ES2985229T3 - Terminal de comunicación, dispositivo de red, método de comunicación y método de desocultación - Google Patents
Terminal de comunicación, dispositivo de red, método de comunicación y método de desocultación Download PDFInfo
- Publication number
- ES2985229T3 ES2985229T3 ES19738734T ES19738734T ES2985229T3 ES 2985229 T3 ES2985229 T3 ES 2985229T3 ES 19738734 T ES19738734 T ES 19738734T ES 19738734 T ES19738734 T ES 19738734T ES 2985229 T3 ES2985229 T3 ES 2985229T3
- Authority
- ES
- Spain
- Prior art keywords
- scheme
- suci
- identifier
- protection
- supi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Un terminal de comunicación (10) según la presente divulgación tiene un medio de control para generar un identificador oculto de suscripción (SUCI) que incluye un identificador permanente de suscripción (SUPI) que se oculta utilizando un esquema de protección prescrito y un identificador de esquema de protección que identifica un esquema de protección, y un medio de transmisión para transmitir el SUCI a un primer dispositivo de red durante un proceso de registro para que un segundo dispositivo de red desoculte el SUPI del SUCI sobre la base del esquema de protección utilizado para generar el SUCI. (Traducción automática con Google Translate, sin valor legal)
Description
DESCRIPCIÓN
Terminal de comunicación, dispositivo de red, método de comunicación y método de desocultación
Campo técnico
La presente descripción se refiere a un sistema de próxima generación que puede incluir gestión de datos unificada (UDM).
Técnica anterior
En el campo de los sistemas de comunicación móvil, como se describe en la Bibliografía no patentada 1 y la Bibliografía no patentada 2, se está estudiando la configuración de un sistema de próxima generación denominado 5G (5a Generación). En el sistema de próxima generación, se está considerando la gestión de datos de abonado y similares mediante gestión de datos unificada (UDM). La UDM proporciona el proceso de desocultación (descifrado) del identificador oculto de suscripción (SUCI) basado en servicios de función de desocultación del identificador de suscripción (SIDF). El SUCI es generado por el equipo de usuario (UE). El SUCI incluye un identificador permanente de suscripción oculto (SUPI).
En el proceso de desocultación de SUCI basado en los servicios de SIDF, la Bibliografía no patentada 1 describe que UDM realiza desocultación de SUCI para obtener SUPI. La UDM selecciona un método de autenticación utilizado para el procesamiento de autenticación entre un terminal y una red basándose en SUPI.
Lista de citas
Bibliografía no patentada
Bibliografía no patentada 1: 3GPP TS 33.501 V0.6.0 (2018-01), Security Architecture and Procedures for 5G System (Versión 15)
Bibliografía no patentada 2: 3GPP TS 23.501 V15.0.0 (2017-12), System Architecture for 5G System; Stage 2 (Versión 15)
Bibliografía no patentada 3: 3GPP: "3 Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architecture and Procedures for 5G System (Release 15)", ESPECIFICACIÓN TÉCNICA; 3GPP TS 33.501, no. V0.6.0, 4 enero 2018 (2018-01 -04), páginas 1 -79, XP051392349 Bibliografía no patentada 4: ERICSSON ET AL: "SUCI -- format and generation", 3GPP BORRADOR; S3-171786_CLAUSE_6.8.X_SUCI_FORMAT _AND_GENERATION, vol. SA WG3, no. Dali, China; 20170807 -20170811 31 julio 2017 (2017-07-31), XP051312268
Problema técnico
La técnica relacionada descrita anteriormente tiene el problema de que UDM no puede ejecutar el proceso de desocultación de SUCI porque el esquema de protección usado para la ocultación de SUPI es desconocido para la UDM.
Compendio de la invención
La presente invención proporciona un terminal de comunicación, un aparato de red, un método de comunicación y un método de desocultación como se define en las reivindicaciones independientes adjuntas. Las características opcionales se definen en las reivindicaciones dependientes adjuntas.
Un terminal de comunicación según un primer aspecto de la presente descripción comprende medios de control para generar un Identificador Oculto de Suscripción (SUCI) que incluye un Identificador Permanente de Suscripción (SUPI) oculto que usa un esquema de protección predeterminado y un identificador de esquema de protección que identifica el esquema de protección, y medios de transmisión para enviar el SUCI a un primer aparato de red durante el Procedimiento de Registro, enviándose el SUCI a un segundo aparato de red para desocultar el SUPI del SUCI en base al esquema de protección utilizado para generar el SUCI.
Un aparato de red según un segundo aspecto de la presente descripción comprende medios de recepción para recibir un mensaje que incluye un Identificador Oculto de Suscripción (SUCI) generado por un terminal de comunicación, incluyendo el SUCI un Identificador Permanente de Suscripción (SUPI) oculto que usa un esquema de protección y un identificador de esquema de protección que identifica el esquema de protección, y medios de control para desocultar el SUPI del SUCI basándose en el esquema de protección usado para generar el SUCI.
Un método de comunicación según un tercer aspecto de la presente descripción comprende generar un Identificador Oculto de Suscripción (SUCI) que incluye un Identificador Permanente de Suscripción (SUPI) oculto utilizando un esquema de protección predeterminado y un identificador de esquema de protección que identifica el esquema de protección, y enviar el SUCI a un primer aparato de red durante el Procedimiento de Registro, enviándose el SUCI a un segundo aparato de red para desocultar el SUPI del SUCI en base al esquema de protección utilizado para generar el SUCI.
Un método de desocultación según un cuarto aspecto de la presente descripción comprende recibir un mensaje que incluye un Identificador Oculto de Suscripción (SUCI) generado por un terminal de comunicación, incluyendo el SUCI un Identificador Permanente de Suscripción (SUPI) oculto que usa un esquema de protección y un identificador de esquema de protección que identifica el esquema de protección, y desocultar el SUPI del SUCI basándose en el esquema de protección usado para generar el SUCI.
Efecto ventajoso de la invención
Un efecto en la presente descripción reside en que el SUPI puede adquirirse de manera fiable en una red.
Breve descripción de los dibujos
La Fig. 1 es un diagrama que muestra un esquema de protección SUPI e identificación de un método del esquema de protección SUPI, y desocultación SUPI según una primera realización ejemplar.
La Fig. 2 es un diagrama que muestra la generación de MAC y el proceso de verificación de integridad de SPSI según la primera realización ejemplar.
La Fig. 3 es un diagrama que muestra un proceso de cifrado y descifrado de SPSI según la primera realización ejemplar.
La Fig. 4 es un diagrama de configuración de un terminal de comunicación según la realización ejemplar. La Fig. 5 es un diagrama de configuración de un aparato de red según la realización ejemplar.
Descripción de la realización ejemplar
Los inventores declaran que existen los dos problemas siguientes en el proceso de desocultación de SUCI basado en servicios de SIDF.
(i) El equipo de usuario (UE) genera el SUCI a partir del identificador permanente de suscripción (SUPI), y hay una falta de notificación del esquema de protección SUPI usado por el UE (SPSI: identificador/indicador del esquema de protección SUPI) a la red central.
(ii) La falta de protección para SPSI hará que SPSI sea propensa a manipulación por atacantes y conducirá a un fallo de desocultación de SUPI en la red central.
Los dos problemas anteriores se describirán en detalle a continuación.
(i) Falta de esquema de protección de SUPI (SPSI) y su indicación de método
A menos que una red doméstica (PLMN: red móvil terrestre pública) conozca qué esquema de protección (por ejemplo. el esquema de ocultamiento SUPI y su método, o curva elíptica o perfil de seguridad utilizado en el ocultamiento SUPI) está siendo utilizado por el UE para el ocultamiento SUPI, la red doméstica no podrá desocultar el SUPI y, por lo tanto, la identificación de una suscripción/abonado no será posible.
El escenario del problema se considera los siguientes casos. Diversas curvas elípticas propuestas para la ocultación de SUPI en 5G incluyen secp384r1, NIST P-384, NIST P-256, brainpool384, brainpool256, M-383, Curve41417 y Curve25519. La UDM en la red doméstica ofrece el servicio SIDF, en donde se requiere una UDM para gestionar la ocultación de SUPI con diferentes esquemas de protección para un gran número de abonados simultáneamente. Un fallo de un solo punto en UDM/SIDF afectará a todo el proceso de desocultación de SUPI en una PLMN.
(ii) Integridad del identificador del esquema de protección SUPI (SPSI) y protección de la confidencialidad
Si el SPSI enviado por el UE no está protegido durante el envío a la red central, el SPSI puede ser manipulado indebidamente por un atacante, y dejará la red central incapaz de identificar un esquema de protección correcto, de modo que el proceso de desocultación de SUPI fallará.
(Primera realización ejemplar)
Se describirán en detalle soluciones correspondientes a los problemas anteriores (i) y (ii).
Solución de falta de esquema de protección de SUPI y su indicación de método
(1) EL SPSI propuesto contiene un indicador o una combinación de indicadores para identificar un esquema de protección y/o un método, y/o una curva elíptica (curva de ECC) y/o un perfil de seguridad usado por el UE para generar SUCI a partir de SUPI.
Variante: El identificador de perfil de seguridad SUPI indica un perfil de seguridad que contiene los parámetros de seguridad tales como una función de derivación de clave (KDF), hash, un código de autenticación de mensaje (MAC), mackeylen, maclen, ENC, enckeylen, primitiva de EC Diffie-Hellman, parámetros de dominio EC, compresión de puntos, modo de compatibilidad hacia atrás para soportar en la desocultación de SUCI.
EL SPSI es enviado por el UE a la red junto con el SUCI como su subparámetro o como un parámetro individual durante un procedimiento de registro.
Basándose en el SPSI recibido desde el UE, la red doméstica identifica el esquema o método de protección, o la curva elíptica o el perfil de seguridad usado para la ocultación de SUPI. La red usa esta información para identificar un esquema/método de protección/curva de ECC/perfil de seguridad apropiado para desocultar (descifrar) el SUPI del SUCI en consecuencia.
El esquema de protección SUPI y su identificación de método y desocultación SUPI se describirán a continuación con referencia a la Fig. 1. Los números descritos a continuación corresponden a los números mostrados en la Fig. 1.
1. EL SPSI se envía al campo de gestión de autenticación (AMF)/función de anclaje de seguridad (SEAF) por el UE en un mensaje de solicitud de registro junto con el SUCI como un parámetro individual o como parte del SUCI. El mensaje de petición de registro está contenido en un mensaje N1.
2. Una solicitud de iniciación de autenticación incluye el SPSI si SEAF envía el SUCI en la solicitud de iniciación de autenticación a la AUSF. Además, la solicitud de inicio de autenticación contiene el nombre de la red de servicio (SN). La solicitud de iniciación de autenticación está contenida en un mensaje N12.
3. La AUSF envía la solicitud de información de autenticación (Auth Info-Req) a la UDM con la siguiente información;
• SUCI;
• SPSI propuesto;
• nombre de red de servicio;
• una indicación de si la autenticación está destinada a un acceso 3GPP o a un acceso no 3GPP; y
• el número de vectores de autenticación (AV) solicitados, en caso de que la AUSF esté configurada para ejecutar 5G-AKA.
4. Tras recibir la Auth Info-Req que contiene el SUCI con el SPSI, la UDM identifica el esquema de protección y su método usado para la generación del SUCI basándose en el SPSI.
5. La UDM invoca la instancia o servicio de UDM/SIDF correspondiente para desocultar el SUCI.
Variante para el paso 5: la instancia de UDM invoca el servicio/funcionalidad/función de SIDF para desocultar el SUCI. La UDM puede ofrecer servicios de SIDF específicos para los diferentes esquemas de protección de SUPI soportados en 5G (la UDM tiene/ofrece múltiples instancias o servicios o funcionalidades de SIDF).
La UDM/AUSF invoca una instancia UDM/SIDF correcta o servicio SIDF para desocultar el SUCI basándose en un tipo de curva y/o esquema de protección SUPI y su método o un perfil de seguridad usado en la ocultación SUPI que se notifican por el SPSI.
O bien, UDM/AUSF invoca la instancia UDM/SIDF correcta o el servicio SIDF en base a un tipo de acceso.
O bien, UDM/AUSF invoca la instancia UDM/SIDF correcta o el servicio SIDF para desocultar SUPI basándose en tipos de SUPI tales como la identificación internacional de abonado móvil (IMSI) y tipos no IMSI.
O bien, UDM/AUSF invoca la instancia UDM/SIDF correcta o el servicio SIDF para desocultar SUPI basándose en los tipos de servicio o segmentos de red proporcionados al UE.
A continuación, se describirá la desocultación de SUPI y la invocación de SIDF por una red doméstica para un procedimiento de identificación de suscripción iniciado por una red de servicio.
La AUSF en una red doméstica invoca la SIDF en un caso en donde la AUSF recibe un mensaje de solicitud de identificación/solicitud de información de suscripción desde la red de servicio con el SUCI y el SPSI para desocultar el SUCI.
El SPSI es notificado a la AUSF por el UE a través de la red de servicio.
Una entidad de red doméstica/AUSF invoca la instancia UDM/SIDF correcta para desocultar el SUCI basándose en el esquema de protección SUPI indicado por el SPSI.
A continuación, se describirá la desocultación del SUCI en caso de instancias de UDM únicas o múltiples.
Variante 1: Más de una instancia de UDM proporcionan servicio de SIDF, donde cada instancia soporta todos los esquemas de protección de SUPI soportados por 5G para evitar un único punto de fallo.
Variante 2: Más de una instancia de UDM proporciona servicio de SIDF, donde cada instancia soporta un esquema de protección de SUPI específico usado en 5G para evitar un único punto de fallo.
Variante 3: Para cada esquema de protección SUPI soportado en 5G, múltiples instancias de UDM pueden ofrecer un servicio similar para evitar un único punto de fallo.
Variante 4: Se asigna e invoca una instancia de UDM/SIDF específica para manejar una solicitud de servicio de desocultación de SUPI de AUSF/UDM para entidades fuera de la PLMN.
Variante 5: Se asigna e invoca una instancia de UDM/SIDF específica para manejar una solicitud de servicio de desocultación de SUPI de AUSF para proveedores de servicios de terceros.
Las posibles construcciones SUPI y sus formatos se describirán a continuación. Todas las opciones enumeradas a continuación están relacionadas con el método de ocultamiento SUPI.
Opción 1: <SUCI>||<ID de esquema>||<Curva ECC/Identificador de Método (ID)>
Opción 2: <SUCI>||<ID de esquema>||<ID del perfil de seguridad>
Opción 3: esquema-salida =<ID de esquema>||<Curva ECC/ID de método>
Opción 4: esquema-salida =<ID de esquema>||<ID del perfil de seguridad>
Opción 5: esquema-salida = <ID de esquema || ID de método>
Opción 6: Como parámetros separados en el mensaje N1: <ID de esquema || ID de método>
Opción 7: Como parámetros separados en el mensaje N1: <ID de esquema>
Opción 8: Como parámetros separados en el mensaje N1: <ID de método>
Opción 9: Como parámetros separados en el mensaje N1: <ID de Tipo de Curva ECC>
Opción 10: Como parámetros separados en el mensaje N1: <ID del perfil de seguridad>
Opción 11: Incluye un conjunto de todas las opciones, donde cada una de las Opciones 1 a 10 se concatena con MAC. (2) Solución para la falta de protección de integridad del identificador del esquema de protección SUPI.
La integridad del SPSI está protegido por el UE usando una clave secreta compartida entre el UE y una red doméstica. La clave secreta es provisionada con antelación en el UE por la red doméstica o generada en el UE y la red doméstica. Si se usa una clave secreta compartida para la protección de integridad de SPSI, puede ser una clave compartida efímera, una clave compartida maestra efímera, una clave mac efímera o una clave derivada de estas claves durante la ejecución de un esquema de cifrado integrado de curva elíptica u otros esquemas de protección basados en curva elíptica. La generación de MAC y un proceso de verificación de integridad de SPSI se muestran en la Fig. 2.
La red doméstica genera un MAC usando una clave compartida secreta y verifica el MAC del SPSI recibida desde el UE para comprobar si el SPSI no es manipulada indebidamente por ningún atacante.
Una función (f) usada en la generación de MAC puede ser cualquier algoritmo mac tal como NIA-1, NIA-2 o NIA-3. El SPSI está opcionalmente protegido en confidencialidad por el UE usando una clave pública de HN. Si el SPSI está protegido en confidencialidad, la red doméstica descifra el SPSI usando su clave privada o una clave derivada de la clave privada. En la Fig. 3 se muestra un proceso de cifrado y descifrado de SPSI.
Las funciones (f) son un algoritmo de cifrado en un lado del UE y un algoritmo de descifrado en un lado de la red que se usan para la protección de confidencialidad de SPSI. La protección de confidencialidad de SPSI se basa en algoritmos de cifrado (asimétrico) de clave pública como RSA o cifrado de curva elíptica (ECC) o cualquier otro esquema derivado de los mismos.
La confidencialidad de SPSI tiene la ventaja de que la confidencialidad de SPSI asegura la privacidad del abonado/suscripción/usuario en todos los escenarios, incluyendo un caso en donde se usa un esquema nulo en la ocultación/protección de SUPI.
Si se usa un algoritmo o una función para la protección de integridad o el cifrado de SPSI, entonces (i) puede negociarse entre el UE y una red central, o (ii) un ID de algoritmo/ID de función puede enviarse por el UE en una solicitud de registro.
En la presente descripción, se usan los identificadores mostrados a continuación, y se ejecutan funciones adicionales mostradas a continuación:
1) identificador para identificar un esquema de protección SUPI y su método utilizado en la ocultación SUPI; 2) identificador para identificar una curva elíptica utilizada en la ocultación SUPI;
3) identificador para identificar un perfil de seguridad utilizado en la ocultación SUPI;
4) instancia UDM/SIDF o invocación de servicio específica del esquema y método de protección usados en la desocultación SUPI;
5) instancia UDM/SIDF o invocación de servicio basada en tipos SUPI o tipos de acceso;
6) protección confidencial del SPSI con ayuda de una clave pública HN por el equipo UE; y
7) protección de integridad de SPSI usando UE y clave secreta compartida HN.
Un método para la falta del esquema de protección SUPI y su indicación de método incluye los siguientes pasos.
1) El UE envía un esquema de protección SUPI y su identificador de método o un identificador de curva elíptica o un identificador de perfil de seguridad utilizado durante la ejecución de la ocultación SUPI a una entidad de red central para soportar la ocultación SUPI en la red central.
2) La UDM/SIDF en la red central invoca la SIDF específica del esquema y método de protección usados en la ocultación de SUPI.
Un método para la falta de integridad y la confidencialidad de la protección del identificador del esquema de protección SUPI incluye las siguientes etapas.
1) El SPSI enviado desde el UE a la red central está protegido confidencialmente mediante el uso de una clave pública HN.
2) La integridad del SPSI enviado desde el UE a la red central se protege usando una clave secreta compartida. Obsérvese que la presente descripción no se limita a la realización ejemplar anterior, y puede modificarse según sea apropiado sin apartarse del objeto de la presente descripción.
Posteriormente, se describirán ejemplos de configuración de un terminal 10 de comunicación y un aparato 20 de red descritos en la realización ejemplar anterior.
La Fig. 4 es un diagrama de bloques que muestra un ejemplo de configuración del terminal 10 de comunicación. El terminal 10 de comunicación puede ser un UE. Un transceptor 1101 de radiofrecuencia (RF) realiza procesamiento de señal de RF analógica para comunicarse con una estación base. El procesamiento de señal de RF analógica que va a realizarse por el transceptor 1101 de RF incluye conversión ascendente de frecuencia, conversión descendente de frecuencia y amplificación. El transceptor 1101 de RF está acoplado con una antena 1102 y un procesador 1103 de banda base. En otras palabras, el transceptor 1101 de RF recibe datos de símbolos de modulación desde el procesador 1103 de banda base, genera una señal de RF de transmisión, y suministra la señal de RF de transmisión a la antena 1102. Los datos de símbolos de modulación pueden ser datos de símbolos de multiplexación por división de frecuencia ortogonal (OFDM). El transceptor 1101 de RF también genera una señal de recepción de banda base basándose en la señal de RF de recepción recibida por la antena 1102, y la suministra al procesador 1103 de banda base.
El procesador 1103 de banda base realiza el procesamiento de señales de banda base digitales (procesamiento del plano de datos) y el procesamiento del plano de control para la comunicación inalámbrica. El procesamiento de señal de banda base digital incluye (a) compresión/descompresión de datos, (b) segmentación/concatenación de datos y (c) generación/descomposición de formato de transmisión (trama de transmisión). Además, el procesamiento de señales de banda base digitales incluye (d) codificación/descodificación de canal y (e) modulación (correspondencia de símbolos)/demodulación. Además, el procesamiento de señal de banda base digital incluye (f) generación de datos de símbolo OFDM (señal OFDM de banda base) por transformada rápida de Fourier inversa (IFFT), etc. El procesamiento del plano de control incluye gestión de comunicación de una capa 1, una capa 2 y una capa 3. La capa 1 es, por ejemplo, un control de potencia de transmisión. La capa 2 es, por ejemplo, gestión de recursos de radio y procesamiento de solicitud de repetición automática híbrida (HARQ). La capa 3 es, por ejemplo, señalización para conexión, movilidad y gestión de llamadas.
Por ejemplo, en un caso de LTE y LTE-Avanzado, el procesamiento de señal de banda base digital por el procesador 1103 de banda base puede incluir el procesamiento de señal de una capa de protocolo de convergencia de datos por paquetes (PDCP), una capa de control de enlace de radio (RLC), una capa MAC y una capa PHY. Además, el procesamiento del plano de control por el procesador 1103 de banda base puede incluir el procesamiento de un protocolo de estrato de no acceso (NAS), un protocolo RRC y MAC CE.
El procesador 1103 de banda base puede incluir un procesador de módem para realizar el procesamiento de señal de banda base digital y un procesador de pila de protocolos para realizar el procesamiento del plano de control. El procesador de módem es, por ejemplo, un procesador de señal digital (DSP). El procesador de pila de protocolos para realizar el procesamiento del plano de control es, por ejemplo, una unidad de procesamiento central (CPU) o una unidad de micro procesamiento (MPU). En este caso, el procesador de pila de protocolos para realizar el procesamiento del plano de control puede compartirse con un procesador 1104 de aplicación descrito más adelante.
El procesador 1104 de aplicación también se denomina una CPU, una MPU, un microprocesador o un núcleo de procesador. El procesador 1104 de aplicaciones puede incluir una pluralidad de procesadores (una pluralidad de núcleos de procesador). El procesador 1104 de aplicaciones realiza diversas funciones del terminal 10 de comunicación ejecutando un programa de software de sistema y diversos programas de aplicación leídos desde una memoria 1106 o una memoria (no mostrada). El programa de software del sistema puede ser, por ejemplo, un sistema operativo (OS). El programa de aplicación puede ser, por ejemplo, una aplicación de llamada, un navegador WEB, un programa de correo, una aplicación de operación de cámara, o una aplicación de reproducción de música.
En algunas implementaciones, el procesador 1103 de banda base y el procesador 1104 de aplicación pueden integrarse en un único chip, como se indica por una línea (1105) discontinua en la Fig. 4. En otras palabras, el procesador 1103 de banda base y el procesador 1104 de aplicación pueden implementarse como un único aparato 1105 de sistema en chip (SoC). El aparato de SoC también se denomina a veces integración a gran escala del sistema (LSI) o un conjunto de chips.
La memoria 1106 es una memoria volátil o una memoria no volátil, o una combinación de las mismas. La memoria 1106 puede incluir múltiples aparatos de memoria físicamente independientes. La memoria volátil es, por ejemplo, una memoria estática de acceso aleatorio (SRAM) o una RAM dinámica (DRAM), o una combinación de las mismas. La memoria no volátil es una memoria de solo lectura de máscara (MROM), ROM programable borrable eléctricamente (EEPROM), una memoria flash, una unidad de disco duro o cualquier combinación de las mismas. Por ejemplo, la memoria 1106 puede incluir un aparato de memoria externa accesible por el procesador 1103 de banda base, el procesador 1104 de aplicación y el SoC 1105. La memoria 1106 puede incluir un aparato de memoria incorporado que está integrado dentro del procesador 1103 de banda base, el procesador 1104 de aplicación o el SoC 1105. Además, la memoria 1106 puede incluir una memoria dentro de una tarjeta de circuito integrado universal (UICC).
La memoria 1106 puede almacenar un módulo de software (programa informático) que incluye un grupo de comandos y datos para realizar el procesamiento por el terminal 10 de comunicación descrito en la realización ejemplar anterior. En algunas implementaciones, el procesador 1103 de banda base o el procesador 1104 de aplicación pueden configurarse para realizar el procesamiento del terminal 10 de comunicación descrito en la realización ejemplar anterior leyendo el módulo de software de la memoria 1106 y ejecutando el módulo de software leído.
La Fig. 5 es un diagrama de bloques que muestra un ejemplo de configuración del aparato 20 de red. El aparato 20 de red puede ser un aparato de red central. El aparato de red central puede ser una entidad AMF, una entidad UDM, una entidad SEAF, una entidad AUSF o una entidad ARPF. Con referencia a la Fig. 5, el aparato 20 de red incluye una interfaz 1201 de red, un procesador 1202 y una memoria 1203. La interfaz 1201 de red se usa para comunicarse con un nodo de red (por ejemplo, AN50, SMF30, etc.). La interfaz 1201 de red puede incluir, por ejemplo, una tarjeta de interfaz de red (NIC) conforme a la serie 802.3 del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE).
El procesador 1202 lee el software (programa informático) de la memoria 1203 y ejecuta el software leído para realizar el procesamiento del aparato 20 de red descrito con referencia a un diagrama de secuencia y un diagrama de flujo en la realización ejemplar anterior. El procesador 1202 puede ser, por ejemplo, un microprocesador, una MPU o una CPU. El procesador 1202 puede incluir múltiples procesadores.
La memoria 1203 está configurada por una combinación de una memoria volátil y una memoria no volátil. La memoria 1203 puede incluir un almacenamiento ubicado remotamente del procesador 1202. En este caso, el procesador 1202 puede acceder a la memoria 1203 a través de una interfaz de I/O (no mostrada).
En un ejemplo de la Fig. 5, la memoria 1203 se usa para almacenar un grupo de módulos de software. El procesador 1202 puede realizar el procesamiento del aparato 20 de red descrito en la realización ejemplar anterior leyendo este grupo de módulos de software de la memoria 1203 y ejecutándose.
Como se describe con referencia a las Fig. 4 y 5, cada uno de los procesadores incluidos en el terminal 10 de comunicación y el aparato 20 de red en la realización ejemplar descrita anteriormente ejecuta uno o más programas que contienen un grupo de comandos para hacer que un ordenador ejecute el algoritmo descrito con referencia a los dibujos. Este programa puede almacenarse usando diversos tipos de medios legibles por ordenador no transitorios, y puede suministrarse a un ordenador. Los medios legibles por ordenador no transitorios incluyen varios tipos de medios de almacenamiento tangibles. Los ejemplos de los medios legibles por ordenador no transitorios incluyen un medio de grabación magnética, un medio de grabación magneto-óptico (por ejemplo, un disco magneto-óptico), una memoria de solo lectura de disco compacto (CD-ROM), CD-R, CD-R/W y una memoria semiconductora. El medio de grabación magnética puede ser un disco flexible, una cinta magnética o una unidad de disco duro. La memoria semiconductora puede ser, por ejemplo, una ROM de máscara, una ROM programable (PROM), PROM borrable (EPROM), ROM flash o una memoria de acceso aleatorio (RAM). Por ejemplo, el programa puede ser suministrado al ordenador por varios tipos de medios legibles por ordenador transitorios. Los ejemplos de los medios legibles por ordenador transitorios incluyen señales eléctricas, señales ópticas y ondas electromagnéticas. El medio transitorio legible por ordenador puede suministrar el programa al ordenador a través de una ruta de comunicación cableada, tal como un cable eléctrico o una fibra óptica, o una ruta de comunicación inalámbrica.
Aunque la presente descripción se ha descrito con referencia a la realización ejemplar, la presente descripción no se limita a la realización ejemplar anterior. Se pueden realizar diversas modificaciones que pueden entender los expertos en la técnica a la configuración y detalles de la presente descripción dentro del alcance de la descripción.
Esta solicitud reivindica prioridad basada en la solicitud india 201811001460 presentada el 12 de enero de 2018.Lista de señales de referencia
10 terminal de comunicación
20 aparato de red
1101 transceptor RF
1102 antena
1103 procesador de banda base
1104 procesador de aplicación
1105 SoC
1106 memoria
1201 interfaz de red
1202 procesador
1203 memoria
Claims (12)
1. Un equipo de usuario, UE, (10) que comprende:
medios para generar un identificador oculto de suscripción, SUCI:
en donde el SUCI incluye un Identificador Permanente de Suscripción, SUPI, oculto utilizando un esquema de protección de una pluralidad de esquemas de protección, y
en donde el SUCI incluye un identificador de esquema de protección que identifica cuál de la pluralidad de esquemas de protección usó el UE (10) para ocultar el SUPI,
por lo que el SUCI está configurado para permitir que un segundo aparato (20) de red desoculte el SUCI a el SUPI basándose en el esquema de protección identificado por el identificador del esquema de protección; y medios para enviar (1101) el SUCI que incluye el identificador del esquema de protección a un primer aparato (20) de red para su transmisión al segundo aparato (20) de red durante un procedimiento de registro,
en donde la pluralidad de esquemas de protección incluye un primer esquema y un segundo esquema, en donde el identificador del esquema de protección identifica el primer esquema en un caso en donde se utiliza el primer esquema e identifica el segundo esquema en un caso en donde se utiliza el segundo esquema,
en donde los medios para enviar (1101) están configurados para enviar el SUCI incluido en un mensaje NAS, en donde el mensaje NAS es un mensaje de Solicitud de Registro,
en donde el segundo aparato (20) de red es un segundo aparato de red central, y
en donde el segundo aparato de red central es una Gestión de Datos Unificada, UDM.
2. El UE (10) según la reivindicación 1, en donde el primer aparato (20) de red es un primer aparato de red central.
3. El UE (10) según las reivindicaciones 1 o 2, en donde el identificador del esquema de protección está protegido en cuanto a integridad o confidencialidad.
4. El UE (10) según una cualquiera de las reivindicaciones 1 a 3, en donde los medios para generar están configurados para generar el SUCI antes de que el UE (10) se registre en una red.
5. Un aparato (20) de red que comprende:
medios para recibir (1201) un mensaje que contiene un Identificador Oculto de Suscripción, SUCI, generado por un equipo de usuario, UE, (10), en donde el SUCI incluye:
un identificador permanente de suscripción, SUPI, oculto utilizando un esquema de protección de una pluralidad de esquemas de protección, y
un identificador de esquema de protección que identifica cuál de la pluralidad de esquemas de protección usó el UE (10) para ocultar el SUPI; y
medios para desocultar el SUCI a el SUPI en base al esquema de protección identificado por el identificador del esquema de protección,
en donde la pluralidad de esquemas de protección incluye un primer esquema y un segundo esquema, en donde el identificador del esquema de protección identifica el primer esquema en un caso en donde se utiliza el primer esquema e identifica el segundo esquema en un caso en donde se utiliza el segundo esquema, en donde el aparato (20) de red es un aparato de red central, y
en donde el aparato de red central es una Gestión de Datos Unificada, UDM.
6. El aparato (20) de red según la reivindicación 5, en donde el identificador del esquema de protección está protegido en cuanto a integridad o protegido en cuanto a confidencialidad.
7. Un método de comunicación que comprende:
generar un identificador oculto de suscripción, SUCI:
en donde el SUCI incluye un Identificador Permanente de Suscripción, SUPI, oculto utilizando un esquema de protección de una pluralidad de esquemas de protección, y
en donde el SUCI incluye un identificador de esquema de protección que identifica cuál de la pluralidad de esquemas de protección usó el UE (10) para ocultar el SUPI,
por lo que el SUCI está configurado para permitir que un segundo aparato (20) de red desoculte el SUCI a el SUPI basándose en el esquema de protección identificado por el identificador del esquema de protección; y enviar el SUCI que incluye el identificador del esquema de protección a un primer aparato (20) de red para su transmisión al segundo aparato (20) de red durante un Procedimiento de Registro,
en donde la pluralidad de esquemas de protección incluye un primer esquema y un segundo esquema, en donde el identificador del esquema de protección identifica el primer esquema en un caso en donde se utiliza el primer esquema e identifica el segundo esquema en un caso en donde se utiliza el segundo esquema, en donde el SUCI se envía incluida en un mensaje NAS en un caso en donde el SUCI se envía al primer aparato (20) de red durante el Procedimiento de Registro,
en donde el mensaje NAS es un mensaje de Solicitud de Registro,
en donde el segundo aparato (20) de red es un segundo aparato de red central, y
en donde el segundo aparato de red central es una Gestión de Datos Unificada, UDM.
8. El método de comunicación según la reivindicación 7, en donde el primer aparato (20) de red es un primer aparato de red central.
9. El método de comunicación según la reivindicación 7 u 8, en donde el identificador del esquema de protección está protegido en cuanto a integridad o protegido en cuanto a confidencialidad.
10. El método de comunicación según una cualquiera de las reivindicaciones 7 a 9,en donde la generación está configurada para generar el SUCI antes de que el UE (10) se registre en una red.
11. Procedimiento de desocultación que comprende:
recibir un mensaje que contiene un Identificador Oculto de Suscripción, SUCI, generado por un equipo de usuario, UE, (10), en donde el SUCI incluye:
un identificador permanente de suscripción, SUPI, oculto utilizando un esquema de protección de una pluralidad de esquemas de protección, y
un identificador de esquema de protección que identifica cuál de la pluralidad de esquemas de protección usó el UE (10) para ocultar el SUPI; y
desocultar el SUCI a el SUPI basándose en el esquema de protección identificado por el identificador del esquema de protección,
en donde la pluralidad de esquemas de protección incluye un primer esquema y un segundo esquema, en donde el identificador del esquema de protección identifica el primer esquema en un caso en donde se utiliza el primer esquema e identifica el segundo esquema en un caso en donde se utiliza el segundo esquema, en donde el método de desocultación se realiza en un aparato de red central, y
en donde el aparato de red central es una Gestión de Datos Unificada, UDM.
12. El método de desocultación según la reivindicación 11, en donde el identificador del esquema de protección está protegido en cuanto a integridad o protegido en cuanto a confidencialidad.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201811001460 | 2018-01-12 | ||
| PCT/JP2019/000338 WO2019139033A1 (ja) | 2018-01-12 | 2019-01-09 | 通信端末、ネットワーク装置、通信方法、及び非秘匿化方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2985229T3 true ES2985229T3 (es) | 2024-11-04 |
Family
ID=67219134
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES19738734T Active ES2985229T3 (es) | 2018-01-12 | 2019-01-09 | Terminal de comunicación, dispositivo de red, método de comunicación y método de desocultación |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US11290874B2 (es) |
| EP (3) | EP4708941A1 (es) |
| JP (2) | JP7078063B2 (es) |
| CN (1) | CN111869251A (es) |
| ES (1) | ES2985229T3 (es) |
| WO (1) | WO2019139033A1 (es) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4708941A1 (en) | 2018-01-12 | 2026-03-11 | NEC Corporation | Communication terminal, network device, communication method, and de-concealment method |
| BR112021002402A2 (pt) | 2018-08-09 | 2021-05-04 | Nokia Technologies Oy | método e aparelho para realização segura de conexões através de redes de acesso heterogêneas |
| US12022287B2 (en) * | 2019-07-08 | 2024-06-25 | John A. Nix | EAP-TLS authentication with concealed user identities and wireless networks |
| EP4055859A4 (en) | 2019-11-08 | 2022-10-26 | ZTE Corporation | WIRELESS COMMUNICATION METHOD FOR REGISTRATION PROCEDURES |
| CN115398946B (zh) * | 2020-04-28 | 2025-05-27 | 中兴通讯股份有限公司 | 认证与密钥协商中的认证服务器功能选择 |
| IT202100008951A1 (it) * | 2021-04-09 | 2022-10-09 | St Microelectronics Srl | Procedimento di occultamento di identificativo di sottoscrizione in un equipaggiamento utente di una rete di comunicazione mobile e corrispondente sistema e prodotto informatico |
| CN113840273B (zh) * | 2021-09-18 | 2023-05-09 | 中国联合网络通信集团有限公司 | 用户隐藏标识符生成方法、终端、usim、设备及介质 |
| EP4413760A1 (en) * | 2021-10-04 | 2024-08-14 | Telefonaktiebolaget LM Ericsson (publ) | Conveying data to a communication network |
| US12513515B2 (en) * | 2022-08-08 | 2025-12-30 | Kevin McTiernan | Identity resolution of a user equipment (UE) connectable to a fifth generation (5G) mobile network |
| CN116723502A (zh) * | 2023-07-12 | 2023-09-08 | 中国电信股份有限公司技术创新中心 | 一种隐私保护增强方法及相关装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10873464B2 (en) * | 2016-03-10 | 2020-12-22 | Futurewei Technologies, Inc. | Authentication mechanism for 5G technologies |
| EP4240043A3 (en) * | 2017-11-16 | 2023-11-15 | Nokia Technologies Oy | Privacy managing entity selection in communication system |
| US20190182654A1 (en) * | 2017-12-08 | 2019-06-13 | Nokia Technologies Oy | Preventing covert channel between user equipment and home network in communication system |
| EP4708941A1 (en) | 2018-01-12 | 2026-03-11 | NEC Corporation | Communication terminal, network device, communication method, and de-concealment method |
-
2019
- 2019-01-09 EP EP26154851.5A patent/EP4708941A1/en active Pending
- 2019-01-09 WO PCT/JP2019/000338 patent/WO2019139033A1/ja not_active Ceased
- 2019-01-09 EP EP24163790.9A patent/EP4362519B1/en active Active
- 2019-01-09 ES ES19738734T patent/ES2985229T3/es active Active
- 2019-01-09 CN CN201980018760.6A patent/CN111869251A/zh active Pending
- 2019-01-09 JP JP2019564717A patent/JP7078063B2/ja active Active
- 2019-01-09 EP EP19738734.3A patent/EP3739924B1/en active Active
- 2019-01-09 US US16/961,548 patent/US11290874B2/en active Active
-
2022
- 2022-02-15 US US17/672,274 patent/US11528599B2/en active Active
- 2022-05-16 JP JP2022079916A patent/JP7398030B2/ja active Active
- 2022-11-11 US US17/985,256 patent/US11877148B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP4362519A3 (en) | 2024-05-15 |
| US20200344601A1 (en) | 2020-10-29 |
| US20230076879A1 (en) | 2023-03-09 |
| EP3739924C0 (en) | 2024-04-17 |
| EP4362519A2 (en) | 2024-05-01 |
| EP3739924A1 (en) | 2020-11-18 |
| EP4362519B1 (en) | 2026-03-11 |
| EP3739924B1 (en) | 2024-04-17 |
| EP4708941A1 (en) | 2026-03-11 |
| CN111869251A (zh) | 2020-10-30 |
| US11877148B2 (en) | 2024-01-16 |
| US20220174480A1 (en) | 2022-06-02 |
| EP3739924A4 (en) | 2021-03-03 |
| WO2019139033A1 (ja) | 2019-07-18 |
| JPWO2019139033A1 (ja) | 2021-01-07 |
| JP7078063B2 (ja) | 2022-05-31 |
| JP7398030B2 (ja) | 2023-12-14 |
| US11290874B2 (en) | 2022-03-29 |
| JP2022107011A (ja) | 2022-07-20 |
| US11528599B2 (en) | 2022-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2985229T3 (es) | Terminal de comunicación, dispositivo de red, método de comunicación y método de desocultación | |
| US20240113878A1 (en) | Subscription Concealed Identifier (SUCI) Supporting Post-Quantum Cryptography | |
| CN110786031B (zh) | 用于5g切片标识符的隐私保护的方法和系统 | |
| CN116017424B (zh) | 用于控制认证请求的隐私指示符 | |
| ES2848098T3 (es) | Procedimiento y dispositivo para instalar perfil de eUICC | |
| CN109874139B (zh) | 锚密钥生成方法、设备以及系统 | |
| US8676198B2 (en) | Method of supporting location privacy | |
| ES3057935T3 (en) | Unified subscription identifier management in communication systems | |
| CN111264071B (zh) | 安全性建立方法、终端装置及网络装置 | |
| WO2019158028A1 (zh) | 一种通信方法及装置 | |
| ES2967513T3 (es) | Métodos y aparatos para actualizar dinámicamente identificador(es) de enrutamiento | |
| EP3952241B1 (en) | Parameter sending method and apparatus | |
| CN108012264A (zh) | 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案 | |
| JP7461515B2 (ja) | データ伝送方法及びシステム、電子機器、並びにコンピュータ可読記憶媒体 | |
| TW201939987A (zh) | 終端訊息的傳遞方法及相關產品 | |
| BR112020002515A2 (pt) | método de acionamento de autenticação de rede e dispositivo relacionado | |
| ES2872535T3 (es) | Método y aparato para transmitir una señal de control de enlace ascendente | |
| ES2938009T3 (es) | Método y aparatos para garantizar un acoplamiento seguro en protocolos de autenticación con restricciones de tamaño | |
| US11330428B2 (en) | Privacy key in a wireless communication system | |
| JPWO2019065955A1 (ja) | セキュリティ確立方法、端末装置及びネットワーク装置 | |
| US20250048113A1 (en) | Suci encryption | |
| WO2025139994A1 (zh) | 一种通信方法及装置 | |
| WO2018139588A1 (ja) | 通信端末、情報管理方法、及びコンピュータ可読媒体 | |
| CN121444495A (zh) | 具有多个信任级别的隐私参数混淆方法 |