CN110945886B - 无线通信网络中检测漫游活动的反引导的方法和系统 - Google Patents
无线通信网络中检测漫游活动的反引导的方法和系统 Download PDFInfo
- Publication number
- CN110945886B CN110945886B CN201880048224.6A CN201880048224A CN110945886B CN 110945886 B CN110945886 B CN 110945886B CN 201880048224 A CN201880048224 A CN 201880048224A CN 110945886 B CN110945886 B CN 110945886B
- Authority
- CN
- China
- Prior art keywords
- list
- vplmn
- plmn
- message
- hplmn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/30—Connection release
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/06—De-registration or detaching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
因此,本文的实施例提供了一种用于在无线通信网络中管理漫游反引导的系统。该系统包括HPLMN,VPLMN和UE。HPLMN从VPLMN获得注册请求消息,并基于至少一个安全性参数来导出至少一个HPLMN特定安全密钥。此外,HPLMN使用至少一个HPLMN特定安全密钥和安全性参数来保护优选PLMN列表,并将受保护的优选PLMN列表与必要的安全性信息一起发送到VPLMN。此外,VPLMN被配置为从HPLMN接收受保护的优选PLMN列表,并且将包括受保护的优选PLMN列表的消息发送到UE。该消息授权VPLMN将优选PLMN列表透明地发送到UE。此外,UE被配置为从VPLMN接收包括优选PLMN列表的消息。
Description
技术领域
本公开涉及无线通信网络,并且更具体地涉及用于无线通信网络中检测漫游活动的反引导(anti-steering)的方法和系统。
背景技术
通常,订户和常规移动运营商都希望与价格合理且网络质量高的本地运营商进行漫游活动。当UE处于漫游状态时,归属网络选择托管网络的选项称为漫游(或优选漫游)的引导(steering),并且可以通过两种方法执行,诸如(i)基于网络的引导,以及(ii)基于订户身份模块(SIM)的引导。
归属运营商根据控制成本和呼叫质量等选择漫游伙伴。归属运营商不优选的漫游伙伴(也称为非优选PLMN或低优选PLMN)会干扰引导处理,这称为漫游的“反引导”。
在当前场景中,由于HPLMN的信令可以被VPLMN阻止,因此无法主动检测到反引导漫游,但是UE永远不知道VPLMN阻止了HPLMN的信令。通常,UE基于无线电条件决定服务网络。通过估计许多不同类型的漫游订户(包括多个独特活动漫游者(unique activeroamer)、多个独特被引导漫游者(unique steered roamer)和多个独特反引导的漫游者(unique anti-steered roamer)被动地检测漫游的反引导。
在当前解决方案中,存在许多困难,诸如(i)归属网络运营商将无法主动防止漫游机制的反引导,并且归属网络运营商将仅能够识别是否有任何此类活动正被动地发生,(ii)网络运营商必须安装一种称为漫游的反引导的增值服务(VAS)产品,仅用于被动检测此类欺诈行为,进一步增加了产品及其维护的成本,(iii)用户体验因收费较高而受到阻碍,并且还可能影响服务质量,直到归属公用陆地移动网络(HPLMN)能够检测到该欺诈行为为止,(iv)没有标准化的机制来主动制止这种欺诈行为,并且(v)由于非优选或低优优的接入网络采用了反引导机制,HPLMN可能面临更多的信令负载并且/或者与优选受访网络相比,要为非优选或低优选受访网络提供的服务付出更多费用。最后,还没有用于主动检测和防止反引导机制的低运营成本的解决方案。
因此,期望解决上述缺点或其他缺点或至少提供有用的替代方案。
发明内容
【技术方案】
本文的实施例的主要目的是提供一种用于无线通信网络中的漫游活动的反引导的方法和系统。
本文中的实施例的另一个目的是由HPLMN使用至少一个安全性参数和至少HPLMN特定安全密钥来保护优选PLMN列表。
本文中的实施例的另一个目的是由HPLMN将受保护的优选PLMN列表连同安全性信息和参数一起发送到受访公共陆地移动网络(VPLMN),使得对优选PLMN列表的阻止/删除/修改是可识别的。
本文中的实施例的另一个目的是由VPLMN透明地和强制地向用户设备(UE)发送包括受保护的优选PLMN列表的请求消息,其中从HPLMN接收受保护的优选PLMN列表。
本文中的实施例的另一个目的是由UE验证VPLMN是否强制提供了包括优选PLMN列表的对请求消息的响应消息,并且对接收的优选PLMN列表的安全性检查是否成功。
本文中的实施例的另一个目的是在验证失败时由UE向VPLMN发送拒绝消息,并执行PLMN选择程序。
本文中的实施例的另一个目的是在验证失败时执行本地非接入层(NAS)信令连接释放并执行PLMN选择程序。
本文中的实施例的另一个目的是在验证成功时由UE向VPLMN发送接受消息。
【有益效果】
通过本申请的方法和系统,可以有效地管理无线通信网络中漫游活动的反引导。
附图说明
在附图中示出了本发明,在所有附图中,相似的附图标记在各个附图中指示相应的部分。通过以下参照附图的描述,将会更好地理解本文的实施例,在附图中:
图1是根据本文公开的实施例的用于在无线通信网络中管理漫游的反引导的系统的概览。
图2是根据本文公开的实施例的用于在无线通信网络中管理漫游的反引导的系统的另一概览。
图3是示出根据本文公开的实施例的在无线通信网络中在认证程序期间用于提供优选PLMN列表的列表的逐步程序的顺序流程图;
图4是示出根据本文公开的实施例的在无线通信网络中在注册程序期间(以注册接受消息的形式)提供优选PLMN列表的列表的逐步程序的顺序流程图;
图5是示出根据本文公开的实施例的在无线通信网络中在注册程序期间(以注册接受消息的形式)提供优选PLMN列表的列表的逐步程序的示例顺序流程图;
图6是示出根据本文公开的实施例的在无线通信网络中在基于可扩展认证协议(EAP)的主认证期间提供优选PLMN列表的列表的逐步程序的顺序流程图;
图7是根据本文公开的实施例的说明密钥KH-int的导出的示例场景;
图8是根据本文公开的实施例的说明密钥KH-enc的导出的示例场景;
图9是根据本文公开的实施例的获得PLMN和RAT列表上的MAC-I/XMAC-I的示例场景;
图10是根据本文公开的实施例的说明网络引导信息的加密的示例场景;
图11是根据本文公开的实施例的使用PLMN列表作为输入之一获得MAC的示例场景;
图12是示出根据本文公开的实施例的当UE已经向VPLMN注册时用于提供优选PLMN列表的列表的逐步程序的顺序流程图;
图13示出根据本文公开的实施例的数据路径解决方案(DPS)的操作序列;
图14是根据本文公开的实施例的UE的框图;
图15是示出根据本文公开的实施例的在无线通信网络中由UE执行的用于管理漫游的反引导的各种操作的流程图;以及
图16是示出根据本文公开的实施例的在无线通信网络中由HPLMN执行的用于管理漫游的反引导的各种操作的流程图。
具体实施方式
因此,本文的实施例提供了一种在无线通信网络中管理漫游的反引导的方法。所述方法包括:用户设备(UE)向受访公共陆地移动网络(VPLMN)发送初始注册请求消息。此外,所述方法包括:UE响应于初始注册请求消息从VPLMN接收响应消息。初始注册请求消息要求VPLMN在响应消息中发送优选公共陆地移动网络(PLMN)列表。此外,所述方法包括UE验证响应消息是否包括归属公共陆地移动网络(HPLMN)提供的优选PLMN列表,VPLMN是否强制性透明地发送优选PLMN列表,以及使用至少一个HPLMN特定安全密钥对接收的优选PLMN列表进行的安全性检查是否成功。此外,所述方法包括UE使得:在验证失败时,向VPLMN发送拒绝消息以执行NAS信令连接释放并执行PLMN选择程序,或者在验证失败时,执行本地NAS信令连接释放并执行PLMN选择程序,或者在验证成功时,向VPLMN发送接受消息。
在实施例中,对初始注册请求消息的响应消息包括认证请求消息、注册接受请求消息和非接入层(NAS)消息中的一个。
在实施例中,拒绝消息包括认证拒绝消息和NAS拒绝消息中的一个。
在实施例中,接受消息包括认证响应消息、注册完成消息和NAS消息中的一个。
在实施例中,当响应消息中由HPLMN提供的优选PLMN列表不可用时,或者响应消息中由HPLMN提供的优选PLMN列表可用但是对接收的优选PLMN列表进行的安全性检查不成功时,验证失败。
在实施例中,当响应消息中由HPLMN提供的优选PLMN列表可用并且对接收的优选PLMN列表进行的安全性检查成功时,验证成功。
在实施例中,安全性检查包括:确定由UE计算的消息认证代码完整性(MAC-I)与在响应消息中接收的MAC-I是否相同。
在实施例中,响应消息中的优选PLMN列表由HPLMN使用至少一个HPLMN特定安全密钥来保护。
在实施例中,至少一个HPLMN特定安全密钥包括数字签名、公钥、私钥、KASME、认证密钥(AK)、IK密钥、CK密钥、秘密密钥、KAUSF、KH-int、KH-enc和消息认证代码完整性(MAC-I)中的至少一个。
在实施例中,当HPLMN特定安全密钥是HPLMN使用的非对称私钥时,秘密密钥是UE使用的HPLMN的公钥。
在实施例中,当HPLMN特定安全密钥是KASME密钥时,基于PLMN列表获得KASME密钥。
在实施例中,使用HPLMN特定安全密钥KAUSF、PLMN列表和参数作为对安全性函数的输入,在PLMN列表上获得MAC-1。
在实施例中,当UE的通用订户身份模块(USIM)中的配置指示在从VPLMN接收的请求消息中对由HPLMN提供的优选PLMN列表的可用性进行强制检查时,UE验证响应消息是否包括由HPLMN提供的优选PLMN列表。
在实施例中,如果UE中的配置指示对优先PLMN列表的可用性进行强制检查,则HPLMN向UE强制性至少发送在优选PLMN列表(漫游引导信息)中没有改变的指示(例如,“需要存储在UE中的“利用接入技术的运营商控制的PLMN选择器”列表不改变,因此不提供优选PLMN/接入技术组合的列表”),即使HPLMN不发送优选PLMN列表。
在实施例中,当HPLMN通过显式提供NAS消息触发UE发起初始注册程序时,UE发起初始注册程序,并且UE基于NAS消息获得表示优选PLMN的引导信息。
在实施例中,如果在UE的区域中所有可用和允许的PLMN中的验证失败,则UE忽略验证失败并继续向HPLMN注册。
在实施例中,如果验证成功并且如果UE基于该区域的可用PLMN列表确定存在与当前驻留的选择的VPLMN相比更高优先级的PLMN,则UE执行本地NAS信令连接释放并执行PLMN选择以按照响应消息中接收的漫游引导信息获取可用的更高优先级的PLMN的服务。
在实施例中,如果验证成功,并且UE根据区域的可用PLMN列表确定存在与当前驻留的选择的VPLMN相比更高优先级的PLMN,则UE发送接受消息并等待无线通信网络释放NAS信令连接。
在实施例中,在释放NAS信令连接之后,按照在响应消息中接收的漫游引导信息,UE执行PLMN选择以获取可用的更高优先级的PLMN的服务。
因此,本文的实施例提供了一种在无线通信网络中管理漫游的反引导的方法。所述方法包括:由HPLMN从VPLMN获得注册请求消息。此外,所述方法包括:在HPLMN,基于至少一个安全性参数,导出至少一个HPLMN特定安全密钥。此外,所述方法包括:在HPLMN,使用HPLMN特定安全密钥和安全性参数中的至少一个来保护优选PLMN列表。HPLMN特定安全密钥和安全性参数中的至少一个被用于避免对服务网络的引导处理的干扰。此外,所述方法包括:由HPLMN将受保护的优选PLMN列表发送到VPLMN。
因此,本文的实施例提供了一种用于在无线通信网络中管理漫游的反引导的UE。所述UE包括耦合至存储器和处理器的优选PLMN列表确定器。优选PLMN列表确定器被配置为向VPLMN发送初始注册请求消息。此外,优选PLMN列表确定器被配置为从VPLMN接收响应消息。初始注册请求消息要求VPLMN在响应消息中发送优选PLMN列表。此外,优选PLMN列表确定器被配置为验证响应消息是否包括HPLMN提供的优选PLMN列表,VPLMN是否强制性透明地发送优选PLMN列表,以及使用至少一个HPLMN特定安全密钥对接收的优选PLMN列表进行的安全性检查是否成功。此外,优选PLMN列表确定器被配置为在验证失败时,向VPLMN发送拒绝消息以进行NAS信令连接释放并执行PLMN选择程序,或者在验证失败时,执行本地NAS信令连接释放并执行PLMN选择程序,或者在验证成功时,向VPLMN发送接受消息。
因此,本文的实施例提供了一种用于在无线通信网络中管理漫游的反引导的HPLMN。HPLMN被配置为从VPLMN获得注册请求消息。HPLMN被配置为基于至少一个安全性参数,导出至少一个HPLMN特定安全密钥。HPLMN被配置为使用安全性参数和HPLMN特定安全密钥中的至少一个来保护优选PLMN列表。安全性参数和HPLMN特定安全密钥中的至少一个被用于避免对服务网络的引导处理的干扰。HPLMN被配置为将受保护的优选PLMN列表发送到VPLMN。
因此,本文的实施例提供了一种用于在无线通信网络中管理漫游的反引导的系统。所述系统包括HPLMN、VPLMN和UE。HPLMN被配置为从VPLMN获得注册请求消息,并且基于至少一个安全性参数来导出至少一个HPLMN特定安全密钥。此外,HPLMN被配置为使用HPLMN特定安全密钥和安全性参数中的至少一个来保护优选PLMN列表,并且将受保护的优选PLMN列表发送到VPLMN。此外,VPLMN被配置为从HPLMN接收受保护的优选PLMN列表,并且将包括受保护的优选PLMN列表的消息发送到UE。所述消息要求VPLMN将优选PLMN列表透明地发送到UE。此外,UE被配置为从VPLMN接收请求消息,并且验证该请求消息是否包括HPLMN提供的优选PLMN列表,VPLMN是否强制性透明地发送了优选PLMN列表,以及使用至少一个HPLMN特定安全密钥对接收的优选PLMN列表进行的安全性检查是否成功。此外,UE被配置为:在验证失败时,向VPLMN发送拒绝消息以进行NAS信令连接释放并执行PLMN选择程序,或者在验证失败时,执行本地NAS信令连接释放并执行PLMN选择程序,或者在验证成功时,向VPLMN发送接受消息。
当结合以下描述和附图考虑时,将更好地理解和理解本文中的实施例的这些和其他方面。然而,应当理解,以下描述虽然指示了优选实施例及其众多具体细节,但是它们是说明性的而非限制性的。在不脱离本发明的精神的情况下,可以在本文的实施例的范围内做出许多改变和修改,并且本文中的实施例包括所有这样的修改。
【发明的实施例】
参照在附图中示出并且在以下描述中详细描述的非限制性实施例,更全面地解释本文中的实施例及其各种特征和有利细节。省略了对公知组件和处理技术的描述,以免不必要地混淆本文的实施例。此外,本文描述的各种实施例不必互相排斥,因为一些实施例可以与一个或多个其他实施例结合以形成新的实施例。除非另有说明,否则本文所用的术语“或”是指非排他性的或。本文使用的示例仅旨在促进对可以实践本文的实施例的方式的理解,并且进一步使本领域技术人员能够实践本文的实施例。因此,示例不应被解释为限制本文的实施例的范围。
如本领域中的传统,可以根据执行所描述的一个或多个功能的块来描述和示出实施例。这些块在本文中可被称为单元或模块等,由模拟或数字电路(诸如逻辑门、集成电路、微处理器、微控制器、存储电路、无源电子组件、有源电子组件、光学组件、硬连线电路等)物理地实现,并且可以选择性由固件和软件驱动。电路可以例如被体现在一个或多个半导体芯片中,或者被体现在诸如印刷电路板等的基板支撑件上。可以通过专用硬件,或者通过处理器(例如,一个或多个编程的微处理器和相关电路),或者通过执行块的某些功能的专用硬件与执行其他功能的处理器的组合,实现构成块的电路。在不脱离本发明的范围的情况下,实施例的每个块可以在物理上被分成两个或更多个相互作用和离散的块。同样,在不脱离本发明的范围的情况下,实施例的块可以物理地组合成更复杂的块。
附图用于帮助容易地理解各种技术特征,并且应当理解,本文提出的实施例不受附图的限制。这样,除了在附图中特别列出的那些之外,本公开应当被解释为扩展到任何改变、等同和替代。尽管本文可以使用术语第一、第二等来描述各种元件,但是这些元件不应受到这些术语的限制。这些术语通常仅用于区分一个元件和另一个元件。
在整个本公开中,术语“保护”是指完整性保护和/或机密性保护(加密/解密)。在不脱离实施例的范围的情况下,在此使用的术语“加密(encryption)”和“加密(ciphering)”可以互换使用。
在整个本公开中,在不脱离实施例的范围的情况下,术语“PLMN和RAT列表”、“PLMN和接入技术列表”、“归属PLMN优选VPLMN列表”、“优选PLMN和RAT列表”、“优选PLMN和接入技术列表”、“网络引导信息”、“漫游引导信息列表”、“SoR信息列表”、“SoR列表”、“优选PLMN/接入技术的列表”、“列表”、“优选PLMN/接入技术组合”、“优选PLMN/接入技术组合(或‘需要在UE中存储的“运营商控制的PLMN选择器以及接入技术”列表不改变并且因此不提供优选PLMN/接入技术组合的列表’的HPLMN指示)”、“漫游引导信息”、“按优先级排列的运营商控制的PLMN选择器以及接入技术”、“PLMN选择器列表”和“优选PLMN列表”可以互换使用。在整个本公开中,在不脱离实施例的范围的情况下,本文中使用的术语“计数器SoR”、“SoR计数器”、“计数器值”和“COUNT(计数)”可以互换使用。在不脱离实施例的范围的情况下,本文中使用的术语“验证”和“安全性检查”可以互换使用。
在整个本公开中,在不脱离实施例的范围的情况下,术语“PLMN选择”、“UE在将当前PLMN设为最低优先级之后选择一些其他更高优先级的PLMN”、“通过好像控制定期尝试的计时器T期满一样来动作,如在3GPP TS23.122中指定的UE尝试获得更高优先级的PLMN上的服务”可以互换使用。
因此,本文的实施例提供了一种在无线通信网络中管理漫游的反引导的系统。该系统包括HPLMN、VPLMN和UE。HPLMN被配置为从VPLMN获得注册请求消息,并基于至少一个安全性参数导出至少一个HPLMN特定安全密钥。此外,HPLMN被配置为使用至少一个HPLMN特定安全密钥来保护优选PLMN列表(例如,运营商控制PLMN选择器列表或PLMN选择器列表,其可能包含按照优先级顺序的优选PLMN列表并且将可能具有关联接入技术标识符),并且将受保护的优选PLMN列表发送到VPLMN。此外,VPLMN被配置为从HPLMN接收受保护的优选PLMN列表,并且将包括受保护的优选PLMN列表的消息发送到UE。该消息要求VPLMN将优选PLMN列表透明地发送到UE。此外,UE被配置为从VPLMN接收包括优选PLMN列表的消息。此外,UE被配置为验证包括由HPLMN和VPLMN提供的优选PLMN列表的消息是否强制透明地发送了优选PLMN列表,并且使用至少一个HPLMN特定安全密钥对接收的优选PLMN列表进行安全性检查是否成功。此外,UE被配置为在安全性检查失败时向VPLMN发送用于NAS信令连接释放的拒绝消息并执行PLMN选择程序,或者在验证失败时执行本地NAS信令连接释放并执行PLMN选择程序,或者当验证成功时,将接受消息发送到VPLMN。
现在参照附图,更具体地参照图1至图16,示出优选实施例。
图1是根据本文公开的实施例的在无线通信网络中管理漫游的反引导的系统1000a的概述。在实施例中,系统1000a包括UE 100、VPLMN 200和HPLMN 300。UE 100可以是例如但不限于蜂窝电话、平板电脑、智能电话、膝上型计算机、个人数字助理(PDA)、全球定位系统、多媒体设备、游戏机等。UE 100也可以被本领域技术人员称为移动站、订户站、移动单元、订户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手机、用户代理、移动客户端等。
HPLMN 300被配置为从VPLMN 200获得注册请求消息,并基于至少一个安全性参数导出至少一个HPLMN特定的安全密钥。此外,HPLMN 300被配置为使用至少一个HPLMN特定安全密钥来保护优选PLMN列表,并且将受保护的优选PLMN列表发送到VPLMN 200。
此外,VPLMN 200被配置为从HPLMN 300接收受保护的优选PLMN列表,并且向UE100强制发送包括受保护的优选PLMN列表的请求消息。在实施例中,请求消息包括认证请求消息和注册接受请求消息中的一个。
此外,UE 100被配置为从VPLMN 200接收请求消息,并验证包括由HPLMN 300提供的优选PLMN列表的请求消息是否可用,以及对接收的优选PLMN列表的安全性检查的验证是否成功。此外,UE 100被配置为在验证失败时向VPLMN 200发送拒绝消息,或者在本地释放NAS信令连接并执行PLMN选择程序,或者在验证成功时向VPLMN 200发送接受消息。在实施例中,拒绝消息包括认证拒绝消息和NAS消息中的一个。在另一实施例中,接受消息包括认证接受消息、注册完成消息和NAS消息中的一个。
在实施例中,当由HPLMN 300提供的优选PLMN列表在请求消息中不可用或者由HPLMN 300提供的优选PLMN列表在请求消息中可用但对优选PLMN列表的安全性检查不成功时,验证失败。
在实施例中,当由HPLMN 300提供的优选PLMN列表在请求消息中可用并且对接收的优选PLMN列表的安全性检查成功时,验证成功。
考虑到,当UE 100向VPLMN 200发送关于接入无线通信网络的请求时,VPLMN 200向HPLMN 300发送关于提供一个或多个认证向量(AV)的请求。HPLMN 300使用归属网络的至少一个安全密钥向VPLMN 200提供一个或多于一个的AV以及用一个或多个安全性参数签名的优选PLMN列表,并且VPLMN 200将接收的PLMN列表以及一个或多个安全性参数通过NAS消息透明地发送到UE 100。UE 100使用至少一个安全密钥来验证一个或多个安全性参数以确认没有对接收的PLMN列表进行任何更改/修改,并且对VPLMN200施加提供NAS消息的PLMN列表IE(或信息)部分的强制性要求,否则UE 100可以决定选择一些其他PLMN。安全性参数可以是例如但不限于数字签名、公钥、KASME、认证密钥、IK密钥、CK密钥、秘密密钥、KAUSF、KH-int、KH-enc等。
通过使用数字签名机制来保护优选PLMN列表。在示例中,当UE 100将关于接入无线通信网络的请求发送到VPLMN 200时,VPLMN 200将关于提供一个或多于一个的AV的请求发送到HPLMN 300。HPLMN 300使用归属网络的私钥向VPLMN 200提供一个或多个AV以及使用数字签名进行签名的优选PLMN列表,VPLMN 200将接收的PLMN列表连同数字签名一起通过NAS消息透明地发送到UE 100。UE 100使用秘密密钥(秘密密钥是使用归属网络的公钥获得的)来验证数字签名以确认没有对接收的PLMN列表进行任何更改/修改,并且对VPLMN200施加提供NAS消息的PLMN列表IE(或信息)部分的强制性要求,否则UE 100可以决定选择某个其他PLMN。
优选PLMN列表通过使用UE 100的公钥来保护。在另一示例中,当UE 100将关于接入通信网络的请求发送到VPLMN 200时,VPLMN 200将提供一个或多于一个的AV的请求发送到HPLMN 300。HPLMN 300提供AV以及使用UE 100的公钥加密的PLMN列表,并且VPLMN 200通过NAS消息向UE 100透明地发送接收的PLMN列表。UE 100使用利用公钥获得的私钥解密接收的PLMN列表,并且对VPLMN 200施加以提供附接接受消息的PLMN列表IE(或信息)部分的强制性要求,否则,UE 100可以决定选择某个其他PLMN。
优选PLMN列表通过使用KASME来保护。在另一示例中,当UE 100将关于接入无线通信网络的请求发送到VPLMN 200时,VPLMN 200将该请求发送到HPLMN 300,该HPLMN 300向VPLMN 200提供PLMN列表和中间密钥(在示例中,在LTE的情况下,中间密钥是KASME的密钥)。中间密钥是由HSS/AUSF生成并提供给MME/SEAF/AMF的密钥。贯穿本公开,在诸如5G系统的其他3GPP系统中,KASME被称为中间密钥和适当密钥(例如,KAUSF)。使用PLMN列表作为参数之一生成KASME。在实施例中,使用PLMN列表作为参数之一生成KASME,从其中导出诸如NAS锚定密钥和AS锚定密钥(KeNB和/或KgNB)的更多密钥。VPLMN 200通过NAS消息将接收的PLMN列表透明地发送到UE 100。在实施例中,输入PLMN列表根据优先级顺序包含PLMN ID,从而,UE 100以优先级顺序获得优选PLMN列表。UE 100使用PLMN列表作为一个参数生成KASME,从其中导出更多密钥,并且对VPLMN 200施加强制性要求,要求提供附接接受消息的PLMN列表IE(或信息)部分,否则,UE 100可以决定选择某个其他PLMN。
优选PLMN列表通过使用认证密钥(Ak)密钥来保护。在另一示例中,UE 100将关于接入无线通信网络的请求发送到VPLMN 200。VPLMN 200将请求发送到HPLMN 300以提供一个或多个AV。此外,HPLMN 300将PLMN列表提供给VPLMN 200,还将期望响应(XRES*)连同其他参数提供给VPLMN 200。使用PLMN列表作为参数之一生成XRES*。此外,VPLMN 200通过NAS消息将接收的PLMN列表透明地发送到UE 100。UE 100使用接收的PLMN列表生成Response(RES*)作为参数之一,UE 100以计算的RES*值来响应NAS消息。VPLMN 200检查接收的RES*是否等于XRES*。如果RES*和XRES*不相同,则认证程序失败。对VPLMN 200施加强制性要求,要求提供NAS消息的PLMN列表IE(或信息)部分,否则,UE 100可以决定选择某个其他PLMN。
优选PLMN列表通过使用消息认证代码(MAC)功能来保护。在另一示例中,当UE 100将请求发送到VPLMN 200以接入无线通信网络时,VPLMN 200将请求发送到HPLMN 300,以请求HPLMN 300将PLMN列表和认证令牌(AUTN)提供给VPLMN 200。使用PLMN列表生成AUTN作为参数之一,并且VPLMN 200通过NAS消息将接收的PLMN列表透明地发送到UE 100。UE 100使用PLMN列表作为一个参数生成期望Mac(XMAC),UE 100验证XMAC和MAC是否相同以检查由UE100接收的PLMN列表是否没有失真。对VPLMN 200施加强制性要求,要求提供附接接受消息(在5GS上下文中,其注册接受(REGISTRATION ACCEPT)消息)的PLMN列表IE(或信息)部分,否则,UE 100可以决定选择某个其他PLMN。如图11所示,使用PLMN列表作为输入之一导出MAC。
优选PLMN列表通过使用密钥“K”来保护。在另一示例中,当UE 100将请求发送到VPLMN 200以接入无线通信网络时,VPLMN 200将请求发送到提供一个或多个AV的HPLMN300。HPLMN 300提供AV以及使用秘密密钥(“K”)加密或完整性保护的PLMN列表,并且VPLMN通过NAS消息将接收的PLMN列表透明地发送到UE 100。UE 100使用秘密密钥(“K”)解密接收的PLMN列表,并对VPLMN 200施加强制性要求,要求提供附接接受消息(在5GS上下文中,其REGISTRATION ACCEPT消息)的PLMN列表IE(或信息)部分,否则UE 100可以决定选择某个其他PLMN来获得优选PLMN列表IE。
优选PLMN列表通过使用HPLMN 300的KASME保护:在另一示例中,当UE 100向VPLMN200发送请求以接入无线通信网络时,VPLMN 200将该请求发送到提供一个或多个多个AV的HPLMN 300。VPLMN 200发送使用归属KASME加密和/或完整性保护的所接收的PLMN列表。与导出KASME的处理类似地导出归属KASME,但是通过使用SNID=HPLMN ID。此外,VPLMN 200通过NAS消息向UE 100透明地发送接收的PLMN列表,并且UE 100使用IK或CK密钥解密所接收的PLMN列表,并且对VPLMN 200施加强制性要求,要求提供附接接受(在5GS上下文中,其REGISTRATION ACCEPT消息)的PLMN列表IE(或信息)部分或认证程序,UE 100将决定选择某个其他PLMN。
优选PLMN列表通过使用IK和CK密钥保护:在另一示例中,当UE 100将请求发送到VPLMN 200以接入无线通信网络时,VPLMN 200将该请求发送到提供一个或多个AV的HPLMN300。HPLMN 300提供AV以及使用IK或CK密钥加密或完整性保护的PLMN列表,并且VPLMN 200通过NAS消息向UE 100透明地发送接收的PLMN列表。UE 100使用IK或CK密钥解密接收到的PLMN列表,并且对VPLMN 200施加强制性要求,要求提供附接接受消息的PLMN列表IE(或信息)部分或认证程序,否则,UE 100将决定选择某个其他PLMN。
虽然图1示出系统1000a的各种硬件组件,但是应当理解,其他实施例不限于此。在其他实施例中,系统1000a可以包括更少或更多数量的组件。此外,组件的标签或名称仅用于说明性目的,并不限制本发明的范围。可以将一个或多个组件组合在一起以执行相同或基本相似的功能,以在无线通信网络中管理漫游的反引导。
图2是根据本文公开的实施例的用于在无线通信网络中管理漫游的反引导的系统1000b的另一概览。在实施例中,系统1000a包括UE 100、VPLMN 200和HPLMN 300。VPLMN 200包括AMF(接入和移动性功能)210和SEAF(安全锚功能)220。HPLMN 300包括AUSF(认证服务器功能)310和UDM(统一数据管理)320。
在一个实施例中,UE 100向AMF 210发送注册请求消息。此外,AMF 210请求AUSF310执行主认证。此外,AUSF 310请求UDM 320提供AV以执行认证。
基于HPLMN策略,UDM 320决定将优选PLMN列表与AV一起或稍晚添加在注册程序中,并且UDM 320将AV与优选PLMN列表提供给AUSF 310。
此外,AUSF 310使用至少一个安全性参数(例如,数字签名或公钥或KASME或认证密钥或IK密钥或CK密钥或秘密密钥或KAUSF或KH-int或KH-enc等)保护优选PLMN列表。
此外,AUSF 310通过N12向SEAF 220发送5G认证发起应答(5G-AIA)消息。在5G-AIA消息中,AUSF 310包括使用至少一个安全性参数的完整性受保护的优选PLMN列表。此外,AMF 210/SEAF 220通过NAS消息(即,认证请求消息)向UE 100透明地发送所接收的受保护的PLMN列表。在实施例中,如果接收到多个AV,则AMF 210/SEAF 220选择AV,并通过NAS消息向UE 100透明地发送相应的受保护的PLMN列表。
此外,基于UE 100中的USIM的配置,UE 100期望认证响应消息中的受保护的PLMN和RAT列表。如果该配置指示对优选PLMN列表的强制检查,则UE 100通过以与AUSF 310相同的方式导出密钥来验证接收的PLMN列表的完整性。
如果安全性检查失败,则UE 100将认证拒绝消息发送到VPLMN 200。如果受保护的PLMN和RAT列表丢失或验证失败,则UE 100执行PLMN选择。
此外,如果安全性检查通过并且服务PLMN不是优选PLMN,则UE 100将认证拒绝消息发送到VPLMN 200。此外,UE 100考虑由HPLNM 300提供的PLMN列表来执行PLMN选择。
此外,如果安全性检查通过并且服务PLMN在优选PLMN列表中,则UE 100将认证接受消息发送到VPLMN 200。
在另一实施例中,UE 100将注册请求消息发送到AMF 210。此外,AMF 210通过发起Nudm_UECM_Registration程序向UDM 320注册。在前两个步骤之间,可以执行其他程序,例如认证程序或注册程序。
在实施例中,AMF 210可以提供订阅永久标识符(SUPI)、AV的序列号和/或ngKSI和/或AV的RAND和/或KAUSF密钥集标识符以及SUPI,使得AUSF 310识别适当的KAUSF。
此外,基于HPLMN策略,UDM 320决定添加优选PLMN列表。此外,UDM 320请求AUSF310对PLMN/RAT列表施加保护。
此外,AUSF 310使用至少一个安全性参数保护优选PLMN列表。此外,AUSF 310通过N12向SEAF 220发送5G认证发起应答(5G-AIA)消息。在5G-AIA消息中,AUSF 310包括使用至少一个安全性参数的完整性受保护的优选PLMN列表。
此外,AMF 210/SEAF 220通过NAS消息(即,附接请求消息)将接收的受保护的PLMN列表透明地发送到UE 100。在实施例中,如果接收到多个AV,则AMF 210/SEAF 220选择AV,并通过NAS消息向UE 100透明地发送对应的受保护的PLMN列表。
此外,基于UE 100中的USIM的配置,UE 100预期认证响应消息中的受保护的PLMN和RAT列表。如果该配置指示对优选PLMN列表的强制检查,则UE 100通过以与AUSF 310相同的方式导出密钥来验证接收的PLMN列表的完整性。
此外,安全性检查失败,UE 100将注册拒绝消息发送到VPLMN 200。此外,如果受保护的PLMN和RAT列表丢失或者验证失败,则UE 100执行PLMN选择。
在实施例中,如果安全性检查通过并且服务PLMN不是优选的PLMN,则UE 100将注册拒绝消息发送到VPLMN 200。此外,UE 100考虑由HPLNM 300提供的PLMN列表来执行PLMN选择。
如果安全性检查通过并且服务PLMN在优选PLMN列表中,则UE 100将注册接受消息发送到VPLMN 200。
然而,结合图3至图11说明在无线通信网络中管理漫游活动的反引导的同时在认证程序或注册接受程序期间提供优选PLMN列表的列表的详细程序。
虽然图2示出系统1000b的各种硬件组件,但是应当理解,其他实施例不限于此。在其他实施例中,系统1000b可以包括更少或更多数量的组件。此外,组件的标签或名称仅用于说明性目的,并不限制本发明的范围。可以将一个或多个组件组合在一起以执行相同或基本相似的功能,以在无线通信网络中管理漫游的反引导。
图3是根据在此公开的实施例的在无线通信网络中在认证程序期间用于提供优选PLMN列表的列表的逐步程序的顺序流程图。
如图3所示,在1,UE 100向AMF 210发送注册请求消息。在2,AMF 210请求AUSF 310执行主认证。在3,AUSF 310请求UDM 320提供AV以执行认证。
在4,基于HPLMN策略,UDM 320决定将优选PLMN列表与AV一起添加。在5,UDM 320向AUSF 310提供AV以及优选PLMN列表。
在6,AUSF 310使用至少一个安全性参数(例如,数字签名或公钥或KASME或认证密钥或IK密钥或CK密钥或秘密密钥或KAUSF或KH-int或KH-enc等)来保护优选PLMN列表。
在7,AUSF 310通过N12向SEAF 220发送5G-AIA消息。在5G-AIA消息中,AUSF 310包括使用至少一个安全性参数的完整性受保护的优选PLMN列表。
在8,AMF 210/SEAF 220通过NAS消息(即,认证请求消息)向UE 100透明地发送所接收的受保护的PLMN列表。在实施例中,如果接收到多个AV,则AMF 210/SEAF 220选择AV,并通过NAS消息向UE 100透明地发送对应的受保护的PLMN列表。
在9,基于UE 100中的USIM的配置,UE 100预期认证响应消息中的受保护的PLMN和RAT列表。如果该配置指示对优选PLMN列表的强制检查,则UE 100通过以与AUSF 310相同的方式导出密钥来验证所接收的PLMN列表的完整性。
在10a,如果安全性检查失败,则UE 100将认证拒绝消息发送到VPLMN 200。在10b,如果受保护的PLMN和RAT列表丢失或验证失败,则UE 100执行PLMN选择。
在11a,如果安全性检查通过并且服务PLMN不是优选的PLMN,则UE 100将认证拒绝消息发送到VPLMN 200。在11b,UE 100考虑由HPLNM 300提供的PLMN列表来执行PLMN选择。
在12,如果安全性检查通过并且服务PLMN在优选PLMN列表中,则UE 100将认证接受消息发送到VPLMN 200。
考虑示例,UE 100将注册请求发送到AMF 210。AMF 210将请求发送到HPLMN 300的AUSF 310以执行主认证。AUSF 310向UDM 320/ARPF发送关于提供AV的请求以执行认证。基于HPLMN策略,UDM 320/ARPF决定添加优选的PLMN和RAT列表以及AV。UDM 320/ARPF提供AV以及PLMN和RAT列表。
在实施例中,当AUSF 310接收到PLMN和RAT列表时,AUSF 310导出安全密钥KH-int和/或KH-enc以保护PLMN和RAT列表。使用以下参数中的至少一个导出KH-int和/或KH-enc:KAUSF、算法类型区分符、算法身份、归属网络身份(MNC+MCC)和其他可能的参数。
在实施例中,在图7中示出初始密钥的导出。在图8中示出加密密钥的导出。如表1所示,为HPLMN完整性保护(例如,N-Home-int-alg)和/或加密(例如,N-Home-enc-alg)定义了新的算法类型区分符。在另一实施例中,现有NAS算法类型区分符被重新用于HPLMN完整性保护(例如,N-NAS-int-alg)和/或用于加密(例如,N-NAS-enc-alg)。
【表1】
| 算法区分符 | 值 |
| N-NAS-enc-alg | 0x01 |
| N-NAS-int-alg | 0x02 |
| N-RRC-enc-alg | 0x03 |
| N-RRC-int-alg | 0x04 |
| N-UP-enc-alg | 0x05 |
| N-UP-int-alg | 0x06 |
| N-Home-int-alg | 0x07 |
| N-Home-enc-alg | 0x08 |
表1:定义算法区分符的值
在另一实施例中,用于PLMN和RAT列表的保护(完整性保护和/或加密)的算法,是否通过HPLMN 300在UE 100中预先配置要施加的加密/解密(相对于VPLMN 200)(例如,在HPLMN 300提供的通用集成电路卡(UICC)中和/或作为NAS配置的一部分)。
在另一实施例中,将由UE 100用于验证优选PLMN和RAT列表的完整性和/或解密的算法与优选PLMN和RAT列表一起包括,并且还可以将PLMN和RAT列表是否被加密的指示与该消息一起发送。算法标识符值如下:
【表2】
| "0000<sub>2</sub>" | NEA0 | 空加密算法; |
| "0001<sub>2</sub>" | 128-NEA1 | 基于128比特SNOW 3G的算法; |
| "0010<sub>2</sub>" | 128-NEA2 | 基于128比特AES的算法;和 |
| "0011<sub>2</sub>" | 128-NEA3 | 基于128比特ZUC的算法。 |
表2:加密算法标识符值【表3】
| "0000<sub>2</sub>" | NIA0 | 空完整性保护算法; |
| "0001<sub>2</sub>" | 128-NIA1 | 基于128比特SNOW 3G的算法; |
| "0010<sub>2</sub>" | 128-NIA2 | 基于128比特AES的算法;和 |
| "0011<sub>2</sub>" | 128-NIA3 | 基于128比特ZUC的算法。 |
表3:完整性算法标识符值
此外,AUSF 310通过N12向SEAF 220发送5G-AIA消息。在5G-AIA消息中,AUSF 310包括使用HPLMN密钥(如果支持,则可以使用密钥KAUSF导出其他密钥,并且也加密列表)的到AMF 210/SEAF 220的完整性受保护的优选PLMN和RAT列表(包括完整性的消息认证代码(MAC-I)。基于HPLMN策略,HPLMN 300在5G-AIA消息中包括受保护的优选PLMN和RAT列表,并且对于VPLMN 200在认证请求中提供来自HPLMN 300的PLMN和RAT列表。当AUSF 310从UDM320接收到PLMN列表时,AUSF 310在经由AMF 210/SEAF 2200将PLMN列表发送到UE 100之前保护PLMN列表。
在实施例中,完整性算法(NIA)的输入参数是PLMN和RAT列表,从密钥KAUSF导出的完整性保护密钥(例如,KH-int),RAND(AV中的参数之一)和其他可能的参数(例如,列表长度LENGTH、NONCE等)。对于与AV相对应的每个导出,RAND和/或NONCE用于导出单独的加密MAC-I。基于这些输入参数,AUSF 310使用完整性算法NIA来计算消息认证代码(MAC-1)。在另一实施例中,代替NIA,将密钥导出函数(KDF)用于MAC-1生成。消息认证代码随后在发送时附加到消息。UE 100以与AUSF 310计算所发送的消息上的其消息认证代码相同的方式,计算所接收的消息上的预期消息认证代码(XMAC-1),并通过将其与接收的消息认证代码进行比较来验证消息的数据完整性。在图9中示出PLMN和RAT列表上的MAC-I/XMAC-I的导出。
在实施例中,将计数器COUNT用作完整性算法的输入参数之一,并且将COUNT与MAC-I一起包括,使得UE 100的接收器可以将COUNT值用于XMAC-1计算。
如图10所示,加密算法(NEA)加密密钥(例如,KH-enc)的输入参数从密钥KAUSF,RAND(AV中的参数之一)和其他可能的参数(例如,列表长度LENGTH)、NONCE等)导出。对于与AV相对应的每个导出,RAND和/或NONCE用于导出加密的单独密钥流。网络引导信息的加密在图10中示出。
在实施例中,将计数器COUNT用作算法的输入参数之一,并且COUNT与消息一起包括,使得接收器将使用COUNT值进行解密。
在实施例中,如果从UDM 320接收到多个AV,则AUSF 310为每个AV生成MAC-I(使用相应的KAUSF、RAND等),并将多个AV以及相应的受保护的PLMN和RAT列表提供给SEAF 220/AMF 210。
在实施例中,AUSF 310生成新的KAUSF密钥集标识符(例如,ngKSIausf)来识别KAUSF。订阅永久标识符(SUPI)与KAUSF密钥集标识符一起唯一地识别UE 100的KAUSF。AUSF310通过AMF 210/SEAF 220将KAUSF密钥集标识符与AV一起提供给UE 100。AMF210/SEAF220可以将KAUSF密钥集标识符与ngKSI一起存储。
在实施例中,AV的序列号和/或AV的RAND和SUPI唯一地识别UE 100的KAUSF。
AMF 210/SEAF 220在NAS消息(即,认证请求消息)中向UE 100透明地发送接收的受保护的PLMN列表。在实施例中,如果AMF 210/SEAF 220接收多个AV,则AMF 210/SEAF 220选择AV,并且在NAS消息中将对应的受保护的PLMN列表透明地发送到UE 100。
基于UE 100中的配置(在示例中在USIM中),UE 100预期认证请求消息中的受保护的PLMN和RAT列表。如果该配置指示对优选的PLMN和RAT列表的强制检查,则UE 100通过以与AUSF 310相同的方式导出密钥来验证接收的PLMN和RAT列表的完整性。
在实施例中,如果受保护的PLMN和RAT列表丢失或验证失败,则UE 100执行PLMN选择。在另一实施例中,如果受保护的PLMN和RAT列表的完整性验证成功,但是服务PLMN不是接收列表中的优选PLMN/RAT,则UE 100执行PLMN选择。
在另一实施例中,如果受保护列表的完整性验证成功并且服务PLMN是接收到的列表中的优选PLMN/RAT,或者在那个特定区域没有可用的优选PLMN,则UE 100会通过NAS消息将认证响应消息返回到SEAF 220。
图4是示出根据本文公开的实施例的在无线通信网络中在注册程序期间用于提供优选PLMN列表的列表的逐步程序的顺序流程图。
在1,UE 100将注册请求消息发送到AMF210。在2,AMF 210通过发起Nudm_UECM_Registration程序向UDM 320注册。在步骤1和步骤2之间,可以执行其他程序,例如认证程序或注册程序。
在实施例中,AMF 210可以提供订阅永久标识符(SUPI)、AV的序列号和/或ngKSI和/或AV的RAND和/或KAUSF密钥集标识符以及SUPI,使得AUSF 310识别适当的KAUSF。
在3,基于HPLMN策略,UDM 320决定添加优选PLMN列表。在4,UDM 320请求AUSF 310对PLMN/RAT列表施加保护。
在5和6,AUSF 310使用至少一个安全性参数来保护优选PLMN列表。在7,AUSF 310通过N12向SEAF 220发送5G-AIA消息。在5G-AIA消息中,AUSF 310包括使用至少一个安全性参数的完整性受保护的优选PLMN列表。
在8,AMF 210/SEAF 220通过NAS消息(即,附接请求消息)向UE 100透明地发送所接收的受保护的PLMN列表。在实施例中,如果接收到多个AV,则AMF 210/SEAF 220选择AV,并通过NAS消息向UE 100透明地发送对应的受保护的PLMN列表。
在9,基于UE 100中的USIM的配置,UE 100预期附接请求消息中的受保护的PLMN和RAT列表。如果该配置指示对优选PLMN列表的强制检查,则UE 100通过以与AUSF 310相同的方式导出密钥来验证接收的PLMN列表的完整性。
在10a,如果安全性检查失败,则UE 100将注册拒绝消息发送到VPLMN 200。在10b,如果受保护的PLMN和RAT列表丢失或验证失败,则UE 100执行PLMN选择。
在11a,如果安全性检查通过并且服务PLMN不是优选PLMN,则UE 100将注册拒绝消息发送到VPLMN 200。在11b,UE 100考虑由HPLNM 300提供的PLMN列表来执行PLMN选择。
在12,如果安全性检查通过并且服务PLMN在优选PLMN列表中,则UE 100将注册接受消息发送到VPLMN 200。
本公开中的程序名称和消息名称仅用于说明性提议,并且适用于以下接口/参考点之间的任何消息/程序:N2、N12、N8、N1、N13、Namf、Nudm和Nausf。
考虑示例,UE 100将注册请求发送至AMF 210,并且AMF 210通过发起Nudm_UECM_Registration程序向UDM 320注册。在步骤1和步骤2之间,可以执行其他程序,例如认证程序或注册程序。
基于HPLMN策略,UDM 320/ARPF决定向UE 100提供优选PLMN和RAT列表。UDM 320/ARPF请求AUSF 310对PLMN/RAT列表施加保护。
在实施例中,AMF 210可以提供订阅永久标识符(SUPI)、AV的序列号和/或ngKSI和/或AV的RAND和/或KAUSF密钥集标识符以及SUPI,使得于AUSF 310识别适当的KAUSF。
在实施例中,UDM 320可以提供AV的序列号和/或ngKSI和/或AV的RAND和/或KAUSF密钥集标识符以及SUPI,使得AUSF 310识别适当的KAUSF。
当AUSF 310接收到PLMN和RAT列表时,AUSF 310导出安全密钥KH-int和/或KH-enc以保护PLMN和RAT列表。
在实施例中,AUSF 310利用SUPI的最新KAUSF来保护PLMN和RAT列表。在另一实施例中,AUSF 310使用SUPI,AV的序列号和/或ngKSI和/或AV的RAND和/或KAUSF密钥集标识符以及由UDM 320提供的SUPI,来识别SUPI的适当KAUSF。
使用以下参数(例如,KAUSF、算法类型区分符、算法身份、归属网络身份(MNC+MCC)和其他可能参数)中的至少一个来导出KH-int和/或KH-enc。如图7所示,示出了密钥KH-int的导出,如图8所示,示出了密钥KH-enc的导出。
在实施例中,为HPLMN完整性保护(例如,N-Home-int-alg)和/或为加密(例如,N-Home-enc-alg)定义新的算法类型区分符。在另一实施例中,现有NAS算法类型区分符被重新用于HPLMN完整性保护(例如,N-NAS-int-alg)和/或用于加密(例如,N-NAS-enc-alg)。表1描述了算法区分符及其值。在另一实施例中,使用现有KDF代替完整性保护算法。
在另一实施例中,用于PLMN和RAT列表的保护(完整性保护和/或加密)的算法通过HPLMN 300在UE 100中预先配置(例如,在由HPLMN 300提供的UICC中和/或作为NAS配置的一部分。在另一实施例中,UE 100将用于验证优选PLMN和RAT列表的完整性和解密的算法与优选PLMN和/或RAT列表一起被包括。算法标识符值如下表2和表3所示。
此外,AUSF 310使用HPLMN密钥KAUSF将完整性受保护的优选PLMN和RAT列表(包括MAC-I)发送到UDM 320/ARPF(如果支持,则可以使用密钥KAUSF导出其他密钥,并且也加密列表)。
在实施例中,完整性算法的输入参数是PLMN和RAT列表、完整性保护密钥(例如,可以导出其他密钥KH-int)密钥KAUSF、RAND(AV中的参数之一)和其他可能参数(例如,列表的长度LENGTH、NONCE等)。对于与AV相对应的每个导出,RAND和/或NONCE用于导出加密的单独MAC。基于输入参数,AUSF 310使用完整性算法NIA来计算消息认证代码(MAC-1)。消息认证代码随后在消息被发送时附加到消息。UE 100以与AUSF计算发送的消息上的其消息认证代码相同的方式,计算接收的消息上的预期消息认证代码(XMAC-1),并通过将其与接收的消息认证代码进行比较来验证消息的数据完整性。在图9中示出PLMN和RAT列表上的MAC-I/XMAC-I的导出。
在实施例中,将计数器COUNT用作完整性算法的输入参数之一,并且将COUNT与MAC-1一起包括,使得接收器可以将COUNT值用于XMAC-1计算。
在实施例中,从密钥KAUSF、RAND(AV中的参数之一)和其他可能的参数(例如,列表长度LENGTH)、NONCE等)导出加密算法(NEA)加密密钥的输入参数(例如,KH-enc)。对于与AV对应的每个导出,RAND和/或NONCE用于导出加密的单独密钥流。网络引导信息的加密在图10中示出。
在实施例中,将计数器COUNT用作算法的输入参数之一,并且将COUNT与消息一起包括,使得接收器将COUNT值用于解密。
在实施例中,如果从UDM 320接收到多个AV,则AUSF 310为每个AV生成MAC-I(使用相应的KAUSF、RAND等),并且将多个AV以及相应的受保护的PLMN和RAT列表提供给SEAF220。
在实施例中,UDM 320代替请求AUSF 310施加安全性(如在步骤4至步骤6中),而是UDM 320请求AUSF 310提供安全密钥,使得UDM 320对PLMN列表施加保护。如果UDM 320请求密钥(具有选择合适的KAUSF的细节),则AUSF 310导出适当的密钥并将密钥提供给UDM320。在实施例中,UDM 320可以跳过步骤4至步骤6,因为它可能具有所需的AV来导出用于保护的密钥,并保护PLMN列表。
此外,然后,作为Nudm_UECM_Registration程序的一部分,UDM 320将受保护的PLMN列表发送到AMF 210/SEAF 220。此外,AMF 210/SEAF 220通过NAS消息(注册接受消息)向UE 100透明地发送所接收的受保护的PLMN列表。在实施例中,如果接收到多个AV,则AMF210/SEAF 220选择AV,并通过NAS消息向UE 100透明地发送相应的受保护的PLMN列表。
在9,基于UE 100中的配置,UE 100预期注册接受消息中的受保护的PLMN和RAT列表。如果该配置指示对优选PLMN和RAT列表的强制检查,则UE 100通过以与AUSF 310相同的方式导出密钥来验证接收的PLMN和RAT列表的完整性。
此外,如果受保护的PLMN和RAT列表丢失或验证失败,则UE 100执行PLMN选择。此外,如果受保护的PLMN和RAT列表完整性验证成功,但是服务PLMN不是接收列表中的优选PLMN/RAT,则UE 100执行PLMN选择。
此外,如果受保护列表的完整性验证成功并且服务PLMN位于接收的列表中的优选PLMN/RAT中,或者在那个特定区域没有可用的优选PLMN,则UE 100通过NAS消息将注册完成消息发送到SEAF 220。
在实施例中,UE 100可以用携带受保护的确认IE的消息来响应UDM 320/AUSF 310(经由AMF 210/SEAF 220)。保护机制与上述程序相同,但是UE 100对响应消息(可以携带优选PLMN/接入技术组合)执行MAC-I计算,并且UDM 320/AUSF 310对接收的消息执行XMAC-I计算,并检查MAC-I是否与XMAC-I相同。类似地,UE 100可以执行加密和AUSF 310/UDM 320解密。
在实施例中,如果在步骤8中检查成功,则UE 100将接收的优选PLMN列表插入到OPLMN列表的顶部。如果UE确定存在与当前驻留的VPLMN相比更高优先级的PLMN,则UE 100应当用指示AMF 210释放当前N1 NAS信令连接的认证拒绝消息或认证失败消息进行响应,在释放N1 NAS信令连接之后,通过好像控制周期性尝试的计时器T期满一样动作(参见3GPPTS 23.122),UE 100将尝试获得更高优先级的PLMN上的服务,如在3GPP TS 23.122中所指定的,否则UE 100将以认证响应消息进行响应,如3GPP TS 33.501中所述。UE 100在步骤9中确定存在与当前驻留的VPLMN相比更高优先级的PLMN的机制取决于UE实现方式。
如果在步骤8中检查不成功,则UE 100将执行PLMN选择,如3GPP TS 23.122中所述。
在不是存储在ME中的“利用接入技术的运营商控制的PLMN选择器”列表的一部分的VPLMN上的第一注册程序期间,如果VPLMN 200未执行认证程序,并且UE 100在成功执行注册程序之后进入5GMM-IDLE模式,则UE 100将通过将ngKSI值设置为7来发起服务请求程序。
图5是示出根据本文公开的实施例的在无线通信网络中在注册程序期间(以注册接受消息的形式)用于提供优选PLMN列表的列表的逐步程序的示例顺序流程图。在1,UE100通过向AMF 210发送注册请求消息来发起注册。在2和3,AMF 210执行注册程序,并且作为注册程序的一部分,AMF 210执行UE 100的主认证,然后在认证成功之后,发起NAS安全模式命令(SMC)程序。
在4,AMF 210调用Nudm_SDM_Get服务操作消息到UDM 320,以在其他信息中获取如3GPP标准中定义的UE 100的接入和移动性订阅数据。
在5,UDM 320决定发送引导信息。如果HPLMN 300已经配置其订阅的UE 100强制期望在初始注册程序中接收漫游信息的引导,则UDM 320将发送漫游信息的引导,否则根据本地或运营商策略,UDM 320决定以后经由VPLMN 200将漫游信息的引导发送到UE 100,如果需要的话。
在6和7,UDM 320向AUSF 310调用漫游引导(SoR)保护服务操作,以获取消息认证代码-完整性和相关的安全性参数(SoR-MAC-IAUSF和计数器值)。如果HPLMN 300判定UE100要确认对接收的引导信息列表的成功安全性检查,则UDM 320在SoR保护服务操作请求消息中指示(设置指示符)它也需要预期的SoR-XMAC-IUE用于验证来自UE 100的确认。
在引导信息列表不可用或HPLMN 300确定不需要UE 100的引导的情况下,应将引导信息列表设置为空值(0x00),并根据该空值计算消息认证代码-完整性。在SoR-MAC-IAUSF的计算中包括引导信息和确认指示允许UE 100验证所接收的引导信息列表未被VPLMN 200篡改或移除,以及UDM 320是否请求了确认。在预期的SoR-XMAC-IUE的计算中包括UDM请求的确认指示(0x01)允许UDM 320验证UE 100成功接收到引导信息列表。UDM 320向AUSF 310提供SUPI、SoR信息列表或空值和确认指示(是否需要SoR-XMAC-IUE),以获得SoR保护服务。在从UDM 320接收到服务请求时,AUSF 310计算MAC-I。使用密钥KAUSF、SoR信息列表或空值、计数器值、确认指示和其他可能参数作为安全性功能KDF的输入来计算SoR-MAC-IAUSF。如果由UDM 320请求验证来自UE 100的确认,则AUSF 310计算SoR-XMAC-IUE。使用密钥KAUSF、计数器值、确认指示(0x01)和其他可能参数作为KDF的输入来计算SoR-XMAC-IUE。对于SoR-MAC-IAUSF的每次新计算,由AUSF 310递增计数器值。计数器用作到SoR-MAC-IAUSF和SoR-MAC-IUE导出中的全新输入,以减轻重放攻击。
此外,AUSF 310将计数器的值与SoR-MAC-IAUSF一起发送。UE 100检查计数器的值,并且仅接受大于存储的值的计数器值。当导出用于SoR确认的SoR-MAC-IUE时,UE 100将使用从HPLMN 300接收的存储的计数器值。当导出KAUSF时,AUSF 310和UE 100将计数器值初始化为零(0x00),并在KAUSF的生存期内维持该计数器值。对每个附加计算的SoR-MAC-IAUSF,AUSF 310单调递增计数器值。AUSF 310在到UDM 320的服务响应消息中包括SoR-MAC-IAUSF、计数器值和可选的SoR-MAC-IUE(如果UDM 320请求的话)。
在8,UDM 320向AMF 210响应Nudm_SDM_Get服务操作,其在接入和移动性订阅数据中包括引导信息列表、SoR-MAC-IAUSF和计数器值以及UDM 320向UE 100请求确认的指示(如果需要的话)。如果UDM 320请求确认并从AUSF 310接收到SoR-XMAC-IUE,则其临时存储预期的SoR-XMAC-IUE。
在9,AMF 210将在注册接受消息中包括引导信息列表、SoR-MAC-IAUSF、计数器值和UDM 320向UE 100请求确认的指示(如果被UDM 320包括的话)。
在10,在接收到注册接受消息时,如果UE的USIM被配置有关于UE 100将期望接收响应于初始注册请求的注册接受中的漫游引导信息的指示,则UE 100将验证是否在初始注册接受消息中接收到漫游引导信息,如果漫游引导信息不可用,则认为安全性检查失败。如果在注册接受消息中接收到漫游引导信息,则UE 100以与AUSF 310相同的方式对接收的漫游引导信息、计数器值和确认指示计算SoR-MAC-IAUSF(可以被称为预期的MAC-1以及也称为“SoR-XMAC-IAUSF”),并且验证其是否与在注册接受消息中接收的SoR-MAC-IAUSF值匹配。如果即使UE的USIM配置有关于在初始注册接受消息中将强制接收漫游引导信息的指示,但是未接收到漫游引导信息,或者接收到漫游引导信息但是由UE计算的SoR-MAC-IAUSF(SoR-XMAC-IAUSF)与在注册接受消息中接收的SoR-MAC-IAUSF不匹配(安全性检查失败),则UE 300将执行PLMN选择程序以通过使当前驻留的VPLMN成为较低优先级的PLMN而选择某个其他PLMN,并且还标记当前VPLMN上存在SoR失败。当允许UE 100进行PLMN选择时,即仅当UE 100不处于手动操作模式并且当前PLMN不是“利用接入技术的用户控制PLMN选择器”的一部分时,期望UE 100按照一般原理执行PLMN选择。为了避免接收的漫游引导信息中的错误,如果如上所述该区域中的所有可用PLMN(即,所有可用PLMN是由于SoR验证失败而中止注册的列表的一部分,如上所述)中安全性检查失败(UE 100在USIM中配置为期望UE 100接收漫游引导信息,但是在初始注册接受消息中没有接收到漫游引导信息或者UE 100计算的SoR-MAC-IAUSF(SoR-XMAC-IAUSF:期望的MAC-I)与在注册接受消息中接收的SoR-MAC-IAUSF不匹配),则UE 100将忽略验证失败并继续注册程序以获得正常服务。如果安全性检查成功(由UE 100计算的SoR-MAC-IAUSF(SoR-XMAC-IAUSF)与在注册接受消息中接收的SoR-MAC-IAUSF相同),并且在漫游引导信息中未请求确认,UE 100基于该区域的可用PLMN列表确定存在与当前驻留的选择的VPLMN相比更高优先级的PLMN,则UE 100可以在本地释放NAS信令连接并且按照在注册接受消息中接收的漫游引导信息执行PLMN选择以获得可用的更高优先级的PLMN的服务。如果在漫游引导信息中请求了确认,则UE 100基于该区域的可用PLMN列表来确定存在与当前驻留的选择的VPLMN相比更高优先级的PLMN,然后在发送注册完成消息之后UE 100按照在注册接受消息中接收的漫游引导信息执行PLMN选择以获得可用的更高优先级的PLMN的服务,或者UE 100将等待NAS信令连接的释放直到依赖实现方式的计时器期满为止,如果计时器到期,在执行PLMN选择之前在本地释放NAS信令连接。在这种情况下,UE 100将注意它不发起PDU会话建立。
在11,如果UDM 320已经向UE 100请求确认,并且UE 100在步骤9中验证HPLMN 300已经提供漫游引导信息列表(安全性检查成功),则UE 100将向服务AMF 210发送注册完成消息。UE100将生成SoR-MAC-IUE,并将生成的SoR-MAC-IUE包括在注册完成消息中的透明容器中。UE 100以与AUSF 310相同的方式使用密钥KAUSF、计数器值、确认指示(0x01)和其他可能参数作为KDF的输入来计算SoR-MAC-IUE。
在12,AMF 210向UDM 320发送Nudm_SDM_Info请求消息。如果在注册完成消息中接收到具有SoR-MAC-IUE的透明容器,则AMF 210将透明容器包括在Nudm_SDM_Info请求消息中。
在13,如果HPLMN 300指示UE 100要确认对在步骤8中接收的引导信息列表的成功安全性检查,则UDM 320将接收的SoR-MAC-IUE与在步骤8中UDM临时存储的预期的SoR-XMAC-IUE进行比较。除了完整性保护之外,HPLMN 300可以使用HPLMN特定密钥和其他可能参数来加密列表,并在8将其提供给UE 100,并在10,UE 100解密该列表。
图6是示出根据本文公开的实施例的在无线通信网络中在基于可扩展认证协议(EAP)的主认证期间提供优选PLMN列表的列表的逐步程序的顺序流程图。
在1,UE 100将注册请求发送到AMF210。在2,AMF 210将请求发送到AUSF 310以执行主认证。
在3,AUSF 310向UDM 320/ARPF发送提供AV的请求以执行认证。在4,基于HPLMN策略,UDM 320/ARPF决定添加优选PLMN和RAT列表以及AV。在5,UDM 320/ARPF提供AV以及PLMN和RAT列表。
在6,在实施例中,当AUSF 310接收到PLMN和RAT列表时,AUSF 310导出安全密钥(例如,KH-int和/或KH-enc)以保护PLMN和RAT列表。使用以下参数中的至少一个来导出KH-int和/或KH-enc:KAUSF、算法类型区分符、算法身份、归属网络身份(MNC+MCC)和其他可能参数。在图7中示出初始密钥(即,KH-int)的导出,并且在图8中示出加密密钥(KH-ent)的导出。
在实施例中,为HPLMN完整性保护(例如,N-Home-int-alg)和/或为加密(例如,N-Home-enc-alg)定义新的算法类型区分符。在另一实施例中,现有NAS算法类型区分符被重新用于HPLMN完整性保护(例如,N-NAS-int-alg)和/或用于加密(例如,N-NAS-enc-alg)。
在实施例中,通过HPLMN 300在UE 100中(在示例中,在由HPLMN 300提供的UICC中或作为NAS配置的一部分)预先配置将用于PLMN和RAT列表的保护(完整性保护和/或加密)的算法。在另一实施例中,UE 100用于验证优选PLMN和RAT列表的完整性和解密的算法与优选PLMN和RAT列表一起包括。在表1-表3中提供了算法标识符值。在图9中示出PLMN和RAT列表上的MAC-I/XMAC-I的导出。
在7,AUSF 310通过N12向SEAF 220发送5G-AIA消息。在5G-AIA消息中,AUSF 310使用HPLMN密钥KAUSF包括到AMF 210/SEAF 220的完整性保护的优选PLMN和RAT列表(包括MAC-I)(如果支持,则可以使用密钥KAUSF导出其他密钥,并且也加密列表)。基于HPLMN策略,HPLMN 300在5G-AIA消息中包括受保护的优选PLMN和RAT列表,并且用于VPLMN在认证请求中提供来自HPLMN 300的PLMN和RAT列表。当AUSF 310从UDM 320接收到PLMN列表时,AUSF310在经由AMF 210/SEAF 220将PLMN列表发送到UE 100之前保护PLMN列表。
在实施例中,完整性算法(NIA)的输入参数是PLMN和RAT列表、从密钥、KAUSF、RAND(AV中的参数之一)和其他可能参数(例如,列表长度LENGTH、NONCE等)导出完整性保护密钥(例如,KH-int)。对于与AV相对应的每个导出,RAND和/或NONCE用于导出加密的单独MAC。基于这些输入参数,AUSF 310使用完整性算法NIA来计算消息认证代码(MAC-1)。消息认证代码随后在发送时附加到消息。UE 100以与AUSF 310对发送的消息计算其消息认证代码相同的方式,对接收的消息计算预期的消息认证代码,并通过将其与接收的消息认证代码进行比较来验证消息的数据完整性。
在实施例中,将计数器COUNT用作完整性算法的输入参数之一,并且将COUNT与MAC-I一起包括,使得接收器可以将COUNT值用于XMAC-1计算。
在另一实施例中,完整性算法(NIA)的输入参数是PLMN和RAT列表、使用认证密钥K_aut的完整性保护密钥(从瞬态EAP密钥(TEK)导出)以及其他可能参数(例如,列表长度LENGTH、NONCE等)。对于与AV相对应的每个导出,RAND和/或NONCE用于导出加密的单独MAC-I。
在实施例中,从密钥KAUSF、RAND(AV中的参数之一)和其他可能参数(例如,列表长度LENGTH、NONCE等)导出的加密算法(NEA)加密密钥的输入参数(例如,KH-enc)。对于与AV相对应的每个导出,RAND和/或NONCE用于导出加密的单独密钥流。网络引导信息的加密在图10中示出。
在实施例中,将计数器COUNT用作算法的输入参数之一,并且COUNT与消息一起被包括,使得接收器将使用COUNT值进行解密。
在实施例中,加密算法(NEA)的输入参数是使用加密密钥K_encr的加密密钥(从瞬态EAP密钥(TEK)导出)和其他可能参数(例如,列表长度LENGTH、NONCE等)。
在另一实施例中,AUSF 310生成新的KAUSF密钥集标识符(例如,ngKSIausf)以识别KAUSF。订阅永久标识符(SUPI)与KAUSF密钥集标识符一起唯一地识别UE 100的KAUSF。AUSF 310通过AMF 210/SEAF 220将KAUSF密钥集标识符与AV一起提供给UE310。AMF 210/SEAF 220可以将KAUSF密钥集标识符与ngKSI一起存储。
在实施例中,AV的序列号和/或AV的RAND和SUPI唯一地识别UE 100的KAUSF。
在另一实施例中,使用EAP(可扩展认证协议)-请求/AKA(认证和密钥协商)-通知机制将受保护的PLMN和RAT列表提供给UE 100。
在实施例中,以供应商特定(例如3GPP)类型、长度、值格式来提供(编码)受保护的PLMN和RAT列表以及安全性参数(例如,MAC-1等)。
在8,AMF 210/SEAF 220通过NAS消息(即,认证请求消息)向UE 100透明地发送接收的受保护的PLMN列表。在实施例中,如果接收到多个AV,则AMF 210/SEAF 220选择AV,并且在NAS消息中向UE 100透明地发送对应的受保护的PLMN列表。
在9,基于UE 100的配置,UE 100预期认证请求消息中的受保护的PLMN和RAT列表。如果该配置指示对优选的PLMN和RAT列表的强制检查,则UE 100通过以与AUSF相同的方式导出密钥来验证接收的PLMN和RAT列表的完整性。
在10a,如果安全性检查失败,则UE 100将认证拒绝消息发送到VPLMN 200。在10b,如果受保护的PLMN和RAT列表丢失或验证失败,则UE 100执行PLMN选择。
在11a,在另一实施例中,如果受保护的PLMN和RAT列表完整性验证成功,但是服务PLMN不是接收列表中的优选PLMN/RAT,则UE 100将认证拒绝消息发送到VPLMN 200。在11b,考虑到由HPLMN 300提供的PLMN列表,UE 100执行PLMN选择。
在12,在实施例中,如果完整性的受保护列表验证成功并且服务PLMN是接收的列表中的优选PLMN/RAT,或者在那个特定区域没有可用的优选PLMN,则UE 100通过NAS消息将认证响应消息发送到SEAF 220。
图12是示出根据本文公开的实施例的当UE已经向VPLMN注册时用于提供优选PLMN列表的列表的逐步程序的顺序流程图。考虑当UE 100已经向VPLMN 200注册并且HPLMN 300想要向UE 100更新优选PLMN/接入技术组合时。
在1,HPLMN 300的UDM 320决定更新UE 100中的优选PLMN/接入技术组合。在2,UDM320将Nudm_SubData_UpdateNotif消息发送到AUSF 310,其包括优选PLMN/接入技术组合。
在3,AUSF 310使用与5G-AIR消息相同的参数将Nausf_Initiate_Auth请求消息发送到AMF 210。优选PLMN/接入技术组合使用从UDM 320/ARPF接收的最新AV来保护并被包括在Nausf_Initiate_Auth请求消息中。
在4,AMF 210发送认证请求消息,该认证请求消息透明地携带受保护的优选PLMN/接入技术组合以及认证请求消息的其他现有参数。
在5,UE 100对接收的受保护的优选PLMN/接入技术组合执行完整性检查(和/或解密)。如果检查不成功,则UE 100进行PLMN选择程序。如果在步骤5中检查成功,则UE 100以携带受保护的确认IE的认证响应消息进行响应。
在6,AMF 210将Nausf_Initiate_Auth_Resp消息发送到AUSF310。该消息携带受保护的确认IE。AUSF 310执行确认IE的安全性检查。
在7,AMF 210将Nudm_SubData_UpdateNotif_Resp发送到UDM 320,其指示受保护的确认IE通过还是未通过安全性检查。通常,AUSF 310和UDM 320将确定AUSF 310和UDM320发送的优选PLMN/接入技术组合是否成功更新到UE 100。否则,HPLMN 300可以重试该程序。
在实施例中,当UE 100接收到优选PLMN/接入技术组合并且完整性保护(或加密)检查通过时,然后,在以下任何情况下,UE 100将继续进行注册程序(使得VPLMN 200可以继续该注册程序)消息:
UE 100具有可用的PLMN列表(即UE 100已经在该区域中搜索到可用PLMN),并且根据最新接收的优选PLMN/接入技术组合,当前VPLMN 200是该区域中最优选的可用PLMN,以及
网络已经指示(通过NAS信令消息或UE配置)UE 100在搜索最优选的可用PLMN之前将继续进行认证或注册程序。
在实施例中,当UE 100接收到优选PLMN/接入技术组合并且通过完整性保护(或加密)检查时,然后,在以下任何情况下,UE 100将不继续进行注册程序消息,而是UE 100将通过NAS消息(例如,认证响应消息或认证拒绝消息或认证失败消息)指示AMF 210(具有拒绝原因或新的IE)以释放现有NAS N1信令连接或UE 100可以进行NAS N1信令连接的本地释放:
UE 100不具有可用的PLMN列表(即,该区域中的可用PLMN的列表)。UE100具有可用的PLMN列表(即,UE 100已经在该区域中搜索到可用的PLMN),并且在将可用的PLMN列表与最新接收的优选的PLMN/接入技术组合进行比较之后,存在与当前VPLMN 200相比更优选的VPLMN 200。
在实施例中,在接收或本地释放NAS信令连接之后,UE 100将执行PLMN选择,就好像计时器T(参考3GPP TS 23.122)已经期满一样。
在又一个实施例中,对于优选PLMN/接入技术组合的任何时间更新,HPLMN 300可以发起分离消息(或任何NAS消息),这将迫使VPLMN 200删除可用的认证向量并通过将KSI设置为将迫使VPLMN 200发起认证程序的值指示UE 100发起NAS消息(初始注册请求程序)。现在,VPLMN 200将与HPLMN 300联系以在处理中获得新的认证向量(AV),并且UE 100也将接收优选PLMN/接入技术组合作为NAS消息的一部分(注册接受)。
在又一个实施例中,如果UE 100在不是优选PLMN/接入技术组合(UE 100的OPLMN列表)的一部分的VPLMN 200上移动,并且UE 100向该VPLMN 200注册而不执行认证程序(或者如果未接收到优选PLMN/接入技术组合)并且UE 100进入空闲模式,则UE 100将在NAS消息(例如,初始直接传送NAS消息等)中设置ngKSI(或指示),这将迫使VPLMN 200重新发起认证程序并从HPLMN 300获得新的认证向量。
在又一个实施例中,如果UE 100在不是优选PLMN/接入技术组合(UE100的OPLMN列表)的一部分的VPLMN 200上移动,并且UE 100向该VPLMN 200注册而不执行认证程序(或者如果如果未接收到优选PLMN/接入技术组合),并且UE 100进入空闲模式,则UE 100将重新发起NAS消息(例如,初始注册程序等),其将迫使VPLMN 200从HPLMN 300获得优选PLMN列表,并且强制地将优选PLMN列表提供给UE 100。
在实施例中,优选PLMN/接入技术组合的IE可以在NAS消息中成为强制性的(例如,在初始注册接受消息期间)(可选地,通过UE配置,如USIM或MO Object等)。现在,即使HPLMN300不想用新的优选PLMN/接入技术组合来更新UE 100,HPLMN 300也将发送IE来指示PLMN/接入技术组合的大小为零(或指示不存在可用的新列表的值)。此IE必须受到保护。这向UE100保证了VPLMN 200没有移除或修改优选PLMN/接入技术组合信息,并指示使用UE 100中存储的OPLMN列表。
在实施例中,优选PLMN列表或PLMN列表是在UE 100的当前物理位置中优选由HPLMN 300漫游UE 100的PLMN的列表。该列表可以是运营商优选PLMN列表形式等。术语优选PLMN列表和PLMN列表可互换使用,并且含义相同。
在另一实施例中,对于本公开中讨论的所有程序,如果UE 100检测到接收的PLMN列表失真,则UE 100将执行PLMN选择并且选择UE 100将在其上执行其注册程序或者优选PLMN列表获取程序的某个其他PLMN。
在实施例中,UE 100可以在执行一些重试以避免任何异常情况之后,检测到从VPLMN 200接收的PLMN列表失真。否则,当UE 100检测到接收的PLMN列表未能被解密(或完整性检查失败)时,它可以向VPLMN 200指示,使得VPLMN 200可以重新执行该程序并再次从HPLMN 300获取优选PLMN列表。如果处理再次或在多次重试之后失败,则UE 100将执行PLMN选择以选择某个其他PLMN。
在实施例中,优选PLMN列表获取程序是将被执行以向VPLMN 200指示UE 100想要从HPLMN 300获得当前UE位置中的受保护的优选PLMN列表的任何NAS程序的同义词。
图13示出根据本文公开的实施例的数据路径解决方案(DPS)的操作序列。向漫游PLMN注册的UE 100可以使用HTTP在数据信道上将可用PLMN的列表(可选)和可用优选PLMN列表(可选)发送到归属PLMN,并且这可以通过使用网络定制应用或URL发送数据来实现。然后,HPLMN 300可以使用优选PLMN的列表来响应来自UE 100的HTTP请求,并且UE 100可以考虑OPLMN列表被改变并且按照3GPP部分(即23.122)动作。可以使用HTTP在IPSec上等来增强HTTP分组的安全性,并且如果HTTP请求失败(由于DNS失败或HTTP失败等),则UE 100可以在x次尝试(其中,“x”由客户配置)之后决定移动到不同的PLMN。UE 100成功地向漫游PLMN注册并建立PS上下文。此外,UE 100可以在漫游区域中周期性地发送(例如每24小时发送一次)。UE 100向不是当前在SIM卡中配置的优选PLMN列表的一部分的PLMN注册,并且触发来自运营商的请求,要求电子设备发起HTTP请求。
图14是根据本文公开的实施例的UE100的框图。在实施例中,UE 100包括优选PLMN列表确定器110、通信器120、存储器130和处理器140。处理器140与优选PLMN列表确定器110、通信器120和存储器130通信。
在实施例中,优选PLMN列表确定器110被配置为向VPLMN 200发送初始注册请求消息。此外,优选PLMN列表确定器110被配置为响应于初始注册请求消息而从VPLMN 200接收响应消息。初始注册请求消息要求VPLMN 200在响应消息中发送优选PLMN列表。此外,优选PLMN列表确定器110被配置为验证,响应消息是否包括由HPLMN 300提供的优选PLMN列表,VPLMN 200是否强制地透明地发送优选PLMN列表,并且使用至少一个HPLMN特定安全密钥对接收的优选PLMN列表进行的安全性检查是否成功。此外,优选PLMN列表确定器110被配置为在安全性检查失败时将拒绝消息发送到VPLMN 200以进行NAS信令连接释放并执行PLMN选择程序,或者在验证失败时执行本地NAS信令连接释放并执行PLMN选择程序,或者在验证成功时将接受消息发送到VPLMN 200。
在另一实施例中,优选PLMN列表确定器110被配置为预配置HTTP链接以联系归属网络。此外,优选PLMN列表确定器110被配置为识别UE 100在非HPLMN网络中。此外,优选PLMN列表确定器110被配置为使用存储的HTTP链接地址来触发HTTPS请求。此外,优选PLMN列表确定器110被配置为接收携带优选PLMN列表的HTTPS响应消息。
此外,处理器140被配置为执行存储在存储器130中的指令并执行各种处理。通信器120被配置用于经由一个或多个网络在内部硬件组件之间进行内部通信以及与外部设备通信。通信器120被配置为与优选PLMN列表确定器110通信,以在无线通信网络中管理漫游的反引导。
存储器130还存储要由处理器140执行的指令。存储器130可以包括非易失性存储元件。这样的非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存、或电可编程存储器(EPROM)或电可擦除可编程(EEPROM)存储器的形式。另外,在一些示例中,存储器130可以被认为是非暂时性存储介质。术语“非暂时性”可以指示存储介质没有体现在载波或传播的信号中。然而,术语“非暂时性”不应被解释为存储器130是不可移动的。在一些示例中,存储器130可以被配置为存储比存储器更大的信息量在特定示例中,非暂时性存储介质可以存储可以随时间改变的数据(例如,在随机存取存储器(RAM)或高速缓存中)。
虽然图14示出了UE 100的各种硬件组件,但是应当理解,其他实施例不限于此。在其他实施例中,UE 100可以包括更少或更多数量的组件。此外,组件的标签或名称仅用于说明性目的,并不限制本发明的范围。可以将一个或多个组件组合在一起以执行相同或基本相似的功能,以在无线通信网络中管理漫游反引导。
图15是示出根据本文公开的实施例的在无线通信网络中由UE执行的用于管理漫游的反引导的各种操作的流程图。由优选PLMN列表确定器110执行操作(1502-1510)。
在1502,该方法包括向VPLMN 200发送初始注册请求消息。在1504,该方法包括从VPLMN 200接收响应消息。在1506,该方法包括验证该响应消息是否包括由HPLMN 300提供的优选PLMN列表,VPLMN 200是否强制性向UE透明地发送优选PLMN列表,以及使用至少一个HPLMN特定安全密钥对接收的优选PLMN列表进行的安全性检查是否成功。在1508,该方法包括在验证失败时,将拒绝消息发送到VPLMN 200以进行NAS信令连接释放,并执行PLMN选择程序。在1510,该方法包括在验证失败时执行本地NAS信令连接释放以及执行PLMN选择程序。在1512,该方法包括在验证成功时,将接受消息发送到VPLMN 200。
流程图1500中的各种行为、动作、块、步骤等可以以呈现的顺序、以不同的顺序或同时执行。此外,在一些实施例中,在不脱离本发明的范围的情况下,一些行为、动作、块、步骤等可以被省略,添加,修改,跳过等。
图16是示出根据本文公开的实施例的在无线通信网络中由HPLMN 300执行的用于管理漫游的反引导的各种操作的流程图。由HPLMN 300执行操作(1602-1608)。
在1602,该方法包括从VPLMN 200获得注册请求消息。在1604,该方法包括基于至少一个安全性参数来导出至少一个HPLMN特定安全密钥。在1606,该方法包括使用至少一个安全性参数和HPLMN特定安全密钥来保护优选PLMN列表。在1608,该方法包括将受保护的优选PLMN列表发送到VPLMN 200。
流程图1600中的各种行为、动作、块、步骤等可以以呈现的顺序、以不同的顺序或同时执行。此外,在一些实施例中,在不脱离本发明的范围的情况下,一些行为、动作、块、步骤等可以被省略,添加,修改,跳过等。
可以使用在至少一个硬件设备上运行并执行网络管理功能以控制元件的至少一个软件程序来实现本文公开的实施例。
在不脱离一般概念的情况下,对特定实施例的前述描述将如此充分地揭示本文中的实施例的一般性质,以至于其他人可以通过应用当前知识,容易地修改和/或适应于这样的特定实施例的各种应用,因此,这样的适应和修改应当并且意在被理解为所公开的实施例的等同形式的含义和范围内。应当理解,本文采用的措词或术语是出于描述的目的而不是限制。因此,尽管已经根据优选实施例描述了本文的实施例,但是本领域技术人员将认识到,可以在如本文描述的实施例的精神和范围内进行修改来实践本文的实施例。
Claims (15)
1.一种用于在无线通信系统中由用户设备UE管理漫游的引导的方法,所述方法包括:
向受访公共陆地移动网络VPLMN中的接入和移动性管理功能AMF发送注册请求消息;
从VPLMN中的AMF接收包括优选PLMN列表的注册接受消息;
对优选PLMN列表执行安全性检查;以及
基于安全性检查的结果向VPLMN中的AMF发送注册完成消息。
2.根据权利要求1所述的方法,其中所述注册接受消息包括由归属公共陆地移动网络HPLMN中的认证服务器功能AUSF为保护优选PLMN列表而计算的完整性的消息认证代码MAC-I。
3.根据权利要求2所述的方法,其中MAC-I由HPLMN中的AUSF使用由UE的订阅永久标识符SUPI所标识的密钥(KAUSF)来计算。
4.根据权利要求1所述的方法,其中执行安全性检查包括:
由UE以与HPLMN中的AUSF相同的方式基于优选PLMN列表计算优选PLMN列表的MAC-I;和
由UE验证所计算的优选PLMN列表的MAC-I是否与在注册接受消息中接收的优选PLMN列表的MAC-I相匹配。
5.根据权利要求1所述的方法,其中,如果安全性检查成功,则所述注册完成消息包括UE的确认信息以及由UE计算的MAC-I。
6.根据权利要求5所述的方法,还包括:
如果VPLMN不包括在优选PLMN列表中,则基于优选PLMN列表选择除VPLMN以外的PLMN。
7.根据权利要求5所述的方法,还包括:
如果安全性检查不成功,则选择除VPLMN以外的PLMN。
8.根据权利要求1所述的方法,其中优选PLMN列表从VPLMN中的AMF通过NAS信令透明地发送。
9.一种用于在无线通信系统中引导漫游的用户设备UE,UE包括:
收发器;和
至少一个处理器,与收发器耦合并被配置为:
向受访公共陆地移动网络VPLMN中的接入和移动性管理功能AMF发送注册请求消息;
从VPLMN中的AMF接收包括优选PLMN列表的注册接受消息;
对优选PLMN列表执行安全性检查;以及
基于安全性检查的结果向VPLMN中的AMF发送注册完成消息。
10.根据权利要求9所述的UE,其中所述注册接受消息包括由归属公共陆地移动网络HPLMN中的认证服务器功能AUSF为保护优选PLMN列表而计算的完整性的消息认证代码MAC-I。
11.根据权利要求10所述的UE,其中MAC-I由HPLMN中的AUSF使用由UE的订阅永久标识符SUPI所标识的密钥KAUSF来计算。
12.根据权利要求9所述的UE,其中所述至少一个处理器还被配置为:
以与HPLMN中的AUSF相同的方式基于优选PLMN列表计算优选PLMN列表的MAC-I;和
验证所计算的优选PLMN列表的MAC-I是否与在注册接受消息中接收的优选PLMN列表的MAC-I相匹配。
13.根据权利要求9所述的UE,其中,如果安全性检查成功,则所述注册完成消息包括UE的确认信息以及由UE计算的MAC-I。
14.根据权利要求13所述的UE,其中所述至少一个处理器还被配置为,
如果VPLMN不包括在优选PLMN列表中,则基于优选PLMN列表选择除VPLMN以外的PLMN。
15.根据权利要求13所述的UE,其中所述至少一个处理器还被配置为,如果安全性检查不成功,则选择除VPLMN以外的PLMN。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211017543.5A CN115515122B (zh) | 2017-07-18 | 2018-07-18 | 无线通信网络中检测漫游活动的反引导的方法和系统 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201741025493 | 2017-07-18 | ||
| IN201741025493 | 2017-07-18 | ||
| IN201841000878 | 2018-01-09 | ||
| IN201841000878 | 2018-01-09 | ||
| PCT/KR2018/008118 WO2019017689A1 (en) | 2017-07-18 | 2018-07-18 | METHOD AND SYSTEM FOR DETECTING ANTI-DIRECTION OF ROAMING ACTIVITY IN A WIRELESS COMMUNICATION NETWORK |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211017543.5A Division CN115515122B (zh) | 2017-07-18 | 2018-07-18 | 无线通信网络中检测漫游活动的反引导的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110945886A CN110945886A (zh) | 2020-03-31 |
| CN110945886B true CN110945886B (zh) | 2022-09-09 |
Family
ID=65020950
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880048224.6A Active CN110945886B (zh) | 2017-07-18 | 2018-07-18 | 无线通信网络中检测漫游活动的反引导的方法和系统 |
| CN202211017543.5A Active CN115515122B (zh) | 2017-07-18 | 2018-07-18 | 无线通信网络中检测漫游活动的反引导的方法和系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211017543.5A Active CN115515122B (zh) | 2017-07-18 | 2018-07-18 | 无线通信网络中检测漫游活动的反引导的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US10911934B2 (zh) |
| EP (2) | EP3656141B1 (zh) |
| KR (1) | KR102450419B1 (zh) |
| CN (2) | CN110945886B (zh) |
| WO (1) | WO2019017689A1 (zh) |
Families Citing this family (53)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111165001B (zh) * | 2017-10-02 | 2023-05-16 | 瑞典爱立信有限公司 | 用于保护网络操控信息的方法和装置 |
| US10952062B2 (en) * | 2018-02-26 | 2021-03-16 | Blackberry Limited | Steering of roaming in wireless communication networks |
| US11272351B2 (en) * | 2018-04-05 | 2022-03-08 | Qualcomm Incorporated | System and method that facilitate steering of roaming |
| CN110858992A (zh) * | 2018-08-23 | 2020-03-03 | 华为技术有限公司 | 路由方法、装置及系统 |
| WO2020060461A1 (en) | 2018-09-17 | 2020-03-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Resuming a radio resource control connection using a security token comprising a globally unique cell identifier |
| US11399322B2 (en) * | 2018-09-17 | 2022-07-26 | Telefonaktiebolaget Lm Ericsson (Publ) | User equipment, network node and methods in a wireless communications network |
| US11206539B2 (en) | 2018-09-17 | 2021-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | User equipment, network node and methods in a wireless communications network |
| EP3681187B1 (en) * | 2019-01-09 | 2022-07-20 | NTT DoCoMo, Inc. | Network nodes and reporting method |
| US10972896B2 (en) * | 2019-01-23 | 2021-04-06 | T-Mobile Usa, Inc. | Intelligent steering of roaming for user equipment |
| US20220167157A1 (en) * | 2019-04-08 | 2022-05-26 | Nec Corporation | Procedure to provide integrity protection to a ue parameter during ue configuration update procedure |
| US11290882B2 (en) * | 2019-04-24 | 2022-03-29 | Apple Inc. | Re-authentication procedure for security key (KAUSF) generation and steering of roaming (SOR) data delivery |
| CN116233838A (zh) * | 2019-04-29 | 2023-06-06 | 瑞典爱立信有限公司 | 5g中的多个认证过程的处理 |
| US12273711B2 (en) | 2019-06-17 | 2025-04-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Home controlled network slice privacy |
| EP3755061A1 (en) * | 2019-06-18 | 2020-12-23 | Gemalto Sa | Method for updating a terminal comprising a secure element |
| KR102822861B1 (ko) * | 2019-08-16 | 2025-06-19 | 삼성전자주식회사 | 무선 통신 시스템에서 정보를 보호하기 위한 방법 및 장치 |
| US11452067B2 (en) * | 2019-09-25 | 2022-09-20 | Qualcomm Incorporated | Secure paging for service prioritization |
| EP3817417A1 (en) * | 2019-10-31 | 2021-05-05 | Thales Dis France Sa | National steering method and corresponding application |
| CN112825498B (zh) * | 2019-11-01 | 2022-08-12 | 中国移动通信有限公司研究院 | 一种认证向量的生成方法、获取方法及设备 |
| EP3820199B1 (en) * | 2019-11-08 | 2022-01-26 | NTT DoCoMo, Inc. | Communication system and method for operating a communication system |
| EP3832996A1 (en) * | 2019-12-06 | 2021-06-09 | Thales Dis France Sa | Method to dynamically select a mobile operator subscription based on the terminal location, on the received signal strengths and on business agreements, corresponding secure element and home subscriber server |
| US11368839B2 (en) * | 2019-12-13 | 2022-06-21 | T-Mobile Usa, Inc. | Secure privacy provisioning in 5G networks |
| CA3178449A1 (en) * | 2020-03-31 | 2021-10-07 | Huawei Technologies Co., Ltd. | Method for protecting terminal parameter update and communication apparatus |
| CN113630783B (zh) * | 2020-05-07 | 2023-11-03 | 华为技术有限公司 | 一种通信方法及装置 |
| CN114079982B (zh) * | 2020-08-11 | 2023-07-25 | 维沃移动通信有限公司 | 网络转移方法、装置和设备 |
| CN114079913B (zh) * | 2020-08-12 | 2024-11-29 | 中国电信股份有限公司 | 向终端提供鉴权数据的方法、装置和系统 |
| US11889584B2 (en) * | 2020-08-12 | 2024-01-30 | Apple Inc. | Updating user equipment parameters |
| EP4169274A1 (en) | 2020-08-12 | 2023-04-26 | Apple Inc. | Steering of roaming check during mobility registration |
| EP4287714A3 (en) * | 2020-08-12 | 2024-03-13 | Apple Inc. | Steering of roaming plmn list update and management |
| WO2021243343A2 (en) * | 2020-09-29 | 2021-12-02 | Futurewei Technologies, Inc. | Method and apparatus for critical control message transfer across networks |
| WO2022067803A1 (zh) * | 2020-09-30 | 2022-04-07 | 华为技术有限公司 | 通信方法及装置 |
| US11310653B1 (en) | 2020-10-15 | 2022-04-19 | Hewlett Packard Enterprise Development Lp | Visitor location register registration handling |
| US20230422197A1 (en) * | 2020-11-04 | 2023-12-28 | Apple Inc. | Handling PLMN Prioritization |
| EP4243465A4 (en) * | 2020-11-06 | 2024-08-14 | Ntt Docomo, Inc. | TERMINAL DEVICE AND COMMUNICATION SYSTEM |
| CN114666851A (zh) * | 2020-12-22 | 2022-06-24 | 展讯半导体(南京)有限公司 | 漫游网络选择方法、系统、电子设备及存储介质 |
| JP7576972B2 (ja) * | 2020-12-22 | 2024-11-01 | シャープ株式会社 | UE(User Equipment) |
| US12150043B2 (en) * | 2021-01-15 | 2024-11-19 | Apple Inc. | Public land mobile network selection for non-terrestrial networks |
| CN114915966A (zh) * | 2021-02-10 | 2022-08-16 | 华为技术有限公司 | 配置演进分组系统非接入层安全算法的方法及相关装置 |
| CN114979936A (zh) * | 2021-02-18 | 2022-08-30 | 大唐移动通信设备有限公司 | Plmn选择方法、装置、终端及amf |
| CN114980063B (zh) * | 2021-02-18 | 2023-07-25 | 大唐移动通信设备有限公司 | 漫游引导sor信息处理方法、装置及处理器可读存储介质 |
| WO2022195461A1 (en) * | 2021-03-15 | 2022-09-22 | Lenovo (Singapore) Pte. Ltd. | Registration authentication based on a capability |
| JP2024516618A (ja) * | 2021-04-28 | 2024-04-16 | インターデイジタル パテント ホールディングス インコーポレイテッド | 複数の無線ネットワーク間で無線/送信受信ユニットをステアリングするための方法及び装置 |
| US11843689B2 (en) * | 2021-08-06 | 2023-12-12 | Samsung Electronics Co., Ltd. | Methods and systems for reducing propagation delays in hardware implementation of ZUC cryptographic algorithms |
| CN115706967B (zh) * | 2021-08-12 | 2024-09-13 | 中国电信股份有限公司 | 网络切换引导方法、装置、系统、网络单元、终端和介质 |
| KR20230045458A (ko) * | 2021-09-28 | 2023-04-04 | 삼성전자주식회사 | 무선 통신 시스템에서 단말의 이동성을 지원하기 위한 장치 및 방법 |
| CN115884296A (zh) * | 2021-09-29 | 2023-03-31 | 维沃软件技术有限公司 | 网络通信方法、装置及相关设备 |
| EP4420376A4 (en) * | 2021-10-27 | 2025-02-26 | Samsung Electronics Co., Ltd. | Method and apparatus for maintaining priority of vplmn due to multiple sor security check failures |
| CN116744295A (zh) * | 2022-03-02 | 2023-09-12 | 华为技术有限公司 | 认证方法、发送信息的方法、处理方法及通信装置 |
| US11924915B2 (en) * | 2022-03-30 | 2024-03-05 | T-Mobile Usa, Inc. | Enhanced PLMN coverage for mobile devices |
| WO2024026749A1 (zh) * | 2022-08-03 | 2024-02-08 | 北京小米移动软件有限公司 | 一种跨plmn的切换方法和装置、电子设备和存储介质 |
| EP4346258A1 (en) * | 2022-09-29 | 2024-04-03 | Nokia Technologies Oy | Secure user equipment policy data in a communication network environment |
| WO2024077598A1 (en) * | 2022-10-14 | 2024-04-18 | Zte Corporation | Protecting capability indication in ue initiated visited public land mobile network (vplmn) slice-based steering of roaming (sor) |
| WO2024092467A1 (zh) * | 2022-10-31 | 2024-05-10 | 北京小米移动软件有限公司 | 信息传输方法、装置、通信设备和存储介质 |
| WO2024194966A1 (ja) * | 2023-03-17 | 2024-09-26 | 株式会社Nttドコモ | 端末、ネットワークノード装置、及び通信方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1968502A (zh) * | 2006-04-14 | 2007-05-23 | 华为技术有限公司 | 一种控制漫游用户接入网络的方法及系统 |
| GB2434055A (en) * | 2006-01-09 | 2007-07-11 | Nec Technologies | System and method for network selection for a communication device |
| CN101031145A (zh) * | 2006-02-13 | 2007-09-05 | 捷讯研究有限公司 | 自动网络选择方法和使用导引plmn的装置 |
| CN102461268A (zh) * | 2009-06-25 | 2012-05-16 | 高通股份有限公司 | 对允许的csg列表和vplmn-自主csg漫游的管理 |
| CN106664558A (zh) * | 2015-05-15 | 2017-05-10 | 华为技术有限公司 | 用于建立连接的方法和设备 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102006033327A1 (de) | 2006-07-19 | 2008-02-14 | T-Mobile International Ag & Co. Kg | Verfahren zur Abwehr von Roaming-Steering Mechanismen |
| GB2457652A (en) * | 2008-01-30 | 2009-08-26 | Nec Corp | PLMN selection in multi-network environment |
| US8364143B2 (en) | 2010-12-21 | 2013-01-29 | Tektronix, Inc. | Detection of anti-steering of roaming activity on visited networks |
| GB2489291B (en) * | 2011-08-22 | 2013-02-13 | Renesas Mobile Corp | Method and apparatus for maintaining closed subscriber group cells |
| EP2683186A1 (en) | 2012-07-06 | 2014-01-08 | Gemalto SA | Method for attaching a roaming telecommunication terminal to a visited operator network |
| US9497740B2 (en) | 2012-09-28 | 2016-11-15 | Intel Corporation | ANDSF parameters for WLAN network selection |
| US9083775B2 (en) | 2012-09-28 | 2015-07-14 | Intel Corporation | ANDSF policies for WLAN and PLMN selection |
| US10219206B2 (en) * | 2013-03-22 | 2019-02-26 | Qualcomm Incorporated | Selecting a network node based on precedence of network policies |
| CA2816684C (en) * | 2013-05-17 | 2021-02-09 | Robert Manalo | Method for instant registration of a roaming ue onto a preferred vplmn using airplane mode of operation |
| US9730147B2 (en) * | 2013-09-11 | 2017-08-08 | Blackberry Limited | Higher priority network scanning |
| US9668203B2 (en) * | 2014-05-29 | 2017-05-30 | Apple Inc. | Device-type specific preferred PLMN list |
| GB2555209B (en) * | 2014-07-04 | 2019-02-13 | Samsung Electronics Co Ltd | Connection configuration method |
| US9894601B2 (en) * | 2015-08-18 | 2018-02-13 | Ford Global Technologies, Llc | System and method for dynamic wireless carrier swap system |
| WO2017080623A1 (en) * | 2015-11-13 | 2017-05-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Visited plmn (vplmn) selection for roaming subscribers |
| US10142994B2 (en) * | 2016-04-18 | 2018-11-27 | Electronics And Telecommunications Research Institute | Communication method and apparatus using network slicing |
-
2018
- 2018-07-18 CN CN201880048224.6A patent/CN110945886B/zh active Active
- 2018-07-18 WO PCT/KR2018/008118 patent/WO2019017689A1/en unknown
- 2018-07-18 EP EP18835049.0A patent/EP3656141B1/en active Active
- 2018-07-18 CN CN202211017543.5A patent/CN115515122B/zh active Active
- 2018-07-18 EP EP22171858.8A patent/EP4061031B1/en active Active
- 2018-07-18 KR KR1020207004760A patent/KR102450419B1/ko active Active
- 2018-07-18 US US16/632,079 patent/US10911934B2/en active Active
-
2021
- 2021-02-01 US US17/163,708 patent/US11622256B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2434055A (en) * | 2006-01-09 | 2007-07-11 | Nec Technologies | System and method for network selection for a communication device |
| CN101031145A (zh) * | 2006-02-13 | 2007-09-05 | 捷讯研究有限公司 | 自动网络选择方法和使用导引plmn的装置 |
| CN1968502A (zh) * | 2006-04-14 | 2007-05-23 | 华为技术有限公司 | 一种控制漫游用户接入网络的方法及系统 |
| CN102461268A (zh) * | 2009-06-25 | 2012-05-16 | 高通股份有限公司 | 对允许的csg列表和vplmn-自主csg漫游的管理 |
| CN106664558A (zh) * | 2015-05-15 | 2017-05-10 | 华为技术有限公司 | 用于建立连接的方法和设备 |
Non-Patent Citations (3)
| Title |
|---|
| 3GPP."3rd Generation Partnership Project * |
| 5G System-Phase 1 ; CT WG1 Aspects(Release 15)".《3GPP TR 24.890 V0.2.1》.2017, * |
| Technical Specification Group Core Network and Terminals * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3656141B1 (en) | 2022-06-15 |
| CN115515122A (zh) | 2022-12-23 |
| US11622256B2 (en) | 2023-04-04 |
| KR102450419B1 (ko) | 2022-10-04 |
| WO2019017689A1 (en) | 2019-01-24 |
| US10911934B2 (en) | 2021-02-02 |
| EP4061031B1 (en) | 2024-09-18 |
| CN110945886A (zh) | 2020-03-31 |
| US20200221281A1 (en) | 2020-07-09 |
| KR20200022045A (ko) | 2020-03-02 |
| EP3656141A4 (en) | 2020-05-27 |
| CN115515122B (zh) | 2025-03-07 |
| EP3656141A1 (en) | 2020-05-27 |
| US20210211860A1 (en) | 2021-07-08 |
| EP4061031A1 (en) | 2022-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110945886B (zh) | 无线通信网络中检测漫游活动的反引导的方法和系统 | |
| US11863982B2 (en) | Subscriber identity privacy protection against fake base stations | |
| US9930530B2 (en) | Methods and apparatuses facilitating synchronization of security configurations | |
| US9185559B2 (en) | Method and apparatus for network personalization of subscriber devices | |
| US10057760B2 (en) | Apparatus and methods for Electronic Subscriber Identity Module (ESIM) installation notification | |
| CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
| CN107835204B (zh) | 配置文件策略规则的安全控制 | |
| KR20100054178A (ko) | 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치 | |
| US20210058774A1 (en) | Wireless network service access control with subscriber identity protection | |
| EP3485624A1 (en) | Operation related to user equipment using secret identifier | |
| US20230108626A1 (en) | Ue challenge to a network before authentication procedure | |
| WO2015056037A1 (en) | Application specific congestion control management | |
| CN118614098A (zh) | 无线系统中的应用编程接口(api)访问管理 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |