CN114616850A - 用于网络切片认证和授权的方法和系统 - Google Patents

用于网络切片认证和授权的方法和系统 Download PDF

Info

Publication number
CN114616850A
CN114616850A CN202080076389.1A CN202080076389A CN114616850A CN 114616850 A CN114616850 A CN 114616850A CN 202080076389 A CN202080076389 A CN 202080076389A CN 114616850 A CN114616850 A CN 114616850A
Authority
CN
China
Prior art keywords
nssaa
nssai
procedure
amf
amf device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080076389.1A
Other languages
English (en)
Inventor
K.蒂瓦里
R.拉加杜赖
李淏娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of CN114616850A publication Critical patent/CN114616850A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/06Reselecting a communication resource in the serving access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/12Reselecting a serving backbone network switching or routing node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/24Reselection being triggered by specific parameters
    • H04W36/32Reselection being triggered by specific parameters by location or mobility data, e.g. speed data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开涉及一种用于融合用于支持超过第四代(4G)系统的更高数据速率的第五代(5G)通信系统与物联网(IoT)技术的通信方法和系统。本公开可以应用于基于5G通信技术和IoT相关技术的智能服务,诸如智能家居、智能建筑、智能城市、智能汽车、联网汽车、医疗保健、数字教育、智能零售、安全和安保服务。实施例公开了一种用于在无线网络系统中处理网络切片特定认证和授权(NSSAA)过程的方法和系统。

Description

用于网络切片认证和授权的方法和系统
技术领域
本公开涉及用于网络切片认证和授权方法和装置。
背景技术
为了满足自4G通信系统部署以来增加的对无线数据业务的需求,已经努力开发改进的5G或预5G通信系统。因此,5G或预5G通信系统也被称为“超4G网络”或“后LTE系统”。5G通信系统被考虑在更高频率(毫米波)频带(例如,60GHz频带)中实施,以便实现更高的数据速率。为了减少无线电波的传播损耗并增加传输距离,在5G通信系统中讨论了波束成形、大规模多输入多输出(MIMO)、全维MIMO(FD-MIMO)、阵列天线、模拟波束成形、大规模天线技术。此外,在5G通信系统中,正在基于高级小小区、云无线电接入网络(RAN)、超密集网络、设备到设备(D2D)通信、无线回程、移动网络、协作通信、协作多点(CoMP)、接收端干扰消除等进行系统网络改进的开发。在5G系统中,已经开发了作为高级编码调制(ACM)的混合FSK和QAM调制(FQAM)和滑动窗口叠加编码(SWSC),以及作为高级接入技术的滤波器组多载波(FBMC)、非正交多址(NOMA)和稀疏码多址(SCMA)。
互联网,作为人类在其中生成和消费信息的以人为中心的连接网络,现在正在向分布式实体(诸如事物)在其中在没有人类干预的情况下交换和处理信息的物联网(IoT)发展。作为IoT技术和大数据处理技术通过与云服务器连接相结合的万物互联(IoE)已经出现。随着IoT实施需要诸如“传感技术”、“有线/无线通信和网络基础设施”、“服务接口技术”和“安全技术”的技术要素,近来已经研究了传感器网络、机器对机器(M2M)通信、机器类型通信(MTC)等。这样的IoT环境可以提供智能互联网技术服务,其通过收集和分析互联事物之间生成的数据,为人类生活创造新的价值。通过现有信息技术(IT)和各种工业应用之间的融合和结合,IoT可以应用于各种领域,包括智能家居、智能建筑、智能城市、智能汽车或联网汽车、智能电网、医疗保健、智能家电和高级医疗服务。
与此相适应,已经进行了各种尝试来将5G通信系统应用于IoT网络。例如,诸如传感器网络、机器类型通信(MTC)和机器对机器(M2M)通信的技术可以通过波束成形、MIMO和阵列天线来实施。云无线电接入网络(RAN)作为上述大数据处理技术的应用也可以被认为是5G技术和IoT技术之间融合的示例。
发明内容
问题解决方案
因此,本文的实施例公开了一种用于在无线网络系统中处理网络切片特定认证和授权(network slice specific authentication and authorization,NSSAA)过程的方法。
该方法包括由源接入和移动性功能(AMF)设备检测针对至少一个单网络切片选择辅助信息(single network slice selection assistance information,S-NSSAI)的NSSAA过程正在进行,并且在NSSAA过程期间从源AMF设备到目标AMF的AMF间切换过程被触发。该方法包括由源AMF设备将至少一个S-NSSAI的NSSAA过程的NSSAA状态存储为未决(pending);以及在检测到NSSAA过程的完成或中止时,由源AMF设备将所存储的至少一个S-NSSAI的NSSAA状态传送到目标AMF设备。
在实施例中,该方法还包括由目标AMF设备接收被标记为未决的至少一个S-NSSAI的NSSAA过程的NSSAA状态,以及由目标AMF设备发起针对至少一个S-NSSAI的NSSAA过程。该方法还包括由源AMF设备检测NSSAA过程是完成或中止,以及由源AMF设备将至少一个S-NSSAI标记为允许的NSSAI列表或拒绝的S-NSSAI列表之一的一部分。
在实施例中,目标AMF设备支持NSSAA过程。
在实施例中,该方法还包括在完成所发起的NSSAA过程时,由目标AMF设备将至少一个S-NSSAI的NSSAA过程的NSSAA状态从未决更新为完成。
在实施例中,该方法包括在成功完成至少一个S-NSSAAI的NSSAA过程时,由目标AMF设备将至少一个S-NSSAI的状态从请求的S-NSSAI更新为允许的S-NSSAI。该方法还包括由目标AMF设备向用户设备(UE)发送至少一个S-NSSAI的更新的状态。
在实施例中,正在进行的NSSAA过程对应于针对至少一个S-NSSAI不向用户设备(UE)分配协议数据单元(protocol data unit,PDU)会话。
因此,本文的实施例公开了一种用于处理网络切片特定认证和授权(NSSAA)过程的无线网络系统。该系统包括源AMF设备和目标AMF设备。源AMF设备包括存储器、处理器和通信连接到存储器和处理器的源NSSAA过程控制器。源NSSAA过程控制器被配置为检测针对至少一个单网络切片选择辅助信息(S-NSSAI)的NSSAA过程正在进行,并且在NSSAA过程期间从源AMF到目标AMF的AMF间切换过程被触发。此外,源NSSAA过程控制器被配置为将至少一个S-NSSAI的NSSAA过程的NSSAA状态存储为未决。源NSSAA控制器还被配置为在检测到NSSAA过程的完成或中止之一时,将所存储的至少一个S-NSSAI的NSSAA过程的NSSAA状态传送到目标AMF。
当结合下面的描述和附图考虑时,将会更好地理解和明白本文的实施例的这些和其他方面。然而,应当理解的是,尽管下面的描述指出了优选实施例和他们的许多具体细节,但是这些描述是以说明的方式给出的,而不是限制性的。在不脱离本文的实施例的精神的情况下,可以在本文的实施例的范围内进行许多改变和修改,并且本文的实施例包括所有这样的修改。
在进行下面的详细描述之前,阐述贯穿本专利文档使用的特定单词和短语的定义可能是有利的:术语“包括”和“包含”及其派生词意味着没有限制的包含;术语“或”是包含性的,意味着和/或;短语“与…相关联”和“与其相关联”及其派生词可以表示包括、被包括在…内、与…互连、包含、被包含在…内、连接到…或与…连接、耦合到…或与…耦合、与…可通信、与…合作、交错、并置、接近…、被结合到…或与…结合、具有、具有…特性等;术语“控制器”是指控制至少一个操作的任何设备、系统或其一部分,这种设备可以用硬件、固件或软件或至少两者的某种组合来实施。应当注意,与任何特定控制器相关联的功能可以是集中式的或分布式的,无论是本地的还是远程的。
此外,下面描述的各种功能可以由一个或多个计算机程序实施或支持,每个计算机程序由计算机可读程序代码形成并体现在计算机可读介质中。术语“应用”和“程序”是指一个或多个计算机程序、软件组件、指令集、过程、功能、对象、类、实例、相关数据或其适于以合适的计算机可读程序代码实施的一部分。短语“计算机可读程序代码”包括任何类型的计算机代码,包括源代码、目标代码和可执行代码。短语“计算机可读介质”包括能够由计算机访问的任何类型的介质,诸如只读存储器(ROM)、随机存取存储器(RAM)、硬盘驱动器、光盘(CD)、数字视频光盘(DVD)或任何其他类型的存储器。“非暂时性”计算机可读介质不包括传输暂时性电信号或其他信号的有线、无线、光学或其他通信链路。非暂时性计算机可读介质包括可以永久存储数据的介质和可以存储数据并在以后重写的介质,诸如可重写光盘或可擦除存储器设备。
在本专利文档中提供了特定单词和短语的定义,本领域的普通技术人员应当理解,在许多情况下,如果不是大多数情况下,这样的定义适用于这样定义的单词和短语的先前以及将来的使用。
附图说明
为了更完整地理解本公开及其优点,现在结合附图参考以下描述,其中相同的附图标记表示相同的部件:
图1示出了根据本文公开的实施例的用于网络切片认证的无线通信系统;
图2示出了根据本文公开的实施例的用于网络切片认证的无线网络系统的网络架构;
图3A和图3B共同示出了根据本文公开的实施例的表示网络切片认证和授权过程的序列图;
图4A和图4B共同示出了根据本文公开的实施例的表示UE从源NG_RAN到目标NG_RAN的切换过程的序列图;
图5示出了根据本文公开的实施例的表示在UE的切换期间的NSSAA过程处理过程的流程图;
图6A示出了根据本文公开的实施例的指示与S-NSSAI切片相关联的NSSAA过程的认证状态类型的表;
图6B示出了根据本文公开的实施例的表示UE上下文消息中特定S-NSSAI切片的NSSAA状态的表;
图7示出了根据本文公开的实施例的用于在UE的切换期间实施NSAA过程处理过程的源AMF的组件图;
图8示出了根据本文公开的实施例的用于在UE的切换之后实施NSAA过程处理过程的目标AMF的组件图;和
图9示出了示出根据本文公开的实施例的用于在UE的切换期间处理正在进行的或未决的NSSAA过程的方法的流程图。
图10是示出根据本文公开的实施例的UE的框图。
图11是示出根据本文公开的实施例的基站的框图。
图12是示出根据本文公开的实施例的网络实体的框图。
具体实施方式
下面讨论的图1至图9以及用于描述本专利文档中的本公开的原理的各种实施例仅仅是示例性的,并且不应以任何方式解释为限制本公开的范围。本领域技术人员将理解,本公开的原理可以在任何适当布置的系统或设备中实施。
参考在附图中示出并在以下描述中详述的非限制性实施例,更全面地解释了本文的实施例及其各种特征和有利细节。省略了对公知组件和处理技术的描述,以免不必要地模糊本文的实施例。此外,本文描述的各种实施例不一定是互斥的,因为一些实施例可以与一个或多个其他实施例组合以形成新的实施例。除非另有说明,本文使用的术语“或”是指非排他性的或。本文使用的示例仅仅是为了便于理解可以实践本文的实施例的方式,并且进一步使得本领域技术人员能够实践本文的实施例。因此,这些示例不应被解释为限制本文实施例的范围。
按照本领域的传统,可以根据执行所描述的一个或多个功能的块来描述和说明实施例。这些块在本文中可被称为单元或模块等,由模拟或数字电路(诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、硬连线电路等)物理实施,并且可以可选地由固件驱动。电路可以例如体现在一个或多个半导体芯片中,或者在诸如印刷电路板等的衬底支架上。构成块的电路可以由专用硬件、或者由处理器(例如,一个或多个编程的微处理器和相关电路系统)、或者由执行块的一些功能的专用硬件和执行块的其他功能的处理器的组合来实施。在不脱离本发明的范围的情况下,实施例的每个块可以被物理地分成两个或更多个相互作用的和离散的块。同样,在不脱离本发明的范围的情况下,实施例的块可以物理地组合成更复杂的块。
附图用于帮助容易地理解各种技术特征,并且应当理解,本文呈现的实施例不受附图的限制。因此,本公开应当被解释为延伸到除了附图中具体阐述的那些之外的任何变更、等同物和替代物。虽然术语第一、第二等可以在本文中用来描述各种元件,但是这些元件不应被这些术语所限制。这些术语通常仅用于区分一个元件和另一个元件。
网络切片是作为第五代(5G)无线通信网络的重要特征而开发的。网络切片是一种在通用物理网络基础设施上设计独特的逻辑和虚拟化网络的方法。网络切片支持具有不同网络能力要求(诸如时延、吞吐量、带宽和可靠性)的新服务。例如,物联网(IoT)系统可能需要低时延和低带宽,而宽带系统需要高带宽和高吞吐量。因此,通过根据服务或用户选择和组合5G系统的网络功能,可以提供独立于每种类型的应用服务或用户并且更加灵活的网络服务。
此外,由于4G/5G无线网络系统的带宽能力不断增加,预计移动网络运营商将管理数百或数千个网络切片,并且每个切片都可以具有其自己的架构、管理和安全性,以支持特定的使用场景。因此,认证成为网络切片的关键组成部分。因此,在第三代合作伙伴计划(3GPP)标准协议过程中定义了网络切片特定认证和授权(NSSAA)过程。执行NSSAA过程来接入针对任何应用服务的网络切片。
尽管在3GPP标准中定义了NSSAA过程,但是不存在用于在从源接入和移动性管理功能(AMF)到目标AMF的切换过程期间处理未决的或正在进行的NSSAA过程的过程。
鉴于上述情况,需要一种系统或方法来提供用于在用户设备(UE)从源无线电接入网络(RAN)到目标无线电接入网络(RAN)的切换期间处理正在进行的或未决的NSSAA过程的逐步过程。
本文的实施例的主要目的是提供一种用于在UE从源AMF到目标AMF的切换过程期间处理与至少一个单网络切片选择认证信息(S-NSSAI)相关的NSSAA过程的方法和系统,而不跳过任何正在进行的或未决的NSSAA过程。
本文的实施例的另一个目的是使得与源新一代RAN(NG_RAN)相关联的接入和移动性功能(AMF)能够基于与目标NG_RAN相关联的目标AMF的NSSAA能力来对切换过程或正在进行的或未决的NSSAA过程之一进行优先化。
因此,本文的实施例实现了一种用于在无线网络系统中处理网络切片特定认证和授权(NSSAA)过程的方法。该方法包括由源接入和移动性功能(AMF)设备检测针对单网络切片选择辅助信息(S-NSSAI)的NSSAA过程正在进行,并且在NSSAA过程期间从源AMF设备到目标AMF设备的AMF间切换过程被触发。该方法包括由源AMF设备将S-NSSAI的NSSAA状态存储为未决;以及在检测到NSSAA过程的完成或中止时,由源AMF设备将所存储的S-NSSAI的NSSAA状态传送到目标AMF设备。
在现有方法中,缺少关于在用户设备(UE)从与源新一代无线电接入网络(NG_RAN)相关联的源AMF设备到与目标NG_RAN相关联的目标AMF设备的切换期间处理正在进行的或未决的NSSAA过程的信息。目前,接入和移动性功能没有被配置为在UE的切换期间处理正在进行的或未决的NSSAA过程。
与传统的方法和系统不同,所提出的方法可以用于在UE从源NG_RAN到目标NG_RAN的切换过程期间处理各个网络切片选择认证信息(NSSAI)的正在进行的或未决的NSSAA过程。因此,消除了在切换之后遗漏任何正在进行的或未决的NSSAA过程的问题,或者由于切换而引起的在正在进行的或未决的NSSAA过程的实现中的任何错误。
在所提出的方法中,在UE从源AMF到目标AMF的切换过程期间,通过根据目标AMF能力对切换过程或正在进行的或未决的NSSAA过程进行优先化,细致地处理了S-NSSAI的正在进行的或未决的NSSAA过程。因此,所定义的用于在切换过程期间处理正在进行的或未决的NSSAA过程的过程确保了平滑切换,而不会降低正在进行的或未决的NSSAA过程的执行。
现在参考附图,更具体地,参考图1-图9,其中在所有附图中相似的附图标记始终表示对应的特征,示出了优选实施例。
图1示出了根据本公开的实施例的用于网络切片认证的无线通信系统(100)。
无线通信系统(100)包括至少一个用户设备(UE)(102)、安装在UE(102)中的应用(104)、包含至少一个无线电接入网络节点(即新一代无线电接入网络(NG_RAN)(108))的接入网络(106)、以及移动核心网络(112)。接入网络(106)和移动核心网络(112)形成移动通信网络。接入网络(106)可以包括3GPP接入网络和/或非3GPP接入网络(例如,Wi-Fi)。
UE(102)使用无线通信链路(110)与接入网络(106)通信。尽管图1中描绘了单个UE(102)、接入网络(106)、单个NG_RAN(108)、单个无线通信链路(110)和单个移动核心网络(112),但是本领域技术人员将认识到,无线通信系统(100)中可以包括任意数量的UE(102)、接入网络(106)、NG_RAN(108)、无线通信链路(110)和移动核心网络(112)。
在一种实施方式中,无线通信系统(100)符合3GPP规范中规定的5G系统(以及超5G系统)。本公开不旨在限于任何特定无线通信系统架构或协议的实现。
UE(102)可以是例如但不限于蜂窝电话、平板电脑、虚拟现实设备、智能电话、膝上型电脑、个人数字助理(PDA)、全球定位系统、多媒体设备、视频设备、IoT设备和智能手表。在实施例中,3GPP网络根据第三代移动电信合作伙伴计划中定义的协议来维护通信标准。
UE(102)可以经由上行链路(“UL”)和下行链路(“DL”)通信信号直接与接入网络(106)中的一个或多个NG_RAN(108)通信。此外,UL和DL通信信号可以在通信链路(110)上携带。这里,接入网络(106)可以充当向UE(102)提供到移动核心网络(112)的接入的中间网络。
在一些实施例中,UE(102)经由与移动核心网络(112)的网络连接与应用功能(AF)设备(118)通信。例如,UE(102)中的应用(104)(例如,网络浏览器、媒体客户端、电话/VoIP应用)可以触发UE(102)经由NG_RAN(108)与移动核心网络(112)建立数据连接(即,协议数据单元(PDU)会话)。移动核心网络(112)使用建立的PDU会话在UE(102)和AF设备(118)之间中继业务。注意,UE(102)可以与移动核心网络(112)建立一个或多个PDU会话。UE(102)可以建立用于与其他数据网络和/或其他远程主机通信的附加PDU会话。
NG_RAN(108)可以分布在地理区域上。NG_RAN(108)也可以被称为接入端、接入点、基站、节点B、eNB、gNB、家庭节点B、中继节点、设备或本领域中使用的任何其他术语。NG_RAN(108)通常是无线电接入网络(诸如接入网络(106))的一部分,其可以包括可通信地耦合到一个或多个对应的NG_RAN(108)的一个或多个控制器。无线电接入网络的这些和其他元件没有被示出,但是对于本领域普通技术人员来说是公知的。NG_RAN(108)经由接入网络(106)连接到移动核心网络(112)。
NG_RAN(108)可以经由无线通信链路(110)服务于服务区域(例如,小区或小区扇区)内的多个UE(102)。NG_RAN(108)可以经由上行链路和下行链路通信信号直接与UE(102)通信。通常,NG_RAN(108)发送DL通信信号以在时间、频率和/或空间域中为UE(102)服务。无线通信链路(110)可以是许可或非许可无线电频谱中的任何合适的载波。无线通信链路(110)促进一个或多个UE(102)和/或一个或多个NG_RAN(108)之间的通信。
在实施例中,移动核心网络(106)是5G核心(“5GC”),其可以耦合到数据网络(120),诸如互联网和专用数据网络以及其他数据网络。在一些实施例中,UE(102)经由数据网络(120)和移动核心网络(112)与应用功能(118)(在移动核心网络(112)外部)通信。UE(102)可以具有移动核心网络(112)的订阅或其他账户。每个移动核心网络(112)属于单个公共陆地移动网络(“PLMN”)。本公开不旨在限于任何特定无线通信系统架构或协议的实现。例如,移动核心网络(112)的其他实施例可以包括由宽带论坛(Broadband Forum,“BBF”)描述的增强型分组核心(“EPC”)或多服务核心。
移动核心网络(112)包括几个网络功能(“NF”)(114)和多个网络切片(124)。
NF(114)包括用户平面功能和控制平面网络功能,用于针对特定应用与UE(102)交换控制和数据分组。
多个网络切片(116)是移动核心网络(112)内的逻辑网络。网络切片(116)是移动核心网络(112)的资源和/或服务的划分。不同的网络切片(116)可以用于满足不同的服务需求(例如,时延、可靠性和容量)。在特定实施例中,多个网络切片(116)中的每一个包括其自己的专用网络功能(未示出),诸如独立的控制平面网络功能设备和用户平面功能设备。
不同类型的网络切片(116)的示例包括增强型移动宽带(“eMBB”)、大规模机器类型通信(“mMTC”)以及超可靠性和低时延通信(“URLLC”)。移动核心网络(112)可以包括相同网络切片类型的多个网络切片实例,可以使用与切片实例相关联的切片“区分符”来区分这些网络切片实例。
根据示例实施例,在UE(102)上运行的应用(104)经由穿过移动核心网络(112)的网络切片(116)的数据路径(122)与AF设备(118)通信。此外,AF设备(118)可向移动核心网络(112)发送信息,该信息可用于优化网络内部配置或网络行为。在特定实施例中,AF设备(118)是应用服务器(“AS”),使得应用(104)能够通过标准化接口(例如,API)接入和使用由应用服务器提供的功能。
如上所述,无线通信系统(100)能够向网络切片认证用户,尤其是使用不同于3GPP订阅永久标识符(subscription permanent identifier,SUPI)的用户身份和凭证来提供网络切片接入认证和授权。虽然PDU会话的二次认证(即,网络切片接入认证)在PDU建立过程期间执行,但是用户身份认证在注册过程期间执行。
此外,移动核心网络(112)的各种组件和用于NSSAA过程的移动核心网络(112)的组件的不同功能在图2中详细示出。
图2示出了根据本文公开的实施例的用于网络切片特定认证的无线网络系统(100)的架构图(200)。
如图2所示,网络架构(200)描绘了具有NSSAA能力的UE(102)与移动核心网络(112)通信。
移动核心网络(112)包括NF设备(114)和网络切片(116)。NF设备(114)包括用户平面功能(user plane function,UPF)设备(202)、用户数据管理(user data management,UDM)设备(204)、接入和管理功能(access and management function,AMF)设备(206)、会话管理功能(session management function,SMF)设备(208)、认证服务器功能(authentication server function,AUSF)设备(210)、协议数据单元(PDU)(212)、用户平面功能(UPF)-PDU会话锚(UPF_PSA)设备(214)、网络暴露功能(network exposurefunction,NEF)设备(216)和网络切片选择功能(network slice selection function,NSSF)设备(218)。UDM设备(204)、AMF设备(206)、SMF设备(208)、AUSF设备(210)、PDU(212)、UPF_PSA设备(214)、NEF设备(216)和NSSF设备(218)构成了NF设备(114)的控制平面网络功能。控制平面网络功能提供诸如UE注册、UE连接管理、UE移动性管理、会话管理等服务。相反,UPF设备(202)向UE(102)提供数据传输服务。
UE(102)使用移动核心网络(112)来接入服务提供商网络(220)中的服务。在服务提供商网络(220)内描绘的是应用服务器/应用功能(“AS/AF”)设备(118)和服务提供商认证、授权和计费(authentication,authorization and accounting,AAA)服务器(222)(可互换地也可以称为(“AAA-S(222)”)。
UDM设备(204)包括与各个UE(102)相关联的用户的统一数据,并维护用户数据储存库(user data repository,“UDR”)。UDM设备(204)保存包括策略数据的订阅数据。具体地,由UDM设备(204)存储的策略数据包括网络切片选择策略(network slice selectionpolicy,NSSP)。
NEF设备(216)实施与外部应用功能进行接口的“前端”服务,并向这些功能暴露移动核心网络(112)的能力。例如,NEF设备(216)可以被AF设备(220)用来与UDM设备(204)通信,例如提供如本文所述的网络切片认证信息。因此,NEF设备(216)为想要利用移动核心网络(112)的内部网络功能所提供的服务(例如,UDM设备(204)、AMF设备(206)、SMF设备(208)等的服务)的外部应用提供了单点联系。AUSF设备(210)执行UE(102)的认证。NSSF设备(218)基于在与UE(102)的连接期间提供的信息来选择网络切片实例(network sliceinstance,NSI)。基于UE(102)接入到的网络切片(116),向UE(102)提供AMF设备(206)、SMF设备(208)或UPF设备(202)的集合。SMF设备(208)管理UE(102)的IP地址的分配,并且控制用于UE(102)的PDU会话的UPF设备(202)的选择。
此外,根据实施例,可以假设网络服务提供商(220)(包括应用服务器(AS)或应用功能(AF)(118)和AAA-S(222))位于移动核心网络(112)之外,并且例如经由NEF设备(216)与UDM设备(204)通信。注意,AAA-S(222)可以位于移动核心网络(112)域之内或之外。在一些实施例中,如果服务提供商网络(220)位于移动核心网络(112)内部,则AS/AF设备(118)和SP-AAA(222)可以直接与UDM设备(204)通信。UDM(204)执行UE订阅与用户身份(ID)的绑定,以及订阅的服务与关于服务提供商的信息的绑定。如本文所使用的,用户ID唯一地标识UE(102)对服务提供商网络(220)处的特定服务的注册/订阅。注意,UE(102)还存储S-NSSAI和用于网络切片认证的对应凭证之间的关联,如下面进一步详细讨论的。例如,UE(102)可以在应用模块处存储网络切片信息(例如,包括用户ID和安全凭证)。
在网络切片认证过程期间,封装在NAS消息中的认证消息在UE(102)和AAA-S(222)之间交换。一个或多个应用(104)可以在AAA-S(222)处注册,因此AAA-S(222)应当将认证消息转发给适当的应用(104)。此外,在UE(102)处可以有一个或多个应用模块。应用模块可以是UE(102)中的可扩展认证协议(extensible authentication protocol,EAP)客户端。EAP客户端可以为每个S-NSSAI存储不同的认证信息。EAP客户端可以是与发送/接收真实数据的应用(104)不同的应用。注意,在UDM设备(204)中的NSSP中标识与应用(104)相关的信息。此外,根据实施例,AMF设备(206)被配置为从UE(102)接收所有连接和会话相关的信息,但是仅负责处理连接和移动性管理任务,诸如UE(102)与NG_RAN(108)的连接、UE(102)到AAA-S(222)的连接或者处理针对S-NSSAAI的NSSAA过程。
根据示例实施例,应用(104)可以是媒体流客户端应用,例如,向订户提供视频流服务。经由应用(104),用户可以接入视频流服务提供商的(多个)服务器,以订阅和接收与视频流客户端应用相关联的S-NSSAI。在一些实施例中,S-NSSAI存储在应用(104)中。例如,应用(104)可以包括存储在UE(102)中的网络切片认证信息。在其他实施例中,S-NSSAI存储在不同于应用(104)的应用模块中,例如,应用模块可以是EAP客户端,其是与媒体流应用不同的应用。这里,应用模块执行与AAA-S的认证(222),同时媒体流应用发送/接收来自AS/AF(118)的数据。
尽管在图1中描述了特定数量和类型的网络功能,但是本领域普通技术人员将会认识到,可以在移动核心网络(112)中包括任何数量和类型的网络功能。
图3A和图3B共同示出了根据本文公开的实施例的表示网络切片认证和授权过程(300)的序列图。
在实施例中,UE(102)已经向AMF设备(206)注册。AMF设备(206)具有与订阅的服务和相关联的网络切片(116)相关的UE订阅细节。在步骤302处,UE(102)向AMF设备(206)发送请求,以接入与在UE(102)上运行的应用(104)相关联的多个网络切片(116)中的至少一个S-NSSAI切片(116a)。在步骤304处,AMF设备(206)确定所请求的S-NSSAI切片(116a)是否需要网络切片特定认证和授权(NSSAA)过程。例如,但不限于,如果首次从UE(102)接收到接入S-NSSAI切片(116a)的请求,或者如果与所请求的S-NSSAI切片(116a)相关联的账户的订阅ID、用户登录凭证或用户ID有任何改变,则AMF设备(206)可以决定对所请求的S_NSSAI切片(116a)执行NSSAA过程。
在步骤306处,AMF设备(206)向UE(102)发送共享与所请求的S-NSSAI切片(116a)相关联的认证ID(即,EAP ID)的请求。在UE(102)向服务提供商网络(220)成功注册/订阅所请求的S-NSSAI切片(116a)时,认证ID细节被存储在UE(102)中。在步骤308处,UE(102)向AMF设备(206)发送响应,以共享与所请求的S-NSSAI切片(116a)相关联的所请求的EAP ID。步骤306和308是在AMF设备(206)处对用户订阅细节的主要认证的一部分,并且不构成NSSAA过程。在步骤310处,AMF设备(206)向NSSF设备(218)发送认证消息。认证消息包括S-NSSAI的EAP ID,以及由UE(102)订阅的第三方服务提供商的通用公共订阅标识符(genericpublic subscription identifier,GPSI)。GPSI被用作在3GPP系统领域之外的数据网络中寻址3GPP订阅的手段,例如,如果服务与第三方提供商相关联,并且第三方服务提供商使用S-NSSAI切片(116a),则GPSI是第三方服务提供商的全局ID。NSSF设备(218)是与外部服务提供商网络(220)通信的设备。NSSF设备(218)从AMF设备(206)接收服务提供商网络(220)的AAA-S(222)的IP地址。
在步骤312处,NSSF设备(218)将认证消息作为AAA协议消息转发给AAA-S(222)。AAA协议消息指示对所请求的S-NSSAI进行认证(即,在所请求的S-NSSAI切片上执行NSSAA过程)的请求。在步骤314处,AAA-S(222)识别由UE(102)订阅的用户细节和服务,并且发起针对所请求的S-NSSAI切片(116a)的NSSAA过程。
在步骤316处,在完成所请求的S-NSSAI切片(116a)的NSSAA过程时,AAA-S(222)向NSSF设备(218)发送对接收到的AAA协议消息的响应,指示所请求的S-NSSAI切片(116a)的NSSAA过程的成功或失败。在步骤318处,NSSF设备(218)将接收到的来自AAA-S(222)的响应转发给AMF设备(206),作为对在步骤310处接收到的认证消息的认证响应。步骤320-332示出了针对另一个所请求的S-NSSAI切片(116)的与步骤302-318所描述的类似的过程序列;因此,为了说明书的简洁,省略了对这些步骤的解释。
在步骤334处,AMF设备(206)向UE(102)发送响应,指示由UE(102)发起的接入S_NSSAI切片(116a)的请求的成功或失败。
在步骤336处,AMF设备(206)可以向UE(102)发起UE配置更新过程,以更新针对接入和移动性管理相关参数、允许的NSSAI、配置的NSSAI和NSSAA状态的UE配置。例如,当接收到S-NSSAI的接入请求的成功许可时,所请求的S-NSSAI切片(116a)作为允许的S-NSSAI被存储在UE(102)中。然而,如果S-NSSAI切片(116a)的接入请求不成功,则所请求的S-NSSAI切片(116a)作为拒绝的S-NSSAI被存储在UE(102)中。此外,等待来自AMF设备(206)的针对其的响应的所请求的S-NSSAI切片作为未决的S-NSSAI切片被存储在UE(102)中。在步骤338处,如果针对UE(102)的现有允许的NSSAI中的所有S-NSSAI(如果有的话)以及针对所请求的NSSAI中的所有S-NSSAI(如果有的话)的网络切片特定认证和授权失败,则AMF(206)将执行条款4.2.2.3.3中描述的网络发起的注销过程,并且AMF(206)将在显式的注销请求中包括拒绝的S-NSSAI的列表,其中每个都具有适当的拒绝原因值。
图4A和图4B共同示出了根据本文公开的实施例的表示UE(102)从源NG_RAN(108a)到目标NG_RAN(108b)的切换过程(400)的序列图。图4A和图4B示出了UE(102)连接到用于网络连接和网络服务的源NG_RAN(S-NG_RAN)(108a)。S-NG_RAN(108a)连接到移动核心网络(112)的源AMF(S-AMF)设备(206a)和移动核心网络(112)的源UPF(S-UPF)设备(202a)。在实施例中,UE(102)从S-NG_RAN(108a)的地理区域穿越到目标NG_RAN(T-NG_RAN)(108b)的地理区域,因此UE(102)的切换过程由S-NG_RAN(108a)触发,如步骤402所示。T-NG_RAN(108b)可以被认为是离UE(102)最近的NG_RAN(108)。在实施例中,T-NG_RAN(108b)连接到目标AMF(T-AMF)设备(206b)和目标UPF(T-UPF)设备(202b)。
在实施例中,移动核心网络(112)的SMF设备(208)经由AMF(206)连接到S-NG_RAN(108a)和T-NG_RAN(108b),并且管理UE(102)与S-NG_RAN(108a)和T-NG_RAN(108b)的连接。在实施例中,UPF_PSA设备(214)与SMF设备(208)一起管理UE(102)与S-NG_RAN(108a)和T-NG_RAN(108b)的PDU会话。UPF_PSA设备(214)被配置为提供接入网络(106)内和之间的移动性,包括在UE(102)的切换过程期间向相应的NG_RAN(108)发送一个或多个结束标记分组。
在实施例中,在触发UE(102)从S-NG_RAN(108a)到T-NG_RAN(108b)的切换过程时,方法进行到步骤404。在步骤404处,S-NG_RAN(108a)向S-AMF设备(206a)发送切换发起请求。在步骤406处,在接收到切换发起请求时,S-AMF设备(206a)选择T-AMF设备(206b),并且在步骤408处,S-AMF设备(206a)发起将与正在进行的与UE(102)的通信相关的上下文传送到T-AMF设备(206b)。S-AMF设备(206a)创建UEcontext_message请求,并向目标AMF(206b)发送UEcontext_message请求,指示来自源AMF设备(206a)的切换请求。
在步骤410处,T-AMF设备(206b)向SMF设备(208)发送会话更新请求消息(即PDUsession_UpdateSMContext请求),请求根据UE(102)的切换过程的发起来修改PDU会话建立。在步骤412处,SMF设备(208)基于接收到的会话更新请求消息选择T-UPF设备(202b)。
在步骤414处,SMF设备(208)向UPF_PSA设备(214)发送会话修改请求,并且UPF_PSA设备(214)在接收到会话修改请求时,将UE(102)的PDU会话从S-UPF设备(202a)切换到T-UPF设备(202b),并且在步骤416处,UPF_PSA设备(214)向SMF设备(208)发送会话修改响应,指示PDU会话被链接到T-UPF设备(202b)。在步骤418处,SMF设备(208)向T-UPF设备(202b)发送会话建立请求,指示与UE(102)的新PDU会话连接。在步骤420处,T-UPF设备(202b)发送指示确认和接受会话建立请求的会话建立响应。在步骤422处,在接收到会话建立响应时,SMF设备(208)针对从T-AMF(206b)接收的会话更新请求消息,向T-AMF设备(206b)发送会话更新请求响应(即PDUsession_UpdateSMContext响应)。在步骤424处,T-AMF设备(206b)基于从SMF设备(208)接收的响应消息和从S-AMF设备(206a)接收的UEcontext_message请求来监督PDU会话切换,并且进一步在步骤426处,T-AMF设备(206b)向T-NG_RAN(108b)发送切换请求。在步骤428处,T-NG_RAN(108b)发送切换请求确认,指示接受UE(102)的切换。步骤430-440类似于步骤410-422;因此,为了说明书的简洁,省略了这些步骤的解释。在步骤422处,T-AMF设备(206b)向S-AMF设备(206a)共享UEcontext_message响应,作为对接收到的UEcontext_message请求的响应,并且进一步指示UE上下文和PDU会话从S-AMF设备(206a)到T-AMF设备(206b)的成功传送。
在图4A和图4B所示的方法(400)中,可能存在两种情况:1)考虑为UE(102)建立了PDU会话的一个或多个网络切片(S-NSSAI切片(116))已经使用了NSSAA过程被认证并被存储为允许的NSSAA,并且没有NSSAA过程正在进行或未决。2)考虑当切换请求被触发时,一个或多个S-NSSAI切片(116)的几个NSSAA过程在S-AMF设备(206a)处正在进行或未决。在后一种情况下,在切换过程期间处理一个或多个S-NSSAI切片(116)的正在进行的或未决的NSSAA过程是非常重要的。在图5中解释了与处理一个或多个S-NSSAI切片(116)的正在进行的或未决的NSSAA过程相关的步骤。
图5示出了表示根据本文公开的实施例的在UE(102)的切换期间的NSSAA过程处理方法(500)的各个步骤的流程图。
在步骤502处,S-AMF设备(206a)接收UE(102)从S-NG_RAN(108a)切换的触发,指示UE(102)从S-NG_RAN(108a)的地理区域重新定位到T-NG_RAN(108b)的地理区域。在步骤504处,S-AMF设备(206a)确定切换过程是否是NG_RAN间切换过程。在NG_RAN间过程中,目标NG_RAN(108b)属于不同的注册区域,并且与不同的AMF设备和UPF设备相关联。
在步骤506处,在确定切换过程是NG_RAN间切换过程(也可互换地称为“AMF间切换过程”)时,源AMF设备(206a)确定在UE(102)的切换过程期间具有正在进行的NSSAA过程的多个所请求的NSSAI(116)的第一列表。在实施例中,正在进行的或未决的NSSAA过程可以指示为所请求的NSSAI(116)发起了NSSAA过程但是PDU会话建立对于所请求的NSSAI(116)可能是未决的,或者没有为所请求的NSSAI(116)发起NSSAA过程。
在步骤508处,S-AMF设备(206a)确定为切换过程选择的T_AMF设备(206b)是否支持NSSAA过程。如果T_AMF设备(206b)支持NSSAA过程,则方法(500)遵循从(510-514)的步骤,否则方法(500)遵循从(516-520)的步骤。
在步骤510处,S-AMF设备(206a)中止所确定的第一列表的多个所请求的NSSAAI(116)的正在进行的NSSAA过程。在步骤512处,S-AMF设备(206a)向所确定的第一列表的多个所请求的NSSAI(116)分配未决状态。在一个示例实施例中,S-AMF设备(206a)可以通过发送消息向AUSF设备(210)指示所请求的S-NSSAI切片(116a)的NSSAA过程被中止。S-AMF设备(206a)还可以向AUSF设备(210)或NSSAAF(218)指示所请求的S-NSSAI切片(116a)的NSSAA过程由于UE(102)的切换过程而被中止。在从S-AMF设备(206a)接收到该消息时,AUSF设备(210)或NSSAAF(218)向AAA-S(222)发送消息,并且指示所请求的S-NSSAI切片(116a)的中止的NSSAA过程由于UE(102)的切换过程而被中止。
在步骤514处,S-AMF设备(206a)向目标AMF设备(206b)发送UEcontext_message,其包括多个所请求的NSSAI的所确定的第一列表以及多个所请求的NSSAI(116)的未决状态。多个所请求的NSSAI(116)的NSSAA过程的未决状态被包括在与T-AMF设备(206b)共享的UEcontext_message中。UEcontext_message中NSSAA过程的认证状态的格式如图6A和图6B所示。
在步骤516处,该方法包括由源AMF保持住(hold)切换过程。在步骤518处,该方法包括为第一列表中的多个所请求的NSSAAI完成NSSAA过程。在步骤520处,该方法包括发起并完成切换过程。
图6A示出了根据本文公开的实施例的指示与S-NSSAI切片(116a)相关联的NSSAA过程的认证状态的不同类型的表(600)。在实施例中,表600的行602示出了针对S_NSSAI切片(116a)执行的NSSAA过程的“EAP成功”认证状态,指示NSSAA过程成功,因此S-NSSAI切片(116a)可以作为允许的S-NSSAI切片被包括在UE(102)中,并且UE(102)可以经由允许的S-NSSAI切片(116a)开始与服务提供商的PDU会话。行604示出了针对S_NSSAI切片(116a)执行的NSSAA过程的“EAP失败”认证状态,指示NSSAA过程不成功,因此S-NSSAI切片(116a)可以作为拒绝的S-NSSAI切片被包括在UE(102)中。此外,行606示出了针对S_NSSAI切片(116a)执行的NSSAA过程的“未决”认证状态,指示针对S-NSSAI切片(116a)的NSSAA过程仍在进行中。
图6B示出了根据本文公开的实施例的表示UE上下文消息中特定S-NSSAI切片的NSSAA状态的表(605)。在实施例中,表(605)的行(608)指示S-NSSAI切片(116a)的切片属性名称,并且行(610)指示相应S-NSSAI(116a)的NSSAA过程的状态。
图7示出了根据本文公开的实施例的用于在UE(102)的切换过程期间处理正在进行的或未决的NSSAA过程的S-AMF设备(206a)的组件图。
S-AMF设备(206a)包括处理器(710)、通信接口(720)、存储器(730)、数据库(740)、网络切片特定认证和授权(NSSAA)控制器(750)和用户认证控制器(760)。本文提供的S-AMF设备(206a)的组件可能不是穷举的,并且S-AMF设备(206a)可以包括比图7中描绘的更多或更少的组件。此外,两个或更多个组件可以体现在一个单个组件中,和/或一个组件可以使用多个子组件来配置,以实现期望的功能。S-AMF设备(206a)的一些组件可以使用硬件元件来配置。
处理器(710)与存储器(730)、通信接口(720)、NSSAA控制器(750)、用户认证控制器(760)和数据库(740)耦合。处理器(710)被配置为执行存储在存储器(730)中的指令并执行各种过程。通信接口(720)被配置用于在内部硬件组件之间内部通信以及经由一个或多个网络与外部设备进行通信。
处理器(710)和NSSAA控制器(750)可以包括一个或多个处理单元(例如,在多核配置中)。S-AMF设备(206a)经由通信接口(720)与诸如AUSF设备(210)、T-AMF设备(206b)、UPF设备(202)、AAA-S(222)等外部单元交互。
存储器(730)存储将由处理器(710)执行的指令。存储器(730)可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁硬盘、光盘、软盘、闪存、或电可编程存储器(EPROM)或电可擦除可编程(EEPROM)存储器的形式。此外,在一些示例中,存储器(730)可以被认为是非暂时性存储介质。术语“非暂时性”可以指示存储介质不体现在载波或传播信号中。然而,术语“非暂时性”不应被解释为存储器(730)是不可移动的。在特定示例中,非暂时性存储介质可以存储可以随时间改变的数据(例如,在随机存取存储器(RAM)或高速缓存中)。S-AMF设备(206a)被配置为实施如图5中所解释的用于在UE(102)的切换过程期间处理正在进行的或未决的NSSAA过程的方法(500)。
处理器(710)也可以可操作地耦合到数据库(740)。数据库(740)是适于存储和/或检索数据的任何计算机操作的硬件。数据库(740)可以包括但不限于存储区域网络(SAN)和/或网络附加存储(NAS)系统。在其他实施例中,数据库(740)可以在S-AMF设备(206a)的外部,并且可以由S-AMF设备(206a)使用存储接口来接入。存储接口是能够向处理器(710)提供对数据库(740)的接入的任何组件。
在实施例中,处理器(710)被配置为从UE(102)接收S-NSSAI切片(116a)接入请求,并且还被配置为经由用户认证控制器(760)认证UE(102),以验证存储在S-AMF设备(206a)的数据库(740)中的用户订阅细节。
在实施例中,处理器(710)被配置为经由通信接口(720)从S-NG_RAN(108a)接收针对UE(102)的切换过程的触发。处理器(710)还被配置为确定切换过程是否是NG_RAN间切换过程。处理器(710)在确定切换过程是NG_RAN间切换过程时,使用NSSAA过程控制器(750)管理正在进行的或未决的NSSAA过程。NSSAA过程控制器(750)包括NSSAA过程状态跟踪器(752)、NSSAA过程管理控制器(754)和NSSAA过程状态数据库(756)。在将切换过程确定为NG_RAN间切换过程时,NSSAA过程管理控制器(754)从NSSAA过程状态跟踪器(752)获取在UE(102)的切换过程期间具有正在进行的NSSAA过程的多个所请求的NSSAI(116)的多个第一列表。NSSAA过程状态跟踪器(752)被配置为维护所请求的NSSAI(116)的NSSAA过程的认证状态。所请求的S-NSSAI和它们各自的NSSAA过程的认证一起被存储在NSSAA过程状态数据库中(756)。
NSSAA过程管理控制器(754)还被配置为确定T-AMF设备(206b)是否支持NSSAA过程。NSSAA过程管理控制器(754)还被配置为基于T-AMF设备(206b)是否支持NSSAA过程来对切换过程或正在进行的NSSAA过程之一进行优先化。NSSAA过程管理控制器(754)被配置为如果T-AMF设备(206b)支持NSSAA过程,则给予切换过程优先于正在进行的NSSAA过程,否则NSSAA过程管理控制器(754)被配置为保持住(hold)切换过程并完成所请求的S-NSSAI(124)的正在进行的NSSAA过程。当T-AMF设备(206b)支持NSSAA过程时,NSSAA过程管理控制器(754)保持住所请求的S-NSSAI(116)的正在进行的NSSAA过程,并将未决状态分配给所请求的S-NSSAI(116)的正在进行的NSSAA过程。用NSSAA过程状态跟踪器(752)和NSSAA过程状态数据库(756)更新具有未决状态的所请求的S-NSSAI(116)的正在进行的NSSAA过程的列表。NSSAA过程管理控制器(754)还被配置为生成UEcontext_message(其中该UEcontext_message包括具有未决状态的所请求的S-NSSAI(116)的正在进行的NSSAA过程的列表),并将UEcontext_message发送到T-AMF设备(206b)。
在示例实施例中,S-AMF设备(206a)的处理器(710)还可以被配置为通过发送消息来向AUSF设备(210)指示所请求的S-NSSAI切片(116)的NSSAA过程被中止。S-AMF设备(206a)还可以向AUSF设备(210)指示中止所请求的S-NSSAI切片(116)的NSSAA过程的原因是UE(102)的切换过程。
图8示出了根据本文公开的实施例的用于在UE(102)的切换过程期间处理正在进行的或未决的NSSAA过程的T-AMF设备(206b)的组件图。
T-AMF设备(206b)包括处理器(810)、通信接口(820)、存储器(830)、数据库(840)、目标网络切片特定认证和授权(NSSAA)控制器(850)。本文提供的T-AMF设备(206b)的组件可能不是穷举的,并且T-AMF设备(206b)可以包括比图8中描绘的更多或更少的组件。此外,两个或更多个组件可以体现在一个单个组件中,和/或一个组件可以使用多个子组件来配置,以实现期望的功能。T-AMF设备(206b)的一些组件可以使用硬件元件来配置。
处理器(810)与存储器(830)、通信接口(820)、目标NSSAA控制器(850)和数据库(840)耦合。处理器(810)被配置为执行存储在存储器(830)中的指令并执行各种过程。通信接口(820)被配置用于在内部硬件组件之间内部通信以及经由一个或多个网络与外部设备进行通信。
处理器(810)和NSSAA控制器(850)可以包括一个或多个处理单元(例如,在多核配置中)。T-AMF设备(206b)经由通信接口(820)与诸如AUSF设备(210)、S-AMF设备(206a)、UPF设备(202)、AAA-S(222)等外部单元交互。
存储器(830)存储将由处理器(810)执行的指令。存储器(830)可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁硬盘、光盘、软盘、闪存、或电可编程存储器(EPROM)或电可擦除可编程(EEPROM)存储器的形式。此外,在一些示例中,存储器(830)可以被认为是非暂时性存储介质。术语“非暂时性”可以指示存储介质不体现在载波或传播信号中。然而,术语“非暂时性”不应被解释为存储器(830)是不可移动的。在一些示例中,存储器(830)可以被配置为存储比内存更大量的信息。在特定示例中,非暂时性存储介质可以存储可以随时间改变的数据(例如,在随机存取存储器(RAM)或高速缓存中)。T-AMF设备(206b)被配置为实施用于在UE(102)的切换过程完成之后处理正在进行的或未决的NSSAA过程的方法。
处理器(810)也可以可操作地耦合到数据库(840)。数据库(840)是适于存储和/或检索数据的任何计算机操作的硬件。数据库(840)可以包括但不限于存储区域网络(SAN)和/或网络附加存储(NAS)系统。在其他实施例中,数据库(840)可以在T-AMF设备(206b)的外部,并且可以由T-AMF设备(206b)使用存储接口来接入。存储接口是能够向处理器(810)提供对数据库(840)的接入的任何组件。
在实施例中,处理器(810)被配置为来自S-AMF设备(206a)的UEcontext_message,并且提取接收到的S-NSSAI切片(116)的未决的或正在进行的NSSAA过程的列表。处理器(810)经由目标NSSAA过程控制器(850)发起在UE(102)的切换过程期间被中止的接收到的S-NSSAI切片(116)的NSSAA过程。
在实施例中,处理器(810)还被配置为经由目标NSSAA过程控制器(850)基于完成之后的NSSAA过程的认证结果来更新NSSAA过程的状态。例如,如果NSSAA过程成功,则NSSAA过程的认证状态被标记为“EAP-成功”,而如果NSSAA过程不成功,则NSSAA过程的认证状态被标记为“EAP-失败”。处理器(810)还被配置为经由目标NSSAA过程控制器(850)根据它们各自的NSSAA过程的认证状态来更新所请求的一个或多个S-NSSAI切片(116)的状态。例如,对于NSSAA过程的“EAP-成功”,一个或多个S-NSSAI切片(116)中的S-NSSAI切片(116a)被标记为允许的S-NSSAI,而对于NSSAA过程的“EAP-失败”,一个或多个S-NSSAI切片(116)中的S-NSSAI切片(116a)被标记为拒绝的S-NSSAI。
在实施例中,NSSAA过程的更新状态以及一个或多个所请求的S-NSSAI切片(116)被存储在数据库(840)中。在实施例中,经由通信接口(820)与UE(102)和S-AMF(206a)共享S-NSSAI的更新的状态。
在示例实施例中,在至少一个NSSAI的NSSAA过程的认证状态是“EAP-成功”或“EAP-失败”的情况下,处理器(810)可以进一步被配置为跳过至少一个NSSAI的NSSAA过程。例如,在与S-NSSAI切片相关联的NSSAA过程的认证状态是“EAP-成功”或“EAP-失败”的情况下,处理器(810)可以被配置为在注册过程中跳过NSSAA过程。
本文公开的实施例可以使用至少一个硬件设备并执行网络管理功能来控制元件来实施。
图9是示出根据本文公开的实施例的用于在UE(102)的切换期间处理正在进行的或未决的NSSAA过程的方法(900)的流程图。步骤(S902-S908)由处理器(710)执行。
在S902处,方法(900)包括确定在UE(102)的切换过程期间具有正在进行的NSSAA过程的多个所请求的网络切片选择辅助信息(NSSAI)(116)的第一列表。
在S904处,方法(900)包括由于UE(102)的切换过程发起而中止所确定的第一列表的多个所请求的NSSAAI的正在进行的NSSAA过程。
在S906处,方法(900)包括将未决状态分配给所确定的第一列表的多个所请求的NSSAI。
在S908处,方法(900)包括向目标AMF设备(206b)发送消息上下文,其中该消息上下文包括多个所请求的NSSAI(116)的所确定的第一列表以及多个所请求的NSSAI的未决状态。
图10是示出根据本文公开的实施例的UE的框图。
参考图10,UE可以包括收发器1010、控制器1020和存储单元1030。在本公开中,控制器1020可以被定义为电路、专用集成电路或至少一个处理器。
收发器1010可以向/从另一个网络实体发送/接收信号。例如,收发器1010可以从基站接收同步信号或参考信号。
控制器1020可以根据本公开提出的实施例控制UE的整体操作。例如,控制器1020可以控制信号流以执行根据上述图1至图9的过程的操作。
存储单元1030可以存储通过收发器1010发送和接收的至少一条信息以及通过控制器1020生成的信息。例如,存储单元1030可以存储用于处理参考图1至图9描述的NSSAA过程的信息和数据。
图11是示出根据本文公开的实施例的基站的框图。基站可以是NG-RAN(例如,S-NG-RAN、T-NG-RAN)。
参考图11,基站可以包括收发器1110、控制器1120和存储单元1130。在本公开中,控制器1120可以被定义为电路、专用集成电路或至少一个处理器。
收发器1110可以向/从另一个网络实体发送/接收信号。例如,收发器1110可以向UE发送同步信号或参考信号。
控制器1120可以根据本公开提出的实施例控制基站的整体操作。例如,控制器1120可以控制信号流以执行根据上述图1至图9的过程的操作。
存储单元1130可以存储通过收发器1110发送和接收的至少一条信息以及通过控制器1120生成的信息。例如,存储单元1130可以存储用于处理参考图1至图9描述的NSSAA过程的信息和数据。
图12是示出根据本文公开的实施例的网络实体的框图。网络实体(功能)可以是AMF、UPF、SMF、NSSF、NSSAAF、NEF、UDM、AUSF、AAA和/或AS/AF。
参考图12,基站可以包括收发器1210、控制器1220和存储单元1230。在本公开中,控制器1220可以被定义为电路、专用集成电路或至少一个处理器。
收发器1210可以向/从另一个网络实体发送/接收信号。例如,收发器1210可以发送/接收用于处理NSSAA过程的数据。
控制器1220可以根据本公开提出的实施例控制基站的整体操作。例如,控制器1220可以控制信号流以执行根据上述图1至图9的过程的操作。
存储单元1230可以存储通过收发器1210发送和接收的至少一条信息以及通过控制器1220生成的信息。例如,存储单元1230可以存储用于处理参考图1至图9描述的NSSAA过程的信息和数据。
流程图(S900)中的各种动作、行为、块、步骤等可以以所呈现的顺序、以不同的顺序或同时执行。此外,在一些实施例中,在不脱离本发明的范围的情况下,可以省略、添加、修改、跳过一些动作、行为、块、步骤等。
尽管已经用各种实施例描述了本公开,但是本领域技术人员可以想到各种改变和修改。本公开旨在涵盖落入所附权利要求的范围内的这些改变和修改。

Claims (14)

1.一种用于在无线网络系统中处理网络切片特定认证和授权(NSSAA)过程的方法,所述方法包括:
由源接入和移动性功能(AMF)设备检测针对至少一个单网络切片选择辅助信息(S-NSSAI)的NSSAA过程正在进行;
由所述源AMF设备检测在所述NSSAA过程期间从所述源AMF设备(206a)到目标AMF设备(206b)的AMF间切换过程被触发;
由所述源AMF设备将所述至少一个S-NSSAI的NSSAA过程的NSSAA状态存储为未决;以及
在检测到所述NSSAA过程的完成或中止时,由所述源AMF设备将所存储的所述至少一个S-NSSAI的NSSAA状态传送到所述目标AMF设备。
2.根据权利要求1所述的方法,还包括:
由所述目标AMF设备接收被标记为未决的所述至少一个S-NSSAI(116)的NSSAA过程的NSSAA状态;以及
由所述目标AMF设备发起针对所述至少一个S-NSSAI的NSSAA过程。
3.根据权利要求1所述的方法,包括:
由所述源AMF设备检测所述NSSAA过程是完成或中止;以及
由所述源AMF设备将所述至少一个S-NSSAI标记为允许的NSSAI列表或拒绝的S-NSSAI列表之一的一部分。
4.根据权利要求1所述的方法,其中,所述目标AMF设备支持所述NSSAA过程。
5.根据权利要求2所述的方法,还包括:
在完成所发起的NSSAA过程时,由所述目标AMF设备将所述至少一个S-NSSAI的NSSAA过程的NSSAA状态从未决更新为完成。
6.根据权利要求2所述的方法,还包括:
在成功完成所述至少一个S-NSSAAI的NSSAA过程时,由所述目标AMF设备将所述至少一个S-NSSAI的状态从请求的S-NSSAI更新为允许的S-NSSAI;以及
由所述目标AMF设备向用户设备(UE)发送所述至少一个S-NSSAI的更新的状态。
7.根据权利要求1所述的方法,其中,所述正在进行的NSSAA过程对应于针对所述至少一个S-NSSAI不向用户设备(UE)分配协议数据单元(PDU)会话。
8.一种用于处理网络切片特定认证和授权(NSSAA)过程的无线网络系统,所述系统包括:
源接入和管理功能(S-AMF)设备;和
目标接入和管理功能设备(T-AMF),其中,所述S-AMF设备包括:
存储器,
处理器,以及
源NSSAA过程控制器,通信地连接到所述存储器和所述处理器,被配置为:
检测针对至少一个单网络切片选择辅助信息(S-NSSAI)的NSSAA过程正在进行;
检测在所述NSSAA过程期间从所述S-AMF设备到所述T-AMF设备的AMF间切换过程被触发;
将所述至少一个S-NSSAI的NSSAA过程的NSSAA状态存储为未决;以及
基于检测到所述NSSAA过程的完成或中止之一,将所存储的所述至少一个S-NSSAI的NSSAA状态传送到与所述T-AMF设备(206b)相关联的目标NSSAA过程控制器。
9.根据权利要求8所述的系统,其中,所述T-AMF设备的所述目标NSSAA过程控制器被配置为:
接收被标记为未决的所述至少一个S-NSSAI的NSSAA过程的NSSAA状态;以及
发起针对所述至少一个S-NSSAI的NSSAA过程。
10.根据权利要求8所述的系统,其中,所述源NSSAA过程控制器还被配置为:
检测所述NSSAA过程是完成或中止;以及
将所述至少一个S-NSSAI标记为允许的NSSAI列表或拒绝的S-NSSAI列表之一的一部分。
11.根据权利要求8所述的系统,其中,所述T-AMF设备支持NSSAA过程。
12.根据权利要求9所述的系统,其中,所述目标NSSAA过程控制器还被配置为:
在完成所发起的NSSAA过程时,将所述至少一个S-NSSAI的NSSAA过程的NSSAA状态从未决更新为完成。
13.根据权利要求9所述的系统,其中,所述目标NSSAA过程控制器还被配置为:
在成功完成所述至少一个S-NSSAAI的NSSAA过程时,将所述至少一个S-NSSAI的状态从请求的S-NSSAI更新为允许的S-NSSAI;以及
向用户设备(UE)发送所述至少一个S-NSSAI的更新的状态。
14.根据权利要求8所述的系统,其中,所述正在进行的NSSAA过程对应于针对所述至少一个S-NSSAI不向用户设备(UE)分配协议数据单元(PDU)会话。
CN202080076389.1A 2019-11-02 2020-11-02 用于网络切片认证和授权的方法和系统 Pending CN114616850A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IN201941044467 2019-11-02
IN201941044467 2019-11-02
PCT/KR2020/015153 WO2021086156A1 (en) 2019-11-02 2020-11-02 Method and system for network slice authentication and authorization

Publications (1)

Publication Number Publication Date
CN114616850A true CN114616850A (zh) 2022-06-10

Family

ID=75718768

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080076389.1A Pending CN114616850A (zh) 2019-11-02 2020-11-02 用于网络切片认证和授权的方法和系统

Country Status (4)

Country Link
US (2) US11528659B2 (zh)
EP (1) EP4035454A4 (zh)
CN (1) CN114616850A (zh)
WO (1) WO2021086156A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200162919A1 (en) * 2018-11-16 2020-05-21 Lenovo (Singapore) Pte. Ltd. Accessing a denied network resource
KR20230085707A (ko) * 2021-12-07 2023-06-14 삼성전자주식회사 무선 통신 시스템에서 단말 관련 정보를 송수신하는 방법 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180227873A1 (en) * 2017-02-06 2018-08-09 Huawei Technologies Co., Ltd. Network registration and network slice selection system and method

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2244521B1 (en) * 2009-04-20 2018-08-01 Airbus Defence and Space Oy Optimizing packet data transmissions
US10264506B2 (en) * 2017-05-13 2019-04-16 Qualcomm Incorporated Enable a network-trigger change of network slices
KR102588974B1 (ko) 2017-06-19 2023-10-12 아이디에이씨 홀딩스, 인크. 5g 슬라이스 식별자의 프라이버시 보호를 위한 방법 및 시스템
CN109803336B (zh) * 2017-11-17 2024-04-12 华为技术有限公司 会话建立方法和装置
WO2019098745A1 (ko) 2017-11-19 2019-05-23 엘지전자 주식회사 무선 통신 시스템에서의 핸드오버 방법 및 이를 위한 장치
US10986602B2 (en) * 2018-02-09 2021-04-20 Intel Corporation Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function
US11160015B2 (en) * 2018-03-27 2021-10-26 Nec Corporation Isolated network slice selection
US11470657B2 (en) * 2018-03-29 2022-10-11 Lg Electronics Inc. Method, user equipment, and network node for performing PDU session establishment procedure for LADN
US11539699B2 (en) * 2018-08-13 2022-12-27 Lenovo (Singapore) Pte. Ltd. Network slice authentication
JP7261872B2 (ja) * 2018-09-18 2023-04-20 オッポ広東移動通信有限公司 ネットワークスライス認証のための方法と機器
CN111031571B (zh) * 2018-10-09 2022-01-14 华为技术有限公司 一种网络切片接入控制的方法及装置
US20200162919A1 (en) * 2018-11-16 2020-05-21 Lenovo (Singapore) Pte. Ltd. Accessing a denied network resource
US11032710B2 (en) * 2019-02-15 2021-06-08 Qualcomm Incorporated Systems and methods of supporting device triggered re-authentication of slice-specific secondary authentication and authorization
US11490291B2 (en) * 2019-03-28 2022-11-01 Ofinno, Llc Handover for closed access group
US10887825B2 (en) * 2019-05-01 2021-01-05 Verizon Patent And Licensing Inc. Method and system for application-based access control using network slicing
JP7401989B2 (ja) * 2019-07-22 2023-12-20 シャープ株式会社 Ue及びueによって実行される通信制御方法
EP4362513A1 (en) * 2019-12-26 2024-05-01 NEC Corporation Amf node and method thereof
US11683682B2 (en) * 2020-04-22 2023-06-20 Qualcomm Incorporated Network slice authentication for default slices
CN115735371A (zh) * 2020-05-20 2023-03-03 欧芬诺有限责任公司 网络切片特定认证和授权
JP2022007320A (ja) * 2020-06-26 2022-01-13 シャープ株式会社 UE(User Equipment)

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180227873A1 (en) * 2017-02-06 2018-08-09 Huawei Technologies Co., Ltd. Network registration and network slice selection system and method

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
NEC: "C1-196441 "Preventing UE waiting for completion of NSSAA indefinitely"", 3GPP TSG_CT\\WG1_MM-CC-SM_EX-CN1, no. 1, pages 2 - 3 *
NEC: "C1-196442 "Preventing UE waiting for completion of NSSAA indefinitely – Atl1 NW timer"", 3GPP TSG_CT\\WG1_MM-CC-SM_EX-CN1, no. 1 *

Also Published As

Publication number Publication date
US11528659B2 (en) 2022-12-13
EP4035454A4 (en) 2022-11-16
US12096349B2 (en) 2024-09-17
US20230080989A1 (en) 2023-03-16
EP4035454A1 (en) 2022-08-03
WO2021086156A1 (en) 2021-05-06
US20210160769A1 (en) 2021-05-27

Similar Documents

Publication Publication Date Title
CN111971983B (zh) 在5g系统中支持车辆通信的方法和装置
KR102667414B1 (ko) 무선 통신 시스템에서 네트워크 슬라이스의 상호 배타적 접속 방법
TW201841527A (zh) 使用網路切片的網路服務配置及選擇
JP7477532B2 (ja) 移動通信システムで時間又はサービス地域による端末のセッション設定管理方法及び装置
US12096349B2 (en) Method and system for network slice authentication and authorization
KR20150060790A (ko) 무선 통시 시스템에서의 디바이스간 통신의 개시
EP2898713A1 (en) Device handshake/discovery for inter-device communication in wireless communication systems
EP3826367B1 (en) Apparatus and method for providing interworking of network slices subject to nssaa in wireless communication system
US20230156530A1 (en) Method and device for supporting voice handover in wireless communication system
KR20210088306A (ko) 단말의 사설망 접속 제어 방법
KR20230071551A (ko) 통신 시스템에서 원격 권한 설정을 위한 단말 인증을 위한 방법 및 장치
CN115669081A (zh) 发现和选择用于供应ue订户数据的网络的方法和装置
CN113412636A (zh) 支持对dn授权的pdu会话进行重新认证并根据dn授权数据的改变管理pdu会话的方法和装置
KR20210037467A (ko) 무선 통신 시스템에서 직접 통신 제공 방법 및 장치
KR20210055721A (ko) 무선 통신 네트워크의 등록 영역 내에서 등록 절차를 트리거링하는 방법 및 사용자 장치
EP4066518B1 (en) Method and apparatus for group management for group event monitoring
CN114830760B (zh) 无线通信系统中的寻呼方法和装置
CN115175256A (zh) 一种用于传输上下文的方法和通信装置
CN115669082A (zh) 用于发现和选择为供应用户订阅数据提供连接的网络的方法和装置
CN112514434A (zh) 用于向移动通信系统的核心网提供ue无线电能力的装置和方法
KR20200039411A (ko) 무선 통신 시스템에서 차량 통신 서비스를 제공하기 위한 방법 및 장치
US20230209339A1 (en) Method and apparatus retrieving and selecting server for terminal authentication and subscriber data transmission
KR20230022741A (ko) 무선 통신 시스템에서 ue 온보딩을 위한 등록 해제 타이머를 제어하기 위한 장치 및 방법
KR20230022058A (ko) SMF(session management function)를 변경하는 방법 및 장치
KR20230022767A (ko) 무선 통신 시스템에서 단말을 인증하기 위한 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination