[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

ES2953831T3 - Procedimientos y sistemas para mitigar ataques de denegación de servicio (dos) en una red inalámbrica - Google Patents

Procedimientos y sistemas para mitigar ataques de denegación de servicio (dos) en una red inalámbrica Download PDF

Info

Publication number
ES2953831T3
ES2953831T3 ES20159868T ES20159868T ES2953831T3 ES 2953831 T3 ES2953831 T3 ES 2953831T3 ES 20159868 T ES20159868 T ES 20159868T ES 20159868 T ES20159868 T ES 20159868T ES 2953831 T3 ES2953831 T3 ES 2953831T3
Authority
ES
Spain
Prior art keywords
cag
access
npn
cell
requested
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES20159868T
Other languages
English (en)
Inventor
Narendranath Durga Tangudu
Rajavelsamy Rajadurai
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Application granted granted Critical
Publication of ES2953831T3 publication Critical patent/ES2953831T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/06Registration at serving network Location Register, VLR or user mobility server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/02Diversity systems; Multi-antenna system, i.e. transmission or reception using multiple antennas
    • H04B7/04Diversity systems; Multi-antenna system, i.e. transmission or reception using multiple antennas using two or more spaced independent antennas
    • H04B7/0413MIMO systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

La presente divulgación se refiere a un sistema de comunicación anterior a la 5ª generación (5G) o 5G que se proporcionará para soportar velocidades de datos más altas más allá del sistema de comunicación de la 4ª generación (4G), como Long Term Evolution (LTE). Métodos, entidades de red y sistemas para mitigar ataques de denegación de servicio (DoS) en una red inalámbrica (por ejemplo, red de acceso (AN), red central (CN)). Las realizaciones del presente documento divulgan métodos y sistemas para mitigar ataques de Denegación de Servicio (DOS) en redes inalámbricas, realizando control de admisión verificando la solicitud de registro de un Equipo de Usuario (UE) a través de una celda de Grupo de Acceso Cerrado (CAG) sin realizar una autenticación primaria. Las realizaciones en el presente documento divulgan métodos y sistemas para verificar los permisos del UE para acceder a una celda CAG basándose en el identificador de suscripción del UE, antes de realizar la autenticación primaria. Métodos y sistemas para mitigar ataques de Denegación de Servicio (DoS) en una red inalámbrica. Un método para mitigar ataques de Denegación de Servicio (DOS) en redes inalámbricas incluye solicitar una red móvil terrestre pública (PLMN) para acceder a una red no pública (NPN) a través de una celda de Grupo de Acceso Cerrado (CAG), verificando los permisos de un usuario. equipo (UE) para acceder al NPN solicitado a través de la celda CAG, y realizar una autenticación primaria. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Procedimientos y sistemas para mitigar ataques de denegación de servicio (dos) en una red inalámbrica Antecedentes
Campo
La presente divulgación se refiere al campo de las redes inalámbricas y, más concretamente, a la mitigación de los ataques de denegación de servicio (DoS) en redes inalámbricas.
Descripción de la técnica relacionada
A fin de satisfacer la demanda de tráfico de datos inalámbricos que ha aumentado desde el despliegue de los sistemas de comunicación de cuarta generación (4G), se han llevado a cabo esfuerzos para desarrollar un sistema de comunicación mejorado de quinta generación (5G) o pre-5G. Por lo tanto, el sistema de comunicación 5G o pre-5G también se denomina "Red Más Allá de 4G" o un "Sistema Posterior a LTE"
Se considera que el sistema de comunicación 5G se implementa en bandas de frecuencia más altas (mmWave), por ejemplo, las bandas de 60 GHz, para lograr mayores tasas de datos. Para disminuir la pérdida de propagación de las ondas de radio y aumentar la distancia de transmisión, se discuten las técnicas de formación de radición, entrada múltiple masiva y salida múltiple (MIMO), MIMO de Dimensión Completa (FD-MIMO), antena de conjunto, formación de radiación analógica y antena a gran escala en los sistemas de comunicación 5G.
Además, en los sistemas de comunicación 5G, se está desarrollando una mejora de la red del sistema con bae celdas pequeñas avanzadas, Redes de Acceso por Radio (RAN) en la nube, redes ultradensas, comunicación de dispositivo a dispositivo (D2D), red de retorno inalámbrica, red móvil, comunicación cooperativa, Multipuntos Coordinados (CoMP), cancelación de interferencias en el extremo de la recepción y similares.
En el sistema 5G se han desarrollado la Modulación Híbrida FSK y QAM (FQAM) y la codificación por superposición de ventana deslizante (SWSC) como una modulación de palabra de código avanzada (ACM), y multiportadora de banco de filtros (FBMC), acceso múltiple no ortogonal (NOMA) y acceso múltiple de código disperso (SCMA) como una tecnología de acceso avanzada.
En la actualidad, las empresas despliegan redes inalámbricas privadas/redes no públicas (NPN) para satisfacer y optimizar los requisitos de cobertura, rendimiento y seguridad de sus procesos empresariales. Las NPN pueden desplegarse como NPN no autónomas y NPN autónomas. Las NPN no autónomas se despliegan junto con redes móviles terrestres públicas (PLMN) mediante el uso de celdas de grupo de acceso cerrado (CAG) y/o segmentación de red, también denominadas redes públicas integradas en redes no públicas. Cuando las NPN no autónomas se despliegan con las PLMN, los equipos de usuario (UE) pueden acceder a las NPN y obtener servicios prestados por las NPN a través de las PLMN mediante el uso de las celdas CAG. El CAG identifica a un grupo de abonados/UE, a los que se permite acceder a una o más celdas/NPN del CAG. El CAG también puede impedir que los equipos de usuario seleccionen y se registren automáticamente desde una ubicación que no proporcione acceso a las NPN, o desde una ubicación desde la que los equipos de usuario no puedan acceder a las NPN. El CAG se identifica por medio de un identificador de CAG (CAG ID), que emiten las celdas/NPN del CAG. La celda CAG emite uno o varios identificadores CAG por PLMN. Los UE pueden tener permisos/suscripciones/autorización NPN para acceder a las NPN a través de la PLMN. Los UE pueden configurarse además con una lista permitida de IDs CAG/celdas CAG (en adelante, permisos para acceder a las celdas CAG/NPN) basada en sus permisos/suscripciones/autorización NPN. Cuando los UE quieren acceder a las celdas/NPN CAG, la PLMN tiene que verificar si los UE están autorizados a acceder a las celdas CAG en base a los permisos/suscripciones NPN de los UE y en la lista de celdas CAG permitidas para los UE. En el presente documento se utilizan indistintamente términos tales como "permisos", "suscripción", "autorización", etc.
Las NPN autónomas pueden desplegarse sin requerir el apoyo de los PLMN. Las NPN autónomas pueden utilizar el CAG y/o un identificador de red no público para identificar a un grupo de abonados/UE, a los que se permite/autoriza el acceso a la una o más celdas CAG/NPN.
De acuerdo con la actual especificación 3GPP (TS 23.501), para acceder a las NPN, el UE inicia un procedimiento de registro enviando un identificador oculto de suscripción (SUCI) en un mensaje inicial de estrato de no acceso (NAS) (por ejemplo; un mensaje de registro) o en cualquier mensaje NAS (por ejemplo; un mensaje de respuesta de identidad) a una red servidora de la PLMN. La red de servicio lleva a cabo un procedimiento de autenticación primaria para autenticar al equipo de usuario en base al SUCI recibido (tras descifrar el SUCI y obtener el SUPI) del equipo de usuario. Una vez que la autenticación primaria ha tenido éxito, la red de servicio verifica si el UE tiene permisos o si el UE está autorizado para acceder a las celdas CAG/NPN y permite al UE acceder a las celdas CAG/NPN en base a una verificación exitosa. Sin embargo, la red de servicio tiene que esperar hasta que finalice el procedimiento de autenticación primaria para verificar si el equipo de usuario tiene permisos para acceder a las celdas CAG/NPN, lo que puede suponer una sobrecarga para la red de servicio.
Además, cuando hay un gran número de UE en la red, los procedimientos de registro realizados por UE deshonestos/que funcionan mal/maliciosos para acceder a las NPN en la celda CAG particular o distribuidos en diferentes celdas CAG con/sin tener los permisos NPN válidos y sin tener acceso a las celdas CAG conducen a ataques (Distribuidos) de Denegación de Servicio ((D)DoS) en la red de servicio.
Los ataques (D)DOS pueden ser posibles cuando el UE lleva a cabo el procedimiento de registro con los permisos NPN válidos y sin permisos para las celdas CAG o cuando el UE lleva a cabo el procedimiento de registro sin permisos NPN válidos y sin permisos para acceder a las celdas CAG.
Considérese un escenario de ejemplo, en el que el UE puede estar conectado a una red New Radio (NR/5G) de la PLMN y el UE tiene los permisos NPN válidos y no tiene los permisos para acceder a las celdas CAG. La red 5G incluye una red de acceso radioeléctrico (RAN) NG y una red central 5G (5GC). El 5GC incluye elementos como, entre otros, una Función de Gestión de Acceso y Movilidad (AMF), una Gestión Unificada de Datos (UDM), una Función de Servidor de Autenticación (AUSF), etc.
En tal escenario, el UE inicia el procedimiento de registro para acceder/obtener los servicios proporcionados por la celda/NPN CAG. El UE inicia el procedimiento de registro enviando el SUCI como su identidad a la NG-RAN solicitando el acceso a la celda/NPN CAG. La NG-RAN reenvía el SUCI recibida junto con el CAG ID de la celda/NPN del CAG solicitado a la AMF. La AMF inserta el CAG ID en el SUCI y envía el SUCI del UE junto con el CAG ID al UDM. El UDM revela el SUCI recibido y genera un vector de autenticación. En base al vector de autenticación generado por la UDM, la AMF autentica el UE. En un ejemplo del presente documento, considere que el procedimiento de autenticación primaria se lleva a cabo correctamente, dado que el equipo de usuario dispone de los permisos NPN válidos. Una vez que el procedimiento de autenticación primaria tiene éxito, la AMF recibe un identificador permanente de suscripción (SUPI) del UE desde la AUSF y verifica si el UE tiene los permisos para acceder a la celda/NPN CAG solicitada en base al SUPI recibido. En un ejemplo, la AMF verifica que el equipo de usuario no está autorizado a acceder a las celdas CAG, dado que no dispone de los permisos necesarios. A continuación, la AMF rechaza el procedimiento de registro iniciado por el UE.
Considérese otro escenario de ejemplo, en el que el UE es un UE no autorizado sin permisos NPN válidos y sin permisos para acceder a la celda/NPN del CAG. En este caso, el equipo no autorizado olfatea la red de servicio y captura el SUCI (puede o no tener permisos para la celda CAG). A continuación, el UE no autorizado inicia el procedimiento de registro enviando el SUCI capturada como su identidad a la AMF a través de la NG-RAN, en la que la NG-RAN puede añadir la CAG ID de la celda/NPN CAG solicitada al SUCI. La AMF reenvía el SUCI recibida junto con el CAG ID a la UDM, en la que la UDM revela el SUCI y genera el vector de autenticación. En base al vector de autenticación generado, el AMF lleva a cabo el procedimiento de autenticación. En un ejemplo del presente documento, la AMF rechaza el procedimiento de registro del UE, dado que la autenticación falla, puesto que el UE no autorizado no dispone de los permisos NPN válidos.
De este modo, en ambos escenarios, independientemente de si el UE posee o no los permisos NPN válidos, la red de servicio tiene que llevar a cabo el procedimiento de autenticación primaria para autorizar el acceso a la celda CAG del UE. Estos procedimientos pueden provocar sobrecarga y ataques (D)DOS en la red de servicio. "3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study on 5GS Enhanced support of Vertical and LAN Services (Release 16)", 3GPP DRAFT; DRAFTVO-23734-040-RM, 3RD GENERATION PARTNERSHIP PROJECT (3GPP), MOBILE COMPETENCE CENTRE; 650, ROUTE DES LUCIOLES ; F-06921 SOPHIA-ANTIPOLIS CEDEX ; FRANCE , 5 de diciembre de 2018 (2018-12-05), habla de 5GS Soporte mejorado de servicios verticales y LAN. El documento EP 0939571 A1 se refiere a un procedimiento para establecer una comunicación segura entre un terminal móvil ATM y un nodo de acceso ATM de una red inalámbrica de radiocomunicación ATM.
Objetos
El objeto principal de las presentes realizaciones es desvelar procedimientos y sistemas para mitigar ataques de Denegación de Servicio (Distribuidos) ((D)DOS) en una red inalámbrica, en la que la red inalámbrica incluye al menos una red no pública (NPN) acoplada a una Red Pública Móvil Terrestre (PLMN).
Otro objeto de las presentes realizaciones es desvelar procedimientos y sistemas para mitigar los ataques (D)DoS verificando los permisos de al menos un Equipo de Usuario (UE) para acceder a la al menos una n Pn antes de llevar a cabo una autenticación primaria del al menos un UE.
Otro objeto de las presentes realizaciones es desvelar procedimientos y sistemas para verificar los permisos del al menos un Equipo de Usuario (UE) para acceder al al menos un NPN mediante el uso de un identificador permanente de suscripción (SUPI) del al menos un UE y un Identificador (ID) de Grupo de Acceso Cerrado (CAG) del al menos un NPN solicitado.
Sumario
La invención se establece en el conjunto de reivindicaciones adjuntas.
En consecuencia, las presentes realizaciones desvelan una red que comprende al menos un Equipo de Usuario, al menos una Red No Pública (NPN), y una Red Pública Móvil Terrestre (PLMN), desplegada conjuntamente con la al menos una NPN. La PLMN incluye al menos una red celular compuesta por una red de acceso radioeléctrico y una red central (CN). El al menos un UE está configurado para solicitar a la PLMN el acceso al al menos un NPN a través de al menos una celda de Grupo de Acceso Cerrado (CAG). El CN de la PLMN está configurado para verificar los permisos del al menos un UE para acceder a la al menos una NPN solicitada a través de la al menos una celda CAG. La CN está configurada además para llevar a cabo un procedimiento de autenticación primaria para permitir que el al menos un UE acceda a la al menos una NPN a través de la al menos una celda cAg , si se verifican los permisos del al menos un UE para acceder a la al menos una NPN solicitada a través de la al menos una celda CAG.
Estos y otros aspectos de las realizaciones en el presente documento expuestas se apreciarán y comprenderán mejor cuando se consideren en conjunto con la siguiente descripción y los dibujos adjuntos. Debe entenderse, sin embargo, que las siguientes descripciones, aunque indican realizaciones y numerosos detalles específicos de las mismas, se dan a modo de ilustración y no de limitación.
Antes de emprender la DESCRIPCIÓN DETALLADA a continuación, puede ser ventajoso establecer definiciones de determinadas palabras y frases utilizadas a lo largo del presente documento de patente: los términos "incluye" y "comprende", así como sus derivados, significan inclusión sin limitación; el término "o" es inclusivo, que significa y/o; las frases "asociado con" y "asociado con el mismo", así como sus derivados, pueden significar incluir, estar incluido dentro, interconectar con, contener, estar contenido dentro, conectar a o con, acoplar a o con, ser comunicable con, cooperar con, intercalar, yuxtaponer, estar próximo a, estar vinculado a o con, tener, tener una propiedad de, o similares; y el término "controlador" significa cualquier dispositivo, sistema o parte del mismo que controla al menos una operación, tal como un dispositivo puede estar implementado en hardware, firmware o software, o alguna combinación de al menos dos de los mismos. Se debe señalar que la funcionalidad asociada con cualquier controlador particular puede estar centralizada o distribuida, ya sea de manera local o remota.
Además, diversas funciones descritas a continuación pueden ser implementadas o soportadas por uno o más programas informáticos, cada uno de los cuales está formado por un código de programa legible por ordenador e integrado en un medio legible por ordenador. Los términos "aplicación" y "programa" se refieren a uno o más programas informáticos, componentes de software, conjuntos de instrucciones, procedimientos, funciones, objetos, clases, instancias, datos relacionados o una porción de los mismos adaptada para su implementación en un código de programa legible por ordenador adecuado. La frase "código de programa legible por ordenador" incluye cualquier tipo de código de ordenador, incluido el código fuente, código objeto, y código ejecutable. La frase "medio legible por ordenador" incluye cualquier tipo de medio capaz de ser accedido por un ordenador, tal como una memoria de sólo lectura (ROM), una memoria de acceso aleatorio (RAM), una unidad de disco duro, un disco compacto (CD), un disco de vídeo digital (DVD), o cualquier otro tipo de memoria. Un medio legible por ordenador "no transitorio" excluye los enlaces de comunicación cableados, inalámbricos, ópticos, o de otro tipo que transportan señales eléctricas transitorias u otras señales. Un medio legible por ordenador no transitorio incluye medios en los que los datos se pueden almacenar de manera permanente y medios en los que los datos se pueden almacenar y sobrescribir posteriormente, tales como un disco óptico regrabable o un dispositivo de memoria borrable.
Las definiciones de ciertas palabras y frases se proporcionan a lo largo de este documento de patente. Los expertos en la técnica deben comprender que en muchos, si no en la mayoría de los casos, dichas definiciones se aplican tanto a usos anteriores como futuros de dichas palabras y frases definidas.
Breve descripción de los dibujos
Las realizaciones se ilustran en los dibujos adjuntos, en los que letras de referencia similares indican las partes correspondientes en las distintas figuras. Las realizaciones del presente documento se entenderán mejor a partir de la siguiente descripción con referencia a los dibujos, en los que:
Las Figuras 1A-1C representan un sistema de comunicación inalámbrica/red inalámbrica, de acuerdo con las realizaciones divulgadas en la presente memoria;
La Figura 2 representa varios elementos de la red inalámbrica 100 configurada para mitigar un ataque de denegación de servicio (D)DoS (distribuido),de acuerdo con las realizaciones divulgadas en la presente memoria; La Figura 3 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en la UDM del 5GC, de acuerdo con las realizaciones divulgadas en la presente memoria;
La Figura 4 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en la UDM del 5GC por medio de la comunicación directa con la a Mf/s EAF, de acuerdo con las realizaciones divulgadas en la presente memoria;
La Figura 5 es un diagrama de secuencia que representa la verificación de los permisos del UE para acceder a la celda CAG en la UDM por medio de la comunicación con la AMF/SEAF a través de mensajes de solicitud de obtención y mensajes de respuesta de obtención, de acuerdo con las realizaciones divulgadas en la presente memoria;
La Figura 6 es un diagrama secuencial que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en la UDM 206 y/o el AUSF del 5GC, de acuerdo con las realizaciones divulgadas en la presente memoria;
La Figura 7 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en el AUSF del 5GC, de acuerdo con las realizaciones divulgadas en la presente memoria;
La Figura 8 es un diagrama secuencial que muestra la verificación de los permisos del equipo de usuario para acceder a la celda de CAG en el servidor de CAG al recibir la solicitud del UDM, de acuerdo con las realizaciones divulgadas en la presente memoria;
La Figura 9 es un diagrama secuencial que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en el servidor CAG al recibir el SUCI del equipo de usuario desde la AMF/SEAF, de acuerdo con las realizaciones divulgadas en la presente memoria;
La Figura 10 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en el servidor cAg al recibir el SUCI del equipo de usuario de la AUSF, de acuerdo con las realizaciones divulgadas en la presente memoria;
La Figura 11 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en la AMF/SEAF, de acuerdo con las realizaciones divulgadas en la presente memoria;
La Figura 12 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en la AMF/SEAF por medio de la comunicación con la UDM a través de la interfaz de servicio proporcionada por la UDM, de acuerdo con las realizaciones divulgadas en la presente memoria; La Figura 13 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en el servidor CAG por medio de la comunicación directa con la AMF/SEAF, de acuerdo con las realizaciones divulgadas en la presente memoria;
La Figura 14 es un diagrama secuencial que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en la UDM al recibir el SUPI del equipo de usuario desde la AMF/SEAF, de acuerdo con las realizaciones divulgadas en la presente memoria; y
La Figura 15 es un diagrama de flujo que representa un procedimiento para controlar los permisos del al menos un UE para acceder al al menos un NPN en la red inalámbrica, de acuerdo con las realizaciones divulgadas en la presente memoria.
Descripción detallada
Las Figuras 1 a 15, discutidas a continuación, y las diversas realizaciones utilizadas para describir los principios de la presente divulgación en este documento de patente son solo a modo de ilustración y no deben interpretarse de ninguna manera como limitantes del alcance de la divulgación. Los expertos en la técnica comprenderán que los principios de la presente divulgación se pueden implementar en cualquier sistema o dispositivo convenientemente dispuesto.
Las realizaciones en el presente documento y las diversas características y detalles ventajosos de las mismas se explican más ampliamente con referencia a las realizaciones no limitantes que se ilustran en los dibujos adjuntos y se detallan en la siguiente descripción. Se omiten las descripciones de componentes y técnicas de procesamiento bien conocidos para no oscurecer innecesariamente las realizaciones en el presente documento. La presente descripción pretende simplemente facilitar la comprensión de las formas en que se pueden poner en práctica las realizaciones de ejemplo del presente documento y permitir además a los expertos en la técnica poner en práctica las realizaciones de ejemplo del presente documento. En consecuencia, los ejemplos no deben interpretarse como una limitación del alcance de las realizaciones en el presente documento.
Las realizaciones de la presente memoria desvelan procedimientos y sistemas para mitigar ataques de Denegación de Servicio (Distribuidos) ((D)DOS) en una red inalámbrica, en la que el sistema de red inalámbrica incluye al menos una red no pública (NPN) acoplada con una Red Móvil Terrestre Pública (PLMN).
Las realizaciones de la presente memoria desvelan procedimientos y sistemas para mitigar los ataques (D)DoS realizando un control de admisión verificando los permisos de al menos un equipo de usuario (UE) para acceder a la al menos una NPN a través de una celda de grupo de acceso cerrado (CAG) antes de llevar a cabo una autenticación primaria del al menos un UE. Por "control de admisión para NPN" se entiende verificar si hay permisos o si existe autorización para que el UE acceda a la celda CAG. En una realización, si el equipo de usuario tiene los permisos, la suscripción o la autorización para acceder al NPN, los ID de CAG correspondientes del NPN se enumeran en la lista de CAG permitidos del equipo de usuario. Una lista de CAG permitidos es una lista de identificadores de CAG a los que el UE tiene permitido acceder a la celda CAG.
En referencia ahora a los dibujos, y más particularmente a las FIGS. 1A a 15, en las que los caracteres de referencia similares indican características correspondientes consistentemente a lo largo de las figuras, se muestran realizaciones de ejemplo.
Las figuras 1A-1C representan un sistema de comunicación inalámbrica/red inalámbrica 100, de acuerdo con las realizaciones divulgadas en la presente memoria. La red inalámbrica 100 a la que se hace referencia en el presente documento puede configurarse para mitigar un ataque de denegación de servicio (D)DoS (distribuido) en una red pública integrada en redes no públicas, que es el resultado de un gran número de solicitudes de registro de usuarios/UE que no tienen permiso para acceder a las redes no públicas.
La red inalámbrica 100 incluye una red móvil terrestre pública (PLMN) 102a, una o más redes no públicas (NPN) 102b, y una pluralidad de UE 104.
La PLMN 102a incluye una o más redes celulares diferentes tales como, por ejemplo, una red LTE (Long Term Evolution), una red lTe avanzada, una red New Radio (NR)/5G, una red NB-loT (Narrowband Internet of Things) o cualquier otra red de próxima generación. La PLMN 102a puede ser operada por un operador de red móvil (MNO). La PLMN 102a puede configurarse para prestar servicios de comunicación proporcionados por el MNO a los UE 104 en una región específica. Algunos ejemplos de servicios de comunicación pueden ser, entre otros, un servicio de streaming (streaming de datos multimedia tales como audio, vídeo, texto, etc.), un servicio de descarga de archivos, un servicio de carrusel (un servicio que combina el servicio de descarga de archivos y el servicio de streaming), un servicio de televisión (TV), un servicio de subsistema multimedia (IMS) de protocolo de Internet (IP), un servicio no-3GPP (por ejemplo: cortafuegos o similar), etc. En el presente documento se utilizan indistintamente términos tales como "PLMN", "red celular", "red pública", "red de acceso 3GPP", etc., para referirse a una red que proporciona servicios de comunicación de uso público en una región determinada.
La(s) NPN 102b puede(n) estar configurada(s) para proporcionar cobertura y servicios privados a los UE 104 presentes dentro de una ubicación tal como, pero no limitada a, una organización, una empresa, una fábrica, un campus, una habitación, un piso, etcétera. Los servicios privados pueden incluir servicios definidos por los locales. Ejemplos de servicios privados pueden ser, entre otros, un servicio de streaming (streaming de datos multimedia tales como audio, vídeo, texto, etc.), un servicio de descarga de archivos, etc.
En una realización, la NPN 102b puede desplegarse como una NPN no autónomo. La NPN 102b no autónoma puede desplegarse junto con la PLMN 102a. La NPN 102b puede desplegarse junto con la PLMN 102a mediante el uso de un corte de red y/o una celda de Grupo de Acceso Cerrado (cAg ) (como se especifica en 3GPP TS 23.501). El troceado de red proporciona redes de nombres de red de datos (DNNs) dedicadas, o una o más instancias de troceado de red que pueden poner la NPN 102b a disposición de los UEs104 a través de la PLMN 102a. El CAG puede identificarse por medio de un identificador de cAg (ID de CAG) emitido por la celda NPN/ CAG 102b, en el que el ID de CAG es único con respecto a un ID de PLMN. El CAG puede ser utilizado por la NPN 102b para evitar que los usuarios/UE seleccionen y se registren automáticamente desde una ubicación/región/zona, que no proporciona acceso a las NPN para los UE 104, o desde la ubicación, que los UE 104 no están autorizados a acceder a las NPN. En el presente documento se utilizan indistintamente los términos "identificador CAG" e "identificador de red no público". El CAG ID puede significar CAG-ID y/o NPN-ID. En el presente documento se utilizan términos tales como "NPN", "red privada", "red pública integrada NPN", "red de acceso no-3GPP", "NPN no independiente", "celdas CAG", etc., para referirse indistintamente a una red que confina los servicios de comunicación dentro de los límites de las instalaciones definidas para los UE 104.
En una realización, la NPN 102b puede ser una NPN autónomo. La NPN 102b autónomo puede desplegarse sin el apoyo de los PLMN. La NPN autónoma 102b puede utilizar el CAG y/o un identificador de red no público para identificar a un grupo de abonados/UE, a los que se permite acceder a la una o más celdas CAG/NPN. Las realizaciones del presente documento se explican con más detalle considerando la NPN no autónoma 102b, pero también se puede considerar la NPN autónoma, en la que las entidades de la red central PLMN 102a están alojadas en la red central NPN 102b.
El (los) UE 104 referido(s) en la presente memoria puede(n) ser un dispositivo de usuario capaz de soportar la PLMN 102a y la NPN 102b. Ejemplos de UE 104 pueden ser, entre otros, un teléfono móvil, un smartphone, una tableta, un phablet, un asistente digital personal (PDA), un portátil, un ordenador, un dispositivo informático portátil, un dispositivo de infoentretenimiento para vehículos, un dispositivo de Internet de las Cosas (IoT), un dispositivo de Realidad Virtual (VR), un router de Fidelidad Inalámbrica (Wi-Fi), un dongle USB, un sensor, un robot, un vehículo autoguiado, etc. El UE 104 puede incluir uno o más procesadores/unidades centrales de procesamiento (CPU), una memoria, un transceptor, etc., para llevar a cabo al menos una función/operación prevista.
El UE 104 puede configurarse para acceder a la PLMN 102a y/o a la NPN 102b para obtener los servicios de comunicación y/o los servicios privados. En una realización, el UE 104 puede acceder a la PLMN 102a a través de la NPN 102b. En una realización, el UE 104 puede acceder a la NPN y obtener los servicios de red privada proporcionados por la NPN 102b teniendo suscripciones a la PLMN. La suscripción del UE a la PLMN puede incluir al menos uno de los permisos/suscripciones NPN y permisos/suscripciones para acceder a la(s) celda(s)/NPN 102b del CAG. Los permisos de la NPN pueden indicar que el UE 104 está autorizado a acceder a la NPN/los servicios proporcionados por la NPN 102b a través de la PlMn 102a. Los permisos para acceder a la celda CAG/NPN 102b pueden indicar una lista permitida de celdas CAG/IDs CAG para el UE 104. Los permisos para acceder a las celdas CAG pueden configurarse para el UE 104 en función de sus permisos NPN. Los permisos para acceder a las celdas CAG/lista de CAG permitidos se configuran para el UE 104 por mediante el uso de procedimientos 3GPP existentes (por ejemplo: mecanismo over the air, procedimiento de actualización de la configuración del UE, o similares). En el presente documento se utilizan términos como "permisos para acceder a la celda CAG", "permisos de celda CAG", "lista permitida de celdas CAG/IDs CAG", "permisos de celdas CAG permitidas", etc., indistintamente.
El UE 104 inicia un procedimiento de registro cuando el UE 104 desea el acceso a la celda CAG/NPN 102b o a los servicios proporcionados por la NPN 102b. El UE 104 envía una solicitud de registro a la PLMN 102a solicitando acceso a la celda CAG/n Pn 102b. En un ejemplo de este documento, la PLMN 102a solicitado puede ser un PLMN de origen (HLPMN), con el que el UE 104 ya se ha suscrito. En una realización, al recibir la solicitud de registro del UE 104, la PLMN 102a verifica si el UE 104 tiene los permisos (o si el UE 104 está autorizado) para acceder a la celda CAG/NPN 102b solicitada. Al verificar que el Ue 104 está autorizado/el UE 104 tiene los permisos para acceder a la celda CAG/NPN 102a solicitada, la PLMN 102a lleva a cabo un procedimiento de autenticación primaria para comprobar si el UE 104 es un UE 104 autenticado. En base a la autenticación correcta, la PLMN sigue adelante con el procedimiento de solicitud de registro del UE para el acceso del UE al NPN.
Al verificar que el UE 104 no tiene los permisos (o el UE 104 no está autorizado) para acceder a la celda CAG/NPN 102b solicitada, la PLMN 102a rechaza la solicitud de registro del UE 104 y no permite al UE 104 acceder a la celda CAG/NPN 102b solicitada. De este modo, la verificación por parte de la PLMN 102a de los permisos/autorización del UE 104 para acceder al NPN 102b antes de llevar a cabo el procedimiento de autenticación primaria mitiga el ataque (D)DoS a la PLMN 102a, resultante del procedimiento de registro iniciado por el UE 104 sin permisos válidos para acceder a la celda CAG/NPN 102b.
Como se muestra en la FIG. 1b, la NPN 102b incluye una Red de Acceso Radioeléctrico (RAN) no pública 106b, y una Red Central (CN) no pública 108b. La RAN 106b no pública a la que se hace referencia en la presente memoria puede ser nodos de acceso 3GPP, nodos de acceso no 3GPP, etc. Ejemplos de nodos de acceso 3GPP pueden ser, entre otros, nodos evolucionados (eNBs), nodos New Radio (gNBs), etc. Ejemplos de nodos de acceso no-3GPP pueden ser, entre otros, un nodo de red de acceso local (LAN), un nodo de LAN inalámbrica (WLAN), un nodo Wi-Fi, etc. La RAN no pública 106b de la NPN 102b puede ser una Ra N de la PLMN 102a que incluya una asistencia de la celda CAG. La PLMN 102a aloja la RAN 106b para acceder a la NPN 102b. La RAN no pública 106b puede configurarse para conectar el al menos un UE 104 a la CN no pública 108b. La CN no pública 108b puede configurarse para conectar el UE 104 a la red de datos externa/PLMN 102a. La CN 108b no pública puede ser al menos una de las siguientes: una red EPC, una red central 5GC, etc. En una realización, la NPN 102b puede compartir la RAN no pública 106b con la PLMN 102a. La NPN 102b y la PLMN 102a pueden incluir diferentes identificadores (ID), bandas espectrales segregadas y funcionalidades de las CN (por ejemplo, funcionalidades del plano de usuario y del plano de datos de las CN). En una realización, la NPN 102b puede compartir parcialmente la RAN no pública 106b con la PLMN 102a, de forma que una o más de las funciones de la RAN no pública 106b que da servicio a la NPN 102b pueden ser proporcionadas por la PLMN 102a. En una realización, la NPN 102b puede compartir la RAN no pública 106b y las bandas espectrales con la PLMN 102a. En una realización, la NPN 102b puede compartir la RAN no pública 106b y las funcionalidades del plano de control de la CN no pública 108b con la PLMN 102a.
La PLMN 102a incluye al menos una red celular 106 que comprende al menos una RAN 106a, y una CN 108a. La RAN 106a puede configurarse para conectar el al menos un UE 104 a la CN 108a. La RAN 106a puede comprender nodos/Estaciones Base (BSs) tales como, pero no limitados a, nodos evolucionados (eNBs), nodos de Nueva Radio (gNBs), etc. La RAN 106a puede comprender uno o más procesadores/unidades centrales de procesamiento (CPU), una memoria, un transceptor, etc., para llevar a cabo al menos una función/operación prevista.
La CN 108a a la que se hace referencia en el presente documento puede ser al menos una de las redes Evolved Packet Core (EPC), 5G core (5GC) o similares. La CN 108a puede estar conectada a la RAN 106a y a una red de datos externa. Ejemplos de la red de datos externa pueden ser, entre otros, Internet, una red de paquetes de datos (PDN), un subsistema de red central multimedia con protocolo de Internet (IP), etc. En una realización, la CN 108a puede conectarse a la CN 108b no pública a través de la interfaz N3IWF. En el presente documento se utilizan indistintamente los términos "red central (CN)", "red de servicio", etc.
La CN 108a puede comprender uno o más procesadores/unidades centrales de procesamiento (CPU), una memoria, un almacenamiento, un transceptor, etc., para llevar a cabo al menos una función/operación prevista. La CN 108a puede estar configurada para mantener información sobre al menos uno de los permisos NPN del UE 104, un identificador permanente de suscripción (SUPI) del UE 104, y la lista permitida de celdas CAG/CAG IDs configuradas para el UE 104, un mapeo de la lista permitida de celdas CAG con el SUPI del UE 104, etcétera. La lista permitida de celdas CAG puede configurarse para el UE 104 en base a los permisos NPN válidos del UE 104. La lista permitida de celdas cAg puede incluir información sobre los ID CAG de las celdas CAG/NPN 102b, a los que el UE 104 puede acceder. El SUPI puede ser un identificador único que el MNO asigna al UE 104 durante un proceso de registro del Módulo Universal de Identidad del Suscriptor (USIM) realizado por el UE 104 para registrarse en el sistema de red 100. El SUPI puede ser un Identificador Internacional de Abonado Móvil (IMSI) (tal como se especifica en TS 23. 503) o un Identificador de Acceso a la Red (NAI) (como se especifica en TS 23.0003), etc.
La CN 108a puede estar configurado para conectar el al menos un UE 104 (conectado con el al menos un nodo RAN 106a) a una red de datos externa. La CN 108a también puede configurarse para permitir al UE(s) 104 acceder a la NPN 102b. En una realización, la CN 108a puede permitir al UE(s) 104 acceder a la NPN 102b verificando los permisos del UE 104 para acceder a la NPN 102b antes de llevar a cabo el procedimiento de autenticación primaria, para de este modo mitigar el ataque (D)DoS y minimizar la sobrecarga en la PLMN 102a.
Como se muestra en la FIG. 1b, para acceder a la NPN 102b u obtener los servicios proporcionados por la NPN 102b, el UE 104 lleva a cabo el procedimiento de registro con la CN 108a de la PLMN 102a. El UE 104 lleva a cabo el procedimiento de registro enviando la solicitud de registro a la RAN 106a conectada de la PLMN 102a solicitando el acceso a la NPN 102b o a los servicios proporcionados por la NPN 102b. La solicitud de registro incluye un identificador oculto suscrito (SUCI) del UE 104. El SUCI puede ser un identificador que preserve la privacidad y que contenga un SUPI oculto. En un ejemplo, el UE 104 puede generar el SUCI mediante el uso de un esquema de protección basado en un esquema de cifrado integrado de curva elíptica (ECIES) con una clave pública de la red doméstica/HPLMN 102a que se proporcionó de forma segura al UE 104 durante el registro del USIM. El UE 104 puede enviar la solicitud de registro que incluye el SUCI a la NG-RAN 106a en un mensaje inicial de estrato de no acceso (NAS), o cualquier mensaje nAs (por ejemplo, mensaje de respuesta de identidad, o similar).
Al recibir el SUCI del UE 104, la RAN 106a identifica el CAG ID de la celda/NPN 102b CAG solicitada (en base a la difusión de los CAG ID por las celdas/NPN 102b CAG). La RAN 106a transmite al CN 108a el SUCI recibido del UE 104 y el CAG ID identificado de la celda/NPN 102b del CAG solicitado. En una realización, la RAN 106a también puede recibir del UE 104 el CAG ID de la celda/NPN 102b CAG solicitada.
Al recibir el SUCI del UE 104 y el CAG ID de la celda/NPN 102b CAG solicitada, la CN 108a verifica los permisos del UE 104 para acceder a la celda/NPN 102b CAG solicitada antes de llevar a cabo el procedimiento de autenticación primaria. A fin de verificar los permisos, la CN 108a revela el SUCI recibido al SUPI (como se especifica en 3GPP TS. 23.501). La CN 108a recupera la lista permitida de celdas CAG/IDs CAG para el UE 104 en base al SUPI revelado. La CN 108a utiliza la correspondencia mantenida de la lista permitida de celdas CAG con el SUPI de los UE 104 y recupera la lista permitida de celdas CAG para el SUPI revelado. La CN 108a comprueba si el CAG ID recibido de la celda/NPN 102a CAG solicitado está presente en la lista recuperada de celdas/CAG IDs permitidos para el UE 104.
Al comprobar que el CAG ID recibido de la celda/NPN 102a CAG solicitada está presente en la lista recuperada de celdas/CAG ID permitidas para el UE 104, la CN 108a verifica que el UE 104 tiene permiso para acceder a la celda/NPN 102b CAG (una verificación exitosa). A continuación, la CN 108a lleva a cabo el procedimiento de autenticación primaria para autenticar si el UE 104 tiene los permisos NPN válidos para acceder al NPN 102b solicitado a través de la PLMN 102a. A fin de llevar a cabo el procedimiento de autenticación primaria, la CN 108a genera un vector de autenticación basado en el SUCI recibido (como se especifica en 3GPP TS 23.501) y autentica el UE 104 en base al vector de autenticación generado. Una vez que el procedimiento de autenticación ha tenido éxito, la CN 108a permite al UE 104 acceder a la celda/NPN 102b CAG solicitada por medio de la realización de un procedimiento como se especifica en 3GPP TS 23.501.
Al comprobar que el CAG ID recibido de la celda/NPN 102a CAG solicitada no está presente en la lista recuperada de celdas/CAG ID permitidos para el UE 104, la CN 108a verifica que el UE 104 no tiene los permisos para acceder a la celda/NPN 102b CAG (una verificación fallida). A continuación, la CN 108a rechaza la solicitud de registro del UE 104 sin continuar con el procedimiento de autenticación primaria. Al rechazar la solicitud de registro, la CN 108a envía un mensaje de rechazo al UE 104 a través de la RAN 106a indicando que no se permite el acceso a la celda CAG/NPN 102b solicitada. La CN 108a también envía un valor de causa adecuado junto con el mensaje de rechazo al UE 104. El valor de la causa puede ser un valor que describa la causa de un error debido al cual el UE 104 no puede acceder a la celda CAG/NPN 102b solicitada o a los servicios proporcionados por la celda CAG/NPN 102b solicitada en una ubicación actual. Ejemplos del valor de la causa pueden ser, entre otros, #12, #13, #15, #76, etc. En un ejemplo, el valor de causa #15 indica que no hay celdas CAG adecuadas en una zona de localización/seguimiento (en la que está presente el UE 104) de la HPLMN 102a o que el acceso a las celdas CAG no está permitido para el UE 104. En un ejemplo, el valor de causa #12 indica que el acceso a la celda CAG en el área de seguimiento solicitada no está permitido. En un ejemplo, el valor de causa #13 indica que la itinerancia no está permitida para el área de seguimiento solicitada.
De este modo, la verificación de los permisos del UE 104 para acceder a la celda CAG antes de llevar a cabo el procedimiento de autenticación primaria mitiga la (D)DoS en la CN 108a y reduce los gastos generales en la CN 108a para llevar a cabo el procedimiento de autenticación primaria.
En una realización, la PLMN 102a puede desplegar un servidor CAG 110, que puede comunicarse con la CN 108a de la al menos una red celular 106 como se representa en la FIG. 1c. El servidor CAG 110 puede llevar a cabo al menos una función prevista de la CN 108a. El servidor CAG 110 puede mantener información sobre al menos uno de los permisos NPN del UE 104, el SUPI del UE 104, y la lista permitida de celdas CAG/IDs CAG configuradas para el UE 104, el mapeo de la lista permitida de celdas CAG con el SUPI del UE 104, etc. El servidor CAG 110 puede verificar los permisos del UE 104 para acceder a la NPN 102b antes de llevar a cabo el procedimiento de autenticación primaria.
La Figura 2 es un diagrama de bloques que representa varios elementos de la red inalámbrica 100 configurada para mitigar el ataque (D)DoS, de acuerdo con las realizaciones divulgadas en la presente memoria. Las realizaciones del presente documento se explican además considerando que la PLMN 102a incluye una red 5G 106 como la red celular 106 y la CN no pública 108b como la 5GC 108b como ejemplos, pero se puede considerar cualquier otra red celular y cualquier otra CN.
Como se muestra en los ejemplos de la Figura 2, la RAN 106a de la red 5G/PLMN 102a puede ser la NG-RAN/gNB 106a y la CN 108a puede ser el 5GC 108a. El 5GC 108a incluye una función de gestión de acceso y movilidad (AMF)/función de anclaje de seguridad (SEAF) 202, una función de servidor de autenticación (AUSF) 204, y una función de gestión unificada de datos (UDM)/repositorio de credenciales de autenticación (ARPF)/revelación de identificadores de suscripción 206. La CN 108a también incluye otros elementos tales como, pero no limitados a, una función de gestión de sesión (SMF), una funcionalidad de plano de usuario (UPF), una función de control de políticas, una función de aplicación, una función de exposición de red (NEF), una función de repositorio NF (NRF), una función de selección de segmento de red (NSSF), etc. (no mostrados). En una realización, el servidor CAG 110 puede comunicarse con los elementos del 5GC 108a a través de una interfaz de servicio exhibida por el servidor CAG 110. En un ejemplo, la interfaz de servicio puede ser una interfaz Ncag_XXX. Del mismo modo, la NC no pública 108b/ 5GC no pública 108a incluye todos los elementos de la 5GC 108a (no mostrados).
En una realización, si la SEAF y la AMF 202 no están ubicados conjuntamente, entonces la AMF 202 se conecta a la AUSF 204 a través de la SEAF En una realización de este documento, si la SEAF y la AMF están ubicados en el mismo lugar, el término "AMF" significa "AMF/SEAF" 202 a lo largo de este documento.
La AMF/SEAF 202 puede configurarse para soportar funciones tales como, pero no limitadas a, terminación de señalización NAS, cifrado y protección de integridad NAS, gestión de registro, gestión de conexión, gestión de movilidad, autenticación y autorización de acceso, gestión de contexto de seguridad, etc. La AUSF 204 puede ser un servidor de autenticación configurado para autenticar los UE 104 por medio del mantenimiento de información sobre los UE 104.
La UDM/ARPHSIDF 206 puede ser configurada para llevar a cabo funciones tales como, pero no limitadas a, generación de credenciales de autenticación y acuerdo de claves (AKA), manejo de identificación de usuarios, autorización de acceso, manejo de suscripciones, etcétera. En una realización del presente documento, la UDM, la ARPF y la SIDF pueden o no operar mutuamente para llevar a cabo la al menos una función.
Las realizaciones del presente documento permiten al menos a una de las UDM 206, la UDM/ARPHSIDF 206, la AUSF 204, la AMF/SEAF 202 y el servidor CAG 110 verificar si el UE 104 está autorizado (o el UE tiene los permisos) para acceder a la celda/NPN 102b del CAG antes de llevar a cabo el procedimiento de autenticación primaria.
Las realizaciones del presente documento permiten a la UDM 206 del 5GC 108a verificar los permisos del UE 104 para acceder a las celdas CAG/NPN 102b. Como parte del procedimiento de registro, para acceder a la celda/NPN 102b del CAG, el UE 104 envía la solicitud de registro que incluye el SUCI a la NG-RAN 106a. En una realización, el UE 104 puede enviar la solicitud de registro a la NG-RAN 106a en el mensaje NAS inicial. En una realización, el UE 104 puede enviar la solicitud de registro a la NG-RAN 106a en un mensaje NAS (por ejemplo, en un Mensaje de Respuesta de Identidad). La NG-RAN 106a reenvía el SUCI recibido del UE 104 a la a Mf/SEAF 202. En una realización, la NG-RAN 106a identifica el CAG ID emitido por las celdas/NPN 102b del CAG solicitado y añade el CAG ID al SUCI para enviarlo a la AMF/SEAF 202 a través de un mensaje N2. En una realización, la NG-RAN 106a recibe del UE 104 el CAG ID (emitido por la celda/NPN 102a del CAG solicitado) junto con el SUCI. En tal caso, la NG-RAN 106a reenvía el SUCI junto con el CAG ID a la AMF/SEAF 202.
La AMF/SEAF 202 incluye el SUCI recibido del UE 104, el CAG ID de la celda/NPN 102b CAG solicitada, otros parámetros en un mensaje de solicitud de autenticación (Nausf_UEAutenticación_Autenticar Solicitud mensaje) y envía el mensaje de solicitud de autenticación a la AUSF 204. Ejemplos de otros parámetros pueden ser, entre otros, un nombre de SN o similar. La AUSF 204 obtiene el SUCI del UE 104, el CAG ID de la celda/NPN 102b del CAG solicitado y los demás parámetros a partir del mensaje de solicitud de autenticación recibido. La AUSF 204 inserta el SUCI derivado del UE 104, el CAG ID de la celda/NPN 102b del CAG solicitado, y los demás parámetros en un mensaje de solicitud de obtención de autenticación (mensaje Nudm_UEAutenticación_Conseguir_Solicitud). La AUSF 204 envía el mensaje de solicitud de obtención de autenticación a la UDM 206 del 5GC 108a.
Al recibir el mensaje de solicitud de obtención de autenticación, la UDM 206 comprueba si el CAG ID está presente en el mensaje recibido. Si el CAG ID está presente en el mensaje recibido, la UDM 206 verifica los permisos del UE 104 para acceder a la celda/NPN 102b del CAG solicitado antes de llevar a cabo el procedimiento de autenticación primaria. A fin de verificar los permisos, la UDM 206 revela el SUCI recibido al SUPI (como se especifica en 3GPP TS 23.501). La UDM 206 recupera la lista permitida de celdas CAG/CAG ID para el UE 104 en base al SUPI revelado. La UDM 206 utiliza el mapeo mantenido de la lista permitida de celdas CAG con el SUPI de los UE 104 para recuperar la lista permitida de celdas CAG para el SUPI revelado. La UDM 206 comprueba si el CAG ID recibido de la celda/NPN 102a del CAG solicitado está presente en la lista recuperada de celdas/CAG ID permitidos para el UE 104.
Al comprobar que el CAG ID recibido de la celda/NPN 102a CAG solicitada está presente en la lista recuperada de celdas/CAG ID permitidos para el UE 104, la UDM 206 verifica que el UE 104 tiene los permisos para acceder a la celda/NPN 102b CAG. Al verificar que el UE 104 tiene los permisos para acceder a la celda CAG, la UDM 206 selecciona un procedimiento de autenticación y genera el vector de autenticación (siguiendo los procedimientos especificados en 3GPP TS 23.501). La UDM 206 envía el vector de autenticación generado a la AMF/SEAF 202 a través de la AUSF 204 para llevar a cabo el procedimiento de autenticación primaria. Al recibir el vector de autenticación de la UDM 206, la AMF/SEAF 202 autentica al UE 104 y permite al UE 104 acceder al NPN 102b una vez que la autenticación se ha realizado correctamente.
Si el CAG ID recibido de la celda/NPN 102a CAG solicitada no está presente en la lista recuperada de celdas/CAG ID permitidos para el UE 104, la UDM 206 verifica que el UE 104 no tiene los permisos para acceder a la celda/NPN 102b CAG. Tras verificar que el UE 104 no tiene permisos para acceder a la celda/NPN 102b del CAG, la UDM 206 no procede con el procedimiento de autenticación primaria. La UDM 206 inserta el SUPI y un mensaje de rechazo de celda CAG en un mensaje de conseguir respuesta (mensaje Nudm_UEAutenticación_Conseguir Respuesta) y envía el mensaje de conseguir respuesta a la AUSF 204.
Al recibir el mensaje de respuesta que incluye el mensaje de rechazo de celda CAG, la AUSF 204 incluye el mensaje de rechazo de celda CAG recibido en un mensaje de respuesta de autenticación (Nausf_UEAutenticación_Autenticar Respuesta mensaje) y reenvía el mensaje de respuesta de autenticación a la AMF/SEAF 202.
Al recibir el mensaje de respuesta de autenticación que incluye el mensaje de rechazo de celda CAG de la AUSF 204, la AMF/SEAF 202 rechaza la solicitud de registro recibida del UE 104. La AMF/SEAF 202 envía al UE 104 un mensaje de rechazo de registro con el valor de causa apropiado. El valor de la causa indica que el UE 104 no puede acceder a la celda CAG/NPN 102b solicitada o a los servicios proporcionados por la celda CAG/NPN 102b solicitada.
Al llevar a cabo la comprobación en la UDM 206, se minimiza el ataque (D)DoS en la red sin reducir el nivel de seguridad 5GS, es decir, no revelando el SUPI a la AMF 202 antes de la autenticación primaria para mantener la privacidad del usuario, pero realizando la autorización eficientemente y no proporcionando ninguna información al UE 104 aparte del valor de causa/causa de error.
Las presentes realizaciones permiten a la UDM 206 y/o a la AUSF 204 verificar los permisos del UE 104 para acceder a las celdas CAG/NPN 102b. A fin de acceder a las celdas CAG/NPN 102b o a los servicios prestados por la NPN 102b, el UE 104 envía la solicitud de registro junto con el SUCI a la NG-RAN 106a. La NG-Ra N 106 reenvía el SUCI recibido del UE 104 a la AMF/SEAF 202. La AMF/SEAF 202 puede recibir el SUCI de la NG-RAN 106 y el CAG cell ID de la NG-RAN 106a o del UE 104 en el mensaje de solicitud de registro. La AMF/SEAF 202 incluye el SUCI recibido del UE 104, el CAG ID de la celda/NPN 102b CAG solicitada, y los otros parámetros en al menos uno de un mensaje Nausf_XXX Solicitud y un mensaje Nausf_UEAutenticación_Autenticar Solicitud. La AMF/SEAF 202 envía al menos uno de los mensajes Nausf_XXX Solicitud y Nausf_UEAutenticación_Autenticar Solicitud a la AUSF 204.
La AUSF 204 incluye el SUCI recibido del UE 104, el CAG ID de la celda/NPN 102b CAG solicitada, y los otros parámetros en al menos uno de los mensajes Nudm_XXX Solicitud y Nudm_UEAutenticación Conseguir Solicitud para su envío a la UDM 206.
En una realización, al recibir el mensaje de solicitud de registro que incluye el SUCI y el CAG ID del AUSF 204, la UDM 206 revela el SUCI al SUPI (según 3GPP TS 33.501) y obtiene la lista permitida de las celdas CAG para el UE 104 en base al SUPI. La UDM 206 verifica si el UE 104 tiene permisos para la celda CAG/NPN 102b solicitada en base a la lista de celdas CAG permitidas para el UE 104 y en el Ca G ID recibido de la celda CAG/NPN 102b solicitada. Al verificar que el UE 104 tiene los permisos para la celda/NPN 102b de CAG solicitada, la UDM 206 envía el mensaje de aceptación a la AUSF 204 en al menos uno de los mensajes Nudm_XXX Respuesta y Nudm_UEAutenticación Conseguir Respuesta. La AUSF 204 reenvía además el mensaje de aceptación a la AMF/SEAF 202 en al menos uno de los mensajes Nausf_XXX Respuesta y Nausf_UEAutenticación_Autenticar Respuesta. La AMF/SEAF 202 puede llevar a cabo además el procedimiento de autenticación primaria para autenticar el UE 104 para acceder a la celda CAG/NPN 102b.
Al verificar que el UE 104 no tiene permisos para la celda CAG/NPN 102b solicitada, la UDM 206 envía el mensaje de rechazo de celda CAG junto con el SUPI del UE 104 a la AUSF 204 en al menos uno de los mensajes Nausf_XXX Respuesta y Nausf_UEAutenticación_Autenticar Respuesta. La AUSF 204 reenvía el mensaje de rechazo de celda CAG recibido a la AMF/SEAF 202 en al menos uno de los mensajes Nausf_XXX Respuesta y Nausf_UEAutenticación_Autenticar Respuesta. La AMF/SEAF 202 rechaza el mensaje de solicitud de registro del UE 104 con el valor de causa apropiado.
En una realización, al recibir el mensaje de solicitud de registro que incluye el SUCI y el CAG ID de la AUSF 204, la UDM 206 revela el SUCI al SUPI y obtiene la lista permitida de las celdas CAG para el UE 104 en base al SUPI. La UDM 206 puede enviar además la lista de celdas CAG permitidas para el UE 104 a la AUSF 204 en al menos uno de los mensajes Nausf_XXX Respuesta y Nausf_UEAutenticación_Autenticar Respuesta para verificar los permisos del UE 104. En base a la lista de celdas CAG permitidas recibida de la UDM 206 y el CAG ID de la celda CAG solicitada recibido de la AMF/SEAF 202, la AUSF 204 verifica si el UE 104 tiene los permisos para acceder a las celdas CAG/NPN 102b solicitadas. Al verificar que el UE 104 tiene los permisos para acceder a las celdas CAG/NPN 102b solicitadas, la AUSF 204 reenvía el mensaje de aceptación a la AMHSEAf 202 en al menos uno de los mensajes Nausf_XXX Respuesta y Nausf_UEAutenticación_Autenticar Respuesta. La AMF/SEAF 202 puede llevar a cabo además el procedimiento de autenticación primaria para autenticar el UE 104 para acceder a la celda CAG/NPN 102b.
Al verificar que el UE 104 no tiene los permisos para la celda CAG/NPN 102b solicitada o si la AUSF 204 no recibe la lista permitida de celdas CAG de la UDM 206, la AUSF 204 envía el mensaje de rechazo de celda CAG a la AMF/SEAF 202. La AUSF 204 puede enviar el mensaje de rechazo de celda Ca G a la AMF/SEAF 202 en al menos uno de los mensajes Nausf_XXX Respuesta y Nausf_UEAutenticación_Autenticar Respuesta. La AMF/SEAF 202 rechaza entonces el mensaje de solicitud de registro del UE 104 con el valor de causa apropiado.
Las realizaciones del presente documento permiten a la UDM 206 del 5GC 108a verificar los permisos del UE 104 para acceder a las celdas CAG/NPN 102b comunicándose directamente con la AMF/SEAF 202. La UDM 206 del 5GC 108a verifica los permisos del UE 104 para acceder a las celdas CAG/NPN 102b. A fin de acceder a las celdas CAG/NPN 102b o a los servicios prestados por la NPN 102b, el UE 104 envía la solicitud de registro junto con el SUCI a la NG-RAN 106a. La NG-RAN 106a reenvía el SUCI recibido del UE 104 a la AMF/SEAF 202. La AMF/SEAF 202 puede recibir el SUCI de la NG-RAN 106a y el CAG cell ID de la NG-RAN 106a o del UE 104 en el mensaje de solicitud de registro. La AMF/SEAF 202 solicita directamente a la UDM 206 que verifique si el UE 104 tiene los permisos necesarios para acceder a las celdas CAG/NPN 102b. En una realización, la AMF/SEAF 202 puede solicitar directamente a la UDM 206 que verifique los permisos del UE 104 a través de interfaces de servicio proporcionadas por la UDM 206, tales como, entre otras, una interfaz Nudm_XXX over Nudm, una interfaz N8, Nudm_UEVerificarCAGAcceso_Conseguir, etcétera. La AMF/SEAF 202 incluye el SUCI recibido del UE 104, el CAG ID de la celda/NPN 102b CAG solicitada, y los demás parámetros en al menos uno de los siguientes mensajes: Nudm_XXX Solicitud mensaje, Nudm_UEVerificarCAGAcceso_Conseguir Solicitud mensaje y envía el mensaje al UDM 206.
En respuesta a la petición de la AMF/SEAF 202, la UDM 206 revela el SUCI recibido al SUPI y recupera la lista permitida de celdas CAG para el UE 104 en base al SUPI revelado. La UDM 206 verifica si el UE 104 tiene permisos para acceder a las celdas CAG/NPN 102b mediante el uso de la lista de celdas CAG permitidas para el UE 104 y el CAG ID recibido de la celda CAG/NPN 102b solicitada. Al verificar que el UE 104 tiene los permisos para acceder a la celda CAG/NPN 102b, la UDM 206 puede enviar un mensaje de aceptación a la AMF/SEAF 202, que puede llevar a cabo además el procedimiento de autenticación primaria para autenticar al UE 104 para acceder a la celda CAG/NPN 102b. La UDM 206 puede enviar el mensaje de aceptación a la AMF/SEAF 202 en al menos uno de los siguientes mensajes: Nudm_XXX Respuesta y Nudm_UEVerificarCAGAcceso_Conseguir Respuesta.
Al verificar que el UE 104 no tiene los permisos para acceder a la celda CAG/NPN 102b, la UDM 206 puede enviar un mensaje de rechazo a la AMF/SEAF 202 indicando que el UE 104 no tiene los permisos para acceder a la celda CAG/NPN 102b. La UDM 206 puede enviar el mensaje de rechazo a la AMF/SEAF 202 en al menos uno de los mensajes Nudm_XXX Respuesta y Nudm_UEVerificarCAGAcceso_Conseguir Respuesta. Al recibir el mensaje de rechazo de la UDM 206, la AMF/SEAF 202 rechaza la solicitud de registro del UE 104 y envía al UE 104 el mensaje de rechazo junto con el valor de causa apropiado.
Las realizaciones descritas en la presente memoria permiten al UDM verificar los permisos del UE 104 para acceder a las celdas CAG/NPN 102b al recibir el SUPI desde la AMF/SEAF 202 al recibir el SUPI desde la AMF/SEAF 202. La UDM verifica los permisos del UE 104 para acceder a las celdas CAG/NPN 102b. En una realización, el UE 104 inicia el procedimiento de solicitud de servicio para acceder a las celdas CAG/NPN 102b enviando el mensaje de solicitud de servicio a la AMF/SEAF 202 a través de la NG-RAN 106a. En una realización, el UE 104 puede iniciar el procedimiento de solicitud para acceder a las celdas CAG/NPN 102b enviando el mensaje de solicitud de registro que incluye el SUCI del UE 104 a la AMF/SEAF 202 a través de la NG-RAN 106a, cuando la AMF/SEAF 202 no pueda revelar el SUPI del UE 104. La AMF/SEAF 202 puede recibir el CAG ID de la celda/NPN 102b del CAG solicitado, ya sea de la NG-RAN 106a o del UE 104 en el mensaje de solicitud de servicio. Al recibir la solicitud de servicio del UE 104, la AMF/SEAF 202 puede revelar el SUPI (por ejemplo: del 5G-GUTI del UE o similar) del UE 104. Si la AMF/SEAF 202 no dispone de la información (la lista permitida de celdas CAG para el UE 104) para verificar los permisos del UE 104 para acceder a la celda CAG, la AMF/SEAF 202 proporciona el SUPI del UE 104 y el CAG ID de la celda CAG solicitada al UDM 206 a través del mensaje Nudm_XXX. La UDM 206 lleva a cabo la verificación de los permisos del UE a la celda CAG. Si la UDM 206 no puede verificar los permisos del UE para acceder a la celda CAG, la AMF/SEAF 202 envía al UE 104 el mensaje NAS Reject con el valor de causa apropiado. Si la UDM 206 puede verificar los permisos del UE para acceder a la celda CAG, la AMF/SEAF 202 proseguirá con el procedimiento NAS/N2 (procedimiento de solicitud de registro o procedimiento de cambio de ruta o procedimiento N2 HO).
Las realizaciones del presente documento permiten a la AMF 202 verificar los permisos del UE 104 para acceder a las celdas CAG/NPN 102b. El UE 104 inicia el procedimiento de registro para acceder a las celdas Ca G/NPN 102b enviando el mensaje de solicitud de registro que incluye el SUCI a la AMF 202 a través de la NG-RAN 106a. La AMF 202 puede recibir el CAG ID de la celda/NPN 102b del CAG solicitado bien de la NG-RAN 106a o bien del UE 104 en el mensaje de solicitud de registro. La AMF/SEAF 202 solicita a la UDM 206 el SUPI y la lista permitida de celdas CAG reenviando el SUCI del UE 104 a la UDM 206. En una realización, la AMF/SEAF 202 puede enviar el SUCI del UE 104 a la UDM 206 en al menos uno de los mensajes Nudm_XXX Solicitud y Nudm_SDM_Conseguir Solicitud.
Al recibir el SUCI del UE 104 de la AMF/SEAF 202, la UDM 206 revela el SUCI del UE 104 al SUPI y recupera la lista permitida de celdas CAG para el UE 104 en base a el SUPI revelado. En una realización, la UDM puede enviar el s Up I del UE 104 y la lista permitida de celdas CAG para el UE 104 a la AMF/SEAF 202 en al menos uno de los mensajes Nudm_XXX Respuesta, y un mensaje Nudm_SDM_Conseguir Respuesta
Al recibir la lista permitida de celdas CAG para el UE 104 desde la UDM 206, la AMF/SEAF 202 verifica si el ID CAG de la celda CAG solicitada está presente en la lista permitida de celdas CAG. Si el CAG ID de la celda CAG solicitada está presente en la lista permitida, la AMF/SEAF 202 determina que el UE 104 tiene los permisos para la celda CAG/NPN 102b, y procede con el procedimiento de autenticación primaria para autenticar el UE 104 para acceder al NPN 102b. Si el CAG ID de la celda CAG solicitada no está presente en la lista permitida o si la AMF/SEAF 202 no recibe la lista permitida de la UDM 206, la AMF/SEAF 202 determina que el UE no tiene permisos para la celda CAG/NPN 102b. A continuación, la AMF/SEAF 202 rechaza la solicitud de registro del UE 104 con el valor de causa apropiado.
Las realizaciones en la presente memoria descritas permiten al servidor CAG 110 verificar los permisos del UE 104 para acceder a la celda/NPN CAG 102a al recibir una solicitud del UDM 206. La UDM 206 recibe de la AMF/SEAF 202 o del AUSF 204 el mensaje de solicitud de registro del UE 104 que incluye el SUCI del UE 104 y el CAG ID. La UDM 206 comprueba si el CAG ID está incluido en el mensaje de solicitud de registro. Si el CAG ID se incluye en el mensaje de solicitud de registro, la UDM 206 revela el SUCI del UE 104 al SUPI. La UDM 206 reenvía el SUPI del UE 104 y el CAG ID de la celda/NPN 102b CAG solicitada al servidor CAG 110 a través de una interfaz basada en servicios proporcionada por el servidor CAG 110. En un ejemplo, la interfaz basada en servicios puede ser una Ncag_XXX, o similar. El servidor CAG 110 recupera la lista permitida de celdas CAG para el UE 104 en base a el SUPI recibido del UDM 206. En base a la lista de celdas CAG permitidas y en el CAG ID de la celda CAG solicitada, el servidor CAG 110 verifica si el UE 104 tiene los permisos para acceder a la celda CAG solicitada. El servidor CAG 110 envía el resultado (aceptación/rechazo) de la verificación a la UDM 206. En función de la respuesta del servidor CAG 110, la UDM 206 puede seguir adelante con la solicitud de registro del UE 104 o rechazarla.
El servidor CAG 110 puede verificar los permisos del UE 104 para acceder a la celda/NPN 102a CAG al recibir una petición de la AMF/SEAF 202. El servidor CAG 110 puede verificar los permisos del UE 104 para acceder a la celda/NPN 102a CAG al recibir una petición de la AMF/SEAF 202. El servidor CAG 110 recibe la solicitud de registro del UE 104 desde la AMF/SEAF 202, en la que la solicitud de registro incluye el SUCI del UE 104 y el CAG ID de la celda/NPN 102b CAG solicitada. Al recibir la solicitud de registro del UE 104, el servidor CAG 110 reenvía el SUCI del UE 104 a la UDM 206 solicitando el SUPI del UE 104. El servidor CAG 110 puede reenviar el SUCI del UE 104 a la UDM 206 en el mensaje Nudm_XXX.
Al recibir el mensaje de solicitud NUdm_XXX, la UDM 206 revela al SUPI el SUCI obtenido. La UDM 206 proporciona el SUPI del UE 104 al servidor CAG en el mensaje de respuesta Nudm_XXX. Al recibir el SUPI de la UDM 206, el servidor CAG 110 recupera la lista permitida de celdas CAG para el UE 104. En base a la lista de celdas CAG permitidas y en el CAG ID de la celda CAG solicitada, el servidor CAG 110 verifica si el UE 104 tiene los permisos para acceder a la celda CAG solicitada. El servidor CAG 110 envía el resultado (aceptación/rechazo) de la verificación a la AMF/SEAF 202. En función de la respuesta del servidor CAG 110, la AMHs Ea F 202 puede seguir adelante con la solicitud de registro del UE 104 o rechazarla.
El servidor CAG 110 puede verificar si el UE 104 tiene los permisos para acceder a las celdas CAG/NPN 102b al recibir una solicitud de la AUSF 204. El servidor CAG 110 puede verificar si el UE 104 tiene los permisos para acceder a las celdas CAG/NPN 102b al recibir una solicitud de la AUSF 204. La AMF/SEAF 202 recibe la solicitud de registro del UE 104 a través de la NG-RAN 106a, en la que la solicitud de registro puede incluir el SUCI del UE 104, y el CAG ID de la celda/NPN 102b CAG solicitada. La AMF/SEAF 202 incluye el SUCI del UE 104, el CAG ID de la celda CAG solicitada y los demás parámetros en el mensaje Nausf_XXX Solicitud y envía el mensaje Nausf_XXX Solicitud a la AUSF 204. La AUSF 204 incluye el SUCI del UE 104, el CAG ID de la celda CAG solicitada y los demás parámetros en el mensaje Ncag_XXX Solicitud y envía el mensaje Ncag_XXX Solicitud al servidor CAG 110.
Al recibir el mensaje de solicitud Ncag_XXX, el servidor CAG 110 revela el SUCI al SUPI y recupera la lista permitida de celdas CAG/n Pn 102b en base a el SUPI revelado. En base a la lista de celdas CAG permitidas y en el CAG ID de la celda CAG solicitada, el servidor CAG 110 verifica si el UE 104 tiene los permisos para acceder a la celda CAG solicitada. Si el UE 104 tiene los permisos para acceder a la celda CAG solicitada, el servidor CAG 110 incluye el mensaje de aceptación y la lista de celdas CAG permitidas a la AUSF 204 en el mensaje de respuesta Ncag_XXX. Al recibir el mensaje de aceptación del servidor CAG 110, la AUSF 204 puede seguir adelante con la solicitud de registro del UE 104. Si el UE 104 no tiene permisos para acceder a la celda CAG solicitada, el servidor CAG 110 incluye el mensaje de rechazo y la lista de celdas CAG permitidas a la AUSF 204 en el mensaje de respuesta Ncag_XXX. Al recibir el mensaje de rechazo del servidor CAG 110, la AUSF 204 incluye el mensaje de rechazo de la celda CAG en el mensaje de respuesta Nausf_XXX y envía el mensaje de respuesta Nausf_XXX a la AMF/SEAF 202. La AMF/SEAF 202 puede además rechazar la solicitud de registro del UE 104.
El servidor CAG 110 puede verificar los permisos del UE 104 para acceder a las celdas CAG/NPN 102b al recibir el SUPI de la AMF/SEAF 202. El servidor CAG 110 puede verificar los permisos del UE 104 para acceder a las celdas CAG/NPN 102b. El UE 104 inicia el procedimiento de solicitud de acceso a las celdas cAg /NPN 102b enviando el mensaje de solicitud de servicio a la AMF/SEAF 202 a través de la NG-RAN 106a. La AMF/SEAF 202 puede recibir el Ca G ID de la celda/NPN 102b del CAG solicitado bien de la NG-RAN 106a o del UE 104 en el mensaje de solicitud de registro. Al recibir la solicitud del UE 104, la AMF/SEAF 202 puede revelar el SUPI del UE 104 (por ejemplo: del 5G-GUTI del UE o similar). Si la AMF/SEAF 202 no tiene información para verificar los permisos del UE 104 para acceder a la celda CAG/Np N 102b, la AMF/SEAF 202 proporciona el s Up I del UE 104 y el CAG ID de la celda CAG solicitada al servidor CAG 110 en el mensaje Ncag_XXX Solicitud. Al recibir el SUPI de la AMF/SEAF 202, el servidor CAG 110 recupera la lista permitida de celdas CAG para el UE 104. En base a la lista de celdas CAG permitidas y en el CAG Id de la celda CAG solicitada, el servidor CAG 110 verifica si el UE 104 tiene los permisos para acceder a la celda CAG solicitada. El servidor CAG 110 envía el resultado (aceptación/rechazo) de la verificación a la AMF/SEAF 202 en el mensaje Ncag_XXX Respuesta. En función de la respuesta del servidor CAG 110, la AMF/SEAF 202 puede seguir adelante con la solicitud de registro del UE 104 o rechazarla.
Las Figuras 1A, 1B, 1C y 2 muestran varios elementos/nodos/componentes de la red inalámbrica 100, pero debe entenderse que otras formas de realización no están limitadas por ello. En otras realizaciones, el sistema de comunicación inalámbrica 100 puede incluir un número menor o mayor de unidades. Además, las etiquetas o nombres de las unidades se utilizan únicamente con fines ilustrativos y no limitan el alcance de las realizaciones expuestas en la presente memoria. Una o más unidades pueden combinarse entre sí para llevar a cabo una función idéntica o sustancialmente similar en la red inalámbrica 100.
3GPP TS 23.501 especifica las redes no públicas integradas en la red pública (no autónomas) como redes no públicas (NPN) que se despliegan con el apoyo de las PLMN públicas mediante el uso del grupo de acceso cerrado (CAG) y/o la fragmentación de red. Cuando un gran número de UE (especialmente en Industrial/Cellular/Massive loT), que son corruptos o funcionan mal o son maliciosos (comprometidos o introducidos por el atacante) con o sin suscripción válida, no autorizados a acceder a la celda CAG, realizan procedimientos de registro para acceder a la red a través de celdas CAG, se produce una sobrecarga (de señalización y también computacional) en la red y especialmente en la UDM, AMF y gNB, dado que la red tiene que desocultar el SUCI y llevar a cabo el procedimiento de autenticación y, a continuación, comprobar si el UE está autorizado para acceder a la celda CAG. Tales intentos en una celda CAG particular o distribuidos en diferentes celdas CAG para acceder al NPN a través de la celda CAG, conducirán a un ataque (Distribuido) de Denegación de Servicio ((D)DoS) en el sistema 5G. La presente divulgación proporciona un mecanismo novedoso para que la red verifique la solicitud de registro de un UE a través de la celda CAG sin llevar a cabo la autenticación primaria. Este procedimiento permite a la red (UDM/AUSF) verificar la suscripción de un UE para acceder a una celda CAG (en la que el UE solicita el acceso) en base a el identificador oculto de suscripción (SUCI) del UE, antes de llevar a cabo la autenticación primaria. La UDM recibe el identificador CAG y la identidad de suscripción del equipo de usuario de la AMF de la red de servicio (a través de la AUSF), y la UDM lleva a cabo la comprobación de acceso CAG antes de continuar con el procedimiento de autenticación. Al llevar a cabo la comprobación en la UDM (en lugar de hacerlo en la red de servicio (AMF)), se minimiza la sobrecarga en la red y se mitigan los ataques (D)DoS en la red sin reducir el nivel de seguridad 5GS. De acuerdo con varias realizaciones, UDM lleva a cabo la comprobación en la celda CAG de acceso del UE y continúa con el procedimiento de autenticación primaria en base a el resultado de la comprobación de acceso a la celda CAG. La red de servicio (AMF) envía el CAG ID (identificador de la celda CAG a la que el UE solicita acceso) al UDM a través de AUSF.
La Figura 3 es un diagrama de secuencia que representa la verificación de los permisos del UE 104 para acceder a la celda CAG en la UDM del 5GC 108a, de acuerdo con las realizaciones divulgadas en la presente memoria. En la etapa 301, el UE 104 envía la solicitud de registro a la AMF/SEAF 202 a través de la NG-RAN 106a para acceder a la celda/NPN 102b del CAG. La solicitud de registro incluye el SUCI del UE 104. En una realización, el UE 104 también puede enviar el CAG ID de la celda/NPN 102b CAG solicitada en la solicitud de registro. En una realización, la NG-rAn 106a puede enviar a la AMF/SEAF 202 todos los CAG ID de los CAG ID de servicio junto con la solicitud de registro.
En la etapa 302, la AMF/SEAF 202 envía el mensaje de solicitud de autenticación (Nausf_UEAutenticación_Autenticar Solicitud) a la AUSF 204 que incluye el SUCI del UE 104, el CAG ID de la celda CAG solicitada, y los demás parámetros (por ejemplo: SN-name o similar) en el mensaje de solicitud de autenticación.
En la etapa 303, la AUSF 204 incluye el SUCI recibido del UE 104, el CAG ID de la celda CAG solicitada, y otros parámetros en el mensaje de solicitud de obtención de autenticación (Nudm_UEAutenticación_ConseguirSolicitud) y envía el mensaje de solicitud de obtención de autenticación a la UDM/ARPHSIDF 206.
En la etapa 304, la UDM/ARPHSIDF 206 verifica los permisos o autorización del UE 104 para acceder a la celda/NPN 102b de CAG solicitada al recibir el mensaje de solicitud de obtención de autenticación del AUSF 204. En una realización, la UDM/ARPHSIDF 206 verifica los permisos o la autorización del UE 104 para acceder a la celda/NPN 102b de CAG solicitada antes de llevar a cabo el procedimiento de autenticación primaria. La UDM/ARPHSIDF 206 revela el SUCI recibido al SUPI y recupera la lista permitida de celdas CAG en base a el SUPI. La UDM/ARPHSIDF 206 verifica si la(s) CAG ID recibida(s) de la celda CAG solicitada está(n) presente(s) en la lista permitida de celdas CAG basada en el SUPI. Al verificar que los CAG ID recibidos de la celda CAG solicitada están presentes en la lista permitida de celdas CAG basada en el SUPI, la UDM/ARPHSIDF 206 determina que el UE tiene los permisos o la suscripción o que el UE es el UE autorizado para acceder a la celda CAG/NPN 102b. A continuación, la UDM/ARPHSIDF 206 genera el vector de autenticación basado en la SUPI del UE 104 y lleva a cabo el procedimiento de autenticación primaria (como se especifica en 3GPP TS 33.501) para autenticar al UE 104 con el fin de permitir al UE 104 acceder a la NPN 102biservicios proporcionados por la NPN 102b. Al verificar que el CAG ID recibido de la celda CAG solicitada no está presente en la lista permitida de celdas CAG basada en el SUPI, la UDM/ARPHSIDF 206 determina que el UE no tiene los permisos o la suscripción o que el UE no está autorizado a acceder a la celda CAG/NPN 102b. A continuación, la UDM/ARPHSIDF 206 incluye la información de error en el mensaje de respuesta de obtención de autenticación (Nudm_UEAutenticación_ConseguirRespuesta).
En la etapa 305, la UDM/ARPHSIDF 206 envía el mensaje de respuesta de obtención de autenticación (por ejemplo: 403 Prohibido o similar) a la AUSF. En la etapa 306, la AUSF 204 inserta el mensaje de rechazo del mensaje de respuesta de obtención de autenticación recibido en la respuesta de autenticación (Nausf_UEAutenticación_Autenticar Respuesta). La AUSF 204 envía la respuesta de autenticación (por ejemplo: 403 Prohibido o similar) a la AMF/SEAF 202. En la etapa 307, la AMF/SEAF 202 rechaza la solicitud de registro del UE 104 al recibir el mensaje de rechazo del AUSF 204. La AMF/SEAF 202 envía el mensaje de rechazo con el valor de causa apropiado (por ejemplo: #12, #13, #15, #76 o similar) al UE 104, donde el valor de causa apropiado indica que el acceso a la celda cAg no está permitido. De este modo, la verificación de los permisos/autorización del UE 104 para acceder a la celda CAG en la UDM antes de llevar a cabo la autenticación primaria minimiza la sobrecarga de señalización en el 5GC 108a y mitiga el ataque DoS.
De acuerdo con varias realizaciones, un procedimiento para controlar los permisos de al menos un Equipo de Usuario (UE) para acceder a al menos una Red No Pública (NPN) en una red, el procedimiento comprende: solicitar, por el al menos un UE, una Red Móvil Terrestre Pública (PLMN) para acceder a la al menos una NPN a través de al menos una celda de Grupo de Acceso Cerrado (CAG); verificar, por una Red Central (CN) de la PLMN, los permisos del al menos un UE para acceder a la al menos una NPN solicitada a través de la al menos una celda CAG; y la realización, por parte de la CN, de un procedimiento de autenticación primaria para permitir que el al menos un UE acceda al al menos un NPN a través de la al menos una celda CAG en base a la verificación de los permisos del al menos un UE para acceder a la al menos una NPN solicitada a través de la al menos una celda CAG.
En algunas realizaciones, la al menos una NPN se despliega junto con la PLMN mediante el uso de la al menos una celda CAG.
En algunas realizaciones, la al menos una NPN incluye al menos una de una NPN no autónoma o una NPN autónoma.
En algunas realizaciones, al menos una de las funciones de gestión unificada de datos (UDM), de gestión de acceso y movilidad (AMF) o de servidor de autenticación (AUSF) de la CN verifica los permisos del al menos un UE para acceder al al menos una NPN solicitado a través de la al menos una celda CAG.
En algunas realizaciones, un servidor CAG acoplado al CN verifica los permisos del al menos un UE para acceder a la al menos una NPN solicitada.
En algunas realizaciones, la solicitud, por parte del al menos un UE, del acceso al al menos un NPN incluye el envío de una solicitud que incluye un identificador oculto de suscripción (SUCI) del al menos un UE a una Red de Acceso Radioeléctrico (RAN) de la PLMN.
En algunas realizaciones, el procedimiento comprende además: añadir, por una red de acceso radioeléctrico (RAN), al menos un identificador de CAG (CAG ID) de la al menos una NPN solicitada por el al menos un UE; y enviar, por la RAN, un identificador oculto de suscripción (SUCI) recibido del UE y el al menos un identificador de CAG del al menos una NPN solicitada al CN.
En algunas realizaciones, la solicitud, por el al menos un UE, del acceso a la al menos una NPN incluye el envío de la solicitud que incluye un identificador oculto de suscripción (SUCI) del al menos un UE y al menos un identificador CAG (CAG ID) de la al menos una NPN solicitada a una Red de Acceso Radioeléctrico (rAn ) de la PLMN.
En algunas realizaciones, la CN verifica los permisos del al menos un UE para acceder a la al menos una NPN en base a el mensaje de solicitud recibido que incluye el al menos un CAG ID.
En algunas realizaciones, la verificación, por parte del CN, de los permisos del al menos un UE incluye: recibir un identificador oculto de suscripción (SUCI) del al menos un UE y al menos un identificador CAG (CAG ID) de la al menos una NPN solicitada desde una red de acceso radioeléctrico (RAN); derivar una lista permitida de celdas CAG para el al menos un UE basada en el SUCI recibido del al menos un UE; y verificar los permisos del al menos un UE para acceder a la al menos una NPN solicitada mediante el uso de la lista permitida derivada de celdas CAG y el al menos un CAG ID recibido de la al menos una NPN solicitada.
En algunas realizaciones, derivar la lista permitida de celdas CAG para el al menos un UE incluye: revelar el SUCI recibido del al menos un UE a un identificador permanente de suscripción (SUPI); mapear el SUPI revelado del al menos un UE con un mapa de la lista permitida de celdas CAG y los SUPl de una pluralidad de UE; y derivar la lista permitida de celdas CAG para el al menos un UE basado en el mapeo SUPI asociado con el SUPI revelado del al menos un UE.
En algunas realizaciones, la verificación de los permisos de al menos un UE mediante el uso de la lista derivada permitida de celdas CAG y el CAG ID recibido de al menos una NPN solicitada incluye: determinar que el ID de CAG recibido de la al menos una NPN solicitada está presente en la lista derivada permitida de celdas de CAG; verificar que el al menos un UE tiene los permisos para acceder a la al menos una NPN solicitada en base a que el ID de CAG recibido de la al menos una NPN solicitada está presente en la lista derivada permitida de celdas de CAG; y verificar que el al menos un UE no tiene permisos para acceder a la al menos una NPN solicitada en base a que el al menos un CAG ID recibido de la al menos una NPN solicitada no está presente en la lista derivada permitida de celdas CAG.
En algunas realizaciones, el procedimiento comprende además rechazar la petición del al menos un UE al verificar que el al menos un UE no tiene los permisos para acceder a la al menos una NPN solicitada; y enviar un mensaje de rechazo al al menos un UE con un valor de causa, en el que el valor de causa indica al menos una causa de error para rechazar la petición del al menos un UE.
En algunas realizaciones, llevar a cabo el procedimiento de autenticación primaria incluye: generar un vector de autenticación basado en un identificador permanente de suscripción revelado (SUPI) del al menos un UE basado en verificar que el al menos un UE tiene los permisos para acceder a la al menos una NPN solicitada; autenticar el al menos un UE en base a el vector de autenticación generado a partir de la determinación de que el al menos un UE tiene permisos NPN para acceder a la al menos una NPN solicitada a través de la PLMN; y habilitar el al menos un UE para acceder a la al menos una NPN solicitada en base a que el al menos un UE tiene permisos NPN para acceder a la al menos una NPN solicitada a través de la PLMN.
De acuerdo con varias realizaciones, una red comprende al menos un Equipo de Usuario (UE); al menos una Red No Pública (NPN); y una Red Pública Móvil Terrestre (PLMN). La al menos una NPN se despliega conjuntamente con la PLMN, la PLMn incluye al menos una red celular que comprende una Red de Acceso Radioeléctrico (RAN) y una Red Central (CN), el al menos un UE está configurado para solicitar a la PLMN el acceso a la al menos una NPN a través de al menos una celda de Grupo de Acceso Cerrado (CAG), y la CN está configurada para: verificar los permisos del al menos un UE para acceder a la al menos una NPN solicitada a través de la al menos una celda CAG, y llevar a cabo un procedimiento de autenticación primaria para permitir al al menos un UE acceder a la al menos una NPN a través de la al menos una celda CAG, en base a que los permisos del al menos un UE para acceder a la al menos una NPN solicitada a través de la al menos una celda CAG han sido verificados.
En algunas realizaciones, la al menos una NPN se despliega junto con la PLMN mediante el uso de la al menos una celda CAG.
En algunas realizaciones, la al menos una NPN incluye al menos una de una NPN no autónoma o una NPN autónoma.
En algunas realizaciones, al menos una de una gestión unificada de datos (UDM), una función de gestión de acceso y movilidad (AMF), o una función de servidor de autenticación (AUSF) de la CN está configurada además para verificar los permisos del al menos un UE para acceder al al menos una NPN solicitada a través de la al menos una celda CAG.
En algunas realizaciones, la PLMN comprende además un servidor CAG acoplado a la CN configurado para verificar los permisos del al menos un UE para acceder a la al menos una NPN solicitada.
En algunas realizaciones, el al menos un UE está configurado además para enviar una petición que incluye un identificador oculto de suscripción (SUCI) del al menos un UE a la RAN de la PLMN solicitando acceso a la al menos una NPN.
En algunas realizaciones, la al menos una RAN está configurada además para: añadir al menos un identificador CAG (CAG ID) de la al menos una NPN que es solicitada por el al menos un UE; y enviar un identificador oculto de suscripción (SUCI) recibido del UE y el CAG ID de la al menos una NPN solicitada a la CN.
En algunas realizaciones, el al menos un UE está configurado además para enviar la petición que incluye un identificador oculto de suscripción (SUCI) del al menos un UE y un identificador CAG (CAG ID) de la al menos una NPN solicitada a la RAN de la PLMN.
En algunas realizaciones, la CN está configurada además para verificar los permisos del al menos un UE para acceder a la al menos una NPN en base a los mensajes de solicitud recibidos que incluyen el al menos un CAG ID. En algunas realizaciones, la CN está configurada además para: recibir un identificador oculto de suscripción (SUCI) del al menos un UE y al menos un identificador CAG (CAG ID) de la al menos una NPN solicitada desde la RAN; derivar una lista permitida de celdas CAG para el al menos un UE basada en el SUCI recibido del al menos un UE; y verificar los permisos del al menos un UE para acceder a la al menos una NPN solicitada mediante el uso de la lista permitida derivada de celdas CAG y el al menos un CAG ID recibido del al menos un NPN solicitado.
En algunas realizaciones, la CN está configurada además para: revelar el SUCI recibido del al menos un UE a un identificador permanente de suscripción (SUPI); mapear el SUPI revelado del al menos un UE con un mapa de la lista permitida de celdas CAG y los SUPl de una pluralidad de UE; y derivar la lista permitida de celdas CAG para el al menos un UE en base a el mapeo SUPI asociado con el SUPI revelado del al menos un UE.
En algunas realizaciones, la CN está además configurada para: determinar que el al menos un ID de CAG recibido de la al menos una NPN solicitada está presente en la lista derivada permitida de celdas de CAG; verificar que el al menos un UE tiene los permisos para acceder a la al menos una NPN solicitada en base a que el al menos un ID de CAG recibido de la al menos una NPN solicitada está presente en la lista derivada permitida de celdas de CAG; y verificar que al menos un UE no tiene permisos para acceder a la celda CAG solicitada de al menos una NPN en base a que el CAG ID recibido de al menos una NPN solicitada no está presente en la lista derivada de celdas CAG permitidas.
En algunas realizaciones, la CN está configurada además para: rechazar la solicitud del al menos un UE al verificar que el al menos un UE no tiene los permisos para acceder al al menos un CAG ID solicitado de la al menos una NPN; y enviar un mensaje de rechazo al al menos un UE con un valor de causa, en el que el valor de causa indica al menos una causa de error para rechazar la solicitud del al menos un UE.
En algunas realizaciones, la CN está configurado además para: generar un vector de autenticación basado en un identificador permanente de suscripción (SUPI) recibido del al menos un UE basado en verificar que el al menos un UE tiene los permisos para acceder a la al menos una NPN solicitada; autenticar el al menos un UE en base a el vector de autenticación generado a partir de la determinación de que el al menos un UE tiene permisos NPN para acceder a la al menos una NPN solicitada a través de la PLMN; y habilitar el al menos un UE para acceder a la al menos una NPN solicitada en base a que el al menos un UE tiene permisos NPN para acceder a la al menos una NPN solicitada a través de la PLMN.
De acuerdo con varias realizaciones, una red comprende al menos un Equipo de Usuario (UE); al menos una Red No Pública (NPN); y una Red Pública Móvil Terrestre (PLMN). La al menos una NPN se despliega en conjunción con la PLMN a través de al menos una celda de Grupo de Acceso Cerrado (CAG), la PLMN incluye al menos una red celular que comprende una Red de Acceso Radioeléctrico (RAN) y una Red Central (CN), el al menos un UE está configurado para solicitar a la PLMN un acceso a la al menos una NPN, y la CN comprende una gestión unificada de datos (UDM) configurada para: verificar los permisos del al menos un UE para acceder a la al menos una NPN solicitada, e iniciar un procedimiento de autenticación primaria basado en que los permisos del al menos un UE para acceder a la al menos una NPN solicitada han sido verificados.
En algunas realizaciones, el al menos un UE está configurado además para enviar una solicitud que incluye un identificador oculto de suscripción (SUCI) del al menos un UE a la RAN de la PLMN solicitando acceso a la al menos una NPN, y la RAN está configurada para: añadir un identificador CAG (CAG ID) de la al menos una NPN que es solicitada por el al menos un UE, y enviar un identificador oculto de suscripción (SUCI) recibido del UE y el CAG ID de la al menos una NPN solicitada a la CN.
En algunas realizaciones, el al menos un UE está configurado además para enviar la petición que incluye un identificador oculto de suscripción (SUCI) del al menos un UE y un identificador CAG (CAG ID) de la al menos una NPN solicitada a la RAN de la PLMN.
En algunas realizaciones, la CN comprende además una función de gestión de acceso y movilidad (AMF) y una función de servidor de autenticación (AUSF), la AMF está configurada para: recibir el SUCI del al menos un UE y el CAG ID de la al menos una NPN solicitada desde la RAN, insertar el SUCI recibido del al menos un UE y el CAG ID de la al menos una NPN solicitada en un primer mensaje de solicitud de autenticación, y enviar el primer mensaje de solicitud de autenticación a la AUSF, y la AUSF está configurada además para: derivar el SUCI del al menos un UE y el CAG ID de la al menos una NPN solicitada del primer mensaje de solicitud de autenticación recibido, insertar el SUCI derivado del al menos un UE y el CAG ID de la al menos una NPN solicitada en un primer mensaje de solicitud de obtención de autenticación, y enviar el mensaje de solicitud de obtención de autenticación a la UDM.
En algunas realizaciones, la UDM está además configurada para: recibir de la AUSF el SUCI del al menos un UE y el CAG ID de la al menos una NPN solicitada, revelar el SUCI recibido del al menos un UE a un identificador permanente de suscripción (SUPI), mapear el SUPI revelado del al menos un UE con un mapa de una lista permitida de celdas CAG y los SUPl de una pluralidad de UE, recuperar la lista permitida de celdas CAG para el al menos un UE en base a el mapeo SUPI asociado con el SUPI revelado del al menos un UE, verificar que el al menos un UE tiene los permisos para acceder a la al menos una NPN solicitada en base a que el CAG ID recibido del al menos una NPN solicitada está presente en la lista recuperada de celdas CAG permitidas, y verificar que el al menos un UE no tiene los permisos para acceder a la al menos una NPN solicitada en base a que el CAG ID recibido de la al menos una NPN solicitada no está presente en la lista recuperada de celdas CAG permitidas.
En algunas realizaciones, la UDM está además configurado para: insertar un mensaje de rechazo y el SUPI del al menos un UE en un segundo mensaje de solicitud de obtención de autenticación basado en la verificación de que el al menos un UE no tiene acceso a la al menos una NPN solicitada, y enviar el mensaje de respuesta de obtención de autenticación a la AUSF, la AUSF está además configurada para: derivar el mensaje de rechazo del segundo mensaje de respuesta de obtención de autenticación recibido e insertar el mensaje de rechazo derivado en un segundo mensaje de respuesta de autenticación, y enviar el segundo mensaje de respuesta de autenticación a la AMF, y la AMF está configurada además para: rechazar la solicitud del al menos un UE en base a la recepción del mensaje de rechazo de la AUSF; y enviar un mensaje de rechazo al al menos un UE a través de la RAN con un valor de causa, en el que el valor de causa indica al menos una causa de un error para rechazar la solicitud del al menos un UE.
En algunas realizaciones, la UDM está además configurado para: generar un vector de autenticación basado en el SUCI recibida del al menos un UE basado en verificar que el al menos un UE tiene los permisos para acceder a la al menos una NPN solicitada, y enviar el vector de autenticación a la AMF a través de la AUSF, y la AMF está además configurada para: autenticar el al menos un UE en base a el vector de autenticación recibido para determinar en base a que el al menos un UE tiene permisos de NPN para acceder a la al menos una NPN solicitada a través de la PLMN; y habilitar el al menos un UE para acceder a la al menos una NPN solicitada en base a que el al menos un UE tiene permisos de NPN para acceder a la al menos una NPN solicitada a través de la PLMN.
De acuerdo con diversas realizaciones, una red central (CN) de una red móvil terrestre pública (PLMN), en la que la PLMN está en conjunción con al menos una red no pública (NPN) y conectada a al menos un equipo de usuario (UE), en la que la Cn está configurada para: recibir una solicitud del al menos un equipo de usuario a través de una red de acceso radioeléctrico (RAN) para acceder a la al menos una NPN; verificar los permisos del al menos un equipo de usuario para acceder a la al menos una NPN solicitada; y llevar a cabo un procedimiento de autenticación primaria basado en los permisos del al menos un equipo de usuario para acceder a la al menos una NPN solicitada verificados.
En algunas realizaciones, la petición del al menos un UE incluye un identificador oculto de suscripción (SUCI) del al menos un UE y un grupo de acceso cerrado (CAG ID) de la al menos una NPN que es solicitada por el al menos un UE.
En algunas realizaciones, la CN está además configurada para: revelar un identificador oculto de suscripción (SUCI) recibido del al menos un UE a un identificador permanente de suscripción (SUPI), mapear el SUPI revelado del al menos un UE con un mapa de una lista permitida de celdas CAG y los SUPl de una pluralidad de UE, recuperar la lista permitida de celdas CAG para el al menos un UE en base a el mapeo SUPI asociado con el SUPI revelado del al menos un UE, verificar que el al menos un UE tiene los permisos para acceder a la al menos una NPN solicitada en base a la recepción de un Identificador de Grupo de Acceso Cerrado (CAG ID) del al menos una NPN solicitada que está presente en la lista recuperada de celdas CAG permitidas, y verificar que el al menos un UE no tiene los permisos para acceder a la al menos una NPN solicitada en base a que el CAG ID recibido del al menos una NPN solicitada no está presente en la lista recuperada de celdas CAG permitidas.
En algunas realizaciones, la CN está configurada además para: rechazar la solicitud del al menos un UE en base a la verificación de que el al menos un UE no tiene los permisos para acceder a la al menos una NPN solicitada, y enviar un mensaje de rechazo al al menos un UE a través de la RAN con un valor de causa, en el que el valor de causa indica al menos una causa de error para rechazar la solicitud del al menos un UE.
La Figura 4 es un diagrama de secuencia que representa la verificación de los permisos del UE 104 para acceder a la celda CAG en la UDM 206 del 5GC 108a por medio de la comunicación directa con la AMF/SEAF 202, de acuerdo con las realizaciones divulgadas en la presente memoria. En la etapa 401, el UE 104 envía la solicitud de registro que incluye el SUCI a la AMF/SEAF 202 a través de la NG-RAN 106a para acceder a la celda/NPN 102b del CAG. La NG-rAn 106a también puede enviar el CAG ID de la celda/NPN 102b del CAG solicitado a la AMF/SEAF 202 o el UE 104 puede enviar el Ca G ID de la celda/NPN 102b del CAG solicitado a la AMF/SEAF 202 a través de la NG-RAN 106a.
En la etapa 402, la AMF/SEAF 202 inserta el SUCI recibido del UE 104, el CAG ID, y los otros parámetros (como el nombre SN) en el mensaje de petición Nudm_XXX y envía el mensaje de petición Nudm_XXX al UDM 206.
En la etapa 403, la UDM 206 verifica los permisos del UE 104 para acceder a la celda/NPN 102b CAG solicitada al recibir el mensaje de solicitud de obtención de autenticación de la AMF/SEAF 202. En una realización, la UDM 206 verifica los permisos del UE 104 para acceder a la celda/NPN 102b de CAG solicitada antes de llevar a cabo el procedimiento de autenticación primaria. La UDM 206 revela el SUCI recibido al SUPI y recupera la lista permitida de celdas CAG en base a el SUPi. La UDM 206 verifica si el UE 104 tiene los permisos necesarios para acceder a la celda CAG/NPN 102b solicitada, en base a la lista permitida de celdas CAG recuperada a partir del SUPI del UE 104 y el CAG ID de la celda CAG solicitada. Al verificar que el UE 104 tiene permisos para la celda CAG solicitada, la UDM 206 inserta el mensaje de aceptación, la lista de celdas CAG permitidas para el UE 104, o similares, en el mensaje de respuesta Nudm_XXX. En la etapa 404a, la UDM 206 envía el mensaje de respuesta Nudm_XXX al AMF/SEAF 202 indicando que la verificación se ha realizado correctamente. En la etapa 405a, al recibir el mensaje de respuesta Nudm_XXX, la AMF/SEAF 202 continúa con la solicitud de registro del UE 104. En la etapa 406a, la AMF/SEAF 202 lleva a cabo el procedimiento de autenticación primaria (como se especifica en 3GPP TS 33.501) para autenticar al UE 104 con el fin de permitir al UE 104 acceder a la NPN 102biservicios proporcionados por la NPN 102b.
Al verificar que el UE 104 no tiene los permisos para acceder a la celda CAG/NPN 102b, la UDM 206 incluye el mensaje de rechazo indicando que el UE 104 no tiene permiso para usar la celda CAG y el valor de la causa en el mensaje de respuesta Nudm_XXX. En la etapa 404b, la UDM 206 envía el mensaje de respuesta Nudm_XXX al AMF/SEAF 202 indicando la verificación fallida. En la etapa 405b, la AMF/SEAF 202 rechaza la solicitud de registro del UE 104. En la etapa 406b, la AMF/SEAF 202 envía al UE 104 la respuesta con el mensaje de rechazo y el valor de causa apropiado.
La Figura 5 es un diagrama de secuencia que representa la verificación de los permisos del UE 104 para acceder a la celda CAG en la UDM 206 por medio de la comunicación con la AMF/SEAF 202 a través de mensajes de solicitud de obtención y mensajes de respuesta de obtención, de acuerdo con las realizaciones en la presente memoria divulgadas. En la etapa 501, el UE 104 envía la solicitud de registro que incluye el SUCI a la AMF/SEAF 202 a través de la NG-RAN 106a para acceder a la celda/NPN 102b del CAG. La NG-Ra N 106a también puede enviar el CAG ID de la celda/NPN 102b del CAG solicitado a la AMF/SEAF 202 o el UE 104 puede enviar el CAG ID de la celda/NPN 102b del CAG solicitado a la AMF/SEAF 202 a través de la NG-RAN 106a.
En la etapa 502, la AMF/SEAF 202 inserta el SUCI recibido del UE 104, el CAG ID, y los otros parámetros (como el nombre SN) en el mensaje de petición Nudm_UEVerificarCAGAcceso_Conseguir y envía el mensaje de petición Nudm_UEVerificarCAGAcceso_Conseguir a la UDM 206.
En la etapa 503, la UDM 206 verifica los permisos del UE 104 para acceder a la celda/NPN 102b CAG solicitada al recibir el mensaje de solicitud de obtención de autenticación de la AMF/SEAF 202. En una realización, la UDM 206 verifica los permisos del UE 104 para acceder a la celda/NPN 102b de CAG solicitada antes de llevar a cabo el procedimiento de autenticación primaria. La UDM 206 revela el SUCI recibido al SUPI y recupera la lista permitida de celdas CAG en base a el SUPi. La UDM 206 verifica si el UE 104 tiene los permisos necesarios para acceder a la celda CAG/NPN 102b solicitada, en base a la lista permitida de celdas CAG recuperada a partir del SUPI del UE 104 y el CAG ID de la celda CAG solicitada. Al verificar que el UE 104 tiene permisos para la celda CAG solicitada, la UDM 206 inserta el mensaje de aceptación, la lista de celdas CAG permitidas para el UE 104, o similar, en el mensaje Nudm_UEVerificarCAGAcceso_Conseguir Respuesta. En la etapa 504a, la UDM 206 envía el mensaje Nudm_UEVerificarCAGAcceso_Conseguir Respuesta a la AMF/SEAF 202 indicando que la verificación se ha realizado correctamente. En la etapa 505a, al recibir el mensaje de respuesta Nudm_XXX, la AMF/SEAF 202 continúa con la solicitud de registro del UE 104.
Al verificar que el UE 104 no tiene los permisos para acceder a la celda CAG/NPN 102b, la UDM 206 incluye el mensaje de rechazo indicando que la celda CAG no está permitida para el UE 104 y el valor de la causa en el mensaje de respuesta Nudm_XXX. En la etapa 504b, la UDM 206 envía el mensaje de respuesta Nudm_XXX al AMF/SEAF 202 indicando la verificación fallida. En la etapa 505b, la AMF/SEAF 202 rechaza la solicitud de registro del UE 104. En la etapa 506, la AMF/SEAF 202 envía al UE 104 la respuesta con el mensaje de rechazo y el valor de causa apropiado.
La Figura 6 es un diagrama de secuencia que representa la verificación de los permisos del UE para acceder a la celda CAG en la UDM 206 y/o la AUSF 204 del 5GC 108a, de acuerdo con las realizaciones divulgadas en la presente memoria. En la etapa 601, el UE 104 envía la solicitud de registro a la AMF/SEAF 202 a través de la NG-RAN 106a para acceder a la celda/NPN 102b del CAG. La solicitud de registro incluye el SUCI del UE 104. En una realización, el UE 104 también puede enviar el CAG ID de la celda/NPN 102b cAg solicitada en la solicitud de registro a la AMF/SEAF 202 a través de la NG-RAN 106a. En una realización, la NG-RAN 106a puede enviar el CAG ID de la celda/NPN 102b CAG solicitada junto con la solicitud de registro a la AMF/SEAF 202.
En la etapa 602, la AMF/SEAF 202 inserta el SUCI recibido del UE 104, el CAG ID, y los otros parámetros en el mensaje de petición Nausf_XXX y envía el mensaje de petición Nausf_XXX a la AUSf 204. En la etapa 603, la AUSF 204 inserta el SUCI, el CAG ID y los demás parámetros del mensaje Nausf_XXX recibido en el mensaje de solicitud Nudm_XXX. La AUSF 204 envía el mensaje de solicitud Nudm_XXX a la UDM 206.
En la etapa 604, la UDM 206 revela el SUCI recibido al SUPI y recupera la lista permitida de celdas CAG para el UE 104 en base a el SUPI. En una realización, la UDM 206 verifica los permisos del UE 104 para acceder a la celda CAG/NPN 102b solicitada mediante el uso de la lista de celdas CAG permitidas para el UE 104 recuperada en función del SUPI y el CAG ID recibido de la celda CAG/NPN 102b solicitada. Una vez verificado que el UE tiene los permisos para acceder a la celda del CAG/NPN 102b, la UDM 206 inicia el procedimiento de autenticación primaria (como se especifica en 3GPP TS 33.501) para autenticar al UE 104 con el fin de permitir al UE 104 acceder al NPN 102biservicios proporcionados por la NPN 102b. Al verificar que el UE 104 no tiene los permisos para acceder a la celda CAG/NPN 102b, la UDM 206 incluye el mensaje de rechazo de celda CAG indicando que la celda CAG no está permitida para el UE 104 y el SUPI del UE en el mensaje de respuesta Nudm_XXX. En la etapa 605, la UDM 206 envía al AUSF 204 el mensaje de respuesta Nudm_XXX que indica que la celda CAG no está permitida.
En una realización, la UDM 206 puede enviar la lista de celdas CAG permitidas recuperada a la AUSF 204 para llevar a cabo la verificación de los permisos del UE 104. En tal caso, en la etapa 605, la UDM 206 envía el mensaje de respuesta Nudm_XXX que incluye la lista permitida de celdas CAG a la AUSF 204.
En la etapa 606, la AUSF 204 verifica los permisos del UE 104 para acceder a las celdas CAG/NPN 102b mediante el uso de la lista de celdas CAG permitidas recibida y el CAG ID de la celda CAG/NPN 102b solicitada.
En la etapa 607, la AUSF 204 envía el rechazo de la celda CAG en el mensaje de respuesta Nausf_XXX a la AMF/SEAF 202 al verificar que el UE 104 no tiene los permisos para acceder a la celda CAG o al recibir la respuesta Nudm_XXX que indica que el acceso a la celda CAG no está permitido desde la UDM 206. La respuesta Nudm_XXX indica que el acceso a la celda CAG no está permitido. En la etapa 608, la AMF/SEAF 202 rechaza la solicitud de registro del UE 104 enviando al UE 104 el mensaje de rechazo y el valor de causa apropiado.
La Figura 7 es un diagrama de secuencia que representa la verificación de los permisos del UE 104 para acceder a la celda CAG en la AUSF 204 del 5GC 108a, de acuerdo con las realizaciones divulgadas en la presente memoria. En la etapa 701, el UE 104 envía la solicitud de registro a la AMF/SEAF 202 a través de la NG-RAN 106a para acceder a la celda/NPN 102b del CAG. La solicitud de registro incluye el SUCI del UE 104. En una realización, el UE 104 también puede enviar el CAG ID de la celda/NPN 102b CAG solicitada en la solicitud de registro a la AMF/SEAF a través de la NG-RAN 106a. En una realización, la NG-RAN puede enviar el CAG ID de la celda/NPN 102b del CAG solicitado junto con la solicitud de registro a la AMF/SEAF 202.
En la etapa 702, la AMF/SEAF 202 inserta el SUCI recibido del UE 104, el CAG ID, y los otros parámetros en el mensaje Nausf_UEAutenticación_Autenticar Solicitud y envía el mensaje Nausf_UEAutenticación_Autenticar Solicitud a la AUSF 204. En la etapa 703, la AUSF 204 inserta el SUCI, el CAG ID y los demás parámetros de la Nausf_UEAutenticación_Autenticar Solicitud recibida en el mensaje Nudm_UEAutenticación_Conseguir Solicitud. La AUSF 204 envía el mensaje Nudm_UEAutenticación_Conseguir Solicitud a la UDM 206.
En la etapa 704, la UDM 206 revela el SUCI recibido al SUPI y recupera la lista permitida de celdas CAG para el UE 104 en base a el SUPI. En la etapa 705, la UDM 206 inserta el Su Pi del UE 104 y la lista permitida de celdas CAG en la respuesta Nudm_UE Autenticación_Conseguir Respuesta y envía la respuesta Nudm_UE Autenticación_Conseguir Respuesta a la AUSF 204.
En la etapa 706, la AUSF 204 verifica los permisos del UE 104 para acceder a la celda CAG/NPN 102b solicitada mediante el uso de la lista de celdas CAG permitidas recibida para el UE 104 y el CAG ID recibido de la celda CAG/NPN 102b solicitada. Al verificar que el UE 104 tiene los permisos para acceder a la celda del CAG/NPN 102b, la AUSF 204 inicia el procedimiento de autenticación primaria (como se especifica en 3GPP TS 33.501) para autenticar al UE 104 con el fin de permitir que el UE 104 acceda a la NPN 102b/servicios proporcionados por la NPN 102b. Al verificar que el UE 104 no tiene los permisos para acceder a la celda CAG/NPN 102b, la AUSF 204 incluye el mensaje CAG rechazar celda indicando que la celda CAG no está permitida para el UE 104 en el mensaje Nausf_UEAutenticación_Autenticar Respuesta. En la etapa 707, la AUSF 204 envía el mensaje Nausf_UEAutenticación_Autenticar Respuesta a la AMF/SEAF 202 indicando que la celda CAG no está permitida. En la etapa 708, la AMF/SEAF 202 rechaza la solicitud de registro del UE 104 enviando el mensaje de rechazo y el valor de causa apropiado al UE 104.
La Figura 8 es un diagrama secuencial que muestra la verificación de los permisos del UE 104 para acceder a la celda CAG en el servidor CAG 110 al recibir la solicitud de la UDM 206, de acuerdo con las realizaciones divulgadas en la presente memoria. En la etapa 801, la UDM 206 recibe la solicitud de registro del UE 104 que solicita el acceso a la celda CAG/NPN 102b, en la que la solicitud de registro incluye el SUCI del UE 104 y el CAG ID de la celda CAG/NPN 102b solicitada. La UDM 206 obtiene el SUPI del UE 104 a partir del SUCI recibido. En la etapa 802, la UDM 206 inserta el SUPI del UE 104 y el CAG ID de la celda/NPN 102b del CAG solicitado en el mensaje de solicitud Ncag_XXX. En la etapa 803, la UDM 206 envía el mensaje Ncag_XXX Solicitud al servidor CAG 110.
En la etapa 804, el servidor CAG 110 obtiene la lista permitida de celdas CAG para el UE 104 en base a el SUPI recibido del UE 104 desde la UDM 206. El servidor CAG 110 verifica los permisos del UE 104 para acceder a la celda CAG/NPN 102b en base a la lista de celdas CAG permitidas y en el ID CAG de la celda Ca G solicitada. Al verificar que el UE 104 tiene los permisos para verificar la celda/NPN 102b de CAG solicitada, el servidor 110 de CAG inserta el mensaje de aceptación en el mensaje de respuesta Ncag_XXX. En la etapa 805, el servidor CAG 110 envía el mensaje de respuesta Ncag-XXX que incluye el mensaje de aceptación a la u Dm 206. En la etapa 806, la UDM 206 puede continuar con el procedimiento de solicitud.
Al verificar que el UE 104 no tiene los permisos para verificar la celda/NPN 102b CAG solicitada, el servidor CAG inserta el mensaje de rechazo en el mensaje Ncag_XXX Respuesta. En la etapa 805, el servidor CAG 110 envía el mensaje de respuesta Ncag-XXX que incluye el mensaje de rechazo al UDM 206 indicando que el acceso a la celda CAG no está permitido. En la etapa 806, la UDM 206 puede rechazar la solicitud de registro del UE 104 con el valor de causa apropiado.
La Figura 9 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario 104 para acceder a la celda CAG en el servidor CAG 110 al recibir el SUCI del equipo de usuario 104 desde la AMF/SEAF 202, de acuerdo con las realizaciones divulgadas en la presente memoria. En la etapa 901, el UE 104 envía la solicitud de registro a la AMF/SEAF 202 a través de la nG-RAN 106a para acceder a la celda/NPN 102b del CAG. La solicitud de registro incluye el SUCI del UE 104. En una realización, el UE 104 también puede enviar el CAG ID de la celda/NPN 102b CAG solicitada en la solicitud de registro a la AMF/SEAF 202 a través de la NG-RAN 106a. En una realización, la NG-RAN 106a puede enviar el CAG ID de la celda/NPN 102b CAG solicitada junto con la solicitud de registro a la AMF/SEAF 202. La AMF/SEAF 202 envía el SUCI recibido del UE 104 y el CAG ID de la celda/NPN 102b de CAG solicitada al servidor 110 de CAG.
En la etapa 902, el servidor CAG 110 inserta el SUCI recibido en el mensaje de petición Nudm_XXX y envía el mensaje de petición Nudm_XXX al UDM 206. En la etapa 903, la UDM 206 revela el SUCI al SUPI. En la etapa 904, la UDM 206 envía el SUPI revelado al servidor CAG 110 a través del mensaje de respuesta Nudm_XXX.
En la etapa 905, el servidor CAG 110 obtiene la lista permitida de celdas CAG para el UE 104 en base a el SUPI recibido del UE 104 desde la UDM 206. El servidor CAG 110 verifica los permisos del UE 104 para acceder a la celda CAG/NPN 102b en base a la lista de celdas CAG permitidas y en el iD CAG de la celda CAG solicitada. En la etapa 906, el servidor CAG 110 envía los resultados (aceptar y/o rechazar) de la verificación a la AMF/SEAF 202. La AMF/SEAF 202 sigue adelante con la solicitud de registro del UE 104 si el resultado de la verificación es aceptado o la AMF/SEAF 202 rechaza la solicitud de registro del UE 104 si el resultado de la verificación es rechazado.
La Figura 10 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario 104 para acceder a la celda CAG en el servidor CAG 110 al recibir el SUCI del equipo de usuario 104 desde el AUSF 204, de acuerdo con las realizaciones en la presente memoria descritas. En la etapa 1001, el UE 104 envía la solicitud de servicio al AMF/SEAF 202 a través de la NG-RAN 106a solicitando el acceso para la celda/NPN 102b del CAG. En una realización, el UE 104 también puede enviar el CAG ID de la celda/NPN 102b CAG solicitada en la solicitud de registro a la AMF/SEAF 202 a través de la NG-RAN 106a. En una realización, la NG-RAN 106a puede enviar el CAG ID de la celda/NPN 102b CAG solicitada junto con la solicitud de registro a la AMF/SEAF 202.
En la etapa 1002, la AMF/SEAF 202 inserta el SUPI del UE 104, el CAG ID de la celda CAG solicitada, y los otros parámetros (como el nombre SN) en el mensaje Nausf_XXX Solicitud y envía el mensaje Nausf_XXX Solicitud a la AUSF 204.
En la etapa 1003, la AUSF 204 obtiene el SUPI del UE 104, el CAG ID de la celda CAG solicitada, y los otros parámetros (como el nombre SN) del mensaje de solicitud Nausf_XXX recibido. La AUSF 204 inserta el SUPI del UE 104, el CAG ID de la celda CAG solicitada y los demás parámetros (como el nombre SN) en el mensaje NCag_XXX Solicitud y envía el mensaje NCag_XXX Solicitud al servidor CAG 110.
En la etapa 1004, el servidor de CAG 110 verifica los permisos del UE 104 para acceder a la celda/NPN 102b de CAG solicitada al recibir el mensaje de solicitud NCag_XXX del AUSF 204. El servidor de CAG 110 verifica los permisos del UE 104 para acceder a la celda/NPN 102b de CAG solicitada. En una realización, el servidor CAG 110 verifica los permisos del UE 104 para acceder a la celda/NPN CAG solicitada. El servidor CAG 110 recupera la lista permitida de celdas CAG en base a el SUPI recibido. El servidor CAG 110 verifica si el UE 104 tiene los permisos para acceder a la celda CAG/NPN 102b solicitada en base a la lista permitida de celdas CAG recuperada en base al SUPI del UE 104, y el CAG ID de la celda CAG solicitada. Al verificar que el UE 104 tiene permisos para la celda CAG solicitada, el servidor CAG 110 inserta el mensaje de aceptación, la lista de celdas CAG permitidas para el UE 104, o similares en el mensaje NCag_XXX Respuesta. En la etapa 1005, el servidor CAG 110 envía el mensaje NCag_XXX Respuesta a la AUSF 204 indicando que la verificación se ha realizado correctamente. En la etapa 1006, el AUSF 204 puede seguir adelante con la solicitud de registro del UE 104 al recibir el mensaje de aceptación del servidor CAG 110.
Al verificar que el UE 104 no tiene los permisos para acceder a la celda/NPN 102b del CAG, el servidor 110 del CAG inserta el mensaje de rechazo en el mensaje NCag_XXX Respuesta. En la etapa 1005, el servidor CAG 110 envía el mensaje de respuesta NCag_XXX que incluye el mensaje de rechazo al AUSF 204 indicando que la celda CAG no está permitida para el UE 104.
En la etapa 1006,la AUSF 204 rechaza la solicitud de servicio del UE 104 al recibir el mensaje de rechazo del servidor CAG 110. En la etapa 1007, la AUSF 204 envía el mensaje de respuesta Nausf_XXX que incluye el rechazo de celda CAG a la AMF/SEAF 202 al recibir el mensaje de rechazo del servidor CAG 110.
En la etapa 1008, la AMF/SEAF 202 rechaza la solicitud de registro del UE 104 enviando el mensaje de rechazo y el valor de causa apropiado al UE 104 al recibir el mensaje de rechazo de la AUSF 204.
La Figura 11 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en la AMF/SEAF 202, de acuerdo con las realizaciones divulgadas en la presente memoria. En la etapa 1101, el UE 104 envía la solicitud de registro al AMF/SEAF 202 a través de la NG-RAN 106a solicitando el acceso para la celda/NPN 102b del CAG. La solicitud de registro incluye el SUCI del UE 104. En una realización, el UE 104 también puede enviar el CAG ID de la celda/NPN 102b Ca G solicitada en la solicitud de registro a la AMF/SEAF 202 a través de la NG-RAN 106a. En una realización, la NG-RAN 106a puede enviar el CAG ID de la celda/NPN 102b CAG solicitada junto con la solicitud de registro a la AMF/SEAF 202.
En la etapa 1102, la AMF/SEAF 202 inserta el SUCI recibido del UE 104 en el mensaje de petición Nudm_XXX y envía el mensaje de petición Nudm_XXX al UDM 206. En la etapa 1103, la AMF/SEAF 202 inserta el SUCI recibido del UE 104 en el mensaje de petición Nudm_XXX.
En la etapa 1103, la UDM 206 revela el SUCI recibido del UE 104 al SUPI y recupera la lista permitida de celdas CAG para el UE 104 en base a el SUPI. Si el SUPI revelado es válido, la UDM 206 almacena la correspondencia entre el SUCI y el SUPI, que puede utilizarse durante el procedimiento de autenticación primaria. En la etapa 1104, la UDM 206 envía el Su Pi y la lista de celdas CAG permitidas para el UE 104 a la AMF/SEAF 202 a través del mensaje de respuesta Nudm_XXX.
En la etapa 1105, la AMF/SEAF 202 verifica los permisos del UE 104 para acceder a la celda CAG/NPN 102b solicitada en base a la lista de celdas CAG permitidas recibida y en el CAG ID de la celda CAG/NPN 102b solicitada. En la etapa 1106, la AMF/SEAF 202 continúa con la solicitud de registro del UE 104 al verificar que el UE tiene los permisos para acceder a las celdas CAG.
En la etapa 1107, la AMF/SEAF 202 rechaza la solicitud de registro del UE 104 enviando el mensaje de rechazo con el valor de causa apropiado al UE 104 al verificar que el UE 104 no tiene los permisos para acceder a las celdas CAG.
La Figura 12 es un diagrama de secuencia que representa la verificación de los permisos del UE para acceder a la celda CAG en la AMF/SEAF 202 mediante la comunicación con la UDM 206 a través de la interfaz de servicio proporcionada por la UDM 206, de acuerdo con las realizaciones divulgadas en la presente memoria. En la etapa 1201, el UE 104 envía la solicitud de registro a la AMF/SEAF 202 a través de la NG-RAN 106a solicitando el acceso para la celda/NPN 102b del CAG. La solicitud de registro incluye el SUCI del UE 104. En una realización, el UE 104 también puede enviar el CAG ID de la celda/NPN 102b CAG solicitada en la solicitud de registro a la AMF/SEAF 202 a través de la NG-RAN 106a. En una realización, la NG-RAN 106a puede enviar el CAG ID de la celda/NPN 102b CAG solicitada junto con la solicitud de registro a la AMF/SEAF 202.
En la etapa 1202, la AMF/SEAF 202 inserta el SUCI recibida del UE 104 en el mensaje Nudm_SDM_Conseguir Solicitud y envía el mensaje Nudm_SDM_Conseguir Solicitud al UDM 206.
En la etapa 1203, la UDM 206 revela el SUCI recibido del UE 104 al SUPI y recupera la lista permitida de celdas CAG para el UE 104 en base a el SUPI. Si el SUPI revelado es válido, la UDM 206 almacena la correspondencia entre el SUCI y el SUPI, que puede utilizarse durante el procedimiento de autenticación primaria. En la etapa 1204, la UDM envía el SUPI y la lista de celdas CAG permitidas para el UE 104 a la AMHSEa F 202 a través del mensaje Nudm_SDM_Conseguir Respuesta.
En la etapa 1205, la AMF/SEAF 202 verifica los permisos del UE 104 para acceder a la celda CAG/NPN 102b solicitada en base a la lista de celdas CAG permitidas recibida y en el CAG ID de la celda CAG/NPN 102b solicitada. En la etapa 1206, la AMF/SEAF 202 continúa con la solicitud de registro del UE 104 al verificar que el UE tiene los permisos para acceder a las celdas CAG.
En la etapa 1207, la AMF/SEAF 202 rechaza la solicitud de registro del UE 104 enviando el mensaje de rechazo con el valor de causa apropiado al UE 104 al verificar que el UE 104 no tiene el permiso para acceder a las celdas CAG o si la AMF/SEAF 202 no recibe el SUPI del UDM 206. El AMF/SEAF 202 rechaza la solicitud de registro del UE 104 enviando el mensaje de rechazo con el valor de causa apropiado al UE 104 al verificar que el UE 104 no tiene el permiso para acceder a las celdas CAG.
La Figura 13 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en el servidor CAG por medio de la comunicación directa con la AMHSEAf 202, de acuerdo con las realizaciones divulgadas en la presente memoria. En la etapa 1301, el UE 104 envía la solicitud de servicio a la AMF/SEAF 202 a través de la NG-RAN 106a solicitando el acceso para la celda CAG/NPN 102b.En una realización, el UE 104 también puede enviar el CAG ID de la celda CAG/NPN 102b solicitada en el mensaje de solicitud a la AMF/SEAF 202 a través de la NG-RAN 106a. En una realización, la NG-RAN 106a puede enviar el CAG ID de la celda/NPN 102b CAG solicitada junto con la solicitud de registro a la AMF/SEAF 202.
En la etapa 1302, la AMF/SEAF 202 revela el SUPI del UE 104. La AMF/SEAF 202 inserta el SUPI revelado del UE 104, el CAG ID de la celda/NPN 102b de CAG solicitada en el mensaje Nudm_XXX Solicitud y envía el mensaje Nudm_XXX Solicitud al servidor 110 de CAG.
En la etapa 1303, el servidor CAG 110 recupera la lista permitida de celdas CAG en base a el SUPI recibido. El servidor CAG 110 verifica si el UE 104 tiene los permisos para acceder a la celda CAG/NPN 102b solicitada en base a la lista permitida de celdas CAG recuperada en base al SUPI del UE 104, y el CAG ID de la celda CAG solicitada. Al verificar que el UE 104 tiene los permisos para la celda CAG solicitada, el servidor CAG 110 inserta el mensaje de aceptación, y la lista permitida de celdas CAG para el UE 104 en el mensaje NCag_XXX Respuesta. En la etapa 1304, el servidor CAG 110 envía el mensaje NCag_XXX Respuesta a la AMF/SEAF 202 indicando que la verificación se ha realizado correctamente. En la etapa 1305, la AMF/SEAF 202 puede continuar con la solicitud de registro del UE 104 al recibir el mensaje de aceptación del servidor CAG.
Al verificar que el UE 104 no tiene los permisos para acceder a la celda/NPN 102b del CAG, el servidor 110 del CAG inserta el mensaje de rechazo en el mensaje NCag_XXX Respuesta. En la etapa 1304, el servidor CAG 110 envía el mensaje de respuesta NCag_XXX que incluye el mensaje de rechazo a la a Mf/SEAF indicando que la celda CAG no está permitida para el UE 104.
En la etapa 1305, la AMF/SEAF 202 rechaza la solicitud de servicio del UE 104 al recibir el mensaje de rechazo del servidor CAG 110. En la etapa 1306, la AMF/SEAF 202 envía al UE 104 el mensaje de rechazo y el valor de causa apropiado.
La Figura 14 es un diagrama de secuencia que muestra la verificación de los permisos del equipo de usuario para acceder a la celda CAG en la UDM 206 al recibir el SUPI del equipo de usuario 104 desde la a Mf/SEAF, de acuerdo con las realizaciones divulgadas en la presente memoria. En la etapa 1401, el UE 104 envía la solicitud de servicio a la AMF/SEAF 202 a través de la NG-RAN 106a solicitando el acceso para la celda/NPN 102b del CAG. En una realización, el UE 104 también puede enviar el CAG ID de la celda/NPN 102b del CAG solicitado en la solicitud de servicio al AMF/SEAF 202 a través de la NG-RAN 106a. En una realización, la NG-RAN 106a puede enviar el CAG ID de la celda/NPN 102b CAG solicitada junto con la solicitud de registro a la AMF/SEAF 202.
En la etapa 1402, la AMF/SEAF 202 revela el SUPI del UE 104. La AMF/SEAF 202 inserta el SUPI revelado del UE 104, el CAG ID de la celda/NPN 102b del CAG solicitado en el mensaje Nudm_XXX Solicitud y envía el mensaje Nudm_XXX Solicitud a la UDM 206.
En la etapa 1403, la UDM 206 recupera la lista permitida de celdas CAG en base a el SUPI recibido. La UDM 206 verifica si el UE 104 tiene los permisos necesarios para acceder a la celda CAG/NPN 102b solicitada, en base a la lista permitida de celdas CAG recuperada a partir del SUPI del UE 104 y el CAG ID de la celda CAG solicitada. Al verificar que el UE 104 tiene permisos para la celda CAG solicitada, la UDM 206 inserta el mensaje de aceptación y la lista de celdas CAG permitidas para el UE 104 en el mensaje de respuesta Nudm_XXX. En la etapa 1404, la UDM 206 envía el mensaje de respuesta Nudm_XXX al AMF/SEAF 202 indicando que la verificación se ha realizado correctamente. En la etapa 1405, la AMF/SEAF 202 puede seguir adelante con la solicitud de registro del UE 104 al recibir el mensaje de aceptación del UDM 206.
Al verificar que el UE 104 no tiene los permisos para acceder a la celda/NPN 102b del CAG, la UDM 206 inserta el mensaje de rechazo en el mensaje de respuesta Nudm_XXX. En la etapa 1404, la UDM 206 envía el mensaje de respuesta Nudm_XXX que incluye el mensaje de rechazo a la AMF/SEAF 202 indicando que la celda CAG no está permitida para el UE 104. En la etapa 1405, la AMF/SEAF 202 rechaza la solicitud de registro del UE 104 al recibir el mensaje de rechazo de la UDM 206. En la etapa 1406, la AMF/SEAF 202 envía al UE 104 el mensaje de rechazo y el valor de causa apropiado.
La Figura 15 es un diagrama de flujo que representa un procedimiento 1500 para controlar los permisos del al menos un UE 104 para acceder al al menos un NPN 102b en la red inalámbrica 100, de acuerdo con las realizaciones divulgadas en la presente memoria. En la etapa 1502, el procedimiento incluye solicitar, por el al menos un UE 104, la PLMN 102a para acceder al al menos un NPN 102b a través de la al menos una celda CAG. En la etapa 1504, el procedimiento incluye verificar, por la CN 108a de la PLMN 102a, los permisos del al menos un UE 104 para acceder al al menos un NPN (102) solicitado a través de la al menos una celda CAG.
En la etapa 1506, el procedimiento incluye llevar a cabo, por la CN 108a, el procedimiento de autenticación primaria para permitir al menos un UE 104 para acceder al al menos un NPN 102b a través de la al menos una celda, si se verifican los permisos del al menos un UE 104 para acceder al al menos un NPN 102 solicitado a través de la al menos una celda CAG. Las diversas acciones del procedimiento 1500 pueden realizarse en el orden presentado, en un orden diferente o simultáneamente. Además, en algunas realizaciones, algunas acciones enumeradas en la FIG.
15 se pueden omitir.
De acuerdo con varias realizaciones, un procedimiento para controlar los permisos de al menos un Equipo de Usuario (UE) (104) para acceder a al menos una Red No Pública (NPN) (102b) en una red (100), el procedimiento comprende solicitar, por el al menos un UE (104), una Red Pública Móvil Terrestre (PLMN) (102a) para acceder a la al menos una NPN (102b) a través de al menos una celda de Grupo de Acceso Cerrado (CAG); verificando, por una Red Central (CN) (108a) de la PLMN (102b), los permisos del al menos un UE (104) para acceder al al menos un NPN (102) solicitado a través de la al menos una celda CAG; y llevar a cabo, por la CN (108a), un procedimiento de autenticación primaria para permitir que el al menos un UE (104) acceda al al menos un NPN (102b) a través de la al menos una celda CAG, si se verifican los permisos del al menos un UE (104) para acceder al al menos un NPN (102) solicitado a través de la al menos una celda CAG.
En algunas realizaciones, el al menos una NPN (102b) se despliega conjuntamente con la PLMN (102a) mediante el uso de la al menos una celda CAG.
En algunas realizaciones, la al menos una NPN (102b) incluye al menos una de una NPN no autónoma (102b), y una NPN autónoma (102b).
En algunas realizaciones, al menos una de una gestión unificada de datos (UDM) (206), una función de gestión de acceso y movilidad (AMF) (202), una función de servidor de autenticación (AUSF) 204 de la CN (108a) verifica los permisos del al menos un UE (104) para acceder al al menos un NPN (102) solicitado a través de la al menos una celda CAG.
En algunas realizaciones, un servidor CAG (110) acoplado a la CN (108a) verifica los permisos del al menos un UE (104) para acceder a la al menos una NPN (102) solicitada.
En algunas realizaciones, solicitar, por el al menos un UE (102), el acceso al al menos una NPN (102a) incluye: enviar una solicitud que incluye un identificador oculto de suscripción (SUCI) del al menos un UE (102) a una Red de Acceso Radioeléctrico (RAN) (106a) de la PLMN (102b)).
En algunas realizaciones, el procedimiento comprende: añadir, por la RAN (106a), al menos un Identificador CAG (CAG ID) de la al menos una NPN (102b) que es solicitada por el al menos un UE (104); y enviar, por la RAN (106b), el SUCI recibido del UE (104) y el al menos un CAG ID del al menos un NPN solicitado a la CN (108a).
En algunas realizaciones, solicitar, por el al menos un UE (102), el acceso a la al menos una NPN (102a) incluye: enviar la solicitud que incluye el SUCI del al menos un UE (102) y el CAG ID de la al menos una NPN solicitada a la RAN (106a) de la PLMN (102b).
En algunas realizaciones, la CN (108a) verifica los permisos del al menos un UE (104) para acceder a la al menos una NPN (102b), sólo si el mensaje de solicitud recibido incluye el al menos un CAG ID.
En algunas realizaciones, la verificación, por la CN (108a), de los permisos del al menos un UE (104) incluye: recibir el SUCI del al menos un UE (104), y el al menos un CAG ID de la al menos una NPN (102a) solicitada desde la RAN (106a); derivar una lista permitida de celdas CAG para el al menos un UE (104) basada en el SUCI recibido del al menos un UE (104); y verificar los permisos del al menos un UE (104) para acceder a la al menos una NPN (102b) solicitada mediante el uso de la lista derivada de celdas CAG permitidas y la al menos una CAG ID recibida de la al menos una NPN (102b) solicitada.
En algunas realizaciones, derivar la lista permitida de celdas CAG para el al menos un UE (104) incluye: revelar el SUCI recibido del al menos un UE (104) a un identificador permanente de suscripción (SUPI); mapear el SUPI revelado del al menos un UE (104) con un mapa de la lista permitida de celdas CAG y los SUPI de una pluralidad de UE; y derivar la lista permitida de celdas CAG para el al menos un UE (104) si el SUPi asociado mapea con el SUPI revelado del al menos un UE (104).
En algunas realizaciones, la verificación de los permisos del al menos un UE (104) mediante el uso de la lista derivada permitida de celdas CAG y el CAG ID recibido de la al menos una NPN (102b) solicitado incluye: determinar si el al menos un CAG ID recibido de la al menos una NPN (102b) solicitada está presente en la lista derivada permitida de celdas CAG; verificar que el al menos un UE (104) tiene los permisos para acceder a la al menos una NPN (102b) solicitada si el al menos un CAG ID recibido de la al menos una NPN (102b) solicitada está presente en la lista derivada permitida de celdas CAG; y verificar que el al menos un UE (104) no tiene los permisos para acceder a la al menos una NPN (102b) solicitada si el al menos un CAG ID recibido de la al menos una NPN (102b) solicitada no está presente en la lista derivada permitida de celdas CAG.
En algunas realizaciones, el procedimiento comprende rechazar la petición del al menos un UE (104) al verificar que el al menos un UE (104) no tiene los permisos para acceder a la al menos una NPN (102b) solicitada; y enviar un mensaje de rechazo al al menos un UE (104) con un valor de causa, donde el valor de causa indica al menos una causa de un error para rechazar la petición del al menos un UE (104).
En algunas realizaciones, llevar a cabo el procedimiento de autenticación primaria incluye: generar un vector de autenticación basado en el SUPI revelado del al menos un UE (104) al verificar que el al menos un UE (104) tiene los permisos para acceder a la al menos una NPN (102b) solicitada; autenticar el al menos un UE (104) basado en el vector de autenticación generado al determinar que si el al menos un UE (104) tiene permisos de NPN para acceder a la al menos una NPN (102b) solicitada a través de la PLMN (102a); y habilitar el al menos un UE (104) para acceder a la al menos una NPN (102b) solicitada si el al menos un UE (104) tiene los permisos NPN para acceder a la al menos una NPN (102b) solicitada a través de la PLMN (102a).
De acuerdo con varias realizaciones, una red (100) comprende al menos un Equipo de Usuario (UE) (104); al menos una Red No Pública (NPN) (102a); y una Red Pública Móvil Terrestre (PLMN) (102a). La al menos una NPN (102b) se despliega junto con la PLMN (102a), en la que la PLMN (102a) incluye al menos una red celular (102a) compuesta por una Red de Acceso Radioeléctrico (106a) y una Red Central (CN) (108a). El al menos un UE (104) está configurado para: solicitar a la PLMN (102a) el acceso a la al menos una NPN (102a) a través de al menos una celda de Grupo de Acceso Cerrado (CAG). La CN (108a) está configurada para verificar los permisos del al menos un UE (104) para acceder a la al menos una NPN (102) solicitada a través de la al menos una celda CAG; y llevar a cabo un procedimiento de autenticación primaria para permitir al al menos un UE (104) acceder a la al menos una NPN (102b) a través de la al menos una celda CAG, si se verifican los permisos del al menos un UE (104) para acceder a la al menos una NPN (102) solicitada a través de la al menos una celda CAG.
En algunas realizaciones, el al menos una NPN (102b) se despliega conjuntamente con la PLMN (102a) mediante el uso de la al menos una celda CAG.
En algunas realizaciones, la al menos una NPN (102b) incluye al menos una de una NPN no autónoma (102b), y una NPN autónoma (102b).
En algunas realizaciones, al menos una de una gestión unificada de datos (UDM) (206), una función de gestión de acceso y movilidad (AMF) (202), una función de servidor de autenticación (AUSF) 204 de la CN (108a) está configurada además para verificar los permisos del al menos un UE (104) para acceder a la al menos una NPN (102) solicitada a través de la al menos una celda CAG.
En algunas realizaciones, la PLMN (102a) comprende además un servidor CAG (110) acoplado con la CN (108a) configurada para verificar los permisos del al menos un UE (104) para acceder a la al menos una NPN (102) solicitada.
En algunas realizaciones, el al menos un UE (102) está configurado además para enviar una petición que incluye un identificador oculto de suscripción (SUCI) del al menos un UE (102) a la Ra N (106a) de la p Lm N (102b) solicitando acceso a la al menos una NPN (102b).
En algunas realizaciones, la al menos una RAN (106a) está configurada además para: añadir al menos un identificador CAG (CAG ID) de la al menos una NPN (102b) que es solicitada por el al menos un UE (104); y enviar el SUCI recibido del UE (104) y el CAG ID de la al menos una NPN solicitada a la CN (108a).
En algunas realizaciones, el al menos un UE (102) está además configurado para enviar la petición que incluye el SUCI del al menos un UE (102) y el CAG ID de la al menos una NPN solicitada a la RAN (106a) de la PLMN (102b). En algunas realizaciones, la CN (108a) está configurado además para verificar los permisos del al menos un UE (104) para acceder a la al menos una NPN (102b), sólo si los mensajes de solicitud recibidos incluyen el al menos un CAG ID.
En algunas realizaciones, la CN (108a) está además configurada para: recibir el SUCI del al menos un UE (104), y el al menos un CAG ID de la al menos una NPN (102a) solicitada desde la RAN (106a); derivar una lista permitida de celdas CAG para el al menos un UE (104) en base a el SUCI recibido del al menos un UE (104); y verificar los permisos del al menos un UE (104) para acceder a la al menos una NPN (102b) solicitada mediante el uso de la lista derivada de celdas CAG permitidas y el al menos un CAG ID recibido de la al menos una NPN (102b) solicitada. En algunas realizaciones, la CN (108a) está configurada además para: revelar el SUCI recibido del al menos un UE (104) a un identificador permanente de suscripción (SUPI); mapear el SUPI revelado del al menos un UE (104) con un mapa de la lista permitida de celdas CAG y los SUPl de una pluralidad de UE; y derivar la lista permitida de celdas CAG para el al menos un UE (104) si el SUPI asociado mapea con el SUPI revelado del al menos un UE (104).
En algunas realizaciones, la CN (108a) está además configurada para: determinar si el al menos un CAG ID recibido de la al menos una NPN (102b) solicitada está presente en la lista derivada permitida de celdas CAG; verificar que el al menos un UE (104) tiene los permisos para acceder a la al menos una NPN (102b) solicitada si el al menos un CAG ID recibido de la al menos una NPN (102b) solicitada está presente en la lista derivada permitida de celdas CAG; y verificar que el al menos un UE (104) no tiene permisos para acceder a la al menos una celda CAG solicitada de la al menos una NPN (102b) si el CAG ID recibido de la al menos una NPN (102b) solicitada no está presente en la lista derivada permitida de celdas CAG.
En algunas realizaciones, la CN (108a) está configurada además para: rechazar la solicitud del al menos un UE (104) al verificar que el al menos un UE (104) no tiene los permisos para acceder al al menos un CAG ID solicitado de la al menos una NPN (102b); y enviar un mensaje de rechazo al al menos un UE (104) con un valor de causa, en el que el valor de causa indica al menos una causa de error para rechazar la solicitud del al menos un UE (104).
En algunas realizaciones, la CN (108a) está además configurada para: generar un vector de autenticación basado en el SUPI recibido del al menos un UE (104) al verificar que el al menos un UE (104) tiene los permisos para acceder a la al menos una NPN (102b) solicitada; autenticar el al menos un UE (104) basado en el vector de autenticación generado al determinar que si el al menos un UE (104) tiene permisos NPN para acceder a la al menos una NPN (102b) solicitada a través de la PLMN (102a); y habilitar el al menos un UE (104) para acceder a la al menos una NPN (102b) solicitada si el al menos un UE (104) tiene los permisos NPN para acceder a la al menos una NPN (102b) solicitada a través de la PLMN (102a).
De acuerdo con varias realizaciones, una red (100) comprende al menos un Equipo de Usuario (UE) (104); al menos una Red No Pública (NPN) (102a); y una Red Móvil Terrestre Pública (PLMN) (102a), en la que la al menos una NPN (102b) se despliega conjuntamente con la PLMN (102a) a través de al menos una celda de Grupo de Acceso Cerrado (CAG), en la que la PLMN (102a) incluye al menos una red celular (102a) que comprende una Red de Acceso Radioeléctrico (106a) y una Red Central (CN) (108a). El al menos un UE (104) está configurado para solicitar a la PLMN (102a) un acceso a la al menos una NPN (102a). La CN (108a) comprende una gestión unificada de datos (UDM) (206) configurada para: verificar los permisos del al menos un UE (104) para acceder a la al menos una NPN (102) solicitada; e iniciar un procedimiento de autenticación primaria, si se verifican los permisos del al menos un UE (104) para acceder a la al menos una NPN (102) solicitada.
En algunas realizaciones, el al menos un UE (104) está además configurado para: enviar una petición que incluye un identificador oculto de suscripción (SUCI) del al menos un UE (104) a la Ra N (106a) de la p Lm N (102b) solicitando acceso a la al menos una NPN (102b); en la que la RAN (106a) está configurada para: añadir un CAG ID de la al menos una NPN (102b) que es solicitada por el al menos un UE (104); y enviar el SUCI recibido del UE (104) y el CAG ID de la al menos una NPN (102a) solicitada a la CN (108a).
En algunas realizaciones, el al menos un UE (104) está además configurado para enviar la petición que incluye el SUCI del al menos un UE (102) y el CAG ID de la al menos una NPN solicitada a la RAN (106a) de la PLMN (102b).
En algunas realizaciones, la CN (108a) comprende además: una función de gestión de acceso y movilidad (AMF) (202) y una función de servidor de autenticación (AUSF) 204; donde la AMF (202) está configurada para: recibir de la RAN (106a) el SUCI del al menos un UE (104) y el Ca G ID del al menos un Np N (102a) solicitado; insertar el SUCI recibido del al menos un UE (104) y el CAG ID del al menos un NPN (102a) solicitado en un mensaje de solicitud de autenticación (Nusf_UEAutenticación_Autenticar Solicitud mensaje); y enviar el mensaje de solicitud de autenticación al AUSF (204). La AUSF (204) está configurado además para derivar el SUCI del al menos un UE (104) y el CAG ID de la al menos una NPN (102a) solicitada a partir del mensaje de solicitud de autenticación recibido; insertar el SUCI derivado del al menos un UE (104) y el CAG ID de la al menos una NPN (102a) solicitada en un mensaje de solicitud de obtención de autenticación (mensaje Nudm_UEAutenticación_Conseguir_Solicitud); y enviar el mensaje de solicitud de obtención de autenticación a la UDM (206).
En algunas realizaciones, la UDM (206) está además configurada para: recibir el SUCI del al menos un UE (104), y el CAG ID de la al menos una NPN (102a) solicitada desde la AUSF (204); revelar el SUCI recibido del al menos un UE (104) a un identificador permanente de suscripción (SUPI); mapear el SUPI revelado del al menos un UE (104) con un mapa de la lista permitida de celdas CAG y los SUPl de una pluralidad de UE; recuperar la lista permitida de celdas CAG para el al menos un UE (104) si el SUPI asociado mapea con el SUPI revelado del al menos un UE (104); verificar que el al menos un UE (104) tiene los permisos para acceder a la al menos una NPN (102b) solicitada si el CAG ID recibido de la al menos una NPN (102b) solicitada está presente en la lista recuperada de celdas CAG permitidas; y verificar que el al menos un UE (104) no tiene los permisos para acceder a la al menos una NPN (102b) solicitada si el CAG ID recibido de la al menos una NPN (102b) solicitada no está presente en la lista recuperada de celdas CAG permitidas.
En algunas realizaciones, la UDM (206) está configurada además para: insertar un mensaje de rechazo y el SUPI del al menos un UE (204) en un mensaje de solicitud de obtención de autenticación (mensaje Nudm_UEAutenticación_Conseguir Respuesta) al verificar que el al menos un UE (104) no tiene acceso a la al menos una NPN (102b) solicitada; enviar el mensaje de respuesta de obtención de autenticación a la AUSF (204). La AUSF (204) está configurada además para: derivar el mensaje de rechazo del mensaje de respuesta de obtención de autenticación recibido e insertar el mensaje de rechazo derivado en un mensaje de respuesta de autenticación (Nausf_UEAutenticación_Autenticar Respuesta mensaje); enviar el mensaje de respuesta de autenticación a la AMF (202). La AMF (202) está configurada además para: rechazar la solicitud del al menos un UE (104) al recibir el mensaje de rechazo de la AUSF (204); y enviar un mensaje de rechazo al al menos un UE (104) a través de la RAN (106a) con un valor de causa, en el que el valor de causa indica al menos una causa de error para rechazar la solicitud del al menos un UE (104).
En algunas realizaciones, la UDM (206) está además configurado para: generar un vector de autenticación basado en el SUCI recibido del al menos un UE (104) al verificar que el al menos un UE (104) tiene los permisos para acceder a la al menos una NPN (102b) solicitada; enviar el vector de autenticación a la AMF (202) a través de la AUSF (204); la AMF (202) está además configurada para: autenticar el al menos un UE (104) en base a el vector de autenticación recibido para determinar si el al menos un UE (104) tiene los permisos NPN para acceder a la al menos una NPN (102b) solicitada a través de la PLMN (102a); y habilitar el al menos un UE (104) para acceder a la al menos una NPN (102b) solicitada si el al menos un UE (104) tiene los permisos NPN para acceder a la al menos una NPN (102b) solicitada a través de la PLMN (102a).
De acuerdo con varias realizaciones, una red central CN (108a) de una Red Móvil Terrestre Pública (PLMN) (102a), en la que la PLMN (102a) está en conjunción con al menos una red no pública (NPN) (102a) y conectada a al menos un Equipo de Usuario (UE) (104), en la que la CN (108a) está configurada para: recibir una solicitud del al menos un equipo de usuario (104) a través de una red de acceso radioeléctrico (RAN) (106a) para acceder a la al menos una NPN (102a); verificar los permisos del al menos un equipo de usuario (104) para acceder a la al menos una NPN (102) solicitada; y llevar a cabo un procedimiento de autenticación primaria, si se verifican los permisos del al menos un equipo de usuario (104) para acceder a la al menos una NPN (102) solicitada.
En algunas realizaciones, la petición del al menos un UE (104) incluye un identificador oculto de suscripción (SUCI) del al menos un UE (102) y un grupo de acceso cerrado (CAG ID) de la al menos una NPN (102b) que es solicitada por el al menos un UE (104).
En algunas realizaciones, la CN (108a) está configurado además para: revelar el SUCI recibido del al menos un UE (104) a un identificador permanente de suscripción (SUPI); mapear el SUPI revelado del al menos un UE (104) con un mapa de la lista permitida de celdas CAG y los SUPl de una pluralidad de UE; recuperar la lista permitida de celdas CAG para el al menos un UE (104) si el SUPI asociado mapea con el SUPI revelado del al menos un UE (104); verificar que el al menos un UE (104) tiene permisos para acceder a la al menos una NPN (102b) solicitada si el CAG ID recibido de la al menos una NPN (102b) solicitada está presente en la lista recuperada de celdas CAG permitidas; y verificar que el al menos un UE (104) no tiene permisos para acceder a la al menos una NPN (102b) solicitada si el CAG ID recibido de la al menos una NPN (102b) solicitada no está presente en la lista recuperada de celdas CAG permitidas.
En algunas realizaciones, la CN (108a) está configurada además para: rechazar la solicitud del al menos un UE (104) al verificar que el al menos un UE (104) no tiene los permisos para acceder a la al menos una NPN (102b) solicitada; y enviar un mensaje de rechazo al al menos un UE (104) a través de la RAN (106a) con un valor de causa, en el que el valor de causa indica al menos una causa de error para rechazar la solicitud del al menos un UE (104).
Las realizaciones divulgadas en el presente documento pueden implementarse a través de al menos un programa de software que se ejecuta en al menos un dispositivo de hardware y lleva a cabo funciones de gestión de red para controlar los elementos de red. Los elementos mostrados en las Figuras 1A-14 pueden ser al menos uno de los dispositivos de hardware, o una combinación de dispositivo de hardware y módulo de software.
Las realizaciones divulgadas en la presente memoria describen procedimientos y sistemas para mitigar ataques de denegación de servicio (DoS) en una red inalámbrica. Por lo tanto, se entiende que el alcance de la protección se extiende a dicho programa y, además de un medio legible por ordenador que contiene un mensaje, dicho medio de almacenamiento legible por ordenador contiene medios de código de programa para la implementación de una o más etapas del procedimiento, cuando el programa se ejecuta en un servidor o dispositivo móvil o cualquier dispositivo programable adecuado. El procedimiento se implementa en una realización a través o junto con un programa de software escrito, por ejemplo, Circuito integrado de muy alta velocidad Lenguaje de descripción de hardware (VHDL) otro lenguaje de programación, o implementado por uno o más VHDL o varios módulos de software que se ejecutan en al menos un dispositivo de hardware. El dispositivo de hardware puede ser cualquier tipo de dispositivo portátil que se pueda programar. El dispositivo también puede incluir medios que podrían ser, por ejemplo, hardware significa como por ejemplo un ASIC, o una combinación de medios de hardware y software, por ejemplo, un ASIC y un FPGA, o al menos un microprocesador y al menos una memoria con módulos de software ubicados en el mismo. Las realizaciones del procedimiento descrito en el presente documento podrían implementarse en parte en hardware y en parte en software. Alternativamente, la presente divulgación puede ser implementada en diferentes dispositivos de hardware, por ejemplo, mediante el uso de una pluralidad de CPU.

Claims (14)

REIVINDICACIONES
1. Un procedimiento realizado por una gestión unificada de datos, UDM, entidad (206), el procedimiento comprende:
recibir, de una función de servidor de autenticación, AUSF, entidad (204), un mensaje de solicitud que incluya: un identificador oculto de suscripción, SUCI, de un equipo de usuario, LTE (104), y
un identificador de grupo de acceso cerrado, CAG, de una celda CAG;
identificar un identificador permanente de suscripción, SUPI, del UE basado en un descifrado del SUCI del UE;
verificar si la entidad UDM permite o no al LTE acceder a la celda CAG en base a la SUPI del UE;
en caso de que no se permita al LTE acceder a la celda CAG, transmitir a la entidad AUSF un mensaje de rechazo que incluya información para indicar un rechazo de la celda CAG; y
en caso de que se permita al LTE acceder a la celda CAG, llevar a cabo, por parte de la entidad UDM, un procedimiento de autenticación entre el LTE y una red,
en el que el procedimiento de autenticación comprende la generación de un vector de autenticación.
2. El procedimiento de la reivindicación 1, que comprende además:
en caso de que se permita al LTE acceder a la celda CAG, seleccionar un procedimiento de autenticación para el procedimiento de autenticación en la entidad UDM.
3. El procedimiento de la reivindicación 1,
en la que la entidad UDM está asociada con al menos una de las funciones de ocultación del identificador de suscripción, SIDF, o una función de procesamiento y depósito de credenciales de autenticación, y en el que el mensaje de solicitud incluye además un nombre de red de servicio, SN.
4. Un procedimiento realizado por una función de servidor de autenticación, AUSF, entidad (204), el procedimiento comprende:
recibir, de una entidad de función de anclaje de seguridad, SEAF (202), un primer mensaje de solicitud que incluya:
un identificador oculto de suscripción, SUCI, de un equipo de usuario, LTE (104); y
un identificador de grupo de acceso cerrado, CAG, de una celda CAG,
transmitir, a una entidad de gestión unificada de datos, UDM, un segundo mensaje de solicitud que incluya:
el SUCI de la UE; y
el identificador CAG de la celda CAG,
en caso de que la LTE no esté autorizada a acceder a la celda CAG, recibir, de la entidad UDM, un mensaje de rechazo que incluya información para indicar un rechazo de la celda CAG; y
en caso de que se permita al LTE acceder a la celda CAG, recibir, de la entidad UDM, un mensaje de respuesta conforme a un procedimiento de autenticación entre el LTE y una red, procedimiento de autenticación que utiliza un vector de autenticación,
en el que el SUCI se utiliza para obtener un identificador permanente de suscripción, SUPI, de la LTE para verificar si el UE tiene permiso para acceder a la celda CAG o no en la entidad UDM.
5. El procedimiento de la reivindicación 4, en el que el procedimiento de autenticación está asociado a una selección de un procedimiento de autenticación en la entidad UDM.
6. El procedimiento de la reivindicación 4,
en el que el primer mensaje de solicitud incluye además una red de servicio, SN, nombre y
en el que el segundo mensaje de solicitud incluye además el nombre del SN.
7. Un procedimiento realizado por una función ancla de seguridad, SEAF, entidad (202), el procedimiento comprende:
recibir, desde un equipo de usuario, LTE (104), a través de una estación base, una solicitud de registro que incluya:
un identificador de grupo de acceso cerrado, CAG, de una celda CAG;
un identificador oculto de suscripción, SUCI, del LTE; y
transmitir, a una entidad de gestión unificada de datos, UDM, (206) a través de una entidad de función de servidor de autenticación, AUSF (204), un mensaje de solicitud que incluya:
el SUCI de la UE, y
el identificador CAG de la celda CAG,
en caso de que la LTE no esté autorizada a acceder a la celda CAG, recibir, de la entidad UDM a través de la entidad AUSF, un mensaje de rechazo para indicar un rechazo de la celda CAG; y
en caso de que se permita al LTE acceder a la celda CAG, llevar a cabo un procedimiento de autenticación entre una red y el UE, procedimiento de autenticación que utiliza un vector de autenticación,
en el que el SUCI se utiliza para obtener un identificador permanente de suscripción, SUPI, de la LTE para verificar si el UE tiene permiso para acceder a la celda CAG o no en la entidad u Dm .
8. El procedimiento de la reivindicación 7, en el que el procedimiento de autenticación está asociado a una selección de un procedimiento de autenticación en la entidad UDM.
9. Un procedimiento realizado por un equipo de usuario, UE (104), el procedimiento:
transmitir, a una entidad de función de anclaje de seguridad, SEAF (función de anclaje de seguridad) (202) a través de una estación base, una solicitud de registro que incluya:
un identificador de grupo de acceso cerrado, CAG, de una celda CAG,
un identificador oculto de suscripción, SUCI, de la LTE;
en caso de que la LTE no esté autorizada a acceder a la celda CAG, recibir, de la entidad SEAF, un mensaje de rechazo para indicar un rechazo de la celda CAG; y
en caso de que se permita al LTE acceder a la celda CAG, llevar a cabo un procedimiento de autenticación entre una red y el UE, procedimiento de autenticación que utiliza un vector de autenticación,
en el que el SUCI se utiliza para obtener un identificador permanente de suscripción, SUPI, de la LTE para verificar si el UE tiene permiso para acceder a la celda CAG o no en la entidad u Dm .
10. El procedimiento de la reivindicación 9, en el que el procedimiento de autenticación está asociado a una selección de un procedimiento de autenticación en la entidad UDM.
11. Una entidad de gestión unificada de datos, UDM (206), que comprende:
al menos un transceptor; y
al menos un procesador acoplado operativamente al al menos un transceptor y configurado para implementar una de las reivindicaciones 1 a 3.
12. Una función de servidor de autenticación, AUSF, entidad (204), que comprende:
al menos un transceptor; y
al menos un procesador acoplado operativamente al al menos un transceptor y configurado para implementar una de las reivindicaciones 4 a 6.
13. Una función de gestión de acceso y movilidad, AMF, entidad (202), que comprende:
al menos un transceptor; y
al menos un procesador acoplado operativamente al al menos un transceptor y configurado para implementar una de las reivindicaciones 7 a 8.
14. Un equipo de usuario, UE (104), que comprende:
al menos un transceptor; y
al menos un procesador acoplado operativamente al al menos un transceptor y configurado para implementar una de las reivindicaciones 9 a 10.
ES20159868T 2019-02-27 2020-02-27 Procedimientos y sistemas para mitigar ataques de denegación de servicio (dos) en una red inalámbrica Active ES2953831T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IN201941007734 2019-02-27

Publications (1)

Publication Number Publication Date
ES2953831T3 true ES2953831T3 (es) 2023-11-16

Family

ID=69742814

Family Applications (1)

Application Number Title Priority Date Filing Date
ES20159868T Active ES2953831T3 (es) 2019-02-27 2020-02-27 Procedimientos y sistemas para mitigar ataques de denegación de servicio (dos) en una red inalámbrica

Country Status (6)

Country Link
US (3) US11363463B2 (es)
EP (2) EP4274163A3 (es)
KR (1) KR102593822B1 (es)
CN (1) CN116235525A (es)
ES (1) ES2953831T3 (es)
WO (1) WO2020175941A1 (es)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018018621A1 (zh) * 2016-07-29 2018-02-01 广东欧珀移动通信有限公司 建立辅连接的方法和装置
CN109526024A (zh) * 2017-09-20 2019-03-26 索尼公司 无线通信方法和无线通信设备
CN111726808B (zh) * 2019-03-21 2022-06-10 华为技术有限公司 通信方法和装置
JP7455138B2 (ja) 2019-03-28 2024-03-25 ペキン シャオミ モバイル ソフトウェア カンパニー, リミテッド コアページング処理
WO2020205609A1 (en) * 2019-03-29 2020-10-08 Idac Holdings, Inc. Methods and apparatus for secure access control in wireless communications
US11683744B2 (en) 2019-06-14 2023-06-20 Samsung Electronics Co., Ltd. Method and system for handling of closed access group related procedure
US11503662B2 (en) * 2019-06-14 2022-11-15 Samsung Electronics Co., Ltd. Method and system for handling of closed access group related procedure
WO2021044204A1 (en) * 2019-09-02 2021-03-11 Telefonaktiebolaget Lm Ericsson (Publ) Distribution of consolidated analytics reports in a wireless core network
US11470474B2 (en) 2019-09-27 2022-10-11 Qualcomm Incorporated Method for deriving a network specific identifier (NSI)
GB2594247A (en) * 2020-04-17 2021-10-27 Nec Corp Communication system
US11785456B2 (en) * 2020-08-18 2023-10-10 Cisco Technology, Inc. Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP)
CN112333705B (zh) * 2021-01-07 2021-04-02 北京电信易通信息技术股份有限公司 一种用于5g通信网络的身份认证方法及系统
WO2022154599A1 (ko) * 2021-01-15 2022-07-21 삼성전자 주식회사 무선 통신 시스템에서 인공 위성을 이용하여 통신을 지원하는 방법 및 장치
EP4292337A4 (en) * 2021-02-15 2024-04-10 Telefonaktiebolaget LM Ericsson (publ) METHODS, NETWORK FUNCTION NODES AND COMPUTER READABLE MEDIA FOR EVENT SUBSCRIPTION MANAGEMENT
US11974134B2 (en) * 2022-01-28 2024-04-30 Oracle International Corporation Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network
CN114786121B (zh) * 2022-04-07 2024-06-11 中国联合网络通信集团有限公司 一种定位方法、装置、系统及存储介质
WO2024216828A1 (en) * 2023-09-08 2024-10-24 Zte Corporation Systems and methods for supporting ue authentication and security

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0939571B1 (en) * 1998-02-27 2007-05-09 Telefonaktiebolaget LM Ericsson (publ) Authentication method and authentication device for secured communications between an ATM mobile terminal and an ATM access node of a wireless ATM radio communication network
US8965338B2 (en) * 2008-06-09 2015-02-24 Apple Inc Network access control methods and apparatus
WO2010036167A1 (en) * 2008-09-23 2010-04-01 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangements in a cellular network with femtocells
US8938234B2 (en) * 2009-10-01 2015-01-20 Nec Corporation Mobile communication system
US8897285B2 (en) * 2010-08-13 2014-11-25 At&T Intellectual Property I, Lp Characterization of temporary identifiers in a wireless communication network
US20120064889A1 (en) * 2010-09-14 2012-03-15 Kundan Tiwari Method of Handling Manual Closed Subscriber Group Selection and Related Communication Device
US10219153B2 (en) * 2015-01-09 2019-02-26 Samsung Electronics Co., Ltd. Mutual authentication between user equipment and an evolved packet core
KR102385539B1 (ko) * 2015-03-02 2022-04-12 삼성전자 주식회사 무선 통신 시스템에서 서비스 제공 방법 및 장치
US9686675B2 (en) * 2015-03-30 2017-06-20 Netscout Systems Texas, Llc Systems, methods and devices for deriving subscriber and device identifiers in a communication network
CN106664564B (zh) * 2015-08-26 2020-02-14 华为技术有限公司 一种小基站及小基站用户认证的方法
WO2018097599A1 (ko) * 2016-11-27 2018-05-31 엘지전자(주) 무선 통신 시스템에서의 등록 해제 방법 및 이를 위한 장치
US10313997B2 (en) * 2017-02-06 2019-06-04 Industrial Technology Research Institute User equipment registration method for network slice selection and network controller and network communication system using the same
US10820185B2 (en) * 2017-05-08 2020-10-27 Qualcomm Incorporated Mobility between areas with heterogeneous network slices
US11012929B2 (en) * 2017-07-13 2021-05-18 Qualcomm Incorporated Techniques for determining public land mobile network support of different core networks
US11032704B2 (en) * 2017-12-01 2021-06-08 Qualcomm Incorporated Techniques for subscription-based authentication in wireless communications
US10939447B2 (en) * 2018-01-22 2021-03-02 Qualcomm Incorporated Policy-based control of reliability request for eV2X
US10986602B2 (en) * 2018-02-09 2021-04-20 Intel Corporation Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function
US11272351B2 (en) * 2018-04-05 2022-03-08 Qualcomm Incorporated System and method that facilitate steering of roaming

Also Published As

Publication number Publication date
CN116235525A (zh) 2023-06-06
EP3703406B1 (en) 2023-08-02
WO2020175941A1 (en) 2020-09-03
KR20210121301A (ko) 2021-10-07
EP3703406A1 (en) 2020-09-02
US11706626B2 (en) 2023-07-18
US12114165B2 (en) 2024-10-08
EP4274163A3 (en) 2023-12-27
US20220312215A1 (en) 2022-09-29
US20230362653A1 (en) 2023-11-09
US11363463B2 (en) 2022-06-14
KR102593822B1 (ko) 2023-10-25
EP4274163A2 (en) 2023-11-08
US20200275279A1 (en) 2020-08-27

Similar Documents

Publication Publication Date Title
ES2953831T3 (es) Procedimientos y sistemas para mitigar ataques de denegación de servicio (dos) en una red inalámbrica
US10681545B2 (en) Mutual authentication between user equipment and an evolved packet core
ES2724099T3 (es) Conectividad patrocinada a redes celulares utilizando credenciales existentes
CN109587688B (zh) 系统间移动性中的安全性
US9049184B2 (en) System and method for provisioning a unique device credentials
US20190182654A1 (en) Preventing covert channel between user equipment and home network in communication system
JP7047921B2 (ja) 通信装置、第1のネットワーク装置、通信装置の方法、及び第1のネットワーク装置の方法
US11849318B2 (en) Wireless communication network authentication
ES2896733T3 (es) Funcionamiento relacionado con un equipo de usuario que utiliza un identificador secreto
JP2022109996A (ja) 認証要求を制御するためのプライバシインジケータ
US10171993B2 (en) Identity request control for user equipment
US20170070880A1 (en) Method of performing an initial access by protecting privacy on a network and user equipment therefor
KR102193511B1 (ko) 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기
US20230354037A1 (en) Methods and systems for identifying ausf and accessing related keys in 5g prose
RU2727160C1 (ru) Аутентификация для систем следующего поколения
US11564086B2 (en) Secure mobile-terminated message transfer
CN116868609A (zh) 用于边缘数据网络的用户装备认证和授权规程
KR20240140890A (ko) 통신 네트워크에서의 보안 구성 업데이트
WO2023223118A1 (en) Subscription identification in networks
CN117204000A (zh) 用于邻近服务的授权的系统与方法