CN116034595A - 用户设备(ue)到网络的中继的认证和授权 - Google Patents

用户设备(ue)到网络的中继的认证和授权 Download PDF

Info

Publication number
CN116034595A
CN116034595A CN202080102796.5A CN202080102796A CN116034595A CN 116034595 A CN116034595 A CN 116034595A CN 202080102796 A CN202080102796 A CN 202080102796A CN 116034595 A CN116034595 A CN 116034595A
Authority
CN
China
Prior art keywords
relay
user equipment
request
remote
remote user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080102796.5A
Other languages
English (en)
Inventor
L·蒂埃博
G·沃尔费内
D·钱德拉穆利
S·奈尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Technologies Oy
Original Assignee
Nokia Technologies Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Technologies Oy filed Critical Nokia Technologies Oy
Publication of CN116034595A publication Critical patent/CN116034595A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • H04W40/246Connectivity information discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

用于在远程用户设备(UE)与中继UE之间创建PC5连接的系统、方法、装置和计算机程序产品。远程UE可以向中继UE提供其标识符(例如,订阅隐藏标识符(SUCI)),并且中继UE可以将该标识符转发给网络,使得网络可以认证远程UE。网络可以检查使用中继UE的授权和/或用于中继远程UE的授权(例如,可以检查远程UE和中继UE两者是否具有允许中继的配置)。对于认证和授权,与中继UE相关联的接入和移动性管理功能(AMF)可以在远程UE与远程UE的认证服务器功能(AUSF)之间转发消息。以这种方式,本文中描述的某些实施例可以解决与远程UE的中继相关的某些安全问题。

Description

用户设备(UE)到网络的中继的认证和授权
技术领域
一些示例实施例总体上可以涉及移动或无线电信系统,诸如长期演进(LTE)或第五代(5G)无线电接入技术或新无线电(NR)接入技术,或者可以涉及其他通信系统。例如,某些实施例可以涉及用于用户设备(UE)到网络的中继的认证和授权的系统和/或方法。
背景技术
移动或无线电信系统的示例可以包括通用移动电信系统(UMTS)陆地无线电接入网(UTRAN)、长期演进(LTE)演进型UTRAN(E-UTRAN)、高级LTE(LTE-A)、MulteFire、LTE-APro、和/或第五代(5G)无线电接入技术或新无线电(NR)接入技术。5G无线系统是指下一代(NG)无线电系统和网络架构。5G主要建立在新无线电(NR)之上,但5G(或NG)网络也可以建立在E-UTRA无线电之上。据估计,NR可以提供10-20Gbit/s或更高的比特率,并且至少可以支持增强型移动宽带(eMBB)和超可靠低延迟通信(URLLC)以及大规模机器类型通信(mMTC)。NR有望提供超宽带和超稳健的低延迟连接和大规模网络以支持物联网(IoT)。随着IoT和机器对机器(M2M)通信变得越来越普遍,对能够满足低功耗、低数据速率和长电池寿命需求的网络的需要将不断增长。注意,在5G中,可以向用户设备提供无线电接入功能的节点(即,类似于UTRAN中的NodeB或LTE中的eNB)当建立在NR无线电上时可以被命名为gNB,而当建立在E-UTRA无线电上时可以被命名为NG-eNB。
发明内容
根据第一实施例,一种方法可以包括由中继UE接收远程UE的标识符。中继UE可以在网络的无线电覆盖范围内,并且可以向在无线电覆盖范围之外的远程UE提供对网络的接入。该方法可以包括向中继网络实体提供对中继远程UE的授权和认证的第一请求。第一请求可以包括远程UE的标识符。中继网络实体可以与中继UE的服务网络相关联。该方法可以包括当信令与认证远程UE相关联时,在远程UE与中继UE的服务网络之间中继该信令。该方法可以包括接收与第一请求相关联的响应。该响应可以包括标识第一请求的结果的信息、或者要与中继远程UE相关联地使用的安全信息。
在一个变体中,远程UE的标识符可以包括订阅隐藏标识符(SUCI)。在一个变体中,中继网络实体可以包括接入和移动性管理功能(AMF)。在一个变体中,非接入层(NAS)消息可以包括对授权和认证的第一请求或与第一请求相关联的响应。在一个变体中,第一请求的结果可以指示第一请求已经被接受。在一个变体中,该方法还可以包括基于第一请求被接受来向中继网络实体中继经由连接接收的数据。
根据第二实施例,一种方法可以包括由第一中继网络实体接收对用于中继UE中继远程UE的授权的第一请求。第一请求可以包括远程UE的标识符。中继UE可以在网络的无线电覆盖范围内,并且可以向在无线电覆盖范围之外的远程UE提供对网络的接入。该方法可以包括向第二中继网络实体提供对授权的第一请求。第一请求可以包括远程UE的标识符和中继UE的标识符。第二中继网络实体可以与中继UE的归属网络相关联。该方法可以包括在中继UE与第二中继网络实体之间中继对远程UE的认证的第二请求。该方法可以包括接收与对授权的第一请求或对认证的第二请求相关联的响应。该响应可以包括标识第一请求或第二请求的结果的信息、或者与远程UE的中继相关联的安全信息。该方法可以包括向中继UE提供该响应。
在一个变体中,远程UE的标识符可以包括SUCI。在一个变体中,中继UE的标识符可以包括订阅永久标识符(SUPI)或通用公共订阅标识符(GPSI)中的至少一项。在一个变体中,第一中继网络实体可以包括AMF。在一个变体中,第二中继网络实体可以包括认证服务器功能(AUSF)。在一个变体中,第一请求的结果可以指示第一请求已经被拒绝。在一个变体中,第一请求的结果可以指示第一请求已经被接受。
根据第三实施例,一种方法可以包括由第一中继网络实体接收对用于中继UE中继远程UE的授权和认证的第一请求。第一请求可以包括远程UE的标识符和中继UE的标识符。该方法可以包括确保远程UE被认证并且远程UE被授权由中继UE中继。该方法可以包括基于指示中继UE是否被允许中继远程UE的配置来向第二中继网络实体提供响应,该第二中继网络实体已经发出对用于中继UE中继远程UE的授权和认证的第一请求。
在一个变体中,当远程UE和中继UE具有不同归属网络时或者当远程UE不能由第一中继网络实体服务时,确定远程UE被认证并且远程UE被授权可以包括向远程网络实体提供对要由中继UE中继的远程UE的授权的第二请求。在一个变体中,远程网络实体可以与与远程UE相关联的归属网络相关联。在一个变体中,当远程UE和中继UE具有不同归属网络时或者当远程UE不能由第一中继网络实体服务时,确定远程UE被认证并且远程UE被授权可以包括在第一中继网络实体与远程网络实体之间中继与认证远程UE相关联的第三请求。在一个变体中,当远程UE和中继UE具有不同归属网络时或者当远程UE不能由第一中继网络实体服务时,确定远程UE被认证并且远程UE被授权可以包括接收与第二请求或第三请求相关联的响应。在一个变体中,响应可以包括标识第二请求或第三请求的结果的信息、远程UE的身份、或与远程UE的中继相关联的安全信息。
在一个变体中,远程UE的标识符可以包括SUCI。在一个变体中,中继UE的标识符可以包括SUPI或GPSI中的至少一项。在一个变体中,第一中继网络实体可以包括AUSF。在一个变体中,第二中继网络实体可以包括AMF。在一个变体中,第一请求可以从第二网络实体接收。在一个变体中,远程网络实体可以包括AUSF。
在一个变体中,第一请求的结果可以指示第一请求已经被拒绝。在一个变体中,第一请求的结果可以指示第一请求已经被接受。在一个变体中,该方法可以包括基于来自统一数据管理(UDM)功能或来自认证、授权和计费(AAA)服务器的信息来确定该配置是否指示中继UE被允许中继远程UE。
在一个变体中,当远程UE和中继UE具有相同归属网络时,确定远程UE被认证并且远程UE被授权可以包括经由中继服务网络实体认证远程UE。在一个变体中,当远程UE和中继UE具有相同归属网络时,确定远程UE被认证并且远程UE被授权可以包括确定该配置是否指示远程UE被允许由中继UE中继。在一个变体中,当远程UE和中继UE具有相同归属网络时,确定远程UE被认证并且远程UE被授权可以包括与远程UE交换信令,以经由中继UE的服务网络和中继UE来执行对远程UE的认证和授权。在一个变体中,由中继UE的服务网络和由中继UE使用的指示可以与信令的中继相关联。
根据第四实施例,一种方法可以包括接收对由中继UE中继的远程UE的授权和认证的请求。该请求可以包括远程UE的标识符和中继UE的标识符。中继UE可以在网络的无线电覆盖范围内,并且可以向在无线电覆盖范围之外的远程UE提供对网络的接入。该方法可以包括经由中继归属网络实体认证远程UE。该方法可以包括从另一远程网络实体接收标识远程UE是否被允许由中继UE中继的信息。该方法可以包括向中继网络实体提供与对授权的请求相关联的响应。该响应可以包括标识请求的结果的信息、远程UE的身份、或与远程UE的中继相关联的安全信息。
在一个变体中,远程UE的标识符可以包括SUCI。在一个变体中,中继UE的标识符可以包括SUPI或GPSI中的至少一项。在一个变体中,远程网络实体可以包括AUSF。在一个变体中,中继网络实体可以包括AUSF。
在一个变体中,请求的结果可以指示请求已经被拒绝。在一个变体中,请求的结果可以指示请求已经被接受。在一个变体中,该方法还可以包括确定远程UE是否被允许由中继UE中继。
在一个变体中,该方法可以包括基于确定远程UE被允许由中继UE中继来提供响应。在一个变体中,该方法可以包括基于来自UDM功能或AAA服务器的信息来确定远程UE是否被允许由中继UE中继。在一个变体中,该方法可以包括认证远程UE。在一个变体中,该方法可以包括基于认证远程UE的结果来生成安全材料。
第五实施例可以涉及一种包括至少一个处理器和包含计算机程序代码的至少一个存储器的装置。至少一个存储器和计算机程序代码可以被配置为与至少一个处理器一起引起该装置至少执行根据第一实施例、第二实施例、第三实施例或第四实施例的方法、或者上述任何变体。
第六实施例可以涉及一种装置,该装置可以包括被配置为执行根据第一实施例、第二实施例、第三实施例或第四实施例的方法、或者上述任何变体的电路系统。
第七实施例可以涉及一种装置,该装置可以包括用于执行根据第一实施例、第二实施例、第三实施例或第四实施例的方法、或者上述任何变体的部件。
第八实施例可以涉及一种计算机可读介质,该计算机可读介质包括存储在其上的程序指令,该程序指令用于至少执行根据第一实施例、第二实施例、第三实施例或第四实施例的方法、或者上述任何变体。
第九实施例可以涉及一种编码指令的计算机程序产品,该指令用于至少执行根据第一实施例、第二实施例、第三实施例或第四实施例的方法、或者上述任何变体。
附图说明
为了正确理解示例实施例,应当参考附图,在附图中:
图1示出了根据一些实施例的使用基于接近度的服务(ProSe)5G UE到网络层3(L3)解决方案的示例架构模型;
图2示出了根据一些实施例的使用ProSe 5G UE到网络L3中继解决方案并且使用非3GPP互通功能(N3IWF)的示例架构模型;
图3示出了根据一些实施例的ProSe 5G UE到网络L3中继解决方案的示例协议栈;
图4示出了根据一些实施例的到其他网络元件和公共陆地移动网络(PLMN)的ProSe功能接口的示例;
图5示出了根据一些实施例的UE到网络的中继的认证和授权的示例信号图;
图6示出了根据一些实施例的方法的示例流程图;
图7示出了根据一些实施例的方法的示例流程图;
图8示出了根据一些实施例的方法的示例流程图;
图9示出了根据一些实施例的方法的示例流程图;
图10a示出了根据一个实施例的装置的示例框图;以及
图10b示出了根据另一实施例的装置的示例框图。
具体实施方式
将容易理解,如本文中的附图中一般性地描述和图示的某些示例实施例的组件可以以多种不同配置来布置和设计。因此,以下对用于UE到网络(UE-to-network)的中继的认证和授权的系统、方法、装置和计算机程序产品的一些示例实施例的详细描述并非旨在限制某些实施例的范围,而是代表选定示例实施例。
在整个本说明书中描述的示例实施例的特征、结构或特性可以在一个或多个示例实施例中以任何合适的方式组合。例如,贯穿本说明书对短语“某些实施例”、“一些实施例”或其他类似语言的使用是指结合一个实施例而描述的特定特征、结构或特性可以被包括在至少一个实施例中。因此,贯穿本说明书的短语“在某些实施例中”、“在一些实施例中”、“在其他实施例中”或其他类似语言的出现不一定都是指同一组实施例,并且所描述的特征、结构或特征可以在一个或多个示例实施例中以任何合适的方式组合。此外,短语“……的集合”是指包括引用的集合成员中的一个或多个的集合。因此,短语“……的集合”、“……中的一个或多个”和“……中的至少一个”或等效短语可以互换使用。此外,除非另有明确规定,否则“或”旨在表示“和/或”。
另外,如果需要,下面讨论的不同功能或操作可以以不同顺序和/或彼此同时执行。此外,如果需要,所描述的功能或操作中的一个或多个可以是可选的或可以组合。因此,以下描述应当仅被视为说明某些示例实施例的原理和教导,而不是对其进行限制。
ProSe UE到网络的中继可以包括一种中继机制,其中UE提供用于针对(多个)远程UE支持到网络的连接的功能(例如,(多个)UE在无线电覆盖范围之外并且不能直接接入3GPP无线电网络并且因此可能需要无线电覆盖范围内的至少另一UE(称为“UE到网络的中继”或“中继UE”)的服务以便到达3GPP无线电网络)。中继UE(ProSe UE到网络的中继)可以具有到5G系统(5GS)的连接,并且可以中继无法获取到5GS的直接连接的(多个)远程UE的控制平面(CP)信令和用户平面(UP)业务。该特征可以对公共安全部队成员(例如,消防员/警察)有用。它也可以用于其他商业用途(例如,电池寿命和/或覆盖范围有限的可穿戴设备)。ProSe UE到网络的中继可以有各种解决方案集。一个集合可以包括第2层(L2)解决方案,其中5G无线电接入网(RAN)和中继UE可以被修改使得5G RAN直接针对CP和UP两者处理远程UE。在这种情况下,远程UE可以被5GS直接认证,就像它具有直接无线电接口一样。另一集合可以包括第3层(L3)解决方案,其中5G RAN可以不知道远程UE。在这种情况下,远程UE可能不会如它具有直接无线接口一样被5GS直接认证。中继UE可以不知道它是为远程UE中继UP数据还是CP数据。
图1示出了根据一些实施例的使用基于接近度的服务(ProSe)5G UE到网络层3(L3)解决方案的示例架构模型。例如,本文中描述的某些实施例可以应用于图1所示的架构100。架构100可以包括远程UE、PC5接口(例如,2个3GPP UE之间的直接无线电接口)、ProSeUE到网络的中继(中继UE)、Uu接口(例如,3GPP UE与NG RAN之间的3GPP无线电接口)、下一代RAN(NG-RAN)、5G核心(5GC)、N6接口(例如,3GPP定义的5G核心(5GC)与数据网络之间的用户平面接口)和应用服务器(AS)。本文中描述的某些实施例可以解决图1所示的架构的安全性,但可以应用于支持UE到网络的中继的任何L3解决方案(包括某些技术规范中描述的基线L3UE到网络的中继的解决方案)。例如,本文中描述的某些实施例可以在远程UE与中继UE之间建立PC5连接之前解决远程UE的认证,可以检查远程UE是否接受由中继UE进行中继,可以检查中继UE是否接受中继远程UE,可以促进通过PC5对专用安全密钥的潜在创建,等等。
如上所述,图1作为示例提供。根据一些实施例,其他示例是可能的。
图2示出了根据一些实施例的使用ProSe 5G UE到网络L3中继解决方案并且使用N3IWF的示例架构模型。例如,图2示出了可以在其中实现本文中描述的某些实施例的架构200。如图所示,架构200可以包括远程UE、PC5接口、中继UE、Uu接口、NG-RAN、中继5GC、UPF(与中继UE相关联)、N6接口、远程5GC、N3IWF、NG-RAN和UPF(与远程UE相关联)。图3示出了根据一些实施例的ProSe 5G UE到网络L3中继解决方案的示例协议栈。例如,图3示出了协议栈300。
关于图2和图3,服务于中继UE的5GC和服务于远程UE的5GC可以对应于相同的5GC网络,然而,本文中描述的某些实施例也可以应用于其中它们与不同网络或相同网络的不同切片相关联的架构。例如,如图2所示,远程UE的5GC(服务和归属)可以是中继UE的5GC(服务和归属)以外的其他网络。在图2和图3中,远程UE和中继UE的HPLMN(归属网络)和服务PLMN(受访网络)没有拆分,并且某些实施例可以应用于存在这种拆分的上下文中。虽然本文中描述的某些实施例可以解决图2和图3的架构的安全性,但某些实施例可以应用于支持UE到网络的中继的任何L3解决方案(包括已经在某些技术规范中描述的基线L3 UE到网络的中继解决方案)。用户平面功能(UPF)(用于中继UE)可以表示中继UE的协议数据单元(PDU)会话锚(PSA),并且UPF(用于远程UE)可以表示远程UE的PSA。
关于图3,具体地,在互联网协议版本4(IPv4)的情况下,中继UE可以向远程UE分配IPv4地址,并且中继UE可以在PC5与Uu接口上在基于IP的业务TCP或UDP/IP之间执行网络地址和端口转换(NAPT)。对于下行链路(DL)业务,中继UE可以使用IP端口来确定用于到达远程UE的IP寻址信息和PC5链路。中继UE可以不知道它是为远程UE中继UP还是CP。仍然,关于图3,在IPv6情况下,中继UE可以请求短于64位的前缀,并且可以从从网络接收的前缀范围中向远程UE分配64位IPv6前缀。
如上所述,图2和图3作为示例提供。根据一些实施例,其他示例是可能的。
图4示出了根据一些实施例的到其他网络元件和公共陆地移动网络(PLMN)的ProSe功能接口的示例。例如,图4示出了包括各种接口(例如,PC2接口、PC4a接口、PC4b接口、PC6接口和PC7接口)的架构400。ProSe的架构400可以已经在某些技术规范中被指定用于4G/长期演进(LTE),并且安全过程可以已经在一些其他技术规范中指定。该架构可以定义L3中继并且可以定义网络中的ProSe功能。启用ProSe的UE和ProSe功能可以相互认证。远程UE的认证和ProSe功能的密钥的引导可以使用某些技术规范中指定的通用引导架构(GBA)元素来进行。引导可以使用GBA框架中的引导服务器(BSF)来进行。
ProSe功能可以包括三个主要子功能,根据ProSe特征,这些子功能可发挥不同作用。例如,子功能可以包括直接供应功能(DPF),该DPF可以用于向UE供应必要的参数以便使用ProSe直接发现和ProSe直接通信。作为另一示例,子功能可以包括直接发现名称管理功能,该直接发现名称管理功能可以用于开放ProSe直接发现以分配和处理ProSe应用标识符(ID)和在ProSe直接发现中使用的ProSe应用代码的映射。演进分组核心(EPC)级发现ProSe功能可以具有指向AS(PC2接口)、指向其他ProSe函数(PC6接口)、指向归属订户服务器(HSS)(PC4a接口)、以及指向UE(PC3接口)的参考点。在先前的解决方案中,UE认证通过PC4a接口来执行。
如上所述,图4作为示例提供。根据一些实施例,其他示例是可能的。
本文中描述的一些实施例可以提供在远程UE与中继UE之间的PC5连接的创建(PC5接口的示例在图1和图2中示出)。远程UE可以向中继UE提供用于中继的请求及其自己的标识符(例如,订阅隐藏标识符(SUCI)),并且中继UE可以将该标识符转发给网络,使得网络可以认证远程UE。网络可以检查使用中继UE的授权和/或用于中继远程UE的授权(例如,可以检查远程UE和中继UE两者是否具有允许中继的配置)。对于认证和授权,与中继UE相关联的接入和移动性管理功能(AMF)可以在远程UE与远程UE的认证服务器功能(AUSF)之间转发该消息。以这种方式,本文中描述的某些实施例可以解决与远程UE的中继相关的某些安全问题。
图5示出了根据一些实施例的UE到网络的中继的认证和授权的示例信号图。例如,图5示出了远程UE、中继UE、NG-RAN、中继AMF(例如,服务于中继UE的AMF)、中继AUSF(例如,可以服务于中继UE的AUSF)、中继统一数据管理(UDM)(例如,接入中继UE的订阅信息的UDM)/认证、授权和计费服务器(AAA)(例如,控制中继UE的服务的AAA)、远程AUSF(例如,可以服务于远程UE的AUSF)和远程UDM/AAA。中继AMF、中继AUSF和中继UDM/AAA可以与中继UE相关联(例如,如中继UE一样的与相同服务网络相关联),并且远程AUSF和远程UDM/AAA可以与远程UE相关联(例如,与远程UE一样与相同网络相关联)。远程UE可以与中继UE与不同服务网络(例如,不同服务PLMN)相关联。例如,远程UE可以与第一受访PLMN(VPLMN)相关联,并且中继UE可以与第二VPLMN相关联。
如在500所示,中继UE可以针对中继UE执行注册过程。在该操作中,一个或多个AMF可以已经被分配给中继UE的服务网络中的中继UE。类似地,一个或多个AUSF可以已经在中继UE的归属网络中被确定。如502所示,远程UE和中继UE可以执行用于PC5建立的过程。例如,远程UE可以向中继UE提供用于中继远程UE的请求。远程UE可以向中继UE提供远程UE的标识符(例如,SUCI)。502处的过程可以与建立到中继UE的PC5连接相关联。
如504所示,中继UE可以向中继AMF提供对中继该远程UE的授权的请求。该请求可以包括非接入层(NAS)消息。该请求可以包括远程UE的标识符(例如,SUCI)。
以这种方式,中继UE可以联系其AMF,并且可以通过提供远程UE的SUCI来请求对中继远程UE的授权,并且某些实施例可以包括定义支持对中继远程UE的授权的请求的NAS信令(例如,基于远程UE的PUCI)。在某些实施例中,NAS消息可以在中继UE与其服务网络之间交换。
如506所示,AMF中继可以向中继AUSF提供对中继该远程UE的授权的请求。该请求可以包括远程UE的标识符(例如,SUCI)和/或中继UE的标识符(例如,订阅永久标识符(SUPI)或通用公共订阅标识符(GPSI))。以这种方式,AMF可以通过提供中继UE的SUPI和GPSI以及远程UE的SUCI来向中继UE的HPLMN中的AUSF发送对中继该远程UE的授权的请求。这可以包括定义与提供用于中继远程UE的授权相关的新NAUSF服务(例如,利用远程UE的SUCI和/或中继UE的SUPI和GPSI)。
如508所示,中继AUSF可以提供对要由中继UE中继的远程UE的授权的请求。该请求可以包括远程UE的标识符(例如,SUCI)和/或中继UE的标识符(例如,GPSI)。以这种方式,中继UE的AUSF可以将请求转发给远程UE的HPLMN的AUSF(基于远程UE的SUCI的归属网络标识符和/或路由标识符确定的)。这可以包括定义新的NAUSF服务,其中用于中继远程UE的授权被提供(例如,基于远程UE的SUCI和/或中继UE的GPSI)。当中继UE的AUSF不能处理远程UE的认证和授权时(例如,当中继UE和远程UE的归属PLMN不同时),可以应用508所示的操作。中继AUSF可以使用远程UE的SUCI的移动国家代码(MCC)/移动网络代码(MNC)和中继UE的SUPI的MCC/MNC来确定中继UE和远程UE是否都来自同一归属网络(HPLMN)。当中继UE的AUSF可以处理远程UE的认证和授权时,中继UE的AUSF可以在510和512支持其交互。
如510所示,远程AUSF可以执行远程UE的认证。这可以包括远程UE的AUSF与远程UE之间的多个交换。例如,与这种认证过程相关的交换可以由中继UE的AUSF和AMF以及通过中继UE中继。这些交换可以以如下这样的方式标识,该方式使得中继UE知道认证过程不以其自身即中继UE为目标,而是以远程UE为目标。由于中继UE的AMF可以拒绝来自远程UE的AUSF的请求(例如,在中继UE的服务网络与远程UE的归属网络之间没有业务协议的情况下),因此该认证流可能必须经由中继UE的AUSF。以这种方式,远程UE的AUSF可以认证远程UE。认证可以通过中继UE的AUSF和AMF以及通过中继UE透明地运行:中继UE的AUSF和AMF以及中继UE透明地中继认证相关信令,而不去理解(例如,处理、评估等)被中继的认证相关消息。这些消息中的一些或消息中的一些部分可以被加密(或部分地加密),并且只能由远程UE和远程AUSF解密。这可以包括中继UE与中继UE的AMF之间的新NAS信令。在认证过程结束时,AUSF可以已经确定远程UE的SUPI和GPSI。远程UE及其AUSF都可以根据远程UE的认证来确定安全(例如,加密)材料。安全材料(例如,加密)可以用于PC5安全。
如512所示,远程AUSF和远程UDM/AAA可以通信以检查中继是否被与远程UE相关联的配置授权或允许。例如,该检查可以使用中继UE的GPSI和/或远程UE的GPSI、或者使用与中继UE和/或远程UE相关联的一个或多个其他标识符来执行。作为一个示例替代方案,AUSF可以请求UDM检查远程UE的订阅数据,以了解远程UE(由其SUPI标识)是否接受由中继UE(由其GPSI标识)进行中继。作为另一示例替代方案,HPLMN可以具有来自第三方AAA服务器(由远程UE的GPSI的域部分标识)的策略,该策略用以检查远程UE(由其GPSI标识)是否接受由中继UE(由其GPSI标识)进行中继。
如514所示,远程AUSF可以向中继AUSF提供对被中继的远程UE的授权的响应。该响应可以标识请求的结果(例如,请求是被接受还是被拒绝)、远程用户设备(UE)的身份、要与中继相关联地使用的安全材料(例如,密码、公钥私钥对、散列等)等。该响应可以被包括在NAUSF消息中。以这种方式,假定512处的检查是肯定的,则远程UE的AUSF可以回答该请求以从中继UE的HPLMN的AUSF提供对被中继的远程UE的授权。远程AUSF可以提供结果并且可以提供以上从远程UE的认证中导出的安全材料。
如516所示,中继AUSF和中继UDM/AAA可以通信以检查中继是否由与远程UE相关联的配置授权或允许。例如,该检查可以使用中继UE的GPSI和/或远程UE的GPSI、或者使用与中继UE和/或远端UE相关联的一个或多个其他标识符来执行。以这种方式,中继UE的AUSF可以检查中继是否从中继UE侧被授权。这可能需要一个或多个不同替代方案。一个替代方案可以包括AUSF请求UDM检查中继UE的订阅数据,以了解中继UE(由其SUPI标识)是否接受远程UE(由其GPSI标识)。作为另一替代方案,HPLMN可以具有用于从第三方AAA服务器(由中继UE的GPSI的域部分标识)检查中继UE(由其GPSI标识)是否接受中继由其GPSI标识的远程UE的策略。如上所述,该检查可以与中继AUSF向远程AUSF提供请求相关联地执行。
如518所示,中继AUSF可以向中继AMF提供对中继远程UE的授权的响应。该响应可以标识请求的结果、远程用户设备(UE)的身份、要与中继相关联地使用的安全材料等。该响应可以被包括在NAUSF服务操作中。假定先前操作中的检查是肯定的,则中继UE的AUSF可以回答该请求以从中继UE的AMF提供对要被中继的远程UE的授权。中继AUSF可以提供结果和以上接收的安全材料。
如520所示,中继AMF可以向中继UE提供对中继远程UE的授权的响应。该响应可以标识请求的结果(例如,请求是被接受还是被拒绝)、要与中继相关联地使用的安全材料等。该响应可以被包括在NAS消息中。以这种方式,(中继UE的)AMF可以发送对中继远程UE的授权的NAS响应(例如,其包括请求的结果和/或安全材料)。
假定请求的结果指示允许由中继UE进行中继,则在接收到响应之后,中继UE可以为远程UE执行中继。例如,远程UE可以提供数据并且中继UE可以接收数据,并且中继UE可以向中继AMF和/或中继AUSF提供数据。如果回答是否定的,则中继UE可以触发PC5连接的释放或者可以维持PC5连接,但不激活其UE到网络的中继功能。
上述实施例可以通过各种示例用例来理解。尽管本文中在中继UE和远程UE来自不同归属网络的上下文中描述某些实施例,但一个示例情况包括中继UE和远程UE具有对同一HPLMN的订阅。在这种情况下,中继UE可以向5GS注册,并且可以为自己获取服务。远程UE可以尝试建立到中继UE的PC5连接。在PC5建立期间,当远程UE在PC5消息中从中继UE请求UE到网络的中继时,远程UE可以向中继UE提供其SUCI。中继UE可以联系其AMF,并且可以提供远程UE的SUCI而请求(经由NAS消息)对中继远程UE的授权。NAS消息可以包括注册请求,其中使用新的注册类型来反映该请求用于中继远程UE的认证。另外地或替代地,NAS消息可以包括上行链路NAS传输消息,其中使用新的请求类型来反映该请求是针对中继远程UE的认证。另外地或替代地,NAS消息可以包括新的NAS消息,该新的NAS消息可以使用请求类型来反映该请求是针对中继远程UE的认证。
AMF可以知道AUSF,因为它在中继UE的初始注册期间已经被选择。AMF可以向AUSF发送对用作远程UE与AUSF之间的远程UE的中继的授权请求。该请求可以提供中继UE的SUPI(和/或GPSI或其他标识符)和远程UE的SUCI。AUSF可以使用远程UE的SUCI的MCC/MNC和中继UE的SUPI的MCC/MCC来确定中继UE和远程UE两者是否来自同一归属网络(例如,HPLMN)。
远程AUSF可以经由中继AMF和中继UE认证远程UE。AUSF可以使用远程UE的SUCI来获取用于认证的证书。中继AUSF可以检查是否允许中继UE为远程UE执行中继。为此,它可以使用UDM和/或外部AAA服务器。例如,当远程UE和中继UE都是同一国际移动订户身份(IMSI)组的成员时,可以允许中继。AUSF可以向中继AMF提供认证和授权的结果。如果回答(例如,请求的结果)是否定的,则中继UE可以触发PC5连接的释放或者可以维持PC5连接,但不激活其UE到网络的中继功能。
某些实施例可以支持各种部署场景。远程UE和中继UE可以对应于不同HPLMN。中继5GC(中继UE的5GC)和远程5GC(远程UE的5GC)可以是相同或不同5GC网络。某些网络实体可以检查是否接受远程UE由中继UE中继。这可以使用远程UE的UDM订阅数据,其可以包含关于远程UE接受哪些中继UE(例如,任何UE、基于IMSI组的成员的UE、和/或基于SUPI或GPSI列表的UE)作为中继UE的信息。在某些实施例中,当远程UE和中继UE都是同一IMSI组的成员时,可以允许中继。另外地或替代地,其他实施例可以使用可以从第三方服务器获取的HPLMN策略,其中该策略指示远程UE是否接受由其通用公共订阅标识符(GPSI)标识的中继UE进行中继。在该步骤期间,HPLMN可以控制是否允许经由中继UE的服务PLMN进行中继。
某些实施例可以检查中继UE是否被接受为远程UE的中继。这可以使用用于中继UE的UDM订阅数据,其可以包括关于中继UE接受哪些远程UE(例如,任何UE、基于IMSI组的成员的UE、和/或基于SUPI或GPSI列表的UE)进行中继的信息。另外地或替代地,这可以使用可以从第三方服务器获取的HPLMN策略,其中该策略指示中继UE是否接受中继由其GPSI标识的远程UE。中继UE可以由VPLMN服务。
某些实施例可以包括远程AUSF使用远程UE认证来建立PC5安全材料。作为远程UEHPLMN的远程AUSF对远程UE的认证的一部分,可以由远程AUSF和远程UE两者导出PC5相关安全材料。该导出的安全材料可以与用于中继的授权一起从远程UE的AUSF提供回中继UE(经由中继UE的AMF)。
如上所述,图5作为示例提供。根据一些实施例,其他示例是可能的。
某些实施例可能不会将ProSe功能(在EPC中)的作用扩展到AMF和AUSF中。相反,AMF可以像在网络切片特定认证和授权(NSSAA)中那样充当中继。AUSF可以是能够联系UDM和/或第三方AAA服务器以检查UE到网络的中继特定认证和授权的实体(例如,它联系作为NSSAA的一部分的第三方AAA服务器)。以这种方式,某些实施例可以是AMF/AUSF功能的扩展。此外,利用AMF/NAS和AMF可以消除必须定义安全通信信道以到达传递UE到网络的中继特定认证和授权的实体,诸如当没有为5GS定义GBA时。
图6示出了根据一些实施例的方法的示例流程图。例如,图6示出了中继UE(例如,装置20)的示例操作。图6所示的一些操作可以与图1-图5所示的操作类似。
在一个实施例中,该方法可以包括:在600,接收远程UE的标识符。中继UE可以在网络的无线电覆盖范围内,并且可以向在无线电覆盖范围之外的远程UE提供对网络的接入。在一个实施例中,该方法可以包括:在602,向中继网络实体提供对中继远程UE的授权和认证的第一请求。第一请求可以包括远程UE的标识符。中继网络实体可以与中继UE的服务网络相关联。在一个实施例中,该方法可以包括:在604,当信令与认证远程UE相关联时,在远程UE与中继UE的服务网络之间中继该信令。在一个实施例中,该方法可以包括:在606,接收与第一请求相关联的响应。该响应可以包括标识第一请求的结果的信息、或者要与中继远程UE相关联地使用的安全信息。
在一些实施例中,远程UE的标识符可以包括SUCI。在一些实施例中,中继网络实体可以包括AMF。在一些实施例中,NAS消息可以包括授权和认证的第一请求或与第一请求相关联的响应。在一些实施例中,第一请求的结果可以指示第一请求已经被接受。在一些实施例中,该方法还可以包括基于第一请求被接受来向中继网络实体中继经由连接接收的数据。
如上所述,图6作为示例提供。根据一些实施例,其他示例是可能的。
图7示出了根据一些实施例的方法的示例流程图。例如,图7示出了中继AMF(第一中继网络实体)(例如,托管中继AMF的网络节点(例如,装置10))的示例操作。图7所示的一些操作可以与图1-图5所示的操作类似。
在一个实施例中,该方法可以包括:在700,接收对用于中继UE中继远程UE的授权的第一请求。第一请求可以包括远程UE的标识符。中继UE可以在网络的无线电覆盖范围内,并且可以向在无线电覆盖范围之外的远程UE提供对网络的接入。在一个实施例中,该方法可以包括:在702,向第二中继网络实体提供授权的第一请求。第一请求可以包括远程UE的标识符和中继UE的标识符。第二中继网络实体可以与中继UE的归属网络相关联。在一个实施例中,该方法可以包括:在704,在中继UE与第二中继网络实体之间中继对远程UE的认证的第二请求。在一个实施例中,该方法可以包括:在706,接收与授权的第一请求或认证的第二请求相关联的响应。该响应可以包括标识第一请求或第二请求的结果的信息、或者与远程UE的中继相关联的安全信息。在一个实施例中,该方法可以包括:在708,向中继UE提供该响应。
在一些实施例中,远程UE的标识符可以包括SUCI。在一些实施例中,中继UE的标识符可以包括SUPI或GPSI中的至少一项。在一些实施例中,第一中继网络实体可以包括AMF。在一些实施例中,第二中继网络实体可以包括AUSF。在一些实施例中,第一请求的结果可以指示第一请求已经被拒绝。在一些实施例中,第一请求的结果可以指示第一请求已经被接受。
如上所述,图7作为示例提供。根据一些实施例,其他示例是可能的。
图8示出了根据一些实施例的方法的示例流程图。例如,图8示出了中继AUSF(第一中继网络实体)(例如,托管中继AUSF的网络实体(例如,装置10))的示例操作。图8所示的一些操作可以与图1-图5所示的操作类似。
在一个实施例中,该方法可以包括:在800,接收对用于中继UE中继远程UE的授权和认证的第一请求。第一请求可以包括远程UE的标识符和中继UE的标识符。在一个实施例中,该方法可以包括:在802,确保远程UE被认证,并且远程UE被授权由中继UE中继(例如,通过执行认证本身或请求(远程UE的)另一网络实体进行认证)。在一个实施例中,该方法可以包括:在804,基于指示中继UE是否被允许中继远程UE的配置来向第二中继网络实体提供响应,该第二中继网络实体已经发出对用于中继UE中继远程UE的授权和认证的第一请求。
在一些实施例中,当远程UE和中继UE具有不同归属网络时或者当远程UE不能由第一中继网络实体服务时(例如,即使中继UE和远程UE都具有相同HPLMN,也可能必须使用另一AUSF),确定远程UE被认证并且远程UE被授权可以包括向远程网络实体提供对要由中继UE中继的远程UE的授权的第二请求。在一些实施例中,远程网络实体可以与与远程UE相关联的归属网络相关联。在一些实施例中,当远程UE和中继UE具有不同归属网络时或者当远程UE不能由第一中继网络实体服务时,确定远程UE被认证并且远程UE被授权可以包括在第一中继网络与远程网络实体之间中继与认证远程UE相关联的第三请求。在一些实施例中,当远程UE和中继UE具有不同归属网络时或者当远程UE不能由第一中继网络实体服务时,确定远程UE被认证并且远程UE被授权可以包括接收与第二请求或第三请求相关联的响应。在一些实施例中,响应可以包括标识第二请求或第三请求的结果的信息、远程UE的身份、或与远程UE的中继相关联的安全信息。
在一些实施例中,远程UE的标识符可以包括SUCI。在一些实施例中,中继UE的标识符可以包括SUPI或GPSI中的至少一项。在一些实施例中,第一中继网络实体可以包括AUSF。在一些实施例中,第二中继网络实体可以包括AMF。在一些实施例中,第一请求可以从第二网络实体接收。在一些实施例中,远程网络实体可以包括AUSF。
在一些实施例中,第一请求的结果可以指示第一请求已经被拒绝。在一些实施例中,第一请求的结果可以指示第一请求已经被接受。在一些实施例中,该方法可以包括基于来自UDM功能或来自AAA服务器的信息来确定该配置是否指示中继UE被允许中继远程UE。
在一些实施例中,当远程UE和中继UE具有相同归属网络时,确定远程UE被认证并且远程UE被授权可以包括经由中继服务网络实体认证远程UE。在一些实施例中,当远程UE和中继UE具有相同归属网络时,确定远程UE被认证并且远程UE被授权可以包括确定该配置是否指示远程UE被允许由中继UE中继。在一些实施例中,当远程UE和中继UE具有相同归属网络时,确定远程UE被认证并且远程UE被授权可以包括与远程UE交换信令,以经由中继UE的服务网络和中继UE来执行对远程UE的认证和授权。在一些实施例中,由中继UE的服务网络和由中继UE使用的指示可以与信令的中继相关联。
如上所述,图8作为示例提供。根据一些实施例,其他示例是可能的。
图9示出了根据一些实施例的方法的示例流程图。例如,图9示出了远程AUSF(远程网络实体)(例如,托管远程AUSF的网络节点(例如,装置10))的示例操作。图9所示的一些操作可以与图1-图5所示的一些操作类似。
在一个实施例中,该方法可以包括:在900,接收由中继UE中继的远程UE的授权和认证的请求。该请求可以包括远程UE的标识符和中继UE的标识符。中继UE可以在网络的无线电覆盖范围内,并且可以向在无线电覆盖范围之外的远程UE提供对网络的接入。在一个实施例中,该方法可以包括:在902,经由中继归属网络实体认证远程UE(例如,远程UE的AUSF可以认证经由中继UE的AUSF交换信令的远程UE(其自身使用中继UE的AMF,然后使用中继UE来到达远程UE))。在一个实施例中,该方法可以包括:在904,接收标识远程UE是否被允许由中继UE中继的信息(例如,从另一远程网络实体接收的)。在一个实施例中,该方法可以包括:在906,向中继网络实体提供与授权请求相关联的响应。该响应可以包括标识请求的结果的信息、远程UE的身份、或与远程UE的中继相关联的安全信息。
在一些实施例中,远程UE的标识符可以包括SUCI。在一些实施例中,中继UE的标识符可以包括SUPI或GPSI中的至少一项。在一些实施例中,远程网络实体可以包括AUSF。在一些实施例中,中继网络实体可以包括AUSF。
在一些实施例中,请求的结果可以指示请求已经被拒绝。在一些实施例中,请求的结果可以指示请求已经被接受。在一些实施例中,该方法还可以包括确定远程UE是否被允许由中继UE中继。
在一些实施例中,该方法可以包括基于确定远程UE被允许由中继UE中继来提供响应。在一些实施例中,该方法可以包括基于来自UDM功能或AAA服务器的信息来确定远程UE是否被允许由中继UE中继。在一些实施例中,该方法可以包括认证远程UE。在一些实施例中,该方法可以包括基于认证远程UE的结果来生成安全材料。
如上所述,图9作为示例提供。根据一些实施例,其他示例是可能的。
图10a示出了根据一个实施例的装置10的示例。在一个实施例中,装置10可以是通信网络中的或服务于这样的网络的节点、主机或服务器。例如,装置10可以是与无线电接入网(诸如LTE网络、5G或NR)相关联的网络节点、卫星、基站、节点B、演进型节点B(eNB)、5G节点B或接入点、下一代节点B(NG-NB或gNB)、和/或WLAN接入点。在示例实施例中,装置10可以是LTE中的eNB或5G中的gNB。在一些实施例中,网络节点可以托管网络实体,诸如本文中其他地方描述的AMF、AUSF、AAA、UDM等。
应当理解,在一些示例实施例中,装置10可以包括作为分布式计算系统的边缘云服务器,其中服务器和无线电节点可以是经由无线电路径或经由有线连接彼此通信的独立装置,或者它们可以位于经由有线连接进行通信的同一实体中。例如,在装置10表示gNB的某些示例实施例中,它可以以划分gNB功能的中央单元(CU)和分布式单元(DU)架构进行配置。在这样的架构中,CU可以是包括gNB功能(诸如用户数据的传输、移动性控制、无线电接入网共享、定位和/或会话管理等)的逻辑节点。CU可以通过前传接口控制(多个)DU的操作。DU可以是包括gNB功能的子集的逻辑节点,具体取决于功能拆分选项。应当注意,本领域普通技术人员将理解,装置10可以包括图10a中未示出的组件或特征。
如图10a的示例中所示,装置10可以包括用于处理信息和执行指令或操作的处理器12。处理器12可以是任何类型的通用或专用处理器。事实上,例如,处理器12可以包括以下中的一种或多种:通用计算机、专用计算机、微处理器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和基于多核处理器架构的处理器。尽管图10a中示出了单个处理器12,但是根据其他实施例,可以使用多个处理器。例如,应当理解,在某些实施例中,装置10可以包括两个或更多个处理器,该处理器可以形成可以支持多处理的多处理器系统(例如,在这种情况下,处理器12可以表示多处理器)。在某些实施例中,多处理器系统可以紧密耦合或松散耦合(例如,以形成计算机集群)。
处理器12可以执行与装置10的操作相关联的功能,该功能可以包括例如天线增益/相位参数的预编码、形成通信消息的个体比特的编码和解码、信息的格式化、以及装置10的总体控制,包括与通信资源的管理相关的过程。
装置10还可以包括或耦合到存储器14(内部或外部),该存储器14可以耦合到处理器12,该存储器14用于存储可以由处理器12执行的信息和指令。存储器14可以是一个或多个存储器并且具有适合本地应用环境的任何类型,并且可以使用任何合适的易失性或非易失性数据存储技术来实现,诸如基于半导体的存储器设备、磁存储器设备和系统、光存储器设备和系统、固定存储器、和/或可移动存储器。例如,存储器14可以包括随机存取存储器(RAM)、只读存储器(ROM)、诸如磁盘或光盘等静态存储装置、硬盘驱动器(HDD)、或任何其他类型的非暂态存储器或计算机可读介质。存储在存储器14中的指令可以包括程序指令或计算机程序代码,该程序指令或计算机程序代码在由处理器12执行时使得装置10能够执行本文中描述的任务。
在一个实施例中,装置10还可以包括或耦合到(内部或外部)驱动器或端口,该驱动器或端口被配置为接受和读取外部计算机可读存储介质,诸如光盘、USB驱动器、闪存驱动器、或任何其他存储介质。例如,外部计算机可读存储介质可以存储供处理器12和/或装置10执行的计算机程序或软件。
在一些实施例中,装置10还可以包括或耦合到一个或多个天线15,该天线15用于将信号和/或数据传输到装置10和从装置10接收信号和/或数据。装置10还可以包括或耦合到收发器18,该收发器18被配置为传输和接收信息。收发器18可以包括例如可以耦合到(多个)天线15的多个无线电接口。无线电接口可以对应于多种无线电接入技术,包括以下中的一种或多种:GSM、NB-IoT、LTE、5G、WLAN、Bluetooth、BT-LE、NFC、射频标识(RFID)、超宽带(UWB)、MulteFire等。无线电接口可以包括诸如滤波器、转换器(例如,数模转换器等)、映射器、快速傅里叶变换(FFT)模块等组件,以生成用于经由一个或多个下行链路进行传输的符号并且接收符号(例如,经由上行链路)。
因此,收发器18可以被配置为将信息调制到载波波形上以供(多个)天线15传输并且解调经由(多个)天线15接收的信息以供装置10的其他元件进一步处理。在其他实施例中,收发器18可以能够直接传输和接收信号或数据。另外地或替代地,在一些实施例中,装置10可以包括输入和/或输出设备(I/O设备)。
在一个实施例中,存储器14可以存储在由处理器12执行时提供功能的软件模块。该模块可以包括例如为装置10提供操作系统功能的操作系统。存储器还可以存储一个或多个功能模块,诸如应用或程序,以为装置10提供附加功能。装置10的组件可以用硬件实现,或者实现为硬件和软件的任何合适的组合。
根据一些实施例,处理器12和存储器14可以被包括在处理电路系统或控制电路系统中或者可以形成其一部分。此外,在一些实施例中,收发器18可以被包括在收发器电路系统中或者可以形成其一部分。
如本文中使用的,术语“电路系统”可以是指仅硬件电路实现(例如,模拟和/或数字电路系统)、硬件电路和软件的组合、模拟和/或数字硬件电路与软件/固件的组合、具有软件的(多个)硬件处理器(包括数字信号处理器)的一起工作以引起装置(例如,装置10)执行各种功能的任何部分、和/或使用软件进行操作但在操作不需要时该软件可以不存在的(多个)硬件电路和/或(多个)处理器或其部分。作为另外的示例,如本文中使用的,术语“电路系统”还可以涵盖仅硬件电路或处理器(或多个处理器)、或硬件电路或处理器的一部分、以及其伴随软件和/或固件的实现。术语电路系统还可以涵盖例如服务器、蜂窝网络节点或设备或其他计算或网络设备中的基带集成电路。
如上所述,在某些实施例中,装置10可以是网络节点或RAN节点,诸如基站、接入点、节点B、eNB、gNB、WLAN接入点等。
根据某些实施例,装置10可以由存储器14和处理器12控制以执行与本文中描述的任何实施例相关联的功能,诸如图1-图9所示的流程图或信令图的一些操作。
例如,在一个实施例中,装置10可以由存储器14和处理器12控制以接收对用于中继UE中继远程UE的授权的第一请求。第一请求可以包括远程UE的标识符。中继UE可以在网络的无线电覆盖范围内,并且可以向在无线电覆盖范围之外的远程UE提供对网络的接入。在一个实施例中,装置10可以由存储器14和处理器12控制以向第二中继网络实体提供授权的第一请求。第一请求可以包括远程UE的标识符和中继UE的标识符。第二中继网络实体可以与中继UE的归属网络相关联。在一个实施例中,装置10可以由存储器14和处理器12控制以在中继UE与第二中继网络实体之间中继对远程UE的认证的第二请求。在一个实施例中,装置10可以由存储器14和处理器12控制以接收与授权的第一请求或认证的第二请求相关联的响应。该响应可以包括标识第一请求或第二请求的结果的信息、或者与远程UE的中继相关联的安全信息。在一个实施例中,装置10可以由存储器14和处理器12控制以向中继UE提供该响应。
在一个实施例中,装置10可以由存储器14和处理器12控制以接收对用于中继UE中继远程UE的授权和认证的第一请求。第一请求可以包括远程UE的标识符和中继UE的标识符。在一个实施例中,装置10可以由存储器14和处理器12控制以确保远程UE被认证并且远程UE被授权由中继UE中继。在一个实施例中,装置10可以由存储器14和处理器12控制以基于指示中继UE是否被允许中继远程UE的配置来向第二中继网络实体提供响应,该第二中继网络实体已经发出对用于中继UE中继远程UE的授权和认证的第一请求。
在一个实施例中,装置10可以由存储器14和处理器12控制以接收对要由中继UE中继的远程UE的授权和认证的请求。该请求可以包括远程UE的标识符和中继UE的标识符。中继UE可以在网络的无线电覆盖范围内,并且可以向在无线电覆盖范围之外的远程UE提供对网络的接入。在一个实施例中,装置10可以由存储器14和处理器12控制以经由中继归属网络实体认证远程UE。在一个实施例中,装置10可以由存储器14和处理器12控制以从另一远程网络实体接收标识远程UE是否被允许由中继UE中继的信息。在一个实施例中,装置10可以由存储器14和处理器12控制以向中继网络实体提供与授权请求相关联的响应。该响应可以包括标识请求的结果的信息、远程UE的身份、或与远程UE的中继相关联的安全信息。
图10b示出了根据另一实施例的装置20的示例。在一个实施例中,装置20可以是通信网络中的或与这样的网络相关联的节点或元件,诸如UE、移动设备(mobile equipment)(ME)、移动台、移动设备(mobile device)、固定设备、IoT设备或其他设备。如本文所述,UE可以替代地称为例如移动台、移动设备(mobile equipment)、移动单元、移动设备(mobiledevice)、用户设备、订户站、无线终端、平板电脑、智能手机、IoT设备、传感器或NB-IoT设备等。作为一个示例,装置20可以在例如无线手持设备、无线插入式附件等中实现。
在一些示例实施例中,装置20可以包括一个或多个处理器、一个或多个计算机可读存储介质(例如,存储器、存储装置等)、一个或多个无线电接入组件(例如,调制解调器、收发器等)和/或用户接口。在一些实施例中,装置20可以被配置为使用一种或多种无线电接入技术来操作,诸如GSM、LTE、LTE-A、NR、5G、WLAN、WiFi、NB-IoT、Bluetooth、NFC、MulteFire和/或任何其他无线电接入技术。应当注意,本领域普通技术人员将理解,装置20可以包括图10b中未示出的组件或特征。
如图10b的示例中所示,装置20可以包括或耦合到用于处理信息和执行指令或操作的处理器22。处理器22可以是任何类型的通用或专用处理器。实际上,处理器22可以包括以下中的一种或多种:通用计算机、专用计算机、微处理器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和基于多核处理器架构的处理器。尽管图10b中示出了单个处理器22,但是根据其他实施例,可以使用多个处理器。例如,应当理解,在某些实施例中,装置20可以包括两个或更多个处理器,该处理器可以形成可以支持多处理的多处理器系统(例如,在这种情况下,处理器22可以表示多处理器)。在某些实施例中,多处理器系统可以紧密耦合或松散耦合(例如,以形成计算机集群)。
处理器22可以执行与装置20的操作相关联的功能,作为一些示例,包括天线增益/相位参数的预编码、形成通信消息的个体比特的编码和解码、信息的格式化和装置20的总体控制,包括与通信资源的管理相关的过程。
装置20还可以包括或耦合到存储器24(内部或外部),该存储器24可以耦合到处理器22,该存储器24用于存储可以由处理器22执行的信息和指令。存储器24可以是一个或多个存储器并且具有适合本地应用环境的任何类型,并且可以使用任何合适的易失性或非易失性数据存储技术来实现,诸如基于半导体的存储器设备、磁存储器设备和系统、光存储器设备和系统、固定存储器、和/或可移动存储器。例如,存储器24可以包括随机存取存储器(RAM)、只读存储器(ROM)、诸如磁盘或光盘等静态存储装置、硬盘驱动器(HDD)、或任何其他类型的非暂态存储器或计算机可读介质。存储在存储器24中的指令可以包括程序指令或计算机程序代码,该程序指令或计算机程序代码在由处理器22执行时使得装置20能够执行如本文中描述的任务。
在一个实施例中,装置20还可以包括或耦合到(内部或外部)驱动器或端口,该驱动器或端口被配置为接受和读取外部计算机可读存储介质,诸如光盘、USB驱动器、闪存驱动器、或任何其他存储介质。例如,外部计算机可读存储介质可以存储供处理器22和/或装置20执行的计算机程序或软件。
在一些实施例中,装置20还可以包括或耦合到一个或多个天线25,该天线25用于接收下行链路信号和用于经由上行链路从装置20进行传输。装置20还可以包括被配置为传输和接收信息的收发器28。收发器28还可以包括耦合到天线25的无线电接口(例如,调制解调器)。无线电接口可以对应于多种无线电接入技术,包括GSM、LTE、LTE-A、5G、NR、WLAN、NB-IoT、Bluetooth、BT-LE、NFC、RFID、UWB等。无线电接口可以包括诸如滤波器、转换器(例如,数模转换器等)、符号解映射器、信号整形组件、快速傅里叶逆变换(IFFT)模块等其他组件,以处理由下行链路或上行链路承载的符号,诸如OFDMA符号。
例如,收发器28可以被配置为将信息调制到载波波形上以供(多个)天线25传输并且解调经由(多个)天线25接收的信息以供装置20的其他元件进一步处理。在其他实施例中,收发器28可以能够直接传输和接收信号或数据。另外地或替代地,在一些实施例中,装置20可以包括输入和/或输出设备(I/O设备)。在某些实施例中,装置20还可以包括用户接口,例如图形用户界面或触摸屏。
在一个实施例中,存储器24存储在由处理器22执行时提供功能的软件模块。该模块可以包括例如为装置20提供操作系统功能的操作系统。存储器还可以存储一个或多个功能模块,诸如应用或程序,以为装置20提供附加功能。装置20的组件可以用硬件实现,或者实现为硬件和软件的任何合适的组合。根据示例实施例,装置20可以可选地被配置为根据诸如NR等任何无线电接入技术经由无线或有线通信链路70与装置10通信。
根据一些实施例,处理器22和存储器24可以被包括在处理电路系统或控制电路系统中或者可以形成其一部分。此外,在一些实施例中,收发器28可以被包括在收发电路系统中或者可以形成其一部分。
如上所述,根据一些实施例,装置20例如可以是UE、移动设备、移动台、ME、IoT设备和/或NB-IoT设备。根据某些实施例,装置20可以由存储器24和处理器22控制以执行与本文中描述的示例实施例相关联的功能。例如,在一些实施例中,装置20可以被配置为执行在本文中描述的任何流程图或信令图中描绘的过程中的一个或多个过程,诸如图1-图5所示的那些。
例如,在一个实施例中,装置20可以由存储器24和处理器22控制以接收远程UE的标识符。中继UE可以在网络的无线电覆盖范围内,并且可以向在无线电覆盖范围之外的远程UE提供对网络的接入。在一个实施例中,装置20可以由存储器24和处理器22控制以向中继网络实体提供对中继远程UE的授权和认证的第一请求。第一请求可以包括远程UE的标识符。中继网络实体可以与中继UE的服务网络相关联。在一个实施例中,当信令与认证远程UE相关联时,装置20可以由存储器24和处理器22控制以在远程UE与中继UE的服务网络之间中继该信令。在一个实施例中,装置20可以由存储器24和处理器22控制以接收与第一请求相关联的响应。该响应可以包括标识第一请求的结果的信息、或者要与中继远程UE相关联地使用的安全信息。
因此,与现有技术处理相比,某些示例实施例提供了若干技术改进、增强和/或优势。例如,一些示例实施例的一个优点是关于远程UE的中继的增强的安全性。因此,一些示例实施例的使用产生通信网络及其节点的改进的功能,并且因此构成至少对远程UE中继等技术领域的改进。
在一些示例实施例中,本文中描述的任何方法、过程、信令图、算法或流程图的功能可以通过存储在存储器或其他计算机可读或有形介质中并且由处理器执行的软件和/或计算机程序代码或代码部分来实现。
在一些示例实施例中,一种装置可以被包括在至少一个软件应用、模块、单元或实体中或与其相关联,该软件应用、模块、单元或实体被配置为(多个)算术运算,或者被配置为由至少一个操作处理器执行的程序或其部分(包括添加的或更新的软件例程)。程序(也称为程序产品或计算机程序,包括软件例程、小程序和宏)可以存储在任何装置可读数据存储介质中,并且可以包括用于执行特定任务的程序指令。
计算机程序产品可以包括一个或多个计算机可执行组件,当程序运行时,该计算机可执行组件被配置为执行一些示例实施例。一个或多个计算机可执行组件可以是至少一个软件代码或代码部分。用于实现示例实施例的功能的修改和配置可以作为(多个)例程来执行,该例程可以作为(多个)添加或更新的软件例程来实现。在一个示例中,(多个)软件例程可以下载到该装置中。
作为示例,软件或计算机程序代码或代码部分可以是源代码形式、目标代码形式或某种中间形式,并且它可以存储在某种载体、分发介质或计算机可读介质中,该载体、分发介质或计算机可读介质可以是能够承载程序的任何实体或设备。例如,这样的载体可以包括记录介质、计算机存储器、只读存储器、光电和/或电载体信号、电信信号和/或软件分发包。根据所需要的处理能力,计算机程序可以在单个电子数字计算机中执行,也可以分布在多个计算机中。计算机可读介质或计算机可读存储介质可以是非暂态介质。
在其他示例实施例中,功能可以由装置(例如,装置10或装置20)中包括的硬件或电路系统来执行,例如通过使用专用集成电路(ASIC)、可编程门阵列(PGA)、现场可编程门阵列(FPGA)、或任何其他硬件和软件组合。在又一示例实施例中,功能可以实现为信号,诸如可以由从互联网或其他网络下载的电磁信号承载的无形部件。
根据示例实施例,诸如节点、设备或对应组件等装置可以被配置为电路系统、计算机或微处理器,诸如单片计算机元件,或者被配置为芯片组,芯片组可以至少包括用于提供用于(多个)算术运算的存储容量的存储器和/或用于执行(多个)算术运算的运算处理器。
本文中描述的示例实施例同样适用于单数和复数实现,无论是单数还是复数语言与特定实施例的描述相结合使用。例如,描述单个UE的操作的实施例同样适用于包括UE的多个实例的实施例,反之亦然。
本领域普通技术人员将容易理解,与所公开的相比,如上讨论的示例实施例可以用不同顺序的操作和/或用不同配置的硬件元件来实践。因此,尽管已经基于这些示例优选实施例描述了一些实施例,但是对于本领域技术人员来说很清楚的是,某些修改、变化和替代构造将是很清楚的,同时保持在示例实施例的精神和范围内。
部分词汇表
5GC:5G核心网
5GS:5G系统
5G-AN:5G接入网
5G-GUTI:5G全球唯一临时标识符
5G-S-TMSI:5G S临时移动订阅标识符
AMF:接入和移动性管理功能
AUSF:认证服务器功能
CHF:计费功能
CP:控制平面
DL:下行链路
DN:数据网络
DNN:数据网络名称
GPSI:通用公共订阅标识符
HR:归属路由(漫游)
IMEI/TAC:IMEI类型分配代码
LBO:本地中断(漫游)
N3IWF:非3GPP互通功能
NEF:网络暴露功能
NF:网络功能
NR:新无线电
PEI:永久设备标识符
(R)AN/RAN:(无线电)接入网/无线电接入网
SEAF:安全锚功能
SMF:会话管理功能
UDM:统一数据管理
UDR:统一数据存储库
UL:上行链路
UPF:用户平面功能

Claims (42)

1.一种方法,包括:
由中继用户设备(UE)接收远程用户设备(UE)的标识符,其中所述中继用户设备(UE)在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
向中继网络实体提供对中继所述远程用户设备(UE)的授权和认证的第一请求,其中所述第一请求包括所述远程用户设备(UE)的所述标识符,其中所述中继网络实体与所述中继用户设备(UE)的服务网络相关联;
当信令与认证所述远程用户设备(UE)相关联时,在所述远程用户设备(UE)与所述中继用户设备(UE)的所述服务网络之间中继所述信令;以及
接收与所述第一请求相关联的响应,其中所述响应包括:
标识所述第一请求的结果的信息,或者
要与中继所述远程用户设备(UE)相关联地使用的安全信息。
2.根据权利要求1所述的方法,其中所述远程用户设备(UE)的所述标识符包括订阅隐藏标识符(SUCI)。
3.根据权利要求1或2所述的方法,其中所述中继网络实体包括接入和移动性管理功能(AMF)。
4.根据权利要求1至3中任一项所述的方法,其中非接入层(NAS)消息包括对授权和认证的所述第一请求、或与所述第一请求相关联的所述响应。
5.根据权利要求1至4中任一项所述的方法,其中所述第一请求的所述结果指示所述第一请求已经被拒绝,并且
其中所述方法还包括:
基于所述第一请求被拒绝来触发所述连接的释放,或者
基于所述第一请求被拒绝来维持所述连接、而不执行所述中继。
6.根据权利要求1至5中任一项所述的方法,其中所述第一请求的所述结果指示所述第一请求已经被接受,并且
其中所述方法还包括:
基于所述第一请求被接受来向所述中继网络实体中继经由所述连接接收的数据。
7.一种方法,包括:
由第一中继网络实体接收对用于中继用户设备(UE)中继远程用户设备(UE)的授权的第一请求,其中所述第一请求包括所述远程用户设备(UE)的标识符,其中所述中继用户设备(UE)在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
向第二中继网络实体提供对授权的所述第一请求,其中所述第一请求包括所述远程用户设备(UE)的标识符和所述中继用户设备(UE)的标识符,其中所述第二中继网络实体与所述中继用户设备(UE)的归属网络相关联;
在所述中继用户设备(UE)与所述第二中继网络实体之间中继对所述远程用户设备(UE)的认证的第二请求;
接收与对授权的所述第一请求或对认证的所述第二请求相关联的响应,其中所述响应包括:
标识所述第一请求或所述第二请求的结果的信息,或者
与所述远程用户设备(UE)的所述中继相关联的安全信息;以及
向所述中继用户设备(UE)提供所述响应。
8.根据权利要求7所述的方法,其中所述远程用户设备(UE)的所述标识符包括订阅隐藏标识符(SUCI)。
9.根据权利要求7或8所述的方法,其中所述中继用户设备(UE)的所述标识符包括订阅永久标识符(SUPI)或通用公共订阅标识符(GPSI)中的至少一项。
10.根据权利要求7至9中任一项所述的方法,其中所述第一中继网络实体包括接入和移动性管理功能(AMF)。
11.根据权利要求7至10中任一项所述的方法,其中所述第二中继网络实体包括认证服务器功能(AUSF)。
12.根据权利要求7至11中任一项所述的方法,
其中所述第一请求的所述结果指示所述第一请求已经被拒绝,或者
其中所述第一请求的所述结果指示所述第一请求已经被接受。
13.一种方法,包括:
由第一中继网络实体接收对用于中继用户设备(UE)中继远程用户设备(UE)的授权和认证的第一请求,其中所述第一请求包括所述远程用户设备(UE)的标识符和所述中继用户设备(UE)的标识符;
确保所述远程用户设备(UE)被认证、并且所述远程用户设备(UE)被授权由所述中继用户设备(UE)中继;以及
基于指示所述中继用户设备(UE)是否被允许中继所述远程用户设备(UE)的配置来向第二中继网络实体提供响应,所述第二中继网络实体已经发出对用于所述中继用户设备(UE)中继所述远程用户设备(UE)的所述授权和认证的第一请求。
14.根据权利要求13所述的方法,其中当所述远程用户设备(UE)和所述中继用户设备(UE)具有不同归属网络时、或者当所述远程用户设备(UE)不能由所述第一中继网络实体服务时,确定所述远程用户设备(UE)被认证、并且所述远程用户设备(UE)被授权包括:
向远程网络实体提供对要由所述中继用户设备(UE)中继的所述远程用户设备(UE)的授权的第二请求,其中所述远程网络实体与和所述远程用户设备(UE)相关联的归属网络相关联;
在所述第一中继网络实体与所述远程网络实体之间中继与认证所述远程用户设备(UE)相关联的第三请求;以及
接收与所述第二请求或所述第三请求相关联的响应,其中所述响应包括:
标识所述第二请求或所述第三请求的结果的信息,
所述远程用户设备(UE)的身份,或者
与所述远程用户设备(UE)的所述中继相关联的安全信息。
15.根据权利要求13或14所述的方法,其中所述远程用户设备(UE)的所述标识符包括订阅隐藏标识符(SUCI)。
16.根据权利要求13至15中任一项所述的方法,其中所述中继用户设备(UE)的所述标识符包括订阅永久标识符(SUPI)或通用公共订阅标识符(GPSI)中的至少一项。
17.根据权利要求13至16中任一项所述的方法,其中所述第一中继网络实体包括认证服务器功能(AUSF),或者其中所述第二中继网络实体包括接入和移动性管理功能(AMF),其中所述第一请求从所述第二网络实体被接收。
18.根据权利要求14所述的方法,其中所述远程网络实体包括认证服务器功能(AUSF)。
19.根据权利要求14所述的方法,
其中所述第一请求的所述结果指示所述第一请求已经被拒绝,或者
其中所述第一请求的所述结果指示所述第一请求已经被接受。
20.根据权利要求13至19中任一项所述的方法,还包括:
基于来自统一数据管理(UDM)功能、或来自认证、授权和计费(AAA)服务器的信息,来确定所述配置是否指示所述中继用户设备(UE)被允许中继所述远程用户设备(UE)。
21.根据权利要求13至20中任一项所述的方法,其中当所述远程用户设备(UE)和所述中继用户设备(UE)具有相同归属网络时,确定所述远程用户设备(UE)被认证、并且所述远程用户设备(UE)被授权包括:
经由中继服务网络实体认证所述远程用户设备(UE);
确定所述配置是否指示所述远程用户设备(UE)被允许由所述中继用户设备(UE)中继;以及
与所述远程用户设备(UE)交换信令,以经由所述中继用户设备(UE)的服务网络和所述中继用户设备(UE)来执行对所述远程用户设备(UE)的认证和授权,其中由所述中继用户设备(UE)的所述服务网络和所述中继用户设备(UE)使用的指示与所述信令的中继相关联。
22.一种方法,包括:
由远程网络实体接收对要由中继用户设备(UE)中继的远程用户设备(UE)的授权和认证的请求,其中所述请求包括所述远程用户设备(UE)的标识符、以及所述中继用户设备(UE)的标识符,其中所述中继用户设备(UE)在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
经由中继归属网络实体认证所述远程用户设备(UE);
从另一远程网络实体接收标识所述远程用户设备(UE)是否被允许由所述中继用户设备(UE)中继的信息;以及
向中继网络实体提供与对授权的所述请求相关联的响应,其中所述响应包括:
标识所述请求的结果的信息,
所述远程用户设备(UE)的身份,或者
与所述远程用户设备(UE)的所述中继相关联的安全信息。
23.根据权利要求22所述的方法,其中所述远程用户设备(UE)的所述标识符包括订阅隐藏标识符(SUCI)。
24.根据权利要求22或23所述的方法,其中所述中继用户设备(UE)的所述标识符包括订阅永久标识符(SUPI)或通用公共订阅标识符(GPSI)中的至少一项。
25.根据权利要求22至24中任一项所述的方法,
其中所述远程网络实体包括认证服务器功能(AUSF),或者
其中所述中继网络实体包括认证服务器功能(AUSF)。
26.根据权利要求22至25中任一项所述的方法,
其中所述请求的所述结果指示所述请求已经被拒绝,或者
其中所述请求的所述结果指示所述请求已经被接受。
27.根据权利要求22至26中任一项所述的方法,还包括:
确定所述远程用户设备(UE)是否被允许由所述中继用户设备(UE)中继;以及
其中提供所述响应还包括:
基于确定所述远程用户设备(UE)被允许由所述中继用户设备(UE)中继来提供所述响应。
28.根据权利要求22至27中任一项所述的方法,其中确定所述远程用户设备(UE)是否被允许由所述中继用户设备(UE)中继还包括:
基于来自统一数据管理(UDM)功能、或认证、授权和计费(AAA)服务器的信息,来确定所述远程用户设备(UE)是否被允许由所述中继用户设备(UE)中继。
29.根据权利要求22至28中任一项所述的方法,其中所述方法还包括:
认证所述远程用户设备(UE)。
30.根据权利要求29所述的方法,还包括:
基于认证所述远程用户设备(UE)的结果来生成所述安全材料。
31.一种中继装置,包括:
至少一个处理器;以及
至少一个存储器,包含计算机程序代码,
其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起引起所述装置至少:
接收远程用户设备(UE)的标识符,其中所述中继装置在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
向中继网络实体提供对中继所述远程用户设备(UE)的授权和认证的第一请求,其中所述第一请求包括所述远程用户设备(UE)的所述标识符,其中所述中继网络实体与所述中继装置的服务网络相关联;
当信令与认证所述远程用户设备(UE)相关联时,在所述远程用户设备(UE)与所述中继装置的所述服务网络之间中继所述信令;以及
接收与所述第一请求相关联的响应,其中所述响应包括:
标识所述第一请求的结果的信息,或者
要与中继所述远程用户设备(UE)相关联地使用的安全信息。
32.一种中继装置,包括:
用于接收远程用户设备(UE)的标识符的部件,其中所述中继装置在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
用于向中继网络实体提供对中继所述远程用户设备(UE)的授权和认证的第一请求的部件,其中所述第一请求包括所述远程用户设备(UE)的所述标识符,其中所述中继网络实体与所述中继装置的服务网络相关联;
用于当信令与认证所述远程用户设备(UE)相关联时在所述远程用户设备(UE)与所述中继装置的所述服务网络之间中继所述信令的部件;以及
用于接收与所述第一请求相关联的响应的部件,其中所述响应包括:
标识所述第一请求的结果的信息,或者
要与中继所述远程用户设备(UE)相关联地使用的安全信息。
33.一种非暂态计算机可读介质,包括用于引起中继装置执行至少以下操作的程序指令:
接收远程用户设备(UE)的标识符,其中所述中继装置在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
向中继网络实体提供对中继所述远程用户设备(UE)的授权和认证的第一请求,其中所述第一请求包括所述远程用户设备(UE)的所述标识符,其中所述中继网络实体与所述中继装置的服务网络相关联;
当信令与认证所述远程用户设备(UE)相关联时,在所述远程用户设备(UE)与所述中继装置的所述服务网络之间中继所述信令;以及
接收与所述第一请求相关联的响应,其中所述响应包括:
标识所述第一请求的结果的信息,或者
要与中继所述远程用户设备(UE)相关联地使用的安全信息。
34.一种托管第一中继网络实体的装置,包括:
至少一个处理器;以及
至少一个存储器,包含计算机程序代码,
其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起引起所述装置至少:
接收对用于中继用户设备(UE)中继远程用户设备(UE)的授权的第一请求,其中所述第一请求包括所述远程用户设备(UE)的标识符,其中所述中继用户设备(UE)在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
向第二中继网络实体提供对授权的所述第一请求,其中所述第一请求包括所述远程用户设备(UE)的标识符、以及所述中继用户设备(UE)的标识符,其中所述第二中继网络实体与所述中继用户设备(UE)的归属网络相关联;
在所述中继用户设备(UE)与所述第二中继网络实体之间中继对所述远程用户设备(UE)的认证的第二请求;
接收与对授权的所述第一请求或对认证的所述第二请求相关联的响应,其中所述响应包括:
标识所述第一请求或所述第二请求的结果的信息,或者与所述远程用户设备(UE)的所述中继相关联的安全信息;以及
向所述中继用户设备(UE)提供所述响应。
35.一种托管第一中继网络实体的装置,包括:
用于接收对用于中继用户设备(UE)中继远程用户设备(UE)的授权的第一请求的部件,其中所述第一请求包括所述远程用户设备(UE)的标识符,其中所述中继用户设备(UE)在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
用于向第二中继网络实体提供对授权的所述第一请求的部件,其中所述第一请求包括所述远程用户设备(UE)的标识符、以及所述中继用户设备(UE)的标识符,其中所述第二中继网络实体与所述中继用户设备(UE)的归属网络相关联;
用于在所述中继用户设备(UE)与所述第二中继网络实体之间中继对所述远程用户设备(UE)的认证的第二请求的部件;
用于接收与对授权的所述第一请求或对认证的所述第二请求相关联的响应的部件,其中所述响应包括:
标识所述第一请求或所述第二请求的结果的信息,或者
与所述远程用户设备(UE)的所述中继相关联的安全信息;以及
用于向所述中继用户设备(UE)提供所述响应的部件。
36.一种非暂态计算机可读介质,包括用于引起托管第一中继网络实体的装置执行至少以下操作的程序指令:
接收对用于中继用户设备(UE)中继远程用户设备(UE)的授权的第一请求,其中所述第一请求包括所述远程用户设备(UE)的标识符,其中所述中继用户设备(UE)在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
向第二中继网络实体提供对授权的所述第一请求,其中所述第一请求包括所述远程用户设备(UE)的标识符、以及所述中继用户设备(UE)的标识符,其中所述第二中继网络实体与所述中继用户设备(UE)的归属网络相关联;
在所述中继用户设备(UE)与所述第二中继网络实体之间中继对所述远程用户设备(UE)的认证的第二请求;
接收与对授权的所述第一请求或对认证的所述第二请求相关联的响应,其中所述响应包括:
标识所述第一请求或所述第二请求的结果的信息,或者
与所述远程用户设备(UE)的所述中继相关联的安全信息;以及
向所述中继用户设备(UE)提供所述响应。
37.一种托管第一中继网络实体的装置,包括:
至少一个处理器;以及
至少一个存储器,包含计算机程序代码,
其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起引起所述装置至少:
接收对用于中继用户设备(UE)中继远程用户设备(UE)的授权和认证的第一请求,其中所述第一请求包括所述远程用户设备(UE)的标识符、以及所述中继用户设备(UE)的标识符;
确保所述远程用户设备(UE)被认证、并且所述远程用户设备(UE)被授权由所述中继用户设备(UE)中继;以及
基于指示所述中继用户设备(UE)是否被允许中继所述远程用户设备(UE)的配置来向第二中继网络实体提供响应,所述第二中继网络实体已经发出对用于所述中继用户设备(UE)中继所述远程用户设备(UE)的授权和认证的所述第一请求。
38.一种托管第一中继网络实体的装置,包括:
用于接收对用于中继用户设备(UE)中继远程用户设备(UE)的授权和认证的第一请求的部件,其中所述第一请求包括所述远程用户设备(UE)的标识符、以及所述中继用户设备(UE)的标识符;
用于确保所述远程用户设备(UE)被认证、并且所述远程用户设备(UE)被授权由所述中继用户设备(UE)中继的部件;以及
用于基于指示所述中继用户设备(UE)是否被允许中继所述远程用户设备(UE)的配置来向第二中继网络实体提供响应的部件,所述第二中继网络实体已经发出对用于所述中继用户设备(UE)中继所述远程用户设备(UE)的授权和认证的所述第一请求。
39.一种非暂态计算机可读介质,包括用于引起托管第一中继网络实体的装置执行至少以下操作的程序指令:
接收对用于中继用户设备(UE)中继远程用户设备(UE)的授权和认证的第一请求,其中所述第一请求包括所述远程用户设备(UE)的标识符、以及所述中继用户设备(UE)的标识符;
确保所述远程用户设备(UE)被认证、并且所述远程用户设备(UE)被授权由所述中继用户设备(UE)中继;以及
基于指示所述中继用户设备(UE)是否被允许中继所述远程用户设备(UE)的配置来向第二中继网络实体提供响应,所述第二中继网络实体已经发出对用于所述中继用户设备(UE)中继所述远程用户设备(UE)的授权和认证的所述第一请求。
40.一种托管远程网络实体的装置,包括:
至少一个处理器;以及
至少一个存储器,包含计算机程序代码,
其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起引起所述装置至少:
接收对要由中继用户设备(UE)中继的远程用户设备(UE)的授权和认证的请求,其中所述请求包括所述远程用户设备(UE)的标识符和所述中继用户设备(UE)的标识符,其中所述中继用户设备(UE)在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
经由中继归属网络实体认证所述远程用户设备(UE);
从另一远程网络实体接收标识所述远程用户设备(UE)是否被允许由所述中继用户设备(UE)中继的信息;以及
向中继网络实体提供与对授权的所述请求相关联的响应,其中所述响应包括:
标识所述请求的结果的信息,
所述远程用户设备(UE)的身份,或者
与所述远程用户设备(UE)的所述中继相关联的安全信息。
41.一种托管远程网络实体的装置,包括:
用于接收对要由中继用户设备(UE)中继的远程用户设备(UE)的授权和认证的请求的部件,其中所述请求包括所述远程用户设备(UE)的标识符、以及所述中继用户设备(UE)的标识符,其中所述中继用户设备(UE)在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
用于经由中继归属网络实体认证所述远程用户设备(UE)的部件;
用于从另一远程网络实体接收标识所述远程用户设备(UE)是否被允许由所述中继用户设备(UE)中继的信息的部件;以及
用于向中继网络实体提供与对授权的所述请求相关联的响应的部件,其中所述响应包括:
标识所述请求的结果的信息,
所述远程用户设备(UE)的身份,或者
与所述远程用户设备(UE)的所述中继相关联的安全信息。
42.一种非暂态计算机可读介质,包括用于引起托管远程网络实体的装置执行至少以下操作的程序指令:
接收对要由中继用户设备(UE)中继的远程用户设备(UE)的授权和认证的请求,其中所述请求包括所述远程用户设备(UE)的标识符和所述中继用户设备(UE)的标识符,其中所述中继用户设备(UE)在网络的无线电覆盖范围内,并且将向在所述无线电覆盖范围之外的所述远程用户设备(UE)提供对所述网络的接入;
经由中继归属网络实体认证所述远程用户设备(UE);
从另一远程网络实体接收标识所述远程用户设备(UE)是否被允许由所述中继用户设备(UE)中继的信息;以及
向中继网络实体提供与对授权的所述请求相关联的响应,其中所述响应包括:
标识所述请求的结果的信息,
所述远程用户设备(UE)的身份,或者
与所述远程用户设备(UE)的所述中继相关联的安全信息。
CN202080102796.5A 2020-05-13 2020-05-13 用户设备(ue)到网络的中继的认证和授权 Pending CN116034595A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2020/032706 WO2021230867A1 (en) 2020-05-13 2020-05-13 Authentication and authorization for user equipment (ue)-to-network relaying

Publications (1)

Publication Number Publication Date
CN116034595A true CN116034595A (zh) 2023-04-28

Family

ID=71016628

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080102796.5A Pending CN116034595A (zh) 2020-05-13 2020-05-13 用户设备(ue)到网络的中继的认证和授权

Country Status (4)

Country Link
US (1) US20230362637A1 (zh)
EP (1) EP4150874A1 (zh)
CN (1) CN116034595A (zh)
WO (1) WO2021230867A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023126696A1 (en) * 2021-12-30 2023-07-06 Telefonaktiebolaget Lm Ericsson (Publ) Supporting remote user equipment authentication via relay user equipment
WO2023183562A1 (en) * 2022-03-25 2023-09-28 Interdigital Patent Holdings, Inc. Pdu session secondary and slice-specific authentication and authorization using l3 wtru-to-network relay
WO2023192719A1 (en) * 2022-03-28 2023-10-05 Qualcomm Incorporated Wireless communication sessions for relay entities operating in a visited public land mobile network
WO2024033254A1 (en) * 2022-08-12 2024-02-15 Koninklijke Philips N.V. Improved security establishment methods and systems

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190394816A1 (en) * 2017-02-22 2019-12-26 Lg Electronics Inc. Method for transmitting and receiving data through relay in wireless communication system and apparatus therefor

Also Published As

Publication number Publication date
WO2021230867A1 (en) 2021-11-18
EP4150874A1 (en) 2023-03-22
US20230362637A1 (en) 2023-11-09

Similar Documents

Publication Publication Date Title
US9445443B2 (en) Network based provisioning of UE credentials for non-operator wireless deployments
US10601815B2 (en) Methods and devices for bootstrapping of resource constrained devices
US11805409B2 (en) System and method for deriving a profile for a target endpoint device
US20230362637A1 (en) Authentication and authorization for user equipment (ue)-to-network relaying
RU2735089C1 (ru) Защита информации направления в сеть
US11570626B2 (en) Methods and apparatuses for dynamically updating routing identifier(s)
CN114339688A (zh) 用于ue与边缘数据网络的认证的装置和方法
CN117204002A (zh) Ue与边缘服务器之间的认证中的多接入边缘计算(mec)-密钥id导出
CN113766502A (zh) 用在ue、smf实体、以及预配置服务器中的装置
KR20210119791A (ko) 통신 시스템에서 멀티 유심 단말의 페이징 방법 및 장치
WO2014196983A1 (en) Communication establishment using identifiers for d2d environment
US10057871B2 (en) Data transmission method and base station
CN115250470A (zh) 用在网关设备中的装置
CN115942305A (zh) 一种会话建立方法和相关装置
US20230292115A1 (en) Registering a user equipment to a communication network
WO2024069502A1 (en) Providing security keys to a serving network of a user equipment
CN114531678A (zh) 用在nef实体和预配置服务器中的装置
WO2024069616A1 (en) User equipment (ue) access support for a standalone non-public network (snpn)
CN117014852A (zh) 用于ue策略预配的装置
CN117203999A (zh) 基于akma的边缘使能器客户端与边缘配置或使能器服务器之间的mec认证
JP2022544374A (ja) 複数のusimを有するwtruの登録及びセキュリティ強化
CN115834314A (zh) 用在基站中的装置
CN117546449A (zh) 针对第五代(5g)系统的边缘计算网络部署

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination