020-02-20 US US16/796,060 patent/US10904756B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102369750A (zh) * | 2009-03-31 | 2012-03-07 | 法国电信公司 | 用于管理用户的认证的方法和装置 |
CN102461230A (zh) * | 2009-04-07 | 2012-05-16 | 托吉瓦控股股份公司 | 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 |
Non-Patent Citations (1)
Title |
---|
Qualcomm Inc..Way forward on support of non-3GPP access and update to solution 8.6 for support of untrusted non-3GPP access.《3GPP SA WG2 Meeting #117 S2-166283》.2016,正文第1、6.8.6-6.8.6.3,图6.8.6.1-1、6.8.6.2.1-1、6.8.6.2.1-2、6.8.6.2.1-3、6.8.6.2.2-1、6.8.6.2.2-. * |
Also Published As
Publication number | Publication date |
---|---|
US10609556B2 (en) | 2020-03-31 |
ZA201902024B (en) | 2020-10-28 |
US10904756B2 (en) | 2021-01-26 |
DK3459278T3 (da) | 2020-06-15 |
KR20190065413A (ko) | 2019-06-11 |
WO2018077960A1 (en) | 2018-05-03 |
ES2806991T3 (es) | 2021-02-19 |
MX2019004705A (es) | 2019-06-06 |
CN109891921A (zh) | 2019-06-14 |
EP3459278A1 (en) | 2019-03-27 |
RU2727160C1 (ru) | 2020-07-21 |
MA45505A1 (fr) | 2019-06-28 |
CA3042304A1 (en) | 2018-05-03 |
KR102136037B1 (ko) | 2020-07-21 |
MY195382A (en) | 2023-01-18 |
US20200196147A1 (en) | 2020-06-18 |
JP2019533951A (ja) | 2019-11-21 |
BR112019008447A2 (pt) | 2019-07-09 |
MA45505B1 (fr) | 2019-11-29 |
EP3459278B1 (en) | 2020-04-22 |
CA3042304C (en) | 2021-08-24 |
JP6775683B2 (ja) | 2020-10-28 |
US20190007830A1 (en) | 2019-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11829774B2 (en) | Machine-to-machine bootstrapping | |
KR102547749B1 (ko) | 완전 순방향 비밀성을 통한 인증 및 키 합의 | |
KR102434877B1 (ko) | 다른 디바이스의 네트워크 서브스크립션과 디바이스의 연관 | |
US11082838B2 (en) | Extensible authentication protocol with mobile device identification | |
CN109891921B (zh) | 下一代系统的认证的方法、装置和计算机可读存储介质 | |
CN112219415B (zh) | 在第一网络中使用用于第二旧网络的订户标识模块的用户认证 | |
EP3651432B1 (en) | Selection of ip version | |
KR102017442B1 (ko) | 이동 단말기 상에 가입자 정보를 제공하기 위한 방법 및 장치들 | |
US20230413060A1 (en) | Subscription onboarding using a verified digital identity | |
US20230209340A1 (en) | Method and apparatus for transferring network access information between terminals in mobile communication system | |
JP2022517202A (ja) | セキュリティのための方法および装置 | |
WO2019196766A1 (zh) | 通信方法和装置 | |
US10897791B2 (en) | Methods and devices for configuring and acquiring emergency number | |
EP3284232B1 (en) | Wireless communications | |
US20180097807A1 (en) | Method and apparatus for performing initial access procedure based on authentication in wireless communication system | |
CN113676904B (zh) | 切片认证方法及装置 | |
CN116746181A (zh) | 一种密钥标识的生成方法以及相关装置 | |
CN112887965A (zh) | 发送用户标识的方法和装置 | |
KR102209289B1 (ko) | 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 | |
CN116074821A (zh) | 一种通信方法及装置 | |
OA19340A (en) | Authentification for next generation systems | |
CN118614099A (zh) | 基于tls-psk的用于接入边缘数据网络的认证机制 | |
WO2018103732A1 (zh) | 一种紧急号码的配置、获取方法及装置 | |
EP3797558A1 (en) | Methods, device and computer-readable medium for protecting mac addresses |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40002909 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |