IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > VIVO MOBILE COMMUNICATION CO., LTD.

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 維沃移動通信有限公司の特許一覧

<>
  • 特許-アクセス制御方法及び通信機器 図1
  • 特許-アクセス制御方法及び通信機器 図2
  • 特許-アクセス制御方法及び通信機器 図3
  • 特許-アクセス制御方法及び通信機器 図4
  • 特許-アクセス制御方法及び通信機器 図5
  • 特許-アクセス制御方法及び通信機器 図6
  • 特許-アクセス制御方法及び通信機器 図7
  • 特許-アクセス制御方法及び通信機器 図8
  • 特許-アクセス制御方法及び通信機器 図9
  • 特許-アクセス制御方法及び通信機器 図10
  • 特許-アクセス制御方法及び通信機器 図11
  • 特許-アクセス制御方法及び通信機器 図12
  • 特許-アクセス制御方法及び通信機器 図13
  • 特許-アクセス制御方法及び通信機器 図14
  • 特許-アクセス制御方法及び通信機器 図15
  • 特許-アクセス制御方法及び通信機器 図16
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-24
(45)【発行日】2024-10-02
(54)【発明の名称】アクセス制御方法及び通信機器
(51)【国際特許分類】
   H04W 4/50 20180101AFI20240925BHJP
   H04W 8/22 20090101ALI20240925BHJP
   H04W 12/069 20210101ALI20240925BHJP
   H04W 12/71 20210101ALI20240925BHJP
   H04W 48/14 20090101ALI20240925BHJP
   H04W 76/10 20180101ALI20240925BHJP
【FI】
H04W4/50
H04W8/22
H04W12/069
H04W12/71
H04W48/14
H04W76/10
【請求項の数】 22
(21)【出願番号】P 2022554249
(86)(22)【出願日】2021-03-19
(65)【公表番号】
(43)【公表日】2023-04-20
(86)【国際出願番号】 CN2021081741
(87)【国際公開番号】W WO2021185347
(87)【国際公開日】2021-09-23
【審査請求日】2022-09-07
(31)【優先権主張番号】202010203175.8
(32)【優先日】2020-03-20
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】517372494
【氏名又は名称】維沃移動通信有限公司
【氏名又は名称原語表記】VIVO MOBILE COMMUNICATION CO., LTD.
【住所又は居所原語表記】No.1, vivo Road, Chang’an, Dongguan,Guangdong 523863, China
(74)【代理人】
【識別番号】100102532
【弁理士】
【氏名又は名称】好宮 幹夫
(74)【代理人】
【識別番号】100194881
【弁理士】
【氏名又は名称】小林 俊弘
(74)【代理人】
【識別番号】100215142
【弁理士】
【氏名又は名称】大塚 徹
(72)【発明者】
【氏名】柯 小婉
【審査官】原田 聖子
(56)【参考文献】
【文献】特開2009-031848(JP,A)
【文献】特開2004-235890(JP,A)
【文献】Nokia, Nokia Shanghai Bell,Solution for UE Onboarding and provisioning for an SNPN[online],3GPP TSG SA WG2 #136AH S2-2000667,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_136AH_Incheon/Docs/S2-2000667.zip>,2020年01月07日
【文献】Apple,Solution of Key Issue #5: Support of Equivalent SNPN[online],3GPP TSG SA WG2 #136AH S2-2000748,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_136AH_Incheon/Docs/S2-2000748.zip>,2020年01月07日
【文献】vivo,Solution for UE onboarding and provisioning for SNPN access[online],3GPP TSG SA WG2 #136AH S2-2000136,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_136AH_Incheon/Docs/S2-2000136.zip>,2020年01月07日
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
端末を含む第一の通信機器によって実行されるアクセス制御方法であって、
第二の通信機器に第一の情報及び/又は第一の指示情報を送信することを含み、そのうち、前記第一の情報は、
第二の認証サーバのインデックス情報と、
前記第一の通信機器のメーカーの関連情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられ、
前記方法は、前記第二の通信機器から第二の情報を受信することをさらに含み、
そのうち、前記第二の情報は、第一のサーバのアドレス関連情報を含み、
そのうち、前記第一のサーバは、前記第一のネットワークに関連する証明書を配置できるサーバであり、
前記第二の通信機器は第一のネットワークにおける通信機器であるアクセス制御方法。
【請求項2】
前述した、第一の情報を送信することは、
第一の条件を満たす場合、第一の情報を送信することを含み、
そのうち、前記第一の条件は、
前記第一の通信機器が第二の証明書を有することと、
前記第一の通信機器が前記第一のネットワークに関連する証明書を有しないことと、
前記第一の通信機器が前記第一のネットワークに関連する証明書の取得を要求したことと、
のうちの少なくとも一つを含み、
前記第二の証明書は、
前記第一のネットワークに関係ない証明書と、
前記端末が前記第一のネットワークに関連する証明書を有しない場合、前記第一のネットワークにアクセスするための証明書と、
前記端末が前記第一のネットワークに関連する証明書の配置を要求する場合、前記第一のネットワークにアクセスするための証明書と、
前記第一のネットワークの制限サービスにアクセスする証明書と、
第一の通信機器メーカーが前記第一の通信機器に配置した証明書と、
前記第二の認証サーバにより認証できる証明書とのうちの少なくとも一つを含む請求項1に記載の方法。
【請求項3】
前述した、第一の情報及び/又は第一の指示情報を送信するステップの前に、前記方法は、
前記第二の通信機器にアクセス要求を送信することをさらに含む、請求項1に記載の方法。
【請求項4】
前述した、第一の情報及び/又は第一の指示情報を送信するステップの前に、前記方法は、
第二の通信機器により送信された、
前記第一のネットワークが制限サービスをサポートする情報と、
前記第一のネットワークが制限サービスに対する認証をサポートする情報と、
前記第一のネットワークが前記第一の通信機器に対する認証をサポートする情報と、
前記第一のネットワークが前記第一の通信機器に前記第一のネットワークに関連する証明書を配置することをサポートする情報とのうちの少なくとも一つの情報を受信することをさらに含む、請求項1に記載の方法。
【請求項5】
前記第二の情報は、
第一の端末ルーティング選択ポリシーと、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つをさらに含み、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、前記第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による前記第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に前記第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる、請求項1に記載の方法。
【請求項6】
前記第二の通信機器は前記第一のネットワークの通信機器を含む、請求項1に記載の方法。
【請求項7】
前記第二の認証サーバは前記第一のネットワーク以外の認証サーバを含む、請求項1に記載の方法。
【請求項8】
前記第二の情報に基づき、第二の操作を実行することをさらに含み、
前記第二の操作は、
第一のデータチャンネルを確立する操作であって、前記第一のデータチャンネルは、前記第一のデータチャンネルが前記第一の通信機器と前記第一のサーバとの間のインタラクションに用いられることと、前記第一のデータチャンネルが前記第一の通信機器による前記第一のネットワークに関連する証明書の要求に用いられることと、前記第一のデータチャンネルが前記第一の通信機器に前記第一のネットワークに関連する証明書を配置するために用いられることとのうちの少なくとも一つを満たす操作と、
前記第一のネットワークに関連する証明書の配置を前記第一のサーバに要求する操作とのうちの少なくとも一つを含む、請求項1に記載の方法。
【請求項9】
前述した、前記第一のネットワークに関連する証明書を取得して、前記第一のネットワークにアクセスすることをさらに含む、請求項1に記載の方法。
【請求項10】
前述した、前記第一のネットワークに関連する証明書は、前記第一のネットワークにアクセスするための証明書、又は前記第一のネットワークの認証サーバにより直接認証できる証明書を含む、請求項9に記載の方法。
【請求項11】
前述した、前記第一のネットワークに関係ない証明書は、前記第一のネットワーク以外の認証サーバにより認証される証明書を含む、請求項2に記載の方法。
【請求項12】
前記第一のネットワークは、SNPNを含む、請求項1に記載の方法。
【請求項13】
前記制限サービスは、
前記第一のサーバへのアクセスのみを許可することと、
証明書ダウンロードアプリケーションのみを許可することとのうちの少なくとも一つを含む、請求項1に記載の方法。
【請求項14】
第二の通信機器によって実行されるアクセス制御方法であって、
第一の情報と、第一の指示情報と、第三の情報とのうちの少なくとも一つを取得することと、
前記第一の情報と、第一の指示情報と、第三の情報とのうちの少なくとも一つに基づき、第一の操作を実行することとを含み、
そのうち、前記第一の情報は、第二の認証サーバのインデックス情報と、第一の通信機器のメーカーの関連情報と、前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられ、
前記第三の情報は、
前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
記第一の操作は、
前記第二の認証サーバを決定する操作と、
第一の通信機器に対する認証を前記第二の認証サーバに要求する操作とのうちの少なくとも一つを含み、
前記方法は、第二の情報を送信することをさらに含み、
そのうち、前記第二の情報は、第一のサーバのアドレス関連情報を含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の通信機器は端末を含み、
前記第二の通信機器は第一のネットワークにおける通信機器であるアクセス制御方法。
【請求項15】
正当な機器リストを取得することをさらに含み、
前記正当な機器は、前記第一のネットワークに関連する証明書の配置を許可する機器を含み、
前記第一の操作は、
前記第一の通信機器が第一のネットワークの正当な機器であるか否かを確認する操作をさらに含む、請求項14に記載の方法。
【請求項16】
前述した、第二の認証サーバを決定する操作は、
第一の情報における前記第二の認証サーバのインデックス情報、及び前記第三の情報における前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報に基づき、第二の認証サーバを決定することと、
第一の情報における前記第二の認証サーバのアドレス関連情報及び/又は前記第三の情報における前記第二の認証サーバのアドレス関連情報に基づき、第二の認証サーバを決定することと、
第一の指示情報及び/又は前記第三の情報における前記第二の認証サーバのアドレス関連情報に基づき、第二の認証サーバを決定することと、のうちの少なくとも一つを含む、請求項14に記載の方法。
【請求項17】
前述した、第一の通信機器に対する認証を前記第二の認証サーバに要求する操作は、
第一の指示情報及び/又は第一の情報に基づき、第一の通信機器に対する認証を前記第二の認証サーバに要求することと、
第一の指示情報及び/又は第三の情報における前記第二の認証サーバのアドレス関連情報に基づき、第一の通信機器に対する認証を前記第二の認証サーバに要求することと、のうちの少なくとも一つを含む、請求項14に記載の方法。
【請求項18】
前記第一の通信機器が第一のネットワークの正当な機器であると決定した場合、第二の情報を送信することをさらに含み、そのうち、前記第二の情報は、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報とのうちの少なくとも一つをさらに含み、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられる、請求項15に記載の方法。
【請求項19】
前記第一のネットワークはSNPNを含む、請求項14に記載の方法。
【請求項20】
前記制限サービスは、
前記第一のサーバへのアクセスのみを許可することと、
証明書ダウンロードアプリケーションのみを許可することとのうちの少なくとも一つを含む、請求項14に記載の方法。
【請求項21】
通信機器であって、プロセッサと、メモリと、前記メモリに記憶されており、前記プロセッサ上で運行できるコンピュータプログラムとを含み、前記コンピュータプログラムが前記プロセッサによって実行されると、請求項1~13のいずれか1項に記載のアクセス制御方法のステップを実現させる、通信機器。
【請求項22】
通信機器であって、プロセッサと、メモリと、前記メモリに記憶されており、前記プロセッサ上で運行できるコンピュータプログラムとを含み、前記コンピュータプログラムが前記プロセッサによって実行されると、請求項1420のいずれか1項に記載のアクセス制御方法のステップを実現させる、通信機器。
【発明の詳細な説明】
【関連出願の相互参照】
【0001】
本出願は、2020年3月20日に中国で提出された中国特許出願番号No.202010203175.8の優先権を主張しており、同出願の内容の全ては、ここに参照として取り込まれる。
【技術分野】
【0002】
本発明は、無線通信の技術分野に関し、特にアクセス制御方法及び通信機器に関する。
【背景技術】
【0003】
いくつかの通信シナリオでは、通信機器がネットワークの証明書を有さないがネットワークにアクセスするシナリオが存在し、例えば、端末は、出荷時、独立してネットワーキングする非公衆ネットワーク(Standalone Non-Public Network、SNPN)の証明書(credential)がないため、SNPNの認証に成功することができない。ネットワークの認証に成功する前に、現在、通信機器の認証に関連する情報を取得することができない。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明の実施例は、通信機器の認証に関連する情報を取得できない問題を解決するためのアクセス制御方法及び通信機器を提供する。
【課題を解決するための手段】
【0005】
第一の側面によれば、本発明の実施例は、第一の通信機器に用いられるアクセス制御方法を提供する。このアクセス制御方法は、
第一のターゲット端に第一の情報及び/又は第一の指示情報を送信することを含み、そのうち、前記第一の情報は、
第二の認証サーバのインデックス情報と、
前記第一の通信機器のメーカーの関連情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられる。
【0006】
第二の側面によれば、本発明の実施例は、第二の通信機器に用いられるアクセス制御方法を提供する。このアクセス制御方法は、
第一の情報と、第一の指示情報と、正当な機器リストと、第三の情報とのうちの少なくとも一つを取得することと、
前記第一の情報と、第一の指示情報と、正当な機器リストと、第三の情報とのうちの少なくとも一つに基づき、第一の操作を実行することとを含み、
そのうち、前記第一の情報は、第二の認証サーバのインデックス情報と、第一の通信機器のメーカーの関連情報と、前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられ、
前記第三の情報は、
前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0007】
第三の側面によれば、本発明の実施例は、第三の通信機器に用いられるアクセス制御方法を提供する。このアクセス制御方法は、
第三の情報を決定することと、
第三の情報を送信することとを含み、
そのうち、前記第三の情報は、
第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0008】
第四の側面によれば、本発明の実施例は、第四の通信機器に用いられるアクセス制御方法を提供する。このアクセス制御方法は、
第二の情報を取得することと、
前記第二の情報に基づき、第二の操作を実行することとを含み、
そのうち、前記第二の情報は、
第一の端末ルーティング選択ポリシーと、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる。
【0009】
第五の側面によれば、本発明の実施例は、第五の通信機器に用いられるアクセス制御方法を提供する。このアクセス制御方法は、
第二の情報を送信することを含み、そのうち、前記第二の情報は、
第一の端末ルーティング選択ポリシーと、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる。
【0010】
第六の側面によれば、本発明の実施例は、第一の通信機器である通信機器を提供する。この通信機器は、
第一のターゲット端に第一の情報及び/又は第一の指示情報を送信するための第一の送信モジュールを含み、そのうち、前記第一の情報は、
第二の認証サーバのインデックス情報と、
前記第一の通信機器のメーカーの関連情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられる。
【0011】
第七の側面によれば、本発明の実施例は、第二の通信機器である通信機器を提供する。この通信機器は、
第一の情報と、第一の指示情報と、第三の情報とのうちの少なくとも一つを取得するための取得モジュールと、
前記第一の情報と、第一の指示情報と、第三の情報とのうちの少なくとも一つに基づき、第一の操作を実行するための実行モジュールとを含み、
そのうち、前記第一の情報は、第二の認証サーバのインデックス情報と、第一の通信機器のメーカーの関連情報と、前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられ、
前記第三の情報は、
前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0012】
第八の側面によれば、本発明の実施例は、第三の通信機器である通信機器を提供する。この通信機器は、
第三の情報を送信するための送信モジュールを含み、
そのうち、前記第三の情報は、
第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0013】
第九の側面によれば、本発明の実施例は、第四の通信機器である通信機器を提供する。この通信機器は、
第二の情報を取得するための取得モジュールと、
前記第二の情報に基づき、第二の操作を実行するための実行モジュールとを含み、
そのうち、前記第二の情報は、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられる。
【0014】
第十の側面によれば、本発明の実施例は、第五の通信機器である通信機器を提供する。この通信機器は、
第二の情報を送信するための送信モジュールを含み、そのうち、前記第二の情報は、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられる。
【0015】
第十一の側面によれば、本発明の実施例は、通信機器を提供する。この通信機器は、プロセッサと、メモリと、前記メモリに記憶されており、前記プロセッサ上で運行できるコンピュータプログラムとを含み、前記コンピュータプログラムが前記プロセッサによって実行されると、第一の側面によるアクセス制御方法のステップを実現させるか、又は、第二の側面によるアクセス制御方法のステップを実現させるか、又は、第三の側面によるアクセス制御方法のステップを実現させるか、又は、第四の側面によるアクセス制御方法のステップを実現させるか、又は、第五の側面によるアクセス制御方法のステップを実現させる。
【0016】
第十二の側面によれば、本発明の実施例は、コンピュータ可読記憶媒体を提供する。このコンピュータ可読記憶媒体にはコンピュータプログラムが記憶されており、前記コンピュータプログラムが前記プロセッサによって実行されると、第一の側面によるアクセス制御方法のステップを実現させるか、又は、第二の側面によるアクセス制御方法のステップを実現させるか、又は、第三の側面によるアクセス制御方法のステップを実現させるか、又は、第四の側面によるアクセス制御方法のステップを実現させるか、又は、第五の側面によるアクセス制御方法のステップを実現させる。
【発明の効果】
【0017】
本発明の実施例では、第一のターゲット端に第一の情報及び/又は第一の指示情報を送信し、そのうち、前記第一の情報は、第二の認証サーバのインデックス情報と、前記第一の通信機器のメーカーの関連情報と、前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられる。このように、通信機器の認証に関連する情報を取得することをサポートすることができ、さらに通信機器がネットワークに関連する証明書を取得してない場合、通信機器を認証して配置することをサポートすることができる。具体的には、第一のネットワークが第二の認証サーバを選択して第一の通信機器を認証することができ、それにより、端末が第一のネットワーク関連証明書を有さずに第一のネットワークにアクセスする時、端末を認証することをサポートし、なりすまし端末と不正当な端末による第一のネットワークに対するセキュリティ攻撃を回避する一方、第一の通信機器に対する配置をサポートすることで、正当な端末が第一のネットワークに関連する証明書を取得することをサポートする。
【図面の簡単な説明】
【0018】
以下の好適な実施の形態の詳細な記述を読むことによって、当業者にとって、様々な他の利点及び有益点が明らかになる。添付図面は、好適な実施の形態の目的を示すためにのみ用いられ、本発明を限定するものとはみなされない。そして、添付図面全体において、同じ部品は、同じ参照記号で表されている。添付図面において、
図1】本発明の実施例による無線通信システムのアーキテクチャ概略図である。
図2】本発明の実施例によるアクセス制御方法のフローチャートである。
図3】本発明の実施例による別のアクセス制御方法のフローチャートである。
図4】本発明の実施例による別のアクセス制御方法のフローチャートである。
図5】本発明の実施例による別のアクセス制御方法のフローチャートである。
図6】本発明の実施例による別のアクセス制御方法のフローチャートである。
図7】本発明の実施例によるアクセス制御方法の概略図である。
図8】本発明の実施例による別のアクセス制御方法の概略図である。
図9】本発明の実施例による別のアクセス制御方法の概略図である。
図10】本発明の実施例による別のアクセス制御方法の概略図である。
図11】本発明による通信機器の構造図である。
図12】本発明による別の通信機器の構造図である。
図13】本発明による別の通信機器の構造図である。
図14】本発明による別の通信機器の構造図である。
図15】本発明による別の通信機器の構造図である。
図16】本発明による別の通信機器の構造図である。
【発明を実施するための形態】
【0019】
以下は、本発明の実施例における添付図面を結び付けながら、本発明の実施例における技術案を明瞭且つ完全に記述する。明らかに、記述された実施例は、本発明の一部の実施例であり、全部の実施例ではない。本発明における実施例に基づき、当業者が創造的な労力を払わない前提で得られたすべての他の実施例は、いずれも本発明の保護範囲に属する。
【0020】
本出願の明細書と特許請求の範囲における用語である「含む」及びそれらの任意の変形は、非排他的な「含む」を意図的にカバーするものであり、例えば、一連のステップ又はユニットを含むプロセス、方法、システム、製品又は機器は、必ずしも明瞭にリストアップされているそれらのステップ又はユニットに限らず、明瞭にリストアップされていない又はそれらのプロセス、方法、製品又は機器に固有の他のステップ又はユニットを含んでもよい。なお、明細書と特許請求の範囲において使用された「及び/又は」は、接続された対象の少なくともそのうちの一つを表し、例えばA及び/又はBは、単独のA、単独のB、及びAとBとの組み合わせの3つのケースを含むことを表す。
【0021】
本発明の実施例では、「例示的」又は「例えば」などの用語は、例、例証、又は説明として表すために用いられる。本発明の実施例では、「例示的」又は「例えば」と記述される任意の実施例又は設計案は、他の実施例又は設計案より好ましいか、又はより優位性があると解釈されるべきではない。正確に言うと、「例示的」又は「例えば」などの用語を使用することは、関連する概念を具体的な方式で示すことを意図する。
【0022】
以下は、添付図面を結び付けながら本発明の実施例について紹介する。本発明の実施例によるアクセス制御方法及び通信機器は、無線通信システムに用いることができる。この無線通信システムは、5Gシステム、又は進化型長期的進化(Evolved Long Term Evolution、eLTE)システム、又は後続の進化通信システムであってもよい。
【0023】
以下は、添付図面を結び付けながら本発明の実施例について紹介する。本発明の実施例によるアクセス制御方法及び通信機器は、図1に示すネットワークシステムに用いることができる。図1に示すこのネットワークシステムは、端末(UE)、第一のネットワーク及び第一のネットワーク以外の機器、例えば、メーカー機器などを含む。
【0024】
そのうち、端末は、第一のネットワーク、例えば、SNPN(非公衆ネットワーク)にアクセスすることができ、SNPNは、5G通信ネットワークであってもよく、例えば、5G 無線アクセスネットワーク(NG-RAN)、アクセスとモビリティ管理機能(Access and Mobility Management Function、AMF)、セッション管理機能(Session Management Function、SMF)及びユーザプレーン機能(User Plane Function、UPF)などを含む。
【0025】
上記メーカー機器は、端末のメーカー(vendor、ベンダーとも呼ばれる)の関連機器、例えば、vendorサーバ、アプリケーション機能(Application function、AF)、及び、認証、許可及びアカウンティング(Authentication、Authorization、Accounting、AAA)サーバであってもよい。
【0026】
上記メーカー機器は、端末を認証するか、又はSNPNは、メーカー機器の情報により端末を認証してもよい。
【0027】
なお、図1に示すネットワークシステムは、本発明の実施例によるアクセス制御方法及び通信機器が応用できる例示的な説明にすぎず、本発明の実施例は、これについて特に限定しない。例えば、上記ネットワークシステムは、
統一的なデータ管理(Unified Data Management、UDM)、ネットワークエクスポージャ機能(network exposure function、NEF)及び配置サーバ(Config server)をさらに含んでもよい。
【0028】
また、4G、6Gなどの通信システムに用いることができる。
【0029】
本発明の実施例によるアクセス制御方法は、以下の技術課題を解決することができる。
【0030】
問題1:UEが第一のネットワークに関連する証明書を有さずに第一のネットワークにアクセスする時、どのように認証サーバを選択するかの問題を解決する必要がある。
【0031】
シナリオ1:第一のネットワーク(例えば、SNPN)の端末UEは、出荷時、まだSNPNの証明書(例えば、credential)を有さず、SNPNの認証に成功することができない。1つの考え方としては、UEは、先ずSNPNに初期アクセスし、SNPNは、UEに対して証明書を配置し、UEは、新たに配置された証明書に基づいてSNPNにアクセスする。
【0032】
UEがSNPNの証明書を有さずにSNPNに初期アクセスする過程で、SNPNは、UEを認証できないため、アクセスを要求するすべてのUEを許可するしかできず、例えば、ユーザプレーンPDUセッションから証明書への配置サーバなどを確立する。SNPN内の認証メカニズムがないため、UEに対する認証をトリガーするには、証明書の配置サーバに依存する必要がある。認証に失敗した後に、UE接続、PDUセッションリソースなどをリリースする。
【0033】
このように認証なしでリソースを割り当てる方式は、攻撃のリスクが存在し、即ちSNPNの不正当なUEがいずれも初期アクセスを開始し、SNPNのリソースをすべて消費する一方、なりすましUEが正当なUEアクセスをなりすます可能性がある。
【0034】
そのため、UEがSNPNの証明書を有さずにSNPNに初期アクセスする過程でも、UEを認証する必要がある。一つの実現可能な方法としては、UEの出荷先メーカーの認証サーバにより認証する。UEのメーカーは、UEの出荷時、メーカーの認証サーバが認証できる証明書をUEに配置する。SNPNとメーカーのサーバとの間でインターフェースを開放し、UEがSNPNにアクセスすることを実現した後に、UEとメーカーの認証サーバの認証により、UEとSNPNとの相互認証を実現する。SNPNのUEのメーカーが複数ある可能性があるため、複数のメーカーの認証サーバが存在する。そのため、UEが第一のネットワークに関連する証明書を有さずに第一のネットワークにアクセスする時、どのように認証サーバを選択するかの問題を解決する必要がある。
【0035】
シナリオ2:また、国際モビリティ機器識別コード(International Mobile Equipment Identity、IMEI)又は永久的な機器識別子(Permanent Equipment Identifier、PEI)に含まれたトラッキングエリアコード(Tracking area cod、TAC)情報は、メーカーを識別するために用いることができるが、一つのメーカーのTACは、数百の端末しかカバーすることができない。TACでメーカーを識別するために、SNPNに絶えず同期する必要があるため、メンテナンスの複雑度をもたらす。そのため、メーカーの認証サーバをどのように効率的に選択するかの問題を解決する必要がある。
【0036】
一つの選択的な方法としては、メーカー関連機器と第一のネットワークとのインターフェースを開放し、第一のネットワークに認証サーバのアドレス情報と認証サーバのインデックス情報間とのマッピング情報を提供する。第一のネットワーク関連証明書を有さないUEは、第一のネットワークにアクセスする時、認証サーバのインデックス情報を提供する。第一のネットワークは、UEから提供された認証サーバのインデックス情報、及び、メーカーから提供された認証サーバのアドレス情報と認証サーバのインデックス情報間とのマッピング情報に基づき、認証サーバのアドレスを確認し、前記認証サーバにUEに対する認証要求を開始する。前記認証サーバは、UEのメーカーの関連機器であってもよい。
【0037】
別の選択的な方法としては、メーカー関連機器と第一のネットワークとが相互認証し、信頼可能な認証サーバのアドレス関連情報を取得する。第一のネットワーク関連証明書を有さないUEは、第一のネットワークにアクセスする時、認証サーバのアドレス関連情報を提供する。第一のネットワークは、UEから提供された認証サーバのアドレス関連情報と外部から提供された認証サーバのアドレス関連情報に基づき、認証サーバのアドレス関連情報が信頼できると確認し、前記認証サーバにUEに対する認証要求を開始する。
【0038】
シナリオ3:第一のネットワークの端末に一つのメーカーのみがある場合、一つのメーカーの認証サーバは、一つのみある。第一のネットワークに関連する証明書を有さない端末が第一のネットワークにアクセスする時、第一のネットワークは、端末が他の制限サービス(例えば、緊急業務)のためにアクセスする端末であるか、第一のネットワークに関連する証明書を配置するために第一のネットワークにアクセスする端末であるかを区別することができない。後者の場合のみ、メーカーの認証サーバにより端末を認証する必要がある。そのため、外部認証サーバにより端末を認証するか否かの問題を解決する必要がある。
【0039】
一つの選択的な方法としては、UEは、第一のネットワークにアクセスする時、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するための第一の指示情報を送信する。前記第一の指示情報に基づき、第一のネットワークは、外部認証サーバ(例えば、端末メーカーの認証サーバ)により端末を認証するか否かを決定することができる。
【0040】
問題2:UEがどのように証明書配置サーバのアドレス関連情報を取得するかの問題を解決する必要がある。
【0041】
第一のネットワーク(例えば、SNPN)の端末UEは、出荷時、まだ第一のネットワークに関連する証明書を有さず、前記証明書の配置サーバの関連情報を有さない。
【0042】
一つの選択的な方法としては、UEのメーカーは、UEに前記配置サーバのアドレス関連情報又はインデックス情報を配置する。前記配置サーバと第一のネットワークとは、意味が対応している、第一のネットワークの情報を付加的に配置する必要がある。
【0043】
別の選択的な方法としては、UEは、第一のネットワークにアクセスし、認証に成功すると、第一のネットワークは、UEに前記配置サーバのアドレス関連情報又はインデックス情報を提供する。UEが認証に成功したため、この時、UEと第一のネットワークとは、相互信頼する。容易に理解できるように、この時提供された配置サーバのアドレス関連情報は、信頼できる。
【0044】
問題3:認証サーバによるUE認証に成功すると、UEの身元を証明でき、なりすましUEではない。しかし、どのようにUEが第一のネットワークの正当なUEであるか否かを確認するか、UEに第一のネットワークに関連する証明書を配置することを許可するか否かの問題を解決する必要がある。
【0045】
一つの選択的な方法としては、認証サーバによるUE認証に成功したことは、UEが第一のネットワークの正当なUEであることを表す。即ち、認証サーバは、UEがUEであると認証するだけではなく、UEが第一のネットワークの正当なUEであると認証する。
【0046】
別の選択的な方法としては、認証サーバによるUE認証に成功すると、第一のネットワークは、UEが第一のネットワークの正当なUEであると確認する。
【0047】
問題4:UEは、第一のネットワークに関連する証明書の配置を配置サーバに要求し、UEに証明書を配置するには、配置サーバは、UEが第一のネットワークの正当なUEであると確認するか又はUEが第一のネットワークに関連する証明書の配置の許可を確認する必要がある。
【0048】
一つの選択的な方法としては、UEと認証サーバとの間は、配置サーバにより、相互認証を実現する。配置サーバと認証サーバのインターフェースを開放することにより、UE-配置サーバ-認証サーバの相互認証を実現する。SNPNのUEのメーカーは、複数ある可能性があるため、複数のメーカーの認証サーバが存在する。そのため、UEが第一のネットワークに関連する証明書を有さずに、第一のネットワークに関連する証明書の配置を配置サーバに要求する時、どのように認証サーバを選択するかの問題を解決する必要がある。この問題は、問題1と同様である。
【0049】
別の選択的な方法としては、配置サーバは、第一のネットワークによるUEに対する正当な認証に依存し、UEがSNPNにより配置サーバにアクセスできる限り、UEが正当であると考える。第一のネットワークによるUEに対する正当な認証は、問題3と同様である。
【0050】
問題5:第一のネットワーク(例えば、SNPN)の端末UEは、出荷時、まだ第一のネットワークに関連する証明書を有さず、第一のネットワークでPDUセッションの確立を要求する関連パラメータの配置、例えば、NSSAI、SSC Mode、DNNなどを有さない。UEが第一のPDUセッション確立要求を開始するのに必要な情報の取得の問題を解決する必要があり、前記第一のPDUセッションは、第一のネットワークに関連する証明書の配置を要求するために用いられる。
【0051】
一つの選択的な方法としては、配置サーバのアドレスに端末ルーティング選択ポリシーを配置する。そして前記配置サーバへのUEのアクセスしか許可しない。
【0052】
本発明の一つの選択的な実施例では、第一のネットワークは、SNPNを含む。
【0053】
本発明の一つの選択的な実施例では、証明書(credential)は、セキュリティ情報と呼ばれてもよく、認証及び/又は暗号化用のパラメータなど、例えばルート秘密鍵を含む。前記ルート秘密鍵は、CK、IKを導出することに用いられてもよい。
【0054】
本発明の一つの選択的な実施例では、第一のネットワークに関連する証明書は、第一のネットワークにアクセスするための証明書を含んでもよい。前記第一のネットワークにアクセスするための証明書は、第一のネットワークの認証サーバにより直接認証できる証明書、又は間接認証できる証明書を含んでもよい。第一のネットワーク以外の認証サーバにより認証することは、間接認証として理解されてもよい。容易に理解できるように、この時、配置サーバは、第一のネットワークにより直接認証できる証明書又は第一のネットワークにより直接認証できる証明書をUEに配置することができる。
【0055】
本発明の一つの選択的な実施例では、第一のネットワークに関連する証明書は、第一のネットワークに直接関連する証明書、第一のネットワークの正常サービスにアクセスするための証明書、第一のネットワークの認証サーバにより直接認証できない証明書、及び、第一のネットワークの非制限サービスにアクセスする証明書のうちの少なくとも一つを含んでもよい。容易に理解できるように、この時、配置サーバは、第一のネットワークにより直接認証できる証明書をUEに配置することができる。
【0056】
本発明の別の選択的な実施例では、第一のネットワークに関係ない証明書は、第一のネットワークに直接関連しない証明書のうちの少なくとも一つを含んでもよい。第一のネットワークに直接関連しない証明書は、第一のネットワークの認証サーバにより直接認証できない証明書を含んでもよい。第一のネットワーク以外の認証サーバにより認証される証明書は、第一のネットワークに関係ない又は直接関連しない証明書として理解されてもよい。
【0057】
本発明の一つの選択的な実施例では、第二の証明書は、
第一のネットワークに関係ない証明書と、
端末が第一のネットワークに関連する証明書を有しない場合、第一のネットワークにアクセスするための証明書と、
端末が第一のネットワークに関連する証明書の配置を要求する場合、第一のネットワークにアクセスするための証明書と、
第一のネットワークの制限サービスにアクセスする証明書と、
第一の通信機器メーカーが第一の通信機器に配置した証明書と、
第二の認証サーバにより認証できる証明書とのうちの少なくとも一つを含んでもよい。
【0058】
本発明の一つの選択的な実施例では、前記制限サービスは、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバ(配置サーバを含んでもよい)へのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することとのうちの少なくとも一つを含む。一つの実施の形態では、制御プレーンにより端末に第一のネットワークに関連する証明書を配置する。そのため、端末による第一のネットワークへのアクセスを制限し、制御プレーンのみを許可してもよい。別の実施の形態では、ユーザプレーンにより端末に第一のネットワークに関連する証明書を配置する。そのため、容易に理解できるように、前記制限サービスは、端末による第一のサーバへのアクセスのみを許可してもよい。第一のサーバへのアクセスのみを許可することは、端末が第一のネットワークで確立したデータチャンネルが第一のサーバへのアクセスのみに用いられることを含む。
【0059】
本発明の一つの選択的な実施例では、前記第一のサーバは、配置サーバを含む。前記第一のサーバは、端末に第一のネットワークに関連する証明書を配置する要求を処理できる。前記配置サーバは、通信機器に第一のネットワークに関連する証明書を配置できる。第一のサーバは、第一のネットワークに所属するサーバであってもよい。
【0060】
本発明の一つの選択的な実施例では、前記第一のサーバは、端末に第一のネットワークに関連する証明書の要求を配置する時、第二の認証サーバに認証端末を要求してもよく、ここで、第一のサーバは、認証の中間サーバである。
【0061】
本発明の一つの選択的な実施例では、初期認証は、端末が第一のネットワークに関連する証明書を有さずに第一のネットワークにアクセスする場合、第一のネットワークによる端末に対する認証を含む。容易に理解できるように、初期認証は、間接認証に属する。
【0062】
本発明の一つの選択的な実施例では、前記配置サーバは、第一のサーバとも呼ばれる。
【0063】
本発明の一つの選択的な実施例では、第一のネットワークに関連する証明書と、第一のネットワーク関連証明書とを混用することができ、同じ意味を表す。
【0064】
本発明の一つの選択的な実施例では、メーカーの関連情報は、メーカー情報又はメーカーの情報と略称されてもよい。前記メーカーの関連情報は、メーカー識別情報(例えば、Vendor ID、又はTAC)を含む。
【0065】
本発明の一実施例では、サーバのアドレス関連情報は、IPアドレス、MACアドレス、ポート番号、フリー・クオリファイド・ドメイン・ネーム(Fully Qualified Domain Name、FQDN)、統一リソース位置ロケータ(Uniform Resource Locator、URL)、オペレーティングシステム識別情報、及び、アプリケーション識別情報のうちの少なくとも一つを含んでもよい。認証サーバのアドレス関連情報、又は第一のサーバのアドレス関連情報は、前記サーバアドレス関連情報と同様である。
【0066】
本発明の一つの本発明の実施例では、特に説明しない限り(例えば、第一のネットワークの認証サーバ)、前記認証サーバは、第二の認証サーバの略称である。前記第二の認証サーバは、端末メーカーの認証サーバを含む。
【0067】
本発明の実施例では、選択的に、取得することは、生成すること、配置から取得すること、受信すること、要求が成功してから受信すること、自己学習により取得すること、受信されていない情報に基づいて導出して取得すること、又は、受信された情報に基づいて処理してから取得することとして理解されてもよく、具体的に、実際の需要に基づいて決定してもよい。本発明の実施例では、これについて特に限定しない。例えば、機器により送信されたある能力指示情報を受信していないと、この機器がこの能力をサポートしないことを導出することができる。
【0068】
選択的に、送信することは、ブロードキャストすること、システムメッセージでブロードキャストすること、要求に応答してから戻すことを含んでもよい。
【0069】
選択的に、予め配置は、デフォルトと呼ばれてもよい。
【0070】
本発明の一つの選択的な実施例では、データチャンネルは、PDUセッション、PDN接続、QoSストリーム、ベアラ、及び、インターネットセキュリティプロトコル(Internet Protocol Security、IPsec)チャンネルのうちの一つを含んでもよいが、これらに限らない。そのうち、ベアラは、進化型無線アクセスベアラ(Evolved Radio Access Bearer、E-RAB)、無線アクセスベアラ(Evolved Radio Access Bearer、RAB)、データ無線ベアラ(Data Radio Bearer、DRB)、シグナリング無線ベアラ(signalling radio bearers、SRB)などであってもよい。
【0071】
本発明の一つの選択的な実施例では、通信機器は、通信ネットワークエレメントと端末とのうちの少なくとも一つを含んでもよい。
【0072】
本発明の一実施例では、通信ネットワークエレメントは、コアネットワークエレメントと無線アクセスネットワークのネットワークエレメントとのうちの少なくとも一つを含んでもよい。
【0073】
本発明の実施例では、コアネットワークエレメント(CNネットワークエレメント)は、コアネットワーク機器、コアネットワークノード、コアネットワーク機能、コアネットワークエレメント、モビリティ管理エンティティ(Mobility Management Entity、MME)、アクセスモビリティ管理機能(Access Management Function、AMF)、セッション管理機能(Session Management Function、SMF)、ユーザプレーン機能(User Plane Function、UPF)、サービングゲートウェイ(serving GW、SGW)、PDNゲートウェイ(PDN Gate Way、PDNゲートウェイ)、ポリシー制御機能(Policy Control Function、PCF)、ポリシー及び課金ルール機能ユニット(Policy and Charging Rules Function、PCRF)、GPRSサービスサポートノード(Serving GPRS Support Node、SGSN)、ゲートウェイGPRSサポートノード(Gateway GPRS Support Node、GGSN)、統一的なデータ管理(Unified Data Management、UDM)、統一的なデータリポジトリ(Unified Data Repository、UDR)、ホームユーザサーバ(Home Subscriber Server、HSS)、アプリケーション機能(Application Function、AF)、集中型ネットワーク配置(Centralized network configuration、CNC)のうちの少なくとも一つを含んでもよいが、これらに限らない。
【0074】
本発明の実施例では、無線アクセスネットワーク(Radio Access Network、RAN)ネットワークエレメントは、無線アクセスネットワーク機器、無線アクセスネットワークノード、無線アクセスネットワーク機能、無線アクセスネットワークユニット、第三世代パートナーシッププロジェクト(Third Generation Partnership Project、3GPP)無線アクセスネットワーク、非3GPP無線アクセスネットワーク、集中型ユニット(Centralized Unit、CU)、分散型ユニット(Distributed Unit、DU)、基地局、進化型基地局(evolved Node B、eNB)、5G基地局(gNB)、無線ネットワークコントローラ(Radio Network Controller、RNC)、基地局(NodeB)、非3GPP相互操作機能(Non-3GPP Inter Working Function、N3IWF)、アクセス制御(Access Controller、AC)ノード、アクセスポイント(Access Point、AP)機器又は無線LAN(Wireless Local Area Networks、WLAN)ノード、N3IWFのうちの少なくとも一つを含んでもよいが、これらに限らない。
【0075】
基地局は、グローバル移動通信システム(Global System for Mobile Communications、GSM)又は符号分割多重接続(Code Division Multiple Access、CDMA)における基地局(Base Transceiver Station、BTS)であってもよく、広帯域符号分割多重接続(Wideband Code Division Multiple Access、WCDMA)における基地局(NodeB)であってもよく、LTEにおける進化型基地局(evolutional Node B、eNB又はe-NodeB)及び5G基地局(gNB)であってもよく、本発明の実施例では限定しない。
【0076】
本発明の実施例では、UEは、端末である。端末は、端末機能の中継をサポートし及び/又は中継機能をサポートする端末を含んでもよい。端末は、端末機器又はユーザ端末(User Equipment、UE)と呼ばれてもよく、端末は、携帯電話、タブレットコンピュータ(Tablet Personal Computer)、ラップトップコンピュータ(Laptop Computer)、パーソナルデジタルアシスタント(Personal Digital Assistant、PDA)、モバイルインターネットディバイス(Mobile Internet Device、MID)、ウェアラブルデバイス(Wearable Device)又は車載機器などの端末側機器であってもよく、なお、本発明の実施例では、端末の具体的なタイプが限定されない。
【0077】
本発明の実施例による方法及び通信機器は、無線通信システムに用いることができる。この無線通信システムは、第五世代移動通信(Fifth-generation、5G)システム、又は進化型パケットシステム(Evolved Packet System、EPS)、又は後続の進化通信システムであってもよい。本発明の実施例の無線通信ネットワークは、第五世代移動通信ネットワーク(Fifth-generation system、5GS)又はLTEネットワークであってもよい。
【0078】
以下は、本発明の実施例における添付図面を結び付けながら、本発明の実施例における技術案を明瞭且つ完全に記述する。明らかに、記述された実施例は、本発明の一部の実施例であり、全部の実施例ではない。本発明における実施例に基づき、当業者が創造的な労力を払わない前提で得られたすべての他の実施例は、いずれも本発明の保護範囲に属する。
【0079】
図2を参照すると、本発明の実施例は、第一の通信機器に用いられるアクセス制御の方法を提供する。第一の通信機器は、端末(UE)、第一のサーバ、CNネットワークエレメント(例えば、AMF、セキュリティアンカー機能(Security Anchor Function、SEAF))のうちの一つを含むが、それらに限らない。前記方法は、以下のステップを含むがこれに限らない。
【0080】
ステップ201において、第一のターゲット端に第一の情報及び/又は第一の指示情報を送信し、そのうち、前記第一の情報は、
第二の認証サーバのインデックス情報と、
前記第一の通信機器のメーカーの関連情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられる。
【0081】
一つの実施の形態では、前記第一のターゲット端は、第一のネットワークの通信機器、例えば、第一のネットワークにおけるAMFを含んでもよく、この第一のネットワークは、SNPNであってもよい。
【0082】
別の実施の形態では、前記第一のターゲット端は、第一のサーバ(配置サーバ、又は認証の中間サーバを含む)を含んでもよい。
【0083】
第一の通信機器が端末である場合、第一のターゲット端は、第一のネットワークの通信機器又は第一のサーバであってもよい。
【0084】
第一の通信機器が第一のネットワークのCN機器(例えば、AMF)である場合、第一のターゲット端は、第一のサーバであってもよい。
【0085】
一つの実施の形態では、前記第一の通信機器は、第二の証明書を有してもよい。一つの実施の形態では、第二の認証サーバは、第二の証明書を有してもよい。
【0086】
選択的に、前記第二の証明書は、
第一のネットワークに関係ない証明書と、
端末が第一のネットワークに関連する証明書を有しない場合、第一のネットワークにアクセスするための証明書と、
端末が第一のネットワークに関連する証明書の配置を要求する場合、第一のネットワークにアクセスするための証明書と、
第一のネットワークの制限サービスにアクセスする証明書と、
第一の通信機器メーカーが第一の通信機器に配置した証明書と、
第二の認証サーバにより認証できる証明書とのうちの少なくとも一つを含んでもよい。
【0087】
一つの実施の形態では、前記第二の認証サーバは、第一のネットワーク以外の認証サーバ、サービスベンダーの認証サーバ、第一の通信機器のメーカーの認証サーバ、及び、第二の証明書を有するか又は第二の証明書を認証できる認証サーバのうちの少なくとも一つを含む。
【0088】
選択的に、前記サービスベンダーは、第一のネットワーク以外に位置してもよい。
【0089】
一つの実施の形態では、前記メーカーは、前記第二の認証サーバの属する第一の通信機器のメーカーである。
【0090】
選択的に、前記メーカーの関連情報は、メーカー識別情報(例えば、Vendor ID、又はTAC)を含む。
【0091】
一つの実施の形態では、上記第二の認証サーバのインデックス情報は、第二の認証サーバのアドレス関連情報(例えば、IP、FQDN、又はURL)、及び、第二の認証サーバの所属する端末メーカーの識別情報のうちの少なくとも一つを含んでもよい。
【0092】
一つの実施の形態では、前記第一の指示情報が第一のネットワークに関連する証明書の取得を要求するために用いられることは、第一の指示情報により第一のネットワークに関連する証明書の取得を要求することであってもよい。
【0093】
本発明の一つの選択的な実施例では、第一のネットワークに関連する証明書は、第一のネットワーク直接に関連する証明書と、第一のネットワークの正常サービスにアクセスするための証明書と、第一のネットワークの認証サーバにより直接認証できる証明書と、第一のネットワークの非制限サービスにアクセスする証明書とのうちの少なくとも一つを含んでもよい。容易に理解できるように、この時、第一のサーバは、第一のネットワークにより直接認証できる証明書をUEに配置してもよい。
【0094】
本発明の別の選択的な実施例では、第一のネットワークに関係ない証明書は、第一のネットワークに直接関連しない証明書の少なくとも一つを含んでもよい。第一のネットワークに直接関連しない証明書は、第一のネットワークの認証サーバにより直接認証できない証明書を含んでもよい。第一のネットワーク以外の認証サーバにより認証される証明書は、第一のネットワークに関係ない又は直接に関連しない証明書として理解されてもよい。
【0095】
本発明の実施例では、以上により、第一のターゲット端末に上記第一の情報及び/又は第一の指示情報を送信することを実現でき、それにより、第一のターゲット端末は、前記第一の情報及び/又は第一の指示情報に基づき、第一の操作を実行することができ、具体的に図3の実施例に記載される通りである。
【0096】
例示的に、第一の操作は、
前記第二の認証サーバを決定する操作と、
第一の通信機器に対する認証を前記第二の認証サーバに要求する操作を決定する操作と、
第一の通信機器に対する認証を前記第二の認証サーバに要求する操作と、
前記第一の通信機器に対する認証を第一のサーバに要求する操作と、
前記第一のサーバに前記第一の情報を送信する操作と、
前記第一の通信機器が第一のネットワークの正当な機器であるか否かを確認する操作と、
前記第一の通信機器に対する前記第一のネットワークに関連する証明書の配置を許可するか否かを確認する操作と、
前記第一のネットワークによる前記第一の通信機器の登録要求の受け入れを許可するか否かを確認する操作とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、前記第一の通信機器のために前記第一のネットワークに関連する証明書を配置できるサーバである。
【0097】
第一のネットワークによる第一の通信機器に対するアクセス制御の目的を実現する。
【0098】
選択的に、前述した、第一の情報を送信することは、
第一の条件を満たす場合、第一の情報を送信することを含み、
そのうち、前記第一の条件は、
前記第一の通信機器が第二の証明書を有することと、
前記第一の通信機器が第一のネットワークに関連する証明書を有しないことと、
前記第一の通信機器が第一のネットワークへのアクセスを要求したことと、
前記第一の通信機器が第一のネットワークの制限サービスへのアクセスを要求したことと、
前記第一の通信機器が第一のネットワークに関連する証明書の取得を要求したことと、
前記第一の情報のうちの少なくとも一つを取得したことと、
前記第一の情報に対する要求情報を取得したことと、
第一のネットワークが制限サービスをサポートする情報を取得したことと、
第一のネットワークが制限サービスに対する認証をサポート及び/又は要求する情報を取得したことと、
第一のネットワークが前記第一の通信機器に対する認証をサポート及び/又は要求する情報を取得したことと、
前記第一のネットワークが前記第一の通信機器に前記第一のネットワークに関連する証明書を配置することをサポートする情報を取得したこととのうちの少なくとも一つを含む。
【0099】
一つの実施の形態では、第一のターゲット端により送信された、タイプが第一の通信機器のメーカー関連タイプである身元要求を取得し、
そのうち、前記第二の証明書は、上記した通りであり、ここでこれ以上説明しない。
【0100】
一つの実施の形態では、第一のネットワークが第一の通信機器に対する認証をサポート及び/又は要求することは、
第一のネットワークがサポート及び/又は要求する第一の通信機器が第一のネットワークと第二の認証サーバとの間で認証を実現することと、
第一のネットワークが第二の証明書に基づく第一の通信機器に対する認証をサポート及び/又は要求することとのうちの少なくとも一つを含んでもよい。
【0101】
そのうち、前記第一の通信機器は、第一のネットワークに関連する証明書を有しない端末であってもよい。容易に理解できるように、第一のネットワークに関連する証明書が配置される前に端末が第一のネットワークにアクセスする場合、第一のネットワークは、より安全な考慮として、端末が第二の証明書(例えば、端末メーカーが端末に配置した証明書)に基づいて認証することを要求する。端末は、この要求の下で、認証をサポートするために第一のネットワークに第二の認証サーバの関連インデックス情報を提供することができる。
【0102】
一つの実施の形態では、第一のネットワークが第一の通信機器に対する認証をサポート及び/又は要求する情報を取得したことは、
第一のネットワークが第二の認証サーバにより第一の通信機器に対する認証をサポート及び/又は要求する情報を取得したことと、
第一のネットワークが第二の証明書により第一の通信機器に対する認証をサポート及び/又は要求する情報を取得したこととのうちの少なくとも一つを含んでもよい。
【0103】
そのうち、前記第一の通信機器は、第一のネットワークに関連する証明書を有しない端末であってもよい。
【0104】
容易に理解できるように、第一のネットワークに関連する証明書が配置される前に端末が第一のネットワークにアクセスする場合、第一のネットワークは、より安全な考慮として、端末が第二の証明書に基づいて認証することを要求する。端末は、この要求の下で、第一のネットワークに第二の認証サーバの関連インデックス情報を提供して、認証をサポートすることができる。
【0105】
一つの実施の形態では、第一の通信機器に第一の情報が予め配置されている。容易に理解できるように、第一の通信機器の出荷時、そのメーカーにより第一の通信機器に第一の情報が予め配置されている。
【0106】
具体的には、第一のネットワークに関連する証明書は、上記した通りであり、ここでこれ以上説明しない。
【0107】
一つの実施の形態では、第一のネットワークは、
第一のネットワークが制限サービスをサポートする情報と、
第一のネットワークが制限サービスに対する認証をサポート及び/又は要求する情報と、
第一のネットワークが前記第一の通信機器に対する認証をサポート及び/又は要求する情報と、
第一のネットワークが前記第一の通信機器に前記第一のネットワークに関連する証明書を配置することをサポートする情報とのうちの少なくとも一つをセルでブロードキャストする。
【0108】
一つの実施の形態では、前記第一のネットワークが前記第一の通信機器に対する認証をサポート及び/又は要求する情報は、第一のネットワークがサポート及び/又は要求する初期認証の情報を含む。前記サポート及び/又は要求する初期認証は、第一の通信機器が第一のネットワークに関連する証明書を有さずに第一のネットワークにアクセスするか又は第一の通信機器が第一のネットワークに関連する証明書の配置を要求するステップの前に、依然として、第一の通信機器に対する認証をサポート及び/又は要求することを含む。前記初期認証は、第一の認証サーバと第一の通信機器により第一のネットワークを介して実行されてもよい。
【0109】
容易に理解できるように、第一の通信機器が第一のネットワークに関連する証明書を有しない場合、第一のネットワークは、依然として、第一の認証サーバを介して第一の通信機器を認証することができる。
【0110】
一つの実施の形態では、第一のネットワークがセルで指示をブロードキャストして初期認証を要求する場合のみ、第一の機器は、第一のネットワークに第二の認証サーバのインデックス情報を要求する。
【0111】
選択的に、前記第一の情報に対する要求情報は、
前記第一の通信機器のメーカー情報を要求するための第一の要求情報と、
前記第二の認証サーバのインデックス情報を要求するための第二の要求情報と、
前記第二の認証サーバのアドレス関連情報を要求するための第三の要求情報とのうちの少なくとも一つを含む。
【0112】
一つの実施の形態では、前述した、第一のターゲット端(例えば、第一のネットワークのAMF)により送信された、第一の通信機器のメーカー情報を要求するための第一の要求情報を取得することは、第一のターゲット端により送信された、タイプが第一の通信機器のメーカーの関連タイプ(例えば、端末メーカータイプ)である身元要求を取得することを含む。一つの実施の形態では、制御プレーンシグナリングで第一の情報及び/又は第一の指示情報を送信する。一つの実施の形態では、非アクセスレイヤのアクセス要求(例えば、登録要求メッセージ、又は付着要求メッセージなど)により第一の情報及び/又は第一の指示情報を送信する。
【0113】
選択的に、前述した、第一の情報を送信するステップの前に、前記方法は、
前記第一のターゲット端にアクセス要求を送信し及び/又は第一の指示情報を送信することをさらに含み、
そのうち、前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられる。
【0114】
一つの実施の形態では、前記第一の指示情報は、アクセスの原因(例えば、無線リソース制御(Radio Resource Control、RRC)原因、又は非アクセスレイヤ(Non-access stratum、NAS)レイヤのアクセス原因)、アクセス要求又はアクセスのタイプとして表されてもよい。
【0115】
選択的に、前述した、第一の情報を送信するステップの前に、前記方法は、
第一のターゲット端により送信された、
前記第一の情報に対する要求情報と、
第一のネットワークが制限サービスをサポートする情報と、
第一のネットワークが制限サービスに対する認証をサポート及び/又は要求する情報と、
第一のネットワークが前記第一の通信機器に対する認証をサポート及び/又は要求する情報と、
第一のネットワークが前記第一の通信機器に第一のネットワークに関連する証明書を配置することをサポートする情報とのうちの少なくとも一つの情報を受信することをさらに含む。
【0116】
一つの実施の形態では、第一のターゲット端は、第一の通信機器のアクセス要求及び/又は第一の指示を受信した後に、第一の情報に対する要求情報を送信する。
【0117】
一つの実施の形態では、前記第一の通信機器に対する認証の情報は、端末メーカーの関連情報、第二の認証サーバのインデックス情報、第二の認証サーバのアドレス情報であってもよい。
【0118】
選択的に、前記方法は、
第二の情報を取得することをさらに含む。第二の情報は、具体的に、前記第二の情報であり、図5の実施例に記載される通りである。
【0119】
例示的に、前記第二の情報は、
第一の端末ルーティング選択ポリシー(例えば、URSP)と、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる。
【0120】
一つの実施の形態では、前記第一のデータチャンネル(前記データチャンネルは、例えば、PDUセッションである)の確立用の関連情報は、
データネットワーク名称(Data Network Name、DNN)、スライス情報(例えば、NSSAI)、セッション及びサービス連続のモード(Session and Service Continuity Mode、SSC Mode)、SSC Mode、及び、データチャンネルタイプ(例えば、PDUセッションタイプ)のうちの少なくとも一つを含む。
【0121】
一つの実施の形態では、前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、第一のネットワーク証明書をダウンロードするためのデータチャンネルである。
【0122】
一つの実施の形態では、第一の通信機器は、上記第二の情報を受信すると、上記第一のデータチャンネルを確立してもよい。
【0123】
本発明の実施例では、第一のターゲット端に第一の情報及び/又は第一の指示情報を送信し、そのうち、前記第一の情報は、上記した通りであり、ここでこれ以上説明しない。このように、一方では、第一のネットワークが第二の認証サーバを選択して第一の通信機器を認証することをサポートすることができ、それにより、端末が第一のネットワーク関連証明書を有さずに第一のネットワークにアクセスする時、端末を認証することをサポートし、なりすまし端末と不正当な端末による第一のネットワークに対するセキュリティ攻撃を回避することができる一方、第一の通信機器に対する配置をサポートして、正当な端末が第一のネットワークに関連する証明書を取得することをサポートして、第一のネットワークのサービスにアクセスする。
【0124】
図3を参照すると、第二の通信機器に用いられる本発明の実施例は、アクセス制御方法をさらに提供する。第二の通信機器は、第一のネットワークにおける通信機器(例えば、AMF、SEAF、又はAFなど)、第一のサーバ、及び、第二の認証サーバのうちの一つを含むが、これらに限らない。前記方法は、
第一の情報と、第一の指示情報と、正当な機器リストと、第三の情報とのうちの少なくとも一つを取得するステップ301と、
前記第一の情報と、第一の指示情報と、正当な機器リストと、第三の情報とのうちの少なくとも一つに基づき、第一の操作を実行するステップ302とを含み、
そのうち、前記第一の情報は、第二の認証サーバのインデックス情報と、第一の通信機器のメーカーの関連情報と、前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられ、
前記第三の情報は、
前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0125】
一つの実施の形態では、第三の情報から提供されたのは、正当な第二の認証サーバの関連情報である。容易に理解できるように、第三の情報における「前記第二の認証サーバのアドレス関連情報」により、第一の情報における「前記第二の認証サーバのアドレス関連情報」を比較することにより、第一の情報における「前記第二の認証サーバのアドレス関連情報」が正当であると確認してもよい。
【0126】
一つの実施の形態では、上記第一の情報と、第一の指示情報と、第三の情報とのうちの少なくとも一つは、第一の情報と、第一の指示情報と、第三の情報のうちのいずれか一つ、又は第一の情報と、第一の指示情報と、第三の情報とのうちのいずれか複数の組み合わせを含んでもよい。
【0127】
一つの実施の形態では、上記第一の情報は、図2に示す実施例における第一の情報を参照することができ、上記第一の指示情報は、図2に示す実施例における第一の指示情報を参照することができ、ここでこれ以上説明しない。
【0128】
一つの実施の形態では、第一の通信機器から前記第一の情報及び/又は第一の指示情報を取得する。一つの実施の形態では、第三の通信機器から前記第三の情報を取得する。
【0129】
一つの実施の形態では、アクセス要求(例えば、登録要求メッセージ、又は付着要求メッセージなど)により、第一の情報及び/又は第一の指示情報を取得する。
【0130】
一つの実施の形態では、上記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報により、第二の認証サーバのアドレス関連情報を確認することができる。
【0131】
選択的に、前記第一の操作は、
前記第二の認証サーバを決定する操作と、
第一の通信機器に対する認証を前記第二の認証サーバに要求する操作を決定する操作と、
第一の通信機器に対する認証を前記第二の認証サーバに要求する操作と、
前記第一の通信機器に対する認証を第一のサーバに要求する操作と、
前記第一のサーバに前記第一の情報を送信する操作と、
前記第一の通信機器が第一のネットワークの正当な機器であるか否かを確認する操作と、
前記第一の通信機器に対する前記第一のネットワークに関連する証明書の配置を許可するか否かを確認する操作と、
前記第一のネットワークによる前記第一の通信機器の登録要求の受け入れを許可するか否かを確認する操作とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、前記第一の通信機器のために前記第一のネットワークに関連する証明書を配置できるサーバである。
【0132】
前述した、前記第二の認証サーバを決定することは、前記第二の認証サーバのアドレス関連情報を決定することを含む。
【0133】
さらに、前述した、第二の認証サーバを決定するステップは、以下のうちの少なくとも一つを含んでもよいが、これらに限らない。1)第一の情報における「前記第二の認証サーバのインデックス情報」と第三の情報における「前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報」に基づき、第二の認証サーバを決定することができる。容易に理解できるように、前述した、第二の認証サーバを決定することは、前記第二の認証サーバのインデックス情報を満たす一つの第二の認証サーバを端末のために選択することを含んでもよい。
【0134】
2)第一の情報における「前記第一の通信機器のメーカーの関連情報」と第三の情報における「前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報」に基づき、第二の認証サーバを決定することができる。容易に理解できるように、前述した、第二の認証サーバを決定することは、「前記第一の通信機器のメーカーの関連情報」に対応する第二の認証サーバを端末のために選択することを含んでもよい。
【0135】
3)第一の情報における「前記第二の認証サーバのアドレス関連情報」及び/又は第三の情報における「前記第二の認証サーバのアドレス関連情報」に基づき、第二の認証サーバを決定することができる。容易に理解できるように、前述した、第二の認証サーバを決定することは、第一の情報における「前記第二の認証サーバのアドレス関連情報」を満たす一つの第二の認証サーバを端末のために選択することを含んでもよい。第一の情報における「前記第二の認証サーバのアドレス関連情報」と第三の情報における「前記第二の認証サーバのアドレス関連情報」とを比較することにより、第一の情報における「前記第二の認証サーバのアドレス関連情報」が正当な第二の認証サーバのアドレス関連情報であると確認することができる。
【0136】
4)第一の指示情報及び/又は第三の情報における「前記第二の認証サーバのアドレス関連情報」に基づき、第二の認証サーバを決定することができる。容易に理解できるように、前述した、第二の認証サーバを決定することは、第一の指示情報に基づき、一つの第三の情報における「前記第二の認証サーバのアドレス関連情報」に対応する第二の認証サーバを選択することを含んでもよい。
【0137】
さらに、前述した、第一の通信機器に対する認証を前記第二の認証サーバに要求することを決定するステップは、
1)第一の指示情報及び/又は第一の情報に基づき、第一の通信機器に対する認証を前記第二の認証サーバに要求することを決定できることと、
2)第一の指示情報及び/又は第三の情報における「前記第二の認証サーバのアドレス関連情報」に基づき、第一の通信機器に対する認証を前記第二の認証サーバに要求することを決定できることとのうちの少なくとも一つを含んでもよいが、これらに限らない。
【0138】
一つの実施の形態では、第二の認証サーバの認証により、第一のネットワークは、第一の通信機器かなりすまし機器であるか否かを確認してもよい。第二の認証サーバによる第一の通信機器に対する認証に成功した場合、さらに正当な機器リストに基づき、第一の通信機器が第一のネットワークの正当な機器であるか否か及び/又は第一のネットワーク関連証明書の配置を許可するか否かを確認してもよい。
【0139】
別の実施の形態では、第二の認証サーバの認証により、第一のネットワークは、第一の通信機器がなりすまし機器であるか否か、第一のネットワークの正当な機器であるか否かを確認してもよい。一つの実施の形態では、前記正当な機器は、第一のネットワークに関連する証明書の配置を許可する機器(前記機器は、例えば端末である)を含んでもよい。別の実施の形態では、前記正当な機器は、第一のネットワークに関連する証明書を有さず、第一のネットワークに関連する証明書の配置を許可する機器(前記機器は、例えば端末である)を含んでもよい。
【0140】
一つの実施の形態では、前記正当な端末リストは、第一のネットワークのユーザ管理サーバ(例えば、UDM、HSS、又はUDR)に配置されてもよい。前記ユーザ管理サーバから正当な機器リストを取得してもよい。
【0141】
前記正当な機器リストは、第一のネットワークに関連する証明書が配置されていない第一のネットワークの正当な通信機器と、第一のネットワークに関連する証明書の配置を許可する通信機器とのうちの少なくとも一つを含む。
【0142】
選択的に、正当な機器リストは、正当な端末リストである。正当な端末リストは、一グループの端末の情報であってもよい。一つの実施の形態では、前記端末の情報は、端末の識別子、例えば、IMEI、PEI、GPSI、MACアドレス又はSUPI(この時のSUPIは、第一のネットワークのSUPIではない)を含んでもよい。
【0143】
選択的に、前記正当な端末リストは、第一のネットワークに関連する証明書が配置されていない第一のネットワークの正当な端末と、第一のネットワークに関連する証明書の配置を許可する端末とのうちの少なくとも一つを含んでもよい。
【0144】
容易に理解できるように、一つの実施の形態では、第二の認証サーバの認証により、第一のネットワークは、端末が端末である(即ちなりすまし端末ではない)と確認し、正当な端末リストにより、第一のネットワークは、端末が正当な端末であるか否か、第一のネットワーク関連証明書の配置を許可するか否かを確認してもよい。
【0145】
容易に理解できるように、別の実施の形態では、認証サーバの認証により、第一のネットワークは、端末が端末であり、第一のネットワークの正当な端末であると確認してもよい。即ち認証サーバでは、端末がなりすまし端末ではなく、第一のネットワークの正当な端末であると直接認証し、第一のネットワークに関連する証明書の配置を許可する。
【0146】
上記第一のサーバは、配置サーバ又は認証の中間サーバと呼ばれてもよい。
【0147】
選択的に、前記第一の通信機器が第二の条件を満たす場合、前記第一の通信機器が前記第一のネットワークの正当な機器であると確認し、
そのうち、前記第二の条件は、
前記第一の通信機器が前記第二の認証サーバの認証に成功したことと、
前記第一の通信機器が正当な機器リストにおける通信機器であることとのうちの少なくとも一つを含む。
【0148】
正当な機器リストは、上記した通りであり、ここでこれ以上説明しない。
【0149】
選択的に、前述した、第一の情報を取得することの前に、前記方法は、
第一の通信機器のアクセス要求、及び/又は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するための第一の指示情報を受信することと、
前記アクセス要求及び/又は第一の指示情報に基づき、第一の情報に対する要求情報を送信することとをさらに含む。
【0150】
一つの実施の形態では、上記した、第一の情報に対する要求情報を送信することは、第一の通信機器に送信して、第一の情報の送信を第一の通信機器に要求することであってもよい。
【0151】
一つの実施の形態では、第一の通信機器から第一の通信機器のアクセス要求及び/又は第一の指示情報を受信する。
【0152】
一つの実施の形態では、第一の通信機器に第一の情報に対する要求情報を送信する。
【0153】
選択的に、前記第一の情報に対する要求情報は、
前記第一の通信機器のメーカー情報を要求するための第一の要求情報と、
前記第二の認証サーバのインデックス情報を要求するための第二の要求情報と、
前記第二の認証サーバのアドレス関連情報を要求するための第三の要求情報とのうちの少なくとも一つを含む。
【0154】
一つの実施の形態では、前述した、第一の通信機器のメーカー情報を要求するための第一の要求情報を送信することは、身元要求(identity request)を送信することを含み、身元要求のタイプは、第一の通信機器のメーカーの関連タイプ、例えば、端末のメーカータイプである。
【0155】
選択的に、前記方法は、
前記第一の通信機器が第一のネットワークの正当な機器であると決定した場合、第二の情報を送信することをさらに含み、そのうち、前記第二の情報は、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第一のサーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられる。
【0156】
一つの実施の形態では、第一の通信機器から前記第一の情報及び/又は第一の指示情報を取得する。
【0157】
一つの実施の形態では、第三の通信機器から前記第三の情報を取得する。
【0158】
一つの実施の形態では、アクセス要求(例えば、登録要求メッセージ、又は付着要求メッセージなど)により、第一の情報及び/又は第一の指示情報を取得する。
【0159】
一つの実施の形態では、第一の情報における「前記第二の認証サーバのインデックス情報」と第三の情報における「前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報」に基づき、第二の認証サーバのアドレス関連情報を確認してもよい。
【0160】
別の実施の形態では、第一の指示情報と第三の情報における「第二の認証サーバのアドレス関連情報」に基づき、第二の認証サーバによる第一の通信機器に対する認証を確認し及び/又は第二の認証サーバのアドレス関連情報を確認してもよい。
【0161】
本実施例では、第一の情報と、第一の指示情報と、正当な機器リストと、第三の情報とのうちの少なくとも一つを取得することができ、前記第一の情報と、第一の指示情報と、正当な機器リストと、第三の情報とのうちの少なくとも一つに基づき、第一の操作を実行する。このように、一方では、第一のネットワークが第二の認証サーバを選択して第一の通信機器を認証することをサポートすることができ、それにより、端末が第一のネットワーク関連証明書を有さずに第一のネットワークにアクセスする時、端末を認証することをサポートし、なりすまし端末と不正当な端末による第一のネットワークに対するセキュリティ攻撃を回避する。他方では、第一の通信機器に対する配置をサポートすることで、正当な端末が第一のネットワークに関連する証明書を取得することをサポートして、第一のネットワークのサービスにアクセスする。
【0162】
図4を参照して、図4は、本発明の実施例による第三の通信機器に用いられる別のアクセス制御方法であり、第三の通信機器は、AF、第二の認証サーバ、及び第一の通信機器のメーカーの関連機器のうちの一つを含むが、それらに限らない。図4に示すように、
第三の情報を決定するステップ401と、
第三の情報を送信するステップ402とを含み、
そのうち、前記第三の情報は、
第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0163】
一つの実施の形態では、上記第三の情報は、図3に示す実施例における第三の情報であり、ここでこれ以上説明しない。
【0164】
一つの実施の形態では、前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報は、第二の認証サーバのアドレス関連情報を確認するために用いられてもよい。
【0165】
一つの実施の形態では、上記した、第三の情報を送信することは、第二の通信機器に第三の情報を送信することであってもよい。
【0166】
選択的に、前記第二の認証サーバの関連情報を送信することは、
第三の条件を満たす場合、前記第二の認証サーバの関連情報を送信することを含み、
前記第三の条件は、
前記第三の通信機器と前記第二の認証サーバとが相互認証に成功したことと、
前記第三の通信機器と第一のネットワークとが相互認証に成功したこととのうちの少なくとも一つを含む。
【0167】
選択的に、前記第三の通信機器は、第一のネットワーク以外の通信機器である。
【0168】
一つの実施の形態では、上記第三の通信機器と前記第二の認証サーバとは、予め相互認証に成功してもよい。
【0169】
一つの実施の形態では、第三の通信機器と第一のネットワークとは、相互認証に成功する。
【0170】
本実施例では、第三の情報を送信することにより、第二の通信機器が上記第三の情報を取得する。
【0171】
このように、第一のネットワークが第二の認証サーバを選択して第一の通信機器を認証することをサポートすることができ、それにより、端末が第一のネットワーク関連証明書を有さずに第一のネットワークにアクセスする時、端末を認証することをサポートし、なりすまし端末と不正当な端末による第一のネットワークに対するセキュリティ攻撃を回避する。
【0172】
図5を参照して、図5は、本発明の実施例による第四の通信機器に用いられる別のアクセス制御方法であり、第四の通信機器は、端末を含むが、それらに限らない。図5に示すように、
第二の情報を取得するステップ501と、
前記第二の情報に基づき、第二の操作を実行するステップ502とを含み、
そのうち、前記第二の情報は、
第一の端末ルーティング選択ポリシー(例えば、URSP)と、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる。
【0173】
一つの実施の形態では、上記第二の情報は、図5に示す実施例における第二の情報を参照することができ、ここでこれ以上説明しない。
【0174】
一つの実施の形態では、上記した、第二の情報を取得することは、第一のネットワークから上記第二の情報を取得することであってもよい。
【0175】
選択的に、前記第二の操作は、
第一のデータチャンネルを確立する操作であって、前記第一のデータチャンネルは、前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることとのうちの少なくとも一つを満たす操作と、
第一のネットワークに関連する証明書の配置を第一のサーバに要求する操作と、
第一のネットワークに関連する証明書の配置を第二の認証サーバに要求する操作と、
アプリケーション層のターゲット第一のサーバ及び/又は証明書ダウンロードアプリケーション以外のアクセス要求又はデータ送信要求を拒否する操作と、
ターゲットが第一のサーバ及び/又は証明書ダウンロードアプリケーションであるアクセス要求又はデータ送信要求のみを許可する操作とのうちの少なくとも一つを含む。
【0176】
一つの実施の形態では、前記第一のデータチャンネル(前記データチャンネルは、例えば、PDUセッションである)の確立用の関連情報は、
DNN、スライス情報(例えば、NSSAI)、SSC Mode、及び、データチャンネルタイプ(例えば、PDUセッションタイプ)のうちの少なくとも一つを含む。
【0177】
一つの実施の形態では、前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、第一のネットワーク証明書をダウンロードするためのデータチャンネルである。
【0178】
一つの実施の形態では、第一のデータチャンネルの確立用の関連情報及び/又は第二の指示情報に基づいて第一のデータチャンネルの確立を要求する。
【0179】
第一のサーバのアドレス関連情報に基づき、第一のネットワークに関連する証明書の配置を第一のサーバに要求する。
【0180】
第二の認証サーバのアドレス関連情報に基づき、第一のネットワークに関連する証明書の配置を第二の認証サーバに要求する。容易に理解できるように、第二の認証サーバは、前記要求に基づき、先ず第四の通信機器を認証し、認証に成功すると、第四の通信機器への第一のネットワークに関連する証明書の配置を第一のサーバに要求する。
【0181】
本実施例では、第二の情報を取得し、前記第二の情報に基づき、第二の操作を実行することにより、端末が第一のネットワーク関連証明書を有さずに第一のネットワークにアクセスする時、必要な配置を取得することをサポートすることで、正当な端末が第一のネットワークに関連する証明書を取得することをサポートして、第一のネットワークのサービスにアクセスすることができる。
【0182】
図6を参照して、図6は、本発明の実施例による第五の通信機器に用いられる別のアクセス制御方法である。第五の通信機器は、第一のネットワークの通信機器であり、例えば、AMFのうちの一つを含むが、それらに限らない。図6に示すように、以下のステップを含む。
【0183】
ステップ601において、第二の情報を送信し、そのうち、前記第二の情報は、
第一の端末ルーティング選択ポリシー(例えば、URSP)と、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含む、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる。
【0184】
選択的に、第二の情報を送信するステップの前に、第二の情報の関連操作の決定を実行する。
【0185】
第二の情報の関連操作の決定を実行することは、
第一の端末ルーティング選択ポリシーの操作を決定することと、
デフォルトDNN情報を空に設定するか又はデフォルトDNN情報を設定しないことと、
デフォルトスライス情報を空に設定するか又はデフォルト(NSSAI)スライス情報を設定しないこととを含む。
【0186】
容易に理解できるように、第一のサーバのほか、第一のネットワークは、他の業務への端末のアクセスを許可しない。デフォルトDNNが端末のアプリケーションに用いられるか又はアクセスターゲットが対応するルーティング選択ポリシーにおけるDNNを有さない場合、デフォルトDNNを選択し、データチャンネルを確立して、前記アプリケーション又はアクセスターゲットにアクセスする。そのため、デフォルトDNNを配置しないことは、端末による他の業務の開始を許可しないことである。デフォルトスライス情報が端末のアプリケーションに用いられるか又はアクセスターゲットが対応するルーティング選択ポリシーにおけるスライス情報を有さない場合、デフォルトスライス情報を選択し、データチャンネルを確立して、前記アプリケーション又はアクセスターゲットにアクセスする。そのため、デフォルトスライス情報を配置しないことは、端末による他の業務の開始を許可しないことである。
【0187】
選択的に、前述した、第一の端末ルーティング選択ポリシーを決定する操作は、
第一の端末ルーティング選択ポリシーにおけるアプリケーション記述を第一のサーバのアドレス関連情報として設定する(例えば、アプリケーション記述を第一のサーバのIP三元グループ又は第一のサーバのFQDNとして設定する)操作と、
第一の端末ルーティング選択ポリシーにおけるアプリケーション記述を証明書ダウンロードアプリケーション情報に設定する(例えば、アプリケーション記述を証明書ダウンロードアプリケーションとして設定する)操作と、
第一の端末ルーティング選択ポリシーにおけるアプリケーション記述を制限サービスのDNNとして設定する操作とのうちの少なくとも一つを含む。
【0188】
前記証明書ダウンロードアプリケーションは、第一のネットワークに関連する証明書の配置を第一のサーバに要求するために用いられる。
【0189】
一つの実施の形態では、制御プレーンシグナリングにより第一のネットワークに関連する証明書を配置してもよい。容易に理解できるように、この時、第三の指示情報により、ユーザプレーンを許可せず、制御プレーンのみを許可するように制限してもよい。
【0190】
選択的に、第四の条件を満たす場合、第二の情報の関連操作を決定し及び/又は第二の情報を送信することを実行し
そのうち、前記第四の条件は、
端末が第一のネットワークの制限サービスにアクセスしたか又は端末により送信された第一の指示情報を受信したことと、
端末が初期認証に成功したと確認したか又は前記端末が前記第二の認証サーバの認証に成功したと確認したことと、
前記第一の通信機器が非なりすまし機器であると確認したことと、
前記端末が第一のネットワークの正当な機器であるか又は端末が正当な機器リストにおける通信機器であると確認したことと、
端末が前記第一のネットワークに関連する証明書の配置を許可すると確認したこととを含んでもよい。
【0191】
選択的に、端末に第二の情報を送信する。
【0192】
端末が第一のネットワーク関連証明書を有さずに第一のネットワークにアクセスする時、必要な配置を取得することをサポートすることで、正当な端末が第一のネットワークに関連する証明書を取得することをサポートして、第一のネットワークのサービスにアクセスすることができる。以下は、具体的なアプリケーションシナリオを結び付けながら、本発明の実施例のアクセス制御方法について説明する。
【0193】
本発明の実施例のアプリケーションシナリオ1:
本発明の実施例のアプリケーションシナリオ1は、主にUEと、SNPNと、第二の認証サーバとの間のアクセス制御を記述するものであり、図7に示すように、以下のステップを含む。
【0194】
ステップ1:AFは、第一のネットワークに第三の情報(第二の認証サーバの関連情報)を送信する。
【0195】
第三の情報は、第二の認証サーバのインデックス情報と第二の認証サーバのアドレス情報とのマッピング情報、及び、第二の認証サーバのアドレス情報のうちの少なくとも一つを含む。
【0196】
前記第二の認証サーバのインデックス情報と第二の認証サーバのアドレス情報とのマッピング情報における第二の認証サーバのインデックス情報は、マッピングする第二の認証サーバのアドレス情報にインデックスすることができる。
【0197】
AFは、端末メーカーのAFであってもよい。
【0198】
AFは、第一のネットワークのNEFにより第一のネットワークのUDMに前記情報を送信してもよい。
【0199】
ステップ2:UEは、第一のネットワークのAMFに登録要求を開始する。
【0200】
選択的に、前記登録要求に第二の認証サーバのインデックス情報が含まれる。又は、端末のメーカー情報のみが提供される。
【0201】
第二の認証サーバのインデックス情報は、第二の認証サーバのアドレス情報(例えば、IP、FQDN、URL)と、第二の認証サーバの所属する端末メーカーの識別情報とのうちの少なくとも一つを含んでもよい。
【0202】
ステップ3(選択的に):AMFは、UEに身元認証要求(identity request)を送信し、身元認証タイプ(identity type)は、端末メーカー(例えば、Vendor ID)などの関連タイプ、第二の認証サーバのインデックス情報、及び、第二の認証サーバのアドレス情報のうちの少なくとも一つとして設定される。
【0203】
UEは、身元認証応答(identity response)に第二の認証サーバのインデックス情報、例えば、UE vendorの識別情報が含まれる。
【0204】
ステップ4(選択的に):AMFは、UDMに前記第二の認証サーバのインデックス情報を送信し、認証サーバのアドレス情報を取得する。
【0205】
UDMは、第二の認証サーバのインデックス情報と第二の認証サーバのアドレス情報とのマッピング情報、及び第二の認証サーバのインデックス情報に基づき、第二の認証サーバのアドレス情報を確認することができる。
【0206】
UDMは、AMFに第二の認証サーバのアドレス情報を送信する。
【0207】
一つの実施の形態では、ステップ4で採用されるのは、UEに関連しないシグナリング過程である。
【0208】
ステップ5:AMFは、第一の操作を実行し、前記第一の操作は、
第二の認証サーバのアドレスを決定することと、
第二の認証サーバに認証(Authentication/Security)端末を要求することと、
端末が第一のネットワークの正当な端末であるか否か又は第一のネットワークに関連する証明書の配置を許可する端末であるか否かを確認することとのうちの少なくとも一つを含む。
【0209】
一つの実施の形態では、AFから第二の認証サーバのインデックス情報と第二の認証サーバのアドレス情報とのマッピング情報を取得する。
【0210】
別の実施の形態では、端末から第二の認証サーバのインデックス情報を取得する。
【0211】
さらに、正当な端末の条件を満たす場合、端末が第一のネットワークの正当な端末であると確認することができる。正当な端末の条件は、端末が第二の認証サーバの認証に成功したことと、端末が正当な端末リストにおける端末であることとのうちの少なくとも一つを含んでもよい。前記正当な端末は、第一のネットワークに関連する証明書の配置を許可する端末であってもよい。
【0212】
ステップ6:端末が第一のネットワークの正当な端末であると確認する場合、端末に第二の情報と登録受け入れメッセージを送信する。
【0213】
前記第二の情報は、図5の実施例に記載される通りである。例示的に、前記第二の情報は、
制限サービスのPDUセッション確立用の関連情報(例えば、DNN、スライス情報、SSCなど)と、
第一のサーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0214】
一つの実施の形態では、送信される登録受信メッセージに第一のサーバのアドレス関連情報が含まれる。
【0215】
ステップ7:UEは、SNPNとセッションを確立する。
【0216】
ステップ8:UEと配置サーバとの間でSNPN証明書(credential)配置要求と配置応答を伝送する。
【0217】
本発明の実施例のアプリケーションシナリオ2:
本発明の実施例のアプリケーションシナリオ2は、主にUEと、SNPNと、配置サーバと、第二の認証サーバとの間のアクセス制御を記述するものである。図8に示すように、以下のステップを含む。
【0218】
ステップ1(選択的に):配置サーバが第三の情報(又は第二の認証サーバの関連情報と呼ばれる)を取得する。
【0219】
第二の認証サーバの関連情報は、第二の認証サーバのインデックス情報と第二の認証サーバのアドレス情報とのマッピング情報、及び第二の認証サーバのアドレス情報のうちの少なくとも一つを含む。
【0220】
前記第二の認証サーバのインデックス情報と第二の認証サーバのアドレス情報とのマッピング情報における第二の認証サーバのインデックス情報は、マッピングする第二の認証サーバのアドレス情報にインデックスすることができる。
【0221】
ステップ2:UEは、第一のネットワークのAMFにアクセス要求を開始し、第二の認証サーバのインデックス情報を送信する。
【0222】
第二の認証サーバのインデックス情報は、第二の認証サーバのアドレス情報(例えば、IP、FQDN、URL)、及び、第二の認証サーバの所属する端末メーカーの識別情報のうちの少なくとも一つを含んでもよい。
【0223】
ステップ3(選択的に):AMFがUDMに前記第二の認証サーバのインデックス情報を送信し、認証サーバのアドレス情報を取得する。
【0224】
UDMは、第二の認証サーバのインデックス情報と第二の認証サーバのアドレス情報とのマッピング情報、及び、第二の認証サーバのインデックス情報に基づき、第二の認証サーバのアドレス情報を確認することができる。
【0225】
UDMは、AMFに第二の認証サーバのアドレス情報を送信する。
【0226】
一つの実施の形態では、ステップ4で採用されるのは、UEに関連しないシグナリング過程である。
【0227】
ステップ4:AMFは、
第二の認証サーバのアドレスを決定する操作と、
第一のネットワークの配置サーバに認証端末を要求する操作と、
第一のネットワークの配置サーバに第二の認証サーバのアドレス情報又は第二の認証サーバのインデックス情報を送信する操作とのうちの少なくとも一つを実行する。
【0228】
配置サーバは、
第二の認証サーバのアドレスを決定する操作と、
第二の認証サーバに認証端末を要求する操作とのうちの少なくとも一つを実行する。
【0229】
認証完了ステップ後、AMFは、
端末が第一のネットワークの正当な端末であるか否か又は第一のネットワークに関連する証明書の配置を許可する端末であるか否かを確認する操作と、
端末登録を許可するか否かを確認する操作とのうちの少なくとも一つを実行する。
【0230】
さらに、正当な端末の条件を満たす場合、端末が第一のネットワークの正当な端末であると確認することができる。正当な端末の条件は、端末が第二の認証サーバの認証に成功したことと、端末が正当な端末リストにおける端末であることとのうちの少なくとも一つを含んでもよい。前記正当な端末は、第一のネットワークに関連する証明書の配置を許可する端末であってもよい。
【0231】
ステップ5:端末が第一のネットワークの正当な端末であると確認する場合、端末に第二の情報と登録受け入れメッセージを送信する。
【0232】
前記第二の情報は、図5の実施例に記載される通りである。例示的に、前記第二の情報は、
制限サービスのPDUセッション確立用の関連情報(例えば、DNN、スライス情報、SSCなど)と、
第一のサーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0233】
一つの実施の形態では、送信される登録受信メッセージに第一のサーバのアドレス関連情報が含まれる。
【0234】
ステップ6:UEは、SNPNとセッションを確立する。
【0235】
ステップ7:UEと配置サーバとは、SNPN証明書(credential)配置を伝送する。
【0236】
本発明の実施例のアプリケーションシナリオ3:
本発明の実施例のアプリケーションシナリオ3は、主にUEと、配置サーバと、認証サーバとの間のアクセス制御を記述するものであり、図9に示すように、以下のステップを含む。
【0237】
ステップ1(選択的に):配置サーバが第二の認証サーバの関連情報を取得する。
【0238】
第二の認証サーバの関連情報は、第二の認証サーバのインデックス情報と第二の認証サーバのアドレス情報とのマッピング情報、及び第二の認証サーバのアドレス情報のうちの少なくとも一つを含む。
【0239】
前記第二の認証サーバのインデックス情報と第二の認証サーバのアドレス情報とのマッピング情報における第二の認証サーバのインデックス情報は、マッピングする第二の認証サーバのアドレス情報にインデックスすることができる。
【0240】
ステップ2:UEは、第一のネットワークのAMFに登録要求を開始する。
【0241】
AMFは、端末に第二の情報と登録受け入れメッセージを送信する。
【0242】
前記第二の情報は、
制限サービスのPDUセッション確立用の関連情報(例えば、DNN、スライス情報、SSCなど)と、
第一のサーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0243】
一つの実施の形態では、送信される登録受信メッセージに第一のサーバ(例えば、配置サーバ)のアドレス関連情報が含まれる。
【0244】
ステップ3:UEは、第一のネットワークとPDUセッションを確立する。前記PDUセッションは、制限サービスのPDUセッションである。
【0245】
別の選択的な方式では、SMFは、端末に第二の情報を送信する。
【0246】
ステップ4:UEは、配置サーバに配置要求を開始する。UEは、配置サーバに第二の認証サーバのインデックス情報を送信する。
【0247】
第二の認証サーバのインデックス情報は、認証サーバのアドレス情報(例えば、IP、FQDN、URL)、及び、認証サーバの所属する端末メーカーの識別情報のうちの少なくとも一つを含んでもよい。
【0248】
ステップ5:配置サーバは、
第二の認証サーバのアドレスを決定する操作と、
第二の認証サーバに認証端末を要求する操作とのうちの少なくとも一つを実行する。
【0249】
認証完了ステップの後に、配置サーバは、
端末が第一のネットワークの正当な端末であるか否か又は第一のネットワークに関連する証明書の配置を許可する端末であるか否かを確認する操作と、
さらに、正当な端末の条件を満たす場合、端末が第一のネットワークの正当な端末であると確認できる操作とのうちの少なくとも一つを実行する。正当な端末の条件は、端末が第二の認証サーバの認証に成功したことと、端末が正当な端末リストにおける端末であることとのうちの少なくとも一つを含んでもよい。前記正当な端末は、第一のネットワークに関連する証明書の配置を許可する端末であってもよい。
【0250】
ステップ6:端末が第一のネットワークの正当な端末であると確認すると、端末に第一のネットワークに関連する証明書(credential)を配置する。
【0251】
本発明の実施例のアプリケーションシナリオ4:
本発明の実施例のアプリケーションシナリオ4は、主にUEと配置サーバとの間のアクセス制御を記述するものであり、図10に示すように、以下のステップを含む。
【0252】
ステップ1:UEは、第一のネットワークのAMFに登録要求を開始する。
【0253】
AMFは、端末に第二の情報と登録受け入れメッセージを送信する。
【0254】
前記第二の情報は、図5の実施例に記載される通りである。例示的に、前記第二の情報は、
制限サービスのPDUセッション確立用の関連情報(例えば、DNN、スライス情報、SSCなど)と、
第一のサーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0255】
一つの実施の形態では、送信される登録受信メッセージに第一のサーバ(例えば、配置サーバ)のアドレス関連情報が含まれる。
【0256】
ステップ2:UEは、第一のネットワークとPDUセッションを確立する。前記PDUセッションは、制限サービスのPDUセッションである。
【0257】
別の選択的な方式では、SMFは、端末に第二の情報を送信する。
【0258】
ステップ3:UEは、配置サーバに配置要求を開始する。
【0259】
ステップ4:配置サーバは、端末を認証する。
【0260】
認証完了ステップ後に、配置サーバは、
端末が第一のネットワークの正当な端末であるか否か又は第一のネットワークに関連する証明書の配置を許可する端末であるか否かを確認する操作と、
さらに、正当な端末の条件を満たす場合、端末が第一のネットワークの正当な端末であると確認できる操作とのうちの少なくとも一つを実行する。正当な端末の条件は、端末が第二の認証サーバの認証に成功したことと、端末が正当な端末リストにおける端末であることとのうちの少なくとも一つを含んでもよい。前記正当な端末は、第一のネットワークに関連する証明書の配置を許可する端末であってもよい。
【0261】
ステップ5:端末が第一のネットワークの正当な端末であると確認すると、端末に第一のネットワークに関連する証明書を配置する。
【0262】
本発明の実施例では、以下のように実現してもよい。
【0263】
UEは、出荷の直後にSNPNにアクセスする時又はSNPNの配置サーバにアクセスする時、UEメーカー(vendor)を識別する関連情報を提供し、SNPNは、受信した後に、UEメーカーの第二の認証サーバ(例えば、AAA)を選択してUEを認証するために用いられる。
【0264】
SNPNは、新しいidentityタイプを定義してUEのメーカーなどの第二の認証サーバのインデックス情報を取得してもよい。
【0265】
SNPNは、UEに配置サーバのアドレス関連情報を送信し、UEは、ユーザプレーンにより配置サーバに配置要求を開始するために用いられるか、又はSNPNは、制御プレーンによりUEのために第一のネットワークに関連する証明書を配置サーバに要求するために用いられる。
【0266】
本発明の実施例によって、UEがSNPNの証明書を有さずにSNPNにアクセスする時、UEに対して認証及び配置を行うことをサポートし、なりすましUEと不正当なUEによるセキュリティ攻撃を回避することができる一方、UEにSNPNの証明書を配置することをサポートする。
【0267】
図11を参照して、図11は、本発明の実施例による通信機器の構造図であり、前記通信機器は、第一の通信機器であり、図11に示すように、通信機器1100は、
第一のターゲット端に第一の情報及び/又は第一の指示情報を送信するための第一の送信モジュール1101を含み、そのうち、前記第一の情報は、
第二の認証サーバのインデックス情報と、
前記第一の通信機器のメーカーの関連情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられる。
【0268】
選択的に、前述した、第一の情報を送信することは、
第一の条件を満たす場合、第一の情報を送信することを含み、
そのうち、前記第一の条件は、
前記第一の通信機器が第二の証明書を有することと、
前記第一の通信機器が第一のネットワークに関連する証明書を有しないことと、
前記第一の通信機器が第一のネットワークへのアクセスを要求したことと、
前記第一の通信機器が第一のネットワークの制限サービスへのアクセスを要求したことと、
前記第一の通信機器が第一のネットワークに関連する証明書の取得を要求したことと、
前記第一の情報のうちの少なくとも一つを取得したことと、
前記第一の情報に対する要求情報を取得したことと、
第一のネットワークが制限サービスをサポートする情報を取得したことと、
第一のネットワークが制限サービスに対する認証をサポート及び/又は要求する情報を取得したことと、
第一のネットワークが前記第一の通信機器に対する認証をサポート及び/又は要求する情報を取得したことと、
前記第一のネットワークが前記第一の通信機器に前記第一のネットワークに関連する証明書を配置することをサポートする情報を取得したこととのうちの少なくとも一つを含む。
【0269】
選択的に、前記第一の情報に対する要求情報は、
前記のメーカー情報を要求するための第一の要求情報と、
前記第二の認証サーバのインデックス情報を要求するための第二の要求情報と、
前記第二の認証サーバのアドレス関連情報を要求するための第三の要求情報とのうちの少なくとも一つを含む。
【0270】
選択的に、前述した、第一の情報を送信するステップの前に、前記通信機器は、
前記第一のターゲット端にアクセス要求を送信し及び/又は第一の指示情報を送信するための第二の送信モジュールをさらに含み、
そのうち、前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられる。
【0271】
選択的に、前記通信機器は、
受信モジュールをさらに含み、この受信モジュールは、第一のターゲット端により送信された、
前記第一の情報に対する要求情報と、
第一のネットワークが制限サービスをサポートする情報と、
第一のネットワークが制限サービスに対する認証をサポート及び/又は要求する情報と、
前記第一のネットワークが前記第一の通信機器に対する認証をサポート及び/又は要求する情報と、
前記第一のネットワークが前記第一の通信機器に第一のネットワークに関連する証明書を配置することをサポートする情報とのうちの少なくとも一つの情報を受信するために用いられる。
【0272】
選択的に、前記通信機器は、
第二の情報を取得するための取得モジュールをさらに含み、そのうち、前記第二の情報は、
第一の端末ルーティング選択ポリシーと、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる。
【0273】
通信機器1100は、本発明の方法の実施例における第一の通信機器により実現される各プロセスを実現させ、同じ技術的効果を達成することができ、説明の繰り返しを回避するために、ここでこれ以上説明しない。
【0274】
図12を参照して、本発明の実施例は、第二の通信機器である別の通信機器を提供する。図12に示すように、通信機器1200は、
第一の情報と、第一の指示情報と、正当な機器リストと、第三の情報とのうちの少なくとも一つを取得するための取得モジュール1201と、
前記第一の情報と、第一の指示情報と、正当な機器リストと、第三の情報とのうちの少なくとも一つに基づき、第一の操作を実行するための実行モジュール1202とを含み、
そのうち、前記第一の情報は、第二の認証サーバのインデックス情報と、第一の通信機器のメーカーの関連情報と、前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられ、
前記第三の情報は、
前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0275】
選択的に、前記第一の操作は、
前記第二の認証サーバを決定する操作と、
第一の通信機器に対する認証を前記第二の認証サーバに要求する操作を決定する操作と、
第一の通信機器に対する認証を前記第二の認証サーバに要求する操作と、
前記第一の通信機器に対する認証を第一のサーバに要求する操作と、
前記第一のサーバに前記第一の情報を送信する操作と、
前記第一の通信機器が第一のネットワークの正当な機器であるか否かを確認する操作と、
前記第一の通信機器に対する前記第一のネットワークに関連する証明書の配置を許可するか否かを確認する操作と、
前記第一のネットワークによる前記第一の通信機器の登録要求の受け入れを許可するか否かを確認する操作とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、前記第一の通信機器のために前記第一のネットワークに関連する証明書を配置できるサーバである。
【0276】
選択的に、前述した、第二の認証サーバを決定するステップは、
第一の情報における前記第二の認証サーバのインデックス情報、及び前記第三の情報における前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報に基づき、第二の認証サーバを決定することと、
第一の情報における前記第一の通信機器のメーカーの関連情報、及び前記第三の情報における前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報に基づき、第二の認証サーバを決定することと、
第一の情報における前記第二の認証サーバのアドレス関連情報及び/又は前記第三の情報における前記第二の認証サーバのアドレス関連情報に基づき、第二の認証サーバを決定することと、
第一の指示情報及び/又は前記第三の情報における前記第二の認証サーバのアドレス関連情報に基づき、第二の認証サーバを決定することと、のうちの少なくとも一つを含むが、それらに限らず、
及び/又は、
前述した、第一の通信機器に対する認証を前記第二の認証サーバに要求することを決定するステップは、
第一の指示情報及び/又は第一の情報に基づき、第一の通信機器に対する認証を前記第二の認証サーバに要求することを決定することと、
第一の指示情報及び/又は第三の情報における前記第二の認証サーバのアドレス関連情報に基づき、第一の通信機器に対する認証を前記第二の認証サーバに要求することを決定することと、のうちの少なくとも一つを含むが、それらに限らない。
【0277】
選択的に、前記第一の通信機器が第二の条件を満たす場合、前記第一の通信機器が前記第一のネットワークの正当な機器であると確認し、
そのうち、前記第二の条件は、
前記第一の通信機器が前記第二の認証サーバの認証に成功したことと、
前記第一の通信機器が正当な機器リストにおける通信機器であることとのうちの少なくとも一つを含む。
【0278】
選択的に、前記正当な機器リストは、
第一のネットワークに関連する証明書が配置されていない第一のネットワークの正当な通信機器と、
第一のネットワークに関連する証明書の配置を許可する通信機器とのうちの少なくとも一つを含む。
【0279】
選択的に、前記通信機器は、
第一の通信機器のアクセス要求及び/又は第一の指示情報を受信するための受信モジュールであって、前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられる受信モジュールと、
前記アクセス要求及び/又は第一の指示情報に基づき、第一の情報に対する要求情報を送信するための第一の送信モジュールとをさらに含む。
【0280】
選択的に、前記第一の情報に対する要求情報は、
前記第一の通信機器のメーカー情報を要求するための第一の要求情報と、
前記第二の認証サーバのインデックス情報を要求するための第二の要求情報と、
前記第二の認証サーバのアドレス関連情報を要求するための第三の要求情報とのうちの少なくとも一つを含む。
【0281】
選択的に、前記通信機器は、
前記第一の通信機器が第一のネットワークの正当な機器であると決定した場合、第二の情報を送信するための第二の送信モジュールをさらに含み、そのうち、前記第二の情報は、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第一のサーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられる。
【0282】
通信機器1200は、本発明の方法の実施例における第二の通信機器により実現される各プロセスを実現させ、同じ技術的効果を達成することができ、説明の繰り返しを回避するために、ここでこれ以上説明しない。
【0283】
図13を参照して、本発明の実施例は、第三の通信機器である別の通信機器を提供する。図13に示すように、通信機器1300は、
第三の情報を決定するための決定モジュール1301と、
第三の情報を送信するための送信モジュール1302とを含み、
そのうち、前記第三の情報は、
第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0284】
選択的に、前述した、前記第二の認証サーバの関連情報を送信することは、
第三の条件を満たす場合、前記第二の認証サーバの関連情報を送信することを含み、
前記第三の条件は、
前記第三の通信機器と前記第二の認証サーバとが相互認証に成功したことと、
前記第三の通信機器と第一のネットワークとが相互認証に成功したこととのうちの少なくとも一つを含む。
【0285】
通信機器1300は、本発明の方法の実施例における第三の通信機器により実現される各プロセスを実現させ、同じ技術的効果を達成することができ、説明の繰り返しを回避するために、ここでこれ以上説明しない。
【0286】
図14を参照して、本発明の実施例は、第四の通信機器である別の通信機器を提供する。図14に示すように、通信機器1400は、
第二の情報を取得するための取得モジュール1401と、
前記第二の情報に基づき、第二の操作を実行するための実行モジュール1402とを含み、
そのうち、前記第二の情報は、
第一の端末ルーティング選択ポリシーと、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる。
【0287】
選択的に、前記第二の操作は、
第一のデータチャンネルを確立する操作であって、前記第一のデータチャンネルは、前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることとのうちの少なくとも一つを満たす操作と、
第一のネットワークに関連する証明書の配置を第一のサーバに要求する操作と、
第一のネットワークに関連する証明書の配置を第二の認証サーバに要求する操作と、
アプリケーション層のターゲットの第一のサーバ及び/又は証明書ダウンロードアプリケーション以外のアクセス要求又はデータ送信要求を拒否する操作と、
ターゲットが第一のサーバ及び/又は証明書ダウンロードアプリケーションであるアクセス要求又はデータ送信要求のみを許可する操作とのうちの少なくとも一つを含む。
【0288】
通信機器1400は、本発明の方法の実施例における第四の通信機器により実現される各プロセスを実現させ、同じ技術的効果を達成することができ、説明の繰り返しを回避するために、ここでこれ以上説明しない。
【0289】
図15を参照して、本発明の実施例は、第五の通信機器である別の通信機器を提供する。図15に示すように、通信機器1500は、
第二の情報を送信するための送信モジュール1501を含み、そのうち、前記第二の情報は、
第一の端末ルーティング選択ポリシーと、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる。
【0290】
選択的に、第四の条件を満たす場合、第二の情報の関連操作の決定を実行し及び/又は第二の情報を送信し、
そのうち、前記第四の条件は、
端末が第一のネットワークの制限サービスにアクセスしたか又は端末により送信された第一の指示情報を受信したことと、
端末が初期認証に成功したと確認したか又は前記端末が前記第二の認証サーバの認証に成功したと確認したことと、
前記第一の通信機器が非なりすまし機器であると確認したことと、
前記端末が第一のネットワークの正当な機器であるか又は端末が正当な機器リストにおける通信機器であると確認したことと、
端末が前記第一のネットワークに関連する証明書の配置を許可すると確認したこととを含む。
【0291】
通信機器1500は、本発明の方法の実施例における第三の通信機器により実現される各プロセスを実現させ、同じ技術的効果を達成することができ、説明の繰り返しを回避するために、ここでこれ以上説明しない。
【0292】
図16を参照して、図16は、本発明の実施例による通信機器の構造図のその五である。図16に示すように、通信機器1600は、メモリ1601と、プロセッサ1602と、メモリ1601に記憶されており、プロセッサ1602上で運行できるコンピュータプログラム16011とを含む。
【0293】
そのうち、通信機器1600が上記方法の実施例における第一の通信機器として表されると、コンピュータプログラム16011がプロセッサ1602によって実行されると、
第一のターゲット端に第一の情報及び/又は第一の指示情報を送信するステップを実現させ、そのうち、前記第一の情報は、
第二の認証サーバのインデックス情報と、
前記第一の通信機器のメーカーの関連情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられる。
【0294】
選択的に、前述した、第一の情報を送信することは、
第一の条件を満たす場合、第一の情報を送信することを含み、
そのうち、前記第一の条件は、
前記第一の通信機器が第二の証明書を有することと、
前記第一の通信機器が第一のネットワークに関連する証明書を有しないことと、
前記第一の通信機器が第一のネットワークへのアクセスを要求したことと、
前記第一の通信機器が第一のネットワークの制限サービスへのアクセスを要求したことと、
前記第一の通信機器が第一のネットワークに関連する証明書の取得を要求したことと、
前記第一の情報のうちの少なくとも一つを取得したことと、
前記第一の情報に対する要求情報を取得したことと、
第一のネットワークが制限サービスをサポートする情報を取得したことと、
第一のネットワークが制限サービスに対する認証をサポート及び/又は要求する情報を取得したことと、
第一のネットワークが前記第一の通信機器に対する認証をサポート及び/又は要求する情報を取得したことと、
前記第一のネットワークが前記第一の通信機器に前記第一のネットワークに関連する証明書を配置することをサポートする情報を取得したこととのうちの少なくとも一つを含む。
【0295】
選択的に、前記第一の情報に対する要求情報は、
前記第一の通信機器のメーカー情報を要求するための第一の要求情報と、
前記第二の認証サーバのインデックス情報を要求するための第二の要求情報と、
前記第二の認証サーバのアドレス関連情報を要求するための第三の要求情報とのうちの少なくとも一つを含む。
【0296】
選択的に、前述した、第一の情報を送信するステップの前に、コンピュータプログラム16011がプロセッサ1602により実行されると、
前記第一のターゲット端にアクセス要求を送信し及び/又は第一の指示情報を送信するステップをさらに実現し、
そのうち、前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられる。
【0297】
選択的に、前述した、第一の情報を送信するステップの前に、コンピュータプログラム16011がプロセッサ1602により実行されると、
第一のターゲット端により送信された、
前記第一の情報に対する要求情報と、
第一のネットワークが制限サービスをサポートする情報と、
第一のネットワークが制限サービスに対する認証をサポート及び/又は要求する情報と、
第一のネットワークが前記第一の通信機器に対する認証をサポート及び/又は要求する情報と、
第一のネットワークが前記第一の通信機器に第一のネットワークに関連する証明書を配置することをサポートする情報とのうちの少なくとも一つの情報を受信するステップをさらに実現する。
【0298】
選択的に、コンピュータプログラム16011がプロセッサ1602により実行されると、
第二の情報を取得するステップをさらに実現し、そのうち、前記第二の情報は、
第一の端末ルーティング選択ポリシーと、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる。
【0299】
そのうち、通信機器1600が上記方法の実施例における第二の通信機器として表されると、コンピュータプログラム16011がプロセッサ1602によって実行されると、
第一の情報と、第一の指示情報と、正当な機器リストと、第三の情報とのうちの少なくとも一つを取得するステップと、
前記第一の情報と、第一の指示情報と、正当な機器リストと、第三の情報とのうちの少なくとも一つに基づき、第一の操作を実行するステップとを実現させ、
そのうち、前記第一の情報は、第二の認証サーバのインデックス情報と、第一の通信機器のメーカーの関連情報と、前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
前記第一の指示情報は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するために用いられ、
前記第三の情報は、
前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0300】
選択的に、前記第一の操作は、
前記第二の認証サーバを決定する操作と、
第一の通信機器に対する認証を前記第二の認証サーバに要求する操作を決定する操作と、
第一の通信機器に対する認証を前記第二の認証サーバに要求する操作と、
前記第一の通信機器に対する認証を第一のサーバに要求する操作と、
前記第一のサーバに前記第一の情報を送信する操作と、
前記第一の通信機器が第一のネットワークの正当な機器であるか否かを確認する操作と、
前記第一の通信機器に対する前記第一のネットワークに関連する証明書の配置を許可するか否かを確認する操作と、
前記第一のネットワークによる前記第一の通信機器の登録要求の受け入れを許可するか否かを確認する操作とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、前記第一の通信機器のために前記第一のネットワークに関連する証明書を配置できるサーバである。
【0301】
選択的に、前述した、第二の認証サーバを決定するステップは、
第一の情報における前記第二の認証サーバのインデックス情報、及び前記第三の情報における前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報に基づき、第二の認証サーバを決定することと、
第一の情報における前記第一の通信機器のメーカーの関連情報、及び前記第三の情報における前記第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報に基づき、第二の認証サーバを決定することと、
第一の情報における前記第二の認証サーバのアドレス関連情報及び/又は前記第三の情報における前記第二の認証サーバのアドレス関連情報に基づき、第二の認証サーバを決定することと、
第一の指示情報及び/又は前記第三の情報における前記第二の認証サーバのアドレス関連情報に基づき、第二の認証サーバを決定することと、のうちの少なくとも一つを含むが、それらに限らず、
及び/又は、
前述した、第一の通信機器に対する認証を前記第二の認証サーバに要求することを決定するステップは、
第一の指示情報及び/又は第一の情報に基づき、第一の通信機器に対する認証を前記第二の認証サーバに要求することを決定することと、
第一の指示情報及び/又は第三の情報における前記第二の認証サーバのアドレス関連情報に基づき、第一の通信機器に対する認証を前記第二の認証サーバに要求することを決定することと、のうちの少なくとも一つを含むが、それらに限らない。
【0302】
選択的に、前記第一の通信機器が第二の条件を満たす場合、前記第一の通信機器が前記第一のネットワークの正当な機器であると確認し、
そのうち、前記第二の条件は、
前記第一の通信機器が前記第二の認証サーバの認証に成功したことと、
前記第一の通信機器が正当な機器リストにおける通信機器であることとのうちの少なくとも一つを含む。
【0303】
選択的に、前記正当な機器リストは、
第一のネットワークに関連する証明書が配置されていない第一のネットワークの正当な通信機器と、
第一のネットワークに関連する証明書の配置を許可する通信機器とのうちの少なくとも一つを含む。
【0304】
選択的に、前述した、第一の情報を取得することの前に、コンピュータプログラム16011がプロセッサ1602により実行されると、
第一の通信機器のアクセス要求、及び/又は、第一のネットワークに関連する証明書の取得を要求するか又はアクセスするタイプが制限サービスであることを指示するための第一の指示情報を受信するステップと、
前記アクセス要求及び/又は第一の指示情報に基づき、第一の情報に対する要求情報を送信するステップとをさらに実現する。
【0305】
選択的に、前記第一の情報に対する要求情報は、
前記第一の通信機器のメーカー情報を要求するための第一の要求情報と、
前記第二の認証サーバのインデックス情報を要求するための第二の要求情報と、
前記第二の認証サーバのアドレス関連情報を要求するための第三の要求情報とのうちの少なくとも一つを含む。
【0306】
選択的に、コンピュータプログラム16011がプロセッサ1602により実行されると、
前記第一の通信機器が第一のネットワークの正当な機器であると決定した場合、第二の情報を送信するステップをさらに実現し、そのうち、前記第二の情報は、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第一のサーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることのうちの少なくとも一つを指示するために用いられる。
【0307】
そのうち、通信機器1600が上記方法の実施例における第三の通信機器として表されると、コンピュータプログラム16011がプロセッサ1602によって実行されると、
第三の情報を決定するステップと、
第三の情報を送信するステップとを実現させ、
そのうち、前記第三の情報は、
第二の認証サーバのインデックス情報と前記第二の認証サーバのアドレス関連情報とのマッピング情報と、
前記第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含む。
【0308】
選択的に、前述した、前記第二の認証サーバの関連情報を送信することは、
第三の条件を満たす場合、前記第二の認証サーバの関連情報を送信することを含み、
前記第三の条件は、
前記第三の通信機器と前記第二の認証サーバとが相互認証に成功したことと、
前記第三の通信機器と第一のネットワークとが相互認証に成功したこととのうちの少なくとも一つを含む。
【0309】
そのうち、通信機器1600が上記方法の実施例における第四の通信機器として表されると、コンピュータプログラム16011がプロセッサ1602によって実行されると、
第二の情報を取得するステップと、
前記第二の情報に基づき、第二の操作を実行するステップとを実現させ、
そのうち、前記第二の情報は、
第一の端末ルーティング選択ポリシーと、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる。
【0310】
選択的に、前記第二の操作は、
第一のデータチャンネルを確立する操作であって、前記第一のデータチャンネルは、前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることとのうちの少なくとも一つを満たす操作と、
第一のネットワークに関連する証明書の配置を第一のサーバに要求する操作と、
第一のネットワークに関連する証明書の配置を第二の認証サーバに要求する操作と、
アプリケーション層のターゲット第一のサーバ及び/又は証明書ダウンロードアプリケーション以外のアクセス要求又はデータ送信要求を拒否する操作と、
ターゲットが第一のサーバ及び/又は証明書ダウンロードアプリケーションであるアクセス要求又はデータ送信要求のみを許可する操作とのうちの少なくとも一つを含む。
【0311】
そのうち、通信機器1600が上記方法の実施例における第五の通信機器として表されると、コンピュータプログラム16011がプロセッサ1602によって実行されると、
第二の情報を送信するステップを実現させ、そのうち、前記第二の情報は、
第一の端末ルーティング選択ポリシーと、
デフォルトDNN情報を空に設定することと、
デフォルトスライス情報を空に設定することと、
第一のデータチャンネルの確立用の関連情報と、
第二の指示情報と、
第三の指示情報と、
第一のサーバのアドレス関連情報と、
第二の認証サーバのアドレス関連情報とのうちの少なくとも一つを含み、
そのうち、前記第一のサーバは、第一のネットワークに関連する証明書を配置できるサーバであり、
前記第一の端末ルーティング選択ポリシーは、第一のサーバ又は証明書ダウンロードアプリケーションにアクセスするために用いられ、
前記第一のデータチャンネルは、第一のネットワークにおけるデータチャンネルであり、
前記第二の指示情報は、
前記第一のデータチャンネルが第一の通信機器と第一のサーバとの間のインタラクションに用いられることと、
前記第一のデータチャンネルが第一の通信機器による第一のネットワークに関連する証明書の要求に用いられることと、
前記第一のデータチャンネルが第一の通信機器に第一のネットワークに関連する証明書を配置するために用いられることと、のうちの少なくとも一つを指示するために用いられ、
前記第三の指示情報は、制限サービスのみを許可することと、制御プレーンのみを許可することと、ユーザプレーンを許可しないことと、第一のサーバへのアクセスのみを許可することと、証明書ダウンロードアプリケーションのみを許可することと、のうちの少なくとも一つを指示するために用いられる。
【0312】
選択的に、第四の条件を満たす場合、第二の情報の関連操作の決定を実行し及び/又は第二の情報を送信し、
そのうち、前記第四の条件は、
端末が第一のネットワークの制限サービスにアクセスしたか又は端末により送信された第一の指示情報を受信したことと、
端末が初期認証に成功したと確認したか又は前記端末が前記第二の認証サーバの認証に成功したと確認したことと、
前記第一の通信機器が非なりすまし機器であると確認したことと、
前記端末が第一のネットワークの正当な機器であるか又は端末が正当な機器リストにおける通信機器であると確認したことと、
端末が前記第一のネットワークに関連する証明書の配置を許可すると確認したこととを含む。
【0313】
通信機器1600は、上記方法の実施例における通信機器により実現される各プロセスを実現することができ、説明の繰り返しを回避するために、ここでこれ以上説明しない。
【0314】
本発明の実施例は、コンピュータプログラムが記憶されたコンピュータ可読記憶媒体をさらに提供する。コンピュータプログラムがプロセッサによって実行されると、上記いずれか一つのアクセス制御方法の実施例の各プロセスを実現し、同じ技術的効果を達成することができ、説明の繰り返しを回避するために、ここでこれ以上説明しない。そのうち、前記コンピュータ可読記憶媒体は、例えば、リードオンリーメモリ(Read-Only Memory、ROM)、ランダムアクセスメモリ(Random Access Memory、RAM)、磁気ディスク又は光ディスクなどである。
【0315】
なお、本明細書において、「含む」、「包含」という用語またはその他の任意の変形は、非排他的な「含む」を意図的にカバーするものであり、それにより、一連の要素を含むプロセス、方法、物品または装置は、それらの要素を含むだけではなく、明確にリストアップされていない他の要素も含み、またはこのようなプロセス、方法、物品または装置に固有の要素も含む。それ以上の制限がない場合に、「……を1つ含む」という文章で限定された要素について、この要素を含むプロセス、方法、物品または装置には他の同じ要素も存在することが排除されるものではない。
【0316】
以上の実施の形態の記述によって、当業者であればはっきりと分かるように、上記実施例の方法は、ソフトウェアと必要な汎用ハードウェアプラットフォームの形態によって実現されてもよい。無論、ハードウェアによっても実現されるが、多くの場合、前者は、好適な実施の形態である。このような理解を踏まえて、本発明の技術案は、実質にはまたは従来の技術に寄与した部分がソフトウェア製品の形式によって表われてもよい。このコンピュータソフトウェア製品は、一つの記憶媒体(例えばROM/RAM、磁気ディスク、光ディスク)に記憶され、一台の端末(携帯電話、コンピュータ、サーバ、エアコン、またはネットワーク機器などであってもよい)に本発明の各実施例に記載の方法を実行させるための若干の指令を含む。
【0317】
以上は、添付図面を結び付けながら、本発明の実施例を記述していたが、本発明は、上述した具体的な実施の形態に限らず、上述した具体的な実施の形態は、例示的なものに過ぎず、制限性のあるものではない。当業者は、本発明による示唆を基にして、本発明の趣旨や請求項が保護する範囲から逸脱しない限り、多くの形式の変更を行うことができ、それらはいずれも本発明の保護範囲に入っている。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
Copyright © 2010-2024 Science Impact Inc. All Rights Reserved.