CN112313984B - 建立接入授权的方法、辅助系统、用户设备以及存储器 - Google Patents
建立接入授权的方法、辅助系统、用户设备以及存储器 Download PDFInfo
- Publication number
- CN112313984B CN112313984B CN201980041323.6A CN201980041323A CN112313984B CN 112313984 B CN112313984 B CN 112313984B CN 201980041323 A CN201980041323 A CN 201980041323A CN 112313984 B CN112313984 B CN 112313984B
- Authority
- CN
- China
- Prior art keywords
- network
- sub
- access
- mobile radio
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
一种用于建立用户设备(100)的用于接入移动无线电网络(106)的子网络(107)的接入授权的方法,其中所述子网络(107)借助移动无线电管理设备(102)来管理并且所述用户设备(100)的用于接入所述子网络(107)的接入授权借助所述移动无线电网络的接入设备(104)来检验,其中‑由本地管理设备(101)为所述用户设备(100)向移动无线电管理设备(102)请求(100)用于接入所述子网络(107)的接入授权,‑由移动无线电管理设备(102)将子网络授权令牌分配(2)给所述用户设备(100)并且传送(3)给所述用户设备(100),其中只有当所述子网络授权令牌在所述用户设备(100)的接入请求的情况下被传送(4)到所述子网络(107)并且被确认(5)为有效时,才授权所述用户设备(100)访问所述子网络(107)。
Description
技术领域
本发明涉及用于建立用户设备的用于接入移动无线电网络的子网络的接入授权的方法、辅助系统、用户设备以及计算机程序产品,其中子网络借助子网络运营商的移动无线电管理设备来管理并且用户设备的用于接入子网络的接入授权借助移动无线电网络运营商的移动无线电网络的接入设备来检验。
背景技术
在未来的移动无线电网络中,尤其在目前由第三代合作伙伴项目3GPP标准化的第五代(5G)的移动无线电网络中,支持不同类型的网络场景和网络运营商。除了公共移动无线电网络的运营商之外,也设置有本地的、私有的、隔离的子网络运营商,其运营实际的、独立的移动无线电网络或上级的移动无线电网络中的子网络。一般来说,仅仅来自有限的用户组的用户或用户设备才能获得对子网络的接入。
在移动无线电网络中通常在下文中也称为授权服务器的中央网络组件被用于认证用户并且管理用户的网络接入授权。在根据3GPP标准的第三代、第四代和甚至第五代的移动无线电网络中,这种中央网络组件例如被称为认证服务器(AAA服务器)、归属用户服务器(HSS)或用户配置文件服务器(UPS)。用户的网络接入授权以及关于用户的可用的服务的信息一般来说固定地配置。改变可以中央地通过移动无线电网络运营商的管理员进行。
除了用户之外,也可以在将来的5G移动无线电网络之内建立和管理子网络。这种子网络也被称为“网络切片”或“Network Slice”。在此,可以产生、改变、激活、停用或者甚至删除网络切片。子网络例如通过移动无线电网络的子网络管理功能(NSMF)来配置。然而,子网络运营商为了管理子网络并不直接访问子网络管理功能,而是子网络运营商经由在下文中被称为移动无线电管理设备的上游的客户端子网络管理功能(CSMF)访问子网络管理功能(NSMF)。示例性的功能和通信可能性例如在3GPP报告TR 28.801中予以描述。
出版物EP 3 277 008 A1公开了用于相对于通信网络认证通信设备的用户身份元素,其中该通信网络包括具有配置文件服务器的子网络。
第三代合作伙伴项目;Technical Specification Group Services and SystemAspects; Security architecture and procedures for 5G System (Release 15)",3GPP DRAFT; 33501-F00_AFTERS3#91 CRS, 3RD GENERATION PARTNERSHIP PROJECT(3GPP), MOBILE COMPETENCE CENTRE; 650, ROUTE DES LUCIOLES; F-06921 SOPHIA-ANTIPOLIS CEDEX; FRANCE, Nr.; 20180301 2018年5月18日(2018-05-18))描述了在第五代的移动无线电网络中借助根据JavaScript对象表示法的网络令牌(简称JSON令牌)对网络功能服务接入的授权,所述授权根据因特网工程任务组IETF的Outh 2.0方法来执行。
出版物US 2015/278548 A1公开了一种设备,该设备经由短距离通信从其他设备获得访问令牌并且使用所述令牌以便获得接入。
如果这种子网络被使用在工业环境中,被授权访问的用户的灵活配置是必要的。例如为了提供外部服务,在装置开始运转或在装置中查找错误时存在临时地或持久地准许其他用户访问子网络的需求。
发明内容
本发明的任务是,可以灵活地建立、改变并且管理移动无线电用户的配置文件数据和尤其用于接入子网络的接入授权。
该任务通过在独立权利要求中所描述的措施来解决。在从属权利要求中呈现了本发明的有利的改进方案。
本发明的第一方面涉及一种用于建立用户设备的用于接入移动无线电网络的子网络的接入授权的方法,其中子网络借助子网络运营商的移动无线电管理设备来管理并且用户设备的用于接入子网络的接入授权借助移动无线电运营商的移动无线电网络的接入设备来检验,其中由子网络运营商的本地管理设备为用户设备向移动无线电运营商的移动无线电管理设备请求用于接入子网络的接入授权,子网络授权令牌由移动无线电管理设备分配给用户设备并且传送给用户设备,并且将这种关联通知给子网络接入服务器,其中只有当子网络授权令牌在用户设备的接入请求的情况下被传送到子网络并且被子网络接入服务器或被授权服务器确认为有效时,才授权用户设备访问子网络。
因此在用户设备的在移动无线电网络中通常的接入请求的情况下可以根据先前所请求的和所分配的用户授权令牌检验用户设备的用于接入子网络的接入授权。这在很大程度上对应于在移动无线电网络中已知的和所使用的接入授权检查并且同时考虑由子网络运营商管理的用户设备的访问授权。
用户设备可以是移动无线电设备、移动无线电设备的用户或也可以是例如工业装置中的设备,该设备经由子网络与其他用户设备或经由子网络与其他组件连接并且与其他用户设备或其他组件通信。移动无线电管理设备例如可以对应于5G移动无线电网络的客户切片管理(Customer Slice Management)功能(CSMF)。本地管理设备在此可用于子网络运营商以用于管理子网络。本地管理设备在此优选地可以与子网络运营商关联。
在一种有利的实施方式中,只有当用户设备附加地被接入设备授权访问移动无线电网络时,才授权用户设备访问子网络。
由此,所有被授权接入公共移动无线电网络的用户设备可以获得对移动无线电网络的子网络的灵活接入。并不需要移动无线电网络运营商已事先将用户设备的用于接入子网络的接入授权配置为允许的。由此能够实现灵活的使用场景。例如,可以由移动无线电管理设备经由本地管理设备为具有移动无线电连通性的维护设备请求和分配子网络授权令牌。服务技术人员可以经由所述维护设备访问子网络并且在那里例如执行诊断或错误查找。子网络授权令牌可以由替代设备使用来获得对子网络的直接访问,而不必给替代设备本身分配自己的子网络授权令牌。因此尤其有利的是,用户设备访问移动无线电网络的授权和访问子网络的授权彼此独立地被检验。为此此外有利的是,子网络授权令牌并不直接与用户设备的用于接入移动无线电网络的接入授权耦合。
在一种有利的实施方式中,在建立子网络时建立子网络接入服务器并且使子网络授权令牌在子网络接入服务器中与子网络、尤其子网络的子网络标识符关联。
这具有如下优点:用于接入子网络的接入授权可以中央地在服务器中被存储并且被管理。这允许子网络与通过例如不同的子网络运营商或由移动无线电网络运营商对子网络的管理的尽可能的去耦。因此,除了通过移动无线电运营商的一般用户管理之外本地地通过子网络运营商对子网络的独立的、灵活的管理是可能的。
在一种有利的实施方式中,只有当子网络授权令牌与子网络的关联被确认时,才授权用户设备对子网络的接入。
尤其在运营关键的子网络、诸如安全网络或者具有实时要求的网络的情况下,由此可以以高的可靠性防止未经授权的用户设备获得对子网络的访问。
在一种有利的实施方式中,通过查询子网络接入服务器确定所述关联。
这具有如下优点:可以在不调整移动无线电网络中的其他授权服务器的情况下执行用于接入子网络的接入授权的检验并且因此不需要调整通常的移动无线电接入程序并且尤其更新移动无线电网络中的相应的授权服务器。
在一种有利的实施方式中,由子网络接入服务器将关于子网络授权令牌与子网络的关联的信息传送给移动无线电网络的授权服务器并且通过查询授权服务器确定子网络授权令牌与子网络的关联。
这具有如下优点:在用户设备的接入授权时不必联系附加设备、如这里子网络接入服务器。因此,在接入检查的情况下要联系的设备的数量以及因此通信路径可以被优化。
在一种有利的实施方式中,由用户设备经由数据通信连接或经由近场通信连接NFC或通过扫描光码或手动输入单元接收子网络授权令牌。
因此,用户设备可以经由近场通信连接利用近场标签(常常也称为RFID标签)或通过扫描QR码或通过经由输入设备手动输入来接收子网络授权令牌。由此,不需要用户设备与本地管理设备之间的例如经由数据通信连接的直接耦合。
在一种有利的实施方式中,子网络授权令牌包含必须被满足的至少一个参数,以便获得子网络的接入授权。
这具有如下优点:经由至少一个参数,可以通过检验子网络授权令牌来检查和确保用于用户设备的网络接入的其他标准。子网络授权令牌例如可以被编码为用JavaScript对象表示法(Objekt Notation)的令牌(JSON令牌)、用可扩展标记语言(也称为Extensible Markup Language XML)的文件、根据国际电信联盟ITU的X.509标准的属性证书、根据基本加密规则(BER)编码的ASN.1数据结构、安全断言标记语言(SecurityAssertion Markup Language (SAML))令牌或文本串。
经由子网络授权令牌的参数在此可以建立用于子网络的接入授权或限制。这种参数例如是:
子网络标识符本身或次子网络标识符(Sub-Teilnetzwerk-Kennung),所述标识符进一步限制到子网络的本地接入区域;
用于访问子网络的允许的反复的时间间隔,例如每天在20.00到24.00点之间的时间间隔;或
子网络授权令牌的有效时间间隔。
此外,通过参数例如可以说明移动无线电用户标识符的类型,用户设备可以利用所述移动无线电用户标识符在子网络处注册。通过这种参数也可以建立子网络授权令牌与用户的移动无线电标识符之间的耦合,使得仅仅具有所说明的移动无线电标识符的确定的用户设备可以将子网络授权令牌用于对子网络的接入授权。其他限制例如也可以涉及所允许的服务或要使用的通信协议,用户设备可以经由子网络使用所述服务或通信协议。
在一种有利的实施方式中,子网络授权令牌被保存在用户设备的内部存储器上。
因此,仅仅被分配了子网络授权令牌的用户设备可以将所述子网络授权令牌用于接入子网络并且因此可以使通过不允许的用户设备的接入最小化。
在一种有利的实施方式中,子网络授权令牌被保存在安全模块上,其中安全模块可分离地与用户设备连接并且保存在无线电网络的安全功能中。安全模块可以例如构成为与移动无线电网络的用户标识模块分开或经由数据通信连接与用户标识模块集成。
这具有如下优点:服务技术人员例如可以使用不同的用户设备,其方式是,服务技术人员将其安全模块与不同的用户设备耦合。
在一种有利的实施方式中,子网络是工业装置的控制网络并且尤其被用于将控制通信传输到子网络之外的优选地共同使用的控制服务器。
在一种有利的实施方式中,移动无线电网络根据第三代合作伙伴项目的第五代的移动无线电标准来构成。
在一种有利的实施方式中,移动无线电网络和尤其移动无线电管理设备由移动无线电网络运营商管理并且子网络和尤其本地管理设备由子网络运营商管理,其中移动无线电网络运营商与子网络运营商不同。
这具有如下优点:子网络可以由子网络运营商运营,所述子网络运营商与移动无线电网络运营商独立并且可以从移动无线电网络运营商获得基础设施或对移动无线电网络运营商的网络的一部分的本地接入授权。
本发明的第二方面涉及一种用于建立用户设备的用于接入移动无线电网络的子网络的接入授权的辅助系统,其中子网络借助子网络运营商的移动无线电管理设备来管理并且用户设备的用于接入子网络的接入授权借助移动无线电网络运营商的移动无线电网络的接入设备来检验,所述辅助系统包括本地管理设备,所述本地管理设备构成为,为用户设备向移动无线电运营商的移动无线电管理设备请求用于接入子网络的访问授权,并且移动无线电管理设备构成为,给用户设备分配子网络授权令牌并且将所述子网络授权令牌传送给所述用户设备,以及将这种关联通知给子网络接入服务器,其中只有当子网络授权令牌在用户设备的接入请求的情况下被传送到子网络并且被子网络接入服务器或被授权服务器确认为有效时,才授权用户设备访问子网络。
在一个有利的实施方式中,辅助系统此外具有子网络接入服务器,该子网络接入服务器在建立子网络时被建立并且构成为使子网络授权令牌与子网络、尤其子网络的子网络标识符关联并且执行根据上述特征的方法。
本发明的第三方面涉及一种用于建立用于接入移动无线电网络的子网络的接入授权的用户设备,其中子网络借助移动无线电管理设备来管理并且用户设备的用于接入子网络的接入授权借助移动无线电网络的接入设备来检验,所述用户设备构成为接收由移动无线电管理设备经由本地管理设备传送的子网络授权令牌并且将子网络授权令牌以及用户的移动无线电标识符发送给接入设备,以便根据上述方法获得对子网络(107)的接入。
本发明的第四方面涉及一种计算机程序产品,该计算机程序产品可以直接加载到至少一个数字计算机的存储器中,该计算机程序产品包括程序代码部分,所述程序代码部分适于执行所描述的方法的步骤。
措辞“计算机”应尽可能宽泛地来解释,以便尤其覆盖具有数据处理特性的所有电子设备。计算机因此例如可以是个人计算机、服务器、手持计算机系统、口袋型PC设备、移动无线电设备、和移动无线电网络或子网络的可以处理计算机辅助的数据的其他设备、处理器和用于数据处理的其他电子设备。
附图说明
根据本发明的方法、辅助系统和用户设备的实施例在附图中示例性地呈现并且借助随后的描述更详细地被解释。
图1作为流程图示出根据本发明的方法的一个实施例;
图2以框图示出根据本发明的辅助系统的一个实施例;
图3以框图示出根据本发明的用户设备的一个实施例;
图4示出在第一移动无线电网络场景中借助消息交换的根据本发明的方法的第二实施例;以及
图5示出在移动无线电网络场景中借助消息交换的根据本发明的方法的第三实施例。
彼此对应的部分在所有图中配备有相同的附图标记。
具体实施方式
在图1中以流程图的形式呈现了根据本发明的方法的一个实施例。根据本发明的方法用于建立用户设备的用于接入移动无线电网络的子网络的接入授权。在诸如由3GPP标准化为第五代移动无线电网络的移动无线电网络中,存在通过在下文中被称为子网络运营商的客户端来管理移动无线电网络的局部受限的子区域的可能性。作为在子网络运营商和移动无线电网络之间的管理接口提供移动无线电管理设备,子网络运营商可以经由该移动无线电管理设备来管理子网络。用户设备的用于接入子网络的接入授权借助移动无线电网络的接入设备来检验。接入设备为了检验接入授权与移动无线电网络的其他组件、尤其授权服务器通信,所述其他组件提供关于所允许的服务和用户设备的接入授权的信息。
为了现在为用户设备建立用于接入子网络的接入授权,在第一步骤1中由子网络运营商的本地管理设备为用户设备向移动无线电运营商的移动无线电管理设备请求用于接入子网络的接入授权。在移动无线电管理设备中于是为用户设备分配子网络授权令牌,参见方法步骤2,并且传送给用户设备,参见方法步骤3。在接入请求的情况下,用户设备将所获得的子网络授权令牌传送到子网络,参见方法步骤4。换言之,如果用户设备想要建立到子网络的连接,所述用户设备例如在接入请求的情况下除了对于移动无线电网络而言通常的请求参数之外一起传送子网络授权令牌。
但是只有当子网络授权令牌在方法步骤5中被移动无线电网络或接入设备确认为有效时,所述用户设备才被授权访问所述子网络。优选地,除了子网络授权令牌之外也检验用户设备的移动无线电网络接入授权,使得只有被授权接入移动无线电网络的用户设备也能够获得对所述子网络的访问。
在分配用户设备的子网络授权令牌时,使子网络授权令牌与子网络相关联,并且尤其通过子网络标识符来标识该子网络,使得建立子网络授权令牌与子网络标识符之间的关联。这可以在移动无线电管理设备中实施。然而优选地在建立子网络时建立子网络接入服务器,并且保存和管理子网络授权令牌与子网络标识符之间的关联。
子网络授权令牌包含至少一个参数,所述参数在检查接入授权时被检验并且只有当满足所述参数或与所述参数相联系的标准时才授权接入。子网络授权令牌例如可以被编码为JSON令牌、XML文件、X.509属性证书、BER编码的ASN.1数据结构、SAML令牌或文本串。
图2示出辅助系统,所述辅助系统由本地管理设备301、移动无线电管理设备302以及子网络接入服务器303构成。本地管理设备101经由有线或无线连接与移动无线电管理设备102连接。子网络接入服务器303与移动无线电管理设备302连接并且存储由移动无线电管理设备302分配的子网络授权令牌,尤其这里也管理子网络标识符与用户设备的子网络授权令牌的关联并且例如在访问授权的情况下由移动无线电网络组件查询。子网络接入服务器303也可以以集成的方式构成为这种移动无线电组件、尤其授权服务器中的子功能。子网络接入服务器303优选地在建立子网络时建立。本地管理设备301、移动无线电管理设备302以及子网络接入服务器303包括实施所提到的功能的至少一个数字处理器。
图3现在示出用户设备400。用户设备400具有内部存储器401,在所述内部存储器中保存所分配的子网络授权令牌。替代地,子网络授权令牌可以存储在安全模块上,所述安全模块可分离地与用户设备400连接。安全模块可以类似于用户标识模块402构成,所述用户标识模块同样布置在用户设备400中。
替代地,子网络授权令牌可以附加地存放在用户标识模块402上。由移动无线电管理设备所请求的子网络授权令牌可以被传送给本地管理设备并且在那里被保存,例如用于其他管理功能。用户设备400包括数据通信接口403,以便例如从本地管理设备301接收子网络授权令牌。
用户设备400替代地或附加地具有近场通信接口404,以便能够读入子网络授权令牌,所述子网络授权令牌例如以也被称为RFID应答器的无线电标签的形式。经由光学接口405例如可以从用户设备接收被编码为二维条码(也被称为QR码)的子网络授权令牌。此外,用户设备包括手动输入接口406、例如键区或可外部连接的键盘、触敏屏幕,其中手动地输入子网络授权令牌。因此,用户设备支持多种输入可能性并且因此支持用于用户授权令牌的不同分发策略。
此外,用户设备400包括控制单元407,所述控制单元包括用于检验接入授权、诸如发出包括子网络授权令牌的接入请求的功能。用户设备400的所提到的模块和接口以及控制单元407以硬件技术的形式或也以软件技术的形式在至少一个处理器上实现,其中处理器尤其是主处理器、微处理器或微控制器,可能与用于存储程序指令的存储单元组合。
图4现在示出在移动无线电网络111中该方法的示例性实现。示例性地绘出了移动无线电网络111的接入设备104。这例如可以是移动无线电接入网络或者移动无线电网络核心网络的移动无线电网络天线以及其他控制设备。这种接入设备104例如可以仅仅获得对由子网络运营商管理的子网络107的接入。但是接入设备104也可以作为用于移动无线电网络106的可公开访问的部分的接入设备提供。所呈现的子网络107或所呈现的公共移动无线电网络106因此可以经由接入设备104来到达。
子网络107例如可以被用作工业装置的控制网络或被用于在空间上被确定界线的地带、诸如港口区、车间,以便在该子网络中提供非公开的数据通信。尤其,子网络107中的控制通信可以利用布置在该子网络之外的控制服务器来交换。尤其,可以使用在经由子网络107连接的用户设备100与共享地使用的控制服务器之间的通信连接,所述控制服务器也被称为云服务器。这种控制服务器被多个用户共同使用。移动无线电网络111例如根据第五代的移动无线电标准构成。典型地,子网络通过子网络供应商来管理,而移动无线电网络运营商提供用于运营移动无电线网络的基础设施,以及管理和检验管理功能和授权服务器105,用于检验接入授权和其他例如针对服务的使用授权。
辅助系统110被呈现为与移动无线电网络连接,该辅助系统具有本地管理设备101、移动无线电管理设备102和子网络接入服务器103。本地管理设备101用于通过子网络运营商管理子网络。移动无线电管理设备102优选地由移动无线电运营商提供,作为用于管理作为移动无线电网络的一部分的子网络的接入设备。
为了使用户设备100能够访问子网络107,本地管理设备101请求用于确定的子网络的子网络认证令牌。相应的消息在步骤S1中被发送给移动无线电管理设备102并且包括所期望的子网络的子网络标识符。移动无线电管理设备102产生子网络授权令牌,参见S2,并且创建用户与子网络认证令牌以及子网络标识符之间的关联。这种关联被通知给子网络接入服务器,参见S3a。与此并行地,移动无线电管理设备102在步骤S3b中将子网络授权令牌经由本地管理设备101传送给用户设备100,参见S3b或S4。
在用户设备100中,子网络授权令牌例如被存放在移动无线电标识模块108上,在所述移动无线电标识模块上也存储有用于接入移动无线电网络的移动无线电标识标识符。
用户设备100现在可以在移动无线电网络的接入设备104处注册。为此,用户设备在步骤S5中传送其移动无线电标识符、例如网络接入标识符、假名网络接入标识符,例如移动无线电标识符或移动无线电设备本身的标识符或移动无线电设备的MAC地址被编码到所述假名网络接入标识符中。作为认证和密钥协定协议,例如可以使用类型AKA(EAP-AKA)或EAP-TLS或EAP-TTLS的可扩展的认证协议。用户设备现在由授权服务器105、例如用户配置文件服务器、认证服务器或本地订阅服务器(Heimat-Subscriptionsserver)认证,参见S6,并且给子网络接入服务器提供用户设备100的配置文件数据,S7。
用户设备获得接入公共移动无线电网络的授权的确认,S8。为了获得对子网络107的该接入,用户设备100现在例如在单独的消息S9中将子网络授权令牌例如与应被访问的子网络标识符一起以及用户的移动无线电标识符发送给接入设备104,参见S9。
接入设备104于是将查询传送给子网络接入服务器103,S10。该子网络接入服务器检验,子网络授权令牌与子网络标识符和移动无线电用户标识符的对应的关联是否存在并且经由接入设备104向用户设备确认这一点,参见S11、S12。因为在所描述的场景中授权服务器105不包括关于尤其用于接入子网络的其他接入授权的信息,所述在步骤S10和S11中联系子网络接入服务器103并且检验用于接入子网络的访问授权,其方式是:确认子网络授权令牌与子网络标识符以及可能进一步地移动无线电网络标识符之间的关联。
图5示出一个实施例,在该实施例中在检验用于接入移动无线电网络的接入授权之前从子网络接入服务器103向授权服务器105执行用于接入子网络的接入授权。
在根据在图4中所描述的流程请求和分配子网络授权令牌(这里SA1至SA4)之后,用户设备100将接入请求SA5传送给子网络接入服务器103并且在该接入请求中将所分配的子网络授权令牌、请求访问的子网络的子网络标识符以及用户设备100的移动无线电标识符通知给该子网络接入服务器。子网络接入服务器103现在检验:是否存在子网络授权令牌与子网络标识符的关联,参见SA6。如果情况如此,子网络接入服务器103将用户设备100的用于接入子网络107的授权信息传送给授权服务器105,参见SA7,并且用户设备100确认成功的注册,参见SA9和SA10。
在用户设备100向接入设备104的随后的接入请求的情况下,参见SA11,用户设备100将子网络标识符和/或分配给其的子网络授权令牌通知给接入设备104。这些信息被转发给授权服务器105(SA12)。在授权服务器105中检验用户配置文件数据时,检验例如子网络标识符与子网络认证令牌和/或与用户标识符的关联的形式的授权信息。最后,依赖于检验结果的应答消息被传送给用户设备100,参见SA13、SA14。用户设备100因此被授权访问子网络107。
在一种实施方式中,用户设备100在子网络接入服务器103处的注册和授权服务器105的随后的更新可以仅仅在第一次访问子网络107之前执行。但是在另一实施方式中也可以在用户设备100的第一次接入尝试时或每次接入请求时在子网络107中执行该注册。
所有所描述的和/或绘出的特征可以在本发明的范围中有利地彼此组合。本发明并不限于所描述的实施例。
Claims (20)
1.一种用于建立用户设备(100)的用于接入移动无线电网络(106)的子网络(107)的接入授权的方法,其中所述子网络(107)借助移动无线电管理设备(102)来管理并且所述用户设备(100)的用于接入所述子网络(107)的接入授权借助所述移动无线电网络的接入设备(104)来检验,其中
-由本地管理设备(101)为所述用户设备(100)向所述移动无线电管理设备(102)请求(1)用于接入所述子网络(107)的访问授权,
- 由所述移动无线电管理设备(102)将子网络授权令牌分配(2)给所述用户设备(100)并且传送(3)给所述用户设备(100),
- 将所述子网络授权令牌与所述用户设备(100)的这种关联通知给子网络接入服务器(103),
其中只有当所述子网络授权令牌在所述用户设备(100)的接入请求的情况下被传送(4)到所述子网络(107)并且被所述子网络接入服务器(103)或被授权服务器(105)确认(5)为有效时,所述用户设备(100)才被授权访问所述子网络(107)。
2.根据权利要求1所述的方法,其中只有当所述用户设备(100)附加地被所述接入设备(104)授权访问所述移动无线电网络(106)时,所述用户设备(100)才被授权访问所述子网络(107)。
3.根据上述权利要求1至2中任一项所述的方法,其中在建立子网络(107)时建立所述子网络接入服务器(103),并且在所述子网络接入服务器(103)中使所述子网络授权令牌与子网络(107)关联。
4.根据上述权利要求1至2中任一项所述的方法,其中在建立子网络(107)时建立所述子网络接入服务器(103),并且在所述子网络接入服务器(103)中使所述子网络授权令牌与所述子网络(107)的子网络标识符关联。
5.根据上述权利要求1至2中任一项所述的方法,其中只有当确认所述子网络授权令牌与所述子网络(107)的关联时,才授权所述用户设备(100)对所述子网络(107)的接入。
6.根据权利要求5所述的方法,其中通过查询所述子网络接入服务器(103)来确定所述关联。
7.根据权利要求5所述的方法,其中关于所述子网络授权令牌与所述子网络(107)的关联的信息由所述子网络接入服务器(103)传送给所述移动无线电网络的授权服务器(105),并且通过查询所述授权服务器(105)来确定所述关联。
8.根据上述权利要求1至2中任一项所述的方法,其中由所述用户设备(100)经由数据通信连接或经由近场通信连接或通过扫描光码或经由手动输入单元接收所述子网络授权令牌。
9.根据上述权利要求1至2中任一项所述的方法,其中所述子网络授权令牌包含至少一个参数,所述参数必须被满足,以获得用于接入所述子网络(107)的接入授权。
10.根据上述权利要求1至2中任一项所述的方法,其中所述子网络授权令牌被保存在所述用户设备(100)的内部存储器上。
11.根据上述权利要求1至2中任一项所述的方法,其中所述子网络授权令牌被保存在安全模块(108)上,其中所述安全模块(108)可分离地与所述用户设备(100)连接并且保存在所述移动无线电网络的安全功能中。
12.根据上述权利要求1至2中任一项所述的方法,其中所述子网络(107)是工业装置的控制网络。
13.根据权利要求12所述的方法,其中所述子网络(107)被用于将控制通信传输到所述子网络(107)之外的控制服务器。
14.根据上述权利要求1至2中任一项所述的方法,其中所述移动无线电网络根据第三代合作伙伴项目(3GPP)的第五代(5G)的移动无线电标准构成。
15.根据上述权利要求1至2中任一项所述的方法,其中所述移动无线电网络和所述移动无线电管理设备(103)由移动无线电网络运营商管理,并且所述子网络(107)和所述本地管理设备(101,301)由子网络运营商管理,并且其中所述移动无线电网络运营商与所述子网络运营商不同。
16.一种用于建立用户设备(100)的用于接入移动无线电网络(106)的子网络(107)的接入授权的辅助系统,其中所述子网络(107)借助移动无线电管理设备(102)来管理并且所述用户设备(100)的用于接入所述子网络(107)的接入授权借助所述移动无线电网络的接入设备(104)来检验,所述辅助系统包括:
- 本地管理设备(101,301),所述本地管理设备构成为为所述用户设备(100)向移动无线电管理设备(102)请求用于接入所述子网络(107)的访问授权,和
- 所述移动无线电管理设备(102)构成为将子网络授权令牌分配给所述用户设备(100)并且传送给所述用户设备(100),并且将所述子网络授权令牌与所述用户设备(100)的这种关联通知给子网络接入服务器(103),
其中只有当所述子网络授权令牌在所述用户设备(100)的接入请求的情况下被传送到所述子网络(107)并且被所述子网络接入服务器(103)或被授权服务器(105)确认为有效时,所述用户设备(100)才被授权访问所述子网络(107)。
17.根据权利要求16所述的辅助系统(110),其中在建立子网络(107)时建立所述子网络接入服务器(103),并且所述子网络接入服务器构成为使所述子网络授权令牌与子网络(107)关联并且执行根据权利要求1至15所述的方法。
18.根据权利要求16所述的辅助系统(110),其中在建立子网络(107)时建立所述子网络接入服务器(103),并且所述子网络接入服务器构成为使所述子网络授权令牌与所述子网络(107)的子网络标识符关联并且执行根据权利要求1至15所述的方法。
19.一种用于建立用于接入移动无线电网络(106)的子网络(107)的接入授权的用户设备,其中所述子网络(107)借助移动无线电管理设备(102)来管理并且所述用户设备(100)的用于接入所述子网络(107)的接入授权借助所述移动无线电网络的接入设备(104)来检验,所述用户设备构成为接收由所述移动无线电管理设备(102)经由本地管理设备(101)传送的子网络授权令牌,并且将所述子网络授权令牌以及用户的移动无线电标识符发送给所述接入设备(104),以便按照根据权利要求1至15所述的方法获得对所述子网络(107)的接入。
20.一种数字计算机的存储器,具有计算机程序,所述计算机程序包括程序代码部分,所述程序代码部分适合于执行根据权利要求1至15中任一项所述的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18178316.8A EP3585084A1 (de) | 2018-06-18 | 2018-06-18 | Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes |
| EP18178316.8 | 2018-06-18 | ||
| PCT/EP2019/064682 WO2019243054A1 (de) | 2018-06-18 | 2019-06-05 | Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112313984A CN112313984A (zh) | 2021-02-02 |
| CN112313984B true CN112313984B (zh) | 2022-09-09 |
Family
ID=62750768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980041323.6A Active CN112313984B (zh) | 2018-06-18 | 2019-06-05 | 建立接入授权的方法、辅助系统、用户设备以及存储器 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11304058B2 (zh) |
| EP (2) | EP3585084A1 (zh) |
| CN (1) | CN112313984B (zh) |
| WO (1) | WO2019243054A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3609240A1 (de) | 2018-08-09 | 2020-02-12 | Siemens Aktiengesellschaft | Computerimplementiertes verfahren und netzwerkzugangsserver zum verbinden einer netzwerkkomponente mit einem netzwerk, insbesondere einem mobilfunknetz, mit einem erweiterten netzwerkzugangskennzeichen |
| US11574044B1 (en) * | 2020-03-30 | 2023-02-07 | Amazon Technologies, Inc. | Allocating requests |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101816140A (zh) * | 2007-07-27 | 2010-08-25 | 通用仪表公司 | 用于pki个性化过程的基于令牌的管理系统 |
| CN108141433A (zh) * | 2015-10-22 | 2018-06-08 | 西门子股份公司 | 用于在网络中使用的设备、控制器、网络和方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7024692B1 (en) * | 2000-01-21 | 2006-04-04 | Unisys Corporation | Non pre-authenticated kerberos logon via asynchronous message mechanism |
| FR2842055B1 (fr) | 2002-07-05 | 2004-12-24 | Nortel Networks Ltd | Procede pour controler l'acces a un systeme cellulaire de radiocommunication a travers un reseau local sans fil, et organe de controle pour la mise en oeuvre du procede |
| US20110119743A1 (en) * | 2009-11-17 | 2011-05-19 | General Instrument Corporation | Communication of content to event attendees |
| US10482254B2 (en) * | 2010-07-14 | 2019-11-19 | Intel Corporation | Domain-authenticated control of platform resources |
| EP2606682A1 (en) * | 2010-08-16 | 2013-06-26 | Telefonaktiebolaget L M Ericsson (publ) | Mediation server, control method therefor, communication device, control method therefor, communication system, and computer program |
| US20140115126A1 (en) * | 2012-10-19 | 2014-04-24 | Electronics And Telecommunications Research Institute | System for controlling and verifying open programmable network and method thereof |
| EP2925037A1 (en) * | 2014-03-28 | 2015-09-30 | Nxp B.V. | NFC-based authorization of access to data from a third party device |
| US20170164212A1 (en) * | 2015-09-29 | 2017-06-08 | Telefonaktiebolaget L M Ericsson (Publ) | Network slice management |
| JP6682254B2 (ja) * | 2015-12-08 | 2020-04-15 | キヤノン株式会社 | 認証連携システム及び認証連携方法、認可サーバー及びプログラム |
| US9967801B2 (en) * | 2016-06-10 | 2018-05-08 | Lg Electronics Inc. | Method and apparatus for receiving authorization information on network slice |
| KR102358918B1 (ko) * | 2016-07-04 | 2022-02-07 | 삼성전자 주식회사 | 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치 |
| EP3277008A1 (de) * | 2016-07-29 | 2018-01-31 | Deutsche Telekom AG | Teilnehmeridentitätselement zum authentifizieren eines kommunikationsgerätes gegenüber einem kommunikationsnetzwerk |
| CN110417563A (zh) * | 2018-04-26 | 2019-11-05 | 中兴通讯股份有限公司 | 一种网络切片接入的方法、装置和系统 |
-
2018
- 2018-06-18 EP EP18178316.8A patent/EP3585084A1/de not_active Withdrawn
-
2019
- 2019-06-05 CN CN201980041323.6A patent/CN112313984B/zh active Active
- 2019-06-05 EP EP19733675.3A patent/EP3785459B1/de active Active
- 2019-06-05 US US16/973,978 patent/US11304058B2/en active Active
- 2019-06-05 WO PCT/EP2019/064682 patent/WO2019243054A1/de unknown
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101816140A (zh) * | 2007-07-27 | 2010-08-25 | 通用仪表公司 | 用于pki个性化过程的基于令牌的管理系统 |
| CN108141433A (zh) * | 2015-10-22 | 2018-06-08 | 西门子股份公司 | 用于在网络中使用的设备、控制器、网络和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3785459B1 (de) | 2022-03-30 |
| WO2019243054A1 (de) | 2019-12-26 |
| CN112313984A (zh) | 2021-02-02 |
| EP3585084A1 (de) | 2019-12-25 |
| US11304058B2 (en) | 2022-04-12 |
| EP3785459A1 (de) | 2021-03-03 |
| US20210314775A1 (en) | 2021-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9178857B2 (en) | System and method for secure configuration of network attached devices | |
| US9025769B2 (en) | Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone | |
| EP2248322B1 (en) | Methods and apparatus for wireless device registration | |
| US8365249B1 (en) | Proxy registration and authentication for personal electronic devices | |
| US20110302643A1 (en) | Mechanism for authentication and authorization for network and service access | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| EP1881665B1 (en) | System and method for provisioning device certificates | |
| US20160127132A1 (en) | Method and apparatus for installing profile | |
| US20080022103A1 (en) | System and Method for Provisioning Device Certificates | |
| EP1993301B1 (en) | Method and apparatus of operating a wireless home area network | |
| US10148651B2 (en) | Authentication system | |
| US9344417B2 (en) | Authentication method and system | |
| KR20080009046A (ko) | 사용자 정책 제공 방법, 이동 통신 시스템, 사용자 단말기및 네트워크 요소 | |
| KR20060117319A (ko) | 보안모듈을 이용한 애플리케이션의 보안 관리 방법 | |
| CN112313984B (zh) | 建立接入授权的方法、辅助系统、用户设备以及存储器 | |
| US20080148044A1 (en) | Locking carrier access in a communication network | |
| CN104604295B (zh) | 用于在无线通信系统中由服务器管理终端对资源的访问权限的方法及其设备 | |
| CN112335215B (zh) | 用于将终端设备联接到可联网的计算机基础设施中的方法 | |
| WO2011131002A1 (zh) | 身份管理方法及系统 | |
| JP2009267638A (ja) | 端末認証・アクセス認証方法および認証システム | |
| KR101456033B1 (ko) | 이동통신 단말기와 프로비저닝 서버 사이에서 프로비저닝데이터를 송수신하는 방법, 이를 위한 이동통신 단말기 및프로비저닝 서버 | |
| US8589519B2 (en) | Method and device for uniform resource identifier handling of user device | |
| US20040152448A1 (en) | Method and arrangement for authenticating terminal equipment | |
| CN112616148B (zh) | 认证方法、认证平台和认证系统 | |
| US11722487B2 (en) | Connecting an end device to a linkable computer infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |