Вторичная аутентификация пользовательского устройства
Изобретение относится к области вычислительной техники для аутентификации (EAP) между пользовательским устройством и функцией плоскости управления. Технический результат заключается в повышении точности разделения плоскости управления и плоскости пользователя при вторичной аутентификации пользовательского устройства. Технический результат за счет приема, на пользовательском устройстве, запроса расширяемого протокола аутентификации, EAP, от функции диспетчеризации сеансов, SMF, которая выступает в роли аутентификатора EAP, для вторичной аутентификации пользовательского устройства, причем вторичная аутентификация является аутентификацией пользовательского устройства в дополнение к первичной аутентификации пользовательского устройства (18); и в ответ на запрос EAP, передачи ответа EAP от пользовательского устройства на SMF. 10 н. и 27 з.п. ф-лы, 14 ил.
РОДСТВЕННЫЕ ЗАЯВКИ
По данной заявке испрашивается приоритет предварительной патентной заявки США № 62/451,645 поданной 27 января 2017 г., содержание которой в полном объеме включено в данное описание в порядке ссылки.
ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ
Настоящее изобретение относится, в общем случае, к сети беспроводной связи и, в частности, относится к вторичной аутентификации пользовательского устройства, выполненного с возможностью использования в сети беспроводной связи.
УРОВЕНЬ ТЕХНИКИ
Сеть беспроводной связи традиционно аутентифицирует пользовательское устройство на основании учетных данных, которые заранее обеспечиваются оператором сети и которые безопасно хранятся на пользовательском устройстве. Поддержка альтернативных способов аутентификации пользовательского устройства позволит сети беспроводной связи, в свою очередь, поддерживать различные возможные варианты использования. Например, это позволит владельцам фабрик или предприятиям применять свои собственные системы диспетчеризации идентификаторов и учетных данных для аутентификации и безопасности доступа к сети.
Тем не менее, поддерживать альтернативные способы аутентификации оказывается технически сложным. Многие способы аутентификации имеют строгие рекомендации и требования к транспортной сети. Кроме того, возможность осуществления связи на основе интернет–протокола (IP) для поддержки альтернативных способов аутентификации оказывается негибкой и угрожает разделению плоскости управления и плоскости пользователя.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
В одном или более рассмотренных здесь вариантов осуществления используется расширяемый протокол аутентификации (EAP) между пользовательским устройством и функцией плоскости управления (например, функцией диспетчеризации сеансов, SMF), для обеспечения аутентификации пользовательского устройства. Такая аутентификация может быть, например, вторичной аутентификацией, которая осуществляется помимо (например, после) первичной аутентификации пользовательского устройства. Несмотря на то, что такое использование EAP может обеспечивать преимущество поддержки различных типов способов аутентификации, оно не обеспечивает возможность осуществления связи на базе IP или конкретном типе сети доступа, и/или не базируется на плоскости управления для поддержания разделения плоскости управления и плоскости пользователя.
В частности, рассмотренные здесь варианты осуществления включают в себя способ вторичной аутентификации пользовательского устройства. Способ может содержать прием, пользовательским устройством, запроса расширяемого протокола аутентификации (EAP) от функции диспетчеризации сеансов (SMF), которая выступает в роли аутентификатора EAP, для вторичной аутентификации пользовательского устройства, причем вторичная аутентификация является аутентификацией пользовательского устройства в дополнение к первичной аутентификации пользовательского устройства. Способ также может содержать, в ответ на запрос EAP, передачу ответа EAP от пользовательского устройства на SMF.
Рассмотренные здесь варианты осуществления также включают в себя способ вторичной аутентификации пользовательского устройства. Способ может содержать передачу запроса расширяемого протокола аутентификации (EAP) от функции диспетчеризации сеансов (SMF) на пользовательское устройство, в котором SMF выступает в роли аутентификатора EAP для вторичной аутентификации пользовательского устройства, причем вторичная аутентификация является аутентификацией пользовательского устройства в дополнение к первичной аутентификации пользовательского устройства. Способ может дополнительно содержать, в ответ на запрос EAP, прием на SMF ответа EAP от пользовательского устройства.
В некоторых вариантах осуществления, SMF также выступает в роли сервера EAP, который выполняет способ аутентификации по EAP для вторичной аутентификации пользовательского устройства. В других вариантах осуществления SMF выполнена с возможностью ретрансляции запроса EAP и ответа EAP между пользовательским устройством и сервера EAP, который выполняет способ аутентификации по EAP для аутентификатора EAP.
Другие рассмотренные здесь варианты осуществления включают в себя способ вторичной аутентификации пользовательского устройства. Способ может содержать передачу запроса расширяемого протокола аутентификации (EAP) от сервера EAP на пользовательское устройство через функцию диспетчеризации сеансов (SMF), в котором SMF выступает в роли аутентификатора EAP ретранслятора для вторичной аутентификации пользовательского устройства, причем вторичная аутентификация является аутентификацией пользовательского устройства в дополнение к первичной аутентификации пользовательского устройства и при этом сервер EAP выполнен с возможностью выполнения способа аутентификации по EAP для аутентификатора EAP. Способ может дополнительно содержать, в ответ на запрос EAP, прием на сервере EAP через SMF ответ EAP от пользовательского устройства.
В некоторых вариантах осуществления, пользовательское устройство и SMF выполнены с возможностью использования в сети беспроводной связи, причем сервер EAP находится в сети передачи данных, с которой пользовательское устройство запрашивает сеанс плоскости пользователя, причем вторичная аутентификация пользовательского устройства является аутентификацией пользовательского устройства для установления сеанса плоскости пользователя, и при этом вторичная аутентификация делегируется сетью беспроводной связи сети передачи данных.
В некоторых вариантах осуществления, запрос EAP и ответ EAP передаются между SMF и сервером EAP через функцию плоскости пользователя, выбранную SMF. В одном варианте осуществления, например, функция плоскости пользователя выступает в роли посредника (proxy) для сервера EAP. В другом варианте осуществления, функция плоскости пользователя выступает в роли маршрутизатора, через который запрос EAP и ответ EAP прозрачно передаются на функцию плоскости пользователя.
В любом из этих вариантов осуществления, запрос EAP и ответ EAP могут инкапсулироваться в соответствующих сообщениях протокола слоя без доступа (NAS) между SMF и UE.
В некоторых вариантах осуществления, передача и прием осуществляются после первичной аутентификации пользовательского устройства функцией якоря безопасности в базовой сети.
В некоторых вариантах осуществления, базовая сеть содержит несколько разных сетевых слайсов, соответственно, предназначенных для разных услуг, причем вторичная аутентификация пользовательского устройства содержит зависящую от слайса аутентификацию пользовательского устройства для осуществления доступа к конкретному сетевому слайсу базовой сети.
В некоторых вариантах осуществления, способ дополнительно содержит, на основании успешной вторичной аутентификации пользовательского устройства, получение ключа безопасности, обобществленного между пользовательским устройством и SMF.
В некоторых вариантах осуществления, запрос установления сеанса, передаваемый от пользовательского устройства инициирует вторичную аутентификацию пользовательского устройства. В одном таком варианте осуществления, запрос установления сеанса включает в себя вторичный идентификатор пользовательского устройства, используемый для вторичной аутентификации. Альтернативно или дополнительно, ответ установления сеанса, передаваемый на пользовательское устройство включает в себя либо сообщение успеха EAP, указывающее успех вторичной аутентификации, либо сообщение неудачи EAP, указывающее неудачу вторичной аутентификации.
В некоторых вариантах осуществления, способ дополнительно содержит связывание вторичной аутентификации пользовательского устройства с каналом, по которому осуществляется вторичную аутентификацию.
В некоторых вариантах осуществления, способ дополнительно содержит вывод, на основании успешной вторичной аутентификации пользовательского устройства, ключа безопасности, обобществленного между пользовательским устройством и SMF, причем упомянутый вывод содержит вывод ключа безопасности на основании информации связывания, связанной с каналом, по которому осуществляется вторичную аутентификацию. В одном таком варианте осуществления, упомянутая информация связывания содержит одну или более из: информации, идентифицирующей тип сети доступа, через которую пользовательское устройство осуществляет доступ к сети беспроводной связи; информации, идентифицирующей тип базовой сети для сети беспроводной связи; информации, идентифицирующей слайс базовой сети, к которой пользовательское устройство запрашивает доступ; и информации, идентифицирующей тип слайса базовой сети, к которому пользовательское устройство запрашивает доступ.
В некоторых вариантах осуществления, SMF включена в сеть 5G.
Варианты осуществления также включают в себя соответствующие оборудование, компьютерные программы и носители.
Таким образом, некоторые рассмотренные здесь варианты осуществления могут использовать EAP (rfc3748) для аутентификации между пользовательским устройством (UE) и потенциально внешним сервером аутентификации, авторизации и учета (AAA), где SMF, функция диспетчеризации сеансов в ядре 5G, принимает роль аутентификатора EAP. Полезная нагрузка EAP может переноситься протоколом слоя без доступа (NAS) между UE и SMF. Протокол NAS является самым высоким слоем плоскости управления. Протокол NAS может делиться между диспетчеризацией мобильности NAS (NAS–MM) и диспетчеризацией сеансов NAS (NAS–SM), и сообщения NAS–SM переносятся по NAS–MM в прозрачном контейнере. SMF взаимодействует с внутренним сервером AAA, возможно, расположенным во внешнем домене. Пакеты EAP могут переноситься по AAA между SMF и этим внешним сервером в прямой связи как в случае варианта параметров конфигурации протокола (PCO) или, альтернативно, прозрачно по функции плоскости пользователя (UPF). Другая возможность состоит в том, что сервер EAP не используется, и SMF (т.е. аутентификатор EAP) выполняет способ EAP.
Некоторые варианты осуществления таким образом применяют EAP, который обеспечивает поддержку многих способов аутентификации, например, безопасность транспортного уровня EAP (EAP–TLS), соглашение по аутентификации и ключу EAP (EAP–AKA), туннельный TLS EAP (EAP–TTLS) и EAP защищенный EAP (EAP–PEAP). Один или более вариантов осуществления базируются на инкапсуляции сообщений EAP в протоколе NAS и, таким образом, не зависят от типа сети доступа (AN). Некоторые варианты осуществления базируются на плоскости управления и, таким образом не зависят от типа сеанса PDU, т.е. интернет–протокол (IP), не–IP и т.д. За счет использования EAP, некоторые варианты осуществления поддерживают различные типы учетных данных и способов аутентификации. Обмен по EAP полезен с точки зрения защиты радиоинтерфейсов, обеспеченных протоколом NAS. Дополнительно, обмен по EAP может приводить к установлению ключей безопасности, подлежащих использованию, например, для защиты плоскости пользователя по отношению к установленной сети передачи данных.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Фиг. 1 – блок–схема сети беспроводной связи согласно одному или более вариантам осуществления.
Фиг. 2 – блок–схема сети 5G согласно некоторым вариантам осуществления.
Фиг. 3 – схема потока вызовов для вторичной аутентификации UE согласно некоторым вариантам осуществления.
Фиг. 4 – блок–схема стека протоколов для обмена сообщениями EAP между UE и сервером AAA согласно некоторым вариантам осуществления.
Фиг. 5 – блок–схема стека протоколов для обмена сообщениями EAP между SMF и сервером AAA согласно некоторым вариантам осуществления.
Фиг. 6 – логическая блок–схема операций способа, осуществляемого пользовательским устройством согласно некоторым вариантам осуществления.
Фиг. 7 – логическая блок–схема операций способа, осуществляемого функцией плоскости управления (например, SMF) согласно некоторым вариантам осуществления.
Фиг. 8 – логическая блок–схема операций способа, осуществляемого сервером EAP) согласно некоторым вариантам осуществления.
Фиг. 9A – блок–схема пользовательского устройства согласно некоторым вариантам осуществления.
Фиг. 9B – блок–схема пользовательского устройства согласно другим вариантам осуществления.
Фиг. 10A – блок–схема оборудования плоскости управления согласно некоторым вариантам осуществления.
Фиг. 10B – блок–схема оборудования плоскости управления согласно другим вариантам осуществления.
Фиг. 11A – блок–схема сервера EAP согласно некоторым вариантам осуществления.
Фиг. 11B – блок–схема сервера EAP согласно другим вариантам осуществления.
ПОДРОБНОЕ ОПИСАНИЕ
Фиг. 1 демонстрирует сеть беспроводной связи (например, сеть 5G) согласно одному или более вариантам осуществления. Сеть включает в себя сеть 12 доступа и базовую сеть. Базовая сеть включает в себя одну или более функций плоскости управления, одна из которых показана как функция 14 плоскости управления. Базовая сеть может включать, например, одну функцию плоскости управления в виде функции диспетчеризации сеансов (SMF), отвечающую за планирование сеансов, и отдельную функцию плоскости управления в виде функции диспетчеризации доступа и мобильности (AMF), отвечающую за планирование мобильности. В любом случае, базовая сеть также включает в себя функцию 16 плоскости пользователя.
Как показано на фиг. 1, пользовательское устройство 18 может запрашивать сеанс 20 (например, сеанс плоскости пользователя или сеанс блока пакетных данных, PDU) с сетью 22 передачи данных (например, которая обеспечивает услуги оператора сети, доступ в интернет или услуги третьей стороны). Сеть 22 передачи данных может быть внутренней или внешней по отношению к беспроводной сети. Тем не менее, функция 16 плоскости пользователя выполнена с возможностью ретрансляции трафика плоскость пользователя для этого сеанса, тогда как функция(и) плоскости управления выполнена(ы) с возможностью управления этим сеансом (например, через сигнализацию управления для этого сеанса).
Один или более вариантов осуществления предусматривают аутентификацию пользовательского устройства 18, например, аутентификацию пользовательского устройства 18 для установления сеанса 20 с сетью 22 передачи данных. Аутентификация может быть вторичной в том смысле, что она является аутентификацией, которая происходит в дополнение к другой так называемой первичной аутентификации пользовательского устройства (например, которая может использовать предварительно защищенные учетные данные и/или выполняться функцией якоря безопасности). В некоторых вариантах осуществления, например, пользовательское устройство 12, запрашивающее сеанс 20 с сетью 22 передачи данных, инициирует такую вторичную аутентификацию, например, другую первичную аутентификацию. Эта вторичная аутентификация даже может осуществляться, управляться и/или делегироваться этой сети 22 передачи данных.
В одном или более рассмотренных здесь вариантов осуществления используется расширяемый протокол аутентификации (EAP) между пользовательским устройством 18 и функцией 14 плоскости управления (например, функцией диспетчеризации сеансов, SMF) в базовой сети, для обеспечения вторичной аутентификации пользовательского устройства 18. Функция 14 плоскости управления в связи с этим может выступать в роли аутентификатора 24 EAP для вторичной аутентификации. Пользовательское устройство 18 может, в свою очередь, выступать в роли однорангового устройства для аутентификации по EAP.
В некоторых вариантах осуществления, функция 14 плоскости управления также выступает в роли сервера EAP, который фактически выполняет способ аутентификации по EAP для вторичной аутентификации. В других вариантах осуществления, сервер 26 EAP, отдельный от функции 14 плоскости управления (в качестве аутентификатора EAP) выполняет способ аутентификации по EAP для аутентификатора EAP. Сервер 26 EAP может, например, располагаться в сети 22 передачи данных, как показано на фиг. 1. Сервер 26 EAP, отдельный от аутентификатора EAP, может именоваться внутренним сервером аутентификации или просто сервером аутентификации. Отделение сервера EAP от функции 14 плоскости управления означает, что, вместо того, чтобы требовать от функции 14 плоскости управления поддерживать каждый способ аутентификации, обеспеченный пользовательским устройством 18, например, EAP гибко позволяет функции 14 плоскости управления действовать как ретранслятор для некоторых или всех способов аутентификации которые поддерживаются сервером 26 EAP. Это, в свою очередь, позволяет делегировать вторичную аутентификацию сети 22 передачи данных в некоторых вариантах осуществления. Соответственно, пользовательское устройство 18 может осуществлять способ или процедуру аутентификации с сервером 26 EAP через функцию 14 плоскости управления, или будучи обеспеченным(ой) ею. Такой подход на основе EAP может получать преимущество в том, что поддерживает различные типы способов аутентификации, оно не обеспечивает возможность осуществления связи на базе IP или конкретном типе сети доступа, и/или не базируется на плоскости управления для поддержания разделения плоскости управления и плоскости пользователя.
С функцией 14 плоскости управления, выступающей в роли аутентификатора 24 EAP для вторичной аутентификации пользовательского устройства 18, пользовательское устройство 18 и функция 14 плоскости управления могут участвовать в обмене для аутентификации по EAP. Как показано на фиг. 1, этот обмен может использовать функцию 14 плоскости управления, передающую запрос 28 EAP на пользовательское устройство 18, и пользовательское устройство 18, в свою очередь, принимает запрос 28 EAP от функции 14 плоскости управления. Этот запрос 28 EAP может запрашивать любой из нескольких разных возможных типов запрашиваемой информации от пользовательского устройства 18 (например, идентификатора, вызова MD5 и т.д.). Запрашиваемый тип информации может быть указан полем типа в запросе 28. В любом случае, запрос 28 EAP может запрашивать информацию как часть согласования, какой способ аутентификации подлежит использованию для вторичной аутентификации пользовательского устройства 18.
В ответ на запрос 28 EAP, пользовательское устройство 18 (как одноранговое устройство EAP) может передавать ответ 30 EAP на функцию 14 плоскости управления (как аутентификатор 24 EAP). Ответ 30 EAP может, например, включать в себя тип информации, указанный полем типа в запросе 28 EAP.
Одна или более дополнительных последовательностей запросов и ответов могут продолжаться аналогичным образом. Это может продолжаться, пока функция 14 плоскости управления в качестве аутентификатора EAP не может аутентифицировать пользовательское устройство 18 (например, вследствие недопустимого ответа EAP на один или более запросов EAP), или пока функция 14 плоскости управления в качестве аутентификатора EAP не определит, что произошла успешная аутентификация.
В некоторых вариантах осуществления, например, передача пользовательским устройством запроса на установление сеанса 20 инициирует вторичную аутентификацию пользовательского устройства 18. В этом случае, ответ установления сеанса может, в свою очередь, передаваться на пользовательское устройство и включать в себя либо сообщение успеха EAP, указывающее успех вторичной аутентификации, либо сообщение неудачи EAP, указывающее неудачу вторичной аутентификации.
В этих и других вариантах осуществления, запрос 28 EAP и ответ 30 EAP могут инкапсулироваться в соответствующих сообщениях протокола слоя без доступа (NAS). NAS в связи с этим может быть самым высоким слоем плоскости управления. Будучи инкапсулированы, запрос 28 EAP и ответ 30 EAP могут передаваться между пользовательским устройством 18 и функцией 14 плоскости управления независимо от типа сети 12 доступа.
Согласно вариантам осуществления, предусматривающим сервер 26 EAP (например, в сети 22 передачи данных, как показано на фиг. 1) для вторичной аутентификации, функция 14 плоскости управления может ретранслировать запрос 28 EAP и ответ 30 EAP между пользовательским устройством 18 и сервером 26 EAP. Например, функция 14 плоскости управления может контролировать передаваемые или принимаемые сообщения EAP, для определения, ретранслировать ли эти сообщения или где. В любом случае, сервер 26 EAP может передавать запрос 28 EAP на пользовательское устройство 18 через функцию 14 плоскости управления в качестве аутентификатора EAP, и, в ответ на запрос EAP, может принимать через функцию 14 плоскости управления ответ 30 EAP от пользовательского устройства 18.
В некоторых вариантах осуществления, запрос 28 EAP и ответ 30 EAP передаются между функцией 14 плоскости управления и сервером 26 EAP через функцию 16 плоскости пользователя, например, которая может выбираться функцией 14 плоскости управления. В некоторых вариантах осуществления, функция 16 плоскости пользователя может выступать в роли посредника для сервера 26 EAP. В других вариантах осуществления, функция 16 плоскости пользователя выступает в роли маршрутизатора, через который запрос 28 EAP и ответ 30 EAP прозрачно передаются на функцию 16 плоскости пользователя.
Таким образом, эти и другие варианты осуществления могут позволять сети беспроводной связи делегировать сети 22 передачи данных вторичную аутентификацию пользовательского устройства 18 (например, для аутентификации установления пользовательским устройством сеанса 20 с сетью 22 передачи данных). В частности, когда сеть 22 передачи данных реализует сервер 26 EAP, который фактически выполняет способ аутентификации, используемый для такой аутентификации, это может означать, что сеть беспроводной связи обобщенно и гибко поддерживает разные способы аутентификации.
Альтернативно или дополнительно, базовая сеть в некоторых вариантах осуществления может содержать несколько разных сетевых слайсов, соответственно, предназначенных для разных услуг. В этом случае, вторичная аутентификация пользовательского устройства 18 может содержать зависящую от слайса аутентификацию пользовательского устройства 18 для осуществления доступа к конкретному сетевому слайсу базовой сети. Затем, аналогичным образом, сеть беспроводной связи может обобщенно и гибко поддерживать разные способы аутентификации (например, которые могут различаться для разных сетевых слайсов).
Один или более вариантов осуществления будут описаны ниже в контексте 5G (также именуемого новым поколением, NG), разработанного 3GPP. 5G ставит целью (помимо прочего) отделить плоскость управления от плоскости пользователя. Плоскость управления отвечает за управление и передачу информации сигнализации, тогда как плоскость пользователя отвечает за ретрансляцию пользовательского трафика. Отделение плоскости управления предусматривает извлечение из шлюза функций плоскости управления, оставляющее более простой узел плоскости пользователя. Таким образом, шлюз "делится" на компоненты S/PGW–U и S/PGW–C, которые могут масштабироваться независимо, где SGW–U является компонентом обслуживающим шлюзом (SGW), который обрабатывает функции плоскости пользователя, PGW–U является компонентом шлюзом пакетов (PGW), который обрабатывает функции плоскости пользователя, SGW–C является компонентом SGW, который обрабатывает функции плоскости управления, и PGW–C является компонентом PGW, который обрабатывает функции плоскости управления. Таким образом, плоскость управления, и все соответствующие комплексные взаимодействия, могут быть централизованными, тогда как плоскость пользователя распределяется по ткани IP–услуг и масштабируется по мере необходимости нагрузкой трафика.
Кроме того, 5G обеспечивает виртуализацию сетевых функций и программно–определяемую сетевую связь. Архитектура системы 5G должна применять взаимодействия на основе услуг между сетевыми функциями плоскости управления (CP), если они определены.
Кроме того, 5G ставит своей целью разбивать на модули функциональную конструкцию, например, для обеспечения гибкого и эффективного сетевого слайсинга. Кроме того, когда применимо, процедуры (т.е. набор взаимодействий между сетевыми функциями) заданы как услуги, благодаря чему возможно их повторное использование.
В связи с этим на фиг. 2 изображена архитектура базовой линии для NG. Архитектура включает в себя различные сетевые функции. Функции плоскости управления включают в себя функцию диспетчеризации сеансов (SMF), функцию диспетчеризации доступа и мобильности (AMF), функцию управления политиками (PCF), функцию сервера аутентификации (AUSF) и унифицированную диспетчеризацию данных (UDM).
SMF может включать в себя некоторые или все из следующих функциональных возможностей. Некоторые или все из функций SMF могут поддерживаться в единичном экземпляре SMF. Функциональные возможности SMF включают в себя диспетчеризацию сеансов (например, установление, изменение и освобождение сеанса, включающую в себя туннель, поддерживаемый между UPF и узлом сети доступа), выделение и диспетчеризацию IP–адресов UE (включающие в себя необязательную авторизацию), выбор и управление функции UP, конфигурирование управления трафиком на UPF для маршрутизации трафика на надлежащий пункт назначения, окончание интерфейсов функциями управления политиками, управление частью применения политики и качества обслуживания (QoS), полицейский перехват (для событий SM и интерфейса к системе полицейского перехвата), окончание частей SM сообщений NAS, уведомление данных нисходящей линии связи, инициирование информации SM, зависящей от AN, отправленной через AMF по N2 на AN, определение режима непрерывности обслуживания и сеанса (SSC) сеанса (для сеанса PDU типа IP), функциональные возможности роуминга, обработку локального применения для применения соглашений по уровню обслуживания QoS (SLA) (посещаемой сети связи общего пользования наземных мобильных объектов, VPLMN), сбор данных по внесению денежных средств и интерфейс внесения денежных средств (VPLMN), полицейский перехват (в VPLMN для событий SM и интерфейса к системе LI), и поддержку взаимодействия с внешним DN для транспортировки сигнализации для авторизации/аутентификации сеанса PDU внешним DN.
Напротив, функция диспетчеризации доступа и мобильности (AMF) может включать в себя некоторые или все из следующих функциональных возможностей. Некоторые или все из функций AMF могут поддерживаться в единичном экземпляре AMF: окончание интерфейса CP сети радиодоступа (RAN) (N2), окончание NAS (N1), шифрование NAS и защиту целостности, диспетчеризация регистрации, диспетчеризация соединения, диспетчеризация достижимости, диспетчеризация мобильности, полицейский перехват (для событий AMF и интерфейса к системе LI), прозрачный посредник для маршрутизации сообщения SM, аутентификация доступа, авторизация доступа, функция якоря безопасности (SEA или SEAF) и диспетчеризация контекста безопасности (SCM), которая принимает ключ от SEA, которая использует его для вывода ключей, зависящих от сети доступа. С особым учетом SEA, она взаимодействует с функцией сервера аутентификации (AUSF) и UE, и принимает промежуточный ключ, который был установлен в результате процесса аутентификации UE. В случае аутентификации на основе USIM, AMF извлекает из AUSF безопасный материал.
Функция плоскости пользователя (UPF) может включать в себя некоторые или все из следующих функциональных возможностей. Некоторые или все из функций UPF могут поддерживаться в единичном экземпляре UPF: якорная точка для мобильности внутри/между технологиями радиодоступа (RAT) (когда применимо), внешняя точка сеанса PDU межсоединения с сетью передачи данных, маршрутизация и ретрансляция пакетов, контроль пакетов и применение правило политики части плоскости пользователя полицейского перехвата (сбор UP), предоставление отчета об использовании трафика, классификатор восходящей линии связи для поддержки маршрутизации потоков трафика в сеть передачи данных, точка ветвления для поддержки многодомового сеанса PDU, обработка QoS для плоскости пользователя, например, фильтрация пакетов, стробирование, назначение скорости передачи восходящей линии связи/нисходящей линии связи, проверка трафика восходящей линии связи (отображение SDF в поток QoS), маркировка пакетов транспортного уровня на восходящей линии связи и нисходящей линии связи, и буферизация пакетов нисходящей линии связи и инициирование уведомления данных нисходящей линии связи.
Любую из этих сетевых функций можно реализовать либо как сетевой элемент на специализированном оборудовании, либо как экземпляр программного обеспечения, выполняющийся на специализированном оборудовании, либо как виртуализированная функция реализованная на надлежащей платформе, например, в облачной инфраструктуре.
Одним из признаков новизны систем NG является принцип сетевого слайсинга. Сетевой слайс (NS), в основном, является экземпляром базовой сети, предназначенным для обеспечения конкретной услуги. Это позволяют операторам обрабатывать эти весьма разнообразные новые варианты использования, отличающиеся требованиями к обслуживанию в отношении качества обслуживания (QoS). Например, оператор может выполнять слайс для обычных мобильных широкополосных (MBB) услуг, параллельно с зависящим от миссии слайсом для служб общественной безопасности (зависящий от миссии режим рации, MCPTT), требующих очень низкой задержки, и параллельно со слайсом интернета вещей (IoT) для электросчетчиков с очень узкой полосой.
Для поддержки разнообразных типов услуги, операторы будут использовать несколько базовых сетей, развернутых как "сетевые слайсы" на общей инфраструктуре IP–услуг. Идея, показанная на фиг. 2, состоит в том, чтобы создавать виртуальные экземпляры базовой сети (или "слайсы"), предназначенные для разных услуг. Каждый слайс можно оптимизировать для профиля трафика и коммерческого контекста соответствующей услуги – например, IoT, общественной безопасности, оператора мобильной виртуальной сети (MVNO), соединенного автомобиля, речи по WiFi или услуг предприятия. Сетевые слайсы могут быть двухмерными в том смысле, что они оба могут зависеть от услуги и потребителя.
Предполагается, что 5G будет поддерживать множество новых сценариев и вариантов использования и станет активатором IoT. Предполагается, что системы NG обеспечат возможность связи с широким спектром новых устройств, таких как датчики, интеллектуальные носимые устройства, транспортные средства, машины и т.д. В таком случае гибкость будет ключевым свойством в системах NG. Это отражено в требованиях к безопасности сетевого доступа, которые предписывают поддержку альтернативных способов аутентификации и других типов учетных данных, чем обычные учетные данные AKA, заранее обеспеченные оператором и безопасно хранящиеся на универсальной карте с интегральной схемой (UICC). Это позволит владельцам фабрик или предприятиям применять свои собственные системы диспетчеризации идентификаторов и учетных данных для аутентификации и безопасности доступа к сети.
5G может разъединять процедуры аутентификации и авторизации для осуществления доступа к разным сетевым слайсам (NS). Рассмотрим один возможный сценарий. Чтобы NG–UE осуществлял доступ к конкретному NS, оператор может сначала провести первичную (обычную) аутентификацию для первоначального сетевого доступа к AUSF/UDM через AMF, а затем вторичную, зависящую от NS аутентификацию, возможно под управлением третьей стороны. Это предполагает доверительные отношения между поставщиком услуг третьей стороны и оператором сети мобильной связи (MNO), который, например, предоставляет доступ и транспортные услуги этой третьей стороне в особом экземпляре сетевого слайса.
Так называемый запрос шифрованного варианта и использование информационного элемента, именуемого параметрами конфигурации протокола (PCO), может иметь отношение к вышеописанному сценарию. PCO может переносить имена пользователей и пароли протокола аутентификации пароля (PAP) / протокола аутентификации по запросу при установлении связи (CHAP) на шлюз сети пакетной передачи данных (PDN–GW), который затем пропускает их через сервер AAA (потенциально расположенный во внешнем домене) для авторизации доступа. Поскольку эта информация важна и нуждается в защите, если UE намеревается отправить PCO, которые требуют шифрования (например, имена пользователей и пароли PAP/CHAP), UE должно установить флаг переноса шифрованных вариантов в сообщении запроса на подключение и отправить PCO только по завершении аутентификации и установления безопасности NAS.
Рассмотрим ограничения этого механизма для использования или расширения в системах NG.
Прежде всего, механизм очень ограничен в отношении возможных способов аутентификации. В настоящее время существует только поддержка PAP и CHAP. Но поскольку PAP устарел с точки зрения безопасности, остается только CHAP.
Во–вторых, для поддержки других способов и использования информационного элемента PCO для транспортировки аутентификационной информации, требуется указать особые сообщения между MME и S–GW и S–GW и PDN–GW, предназначенными для этой цели. Это нужно для осуществления способов аутентификации, которые требуют более чем только одного кругового прохода.
Кроме того, трудно понять, как этот механизм будет соответствовать архитектуре нового поколения, что подлежит дополнительному анализу. Фактически, с учетом новых архитектурных признаков (TR 23.799), можно утверждать, что, вероятно, будет больше скачков на пути между UE и PDN–GW, например, в отношении текущей работы по разделению MME на функции AM и SM (TR 23.799) и работы по разделению плоскостей управления и пользователя (CUPS) для разделение плоскостей управления и пользователя (TR 23.714). Это предполагает увеличение перегрузки и сигнализации в CN.
Наконец, этот механизм является обходным маневром, поскольку не существует прямого протокола между UE и PDN–GW. Достаточное обобщение для поддержки других способов аутентификации будет технически сложным, в частности, поскольку многие способы имеют строгие рекомендации и требования к транспортировке.
Один или более вариантов осуществления решают некоторые из этих и/или других проблем вторичной аутентификации путем использования EAP. EAP задан в IETF RFC 3748. EAP является структурой аутентификации, которая поддерживает несколько способов аутентификации.
Одним из преимуществ архитектуры EAP является ее гибкость. EAP используется для выбора конкретного механизма аутентификация, обычно после того, как аутентификатор запрашивает больше информации для определения конкретного способа аутентификации, подлежащего использованию. Вместо того, чтобы требовать обновления аутентификатора для поддержки каждого нового способа аутентификации, EAP разрешает использование внутреннего сервера аутентификации, который может осуществлять некоторые или все способы аутентификации, при том, что аутентификатор действует как ретранслятор для некоторых или всех способов и одноранговых устройств. Протокол EAP может поддерживать несколько механизмов аутентификации без необходимости предварительного согласования некоторого из них.
В номенклатуре EAP, аутентификатор EAP является концом линии связи, инициирующим аутентификацию по EAP. Одноранговое устройство является концом линии связи, который отвечает на аутентификатор. Внутренний сервер аутентификации является узлом, который обеспечивает услугу аутентификации аутентификатору. При использовании, этот сервер обычно выполняет способы EAP для аутентификатора. Сервер EAP является узлом, который заканчивает способ аутентификации по EAP с одноранговым устройством. В случае, когда внутренний сервер аутентификации не используется, сервер EAP составляет часть аутентификатора. В случае, когда аутентификатор действует в режиме ретранслятора, сервер EAP находится на внутреннем сервере аутентификации. Успешная аутентификация является обменом сообщениями EAP, в результате которого аутентификация принимает решение на обеспечение доступа одноранговым устройством, и одноранговое устройство принимает решение использовать этот доступ. Решение аутентификатора обычно предусматривает оба аспекта аутентификации и авторизации; аутентификатор может успешно аутентифицировать одноранговое устройство, но доступ может быть отклонен аутентификатором по политическим причинам.
Обмен для аутентификации по EAP происходит следующим образом. Аутентификатор отправляет запрос для аутентификации однорангового устройства. Запрос имеет поле типа для указания того, что запрашивается. Примеры типов запроса включают в себя идентификатор, вызов MD5, и т.д. Обычно аутентификатор будет отправлять начальный запрос идентификатора; однако начальный запрос идентификатора не требуется и МОЖЕТ быть обойден.
Одноранговое устройство отправляет пакет ответа в ответ на действительный запрос. Как и пакет запроса, пакет ответа содержит поле типа, которое соответствует полю типа запроса.
Аутентификатор отправляет пакет дополнительного запроса, и одноранговое устройство отвечает ответом.
Последовательность запросов и ответов продолжается по мере необходимости. Переговоры будут продолжаться, пока аутентификатор не сможет аутентифицировать одноранговое устройство (недопустимые ответы на один или более запросов), и в этом случае реализация аутентификатора ДОЛЖНА передавать неудачу EAP (код 4). Альтернативно, переговоры по аутентификации могут продолжаться, пока аутентификатор не определит, что произошла успешная аутентификация, и в этом случае аутентификатор ДОЛЖНО передавать успех EAP (код 3).
Работая как "аутентификатор ретранслятора", аутентификатор осуществляет проверки полей "код", "идентификатор" и "длина". Он ретранслирует пакеты EAP, принятые от однорангового устройства и предназначенные для его уровня аутентификатора на внутренний сервер аутентификации; пакеты, принятые от внутреннего сервера аутентификации, предназначенные для однорангового устройства, ретранслируются на него.
Фиг. 3 демонстрирует поток сообщений, предусматривающий обе первичную и вторичную аутентификацию, с использованием EAP, согласно некоторым вариантам осуществления.
Этап 1: UE отправляет запрос регистрации.
Этап 2: процедура первичной аутентификации выполняется между UE и SEAF. После успешной аутентификации, первичный идентификатор (например, международный идентификатор мобильного абонента, IMSI) проверяется, и выполняются следующие этапы.
Этап 3: устанавливается безопасность NAS, т.е. безопасность CP. После этого конфиденциальность и целостность всех сообщений NAS защищены.
Этап 4: обработка запроса установления сеанса PDU осуществляется в два этапа. На этапе 4a UE отправляет запрос установления сеанса PDU на AMF. Это сообщение содержит первичный идентификатор и в необязательном порядке может нести вторичный идентификатор, используемый позже во вторичной аутентификации EAP. Конфиденциальность и, в необязательном порядке, целостность запроса между UE и AMF защищена. AMF подтверждает, что сообщение исходит от UE, которое было аутентифицировано на этапе 2, и ретранслирует его, в том числе, проверенную информацию идентификатора. На этапе 4b, SMF принимает запрос установления сеанса PDU от AMF. Если SMF не провела вторичную аутентификацию для первичного идентификатора, и она имела локальную политику для аутентификации UE, SMF должна инициировать процедуру вторичной аутентификации. SMF также поддерживает политику повторной аутентификации, и если SMF аутентифицировала принятый первичный идентификатор очень давно, может потребоваться инициировать повторную аутентификацию.
Этап 5: процедура вторичной аутентификации осуществляется между UE и внешним AAA через SMF. Затем, в этом случае, SMF выступает в роли аутентификатора EAP, и внешний AAA выступает в роли сервера EAP. Сообщения EAP переносятся по протоколу NAS–SM, прозрачно для AMF. Это может потребовать указание новых сообщений NAS–SM, которые могут нести пакеты SM–EAP, например, запрос аутентификации SM и ответ аутентификации SM. Если запрос установления сеанса PDU несет вторичный идентификатор UE, SMF может пропустить запрос идентификатора EAP и инициировать аутентификация по EAP непосредственно с сервером AAA. Обмен по EAP по радиоинтерфейсу пользуется защитой на уровне NAS.
Вторичную аутентификацию по EAP в необязательном порядке может требоваться связывать с каналом, по которому она может осуществляться, или в противном случае существует опасность пакетов EAP туннелей со злоумышленником в середине между каналами (например, если один и тот же способ EAP и учетные данные используются по различным каналам). Связывание каналов может осуществляться с использованием информации, связанной с каналом (например, первичного идентификатора, используемого на этапе 2, предполагая, что он может включать в себя информацию, относящуюся к типу доступа или типу базовой сети, или информацию, относящуюся к сетевому слайсу). Информация, связанная с каналом, используется либо непосредственно в криптографических операциях во вторичной аутентификации по EAP, или позже при использовании главного ключа (т.е. главного ключа сеанса, MSK, или расширенного MSK, EMSK), созданного из вторичной аутентификации в некоторых целях. Информация о канале может представлять собой одно из следующих: тип сети доступа (например, радиосвязь 5G, беспроводная локальная сеть доступа WLAN), тип базовой сети (например, базовая сеть 5G) или тип или идентификатор сетевого слайса (например, хранение информации о доступных сетевых слайсах NSSAI, SM–NSSAI или имя сети передачи данных DNN).
В частности, большинство способов аутентификации по EAP создают главный ключ (MSK и EMSK) в результате аутентификации. Этот ключ используется для создания ключей сеанса, например, ключа защиты целостности или ключа шифрования. Связывание каналов может осуществляться в двух местах: a) внутри способа EAP при создании MSK/EMSK, и в этом случае параметры связывания являются входными значениями в вывод ключа: MSK=KDF(параметры связывания, другие параметры) и/или EMSK=KDF(параметры связывания, другие параметры); или b) после создания MSK/EMSK при создании какого–либо другого (главного) ключа: ключ=KDF(параметры связывания, MSK) и/или ключ=KDF(параметры связывания, EMSK).
Этап 6: как часть обмена AAA, внешний сервер AAA может указывать SMF политику повторной аутентификации. Это может быть, например, максимальное время, после которого требуется новая аутентификация.
После успешной аутентификации, обмен AAA также может включать в себя обмен информацией авторизации услуги/сеанса с SMF. В этом случае, AAA может обеспечивать SMF профилем авторизации услуги (или идентификатором/жетоном профиля авторизации услуги) из которого SMF будет способна определять, авторизована ли запрашиваемая услуга для пользователя, и если авторизована, каким образом нужно предоставлять услугу в отношении, например, качества обслуживания, качества восприятия, внесения денежных средств и т.д.
Этап 7: SMF в необязательном порядке осуществляет связывание первичного идентификатора и вторичного идентификатора, и сохраняет это локально. Когда SMF получает новый запрос из AMF, которая несет первичный идентификатор, она может полагать, что сообщения поступают из того UE, которое имеет вторичный идентификатор.
Этап 8: После успешной аутентификации и авторизации SMF будет выбирать функцию плоскости пользователя, UPF, для плоскости пользователя, связанной с запрашиваемой услуги.
Этап 9: SMF возвращает ответ установления сеанса PDU в зависимости от результата вторичной аутентификации. Это сообщение может нести окончательное сообщение EAP, т.е. принятие установления сеанса PDU может нести успех EAP, или неудача установление сеанса PDU может нести неудачу EAP.
На этапе 5 SMF принимает роль аутентификатора EAP и может опираться на внутренний сервер AAA в сети передачи данных, возможно, в другом домене безопасности, например, управляемом третьей стороной. Затем остается открытым вопрос, как сообщения AAA переносятся между SMF и сервером AAA. Существуют разные возможности. В первом варианте осуществления сообщения AAA переносятся через прямой интерфейс между SMF и AAA аналогично решению EPC PCO. Этот интерфейс устанавливается на основании бизнес–соглашений, когда AAA управляется третьей стороной. На фиг. 4 показана архитектура протоколов для поддержки вторичной аутентификации на основе EAP с прямым интерфейсом между SMF и сервером AAA (именуемый XX). На стороне от UE к SMF, показана возможность переноса сообщений EAP согласно протоколу NAS.
Во втором варианте осуществления, сообщения AAA прозрачно переносятся по интерфейсам NG4–NG6 через UPF. UPF может принимать роль посредника AAA, или проще, IP–маршрутизатора. В этом случае, SMF будет выполнять этап 8 до обмена AAA на этапе 5 на фиг. 3, что позволяет обрабатывать обмен AAA через выбранную UPF. На фиг. 5 показана поддержка вторичной аутентификации на основе EAP, где сообщения EAP переносятся через UPF по интерфейсам NG4–NG6. Таким образом, интерфейсы NG4–NG6 используются прозрачно для переноса сообщений AAA между SMF и сервером AAA. В этом конкретном случае (фиг. 5), UPF может действовать как IP–маршрутизатор, благодаря чему, обмен AAA между SMF и сервером AAA прозрачен для UPF.
В третьем варианте осуществления, UPF может фактически действовать как посредник AAA.
В четвертом варианте осуществления, SMF может действовать как сервер EAP, и в таком случае нет никакой необходимости во взаимодействии с внешним сервером AAA.
В пятом варианте осуществления, первичный идентификатор и вторичный идентификатор одинаковы или связаны друг с другом, например первичный идентификатор (или его часть) кодируется во вторичный идентификатор. Учетные данные, используемые для аутентификации, все же могут отличаться.
Аналогично механизму на основе PCO, вторичная аутентификация может использоваться для дополнительной авторизации под управлением внешней стороны по запросу UE для установления конкретных или дополнительных сеансов PDU. Другие варианты использования, связанные с защитой UP и слайсингом описаны в следующих пунктах.
Защита плоскости пользователя: сначала, если защита трафика UP заканчиваться на UPF, делается следующее предположение. Защита плоскости пользователя между UE и UPF осуществляется через дополнительный протокольный уровень независимо от защиты по интерфейсу NGU между UE и сетью доступа.
В таком случае, вторичная аутентификация может использоваться для установления необходимых ключей. Фактически, для этой конкретной цели, после успешной аутентификации, может использоваться полученный ключ MSK, обобществленный между SMF (аутентификатором EAP) и UE (одноранговым устройством).
В таком случае, механизмы для распределения ключей защиты, согласование алгоритмов и активация режима безопасности будут общими и не зависящими от способа аутентификации. Все эти операции могут осуществляться совместно с установлением сеанса PDU (этап 9 на фиг. 3).
Поддержка сетевого слайсинга: вторичная аутентификация может использоваться для сетевой зависящей от слайса авторизации. Фактически, после успешной первичной аутентификации через некоторую AMF, UE потенциально может обслуживаться через все сетевые слайсы, обслуживаемые этой конкретной AMF. Возможно, что UE автоматически авторизуется для осуществления доступа к все или некоторые из слайсов на основании информации подписки. Альтернативно, авторизация может осуществляться на основе зависимости от слайса с использованием вторичной аутентификации при создании сеанса PDU для конкретного слайса.
Для защиты трафика UP между UE и конкретном слайсе, можно использовать механизм, описанный в предыдущем пункте. Однако становится значимой конфигурация слайсов в том смысле, кто управляет или владеет какой сетевой функцией. С точки зрения модели доверительности, это потребует, чтобы UPF и SMF зависели от слайса; в противном случае защита не будет служить никакой цели.
Ввиду вышеупомянутых вариаций и модификаций, фиг. 6 демонстрирует способ вторичной аутентификации пользовательского устройства 18, выполнено с возможностью использования в сети беспроводной связи, например, которая содержит сеть 12 доступа и базовую сеть, согласно некоторым вариантам осуществления. Способ осуществляется пользовательским устройством 18. Способ может содержать прием, пользовательским устройством 18, запроса расширяемого протокола аутентификации (EAP) 28 от функции 14 плоскости управления, которая находится в базовой сети (например, SMF), и которая выступает в роли аутентификатора 24 EAP для вторичной аутентификации пользовательского устройства 18 (блок 100). Вторичная аутентификация может быть аутентификацией пользовательского устройства 18 в дополнение к первичной аутентификации пользовательского устройства 18. Способ также может содержать, в ответ на запрос 28 EAP, передачу ответа 30 EAP от пользовательского устройства 18 на функцию 14 плоскости управления (например, SMF) (блок 110).
На фиг. 7 демонстрирует соответствующий способ, осуществляемый функцией 14 плоскости управления (например, SMF). Способ может содержать передачу запроса расширяемого протокола аутентификации (EAP) 28 от функции 14 плоскости управления (например, SMF) на пользовательское устройство 18, причем функция 14 плоскости управления находится в базовой сети и выступает в роли аутентификатора 24 EAP для вторичной аутентификации пользовательского устройства 18 (блок 200). Опять же, вторичная аутентификация может быть аутентификацией пользовательского устройства 18 в дополнение к первичной аутентификации пользовательского устройства 18. Способ также может содержать, в ответ на запрос 28 EAP, прием на функции 14 плоскости управления ответа 30 EAP от пользовательского устройства 18 (блок 210).
В некоторых вариантах осуществления, функция 14 плоскости управления также выступает в роли сервера EAP, который выполняет способ аутентификации по EAP для вторичной аутентификации пользовательского устройства 18. Альтернативно, функция 14 плоскости управления может выступать в роли аутентификатора ретранслятора, который ретранслирует запрос 28 EAP и ответ 30 EAP между пользовательским устройством 18 и сервером 26 EAP (отдельным от аутентификатора EAP), который выполняет способ аутентификации по EAP для аутентификатора EAP.
Фиг. 8 в связи с этим демонстрирует способ, осуществляемый сервером 26 EAP для вторичной аутентификации пользовательского устройства 18. Способ может содержать передачу запроса расширяемого протокола аутентификации (EAP) 28 от сервера 26 EAP на пользовательское устройство 18 через функцию 14 плоскости управления (например, SMF) (блок 300). Функция плоскости управления в связи с этим находится в базовой сети и выступает в роли аутентификатора EAP ретранслятора для вторичной аутентификации пользовательского устройства 18. Вторичная аутентификация может быть аутентификацией пользовательского устройства 18 в дополнение к первичной аутентификации пользовательского устройства 18. Сервер 26 EAP может быть выполнен с возможностью выполнения способа аутентификации по EAP для аутентификатора 24 EAP. Способ может дополнительно содержать, в ответ на запрос 28 EAP, прием на сервере 26 EAP через функцию 14 плоскости управления ответом 30 EAP от пользовательского устройства 18 (блок 310).
В некоторых вариантах осуществления, сервер 26 EAP находится в сети 22 передачи данных, с которой пользовательское устройство 18 запрашивает сеанс плоскости пользователя. Вторичная аутентификация пользовательского устройства 18 может быть аутентификацией пользовательского устройства 18 для установления сеанса плоскости пользователя 20. В некоторых вариантах осуществления, вторичная аутентификация делегируется сетью беспроводной связи сети 22 передачи данных.
Заметим, что сетевой узел здесь является узлом любого типа в AN 14 (например, базовой станцией) или базовой сети. Когда сетевой узел является узлом радиосети в AN, узел имеет возможность осуществления связи с другим узлом посредством радиосигналов. Беспроводное устройство является устройством любого типа, способным осуществлять связь с узлом радиосети посредством радиосигналов. Таким образом, беспроводное устройство может относиться к межмашинному (M2M) устройству, устройству связи машинного типа (MTC), устройство NB–IoT и т.д. Беспроводное устройство также может быть UE, однако следует отметить, что UE не обязательно иметь “пользователя” в смысле отдельного лица, владеющего и/или оперирующего устройством. Беспроводное устройство также может именоваться радио–устройством, устройством радиосвязи, беспроводным терминалом, или просто терминалом – пока не указывает контекст в противном случае, использование любого из этих терминов призвано включать в себя межустройственные UE или устройства, устройства машинного типа или устройства, способные к межмашинной связи, датчики, снабженные беспроводным устройством, планшетные компьютеры с возможностью беспроводной связи, мобильные терминалы, смартфоны, оборудование, встроенное в портативный компьютер (LEE), оборудование, установленное на портативном компьютере (LME), USB–заглушки, оборудование, устанавливаемое в помещении клиента (CPE), и т.д. В приведенном здесь рассмотрении также могут использоваться термины межмашинное (M2M) устройство, устройство связи машинного типа (MTC), беспроводной датчик и датчик. Следует понимать, что эти устройства могут быть UE, но в общем случае выполнены с возможностью передавать и/или принимать данные без прямого взаимодействия с человеком.
В сценарии IOT, описанное здесь устройство беспроводной связи может представлять собой машину или устройство, или может содержаться в нем, которое осуществляет мониторинг или измерения, и передает результаты таких мониторинговых измерений на другое устройство или сеть. Конкретные примеры таких машин представляют собой измерители мощности, промышленное оборудование, или домовые или персональные электроприборы, например, холодильники, телевизоры, персональные носимые устройства, например, часы и т.д. В других сценариях, описанное здесь устройство беспроводной связи может содержаться в транспортном средстве и может осуществлять мониторинг и/или предоставление отчета о рабочем состоянии транспортного средства или других функцией, связанных с транспортным средством.
Пользовательское устройство 18 здесь может осуществлять указанную здесь обработку путем осуществления любых функциональных средств или блоков. В одном варианте осуществления, например, пользовательское устройство 18 содержит соответствующие схемы, выполненные с возможностью осуществления этапов, показанных на фиг. 6. Схемы в связи с этим могут содержать схемы, предназначенные для осуществления некоторой функциональной обработки и/или один или более микропроцессоров совместно с памятью. Согласно вариантам осуществления, которые используют память, которые могут содержать один или несколько типов памяти, например, постоянную память (ROM), оперативную память, кэш–память, устройства флеш–памяти, оптические запоминающие устройства и т.д., в памяти хранится программный код, который, при выполнении одним или более микропроцессорами, осуществляет описанные здесь методы. Таким образом, в некоторых вариантах осуществления память пользовательского устройства 18 содержит инструкции, исполняемые схемой обработки, благодаря чему, пользовательское устройство 18 выполнено с возможностью осуществления указанной здесь обработки.
Фиг. 9A демонстрирует дополнительные детали пользовательского устройства 18 в соответствии с одним или более вариантами осуществления. Как показано, пользовательское устройство 18 включает в себя схему 410 обработки и схему 420 связи (например, одну или более радиосхем). Схема 420 связи может быть выполнена с возможностью передачи через одну или более антенн, которые могут быть внутренними и/или внешними относительно пользовательского устройства 18. Схема 410 обработки выполнена с возможностью осуществления вышеописанной обработки, например, на фиг. 6, например, путем выполнения инструкций, хранящихся в памяти 430. Схема 410 обработки в связи с этим может осуществлять некоторые функциональные средства или блоки.
Фиг. 9B в связи с этим демонстрирует дополнительные детали пользовательского устройства 18 в соответствии с одним или более другими вариантами осуществления. Как показано, пользовательское устройство 18 может включать в себя приемный блок или модуль 440 для приема запроса 28 EAP и передающий блок или модуль 450 для передачи ответа 30 EAP. Эти блоки или модули могут быть реализованы схемой 410 обработки на фиг. 9A.
Аналогично, функция 14 плоскости управления (например, SMF) может обеспечиваться или реализовываться оборудованием плоскости управления в плоскости управления. Оборудование плоскости управления в связи с этим может включать в себя один или более узлов плоскости управления. Несколько распределенных узлов плоскости управления могут, например, выполнять или реализовать функцию 14 плоскости управления в распределенном режиме. Альтернативно, единый узел плоскости управления может выполнять или реализовать функцию 14 плоскости управления в централизованном режиме.
При этом оборудование плоскости управления может осуществлять указанную здесь обработку функции 14 плоскости управления путем осуществления любых функциональных средств или блоков. В одном варианте осуществления, например, оборудование плоскости управления содержит соответствующие схемы, выполненные с возможностью осуществления этапов, показанных на фиг. 7. Схемы в связи с этим могут содержать схемы, предназначенные для осуществления некоторой функциональной обработки и/или один или более микропроцессоров совместно с памятью. Согласно вариантам осуществления, которые используют память, которые могут содержать один или несколько типов памяти, например, постоянную память (ROM), оперативную память, кэш–память, устройства флеш–памяти, оптические запоминающие устройства и т.д., в памяти хранится программный код, который, при выполнении одним или более микропроцессорами, осуществляет описанные здесь методы. Таким образом, в некоторых вариантах осуществления память оборудования плоскости управления содержит инструкции, исполняемые схемой обработки, благодаря чему, оборудование плоскости управления выполнено с возможностью осуществления указанной здесь обработки.
Фиг. 10A демонстрирует дополнительные детали оборудования 500 плоскости управления в соответствии с одним или более вариантами осуществления. Как показано, оборудование 500 плоскости управления включает в себя схему 510 обработки и схему 520 связи. Схема 520 связи может быть выполнена с возможностью осуществления связи с пользовательским устройством 18, например, через один или более заданных интерфейсов. Схема 510 обработки выполнена с возможностью осуществления вышеописанной обработки, например, на фиг. 7, например, путем выполнения инструкций, хранящихся в памяти 530. Схема 510 обработки в связи с этим может осуществлять некоторые функциональные средства или блоки.
Фиг. 10B в связи с этим демонстрирует дополнительные детали оборудования 500 плоскости управления в соответствии с одним или более другими вариантами осуществления. Как показано, оборудование 500 плоскости управления может включать в себя приемный блок или модуль 540 для приема ответа 30 EAP и передающий блок или модуль 5 для передачи запроса 28 EAP. Эти блоки или модули могут быть реализованы схемой 510 обработки на фиг. 10A.
При этом сервер 26 EAP (также именуемый внутренним сервером аутентификации или сервером аутентификации) может осуществлять указанную здесь обработку путем осуществления любых функциональных средств или блоков. В одном варианте осуществления, например, сервер 26 EAP содержит соответствующие схемы, выполненные с возможностью осуществления этапов, показанных на фиг. 8. Схемы в связи с этим могут содержать схемы, предназначенные для осуществления некоторой функциональной обработки и/или один или более микропроцессоров совместно с памятью. Согласно вариантам осуществления, которые используют память, которые могут содержать один или несколько типов памяти, например, постоянную память (ROM), оперативную память, кэш–память, устройства флеш–памяти, оптические запоминающие устройства и т.д., в памяти хранится программный код, который, при выполнении одним или более микропроцессорами, осуществляет описанные здесь методы. Таким образом, в некоторых вариантах осуществления память сервера 26 EAP содержит инструкции, исполняемые схемой обработки, благодаря чему, сервер 26 аутентификации выполнен с возможностью осуществления указанной здесь обработки.
Фиг. 11A демонстрирует дополнительные детали сервера 26 EAP в соответствии с одним или более вариантами осуществления. Как показано, сервер 26 EAP включает в себя схему 610 обработки и схема 620 связи. Схема 620 связи может быть выполнена с возможностью осуществления связи с пользовательским устройством 18 и/или функцией 14 плоскости управления, например, через один или более заданных интерфейсов. Схема 610 обработки выполнена с возможностью осуществления вышеописанной обработки, например, на фиг. 8, например, путем выполнения инструкций, хранящихся в памяти 630. Схема 610 обработки в связи с этим может осуществлять некоторые функциональные средства или блоки.
Фиг. 11B в связи с этим демонстрирует дополнительные детали сервера 26 EAP в соответствии с одним или более другими вариантами осуществления. Как показано, сервер 26 EAP может включать в себя приемный блок или модуль 640 для приема ответа 30 EAP и передающий блок или модуль 650 для передачи запроса 28 EAP. Эти блоки или модули могут быть реализованы схемой 610 обработки на фиг. 11A.
Специалистам в данной области техники также ясно, что рассмотренные здесь варианты осуществления дополнительно включают в себя соответствующие компьютерные программы.
Компьютерная программа содержит инструкции, которые, при выполнении на по меньшей мере одном процессоре (например, пользовательского устройства 18, оборудования 500 плоскости управления или сервера 26 EAP), предписывают процессору осуществлять любую из соответствующей вышеописанной обработки. Компьютерная программа в связи с этим может содержать один или более модулей кода, соответствующих вышеописанным средствам или блокам.
Варианты осуществления дополнительно включают в себя носитель, содержащий такую компьютерную программу. Этот носитель может содержать один из электронного сигнала, оптического сигнала, радиосигнала или компьютерно–считываемого носителя данных.
1. Способ вторичной аутентификации пользовательского устройства (18), причем способ содержит этапы, на которых:
принимают (100), на пользовательском устройстве (18), запрос (28) расширяемого протокола аутентификации, EAP, от функции (14) диспетчеризации сеансов, SMF, которая выступает в роли аутентификатора EAP, для вторичной аутентификации пользовательского устройства (18), причем вторичная аутентификация является аутентификацией пользовательского устройства (18) в дополнение к первичной аутентификации пользовательского устройства (18); и
в ответ на запрос (28) EAP, передают (110) ответ (30) EAP от пользовательского устройства (18) на SMF (14).
2. Способ вторичной аутентификации пользовательского устройства (18), причем способ содержит этапы, на которых:
передают (200) запрос (28) расширяемого протокола аутентификации, EAP, от функции (14) диспетчеризации сеансов, SMF, на пользовательское устройство (18), причем SMF (14) выступает в роли аутентификатора EAP для вторичной аутентификации пользовательского устройства (18), причем вторичная аутентификация является аутентификацией пользовательского устройства (18) в дополнение к первичной аутентификации пользовательского устройства (18); и
в ответ на запрос (28) EAP, принимают (210) на SMF (14) ответ (30) EAP от пользовательского устройства (18).
3. Способ по любому из пп. 1, 2, в котором SMF (14) также выступает в роли сервера EAP, который выполняет способ аутентификации по EAP для вторичной аутентификации пользовательского устройства (18).
4. Способ по любому из пп. 1, 2, в котором SMF (14) выполнена с возможностью ретрансляции запроса (28) EAP и ответа (30) EAP между пользовательским устройством (18) и сервером (26) EAP, который выполняет способ аутентификации по EAP для аутентификатора EAP.
5. Способ вторичной аутентификации пользовательского устройства (18), причем способ содержит этапы, на которых:
передают (300) запрос (28) расширяемого протокола аутентификации, EAP, от сервера (26) EAP на пользовательское устройство (18) через функцию (14) диспетчеризации сеансов, SMF, причем SMF (14) выступает в роли аутентификатора EAP для вторичной аутентификации пользовательского устройства (18), причем вторичная аутентификация является аутентификацией пользовательского устройства (18) в дополнение к первичной аутентификации пользовательского устройства (18) и при этом сервер (26) EAP выполнен с возможностью выполнения способа аутентификации по EAP для аутентификатора EAP; и
в ответ на запрос (28) EAP, принимают (310) на сервере (26) EAP через SMF (14) ответ (30) EAP от пользовательского устройства (18).
6. Способ по п. 5, в котором пользовательское устройство (18) и SMF (14) выполнены с возможностью использования в сети беспроводной связи, причем сервер EAP находится в сети передачи данных, с которой пользовательское устройство (18) запрашивает сеанс плоскости пользователя, причем вторичная аутентификация пользовательского устройства (18) является аутентификацией пользовательского устройства (18) для установления сеанса плоскости пользователя, причем вторичная аутентификация делегируется сетью беспроводной связи сети передачи данных.
7. Способ по любому из пп. 5, 6, в котором запрос (28) EAP и ответ (30) EAP передаются между SMF (14) и сервером EAP через функцию плоскости пользователя, выбранную SMF (14).
8. Способ по п. 7, в котором функция плоскости пользователя выступает в роли посредника для сервера EAP.
9. Способ по п. 7, в котором функция плоскости пользователя выступает в роли маршрутизатора, через который запрос (28) EAP и ответ (30) EAP прозрачно передаются на функцию плоскости пользователя.
10. Способ по любому из пп. 1, 2, 5, 6, 8, 9, в котором запрос (28) EAP и ответ (30) EAP инкапсулируются в соответствующих сообщениях протокола слоя без доступа (NAS) между SMF (14) и UE.
11. Способ по любому из пп. 1, 2, 5, 6, 8, 9, в котором упомянутые передача и прием осуществляются после первичной аутентификации пользовательского устройства (18) функцией якоря безопасности в базовой сети.
12. Способ по любому из пп. 1, 2, 5, 6, 8, 9, в котором базовая сеть содержит несколько разных сетевых слайсов, соответственно, предназначенных для разных услуг, причем вторичная аутентификация пользовательского устройства (18) содержит зависящую от слайса аутентификацию пользовательского устройства (18) для осуществления доступа к конкретному сетевому слайсу базовой сети.
13. Способ по любому из пп. 1, 2, 5, 6, 8, 9, дополнительно содержащий этап, на котором, на основании успешной вторичной аутентификации пользовательского устройства (18), получают ключ безопасности, обобществленный между пользовательским устройством (18) и SMF (14).
14. Способ по любому из пп. 1, 2, 5, 6, 8, 9, в котором запрос установления сеанса, передаваемый от пользовательского устройства (18), инициирует вторичную аутентификацию пользовательского устройства (18).
15. Способ по п. 14, в котором запрос установления сеанса включает в себя вторичный идентификатор пользовательского устройства (18), используемый для вторичной аутентификации.
16. Способ по п. 14, в котором ответ установления сеанса, передаваемый на пользовательское устройство (18), включает в себя либо сообщение успеха EAP, указывающее успех вторичной аутентификации, либо сообщение неудачи EAP, указывающее неудачу вторичной аутентификации.
17. Способ по любому из пп. 1, 2, 5, 6, 8, 9, 15, 16, дополнительно содержащий этап, на котором связывают вторичную аутентификацию пользовательского устройства (18) с каналом, по которому осуществляется вторичная аутентификация.
18. Способ по любому из пп. 1, 2, 5, 6, 8, 9, 15, 16, дополнительно содержащий этап, на котором выводят, на основании успешной вторичной аутентификации пользовательского устройства (18), ключ безопасности, обобществленный между пользовательским устройством (18) и SMF (14), причем упомянутый вывод содержит вывод ключа безопасности на основании информации связывания, связанной с каналом, по которому осуществляется вторичную аутентификацию.
19. Способ по п. 18, в котором упомянутая информация связывания содержит одну или более из:
информации, идентифицирующей тип сети доступа, через которую пользовательское устройство (18) осуществляет доступ к сети беспроводной связи;
информации, идентифицирующей тип базовой сети для сети беспроводной связи;
информации, идентифицирующей слайс базовой сети, к которой пользовательское устройство (18) запрашивает доступ; и
информации, идентифицирующей тип слайса базовой сети, к которому пользовательское устройство (18) запрашивает доступ.
20. Способ по любому из пп. 1, 2, 5, 6, 8, 9, 15, 16, 19, в котором SMF (14) включена в сеть 5G.
21. Пользовательское устройство (18), выполненное с возможностью:
принимать запрос (28) расширяемого протокола аутентификации, EAP, от функции (14) диспетчеризации сеансов, SMF, которая выступает в роли аутентификатора EAP, для вторичной аутентификации пользовательского устройства (18), причем вторичная аутентификация является аутентификацией пользовательского устройства (18) в дополнение к первичной аутентификации пользовательского устройства (18); и
в ответ на запрос (28) EAP, передавать ответ (30) EAP на SMF (14).
22. Пользовательское устройство по п. 21, выполненное с возможностью осуществления способа по любому из пп. 3, 4 и 6–20.
23. Сетевое оборудование, выполненное с возможностью обеспечения функции (14) диспетчеризации сеансов, SMF, причем SMF (14) выполнена с возможностью:
передавать запрос (28) расширяемого протокола аутентификации, EAP, от SMF (14) на пользовательское устройство (18), причем SMF (14) выступает в роли аутентификатора EAP для вторичной аутентификации пользовательского устройства (18), причем вторичная аутентификация является аутентификацией пользовательского устройства (18) в дополнение к первичной аутентификации пользовательского устройства (18); и
в ответ на запрос (28) EAP, принимать на SMF (14) ответ (30) EAP от пользовательского устройства (18).
24. Сетевое оборудование по п. 23, в котором сетевое оборудование распределено по нескольким сетевым узлам.
25. Сетевое оборудование по п. 23, в котором сетевое оборудование сосредоточено на едином сетевом узле.
26. Сетевое оборудование по любому из пп. 23–25, в котором SMF (14) выполнена с возможностью осуществления способа по любому из пп. 2–4 и 6–20.
27. Сервер расширяемого протокола аутентификации, EAP, выполненный с возможностью:
передавать запрос (28) EAP от сервера EAP на пользовательское устройство (18) через функцию (14) диспетчеризации сеансов, SMF, которая выступает в роли аутентификатора EAP, для вторичной аутентификации пользовательского устройства (18), причем вторичная аутентификация является аутентификацией пользовательского устройства (18) в дополнение к первичной аутентификации пользовательского устройства (18) и при этом сервер EAP выполнен с возможностью выполнения способа аутентификации по EAP для аутентификатора EAP; и
в ответ на запрос (28) EAP, принимать на сервере (26) EAP через SMF (14) ответ (30) EAP от пользовательского устройства (18).
28. Сервер EAP по п. 27, выполненный с возможностью осуществления способа по любому из пп. 6–20.
29. Компьютерно-считываемый носитель данных, содержащий компьютерную программу, содержащую инструкции, которые, при выполнении по меньшей мере одним процессором, предписывают процессору осуществлять способ по любому из пп. 1–20.
30. Пользовательское устройство (18), содержащее:
схему (410) обработки и память (430), причем память (430) содержит инструкции, исполняемые схемой (410) обработки, благодаря чему пользовательское устройство (18) выполнено с возможностью:
принимать запрос (28) расширяемого протокола аутентификации, EAP, от функции диспетчеризации сеансов (SMF), которая выступает в роли аутентификатора EAP, для вторичной аутентификации пользовательского устройства (18), причем вторичная аутентификация является аутентификацией пользовательского устройства (18) в дополнение к первичной аутентификации пользовательского устройства (18); и
в ответ на запрос (28) EAP, передавать ответ (30) EAP от пользовательского устройства (18) на SMF (14).
31. Пользовательское устройство по п. 30, выполненное с возможностью осуществления способа по любому из пп. 3, 4 и 6–20.
32. Сетевое оборудование (500), выполненное с возможностью обеспечения функции (14) диспетчеризации сеансов, SMF, причем оборудование (500) плоскости управления содержит схему (510) обработки и память (530), причем память (530) содержит инструкции, исполняемые схемой (510) обработки, благодаря чему SMF (14) выполнена с возможностью:
передавать запрос (28) расширяемого протокола аутентификации, EAP, от SMF (14) на пользовательское устройство (18), причем SMF (14) выступает в роли аутентификатора EAP для вторичной аутентификации пользовательского устройства (18), причем вторичная аутентификация является аутентификацией пользовательского устройства (18) в дополнение к первичной аутентификации пользовательского устройства (18); и
в ответ на запрос (28) EAP, принимать на SMF (14) ответ (30) EAP от пользовательского устройства (18).
33. Сетевое оборудование по п. 32, в котором сетевое оборудование распределено по нескольким сетевым узлам.
34. Сетевое оборудование по п. 32, в котором сетевое оборудование сосредоточено на едином сетевом узле.
35. Сетевое оборудование по любому из пп. 32–34, в котором SMF (14) выполнена с возможностью осуществления способа по любому из пп. 2–4 и 6–20.
36. Сервер (26) расширяемого протокола аутентификации, EAP, содержащий:
схему (610) обработки и память (630), причем память (630) содержит инструкции, исполняемые схемой (610) обработки, благодаря чему сервер (26) EAP выполнен с возможностью:
передавать запрос (28) EAP от сервера EAP на пользовательское устройство (18) через функцию (14) диспетчеризации сеансов, SMF, которая выступает в роли аутентификатора EAP, для вторичной аутентификации пользовательского устройства (18), причем вторичная аутентификация является аутентификацией пользовательского устройства (18) в дополнение к первичной аутентификации пользовательского устройства (18) и при этом сервер EAP выполнен с возможностью выполнения способа аутентификации по EAP для аутентификатора EAP; и
в ответ на запрос (28) EAP, принимать на сервере (26) EAP через SMF (14) ответ (30) EAP от пользовательского устройства (18).
37. Сервер EAP по п. 36, выполненный с возможностью осуществления способа по любому из пп. 6–20.
