CN115699677A - 用于确定认证类型的方法和装置 - Google Patents
用于确定认证类型的方法和装置 Download PDFInfo
- Publication number
- CN115699677A CN115699677A CN202080101565.2A CN202080101565A CN115699677A CN 115699677 A CN115699677 A CN 115699677A CN 202080101565 A CN202080101565 A CN 202080101565A CN 115699677 A CN115699677 A CN 115699677A
- Authority
- CN
- China
- Prior art keywords
- authentication
- remote unit
- message
- authentication method
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/02—Data link layer protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于在5G网络中选择认证类型的装置、方法和系统。一种装置600包括处理器605和网络接口640,该网络接口接收805请求向移动通信网络注册远程单元的第一消息,其中,该远程单元被连接到非3GPP接入网络并且远程单元不支持NAS协议。处理器650确定810用于远程单元的认证请求类型,其中,该认证请求类型不是基于NAS协议。处理器605代表远程单元创建815NAS注册消息并向移动通信网络中的接入管理功能发送820第二消息,其中,该第二消息包含NAS注册消息和所确定的认证请求类型。
Description
技术领域
本文中公开的主题通常涉及确定用于在非3GPP接入网络中操作的远程单元的认证类型。
背景技术
在此定义以下缩写和首字母缩写,在以下描述内引用其中的至少一些。
第三代合作伙伴计划(“3GPP”)、第五代核心网络(“5GC”)、接入和移动性管理功能(“AMF”)、接入点名称(“APN”)、接入层(“AS”)、接入网络信息(“ANI”)、应用编程接口(“API”)、认证服务器功能(“AUSF”)、数据网络名称(“DNN”)、下行链路(“DL”)、增强型移动宽带(“eMBB”)、演进节点B(“eNB”)、演进分组核心(“EPC”)、演进UMTS陆地无线电接入网络(“E-UTRAN”)、归属订户服务器(“HSS”)、国际移动订户标识(“IMSI”)、IP多媒体子系统(“IMS”,又称“IP多媒体核心网络子系统”)、因特网协议(“IP”)、长期演进(“LTE”)、高级LTE(“LTE-A”)、介质接入控制(“MAC”)、移动国家代码(“MCC”)、移动网络代码(“MNC”)、移动网络运营商(“MNO”)、移动性管理实体(“MME”)、非接入层(“NAS”)、窄带(“NB”)、网络功能(“NF”)、网络接入标识符(“NAI”)、下一代(例如,5G)节点B(“gNB”)、下一代应用协议(“NGAP”)、下一代无线电接入网络(“NG-RAN”)、新无线电(“NR”)、WLAN中无5G能力(“N5CW”)、策略控制功能(“PCF”)、分组数据网络(“PDN”)、分组数据单元(“PDU”)、PDN网关(“PGW”)、公共陆地移动网络(“PLMN”)、服务质量(“QoS”)、无线电接入网络(“RAN”)、无线电接入技术(“RAT”)、无线电资源控制(“RRC”)、接收(“Rx”)、安全模式控制(“SMC”)、单网络切片选择辅助信息(“S-NSSAI”)、服务网关(“SGW”)、会话管理功能(“SMF”)、订阅隐藏标识符(“SUCI”)、订阅永久标识符(“SUPI”)、传输控制协议(“TCP”)、发射(“Tx”)、可信非3GPP接入网络(“TNAN”)、可信非3GPP接入点(“TNAP”)、可信非3GPP网关功能(“TNGF”)、统一数据管理(“UDM”)、用户实体/设备(移动终端)(“UE”)、上行链路(“UL”)、用户平面(“UP”)、通用移动电信系统(“UMTS”)、用户数据报协议(“UDP”)、用户位置信息(“ULI”)、无线局域网(“WLAN”)、以及全球微波接入互操作性(“WiMAX”)。
在某些实施例中,UE可以经由可信非3GPP接入网络(“TNAN”)中的网关功能接入5G核心(“5GC”)网络。然而,特定类型的UE不能够支持通过非3GPP接入的5G NAS协议。
发明内容
用于在5G网络中选择认证类型的第一网络功能(例如,AMF)的一种方法包括从远程单元(即,UE)接收注册请求消息并且接收订阅检索信息。这里,该注册请求消息包含UE的外部订户标识符并且订阅检索信息与UE标识符不同。该方法包括使用订阅检索信息向移动通信网络中的网络功能发射用于订阅数据检索的第一请求,并且从包含UE订阅数据的网络功能接收响应消息。这里,订阅检索信息指示订阅数据被存储在移动通信网络外部的订阅所有者中。
用于在5G网络中选择认证类型的第二网络功能(例如,TWIF)的一种方法包括从远程单元(即,UE)接收注册请求消息并且接收订阅检索信息。这里,注册请求消息包含UE的外部订户标识符并且订阅检索信息与UE标识符不同。该方法包括使用订阅检索信息向移动通信网络中的网络功能发射用于订阅数据检索的第一请求,并且从包含UE订阅数据的网络功能接收响应消息。这里,订阅检索信息指示订阅数据被存储在移动通信网络外部的订阅所有者中。
用于在5G网络中选择认证类型的第三网络功能(例如,UDM)的一种方法包括从移动通信网络中的AUSF接收要为远程单元提供认证数据的第一请求,其中,该请求指示认证请求类型。第三方法包括使用远程单元的订阅数据和认证请求类型选择第一认证方法并且通过发送认证向量来响应第一请求,其中,该响应还指示第一认证方法。
附图说明
将通过参考附图中图示的特定实施例来呈现上文简要描述的实施例的更特定描述。应理解,这些附图仅描绘了一些实施例,并且因此不应被认为是对范围的限制,将通过使用附图利用附加的特异性和细节来描述和解释实施例,在附图中:
图1是图示用于在5G网络中选择认证类型的无线通信系统的一个实施例的图;
图2A是图示使得不支持通过非3GPP接入的5G NAS的UE能够使用选择的认证类型通过可信非3GPP接入网络注册到5G网络的过程的一个实施例的信号流程图;
图2B是图2A中描绘的过程的继续;
图2C是图2B中描绘的过程的继续;
图2D是图2C中描绘的过程的继续;
图3是图示支持在5G网络中选择认证类型的用户设备装置的一个实施例的框图;
图4是图示支持在5G网络中选择认证类型的网络设备装置的一个实施例的框图;
图5是图示用于在5G网络中选择认证类型的第一方法的一个实施例的流程图;
图6是图示用于在5G网络中选择认证类型的第二方法的一个实施例的流程图;以及
图7是图示用于在5G网络中选择认证类型的第三方法的一个实施例的流程图。
具体实施方式
如本领域的技术人员将理解的,实施例的各方面可以被体现为系统、装置、方法或程序产品。因此,实施例可以采用完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或者组合软件和硬件方面的实施例的形式。
例如,所公开的实施例可以被实现为包括定制的超大规模集成电路(“VLSI”)电路或门阵列、诸如逻辑芯片、晶体管或其他分立组件的现成半导体的硬件电路。所公开的实施例还可以被实现在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等的可编程硬件设备中。作为另一示例,所公开的实施例可以包括可执行代码的一个或多个物理或逻辑框,其例如可以被组织为对象、过程或函数。
此外,实施例可以采用体现在存储在下文中被称为代码的机器可读代码、计算机可读代码和/或程序代码的一个或多个计算机可读存储设备中的程序产品的形式。存储设备可以是有形的、非暂时的和/或非传输的。存储设备可以不体现信号。在某个实施例中,存储设备仅采用用于接入代码的信号。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是,例如,但不限于电子、磁、光、电磁、红外、全息、微机械或半导体系统、装置或设备、或前述的任何适当的组合。
存储设备的更具体示例(非详尽列表)将包括以下各项:具有一条或多条线的电气连接、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式光盘只读存储器(“CD-ROM”)、光学存储设备、磁存储设备或前述任何适当的组合。在本文档的场境中,计算机可读存储介质可以是能够包含或存储程序以供指令执行系统、装置或设备使用或与其结合使用的任何有形介质。
本说明书中对“一个实施例”、“实施例”或类似语言的引用意指结合该实施例描述的特定特征、结构或特性被包括在至少一个实施例中。因此,除非另有明确指定,否则在整个说明书中,短语“在一个实施例中”、“在实施例中”和类似语言的出现可以但不必然全部是指相同的实施例,而是意指“一个或多个但不是所有实施例”。除非另有明确指定,否则术语“包括”、“包含”、“具有”及其变体意指“包括但不限于”。除非另有明确指定,否则列举的项的列表并不暗示任何或所有项是互斥的。除非另有明确指定,否则术语“一”、“一个”和“该”也指“一个或多个”。
如本文中所使用的,具有“和/或”的连接的列表包括列表中的任何单个项目或列表中的项目的组合。例如,A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“中的一个或多个”的列表包括列表中的任何单个项目或列表中的项目的组合。例如,A、B和C中的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“中的一个”的列表包括该列表中的任何单个项目中的一个且仅一个。例如,“A、B和C中的一个”包括仅A、仅B或仅C并且排除A、B和C的组合。如本文中所使用的,“选自由A、B和C组成的组的成员”包括A、B或C中的一个且仅一个并且排除A、B和C的组合。如本文中所使用的,“选自由A、B和C及其组合组成的组的成员”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
此外,所描述的实施例的特征、结构或特性可以以任何适当的方式组合。在以下描述中,提供许多具体细节,诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例,以提供对实施例的透彻理解。然而,相关领域的技术人员将认识到,实施例可以在没有一个或多个具体细节的情况下,或者利用其他方法、组件、材料等被实践。在其他情况下,未详细示出或描述公知的结构、材料或操作以避免使实施例的各方面模糊。
下面参考根据实施例的方法、装置、系统和程序产品的示意性流程图和/或示意性框图来描述实施例的各方面。将理解,示意性流程图和/或示意性框图的每个框以及示意性流程图和/或示意性框图中的框的组合能够通过代码实现。该代码能够被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在示意性流程图和/或示意性框图中指定的功能/动作的手段。
代码还可以被存储在存储设备中,该存储设备能够指示计算机、其他可编程数据处理装置或其他设备以特定方式运行,使得存储在存储设备中的指令产生包括指令的制品,该指令实现在示意性流程图和/或示意性框图中指定的功能/动作。
代码还可以被加载到计算机、其他可编程数据处理装置或其他设备上,以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤,以产生计算机实现的过程,使得在计算机或其他可编程装置上执行的代码提供用于实现在示意性流程图和/或示意性框图中指定的功能/动作的过程。
附图中的示意性流程图和/或示意性框图示根据各个实施例的装置、系统、方法和程序产品的可能实现的架构、功能性和操作。在这方面,示意性流程图和/或示意性框图中的每个框可以表示代码的模块、片段或部分,其包括用于实现指定的逻辑功能的代码的一个或多个可执行指令。
还应注意,在一些替代实施方式中,框中注释的功能可以不按附图中注释的次序发生。例如,相继示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的次序执行,这取决于所涉及的功能性。可以设想到在功能、逻辑或效果上等同于所图示的附图的一个或多个框或其部分的其他步骤和方法。
每个附图中的元件的描述可以参考前面的附图的元件。在所有附图中,相同的附图标记指代相同的元件,包括相同元件的替代实施例。
公开了用于在5G网络中选择认证类型的方法、装置和系统。UE可以经由可信非3GPP接入网络(“TNAN”)中的可信非3GPP网关功能(“TNGF”)接入5G核心(“5GC”)网络。目前的3GPP规范要求能够接入5G PLMN的每个UE必须支持两种认证方法:EAP-AKA'和5G-AKA。
当UE尝试接入5G PLMN时,在主认证过程期间,归属PLMN中的UDM基于UE订户永久标识(SUPI)为该UE选择认证方法(EAP-AKA'或5G-AKA)。然而,仅基于SUPI选择认证方法对于特殊UE类型不可行,即,对于(a)在使用3GPP接入时作为正常5G UE操作和(b)在使用WLAN接入时作为无5G能力设备操作的UE不可行。
这种特殊UE类型可以经由3GPP接入网络(例如,NG-RAN或E-UTRAN)或者经由非3GPP接入网络(例如,WLAN)向5G核心(5GC)网络注册,但是其应用不同的能力。通过3GPP接入网络,这种类型的UE应用5G NAS协议,并且其通过发送NAS注册请求消息来请求5G注册。通过非3GPP接入网络,这种特殊类型的UE不支持5G NAS协议,并且其通过发起具有特殊NAI的EAP认证过程来请求5G注册。应注意,NAI可以具有格式<username@realm>,其中,特殊NAI可以在NAI的username部分和/或realm部分中包括指示符。在这种情况下,NAS注册请求由代表UE的可信WLAN互通功能(“TWIF”)创建。
对于上述特殊UE类型,显然,当它尝试通过非3GPP接入注册时,UDM应不选择5G-AKA认证方法,因为这种认证方法是基于5G NAS协议,但是UE不支持5G NAS协议。因此,应增强5G主认证过程,使得UDM在这种情况下能够选择EAP-AKA'认证方法。仅基于UE的SUPI(如当前指定的)选择认证方法可能导致为UE选择不支持的认证方法(即,5G-AKA),这将导致通过非3GPP接入的注册失败。
这种特殊类型的UE也被称为WLAN中无5G能力(“N5CW”)设备,以便清楚在其经由WLAN接入网络与5GC通信时其无5G能力(即,不能使用5G NAS协议)。然而,应注意,当N5CW设备经由3GPP接入网络与5GC通信时,该设备可以有5G能力。因此,同一设备能够具有两种“个性”:当其经由3GPP接入网络与5GC通信时,该设备能够是常规5G UE,并且当其经由非3GPP接入网络与5GC通信时,该设备能够是N5CW设备。每种“个性”与通过3GPP接入和非3GPP接入的不同认证能力相关联,这是上文呈现的问题的来源。
图1描绘根据本公开的实施例的用于在5G网络中选择认证类型的无线通信系统100。在一个实施例中,无线通信系统100包括PLMN中的至少一个远程单元105、至少一个可信非3GPP接入网络(“TNAN”)120、以及移动核心网络140。TNAN 120可以由至少一个基站单元121组成。远程单元105可以根据由TNAN 120部署的无线电接入技术使用非3GPP通信链路113与TNAN 120通信。尽管图1中描绘了特定数量的远程单元105、基站单元121、TNAN 120和移动核心网络140,但是本领域技术人员将认识到任何数量的远程单元105、基站单元121、TNAN 120、以及移动核心网络140可以被包括在无线通信系统100中。
在一个实施方式中,无线通信系统100符合3GPP规范中指定的5G系统。然而,更一般地,无线通信系统100可以实现一些其它开放或专有通信网络,例如LTE/EPC(称为“4G”)或WiMAX以及其它网络。本公开不旨在限于任何特定无线通信系统架构或协议的实施方式。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏控制台、安全系统(包括安全相机)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以被称为UE、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、设备、或本领域中使用的其他术语。
远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号与TNAN 120中的基站单元121中的一个或多个直接通信。此外,UL和DL通信信号可以被承载在通信链路113上。注意,TNAN120是向远程单元105提供对移动核心网络140的接入的中间网络。
基站单元121可以经由通信链路113服务例如小区或小区扇区的服务区域内的多个远程单元105。基站单元121可以经由通信信号与一个或多个远程单元105直接通信。通常,基站单元121发射DL通信信号以在时域、频域和/或空间域中服务远程单元105。此外,DL通信信号可以被承载在通信链路113上。通信链路113可以是授权或非授权无线电频谱中的任何合适的载波。通信链路113有助于一个或多个远程单元105和/或一个或多个基站单元121之间的通信。
如上所述,TNAN 120支持安全信令接口和与5G核心网络的互通。TNAN包括至少一个TNGF;在所描绘的实施例中,TNAN 120包括第一TNGF(“TNGF-1”)125和第二TNGF(“TNGF-2”)127。在某些实施例中,TNAN 120支持TNAN 120中的TGNF之间的Tn接口。
基站单元121可以分布在地理区域上。在某些实施例中,基站单元121也可以称为可信非3GPP接入点(“TNAP”)、接入终端、接入点、基地、基站、中继节点、设备或本领域中使用的任何其他术语。基站单元121通常是诸如TNAN 120的无线电接入网络(“RAN”)的一部分,其可以包括可通信地耦合到一个或多个对应的基站单元121的一个或多个控制器。无线电接入网络的这些和其他元件未被图示,但本领域的普通技术人员通常熟知。基站单元121经由TNAN 120连接到移动核心网络140。
在一些实施例中,远程单元105经由与移动核心网络140的网络连接与应用服务器(或其他通信对等体)通信。例如,远程单元105中的应用(例如,web浏览器、媒体客户端、电话/VoIP应用)可以触发远程单元105以使用TNAN 120与移动核心网络140建立PDU会话(或其他数据连接)。为了建立PDU会话,远程单元105必须向移动核心网络注册。
在一个实施例中,移动核心网络140是5G核心(“5GC”)或演进分组核心(“EPC”),其可以被耦合到数据网络(诸如互联网和专用数据网络,以及其他数据网络)。远程单元105可以具有关于移动核心网络140的订阅或其他账户。本公开不旨在限于任何特定无线通信系统架构或协议的实施方式。
移动核心网络140包括若干网络功能(“NF”)。如所描绘的,移动核心网络140包括至少一个用户平面功能(“UPF”)141。移动核心网络140还包括多个控制平面功能,包括但不限于接入和移动性管理功能(“AMF”)143、会话管理功能(“SMF”)145、认证服务器功能(“AUSF”)146、策略控制功能(“PCF”)147、和统一数据管理功能(“UDM”)149。在某些实施例中,移动核心网络140还可以包括网络存储库功能(“NRF”)(由各种NF用于通过API发现和相互通信)、或为5G核心网定义的其他NF。
远程单元105可以请求通过3GPP接入120(例如,NG-RAN或E-UTRAN),或者通过非3GPP接入130(例如,WLAN)注册到移动核心网络140(例如,5GC)。互通功能135代表通过非3GPP接入网络130不支持5G-NAS协议的远程单元105创建NAS注册请求,例如,如在TS23.502、条款4.12b中所规定的。在各种实施方式中,互通功能135是可信WLAN互通功能(“TWIF”)的实施例。
UDM149是统一数据管理功能,其在每次远程单元105必须被认证时(例如,在注册过程期间)选择认证方法并创建适用的认证数据。AUSF 146是认证服务器功能,其从UDM149接收所选择的认证方法和认证数据并对远程单元105认证。
在各种实施例中,移动核心网络140支持不同类型的移动数据连接和不同类型的网络切片,其中每个移动数据连接利用特定的网络切片。每个网络切片包括CP和UP网络功能的集合,其中每个网络切片针对特定类型的服务或业务类别被优化。为了便于图示,在图1中未示出不同的网络切片,但是假设它们的支持。在一个示例中,每个网络切片实例包括SMF 145和UPF 141的实例,但是各种网络切片共享AMF 143、PCF 147和UDM/UDR 149。在另一示例中,每个网络切片实例包括AMF 143、SMF 145和UPF141的实例。尽管在图1中描绘了特定数量和类型的网络功能,但是本领域技术人员将认识到在移动核心网络140中可以包括任何数量和类型的网络功能。
如上所讨论的,对于不支持通过非3GPP接入网络130的5G-NAS协议的远程单元105,仅基于UE的SUPI(如当前指定的)选择认证方法可能导致为(即,5G-AKA)选择不支持的认证方法,这将会导致通过非3GPP接入的注册失败。因此,互通功能135和/或移动核心网络140的行为被修改为不选择不支持的认证方法,如下面更详细地描述的。
图2A至2D图示了当不支持通过非3GPP接入130的5G NAS的UE请求经由WLAN接入网络(例如,可信非3GPP接入网络210)注册到5GC(在5G PLMN 215中)时应用的信令流。这种类型的UE还被称为WLAN中无5G能力(“N5CW”)设备205,以便清楚在其经由WLAN接入网络与5GC通信时其无5G能力(即,不能使用5G NAS协议)。然而,应注意,当N5CW设备经由3GPP接入网络120与5GC通信时,该设备可以有5G能力。因此,同一设备能够具有两种“个性”:当其经由3GPP接入网络120与5GC通信时,其能够是常规5G UE,并且当其经由非3GPP接入网络130与5GC通信时,其能够是N5CW设备。每种“个性”与通过3GPP接入和非3GPP接入的不同认证能力相关联,这是上文呈现的问题的来源。
过程200涉及N5CW设备205(即,远程单元105的一个实施例)、TNAN 210(即,非3GPP接入网络130的一个实施例)、TWIF 215(即,互通功能135的一个实施例)和5G PFMN 215中的5GC NF,特别是AMF 217(即,AMF 143的一个实施例)、AUSF 218(即,AUSF 146的一个实施例)以及UDM 219(即,UDM/UDR 149的一个实施例)。
过程200修改了TS 23.502vl6.4.0、条款4.12b.2中指定的过程,具有一些新颖的增强,其目的是在N5CW设备205试图经由非3GPP接入(即,TNAN 210)向5GC(在5G PFMN 215中)注册时帮助UDM209选择正确的认证方法(即,EAP-AKA')。还应注意,如果没有这些增强,UDM 219将仅基于N5CW设备205的SUPI选择认证方法并且因此可能选择不被N5CW设备205支持的5G-AKA。在最典型的情况下,可信非3GPP接入网络210是符合IEEE 802.11规范的WLAN接入网络。
过程200开始于图2A,在步骤1中,N5CW设备205发现WLAN接入网络(即,TNAN 210),其通告其支持对不支持5G NAS协议的设备的一个或多个PFMN的5G连接。这种WLAN接入网络被称为“可信”WLAN接入网络,因为其支持与这些PLMN中的每一个的N2/N3连接性。
N5CW设备205决定经由所发现的TNAN 210连接到这些PLMN之一(即,连接到5GPLMN 215)并与所发现的TNAN 210中的可信非3GPP接入点(“TNAP”)211建立层-2(L2)连接(参见消息传递221)。在IEEE 802.11WLAN的情况下,该L2连接对应于IEEE 802.11关联。
在步骤2处,发起EAP过程。EAP分组在N5CW设备205和TNAN210之间被封装成L2分组,例如,封装成IEEE 802.11/802.lx分组。TNAP 211请求N5CW设备205的标识(参见消息传递223),并且N5CW设备205利用包含NAI的L2分组来响应。由N5CW设备205提供的NAI(即,NAI=“6<SUCI>@nai.5gc-nn.mnc<MNC>.mcc<MCC>.3gppnetwork.org”)指示其向特定PLMN请求“没有NAS的5G连接性”。应注意,前缀“6”是指示N5CW设备的能力的特殊数字,如下文进一步详述的。MNC、MCC是特定5G PLMN 215的标识,“5gc-nn”标签指示没有NAS的5G连接性。SUCI是订阅隐藏标识符,其标识5G PLMN210中的订阅并启用标识隐私,即不向中介功能公开真实的订阅标识。在各种实施例中,SUCI是基于N5CW设备205的永久订阅标识,诸如SUPI和/或IMSI。
由N5CW设备205提供的NAI触发TNAP 211以选择向所指示的5G PLMN 215提供5G连接性的TWIF 213并且向所选择的TWIF 213发送AAA请求(参见消息传递227)。在TNAP 211与所选择的TWIF213之间,每个EAP分组被封装成AAA消息。
在步骤3处,当在步骤2c中接收到AAA请求后,TWIF 213代表N5CW设备205创建NAS注册请求消息(参见框229)并且在所指示的PLMN中选择AMF 217以通过N2接口转发NAS注册请求(参见框231)。在一些实施例中,TWIF 213导出用于NAS注册请求的认证请求类型,如选项A(框233)中图示的。在其它实施例中,AMF 217导出认证请求类型,如选项B(框239)中图示的。
在步骤A1(选项A的一部分)处,TWIF 213基于接收到的NAI导出认证请求类型(参见框235)。认证请求类型指示用于该N5CW设备205的所请求的认证方法,例如,其被设定为EAP-AKA',因为已知N5CW设备205不能支持5G-AKA。在某些实施例中,TWIF 213可以始终将认证请求类型设定为EAP-AKA'。可替选地,TWIF 213可以利用NAI中<SUCH>前面的数字来确定由N5CW设备205偏好的认证方法。该数字对于EAP-AKA'被设定为“6”,对于EAP-AKA被设定为“0”,对于EAP-SIM被设定为“1”等。然而,在其它网络实施方式中,可以使用不同的前缀来指示不同的候选认证方法。
在步骤A2(也是选项A的一部分)处,TWIF 213将所创建的NAS注册请求消息转发到所选择的AMF 217(参见消息传递237)。这里,在N2消息内发送所创建的NAS注册请求消息,N2消息还包含认证请求类型参数(即,认证请求类型=EAP-AKA')。
继续参考图2B,在步骤B1(选项B的一部分)处,可替选地,代替步骤A1至A2,TWIF213不导出认证请求类型,而是在不包含认证请求类型的N2消息内将所创建的NAS注册请求消息转发到所选择的AMF 217(参见消息传递241)。
在步骤B2(也是选项B的一部分)处,在该替选方案中,AMF 217生成认证请求类型并且例如将其始终设定为EAP-AKA'(参见框243)。应注意,因为AMF 217不知道由N5CW设备205提供的NAI,所以它不能利用<SUCI>前面的数字来确定由N5CW设备205偏好的认证方法。然而,当PLMN仅支持5G-AKA和EAP-AKA'认证方法时,这不是问题。
重要的是,应注意,AMF 217仅在其接收到来自TWIF 213的NAS注册请求消息时生成认证请求类型。当AMF 217从另一无线电接入功能(例如,gNB、N3IWF、TNGF、W-AGF)接收到NAS注册请求消息时,AMF 217不导出认证请求类型。
在步骤4a处,AMF 217决定对请求注册的设备进行认证,并向AUSF 218发送Nausf_UEAuthentication_Authenticate请求消息(参见消息传递245)。然而,该消息还包含在步骤A2中从TWIF 213接收到的或在步骤B2中由AMF 217导出的认证请求类型。
在步骤4b处,在AUSF 218利用N5CW设备205发起认证过程之前,其从UDM 219请求选择认证方法并提供认证数据(也称为认证向量)(参见消息传递247)。如所描绘的,在Nudm_UEAuthentication_Get请求消息中,AUSF 218还包括由AMF 217根据选项A接收到的或由AMF 217根据选项B导出的认证请求类型。
在步骤5处,UDM 219使用接收到的认证请求类型选择认证方法(参见框249)。UDM219可以使用与接收到的订户标识(即,SUCI)相对应的订阅数据来确定接收到的认证请求类型中的认证方法是否被订阅数据允许。在所描绘的实施例中,假定请求的EAP-AKA'方法对于N5CW设备205是允许的。
在步骤6处,如果接收到的认证请求类型中的认证方法被订阅数据允许,则UDM219选择该认证方法并向AUSF 218提供(a)选择的认证方法(在认证类型元素中)和(b)该认证方法的所请求的认证向量(参见消息传递251)。继而,AUSF 218根据选择的认证方法发起EAP认证过程,例如,如果EAP-AKA'被选择,则AUSF 218创建EAP/AKA挑战分组。AUSF 218向AMF 217发送包括EAP有效载荷中的所创建的EAP分组的响应(参见消息传递253)。
继续参考图2C,在步骤7处,由AUSF 218创建的EAP分组经由AMF 217、TWIF 213和TNAP 211转发到N5CW设备205(参见消息传递255)。
在步骤8处,N5CW设备205发送响应EAP分组,响应EAP分组经由TNAP 211、TWIF 213和AMF 217转发到AUSF 218(参见消息传递257)。更多的EAP分组可以如步骤7和8中那样在UE与AUSF218之间交换。
在步骤9处,在成功地完成认证之后,AUSF 218向AMF 217发送包括EAP-成功分组(再次作为EAP有效载荷)、KSEAF密钥和N5CW设备205的未隐藏订户标识(即,SUPI)的消息(参见消息传递259)。
在步骤10a处,另外,AUSF 218通过发送Nudm_UEAuthentication_ResultConfirmation请求消息向UDM 219指示成功地完成认证(参见消息传递261)。在步骤10b处,UDM 219利用Nudm_UEAuthentication_ResultConfirmation响应消息来响应(参见消息传递263)。
在步骤11处,AMF 217从接收到的KSEAF密钥创建TWIF密钥(参见框265)。
在步骤12a处,AMF 217发起正常安全模式控制(SMC)过程(参见消息传递267)。在步骤12b处,TWIF 213代表N5CW设备205进行响应(参见消息传递269)。该SMC过程在TWIF213与AMF 217之间执行,因为N5CW设备205不支持5G NAS。
在步骤13处,AMF 217向TWIF 213发送N2初始UE上下文设置请求消息,以便创建与N5CW设备205的安全通信信道(参见消息传递271)。该消息包含TWIF密钥并触发TWIF 213将EAP-成功消息发送到N5CW设备205并且将TNAP密钥发送到TNAP 211(参见消息传递273、275)。TNAP 211使用TNAP密钥来确保N5CW设备205与TNAP 211之间的空中接口通信安全。应注意,N5CW 205导出TNAP密钥的副本以用于确保空中接口安全。
在步骤14a处,在N5CW设备205与TNAP 211之间建立安全性(参见消息传递277)并且N5CW设备205成功地连接到WLAN。在步骤14b处,N5CW设备205接收包括IP地址的IP配置数据(例如,利用DHCP过程)(参见消息传递279)。在TNAP 211与TWIF 213之间建立层-2(L2)或层-3(L3)连接,其进一步用于将N5CW设备205的所有业务隧道传递到TWIF 213/从TWIF 213隧道传递(参见消息传递281)。
在步骤15a至15b处,TWIF 213利用N2初始UE上下文响应消息来响应AMF 217(参见消息传递283),其通过向TWIF 213发送NAS注册接受来触发AMF 217完成注册过程(参见消息传递285)。在该步骤之后,TWIF 213可以代表N5CW设备205请求PDU会话,例如,如TS23.502vl6.4.0、条款4.12b.2中所述,以便经由5G PLMN215中的5GC路由发送N5CW设备205的所有数据。
图3描绘了根据本公开的实施例的用户设备装置300的一个实施例。用户设备装置300可以是远程单元105和/或UE 205的一个实施例。此外,用户设备装置300可以包括处理器305、存储器310、输入设备315、输出设备320、收发器325。在一些实施例中,输入设备315和输出设备320被组合成单个设备,诸如触摸屏。在某些实施例中,用户设备装置300不包括任何输入设备315和/或输出设备320。
如所描绘的,收发器325包括至少一个发射器330和至少一个接收器335。这里,收发器325经由接入网络与移动核心网络(例如,3GC)通信。另外,收发器325可以支持至少一个网络接口340。这里,至少一个网络接口340有助于与TNGF的通信(例如,使用“NWt”接口)。此外,至少一个网络接口340可以包括用于与AMF、SMF和/或UPF通信的接口。
在一个实施例中,处理器305可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器305可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中,处理器305执行存储在存储器310中的指令以执行本文中所描述的方法和例程。处理器305通信地耦合到存储器310、输入设备315、输出设备320和收发器325。
在各种实施例中,处理器305控制用户设备装置300以实现上述UE行为。
在一个实施例中,存储器310是计算机可读存储介质。在一些实施例中,存储器310包括易失性计算机存储介质。例如,存储器310可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器310包括非易失性计算机存储介质。例如,存储器310可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器310包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器310存储与在5G网络中选择认证类型有关的数据,例如,存储认证参数、安全密钥、设备/实体标识符、IP地址等。在某些实施例中,存储器310还存储程序代码和相关数据,诸如在用户设备装置300上操作的操作系统(“OS”)或其他控制器算法以及一个或多个软件应用。
在一个实施例中,输入设备315可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、指示笔、麦克风等。在一些实施例中,输入设备315可以与输出设备320集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备315包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上的手写被输入。在一些实施例中,输入设备315包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备320可以包括任何已知的电子可控显示器或显示设备。输出设备320可以被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备320包括能够向用户输出视觉数据的电子显示器。例如,输出设备320可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备320可以包括可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等。此外,输出设备320可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备320包括用于产生声音的一个或多个扬声器。例如,输出设备320可以产生听觉警报或通知(例如,蜂鸣声或嘟嘟声)。在一些实施例中,输出设备320包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备320的全部或部分可以与输入设备315集成。例如,输入设备315和输出设备320可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备320的全部或部分可以位于输入设备315附近。
如在上面所讨论的,收发器325经由一个或多个接入网络与移动通信网络的一个或多个网络功能进行通信。收发器325在处理器305的控制下操作以发射消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器305可以在特定时间处选择性地激活收发器(或其部分)以便于发送和接收消息。
收发器325可以包括一个或多个发射器330和一个或多个接收器335。尽管仅图示了一个发射器330和一个接收器335,但是用户设备装置300可以具有任何合适数量的发射器330和接收器335。此外,发射器330和接收器335可以是任何合适类型的发射器330和接收器335。在一个实施例中,收发器325包括用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对。
在某些实施例中,用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对可以被组合成单个收发器单元,例如,执行用于与授权和未授权无线电频谱两者一起使用的功能的单个芯片。在一些实施例中,第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如,某些收发器325、发射器330和接收器335可以被实现为物理上分离的组件,这些组件接入共享的硬件资源和/或软件资源,诸如例如,网络接口340。
在各种实施例中,一个或多个发射器330和/或一个或多个接收器335可以被实现和/或集成到诸如多收发器芯片、片上系统、ASIC或其他类型的硬件组件的单个硬件组件中。在某些实施例中,一个或多个发射器330和/或一个或多个接收器335可以被实现和/或集成到多芯片模块中。在一些实施例中,诸如网络接口340的其他组件或其他硬件组件/电路可以与任意数量的发射器330和/或接收器335集成到单个芯片中。在这样的实施例中,发射器330和接收器335可以被逻辑地配置为使用一个多个公共控制信号的收发器325,或者被实现为在相同硬件芯片中或多芯片模块中实现的模块化发射器330和接收器335。
图4描绘了根据本公开的实施例的网络设备装置400的一个实施例。在一些实施例中,网络设备装置400可以是TNGF(即,TNGF1和/或TNGF2)的一个实施例。在其他实施例中,网络设备装置400可以是AMF的一个实施例。此外,网络设备装置400可以包括处理器405、存储器410、输入设备415、输出设备420、收发器425。在一些实施例中,输入设备415和输出设备420被组合成单个设备,诸如触摸屏。在某些实施例中,网络设备装置400不包括任何输入设备415和/或输出设备420。
如所描绘的,收发器425包括至少一个发射器430和至少一个接收器435。这里,收发器425与一个或多个远程单元105通信。另外,收发器425可以支持至少一个网络接口440,诸如图1中描绘的NWt、N2和N3接口。在一些实施例中,收发器425支持用于与RAN节点通信的第一接口、用于与移动核心网络(例如,4GC)中的一个或多个网络功能通信的第二接口以及用于与远程单元(例如,UE)通信的第三接口。
在一个实施例中,处理器405可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器405可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中,处理器405执行存储在存储器410中的指令以执行本文中所描述的方法和例程。处理器405通信地耦合到存储器410、输入设备415、输出设备420和第一收发器425。
在各种实施例中,处理器405控制网络设备装置400以实现上述AMF行为。在一些实施例中,经由网络接口440,处理器405接收网络接口440,该网络接口440接收来自非3GPP接入网(即,TWIF)中的互通功能的第一消息,其中,该第一消息代表不支持NAS协议的远程单元(即,N5CW设备)向移动通信网络请求5G注册。
处理器405为远程单元确定所请求的认证方法,其中,所请求的认证方法不是基于NAS协议并且经由移动通信网络中的AUSF将所请求的认证方法转发到数据管理功能(即,UDM)。这里,所请求的认证方法由数据管理功能应用以选择用于远程单元的认证方法,其中,所选择的认证方法不是基于NAS协议。处理器405响应于远程单元使用所选择的认证方法成功地完成认证而利用互通功能发起安全模式控制过程。
在一些实施例中,该第一消息是包含NAS注册请求消息和认证类型参数的NGAP消息,其中,确定所请求的认证方法包括为了认证类型参数而解析第一消息。在一些实施例中,确定所请求的认证方法包括每当接收到第一消息时选择预配置的认证方法类型(即,EAP-AKA')。在一些实施例中,请求消息包含所请求的认证方法,其中,认证请求消息指示远程单元应当使用基于所请求的认证方法的认证方法被认证。
在各种实施例中,处理器405控制网络设备装置400以实现上述TWIF行为。在一些实施例中,经由网络接口440,处理器405接收请求向移动通信网络注册远程单元的第一消息,其中,该远程单元被连接到非3GPP接入网络并且其中远程单元不支持NAS协议(即,远程单元是N5CW设备)。处理器405确定用于远程单元的认证请求类型,其中,该认证请求类型不是基于NAS协议。处理器405代表远程单元创建NAS注册消息并向移动通信网络中的接入管理功能发送第二消息,其中,该第二消息包含NAS注册消息和所确定的认证请求类型。
在一些实施例中,第一消息包括NAI,该NAI指示远程单元不支持NAS协议,其中,确定认证请求类型包括基于NAI选择认证请求类型。在某些实施例中,NAI的一部分指示由远程单元偏好的认证方法,其中,确定认证请求类型是基于由远程单元偏好的认证方法。在一些实施例中,该装置被配置有默认认证方法类型以每当接收到第一消息时使用。
在各种实施例中,处理器405控制网络设备装置400以实现上述UDM行为。在一些实施例中,经由网络接口440,处理器405从移动通信网络中的AUSF接收要为远程单元(即,N5CW设备)提供认证数据的第一请求,其中,该请求指示认证请求类型。处理器405使用远程单元的订阅数据和认证请求类型选择第一认证方法并且通过发送认证向量来响应第一请求,其中,该响应还指示第一认证方法。
在一些实施例中,选择第一认证方法包括确定认证请求类型是否被订阅数据允许。在一些实施例中,第一请求包括远程单元的SUCI,其中,该处理器405对SUCI进行解码以检索远程单元的订阅数据。
在一个实施例中,存储器410是计算机可读存储介质。在一些实施例中,存储器410包括易失性计算机存储介质。例如,存储器410可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器410包括非易失性计算机存储介质。例如,存储器410可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器410包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器410存储与选择5G网络中的认证类型有关的数据,例如存储安全密钥、IP地址、UE上下文等。在某些实施例中,存储器410还存储程序代码和相关数据,诸如在网络设备装置400上操作的操作系统(“OS”)或其他控制器算法以及一个或多个软件应用。
在一个实施例中,输入设备415可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、指示笔、麦克风等。在一些实施例中,输入设备415可以与输出设备420集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备415包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上的手写被输入。在一些实施例中,输入设备415包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备420可以包括任何已知的电子可控显示器或显示设备。输出设备420可以被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备420包括能够向用户输出视觉数据的电子显示器。例如,输出设备420可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备420可以包括可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等。此外,输出设备420可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备420包括用于产生声音的一个或多个扬声器。例如,输出设备420可以产生听觉警报或通知(例如,蜂鸣声或嘟嘟声)。在一些实施例中,输出设备420包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备420的全部或部分可以与输入设备415集成。例如,输入设备415和输出设备420可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备420的全部或部分可以位于输入设备415附近。
如在上面所讨论的,收发器425可以与一个或多个远程单元和/或与提供对一个或多个PLMN的接入的一个或多个互通功能通信。收发器425还可以与一个或多个网络功能(例如,在移动核心网络140中)通信。收发器425在处理器405的控制下操作以发射消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器405可以在特定时间处选择性地激活收发器(或其部分)以便于发送和接收消息。
收发器425可以包括一个或多个发射器430和一个或多个接收器435。在某些实施例中,一个或多个发射器430和/或一个或多个接收器435可以共享收发器硬件和/或电路。例如,一个或多个发射器430和/或一个或多个接收器435可以共享天线、天线调谐器、放大器、滤波器、振荡器、混频器、调制器/解调器、电源等。在一个实施例中,收发器425在使用公共物理硬件的同时使用不同的通信协议或协议栈实现多个逻辑收发器。
图5描绘了根据本公开的实施例的用于在5G网络中选择认证类型的方法500的一个实施例。在各种实施例中,方法500由诸如上述的AMF 143、AMF 217和/或网络设备装置400的接入和移动性管理功能执行。在一些实施例中,方法500由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等的处理器执行。
方法500开始并从非3GPP接入网络(即,TWIF)中的互通功能接收505第一消息,其中,该第一消息代表不支持NAS协议的远程单元向移动通信网络请求5G注册。
方法500包括为远程单元确定510所请求的认证方法,其中,所请求的认证方法不是基于NAS协议。
方法500包括经由移动通信网络中的AUSF将所请求的认证方法转发515到数据管理功能(即,UDM)。这里,所请求的认证方法由数据管理功能应用以选择用于远程单元的认证方法,其中,所选择的认证方法不是基于NAS协议。
方法500包括响应于远程单元使用所选择的认证方法成功地完成认证而利用互通功能发起520SMC过程。方法500结束。
图6描绘了根据本公开的实施例的用于在5G网络中选择认证类型的方法600的一个实施例。在各种实施例中,方法600由诸如上述的互通功能135、TWIF 213和/或网络设备装置400的互通功能执行。在一些实施例中,方法600由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等的处理器来执行。
方法600开始并接收605接收请求向移动通信网络注册远程单元的第一消息,其中,该远程单元被连接到非3GPP接入网络并且其中远程单元不支持NAS协议。该方法600包括确定610用于远程单元的认证请求类型,其中,该认证请求类型不是基于NAS协议。该方法600包括代表远程单元创建615NAS注册消息。方法600包括向移动通信网络中的接入管理功能发送620第二消息,其中,该第二消息包含NAS注册消息和所确定的认证请求类型。方法600结束。
图7描绘了根据本公开的实施例的用于在5G网络中选择认证类型的方法700的一个实施例。在各种实施例中,方法700由诸如上述的UDM/UDR 149、UDM 219和/或网络设备装置400的订阅和用户数据管理器执行。在一些实施例中,方法700由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等的处理器执行。
方法700开始并从移动通信网络中的AUSF接收705要为远程单元提供认证数据的第一请求,其中,该请求指示认证请求类型。方法700包括使用远程单元的订阅数据和认证请求类型选择710第一认证方法。方法700包括通过发送认证向量来响应715第一请求,其中,该响应还指示第一认证方法。方法700结束。
根据本公开的实施例,本文公开了用于在5G网络中选择认证类型的第一装置。第一装置可以由诸如AMF 143、AMF 217和/或网络设备装置400的接入和移动性管理功能来实现。第一装置包括处理器和网络接口,该网络接口接收来自非3GPP接入网络(即,TWIF)中的互通功能的第一消息,其中,该第一消息代表不支持NAS协议的远程单元向移动通信网络请求5G注册。处理器为远程单元确定所请求的认证方法,其中,所请求的认证方法不是基于NAS协议并且经由移动通信网络中的AUSF将所请求的认证方法转发到数据管理功能(即,UDM)。这里,所请求的认证方法由数据管理功能应用以选择用于远程单元的认证方法,其中,所选择的认证方法不是基于NAS协议。处理器响应于远程单元使用所选择的认证方法成功地完成认证而利用互通功能发起安全模式控制过程。
在一些实施例中,该第一消息是包含NAS注册请求消息和认证类型参数的NGAP消息,其中,确定所请求的认证方法包括为了认证类型参数而解析第一消息。在一些实施例中,确定所请求的认证方法包括每当接收到第一消息时选择预配置的认证方法类型(即,EAP-AKA')。在一些实施例中,请求消息包含所请求的认证方法,其中,该认证请求消息指示远程单元应当使用基于所请求的认证方法的认证方法被认证。
根据本公开的实施例,本文公开了用于在5G网络中选择认证类型的第一方法。第一方法可以由诸如AMF 143、AMF 217和/或网络设备装置400的接入和移动性管理功能执行。第一方法包括从非3GPP接入网络(即,TWIF)中的互通功能接收第一消息,其中,该第一消息代表不支持NAS协议的远程单元向移动通信网络请求5G注册。第一方法包括为远程单元确定所请求的认证方法,其中,所请求的认证方法不是基于NAS协议并且经由移动通信网络中的AUSF将所请求的认证方法转发到数据管理功能(即,UDM)。这里,所请求的认证方法由数据管理功能应用以选择用于远程单元的认证方法,其中,所选择的认证方法不是基于NAS协议。第一方法包括响应于远程单元使用所选择的认证方法成功地完成认证而利用互通功能发起安全模式控制过程。
在一些实施例中,该第一消息是包含NAS注册请求消息和认证类型参数的NGAP消息,其中,确定所请求的认证方法包括为了认证类型参数而解析第一消息。在一些实施例中,确定所请求的认证方法包括每当接收到第一消息时选择预配置的认证方法类型(即,EAP-AKA')。在一些实施例中,转发所请求的认证方法包括向AUSF发送包含所请求的认证方法的认证请求消息,其中,该认证请求消息指示远程单元要使用基于所请求的认证方法的认证方法被认证。
根据本公开的实施例,本文公开了用于在5G网络中选择认证类型的第二装置。第二装置可以由诸如互通功能135、TWIF 213和/或网络设备装置400的互通功能来实现。第二装置包括处理器和网络接口,该网络接口接收请求向移动通信网络注册远程单元的第一消息,其中,该远程单元被连接到非3GPP接入网络并且其中远程单元不支持NAS协议。处理器确定用于远程单元的认证请求类型,其中,该认证请求类型不是基于NAS协议。处理器代表远程单元创建NAS注册消息并向移动通信网络中的接入管理功能发送第二消息,其中,该第二消息包含NAS注册消息和所确定的认证请求类型。
在一些实施例中,第一消息包括NAI,该NAI指示远程单元不支持NAS协议,其中,确定认证请求类型包括基于NAI选择认证请求类型。在某些实施例中,NAI的一部分指示由远程单元偏好的认证方法,其中,确定认证请求类型是基于由远程单元偏好的认证方法。在一些实施例中,该装置被配置有默认认证方法类型以每当接收到第一消息时使用。
根据本公开的实施例,本文公开了用于在5G网络中选择认证类型的第二方法。第二方法可以由诸如互通功能135、TWIF 213和/或网络设备装置400的互通功能执行。第二方法包括接收请求向移动通信网络注册远程单元的第一消息,其中,该远程单元被连接到非3GPP接入网络并且其中远程单元不支持NAS协议。第二方法包括确定用于远程单元的认证请求类型并且代表远程单元创建NAS注册消息。这里,认证请求类型不是基于NAS协议。第二方法包括向移动通信网络中的接入管理功能发送第二消息,其中,该第二消息包含NAS注册消息和所确定的认证请求类型。
在一些实施例中,第一消息包括NAI,该NAI指示远程单元不支持NAS协议,其中,确定认证请求类型包括基于NAI选择认证请求类型。在某些实施例中,NAI的一部分指示由远程单元偏好的认证方法,其中,确定认证请求类型是基于由远程单元偏好的认证方法。在一些实施例中,第二方法包括接收默认认证方法类型的配置以每当接收到第一消息时使用。
根据本公开的实施例,本文公开了用于在5G网络中选择认证类型的第三装置。第三装置可以由诸如UDM/UDR 149、UDM 219和/或网络设备装置400的订阅和用户数据管理器实现。第三装置包括处理器和网络接口,该网络接口从移动通信网络中的AUSF接收要为远程单元提供认证数据的第一请求,其中,该请求指示认证请求类型。处理器使用远程单元的订阅数据和认证请求类型选择第一认证方法并且通过发送认证向量来响应第一请求,其中,该响应还指示第一认证方法。
在一些实施例中,选择第一认证方法包括确定认证请求类型是否被订阅数据允许。在一些实施例中,第一请求包括远程单元的SUCI,其中,该处理器对SUCI进行解码以检索远程单元的订阅数据。
根据本公开的实施例,本文公开了用于在5G网络中选择认证类型的第三方法。第三方法可以由诸如UDM/UDR 149、UDM 219和/或网络设备装置400的订阅和用户数据管理器执行。第三方法包括从移动通信网络中的AUSF接收要为远程单元提供认证数据的第一请求,其中,该请求指示认证请求类型。第三方法包括使用远程单元的订阅数据和认证请求类型选择第一认证方法并且通过发送认证向量来响应第一请求,其中,该响应还指示第一认证方法。
在一些实施例中,选择第一认证方法包括确定认证请求类型是否被订阅数据允许。在一些实施例中,该第一请求包括远程单元的SUCI,该方法进一步包括对SUCI进行解码以检索远程单元的订阅数据。
实施例可以以其他特定形式被实践。所描述的实施例在所有方面仅被认为是说明性的而不是限制性的。因此,本发明的范围由所附权利要求而不是由前述描述指示。在权利要求的含义和范围内的所有变化都应被涵盖在其范围内。
Claims (22)
1.一种移动通信网络中的装置,所述装置包括:
网络接口,所述网络接口接收来自非3GPP接入网络中的互通功能的第一消息,其中,所述第一消息代表不支持非接入层(“NAS”)协议的远程单元向所述移动通信网络请求5G注册;以及
处理器,所述处理器:
为所述远程单元确定所请求的认证方法,其中,所请求的认证方法不是基于所述NAS协议;
经由所述移动通信网络中的认证服务器功能(“AUSF”)将所请求的认证方法转发到数据管理功能,其中,所请求的认证方法由所述数据管理功能应用以选择用于所述远程单元的认证方法,其中,所选择的认证方法不是基于所述NAS协议;以及
响应于所述远程单元使用所选择的认证方法成功地完成认证而利用所述互通功能发起安全模式控制过程。
2.根据权利要求1所述的装置,其中,所述第一消息是包含NAS注册请求消息和认证类型参数的下一代应用协议(“NGAP”)消息,其中,确定所请求的认证方法包括为了认证类型参数而解析所述第一消息。
3.根据权利要求1所述的装置,其中,确定所请求的认证方法包括每当接收到所述第一消息时选择预配置的认证方法类型。
4.根据权利要求1所述的装置,其中,所述装置向AUSF发送包含所请求的认证方法的认证请求消息,其中,所述认证请求消息指示所述远程单元应当使用基于所请求的认证方法的认证方法被认证。
5.一种方法,包括:
从非3GPP接入网络中的互通功能接收第一消息,其中,所述第一消息代表不支持非接入层(“NAS”)协议的远程单元向移动通信网络请求5G注册;
为所述远程单元确定所请求的认证方法,其中,所请求的认证方法不是基于所述NAS协议;
经由所述移动通信网络中的认证服务器功能(“AUSF”)将所请求的认证方法转发到数据管理功能,其中,所请求的认证方法由所述数据管理功能应用以选择用于所述远程单元的认证方法,其中,所选择的认证方法不是基于所述NAS协议;以及
响应于所述远程单元使用所选择的认证方法成功地完成认证而利用所述互通功能发起安全模式控制过程。
6.根据权利要求5所述的方法,其中,所述第一消息是包含NAS注册请求消息和认证类型参数的下一代应用协议(“NGAP”)消息,其中,确定所请求的认证方法包括为了认证类型参数而解析所述第一消息。
7.根据权利要求5所述的方法,其中,确定所请求的认证方法包括每当接收到所述第一消息时选择预配置的认证方法类型。
8.根据权利要求5所述的方法,其中,转发所请求的认证方法包括向所述AUSF发送包含所请求的认证方法的认证请求消息,其中,所述认证请求消息指示要使用基于所请求的认证方法的认证方法被认证。
9.一种移动通信网络中的装置,所述装置包括:
网络接口,所述网络接口接收请求向所述移动通信网络注册远程单元的第一消息,其中,所述远程单元被连接到非3GPP接入网络并且其中所述远程单元不支持非接入层(“NAS”)协议;以及
处理器,所述处理器:
确定用于所述远程单元的认证请求类型,其中,所述认证请求类型不是基于所述NAS协议;
代表所述远程单元创建NAS注册消息;以及
向所述移动通信网络中的接入管理功能发送第二消息,其中,所述第二消息包含所述NAS注册消息和所确定的认证请求类型。
10.根据权利要求9所述的装置,其中,所述第一消息包括指示所述远程单元不支持所述NAS协议的网络接入标识符(“NAI”),其中,确定所述认证请求类型包括基于所述NAI选择认证请求类型。
11.根据权利要求10所述的装置,其中,所述NAI的一部分指示由所述远程单元偏好的认证方法,其中,确定所述认证请求类型是基于由所述远程单元偏好的所述认证方法。
12.根据权利要求9所述的装置,其中,所述装置被配置有默认认证方法类型以每当接收到所述第一消息时使用。
13.一种方法,包括:
接收请求向移动通信网络注册远程单元的第一消息,其中,所述远程单元被连接到非3GPP接入网络并且其中所述远程单元不支持非接入层(“NAS”)协议;
确定用于所述远程单元的认证请求类型,其中,所述认证请求类型不是基于所述NAS协议;
代表所述远程单元创建NAS注册消息;以及
向所述移动通信网络中的接入管理功能发送第二消息,其中,所述第二消息包含所述NAS注册消息和所确定的认证请求类型。
14.根据权利要求13所述的方法,其中,所述第一消息包括指示所述远程单元不支持所述NAS协议的网络接入标识符(“NAI”),其中,确定所述认证请求类型包括基于所述NAI选择认证请求类型。
15.根据权利要求14所述的方法,其中,所述NAI的一部分指示由所述远程单元偏好的认证方法,其中,确定所述认证请求类型是基于由所述远程单元偏好的所述认证方法。
16.根据权利要求13所述的方法,进一步包括接收默认认证方法类型的配置以每当接收到所述第一消息时使用。
17.一种移动通信网络中的装置,所述装置包括:
网络接口,所述网络接口从所述移动通信网络中的认证服务器功能(“AUSF”)接收要为远程单元提供认证数据的第一请求,其中,所述请求指示认证请求类型;
处理器,所述处理器:
使用所述远程单元的订阅数据和所述认证请求类型选择第一认证方法;以及
通过发送认证向量来响应所述第一请求,其中,所述响应还指示所述第一认证方法。
18.根据权利要求17所述的装置,其中,选择所述第一认证方法包括确定所述认证请求类型是否被所述订阅数据允许。
19.根据权利要求17所述的装置,其中,所述第一请求包括所述远程单元的订阅隐藏标识符(“SUCI”),其中,所述处理器对所述SUCI进行解码以检索所述远程单元的所述订阅数据。
20.一种方法,包括:
从移动通信网络中的认证服务器功能(“AUSF”)接收要为远程单元提供认证数据的第一请求,其中,所述请求指示认证请求类型;
使用所述远程单元的订阅数据和所述认证请求类型选择第一认证方法;以及
通过发送认证向量来响应所述第一请求,其中,所述响应还指示所述第一认证方法。
21.根据权利要求20所述的方法,其中,选择所述第一认证方法包括确定所述认证请求类型是否被所述订阅数据所允许。
22.根据权利要求20所述的方法,其中,所述第一请求包括所述远程单元的订阅隐藏标识符(“SUCI”),所述方法进一步包括对所述SUCI进行解码以检索所述远程单元的所述订阅数据。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2020/065337 WO2021244737A1 (en) | 2020-06-03 | 2020-06-03 | Methods and apparatuses for determining an authentication type |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115699677A true CN115699677A (zh) | 2023-02-03 |
Family
ID=70977952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080101565.2A Pending CN115699677A (zh) | 2020-06-03 | 2020-06-03 | 用于确定认证类型的方法和装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20230262455A1 (zh) |
| EP (1) | EP4162660A1 (zh) |
| JP (1) | JP2023536680A (zh) |
| KR (1) | KR20230019876A (zh) |
| CN (1) | CN115699677A (zh) |
| CA (1) | CA3180907A1 (zh) |
| WO (1) | WO2021244737A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301703A (zh) * | 2021-12-30 | 2022-04-08 | 中国电信股份有限公司 | 网络连接方法、网络设备和网络连接装置 |
| WO2024032915A1 (en) * | 2022-08-08 | 2024-02-15 | Lenovo (Singapore) Pte. Ltd | Connecting to a wlan access network using 3gpp-based authentication |
-
2020
- 2020-06-03 JP JP2022574681A patent/JP2023536680A/ja active Pending
- 2020-06-03 CN CN202080101565.2A patent/CN115699677A/zh active Pending
- 2020-06-03 WO PCT/EP2020/065337 patent/WO2021244737A1/en unknown
- 2020-06-03 US US18/008,413 patent/US20230262455A1/en active Pending
- 2020-06-03 CA CA3180907A patent/CA3180907A1/en active Pending
- 2020-06-03 EP EP20730605.1A patent/EP4162660A1/en active Pending
- 2020-06-03 KR KR1020227046108A patent/KR20230019876A/ko unknown
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023536680A (ja) | 2023-08-29 |
| EP4162660A1 (en) | 2023-04-12 |
| WO2021244737A1 (en) | 2021-12-09 |
| US20230262455A1 (en) | 2023-08-17 |
| CA3180907A1 (en) | 2021-12-09 |
| KR20230019876A (ko) | 2023-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230262593A1 (en) | Access network selection for a ue not supporting nas over non-3gpp access | |
| EP4128858B1 (en) | Relocating an access gateway | |
| US20230247423A1 (en) | Supporting remote unit reauthentication | |
| US20220346051A1 (en) | Registering with a mobile network through another mobile network | |
| US20230262455A1 (en) | Determining an authentication type | |
| US20230179999A1 (en) | Gateway function reauthentication | |
| US20220116769A1 (en) | Notification in eap procedure | |
| US20240031969A1 (en) | Control-plane and user-plane trusted non-3gpp gateway function | |
| CN118020330A (zh) | 使用应用的认证及密钥管理实现漫游 | |
| US20230188988A1 (en) | Gateway function reauthentication | |
| US20230156650A1 (en) | Relocating an access gateway | |
| US20230262463A1 (en) | Mobile network authentication using a concealed identity | |
| US20230224704A1 (en) | Using a pseudonym for access authentication over non-3gpp access | |
| US20230231720A1 (en) | Supporting remote unit reauthentication | |
| CN116724612A (zh) | 接收用于接入本地服务器的订阅 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |