统一安全性架构制造技术

创建包括一组安全服务功能的安全服务功能链。安全服务功能链是响应于通信网络(5G或类似网络)中指定网络分区(例如，网络切片)的实例化而创建的。通信网络支持多个网络分区的实例化以用于提供相应的多个网络服务。针对接入和寻求接入与指定网络分区对应的网络服务(例如，eMBB、大规模IoT和任务关键型IoT中的一个)的实体(例如，订户或设备)，使用安全服务功能链执行至少一个安全服务(例如，认证)。

Unified Security Architecture

【技术实现步骤摘要】
【国外来华专利技术】统一安全性架构
本申请一般地涉及通信网络，更具体但非排它地，涉及通信网络中的安全性功能。
技术介绍
本节介绍了可有助于更好地理解本专利技术的各方面。因此，本节的陈述应从这个角度来阅读，并且不应被理解为承认现有技术中的内容或现有技术中没有的内容。由国际电信联盟(ITU)管理的第四代(4G)无线移动电信技术被开发以提供具有高数据速率的高容量移动多媒体，特别是用于人类交互。下一代或第五代(5G)技术将不仅用于人机交互，还用于机器类型通信。在第三代合作伙伴计划(3GPP)技术报告(TR)22.891中已经描述了覆盖不同5G场景的超过70个使用实例，此报告的公开内容在此通过引用而全部并入本文。4G与5G设计要求之间的主要区别在于5G网络必须支持使用实例的多样性，而4G网络主要是针对实现高速移动宽带的单一使用实例而设计的。如上所述，5G将实现非常多样化的使用实例。每个使用实例具有不同的安全性要求。例如，具有支持大量(例如，每平方公里约100万个连接)的低能力设备(例如，传感器、致动器和相机)以及10年以上电池寿命的规格的大规模物联网(IoT)应用也需要节能的安全方案。此外，具有低延迟和高可靠性设备的任务关键型IoT应用(例如，工业控制系统、移动医疗保健、车辆实时控制、道路交通、事故预防、智能电网广域监控系统、公共安全通信系统、多媒体优先服务等)需要实时自适应高级安全方案。此外，具有改进的移动设备无线因特网接入规范的增强型移动宽带(eMBB)服务也需要改进的安全方案。然而，在满足与5G和类似网络中支持的多种不同使用实例相关联的多种不同安全性要求方面存在重大挑战。已有的安全方案无法充分应对这些重大挑战。
技术实现思路
说明性实施例提供了用于在通信网络中提供统一安全性功能和架构的技术。虽然可以预期这些实施例提供例如相对于传统方法的性能改进和/或成本降低，但除非在特定权利要求中明确地叙述，否则任何实施例不需要特定结果。例如，在一个实施例中，一种方法包括以下步骤。创建包括一组安全服务功能的安全服务功能链。安全服务功能链是响应于通信网络中指定网络分区的实例化而创建的。通信网络支持多个网络分区的实例化以用于提供相应的多个网络服务。针对执行接入与指定网络分区对应的网络服务和寻求接入与指定网络分区对应的网络服务中的一个的实体，使用安全服务功能链以执行至少一个安全服务。在另一个实施例中，提供了一种制品，其包括其中编码有一个或多个软件程序的可执行代码的处理器可读存储介质。一个或多个软件程序在由至少一个处理设备执行时执行上述方法的步骤。在又一个实施例中，一种装置包括存储器和处理器，处理器被配置为执行上述方法的步骤。有利地，说明性实施例提供了统一安全服务功能(例如但不限于认证功能)和架构，以满足5G和类似网络(例如，大规模IoT、任务关键型IoT、eMBB等)所支持的多种不同的安全性要求中的不同安全性要求，以及对接入或寻求接入网络分区、网络服务和/或通信网络的其它部分的实体(例如，订户(使用具有订户或用户标识模块的设备)或设备(不具有订户或用户标识模块))提供密钥协商以及机密性和完整性保护协议。通过附图和以下详细描述，在本文中描述的实施例的这些和其它特征和优点将变得更加明显。附图说明图1示出根据一个实施例的统一认证架构；图2示出根据一个实施例的认证状态和安全上下文表；图3示出根据一个实施例的用于从访问域网络发起的附着请求的认证方法；图4示出根据一个实施例的用于从3GPP系统接入到非3GPP系统接入的移动的认证方法；图5示出根据一个实施例的用于用户设备接入分别由多个网络切片提供的多个应用的单点登录方法；图6示出根据一个或多个实施例的在其上实现统一认证架构的处理平台。具体实施方式本文将参考示例性计算系统、数据存储系统、通信网络、处理平台、系统、用户设备、网络节点、网络单元、客户端、服务器和相关联的通信协议来描述说明性实施例。然而，应理解，实施例不限于与所描述的特定布置一起使用，而是更一般地适用于需要提供用于改进通信网络中的安全性的机制和方法的任何环境。虽然本文在认证功能的上下文中描述了说明性实施例，但应理解，在给出本文提供的教导的情况下，可以以直接的方式用其它安全性功能来实现替代实施例。根据说明性实施例，与用于5G或类似网络的统一认证架构相关联的一些主要设计原理如下：i)通常，有三种主要类型的5G服务/应用(使用实例)，即eMBB、大规模IoT和任务关键型IoT。说明性实施例为具有不同安全性要求的这三种类型的5G服务/应用设计了统一认证架构。然而，统一认证架构是可扩展的，并且还可以以直接的方式应用于可具有不同安全性要求的其它类型的5G服务/应用(使用实例)。ii)通过向5G网络引入新技术，例如软件定义网络(SDN)和网络功能虚拟化(NFV)，可以按需自动部署统一认证架构中的逻辑功能。iii)无线网络中的安全性功能(例如，与演进型节点B(eNodeB或eNB)在同一平台中一起部署)可以从诸如附着请求的无线接入请求消息中提取/分离认证信息，构造认证请求消息，然后将它们转发到对应的认证功能。iv)认证功能已经集成到4G网络中的移动性管理实体(MME)、3G网络中的服务通用分组无线服务支持节点(SGSN)、以及2G网络中的移动交换中心/访问位置寄存器(MSC/VLR)中。根据说明性实施例，认证功能与这些网络功能分离，并且在5G网络中被部署为独立的公共功能。可以使用NFV和SDN技术来实现这种分离和部署。从发展的角度来看，5G网络中的认证功能应与4G/3G/2G网络中的认证兼容。根据说明性实施例的集中式认证功能还可以简化用于从3GPP网络系统接入到非3GPP网络系统接入的移动的认证过程。在3GPP技术规范(TS)33.401和TS33.234(其内容在此通过引用而全部并入本文)中定义的从3GPP系统接入到非3GPP网络系统接入的移动的认证非常复杂，并且是过载的。v)全球唯一临时ID/临时移动订户标识—国际移动订户标识(GUTI/TMSI-IMSI)映射管理的功能已经集成到4G网络中的MME、3G网络中的SGSN和2G网络中的MSC/VLR中。根据说明性实施例，GUTI/TMSI-IMSI映射管理功能与这些网络功能分离，并且在5G网络中被部署为独立的公共功能。诸如认证、移动性管理和网络资源管理的网络功能与GUTI/TMSI-IMSI映射管理功能交互以获取IMSI以用于进一步的操作/动作(例如，认证、切换、网络资源分配)。根据以上和其它设计原理，图1示出了用于5G或类似网络的统一认证架构。如图所示，统一认证架构100被示出为在5G或类似网络的各种子网间实现的逻辑功能(在本文中也被称为功能、模块和/或组件)。子网络包括无线网络110、核心网络130和数据网络(因特网)160。子网络110、130和160使用各种通信协议和网络基础架构可操作地耦合，这将在本文中进一步说明。例如，如架构100进一步示出的，无线网络110驻留在移动用户设备102-1、102-2、102-3、...、102-N与边缘云网络118之间。注意，移动用户设备在图1中被示出为各种通信设备，例如但不限于智能电话(例如，102-1)、IoT传感器和机器(例如，102-2)、以及车辆(例如，本文档来自技高网...

【技术保护点】
1.一种方法，包括：创建包括一组安全服务功能的安全服务功能链，其中，所述安全服务功能链是响应于通信网络中指定网络分区的实例化而创建的，其中，所述通信网络支持多个网络分区的实例化以用于提供相应的多个网络服务；以及针对执行接入与所述指定网络分区对应的网络服务和寻求接入与所述指定网络分区对应的网络服务中的一个的实体，使用所述安全服务功能链以执行至少一个安全服务；其中，所述步骤中的一个或多个由处理设备执行。

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：创建包括一组安全服务功能的安全服务功能链，其中，所述安全服务功能链是响应于通信网络中指定网络分区的实例化而创建的，其中，所述通信网络支持多个网络分区的实例化以用于提供相应的多个网络服务；以及针对执行接入与所述指定网络分区对应的网络服务和寻求接入与所述指定网络分区对应的网络服务中的一个的实体，使用所述安全服务功能链以执行至少一个安全服务；其中，所述步骤中的一个或多个由处理设备执行。2.根据权利要求1所述的方法，其中，所述至少一个安全服务包括所述实体与所述通信网络之间的相互认证。3.根据权利要求2所述的方法，其中，用于执行所述相互认证的所述安全服务功能链的创建由针对所述指定网络分区而创建的认证协调器管理。4.根据权利要求3所述的方法，其中，所述安全服务功能链至少包括以下项的子集：认证网关功能、认证功能、标识映射功能、以及机密性和完整性功能。5.根据权利要求4所述的方法，其中，所述认证网关功能被配置为：从所述实体接收消息；从所接收的消息中提取认证信息；根据所提取的认证信息构造认证请求消息；以及向所述认证功能转发所述认证请求消息。6.根据权利要求4所述的方法，其中，所述认证网关功能被配置为：从所述认证功能接收认证相关消息；将来自所接收的消息的认证信息并入接入响应消息中；以及向所述实体转发所述接入响应消息。7.根据权利要求4所述的方法，其中，所述认证网关功能被配置为：从所述认证功能接收密钥相关信息；以及向所述机密性和完整性功能转发所述密钥相关信息。8.根据权利要求4所述的方法，其中，所述认证功能被配置为：从多个认证机制中确定用于执行所述实体与所述通信网络之间的接入相互认证的认证机制。9.根据权利要求4所述的方法，其中，所述认证功能被配置为：基于由所述通信网络分配的与所述实体相关联的临时标识，从所述标识映射功能获取与所述实体相关联的实际标识。10.根据权利要求4所述的方法，其中，在所述通信网络中的访问域网络中操作的所述认证功能被配置为：通过所述指定网络分区的所述认证协调器，从所述通信网络中的归属域网络中的另一个认证功能获得用于所述实体的认证信息。11.根据权利要求4所述的方法，其中，所述认证功能被配置为：维持针对执行通过所述指定网络分区接入所述通信网络和寻求接入所述通信网络中的一个的实体的认证状态和安全上下文数据库。12.根据权利要求11所述的方法，其中，所述认证功能被配置为：在所述实体发起到目标网络的切换之后，针对所述实体，参考所述认证状态和安全上下文数据库，以避免执行所述实体与所述目标网络之间的相互认证。13.根据权利要求4所述的方法，其中，所述标识映射功能被配置为：管理与所述实体相关联的实际标识与由所述通信网络分配给所述实体的临时标识之间的关系。14.根据权利要求4所述的方法，其中，所述机密性和完整性功能被配置为：对所述网络分区的控制平面上的信令消息和所述网络分区的用户平面上的用户数据提供保护。15.根据权利要求3所述的方法，其中，用于所述指定网络分区的认证协调器由主认证协调器功能创建和管理。16.根据权利要求3所述的方法，其中，所述认证功能是第一认证功能，用于所述指定网络分区的认证协调器被配置为...

【专利技术属性】
技术研发人员：胡志远，骆志刚，严学强，
申请(专利权)人：上海诺基亚贝尔股份有限公司，
类型：发明
国别省市：上海,31