CN110786034B - 用于网络切片隐私考虑的方法、用户设备和功能节点 - Google Patents
用于网络切片隐私考虑的方法、用户设备和功能节点 Download PDFInfo
- Publication number
- CN110786034B CN110786034B CN201880042143.5A CN201880042143A CN110786034B CN 110786034 B CN110786034 B CN 110786034B CN 201880042143 A CN201880042143 A CN 201880042143A CN 110786034 B CN110786034 B CN 110786034B
- Authority
- CN
- China
- Prior art keywords
- network
- network slice
- information
- nsai
- privacy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 68
- 230000000737 periodic effect Effects 0.000 claims description 7
- 230000011664 signaling Effects 0.000 description 30
- 238000004891 communication Methods 0.000 description 26
- 230000004044 response Effects 0.000 description 25
- 230000006870 function Effects 0.000 description 18
- 230000005540 biological transmission Effects 0.000 description 14
- 238000012546 transfer Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 11
- 238000007726 management method Methods 0.000 description 10
- 238000010295 mobile communication Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 7
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000013523 data management Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012384 transportation and delivery Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/73—Access point logical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种用户设备,其通过使用对网络进行逻辑划分所获得的网络切片来与核心网络节点进行通信,所述用户设备包括:用于发送与一个网络切片的安全相关的信息的部件;以及用于基于以安全方式发送信息的请求来以安全方式发送所述一个网络切片的身份信息的部件,所述请求是基于所发送的信息而从所述核心网络节点发送来的。
Description
技术领域
本发明涉及通信系统。特别地但不排他地,本发明与根据第三代合作伙伴计划(3GPP)标准或其等同项或衍生项而工作的无线通信系统及其装置相关。特别地但不排他地,本发明与所谓的“下一代”系统中的网络切片隐私相关。
背景技术
3GPP一直致力于下一代(5G)移动网络的系统架构。主要关键问题之一是允许网络切片,网络切片使得运营商能够创建被定制用于为要求不同需求的不同市场情况提供优化解决方案的网络。实际上,各网络切片是逻辑上分开的网络,其中该网络切片的资源(例如,处理、存储和/或网络化资源)是孤立的。
在非专利文献1中已经商定以下网络切片定义和原理(按非字母顺序列出):
S-NSSAI-S-NSSAI(单个网络切片选择辅助信息)标识网络切片。
S-NSSAI包括:
-切片/服务类型(SST),它是指在特征和服务方面的预期网络切片行为;
-切片区分符(SD),它是补充切片/服务类型的可选信息,用于允许进一步区分,以从都符合所指示的切片/服务类型的潜在多个网络切片实例中选择网络切片实例。该信息被称为SD。
S-NSSAI范围-S-NSSAI可以具有标准值或公共陆地移动网络(PLMN)特定值。具有PLMN特定值的S-NSSAI与分配该值的PLMN的PLMN ID相关联。S-NSSAI将不在除与该S-NSSAI相关联的PLMN外的任何PLMN的接入层过程中被UE使用。
NSSAI-网络切片选择辅助信息是S-NSSAI的集合。
允许NSSAI-服务PLMN在例如登记过程期间提供的NSSAI,其指示对于当前登记区域的服务PLMN中的用户设备(UE)的被网络允许的NSSAI。对于各PLMN,UE将存储配置NSSAI和允许NSSAI(如果有的话)。在UE接收到针对PLMN的允许NSSAI的情况下,UE将存储允许NSSAI并覆盖先前存储的针对该PLMN的允许NSSAI。
配置NSSAI-UE中已提供的NSSAI。UE可以由家庭公共陆地移动网络(HPLMN)配置针对各PLMN的配置NSSAI。配置NSSAI可以是PLMN特定的,并且HPLMN指示各配置NSSAI适用于哪个(些)PLMN,包括配置NSSAI是否适用于所有的PLMN,即无论UE正在接入哪个PLMN,配置NSSAI传送相同的信息(例如,这可以用于仅包含标准化S-NSSAI的NSSAI)。
请求NSSAI-可以是:
-配置NSSAI或如下文所述的其子集(如果UE针对当前PLMN不具有允许NSSAI的话);或者
-允许NSSAI或如下文所述的其子集(如果UE针对当前PLMN具有允许NSSAI的话);或者
-允许NSSAI或如下文所述的其子集,加上来自配置NSSAI的一个或多个S-NSSAI,其中针对所述一个或多个S-NSSAI在允许NSSAI中不存在相应S-NSSAI并且所述一个或多个S-NSSA针对当前跟踪区域先前未被网络永久拒绝(如下文定义)。
网络切片-提供特定网络能力和网络特征的逻辑网络。
网络切片实例-形成部署网络切片的网络功能实例和所需资源(例如,计算、存储和网络资源)的集合。
NSSP-网络切片选择策略。网络运营商可以向UE提供NSSP。NSSP包括一个或多个NSSP规则,各规则将应用与特定S-NSSAI相关联。
初始登记-处于RM-DEREGISTERED(RM注销)状态的UE登记。
3GPP工作组SA3和SA2最近讨论的另一网络切片特征是关于UE登记和网络切片选择信息的隐私。SA3已经得出结论:所有非接入层(NAS)消息(包括初始登记和随后的消息)都应始终受到完整性保护。除了与未经认证的紧急服务相关的NAS消息之外,唯一可能的例外是在UE中无有效安全上下文可用的情况下在UE与接入和移动管理功能(AMF)之间建立这种有效安全上下文所需的NAS消息(例如,在先前成功登记的UE处无存储的安全上下文可用)。换句话说,在UE处未存储有效安全上下文的情况下,登记消息将仅包括建立安全上下文所需的信息(例如,订阅标识符、UE安全能力)。
关于在初始登记和随后的NAS消息中包括用于切片的NSSAI/S-NSSAI(或其中的一部分),SA3得出以下结论(在LS S2-172650至SA2中):
将避免在非完整性保护NAS消息中包括这类信息——否则,攻击者可能操纵这些信息来进行服务降级(或降价)和拒绝服务攻击。
将这类信息包含在非机密性保护NAS消息中会损害隐私,因为与UE/用户正在使用的切片有关的信息被泄露。虽然并非所有切片都需要这种隐私,但对于被认为是对隐私敏感的一些网络切片或切片类型的接入(例如,对于公共安全相关切片、企业或专用切片的接入)需要隐私保护。因此,至少对于需要隐私的切片,这些信息将不在没有机密性保护的情况下发送。
由于来自3GPP工作组SA3的网络切片隐私要求,SA2在S2-174055的非专利文献2(v14.5.2)中商定了以下案文。
”5.15.5.X切片隐私考虑
为了支持UE接入的切片的切片信息的网络控制隐私,当UE意识到或配置为隐私考虑适用于NSSAI信息时:
-UE将不在NAS信令中包括这类信息,直到UE具有NAS安全上下文为止
-UE将不在未受保护的无线资源控制(RRC)信令中包括这类信息
编者注释:是FFS使UE意识到或配置为网络对于NSSAI信息具有隐私考虑。
引文列表
专利文献
[非专利文献1]
3GPP技术规范(TS)23.501
[非专利文献2]
TS23.401
基于3GPP工作组SA3(在其LS至SA2中)和SA2在非专利文献1中的商定切片隐私考虑中作出的上述决策,以下是开放的问题:
UE如何意识到网络对NSSAI信息具有隐私考虑(参见非专利文献2,v14.5.0,s.5.15.5.X切片隐私考虑中的编者注释)。
在初次登记期间(即,在UE中无安全环境可用的情况下),如何将具有隐私考虑的NSSAI或S-NSSAI发送到网络。
因此,存在如何实现具有隐私考虑的通信以使用网络切片进行通信的问题。
发明内容
因此,本发明的目的是提供用于解决如何实现具有隐私考虑的通信以使用网络切片来进行通信的问题的用户设备、核心网络节点、控制方法和系统。
作为本发明的一方面的用户设备包括:
用于发送与至少一个网络切片的安全相关的信息的部件;以及
用于基于以安全方式发送数据的请求来以安全方式发送所述至少一个网络切片的身份信息的部件,所述请求是基于所发送的信息而从核心网络节点发送来的。
此外,作为本发明的另一方面的核心网络节点包括:用于在从用户设备接收到与至少一个网络切片的安全相关的信息的情况下基于所接收到的信息来发送以安全方式发送数据的请求的部件。
此外,作为本发明的另一方面的方法是用户设备中的控制方法,其包括:
发送与至少一个网络切片的安全相关的信息;以及
基于以安全方式发送数据的请求来以安全方式发送所述至少一个网络切片的身份信息,所述请求是基于所发送的信息而从核心网络节点发送来的。
此外,作为本发明的另一方面的方法是核心网络节点中的控制方法,其包括:在从用户设备接收到与至少一个网络切片的安全相关的信息的情况下基于所接收到的信息来发送以安全方式发送数据的请求。
此外,作为本发明的另一方面的系统是移动通信系统,其包括:
用户设备,其被配置为发送与至少一个网络切片的安全相关的信息;以及
核心网络节点,其被配置为基于所述信息来发送以安全方式发送数据的请求,
其中,所述用户设备还被配置为基于从所述核心网络节点接收到的请求来以安全方式发送所述至少一个网络切片的身份信息。
利用如上所述的结构,本发明可以提供用于解决如何实现具有隐私考虑的通信以使用网络切片来进行通信的问题的用户设备、核心网络节点、控制方法和系统。
附图说明
图1是示出电信系统1中的处理的示例的序列图;
图2是示出电信系统1中的处理的示例的序列图;
图3是示出电信系统1中的处理的示例的序列图;
图4是示出电信系统1的整体结构的示例的图;
图5是示出图4所示的UE的结构的示例的框图;
图6是示出图4所示的AMF的结构的示例的框图;
图7是示出图4所示的AN的结构的示例的框图;
图8是示出本发明的第二示例性实施例中的系统的结构的示例的框图;以及
图9是示出本发明的第二示例性实施例中的系统中的处理的示例的序列图。
具体实施方式
<第一示例性实施例>
本文描述了两种解决方案。
解决方案1:UE和网络在初始登记时考虑网络切片隐私
解决方案1可以分为两个阶段。
阶段A)网络的网络切片隐私分配或配置。
网络切片隐私分配的一个解决方案是经由登记过程。建议在UE向网络登记期间,网络可以针对在登记接受消息中作为允许网络切片(例如允许NSSAI或允许S-NSSAI)提供给UE的各网络切片(例如,NSSAI或S-NSSAI)分配隐私考虑。允许NSSAI/S-NSSAI也称为接受NSSAI/S-NSSAI或登记NSSAI/S-NSSAI。参见图1以获得网络切片隐私属性分配的过程。
UE需要向网络进行登记以获得接收服务的授权、启用移动跟踪并且启用可达性。当UE需要向5G系统进行初始登记时,当UE在空闲模式下更改为UE登记区域之外的新跟踪区域(TA)后进行移动登记更新时,当UE(由于预定义的不活动时间段而)进行定期登记更新时,以及另外当UE需要更新其在登记过程中协商的能力或协议参数时,使用登记过程。
1)登记请求(登记类型、订户永久标识符或临时用户ID、安全参数、NSSAI)。
登记类型指示UE是否想要进行“初始登记”(即,UE是否处于RM-DEREGISTERED未登记状态)、“移动登记更新”或“定期登记更新”。当UE向该UE尚未具有5G全球唯一临时标识符(GUTI)的PLMN进行初始登记时,UE将在登记尝试中包括其5G订户永久标识符(SUPI)。安全参数用于认证和完整性保护。NSSAI指示网络切片选择辅助信息。
2)认证/安全-AMF可以决定调用认证和安全过程(AUSF)。如果使用网络切片,则AMF决定是否需要对登记请求进行再路由。
3)登记接受(临时用户ID、登记区域、移动限制、NSSAI、定期登记更新计时器)。AMF向UE发送登记接受消息,用于指示登记已被接受。如果AMF分配了新的临时用户ID,则包括临时用户ID。在移动限制适用于UE的情况下包括移动限制。NSSAI包括允许S-NSSAI。可选地,网络(例如,AMF)还可以包括与允许网络切片(例如,允许NSSAI,其也称为接受NSSAI或登记NSSAI)的隐私有关的信息。网络切片隐私信息可以针对各网络切片、针对作为整体的各NSSAI(网络切片选择辅助信息)、或者在NSSAI由一个或多个S-NSSAI表示的情况下针对各S-NSSAI。NSSAI/S-NSSAI的网络切片隐私可以在登记接受消息(或在安全模式下从网络到UE的任何其它NAS消息)内作为针对各NSSAI或者针对NSSAI内的各S-NSSAI的参数/指示中继给UE,如图1所示。针对各NSSAI/S-NSSAI的网络切片隐私参数/指示用于指示相关网络切片(例如,NSSAI或S-NSSAI)是否将被视为私有(例如,当网络切片隐私参数被设置为“开启”、或者被设置为“真”或任何其它值或设置方式以指示网络将网络切片(例如,NSSAI或S-NSSAI)视为私有时)。
如果网络已经将网络切片隐私参数设置为私有,则UE将发送初始登记消息(例如,未加密登记请求),然而UE将不在未加密NAS消息(例如,登记请求消息)或未加密RRC消息(例如,RRC连接请求或RRC连接设置完成消息)中包括已将其隐私属性设置为私有的网络切片(例如,NSSAI或S-NSSAI)。
如果网络已经将网络切片隐私参数设置为“非私有”、或者网络简单地没有包括该网络切片(例如,NSSAI或S-NSSAI)的隐私参数,则允许UE在未加密NAS消息(例如,登记请求)或未加密RRC消息(例如,RRC连接请求或RRC连接设置完成消息)中包括该网络切片(例如,NSSAI或S-NSSAI)。
由于不同的网络运营商(例如,PLMN)可能对网络切片隐私有不同的考虑,因此各网络也可能(例如,经由广播、信令或任何其它方式)向UE指示是支持还是不支持还是仅在该时间或位置处支持网络切片隐私考虑(因为网络切片隐私考虑支持可以由网络运营商进行控制,并且它可能随着位置和时间或随着任何其它网络运营商配置策略而改变)。
在另一示例性实施例中,网络可以仅针对S-NSSAI的SD(切片区分符)部分设置网络切片隐私。这意味着对于隐私保护仅考虑网络切片(例如,NSSAI或S-NSSAI)的SD部分。在这种情况下,UE将不在未加密NAS消息(例如,登记请求消息)或未加密RRC消息(例如,RRC连接请求或RRC连接设置完成消息)中包含网络切片(例如,NSSAI或S-NSSAI)的SD部分。然而,UE可以在未加密NAS消息(例如,登记请求消息)或未加密RRC消息(例如,RRC连接请求或RRC连接设置完成消息)中包括网络切片(例如,S-NSSAI)的切片/服务类型(SST)部分。
在这种情况下,包括网络切片选择信息(例如,NSSAI或S-NSSAI)的SST部分可以增加支持UE所请求的所有网络切片的AMF选择的机会,从而避免/减轻以后可能的AMF再路由。
在另一示例性实施例中,网络运营商可以经由UE中的配置来布置网络切片隐私分配。网络运营商可以利用称为配置NSSAI/S-NSSAI的网络切片信息(例如,NSSAI和/或S-NSSAI)来配置UE。网络运营商可以利用针对各PLMN的配置NSSAI和/或S-NSSAI来配置UE。网络运营商还可以针对各个配置网络切片(例如,配置NSSAI或配置S-NSSAI)配置隐私属性(例如,隐私标志或参数)。与登记期间的网络切片隐私分配相比,该网络切片隐私的配置方法更加静态。
利用配置NSSAI和/或S-NSSAI的UE的配置及其隐私的配置也可以经由以下方法进行:
-开放移动联盟装置管理(OMA DM)接入控制列表(ACL)属性机制(参见3GPPTS24.368v14.2.0)可用于利用隐私属性(“开启”、“关闭”或SD部分“开启”)来配置网络切片(例如,NSSAI或S-NSSAI)。对于UE,可以定义TS24.368中的新配置页(configurationleaf),以指示所配置的网络切片(例如,配置NSSAI或配置S-NSSAI)是否具有安全考虑。
-SMS-利用各PLMN NSSAI和/或S-NSSAI及其隐私状况的UE的配置也可以经由短消息服务(SMS)来完成。
-网络运营商的任何其它方式的动态或静态配置。
B阶段)。在初始登记时,具有隐私考虑的网络切片中继至网络。
图2中展示了在第一NAS消息(例如,登记请求)不具有安全保护(未加密)的情况下、在UE的初始登记期间如何中继具有隐私考虑(隐私属性“开启”、“关闭”或SD部分“开启”)的网络切片(例如,NSSAI或S-NSSAI)。
UE需要向网络进行登记以获得接收服务的授权、启用移动跟踪并且启用可达性。当UE需要向5G系统进行初始登记并且UE中不存在来自向该网络的先前登记的安全上下文(这意味着来自UE的第一NAS消息(例如,登记请求消息)和事先的RRC信令消息将不受保护)时,使用图2中的登记过程。另外,UE还获得了允许网络切片或配置网络切片,例如,包含具有隐私属性“S-NSSAI_1_privacy”=“开启/真”(存在隐私考虑)的S-NSSAI_1、具有隐私属性“S-NSSAI_2_privacy”=“关闭/假”(无隐私考虑)的S-NSSAI_2、以及具有“S-NSSAI_3_privacy”=“关闭/假”(无隐私考虑)的S-NSSAI_3的配置/允许NSSAI。
1)RRC连接建立-为了向网络进行登记,UE首先建立与(R)AN节点的RRC连接。如果这是初始登记(例如,对于UE想要登记的PLMN不存在有效的安全上下文),则RRC信令将是未加密的。如果是这样,则UE在RRC信令消息(例如,RRC连接请求或RRC连接设置完成消息或任何其它RRC信令消息)中仅包括不具有隐私考虑的NSSAI部分(例如,S-NSSAI_2和S-NSSAI_3,因为它们没有隐私考虑)。
2)AMF选择-(R)AN节点选择支持UE在RRC信令中所请求的网络切片(例如,S-NSSAI_2和S-NSSAI_3)的AMF,因为对于该初始登记,UE在RRC信号中未提供有效的5G GUTI或临时AMF ID。
(3)登记请求(S-NSSAI_2、S-NSSAI_3、NSSAI_privacy标志)-在登记请求消息中,UE仅包括网络切片选择辅助信息(NSSAI)中的不具有隐私考虑的部分(例如,S-NSSAI_2和S-NSSAI_3),这是因为登记是用于UE中无有效安全上下文的初始登记,即登记请求消息是未加密的。UE不包括网络切片选择辅助信息(NSSAI)中的具有安全考虑的部分(例如,NSSAI隐私标志=“开启/真”的S-NSSAI_1)。
然而,UE以新参数(例如,NSSAI_privacy标志=“开启/真”或S-NSSAI-隐私标志=“开启/真”)或任何其它方式向网络进行指示,以指示NSSAI的一部分具有安全考虑并且尚未被提供给网络。也就是说,UE可以发送与切片上的安全相关的信息。
4)认证/安全-AMF可以决定调用认证与安全过程(AUSF)。
5)在建立UE与网络之间的安全连接之后,AMF检查由UE在初始登记请求消息中提供的NSSAI_privacy标志。如果该标志设置为“开启/真”(即,UE尚未提供具有隐私考虑的整个NSSAI或NSSAI的部分(例如,S-NSSAI_1)),则AMF需要经由安全保护(加密)过程来获得NSSAI的待决(outstanding)部分。一种可能是使用为此目的而修改的现有身份请求/响应过程。
6)身份请求-网络可以利用身份过程以从UE获得NSSAI中的要求仅在安全保护模式下传递的待决部分(例如,S-NSSAI_1)。为此,AMF可以在身份请求消息中包括新参数(例如,“NSSAI身份”、或现有“UE身份”参数的仅新“NSSAI身份”值、或任何其它方式)以指示针对UE的在身份响应消息中发送NSSAI的待决部分(具有隐私考虑的NSSAI的全部或部分)的请求。也就是说,AMF可以基于从UE接收到的信息向UE发送以安全方式发送信息的请求。
7)身份响应-当UE接收到具有新“NSSAI身份”的身份请求消息(或要求UE发送因隐私原因未在初始登记请求消息中发送的NSSAI的全部或部分的任何其它指示)时,UE以身份响应消息进行响应,其中在该身份响应消息中,UE包括因隐私原因尚未发送的网络切片选择辅助信息(NSSAI)的全部或部分(例如,S-NSSAI_1)。也就是说,UE可以基于从MF接收到的请求以安全方式向AMF发送切片的身份信息。
8)可选的AMF再路由-在AMF现在已接收到完整的网络切片选择辅助信息(NSSAI)集的情况下,如果当前AMF不能为NSSAI的新递送的安全部分(例如,S-NSSAI_1)提供服务,则该AMF可以决定将UE再路由到另一AMF。在这种情况下,当前AMF进行查询,以找到可以向构成从UE接收到的网络切片选择辅助信息(NSSAI)的完整的S-NSSAI集提供服务的AMF并将UE再路由到该AMF。
(9)登记接受-最终,AMF(当前或再路由的AMF)通过在登记接受消息中返回确认而接受UE的初始登记请求。在登记接受消息中,AMF可以改变允许NSSAI,包括S-NSSAI集和S-NSSAI的隐私属性这两者。如果是这样,则UE将用新的S-NSSAI集及其新的隐私属性来替代所保存的NSSAI和成员S-NSSAI的隐私属性。
在另一示例性实施例中,网络(例如,AMF)可以利用另一安全NAS过程(例如,安全模式命令/安全模式完成消息)或任何其它安全NAS过程或消息来从UE检索具有隐私考虑的网络切片信息(例如,NSSAI或S-NSSAI)。网络(例如,AMF)还可以(一建立UE和AMF之间的安全信令交换就)利用被指定用于从UE中检索具有隐私考虑的网络切片信息(例如,隐私属性为“开启/真”的NSSAI或S-NSSAI)的新安全过程或消息。
解决方案2:具有加密选项传递操作的UE和网络的网络切片隐私考虑。
网络切片隐私分配的一个解决方案是经由登记过程。建议在UE向网络登记期间,如果UE不知道UE预期连接的切片的隐私属性,则UE在登记请求消息中向网络(例如,AMF)指示值为活动的“加密选项传递标志”。如果UE在登记请求消息中已经将“加密选项传递标志”设置为“开启/真”(例如,活动),则任何切片信息都将在NAS消息加密后从UE传送到AMF。“加密选项传递标志”可以被命名为其它方式,例如“演进分组系统(EPS)会话管理(ESM)信息传递标志”或“切片信息传递标志”或任何其它名称,以指示UE不知道所请求的网络切片的隐私属性。参见图3以获得加密选项传递操作的过程。
1)RRC连接建立-为了向网络进行登记,UE首先建立与(R)AN节点的RRC连接。如果这是初始登记(例如,对于UE想要登记的PLMN不存在有效的安全上下文),则RRC信令将是未加密的。如果是这样,UE可以在RRC信令消息(例如,RRC连接请求或RRC连接设置完成消息或任何其它RRC信令消息)中仅包括不具有隐私考虑的网络切片选择信息(NSSAI)或单个网络切片选择信息(S-NSSAI)。UE可以基于解决方案1或其它方法知道这一点。(例如,UE获得了允许网络切片或配置网络切片,例如,包含具有隐私属性“S-NSSAI_1_privacy”=“开启/真”(存在隐私考虑)的S-NSSAI_1、具有隐私属性“S-NSSAI_2_privacy”=“关闭/假”(无隐私考虑)的S-NSSAI_2、以及具有“S-NSSAI_3_privacy”=“关闭/假”(无隐私考虑)的S-NSSAI_3的配置/允许NSSAI。
UE可以不在该消息(例如,RRC连接请求或RRC连接设置完成消息或任何其它RRC信令消息)中包括任何网络切片相关信息。
2)AMF选择-(R)AN节点选择支持UE在RRC信令中指示的网络切片(例如,S-NSSAI_2和S-NSSAI_3)的AMF。否则,也就是说,如果UE在RRC信令中没有指示任何网络切片相关信息,则(R)AN节点选择默认AMF。
3)登记请求(加密选项传递标志)-在登记请求消息中,UE包括值为活动的“加密选项传递标志”,以在登记过程期间在UE和AMF之间建立安全NAS连接。通过这样做,UE可以发送与切片上的安全相关的信息。
4)认证/安全-AMF可以决定调用认证和安全过程(AUSF)。
5)AMF检查值为活动的“加密选项传递标志”是否在登记请求消息中。
6)如果在登记请求消息中从UE接收到值为活动的“加密选项传递标志”,则AMF向UE发送安全模式命令,以向UE通知与安全相关的信息(例如选择的NAS安全算法和NAS密钥集标识符等)。也就是说,AMF可以基于从UE接收到的信息向UE发送以安全方式发送信息的请求。
7)UE利用安全保护的NAS向AMF发送安全模式完成。该消息包括请求NSSAI。利用该序列,请求NSSAI可以通过受保护的NAS消息从UE安全地传递到AMF。也就是说,UE可以基于从MF接收到的请求以安全方式向AMF发送切片的身份信息。
如果UE的步骤7中的安全模式完成消息包括请求NSSAI,则转到步骤10。
8)可选地,请求NSSAI(请求NSSAI的全部或部分,例如S-NSSAI)可以从UE和AMF利用单独的消息序列进行传送。在这种情况下,如步骤7)中所示的安全模式完成消息不包括请求NSSAI。
在通过步骤6和步骤7在UE和AMF之间进行成功安全设置之后,AMF向UE发送ESMINFORMATION REQUEST(ESM信息请求)消息。AMF可以在ESM信息请求消息内的新参数中指示UE需要网络切片选择信息。
9)UE向AMF发送ESM INFORMATION RESPONSE(ESM信息响应)消息。该消息可以包括请求NSSAI(NSSAI的全部或部分,例如S-NSSAI)。
10)可选的AMF再路由-在AMF现在已接收到完整的网络切片选择辅助信息(NSSAI)集的情况下,如果当前AMF不能为NSSAI(例如,S-NSSAI_1)提供服务,则该AMF可以决定将UE再路由至另一AMF。在这种情况下,当前AMF进行查询,以找到可以向构成从UE接收到的网络切片选择辅助信息(NSSAI)的完整的S-NSSAI集提供服务的AMF并将UE再路由到该AMF。
11)登记接受-最终,AMF(当前或再路由的AMF)通过在登记接受消息中返回确认而接受UE的初始登记请求。
虽然该过程指示安全模式完成消息和ESM INFORMATION RESPONSE消息可以将网络切片信息从UE安全地传送至AMF,但是在UE和AMF之间进行成功安全设置之后,可以使用UE到AMF的任何其它NAS消息。
另外,该机制还可适用于通过NAS消息将安全敏感信息从UE传送至AMF。例如,接入点名称(APN)、数据网络名称(DNN)、5G订户永久标识符(SUPI)等。
有益地,上述示例性实施例包括但不限于以下功能中的一个或多个功能。
解决方案1
1)针对附加接受消息中的各S-NSSAI的新可选隐私考虑参数-NSSAI/S-NSSAI的网络切片隐私可以在登记接受消息(或以安全模式从网络到UE的任何其它NAS消息)内作为针对各NSSAI或针对NSSAI的各S-NSSAI的参数/指示中继给UE。针对各NSSAI/S-NSSAI的网络切片隐私参数/指示用于指示相关网络切片(例如,NSSAI或S-NSSAI)是否将被视为隐私。如果网络将网络切片隐私参数设置为私有,则UE将不在未加密NAS消息(例如,登记请求消息)或未加密RRC消息(例如,RRC连接请求或RRC连接设置完成消息)中包括该网络切片(例如,NSSAI或S-NSSAI)。
2)无保护NAS和AS消息中的新可选网络切片隐私中继参数-在登记请求消息中,当无保护时,UE以新参数(例如,NSSAI_privacy标志=“开启/真”或S-NSSAI-隐私标志=“开启/真”)或任何其它方式向网络进行指示,以指示NSSAI的一部分具有安全考虑并且尚未被提供给网络。
3)身份请求消息中的新网络切片隐私相关参数-AMF可以在身份请求消息中包括新参数(例如,“NSSAI身份”、或现有“UE身份”参数的仅新“NSSAI身份”值、或任何其它方式)以指示对UE的在身份响应消息中发送NSSAI的待决部分(具有隐私考虑的NSSAI的全部或部分)的请求。
4)身份响应消息中的新网络切片隐私相关参数-当UE接收到具有新“NSSAI身份”的身份请求消息(或要求UE发送因隐私原因未在初始登记请求消息中发送的NSSAI的全部或部分的任何其它指示)时,UE以身份响应消息进行响应,其中在该身份响应消息中,UE包括因隐私原因尚未发送的网络切片选择辅助信息(NSSAI)的全部或部分。
解决方案2
5)为了在UE和AMF之间安全地传递网络切片相关信息,UE通过在登记请求消息中指示“加密选项传递标志”来请求设置安全NAS连接。
6)一旦设置了安全NAS连接,NSSAI信息就会在安全模式完成消息或ESMINFORMATION RESPONSE消息中从UE传递至AMF。
总之,可以看出,上述解决方案1描述了包括以下步骤的方法:
1)在登记期间(经由登记接受消息)或经由网络的配置向UE进行网络切片隐私属性分配,以使得UE知道哪个网络切片(即,哪个允许或配置NSSAI/S-NSSAI)应被视为私有(即,不在未加密NAS或RRC消息内中继)、以及哪个网络切片应被视为非私有(即,可在未加密NAS或RRC消息中传递);
2)在初始登记期间(例如,在登记请求消息和RRC信令事先未加密的情况下),UE将不在未加密NAS或RRC信令内中继已经获得其隐私考虑属性设置“开启/真”的网络切片信息(例如,NSSAI或S-NSSAI)。作为替代,UE将在未加密的登记请求消息中设置新的参数(例如,将NSSAI_private标志设置为“开启/真”),以向网络(例如,AMF)指示NSSAI的全部或部分(例如S-NSSAI)被保留用于以后的中继(例如,在UE和网络之间建立安全信令时)。
3)在网络(例如,AMF)接收到NSSAI_privacy标志被设置为“开启/真”的登记请求(即NSSAI的全部或部分被保留用于以后的安全中继)的情况下,一在UE和网络之间建立了安全连接,网络就将经由身份请求/响应过程请求剩余的网络切片选择信息。为此,网络利用身份请求消息内的新参数(例如,NSSAI身份),以请求递送已被保留于安全递送的网络选择信息。
此外,可以看出,上述解决方案2描述了包括以下步骤的方法:
1)在UE必须在登记过程中向AMF传递NSSAI信息的情况下,UE请求AMF在登记过程中建立安全NAS连接。
2)一旦设置了安全NAS连接,NSSAI信息就经由安全模式完成消息或经由ESMINFORMATION RESPONSE消息从UE传递到AMF。
益处
可以看出,以上实施例有益地提供了许多益处,包括(但不限于):
解决方案1和解决方案2这两者均允许从UE到网络的安全网络切片信息中继。
系统概述
图4示意性地示出以上实施例适用的移动(蜂窝或无线)电信系统1。
在这种网络中,移动装置3A~3C的用户可以使用演进通用陆地无线接入(E-UTRA)和/或5G无线接入技术(RAT)、经由相应的基站5和核心网络7来与彼此和其它用户进行通信。应当理解,多个基站(或5G网络中的“gNB”)形成(无线)接入网络。本领域技术人员应当理解,虽然为了说明目的在图4中示出三个移动装置3和一个基站5,但该系统在实现时通常将包括其它基站和移动装置。
核心网络7通常包括用于支持电信系统1中的通信的逻辑节点(或“功能”)。通常,例如,“下一代”/5G系统的核心网络7将包括控制面功能和用户面功能等。
众所周知,当移动装置3在电信系统1所覆盖的地理区域内四处移动时,移动装置3可能进入和离开基站5或(R)AN所服务的区域(即,无线小区)。为了跟踪移动装置3并促进不同基站5之间的移动,核心网络7包括至少一个接入和移动管理功能(AMF)9。AMF 9在与连接至核心网络7的基站5进行通信。在一些核心网络中,可以使用移动管理实体(MME)来代替AMF。
核心网络7还包括用户数据管理(UDM)节点10、一个或多个网关11、以及认证和安全功能(AUSF)12。尽管图4中未示出,但核心网络7也可以包括其它节点,诸如家庭订户服务器(HSS)等。
移动装置3及其相应的服务基站5经由适当的空中接口(例如,所谓的“Uu”接口等)而连接。相邻基站5经由适当的基站到基站接口(诸如所谓的“X2”接口等)而彼此连接。基站5还经由适当的接口(诸如所谓的“S1”或“N2”接口等)而连接至核心网络节点(诸如AMF 9和网关11)。从核心网络7,还提供了到外部IP网络20(诸如因特网)的连接。
用户设备(UE)
图5是示出UE(移动装置3)的主要组件的框图。如图所示,UE包括可操作地经由一个或多个天线32向所连接的节点发送信号以及从所连接的节点接收信号的收发器电路31。尽管图5中不一定示出,但是UE当然将具有传统移动装置的所有常见功能(诸如用户接口35),并且该功能可以通过适当的硬件、软件和固件的任意一个或任意组合来提供。例如,软件可以预先安装在存储器34中以及/或者可以经由电信网络或者从可移除数据存储装置(RMD)中下载。控制器33根据存储器34中所存储的软件来控制UE的操作。该软件包括操作系统341以及具有至少收发器控制模块3421的通信控制模块342等。通信控制模块342(使用其收发器控制模块3421)负责处理(生成/发送/接收)UE和诸如基站/(R)AN节点和AMF等的其它节点之间的信令和上行链路/下行链路数据分组。这种信令可以例如包括与接入和移动管理过程(对于特定UE)相关的适当格式化的信令消息,并且特别地包括与网络切片隐私分配或配置相关的信令消息(例如,登记请求和相关响应)。
AMF
图6是示出AMF 9的主要组件的框图。如图所示,AMF包括可操作地经由网络接口94向其它节点(包括UE)发送信号以及从其它节点(包括UE)接收信号的收发器电路91。控制器92根据存储器93中所存储的软件来控制AMF的操作。例如,软件可以预先安装在存储器93中以及/或者可以经由电信网络或者从可移除数据存储装置(RMD)下载。该软件包括操作系统931以及具有至少收发器控制模块9321的通信控制模块932等。通信控制模块932(使用其收发控制模块9321)负责处理(生成/发送/接收)AMF和诸如UE、基站/(R)AN节点和AUSF等的其它节点之间的信令。这种信令可以包括例如与接入和移动管理过程(对于特定UE)相关的适当格式化的信令消息,并且特别地包括与网络切片隐私分配或配置相关的信令消息。
(R)AN节点
图7是示出示例性(R)AN节点(例如,基站(5G中的“gNB”))的主要组件的框图。如图所示,(R)AN节点包括可操作地经由一个或多个天线52向所连接的UE发送信号以及从所连接的UE接收信号、并且经由网络接口55(直接地或间接地)向其它网络节点发送信号以及从其它网络节点接收信号的收发器电路51。控制器53根据存储器54中所存储的软件来控制(R)AN节点的操作。例如,软件可以预先安装在存储器54中以及/或者可以经由电信网络或者从可移除数据存储装置(RMD)中下载。该软件包括操作系统541和以及具有至少收发器控制模块5421的通信控制模块542等。通信控制模块542(使用其收发器控制模块5421)负责(例如,间接地)处理(生成/发送/接收)(R)AN节点和诸如UE、AMF和UDM等的其它节点之间的信令。信令例如可以包括与无线连接和移动管理过程(对于特定UE)相关的适当格式化的信令消息,并且特别地包括与网络切片隐私分配或配置相关的信令消息。
修改和替代
以上已经描述了详细实施例。如本领域技术人员将理解的,可以对以上实施例进行多种修改和替代,同时仍然受益于其中实现的发明。通过说明的方式,现在将仅描述这些替代方案和修改方案中的一些。
在以上描述中,为便于理解,UE、AMF和(R)AN节点被描述为具有多个分立模块(诸如通信控制模块)。虽然这些模块可以以这种方式被提供用于某些应用(例如,已经修改了现有系统以实现本发明的应用),但在其它应用中(例如,在从一开始就考虑到本发明的特征而设计的系统中),这些模块可以被构建到整体操作系统或代码中,因此这些模块可能不被辨别为分立的实体。这些模块还可以以软件、硬件、固件或其组合的形式实现。
各控制器可以包括任何合适形式的处理电路,包括(但不限于)例如:一个或多个硬件实现的计算机处理器;微处理器;中央处理单元(CPU);算术逻辑单元(ALU);输入/输出(IO)电路;内部存储器/高速缓存(程序和/或数据);处理寄存器;通信总线(例如,控制总线、数据总线和/或地址总线);直接存储器存取(DMA)功能;以及/或者硬件或软件实现的计数器、指针和/或计时器等。
在以上实施例中,描述了多个软件模块。如本领域技术人员将理解的,软件模块可以以编译或未编译的形式提供,并且可以作为信号通过计算机网络或者在记录介质上被提供给UE、AMF和(R)AN节点。此外,由该软件的部分或全部执行的功能可以使用一个或多个专用硬件电路来执行。然而,软件模块的使用是优选的,因为它有助于更新UE、AMF和(R)AN节点以更新其功能。
在以上实施例中,使用3GPP无线通信(无线接入)技术。然而,根据以上实施例,还可以使用任何其它无线通信技术(例如,WLAN、Wi-Fi、WiMAX、蓝牙等)。
用户设备的项目可以例如包括诸如移动电话、智能电话、用户设备、个人数字助理、笔记本电脑/平板电脑、web浏览器和/或电子书阅读器等的通信装置。这种移动(甚至一般是固定的)装置通常由用户操作,但是也可以将所谓的“物联网”(IoT)装置和类似机器类型通信(MTC)装置连接至网络。为了简单起见,本申请在说明书中引用移动装置(或UE),但应当理解,所描述的技术可以在如下的任何通信装置(移动的和/或一般是固定的)上实现,无论这类通信装置是由人工输入还是由存储器中所存储的软件指令控制,该通信装置都可以连接至通信网络以发送/接收数据。
其它各种修改对于本领域技术人员来说将是明显的,这里将不进行更详细描述。
缩写和术语
本文献中使用了以下缩写和术语:
5GS 5G System
5G-AN 5G接入网络
5G-RAN 5G无线接入网络
AF应用功能
AMF接入和移动管理功能
APN接入点名称
AS接入层
AUSF认证和安全功能
CP控制面
DNN数据网络名称
NAS非接入层
NF 网络功能
NR新空口
NRF网络存储库功能
NSSF网络切片选择功能
(R)AN无线接入网络
UDM统一数据管理
UE用户设备
<第二示例实施例>
接着,参考图8和9。将描述本发明的第二示例性实施例。在第二示例实施例中,将描述具有用户设备100和核心网络节点200的系统。
图8示出系统的结构的示例。参考图8,系统具有用户设备100和核心网络节点200。如图8所示,用户设备100和核心网络节点200相连接,以能够彼此通信。
用户设备100是使用通过对网络进行逻辑划分所获得的网络切片来进行通信的信息处理装置。用户设备100向核心网络节点200发送信息。具体地,用户设备100将与切片的安全相关的信息发送至核心网络节点200(图9,S101)。
此外,用户设备100从核心网络节点200接收根据上述与安全相关的信息而发送的请求(图9,S102)。然后,用户设备100基于所接收到的请求来以安全方式向核心网络节点200发送切片的身份信息(图9,S103)。
核心网络节点200是连接至用户设备100以能够彼此通信的信息处理装置。核心网络节点200从用户设备100接收与切片的安全相关的信息。然后,核心网络节点200基于所接收到的信息向用户设备100发送以安全方式发送信息的请求。
因此,本示例性实施例中的系统具有用户设备100和核心网络节点200。利用这样的结构,核心网络节点200可以基于从用户设备100接收到的信息向用户设备100发送以安全方式发送信息的请求。此外,用户设备100可以基于从核心网络节点200接收到的请求来以安全方式向核心网络节点200发送切片的身份信息。
此外,上述用户设备100所执行的控制方法(隐私考虑方法)是如下的方法,该方法包括:
发送与至少一个网络切片的安全相关的信息;以及
基于以安全方式发送数据的请求来以安全方式发送至少一个网络切片的身份信息,该请求是基于所发送的信息而从核心网络节点发送来的。
此外,上述核心网络节点200所执行的控制方法(隐私考虑方法)是如下的方法,该方法包括:在从用户设备接收到与至少一个网络切片的安全相关的信息时,基于所接收到的信息来发送以安全方式发送数据的请求。
具有上述结构的程序和控制方法(隐私考虑方法)的发明与用户设备100和核心网络节点200具有相似的效果,因此可以实现本发明的上述目的。
<补充说明>
以上公开的示例性实施例的全部或部分可被描述为以下补充说明。以下将描述根据本发明的UE等的概要。然而,本发明不限于以下结构。
(补充说明1)
一种用户设备,包括:
用于发送与至少一个网络切片的安全相关的信息的部件;以及
用于基于以安全方式发送数据的请求来以安全方式发送所述至少一个网络切片的身份信息的部件,所述请求是基于所发送的信息而从核心网络节点发送来的。
(补充说明2)
根据补充说明1所述的用户设备,其中,与所述至少一个网络切片的安全相关的信息包括指示所述至少一个网络切片的信息具有安全考虑的信息。
(补充说明3)
根据补充说明1或2所述的用户设备,还包括:
用于从所述核心网络节点接收身份请求消息的部件,所述身份请求消息包括请求所述用户设备在身份响应消息中发送所述至少一个网络切片的身份信息的信息;以及
用于向所述核心网络节点发送所述身份响应消息的部件,所述身份响应消息包括所述至少一个网络切片的身份信息。
(补充说明4)
根据补充说明1至3中任一项所述的用户设备,还包括:
用于接收与各网络切片的安全相关的信息的部件。
(补充说明5)
根据补充说明1至4中任一项所述的用户设备,其中,与所述至少一个网络切片的安全相关的信息包括请求所有网络切片的安全数据发送的信息。
(补充说明6)
根据补充说明5所述的用户设备,还包括:
用于通过使用用于安全数据发送的信息对所述至少一个网络切片的身份信息进行加密、并发送加密后的身份信息的部件。
(补充说明7)
根据补充说明1至6中任一项所述的用户设备,还包括:
用于将除所述至少一个网络切片之外的其它网络切片中至少之一的身份信息发送至接入网络节点以允许所述接入网络节点选择核心网络节点的部件;以及
用于将所述至少一个网络切片的身份信息以安全方式发送至所选择的核心网络节点的部件。
(补充说明8)
一种核心网络节点,其包括用于在从用户设备接收到与至少一个网络切片的安全相关的信息的情况下基于所接收到的信息来发送以安全方式发送数据的请求的部件。
(补充说明9)
根据补充说明8所述的核心网络节点,其中,与所述至少一个网络切片的安全相关的信息包括指示所述至少一个网络切片的信息具有安全考虑的信息。
(补充说明10)
根据补充说明8或9所述的核心网络节点,还包括:
用于向所述用户设备发送身份请求消息的部件,所述身份请求消息包括请求所述用户设备在身份响应消息中发送所述至少一个网络切片的身份信息的信息;以及
用于从所述用户设备接收包括所述至少一个网络切片的身份信息的身份响应消息的部件。
(补充说明11)
根据补充说明8至10中任一项所述的核心网络节点,还包括:
用于向所述用户设备发送与各网络切片的安全相关的信息的部件。
(补充说明12)
根据补充说明8至11中任一项所述的核心网络节点,其中,与所述至少一个网络切片的安全相关的信息包括请求所有网络切片的安全数据发送的信息。
(补充说明13)
根据补充说明12所述的核心网络节点,还包括:
用于基于请求安全数据发送的信息来发送用于安全数据发送的信息的部件。
(补充说明14)
根据补充说明8至13中任一项所述的核心网络节点,还包括:
用于基于以安全方式从所述用户设备接收到的所述至少一个网络切片的身份信息判断为将所述用户设备再路由至另一核心网络节点的部件。
(补充说明15)
一种用户设备中的控制方法,所述控制方法包括:
发送与至少一个网络切片的安全相关的信息;以及
基于以安全方式发送数据的请求来以安全方式发送所述至少一个网络切片的身份信息,所述请求是基于所发送的信息而从核心网络节点发送来的。
(补充说明16)
根据补充说明15所述的控制方法,其中,与所述至少一个网络切片的安全相关的信息包括指示所述至少一个网络切片的信息具有安全考虑的信息。
(补充说明17)
根据补充说明15或16所述的控制方法,还包括:
从所述核心网络节点接收身份请求消息,所述身份请求消息包括请求所述用户设备在身份响应消息中发送所述至少一个网络切片的信息的信息;以及
向所述核心网络节点发送所述身份响应消息,所述身份响应消息包括所述至少一个网络切片的身份信息。
(补充说明18)
根据补充说明15至17中任一项所述的控制方法,还包括:接收与各网络切片的安全相关的信息。
(补充说明19)
根据补充说明15至18中任一项所述的控制方法,其中,与所述至少一个网络切片的安全相关的信息包括请求所有网络切片的安全数据发送的信息。
(补充说明20)
根据补充说明19所述的控制方法,还包括:通过使用用于安全数据发送的信息对所述至少一个网络切片的身份信息进行加密,以及发送加密后的身份信息。
(补充说明21)
根据补充说明15至20中任一项所述的控制方法,还包括:
将除所述至少一个网络切片之外的其它网络切片中至少之一的身份信息发送至接入网络节点以允许所述接入网络节点选择核心网络节点;以及
将所述至少一个网络切片的身份信息以安全方式发送至所选择的核心网络节点。
(补充说明22)
一种核心网络节点中的控制方法,所述控制方法包括:在从用户设备接收到与至少一个网络切片的安全相关的信息的情况下基于所接收到的信息来发送以安全方式发送数据的请求。
(补充说明23)
根据补充说明22所述的控制方法,其中,与所述至少一个网络切片的安全相关的信息包括指示所述至少一个网络切片的信息具有安全考虑的信息。
(补充说明24)
根据补充说明22或23所述的控制方法,还包括:
向所述用户设备发送身份请求消息,所述身份请求消息包括请求所述用户设备在身份响应消息中发送所述至少一个网络切片的身份信息的信息;以及
接收包括所述至少一个网络切片的身份信息的身份响应消息。
(补充说明25)
根据补充说明22至24中任一项所述的控制方法,还包括:向所述用户设备发送与各网络切片的安全相关的信息。
(补充说明26)
根据补充说明22至25中任一项所述的控制方法,其中,与所述至少一个网络切片的安全相关的信息包括请求所有网络切片的安全数据发送的信息。
(补充说明27)
根据补充说明26所述的控制方法,还包括:基于请求安全数据发送的信息来发送用于安全数据发送的信息。
(补充说明28)
根据补充说明22至27中任一项所述的控制方法,还包括:基于以安全方式从所述用户设备接收到的所述至少一个网络切片的身份信息判断为将所述用户设备再路由至另一核心网络节点。
(补充说明29)
一种移动通信系统,包括:
用户设备,其被配置为发送与至少一个网络切片的安全相关的信息;以及
核心网络节点,其被配置为基于从所述用户设备接收到的信息来发送以安全方式发送数据的请求,
其中,所述用户设备还被配置为基于从所述核心网络节点接收到的请求来以安全方式发送所述至少一个网络切片的身份信息。
(补充说明30)
根据补充说明29所述的移动通信系统,其中,与所述至少一个网络切片的安全相关的信息包括指示所述至少一个网络切片的信息具有安全考虑的信息。
(补充说明31)
根据补充说明29或30所述的移动通信系统,其中:
所述核心网络节点还被配置为发送身份请求消息,所述身份请求消息包括请求所述用户设备在身份响应消息中发送所述至少一个网络切片的信息的信息;以及
所述用户设备还被配置为发送包括所述至少一个网络切片的身份信息的所述身份响应消息。
(补充说明32)
根据补充说明29至31中任一项所述的移动通信系统,其中,所述用户设备还被配置为接收与各网络切片的安全相关的信息。
(补充说明33)
根据补充说明29至32中任一项所述的移动通信系统,其中,与所述至少一个网络切片的安全相关的信息包括请求所有网络切片的安全数据发送的信息。
(补充说明34)
根据补充说明33所述的移动通信系统,其中,所述核心网络节点还被配置为基于请求安全数据发送的信息来发送用于安全数据发送的信息。
(补充说明35)
根据补充说明34所述的移动通信系统,其中,所述用户设备还被配置为通过使用所述用于安全数据发送的信息对所述至少一个网络切片的身份信息进行加密、并发送加密后的身份信息。
(补充说明36)
根据补充说明29至35中任一项所述的移动通信系统,还包括接入网络节点,其中:
所述用户设备还被配置为将除所述至少一个网络切片之外的其它网络切片中至少之一的身份信息发送至所述接入网络节点以允许所述接入网络节点选择核心网络节点;以及
所述用户设备还被配置为将所述至少一个网络切片的身份信息以安全方式发送至所选择的核心网络节点。
(补充说明37)
根据补充说明29至36中任一项所述的移动通信系统,所述核心网络节点还被配置为基于以安全方式从所述用户设备接收到的所述至少一个网络切片的身份信息判断为将所述用户设备再路由至另一核心网络节点。
在各个示例性实施例和补充说明中公开的程序被存储在存储装置中或记录在计算机可读记录介质上。例如,记录介质是诸如柔性盘、光盘、磁光盘和半导体存储器等的便携式介质。
以上参考示例性实施例描述了本发明,但是本发明不限于上述的示例性实施例。本发明的结构和详情可以以本领域技术人员可以理解的各种方式在本发明的范围内改变。
本申请基于并且要求提交于2017年6月23日的欧洲专利申请17177701.4的优先权的权益,上述文献的公开内容通过引用而全文并入于此。
[附图标记列表]
1 电信系统
3 移动装置
31 收发器电路
32 天线
33 控制器
34 存储器
341 操作系统
342 通信控制模块
3421 收发器控制模块
35 用户接口
5 基站
51 收发器电路
52 天线
53 控制器
54 存储器
541 操作系统
542 通信控制模块
5421 收发器控制模块
55 网络接口
7 核心网络
9 AMF(接入和移动管理功能)
91 收发器电路
92 控制器
93 存储器
931 操作系统
932 通信控制模块
9321 收发器控制模块
94 网络接口
10 UDM(统一数据管理)
11 GW(网关)
12 AUSF(认证和安全功能)
20 外部IP网络
Claims (4)
1.一种用于网络切片隐私考虑的用户设备即UE,所述UE包括:
用于从接入和移动管理功能节点即AMF节点接收登记接受消息的装置,所述登记接受消息包括登记区域、定期登记更新计时器、在移动限制适用于所述UE的情况下的移动限制和根据网络运营商的控制的用于指示所述UE是否包括针对隐私的第一网络切片选择辅助信息即第一NSSAI的参数;以及
用于基于所述参数将第二NSSAI包括在非接入层消息即NAS消息中的装置。
2.一种用于网络切片隐私考虑的接入和移动管理功能节点即AMF节点,所述AMF节点包括:
用于向用户设备即UE发送登记接受消息的装置,所述登记接受消息包括登记区域、定期登记更新计时器、在移动限制适用于所述UE的情况下的移动限制和根据网络运营商的控制的用于指示所述UE是否包括针对隐私的第一网络切片选择辅助信息即第一NSSAI的参数;以及
用于使所述UE基于所述参数将第二NSSAI包括在非接入层消息即NAS消息中的装置。
3.一种用于网络切片隐私考虑的用户设备即UE中的控制方法,所述控制方法包括:
从接入和移动管理功能节点即AMF节点接收登记接受消息,所述登记接受消息包括登记区域、定期登记更新计时器、在移动限制适用于所述UE的情况下的移动限制和根据网络运营商的控制的用于指示所述UE是否包括针对隐私的第一网络切片选择辅助信息即第一NSSAI的参数;以及
基于所述参数将第二NSSAI包括在非接入层消息即NAS消息中。
4.一种用于网络切片隐私考虑的接入和移动管理功能节点即AMF节点中的控制方法,所述控制方法包括:
向用户设备即UE发送登记接受消息,所述登记接受消息包括登记区域、定期登记更新计时器、在移动限制适用于所述UE的情况下的移动限制和根据网络运营商的控制的用于指示所述UE是否包括针对隐私的第一网络切片选择辅助信息即第一NSSAI的参数;以及
使所述UE基于所述参数将第二NSSAI包括在非接入层消息即NAS消息中。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17177701 | 2017-06-23 | ||
| EP17177701.4 | 2017-06-23 | ||
| PCT/JP2018/023355 WO2018235836A1 (en) | 2017-06-23 | 2018-06-19 | CONFIDENTIALITY CONSIDERATIONS IN A NETWORK WAFER SELECTION |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110786034A CN110786034A (zh) | 2020-02-11 |
| CN110786034B true CN110786034B (zh) | 2024-01-30 |
Family
ID=62909570
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880042143.5A Active CN110786034B (zh) | 2017-06-23 | 2018-06-19 | 用于网络切片隐私考虑的方法、用户设备和功能节点 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11924642B2 (zh) |
| EP (1) | EP3643102B1 (zh) |
| JP (1) | JP6901009B2 (zh) |
| CN (1) | CN110786034B (zh) |
| WO (1) | WO2018235836A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113891432A (zh) * | 2016-08-16 | 2022-01-04 | Idac控股公司 | Wtru以及wtru中实施的用于无线通信的方法 |
| WO2019048021A1 (en) * | 2017-09-05 | 2019-03-14 | Huawei Technologies Co., Ltd. | NETWORK ENTITY, USER EQUIPMENT, AND METHOD FOR CONTROLLING AND USING NETWORK SLINGS |
| CN110278096B (zh) * | 2018-03-14 | 2022-01-07 | 华为技术有限公司 | 一种基于网络切片的通信方法及装置 |
| CN110636579B (zh) * | 2018-06-22 | 2021-07-09 | 华为技术有限公司 | 通信方法、寻呼方法、设备和系统 |
| CN110830990B (zh) * | 2018-08-09 | 2021-04-20 | 华为技术有限公司 | 一种身份信息的处理方法、装置及存储介质 |
| CN110858992A (zh) * | 2018-08-23 | 2020-03-03 | 华为技术有限公司 | 路由方法、装置及系统 |
| US10873950B2 (en) * | 2018-12-12 | 2020-12-22 | Verison Patent and Licensing Inc. | Network slice selection based on requested service |
| WO2020215331A1 (zh) * | 2019-04-26 | 2020-10-29 | 华为技术有限公司 | 一种通信方法及装置 |
| CN113596831B (zh) * | 2020-04-14 | 2022-12-30 | 华为技术有限公司 | 一种切片认证中标识用户设备的通信方法和通信设备 |
| CN113596948B (zh) * | 2020-04-30 | 2024-01-16 | 维沃移动通信有限公司 | 信息上报方法、发送方法、选择方法和相关设备 |
| WO2021261422A1 (ja) * | 2020-06-26 | 2021-12-30 | 日本電気株式会社 | コアネットワークノード、mecサーバ、外部サーバ、通信システム、制御方法、プログラム、及びプログラムを記録した非一過性の記録媒体 |
| US20230247541A1 (en) * | 2020-08-03 | 2023-08-03 | Beijing Xiaomi Mobile Software Co., Ltd. | Service slice activation method and service slice activation apparatus, and storage medium |
| CN116458200A (zh) * | 2020-11-16 | 2023-07-18 | 苹果公司 | 网络切片增强 |
| CN114599025A (zh) * | 2022-03-15 | 2022-06-07 | 北京京东拓先科技有限公司 | 请求发送方法、请求处理方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101061738A (zh) * | 2004-10-06 | 2007-10-24 | 诺基亚公司 | 通信系统中用户设备的转移 |
| WO2010037299A1 (zh) * | 2008-09-28 | 2010-04-08 | 华为技术有限公司 | 一种保护用户终端能力的方法、装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030023451A1 (en) * | 2001-07-27 | 2003-01-30 | Willner Barry E. | Method and apparatus for identifying privacy levels |
| US8918897B2 (en) * | 2009-11-24 | 2014-12-23 | Cleversafe, Inc. | Dispersed storage network data slice integrity verification |
| WO2017039042A1 (ko) * | 2015-09-04 | 2017-03-09 | 엘지전자(주) | 무선 통신 시스템에서 단말의 데이터 송수신 방법 및 장치 |
| US10142994B2 (en) * | 2016-04-18 | 2018-11-27 | Electronics And Telecommunications Research Institute | Communication method and apparatus using network slicing |
| CA3025961C (en) * | 2016-05-30 | 2023-09-26 | Huawei Technologies Co., Ltd. | Wireless communication method and device |
| US10375665B2 (en) * | 2017-02-06 | 2019-08-06 | Huawei Technologies Co., Ltd. | Method and apparatus for supporting access control and mobility management |
| US10433174B2 (en) * | 2017-03-17 | 2019-10-01 | Qualcomm Incorporated | Network access privacy |
| EP4181579A1 (en) * | 2017-05-08 | 2023-05-17 | Motorola Mobility LLC | Method and apparatuses for reconfiguring a data connection |
-
2018
- 2018-06-19 US US16/625,555 patent/US11924642B2/en active Active
- 2018-06-19 CN CN201880042143.5A patent/CN110786034B/zh active Active
- 2018-06-19 JP JP2019565952A patent/JP6901009B2/ja active Active
- 2018-06-19 WO PCT/JP2018/023355 patent/WO2018235836A1/en active Application Filing
- 2018-06-19 EP EP18740651.7A patent/EP3643102B1/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101061738A (zh) * | 2004-10-06 | 2007-10-24 | 诺基亚公司 | 通信系统中用户设备的转移 |
| WO2010037299A1 (zh) * | 2008-09-28 | 2010-04-08 | 华为技术有限公司 | 一种保护用户终端能力的方法、装置 |
Non-Patent Citations (4)
| Title |
|---|
| Clarification on Solution#1.1 and #1.3;Huawei等;《3GPP TSG SA WG3 (Security) Meeting #85,S3-161667》;20161111;第1-2页 * |
| R2-1706774 "Further Discussion on Slice Selection Information over RRC";Huawei等;《3GPP tsg_ran\WG2_RL2》;20170617;第1-2页 * |
| S2-173104 "TS 23.501: Privacy considerations for network slicing";Qualcomm Incorporated;《3GPP tsg_sa\WG2_Arch》;20170509;第1-7页 * |
| S2-174329 "Update to procedures to support intermediate UPF relocation and LADN";Huawei等;《3GPP tsg_sa\WG2_Arch》;20170620;第1-8页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210337380A1 (en) | 2021-10-28 |
| EP3643102B1 (en) | 2021-09-01 |
| JP6901009B2 (ja) | 2021-07-14 |
| WO2018235836A1 (en) | 2018-12-27 |
| CN110786034A (zh) | 2020-02-11 |
| US11924642B2 (en) | 2024-03-05 |
| EP3643102A1 (en) | 2020-04-29 |
| JP2020522186A (ja) | 2020-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110786034B (zh) | 用于网络切片隐私考虑的方法、用户设备和功能节点 | |
| US11653296B2 (en) | Isolated network slice selection | |
| US11825307B2 (en) | Systems and methods of supporting device triggered re-authentication of slice-specific secondary authentication and authorization | |
| CN111263334B (zh) | 向移动无线设备配置电子用户身份模块 | |
| JP6574238B2 (ja) | デバイスを別のデバイスのネットワークサブスクリプションと関係付けること | |
| US11510052B2 (en) | Identity information processing method, device, and system | |
| EP3651432B1 (en) | Selection of ip version | |
| CN111149379B (zh) | 无线通信系统中的接入层安全性 | |
| US11405788B2 (en) | Wireless network service access control with subscriber identity protection | |
| WO2022056728A1 (en) | Network operations to receive user consent for edge computing | |
| CN115484595A (zh) | 一种公私网业务的隔离方法、装置及系统 | |
| KR102048469B1 (ko) | 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말 | |
| KR20150042686A (ko) | 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 | |
| CN115706997A (zh) | 授权验证的方法及装置 | |
| WO2022056733A1 (en) | Security protection on user consent for edge computing | |
| WO2024065483A1 (en) | Authentication procedures for edge computing in roaming deployment scenarios | |
| WO2024067619A1 (zh) | 通信方法和通信装置 | |
| KR20220161207A (ko) | 온-디바이스 물리적 sim에서 esim으로의 전환 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |