用于保护网络操控信息的方法和装置制造方法及图纸

根据某些实施例，一种由用户设备(UE)执行的用于保护网络操控信息的方法包括：向受访公共陆地移动网络(VPLMN)发送注册请求。一旦由认证服务器功能(AUSF)成功认证，生成归属网络根密钥。从第一网络节点接收包括网络操控信息在内的受保护消息。该受保护消息使用配置密钥(Kconf)和第一消息认证码(MAC‑1)保护。该配置密钥(Kconf)根据归属网络根密钥确定，并且UE验证该MAC‑1。基于Kconf和MAC‑1来验证VPLMN没有更改网络操控信息。向归属公共陆地移动网络(HPLMN)发送用第二消息认证码(MAC‑2)保护的确认消息。

Methods and devices for protecting network operation information

【技术实现步骤摘要】
【国外来华专利技术】用于保护网络操控信息的方法和装置
本公开的某些实施例大体上涉及无线通信，并且更具体地，涉及保护网络操控(steering)信息。
技术介绍
3GPPTSGS3-171733/S2-175286讨论了关于用于漫游的公共陆地移动网络(PLMN)和无线电接入技术(RAT)选择策略的LS。具体地，在3GPPTSGS3-171733/S2-175286中，来自系统方面工作组2(SA2)的LS在系统方面工作组3(SA3)#88中被接收。3GPPTSGS3-171733/S2-175286中来自SA2的LS指出，需要定义一种标准化方法，以允许给定的归属公共陆地移动网络(HPLMN)向其漫游用户设备(UE)提供关于取决于UE当前位置的优选网络和RAT的信息。SA2提交了以下需求供考虑，SA2中的以下需求确实提交了3GPPTSGS3-171733/S2-175286中的以下需求供考虑：·从HPLMN到UE使用控制平面解决方案。·受访公共陆地移动网络(VPLMN)能够将此信息中继到UE。·VPLMN将不能更改HPLMN发送的信息(即，UE应当能够检查提供给它的信息的完整性)。·UE应当能够检测VPLMN是否更改或删除了这些信息，并采取相应动作。系统方面工作组1(SA1)在3GGTSGS1-173478中参考TS22.261(第5.1.2.1和6.19子节)和TS22.011(第3.2.2.8子节)中的相应服务需求进行了回复。SA1需求似乎强调了HPLMN应当能够随时针对特定的VPLMN操控(steer)或重定向UE。C1-173751讨论了对关于用于漫游的PLMN和RAT选择策略的LS的答复LS。(S2-175286/C1-172866)。CT1在C1-173751中指示，CT1负责第2阶段规范(TS23.122)，并要求SA3在CT1指定对需求的任何解决方案之前，基于S3-171733/S2-175286中的需求探讨端到端安全解决方案。另外，3GPPTSGS3-172034中的另一篇关于保护网络操控信息的论文已提交给SA3#88。来自三星公司的相关讨论论文在SA3#88中。在3GPPTSGS3-172034中讨论了两种不同的备选方案。要考虑的保护从(HPLMN中的)AUSF到UE的信息的两种可能的安全证书是：·使用HN非对称密钥·使用由主(primary)认证产生的锚定密钥。在3GPPTSGS3-172034的结论中，指示第二种备选方案(即，使用由主认证产生的锚定密钥)是优选的。然而，并非所有运营商都可以不支持HN非对称密钥。
技术实现思路
本文描述的某些实施例解决了先前的用于保护网络操控信息的技术的问题。根据某些实施例，一种由用户设备(UE)执行的用于保护网络操控信息的方法包括：向受访公共陆地移动网络(VPLMN)发送注册请求。一旦由认证服务器功能(AUSF)成功认证，生成归属网络根密钥。从第一网络节点接收包括网络操控信息在内的受保护消息。该受保护消息使用配置密钥(Kconf)和第一消息认证码(MAC-1)保护。该配置密钥(Kconf)根据归属网络根密钥确定，并且UE验证该MAC-1。基于Kconf和MAC-1来验证VPLMN没有更改网络操控信息。向归属公共陆地移动网络(HPLMN)发送用第二消息认证码(MAC-2)保护的确认消息。根据某些实施例，UE包括：存储器，可操作用于存储指令，以及处理电路，可操作用于执行指令以使UE向VPLMN发送注册请求。一旦由AUSF成功认证，生成归属网络根密钥。从第一网络节点接收包括网络操控信息在内的受保护消息。受保护消息使用Kconf和MAC-1来保护。Kconf根据归属网络根密钥确定，并且UE验证该MAC-1。基于Kconf和MAC-1来验证VPLMN没有更改网络操控信息。向HPLMN发送用第二MAC-2保护的确认消息。根据某些实施例，一种由操作为AUSF的第一网络节点执行的用于保护网络操控信息的方法包括：生成归属网络根密钥。从第二网络节点接收网络操控信息，并且根据归属网络密钥确定Kconf。生成包括网络操控信息在内的受保护消息，并且使用Kconf和MAC-1保护该受保护消息。向UE发送包括网络操控信息在内的受保护消息。从UE接收确认消息。确认消息用MAC-2保护，并且指示VPLMN没有更改网络操控信息。向第二网络节点转发指示VPLMN没有更改网络操控信息的确认消息。根据某些实施例，提供了一种操作为AUSF的用于保护网络操控信息的第一网络节点。第一网络节点包括：存储器，可操作用于存储指令，以及处理电路，可操作用于执行指令以使该网络节点生成归属网络根密钥。从第二网络节点接收网络操控信息，并且根据归属网络密钥确定Kconf。生成包括网络操控信息在内的受保护消息，并且使用Kconf和MAC-1保护该受保护消息。向UE发送包括网络操控信息在内的受保护消息。从UE接收确认消息。确认消息用MAC-2保护，并且指示VPLMN没有更改网络操控信息。向第二网络节点转发指示VPLMN没有更改网络操控信息的确认消息。根据某些实施例，一种由第一网络节点执行的用于保护网络操控信息的方法包括：向操作为AUSF的第二网络节点发送网络操控信息和MAC-1，以使用Kconf和MAC-1来保护网络操控信息。从UE接收确认消息，并且用MAC-2保护该确认消息。该确认指示VPLMN没有更改网络操控信息。验证MAC-2，并且基于该确认来确定VPLMN没有更改网络操控信息。根据某些实施例，提供了一种用于保护网络操控信息的第一网络节点。该网络节点包括：存储器，可操作用于存储指令，以及处理电路，可操作用于执行指令以使该网络节点：向操作为AUSF的第二网络节点发送网络操控信息和MAC-1，以使用Kconf和MAC-1来保护网络操控信息。从UE接收确认消息，并且用MAC-2保护该确认消息。该确认指示VPLMN没有更改网络操控信息。验证MAC-2，并且基于该确认来确定VPLMN没有更改网络操控信息。本公开的实施例可以提供一个或多个技术优点。作为示例，某些实施例的优点可以提供端对端解决方案，其中HPLMN中的节点(例如，AUSF)可以向UE发送完整性受保护的网络操控信息。另一优点可以是，该解决方案是使用仅UE和HPLMN知道的密钥从HPLMN的主认证中导出的。作为另一示例，优点可以是，该解决方案可以用端到端加密来增强，使得可以对VPLMN隐藏网络操控信息。又一个优点可以是，某些实施例由UE提供对网络操控信息的接收的确认，使得HPLMN知道UE是否接收到该信息。某些实施例可以不包括这些优点、包括这些优点中的一些或全部。某些实施例可以包括其他优点，如本领域技术人员将理解的。具体实施方式根据某些实施例，提供了一种端到端解决方案，其中，归属公共陆地移动网络(HPLMN)中的节点，例如认证服务器功能(AUSF)，可以向用户设备(UE)发送完整性受保护的网络操控信息。在特定实施例中，该解决方案基于从主认本文档来自技高网...

【技术保护点】
1.一种由用户设备UE执行的用于保护网络操控信息的方法，包括：/n向受访公共陆地移动网络VPLMN发送注册请求；/n一旦由认证服务器功能AUSF成功认证，生成归属网络根密钥；/n从第一网络节点接收包括网络操控信息在内的受保护消息，所述受保护消息使用配置密钥Kconf和第一消息认证码MAC-1保护；/n根据所述归属网络根密钥来确定所述配置密钥Kconf；/n由UE验证所述MAC-1；/n基于所述Kconf和所述MAC-1来验证VPLMN没有更改网络操控信息；以及/n向归属公共陆地移动网络HPLMN发送确认消息，所述确认消息用第二消息认证码MAC-2保护。/n

【技术特征摘要】
【国外来华专利技术】20171002 US 62/566,8211.一种由用户设备UE执行的用于保护网络操控信息的方法，包括：
向受访公共陆地移动网络VPLMN发送注册请求；
一旦由认证服务器功能AUSF成功认证，生成归属网络根密钥；
从第一网络节点接收包括网络操控信息在内的受保护消息，所述受保护消息使用配置密钥Kconf和第一消息认证码MAC-1保护；
根据所述归属网络根密钥来确定所述配置密钥Kconf；
由UE验证所述MAC-1；
基于所述Kconf和所述MAC-1来验证VPLMN没有更改网络操控信息；以及
向归属公共陆地移动网络HPLMN发送确认消息，所述确认消息用第二消息认证码MAC-2保护。


2.根据权利要求1所述的方法，其中，所述配置密钥是所述归属网络根密钥。


3.根据权利要求1至2中任一项所述的方法，其中，所述归属网络根密钥是Kausf。


4.根据权利要求1至3中任一项所述的方法，其中，所述第一网络节点包括所述AUSF。


5.根据权利要求1至4中任一项所述的方法，其中，所述网络操控信息由第二网络节点生成，并且由所述AUSF保护。


6.根据权利要求5所述的方法，其中，所述网络操控信息由用户数据管理UDM生成。


7.根据权利要求1至6中任一项所述的方法，其中，位于VPLMN中的第三网络节点包括接入移动性功能/安全锚定功能AMF/SEAF，所述AMF/SEAF转发了来自第二网络节点的所述包括网络操控信息在内的受保护消息。


8.根据权利要求7所述的方法，其中，用非接入层NAS安全性对所述受保护消息进行空中机密性保护。


9.根据权利要求1至8中任一项所述的方法，其中，所述受保护消息用注册接受消息来背负。


10.一种用户设备UE，包括：
存储器，操作用于存储指令；以及
处理电路，操作用于执行指令以使所述UE：
向受访公共陆地移动网络VPLMN发送注册请求；
一旦由认证服务器功能AUSF成功认证，生成归属网络根密钥；
从第一网络节点接收包括网络操控信息在内的受保护消息，所述受保护消息使用配置密钥Kconf和第一消息认证码MAC-1保护；
根据所述归属网络根密钥来确定所述配置密钥Kconf；
验证所述MAC-1；
基于所述Kconf和所述MAC-1来验证VPLMN没有更改网络操控信息；以及
向归属公共陆地移动网络HPLMN发送确认消息，所述确认消息用第二消息认证码MAC-2保护。


11.根据权利要求10所述的UE，其中，所述配置密钥是所述归属网络根密钥。


12.根据权利要求10至11中任一项所述的UE，其中，所述归属网络根密钥是Kausf。


13.根据权利要求10至12中任一项所述的UE，其中，所述第一网络节点包括所述AUSF。


14.根据权利要求10至13中任一项所述的UE，其中，所述网络操控信息由第二网络节点生成，并且由所述AUSF保护。


15.根据权利要求14所述的UE，其中，所述网络操控信息由用户数据管理UDM生成。


16.根据权利要求10至15中任一项所述的UE，其中，位于VPLMN中的第三网络节点包括接入移动性功能/安全锚定功能AMF/SEAF，所述AMF/SEAF转发了来自第二网络节点的所述包括网络操控信息在内的受保护消息。


17.根据权利要求16所述的UE，其中，用非接入层NAS安全性对所述受保护消息进行空中机密性保护。


18.根据权利要求10至17中任一项所述的UE，其中，所述受保护消息用注册接受消息来背负。


19.一种由操作为认证服务器功能AUSF的第一网络节点执行的用于保护网络操控信息的方法，所述方法包括：
生成归属网络根密钥；
从第二网络节点接收网络操控信息；
根据所述归属网络密钥确定配置密钥Kconf；
生成包括所述网络操控信息在内的受保护消息，所述受保护消息使用Kconf和第一消息认证码MAC-1保护；
向用户设备UE发送包括所述网络操控信息在内的受保护消息；
从UE接收用第二消息认证码MAC-2保护的确认消息，该确认指示VPLMN没有更改所述网络操控信息；以及
向第二网络节点转发指示VPLMN没有更改所述网络操控信息的确认消息。


20.根据权利要求19所述的方法，其中，所述配置密钥是所述归属网络根密钥。


21.根据权利要求19至20中任一项所述的方法，其中，所述归属网络根密钥是Kausf。


22.根据权利要求19至21中任一项所述的方法，其中，所述受保护消息用注册接受消息来背负。


23.根据权利要求19至22中任一项所述的方法...

【专利技术属性】
技术研发人员：韦萨·托尔维宁，艾弗·塞德莱西克，莫尼卡·威弗森，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典;SE