CN115250470A - 用在网关设备中的装置 - Google Patents

用在网关设备中的装置 Download PDF

Info

Publication number
CN115250470A
CN115250470A CN202210365278.3A CN202210365278A CN115250470A CN 115250470 A CN115250470 A CN 115250470A CN 202210365278 A CN202210365278 A CN 202210365278A CN 115250470 A CN115250470 A CN 115250470A
Authority
CN
China
Prior art keywords
service
user
authentication
access
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210365278.3A
Other languages
English (en)
Inventor
廖青毓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN115250470A publication Critical patent/CN115250470A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请涉及用在网关设备中的装置,包括处理器电路,该处理器电路被配置为促使网关设备:从用户设备(UE)接收对于托管在数据网络域中的托管设备上的服务的服务请求消息,其中,服务请求消息包括UE用户的用户身份和凭证信息;基于UE用户的用户身份和凭证信息以及服务的更新用户简档,对UE用户执行认证,其中,服务的更新用户简档包括用于服务的认证策略和被授权访问服务的用户的凭证信息;以及响应于对UE用户的成功认证,将服务请求消息转发给托管设备,其中,服务的更新用户简档由运营商网络生成并存储在运营商网络、网关设备、和被授权访问服务的用户的UE中。

Description

用在网关设备中的装置
优先权要求
本申请基于并要求于2021年4月8日递交的第63/172,587号美国专利申请的优先权,其通过引用全部结合于此。
技术领域
本公开的实施例一般地涉及无线通信领域,尤其涉及一种用在网关设备中的装置。
背景技术
移动通信已经从早期的语音系统发展到今天的高度复杂的综合通信平台。5G或新型无线电(NR)无线通信系统将提供各种用户和应用随时随地对信息的访问和对数据的共享,并且将与4G或长期演进(LTE)无线通信系统长期共存。
附图说明
本公开的实施例将以示例而非限制的方式在附图中进行说明,其中,类似的附图标记指代类似的元件。
图1示出了根据本公开一些实施例的用在网关设备中的方法的流程图。
图2示出了根据本公开一些实施例的用户、用户身份、和用户简档的概念的示意图。
图3示出了根据本公开一些实施例的基于服务/应用的用户简档对托管在eRG后面的设备上的本地云上的服务/应用进行用户认证的高级过程的示意图。
图4示出了根据本公开一些实施例的基于服务/应用的用户简档对托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用进行用户认证的高级过程的示意图。
图5示出了根据本公开一些实施例的对于eRG或具有网关能力的PIN元素的配置更新过程的示意图。
图6示出了根据本公开各种实施例的网络的示意图。
图7示出了根据本公开各种实施例的无线网络的示意图。
图8示出了根据本公开一些示例实施例的能够从机器可读或计算机可读介质(例如,非暂态机器可读存储介质)读取指令并执行本文讨论的任何一种或多种方法的组件的框图。
具体实施方式
将使用本领域技术人员常用的术语来描述说明性实施例的各个方面,以将本公开的实质传达给本领域其他技术人员。然而,对于本领域技术人员来说显而易见的是,可以使用所描述的方面的部分来实施许多替代实施例。出于解释的目的,给出了具体的数字、材料、和配置,以便提供对说明性实施例的透彻理解。然而,对于本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下实施替代实施例。在其它实例中,为了避免模糊说明性实施例,可以省略或简化公知特征。
此外,以最有助于理解说明性实施例的方式,将各种操作依次描述为多个离散操作;然而,不应将描述顺序解释为暗示这些操作必然是顺序相关的。特别地,这些操作不需要按照呈现的顺序来执行。
本文中重复使用短语“在实施例中”、“在一个实施例中”、和“在一些实施例中”。这些短语通常不指代相同的实施例;然而,它们也可以指代相同的实施例。除非上下文另有规定,否则术语“包含”、“具有”、和“包括”是同义词。短语“A或B”和“A/B”的意思是“(A)、(B)、或(A和B)”。
近年来,越来越多的非3GPP设备(例如,媒体服务器、打印机、网络附接存储(NAS)服务器等)可以在个人物联网网络(PIN)或客户驻地网络(CPN)中为位于PIN或CPN内部或PIN或CPN外部、使用用户设备(UE)的用户提供服务。这些非3GPP设备通常连接到无线网关,但是由于无线网关为这些非3GPP设备提供的端口转发和不安全连接,存在一些安全风险。
在PIN或CPN中,引入了演进住宅网关(eRG)或具有网关能力的PIN元素来向连接到eRG或具有网关能力的PIN元素的非3GPP设备或小型基站提供网络连接。同时,eRG或具有网关能力的PIN元素需要确保由非3GPP设备或小型基站提供的服务在5G无线通信网络中可见,以供来自世界任何地方的被授权用户访问这些服务。
为了增强识别被授权访问托管在eRG后面的设备上或具有网关能力的PIN元素后面的PIN元素上的服务/应用的用户的安全保护,提出针对该服务/应用启用基于运营商网络的用户认证。
图1示出了根据本公开一些实施例的用在网关设备中的方法100的流程图。如图1所示,方法100包括:S102,从UE接收对于托管在数据网络域中的托管设备上的服务的服务请求消息,其中,服务请求消息包括UE用户的用户身份和凭证信息;S104,基于用于UE用户的用户身份和凭证信息以及服务的更新用户简档,对UE用户执行认证,其中,服务的更新用户简档包括用于服务的认证策略和被授权访问服务的用户的凭证信息;以及S106,响应于对UE用户的成功认证,将服务请求消息转发到托管设备,其中,服务的更新用户简档由运营商网络生成并存储在运营商网络、网关设备、以及被授权访问服务的用户的UE中。
在一些实施例中,方法100还可以包括:向运营商网络发送注册消息,以向运营商网络注册服务,其中,注册消息包括服务的服务相关信息或用户简档;从运营商网络接收响应消息,其中,响应消息包括服务的更新用户简档;以及将服务的更新用户简档与服务的用户身份相关联地存储。
在一些实施例中,方法100还可以包括:从运营商网络接收配置更新消息,其中,配置更新消息包括服务的更新用户简档。服务的更新用户简档还可以包括服务的用户标识符、服务设置和参数、以及访问限制策略。
在一些实施例中,当用于服务的认证策略指示针对服务启用了运营商网络辅助的用户认证时,被授权访问服务的用户的凭证信息包括被授权访问服务的用户的用户认证状态。当UE用户是被授权访问服务的用户且其用户认证状态到期时,方法100还可以包括:向运营商网络发送认证请求消息,以请求运营商网络对UE用户执行认证,其中,认证请求消息包括服务的用户标识符及UE用户的用户身份和凭证信息;以及从运营商网络接收认证结果消息,其中,认证结果消息包括对于UE用户的用户认证结果。针对UE用户的运营商网络辅助的用户认证基于UE上的生物技术传感器或由UE用户手动输入的凭证信息。
在一些实施例中,当用于服务的认证策略指示针对服务启用了公私密钥对用户认证时,被授权访问服务的用户的凭证信息包括用于服务的密码、用于加密和解密的安全密钥、以及用于消息数字签名的哈希算法。
在一些实施例中,数据网络域是客户驻地网络(CPN),网关设备是CPN中的eRG,并且服务位于连接到eRG的托管设备上的客户拥有的应用平台或运营商部署的服务托管环境中。
在一些实施例中,数据网络域是个人物联网网络(PIN),网关设备是PIN中具有网关能力的PIN元素,并且服务位于连接到具有网关能力的PIN元素的PIN元素中。当UE位于PIN中并充当PIN中的PIN元素时,方法100还可以包括:确定是否允许UE访问PIN中的另一PIN元素;和/或确定PIN中的PIN元素是否被授权访问网关设备。
在一些实施例中,方法100还可以包括:将服务的更新用户简档发送到与网关设备相关联的归属公共陆地移动网络(HPLMN)。运营商网络是在没有任何限制的情况下部署演进分组系统(EPS)或5G系统(5GS)的公共网络、非公共网络、或专用网络。
为了帮助读者透彻理解方法100,提供以下两个用例及其相关细节作为示例。
·用例1:服务/应用托管在CPN中eRG后面的设备上的本地云上,其中,本地云在eRG后面的设备上的位于客户拥有的应用平台或运营商部署的服务托管环境上,eRG后面的设备可以是CPN中连接到eRG的UE或小型基站。
·用例2:服务/应用托管在PIN中具有网关能力的PIN元素后面的PIN元素上,其中,服务/应用可以被视为托管在具有网关能力的PIN元素后面的PIN元素上的本地云上。
具体地,针对上述两个用例提供了以下方案:
·方案1:关于用户简档/用户身份/用户标识符
·方案2:对于用例1,由5G无线通信网络或eRG对托管在eRG后面的设备上的服务/应用执行用户认证的过程
·方案3:对于用例2,由5G无线通信网络或具有网关能力的PIN元素对托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用执行用户认证的过程
·方案4:用户简档更新过程
方案1:关于用户简档/用户身份/用户标识符
使用具有特定订阅的UE的人类用户或托管在eRG后面的设备上或具有网关能力的PIN元素后面的PIN元素上的服务/应用可以被视为用户,并且可以由用户身份来识别。对于托管在eRG后面的设备上或具有网关能力的PIN元素后面的PIN元素上的每个服务/应用,可能存在一个或多个用户简档。
图2示出了根据本公开一些实施例的用户、用户身份、和用户简档的概念的示意图。如图2所示,对于PIN,用户包括托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用;对于CPN,用户包括托管在eRG后面的设备上的本地云上的服务/应用。
对于托管在eRG后面的设备上或具有网关能力的PIN元素后面的PIN元素上的每个服务/应用,5G无线通信网络可以为该服务/应用创建用户身份和与该用户身份相关联的一个或多个用户简档。PIN或CPN中的服务/应用的用户身份和用户简档可以由5G无线通信网络使用由CPN中的eRG或PIN中具有网关能力的PIN元素提供的应用层消息来配置。
对于托管在eRG后面的设备上或具有网关能力的PIN元素后面的PIN元素上的每个服务/应用,该服务/应用的每个用户简档可以包括该服务/应用的用户标识符和该服务/应用的以下一条或多条信息:
-具体的服务设置和参数,例如,活动/非活动时间、访问次数等。
-认证/授权策略和访问限制策略,用于对用户进行认证/授权以访问托管在CPN中eRG后面或PIN中具有网关能力的PIN元素后面的服务/应用。例如,认证/授权策略可以指示针对该服务/应用是否启用了5G无线通信网络辅助的用户认证。
-被授权访问该服务/应用的用户的凭据信息,例如,用于该服务/应用的密码、用于加密和解密的安全密钥、以及用于消息数字签名的哈希算法等。
对于托管在eRG后面的设备上或具有网关能力的PIN元素后面的PIN元素上的每个服务/应用,5G无线通信网络可以向被授权访问该服务/应用的用户的UE提供/分发该服务/应用的更新用户简档。这样,可以安全地访问该服务/应用,并且可以避免入侵eRG后面的设备或具有网关能力的PIN元素后面的PIN元素及其托管的服务的潜在安全/隐私风险。
运营商网络的订户可以通过利用该订户的用户账户信息注册其具有相同运营商网络的订阅的设备的一个或多个用户,对这些设备启用运营商网络辅助的用户认证。因此,可以对设备的注册用户实现自动登录和单点登录功能。
如果针对eRG后面的设备或具有网关能力的PIN元素后面的PIN元素及其托管的服务/应用启用了5G无线通信网络辅助的用户认证,则用户认证过程可以同时应用于eRG后面的设备或具有网关能力的PIN元素后面的PIN元素及其托管的服务/应用。
例如,用户X是设备X及其托管的服务Y二者的被授权用户,用户X的用户认证可以基于来自5G无线通信网络的同一用户认证结果。基于对于用户X的用户认证结果,eRG可以检查对于用户X请求访问的设备及其服务的授权。
方案2:对于用例1,由5G无线通信网络或eRG对托管在eRG后面的设备上的服务/应 用执行用户认证的过程
这个方案提供了一种对位于CPN外部的、请求访问由eRG后面的设备上的本地云提供的服务/应用的远程用户进行认证的方法。在这个方案中,被授权访问服务/应用的用户的凭证信息可以由5G无线通信网络的订户使用以下选项进行配置:
-选项1:在eRG中,发送至5G无线通信网络,用于对服务/应用进行配置;
-选项2:在订户的用户帐户信息中。
5G无线通信网络可以基于服务/应用的用户简档,将被授权访问服务/应用的用户的凭证信息分发给这些用户。
提出了以下两个安全机制示例用于对托管在eRG后面的设备上的本地云上的服务/应用进行用户认证,但也可以应用其他安全机制:
-示例1:使用私钥/公钥对;
-示例2:由5G无线通信网络基于用户用来请求访问托管在eRG后面的设备上的本地云上的服务/应用的UE上的生物技术传感器进行用户认证。
图3示出了基于服务/应用的用户简档对托管在eRG后面的设备上的本地云上的服务/应用进行用户认证的高级过程的示意图。如图3所示,该用户认证的高级过程包括:
步骤300:eRG存储服务/应用的、由5G无线通信网络的订户配置的用户简档,该订户也是本地云的所有者。
服务/应用具有用户身份和一个或多个相关联的用户简档。如果eRG不具有服务/应用的最新用户简档,则在继续步骤301之前,eRG请求对于服务/应用的用户简档的更新。如果eRG不具有服务/应用的用户简档,则eRG继续步骤301,指示服务/应用的服务相关信息(包括用户标识符、凭证信息、服务类型、服务描述等)。5G无线通信网络使用与用户标识符相关联的标准模式创建用户简档,并在步骤302中在响应消息中将用户简档返回给eRG。
步骤301:eRG发现CPN中位于eRG后面的设备。然后,eRG通过例如,HTTP请求和响应从eRG后面的设备获取活动服务相关信息。对于本地云上的服务/应用的每个用户简档,5G无线通信网络的订户可以配置所需的安全机制:
-安全用例1:使用私钥/公钥对。eRG或5G无线通信网络可以生成一个私钥和用于被授权访问该服务/应用的用户的多个公钥;
-安全用例2:使用5G无线通信网络辅助的用户认证。
步骤302:eRG向5G无线通信网络注册eRG背后的设备及其托管的服务/应用,其中,注册消息包括由eRG后面的设备提供的服务/应用的服务/应用相关信息或用户简档。
对于托管在eRG后面的设备上的本地云上的服务/应用,5G无线通信网络可以向被授权访问该服务/应用的用户分配公钥,并利用例如,包括分配给被授权访问该服务/应用的用户的公钥在内的凭证信息来更新该服务/应用的用户简档(在安全用例1中);或者5G无线通信网络可以设置标志,用于指示被授权访问该服务/应用的用户的用户认证状态(在安全用例2中)。
在响应消息中,5G无线通信网络向eRG指示托管在eRG后面的设备上的本地云上的服务/应用的注册结果。如果服务/应用的用户简档的内容被更新,则服务/应用的用户简档被包括在响应消息中。
步骤303:对于托管在eRG后面的设备上的本地云上的每个服务/应用,eRG存储该服务/应用的更新用户简档。
在这个步骤中,托管在eRG后面的设备上的本地云上的每个服务/应用的每个用户简档包括被授权访问该服务/应用的用户的凭据信息(用于对该服务/应用进行用户认证)(安全用例1)或被授权访问该服务/应用的用户的用户认证状态(安全用例2)。
步骤304:远程用户使用UE基于存储在UE上的服务/应用的用户简档,请求访问托管在eRG后面的设备上的本地云上的服务/应用。
在这个步骤中,远程用户的UE可以使用哈希算法对服务请求消息进行签名,并使用与远程用户相关联的公钥对服务请求消息进行加密,其中,存储在UE上的服务/应用的用户简档中的凭证信息包括哈希算法和公钥(安全用例1);或者远程用户可以被UE请求通过UE上的生物技术传感器重新认证或提供手动配置的凭证信息。
步骤305:当eRG接收到远程用户对于托管在eRG后面的设备上的本地云上的服务/应用的服务请求消息时,eRG基于存储在其上的服务/应用的用户简档对远程用户执行用户认证。
如果针对服务/应用启用了公钥私钥对用户认证,则服务/应用的私钥被用来确保服务请求消息由合法用户/UE发送,哈希算法被用来确保在消息递送期间服务请求消息没有被修改。也就是说,eRG基于服务/应用的用户简档中的凭证信息以及远程用户的用户身份和凭证信息来执行对于服务/应用的用户认证。
如果针对服务/应用启用了5G无线通信网络辅助的用户认证,远程用户是被授权访问服务/应用的用户,并且存储在eRG中的用户认证状态对远程用户指示为到期,则eRG向5G无线通信网络发送对于远程用户的用户认证请求。或者,eRG向5G无线通信网络发送认证请求消息,其中,该认证请求消息包括服务/应用的用户标识符以及远程用户的用户身份和凭证信息。
步骤306:如果对远程用户的用户认证成功,则eRG将服务请求消息转发给eRG后面的设备。否则,eRG拒绝远程用户访问托管在eRG后面设备上的本地云上的服务/应用。
步骤307:eRG后面的设备与远程用户的UE之间的服务/应用的通信开始。
这个方案可以应用于CPN中的用例,使得eRG是具有3GPP订阅的受信任3GPP设备,eRG后面的设备是UE或非3GPP设备,并且托管在eRG后面的设备上的本地云上的服务/应用允许经认证和授权的用户访问。
针对CPN中eRG后面的本地云的示例
前置条件:
用户D是网络运营商B的5G订户,其中,用户D具有对其UE和CPN中的eRG的用户账户和订阅。基于对CPN中的eRG的订阅,网络运营商B启用5G无线通信网络中的强用户认证机制,以确保访问CPN中的eRG的用户是经过认证和授权的。
用户D在其驻地,例如,家中的CPN中连接到eRG的设备上安装本地云应用平台。本地云应用平台提供对于文件、视频、相册等的存储服务。为了启用从5G无线通信网络对CPN中eRG后面的设备上运行的服务/应用的强用户认证,用户D利用网络运营商B的用户D用户帐户配置应用/服务相关信息。当在用户D用户帐户中启用这些应用/服务时,5G无线通信网络提供的用户认证机制可以应用于这些服务/应用。
服务流
步骤1:使用其UE和用户身份登录的用户D已通过5G无线通信网络使用强认证机制进行认证以连接到CPN。
步骤2:用户D使用其UE访问由CPN中eRG后面的设备上的本地云应用平台提供的服务/应用,其中,这些服务/应用被配置为需要5G无线通信网络的强用户认证。由于用户D的UE已经被5G无线通信网络认证并且用户D已经被认证用于连接到CPN,所以关于用户D的用户身份存在高水平的置信度。该置信度水平基于用户D的位置和从上次认证用户D的用户身份所经过的时间而增加。
步骤3:基于从5G无线通信网络传输到CPN中本地云上的期望服务/应用的信息,该服务/应用接受用户D的访问请求,而无需用户D提供对于该服务/应用的额外凭证。
步骤4:用户D在用户D的UE上配置应用客户端,以自动将其照片同步到CPN中本地云上的相册应用。由于用户D已经启用由5G无线通信网络进行的强用户认证,因此用户D的UE可以自动登录并将照片上传到本地云上的相册应用。服务/应用可以确定是否请求由5G无线通信网络对用户D进行强重新认证,以确保用户D仍然是eRG后面的实际用户,这是通过运营商“加农海滩(Cannon Beach)”对用户D进行重新认证来实现的,例如,通过UE的生物技术传感器(例如,面部、指纹、语音)对用户D进行重新认证。
后置条件
由于运营商网络的服务支持CPN中本地云上的非3GPP服务,用户D可以放心地在用户D的驻地,例如,家中的CPN中连接到eRG的设备上的本地云中安装更多应用,并支持5G无线通信网络的强用户认证。
服务要求
为了使5G无线通信网络支持对CPN中连接到eRG的设备上运行的服务/应用的用户认证,提出了以下服务要求:
-5G无线通信网络应能够对使用被授权UE连接到CPN中的eRG并访问eRG后面的设备上被授权给用户的服务/应用的用户进行认证。
-5G无线通信网络应能够考虑有关以下各项的信息,基于用户的用户身份和所使用的UE向部署在CPN中eRG后面的服务/应用提供关于请求访问的用户的用户认证结果和置信度信息:
-所使用的UE上使用的用户认证机制(例如,语音/指纹/面部)以及自上次用户认证以来经过的时间,以及
-使用中的UE状态(例如,接入技术、位置、服务授权)。
-为了使5G无线通信网络支持针对部署在CPN中eRG后面的设备上的服务/应用的用户认证,5G无线通信网络应支持其网络运营商充当用户身份提供商,并基于该服务/应用的用户简档来对与该服务/应用相关联的用户身份进行认证,该用户简档应包括与该服务/应用相关的以下一条或多条信息:
-用户标识符;
-具体的服务设置和参数,例如,活动/非活动时间、访问次数等;
-使用服务/应用的用户所需的认证/授权策略和访问限制策略;
-通过用户身份识别的被授权用户;
-被授权用户的凭据信息。
方案3:对于用例2,由5G无线通信网络或具有网关能力的PIN元素对托管在具有网 关能力的PIN元素后面的PIN元素上的服务/应用进行用户认证的过程
这个方案提供了在请求PIN中的服务/应用的用户位于PIN的远程外部时,通过具有网关能力的PIN元素对请求访问由PIN元素托管的服务/应用的用户进行用户认证的方法。
在这个方案中,被授权访问服务/应用的用户的凭证信息可以由5G无线通信网络的订户使用以下选项进行配置:
-选项1:在具有网关能力的PIN元件中,发送至5G无线通信网络,用于对服务/应用进行配置;
-选项2:在订户的用户帐户信息中。
然后,5G无线通信网络基于存储在5G无线通信网络上的服务/应用的用户简档,为被授权访问托管在PIN元素上的服务/应用的用户分发凭据信息。
根据实际使用情况,可以为PIN元素、其托管的服务/应用、或它们二者创建用户身份。对于托管一个应用的简单固定PIN元素,例如,智能电表等,可以为该PIN元素或其托管的服务/应用创建用户身份。对于具有更多功能和移动性的PIN元素,该PIN元素及其托管的服务/应用可能都需要单独的用户身份和相应的用户简档,以便对PIN元素及其托管的服务/应用进行用户认证。
提出了以下两个安全机制示例用于对托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用进行用户认证,但其他安全机制也适用。
-示例1:使用私钥/公钥对;
-示例2:由5G无线通信网络基于用户用来请求访问具有网关能力的PIN元素后面的PIN元素上的服务/应用的UE上的生物技术传感器进行用户认证。
图4示出了根据本公开一些实施例的基于服务/应用的用户简档对PIN元素上的服务/应用进行用户认证的高级过程的示意图。如图4所示,该用户认证的高级过程包括:
步骤400:具有网关能力的PIN元素存储由5G无线通信网络的订户配置的服务/应用的用户简档,该订户也是该PIN元素的所有者。
服务/应用具有用户身份和一个或多个相关联的用户简档。如果具有网关能力的PIN元素不具有服务/应用的最新用户简档,则具有网关能力的PIN元素在继续步骤401之前请求对于服务/应用的用户简档的更新。如果具有网关能力的PIN元素不具有服务/应用的用户简档,则具有网关能力的PIN元素继续执行步骤401,指示服务/应用相关信息,包括服务/应用的用户标识符、凭证信息、服务类型、服务描述等。5G无线通信网络使用与用户标识符相关联的标准模式创建用户简档,并在步骤402中在响应消息中将用户简档返回给具有网关能力的PIN元素。
步骤401:具有网关能力的PIN元素后面的PIN元素在PIN中发现具有网关能力的PIN元素。然后,具有网关能力的PIN元素例如,通过HTTP请求和响应从具有网关能力的PIN元素后面的PIN元素获取活动服务相关信息。对于服务/应用的每个用户简档,5G无线通信网络的订户可以配置所需的安全机制:
-安全用例1:使用私钥/公钥对。具有网关能力的PIN元素或5G无线通信网络可以生成一个私钥和用于被授权访问服务/应用的用户的多个公钥;
-安全用例2:使用5G无线通信网络辅助的用户认证。
步骤402:具有网关能力的PIN元素向5G无线通信网络注册具有网关能力的PIN元素后面的PIN元素及其托管的服务/应用,其中,注册消息包括由具有网关能力的PIN元素后面的PIN元素托管的服务/应用的服务/应用相关信息或用户简档。
对于托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用,5G无线通信网络可以向被授权访问该服务/应用的用户分配公钥,并更新该服务/应用的用户简档,例如,利用包括分配给被授权访问该服务/应用的用户的公钥在内的凭证信息(在安全用例1中);或者5G无线通信网络可以设置标志用于指示被授权访问该服务/应用的用户的用户认证状态(在安全用例2中)。
在响应消息中,5G无线通信网络向具有网关能力的PIN元素指示托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用的注册结果。如果服务/应用的用户简档的内容被更新,则服务/应用的用户简档被包括在响应消息中。
步骤403:对于本地云上的每个服务/应用,具有网关能力的PIN元素存储该服务/应用的更新用户简档。
在这个步骤中,托管在具有网关能力的PIN元素后面的PIN元素上的每个服务/应用的每个用户简档包括被授权访问该服务/应用的用户的凭据信息,用于该服务/应用的用户认证(安全用例1)或者被授权访问该服务/应用的用户的用户认证状态(安全用例2)。
步骤404:远程用户使用UE基于存储在UE上的应用/服务的用户简档,请求访问托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用。
在这个步骤中,远程用户的UE可以使用哈希算法对服务请求消息进行签名,并使用与远程用户相关联的公钥对服务请求消息进行加密,其中,存储在UE上的服务/应用的用户简档中的凭证信息包括哈希算法和公钥(安全用例1);或者,远程用户可以被UE请求通过UE上的生物技术传感器重新认证或提供手动配置的凭证信息。
步骤405:当具有网关能力的PIN元素从远程用户接收到对于托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用的服务请求消息时,它基于存储在具有网关能力的PIN元素上的服务/应用的用户简档对远程用户执行用户认证。
如果针对服务/应用启用了公钥-私钥对用户认证,则服务/应用的私钥被用来确保服务请求消息由合法用户/UE发送,哈希算法被用来确保在消息递送过程中服务请求消息没有被修改。也就是说,具有网关能力的PIN元素基于服务/应用的用户简档中的凭证信息以及远程用户的用户身份和凭证信息来执行对于服务/应用的用户认证。
如果针对服务/应用启用了5G无线通信网络辅助的用户认证,远程用户是被授权访问服务/应用的用户,并且存储在具有网关能力的PIN元素中的用户认证状态对于远程用户指示为到期,则具有网关能力的PIN元件向5G无线通信网络发送对于远程用户的用户认证请求。可选地,具有网关能力的PIN元件向5G无线通信系统发送认证请求消息,该认证请求消息包括服务/应用的用户标识符以及远程用户的用户身份和凭证信息。
步骤406:如果对于远程用户的用户认证成功,则具有网关能力的PIN元素将服务请求消息转发给托管在具有网关能力的PIN元素后面的PIN元素上的应用/服务。否则,具有网关能力的PIN元素拒绝远程用户访问托管在具有网关能力的PIN元素后面的PIN元素上托管的应用/服务。
步骤407:PIN元素与远程用户的UE之间的服务/应用的通信开始。
这个方案可以应用于PIN中的用例,使得具有网关能力的PIN元素是具有3GPP订阅的受信任3GPP设备,具有网关能力的PIN元素后面的PIN元素是UE或非3GPP设备,托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用允许经认证和授权的用户访问。
对于托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用的示例
高级服务流程包括以下步骤:
步骤1:用户配置和相应的用户简档
5G用户在为其所有UE提供5G连接服务的运营商网络上登录其用户帐户。在他的用户帐户中,列出了两个具有网关能力的UE订阅,包括一个智能电话和一个eRG。在这个用户帐户中,5G订户可以请求为其所有家庭成员创建用户身份,并为PIN元素和由PIN元素托管的服务/应用创建其他用户身份。
此外,对于托管在具有网关能力的PIN元素后面的PIN元素上的每个服务/应用,5G订户例如,通过扫描PIN元素的二维(QR)码来获取一些信息并手动编辑详细信息来配置用户简档。对于由用户身份识别的每个服务/应用,它可以具有一个或多个用户简档并且每个用户简档包含以下一条或多条信息:
-用户标识符;
-具体的服务设置和参数,例如,活动/非活动时间、访问次数等。
-认证/授权策略和访问限制策略,用于对用户进行认证/授权以访问托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用。
-被授权访问服务/应用的用户的凭据信息,例如,用于服务/应用的密码、用于加密/解密的安全密钥、以及用于消息数字签名的哈希算法等。
对于被授权访问托管在具有网关能力的PIN元素后面的PIN元素上的服务/应用的人类用户,该人类用户的用户简档可以指示用户身份及其一个或多个相关联的服务/应用的用户标识符。
步骤2:注册具有网关能力的PIN元素后面的PIN元素并更新由该PIN元素提供的应 用/服务的用户简档
步骤2.1:当PIN元素开启时,具有网关能力的PIN元素在第一时间发现并连接到该PIN元素,然后确定该PIN元素是否是其存储的配置中指示的用户身份识别的被授权用户。
如果是,则具有网关能力的PIN元素通过向5G无线通信网络指示其用户身份和一个或多个相关联的用户标识符来启动安全过程,以注册该PIN元素。此外,对于服务注册,具有网关能力的PIN元素注册由具有网关能力的PIN元素后面的PIN元素托管的活动服务的服务相关信息、凭证信息、以及活动服务的用户身份及其相关联的用户标识符。
如果不是,则具有网关能力的PIN元素可以拒绝该PIN元素使用其5G连接或者在继续向5G无线通信网络注册该PIN元素及其托管的服务之前,基于其配置的最后更新时间从5G无线通信网络请求其配置的更新。
用于执行步骤2.1的要求包括:
-PIN元素应能够发现PIN。
-具有网关能力的PIN元素应能够确定PIN元素是否是被授权访问PIN的PIN元素。
-具有网关能力的PIN元素应具有配置/简档,表明PIN元素被授权/允许做什么。
步骤2.2:5G无线通信网络基于具有网关能力的PIN元素的凭证信息对其用户身份进行认证,然后更新由具有网关能力的PIN元素提供的服务/应用的用户简档。作为回应,5G无线通信网络将认证结果和注册服务/应用的更新用户简档响应给具有网关能力的PIN元素。
步骤2.3:5G无线通信网络进一步向5G订户的HPLMN提供服务/应用的更新用户简档。具有网关能力的PIN元素的HPLMN将更新其存储的所有受影响用户的用户简档。也就是说,具有网关能力的PIN元件应更新HPLMN中的5G订户简档。
步骤2.4:基于5G无线通信网络的策略,5G无线通信网络可以向具有网关能力的PIN元素更新受影响用户的用户简档和UE配置。
步骤3:PIN元素提供的被授权服务
步骤3.1:5G订户添加用户A作为PIN元素上托管的服务的被授权用户。当用户A使用其被授权UE访问托管在具有网关能力的PIN元素后面的PIN元素上的注册应用A时,PIN应具有至少一个可将策略分配给其他用户身份的用户身份。
例如,具有网关能力的PIN元素后面的PIN元素是智能车库门,用户A希望请求PIN元素上的智能家居应用A打开车库门,以便送货人员将包裹放入车库。在允许用户A的UE访问具有网关能力的PIN元素后面的PIN元素的应用A之前,用户A的UE和该PIN元素之间的连接根据用户A的被授权UE的位置而不同,如下所示:
-情况(a):当使用被授权UE的用户A位于PIN外部时,5G无线通信网络将该UE连接到具有网关能力的PIN元素。
-情况(b):当使用被授权UE的用户A位于PIN中时,具有网关能力的PIN元素基于所存储的UE的UE策略或用户偏好,发现并连接用户A的UE作为使用3GPP直接通信或非3GPP访问的PIN元素。
-情况(c):当使用被授权UE的用户A位于PIN中时,作为具有网关能力的PIN元素的用户A的UE发现PIN元素,并基于所存储的UE的UE策略或用户偏好通过非3GPP接入技术(例如,蓝牙、WiFi)或通过3GPP直接通信与PIN元素连接。
步骤3.2:基于所存储的PIN元素的用户简档,情况(a)/(b)中的具有网关能力的PIN元素或情况(c)中的UE可以确定是否接受来自用户的访问请求。具有网关功能的PIN元素可以基于一组策略(位置、访问类型、正在访问的应用)确定是否允许PIN元素访问另一PIN元素。
步骤3.3:情况(a)/(b)中的具有网关能力的PIN元素或情况(c)中的UE可以基于所存储的应用A的用户简档中的安全策略和凭据进一步对应用A执行用户认证。如果应用A被配置为由5G无线通信网络进行用户认证,具有网关能力的PIN元素或UE请求由5G无线通信网络对应用A进行用户认证。
步骤3.4:只有在用户认证成功的情况下,具有网关能力的PIN元素或UE才将服务请求消息转发给PIN元素。否则,具有网关能力的PIN元素将拒绝服务访问请求。
步骤3.5:在情况(a)和情况(b)中具有网关能力的PIN元素开始在PIN元素之间转发流量,或者在情况(c)中UE直接与PIN元素通信。
步骤4:PIN中具有网关能力的PIN元素中的UE策
当被授权用户/UE从家外,即情况(a)移动到家中,即情况(b)或情况(c)时,用户可以手动确定所使用的UE如何采用情况(a)/情况(b)/情况(c),或者UE可以基于UE策略自动适配到情况(a)/情况(b)/情况(c),其中,UE策略包括5G网络提供的以下信息:
-一种或多种操作模式(PIN元素、具有网关能力的PIN元素);
-通信方式(3GPP间接通信、3GPP直接通信、或非3GPP接入);
-位置信息。
服务要求
为了使5G无线通信网络能够支持对于托管在PIN中连接到具有网关能力的PIN元素的PIN元素上的服务/应用的用户认证,提出了以下服务要求:
-5G无线通信网络应能够支持被授权UE安全访问在具有网关能力的PIN元素后面的PIN元素上运行的经认证和授权的应用。
-5G无线通信网络应能够存储和更新与PIN元素或在具有网关能力的PIN元素后面的PIN元素上运行的应用相关联的用户简档,并且用户简档应包括与这个应用相关联的以下一条或多条信息:
-用户标识符;
-具体的服务设置和参数,例如,活动/非活动时间、访问次数等;
-在PIN元素上运行的服务/应用所需的认证/授权策略和访问限制策略;
-被授权访问服务/应用的用户的凭据信息。
-5G无线通信网络应支持网络运营商充当用户身份提供商,并认证与PIN元素或其上运行的服务/应用相关的用户身份。
-具有网关能力的PIN元素能够基于一组策略(位置、访问类型、正在访问的应用)确定是否允许PIN元素访问另一PIN元素。
-具有网关能力的PIN元素应更新HPLMN中的5G订户简档。
-PIN应具有至少一个可以将策略分配给其他用户身份的用户身份。
-PIN元素应能够发现PIN。
-具有网关能力的PIN元素应能够确定PIN元素是否是被允许访问PIN的被授权PIN元素。
-具有网关能力的PIN元素应支持PIN元素被授权/允许做什么的简档。
方案4:用户简档更新过程
这个方案提供了用于CPN和PIN中的用例的用户简档更新过程的详细信息。
托管在eRG后面的设备上或具有网关能力的PIN元素后面的PIN元素上的服务/应用的用户简档可以基于服务/应用的用户身份和用户简档被更新并提供给被授权访问该服务/应用的用户的UE。
托管在eRG后面的设备上或具有网关能力的PIN元素后面的PIN元素上的服务/应用的用户简档可以基于服务/应用的用户身份和用户简档被更新并提供给eRG或具有网关能力的PIN元素。
图5示出了根据本公开一些实施例的用于eRG或具有网关能力的PIN元素的配置更新过程的示意图。如图5所示,该配置更新过程包括:
步骤501:eRG或具有网关能力的PIN元素通过在请求消息中包含以下信息,向相关联的分组控制功能(PCF)订阅有关所指示的用户标识符的用户简档的变化的服务,作为注册过程或新的非接入层(NAS)过程的一部分:
-策略更新指示;
-更新策略类型,例如,用户简档;
-与用户简档相关联的用户标识符。
如果5G订户将用户身份或相关联的用户标识符识别的、对于用户简档更新的用户偏好配置为活动,则5G无线通信网络(例如,认证管理功能(AMF))可以直接从eRG或具有网关能力的PIN元素的相关联PCF订阅更新服务,而不需要eRG或具有网关能力的PIN元素请求此类更新。
步骤502:AMF关联到存储或知道从何处取回eRG或具有网关能力的PIN元素所需的策略信息的PCF。PCF向用户数据存储库(UDR)订阅所指示的策略信息(例如,更新策略类型,例如,与用户标识符相对应的用户简档等)改变时的通知服务。
步骤503:所请求的用户简档可能由于以下原因在UDR处被更改:
-eRG后面的设备或具有网关能力的PIN元素后面的PIN元素提供的服务的更新,
-5G订户手动改变被授权用户对于eRG后面的设备或具有网关能力的PIN元素后面的PIN元素提供的服务的使用,
-eRG后面的设备或具有网关能力的PIN元素后面的PIN元素的服务设置和参数变化。
步骤504:UDR向PCF通知用户简档的改变。
步骤505:启动策略过程,以将用户简档更新到eRG或具有网关能力的PIN元素。具体地,用于透明UE策略递送的UE配置更新过程可用于将用户简档更新到eRG和具有网关能力的PIN元素。
图6-7示出了可以实现所公开的实施例的多个方面的各种系统、设备、和组件。
图6示出了根据本公开各种实施例的网络600的示意图。网络600可以根据长期演进(LTE)或5G/NR系统的3GPP技术规范操作。然而,示例性实施例在这方面不受限制,并且所描述的实施例可以应用于受益于本文描述的原理的其他网络,例如未来的3GPP系统等。
网络600可以包括UE 602,该UE可以包括被设计为经由空中连接与无线电接入网(RAN)604通信的任何移动或非移动计算设备。UE 602可以是但不限于智能手机、平板计算机、可穿戴计算机设备、台式计算机、膝上型计算机、车载信息娱乐设备、车载娱乐设备、仪表盘、抬头显示设备、车载诊断设备、仪表板移动设备、移动数据终端、电子引擎管理系统、电子/引擎控制单元、电子/引擎控制模块、嵌入式系统、传感器、微控制器、控制模块、引擎管理系统、网络设备、机器型通信设备、机器到机器(M2M)或设备到设备(D2D)设备、物联网(IoT)设备等。
在一些实施例中,网络600可以包括通过侧链路接口彼此直接耦合的多个UE。UE可以是使用物理侧链路信道(例如但不限于物理侧链路广播信道(PSBCH)、物理侧链路发现信道(PSDCH)、物理侧链路共享信道(PSSCH)、物理侧链路控制信道(PSCCH)、物理侧链路基本信道(PSFCH)等)进行通信的M2M/D2D设备。
在一些实施例中,UE 602还可以通过空中连接与接入点(AP)606进行通信。AP 606可以管理无线局域网(WLAN)连接,其可以用于从RAN 604卸载一些/所有网络流量。UE 602和AP 606之间的连接可以与任何IEEE 802.11协议一致,其中,AP 606可以是无线保真
Figure BDA0003581893900000211
路由器。在一些实施例中,UE 602、RAN 604、和AP 606可以利用蜂窝WLAN聚合(例如,LTE-WLAN聚合(LWA)/轻量化IP(LWIP))。蜂窝WLAN聚合可能涉及由RAN 604配置UE602利用蜂窝无线电资源和WLAN资源二者。
RAN 604可以包括一个或多个接入节点,例如,接入节点(AN)608。AN 608可以通过提供包括无线电资源控制(RRC)协议、分组数据汇聚协议(PDCP)、无线电链路控制(RLC)协议、介质访问控制(MAC)协议、和L1协议在内的接入层协议来终止UE 602的空中接口协议。以此方式,AN 608可以使能核心网(CN)620和UE 602之间的数据/语音连接。在一些实施例中,AN 608可以被实现在离散设备中,或者被实现为在服务器计算机上运行的一个或多个软件实体(作为例如,虚拟网络的一部分,虚拟网络可以被称为分布式RAN(CRAN)或虚拟基带单元池)。AN 608可以被称为基站(BS)、下一代基站(gNB)、RAN节点、演进节点B(eNB)、下一代eNB(ng eNB)、节点B(NodeB)、路边单元(RSU)、发射接收点(TRxP)、发射点(TRP)等。AN608可以是宏小区基站或低功率基站,用于提供与宏小区相比具有更小覆盖区域、更小用户容量、或更高带宽的微小区、微微小区、或其他类似小区。
在RAN 604包括多个AN的实施例中,它们可以通过X2接口(如果RAN 604是LTERAN)或Xn接口(如果RAN 604是5G RAN)相互耦合。在一些实施例中,可以被分离成控制/用户平面接口的X2/Xn接口可以允许AN传送与切换、数据/上下文传输、移动性、负载管理、干扰协调等相关的信息。
RAN 604的AN可以分别管理一个或多个小区、小区组、分量载波等,以向UE 602提供用于网络接入的空中接口。UE 602可以与由RAN604的相同或不同AN提供的多个小区同时连接。例如,UE 602和RAN604可以使用载波聚合来允许UE 602与多个分量载波连接,每个分量载波对应于主小区(PCell)或辅小区(SCell)。在双连接场景中,第一AN可以是提供主小区组(MCG)的主网络节点,第二AN可以是提供辅小区组(SCG)的辅网络节点。第一/第二AN可以是eNB、gNB、ng-eNB等的任意组合。
RAN 604可以在授权频谱或未授权频谱上提供空中接口。为了在未授权频谱中操作,节点可以基于PCell/Scell的载波聚合(CA)技术,使用许可辅助接入(LAA)、增强的LAA(eLAA)、和/或进一步增强的LAA(feLAA)机制。在访问未授权频谱之前,节点可以基于例如,先听后说(LBT)协议来执行介质/载波感测操作。
在车辆对一切(V2X)场景中,UE 602或AN 608可以是或充当路边单元(RSU),其可以指用于V2X通信的任何运输基础设施实体。RSU可以在适当的AN或静止(或相对静止)UE中实现或由其实现。在UE中实现或由UE实现的RSU可以被称为“UE型RSU”;在eNB中实现或由eNB实现的RSU可以被称为“eNB型RSU”;在下一代NodeB(gNB)中实现或由gNB实现的RSU可以被称为“gNB型RSU”等。在一个示例中,RSU是与位于路边的射频电路耦合的计算设备,其向经过的车辆UE提供连接支持。RSU还可以包括内部数据存储电路,用于存储交叉口地图几何图形、交通统计、媒体、以及用于感测和控制正在进行的车辆和行人交通的应用程序/软件。RSU可以提供高速事件(例如,碰撞避免、交通警告等)所需的非常低延迟的通信。另外或可选地,RSU可以提供其他蜂窝/WLAN通信服务。RSU的组件可以封装在适合室外安装的防风雨外壳中,并且可以包括网络接口控制器以提供到交通信号控制器或回程网络的有线连接(例如,以太网)。
在一些实施例中,RAN 604可以是LTE RAN 610,其中包括演进节点B(eNB),例如,eNB 612。LTE RAN 610可以提供具有以下特征的LTE空中接口:15kHz的子载波间隔(SCS);用于上行链路(UL)的单载波频分多址(SC-FDMA)波形和用于下行链路(DL)的循环前缀正交频分复用(CP-OFDM)波形;用于数据的turbo代码和用于控制的TBCC等。LTE空中接口可以依赖信道状态信息参考信号(CSI-RS)进行CSI采集和波束管理;依赖物理下行链路共享信道(PDSCH)/物理下行链路控制信道(PDCCH)解调参考信号(DMRS)进行PDSCH/PDCCH解调;以及依赖小区参考信号(CRS)进行小区搜索和初始采集、信道质量测量、和信道估计,并且依赖信道估计进行UE处的相干解调/检测。LTE空中接口可以在6GHz子波段上工作。
在一些实施例中,RAN 604可以是具有gNB(例如,gNB 616)或gn-eNB(例如,ng-eNB618)的下一代(NG)-RAN 614。gNB 616可以使用5G NR接口与启用5G的UE连接。gNB 616可以通过NG接口与5G核心连接,NG接口可以包括N2接口或N3接口。ng-eNB 618还可以通过NG接口与5G核心连接,但是可以通过LTE空中接口与UE连接。gNB616和ng-eNB 618可以通过Xn接口彼此连接。
在一些实施例中,NG接口可以分为NG用户平面(NG-U)接口和NG控制平面(NG-C)接口两部分,前者承载UPF 648和NG-RAN 614的节点之间的流量数据(例如,N3接口),后者是接入和移动性管理功能(AMF)644和NG-RAN 614的节点之间的信令接口(例如,N2接口)。
NG-RAN 614可以提供具有以下特征的5G-NR空中接口:可变子载波间隔(SCS);用于下行链路(DL)的循环前缀-正交频分复用(CP-OFDM)、用于UL的CP-OFDM和DFT-s-OFDM;用于控制的极性、重复、单工、和里德-穆勒码;以及用于数据的低密度奇偶校验码(LDPC)。5G-NR空中接口可以类似LTE空中接口而依赖于信道状态参考信号(CSI-RS)、PDSCH/PDCCH解调参考信号(DMRS)。5G-NR空中接口可以不使用小区参考信号(CRS),但是可以使用物理广播信道(PBCH)解调参考信号(DMRS)进行PBCH解调;使用相位跟踪参考信号(PTRS)进行PDSCH的相位跟踪;以及使用跟踪参考信号进行时间跟踪。5G-NR空中接口可以在包括6GHz子频带的FR1频带或包括24.25GHz到52.6GHz频带的FR2频带上操作。5G-NR空中接口可以包括同步信号和PBCH块(SSB),SSB是包括主同步信号(PSS)/辅同步信号(SSS)/PBCH的下行链路资源网格的区域。
在一些实施例中,5G-NR空中接口可以将带宽部分(BWP)用于各种目的。例如,BWP可以用于SCS的动态自适应。例如,UE 602可以配置有多个BWP,其中,每个BWP配置具有不同的SCS。当向UE 602指示BWP改变时,传输的SCS也改变。BWP的另一个用例与省电有关。具体地,可以为UE 602配置具有不同数量的频率资源(例如,PRB)的多个BWP,以支持不同流量负载场景下的数据传输。包含较少数量PRB的BWP可以用于具有较小流量负载的数据传输,同时允许UE 602和在某些情况下gNB 616处的省电。包含大量PRB的BWP可以用于具有更高流量负载的场景。
RAN 604通信地耦合到包括网络元件的CN 620,以向客户/订户(例如,UE 602的用户)提供支持数据和电信服务的各种功能。CN 620的组件可以实现在一个物理节点中也可以实现在不同的物理节点中。在一些实施例中,网络功能虚拟化(NFV)可以用于将CN 620的网络元件提供的任何或所有功能虚拟化到服务器、交换机等中的物理计算/存储资源上。CN620的逻辑实例可以被称为网络切片,并且CN 620的一部分的逻辑实例可以被称为网络子切片。
在一些实施例中,CN 620可以是LTE CN 622,也可以被称为EPC。LTE CN 622可以包括移动性管理实体(MME)624、服务网关(SGW)626、服务通用无线分组业务(GPRS)支持节点(SGSN)628、归属订户服务器(HSS)630、代理网关(PGW)632、以及策略控制和计费规则功能(PCRF)634,如图所示,这些组件通过接口(或“参考点”)相互耦合。LTE CN 622的元件的功能可以简单介绍如下。
MME 624可以实现移动性管理功能,以跟踪UE 602的当前位置,从而方便寻呼、承载激活/去激活、切换、网关选择、认证等。
SGW 626可以终止朝向RAN的S1接口,并在RAN和LTE CN 622之间路由数据分组。SGW 626可以是用于RAN节点间切换的本地移动性锚点,并且还可以提供用于3GPP间移动性的锚定。其他责任可以包括合法拦截、计费、以及一些策略执行。
SGSN 628可以跟踪UE 602的位置并执行安全功能和访问控制。另外,SGSN 628可以执行EPC节点间信令,以用于不同RAT网络之间的移动性;MME 624指定的PDN和S-GW选择;用于切换的MME选择等。MME 624和SGSN 628之间的S3参考点可以使能空闲/活动状态下用于3GPP间接入网络移动性的用户和承载信息交换。
HSS 630可以包括用于网络用户的数据库,该数据库包括支持网络实体处理通信会话的订阅相关信息。HSS 630可以提供对路由/漫游、认证、授权、命名/寻址解析、位置依赖性等的支持。HSS 630和MME 624之间的S6a参考点可以使能订阅和认证数据的传输,用于认证/授权用户对LTE CN 620的访问。
PGW 632可以终止朝向可以包括应用/内容服务器638的数据网络(DN)636的SGi接口。PGW 632可以在LTE CN 622和数据网络636之间路由数据分组。PGW 632可以通过S5参考点与SGW 626耦合,以促进用户平面隧道和隧道管理。PGW 632还可以包括用于策略执行和计费数据收集的节点(例如,PCEF)。另外,PGW 632和数据网络636之间的SGi参考点可以是例如,用于提供IP多媒体子系统(IMS)服务的运营商外部公共、私有PDN、或运营商内部分组数据网络。PGW 632可以经由Gx参考点与PCRF 634耦合。
PCRF 634是LTE CN 622的策略和计费控制元件。PCRF 634可以通信地耦合到应用/内容服务器638,以确定服务流的适当服务质量(QoS)和计费参数。PCRF 632可以将相关规则提供给具有适当业务流模板(TFT)和QoS类标识符(QCI)的PCEF(经由Gx参考点)。
在一些实施例中,CN 620可以是5G核心网(5GC)640。5GC 640可以包括认证服务器功能(AUSF)642、接入和移动性管理功能(AMF)644、会话管理功能(SMF)646、用户平面功能(UPF)648、网络切片选择功能(NSSF)650、网络开放功能(NEF)652、NF存储功能(NRF)654、策略控制功能(PCF)656、统一数据管理(UDM)658、和应用功能(AF)660,如图所示,这些功能通过接口(或“参考点”)彼此耦合。5GC 640的元件的功能可以简要介绍如下。
AUSF 642可以存储用于UE 602的认证的数据并处理认证相关功能。AUSF 642可以促进用于各种接入类型的公共认证框架。除了如图所示的通过参考点与5GC 640的其他元件通信之外,AUSF 642还可以展示基于Nausf服务的接口。
AMF 644可以允许5GC 640的其他功能与UE 602和RAN 604通信,并订阅关于UE602的移动性事件的通知。AMF 644可以负责注册管理(例如,注册UE 602)、连接管理、可达性管理、移动性管理、合法拦截AMF相关事件、以及接入认证和授权。AMF 644可以提供UE602和SMF646之间的会话管理(SM)消息的传输,并且充当用于路由SM消息的透明代理。AMF644还可以提供UE 602和SMSF之间的SMS消息的传输。AMF 644可以与AUSF 642和UE 602交互,以执行各种安全锚定和上下文管理功能。此外,AMF 644可以是RAN CP接口的终止点,其可包括或者是RAN 604和AMF 644之间的N2参考点;AMF 644可以作为NAS(N1)信令的终止点,并执行NAS加密和完整性保护。AMF 644还可以支持通过N3 IWF接口与UE 602的NAS信令。
SMF 646可以负责SM(例如,UPF 648和AN 608之间的隧道管理、会话建立);UE IP地址分配和管理(包括可选授权);UP功能的选择和控制;在UPF 648处配置流量控制,以将流量路由到适当的目的地;去往策略控制功能的接口的终止;控制策略执行、计费和QoS的一部分;合法截获(用于SM事件和到LI系统的接口);终止NAS消息的SM部分;下行链路数据通知;启动AN特定的SM信息(通过AMF 644在N2上发送到AN 608);以及确定会话的SSC模式。SM可以指PDU会话的管理,并且PDU会话或“会话”可以指提供或使能UE 602和数据网络636之间的PDU交换的PDU连接服务。
UPF 648可以用作RAT内和RAT间移动性的锚点、与数据网络636互连的外部PDU会话点、以及支持多归属PDU会话的分支点。UPF 648还可以执行分组路由和转发、执行分组检查、执行策略规则的用户平面部分、合法截获分组(UP收集)、执行流量使用报告、为用户平面执行QoS处理(例如,分组过滤、选通、UL/DL速率强制执行),执行上行链路流量验证(例如,SDF到QoS流映射)、上行链路和下行链路中的传输级分组标记,并执行下行链路分组缓冲和下行链路数据通知触发。UPF648可以包括上行链路分类器,以支持将流量流路由到数据网络。
NSSF 650可以选择服务于UE 602的一组网络切片实例。如果需要,NSSF 650还可以确定允许的网络切片选择辅助信息(NSSAI)和到订阅的单个NSSAI(S-NSSAI)的映射。NSSF 650还可以基于合适的配置并可能通过查询NRF 654来确定要用于服务UE 602的AMF集,或者确定候选AMF的列表。UE 602的一组网络切片实例的选择可以由AMF 644触发(UE602通过与NSSF 650交互而向该AMF注册),这会导致AMF的改变。NSSF 650可以经由N22参考点与AMF 644交互;且可以经由N31参考点(未示出)与访问网络中的另一NSSF通信。此外,NSSF 650可以展示基于Nnssf服务的接口。
NEF 652可以为第三方、内部曝光/再曝光、AF(例如,AF 660)、边缘计算或雾计算系统等安全地公开由3GPP网络功能提供的服务和能力。在这些实施例中,NEF 652可以认证、授权、或限制AF。NEF 652还可以转换与AF 660交换的信息和与内部网络功能交换的信息。例如,NEF652可以在AF服务标识符和内部5GC信息之间转换。NEF 652还可以基于其他NF的公开能力从其他NF接收信息。该信息可以作为结构化数据存储在NEF 652处,或者使用标准化接口存储在数据存储器NF处。然后,NEF 652可以将存储的信息重新暴露给其他NF和AF,或者用于诸如分析之类的其他目的。另外,NEF 652可以展示基于Nnef服务的接口。
NRF 654可以支持服务发现功能,从NF实例接收NF发现请求,并将发现的NF实例的信息提供给NF实例。NRF 654还维护可用NF实例及其支持的服务的信息。如本文所使用的,术语“实例化”、“实例”等可指创建实例,“实例”可以指对象的具体出现,其可以例如在程序代码执行期间出现。此外,NRF 654可以展示基于Nnrf服务的接口。
PCF 656可以向控制平面功能提供策略规则以执行这些策略规则,并且还可以支持统一的策略框架来管理网络行为。PCF 656还可以实现前端以访问与UDM 658的UDR中的策略决策相关的订阅信息。除了如图所示通过参考点与功能通信外,PCF 656还展示了基于Npcf服务的接口。
UDM 658可以处理与订阅相关的信息以支持网络实体处理通信会话,并且可以存储UE 602的订阅数据。例如,订阅数据可以经由UDM 658和AMF 644之间的N8参考点传送。UDM 658可以包括两个部分:应用前端和用户数据记录(UDR)。UDR可以存储用于UDM 658和PCF 656的策略数据和订阅数据,和/或用于NEF 652的用于暴露的结构化数据和应用数据(包括用于应用检测的PFD、用于多个UE 602的应用请求信息)。UDR 221可以展示基于Nudr服务的接口,以允许UDM 658、PCF 656、和NEF 652访问存储数据的特定集合,以及读取、更新(例如,添加、修改)、删除、和订阅UDR中的相关数据更改的通知。UDM可包括UDM-FE(UDM前端),其负责处理凭证、位置管理、订阅管理等。若干不同的前端可以在不同的交易中为同一用户提供服务。UDM-FE访问存储在UDR中的订阅信息,并执行认证凭证处理、用户识别处理、访问授权、注册/移动性管理、和订阅管理。除了如图所示的通过参考点与其他NF通信之外,UDM 658还可以展示基于Nudm服务的接口。
AF 660可以提供对业务路由的应用影响,提供对NEF的访问,并与策略框架交互以进行策略控制。
在一些实施例中,5GC 640可以通过选择在地理上靠近UE 602连接到网络的点的运营商/第三方服务来使能边缘计算。这可以减少网络上的延迟和负载。为了提供边缘计算实现,5GC 640可以选择靠近UE 602的UPF648,并通过N6接口执行从UPF 648到数据网络636的流量引导。这可以基于UE订阅数据、UE位置、和AF 660提供的信息。这样,AF 660可以影响UPF(重)选择和业务路由。基于运营商部署,当AF 660被认为是可信实体时,网络运营商可以允许AF 660直接与相关NF交互。另外,AF 660可以展示基于Naf服务的接口。
数据网络636可以表示可以由一个或多个服务器(包括例如,应用/内容服务器638)提供的各种网络运营商服务、互联网接入、或第三方服务。
图7示意性地示出了根据各种实施例的无线网络700。无线网络700可以包括与AN704进行无线通信的UE 702。UE 702和AN 704可以类似于本文其他位置描述的同名组件并且基本上可以与之互换。
UE 702可以经由连接706与AN 704通信地耦合。连接706被示出为空中接口以使能通信耦合,并且可以根据诸如LTE协议或5G NR协议等的蜂窝通信协议在毫米波或低于6GHz频率下操作。
UE 702可以包括与调制解调器平台710耦合的主机平台708。主机平台708可以包括应用处理电路712,该应用处理电路可以与调制解调器平台710的协议处理电路714耦合。应用处理电路712可以为UE 702运行获取/接收其应用数据的各种应用。应用处理电路712还可以实现一个或多个层操作,以向数据网络发送/从数据网络接收应用数据。这些层操作可以包括传输(例如,UDP)和互联网(例如,IP)操作。
协议处理电路714可以实现一个或多个层操作,以便于通过连接706传输或接收数据。由协议处理电路714实现的层操作可以包括例如,媒体访问控制(MAC)、无线电链路控制(RLC)、分组数据汇聚协议(PDCP)、无线电资源控制(RRC)、和非接入层(NAS)操作。
调制解调器平台710可以进一步包括数字基带电路716,该数字基带电路716可以实现“低于”网络协议栈中由协议处理电路714执行的层操作的一个或多个层操作。这些操作可包括例如,包括HARQ-ACK功能、加扰/解扰、编码/解码、层映射/去映射、调制符号映射、接收符号/比特度量确定、多天线端口预编码/解码中的一者或多者的PHY操作,其中,这些功能可以包括空时、空频、或空间编码,参考信号生成/检测,前导码序列生成和/或解码,同步序列生成/检测,控制信道信号盲解码、以及其他相关功能中的一者或多者。
调制解调器平台710可以进一步包括发射电路718、接收电路720、RF电路722、和RF前端(RFFE)电路724,这些电路可以包括或连接到一个或多个天线面板726。简言之,发射电路718可以包括数模转换器、混频器、中频(IF)组件等;接收电路720可以包括模数转换器、混频器、IF组件等;RF电路722可以包括低噪声放大器、功率放大器、功率跟踪组件等;RFFE电路724可以包括滤波器(例如,表面/体声波滤波器)、开关、天线调谐器、波束形成组件(例如,相位阵列天线组件)等。发射电路718、接收电路720、RF电路722、RFFE电路724、以及天线面板726(统称为“发射/接收组件”)的组件的选择和布置可以特定于具体实现的细节,例如,通信是时分复用(TDM)还是频分复用(FDM)、以mmWave还是低于6GHz频率等。在一些实施例中,发射/接收组件可以以多个并列的发射/接收链的方式布置,并且可以布置在相同或不同的芯片/模块等中。
在一些实施例中,协议处理电路714可以包括控制电路的一个或多个实例(未示出),以为发送/接收组件提供控制功能。
UE接收可以通过并经由天线面板726、RFFE电路724、RF电路722、接收电路720、数字基带电路716、和协议处理电路714建立。在一些实施例中,天线面板726可以通过接收由一个或多个天线面板726的多个天线/天线元件接收的波束形成信号来接收来自AN 704的传输。
UE传输可以经由并通过协议处理电路714、数字基带电路716、发射电路718、RF电路722、RFFE电路724、和天线面板726建立。在一些实施例中,UE 702的发射组件可以对要发送的数据应用空间滤波,以形成由天线面板726的天线元件发射的发射波束。
与UE 702类似,AN 704可以包括与调制解调器平台730耦合的主机平台728。主机平台728可以包括与调制解调器平台730的协议处理电路734耦合的应用处理电路732。调制解调器平台还可以包括数字基带电路736、发射电路738、接收电路740、RF电路742、RFFE电路744、和天线面板746。AN 704的组件可以类似于UE 702的同名组件,并且基本上可以与UE702的同名组件互换。除了如上所述执行数据发送/接收之外,AN 704的组件还可以执行各种逻辑功能,这些逻辑功能包括例如无线电网络控制器(RNC)功能,例如,无线电承载管理、上行链路和下行链路动态无线电资源管理、以及数据分组调度。
图8是示出根据一些示例实施例的能够从机器可读或计算机可读介质(例如,非暂态机器可读存储介质)读取指令并执行本文讨论的方法中的任意一种或多种方法的组件的框图。具体地,图8示出了硬件资源800的示意图,硬件资源800包括一个或多个处理器(或处理器核)810、一个或多个存储器/存储设备820、和一个或多个通信资源830,其中,这些处理器、存储器/存储设备、和通信资源中的每一者可以经由总线840或其他接口电路通信地耦合。对于利用节点虚拟化(例如,网络功能虚拟化(NFV))的实施例,可以执行管理程序802以提供一个或多个网络切片/子切片的执行环境从而利用硬件资源800。
处理器810可以包括例如,处理器812和处理器814。处理器810可以是例如,中央处理单元(CPU)、精简指令集计算(RISC)处理器、复杂指令集计算(CISC)处理器、图形处理单元(GPU)、诸如基带处理器的数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、射频集成电路(RFIC)、另一处理器(包括本文讨论的那些处理器)、或其任何合适的组合。
存储器/存储设备820可以包括主存储器、磁盘存储设备、或其任何适当组合。存储器/存储设备820可以包括但不限于任何类型的易失性、非易失性、或半易失性存储器,例如,动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、固态存储器等。
通信资源830可包括互连或网络接口控制器、组件、或其他合适的设备,以经由网络808与一个或多个外围设备804或一个或多个数据库806或其他网络元件通信。例如,通信资源830可以包括有线通信组件(例如,用于经由USB、以太网等进行耦合)、蜂窝通信组件、近场通信(NFC)组件、
Figure BDA0003581893900000321
(或
Figure BDA0003581893900000323
低能量)组件、
Figure BDA0003581893900000322
组件、和其他通信组件。
指令850可以包括软件、程序、应用程序、小程序、应用程序、或其他可执行代码,用于使处理器810中的至少任意一个处理器执行本文讨论的任意一种或多种方法。指令850可以全部或部分驻留在处理器810(例如,在处理器的高速缓存中)、存储器/存储设备820、或其任何适当组合中的至少一者内。此外,指令850的任意部分可以从外围设备804或数据库806的任意组合传送到硬件资源800。因此,处理器810的存储器、存储器/存储设备820、外围设备804、和数据库806是计算机可读和机器可读介质的示例。
以下段落描述了各种实施例的示例。
示例1包括一种用在网关设备中的装置,包括处理器电路,该处理器电路被配置为促使所述网关设备:从用户设备(UE)接收对于托管在数据网络域中的托管设备上的服务的服务请求消息,其中,所述服务请求消息包括所述UE的用户的用户身份和凭证信息;基于所述UE的用户的用户身份和凭证信息以及所述服务的更新用户简档,对所述UE的用户执行认证,其中,所述服务的更新用户简档包括用于所述服务的认证策略和被授权访问所述服务的用户的凭证信息;以及响应于对所述UE的用户的成功认证,将所述服务请求消息转发到所述托管设备,其中所述服务的更新用户简档由运营商网络生成并存储在所述运营商网络、所述网关设备、以及被授权访问所述服务的用户的UE中。
示例2包括示例1所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备:向所述运营商网络发送注册消息,以向所述运营商网络注册所述服务,其中,所述注册消息包括所述服务的服务相关信息或用户简档;从所述运营商网络接收响应消息,其中,所述响应消息包括所述服务的更新用户简档;以及将所述服务的更新用户简档与所述服务的用户身份相关联地存储。
示例3包括示例1所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备:从所述运营商网络接收配置更新消息,其中,所述配置更新消息包括所述服务的更新用户简档。
示例4包括示例1所述的装置,其中,所述服务的更新用户简档还包括所述服务的用户标识符。
示例5包括示例1所述的装置,其中,所述服务的更新用户简档还包括所述服务的服务设置和参数及访问限制策略。
示例6包括示例4所述的装置,其中,当用于所述服务的认证策略指示针对所述服务启用了所述运营商网络辅助的用户认证时,被授权访问所述服务的用户的凭证信息包括被授权访问所述服务的用户的用户认证状态。
示例7包括示例6所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备在所述UE的用户是被授权访问所述服务的用户且其用户认证状态到期时:向所述运营商网络发送认证请求消息,以请求所述运营商网络对所述UE的用户执行认证,其中,所述认证请求消息包括所述服务的用户标识符及所述UE的用户的用户身份和凭证信息;以及从所述运营商网络接收认证结果消息,其中,所述认证结果消息包括对于所述UE的用户的用户认证结果。
示例8包括示例7所述的装置,其中,针对所述UE的用户的所述运营商网络辅助的用户认证基于所述UE上的生物技术传感器或所述UE的用户手动输入的凭证信息。
示例9包括示例4所述的装置,其中,当用于所述服务的认证策略指示针对所述服务启用了公私密钥对用户认证时,被授权访问所述服务的用户的凭证信息包括用于所述服务的密码、用于加密和解密的安全密钥、以及用于消息数字签名的哈希算法。
示例10包括示例1所述的装置,其中,所述数据网络域是客户驻地网络(CPN)或个人物联网网络(PIN)。
示例11包括示例10所述的装置,其中,所述网关设备是所述CPN中的演进住宅网关(eRG),并且所述服务位于连接到所述eRG的所述托管设备上的客户拥有的应用平台或运营商部署的服务托管环境中。
示例12包括示例10所述的装置,其中,所述网关设备是所述PIN中的具有网关能力的PIN元素,并且所述服务位于连接到所述具有网关能力的PIN元素的PIN元素中。
示例13包括示例12所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备:将所述服务的更新用户简档发送到与所述网关设备相关联的归属公共陆地移动网络(HPLMN)。
示例14包括示例12所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备在所述UE位于所述PIN中且充当所述PIN中的PIN元素时:确定是否允许所述UE访问所述PIN中的另一PIN元素。
示例15包括示例12所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备:确定所述PIN中的PIN元素是否被授权访问所述网关设备。
示例16包括示例1所述的装置,其中,所述运营商网络是5G无线通信网络。
示例17包括一种计算机可读存储装置,其上存储有计算机可执行指令,其中,所述计算机可执行指令在由处理器电路执行时促使所述处理器电路:从用户设备(UE)接收对于托管在数据网络域中的托管设备上的服务的服务请求消息,其中,所述服务请求消息包括所述UE的用户的用户身份和凭证信息;基于所述UE的用户的用户身份和凭证信息以及所述服务的更新用户简档,对所述UE的用户执行认证,其中,所述服务的更新用户简档包括用于所述服务的认证策略和被授权访问所述服务的用户的凭证信息;以及响应于对所述UE的用户的成功认证,向第一接口提供所述服务请求消息以转发到所述托管设备,其中所述服务的更新用户简档由运营商网络生成并存储在所述运营商网络、所述网关设备、和被授权访问所述服务的用户的UE中。
示例18包括示例17所述的计算机可读存储装置,其中,所述计算机可执行指令在由所述处理器电路执行时进一步促使所述处理器电路:向第二接口提供注册消息以发送到所述运营商网络,以向所述运营商网络注册所述服务,其中,所述注册消息包括所述服务的服务相关信息或用户简档;从所述运营商网络接收响应消息,其中,所述响应消息包括所述服务的更新用户简档;以及将所述服务的更新用户简档与所述服务的用户身份相关联地存储。
示例19包括示例17所述的计算机可读存储装置,其中,所述计算机可执行指令在由所述处理器电路执行时进一步促使所述处理器电路:从所述运营商网络接收配置更新消息,其中,所述配置更新消息包括所述服务的更新用户简档。
示例20包括示例17所述的计算机可读存储装置,其中,所述服务的更新用户简档还包括所述服务的用户标识符。
示例21包括示例17所述的计算机可读存储装置,其中,所述服务的更新用户简档还包括所述服务的服务设置和参数及访问限制策略。
示例22包括示例20所述的计算机可读存储装置,其中,当用于所述服务的认证策略指示针对所述服务启用了所述运营商网络辅助的用户认证时,被授权访问所述服务的用户的凭证信息包括被授权访问所述服务的用户的用户认证状态。
示例23包括示例22所述的计算机可读存储装置,其中,所述计算机可执行指令在由所述处理器电路执行时进一步促使所述处理器电路在所述UE的用户是被授权访问所述服务的用户且其用户认证状态到期时:向第二接口提供认证请求消息以发送到所述运营商网络,以请求所述运营商网络对所述UE的用户执行认证,其中,所述认证请求消息包括所述服务的用户标识符以及所述UE的用户的用户身份和凭证信息;以及从所述运营商网络接收认证结果消息,其中,所述认证结果消息包括对于所述UE的用户的用户认证结果。
示例24包括示例22所述的计算机可读存储装置,其中,针对所述UE的用户的所述运营商网络辅助的用户认证基于所述UE上的生物技术传感器或所述UE的用户手动输入的凭证信息。
示例25包括示例20所述的计算机可读存储装置,其中,当用于所述服务的认证策略指示针对所述服务启用了公私密钥对用户认证时,被授权访问所述服务的用户的凭证信息包括用于所述服务的密码、用于加密和解密的安全密钥、以及用于消息数字签名的哈希算法。
示例26包括示例17所述的计算机可读存储装置,其中,所述数据网络域是客户驻地网络(CPN)或个人物联网网络(PIN)。
示例27包括示例26所述的计算机可读存储装置,其中,所述网关设备是所述CPN中的演进住宅网关(eRG),并且所述服务位于连接到所述eRG的所述托管设备上的客户拥有的应用平台或运营商部署的服务托管环境中。
示例28包括示例26所述的计算机可读存储装置,其中,所述网关设备是所述PIN中的具有网关能力的PIN元素,并且所述服务位于连接到所述具有网关能力的PIN元素的PIN元素中。
示例29包括示例28所述的计算机可读存储装置,其中,所述计算机可执行指令在由所述处理器电路执行时进一步促使所述处理器电路:将所述服务的更新用户简档发送到与所述网关设备相关联的归属公共陆地移动网络(HPLMN)。
示例30包括示例28所述的计算机可读存储装置,其中,所述计算机可执行指令在由所述处理器电路执行时进一步促使所述处理器电路在所述UE位于所述PIN中且充当所述PIN中的PIN元素时:确定是否允许所述UE访问所述PIN中的另一PIN元素。
示例31包括示例28所述的计算机可读存储装置,其中,所述计算机可执行指令在由所述处理器电路执行时进一步促使所述处理器电路:确定所述PIN中的PIN元素是否被授权访问所述网关设备。
示例32包括示例17所述的计算机可读存储装置,其中,所述运营商网络是5G无线通信网络。
示例33包括一种网关设备,包括示例1至16中任一项所述的装置。
尽管为了描述的目的,这里已经说明和描述了某些实施例,但是在不脱离本发明的范围的情况下,可以用实现相同目的的各种各样的替代和/或等效实施例或实施方式来代替图示出和描述的实施例。本申请旨在涵盖本文所讨论的实施例的任何改编或变化。因此,这里所描述的实施例显然仅由所附权利要求书及其等效物来限制。

Claims (25)

1.一种用在网关设备中的装置,所述装置包括处理器电路,该处理器电路被配置为促使所述网关设备:
从用户设备(UE)接收对于托管在数据网络域中的托管设备上的服务的服务请求消息,其中,所述服务请求消息包括所述UE的用户的用户身份和凭证信息;
基于所述UE的用户的用户身份和凭证信息以及所述服务的更新用户简档,对所述UE的用户执行认证,其中,所述服务的更新用户简档包括用于所述服务的认证策略和被授权访问所述服务的用户的凭证信息;以及
响应于对所述UE的用户的成功认证,将所述服务请求消息转发到所述托管设备,其中
所述服务的更新用户简档由运营商网络生成并存储在所述运营商网络、所述网关设备、以及被授权访问所述服务的用户的UE中。
2.根据权利要求1所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备:
向所述运营商网络发送注册消息,以向所述运营商网络注册所述服务,其中,所述注册消息包括所述服务的服务相关信息或用户简档;
从所述运营商网络接收响应消息,其中,所述响应消息包括所述服务的更新用户简档;以及
将所述服务的更新用户简档与所述服务的用户身份相关联地存储。
3.根据权利要求1所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备:
从所述运营商网络接收配置更新消息,其中,所述配置更新消息包括所述服务的更新用户简档。
4.根据权利要求1所述的装置,其中,所述服务的更新用户简档还包括所述服务的用户标识符。
5.根据权利要求1所述的装置,其中,所述服务的更新用户简档还包括所述服务的服务设置和参数及访问限制策略。
6.根据权利要求4所述的装置,其中,当用于所述服务的认证策略指示针对所述服务启用了所述运营商网络辅助的用户认证时,被授权访问所述服务的用户的凭证信息包括被授权访问所述服务的用户的用户认证状态。
7.根据权利要求6所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备在所述UE的用户是被授权访问所述服务的用户且其用户认证状态到期时:
向所述运营商网络发送认证请求消息,以请求所述运营商网络对所述UE的用户执行认证,其中,所述认证请求消息包括所述服务的用户标识符及所述UE的用户的用户身份和凭证信息;以及
从所述运营商网络接收认证结果消息,其中,所述认证结果消息包括对于所述UE的用户的用户认证结果。
8.根据权利要求7所述的装置,其中,针对所述UE的用户的所述运营商网络辅助的用户认证基于所述UE上的生物技术传感器或由所述UE的用户手动输入的凭证信息。
9.根据权利要求4所述的装置,其中,当用于所述服务的认证策略指示针对所述服务启用了公私密钥对用户认证时,被授权访问所述服务的用户的凭证信息包括用于所述服务的密码、用于加密和解密的安全密钥、以及用于消息数字签名的哈希算法。
10.根据权利要求1所述的装置,其中,所述数据网络域是客户驻地网络(CPN)或个人物联网网络(PIN)。
11.根据权利要求10所述的装置,其中,所述网关设备是所述CPN中的演进住宅网关(eRG),并且所述服务在连接到所述eRG的所述托管设备上位于客户拥有的应用平台或运营商部署的服务托管环境中。
12.根据权利要求10所述的装置,其中,所述网关设备是所述PIN中的具有网关能力的PIN元素,并且所述服务位于连接到所述具有网关能力的PIN元素的PIN元素中。
13.根据权利要求12所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备:
将所述服务的更新用户简档发送到与所述网关设备相关联的归属公共陆地移动网络(HPLMN)。
14.根据权利要求12所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备在所述UE位于所述PIN中且充当所述PIN中的PIN元素时:
确定是否允许所述UE访问所述PIN中的另一PIN元素。
15.根据权利要求12所述的装置,其中,所述处理器电路进一步被配置为促使所述网关设备:
确定所述PIN中的PIN元素是否被授权访问所述网关设备。
16.根据权利要求1所述的装置,其中,所述运营商网络是5G无线通信网络。
17.一种计算机可读存储装置,其上存储有计算机可执行指令,其中,所述计算机可执行指令在由处理器电路执行时促使所述处理器电路:
从用户设备(UE)接收对于托管在数据网络域中的托管设备上的服务的服务请求消息,其中,所述服务请求消息包括所述UE的用户的用户身份和凭证信息;
基于所述UE的用户的用户身份和凭证信息以及所述服务的更新用户简档,对所述UE的用户执行认证,其中,所述服务的更新用户简档包括用于所述服务的认证策略和被授权访问所述服务的用户的凭证信息;以及
响应于对所述UE的用户的成功认证,向第一接口提供所述服务请求消息以转发到所述托管设备,其中
所述服务的更新用户简档由运营商网络生成并存储在所述运营商网络、所述网关设备、和被授权访问所述服务的用户的UE中。
18.根据权利要求17所述的计算机可读存储装置,其中,所述计算机可执行指令在由所述处理器电路执行时进一步促使所述处理器电路:
向第二接口提供注册消息以发送到所述运营商网络,以向所述运营商网络注册所述服务,其中,所述注册消息包括所述服务的服务相关信息或用户简档;
从所述运营商网络接收响应消息,其中,所述响应消息包括所述服务的更新用户简档;以及
将所述服务的更新用户简档与所述服务的用户身份相关联地存储。
19.根据权利要求17所述的计算机可读存储装置,其中,所述计算机可执行指令在由所述处理器电路执行时进一步促使所述处理器电路:
从所述运营商网络接收配置更新消息,其中,所述配置更新消息包括所述服务的更新用户简档。
20.根据权利要求17所述的计算机可读存储装置,其中,所述服务的更新用户简档还包括所述服务的用户标识符。
21.根据权利要求17所述的计算机可读存储装置,其中,所述服务的更新用户简档还包括所述服务的服务设置和参数及访问限制策略。
22.根据权利要求20所述的计算机可读存储装置,其中,当用于所述服务的认证策略指示针对所述服务启用了所述运营商网络辅助的用户认证时,被授权访问所述服务的用户的凭证信息包括被授权访问所述服务的用户的用户认证状态。
23.根据权利要求22所述的计算机可读存储装置,其中,所述计算机可执行指令在由所述处理器电路执行时进一步促使所述处理器电路在所述UE的用户是被授权访问所述服务的用户且其用户认证状态到期时:
向第二接口提供认证请求消息以发送到所述运营商网络,以请求所述运营商网络对所述UE的用户执行认证,其中,所述认证请求消息包括所述服务的用户标识符以及所述UE的用户的用户身份和凭证信息;以及
从所述运营商网络接收认证结果消息,其中,所述认证结果消息包括对于所述UE的用户的用户认证结果。
24.根据权利要求22所述的计算机可读存储装置,其中,针对所述UE的用户的所述运营商网络辅助的用户认证基于所述UE上的生物技术传感器或由所述UE的用户手动输入的凭证信息。
25.根据权利要求20所述的计算机可读存储装置,其中,当用于所述服务的认证策略指示针对所述服务启用了公私密钥对用户认证时,被授权访问所述服务的用户的凭证信息包括用于所述服务的密码、用于加密和解密的安全密钥、以及用于消息数字签名的哈希算法。
CN202210365278.3A 2021-04-08 2022-04-06 用在网关设备中的装置 Pending CN115250470A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US202163172587P 2021-04-08 2021-04-08
US63/172,587 2021-04-08

Publications (1)

Publication Number Publication Date
CN115250470A true CN115250470A (zh) 2022-10-28

Family

ID=83698733

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210365278.3A Pending CN115250470A (zh) 2021-04-08 2022-04-06 用在网关设备中的装置

Country Status (1)

Country Link
CN (1) CN115250470A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116017454A (zh) * 2022-12-30 2023-04-25 中国联合网络通信集团有限公司 基于业务访问的认证方法、装置、设备及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116017454A (zh) * 2022-12-30 2023-04-25 中国联合网络通信集团有限公司 基于业务访问的认证方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
WO2022159725A1 (en) Federated identity management in fifth generation (5g) system
CN114339688A (zh) 用于ue与边缘数据网络的认证的装置和方法
US20210258065A1 (en) Enhanced beam management for 5g systems
CN113766502A (zh) 用在ue、smf实体、以及预配置服务器中的装置
CN115250470A (zh) 用在网关设备中的装置
CN115694700A (zh) 用在无线通信系统中的装置
WO2022169693A1 (en) Roaming between public and non-public 5g networks
WO2022031555A1 (en) Compute offload services in 6g systems
WO2022039835A1 (en) Ue identification using its source ip address
CN115701729A (zh) 用在无线通信系统中的装置
CN114531678A (zh) 用在nef实体和预配置服务器中的装置
CN114584270A (zh) 用在用户设备中的装置
CN115776710A (zh) 用于下一代无线电接入网络的装置和方法
CN115278637A (zh) 用在核心网中的装置
KR20230159413A (ko) 장기 파생 앵커 키들 및 연합 아이덴티티 관리의 리프레시
CN115884234A (zh) 用在无线通信系统中的装置
CN116390118A (zh) 用在ecsp和plmn管理系统中的装置
CN117014852A (zh) 用于ue策略预配的装置
WO2023150721A1 (en) Sixth generation (6g) mutual transport layer security (mtls) based security architecture between user equipment (ue) and 6g network
CN115720338A (zh) 用在无线通信网络中的装置
CN115834314A (zh) 用在基站中的装置
CN115604769A (zh) 用在无线通信系统中的装置
CN113573418A (zh) 用在eps或5gs中的mn或sn中的装置
CN118042463A (zh) 用于数据验证的装置和方法
CN117251224A (zh) 用在管理服务生产方的ml实体加载装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination