CN115443670A - 用于管理无线通信网络中的cag相关过程的方法及装置 - Google Patents

Abstract

本公开涉及一种用于支持比第4代(4G)系统更高数据速率的第5代(5G)通信系统与物联网(IoT)技术相融合的通信方法和系统。本公开可以应用于基于5G通信技术和IoT相关技术的智能服务，诸如智能家居、智能建筑、智能城市、智能汽车、联网汽车、健康护理、数字教育、智能零售、安保和安全服务。提供了一种用于管理无线通信网络中的CAG相关过程的方法和装置。

Description

用于管理无线通信网络中的CAG相关过程的方法及装置

技术领域

本公开涉及无线通信网络。更具体地，本公开涉及用于管理无线通信网络中的封闭式接入组(CAG)相关过程的方法和系统。

背景技术

为了满足自从部署4G通信系统以来无线数据业务增加的需求，已经致力于开发改进的5G或准5G通信系统。因此，5G或准5G通信系统也被称为“超4G网络”或“后LTE系统”。5G通信系统被认为是在更高频率(mmWave)频带(例如60GHz频带)中实现的，以实现更高的数据速率。为了降低无线电波的传播损耗并增加传输距离，对5G通信系统中的波束成形、大规模多输入多输出(MIMO)、全维MIMO(FD-MIMO)、阵列天线、模拟波束成形、大规模天线技术进行了讨论。另外，在5G通信系统中，正在基于先进的小小区、云无线接入网RAN、超密集网络、装置到装置D2D通信、无线回程、移动网络、协作通信、协调多点CoMP、接收端干扰消除等进行系统网络改进的开发。在5G系统中，已经开发了作为高级编码调制(ACM)的FSK和QAM(FQAM)以及滑动窗口叠加编码(SWSC)，以及作为高级接入技术的滤波器组多载波(FBMC)、非正交多址(NOMA)以及稀疏码多址(SCMA)。

因特网是以人类为中心的、人类在其中产生和消费信息的连接性网络，因特网现在正在发展到物联网IoT，在物联网IoT中，诸如事物的分布式实体在没有人类干预的情况下交换和处理信息。通过与云服务器的连接作为IoT技术和大数据处理技术的组合的万物网IoE已经出现。作为技术要素，诸如“传感技术”、“有线/无线通信和网络基础设施”、“服务接口技术”和“安全技术”已经被要求用于IoT实现，最近已经研究了传感器网络、机器到机器M2M通信、机器类型通信等。这种IoT环境可以提供通过收集和分析在连接的事物之间产生的数据为人类生活创造新的价值的智能因特网技术服务。通过现有信息技术和各种工业应用之间的融合和组合，IoT可以应用于各种领域，包括智能家居、智能建筑、智能城市、智能汽车或联网汽车、智能电网、卫生保健、智能电器和高级医疗服务。

与此相符，已经进行了各种尝试来将5G通信系统应用于IoT网络。例如，诸如传感器网络、机器类型通信(MTC)和机器到机器(M2M)通信的技术可以通过波束成形、MIMO和阵列天线来实现。作为上述大数据处理技术的云无线接入网的应用也可以被认为是5G技术和IoT技术之间相融合的示例。

通常，公共网络集成非公共网络((PNI-NPN))是通过使用例如专用数据网络名称(DNNS)，或通过分配给NPN的一个(或多个)网络切片实例，经由公共陆地移动网络(PLMN)可获得的NPN。当经由公共陆地移动网络(PLMN)使PNI-NPN可用时，则用户设备(UE)应具有针对PLMN的订阅以接入PNI-NPN。由于网络切片不能防止UE在不允许UE使用分配给NPN的网络切片的区域中尝试接入PNI-NPN，因此封闭式接入组(CAG)可选地用于应用接入控制。

CAG识别被允许接入与CAG相关联的一个或多个CAG小区的一组订户。CAG用于PNI-NPN，以防止不允许经由相关联的CAG小区接入NPN的UE自动选择并接入相关联的CAG小区。CAG用于接入控制例如在小区选择时的授权，并且在订阅中被配置成移动性限制的一部分，即独立于任何单网络切片选择辅助信息(S-NSSAI)。CAG不用作接入和移动性管理功能(AMF)选择或网络切片选择的输入。

诸如统一数据管理(UDM)控制器的归属公共陆地移动网络(HPLMN)网络实体，通过服务PLMN向UE发送完整的CAG订阅(归属PLMN(HPLMN)和访客PLMN公共陆地移动网络(VPLMN)的CAG订阅)。当UE在漫游区域中时服务PLMN是VPLMN，而当UE不在漫游区域中时服务PLMN是HPLMN。

CAG订阅或CAG信息列表由允许的CAG标识(ID)列表和可选指示组成，可选指示指示了允许UE仅经由CAG小区接入PLMN的第五代服务(5GS)。然后，当UE正注册到服务PLMN时，服务PLMN在注册接受消息中的CAG信息列表中向UE发送完整的CAG订阅，或者当UE已经注册到服务PLMN时，在配置更新命令中向UE发送完整的CAG订阅。然而，恶意服务PLMN可以通过对所有PLMN发送仅允许UE经由CAG小区接入5GS的单独指示，改变从UDM控制器接收到的UE的CAG信息列表以保持UE与恶意服务PLMN的连接。恶意服务PLMN还可以通过删除或发送针对其它PLMN的允许错误CAG列表来改变UE的CAG信息列表。恶意服务PLMN可以以如下方式改变CAG信息列表的内容，UE将永远不会驻留在更高优先级VPLMN的CAG小区上，或者影响UE始终驻留在恶意VPLMN上，或者将恶意VPLMN置于有利位置的任何方式。当UE接收到修改后的CAG信息列表时，UE完全删除现有CAG信息列表，并存储接收到的CAG信息列表。因此，即使存在比服务PLMN优先级更高的其它PLMN并且按照UE的订阅被允许，UE也不会选择其它PLMN的非CAG或CAG小区。因此，UE被卡在恶意服务PLMN，恶意服务PLMN完全控制了UE的PLMN选择过程。这将导致到HPLMN的收入损失，并且可能影响UE接收的服务，并且以HPLMN和UE为代价将恶意VPLMN置于有利位置。在最坏的情况下，如果HPLMN禁止在服务PLMN中漫游，则UE将完全无法从该国家获得服务。

当UE开机并且UE发起初始注册过程时，如果UE没有有效的临时标识，则UE发送包括订阅隐藏标识符(SUCI)的注册请求消息。网络将SUCI取消隐藏为订阅永久标识符(SUPI)，并执行认证过程。在一些情况下，即使UDM确定不允许UE进入特定位置区域(例如，CAG小区)，UDM也可以接受该请求，以使UE在有限服务模式下获得认证并建立安全上下文，从而可以由服务网络执行配置的供应/更新。

在一些情况下，在认证信息检索过程期间，即使UDM确定由于例如UE没有所需的订阅数据、CAG ID不在允许的CAG列表中、接入禁止或漫游限制中而使UE的认证信息检索操作不能被授权，UDM也可以接受该请求，以使UE在有限服务模式下被认证并建立安全上下文，从而可以由服务网络执行配置的供应/更新。在认证过程成功之后，UDM向AMF发送UE订阅。如果由于UE没有针对位置区域的订阅而不允许UE在位置区域注册，则网络拒绝注册过程。在这种情况下，当UE改变位置时，UE再次发起初始注册，并在注册请求消息中发送SUCI。网络再次使用SUCI执行认证过程。这将创建不必要的认证过程。

上述信息仅作为背景信息提供，以帮助理解本公开。关于上述任何内容是否可适用于关于本公开的现有技术，没有确定，也没有作出断言。

发明内容

[技术问题]

需要提供基于UE的服务PLMN是HPLMN还是VPLMN来管理无线通信网络中的CAG相关过程的方法和装置。

[解决方案]

本公开的各方面至少要解决上述问题和/或缺点，并且至少要提供下述优点。因此，本公开的一个方面是提供用于基于UE的服务PLMN是HPLMN还是VPLMN来管理无线通信网络中的CAG相关过程的方法、系统、UDM控制器和UE，其防止了恶意服务PLMN完全控制UE的PLMN选择过程。

本公开的另一方面是当服务PLMN是HPLMN时，由UDM控制器向UE发送包括与多个PLMN相关联的完整CAG订阅信息的新CAG信息列表。当服务PLMN是VPLMN时，UDM控制器向UE发送包括仅与服务VPLMN相关联的CAG订阅信息的新CAG信息列表。因此，UE不会受到恶意服务PLMN的攻击。

其它方面将部分地在随后的描述中进行阐述，并且部分地将通过描述而变得显而易见，或者可以通过所呈现的实施例的实践来获知。

根据本公开的一个方面，提供了一种用于管理无线通信网络中的封闭式接入组(CAG)相关过程的方法。该方法包括：由属于归属公共陆地移动网络(HPLMN)的UDM控制器确定需要更新(UE)中的CAG信息，由诸如UDM的HPLMN实体重新提供或更新UE中的CAG的原因(即，需要)取决于实施方式，例如其可以是由于UE订阅的变化或UE位置区域的变化等；以及由UDM控制器确定UE的服务PLMN是HPLMN还是访问公共陆地移动网络(VPLMN)。此外，该方法包括在确定出服务PLMN是HPLMN时，由UDM控制器向接入和移动性管理功能(AMF)控制器发送包括与多个PLMN相关联的完整CAG订阅信息的新CAG信息列表。此外，当确定出服务PLMN是VPLMN时，由UDM控制器向AMF控制器发送包括仅与服务VPLMN相关联的CAG订阅信息的新CAG信息列表。

根据本公开的另一方面，提供了一种方法。该方法包括：由AMF控制器从UDM控制器接收新CAG信息列表，并由AMF控制器在第一非接入层(NAS)消息中向UE发送新CAG信息列表。

根据本公开的另一方面，提供了一种方法。该方法包括：由UE从AMF控制器接收在第一NAS消息中的新CAG信息列表，以及由UE确定服务PLMN是否是HPLMN和VPLMN中的一者。此外，该方法还包括由UE执行以下操作中的至少一者：响应于确定出服务PLMN是HPLMN，将存储在UE中的现有CAG信息列表替换为所接收到的新CAG信息列表；以及响应于确定出服务PLMN是VPLMN，将存储在UE中的现有CAG信息列表中的与服务VPLMN相关联的CAG信息替换为所接收到的新CAG信息列表中的与服务VPLMN相关联的CAG信息，并丢弃所接收到的CAG信息中的与服务PLMN不相关的CAG信息。

根据本公开的另一方面，提供了一种用于管理无线通信网络中的CAG相关过程的UDM控制器。UDM控制器包括通信器、存储器、处理器和CAG管理控制器。CAG管理控制器被配置成：确定需要更新用户设备(UE)中的CAG信息，并确定UE的服务PLMN是HPLMN还是VPLMN。CAG管理控制器被配置成：在确定出在服务PLMN是HPLMN时，向AMF控制器发送包括与多个PLMN相关联的完整CAG订阅信息的新CAG信息列表。此外，CAG管理控制器被配置成：在确定出服务PLMN是VPLMN时，向AMF控制器发送包括仅与服务VPLMN相关联的CAG订阅信息的新CAG信息列表。

根据本公开的另一方面，提供了一种用于管理无线通信网络中的CAG相关过程的UE。UE包括通信器、存储器、处理器和CAG列表控制器。CAG列表控制器被配置成：从AMF控制器接收第一NAS消息中的新CAG信息列表，以及确定服务PLMN是HPLMN还是VPLMN。此外，CAG列表控制器被配置成：在确定出服务PLMN是HPLMN时，将存储在UE中的现有CAG信息列表替换为所接收到的新CAG信息列表。此外，CAG列表控制器被配置成：在确定出服务PLMN是VPLMN时，将存储在UE中的现有CAG信息列表中的与服务VPLMN相关联的CAG信息替换为所接收到的与服务VPLMN相关联的CAG信息，并丢弃所接收到的CAG信息中的与服务PLMN不相关的CAG信息。

根据本公开的一个方面，本公开的实施例提供了一种用于管理无线通信网络中的封闭式接入组(CAG)相关过程的方法。该方法包括：由属于归属公共陆地移动网络(HPLMN)的统一数据管理(UDM)实体识别需要更新用户设备(UE)中的CAG信息；由UDM实体识别UE的服务公共陆地移动网络(PLMN)是否是HPLMN和访客公共陆地移动网络(VPLMN)中的一者；以及由UDM实体向接入和移动性管理功能(AMF)实体发送以下一者：在服务PLMN是HPLMN的情况下，发送包括与多个PLMN相关联的完整CAG订阅信息的新CAG信息列表，或在服务PLMN是VPLMN的情况下，发送包括仅与服务VPLMN相关联的CAG订阅信息的新CAG信息列表。

根据本公开的另一方面，本公开的实施例提供了一种用于管理无线通信网络中的封闭式接入组(CAG)相关过程的方法。该方法包括：由UE从接入和移动性管理功能(AMF)实体接收第一非接入层(NAS)消息中的新CAG信息列表；由UE识别服务公共陆地移动网络(PLMN)是否是归属公共陆地移动网络(HPLMN)和访客公共陆地移动网络(VPLMN)中的一者；以及在服务PLMN是HPLMN的情况下，将存储在UE中的现有CAG信息列表替换为所接收到的新CAG信息列表，在服务PLMN是VPLMN的情况下，将存储在UE中的现有CAG信息列表中的与服务VPLMN相关联的CAG信息替换为所接收到的新CAG信息列表中的与服务VPLMN相关联的CAG信息，并丢弃所接收到的新CAG信息列表中的与服务PLMN不相关的CAG信息。

根据本公开的另一方面，本公开的实施例提供了一种用于管理无线通信网络中的封闭式接入组(CAG)相关过程的统一数据管理(UDM)实体。UDM实体包括通信器、存储器以及联接到通信器和存储器的控制器。控制器被配置成：识别需要更新用户设备(UE)中的CAG信息，识别UE的服务公共陆地移动网络(PLMN)是否是归属公共陆地移动网络(HPLMN)和访客公共陆地移动网络(VPLMN)中的一者；向接入和移动性管理功能(AMF)实体发送以下一者：在服务PLMN是HPLMN的情况下，发送包括与多个PLMN相关联的完整CAG订阅信息的新CAG信息列表，或在服务PLMN是VPLMN的情况下，发送包括仅与服务VPLMN相关联的CAG订阅信息的新CAG信息列表。

根据本公开的另一方面，本公开的实施例提供了一种用于管理无线通信网络中的CAG相关过程的用户设备(UE)。UE包括通信器、存储器、以及联接到通信器和存储器的控制器。控制器被配置成：从接入和移动性管理功能(AMF)实体接收第一非接入层(NAS)消息中的新CAG信息列表，识别服务公共陆地移动网络(PLMN)是否是归属公共陆地移动网络(HPLMN)和访客公共陆地移动网络(VPLMN)中的一者，在服务PLMN是HPLMN的情况下，将存储在UE中的现有CAG信息列表替换为所接收到的新CAG信息列表，在服务PLMN是VPLMN的情况下，将存储在UE中的现有CAG信息列表中的与服务VPLMN相关联的CAG信息替换为所接收到的新CAG信息列表中的与服务VPLMN相关联的CAG信息，并丢弃所接收到的新CAG信息列表中的与服务PLMN不相关的CAG信息。

通过以下结合附图公开了本公开的各种实施例的详细描述，对于本领域技术人员，本公开的其它方面、优点和显著特征将变得显而易见。

[有益效果]

根据本公开的各种实施例，通过基于UE的服务PLMN是HPLMN还是VPLMN来管理无线通信网络中的CAG相关过程，可以提供有效的CAG相关过程。

附图说明

通过以下结合附图的描述，本公开的某些实施例的上述和其它方面、特征和优点将变得更加显而易见，其中：

图1是根据本公开实施例的用于管理无线通信网络中的CAG相关过程的UDM控制器的框图；

图2是根据本公开实施例的用于管理无线通信网络中的CAG相关过程的UE的框图；

图3A是示出根据本公开实施例的用于在UDM控制器处管理无线通信网络中的CAG相关过程的方法的流程图；

图3B是示出根据本公开实施例的用于在UE处管理无线通信网络中的CAG相关过程的方法的流程图；

图4A是示出根据本公开实施例的在初始注册过程期间向UE提供CAG信息的情形的信令图；

图4B是示出根据本公开实施例的在初始注册过程期间向UE提供CAG信息的情形的信令图；

图5是示出根据本公开实施例的在注册过程期间向UE提供CAG信息列表的情形的信令图；

图6是示出根据本公开实施例的在注册过程之后向UE提供CAG信息列表的情况的信令图；

图7是示出根据本公开实施例的基于访客公共陆地移动网络(VPLMN)是否是可信VPLMN来在UE处更新CAG信息的信令图；以及

图8是示出根据本公开实施例的用于确定是否在VPLMN处修改了CAG信息的过程的信令图。

在所有附图中，相同的附图标记将被理解为表示相同的部份、部件和结构。

具体实施例

提供以下参考附图的描述以帮助全面理解由权利要求及其等同物限定的本公开的各种实施例。它包括有助于理解的各种具体细节，但这些细节仅被认为是示例性的。因此，本领域普通技术人员将认识到，在不脱离本公开的范围和精神的情况下，可以对本文描述的各种实施例进行各种改变和修改。另外，为了清楚和简明起见，可以省略对众所周知的功能和结构的描述。

在以下描述和权利要求中使用的术语和词语不限于书面含义，而是仅由发明人使用以使得能够清楚一致地理解本公开。因此，对于本领域技术人员显而易见的是，提供本公开各种实施例的以下描述仅仅是出于说明的目的，而不是为了限制由所附权利要求及其等同物限定的本公开。

应理解，单数形式“一”、“一个”和“所述”包括复数指示物，除非上下文另有明确规定。因此，例如，提及“部件表面”包括提及一个或多个这样的表面。

如本领域中的传统，实施例可以根据执行所描述的一个或多个功能的块来描述和说明。在本文中可以被称为单元或模块等的这些块由模拟或数字电路来物理地实现，诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子元件、有源电子元件、光学元件、硬连线电路等，并且可以可选地由固件来驱动。例如，电路可以在一个或多个半导体芯片中实现，或者在诸如印刷电路板等的衬底支撑件上实现。构成块的电路可以由专用硬件或由处理器(例如，一个或多个编程的微处理器和相关电路)、或由用于执行块的一些功能的专用硬件和用于执行块的其它功能处理器的组合来实现。在不脱离本公开范围的情况下，实施例中的每个块可以被物理地分成两个或多个交互且离散的块。同样，在不脱离本公开范围的情况下，实施例中的块可以被物理地组合成更复杂的块。

附图用于帮助容易地理解各种技术特征，应理解，本文所呈现的实施例不受附图的限制。因此，本公开应被解释为扩展到除了在附图中具体阐述之外的任何改变、等同形式和替代形式。尽管在本文中可使用术语“第一”、“第二”等来描述各种元件，但这些元件不应受到这些术语的限制。这些术语通常仅用于将一个元件与另一个元件区分开。

相应地，本文的实施例公开了一种用于管理无线通信网络中的CAG相关过程的方法。该方法包括：由属于HPLMN的UDM控制器确定需要更新UE中的CAG信息，以及由UDM控制器确定UE的服务PLMN是HPLMN还是VPLMN。此外，该方法包括：在确定出服务PLMN是HPLMN时，由UDM控制器向AMF控制器发送包括与多个PLMN相关联的完整CAG订阅信息的新CAG信息列表。此外，UDM控制器在确定出服务PLMN是VPLMN时，向AMF控制器发送包括仅与服务VPLMN相关联的CAG订阅信息的新CAG信息列表。在传统的方法和系统中，UDM控制器将包括与所有PLMN对应的CAG订阅的CAG信息列表发送到UE的服务PLMN。因此，恶意服务PLMN可以改变从UDM控制器接收到的UE的CAG信息列表，以将UE保持到服务PLMN。服务PLMN可以通过向所有其它PLMN发送仅允许UE经由CAG小区接入5GS的单独指示来改变CAG信息列表。服务PLMN还可以通过删除或发送针对其它PLMN的允许错误的CAG列表来改变CAG订阅，或修改其以使VPLMN处于有利位置。

与传统方法和系统不同，在所提出的方法中，UDM控制器不向UE发送与所有PLMN相关的CAG信息列表。UDM控制器检查UE是处于HPLMN还是处于VPLMN，然后相应地发送CAG信息列表。因此，服务PLMN不能删除或发送针对其它PLMN的允许错误的CAG列表。此外，UDM控制器仅在UE正在向作为服务网络的HPLMN注册时才更新完整的CAG信息列表。因此，UDM控制器不允许服务PLMN向所有其它PLMN发送仅允许UE经由CAG小区接入5GS的单独指示。因此，UE将不会由于不适当的CAG信息列表而被服务PLMN卡住。

现在参考附图，尤其参考示出了优选实施例的图1、图2、图3A、图3B、图4A、图4B、以及图5至图8，相似的附图标记在整个附图中始终表示相应特征。

图1是根据本公开实施例的用于管理无线通信网络中的CAG相关过程的UDM控制器的框图。

参考图1，UDM控制器(100)是无线通信网络中的节点，其管理统一数据并与诸如AMF控制器(300)的其它节点持续交互。UDM控制器(100)包括通信器(120)、存储器(140)、处理器(160)和CAG管理控制器(180)。CAG信息列表包括与UE(200)相关联的CAG订阅，诸如PLMN ID、允许的CAG ID列表、以及允许UE(200)仅经由CAG小区接入PLMN的第五代服务(5GS)的可选指示。

通信器(120)被配置成在内部硬件部件之间进行内部通信，以及经由一个或多个网络(例如，无线电技术)与外部装置(例如服务器)通信。通信器(120)包括专用于实现有线或无线通信的标准的电子电路。

存储器(140)被配置成存储包括与多个PLMN和UE相关联的完整CAG订阅信息的CAG信息列表。存储器(140)可以包括非易失性存储元件。这类非易失性存储元件的示例可包括磁性硬盘、光盘、软盘、闪存或电可编程存储器(EPROM)或电可擦除可编程(EEPROM)存储器的形式。此外，在一些示例中，存储器(140)可以被认为是非暂时性存储介质。术语“非暂时性”可以表示存储介质未包括在载波或传播信号中。然而，术语“非暂时性”不应被解释为存储器(140)是不可移动的。在某些示例中，非暂时性存储介质可以存储可随时间变化的数据(例如，在随机存取存储器(RAM)或高速缓冲存储器中)。

处理器(160)被配置成执行存储在存储器(140)中的、用于管理无线通信网络中的CAG过程的各种指令。处理器(160)与存储器(140)和CAG管理控制器(180)通信。处理器(160)可以包括一个或多个处理器。所述一个或多个处理器可以是诸如中央处理单元(CPU)、应用处理器(AP)等的通用处理器，诸如图形处理单元(GPU)、视觉处理单元(VPU)的仅图形处理单元，和/或诸如神经处理单元(NPU)的AI专用处理器。处理器(160)可以包括多个核，并且被配置成执行存储在存储器(140)中的指令。

CAG管理控制器(180)包括PLMN确定控制器(182)和CAG信息控制器(184)。CAG管理控制器(180)由诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子元件、有源电子元件、光学元件、硬连线电路等的处理电路来实现，并且可以可选地由固件来驱动。例如，电路可以在一个或多个半导体芯片中实现，或者在诸如印刷电路板等的衬底支撑件上实现。

PLMN确定控制器(182)被配置成：确定需要更新UE(200)中的CAG信息，由诸如UDM控制器(100)的HPLMN实体重新提供或更新UE(200)中的CAG信息的原因(即，需要)取决于实施方式，例如其可以是由于UE(200)订阅的改变或UE(200)位置区域的改变等。此外，在提供更新的CAG信息之前，PLMN确定控制器(182)被配置成确定UE(200)的服务PLMN是HPLMN还是VPLMN。UE(200)的服务PLMN是HPLMN或VPLMN的标识被发送到CAG信息控制器(184)。HPLMN也可以是等效的HPLMN(EHPLMN)。

CAG信息控制器(184)被配置成：在确定出UE(200)的服务PLMN是HPLMN时，向AMF控制器(300)发送包括与多个PLMN相关联的UE的完整CAG订阅信息的新CAG信息列表。CAG信息控制器(184)被配置成：在确定出UE(200)的服务PLMN是VPLMN时，向AMF控制器(300)发送包括仅与服务VPLMN相关联的CAG订阅信息的新CAG信息列表。AMF控制器(300)继而将从CAG信息控制器(184)接收到的新CAG信息列表发送到UE(200)。新CAG信息列表由CAG信息控制器(184)例如在注册接受中的注册过程期间或在配置更新命令消息或任何其它NAS消息中的通用UE配置更新过程期间发送。可以注意到，要由UDM控制器(100)发送到UE(200)的CAG信息是通过AMF控制器(300)发送的。UDM控制器(100)和UE(200)都通过AMF控制器(300)彼此交互。

因此，当UE(200)正在向服务PLMN注册时，UDM控制器(100)仅发送与服务PLMN对应的CAG订阅。因此，服务PLMN不能删除或发送针对其它PLMN的允许错误的CAG列表。此外，UDM控制器(100)仅当UE(200)正在向HPLMN注册时才更新UE的完整CAG信息列表。因此，UDM控制器(100)不允许服务PLMN向所有其它PLMN发送允许UE(200)仅经由CAG小区接入5GS的单独指示。因此，在所提出的方法中，UE(200)将不会由于不适当的CAG信息列表而被服务PLMN卡住。

尽管图1示出了UDM控制器(100)的硬件元件，但是应理解，其它实施例不限于此。在其它实施例中，UDM控制器(100)可以包括更少或更多数量的元件。此外，元件的标签或名称仅用于说明目的，而非限制本公开的范围。一个或多个部件可以组合在一起以执行相同或基本相似的功能。

图2是根据本公开实施例的用于管理无线通信网络中的CAG相关过程的UE的框图。

参考图2，UE(200)通过AMF控制器(300)与UDM控制器(100)交互。UE(200)的示例包括但不限于智能电话、平板计算机、个人数字助理(PDA)、物联网(IoT)装置、可穿戴装置、膝上型计算机等。在实施例中，UE(200)包括通信器(220)、存储器(240)、处理器(260)和CAG列表控制器(280)。

通信器(220)被配置成在内部硬件部件之间进行内部通信，以及经由一个或多个网络(例如，无线电技术)与外部装置(例如服务器)通信。通信器(220)包括专用于实现有线或无线通信的标准的电子电路。

存储器(240)被配置成存储CAG信息列表，该CAG信息列表包括与HPLMN UDM控制器(200a)和允许UE(200)连接的VPLMN相关联的CAG订阅信息。本实施例中的术语“连接”表示UE将能够驻留在可以是HPLMN或VPLMN的相应PLMN上并接收服务。存储器(240)可以包括非易失性存储元件。这类非易失性存储元件的示例可包括磁性硬盘、光盘、软盘、闪存或电可编程存储器(EPROM)或电可擦除可编程(EEPROM)存储器的形式。此外，在一些示例中，存储器(240)可以被认为是非暂时性存储介质。术语“非暂时性”可以表示存储介质不体现为载波或传播信号。然而，术语“非暂时性”不应被解释为存储器(240)是不可移动的。在某些示例中，非暂时性存储介质可以存储可随时间变化的数据(例如，在随机存取存储器(RAM)或高速缓冲存储器中)。

处理器(260)被配置成执行存储在存储器(240)中的、用于管理无线通信网络中的CAG过程的各种指令。处理器(260)与存储器(240)和CAG列表控制器(280)通信。处理器(260)可以包括一个或多个处理器。所述一个或多个处理器可以是诸如中央处理单元(CPU)、应用处理器(AP)等的通用处理器，诸如图形处理单元(GPU)、视觉处理单元(VPU)的仅图形处理单元，和/或诸如神经处理单元(NPU)的AI专用处理器。处理器(260)可以包括多个核，并且被配置成执行存储在存储器(240)中的指令。

CAG列表控制器(280)包括CAG列表接收器(282)、PLMN识别控制器(284)和CAG列表更新控制器(286)。CAG列表控制器(280)由诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子元件、有源电子元件、光学元件、硬连线电路等的处理电路来实现，并且可以可选地由固件来驱动。例如，电路可以在一个或多个半导体芯片中实现，或者在诸如印刷电路板等的衬底支撑件上实现。

CAG列表接收器(282)被配置成从AMF控制器(300)接收第一NAS消息中的新CAG信息列表。第一NAS消息可以是例如配置更新命令消息。第一NAS消息可以在初始注册接受过程期间或者在由网络接受的移动性和周期性注册更新期间接收。REGISTRATION_ACCEPT消息可以包括CAG信息列表IE，并且CAG位将在REGISTRATION_REQUEST消息的5GMM能力IE中“支持CAG”。

PLMN识别控制器(284)被配置成确定UE(200)的服务PLMN是HPLMN还是VPLMN。然后，UE(200)的服务PLMN是HPLMN或VPLMN的标识被发送到CAG列表更新控制器(286)。

CAG列表更新控制器(286)被配置成：接收服务PLMN的标识，并且当识别出服务PLMN是HPLMN时，将存储在UE(200)中的现有CAG信息列表替换为从AMF控制器(300)接收到的新CAG信息列表。CAG列表更新控制器(286)被配置成：当识别出服务PLMN是VPLMN时，将存储在UE(200)中的现有CAG信息列表中的与服务VPLMN相关联的CAG信息替换为接收到的在新CAG信息列表中的与服务VPLMN相关联的CAG信息，并丢弃接收到的与服务PLMN不相关的CAG信息。

因此，UE(200)不会完全删除现有CAG信息列表并存储新CAG信息。因此，当其它PLMN具有比服务PLMN更高优先级的PLMN时，UE(200)能够基于UE(200)的实际订阅来选择非CAG小区或其它PLMN中的CAG小区。因此，即使服务PLMN是恶意PLMN，服务PLMN也不能控制UE的PLMN选择过程。

尽管图2示出了UE(200)的硬件元件，但是应理解，其它实施例不限于此。在其它实施例中，UE(200)可以包括更少或更多数量的元件。此外，元件的标签或名称仅用于说明目的，而并非限制本公开的范围。一个或多个部件可以组合在一起以执行相同或基本相似的功能。

图3A是示出根据本公开实施例的用于在UDM控制器处管理无线通信网络中的CAG相关过程的方法的流程图。

参考示出流程图3000a的图3A，在操作3002，UDM控制器(100)确定需要更新UE(200)中的CAG信息。例如，在如图1所示的UDM控制器(100)中，CAG管理控制器(180)被配置成确定需要更新UE(200)中的CAG信息。

在操作3004，UDM控制器(100)确定UE(200)是与HPLMN还是VPLMN连接(即，由HPLMN还是VPLMN服务)。例如，在如图1所示的UDM控制器(100)中，CAG管理控制器(180)被配置成确定UE(200)是与HPLMN还是VPLMN连接(即，由HPLMN还是VPLMN服务)。

此外，在操作3006，UDM控制器(100)被配置成：当确定出UE(200)与HPLMN连接时，向AMF控制器(300)发送包括与所有PLMN相关联的完整CAG订阅信息的新CAG信息列表。

在操作3008，UDM控制器(100)被配置成：当确定出UE(200)与VPLMN连接时，向AMF控制器(300)发送包括仅与服务VPLMN相关联的CAG订阅信息的新CAG信息列表。

该方法中的各种举措、动作、块、操作等可以以所呈现的顺序、以不同的顺序或同时执行。此外，在一些实施例中，在不脱离本公开范围的情况下，各种举措、动作、块、操作等中的一些可以被省略、添加、修改、跳过等。

图3B是示出根据本公开实施例的用于在UE处管理无线通信网络中的CAG相关过程的方法的流程图。

参考示出流程图3000b的图3B，在操作3012，UE(200)从AMF控制器(300)接收第一NAS消息中的新CAG信息列表。例如，在如图2所示的UE(200)中，CAG列表控制器(280)被配置成从AMF控制器(300)接收第一NAS消息中的新CAG信息列表。

在操作3014，UE(200)确定服务PLMN是HPLMN还是VPLMN。例如，在如图2所示的UE(200)中，CAG列表控制器(280)被配置成确定服务PLMN是HPLMN还是VPLMN。

此外，在操作3016，UE(200)被配置成：当确定出服务PLMN是HPLMN时，将存储在UE(200)中的现有CAG信息列表替换为从AMF控制器(300)接收到的新CAG信息列表。

在操作3018，UE(200)被配置成：当确定出服务PLMN是VPLMN时，将存储在UE(200)中的与服务VPLMN相关联的CAG信息替换为接收到的新CAG信息列表中的与服务VPLMN相关联的CAG信息，并丢弃接收到的与服务PLMN不相关的CAG信息。

该方法中的各种举措、动作、块、操作等可以以所呈现的顺序、以不同的顺序或同时执行。此外，在一些实施例中，在不脱离本公开范围的情况下，各种举措、动作、块、操作等中的一些可以被省略、添加、修改、跳过等。

图4A和4B是示出根据本公开实施例的在初始注册过程期间向UE提供CAG信息的情形的信令图。

参考图4A，考虑如下所述的初始注册过程：

在操作S400，UE(200)没有有效的临时标识，即，5G-全球唯一临时标识符(GUTI)。UE(200)对小区发起初始注册过程。

在操作S401，UE(200)向AMF控制器(300)发送包括订阅隐藏标识符(SUCI)的注册请求消息。AMF控制器(300)使用3GPP TS33.501中定义的过程将SUCI发送到HPLMN AUSF控制器(400a)。

在操作S402，UDM控制器(100)将订阅隐藏标识符(SUPI)取消隐藏为订阅永久标识符(SUPI)。如3GPP TS 33.501中所述，在网络与UE(200)之间执行认证过程。

在操作S403，在认证过程成功之后，UDM控制器(100)按照规范23.502中定义的注册过程将订阅数据发送到AMF控制器(300)。

在操作S404，AMF控制器(300)确定出UE(200)没有对当前小区的有效订阅(例如，UE(200)没有对发起注册的CAG小区的有效订阅，或当前跟踪区域被禁止用于UE(200))，即使如此，随后AMF控制器(300)向UE(200)分配5G-GUTI并执行以下过程之一：操作S405a、S406a和S407a，或操作S405b、S406b、S407b和S408b，或操作S405c、S406c和S407c。

在操作S405a，AMF控制器(300)发送包括以下至少一者的注册拒绝消息：适当的拒绝原因(例如，5GMM原因#76-未授权该CAG或仅授权CAG小区、CAG订阅到期，5GMM原因#12-跟踪区域不被允许，原因#13-不允许在跟踪区域中漫游，或5GMM原因#15-在跟踪区域中没有合适的小区)、允许的CAG列表、以及5G-GUTI。

在操作S406a和S407a，当UE(200)接收到具有5G-GUTI的注册拒绝消息时，UE(200)存储5G-GUTI并在后续NAS消息中使用5G-GUTI(例如，由于移动性的注册过程)。UE(200)可以移动到5GMM-REGISTERED状态。在UE(200)进入空闲模式之后，UE(200)将执行小区重选过程。UE(200)将处理如在3GPP TS 24.501中定义的5GMM原因值。

在实施例中，当执行操作S405a、S406a和S407a时，UE(200)进入注销过程，并且AMF控制器(300)也注销UE，但是UE(200)和AMF控制器(300)保持上下文。

在实施例中，当执行操作S405a、S406a和S407a时，UE(200)进入具有有限模式服务的注册状态。

参考图4B，在操作S405b，AMF控制器(300)在配置更新命令中发送具有其它可能参数的5G-GUTI。

在操作S406b，UE(200)在接收到具有5G-GUTI的配置更新命令时，UE(200)存储5G-GUTI并在后续NAS过程中(例如，在移动性注册过程期间)使用5G-GUTI，UE(200)可选地向AMF控制器(300)发送配置更新完成消息。AMF控制器(300)在从UE(200)接收到配置更新完成时开始使用5G-GUTI。

在操作S407b和S408b，AMF控制器(300)发送包括适当5GMM拒绝原因的注册拒绝消息(例如，5GMM原因#76-未授权该CAG或仅授权CAG小区、CAG订阅到期，5GMM原因#12-跟踪区域不被允许，原因#13-不允许在跟踪区域中漫游，或5GMM原因#15-在跟踪区域中没有合适的小区)。UE(200)在接收到注册拒绝消息时根据如3GPP TS 24.501中定义的拒绝原因采取行动。UE(200)和AMF控制器(300)处于注册状态。

在操作S405c，AMF控制器(300)发送包括5G-GUTI和适当5GMM原因的注册接受消息(例如，5GMM原因#76-未授权该CAG或仅授权CAG小区、CAG订阅到期，5GMM原因#12-跟踪区域不被允许，原因#13-不允许在跟踪区域中漫游，或5GMM原因#15-在跟踪区域中没有合适的小区)。

在操作S406c和S407c，UE(200)在接收到具有5G-GUTI的注册接受消息时，UE(200)存储5G-GUTI并在后续NAS过程中(例如在移动性注册过程期间)使用5G-GUTI。UE(200)向AMF控制器(300)发送注册完成消息。AMF控制器(300)在从UE(200)接收到注册接受消息时开始使用5G-GUTI。UE(200)根据如3GPP TS24.501中定义的拒绝原因采取行动。UE(200)和AMF控制器(300)处于注册状态。

当UDM控制器(100)在注册过程期间从AMF控制器(300)接收到消息以根据23.502中定义的过程获得用户订阅信息时，UDM控制器(100)确定UE(200)是处于VPLMN还是HPLMN中。如果UDM控制器(100)确定出UE(200)是处于HPLMN中，则UDM控制器(100)可以发送与HPLMN和VPLMN有关的完整CAG信息(如果UE(200)与VPLMN具有CAG订阅)。如果UDM控制器(100)确定出UE(200)是处于VPLMN中，则UDM控制器(100)仅发送与VPLMN相关的CAG信息。

当AMF控制器(300)接收到CAG信息时，AMF控制器(300)将该信息透明地发送到UE(200)。

当UE(200)接收到NAS消息中的CAG信息列表时，UE(200)确定UE(200)是被注册到或正注册到VPLMN还是HPLMN。如果UE(200)被注册或正注册到HPLMN，则UE(200)存储并使用从HPLMN接收到的CAG信息列表。如果UE(200)被注册到或正注册到VPLMN，则UE(200)检查CAG信息列表是否仅包括与VPLMN或其它PLMN相关的CAG信息。如果CAG信息仅包括与VPLMN相关的CAG信息，则UE(200)应将所存储的VPLMN的CAG信息替换为接收到的VPLMN的CAG信息列表，并使用当前/更新的VPLMN的CAG信息列表。如果CAG信息列表包括与其它PLMN相关的CAG信息，则UE(200)丢弃接收到的与其它PLMN相关的CAG信息。在这种情况下，UE(200)可以在某时间段内降低VPLMN的优先级，即，在某时间段内将VPLMN作为PLMN选择的最低优先级。在某时间段之后，UE(200)可以再次对其进行优先排序。

CAG信息列表包括以下至少一者：

1.允许的CAG ID列表，

2.仅允许UE(200)经由CAG小区接入5GS的指示，或

对于在允许的CAG列表中存在的每个CAG ID，指示用户是否可以在手动PLMN选择过程期间手动选择CAG ID的指示。如果允许在手动PLMN选择过程期间进行CAG ID选择，则：如果在该位置找到广播CAG ID的CAG小区并且如果用户选择了CAG ID，则UE(200)将向用户显示CAG ID，如果CAG ID不在允许的列表中，则UE(200)应发起注册过程，否则UE(200)应不向用户显示CAG ID；或者如果显示了CAG ID并且用户选择了CAG ID，则UE(200)将不采取任何行动，例如将不发起任何NAS过程(例如，注册过程)。

是否允许在PLMN中手动CAG ID选择过程的指示。如果该指示指示了允许在PLMN范围内手动CAG ID选择，则UE(200)应显示存在于该位置的任何小区的CAG ID。如果用户选择了CAG ID并且CAG ID不是允许的CAG列表，则UE(200)应在广播所选CAG ID的CAG小区上发起注册过程。如果该指示指示了CAG ID不在允许的PLMN范围内，则UE(200)不应显示存在于该位置处的任何CAG小区的CAG ID或任何NAS过程(例如，在任何情况下当选择CAG ID时不允许CAG小区上的注册过程)。在一个实施例中，该指示符的值由VPLMN自身基于VPLMN策略来决定。该值的设置与任何HPLMN策略或与HPLMN的交互无关。

在一个实施例中，定义为3)或4)的指示符作为NAS消息中的单独信息要素被发送，即指示符不包括在CAG信息列表中，两个指示符的发送受到完整性保护。

在一个实施例中，如果UE(200)没有接收到这些指示符，则UE(200)应用UE(200)将向用户显示CAG ID的默认行为，如果用户选择了CAG ID，如果CAG不在允许的CAG ID列表中，则UE(200)将在广播所选CAG ID的CAG小区上发起注册过程。

在实施例中，AMF控制器(300)还在NAS过程(例如，注册过程(例如，注册接受消息))期间发送指示，以指示在注册区域中是否允许手动CAG信息过程。在接收到该指示时，UE(200)可以基于该指示发起手动CAG选择过程，否则UE(200)不应在注册区域中执行手动CAG选择过程。

在实施例中，还在NAS消息中向UE(200)发送指示，以指示手动PLMN选择过程是否适用于NAS过程(例如，注册过程(例如，注册接受消息))中的PLMN。如果指示符指示了允许对PLMN进行手动PLMN选择过程，则UE(200)可以手动选择PLMN。在选择了PLMN之后，UE(200)手动向网络发起注册过程。如果指示符指示了不允许对PLMN进行手动PLMN选择，则UE(200)不应选择或发起对作为手动PLMN选择过程结果的PLMN ID的注册过程。在一个示例中，在小区中广播该指示符，并且如果广播指示符允许执行手动PLMN选择过程，则UE(200)在小区上对PLMN执行手动PLMN选择过程，否则UE(200)不应执行它。在示例中，指示符指示是否允许对任何PLMN进行手动PLMN选择。在这种情况下，如果指示符禁止，则UE(200)不应对任何PLMN执行手动PLMN选择过程，否则，指示符允许执行手动PLMN选择过程，则UE(200)可以执行手动PLMN选择过程。该指示符在系统信息中或在NAS过程期间(例如，在例如注册过程(例如，注册接受消息))的NAS消息中发送。

图5是示出根据本公开实施例的在注册过程期间向UE提供CAG信息列表的情形的信令图。

参考图5，考虑在VPLMN中向UE(200)发送CAG信息的过程。下面描述UE(200)向VPLMN AMF注册时的安全过程：

在操作S501，UE(200)通过向VPLMN AMF控制器(300b)发送注册请求消息来发起注册。

在操作S502和S503，VPLMN AMF控制器(300b)执行如3GPP TS 23.502的子条款4.2.2.2.2中定义的注册过程。作为注册过程的一部分，VPLMN AMF控制器(300b)对UE(200)执行初级认证，然后在认证成功之后发起NAS SMC过程。

在操作S504，VPLMN AMF控制器(300b)向HPLMN UDM控制器(100a)调用Nudm_SDM_Get服务操作消息，以在其它信息中获得UE(200)的接入和移动性订阅数据(3GPP TS23.502的子条款4.2.2.2.2中的操作14b)。

在操作S505，HPLMN UDM控制器(100a)决定发送引导信息，并获得如TS 23.122[53]中所述的列表。

在操作S506，HPLMN UDM控制器(100a)应向HPLMN AUSF控制器(400a)调用Nausf_CAGProtection服务操作消息，以获得CAG-MAC-IAUSF和CounterSCAG。如果HPLMN确定出UE(200)要确认对对接收到的引导信息列表的安全检查成功，则HPLMN UDM控制器(100a)应在CAG报头中设置相应的指示(参见TS 24.501)，并在Nausf_CAGProtection服务操作消息中包括ACK指示以通知其还需预期的CAG-XMAC-IUE。

在操作S507，在引导信息列表不可用或者HPLMN确定出UE(200)不需引导的情况下，则CAG报头中的列表指示值应设置为空并且不应包括列表。在CAG-MAC-IAUSF的计算中包括优选PLMN/接入技术组合的列表(如果被提供)和CAG报头允许UE(200)验证接收到的引导信息列表未被VPLMN篡改或删除、以及HPLMN UDM控制器(100a)是否请求了确认。预期的CAG-XMAC-IUE允许HPLMN UDM控制器(100a)验证UE(200)接收到引导信息列表。

在操作S508，HPLMN UDM控制器(100a)响应对VPLMN AMF控制器(300b)的Nudm_SDM_Get服务操作，上述操作应包括接入和移动性订阅数据内的CAG报头、引导信息列表、CAG-MAC-IAUSF和CounterCAG。如果HPLMN UDM控制器(100a)请求了确认，则它将临时存储预期的CAG-XMAC-IUE。

在操作S509，VPLMN AMF控制器(300b)应在去往UE(200)的注册接受消息中包括引导信息列表、CAG-MAC-IAUSF、CounterCAG和CAG报头；

在操作S510，在接收到注册接受消息时，如果USIM配置有UE(200)应接收引导信息列表的指示，则UE(200)应以与AUSF(如附录A.17中所规定的)相同的方式，基于接收到的引导信息、CounterCAG和CAG报头来计算CAG-MAC-IAUSF，并验证其是否与在注册接受消息中接收的CAG-MAC-IAUSF值相匹配。基于CAG-MAC-IAUSF验证结果，在TS 23.122[53]中规定了UE(200)的行为。

在操作S511，如果HPLMN UDM控制器(100a)已经向UE(200)请求了确认并且UE(200)验证出在操作9中已经由HPLMN提供了引导信息列表，则UE(200)应向服务VPLMN AMF控制器(300b)发送注册完成消息。UE(200)应生成如附录A.18中所规定的CAG-MAC-IUE，并且将所生成的CAG-MAC-IUE包括在注册完成消息中的透明容器中。

在操作S512，VPLMN AMF控制器(300b)向HPLMN UDM控制器(100a)发送Nudm_SDM_Info请求消息。如果在注册完成消息中接收到具有CAG-MAC-IUE的透明容器，则VPLMN AMF控制器(300b)应在Nudm_SDM_Info请求消息中包括透明容器。

在操作S513，如果HPLMN在操作S508指示了UE(200)要确认对接收到的引导信息列表的安全检查成功，则HPLMN UDM控制器(100a)应将接收到的CAG-MAC-IUE与HPLMN UDM控制器(100a)在操作S508临时存储的预期CAG-XMAC-IUE进行比较。

图6是示出根据本公开实施例的在注册过程之后向UE提供CAG信息列表的情形的信令图。

参考图6，考虑在注册之后在VPLMN中将CAG信息共享到UE(200)的过程。下面描述在注册之后在VPLMN中引导UE(200)的安全过程：

在操作S601，HPLMN UDM控制器(100a)决定通过调用Nudm_SDM_Notification服务操作来向UE(200)通知引导信息列表的改变。

在操作S602和S603，HPLMN UDM控制器(100a)应通过包括CAG报头和引导信息列表来向HPLMN AUSF控制器(400a)调用Nausf_CAGProtection服务操作消息，以获得如本文件子条款14.1.3中规定的CAG-MAC-IAUSF和CounterCAG。如果HPLMN确定出UE(200)要确认对对接收到的引导信息列表的安全检查成功，则HPLMN UDM控制器(100a)应在CAG报头中设置相应的指示(参见TS24.501[35])，并在Nausf_CAGProtection服务操作消息中包括ACK指示以通知其还需预期的CAG-XMAC-IUE。

在CAG-MAC-IAUSF的计算中包括引导信息列表和确认指示允许UE(200)验证接收到的引导信息列表未被VPLMN篡改或删除、以及HPLMN UDM控制器(100a)是否请求了确认。在预期的CAG-XMAC-IUE的计算中包括该信息允许HPLMN UDM控制器(100a)验证UE(200)接收到引导信息。

在操作S604，HPLMN UDM控制器(100a)应调用Nudm_SDM_Notification服务操作，其包括优选PLMN/接入技术组合列表、CAG-MAC-IAUSF、接入和移动性订阅数据内的CounterCAG和CAG报头。如果HPLMN UDM控制器(100a)请求了确认，则其应临时存储预期的CAG-XMAC-IUE。

在操作S605，在接收到Nudm_SDM_Notification消息时，VPLMN AMF控制器(300b)应向被服务的UE(200)发送DL NAS传输消息。VPLMN AMF控制器(300b)应在DL NAS传输消息中包括从HPLMN UDM控制器(100a)接收到的透明容器。

在操作S606，在接收到DL NAS传输消息时，UE(200)应以与AUSF(如附录A.17中所规定的)相同的方式，基于接收到的引导信息、CounterCAG和CAG报头来计算CAG-MAC-IAUSF，并验证其是否与在DL NAS传输消息中所接收的CAG-MAC-IAUSF值相匹配。

在操作S607，如果HPLMN UDM控制器(100a)已经向UE(200)请求了确认并且UE(200)验证出已经由HPLMN提供了引导信息列表，则UE(200)应向服务VPLMN AMF控制器(300b)发送UL NAS传输消息。UE(200)应生成如附录A.18中所规定的CAG-MAC-IUE，并且将所生成的CAG-MAC-IUE包括在UL NAS传输消息中的透明容器中。

在操作S608，VPLMN AMF控制器(300b)应向HPLMN UDM控制器(100a)发送Nudm_SDM_Info请求消息。如果在UL NAS传输消息中接收到具有CAG-MAC-IUE的透明容器，则VPLMN AMF控制器(300b)应在Nudm_SDM_Info请求消息中包括透明容器。

在操作S609，如果HPLMN UDM控制器(100a)指示了UE(200)要确认对接收到的引导信息列表的安全检查成功，则HPLMN UDM控制器(100a)应将接收到的CAG-MAC-IUE与HPLMNUDM控制器(100a)在操作S604临时存储的预期CAG-XMAC-IUE进行比较。

在一个实施例中，通用UE(200)配置更新过程也遵循上述过程来传送CAG信息列表。在这种情况下，DL NAS传输消息被替换为配置更新命令消息，并且UL NAS传输消息被替换为配置更新完成消息。

在一个示例中，实施例1、2和3适用于UE在相同PLMN内移动情况，即UE(200)在相同PLMN内改变跟踪区域(TA)。在这种情况下，TA由不同的AMF服务。

图7是示出根据本公开实施例的基于VPLMN是否是可信VPLMN而在UE处更新CAG信息的信令图。

参考图7，考虑以下操作过程：

在操作S701，UE(200)向第一PLMN(HPLMN或VPLMN)发起第一NAS过程。

在操作S702和S703，在第一NAS过程期间，HPLMN AMF控制器(300a)在第一NAS消息中向UE(200)发送可信PLMN列表。在一个示例中，当UDM控制器(100)确定出UE(200)在HPLMNUDM控制器(100a)中或在HPLMN UDM控制器(100a)信任的VPLMN中时，UDM控制器(100)将可信PLMN列表发送到AMF控制器(300)，AMF控制器(300)又将其发送到UE(200)。可信PLMN列表中的条目由可信PLMN的移动国家代码(MCC)和移动网络代码(MNC)组成。在操作S704，UE(200)可以可选地向HPLMN AMF控制器(300a)发送注册完成消息。

在操作S705，UE(200)将可信PLMN列表存储在UE(200)中。

在操作S706，UE(200)向第二PLMN(即，HPLMN AMF控制器(300a))发起第二NAS过程。

在操作S707，HPLMN AMF控制器(300a)在第二NAS消息中向UE(200)发送CAG信息列表。在一个示例中，当UDM控制器(100)在操作S707a确定出第二VPLMN在可信PLMN列表中或在HPLMN UDM控制器(100a)中时，则UDM控制器(100)可以发送完整的CAG订阅，即，包括VPLMN和HPLMN的CAG订阅的CAG信息列表，否则UDM控制器(100)可以在操作708仅在CAG信息中向AMF控制器(300)发送第二VPLMN的CAG订阅。

在操作S709，UE(200)确定第二PLMN ID是否存在于可信PLMN列表中，或者第二PLMN是HPLMN UDM控制器(100a)。如果第二PLMN存在于可信PLMN列表或HPLMN中，则UE(200)应存储完整的CAG信息列表，否则UE(200)确定CAG信息列表是否仅包括与第二PLMN相关的参数。一旦确定CAG信息列表仅包括与第二PLMN相关的参数，则UE(200)存储完整的CAG信息列表，否则UE(200)忽略CAG信息，或者存储与第二PLMN相关的参数并忽略与其它PLMN相关的参数。UE(200)应在后续NAS或AS过程中使用所存储的CAG信息列表。

上面的第一或第二NAS过程是在5GS或EPS中定义的NAS过程或者新型NAS过程。在一个示例中，第一和第二NAS消息是现有的5GS或EPS NAS消息或者新型NAS消息。在一个示例中，可信PLMN列表被预先配置在USIM或ME存储器中。UE(200)在接收到CAG信息要素时将遵循上述过程。上面定义的相同过程可以用于传送其它UE配置或订阅信息。

图8是示出根据本公开实施例的用于确定是否在VPLMN处修改了CAG信息的过程的信令图。

参考图8，考虑以下操作过程：

在操作S800，UE(200)注册到VPLMN，并且VPLMN向UE(200)发送CAG信息列表。VPLMN可以在向UE(200)发送CAG信息列表之前修改CAG信息列表(例如，删除仅CAG的接入选项)。UE(200)与网络(VPLMN AMF控制器(300a)和HPLMN UDM控制器(100a))已经完成了对UE(200)的最新CAG信息的更新。

在操作S801，UE(200)向VPLMN AMF控制器(300b)发起NAS过程。在操作S802，无论该小区是CAG小区还是非CAG小区，VPLMN AMF控制器(300b)都可以向UDM控制器(100)发送第一消息。

在操作S803，如果UDM控制器(100)确定出UE(200)被配置成仅经由CAG小区接入VPLMN、并且在操作S802中接收到的小区类型为非CAG小区，则UDM控制器(100)确定出VPLMN是恶意的，并向VPLMN AMF控制器(300b)发送第二消息以拒绝NAS过程(如操作S804所示)。在一个示例中，UDM控制器(100)请求VPLMN AMF控制器(300b)在第二NAS消息中发送原因(PLMN不被允许的原因)。在一个示例中，UDM控制器(100)发送不包括VPLMN的SoR。

在操作S805，UE(200)从VPLMN AMF控制器(300b)接收注册拒绝消息。当在NAS消息中接收到原因时，UE(200)将VPLMN置于禁止PLMN列表中。

以下定义可应用于上述实施例的全部或部分：

EPC：演进型分组核心。其由MME、服务网关(S-GW)、分组网关(P-GW)和其他网络节点组成。

5GC：5G核心网由AMF、SMF、UPF和其它核心网节点组成。

5G NAS安全上下文：具有关联密钥集标识符、UE安全能力以及上行链路和下行链路NAS COUNT值的密钥KAMF。密钥KAMF还包括5G NAS加密和NAS。5G NAS安全上下文是本地5G NAS安全上下文(该5G NAS安全上下文是作为AMF控制器(300)和UE(200)之间的初级认证和密钥协商过程的结果而创建的)，或者被映射的5GNAS安全上下文(该5G NAS安全上下文是在从S1模式到N1模式的系统间改变期间或者在从Iu模式到N1模式的系统间改变期间创建的)。

清除文本IE：初始NAS消息中可以在不受机密性保护的情况下发送的信息要素。

非明文IE：不是明文IE的信息要素。

当初始NAS消息是REGISTRATION REQUEST消息时，明文IE是：

扩展协议鉴别器；

安全报头类型；

备用半个八字节；

注册请求消息标识；

5GS注册类型；

ngKSI；

5GS移动标识；

UE安全性能力；

额外的GUTI；

UE状态；以及

EPS NAS消息容器。

当初始NAS消息是SERVICE REQUEST消息时，明文IE是：

扩展协议鉴别器；

安全报头类型；

备用半个八字节；

ngKSI；

业务请求消息标识；

服务类型；以及

5G-S-TMSI。

5G NAS加密算法是NEA0、128-NEA1、128-NEA2。在上述所有情况下，第一PLMN和第二PLMN是非等效PLMN，即不等效的PLMN。在一个示例中，第一PLMN和第二PLMN属于同一个国家或不同的国家。

在整个说明书中使用的数个术语的定义可以在下文中提供并适用于本文所述的实施例。就本文件而言，适用TR 21.905[1]和以下给出的术语和定义。如果在TR 21.905[1]中存在对相同术语的定义，则优先使用本文件中所定义的术语。

5G LAN组：使用针对5G LAN类型服务的专用通信的一组UE。

5G接入网：包括NG-RAN和/或连接到5G核心网的非3GPP的接入网。

5G核心网：本文件中规定的核心网。其连接到5G接入网。

5G LAN类型服务：通过5G系统提供使用IP的专用通信和/或非IP类型通信。

5G LAN虚拟网：基于5G系统的能够支持5G LAN类型服务的虚拟网络。

5G系统：由5G接入网(AN)、5G核心网和UE组成的3GPP系统。

允许的NSSAI：在例如注册过程期间由服务PLMN提供的NSSAI，指示UE可以在当前注册区域的服务PLMN中使用的S-NSSAI值。

经配置的NSSAI：UE中提供的适用于一个或多个PLMN的NSSAI。

启用SNPN的UE：被配置成使用独立非公共网络的UE。

SNPN接入模式：在SNPN接入模式下操作的UE仅选择Uu上的独立非公共网络。

独立非公共网络：不依赖于由PLMN提供的网络功能的非公共网络。

订阅S-NSSAI：基于订户信息的S-NSSAI，UE被订阅为在PLMN中使用。

仅CAG的UE：由网络指示由CAG小区接入5GS的UE。

CAG小区：CAG小区应广播信息使得仅支持CAG的UE接入该小区。

非CAG小区：公共PLMN的小区。UE可以接入公共PLMN服务的普通小区。

允许的CAG列表：UE的允许CAG列表是允许UE接入的CAG识别符的列表。

虽然已经参考其各种实施例示出和描述了本公开，但是本领域技术人员将理解，在不脱离由所附权利要求及其等同物限定的本公开的精神和范围的情况下，可以在形式和细节上做出各种改变。

Claims (9)

1.一种用于管理无线通信网络中的封闭式接入组CAG相关过程的方法，所述方法包括：

由属于归属公共陆地移动网络HPLMN的统一数据管理UDM实体识别需要更新用户设备UE中的CAG信息；

由所述UDM实体识别所述UE的服务公共陆地移动网络PLMN是否是所述HPLMN和访客公共陆地移动网络VPLMN中的一者；以及

由所述UDM实体向接入和移动性管理功能AMF实体发送以下一者：

在所述服务PLMN是所述HPLMN的情况下，发送包括与多个PLMN相关联的完整CAG订阅信息的新CAG信息列表，或

在所述服务PLMN是所述VPLMN的情况下，仅发送包括与服务VPLMN相关联的CAG订阅信息的新CAG信息列表。

2.根据权利要求1所述的方法，还包括：

由所述AMF实体从所述UDM实体接收所述新CAG信息列表；以及

由所述AMF实体在第一非接入层NAS消息中向所述UE发送所述新CAG信息列表。

3.根据权利要求1所述的方法，其中，所述第一NAS消息包括可信PLMN列表。

4.根据权利要求3所述的方法，其中，所述可信PLMN列表包括至少一个条目，所述至少一个条目包括可信PLMN的移动国家代码MCC和移动网络代码MNC。

5.一种用于管理无线通信网络中的封闭式接入组CAG相关过程的方法，所述方法包括：

由UE从接入和移动性管理功能AMF实体接收第一非接入层NAS消息中的新CAG信息列表；

由所述UE识别服务公共陆地移动网络(PLMN)是否是归属公共陆地移动网络HPLMN和访客公共陆地移动网络VPLMN中的一者；以及

在所述服务PLMN是所述HPLMN的情况下，将存储在所述UE中的现有CAG信息列表替换为所接收到的新CAG信息列表，以及

在所述服务PLMN是所述VPLMN的情况下，将存储在所述UE中的所述现有CAG信息列表中的与服务VPLMN相关联的CAG信息替换为所接收到的新CAG信息列表中的与所述服务VPLMN相关联的CAG信息，并丢弃所接收到的新CAG信息列表中的与所述服务PLMN不相关的CAG信息。

6.根据权利要求5所述的方法，其中，所述第一NAS消息包括可信PLMN列表。

7.根据权利要求6所述的方法，其中，所述可信PLMN列表包括至少一个条目，所述至少一个条目包括可信PLMN的移动国家代码MCC和移动网络代码MNC。

8.一种用于管理无线通信网络中的封闭式接入组CAG相关过程的统一数据管理UDM实体，所述UDM实体包括：

通信器；

存储器；以及

控制器，联接到所述通信器和所述存储器，并被配置成：

识别需要更新用户设备UE中的CAG信息，

识别所述UE的服务公共陆地移动网络PLMN是否是归属公共陆地移动网络HPLMN和访客公共陆地移动网络VPLMN中的一者；

向接入和移动性管理功能AMF实体发送以下一者：

在所述服务PLMN是所述HPLMN的情况下，发送包括与多个PLMN相关联的完整CAG订阅信息的新CAG信息列表，或

在所述服务PLMN是所述VPLMN的情况下，仅发送包括与服务VPLMN相关联的CAG订阅信息的新CAG信息列表。

9.一种用于管理无线通信网络中的CAG相关过程的用户设备UE，所述UE包括：

通信器；

存储器；以及

控制器，联接到所述通信器和所述存储器，并被配置成：

从接入和移动性管理功能AMF实体接收第一非接入层NAS消息中的新CAG信息列表，

识别服务公共陆地移动网络PLMN是否是归属公共陆地移动网络HPLMN和访客公共陆地移动网络VPLMN中的一者，

在所述服务PLMN是所述HPLMN的情况下，将存储在所述UE中的现有CAG信息列表替换为所接收到的新CAG信息列表，以及

在所述服务PLMN是所述VPLMN的情况下，将存储在所述UE中的所述现有CAG信息列表中的与服务VPLMN相关联的CAG信息替换为所接收到的新CAG信息列表中的与所述服务VPLMN相关联的CAG信息，并丢弃所接收到的新CAG信息列表中的与所述服务PLMN不相关的CAG信息。

Images