CN115701729A - 用在无线通信系统中的装置 - Google Patents

Abstract

本申请涉及用在无线通信系统中的装置。一种用在AAA服务器中的装置包括处理器电路，该处理器电路被配置为使得AAA服务器在接收到由非3GPP接入网络从UE转发的第一身份响应消息时执行处理，第一身份响应消息包括UE的SUCI和认证方法指示，该处理包括：向AUSF节点发送认证请求消息，该认证请求消息包括UE的SUCI和认证方法指示；从AUSF节点向非3GPP接入网络转发挑战请求消息，该挑战请求消息包括第一组认证相关参数；以及从非3GPP接入网络向AUSF节点转发挑战响应消息，该挑战响应消息包括第二组认证相关参数，第一组认证相关参数是基于认证向量生成的，第二组认证相关参数是基于第一组认证相关参数生成的。

Description

用在无线通信系统中的装置

相关申请的交叉引用

本申请基于并要求于2021年8月2日递交的美国申请No.63/228,492的优先权，其全部内容通过引用结合于此。

技术领域

本公开的实施例一般地涉及无线通信领域，尤其涉及用在无线通信系统中的装置。

背景技术

移动通信已经从早期的语音系统发展到今天的高度复杂的综合通信平台。5G或新型无线电(NR)无线通信系统将提供各种用户和应用随时随地对信息的访问和对数据的共享。

附图说明

本公开的实施例将以示例而非限制的方式在附图中进行说明，其中，类似的附图标记指代类似的元件。

图1示出了根据本公开一些实施例的用在认证、授权、和计费(AAA)服务器中的认证相关方法的流程图。

图2示出了根据本公开一些实施例的用在用户设备(UE)中的认证相关方法的流程图。

图3示出了根据本公开一些实施例的非无缝无线局域网(WLAN)卸载(NSWO)认证过程的序列图。

图4示出了根据本公开各种实施例的网络的示意图。

图5示出了根据本公开各种实施例的无线网络的示意图。

图6示出了根据本公开各种实施例的能够从机器可读或计算机可读介质(例如，非暂态机器可读存储介质)读取指令并执行本文讨论的任何一种或多种方法的组件的框图。

具体实施方式

将使用本领域技术人员常用的术语来描述说明性实施例的各个方面，以将本公开的实质传达给本领域其他技术人员。然而，对于本领域技术人员来说显而易见的是，可以使用所描述的方面的部分来实施许多替代实施例。出于解释的目的，给出了具体的数字、材料、和配置，以便提供对说明性实施例的透彻理解。然而，对于本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下实施替代实施例。在其它实例中，为了避免模糊说明性实施例，可以省略或简化公知特征。

此外，以最有助于理解说明性实施例的方式，将各种操作依次描述为多个离散操作；然而，不应将描述顺序解释为暗示这些操作必然是顺序相关的。特别地，这些操作不需要按照呈现的顺序来执行。

本文中重复使用短语“在实施例中”、“在一个实施例中”、和“在一些实施例中”。这些短语通常不指代相同的实施例；然而，它们也可以指代相同的实施例。除非上下文另有规定，否则术语“包含”、“具有”、和“包括”是同义词。短语“A或B”和“A/B”的意思是“(A)、(B)、或(A和B)”。

在UE使用非无缝无线局域网(WLAN)卸载(NSWO)之前，需要对UE进行认证；否则，NSWO可能被欺诈UE误用。欺诈UE在没有认证的情况下访问WLAN可能会消耗WLAN的网络资源，并阻止合法UE使用NSWO。

对于5G接入认证，可以在3GPP接入和非3GPP接入上使用两种认证方法，即可扩展认证协议-认证和密钥协商’(EAP-AKA’)和5G AKA。为了支持NSWO，需要对3GPP接入和非3GPP接入使用提供相同安全性的认证机制，即从不公开具有3GPP接入和非3GPP接入二者的UE的国际移动用户标识号(IMSI)或用户永久标识符(SUPI)。WLAN接入网络仅支持通过Radius或Diameter接口向5G无线通信系统中的认证、授权、和计费(AAA)服务器进行EAP认证。由于5G无线通信系统的5G核心网络能够支持包括EAP-AKA’在内的统一认证方法，因此可以将其扩展为支持NSWO认证。重用EAP-AKA’基础设施来进行NSWO认证还能减少支持NSWO认证的资本支出，并为WLAN的用户提供5G等效的认证安全性。

鉴于上述情况，建议在AAA服务器和UE中执行相应的认证相关方法。

图1示出了根据本公开一些实施例的用在AAA服务器中的认证相关方法100的流程图。如图1所示，认证相关方法100包括：S102，在接收到由非3GPP接入网络从UE转发的第一身份响应消息时，向认证服务器功能(AUSF)节点发送认证请求消息，其中，第一身份响应消息包括UE的用户隐藏标识符(SUCI)和认证方法指示，认证请求消息包括UE的SUCI和认证方法指示；S104，从AUSF节点向非3GPP接入网络转发挑战请求消息，该挑战请求消息包括第一组认证相关参数；以及S106，从非3GPP接入网络向AUSF节点转发挑战响应消息，该挑战响应消息包括第二组认证相关参数，其中，第一组认证相关参数是基于认证向量生成的，第二组认证相关参数是基于第一组认证相关参数生成的，并且认证向量是基于UE的SUCI和认证方法指示生成的。

在一些实施例中，认证方法指示所指示的认证方法用于UE与无线通信系统之间的双向认证，AUSF节点驻留在该无线通信系统中。

在一些实施例中，认证相关方法100还包括：从AUSF服务器向非3GPP接入网络转发认证成功消息，该认证成功消息指示UE与无线通信系统之间的双向认证成功。

在一些实施例中，认证相关方法100还包括：从AUSF节点向非3GPP接入网络转发身份请求消息，该身份请求消息用于请求UE的身份；以及从3GPP接入网络向AUSF节点转发第二身份响应消息，该第二身份响应消息包括UE的SUCI。

在一些实施例中，认证相关方法100还包括：从AUSF节点向非3GPP接入网络转发通知请求消息，该通知请求消息用于请求终止UE与无线通信系统之间的双向认证的通知；以及从非3GPP接入网络向AUSF节点转发通知响应消息，该通知响应消息用于提供终止UE与无线通信系统之间的双向认证的通知。

在一些实施例中，认证请求消息和挑战响应消息是由安全锚定功能(SEAF)节点从AAA服务器转发到AUSF节点的，并且挑战请求消息是由SEAF节点从AUSF节点转发到AAA服务器的；和/或认证成功消息是由SEAF节点从AUSF节点转发到AAA服务器的；和/或身份请求消息是由SEAF节点从AUSF节点转发到AAA服务器的，并且第二身份响应消息是由SEAF节点从AAA服务器转发到AUSF节点的；和/或通知请求消息是由SEAF节点从AUSF节点转发到AAA服务器的，并且通知响应消息是由SEAF节点从AAA服务器转发到AUSF节点的。请注意，AAA服务器经由Diameter接口与SEAF节点交互。

图2示出了根据本公开一些实施例的用在UE中的认证相关方法200的流程图。如图2所示，认证相关方法200包括：S202，从非3GPP接入网络接收第一身份请求消息，该第一身份请求消息用于请求UE的身份；以及S204，向非3GPP接入网络发送第一身份响应消息，该第一身份响应消息用于提供UE的用户隐藏标识符(SUCI)和认证方法指示，其中，UE的SUCI和认证方法指示被非3GPP接入网络提供给AUSF节点，用于对UE的认证。

在一些实施例中，认证相关方法200还包括：从非3GPP接入网络接收挑战请求消息，该挑战请求消息包括第一组认证相关参数；以及向非3GPP接入网络发送挑战响应消息，该挑战响应消息包括第二组认证相关参数，其中，第一组认证相关参数是基于认证向量生成的，第二组认证相关参数是基于所述第一组认证相关参数生成的，并且认证向量是基于UE的SUCI和认证方法指示生成的。

在一些实施例中，认证相关方法200还包括：从非3GPP接入网络接收认证成功消息，该认证成功消息指示UE与无线通信系统之间的双向认证成功。

在一些实施例中，认证相关方法200还包括：从非3GPP接入网络接收第二身份请求消息，该第二身份请求消息用于请求UE的身份；以及向非3GPP接入网络发送第二身份响应消息，该第二身份响应消息包括UE的SUCI。

在一些实施例中，认证相关方法200还包括：从非3GPP接入网络接收通知请求消息，该通知请求消息用于请求终止UE与无线通信系统之间的双向认证的通知；以及向非3GPP接入网络发送通知响应消息，该通知响应消息用于提供终止UE与无线通信系统之间的双向认证的通知。

在一些实施例中，非3GPP接入网络是WLAN接入网络，无线通信系统是5G无线通信系统，并且UE与5G无线通信系统之间的双向认证是在UE使用NSWO之前执行的。在这种情况下，由AUSF节点基于第一组认证相关参数计算得出的认证密钥被用来推演主会话密钥，用于UE使用WLAN接入连接到演进分组核心(EPC)网络。

图3示出了根据本公开一些实施例的NSWO认证过程300的序列图，其中，需要执行认证相关方法100和200来完成NSWO认证过程300。如图3所示，NSWO认证过程300包括：

S301，在UE和WLAN接入网络之间建立连接。

S302-303，WLAN接入网络向UE发送EAP-请求/身份消息(即，第一身份请求消息)，以请求UE的身份。UE识别出非3GPP接入网络与AAA服务器连接，并在EAP-响应/身份消息(即，第一身份响应消息)中向WLAN接入网络发送其SUCI。UE的SUCI被包含在UE的网络接入标识符(NAI)中，NAI指示EAP-AKA’作为用于UE与5G无线通信系统之间的双向认证的认证方法。

S304-305，WLAN接入网络向AAA服务器转发EAP-响应/身份消息，然后AAA服务器基于NAI的领域部分向AUSF节点转发EAP-响应/身份消息。EAP-响应/身份消息的路由路径可以包括不止一个AAA服务器，每个AAA服务器充当AAA代理并基于NAI的领域部分向AUSF节点转发EAP-响应/身份消息。AUSF节点在NAI的用户名部分检测UE的SUCI，并在NAI的前缀部分检测认证方法。WLAN接入网络的接入类型和身份与EAP-响应/身份消息一起被提供给AUSF节点。在UE由访问网络服务的情况下，访问网络的标识符与EAP-响应/身份消息一起被提供给AUSF节点。请注意，AAA服务器经由实现在接入和移动性管理功能(AMF)节点中的SEAF节点将EAP-响应/身份消息转发给AUSF节点。

S306a-306b，AUSF节点经由SEAF节点向AAA服务器发送EAP-请求/AKA’-身份消息(即，第二身份请求消息)，然后AAA服务器向WLAN接入网络转发EAP-请求/AKA’-身份消息，以再次请求UE的身份。由于UE和AUSF节点之间的中间节点可能更改或替换包括在EAP-响应/身份消息中的UE身份，所以再次请求UE的身份。然而，为了避免再次请求UE的身份，UE的归属网络应确保UE和AUSF节点之间的WLAN接入网络、AAA服务器、和SEAF节点根据认证方法EAP-AKA’处理EAP-响应/身份消息。因此，如果AUSF节点知道EAP-响应/身份消息被相应地处理，则AUSF节点应使用包括在EAP-响应/身份消息中的UE身份，并跳过步骤S306a到S309b。WLAN接入网络的接入类型和身份与EAP-响应/AKA’-身份消息一起被提供给AUSF节点。在UE由访问网络服务的情况下，访问网络的标识符与EAP-响应/AKA’-身份消息一起被提供给AUSF节点。在UE与5G无线通信系统之间的双向认证的其余处理中，AUSF节点将使用EAP-响应/AKA’-身份消息中包括的UE身份。

S310a-310c，AUSF向统一数据管理(UDM)节点发送向量请求消息，该向量请求消息包括UE的SUCI和EAP-AKA’的认证方法指示，以请求用于UE与5G无线通信系统之间的双向认证的认证向量。假设AUSF节点增强有Diameter接口，并且AUSF基于UE的SUCI的路由标识符选择UDM。UDM验证向量请求消息并查询用户标识符去隐功能(SIDF)，以从UE的SUCI中去隐用户永久标识符(SUPI)。UDM节点根据认证方法指示所指示的认证方法EAP-AKA’生成认证向量，并在向量响应消息中向AUSF节点提供认证向量。

S311a-S315b，AUSF节点基于认证向量计算第一组认证相关参数并经由SEAF节点向AAA服务器发送EAP-请求/AKA’-挑战消息(即，挑战请求消息)，然后AAA服务器向WLAN接入网络转发EAP-请求/AKA’-挑战消息，以请求UE计算认证响应。UE基于包括在EAP-请求/AKA’-挑战消息中的第一组认证相关参数计算认证响应，并向非3GPP接入网络发送EAP-响应/AKA’-挑战消息(即，挑战响应消息)，其中，EAP-响应/AKA’-挑战消息包括从第一组认证相关参数生成的第二组认证相关参数。WLAN接入网络向AAA服务器发送EAP-响应/AKA’-挑战消息，然后AAA服务器向AUSF转发EAP-响应/AKA’-挑战消息。当AUSF节点验证包括在EAP-响应/AKA’-挑战消息中的第二组认证相关参数正确时，AUSF确定UE与5G无线通信系统之间的双向认证成功。

S317a-S320b，AUSF节点和UE经由SEAF节点、AAA服务器、和WLAN接入网络交换EAP-请求/AKA’-通知消息(即，通知请求消息)和EAP-响应/AKA’-通知消息(即，通知响应消息)，以终止UE与5G无线通信系统之间的双向认证。

S321a-323，AUSF节点经由SEAF节点、AAA服务器、和WLAN接入网络向UE发送EAP-成功消息(即，认证成功消息)。在UE与5G无线通信系统之间的双向认证成功后，UE从WLAN接入网络接收其互联网协议(IP)配置，并可以直接经由WLAN接入网络交换IP数据流量，即使用NSWO。

图4-5示出了可以实现所公开的实施例的多个方面的各种系统、设备、和组件。

图4示出了根据本公开各种实施例的网络400的示意图。网络400可以根据长期演进(LTE)或5G/NR系统的3GPP技术规范操作。然而，示例性实施例在这方面不受限制，并且所描述的实施例可以应用于受益于本文描述的原理的其他网络，例如未来的3GPP系统等。

网络400可以包括UE 402，该UE可以包括被设计为经由空中连接与无线电接入网(RAN)404通信的任何移动或非移动计算设备。UE 402可以是但不限于智能电话、平板计算机、可穿戴计算机设备、台式计算机、膝上型计算机、车载信息娱乐设备、车载娱乐设备、仪表盘、抬头显示设备、板载诊断设备、仪表板移动设备、移动数据终端、电子引擎管理系统、电子/引擎控制单元、电子/引擎控制模块、嵌入式系统、传感器、微控制器、控制模块、引擎管理系统、网络设备、机器型通信设备、机器到机器(M2M)或设备到设备(D2D)设备、物联网(IoT)设备等。

在一些实施例中，网络400可以包括通过侧链路接口彼此直接耦合的多个UE。UE可以是使用物理侧链路信道(例如但不限于物理侧链路广播信道(PSBCH)、物理侧链路发现信道(PSDCH)、物理侧链路共享信道(PSSCH)、物理侧链路控制信道(PSCCH)、物理侧链路基本信道(PSFCH)等)进行通信的M2M/D2D设备。

在一些实施例中，UE 402还可以通过空中连接与接入点(AP)406进行通信。AP 406可以管理无线局域网(WLAN)连接，其可以用于从RAN 404卸载一些/所有网络流量。UE 402和AP 406之间的连接可以与任何IEEE 802.11协议一致，其中，AP 406可以是无线保真

路由器。在一些实施例中，UE 402、RAN 404、和AP 406可以利用蜂窝WLAN聚合(例如，LTE-WLAN聚合(LWA)/轻量化IP(LWIP))。蜂窝WLAN聚合可能涉及由RAN 404配置UE402利用蜂窝无线电资源和WLAN资源二者。

RAN 404可以包括一个或多个接入节点，例如，接入节点(AN)408。AN 408可以通过提供包括无线电资源控制(RRC)协议、分组数据汇聚协议(PDCP)、无线电链路控制(RLC)协议、介质访问控制(MAC)协议、和L1协议在内的接入层协议来终止UE 402的空中接口协议。以此方式，AN 408可以使能核心网(CN)420和UE 402之间的数据/语音连接。在一些实施例中，AN 408可以被实现在离散设备中，或者被实现为在服务器计算机上运行的一个或多个软件实体(作为例如，虚拟网络的一部分，虚拟网络可以被称为分布式RAN(CRAN)或虚拟基带单元池)。AN 408可以被称为基站(BS)、下一代基站(gNB)、RAN节点、演进节点B(eNB)、下一代eNB(ng-eNB)、节点B(NodeB)、路边单元(RSU)、发射接收点(TRxP)、发射点(TRP)等。AN408可以是宏小区基站或低功率基站，其中，低功率基站用于提供与宏小区相比具有更小覆盖区域、更小用户容量、或更高带宽的微小区、微微小区、或其他类似小区。

在RAN 404包括多个AN的实施例中，这些AN可以通过X2接口(如果RAN 404是LTERAN)或Xn接口(如果RAN 404是5G RAN)相互耦合。在一些实施例中，可以被分离成控制/用户平面接口的X2/Xn接口可以允许AN传送与切换、数据/上下文传输、移动性、负载管理、干扰协调等相关的信息。

RAN 404的AN可以分别管理一个或多个小区、小区组、分量载波等，以向UE 402提供用于网络接入的空中接口。UE 402可以与RAN 404的相同或不同AN提供的多个小区同时连接。例如，UE 402和RAN 404可以使用载波聚合来允许UE 402与多个分量载波连接，每个分量载波对应于主小区(PCell)或辅小区(SCell)。在双连接场景中，第一AN可以是提供主小区组(MCG)的主节点，第二AN可以是提供辅小区组(SCG)的辅节点。第一/第二AN可以是eNB、gNB、ng-eNB等的任意组合。

RAN 404可以在授权频谱或未授权频谱上提供空中接口。为了在未授权频谱中操作，节点可以基于PCell/Scell的载波聚合(CA)技术，使用许可辅助接入(LAA)、增强的LAA(eLAA)、和/或进一步增强的LAA(feLAA)机制。在接入未授权频谱之前，节点可以基于例如，先听后说(LBT)协议来执行介质/载波感测操作。

在车辆对一切(V2X)场景中，UE 402或AN 408可以是或充当路边单元(RSU)，其可以指用于V2X通信的任何运输基础设施实体。RSU可以在适当的AN或静止(或相对静止)UE中实现或由其实现。在UE中实现或由UE实现的RSU可以被称为“UE型RSU”；在eNB中实现或由eNB实现的RSU可以被称为“eNB型RSU”；在下一代NodeB(gNB)中实现或由gNB实现的RSU可以被称为“gNB型RSU”等。在一个示例中，RSU是与位于路边的射频电路耦合的计算设备，其向经过的车辆UE提供连接支持。RSU还可以包括内部数据存储电路，用于存储交叉口地图几何图形、交通量统计、媒体、以及用于感测和控制正在进行的车辆和行人交通的应用程序/软件。RSU可以提供高速事件(例如，碰撞避免、交通警告等)所需的非常低延迟的通信。另外或可选地，RSU可以提供其他蜂窝/WLAN通信服务。RSU的组件可以封装在适合室外安装的防风雨外壳中，并且可以包括网络接口控制器以提供到交通信号控制器或回程网络的有线连接(例如，以太网)。

在一些实施例中，RAN 404可以是LTE RAN 410，其中包括演进节点B(eNB)，例如，eNB 412。LTE RAN 410可以提供具有以下特性的LTE空中接口：15kHz的子载波间隔(SCS)；用于上行链路(UL)的单载波频分多址(SC-FDMA)波形和用于下行链路(DL)的循环前缀正交频分复用(CP-OFDM)波形；用于数据的turbo代码和用于控制的咬尾卷积码(TBCC)等。LTE空中接口可以依赖信道状态信息参考信号(CSI-RS)进行CSI采集和波束管理；依赖物理下行链路共享信道(PDSCH)/物理下行链路控制信道(PDCCH)解调参考信号(DMRS)进行PDSCH/PDCCH解调；以及依赖小区参考信号(CRS)进行小区搜索和初始采集、信道质量测量、和信道估计，并且依赖信道估计进行UE处的相干解调/检测。LTE空中接口可以在6GHz子频带上工作。

在一些实施例中，RAN 404可以是具有gNB(例如，gNB 416)或gn-eNB(例如，ng-eNB418)的下一代(NG)-RAN 414。gNB 416可以使用5G NR接口与启用5G的UE连接。gNB 416可以通过NG接口与5G核心连接，NG接口可以包括N2接口或N3接口。ng-eNB 418还可以通过NG接口与5G核心连接，但是可以通过LTE空中接口与UE连接。gNB 416和ng-eNB 418可以通过Xn接口彼此连接。

在一些实施例中，NG接口可以分为NG用户平面(NG-U)接口和NG控制平面(NG-C)接口两部分，前者承载UPF 448和NG-RAN 414的节点之间的流量数据(例如，N3接口)，后者是接入和移动性管理功能(AMF)444和NG-RAN 414的节点之间的信令接口(例如，N2接口)。

NG-RAN 414可以提供具有以下特性的5G-NR空中接口：可变SCS；用于DL的循环前缀-正交频分复用(CP-OFDM)、用于UL的CP-OFDM和DFT-s-OFDM；用于控制的极性、重复、单工、和里德-穆勒码；以及用于数据的低密度奇偶校验码(LDPC)。5G-NR空中接口可以类似LTE空中接口而依赖于信道状态参考信号(CSI-RS)、PDSCH/PDCCH解调参考信号(DMRS)。5G-NR空中接口可以不使用小区参考信号(CRS)，但是可以使用物理广播信道(PBCH)解调参考信号(DMRS)进行PBCH解调；使用相位跟踪参考信号(PTRS)进行PDSCH的相位跟踪；以及使用跟踪参考信号进行时间跟踪。5G-NR空中接口可以在包括6GHz子频带的FR1频带或包括24.25GHz到52.6GHz频带的FR2频带上操作。5G-NR空中接口可以包括同步信号和PBCH块(SSB)，SSB是包括主同步信号(PSS)/辅同步信号(SSS)/PBCH的下行链路资源网格的区域。

在一些实施例中，5G-NR空中接口可以将带宽部分(BWP)用于各种目的。例如，BWP可以用于SCS的动态自适应。例如，UE 402可以配置有多个BWP，其中，每个BWP配置具有不同的SCS。当向UE 402指示BWP改变时，传输的SCS也改变。BWP的另一个用例与省电有关。具体地，可以为UE 402配置具有不同数量的频率资源(例如，PRB)的多个BWP，以支持不同流量负载场景下的数据传输。包含较少数量PRB的BWP可以用于具有较小流量负载的数据传输，同时允许UE 402和在某些情况下gNB 416处的省电。包含大量PRB的BWP可以用于具有更高流量负载的场景。

RAN 404通信地耦合到包括网络元件的CN 420，以向客户/订户(例如，UE 402的用户)提供支持数据和电信服务的各种功能。CN 420的组件可以实现在一个物理节点中也可以实现在不同的物理节点中。在一些实施例中，网络功能虚拟化(NFV)可以用于将CN 420的网络元件提供的任何或所有功能虚拟化到服务器、交换机等中的物理计算/存储资源上。CN420的逻辑实例可以被称为网络切片，并且CN 420的一部分的逻辑实例可以被称为网络子切片。

在一些实施例中，CN 420可以是LTE CN 422，也可以被称为演进分组核心(EPC)。LTE CN 422可以包括移动性管理实体(MME)424、服务网关(SGW)426、服务通用无线分组业务(GPRS)支持节点(SGSN)428、归属订户服务器(HSS)430、代理网关(PGW)432、以及策略控制和计费规则功能(PCRF)434，如图所示，这些组件通过接口(或“参考点”)相互耦合。LTECN 422的元件的功能可以简单介绍如下。

MME 424可以实现移动性管理功能，以跟踪UE 402的当前位置，从而方便寻呼、承载激活/去激活、切换、网关选择、认证等。

SGW 426可以终止朝向RAN的S1接口，并在RAN和LTE CN 422之间路由数据分组。SGW 426可以是用于RAN节点间切换的本地移动性锚点，并且还可以提供用于3GPP间移动性的锚定。其他职责可以包括合法拦截、计费、以及一些策略执行。

SGSN 428可以跟踪UE 402的位置并执行安全功能和访问控制。另外，SGSN 428可以执行EPC节点间信令，以用于不同无线电接入技术(RAT)网络之间的移动性；MME 424指定的PDN和S-GW选择；用于切换的MME选择等。MME 424和SGSN 428之间的S3参考点可以使能空闲/活动状态下用于3GPP接入网络间移动性的用户和承载信息交换。

HSS 430可以包括用于网络用户的数据库，该数据库包括支持网络实体处理通信会话的订阅相关信息。HSS 430可以提供对路由/漫游、认证、授权、命名/寻址解析、位置依赖性等的支持。HSS 430和MME 424之间的S6a参考点可以使能订阅和认证数据的传输，用于认证/授权用户对LTE CN 420的访问。

PGW 432可以终止朝向可以包括应用/内容服务器438的数据网络(DN)436的SGi接口。PGW 432可以在LTE CN 422和数据网络436之间路由数据分组。PGW 432可以通过S5参考点与SGW 426耦合，以促进用户平面隧道和隧道管理。PGW 432还可以包括用于策略执行和计费数据收集的节点(例如，PCEF)。另外，PGW 432和数据网络436之间的SGi参考点可以是例如，用于提供IP多媒体子系统(IMS)服务的运营商外部公共、私有PDN、或运营商内部分组数据网络。PGW 432可以经由Gx参考点与PCRF 434耦合。

PCRF 434是LTE CN 422的策略和计费控制元件。PCRF 434可以通信地耦合到应用/内容服务器438，以确定服务流的适当服务质量(QoS)和计费参数。PCRF 432可以将相关规则提供给具有适当业务流模板(TFT)和QoS类标识符(QCI)的PCEF(经由Gx参考点)。

在一些实施例中，CN 420可以是5G核心网(5GC)440。5GC 440可以包括认证服务器功能(AUSF)442、接入和移动性管理功能(AMF)444、会话管理功能(SMF)446、用户平面功能(UPF)448、网络切片选择功能(NSSF)450、网络开放功能(NEF)452、NF存储功能(NRF)454、策略控制功能(PCF)456、统一数据管理(UDM)458、和应用功能(AF)460，如图所示，这些功能通过接口(或“参考点”)彼此耦合。5GC 440的元件的功能可以简要介绍如下。

AUSF 442可以存储用于UE 402的认证的数据并处理认证相关功能。AUSF 442可以促进用于各种接入类型的公共认证框架。除了如图所示的通过参考点与5GC 440的其他元件通信之外，AUSF 442还可以展示基于Nausf服务的接口。

AMF 444可以允许5GC 440的其他功能与UE 402和RAN 404通信，并订阅关于UE402的移动性事件的通知。AMF 444可以负责注册管理(例如，注册UE 402)、连接管理、可达性管理、移动性管理、合法拦截AMF相关事件、以及接入认证和授权。AMF 444可以提供UE402和SMF 446之间的会话管理(SM)消息的传输，并且充当用于路由SM消息的透明代理。AMF444还可以提供UE 402和SMSF之间的SMS消息的传输。AMF 444可以与AUSF 442和UE 402交互，以执行各种安全锚定和上下文管理功能。此外，AMF 444可以是RAN CP接口的终止点，其可包括或者是RAN 404和AMF 444之间的N2参考点；AMF 444可以作为NAS(N1)信令的终止点，并执行NAS加密和完整性保护。AMF 444还可以支持通过N3 IWF接口与UE 402进行NAS信令通信。

SMF 446可以负责SM(例如，UPF 448和AN 408之间的隧道管理、会话建立)；UE IP地址分配和管理(包括可选授权)；UP功能的选择和控制；在UPF 448处配置流量控制，以将流量路由到适当的目的地；去往策略控制功能的接口的终止；控制策略执行、计费和QoS的一部分；合法截获(用于SM事件和到LI系统的接口)；终止NAS消息的SM部分；下行链路数据通知；启动AN特定的SM信息(通过AMF 444在N2上发送到AN 408)；以及确定会话的SSC模式。SM可以指PDU会话的管理，并且PDU会话或“会话”可以指提供或使能UE 402和数据网络436之间的PDU交换的PDU连接服务。

UPF 448可以用作RAT内和RAT间移动性的锚点、与数据网络436互连的外部PDU会话点、以及支持多归属PDU会话的分支点。UPF 448还可以执行分组路由和转发、执行分组检查、执行策略规则的用户平面部分、合法截获分组(UP收集)、执行流量使用报告、为用户平面执行QoS处理(例如，分组过滤、选通、UL/DL速率强制执行)，执行上行链路流量验证(例如，SDF到QoS流映射)、上行链路和下行链路中的传输级分组标记，并执行下行链路分组缓冲和下行链路数据通知触发。UPF 448可以包括上行链路分类器，以支持将流量流路由到数据网络。

NSSF 450可以选择服务于UE 402的一组网络切片实例。如果需要，NSSF 450还可以确定允许的网络切片选择辅助信息(NSSAI)和到订阅的单个NSSAI(S-NSSAI)的映射。NSSF 450还可以基于合适的配置并可能通过查询NRF 454来确定要用于服务UE 402的AMF集，或者确定候选AMF的列表。用于UE 402的一组网络切片实例的选择可以由AMF 444触发(UE 402通过与NSSF 450交互而向该AMF注册)，这会导致AMF的改变。NSSF 450可以经由N22参考点与AMF 444交互；且可以经由N31参考点(未示出)与访问网络中的另一NSSF通信。此外，NSSF 450可以展示基于Nnssf服务的接口。

NEF 452可以为第三方、内部曝光/再曝光、AF(例如，AF 460)、边缘计算或雾计算系统等安全地公开由3GPP网络功能提供的服务和能力。在这些实施例中，NEF 452可以认证、授权、或限制AF。NEF 452还可以转换与AF 460交换的信息和与内部网络功能交换的信息。例如，NEF 452可以在AF服务标识符和内部5GC信息之间转换。NEF 452还可以基于其他NF的公开能力从其他NF接收信息。该信息可以作为结构化数据存储在NEF 452处，或者使用标准化接口存储在数据存储装置NF处。然后，NEF 452可以将存储的信息重新暴露给其他NF和AF，或者用于诸如分析之类的其他目的。另外，NEF 452可以展示基于Nnef服务的接口。

NRF 454可以支持服务发现功能，从NF实例接收NF发现请求，并将发现的NF实例的信息提供给NF实例。NRF 454还维护可用NF实例及其支持的服务的信息。如本文所使用的，术语“实例化”、“实例”等可指创建实例，“实例”可以指对象的具体出现，其可以例如在程序代码执行期间出现。此外，NRF 454可以展示基于Nnrf服务的接口。

PCF 456可以向控制平面功能提供策略规则以执行这些策略规则，并且还可以支持统一的策略框架来管理网络行为。PCF 456还可以实现前端以访问与UDM 458的UDR中的策略决策相关的订阅信息。除了如图所示通过参考点与功能通信外，PCF 456还展示了基于Npcf服务的接口。

UDM 458可以处理与订阅相关的信息以支持网络实体处理通信会话，并且可以存储UE 402的订阅数据。例如，订阅数据可以经由UDM 458和AMF 444之间的N8参考点传送。UDM 458可以包括两个部分：应用前端和用户数据记录(UDR)。UDR可以存储用于UDM 458和PCF 456的策略数据和订阅数据，和/或用于NEF 452的用于暴露的结构化数据和应用数据(包括用于应用检测的PFD、用于多个UE 402的应用请求信息)。UDR可以展示基于Nudr服务的接口，以允许UDM 458、PCF 456、和NEF 452访问存储数据的特定集合，以及读取、更新(例如，添加、修改)、删除、和订阅UDR中的相关数据更改的通知。UDM可包括UDM-FE(UDM前端)，其负责处理凭证、位置管理、订阅管理等。若干不同的前端可以在不同的交易中为同一用户提供服务。UDM-FE访问存储在UDR中的订阅信息，并执行认证凭证处理、用户识别处理、访问授权、注册/移动性管理、和订阅管理。除了如图所示的通过参考点与其他NF通信之外，UDM458还可以展示基于Nudm服务的接口。

AF 460可以提供对流量路由的应用影响，提供对NEF的访问，并与策略框架交互以进行策略控制。

在一些实施例中，5GC 440可以通过选择在地理上靠近UE 402连接到网络的点的运营商/第三方服务来使能边缘计算。这可以减少网络上的延迟和负载。为了提供边缘计算实现，5GC 440可以选择靠近UE 402的UPF 448，并通过N6接口执行从UPF 448到数据网络436的流量引导。这可以基于UE订阅数据、UE位置、和AF 460提供的信息。这样，AF 460可以影响UPF(重)选择和流量路由。基于运营商部署，当AF 460被认为是可信实体时，网络运营商可以允许AF 460直接与相关NF交互。另外，AF 460可以展示基于Naf服务的接口。

数据网络436可以表示可以由一个或多个服务器(包括例如，应用/内容服务器438)提供的各种网络运营商服务、互联网接入、或第三方服务。

图5示出了根据各种实施例的无线网络500。无线网络500可以包括与AN 504进行无线通信的UE 502。UE 502和AN 504可以类似于本文其他位置描述的同名组件并且基本上可以与之互换。

UE 502可以经由连接506与AN 504通信地耦合。连接506被示出为空中接口以使能通信耦合，并且可以根据诸如LTE协议或5G NR协议等的蜂窝通信协议在毫米波或低于6GHz频率下操作。

UE 502可以包括与调制解调器平台510耦合的主机平台508。主机平台508可以包括应用处理电路512，该应用处理电路可以与调制解调器平台510的协议处理电路514耦合。应用处理电路512可以为UE 502运行获取/接收其应用数据的各种应用。应用处理电路512还可以实现一个或多个层操作，以向数据网络发送/从数据网络接收应用数据。这些层操作可以包括传输(例如，UDP)和互联网(例如，IP)操作。

协议处理电路514可以实现一个或多个层操作，以便于通过连接506发送或接收数据。由协议处理电路514实现的层操作可以包括例如，媒体访问控制(MAC)、无线电链路控制(RLC)、分组数据汇聚协议(PDCP)、无线电资源控制(RRC)、和非接入层(NAS)操作。

调制解调器平台510可以进一步包括数字基带电路516，该数字基带电路516可以实现“低于”网络协议栈中由协议处理电路514执行的层操作的一个或多个层操作。这些操作可包括例如，包括HARQ-ACK功能、加扰/解扰、编码/解码、层映射/去映射、调制符号映射、接收符号/比特度量确定、多天线端口预编码/解码中的一者或多者的PHY操作，其中，这些功能可以包括空时、空频、或空间编码，参考信号生成/检测，前导码序列生成和/或解码，同步序列生成/检测，控制信道信号盲解码、以及其他相关功能中的一者或多者。

调制解调器平台510可以进一步包括发射电路518、接收电路520、RF电路522、和RF前端(RFFE)电路524，这些电路可以包括或连接到一个或多个天线面板526。简言之，发射电路518可以包括数模转换器、混频器、中频(IF)组件等；接收电路520可以包括模数转换器、混频器、IF组件等；RF电路522可以包括低噪声放大器、功率放大器、功率跟踪组件等；RFFE电路524可以包括滤波器(例如，表面/体声波滤波器)、开关、天线调谐器、波束形成组件(例如，相位阵列天线组件)等。发射电路518、接收电路520、RF电路522、RFFE电路524、以及天线面板526(统称为“发射/接收组件”)的组件的选择和布置可以特定于具体实现的细节，例如，通信是时分复用(TDM)还是频分复用(FDM)、以mmWave还是低于6GHz频率等。在一些实施例中，发射/接收组件可以以多个并列的发射/接收链的方式布置，并且可以布置在相同或不同的芯片/模块等中。

在一些实施例中，协议处理电路514可以包括控制电路的一个或多个实例(未示出)，以为发射/接收组件提供控制功能。

UE接收可以通过并经由天线面板526、RFFE电路524、RF电路522、接收电路520、数字基带电路516、和协议处理电路514建立。在一些实施例中，天线面板526可以通过接收由一个或多个天线面板526的多个天线/天线元件接收的波束形成信号来接收来自AN 504的传输。

UE传输可以经由并通过协议处理电路514、数字基带电路516、发射电路518、RF电路522、RFFE电路524、和天线面板526建立。在一些实施例中，UE 502的发射组件可以对要发送的数据应用空间滤波，以形成由天线面板526的天线元件发射的发射波束。

与UE 502类似，AN 504可以包括与调制解调器平台530耦合的主机平台528。主机平台528可以包括与调制解调器平台530的协议处理电路534耦合的应用处理电路532。调制解调器平台还可以包括数字基带电路536、发射电路538、接收电路540、RF电路542、RFFE电路544、和天线面板546。AN 504的组件可以类似于UE 502的同名组件，并且基本上可以与UE502的同名组件互换。除了如上所述执行数据发送/接收之外，AN 504的组件还可以执行各种逻辑功能，这些逻辑功能包括例如无线电网络控制器(RNC)功能，例如，无线电承载管理、上行链路和下行链路动态无线电资源管理、以及数据分组调度。

图6是示出根据一些示例实施例的能够从机器可读或计算机可读介质(例如，非暂态机器可读存储介质)读取指令并执行本文讨论的方法中的任意一种或多种方法的组件的框图。具体地，图6示出了硬件资源600的示意图，硬件资源600包括一个或多个处理器(或处理器核)610、一个或多个存储器/存储设备620、和一个或多个通信资源630，其中，这些处理器、存储器/存储设备、和通信资源中的每一者可以经由总线640或其他接口电路通信地耦合。对于利用节点虚拟化(例如，网络功能虚拟化(NFV))的实施例，可以执行管理程序602以提供一个或多个网络切片/子切片的执行环境从而利用硬件资源600。

处理器610可以包括例如，处理器612和处理器614。处理器610可以是例如，中央处理单元(CPU)、精简指令集计算(RISC)处理器、复杂指令集计算(CISC)处理器、图形处理单元(GPU)、诸如基带处理器的数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、射频集成电路(RFIC)、另一处理器(包括本文讨论的那些处理器)、或其任何合适的组合。

存储器/存储设备620可以包括主存储器、磁盘存储设备、或其任何适当组合。存储器/存储设备620可以包括但不限于任何类型的易失性、非易失性、或半易失性存储器，例如，动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、固态存储器等。

通信资源630可包括互连或网络接口控制器、组件、或其他合适的设备，以经由网络608与一个或多个外围设备604或一个或多个数据库606或其他网络元件通信。例如，通信资源630可以包括有线通信组件(例如，用于经由USB、以太网等进行耦合)、蜂窝通信组件、近场通信(NFC)组件、

(或

低能量)组件、

组件、和其他通信组件。

指令650可以包括软件、程序、应用程序、小程序、应用程序、或其他可执行代码，用于使处理器610中的至少任意一个处理器执行本文讨论的任意一种或多种方法。指令650可以全部或部分驻留在处理器610(例如，在处理器的高速缓存中)、存储器/存储设备620、或其任何适当组合中的至少一者内。此外，指令650的任意部分可以从外围设备604或数据库606的任意组合传送到硬件资源600。因此，处理器610的存储器、存储器/存储设备620、外围设备604、和数据库606是计算机可读和机器可读介质的示例。

以下段落描述了各种实施例的示例。

示例1包括一种用在认证、授权、和计费(AAA)服务器中的装置，其中，该装置包括处理器电路，该处理器电路被配置为使得所述AAA服务器在接收到由非3GPP接入网络从用户设备(UE)转发的第一身份响应消息时执行处理，其中，所述第一身份响应消息包括所述UE的用户隐藏标识符(SUCI)和认证方法指示，所述处理包括：向认证服务器功能(AUSF)节点发送认证请求消息，该认证请求消息包括所述UE的SUCI和所述认证方法指示；从所述AUSF节点向所述非3GPP接入网络转发挑战请求消息，该挑战请求消息包括第一组认证相关参数；以及从所述非3GPP接入网络向所述AUSF节点转发挑战响应消息，该挑战响应消息包括第二组认证相关参数，其中，所述第一组认证相关参数是基于认证向量生成的，所述第二组认证相关参数是基于所述第一组认证相关参数生成的，并且所述认证向量是基于所述UE的SUCI和所述认证方法指示生成的。

示例2包括示例1所述的装置，其中，所述认证方法指示所指示的认证方法用于所述UE与无线通信系统之间的双向认证，所述AUSF节点驻留在所述无线通信系统中。

示例3包括示例2所述的装置，其中，所述非3GPP接入网络是无线局域网(WLAN)接入网络，所述无线通信系统是5G无线通信系统，并且所述UE与所述无线通信系统之间的双向认证是在所述UE使用非无缝WLAN卸载(NSWO)之前执行的。

示例4包括示例2所述的装置，其中，所述处理器电路进一步被配置为使得所述AAA服务器：从所述AUSF服务器向所述非3GPP接入网络转发认证成功消息，该认证成功消息指示所述UE与所述无线通信系统之间的双向认证成功。

示例5包括示例2所述的装置，其中，所述处理器电路进一步被配置为使得所述AAA服务器：从所述AUSF节点向所述非3GPP接入网络转发身份请求消息，该身份请求消息用于请求所述UE的身份；以及从所述3GPP接入网络向所述AUSF节点转发第二身份响应消息，该第二身份响应消息包括所述UE的SUCI。

示例6包括示例2所述的装置，其中，所述处理器电路进一步被配置为使得所述AAA服务器：从所述AUSF节点向所述非3GPP接入网络转发通知请求消息，该通知请求消息用于请求终止所述UE与所述无线通信系统之间的双向认证的通知；以及从所述非3GPP接入网络向所述AUSF节点转发通知响应消息，该通知响应消息用于提供终止所述UE与所述无线通信系统之间的双向认证的通知。

示例7包括示例2所述的装置，其中，所述认证请求消息和所述挑战响应消息是由安全锚定功能(SEAF)节点从所述AAA服务器转发到所述AUSF节点的，所述挑战请求消息是由所述SEAF节点从所述AUSF节点转发到所述AAA服务器的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

示例8包括示例4所述的装置，其中，所述认证成功消息是由安全锚定功能(SEAF)节点从所述AUSF节点转发到所述AAA服务器的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

示例9包括示例5所述的装置，其中，所述身份请求消息是由安全锚定功能(SEAF)节点从所述AUSF节点转发到所述AAA服务器的，所述第二身份响应消息是由所述SEAF节点从所述AAA服务器转发到所述AUSF节点的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

示例10包括示例6所述的装置，其中，所述通知请求消息是由安全锚定功能(SEAF)节点从所述AUSF节点转发到所述AAA服务器的，所述通知响应消息是由所述SEAF节点从所述AAA服务器转发到所述AUSF节点的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

示例11包括示例3所述的装置，其中，由所述AUSF节点基于所述第一组认证相关参数计算得出的认证密钥被用来推演主会话密钥，用于所述UE使用WLAN接入连接到演进分组核心(EPC)网络。

示例12包括一种用在用户设备(UE)中的装置，其中，该装置包括处理器电路，该处理器电路被配置为使得所述UE：从非3GPP接入网络接收第一身份请求消息，该第一身份请求消息用于请求所述UE的身份；以及向所述非3GPP接入网络发送第一身份响应消息，该第一身份响应消息用于提供所述UE的用户隐藏标识符(SUCI)和认证方法指示，其中，所述UE的SUCI和所述认证方法指示被所述非3GPP接入网络提供给认证服务器功能(AUSF)节点，用于对所述UE的认证。

示例13包括示例12所述的装置，其中，所述认证方法指示所指示的认证方法用于所述UE与无线通信系统之间的双向认证，所述AUSF节点驻留在所述无线通信系统中。

示例14包括示例13所述的装置，其中，所述非3GPP接入网络是无线局域网(WLAN)接入网络，所述无线通信系统是5G无线通信系统，并且所述UE与所述无线通信系统之间的双向认证是在所述UE使用非无缝WLAN卸载(NSWO)之前执行的。

示例15包括示例13所述的装置，其中，所述处理器电路进一步被配置为使得所述UE：从所述非3GPP接入网络接收挑战请求消息，该挑战请求消息包括第一组认证相关参数；以及向所述非3GPP接入网络发送挑战响应消息，该挑战响应消息包括第二组认证相关参数，其中，所述第一组认证相关参数是基于认证向量生成的，所述第二组认证相关参数是基于所述第一组认证相关参数生成的，并且所述认证向量是基于所述UE的SUCI和所述认证方法指示生成的。

示例16包括示例13所述的装置，其中，所述处理器电路进一步被配置为使得所述UE：从所述非3GPP接入网络接收认证成功消息，该认证成功消息指示所述UE与所述无线通信系统之间的双向认证成功。

示例17包括示例13所述的装置，其中，所述处理器电路进一步被配置为使得所述UE：从所述非3GPP接入网络接收第二身份请求消息，该第二身份请求消息用于请求所述UE的身份；以及向所述非3GPP接入网络发送第二身份响应消息，该第二身份响应消息包括所述UE的SUCI。

示例18包括示例13所述的装置，其中，所述处理器电路进一步被配置为使得所述UE：从所述非3GPP接入网络接收通知请求消息，该通知请求消息用于请求终止所述UE与所述无线通信系统之间的双向认证的通知；以及向所述非3GPP接入网络发送通知响应消息，该通知响应消息用于提供终止所述UE与所述无线通信系统之间的双向认证的通知。

示例19包括一种用在认证、授权、和计费(AAA)服务器中的方法，该方法包括在接收到由非3GPP接入网络从用户设备(UE)转发的第一身份响应消息时执行处理，其中，所述第一身份响应消息包括所述UE的用户隐藏标识符(SUCI)和认证方法指示，所述处理包括：向认证服务器功能(AUSF)节点发送认证请求消息，该认证请求消息包括所述UE的SUCI和所述认证方法指示；从所述AUSF节点向所述非3GPP接入网络转发挑战请求消息，该挑战请求消息包括第一组认证相关参数；以及从所述非3GPP接入网络向所述AUSF节点转发挑战响应消息，该挑战响应消息包括第二组认证相关参数，其中，所述第一组认证相关参数是基于认证向量生成的，所述第二组认证相关参数是基于所述第一组认证相关参数生成的，并且所述认证向量是基于所述UE的SUCI和所述认证方法指示生成的。

示例20包括示例19所述的方法，其中，所述认证方法指示所指示的认证方法用于所述UE与无线通信系统之间的双向认证，所述AUSF节点驻留在所述无线通信系统中。

示例21包括示例20所述的方法，其中，所述非3GPP接入网络是无线局域网(WLAN)接入网络，所述无线通信系统是5G无线通信系统，并且所述UE与所述无线通信系统之间的双向认证是在所述UE使用非无缝WLAN卸载(NSWO)之前执行的。

示例22包括示例20所述的方法，还包括：从所述AUSF服务器向所述非3GPP接入网络转发认证成功消息，该认证成功消息指示所述UE与所述无线通信系统之间的双向认证成功。

示例23包括示例20所述的方法，还包括：从所述AUSF节点向所述非3GPP接入网络转发身份请求消息，该身份请求消息用于请求所述UE的身份；以及从所述3GPP接入网络向所述AUSF节点转发第二身份响应消息，该第二身份响应消息包括所述UE的SUCI。

示例24包括示例20所述的方法，还包括：从所述AUSF节点向所述非3GPP接入网络转发通知请求消息，该通知请求消息用于请求终止所述UE与所述无线通信系统之间的双向认证的通知；以及从所述非3GPP接入网络向所述AUSF节点转发通知响应消息，该通知响应消息用于提供终止所述UE与所述无线通信系统之间的双向认证的通知。

示例25包括示例20所述的方法，其中，所述认证请求消息和所述挑战响应消息是由安全锚定功能(SEAF)节点从所述AAA服务器转发到所述AUSF节点的，所述挑战请求消息是由所述SEAF节点从所述AUSF节点转发到所述AAA服务器的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

示例26包括示例22所述的方法，其中，所述认证成功消息是由安全锚定功能(SEAF)节点从所述AUSF节点转发到所述AAA服务器的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

示例27包括示例23所述的方法，其中，所述身份请求消息是由安全锚定功能(SEAF)节点从所述AUSF节点转发到所述AAA服务器的，所述第二身份响应消息是由所述SEAF节点从所述AAA服务器转发到所述AUSF节点的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

示例28包括示例24所述的方法，其中，所述通知请求消息是由安全锚定功能(SEAF)节点从所述AUSF节点转发到所述AAA服务器的，所述通知响应消息是由所述SEAF节点从所述AAA服务器转发到所述AUSF节点的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

示例29包括示例21所述的方法，其中，由所述AUSF节点基于所述第一组认证相关参数计算得出的认证密钥被用来推演主会话密钥，用于所述UE使用WLAN接入连接到演进分组核心(EPC)网络。

示例30包括一种用在用户设备(UE)中的方法，该方法包括：从非3GPP接入网络接收第一身份请求消息，该第一身份请求消息用于请求所述UE的身份；以及向所述非3GPP接入网络发送第一身份响应消息，该第一身份响应消息用于提供所述UE的用户隐藏标识符(SUCI)和认证方法指示，其中，所述UE的SUCI和所述认证方法指示被所述非3GPP接入网络提供给认证服务器功能(AUSF)节点，用于对所述UE的认证。

示例31包括示例30所述的方法，其中，所述认证方法指示所指示的认证方法用于所述UE与无线通信系统之间的双向认证，所述AUSF节点驻留在所述无线通信系统中。

示例32包括示例31所述的方法，其中，所述非3GPP接入网络是无线局域网(WLAN)接入网络，所述无线通信系统是5G无线通信系统，并且所述UE与所述无线通信系统之间的双向认证是在所述UE使用非无缝WLAN卸载(NSWO)之前执行的。

示例33包括示例31所述的方法，还包括：从所述非3GPP接入网络接收挑战请求消息，该挑战请求消息包括第一组认证相关参数；以及向所述非3GPP接入网络发送挑战响应消息，该挑战响应消息包括第二组认证相关参数，其中，所述第一组认证相关参数是基于认证向量生成的，所述第二组认证相关参数是基于所述第一组认证相关参数生成的，并且所述认证向量是基于所述UE的SUCI和所述认证方法指示生成的。

示例34包括示例31所述的方法，还包括：从所述非3GPP接入网络接收认证成功消息，该认证成功消息指示所述UE与所述无线通信系统之间的双向认证成功。

示例35包括示例31所述的方法，还包括：从所述非3GPP接入网络接收第二身份请求消息，该第二身份请求消息用于请求所述UE的身份；以及向所述非3GPP接入网络发送第二身份响应消息，该第二身份响应消息包括所述UE的SUCI。

示例36包括示例31所述的方法，还包括：从所述非3GPP接入网络接收通知请求消息，该通知请求消息用于请求终止所述UE与所述无线通信系统之间的双向认证的通知；以及向所述非3GPP接入网络发送通知响应消息，该通知响应消息用于提供终止所述UE与所述无线通信系统之间的双向认证的通知。

示例37包括一种计算机可读存储介质，其上存储有计算机可执行指令，其中，所述计算机可执行指令在由认证、授权、和计费(AAA)服务器的处理器电路执行时，使得所述AAA服务器执行示例19至29中任一项所述的方法。

示例38包括一种计算机可读存储介质，其上存储有计算机可执行指令，其中，所述计算机可执行指令在由用户设备(UE)的处理器电路执行时，使得所述UE执行示例30至36中任一项所述的方法。

示例39包括一种用在认证、授权、和计费(AAA)服务器中的装置，该装置包括用于执行示例19至29中任一项所述的方法的部件。

示例40包括一种用在用户设备(UE)中的装置，该装置包括用于执行示例30至36中任一项所述的方法的部件。

尽管为了描述的目的，这里已经说明和描述了某些实施例，但是在不脱离本公开的范围的情况下，可以用实现相同目的的各种各样的替代和/或等效实施例或实施方式来代替图示出和描述的实施例。本申请旨在涵盖本文所讨论的实施例的任何改编或变化。因此，这里所描述的实施例显然仅由所附权利要求书及其等效物来限制。

Claims (24)

1.一种用在认证、授权、和计费(AAA)服务器中的装置，其中，该装置包括处理器电路，该处理器电路被配置为使得所述AAA服务器在接收到由非3GPP接入网络从用户设备(UE)转发的第一身份响应消息时执行处理，其中，所述第一身份响应消息包括所述UE的用户隐藏标识符(SUCI)和认证方法指示，所述处理包括：

向认证服务器功能(AUSF)节点发送认证请求消息，该认证请求消息包括所述UE的SUCI和所述认证方法指示；

从所述AUSF节点向所述非3GPP接入网络转发挑战请求消息，该挑战请求消息包括第一组认证相关参数；以及

从所述非3GPP接入网络向所述AUSF节点转发挑战响应消息，该挑战响应消息包括第二组认证相关参数，其中

所述第一组认证相关参数是基于认证向量生成的，所述第二组认证相关参数是基于所述第一组认证相关参数生成的，并且所述认证向量是基于所述UE的SUCI和所述认证方法指示生成的。

2.如权利要求1所述的装置，其中，所述认证方法指示所指示的认证方法用于所述UE与无线通信系统之间的双向认证，所述AUSF节点驻留在所述无线通信系统中。

3.如权利要求2所述的装置，其中，所述非3GPP接入网络是无线局域网(WLAN)接入网络，所述无线通信系统是5G无线通信系统，并且所述UE与所述无线通信系统之间的双向认证是在所述UE使用非无缝WLAN卸载(NSWO)之前执行的。

4.如权利要求2所述的装置，其中，所述处理器电路进一步被配置为使得所述AAA服务器：

从所述AUSF服务器向所述非3GPP接入网络转发认证成功消息，该认证成功消息指示所述UE与所述无线通信系统之间的双向认证成功。

5.如权利要求2所述的装置，其中，所述处理器电路进一步被配置为使得所述AAA服务器：

从所述AUSF节点向所述非3GPP接入网络转发身份请求消息，该身份请求消息用于请求所述UE的身份；以及

从所述3GPP接入网络向所述AUSF节点转发第二身份响应消息，该第二身份响应消息包括所述UE的SUCI。

6.如权利要求2所述的装置，其中，所述处理器电路进一步被配置为使得所述AAA服务器：

从所述AUSF节点向所述非3GPP接入网络转发通知请求消息，该通知请求消息用于请求终止所述UE与所述无线通信系统之间的双向认证的通知；以及

从所述非3GPP接入网络向所述AUSF节点转发通知响应消息，该通知响应消息用于提供终止所述UE与所述无线通信系统之间的双向认证的通知。

7.如权利要求2所述的装置，其中，所述认证请求消息和所述挑战响应消息是由安全锚定功能(SEAF)节点从所述AAA服务器转发到所述AUSF节点的，所述挑战请求消息是由所述SEAF节点从所述AUSF节点转发到所述AAA服务器的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

8.如权利要求4所述的装置，其中，所述认证成功消息是由安全锚定功能(SEAF)节点从所述AUSF节点转发到所述AAA服务器的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

9.如权利要求5所述的装置，其中，所述身份请求消息是由安全锚定功能(SEAF)节点从所述AUSF节点转发到所述AAA服务器的，所述第二身份响应消息是由所述SEAF节点从所述AAA服务器转发到所述AUSF节点的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

10.如权利要求6所述的装置，其中，所述通知请求消息是由安全锚定功能(SEAF)节点从所述AUSF节点转发到所述AAA服务器的，所述通知响应消息是由所述SEAF节点从所述AAA服务器转发到所述AUSF节点的，并且所述AAA服务器经由Diameter接口与所述SEAF节点交互。

11.如权利要求3所述的装置，其中，由所述AUSF节点基于所述第一组认证相关参数计算得出的认证密钥被用来推演主会话密钥，用于所述UE使用WLAN接入连接到演进分组核心(EPC)网络。

12.一种用在用户设备(UE)中的装置，其中，该装置包括处理器电路，该处理器电路被配置为使得所述UE：

从非3GPP接入网络接收第一身份请求消息，该第一身份请求消息用于请求所述UE的身份；以及

向所述非3GPP接入网络发送第一身份响应消息，该第一身份响应消息用于提供所述UE的用户隐藏标识符(SUCI)和认证方法指示，其中

所述UE的SUCI和所述认证方法指示被所述非3GPP接入网络提供给认证服务器功能(AUSF)节点，用于对所述UE的认证。

13.如权利要求12所述的装置，其中，所述认证方法指示所指示的认证方法用于所述UE与无线通信系统之间的双向认证，所述AUSF节点驻留在所述无线通信系统中。

14.如权利要求13所述的装置，其中，所述非3GPP接入网络是无线局域网(WLAN)接入网络，所述无线通信系统是5G无线通信系统，并且所述UE与所述无线通信系统之间的双向认证是在所述UE使用非无缝WLAN卸载(NSWO)之前执行的。

15.如权利要求13所述的装置，其中，所述处理器电路进一步被配置为使得所述UE：

从所述非3GPP接入网络接收挑战请求消息，该挑战请求消息包括第一组认证相关参数；以及

向所述非3GPP接入网络发送挑战响应消息，该挑战响应消息包括第二组认证相关参数，其中

所述第一组认证相关参数是基于认证向量生成的，所述第二组认证相关参数是基于所述第一组认证相关参数生成的，并且所述认证向量是基于所述UE的SUCI和所述认证方法指示生成的。

16.如权利要求13所述的装置，其中，所述处理器电路进一步被配置为使得所述UE：

从所述非3GPP接入网络接收认证成功消息，该认证成功消息指示所述UE与所述无线通信系统之间的双向认证成功。

17.如权利要求13所述的装置，其中，所述处理器电路进一步被配置为使得所述UE：

从所述非3GPP接入网络接收第二身份请求消息，该第二身份请求消息用于请求所述UE的身份；以及

向所述非3GPP接入网络发送第二身份响应消息，该第二身份响应消息包括所述UE的SUCI。

18.如权利要求13所述的装置，其中，所述处理器电路进一步被配置为使得所述UE：

从所述非3GPP接入网络接收通知请求消息，该通知请求消息用于请求终止所述UE与所述无线通信系统之间的双向认证的通知；以及

向所述非3GPP接入网络发送通知响应消息，该通知响应消息用于提供终止所述UE与所述无线通信系统之间的双向认证的通知。

19.一种计算机可读存储介质，其上存储有计算机可执行指令，其中，所述计算机可执行指令在由认证、授权、和计费(AAA)服务器中的处理器电路执行时，使得所述AAA服务器在接收到由非3GPP接入网络从用户设备(UE)转发的第一身份响应消息时执行处理，其中，所述第一身份响应消息包括所述UE的用户隐藏标识符(SUCI)和认证方法指示，所述处理包括：

向认证服务器功能(AUSF)节点发送认证请求消息，该认证请求消息包括所述UE的SUCI和所述认证方法指示；

从所述AUSF节点向所述非3GPP接入网络转发挑战请求消息，该挑战请求消息包括第一组认证相关参数；以及

从所述非3GPP接入网络向所述AUSF节点转发挑战响应消息，该挑战响应消息包括第二组认证相关参数，其中

所述第一组认证相关参数是基于认证向量生成的，所述第二组认证相关参数是基于所述第一组认证相关参数生成的，并且所述认证向量是基于所述UE的SUCI和所述认证方法指示生成的。

20.如权利要求19所述的计算机可读存储介质，其中，所述认证方法指示所指示的认证方法用于所述UE与无线通信系统之间的双向认证，所述AUSF节点驻留在所述无线通信系统中。

21.如权利要求20所述的计算机可读存储介质，其中，所述非3GPP接入网络是无线局域网(WLAN)接入网络，所述无线通信系统是5G无线通信系统，并且所述UE与所述无线通信系统之间的双向认证是在所述UE使用非无缝WLAN卸载(NSWO)之前执行的。

22.一种计算机可读存储介质，其上存储有计算机可执行指令，其中，所述计算机可执行指令在由用户设备(UE)的处理器电路执行时，使得所述UE：

从非3GPP接入网络接收第一身份请求消息，该第一身份请求消息用于请求所述UE的身份；以及

向所述非3GPP接入网络发送第一身份响应消息，该第一身份响应消息用于提供所述UE的用户隐藏标识符(SUCI)和认证方法指示，其中

所述UE的SUCI和所述认证方法指示被所述非3GPP接入网络提供给认证服务器功能(AUSF)节点，用于对所述UE的认证。

23.如权利要求22所述的计算机可读存储介质，其中，所述认证方法指示所指示的认证方法用于所述UE与无线通信系统之间的双向认证，所述AUSF节点驻留在所述无线通信系统中。

24.如权利要求23所述的计算机可读存储介质，其中，所述非3GPP接入网络是无线局域网(WLAN)接入网络，所述无线通信系统是5G无线通信系统，并且所述UE与所述无线通信系统之间的双向认证是在所述UE使用非无缝WLAN卸载(NSWO)之前执行的。

Images