用于蜂窝网络中的用户设备的远程供给的方法
技术领域
本发明涉及一种用于蜂窝网络中的用户设备的远程供给的方法。
本发明还关于一种使用所述方法的蜂窝网络。本发明此外涉及蜂窝网络的基本节点。此外,本发明关于一种用于在所述蜂窝网络中操作的用户设备。
背景技术
在无线通信的领域中,到目前为止的惯例是使应该在来自已知网络运营商的指定蜂窝网络中操作的用户设备(特别地移动手机)装备用户标识卡、特别是SIM卡或UICC,插入它并且开始使用移动手机。
只要人员具有一个或仅仅一些手机,这很好地工作。在多个用户设备的情况中,此程序变得更加复杂。这特别地适用于机器类型的通信(MTC)装置,其中一组装置应该被放置在现场的某处,并且每个MTC装置应当在蜂窝网络中工作。对于那些用户设备,如果可以在工厂中预备网络订购,则将会是优选的。
同时,远程供给的概念被引入,其提供如下:用户设备附连到蜂窝网络的基本节点,并且请求完全的认证证书。这关于改变订购是特别适用的,例如在漫游的情况中,或当替换的连接(例如经由陆线因特网或经由分离的供给设备)是可用的时候。
仍一问题是当在第一次进入服务时没有有效认证证书可用的时候第一次访问的安全的难题。有效的认证证书特别是在用于相应的技术标准的3GPP标准化中所定义的那些。
如果没有这样的完全3GPP依从性认证证书的用户设备访问蜂窝网络,则这将会造成严重的安全漏洞,其可吸引攻击者在具有欺诈性意图的情况下访问网络。
特别地对于遵循现今的LTE、相应的4G技术的即将到来的技术标准——此即将到来的技术标准通常已知为5G——此主题可获得另外的牵引力,因为此标准专用于支持除了移动手机之外的不同类型的用户设备,并且具有更多得多的以装置为中心的途径。因此,没有完全3GPP依从性认证证书的用户设备的远程供给与针对MTC装置的例外相比将添补规则。
因此,本发明的目标是提出一种用于应该在蜂窝网络中操作的用户设备(特别是遵循5G技术标准的那些)的安全初始远程供给的解决方案,其具有较少的手动努力。
因此,另外的替换的和有利的解决方案在本领域中将会是合期望的。
发明内容
为此,根据本发明的第一方面提议了一种根据权利要求1的用于传输供给数据集的方法。此外,根据本发明的第二方面提议了一种根据权利要求6的用于无线通信的蜂窝网络。此外,根据本发明的第三方面提出了一种根据权利要求14的用于在蜂窝网络中操作的用户设备。
在本发明的第一方面中,提出了一种用于从由蜂窝网络可访问的远程供给服务器传输供给数据集的方法,所述蜂窝网络包括向用户设备提供访问的多个基本节点,以及包括至少两个网络切片的核心网络,所述网络切片中的至少一个包括被排他地指派给该网络切片的至少一个网络节点,其中所述网络切片中的至少一个专用于操作预定义类的用户设备,并且至少一个远程供给网络切片包括给予对远程供给服务器的访问的所指派的网络节点,并且至少一个基本节点被指派给远程供给网络切片,所述方法包括如下步骤:
-在所述基本节点处从用户设备接收附连请求,所述附连请求包括初始装置标识符作为认证证书,所述初始装置标识符不同于将用于附连到被指派给与远程供给网络切片不同的网络切片的基本节点的认证证书,
-在所述基本节点处从所述用户设备接收远程供给请求,
-借助于远程供给网络切片而将所述远程供给请求转发到远程供给服务器,
-在与初始装置标识符匹配的用户设备标识符对于远程供给服务器而言可访问的情况中,利用从远程供给服务器所接收的供给数据集而对用户设备进行响应。
本发明基于即将到来的蜂窝技术标准5G的概念,其中在网络架构中引入网络切片。网络切片是虚拟或真实的硬件层,其专用于某个任务并且与其它装置不同地被组织,以便减小业务负载对其它网络切片的影响。
据此,支持5G的蜂窝网络的核心网络包括至少两个网络切片。优选地,存在专用于某些类型的用户设备、相应地装置或终端、特别是移动手机、大规模MTC、低带宽MTC和超高可靠MTC装置的网络切片。但是还存在如下途径:所述途径指定这样的网络切片用于除了仅仅预留某个装置类型之外的其它目的。
因而,MTC用户设备变得更加普遍,特别是关于用户设备的订购的部署的组织随着增长的数目的用户设备而变得更加复杂。
发明方法因此专用于实施认证证书的远程供给以用于在不具有其它可用连接的用户设备上访问蜂窝网络。
因此,提议核心网络包括远程供给网络切片。这样的远程供给网络切片包括多个网络节点,所述网络节点排他地专用于此网络切片,那意味着不与其它网络切片共享。
特别地,对于远程供给服务器的访问点优选排他的用于远程供给网络切片。此访问点是提供对远程供给服务器的访问的网络节点,而无论远程供给服务器位于何处。由于可能远程供给服务器正服务国家或甚至各个国家中的各种蜂窝网络,因此远程供给服务器在那些情况中不是蜂窝网络的一部分,并且因此不是网络切片的一部分。
然而,在更简单的途径中,当远程供给服务器被并入在蜂窝网络的核心网络中的时候,有利的是还将远程供给服务器放置在远程供给网络切片中。此组织对于RAN(无线电接入网络)而言是透明的,只要远程供给网络切片的一个访问点是可用的即可。
另外,远程供给网络切片的特征在于它已经指派了多个基本节点。形成对于所服务的用户设备的RAN接口的这样的基本节点然后被允许检索远程供给请求并且提供到远程供给网络切片的直接链路。另外,存在蜂窝网络的、不被指派到远程供给网络切片的其它基本节点。此途径增加网络的稳定、安全和完整。
被指派到远程供给网络切片的基本节点优选地还连接到至少一个其它网络切片,以便服务所供给的用户设备(中的多数)。
被指派到远程供给网络切片的基本节点特别地由特殊能力所限定,因为它允许没有完全3GPP依从性认证证书的用户设备的临时安顿(camping)。这是有用的,因为请求远程供给的用户设备事实上尚未得到认证证书。尽管如此,存在对于安全措施的需要,以便不允许每一个和任何用户设备附连到基本节点,并且因此实施对服务的拒绝或其它类型的攻击。
因此,所述方法开始于基本节点从没有有效订购的用户设备接收附连请求。这样的附连请求包括初始装置标识符,而不是常规的认证证书。其它认证证书优选不是附连请求的一部分。
这样的初始装置标识符不同于3GPP依从性认证证书,所述3GPP依从性认证证书用于附连到被指派给与远程供给网络切片不同的网络切片的基本节点。那意味着,利用这些初始装置标识符,用户设备将不会被接受用于进行正常服务。
初始装置标识符特别地已经在工厂中被部署在用户设备中,并且被存储在用户设备的安全存储器中。所部署的初始装置标识符从工厂中与如下权限相交换:所述权限确保对应的标识符被添加到对于远程供给服务器而言可访问的供给数据库。
优选地,基本节点利用初始装置标识符来实施安全检查。一种简单的途径是检查初始装置标识符的格式。另一途径将会是利用其它网络节点、比如MME、HSS/HLR或类似的网络节点、相应地将被设计用于5G依从性网络的服务器来进行检查。这将会意味着供给数据库还与蜂窝网络HLR数据库同步。此途径增加了安全,但是也增加等待时间和组织的努力。
在任何情况中,当用户设备发送包括初始装置标识符的附连请求的时候,发明方法对于附加的安全措施而言是透明的。
接收了附连请求的基本节点在成功地检查了初始装置标识符之后发送响应,其指示对于附连请求的认可消息。优选地,此认可消息包括针对用户设备的附加信息,其对于然后所预期的远程供给请求而言是有用的。
这特别地包括网络资源,比如用于远程供给请求的RACH(随机访问信道)资源,和/或远程供给服务器的地址。在LTE中引入RACH程序,以用于用户设备对基本节点的初始访问,其使用特殊的所分配的上行链路资源。
在特定实施例中,附连请求已经包括远程供给请求,并且仅仅在附连请求被基本节点认可的时候被处置。
因此,基本节点特别地响应于认可消息来从所述用户设备接收远程供给请求。
用户设备被允许附连仅用于进行远程供给,那意味着所有其它的请求将不会被处置。
当在基本节点处接收到远程供给请求的时候,它被直接转发到远程供给网络切片,并且从那里被转发到远程供给服务器。这是有利的,因为通过这样做,所有其它的蜂窝网络资源(特别是网络切片)在负载方面和在完整方面都不被影响。
远程供给请求还包括初始装置标识符。
在远程供给服务器处,在接收到所转发的远程供给请求之后,然后检查:匹配的用户设备标识符是否在可访问的供给数据库中找到。
如果是这样,则远程供给服务器创建并且转发供给数据集,其包括常规的认证证书,对蜂窝网络的然后被激活的订购补充。
此供给数据集通过远程供给网络切片被转发到基本节点,所述基本节点利用供给数据集而对用户设备远程供给请求进行响应。
优选地,所述方法此外包括如下步骤:从用户设备接收消息,所述消息指示对所提供的供给数据集的成功处理,并且将所述消息转发到远程供给服务器以用于解激活在远程供给服务器中所存储的用户设备标识符。
于是,用户设备向蜂窝网络指示:它成功地安装了供给数据集,并且还激活了装置侧上的订购。因此,远程供给服务器可以解激活或删除与初始装置标识符相匹配的用户设备标识符,以便防止另一用户设备再次利用相同的初始装置标识符来请求远程供给。
另一方面,在远程供给失败的情况中,存在允许用户设备重试的需要。这是有利的,因为否则一次失败将会要求重要的手动交互。
在高级实施例中,所建议的是与用户设备的附连在成功为用户设备供给了供给数据集之后终止。
此实施例确保基本节点在成功供给之后不继续通过受限的临时安顿而附连到基本节点,所述受限的临时安顿仅仅被允许用于远程供给。替代地,正常的小区选择方法应当适用。因此,附连终止,并且用户设备应当重新附连,现在利用所接收的常规认证证书。
特别可能的是用户设备附连到相同的基本节点或到另一个。这是由于以下事实所致:即不是所有基本节点都能够处置远程供给请求,那意味着被指派到蜂窝网络的远程供给网络切片。
因此,用户设备初始可能没有尝试从检索到最强无线电信号的地方附连到基本节点,因为它是根据正常的小区选择程序。在被完全供给之后,此限制不保持,并且小区选择遵循常规过程,所述常规过程应该选择最强可接收小区。
在另一优选实施例中为被指派到远程供给网络切片的基本节点所提出的是如下步骤:广播信息元素,其指示支持远程供给的能力。
从能够远程供给的基本节点的这样的广播特别地作为系统信息(例如SIB)的一部分而被实施。所述信息元素向愿意附连到基本节点以用于远程供给的用户设备告知:a)基本节点的蜂窝网络能够执行远程供给,并且b)基本节点准备好这样做。
因此,用户设备可以附连到此基本节点,并且继续用于远程供给的程序。
在另一优选实施例中,所提出的是:至少一个第二基本节点仅仅被指派到与远程供给网络切片不同的至少一个网络切片,其针对所述第二基本节点而包括如下步骤:广播指示到能够支持远程供给的另一基本节点的信息元素。
此实施例涉及所述蜂窝网络的不能够远程供给的基本节点。这是由于以下事实所致:它们没有被指派到远程供给网络切片,而是仅仅被指派到至少一个其它切片。
为了加速用于用户设备的附连过程,基本节点广播信息元素,所述信息元素指示:至少哪一个邻近的基本节点能够实施远程供给。这向用户设备告知:a)基本节点的蜂窝网络能够执行远程供给,并且b)用户设备可以附连到哪个基本节点以用于实施远程供给。
变得清楚的是:发明方法及其实施例满足所设想的目标并且允许用于被放置在现场而没有任何其它连接手段的用户设备的远程供给方法。
根据本发明的第二方面,提出了一种用于无线通信的蜂窝网络,其包括多个基本节点和至少两个网络切片,所述网络切片中的至少一个包括被排他地指派给该网络切片的至少一个网络节点,其中所述网络切片中的至少一个专用于操作预定义类的用户设备,并且至少一个远程供给网络切片包括给予对远程供给服务器的访问的所指派的网络节点,并且至少一个基本节点被指派给远程供给网络切片,其中在所述所指派的基本节点处从用户设备接受远程供给请求时,所述远程供给请求包括初始装置标识符,所述蜂窝网络被配置用于:
-借助于远程供给网络切片而将远程供给请求转发到远程供给服务器,
-在远程供给服务器中所存储的用户设备标识符与初始装置标识符匹配的情况中,借助于所述基本节点、利用从远程供给服务器所接收的供给数据集而对用户设备进行响应。
这方面共享所述第一方面的优点。
蜂窝网络至少包括核心网络和无线电接入网络(RAN),所述核心网络由多个网络切片组成,所述无线电接入网络(RAN)包括多个基本节点。多个网络节点(特别是服务器、路由器、集线器)完全或部分地被预留给网络切片。至少一个切片专用于远程供给,其是远程供给网络切片。基本节点的子集被指派给远程供给网络切片,所述远程供给网络切片直接被连接而不影响其它网络切片。其它网络切片映射到某些空中资源或装置类型。
基本节点(特别是eNodeB)是RAN入口点。基本节点包括用于无线地传输数据包的通信电路,以及接收电路。通常,两个电路被实现在收发器中,所述收发器被配置成管理两个操作。用于无线传输的电路和接收电路两者被连接到天线,并且通常提供另外的元件,至少用于处置请求并且控制通信电路的处理电路。
优选地,远程供给请求是RACH请求,其包括如下指示:所述指示对所述RACH请求针对远程供给进行指示。特别地,RACH请求在RACH资源上被实施,所述RACH资源由基本节点响应于附连请求、相应地通过广播而指示给用户设备。当RACH请求使用这样的RACH资源的时候,蜂窝网络知道远程供给网络切片将被用于处置请求。
优选地,从远程供给网络切片到远程供给网络切片外部的实体和所指派的基本节点的访问被限制到远程供给服务器。
利用该实施例,确保了没有在远程供给网络切片外部的访问是可能的,也就是说,仅仅可以访问RPS。需要这样的清楚的区别,因为来自根据认证证书并非完全合格的用户设备的请求具有对远程供给网络切片的访问,但是在欺诈性攻击的情况中,蜂窝网络中没有其它部分应当被影响。
优选地,远程供给网络切片仅仅包括控制平面(CP)网络节点,但是没有用户平面(UP)网络节点。后者将会允许对远程服务器(特别是因特网)的访问,并且优选地在此网络切片中被抑制。
根据优选的实施例,所提出的是远程供给网络切片包括至少一个网络节点,所述至少一个网络节点在所述蜂窝网络和至少一个其它蜂窝网络之间共享,并且所述远程供给服务器借助于所述网络节点而对于两个蜂窝网络而言是可访问的。
利用此实施例,预见的是在来自不同运营商的蜂窝网络之间共享远程供给服务器。这简化了针对各方(all parties)的处置,因为仅一个RPS需要被维护。此实施例还可以通过不同的远程供给服务器来被实现,所述远程供给服务器访问公共远程供给数据库、至少是包括用户设备标识符以便找到请求的用户设备的合格性的数据库。利用常见的数据库架构技术(比如复制、遮蔽和负载平衡),这样的途径在没有不恰当的延迟的情况下实施是可能的。
作为根据本发明的第二方面的蜂窝网络的一部分,预见两种类型的基本节点。
根据第一实施例,蜂窝网络的基本节点,其中所述基本节点被配置成访问远程供给网络切片以用于供给用户设备,并且操作利用初始装置标识符来请求访问的用户设备,此外被配置成广播信息元素,所述信息元素包括关于基本节点是否能够支持远程供给的指示。
优选地,能够远程供给的这些基本节点应当提供广域覆盖,以便确保来自所有网络覆盖区域的用户设备(特别是静止的一些)可以执行远程供给程序。
根据第二实施例,蜂窝网络的基本节点被配置成在所述基本节点不能够支持远程供给的情况中广播信息元素,所述信息元素包括指示到能够支持远程供给的第二基本节点的指示。
第一基本节点能够支持远程供给,而第二个不能。因此,第一基本节点被指派到远程供给网络切片,并且因此广播对此情形进行指示的信息元素。
第二基本节点因此广播与无能力实施远程供给有关的信息,其优选地借助于发送哪个基本节点能够远程供给的指示。
在两个情况中,所述信息元素优选地作为系统信息元素的一部分而被广播,所述系统信息元素特别是专用于请求认证证书的用户设备的系统信息元素。
在另一优选实施例中,所提出的是所述基本节点此外被配置成利用系统信息块来广播供给阻拦指示,其指示:阻拦针对远程供给请求进行请求的用户设备访问蜂窝网络。
利用此实施例,蜂窝网络能够借助于——至少暂时地——将还没有常规3GPP认证证书的用户设备保持在蜂窝网络之外来获得其稳定。
利用指示,其优选地作为是SIB的一部分的系统信息元素的一部分,对这样的用户设备的阻拦被通告给潜在地进行请求的用户设备。此外,基本节点不接受来自这样的用户设备的附连请求,所述附连请求可能尽管有阻拦指示却被接收。
在高业务量或完整性、相应地稳定性问题的时候,此实施例允许蜂窝网络保持网络避开不是完全有资格作为已知、已订购用户并且因此具有在被服务方面的较低优先级的用户设备。
优选地,此阻拦是按时间的阻拦,其包括这样的阻拦何时终止的指示。这对于使蜂窝网络仅仅在晚上允许这样的MTC装置的远程供给而言是有利的。然后,阻拦将会在该天期间被广播,其指示:例如从1 a.m.开始,远程供给再次是可能的。
根据本发明的第三方面,提出了一种用于在根据本发明第二方面的蜂窝网络中操作的用户设备,其包括存储器,其中存储了初始装置标识符,所述初始装置标识符不同于用于向蜂窝网络基本节点的不受限访问的认证证书,所述用户设备此外包括用于存储认证证书的安全存储器元件,所述用户设备被配置用于:
-从蜂窝网络的基本节点接收至少一个被广播的信息元素,
-在所述信息元素指示支持远程供给的能力的情况中,附连到所述基本节点并且发送包括所述初始装置标识符的远程供给请求,
-在从基本节点接收到供给数据集时,在所述安全存储器中安装从所述供给数据集导出的认证证书。
本发明的这方面共享先前各方面的优点。它涉及用户设备侧,针对还没有被供给有常规3GPP认证证书的用户设备。它涵盖这样的用户设备如何与根据第二方面的蜂窝网络交互。
用户设备特别地是一种终端设备,其具有处理电路、存储器、以及用于无线地传输数据包的发射电路,和接收电路。通常,两个电路被实现在收发器中,所述收发器被配置成管理两个操作。用于无线地传输的电路以及接收电路两者被连接到天线并且通常提供另外的元件。这样的电路受所述至少一个处理电路控制。发射和接收电路(特别是基带芯片、高频无线电和至少一个天线)被配置成与蜂窝网络的基本节点通信。
用户设备提供安全存储器,其中它能够部署来自所接收的供给数据集的订购信息。这样的安全存储器特别是UICC,要么可移动要么是固定的。其它类型的安全存储器也是可能的。此外,用户设备已经在另一存储器中或在所述安全存储器中存储了初始装置标识符。这优选地在工厂中被实施,就像针对IMEI的情况那样。
首先,用户设备在开启之后扫描所支持的频带以用于找到来自邻近的基本节点的信号。在某个信号强度值以上所找到的基本节点被收集并且以使信号强度下降的次序来被分析。
用户设备被配置成对来自它应该与之操作的所标识的基本节点的被广播的信息元素进行解码,这在与所述基本节点进行同步之后。响应于该广播接收,当基本节点满足某些准则(特别是支持适当技术)的时候,用户设备优选地尝试附连到基本节点。
优选地,用户设备被配置成在所接收的信息元素指示能够支持远程供给的第二基本节点的情况中附连到所述第二基本节点。
特别地,当最强可接收基本节点不能够支持远程供给的时候,用户设备可以响应于这样的被广播的信息元素而仅选择能够的基本节点,即使它不是最强基本节点。
在另一优选实施例中,用户设备此外被配置成在所述所接收的信息元素指示远程供给能力的不可用的情况中将用于远程供给的所述蜂窝网络列入黑名单,并且搜索另一蜂窝网络的基本节点。
对于基本节点是完全不支持远程供给的蜂窝网络的一部分的情况,还预见的是作为系统信息广播的一部分而提交关于此情形的指示。
当用户设备与此基本节点同步并且接收这样的信息元素的时候,它知道此蜂窝网络的基本节点对于更远程的供给而言将没有帮助并且因此可以被列入黑名单。那简化了找到适当的基本节点以用于被供给的另外的程序。
在成功地附连到能够远程供给的基本节点之后,用户设备发送包括初始装置标识符的远程供给请求。优选地,响应于附连请求,远程供给请求在基本节点所指示的RACH资源上被发送。
当远程供给请求成功的时候,用户设备接收供给数据集并且在所述安全存储器中安装认证证书,所述认证证书随供给数据集被递送。这样的认证证书特别地包括IMSI、MSISDN和/或加密密钥。
优选地,在成功安装之后,被存储在用户设备中的初始装置标识符被删除、相应地被解激活。此外,消息被发送到基本节点,其指示成功安装,以用于允许远程供给服务器解激活所存储的补充用户设备标识符。
有利地,用户设备此外被配置成在成功地安装了认证证书之后终止附连,并且借助于所述认证证书而附连到被指派给与远程供给网络切片不同的网络切片的蜂窝网络的基本节点。
如可以看到的,用于常规操作的基本节点可以不同于被选择用于远程供给的基本节点,因为不仅选择具有最佳信号强度的基本节点,而且所述基本节点需要能够支持远程供给。
如所示出的,本发明有利地解决所描绘的问题并且提供用于在现场部署多个用户设备的可靠解决方案,其可关注通过自己而被成功供给。为此目的而提议的网络架构平滑地适合于5G的以任何方式所设想的网络架构概念中,并且支持蜂窝网络的安全且可靠的操作,尽管没有3GPP认证证书的用户设备应该被服务。
附图说明
以下描述和附图详细地阐明了某些说明性方面,并且指示其中可以采用实施例的原理的各种方式中的仅一些。当阅读作为说明性但是非限制性的示例给出的有利实施例的以下描述和附图的时候,本发明的特性和优点将显现。
图1表示本发明作为实施例被应用到的类型的蜂窝网络的示意图;
图2示出了发明方法的示例性实施例的流程图。
图1示意性地示出了本发明作为实施例被应用到的类型的蜂窝网络1。蜂窝网络是根据超前5G标准的用于无线通信的网络。一般而言,蜂窝网络包括核心网络部分和无线电接入网络(RAN)部分,所述核心网络部分包括一对网络节点5、7,所述无线电接入网络(RAN)部分包括RAN入口点4、比如基站、nodeB、相应地eNodeB,以及控制RAN入口点的一些网络部件、比如MME等等。在下文中,在不限制范围的情况下,这样的RAN入口点出于简明的原因而作为基本节点4被寻址。基本节点形成用于用户设备3的空中接口,所述用户设备3是应该在蜂窝网络中操作并且执行比如语音呼叫、数据连接等等之类的通信任务的无线装置。
随着5G的推进,引入了网络组织的新概念,其基于网络切片2。这样的网络切片是专用于某个任务、特别地用于服务某些类型的用户设备3和/或某些服务的虚拟或真实网络部件层。该概念预见分离蜂窝网络的部分并且允许以那样的方式来装备它们使得它们最佳地适合于它们应当实现的目的。
在示例中,示出用于通用访问的两个网络切片2.1,另外存在网络切片2.2用于具有高可靠要求的使用设备,并且存在网络切片2.3用于大规模机器类型的通信(MTC)装置。显而易见的是,正常的移动手机与高可靠装置或MTC装置(特别是静止的一个)相比具有朝向蜂窝网络的其它要求。
因此,网络部件中的一些(特别是基本节点4、内部网络节点7和外部网络节点5)专用于仅仅一个网络切片,其中的一些在它们之间共享。此外,网络切片之间的接口被清楚地限定并且可以受限。
此布局允许每个种类的网络切片有不同的结构而不影响其它网络切片。
根据本发明,蜂窝网络具有一个附加的网络切片,其是远程供给网络切片2.4。此远程供给网络切片2.4具有用于不同类型的用户设备的任务,以允许实施远程供给。
远程供给是如下程序:利用该程序,在利用蜂窝网络的操作期间的用户设备——特别地在空中——得以下载用于访问蜂窝网络的认证证书。
用户设备然后将会更新订户标识模块(SIM)卡或UICC(通用集成电路卡)或用户设备中任何其它的安全存储器,其专用于安全地持有网络运营商所指派的认证证书。
通常,对于被置于现场中而没有有效认证证书的用户设备而言,使用蜂窝网络以用于远程供给是成问题的。原因是,它将会是安全漏洞,如果用户设备可以在没有有效认证证书的情况下能访问蜂窝网络的话。
为了该目的,现在引入远程供给网络切片2.4。相比于其它网络切片,此网络切片通过至少如下特性来被限定:
-网络切片具有对远程供给服务器6(RPS)的访问;
-网络切片具有所指派的基本节点4,其允许从没有完全有效的3GPP依从性认证证书的用户设备的访问。
远程供给网络切片2.4因此是由用户设备访问以用于得到有效认证证书的网络切片。通常,它将是用于被用户设备访问的第一切片。
被指派到远程供给网络切片的基本节点4广播信息元素,其指示它能够向附连到基本节点的用户设备3提供远程供给服务。优选地,这样的信息元素被提供系统信息块(SIB)。
如果基本节点4不被指派到远程供给网络切片2.4,则优选地基本节点利用SIB来广播另一指示,其向用户设备告知关于无能力提供远程供给服务。
在从基本节点接收到具有用户设备可以提供远程供给服务的指示的广播之后,寻求供给的用户设备附连到所指定的基本节点。
此处,用户设备的行为由预供给的用户设备的正常行为来导出。通常,具有最佳适合性准则的基本节点将会被选择用于附连。现在首先检查基本节点是否提供必要的远程供给服务,或换言之被指派到远程供给网络切片。
此附连程序包括:用户设备提供其初始装置标识符。此初始装置标识符特别地被存储在用户设备的存储器中。
基本节点4然后检查初始装置标识符的有效性,这通过自身或利用对其它网络节点(比如MME、HSS等等)的访问。
在成功附连到基本节点4之后,用户设备3仅仅被允许实施一个服务请求,其是远程供给请求。
优选地,能够远程供给的基本节点4向用户设备提供关于发送RPS请求的方式的指示。这尤其意指某些指定的RACH资源用于远程供给请求。这样的指示优选地利用SIB的广播或利用对附连请求的响应来被完成。
通过使用所指定的RACH资源,基本节点直接知道来自用户设备3的请求是远程供给请求,并且它将被转发到远程供给网络切片。这是有利的,因为在没有网络部件的大的分析任务的情况下,远程供给请求将不影响其它网络切片。
因此,远程供给请求借助于属于控制平面的网络部件7而被转发到远程供给服务器6。
受影响的网络部件特别地被排他地指派到远程供给网络切片。因此,防止对其它网络切片、相应地部件的任何影响。
远程供给服务器6在本实施例中被示出为远程供给网络切片2.4的一部分。不一定是这种情况,它还可以被定位在蜂窝网络1的外部,并且甚至可以由其它运营商的蜂窝网络来使用。至少在此情况中,向RPS提供访问的内部网络部件7将会是远程供给网络切片2.4的排他部分。
当远程供给服务器6接收到远程供给请求的时候,它优选地利用对于RPS而言可访问的供给数据库来检查所提供的初始装置标识符。优选的是RPS持有其供给数据库,但是共享的数据库也可以是优选的。RPS需要找到与初始装置标识符匹配的用户设备标识符,并且在那个情况中提供供给数据集,所述供给数据集包括完全3GPP依从性认证证书以用于下载到用户设备。
优选地,在RPS和用户设备之间使用两个对称密钥,以用于检查得到有效认证证书的合格性。在最简单明了的实施例中,初始装置标识符和用户设备标识符完全互补。
下载优选地如它对于远程供给所已知的那样被实施,用户设备因此接收供给数据集并且在其UICC或以其它方式安全的存储器中安装订购,并且因而激活新的订购。
当这被实施的时候,用户设备优选地向基本节点发送关于供给数据集的成功处理的指示,所述基本节点将此消息转发到RPS。最后,对于RPS而言可访问的用户设备标识符然后被删除、相应地解激活,以便确保:没有其它具有相同匹配的初始装置标识符的用户设备可以实施远程供给。
为了防护交易安全,在发送供给数据集之后,实施对用户设备标识符的第一阻挡。当用户设备发送告知关于没有成功激活的NACK消息的时候,此阻挡可以被释放。
在该情况中,RPS将会需要向蜂窝网络告知关于所传输的供给数据集的无效性。优选地,此供给数据集(特别是所包括的IMSI)被丢弃。
此外,当供给成功的时候,用户设备还优选地删除、相应地解激活初始装置标识符。
在此成功的供给之后,用户设备丢失其与基本节点的附连,并且现在将会需要根据正常的适合性准则、并且借助于所下载的认证证书来再次附连到基本节点。
可以是如下情况:即用户设备附连到与先前相同的基本节点4,如果所述基本节点能够访问与远程供给网络切片不同的其它网络切片的话。如它在图中所示出的,在供给之后的用户设备被示为填充的圆圈或框(其指示不同类型的装置),并且然后将会(虚线箭头)从不同的网络切片2.2、2.3被处置,其中相应的基本节点4被指派到这些网络切片。
在图2的示例性实施例中示出从用户设备的视角的详细过程流。
它在步骤S1中以用户设备(UE)置于现场中而没有3GPP认证证书来开始。这样的用户设备一般没有资格向蜂窝网络注册以用于实施任何服务。
在任何情况中,用户设备需要算出在附近是否存在受用户设备支持的技术标准的任何基本节点。为了这样做,它在步骤S2中实施它可以寻址的频率区域上的射频(RF)扫描,以便找到小区、相应地基本节点的信号。此步骤的结果通常是所找到的基本节点的列表,其具有关于所接收的信号的强度的指示和/或描绘利用此基本节点的服务的品质的任何其它指示符。
根据标准,通常的方式是首先与最强基本节点同步。因此,在步骤S3中,用户设备与具有最佳信号强度的基本节点同步,并且读取由基本节点所广播的系统信息。为此目的,附连到基本节点是不必要的。系统信息除了其它之外包括与网络运营商有关的信息等等。根据本发明的实施例,信息元素还包括关于用于实施远程供给的能力的指示。此信息包括两个部分:第一即基本节点所属的蜂窝网络能够进行远程供给,并且第二即当前基本节点是否是用于这样做的恰当基本节点。优选地,两个信息被编码在单独的信息元素中。
因此,用户设备在步骤S4中检查在当前同步的基本节点的所广播的系统信息中是否存在蜂窝网络的这样的远程供给指示。
如果不是这种情况,则过程流分支到步骤S6,其中从步骤S2中所创建的列表中选择下一个最强基本节点,并且操作返回到步骤S4。优选地,此选择影响来自另一蜂窝网络的基本节点。如果这样的信息不可用,则过程在步骤S4和S6之间继续,直到找到支持远程供给的另一蜂窝网络的基本节点为止。
如果是那种情况,则过程流分支到步骤S5。此处,现在检查基本节点是否能够接受远程供给请求,那意味着所述基本节点被指派到它所属的蜂窝网络的远程供给网络切片。
根据本发明的优选实施例,支持远程供给的蜂窝网络的基本节点在任何情况中广播如下两个信息之一:基本节点本身能够远程供给,或关于能够远程供给的近旁基本节点的指示。
在步骤S5中检查为当前基本节点找到了这些信息中的哪一个。在基本节点本身能够的情况中,过程流分支到步骤S8,否则它分支到步骤S7。
在步骤S7中,用户设备遵循当前基本节点的广播的推荐,并且与所指示的基本节点同步。在此情况中,来自步骤S2的基本节点的列表不再被考虑。此步骤提供:基本节点的技术和(多个)带受用户设备支持,这对于仅仅支持低带宽的低成本用户设备而言可能特别成问题。如果此处解决不了这个,则程序步骤将会需要在步骤S6中继续进行(未示出)。
此处,用户设备能够与基本节点同步,并且因而已经最终找到能够实施远程供给的基本节点。因此,过程流还分支回到到步骤S8。步骤S8假定用户设备成功地标识了能够用于实施远程供给的基本节点。因此,用户设备附连到所选的基本节点。
这是特殊的情形,因为这是没有常见3GPP认证证书的附连操作,所述3GPP认证证书在用户设备中还不可用。因此,用户设备提供它在前面(例如在工厂中)所接收的初始装置标识符,并且基本节点有能力检查这样的初始装置标识符是否有资格访问蜂窝网络。这优选地通过利用其它网络节点、比如MME、HSS(或具有相当功能的5G中网络节点)进行检查来完成,如果初始装置标识符被允许的话。更简单的解决方案将会是检查用于此目的的初始装置标识符的格式,并且然后在远程供给服务器中检查初始装置标识符的合格性。
优选地,作为来自基本节点的响应,用户设备在步骤S9中接收用于进行远程供给的参数。这些RPS参数尤其包括远程供给服务器(RPS)和/或空中接口资源的地址,所述空中接口资源特别是专用于来自用户设备的RPS请求的RACH资源。
因此,用户设备能够开始远程供给,这在步骤S10中利用RPS请求、通过使用来自先前步骤的所指派的RACH资源来完成。RPS请求至少包括初始装置标识符。
基本节点因此接受此请求,并且由于用户设备附有初始装置标识符并且使用专用的RACH资源而知道所述请求仅仅可以被转发到所指派的远程供给网络切片。那里,RPS被寻址,并且在本地可用的供给数据库中检查匹配的用户设备标识符是否可用。在最简单的情况中,这是等同的或至少包括初始装置标识符。
如果找到匹配的用户设备标识符,则RPS创建供给数据集,其具有常规3GPP认证证书,所述3GPP认证证书表示蜂窝网络中的订购。此供给数据集经由远程供给网络切片和基本节点而被返回到用户设备。
如果没有找到匹配的用户设备标识符,则返回消息,其指示没有远程供给的确认。
在用户设备侧上,因此在步骤S11中检查远程供给是否成功,其意味着,在供给数据集的情况下是否检索到有效的3GPP认证证书。如果是这样,则此供给数据集被安装在本地安全存储器(特别是UICC、MIM或其它安全存储器)中。
如果RPS发送NACK,则基本节点将会优选地利用相应的消息来告知用户设备,并且然后结束附连操作。用户设备然后将不得不再次分支到步骤S6,并且从另一蜂窝网络中找到另一基本节点,以便继续找到远程供给机会。
否则,用户设备分支到步骤S12,并且还结束当前附连操作,以便再次附连到在所安装的认证证书中所描绘的蜂窝网络的这个或另一适当基本节点。现在,用户设备利用蜂窝网络而完全操作,并且取决于用户设备和/或服务的类型,它将被指派到与远程供给网络切片不同的另一网络切片。
此过程流已经从用户设备的视角示出了本发明如何通过维持蜂窝网络的稳定来解决没有完全证书的用户设备接收远程供给的情形。
在以上详细描述中,参考了附图,所述附图作为说明而示出了其中可以实践本发明的特定实施例。充分详细地描述了这些实施例以使得本领域技术人员能够实践本发明。要理解的是,本发明的各种实施例,尽管不同,但不一定是互斥的。例如,本文中结合一个实施例描述的特定特征、结构或特性可以在其它实施例内被实现,而不偏离本发明的范围。另外,要理解的是,在每个所公开的实施例内的单个元件的位置或布置可以被修改,而不偏离本发明的范围。因此,以上详细描述不要以限制性意义来被理解,并且本发明的范围仅仅由所附权利要求来被限定、连同权利要求被赋予的等同物的完整范围一起被适当地解释。