CN116057981A - 无线通信网络中的无线设备的认证 - Google Patents
无线通信网络中的无线设备的认证 Download PDFInfo
- Publication number
- CN116057981A CN116057981A CN202180058774.8A CN202180058774A CN116057981A CN 116057981 A CN116057981 A CN 116057981A CN 202180058774 A CN202180058774 A CN 202180058774A CN 116057981 A CN116057981 A CN 116057981A
- Authority
- CN
- China
- Prior art keywords
- network
- request
- network node
- authentication data
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
无线设备(10)的归属网络(18)中的认证服务器(16)从网络节点(14)接收针对基于其认证无线设备(10)的认证数据(22)的请求(20)。请求(20)指示认证数据(22)将要基于的服务网络(12)。认证服务器(16)检查网络节点(14)是否被授权请求基于所指示的服务网络(12)的认证数据(22)。
Description
技术领域
本申请一般涉及无线通信网络,更具体地,涉及被配置为在这样的网络中使用的无线设备的认证。
背景技术
无线设备需要向网络认证自己以便从该网络获得通信服务。无线设备和网络还需要建立密钥材料(例如,密码密钥)以在后续的安全过程中使用,以用于保护通信服务。在5G网络中,例如,设备的服务网络中的安全锚定功能(SEAF)向认证服务器请求认证数据,例如一个或多个认证向量。基于该认证数据,SEAF可以认证无线设备,并建立密钥材料。为了防止不同的服务网络对认证数据的误用,认证服务器将认证数据绑定到认证数据请求来自的服务网络。在该方面,SEAF在认证数据请求中指示服务网络的名称,并且认证服务器将认证数据绑定到所指示的服务网络名称。
有问题的是,该方法证明易受到声称是不同服务网络的一个服务网络的影响,以便秘密地获取将欺骗无线设备连接到它的认证数据。为了防止这种攻击,认证服务器需要可靠的方式来验证在认证数据请求中指示的服务网络名称是否实际上标识该请求源自的服务网络。
发明内容
为了确保网络节点被授权请求基于在请求中指示的特定服务网络的认证数据,本文中的一些实施例利用指示该请求源自的服务网络的其他补充信息。该补充信息可包括例如由请求网络节点呈现的访问令牌、中继该请求的中间代理的断言、或者由请求网络节点提供的标识所标识的节点的简档。在这些和其他示例中,可以从与请求本身不同的消息、协议层或源利用补充信息,例如,可以以与服务网络指示该请求不同的方式来保护补充信息,以使得补充信息用作关于请求源自的服务网络的不同或分离的信息源。从而,补充信息可以在认证服务器的部分上创建或通知关于哪个服务网络指示应当被包括在认证数据请求中的预期。因此,一些实施例有效地检查在请求中指示的服务网络是否与在考虑补充信息之后预期的服务网络相同。如果检查出现差异,则认证服务器可以拒绝认证数据请求。一些实施例从而有利地防止一个服务网络声称是不同的服务网络。
更特别地,本文中的实施例包括由无线设备的归属网络中的认证服务器执行的方法。该方法包括:从网络节点接收针对基于其认证无线设备的认证数据的请求。该请求指示认证数据将要基于的服务网络。该方法还包括:检查网络节点是否被授权请求基于所指示的服务网络的认证数据。在一些实施例中,检查是基于由网络节点呈现的并且指示向其发出访问令牌的节点的网络的访问令牌。在其他实施例中,检查是基于中间代理的断言,该断言指示与中间代理通过其接收到请求的连接相关联的网络。在其他实施例中,检查是基于由网络节点提供的标识所标识的节点的简档,其中,该简档指示节点所属的网络。无论如何,在一些实施例中,该方法还包括:取决于检查,接受或拒绝请求。
在一些实施例中,请求包括服务网络名称,该服务网络名称指示认证数据将要基于的服务网络。在一个这种实施例中,所述检查包括:基于访问令牌、断言或简档,形成预期服务网络名称;以及将在请求中包括的服务网络名称与预期服务网络名称进行比较。
在一些实施例中,访问令牌、断言或简档包括公共陆地移动网络标识。在一个这种实施例中,请求包括服务网络名称,该服务网络名称指示认证数据将要基于的服务网络。在这种情况下,在一些实施例中,所述检查可包括:将在请求中包括的服务网络名称与从公共陆地移动网络标识形成的预期服务网络名称进行比较。或者,所述检查可包括:将从在请求中包括的服务网络名称提取的公共陆地移动网络标识与公共陆地移动网络标识进行比较。
在一些实施例中,该方法还包括:在请求中或与请求一起接收访问令牌、断言或标识。
在一些实施例中,所述检查是基于访问令牌。在一个这种实施例中,访问令牌由网络储存库(例如,网络储存库NRF)用数字签名或消息认证码MAC保护,其中,访问令牌指示访问令牌授权消费者访问的服务范围,并且其中,访问令牌经由消费者网络标识指示向其发出访问令牌的节点的网络。在一个这种实施例中,所述检查是基于所述消费者网络标识。在一些实施例中,访问令牌是JavaScript对象符号JSON网络令牌或OAuth访问令牌。
在一些实施例中,所述检查是基于所述断言。
在一些实施例中,中间代理在归属网络中,其中,连接是归属网络中的中间代理与从其接收到请求的拜访网络中的另一个中间代理之间的传输层安全TLS连接。在一个这种实施例中,与连接相关联的网络与用于TLS连接的上下文相关联。在一些实施例中,断言通过指示与用于TLS连接的上下文对应的远程公共陆地移动网络标识来指示与用于TLS连接的上下文相关联的网络。
在一些实施例中,所述检查是基于所述简档。
在一些实施例中,该方法还包括:使用由网络节点提供的标识来从网络储存库或从在认证服务器处的高速缓存检索简档。
在一些实施例中,认证服务器实现认证服务器功能AUSF,并且网络节点实现接入和移动性功能AMF或AMF实例内的安全锚定功能SEAF。在一些实施例中,中间代理是安全边缘保护代理SEPP。
在一些实施例中,该方法还包括:基于或作为接受请求的一部分,向网络节点发送所请求的认证数据。
本文中的实施例还包括由网络储存库执行的方法。该方法包括:从网络节点接收对授权网络节点消费由另一个网络节点提供的服务的访问令牌的请求。该方法还包括:向网络节点发出所请求的访问令牌。在一些实施例中,所发出的访问令牌无条件地指示向其发出访问令牌的网络节点的网络。
在一个这种实施例中,请求是针对授权网络节点消费由与网络节点在相同的网络中的另一个网络节点提供的服务的访问令牌。
在一些实施例中,访问令牌由网络储存库用数字签名或消息认证码MAC保护,并且访问令牌经由消费者网络标识无条件地指示向其发出访问令牌的网络节点的网络。
在一些实施例中,访问令牌是JavaScript对象符号JSON网络令牌或Oath 2.0访问令牌。
在一些实施例中,网络节点实现接入和移动性功能AMF或AMF实例内的安全锚定功能SEAF,并且另一个网络节点实现认证服务器功能AUSF。
本文中的实施例还包括由无线设备的归属网络中的代理执行的方法。该方法包括:从网络节点接收针对基于其认证无线设备的认证数据的请求。该请求指示认证数据将要基于的服务网络。该方法还包括:向归属网络中的认证服务器发送请求。该方法还包括:向认证服务器发送断言,该断言指示与代理通过其接收到请求的连接相关联的网络。
在一些实施例中,连接是传输层安全TLS连接,并且与连接相关联的网络与用于TLS连接的上下文相关联。
在一些实施例中,发送断言包括:在传送请求的消息的应用层报头中发送断言。
在一些实施例中,代理是安全边缘保护代理SEPP,并且认证服务器实现认证服务器功能AUSF。
本文中的实施例还包括由无线设备的服务网络中的网络节点执行的方法。该方法包括:向认证服务器发送网络节点对基于其认证无线设备的认证数据的请求。该请求指示认证数据将要基于的服务网络。在一些实施例中,该方法还包括:在请求中或与请求一起发送网络节点的标识。
在一些实施例中,网络节点实现接入和移动性功能AMF或AMF实例内的安全锚定功能SEAF,并且认证服务器实现认证服务器功能AUSF。
本文中的实施例还包括由无线设备的归属网络中的认证服务器执行的方法。该方法包括:从网络节点接收针对基于其认证无线设备的认证数据的请求。该请求指示认证数据将要基于的服务网络。在一些实施例中,该方法还包括:在一个或多个跳过检查条件下,抑制检查网络节点是否被授权请求基于所指示的服务网络的认证数据。
在一些实施例中,一个或多个跳过检查条件包括与认证服务器属于相同的网络的网络节点。
本文中的实施例还包括对应的装置、计算机程序、和那些计算机程序的载体。例如,实施例包括被配置在无线设备的归属网络中使用的认证服务器。认证服务器可包括通信电路和处理电路。认证服务器例如经由通信电路和处理电路可以被配置为从网络节点接收针对基于其认证无线设备的认证数据的请求。该请求指示认证数据将要基于的服务网络。认证服务器还可以被配置为检查网络节点是否被授权请求基于所指示的服务网络的认证数据。在一些实施例中,检查是基于由网络节点呈现的并且指示向其发出访问令牌的节点的网络的访问令牌。在其他实施例中,检查是基于中间代理的断言,该断言指示与中间代理通过其接收到请求的连接相关联的网络。在其他实施例中,检查是基于由网络节点提供的标识所标识的节点的简档,其中,简档指示节点所属的网络。无论如何,在一些实施例中,认证服务器被配置为取决于检查而接受或拒绝请求。
本文中的实施例还包括例如包括通信电路和处理电路的网络储存库。网络储存库被配置为从网络节点接收对授权网络节点消费由另一个网络节点提供的服务的访问令牌的请求。网络储存库还被配置为向网络节点发出所请求的访问令牌。在一些实施例中,所发出的访问令牌无条件地指示向其发出访问令牌的网络节点的网络。
本文中的实施例还包括被配置在无线设备的归属网络中使用的代理。代理可包括通信电路和处理电路。代理被配置为例如经由这样的电路从网络节点接收针对基于其认证无线设备的认证数据的请求。该请求指示认证数据将要基于的服务网络。代理还被配置为向归属网络中的认证服务器发送请求。代理还可以被配置为向认证服务器发送断言,该断言指示与代理通过其接收到请求的连接相关联的网络。
此外,实施例包括被配置在无线设备的服务网络中使用的网络节点。网络节点可包括通信电路和处理电路。网络节点例如经由这种电路可以被配置为向认证服务器发送网络节点对基于其认证无线设备的认证数据的请求。该请求指示认证数据将要基于的服务网络。在一些实施例中,网络节点还被配置为在请求中或与请求一起发送网络节点的标识。
本文中的实施例还包括被配置在无线设备的归属网络中使用的认证服务器。认证服务器可包括通信电路和处理电路。认证服务器可以被配置为从网络节点接收针对基于其认证无线设备的认证数据的请求。该请求指示认证数据将要基于的服务网络。在一些实施例中,认证服务器被配置为在一个或多个跳过检查条件下,抑制检查网络节点是否被授权请求基于所指示的服务网络的认证数据。
本文中的实施例还包括由无线设备的归属网络中的认证服务器执行的方法。该方法包括:从网络节点接收包括应用层消息报头和应用层消息主体的应用层消息。应用层消息主体包括针对基于其认证无线设备的认证数据的请求。请求(20)指示认证数据将要基于的服务网络。应用层消息报头包括关于针对认证数据的请求源自的服务网络的补充信息。该方法还可包括:检查网络节点是否被授权请求基于由请求所指示的服务网络的认证数据。这样的所述检查是基于在应用层消息报头中包括的补充信息。该方法还可包括:取决于所述检查,接受或拒绝请求。
在一些实施例中,请求包括服务网络名称,该服务网络名称指示认证数据将要基于的服务网络。在这种情况下,所述检查包括:基于补充信息形成预期服务网络名称;以及将在请求(20)中包括的服务网络名称与预期服务网络名称进行比较。
在一些实施例中,补充信息包括公共陆地移动网络标识。在一个这种实施例中,请求包括服务网络名称,该服务网络名称指示认证数据将要基于的服务网络。在一个实施例中,所述检查包括:将在请求中包括的服务网络名称与从公共陆地移动网络标识形成的预期服务网络名称进行比较;或者将从在请求中包括的服务网络名称提取的公共陆地移动网络标识与公共陆地移动网络标识进行比较。
在一些实施例中,补充信息包括中继请求的中间代理的断言。在一个这种实施例中,中间代理在归属网络中,连接是归属网络中的中间代理与从其接收到请求的拜访网络中的另一个中间代理之间的传输层安全TLS连接,以及与连接相关联的网络与用于TLS连接的上下文相关联。在一个实施例中,例如,断言通过指示与用于TLS连接的上下文对应的远程公共陆地移动网络标识来指示与用于连接的上下文相关联的网络。
在一些实施例中,该方法还包括:基于或作为接受请求的一部分,向网络节点发送所请求的认证数据。
本文中的实施例还包括由节点执行的方法。该方法包括:接收包括应用层消息报头和应用层消息主体的应用层消息。应用层消息主体包括针对基于其认证无线设备的认证数据的请求。该请求指示认证数据将要基于的服务网络。该方法还包括:处理应用层消息报头。这种处理包括向应用层消息报头添加关于针对认证数据的请求源自的服务网络的补充信息。该方法还包括:发送包括应用层消息主体和包括补充信息的应用层消息报头的应用层消息。
在一些实施例中,例如,节点是中继请求的中间代理。在一个这中实施例中,补充信息包括中间代理的断言。
在一个实施例中,中间代理在归属网络中,连接是归属网络中的中间代理与从其接收到请求的拜访网络中的另一个中间代理之间的传输层安全TLS连接,以及与连接相关联的网络与用于TLS连接的上下文相关联。例如,断言可以通过指示与用于TLS连接的上下文对应的远程公共陆地移动网络标识来指示与用于TLS连接的上下文相关联的网络。
当然,本公开不限于上述的特征和优点。事实上,在阅读以下详细描述之后并且在查看附图之后,本领域的技术人员将认识到附加特征和优点。
附图说明
图1是根据一些实施例的在服务网络中的网络节点和在归属网络中的认证服务器的框图。
图2是根据一些实施例的应用层消息的框图。
图3是根据一些实施例的使用访问令牌以用于认证数据请求的网络节点、认证服务器和网络储存库的框图。
图4是根据使用访问令牌的一些实施例的用于请求认证数据的过程的呼叫流程图。
图5是根据一些实施例的使用来自代理的断言以用于认证数据请求的网络节点、认证服务器和代理的框图。
图6是根据使用来自代理的断言的一些实施例的用于请求认证数据的过程的呼叫流程图。
图7是根据一些实施例的使用节点标识以用于认证数据请求的网络节点、认证服务器和网络储存库的框图。
图8是根据使用节点标识的一些实施例的用于请求认证数据的过程的呼叫流程图。
图9是根据一些实施例的由认证服务器执行的方法的逻辑流程图。
图10是根据一些实施例的由网络储存库执行的方法的逻辑流程图。
图11是根据一些实施例的由代理执行的方法的逻辑流程图。
图12是根据一些实施例的由网络节点执行的方法的逻辑流程图。
图13是根据一些实施例的由认证服务器执行的方法的逻辑流程图。
图14是根据一些实施例的认证服务器的框图。
图15是根据一些实施例的网络储存库的框图。
图16是根据一些实施例的代理的框图。
图17是根据一些实施例的网络节点的框图。
图18是根据一些实施例的认证服务器的框图。
图19是根据一些实施例的无线通信网络的框图。
图20是根据一些实施例的用户设备的框图。
图21是根据一些实施例的虚拟化环境的框图。
具体实施方式
根据图1所示的实施例,无线设备10将与服务网络12(例如,5G网络)执行认证过程,以便从该服务网络12获得通信服务。认证过程可以例如是主认证和密钥协商(AKA)过程,无线设备10和服务网络12经由该过程相互认证,并提供可以在后续的安全过程中使用的密钥材料(例如,锚密钥KSEAF)。无论如何,作为该过程的一部分,无线设备10向服务网络12中的网络节点14发送订阅信息(例如,订阅永久标识符SUPI或临时用户标识),例如,在服务网络12中,网络节点14实现5G系统中的安全锚定功能(SEAF)。
在从无线设备10接收到订阅信息之后,网络节点14使用无线设备10的归属网络18中的认证服务器16的协助,例如,在归属网络18中,认证服务器16可以实现5G系统中认证服务器功能(AUSF)。在服务网络12不同于归属网络18的实施例中,如图1的示例所示,这可意味着网络节点14经由一个或多个中间代理12P、18P(例如,5G系统中的一个或多个安全边缘保护代理(SEPP))间接地与认证服务器16通信。无论网络节点14是直接还是间接地与认证服务器16通信,网络节点14都向认证服务器16发送认证数据请求20。在认证服务器16是AUSF并且网络节点14实现AUSF的5G实施例中,认证数据请求20可以例如是Nausf_UEAuthentication_Authenticate请求,例如,如在3GPP技术规范(TS)29.509v16.4.0中另外指定的。
认证数据请求20向认证服务器16请求基于其认证无线设备10的认证数据22。在一些实施例中,认证数据请求20包括来自无线设备10的订阅信息,以使得认证数据22可以从该订阅信息导出和/或特定于该订阅信息。可替代地或附加地,如图所示的认证数据请求20包括服务网络指示12R。该指示12R指示认证数据22将要基于的服务网络。指示12R可以例如是服务网络名称,其中这种服务网络名称可以是服务代码(例如,5G)和服务网络12的标识(例如,公共陆地移动网络PLMNID)的串接。或者,作为另一个示例,指示12R可以仅仅是服务网络12的标识,例如仅是PLMN ID。
无论指示12R的特定形式如何,在一些实施例中,在认证数据22(或认证数据22的至少一部分)将被绑定到所指示的服务网络的意义上,认证数据22将基于所指示的服务网络。例如,在认证数据22包括锚密钥KSEAF的情况下,可以例如通过将服务网络指示12R包括到从(与无线设备的订阅信息相关联的)长期订户密钥引导到锚密钥KSEAF的密钥派生链中,将锚密钥KSEFF绑定到所指示的服务网络。以这种或其他方式使认证数据22基于所指示的服务网络旨在防止一个服务网络声称是不同的服务网络并获取对于认证订阅到该不同服务网络的无线设备有效的认证数据。
然而,在一些实施例中,指示12R可以由任何服务网络设置为任何值。即,在一些实施例中,例如,由于指示12R是自由格式文本字段的性质,没有对哪个服务网络可以将指示12R设置为哪些值施加约束。
在这些和其他实施例中,然后,认证服务器16检查网络节点14是否被授权请求基于所指示的服务网络12的认证数据22。即,认证服务器16检查网络节点14是否实际有权将服务网络指示12R设置为在认证数据请求20中包括的值。这种授权或权利可以基于网络节点14实际属于由服务网络指示12R指示的服务网络,基于属于所指示的服务网络授权网络节点14请求基于所指示的服务网络的认证数据22。至少部分地基于该检查,认证服务器16可以接受或拒绝认证数据请求20。例如,如果检查显示网络节点14被授权请求基于所指示的服务网络12的认证数据22,则认证服务器16可以向网络节点14发送包括所请求的认证数据的响应24。另一方面,如果检查显示网络节点14未被授权请求这样的认证数据22,则响应24可以省略认证数据22并指示网络节点14未被授权请求认证数据22。
为了检查网络节点14是否被授权请求基于所指示的服务网络12的认证数据22,根据本文中的一些实施例的认证服务器16利用其他补充信息12S。该补充信息12S可以用作关于认证数据请求22源自的服务网络的可靠信息的不同的、单独的或其他补充源。补充信息12S可以由此在认证服务器16的部分上创建或通知关于哪个服务网络指示12R应当被包括在认证数据请求20中的预期。
配备有该补充信息,因此,在一些实施例中,认证服务器16检查认证数据请求20实际上指示认证数据22将要基于哪个服务网络(例如,经由服务网络指示符12R)与认证服务器20鉴于补充信息12S预期由认证数据请求20指示哪个服务网络之间的任何差异。这样的差异可以作为用于拒绝请求20的基础,以可靠地防止一个服务网络在针对认证数据的请求中声称是不同的服务网络。
例如,在请求20包括服务网络名称(SNN)作为服务网络指示12R的一些实施例中,认证服务器16可以基于补充信息12S形成预期SNN。然后,认证服务器16可以将在请求20中作为服务网络指示12R接收的SNN与预期SNN进行比较。然后,根据该比较,认证服务器16可以分别取决于SNN是否与预期SNN相同来接受或拒绝请求20。
作为另一个示例,在请求20包括服务网络名称(SNN)作为服务网络指示12R的其他实施例中,认证服务器16可以从在请求20中包括的SNN中提取服务网络标识(例如,PLMN标识)作为服务网络指示12R。然后,认证服务器16可以将所提取的服务网络标识与根据补充信息12S确定的预期服务网络标识(例如,预期PLMN ID)进行比较。然后,根据该比较,认证服务器16可以分别取决于所提取的服务网络标识是否与预期服务网络标识相同来接受或拒绝请求20。
作为又一个示例,认证服务器16可以从根据补充信息12S确定的服务网络标识来形成预期SNN。然后,认证服务器16可以将在请求20中包括的SNN与预期SNN进行比较。然后,根据该比较,认证服务器16分别取决于在请求20中包括的SNN是否与预期SNN相同来接受或拒绝请求20。
无论针对由补充信息12S所建议的服务网络检查由请求20所指示的服务网络的特定方法,在一些实施例中,补充信息12S可以伴随认证数据请求20。例如,补充信息12S可以被包括在请求20中或与请求20一起接收,或者被包括在与请求20相同的容器消息或信令中或与之一起接收。在其他实施例中,可以基于认证数据请求22从另一个节点(未示出)获取补充信息12S。
可替代地或者附加地,在一些实施例中,补充信息12S和认证数据请求20可以被包括在相同容器消息的不同部分中,和/或由不同的协议层传送。图2示出了该方面的一个示例实施例。
如图2所示,网络节点14在应用层消息26(例如超文本传输协议(HTTP)消息)内传送认证数据请求20。该应用层消息26包括应用层消息报头26H(例如HTTP报头)和应用层消息主体26B(例如HTTP主体或有效载荷)。在该示例中,认证数据请求20被包括在,例如采用JavaScript对象符号(JSON)主体形式的应用层消息主体26B中。被包括在应用层消息主体26B中,认证数据请求20不由任何中间代理或其他节点处理,这意味着由(包括服务网络指示12R的)主体26B传送的信息在由认证服务器16接收时将不由任何节点验证。然而,尤其是,根据本示例中的一些实施例的应用层消息报头26H包括补充信息12S。与应用层消息主体26B不同,(包括补充信息12S的)该报头26H可能已经由中间代理或其他节点处理和/或以其他方式验证。因此,一些实施例利用在报头26H中包括补充信息12S作为获取关于主体26B中的认证数据请求22的来源的可靠信息的机会。
现在考虑补充信息12S的一些示例。在一个示例中,补充信息12S包括由网络节点14呈现的并且指示向其发出访问令牌的节点的网络的访问令牌。图3示出了一个这种实施例。
如图3所示,(例如,实现网络储存库功能NRF的)网络储存库28向网络节点14发出访问令牌12S-T。访问令牌可以例如是JSON网络令牌或OAuth访问令牌(例如,OAuth 2.0访问令牌)。可替代地或者附加地,访问令牌12S-T可以由网络储存库28用数字签名或消息认证码(MAC)保护。无论如何,网络储存库28可以响应于接收到对这种访问令牌12S-T的请求30而发出访问令牌12S-M。请求30可以例如构成对授权消费或访问来自认证服务器16的服务的请求,其中访问令牌12S-T用作准许授权的证据。在该方面中,访问令牌12S-T可以指示访问令牌12S-M授权作为消费者的网络节点14访问的服务范围。
访问令牌12S-T还可以尤其经由消费者网络标识32指示向其发出访问令牌12S-M的节点的网络。即,消费者网络标识32指示向其发出访问令牌12S-T的节点的网络。一些实施例从而利用该访问令牌12S-T作为关于认证数据请求20源自的服务网络的可靠信息源。事实上,在这种情况下,网络节点14可以与认证数据请求20一起或在认证数据请求中发送访问令牌12S-T,不仅向认证服务器16显示网络节点14具有消费来自认证服务器16的服务的授权,而且向认证服务器16显示在请求20中所指示的服务网络与请求20源自的服务网络相同。对应地,认证服务器16可以使用访问令牌12S-T来不仅验证网络节点14被授权消费来自认证服务器16的服务,而且检查网络节点14是否被授权请求基于在请求中指示的服务网络的认证数据22。该后一个检查可以例如基于访问令牌12S-T中的消费者网络标识来执行。特别地,然后,认证服务器对访问令牌的完整性的验证(在验证任何数字签名或MAC的有效性方面)有效地提供了由访问令牌的消费者网络标识32指示的网络不仅是向其发出访问令牌12S-T的网络而且是认证数据请求20源自的网络的保证。
图4示出了一个或多个这种实施例的附加细节作为示例。在该示例中,服务网络12被例示为拜访PLMN 34,并且归属网络18被例示为归属PLMN 36。服务网络12中的网络节点14被例示为实现接入和移动性功能(AMF)和/或SEAF 38,而认证服务器16被例示为AUSF48。类似地,代理12P被例示为消费者SEPP(c-SEPP)42,并且代理18P被例示为生产者SEPP(p-SEPP)44。
在该上下文中,图4示出c-SEPP 42和p-SEPP 44在它们之间建立N32-f上下文(步骤1)。该N32-f上下文可以与c-SEPP 42与p-SEPP 44之间的传输层安全(TLS)连接相关联。为了建立N32-f上下文,c-SEPP42和p-SEPP 44交换包括远程PLMN-ID、SEPP ID和与每个SEPP相关联的SEPP地址的信息。SEPP 42、44还可以彼此认证通常的相互TLS,以使得一旦SEPP 42、44之间的连接被建立(或者一旦在SEPP 42、44之间创建了N32-f上下文ID),则接收SEPP(p-SEPP 44)将具有这种N32-f上下文ID的每个请求与在N32-f上下文的建立期间从c-SEPP 42接收到的远程PLMN-ID相关联。这允许p-SEPP 44验证拜访PLMN 34中的网络功能(NF)和c-SEPP 42是否被授权使用在所接收的N32-f消息中的PLMN ID。
在建立了N32-f上下文的情况下,如图所示,AMF/SEAF 38然后经由互连拜访PLMN34和归属PLMN 36的多个中间节点向AUSF 48发送Nausf_UEAuthentication_Authenticate请求消息。Nausf_UEAuthentication_Authenticate请求消息指示请求基于其的认证数据22的服务网络名称(SNN)。AMF/SEAF 38在该Nausf_UEAuthentication_Authenticate请求消息中包括由NRF(未示出)向AMF/SEAF38发出的访问令牌。访问令牌授权AMF/SEAF 38消费来自AUSF 48的服务。作为上文所讨论的访问令牌12S-T的示例,该访问令牌包含或以其他方式指示AMF/SEAF 38的PLMN-ID。
为了向归属PLMN 36中的AUSF 48发送Nausf_UEAuthentication_Authenticate请求消息,AMF/SEAF 38更特别地将Nausf_UEAuthentication_Authenticate请求消息传递到拜访PLMN34中的消费者服务通信代理(c-SCP)(步骤2),其将Nausf-UEAuthentication_Authentication请求消息连同访问令牌一起发送到c-SEPP 42(步骤3)。然后,c-SEPP 42将Nausf_UEAuthentication_Authenticate请求消息传递到p-SEPP 44(步骤4)。在接收之后,p-SEPP 44将访问令牌中的PLMN-IID针对与N32-f上下文相关联的远程PLMN-ID进行检查(步骤5)。如果检查通过,则p-SEPP 44向p-SCP 46传递Nausf_UEAuthentication_Authenticate请求消息,其中的访问令牌包含现在验证的PLMN-ID(步骤6)。最后,p-SCP46将Nausf_UEAuthentication_Authenticate请求消息传递到AUSF 48(步骤7)。然后,AUSF48将在请求消息中指示的SNN针对访问令牌中的验证的PLMN-ID进行检查。如果检查通过,则AUSF 48向AMF/SEAF 38发送Nausf_UEAuthentication_AuthenticateResponse消息(成功)。
根据该实施例,然后,AUSF 48验证由AMF/SEAF 38在Nausf_UEAuthentication_Authenticate请求消息的AuthenticationInfo内提供的SNN等于(或以其他方式对应于)访问令牌中的SNN。AUSF 48可以例如将在由AMF/SEAF 38呈现的访问令牌内的消费者PLMN ID作为预期SNN。即,AUSF 48使用在由AMF/SEAF 38呈现的访问令牌中包括的消费者NF的PLMNID作为预期SNN。
注意,尽管在漫游上下文中示出了上述实施例,但是实施例也可以应用在非漫游上下文中。在这些和其他实施例中,例如,访问令牌12S-T可以无条件地指示向其发出访问令牌12S-M的网络节点的网络。例如,即使在AMF与AUSF位于相同PLMN中的情况下,在这样的实施例中,网络储存库28(例如,NRF)也总是在访问令牌内包括消费者NF的PLMN ID(即,消费者PLMN ID)(至少对于Nausf_UEAU服务)。在其他实施例中,相比之下,认证服务器16例如基于在相同PLMN内的NF的信任,跳过将SNN针对非漫游场景中的预期SNN进行检查。
现在考虑来自图1的补充信息12S的另一个示例。尽管不限于此,但是该示例可证明适用于没有访问令牌可用的情况,例如,当未使用OAuth授权框架时。在该实施例和其他实施例中,补充信息12S可包括中间代理(例如,代理18P)的断言,该断言指示与中间代理通过其接收到认证数据请求20的连接相关联的网络。图5示出了用于其中服务网络12不同于归属网络18的漫游场景的一个这种实施例。
如图5所示,网络节点14发送应用层消息26(例如,HTTP消息),该应用层消息在应用层消息主体26B中包括认证数据请求20。用于服务网络12的代理12P通过与代理18P的连接42将应用层消息26中继到用于归属网络18P的代理18P。连接42可以例如是TLS连接。无论如何,代理18P将该连接42与某个网络相关联。相关联的网络可以例如是与用于连接42的上下文(例如,N32-f上下文)相关联的网络,如上文关于图4所描述的。因此,这些和其他实施例中的与上下文相关联的网络可以由与用于连接42的上下文对应的远程网络标识40(例如,远程PLMN ID)来指示。利用通过其接收到认证数据请求20的连接42与远程网络标识40之间的这种关联,在本实施例中,代理18P向认证服务器16提供指示与代理18P通过其接收到请求20的连接42相关联的网络的断言。在一些实施例中,例如,代理18P将远程网络标识40包括在传送认证数据请求20的应用层消息26的应用层信息报头26H中,并且将如以该方式修改的消息26发送到认证服务器16。
图6示出了本实施例的附加细节作为示例。图6中的步骤如关于图4所描述的,除非另有说明。在该示例中,未使用OAuth框架,这意味着AMF/SEAF 38在Nausf_UEAuthentication_Authenticate请求消息中不包括访问令牌。尽管如此,为了向AUSF 48提供关于在认证数据请求20中预期的服务网络的补充信息,p-SEPP 44确定与用于通过其接收到Nausf_UEAuthentication_Authenticate请求消息的连接的N32-f上下文相关联的远程PLMN-ID。然后,p-SEPP 44将该远程PLMN-ID插入包含Nausf_UEAuthentication_Authenticate请求消息的HTTP消息的HTTP报头中。该HTTP报头可以例如是3gpp-sbi-remote-plmnid报头。这相当于p-SEPP 44断言与先前创建的N32-f上下文相关联的远程PLMN-ID。然后,p-SEPP 44将经修改的Nausf_UEAuthentication_Authenticate请求消息传递到p-SCP 46(具有修改的或插入的HTTP报头),然后,p-SCP 46将消息中继到AUSF 48。AUSF 48相应地将由Nausf_UEAuthentication_Authenticate请求消息所指示的SNN针对在HTTP报头中的所断言的PLMN-ID进行检查,以便确定AMF/SEAF 38是否被授权在请求中使用该SNN。具体地,在认证过程期间,AUSF 48使用由在归属PLMN处的p-SEPP 44所断言的远程PLMN ID作为用于SNN验证的预期SNN。如果检查通过,则AUSF 48向AMF/SEAF 38发送Nausf_UEAuthentication_AuthenticateResponse消息(成功)。
在一些实施例中,p-SEPP 44仅针对Nausf_UEAuthentication_Authenticate请求消息以这种方式断言远程PLMN-ID。在其他实施例中,p-SEPP 44则针对到任何NF的任何服务请求如上所述地断言远程PLMN-ID。
现在考虑来自图1的补充信息12S的又一示例。尽管不限于此,但是该示例也可以证明适用于没有访问令牌可用的情况,例如,当未使用OAuth授权框架时,甚至在非漫游场景中。在该实施例和其他实施例中,补充信息12S可包括由网络节点14例如与认证数据请求10一起或在认证数据请求10中向认证服务器16提供的标识所标识的节点的简档。该简档指示节点所属的网络。图7示出了用于其中服务网络12与归属网络18相同的非漫游场景的一个这种实施例。
如图7所示,网络节点14包括网络节点14的标识50,作为被包括在认证数据请求10中的或与认证数据请求10一起的补充信息12S。标识50可以标识网络节点14本身或由网络节点15实现的网络功能(NF)的实例。在网络节点14实现AMF和/或SEAF的情况下,例如,标识50可以是AMF实例ID或SEAF实例ID。无论如何,认证服务器16在针对与标识50对应的简档52的请求中或与其相关联地将标识50发送到网络储存库28(例如,NRF)。在标识是AMF或SEAF标识的情况下,例如,简档52可以是AMF或SEAF简档。特别地,被包括在该简档52中的是网络指示符54,网络指示符54指示与由对应的标识所标识的节点相关联的网络,例如作为节点所属的网络。在任何情况下,网络储存库28将该节点简档52返回给认证服务器16,认证服务器16使用网络指示符54来检查网络节点14是否被授权请求基于由请求20指示的服务网络的认证数据。
图8示出了本实施例的附加细节,作为用于非漫游场景的示例,例如,在AMF/SEAF和AUSF是相同5G核心管理域的一部分并且在交换认证请求之前使用相互TLS的情况下。图6中的步骤如关于图4所描述的,除非另有说明。在该示例中,未使用OAuth框架,这意味着AMF/SEAF 38在Nausf_UEAuthentication_Authenticate请求消息中不包括访问令牌。尽管如此,为了向AUSF 48提供关于在认证数据请求20中预期的服务网络的补充信息,AMF/SEAF38在Nausf_UEAuthentication_Authenticate请求消息中包括标识AMF/SEAF 38的AMF/SEA实例ID(步骤1)。SCP40将该Nausf_UEAuthentication_Authenticate请求消息传送到AUSF48(步骤2)。AUSF48检索与在Nausf_UEAuthentication_Authenticate请求消息中包括的AMF/SEAF实例ID对应的AMF/EAF简档(步骤3),至少如果简档未被缓存在AUSF 48处。然后,AUSF 48将在Nausf_UEAuthentication_Authenticate请求消息中指示的SNN针对AMF/SEAF简档中的PLMN-ID进行检查(步骤4)。如果检查成功,则AUSF 48向AMF/SEAF 38发送Nausf_UEAuthentication_AuthenticateResponse消息(成功)。
在一些实施例中,例如,如果AMF/SEAF 38在请求中不包括AMF/SEA ID,则AUSF 48可以跳过该检查,例如,基于与在它自己的PLMN内的NF的相互信任。
不管补充信息12S的特定性质如何,然而,这样的信息12S有利地在认证服务16的部分创建或通知关于哪个服务网络指示应当被包括在认证数据请求20中的预期。通过关于这一点提供更多的可靠性,一些实施例改进了防止一个服务网络在认证数据请求中声称是不同的服务网络的。
注意,在任何上述实施例中的认证数据22可包括无线设备10的认证可以基于的任何类型的数据。在一些实施例中,认证数据22例如包括认证向量。认证向量可包括认证令牌(AUTN)、预期响应(XRES)或散列的XRES(HXRES)、随机数(RAND)、和一个或多个密码密钥(例如,加密密钥(CK)和完整性密钥(IK)、或锚密钥KSEAF)。在这种情况下,在认证数据22包括认证向量的情况下,网络节点14可以从认证向量中取得认证令牌和随机数,并将它们发送到无线设备10。无线设备10基于认证令牌来认证网络节点14。如果网络节点14被认证,则无线设备10返回从随机数生成的响应(RES)。网络节点14检查该响应(RES)是否对应于来自认证向量的预期响应(XRES)。如果是,则网络节点14将无线设备10视为针对通信服务被认证。
鉴于上述修改和变化,图9示出了根据一些实施例的由无线设备10的归属网络18中的认证服务器16执行的方法。该方法包括:从网络节点14接收针对基于其认证无线设备10的认证数据22的请求20(框900)。请求20指示认证数据22将要基于的服务网络12。
该方法还包括:检查网络节点14是否被授权请求基于所指示的服务网络12的认证数据22(框910)。在一些实施例中,该检查是基于如本文所描述的补充信息12S。例如,在一些实施例中,检查是基于由网络节点14呈现的并且指示向其发出访问令牌12S-T的节点的网络的访问令牌12S-T。在其他实施例中,检查是基于中间代理的断言18P,该断言18P指示与中间代理18P通过其接收到请求20的连接42相关联的网络。在其他实施例中,检查是基于由网络节点14提供的标识50所标识的节点的简档52,其中简档52指示节点所属的网络。
在一些实施例中,该方法还包括:取决于所述检查,接受或拒绝请求20(框930)。
在一些实施例中,该方法还包括:基于或作为接受请求20的一部分,向网络节点14发送所请求的认证数据22(框940)。
图10描绘了根据其他特定实施例的由网络储存库28执行的方法。该方法包括:从网络节点14接收对授权网络节点14消费由另一个网络节点提供的服务的访问令牌12S-T的请求20(框1000)。该方法还包括:向网络节点14发出所请求的访问令牌12S-T,其中,所发出的访问令牌12S-T无条件地指示向其发出访问令牌12S-T的网络节点14的网络(框1010)。
图11描绘了根据其他特定实施例的由无线设备10的归属网络18中的代理18P执行的方法。该方法包括:接收网络节点14对基于其认证无线设备10的认证数据22的请求20,其中,请求20指示认证数据22将要基于的服务网络12(框1100)。该方法还包括:向归属网络18中的认证服务器16发送请求20(框1110)。该方法还包括:向认证服务器16发送断言,该断言指示与代理通过其接收到请求20的连接42相关联的网络(框1120)。在一些实施例中,例如,发送断言包括在传送请求20的消息的应用层报头中发送断言。
图12示出了根据一些实施例的由无线设备10的服务网络12中的网络节点14执行的方法。该方法包括:向认证服务器16发送网络节点14对基于其认证无线设备10的认证数据22的请求20,其中,请求20指示认证数据22将要基于的服务网络12(框1200)。该方法还包括:在请求20中或与请求20一起发送网络节点14的标识50。
图13示出了由无线设备10的归属网络18中的认证服务器16执行的又一方法。该方法包括:从网络节点14接收针对基于其认证无线设备10的认证数据22的请求20,其中,请求20指示认证数据22将要基于的服务网络12(框1310)。该方法还包括:在一个或多个跳过检查条件下,抑制检查网络节点14是否被授权请求基于所指示的服务网络12的认证数据22(框1320)。例如,在一些实施例中,一个或多个跳过检查条件包括网络节点14与认证服务器16属于相同网络(框1330)。
本文中的实施例还包括对应的装置。本文中的实施例例如包括被配置为执行上文针对认证服务器16所描述的任一个实施例中的任何步骤的认证服务器16。
实施例还包括认证服务器16,该认证服务器16包括处理电路和电源电路。处理电路被配置为执行上文针对认证服务器16所描述的任一个实施例的任何步骤。电源电路被配置为向认证服务器16供电。
实施例还包括认证服务器16,该认证服务器16包括处理电路。处理电路被配置为执行上文针对认证服务器16所描述的任一个实施例的任何步骤。在一些实施例中,认证服务器16还包括通信电路。
实施例还包括认证服务器16,该认证服务器16包括处理电路和存储器。存储器包含可由处理电路执行的指令,其中,认证服务器16被配置为执行上文针对认证服务器16所描述的任一个实施例的任何步骤。
本文中的实施例还包括被配置为执行上文针对网络储存库28所描述的任一个实施例的任何步骤的网络储存库28。
实施例还包括网络储存库28,该网络储存库28包括处理电路和电源电路。处理电路被配置为执行上文针对网络储存库28所描述的任一个实施例的任何步骤。电源电路被配置为向网络储存库28供电。
实施例还包括网络储存库28,该网络储存库28包括处理电路。处理电路被配置为执行上文针对网络储存库28所描述的任一个实施例的任何步骤。在一些实施例中,网络储存库还包括通信电路。
实施例还包括网络储存库28,该网络储存库28包括处理电路和存储器。存储器包含可由处理电路执行的指令,其中,网络储存库28被配置为执行上文针对网络储存库28所描述的任一个实施例的任何步骤。
本文中的实施例还包括被配置为执行上文针对代理所描述的任一个实施例的任何步骤的代理。
实施例还包括代理,该代理包括处理电路和电源电路。处理电路被配置为执行上文针对代理所描述的任一个实施例的任何步骤。电源电路被配置为向代理供电。
实施例还包括代理,该代理包括处理电路。处理电路被配置为执行上文针对代理所描述的任一个实施例的任何步骤。在一些实施例中,代理还包括通信电路。
实施例还包括代理,该代理包括处理电路和存储器。存储器包含可由处理电路执行的指令,其中,代理被配置为执行上文针对代理所描述的任一个实施例的任何步骤。
本文中的实施例还包括被配置为执行上文针对网络节点14所描述的任一个实施例的任何步骤的网络节点14。
实施例还包括网络节点14,该网络节点14包括处理电路和电源电路。处理电路被配置为执行上文针对网络节点14所描述的任一个实施例的任何步骤。电源电路被配置为向网络节点14供电。
实施例还包括网络节点14,该网络节点14包括处理电路。处理电路被配置为执行上文针对网络节点14所描述的任一个实施例的任何步骤。在一些实施例中,网络节点还包括通信电路。
实施例还包括网络节点14,该网络节点14包括处理电路和存储器。存储器包含可由处理电路执行的指令,其中,网络节点14被配置为执行上文针对网络节点14所描述的任一个实施例的任何步骤。
更特别地,上文所描述的装置可以通过实现任何功能构件、模块、单元、或电路来执行本文中的方法和任何其他处理。在一个实施例中,例如,装置包括被配置为执行在方法图中所示的步骤的相应电路。在该方面中,电路可以包括专用于结合存储器执行某些功能处理和/或一个或多个微处理器的电路。例如,电路可包括一个或多个微处理器或微处理器以及其他数字硬件,该数字硬件可包括数字信号处理器(DSP)、专用数字逻辑等。处理电路可以被配置为执行被存储在存储器中的程序代码,该存储器可包括一种或多种类型的存储器,诸如只读存储器(ROM)、随机存取存储器、高速缓存存储器、闪存设备、光学存储设备等。在多个实施例中,被存储在存储器中的程序代码可以包括用于执行一个或多个电信和/或数据通信协议的程序指令以及用于执行本文所描述的技术中的一个或多个的指令。在使用存储器的实施例中,存储器存储当由一个或多个处理器执行时执行本文所描述的技术的程序代码。
图14例如示出了如根据一个或多个实施例实现的被配置在无线设备10的归属网络18中使用的认证服务器1400(例如,认证服务器16)。如图所示,认证服务器1400包括处理电路1410和通信电路1420。通信电路1420被配置为例如经由任何通信技术向一个或多个其他节点发送信息和/或从一个或多个其他节点接收信息。处理电路1410被配置为执行上文例如在图9中所描述的处理,诸如通过执行被存储在存储器1430中的指令。在该方面,处理电路1410可以实现某些功能构件、单元、或模块。
图15示出了如根据一个或多个实施例实现的网络储存库1500(例如,网络储存库28)。如图所示,网络储存库1500包括处理电路1510和通信电路1520。通信电路1520被配置为例如经由任何通信技术向一个或多个其他节点发送信息和/或从一个或多个其他节点接收信息。处理电路1510被配置为执行上文例如在图10中所描述的处理,诸如通过执行被存储在存储器1530中的指令。在该方面,处理电路1510可以实现某些功能构件、单元、或模块。
图16示出了如根据一个或多个实施例实现的被配置在无线设备10的归属网络18中使用的代理1600(例如,代理18P)。如图所示,代理1600包括处理电路1610和通信电路1620。通信电路1620被配置为例如经由任何通信技术向一个或多个其他节点发送信息和/或从一个或多个其他节点接收信息。处理电路1610被配置为执行上文例如在图11中所描述的处理,诸如通过执行被存储在存储器1630中的指令。在该方面,处理电路1610可以实现某些功能构件、单元、或模块。
图17示出了如根据一个或多个实施例实现的被配置在无线设备10的服务网络12中使用的网络节点(例如,网络节点14)。如图所示,网络节点1700包括处理电路1710和通信电路1720。通信电路1720被配置为例如经由任何通信技术向一个或多个其他节点发送信息和/或从一个或多个其他节点接收信息。处理电路1710被配置为执行上文例如在图12中所描述的处理,诸如通过执行被存储在存储器1730中的指令。在该方面,处理电路1710可以实现某些功能构件、单元、或模块。
图18示出了如根据一个或多个其他实施例实现的被配置在无线设备10的归属网络18中使用的认证服务器1800(例如,认证服务器16)。如图所示,认证服务器1800包括处理电路1810和通信电路1820。通信电路1820被配置为例如经由任何通信技术向一个或多个其他节点发送信息和/或从一个或多个其他节点接收信息。处理电路1810被配置为执行上文例如在图13中所描述的处理,诸如通过执行被存储在存储器1830中的指令。在该方面,处理电路1810可以实现某些功能构件、单元、或模块。
本领域技术人员还将理解,本文中的实施例还包括对应的计算机程序。
计算机程序包括指令,该指令当在装置的至少一个处理器上被执行时使得该装置执行上文所描述的任何相应的处理。在该方面,计算机程序可包括与上文所描述的构件或者单元对应的一个或多个代码模块。
实施例还包括载体,该载体包含这样的计算机程序的。该载体可包括电子信号、光信号、无线电信号、或计算机可读存储介质中的一个。
在该方面,本文中的实施例还包括在非暂时性计算机可读(存储或记录)介质上存储并且包括指令的计算机程序产品,该指令当由装置的处理器执行时使得该装置如上文所描述地执行。
实施例还包括计算机程序产品,其包括当计算机程序产品由计算设备执行时用于执行本文中的任一个实施例的步骤的程序代码部分。该计算机程序产品可以被存储在计算机可读记录介质上。
现在将描述附加实施例。这些实施例中的至少一些实施例可以被描述为适用于某些上下文和/或无线网络类型,以用于说明的目的,但是实施例类似地适用于未明确描述的其他上下文和/或无线网络类型。
虽然本文所描述的主题可以被实现在使用任何适合的组件的任何适当类型的系统中,但是本文所公开的实施例相对于无线网络来描述,诸如图19示出的示例无线网络。为了简单起见,图19的无线网络仅描绘了网络1906、网络节点1960和1960b、以及WD 1910、1910b和1910c。实际上,无线网络还可包括适合于支持无线设备之间或无线设备与另一个通信设备(诸如陆线电话、服务提供商、或任何其他网络节点或终端设备)之间的通信的任何附加元件。在所示出的组件中,以附加细节示出了网络节点1960和无线设备(WD)1910。无线网络可以向一个或多个无线设备提供通信和其他类型的服务以促进无线设备接入无线网络和/或使用由无线网络或者经由无线网络所提供的服务。
无线网络可包括任何类型的通信、电信、数据、蜂窝、和/或无线电网络或其他类似类型的系统和/或与之接口。在一些实施例中,无线网络可以被配置为根据特定标准或其他类型的预定义规则或过程进行操作。因此,无线网络的特定实施例可实现通信标准,诸如全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)、窄带物联网(NB-loT)、或其他适合的2G、3G、4G、或5G标准;无线局域网(WLAN)标准,诸如IEEE 802.11标准;和/或任何其他适当的无线通信标准,诸如微波存取全球互通(WiMax)、蓝牙、Z波、和/或ZigBee标准。
网络1906可包括一个或多个回程网络、核心网络、IP网络、公共交换电话网络(PSTN)、分组数据网络、光学网络、广域网(WAN)、局域网(LAN)、无线局域网(WLAN)、有线网络、无线网络、城域网、和使能设备之间的通信的其他网络。
网络节点1960和WD 1910包括下文更详细地描述的各种组件。这些组件一起工作以便提供网络节点和/或无线设备功能,诸如提供无线网络中的无线连接。在不同的实施例中,无线网络可包括任何数量的有线或无线网络、网络节点、基站、控制器、无线设备、中继站、和/或可促进或参与经由有线或无线连接的数据和/或信号的通信的任何其他组件或系统。
如本文所使用的,网络节点是指能够、被配置、被布置、和/或可操作以与无线设备和/或与无线网络中的其他网络节点或设备直接或间接通信以使能和/或对无线设备提供无线接入和/或执行无线网络中的其他功能(例如,管理)的设备。网络节点的示例包括但不限于接入点(AP)(例如,无线电接入点)、基站(BS)(例如,无线电基站、节点B、演进型节点B(eNB)、和NR节点(gNB))。基站可以基于它们提供的覆盖量(或者,换句话说,它们的发射功率水平)来被分类,然后也可以被称为毫微微基站、微微基站、微基站、或宏基站。基站可以是中继节点或控制中继的中继施主节点。网络节点还可包括分布式无线电基站的一个或多个(或所有)部分,诸如集中式数字单元和/或远程无线电单元(RRU),有时被称为远程射频头(RRH)。这样的远程无线电单元可以或可以不与天线集成为天线集成无线电。分布式无线电基站的部分还可以被称为分布式天线系统(DAS)中的节点。网络节点的更进一步示例包括多标准无线电(MSR)设备(诸如MSR BS)、网络控制器(诸如无线电网络控制器(RNC)或基站控制器(BSC))、基站收发台(BTS)、传输点、传输节点、多小区/多播协调实体(MCE)、核心网络节点(例如,MSC、MME)、O&M节点、OSS节点、SON节点、定位节点(例如,E-SMLC)、和/或MDT。作为另一示例,网络节点可以是如下文更详细描述的虚拟网络节点。然而,更一般地,网络节点可表示能够、被配置、被布置和/或可操作以使能和/或向无线设备提供对无线网络的接入或者向已经接入无线网络的无线设备提供某种服务的任何适合的设备(或设备组)。
在图19中,网络节点1960包括处理电路1970、设备可读介质1980、接口1990、辅助设备1984、电源1986、电源电路1987、和天线1962。虽然在图19的示例无线网络中示出的网络节点1960可以表示包括所示的硬件组件的组合的设备,但是,其他实施例可以包括具有不同组件组合的网络节点。应理解,网络节点包括执行本文所公开的任务、特征、功能和方法所需的任何适合的硬件和/或软件的组合。而且,虽然网络节点1960的组件被描绘为位于较大框内或嵌套在多个框内的单个框,但是实际上,网络节点可以包括组成单个所示组件的多个不同的物理组件(例如,设备可读介质1980可以包括多个单独的硬盘驱动器以及多个RAM模块)。
类似地,网络节点1960可以包括多个物理上分离的组件(例如,节点B组件和RNC组件、或BTS组件和BSC组件等),其可以各自具有自己的相应组件。在网络节点1960包括多个单独的组件(例如,BTS和BSC组件)的某些场景中,可以在多个网络节点之间共享单独的组件中的一个或多个。例如,单个RNC可以控制多个节点B。在这种场景中,在一些实例中,每个唯一的节点B和RNC对可以被认为是单个单独的网络节点。在一些实施例中,网络节点1960可以被配置为支持多种无线电接入技术(RAT)。在这种实施例中,一些组件可以被复制(例如,用于不同RAT的单独的设备可读介质1980),并且一些组件可以被重用(例如,相同的天线1962可以由RAT共享)。网络节点1960还可以包括用于被集成到网络节点1960中的不同无线技术的各种示出组件的多个集合,诸如例如GSM、WCDMA、LTE、NR、WiFi、或蓝牙无线技术。这些无线技术可以被集成到网络节点1960内的相同或者不同的芯片或芯片集中。
处理电路1970被配置为执行在本文中被描述为由网络节点提供的任何确定、计算、或类似操作(例如,某些获得操作)。由处理电路1970执行的这些操作可以包括处理由处理电路1970获得的信息,通过例如将所获得的信息转换为其他信息,将所获得的信息或所转换的信息与被存储在网络节点中的信息相比较,和/或基于所获得的信息或所转换的信息来执行一个或多个操作,以及作为所述处理的结果,做出确定。
处理电路1970可以包括以下各项中的一项或多项的组合:微处理器,控制器,微控制器,中央处理单元,数字信号处理器,专用集成电路,现场可编程门阵列,或任何其他适合的计算设备、资源、或可操作以单独或者结合其他网络节点1960组件(诸如设备可读介质1980)来提供网络节点1960功能的硬件、软件和/或编码逻辑的组合。例如,处理电路1970可以执行在设备可读介质1980中或者在处理电路1970内的存储器中存储的指令。这种功能可以包括提供本文所讨论的各种无线特征、功能或者益处中的任一个。在一些实施例中,处理电路1970可以包括片上系统(SOC)。
在一些实施例中,处理电路1970可以包括射频(RF)收发机电路1972和基带处理电路1974中的一个或多个。在一些实施例中,射频(RF)收发机电路1972和基带处理电路1974可以在单独的芯片(或者芯片集)、板、或单元(诸如无线电单元和数字单元)上。在其他可替代的实施例中,RF收发机电路1972和基带处理电路1974的一部分或全部可以在相同的芯片或芯片集、板、或单元上。
在某些实施例中,在本文中被描述为由网络节点、基站、eNB、或其他这样的网络设备提供的一些或全部功能可以由执行被存储在设备可读介质1980或处理电路1970内的存储器上的指令的处理电路1970执行。在可替代的实施例中,一些或全部功能可以由处理电路1970不执行在单独或独立的设备可读介质上存储的指令来提供,诸如以硬连线的方式。在那些实施例中的任一个中,无论是否执行在设备可读存储介质上存储的指令,处理电路1970可以被配置为执行所描述的功能。由这样的功能所提供的益处并不单独限于处理电路或者网络节点1960的其他组件,而是由网络节点1960整体和/或通常由终端用户和无线网络享有。
设备可读介质1980可以包括任何形式的易失性或非易失性计算机可读存储器,包括但不限于永久性存储设备、固态存储器、远程安装的存储器、磁介质、光介质、随机存取存储器(RAM)、只读存储器(ROM)、大容量存储介质(例如,硬盘)、可移除存储介质(例如,闪存驱动器、光盘(CD)或数字视频光盘(DVD))、和/或存储可由处理电路1970使用的信息、数据和/或指令的任何其他易失性或非易失性非暂态设备可读存储器设备和/或计算机可执行存储器设备。设备可读介质1980可以存储任何适合的指令、数据或者信息,包括计算机程序、软件、包括逻辑、规则、代码、表等中的一个或多个的应用、和/或能够由处理电路1970执行并且由网络节点1960利用的其他指令。设备可读介质1980可用于存储由处理电路1970进行的任何计算和/或经由接口1990接收的任何数据。在一些实施例中,处理电路1970和设备可读介质1980可以被认为是集成的。
接口1990在网络节点1960、网络1906、和/或WD 1910之间的信令和/或数据的有线或无线通信中使用。如图所示,接口1990包括例如通过有线连接向网络1906发送数据和从网络706接收数据的(一个或多个)端口/(一个或多个)端子1994。接口1990还包括无线电前端电路1992,该无线电前端电路792可以耦合到天线1962,或者在某些实施例中是天线762的一部分。无线电前端电路1992包括滤波器1998和放大器1996。无线电前端电路1992可以被连接到天线1962和处理电路1970。无线电前端电路可以被配置为调节在天线1962与处理电路1970之间传递的信号。无线电前端电路1992可以接收将要经由无线连接发送到其他网络节点或WD的数字数据。无线电前端电路1992可以使用滤波器1998和/或放大器1996的组合来将数字数据转换成具有适当的信道和带宽参数的无线电信号。然后,无线电信号可经由天线1962发送。类似地,当接收数据时,天线1962可收集无线电信号,然后,无线电信号被无线电前端电路1992转换成数字数据。数字数据可以被传递到处理电路1970。在其他实施例中,接口可以包括不同的组件和/或不同的组件组合。
在某些可替代的实施例中,网络节点1960可以不包括单独的无线电前端电路1992,相反,处理电路1970可包括无线电前端电路并可连接到天线1962,而无需单独的无线电前端电路1992。类似地,在一些实施例中,RF收发机电路1972的全部或一部分可被认为是接口1990的一部分。在其他实施例中,接口1990可包括一个或多个端口或端子1994、无线电前端电路1992和RF收发机电路1972,作为无线电单元(未示出)的一部分,并且接口1990可与基带处理电路1974通信,该基带处理电路774是数字单元(未示出)的一部分。
天线1962可包括一个或多个天线或者天线阵列,其被配置为发送和/或接收无线信号。天线1962可以耦合到无线电前端电路1990,并且可以是能够无线发送和接收数据和/或信号的任何类型的天线。在一些实施例中,天线1962可以包括可操作以例如在2GHz与66GHz之间发送/接收无线电信号的一个或多个全向、扇形或平板天线。全向天线可用于在任何方向上发送/接收无线电信号,扇形天线可用于发送/接收来自特定区域内的设备的无线电信号,平板天线可以是用于在相对直的线上发送/接收无线电信号的视线天线。在一些实例中,使用超过一个天线可以被称为MIMO。在某些实施例中,天线1962可以与网络节点1960分离,并可通过接口或者端口连接到网络节点1960。
天线1962、接口1990和/或处理电路1970可以被配置为执行在本文中被描述为由网络节点执行的任何接收操作和/或某些获得操作。任何信息、数据和/或信号可以从无线设备、另一网络节点和/或任何其他网络设备接收。类似地,天线1962、接口1990和/或处理电路1970可以被配置为执行在本文中被描述为由网络节点执行的任何发送操作。任何信息、数据和/或信号可被发送到无线设备、另一网络节点和/或任何其他网络设备。
电源电路1987可包括或者耦合到电源管理电路,并被配置为向网络节点1960的组件供电以用于执行本文所描述的功能。电源电路1987可以从电源1986接收电力。电源1986和/或电源电路1987可被配置为以适合于相应组件的形式向网络节点1960的各种组件提供电力(例如,以每个相应的组件需要的电压和电流级别)。电源1986可被包括在电源电路1987和/或网络节点1960中,或者可在电源电路787和/或网络节点760的外部。例如,网络节点1960可经由输入电路或者接口(诸如电缆)连接到外部电源(例如,电插座),由此,外部电源向电源电路1987供电。作为另一示例,电源1986可以包括采用电池或电池组形式的电源,其连接到或者集成在电源电路1987中。如果外部电源故障,则电池可以提供备用电力。也可以使用其他类型的电源,诸如光伏器件。
网络节点1960的可替代实施例可以包括除了图19所示的组件之外的可负责提供网络节点的功能的某些方面的附加组件,其中网络节点的功能包括本文所描述的任一个功能和/或支持本文所描述的主题所需要的任何功能。例如,网络节点1960可以包括允许将信息输入到网络节点1960中并且允许信息从网络节点1960输出的用户接口设备。这可以允许用户执行针对网络节点1960的诊断、维护、修理和其他管理功能。
如本文所使用的,无线设备(WD)是指能够、被配置、被布置和/或可操作以与网络节点和/或其他WD无线通信的设备。除非另外说明,否则,术语WD在本文中可以与用户设备(UE)可交换地使用。无线通信可以涉及使用电磁波、无线电波、红外波、和/或适合于通过空气传达信息的其他类型的信号发送和/或接收无线信号。在一些实施例中,WD可以被配置为在没有直接人类交互的情况下发送和/或接收信息。例如,WD可以被设计为当由内部或外部事件触发时或者响应于来自网络的请求,根据预定调度向网络发送信息。WD的示例包括但不限于智能电话、移动电话、蜂窝电话、IP语音(VoIP)电话、无线本地环路电话、台式计算机、个人数字助理(PDA)、无线摄像头、游戏控制台或设备、音乐存储设备、播放设备、可穿戴终端设备、无线端点、移动站、平板电脑、膝上型电脑、膝上型嵌入式设备(LEE)、膝上型安装设备(LME)、智能设备、无线客户终端设备(CPE)、车载无线终端设备等。WD可支持设备到设备(D2D)通信,例如通过实现副链通信的3GPP标准、车辆对车辆(V2V)、车辆对基础设施(V2I)、车辆对一切(V2X),并且在这种情况下可以被称为D2D通信设备。作为又一特定示例,在物联网(IoT)场景中,WD可表示执行监测和/或测量并且将这种监测和/或测量的结果发送到另一个WD和/或网络节点的机器或其他设备。在这种情况下,WD可以是机器到机器(M2M)设备,其可以在3GPP上下文中被称为MTC设备。作为一个特定示例,WD可以是实现3GPP窄带物联网(NB-IoT)标准的UE。这种机器或者设备的特定示例是传感器、计量设备(诸如电表)、工业机械、或者家庭或个人电器(例如,电冰箱、电视等)、个人可穿戴设备(例如,手表、健身追踪器等)。在其他场景中,WD可表示能够监测和/或报告其操作状态或与其操作相关联的其他功能的车联或其他设备。如上文所描述的WD可表示无线连接的端点,在该情况下,设备可以被称为无线终端。此外,如上文所描述的WD可以是移动的,在该情况下,该WD还可以被称为移动设备或移动终端。
如图所示,无线设备1910包括天线1911、接口1914、处理电路1920、设备可读介质1930、用户接口设备1932、辅助设备1934、电源1936和电源电路1937。WD 1910可以包括用于由WD 1910支持的不同无线技术的示出组件中的一个或多个的多个集合,诸如例如GSM、WCDMA、LTE、NR、WiFi、WiMAX、NB-IoT、或蓝牙无线技术,仅举几例。这些无线技术可以被集成到WD 1910内的相同或者不同的芯片或芯片集中。
天线1911可包括一个或多个天线或者天线阵列,其被配置为发送和/或接收无线信号,并且连接到接口1914。在某些可替代的实施例中,天线1911可以与WD 1910分离,并且可通过接口或者端口连接到WD 1910。天线1911、接口1914、和/或处理电路1920可以被配置为执行在本文中被描述为由WD执行的任何接收或发送操作。任何信息、数据、和/或信号可以从网络节点和/或另一个WD接收。在一些实施例中,无线电前端电路和/或天线1911可以被认为是接口。
如图所示,接口1914包括无线电前端电路1912和天线1911。无线电前端电路1912包括一个或多个滤波器1918和放大器1916。无线电前端电路1914被连接到天线1911和处理电路1920,并且被配置为调节在天线1911与处理电路1920之间传递的信号。无线电前端电路1912可以耦合到天线1911或者是天线1911的一部分。在一些实施例中,WD 1910可以不包括单独的无线电前端电路1912;相反,处理电路1920可包括无线电前端电路,并且可连接到天线1911。类似地,在一些实施例中,RF收发机电路1922的全部或一些可被认为是接口1914的一部分。无线电前端电路1912可以接收将要经由无线连接发送到其他网络节点或WD的数字数据。无线电前端电路1912可以使用滤波器1918和/或放大器1916的组合来将数字数据转换成具有适当的信道和带宽参数的无线电信号。然后,无线电信号可经由天线1911发送。类似地,当接收数据时,天线1911可收集无线电信号,然后,无线电信号被无线电前端电路1912转换成数字数据。数字数据可以被传递到处理电路1920。在其他实施例中,接口可以包括不同的组件和/或不同的组件组合。
处理电路1920可以包括以下各项中的一项或多项的组合:微处理器,控制器,微控制器,中央处理单元,数字信号处理器,专用集成电路,现场可编程门阵列,或任何其他适合的计算设备、资源、或可操作以单独或者结合其他WD 1910组件(诸如设备可读介质1930)来提供WD 1910功能的硬件、软件、和/或编码逻辑的组合。这样的功能可以包括提供本文所讨论的各种无线特征或者益处中的任一个。例如,处理电路1920可以执行在设备可读介质1930中或者在处理电路1920内的存储器中存储的指令以提供本文所公开的功能。
如图所示,处理电路1920包括RF收发机电路1922、基带处理电路1924、和应用处理电路1926中的一个或多个。在其他实施例中,处理电路可包括不同的组件和/或不同的组件组合。在某些实施例中,WD 1910的处理电路1920可包括SOC。在一些实施例中,RF收发机电路1922、基带处理电路1924、和应用处理电路1926可以在单独的芯片或芯片集上。在可替代的实施例中,基带处理电路1924和应用处理电路1926的一部分或全部可以组合为一个芯片或芯片集,并且RF收发机电路1922可以在单独的芯片或芯片集上。在其他可替代的实施例中,RF收发机电路1922和基带处理电路1924的一部分或全部可以在相同的芯片或芯片集上,并且应用处理电路1926可以在单独的芯片或芯片集上。在其他可替代的实施例中,RF收发机电路1922、基带处理电路1924、和应用处理电路1926的一部分或全部可以组合在单个芯片或芯片集中。在一些实施例中,RF收发机电路1922可以是接口1914的一部分。RF收发机电路1922可调节用于处理电路1920的RF信号。
在某些实施例中,在本文中被描述为由WD执行的功能中的一些或全部可以由执行被存储在设备可读介质1930上的指令的处理电路1920提供,该设备可读介质730在某些实施例中可以是计算机可读存储介质。在可替代的实施例中,一些或全部功能可以由处理电路1920不执行在单独或独立的设备可读存储介质上存储的指令来提供,诸如以硬连线的方式。在那些特定实施例中的任一个中,无论是否执行在设备可读存储介质上存储的指令,处理电路1920可以被配置为执行所描述的功能。由这样的功能所提供的益处并不单独限于处理电路1920或者WD 1910的其他组件,而是由WD 1910整体和/或通常由终端用户和无线网络享有。
处理电路1920可以被配置为执行在本文中被描述为由WD执行的任何确定、计算、或类似操作(例如,某些获得操作)。如由处理电路1920执行的这些操作可以包括处理由处理电路1920获得的信息,通过例如将所获得的信息转换为其他信息,将所获得的信息或所转换的信息与由WD1910存储的信息相比较,和/或基于所获得的信息或所转换的信息来执行一个或多个操作,以及作为所述处理的结果,做出确定。
设备可读介质1930可以可操作以存储计算机程序、软件、应用,其包括逻辑、规则、代码、表等中的一个或多个和/或能够由处理电路1920执行的其他指令。设备可读介质1930可包括计算机存储器(例如,随机存取存储器(RAM)或只读存储器(ROM))、大容量存储介质(例如,硬盘)、可移除存储介质(例如,光盘(CD)或数字视频光盘(DVD))、和/或存储可以由处理电路1920使用的信息、数据和/或指令的任何其他易失性或非易失性、非暂态计算机可读和/或计算机可执行存储器设备。在一些实施例中,处理电路1920和设备可读介质1930可以被认为是集成的。
用户接口设备1932可以提供允许人类用户与WD 1910交互的组件。这样的交互可以具有许多形式,诸如视觉、听觉、触觉等。用户接口设备1932可以可操作以向用户产生输出,并且允许用户向WD 1910提供输入。交互的类型可以取决于安装在WD 1910中的用户接口设备1932的类型而变化。例如,如果WD 1910是智能电话,则交互可以经由触摸屏;如果WD1910是智能仪表,则交互可以通过提供使用量(例如,所使用的加仑数量)的屏幕或者(例如,如果检测到烟雾则)提供听觉警报的扬声器。用户接口设备1932可包括输入接口、设备和电路、以及输出接口、设备和电路。用户接口设备1932被配置为允许将信息输入到WD1910中,并且连接到处理电路1920以允许处理电路1920处理输入信息。用户接口设备1932可包括例如麦克风、接近度或其他传感器、键/按钮、触摸显示器、一个或多个摄像头、USB端口、或其他输入电路。用户接口设备1932还被配置为允许输出来自WD 1910的信息,并且允许处理电路1920输出来自WD 1910的信息。用户接口设备1932可以包括例如扬声器、显示器、振动电路、USB端口、耳机接口、或其他输出电路。使用用户接口设备1932的一个或多个输入和输出接口、设备、和电路,WD 1910可以与终端用户和/或无线网络通信,并且允许它们受益于本文所描述的功能。
辅助设备1934可操作以提供可以通常不由WD执行的更特定的功能。这可以包括用于出于各种目的进行测量的专业化传感器、用于附加类型的通信(诸如有线通信)的接口等。辅助设备1934的组件的包含物和类型可以取决于实施例和/或场景而变化。
在一些实施例中,电源1936可以以电池或电池组的形式。还可以使用其他类型的电源,诸如外部电源(例如,电插座)、光伏器件、或电池。WD 1910还可包括用于将电力从电源1936输送到WD 1910的各部分的电源电路1937,该WD 710的各部分需要来自电源1936的电力以执行本文所描述或指示的任何功能。在某些实施例中,电源电路1937可包括电源管理电路。附加地或者可替代地,电源电路1937可以可操作以接收来自外部电源的电力;在该情况下,WD 1910可以可经由输入电路或诸如电源电缆的接口连接到外部电源(诸如电插座)。在某些实施例中,电源电路1937还可以可操作以将电力从外部电源输送到电源1936。这可以例如用于电源1936的充电。电源电路1937可以对来自电源1936的电力执行任何格式化、转换、或其他修改以产生适合于供电的WD 1910的相应组件的电力。
图20示出了根据本文所描述的各方面的UE的一个实施例。如本文所使用的,用户设备或UE可以不必具有在拥有和/或操作相关设备的人类用户的意义上的用户。相反,UE可表示旨在向人类用户销售或由人类用户操作但是可以不或最初可以不与特定人类用户相关联的设备(例如,智能洒水器控制器)。可替代地,UE可表示不旨在向终端用户销售或由终端用户操作但是可以与用户相关联或为了用户的利益操作的设备(例如,智能电表)。UE20200可以是由第三代合作伙伴项目(3GPP)标识的UE,包括NB-loT UE、机器类型通信(MTC)UE、和/或增强型MTC(eMTC)UE。如图20所示,UE 2000是被配置用于根据由第三代合作伙伴项目(3GPP)颁布的一个或多个通信标准(诸如3GPP的GSM、UMTS、LTE、和/或5G标准)来通信的WD的一个示例。如先前所提到的,术语WD和UE可以可交换地使用。因此,虽然图20是UE,但是本文所讨论的组件同样适用于WD,反之亦然。
在图20中,UE 2000包括处理电路2001,该处理电路801可操作地耦接到输入/输出接口2005、射频(RF)接口2009、网络连接接口2011、存储器2015(包括随机存取存储器(RAM)2017、只读存储器(ROM)2019、和存储介质2021等)、通信子系统2031、电源2033、和/或任何其他组件、或其任何组合。存储介质2021包括操作系统2023、应用程序2025、和数据2027。在其他实施例中,存储介质2021可包括其他相似类型的信息。某些UE可以利用图20所示的所有组件或者仅组件的子集。组件之间的集成度可以从一个UE到另一个UE变化。进一步地,某些UE可包含组件的多个实例,诸如多个处理器、存储器、收发机、发射机、接收机等。
在图20中,处理电路2001可以被配置为处理计算机指令和数据。处理电路2001可以被配置为实现可操作以执行在存储器中被存储为机器可读计算机程序的机器指令的任何顺序状态机,诸如一个或多个硬件实现的状态机(例如,以离散逻辑、FPGA、ASIC等);可编程逻辑连同适当的固件一起;一个或多个存储程序、通用处理器,诸如微处理器或数字信号处理器(DSP),连同适当的软件一起;或上述的任何组合。例如,处理电路2001可包括两个中央处理单元(CPU)。数据可以是以适合于由计算机使用的形式的信息。
在所描绘的实施例中,输入/输出接口2005可以被配置为向输入设备、输出设备、或输入和输出设备提供通信接口。UE 2000可以被配置为经由输入/输出接口2005使用输出设备。输出设备可以使用与输入设备相同类型的接口端口。例如,USB端口可用于提供到UE2000的输入和来自UE2000的输出。输出设备可以是扬声器、声卡、视频卡、显示器、监视器、打印机、致动器、发射器、智能卡、另一个输出设备、或其任何组合。UE2000可以被配置为经由输入/输出接口2005使用输入设备以允许用户将信息捕获到UE 2000中。输入设备可包括接触敏感或者存在敏感显示器、摄像头(例如,数字摄像头、数字视频摄像头、网络摄像头等)、麦克风、传感器、鼠标、轨迹球、方向板、轨迹板、滚轮、智能卡等。存在敏感显示器可包括感测来自用户的输入的电容或者电阻触摸传感器。传感器可以是例如加速度计、陀螺仪、倾斜传感器、力传感器、磁强计、光学传感器、接近传感器、另一个相似传感器、或其任何组合。例如,输入设备可以是加速度计、磁强计、数字相机、麦克风、和光学传感器。
在图20中,RF接口2009可以被配置为向RF组件(诸如发射机、接收机、和天线)提供通信接口。网络连接接口2011可以被配置为向网络2043a提供通信接口。网络2043a可涵盖有线和/或无线网络,诸如局域网(LAN)、广域网(WAN)、计算机网络、无线网络、电信网络、另一个类似网络、或其任何组合。例如,网络2043a可包括Wi-Fi网络。网络连接接口2011可以被配置为包括用于根据一个或多个通信协议通过通信网络与一个或多个其他设备通信的接收机和发射机接口,该通信协议诸如以太网、TCP/IP、SONET、ATM等。网络连接接口2011可以实现适于通信网络链路(例如,光学、电气等)的接收机和发射机功能。发射机和接收机功能可以共享电路组件、软件或固件,或者可替代地可以单独地实现。
RAM 2017可以被配置为经由总线2002与处理电路2001接口以在软件程序(诸如操作系统、应用程序、和设备驱动程序)的执行期间提供数据或者计算机指令的存储或者高速缓存。ROM 2019可以被配置为向处理电路2001提供计算机指令或者数据。例如,ROM 2019可以被配置为存储针对基本系统功能的不变的低级系统代码或者数据,诸如被存储在非易失性存储器中的来自键盘的键击的基本输入和输出(I/O)、启动、或接收。存储介质2021可以被配置为包括存储器,诸如RAM、ROM、可编程只读存储器(PROM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)、磁盘、光盘、软盘、硬盘、可移除磁盘、或闪盘驱动器。在一个示例中,存储介质2021可以被配置为包括操作系统2023、应用程序2025(诸如网络浏览器应用、小部件或小配件引擎、或另一应用)、和数据文件2027。存储介质2021可以存储各种不同操作系统或者操作系统的组合中的任一个以用于由UE 2000使用。
存储介质2021可以被配置为包括多个物理驱动单元,诸如独立磁盘冗余阵列(RAID)、软盘驱动器、闪存、USB闪盘驱动器、外部硬盘驱动器、拇指驱动器、笔式驱动器、键驱动器、高密度数字通用光盘(HD-DVD)光盘驱动器、内部硬盘驱动器、蓝光光盘驱动器、全息数字数据存储(HDDS)光盘驱动器、外部迷你双列直插存储模块(DIMM)、同步动态随机存取存储器(SDRAM)、外部微DIMM SDRAM、智能卡存储器诸如用户标识模块(或可移除订户标识(SIM/RUIM)模块、其他存储器、或其任何组合。存储介质2021可以允许UE 2000访问被存储在暂时性或非暂时性存储器介质上的计算机可执行指令、应用程序等以卸载数据或者上载数据。制品(诸如利用通信系统的制品)可以有形地实现在存储介质2021中,该存储介质821可包括设备可读介质。
在图20中,处理电路2001可以被配置为使用通信子系统2031与网络2043b通信。网络2043a和网络2043b可以是相同的一个或多个网络或者是不同的一个或多个网络。通信子系统2031可以被配置为包括用于与网络2043b通信的一个或多个收发机。例如,通信子系统2031可以被配置为包括用于根据一个或多个通信协议(诸如IEEE 802.20、CDMA、WCDMA、GSM、LTE、UTRAN、WiMax等)与能够进行无线通信的另一个设备(诸如另一个WD、UE、或无线电接入网络(RAN)的基站)的一个或多个远程收发机进行通信的一个或多个收发机。每个收发机可以包括分别实现适于RAN链路的发射机或接收机功能(例如,频率分配等)的发射机2033和/或接收机2035。进一步地,每个收发机的发射机2033和接收机2035可以共享电路组件、软件或固件,或者可替代地可以单独地实现。
在示出的实施例中,通信子系统2031的通信功能可包括数据通信、语音通信、多媒体通信、短程通信(诸如蓝牙、近场通信)、基于位置的通信(诸如使用全球定位系统(GPS)以确定位置)、另一个类似通信功能、或其任何组合。例如,通信子系统2031可包括蜂窝通信、Wi-Fi通信、蓝牙通信、和GPS通信。网络2043b可涵盖有线和/或无线网络,诸如局域网(LAN)、广域网(WAN)、计算机网络、无线网络、电信网络、另一个类似网络、或其任何组合。例如,网络2043b可以是蜂窝网络、Wi-Fi网络、和/或近场网络。电源2013可以被配置为向UE2000的组件提供交流(AC)或者直流(DC)电源。
本文中所描述的特征、益处和/或功能可以被实现在UE 2000的一个组件中或者被划分在UE 2000的多个组件中。进一步地,本文中所描述的特征、益处、和/或功能可以以硬件、软件或固件的任何组合实现。在一个示例中,通信子系统2031可以被配置为包括本文所描述的任何组件。进一步地,处理电路2001可以被配置为通过总线2002与这样的组件中的任一个通信。在另一示例中,任何这种组件可由存储在存储器中的程序指令表示,该程序指令当由处理电路2001执行时执行本文所描述的对应功能。在另一示例中,任何这样的组件的功能可以被划分在处理电路2001与通信子系统2031之间。在另一个示例中,任何这样的组件的非计算密集功能可以以软件或者固件实现,并且计算密集功能可以以硬件实现。
图21是示出其中可以虚拟化由一些实施例实现的功能的虚拟化环境2100的示意性框图。在本上下文中,虚拟化意味着创建装置或设备的虚拟版本,其可包括虚拟化硬件平台、存储设备、和网络资源。如本文所使用的,虚拟化可以应用于节点(例如,虚拟化基站或虚拟化无线电接入节点)或设备(例如,UE、无线设备、或任何其他类型的通信设备)或其组件,并且涉及其中功能的至少一部分被实现为一个或多个虚拟组件(例如,经由一个或多个应用、组件、功能、虚拟机、或在一个或多个网络中的一个或多个物理处理节点上执行的容器)的实现。
在一些实施例中,本文所描述的功能中的一些或全部功能可以被实现为由在由硬件节点2130中的一个或多个托管的一个或多个虚拟环境2100中实现的一个或多个虚拟机执行的虚拟组件。进一步地,在虚拟节点不是无线电接入节点或不要求无线电连接(例如,核心网络节点)的实施例中,则网络节点可以完全虚拟化。
功能可以由一个或多个应用2120(其可以可替代地被称为软件实例、虚拟设备、网络功能、虚拟节点、虚拟网络功能等)实现,该应用920可操作以实现本文所公开的实施例中的一些的特征、功能、和/或益处中的一些。应用2120在虚拟化环境2100中运行,该虚拟化环境900提供包括处理电路2160和存储器2190的硬件2130。存储器2190包含可由处理电路2160执行的指令2195,由此,应用2120可操作以提供本文所公开的特征、益处、和/或功能中的一个或多个。
虚拟化环境2100包括通用或者专用网络硬件设备2130,该通用或者专用网络硬件设备930包括一组一个或多个处理器或者处理电路2160,其可以是商用现货(COTS)处理器、专用集成电路(ASIC)、或包括数字或模拟硬件组件或专用处理器的任何其他类型的处理电路。每个硬件设备可以包括存储器2190-1,该存储器990-1可以是用于暂时存储由处理电路2160执行的指令2195或软件的非持久性存储器。每个硬件设备可以包括一个或多个网络接口控制器(NIC)2170(也称为网络接口卡),该网络接口控制器(NIC)970包括物理网络接口2180。每个硬件设备还可以包括在其中存储了可由处理电路2160执行的软件2195和/或指令的非暂时性持久性机器可读存储介质2190-2。软件2195可以包括任何类型的软件,其包括用于实例化一个或多个虚拟化层2150的软件(也称为管理程序)、执行虚拟机2140的软件以及允许执行与本文所描述的一些实施例相关描述的功能、特征和/或益处的软件。
虚拟机2140包括虚拟处理、虚拟存储器、虚拟联网或者接口、以及虚拟存储,并且可以由对应的虚拟化层2150或管理程序运行。虚拟设备2120的实例的不同实施例可在一个或多个虚拟机2140上实现,并且这些实现可以以不同的方式完成。
在操作期间,处理电路2160执行实例化管理程序或虚拟化层2150的软件2195,它有时可被称为虚拟机监视器(VMM)。虚拟化层2150可向虚拟机2140呈现看起来像网络硬件的虚拟操作平台。
如图21所示,硬件2130可以是具有一般或者特定组件的独立网络节点。硬件2130可以包括天线21225,并可经由虚拟化实现一些功能。可替代地,硬件2130可以是较大硬件集群(例如,在数据中心或者客户终端设备(CPE)中)的一部分,其中,许多硬件节点一起工作并经由管理和编排(MANO)21100来管理,管理和编排(MANO)9100尤其监督应用2120的生命周期管理。
硬件的虚拟化在一些上下文中被称为网络功能虚拟化(NFV)。NFV可用于将许多网络设备类型合并到工业标准大容量服务器硬件、物理交换机和物理存储设备上,它们可位于数据中心和客户终端设备中。
在NFV的上下文中,虚拟机2140可以是物理机器的软件实现,其运行程序就好像它们在物理的非虚拟化机器上执行一样。每个虚拟机2140和硬件2130的执行该虚拟机的部分(即专用于该虚拟机的硬件和/或由该虚拟机与其它虚拟机2140共享的硬件)形成单独的虚拟网络元件(VNE)。
仍然在NFV的上下文中,虚拟网络功能(VNF)负责处理在硬件网络基础设施2130之上的一个或多个虚拟机2140中运行的特定网络功能,并对应于图21中的应用2120。
在一些实施例中,各自包括一个或多个发射机21220和一个或多个接收机21210的一个或多个无线电单元21200可以耦合到一个或多个天线21225。无线电单元21200可以经由一个或多个适当的网络接口与硬件节点2130直接通信,并且可与虚拟组件相组合以用于提供具有无线电能力的虚拟节点,诸如无线电接入节点或基站。
在一些实施例中,一些信令可以使用控制系统21230实现,可替代地,该控制系统9230可用于硬件节点2130与无线电单元21200之间的通信。
通常,本文中使用的所有术语将根据它们在相关技术领域中的普通含义来解释,除非明确给出不同的含义和/或在使用它的上下文中隐含不同的含义。除非另外明确说明,否则,所有对元件、装置、组件、方法、步骤等的引用将被开放地解释为是指元件、装置、组件、方法、步骤等中的至少一个实例。本文所公开的任何方法的步骤并不必需按所公开的准确顺序执行,除非步骤被明确描述为在另一步骤之后或者之前和/或隐含了步骤必须在另一步骤之后或者之前。只要合适,本文所公开的任何实施例的任何特征可适用于任何其他实施例。同样地,任何实施例的任何优点可以适用于任何其他实施例,反之亦然。从描述中,所公开的实施例的其他目标、特征和优点将是显然的。
术语“单元”可以具有电子装置、电气设备、和/或电子设备的领域中的常规含义,并且可包括例如电气和/或电子电路、设备、模块、处理器、存储器、逻辑固态和/或分立设备、用于执行相应任务、过程、计算、输出、和/或显示功能等的计算机程序或指令,诸如本文所描述的。
如本文所使用的,术语“A和/或B”涵盖了单独具有A、单独具有B或同时具有A和B的实施例。因此,术语“A和/或B”可以等效地意味着“A和B中的任何一个或多个中的至少一个”。
参考附图更充分地描述本文中预期的实施例中的一些实施例。然而,其他实施例被包含在本文所公开的主题的范围内。所公开的主题不应当被解释为仅限于本文阐述的实施例;相反,这些实施例通过示例提供以将主题范围传达给本领域技术人员。
显著地,受益于前述描述和相关联的附图中呈现的教导,本领域技术人员将想到本公开的修改和其他实施例。因此,应理解到,本公开不限于所公开的特定实施例,并且修改和其他实施例旨在被包括在本公开的范围内。虽然在本文中可以使用特定术语,但是其仅以一般和描述的意义并且不出于限制的目的使用。
Claims (63)
1.一种由无线设备(10)的归属网络(18)中的认证服务器(16)执行的方法,所述方法包括:
从网络节点(14)接收(900)针对基于其认证所述无线设备(10)的认证数据(22)的请求,其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12);
检查(910)所述网络节点(14)是否被授权请求基于所指示的服务网络(12)的认证数据(22),其中,所述检查基于:
访问令牌(12S-T),其由所述网络节点(14)呈现,并指示向其发出所述访问令牌(12S-T)的节点的网络;
中间代理(18P)的断言,所述断言指示与所述中间代理(18P)通过其接收到所述请求(20)的连接(42)相关联的网络;或者
由所述网络节点(14)提供的标识(50)所标识的节点的简档,其中,所述简档(52)指示所述节点所属的网络;以及
取决于所述检查,接受或拒绝(930)所述请求(20)。
2.根据权利要求1所述的方法,其中,所述请求(20)包括服务网络名称,所述服务网络名称指示所述认证数据(22)将要基于的所述服务网络(12),以及其中,所述检查包括:
基于所述访问令牌(12S-T)、所述断言或者所述简档(52),形成预期服务网络名称;以及
将在所述请求(20)中包括的所述服务网络名称与所述预期服务网络名称进行比较。
3.根据权利要求1至2中的任一项所述的方法,其中,所述访问令牌(12S-T)、所述断言或者所述简档(52)包括公共陆地移动网络标识,其中,所述请求(20)包括服务网络名称,所述服务网络名称指示所述认证数据(22)将要基于的所述服务网络(12),以及其中,所述检查包括:
将在所述请求(20)中包括的所述服务网络名称与从所述公共陆地移动网络标识形成的预期服务网络名称进行比较;或者
将从在所述请求(20)中包括的所述服务网络名称提取的公共陆地移动网络标识与所述公共陆地移动网络标识进行比较。
4.根据权利要求1至3中的任一项所述的方法,还包括:在所述请求(20)中或与所述请求(20)一起接收所述访问令牌(12S-T)、所述断言或者所述标识(50)。
5.根据权利要求1至4中的任一项所述的方法,其中,所述检查是基于所述访问令牌(12S-T)。
6.根据权利要求5所述的方法,其中,所述访问令牌(12S-T)由网络储存库(28)用数字签名或消息认证码MAC保护,其中,所述访问令牌(12S-T)指示所述访问令牌(12S-T)授权消费者访问的服务范围,其中,所述访问令牌(12S-T)经由消费者网络标识来指示向其发出所述访问令牌(12S-T)的所述节点的所述网络,并且其中,所述检查是基于所述消费者网络标识。
7.根据权利要求6所述的方法,其中,所述网络储存库(28)实现网络储存库功能NRF。
8.根据权利要求5至7中的任一项所述的方法,其中,所述访问令牌(12S-T)是JavaScript对象符号JSON网络令牌或OAuth访问令牌。
9.根据权利要求1至4中的任一项所述的方法,其中,所述检查是基于所述断言。
10.根据权利要求1至4和9中的任一项所述的方法,其中,所述中间代理(18P)在所述归属网络(18)中,其中,所述连接(42)是所述归属网络(18)中的所述中间代理(18P)与从其接收到所述请求(20)的拜访网络中的另一个中间代理(12P)之间的传输层安全TLS连接,以及其中,与所述连接(42)相关联的所述网络与用于所述TLS连接的上下文相关联。
11.根据权利要求10所述的方法,其中,所述断言通过指示与用于所述TLS连接的所述上下文对应的远程公共陆地移动网络标识来指示与用于所述TLS连接的所述上下文相关联的所述网络。
12.根据权利要求1至4中的任一项所述的方法,其中,所述检查是基于所述简档(52)。
13.根据权利要求1至4和12中的任一项所述的方法,还包括:使用由所述网络节点(14)提供的所述标识(50)从网络储存库(28)或者从在所述认证服务器(16)处的高速缓存检索所述简档(52)。
14.根据权利要求1至13中的任一项所述的方法,其中,所述认证服务器(16)实现认证服务器功能AUSF,并且其中,所述网络节点(14)实现接入和移动性功能AMF或者在AMF实例内的安全锚定功能SEAF。
15.根据权利要求1至14中的任一项所述的方法,其中,所述中间代理(18P)是安全边缘保护代理SEPP。
16.根据权利要求1-15中的任一项所述的方法,还包括:基于接受所述请求(20)或者作为接受所述请求(20)的一部分,向所述网络节点(14)发送(930)所请求的认证数据(22)。
17.一种由网络储存库(28)执行的方法,所述方法包括:
从网络节点(14)接收(1000)对授权所述网络节点(14)消费由另一个网络节点提供的服务的访问令牌(12S-T)的请求(20);以及
向所述网络节点(14)发出(1010)所请求的访问令牌(12S-T),其中,所发出的访问令牌(12S-T)无条件地指示向其发出所述访问令牌(12S-T)的所述网络节点(14)的网络。
18.根据权利要求17所述的方法,其中,所述请求(20)是针对授权所述网络节点(14)消费由与所述网络节点(14)在相同的网络中的另一个网络节点提供的服务的访问令牌(12S-T)。
19.根据权利要求17至18中的任一项所述的方法,其中,所述访问令牌(12S-T)由所述网络储存库(28)用数字签名或消息认证码MAC保护,并且其中,所述访问令牌(12S-T)经由消费者网络标识无条件地指示向其发出所述访问令牌(12S-T)的所述网络节点(14)的所述网络。
20.根据权利要求17至18中的任一项所述的方法,其中,所述访问令牌(12S-T)是JavaScript对象符号JSON网络令牌或Oath 2.0访问令牌。
21.根据权利要求17至20中的任一项所述的方法,其中,所述网络节点(14)实现接入和移动性功能AMF或者在AMF实例内的安全锚定功能SEAF,并且其中,所述另一个网络节点实现认证服务器功能AUSF。
22.一种由无线设备(10)的归属网络(18)中的代理(18P)执行的方法,所述方法包括:
从网络节点(14)接收(1100)针对基于其认证所述无线设备(10)的认证数据(22)的请求(20),其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12);
向所述归属网络(18)中的认证服务器(16)发送(1110)所述请求(20);以及
向所述认证服务器(16)发送(1120)断言,所述断言指示与所述代理(18P)通过其接收到所述请求(20)的连接(42)相关联的网
络。
23.根据权利要求22所述的方法,其中,所述连接(42)是传输层安全TLS连接,并且其中,与所述连接(42)相关联的所述网络与用于所述TLS连接的上下文相关联。
24.根据权利要求22至23中的任一项所述的方法,其中,发送所述断言包括:在传送所述请求(20)的消息的应用层报头中发送所述断言。
25.根据权利要求22至24中的任一项所述的方法,其中,所述代理(18P)是安全边缘保护代理SEPP,并且其中,所述认证服务器(16)实现认证服务器功能AUSF。
26.一种由无线设备(10)的服务网络(12)中的网络节点(14)执行的方法,所述方法包括:
向认证服务器(16)发送(1200)所述网络节点(14)对基于其认证所述无线设备(10)的认证数据(22)的请求(20),其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12);以及
在所述请求(20)中或与所述请求(20)一起发送(1210)所述网络节
点(14)的标识(50)。
27.根据权利要求26所述的方法,其中,所述网络节点(14)实现接入和移动性功能AMF或在AMF实例内的安全锚定功能SEAF,并且其中,所述认证服务器(16)实现认证服务器功能AUSF。
28.一种由无线设备(10)的归属网络(18)中的认证服务器(16)执行的方法,所述方法包括:
从网络节点(14)接收(1300)针对基于其认证所述无线设备(10)的认证数据(22)的请求(20),其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12);以及
在一个或多个跳过检查条件下,抑制(1310)检查所述网络节点(14)
是否被授权请求基于所指示的服务网络(12)的认证数据(22)。
29.根据权利要求28所述的方法,其中,所述一个或多个跳过检查条件包括所述网络节点(14)属于与所述认证服务器(16)相同的网络。
30.一种被配置在无线设备(10)的归属网络(18)中使用的认证服务器(16,1400),所述认证服务器(16,1400)包括:
通信电路(1420);以及
处理电路(1410),其被配置为:
从网络节点(14)接收针对基于其认证所述无线设备(10)的认证数据(22)的请求(20),其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12);
检查所述网络节点(14)是否被授权请求基于所指示的服务网络(12)的认证数据(22),其中,所述检查基于:
访问令牌(12S-T),其由所述网络节点(14)呈现,并指示向其发出所述访问令牌(12S-T)的节点的网络;
中间代理(18P)的断言,所述断言指示与所述中间代理(18P)通过其接收到所述请求(20)的连接(42)相关联的网络;或者
由所述网络节点(14)提供的标识(50)所标识的节点的简
档(52),其中,所述简档(52)指示所述节点所属的网络;以及
取决于所述检查,接受或拒绝所述请求(20)。
31.根据权利要求30所述的认证服务器(16,1400),所述处理电路(1410)被配置为执行根据权利要求2至16中的任一项所述的方法。
32.一种网络储存库(28,1500),所述网络储存库(28,1500)包括:
通信电路(1520);以及
处理电路(1510),其被配置为:
从网络节点(14)接收对授权所述网络节点(14)消费由另一个网络节点提供的服务的访问令牌(12S-T)的请求(20);以及
向所述网络节点(14)发出所请求的访问令牌(12S-T),其中,所发出的访问令牌(12S-T)无条件地指示向其发出所述访问令牌(12S-T)的所述网络节点(14)的网络。
33.根据权利要求32所述的网络储存库(28,1500),所述处理电路(1510)被配置为执行根据权利要求18至21中的任一项所述的方法。
34.一种被配置在无线设备(10)的归属网络(18)中使用的代理(18P,1600),所述代理(18P,1600)包括:
通信电路(1620);以及
处理电路(1610),其被配置为:
从网络节点(14)接收针对基于其认证所述无线设备(10)的认证数据(22)的请求(20),其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12);
向所述归属网络(18)中的认证服务器(16)发送所述请求(20);以及
向所述认证服务器(16)发送断言,所述断言指示与所述代理(18P)通过其接收到所述请求(20)的连接(42)相关联的网络。
35.根据权利要求34所述的代理(18P,1600),所述处理电路(1610)被配置为执行根据权利要求22至25中的任一项所述的方法。
36.一种被配置在无线设备(10)的服务网络(12)中使用的网络节点(14,1700),所述网络节点(14,1700)包括:
通信电路(1720);以及
处理电路(1710),其被配置为:
向认证服务器(16)发送所述网络节点(14)对基于其认证所述无线设备(10)的认证数据(22)的请求(20),其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12);以及
在所述请求(20)中或与所述请求(20)一起发送所述网络节点(14)的标识(50)。
37.根据权利要求36所述的网络节点(14,1700),其中,所述网络节点(14,1700)实现接入和移动性功能AMF和/或安全锚定功能SEAF,并且其中,所述认证服务器(16)实现认证服务器功能AUSF。
38.一种被配置在无线设备(10)的归属网络(18)中使用的认证服务器(16,1800),所述认证服务器(16,1800)包括:
通信电路(1820);以及
处理电路(1810),其被配置为:
从网络节点(14)接收针对基于其认证所述无线设备(10)的认证数据(22)的请求(20),其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12);以及
在一个或多个跳过检查条件下,抑制检查所述网络节点(14)是否被授权请求(20)基于所指示的服务网络(12)的认证数据(22)。
39.根据权利要求38所述的认证服务器(16,1800),其中,所述一个或多个跳过检查条件包括所述网络节点(14)属于与所述认证服务器(16,1800)相同的网络。
40.一种包括指令的计算机程序,所述指令当由认证服务器(16)的至少一个处理器执行时,使得所述认证服务器(16)执行根据权利要求1至16中的任一项所述的方法。
41.一种包括指令的计算机程序,所述指令当由网络储存库(28)的至少一个处理器执行时,使得所述网络储存库(28)执行根据权利要求17至21中的任一项所述的方法。
42.一种包括指令的计算机程序,所述指令当由代理(18P)的至少一个处理器执行时,使得所述代理(18P)执行根据权利要求22至25中的任一项所述的方法。
43.一种包括指令的计算机程序,所述指令当由被配置在无线设备(10)的服务网络(12)中使用的网络节点(14)的至少一个处理器执行时,使得所述网络节点(14)执行根据权利要求26至27中的任一项所述的方法。
44.一种包括指令的计算机程序,所述指令当由被配置在无线设备(10)的服务网络(12)中使用的认证服务器(16)的至少一个处理器执行时,使得所述认证服务器(16)执行根据权利要求28至29中的任一项所述的方法。
45.一种载体,包含根据权利要求40至44中的任一项所述的计算机程序,其中,所述载体是电子信号、光信号、无线电信号、或计算机可读存储介质中的一个。
46.一种由无线设备(10)的归属网络(18)中的认证服务器(16)执行的方法,所述方法包括:
从网络节点(14)接收(900)包括应用层消息报头(26H)和应用层消息主体(26B)的应用层消息(26),其中,所述应用层消息主体(26B)包括针对基于其认证所述无线设备(10)的认证数据(22)
的请求(20),其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12),并且其中,所述应用层消息报头(26H)
包括关于针对认证数据(22)的所述请求(20)源自的服务网络的
补充信息(12S);
检查(910)所述网络节点(14)是否被授权请求基于由所述请求(20)
所指示的所述服务网络(12)的认证数据(22),其中,所述检查基于在所述应用层消息报头(26H)中包括的所述补充信息(12S),以及
取决于所述检查,接受或拒绝(930)所述请求(20)。
47.根据权利要求46所述的方法,其中,所述请求(20)包括服务网络名称,所述服务网络名称指示所述认证数据(22)将要基于的所述服务网络(12),以及其中,所述检查包括:
基于所述补充信息,形成预期服务网络名称;以及
将在所述请求(20)中包括的所述服务网络名称与所述预期服务网络名称进行比较。
48.根据权利要求46至47中的任一项所述的方法,其中,所述补充信息包括公共陆地移动网络标识,其中,所述请求(20)包括服务网络名称,所述服务网络名称指示所述认证数据(22)将要基于的所述服务网络(12),以及其中,所述检查包括:
将在所述请求(20)中包括的所述服务网络名称与从所述公共陆地移动网络标识形成的预期服务网络名称进行比较;或者
将从在所述请求(20)中包括的所述服务网络名称提取的公共陆地移动网络标识与所述公共陆地移动网络标识进行比较。
49.根据权利要求46至48中的任一项所述的方法,其中,补充信息包括中继所述请求(20)的中间代理的断言。
50.根据权利要求49所述的方法,其中,所述中间代理在所述归属网络(18)中,其中,所述连接(42)是所述归属网络(18)中的所述中间代理(18P)与从其接收到所述请求(20)的拜访网络中的另一个中间代理(12P)之间的传输层安全TLS连接,以及其中,与所述连接(42)相关联的所述网络与用于所述TLS连接的上下文相关联。
51.根据权利要求50所述的方法,其中,所述断言通过指示与用于所述TLS连接的所述上下文对应的远程公共陆地移动网络标识来指示与用于所述TLS连接的所述上下文相关联的所述网络。
52.根据权利要求46至51中的任一项所述的方法,还包括:基于接受所述请求(20)或作为接受所述请求(20)的一部分,向所述网络节点(14)发送(930)所请求的认证数据(22)。
53.一种由节点执行的方法,所述方法包括:
接收包括应用层消息报头(26H)和应用层消息主体(26B)的应用层消息(26),其中,所述应用层消息主体(26B)包括针对基于其认证无线设备(10)的认证数据(22)的请求(20),其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12);
处理所述应用层消息报头(26H),其中,所述处理包括向所述应用层消息报头(26)添加关于针对认证数据(22)的所述请求(20)源自的服务网络的补充信息(12S);以及
发送包括所述应用层消息主体(26B)和包括所述补充信息(12S)的所述应用层消息报头(26H)的所述应用层消息(26)。
54.根据权利要求53所述的方法,其中,所述节点是中继所述请求(20)的中间代理,其中,所述补充信息包括所述中间代理的断言。
55.根据权利要求54所述的方法,其中,所述中间代理在所述归属网络(18)中,其中,所述连接(42)是所述归属网络(18)中的所述中间代理(18P)与从其接收到所述请求(20)的拜访网络中的另一个中间代理(12P)之间的传输层安全TLS连接,以及其中,与所述连接(42)相关联的所述网络与用于所述TLS连接的上下文相关联。
56.根据权利要求55所述的方法,其中,所述断言通过指示与用于所述TLS连接的所述上下文对应的远程公共陆地移动网络标识来指示与用于所述TLS连接的所述上下文相关联的所述网络。
57.一种被配置在无线设备(10)的归属网络(18)中使用的认证服务器(16),所述认证服务器(16)包括:
通信电路(1820);以及
处理电路(1810),其被配置为:
从网络节点(14)接收包括应用层消息报头(26H)和应用层消息主体(26B)的应用层消息(26),其中,所述应用层消息主体(26B)包括针对基于其认证所述无线设备(10)的认证数据(22)的请求(20),其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12),以及其中,所述应用层消息报头(26H)包括关于针对认证数据(22)的所述请求(20)源自的服务网络的补充信息(12S);
检查所述网络节点(14)是否被授权请求基于由所述请求(20)所指示的所述服务网络(12)的认证数据(22),其中,所述检查基于在所述应用层消息报头(26H)中包括的所述补充信息(12S),以及
取决于检查所述网络节点(14)是否被授权请求基于由所述请求(20)所指示的所述服务网络(12)的认证数据(22),接受或拒绝所述请求(20)。
58.根据权利要求57所述的认证服务器(16),其中,所述处理电路(1810)被配置为执行根据权利要求47至52中的任一项所述的方法。
59.一种节点,包括:
通信电路(1720);以及
处理电路(1710),其被配置为:
接收包括应用层消息报头(26H)和应用层消息主体(26B)的应用层消息(26),其中,所述应用层消息主体(26B)包括针对基于其认证无线设备(10)的认证数据(22)的请求(20),其中,所述请求(20)指示所述认证数据(22)将要基于的服务网络(12);
处理所述应用层消息报头(26H),其中,所述处理包括向所述应用层消息报头(26)添加关于针对认证数据(22)的所述请求(20)源自的服务网络的补充信息(12S);以及
发送包括所述应用层消息主体(26B)和包括所述补充信息(12S)的所述应用层消息报头(26H)的所述应用层消息(26)。
60.根据权利要求59所述的节点,其中,所述处理电路(1710)被配置为执行根据权利要求54至56中的任一项所述的方法。
61.一种包括指令的计算机程序,所述指令当由认证服务器(16)的至少一个处理器执行时,使得所述认证服务器(16)执行根据权利要求46至52中的任一项所述的方法。
62.一种包括指令的计算机程序,所述指令当由节点的至少一个处理器执行时,使得所述节点执行根据权利要求53至56中的任一项所述的方法。
63.一种载体,包含根据权利要求61至62中的任一项所述的计算机程序,其中,所述载体是电子信号、光信号、无线电信号或计算机可读存储介质中的一个。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP20382715.9 | 2020-07-31 | ||
EP20382715 | 2020-07-31 | ||
PCT/EP2021/071320 WO2022023491A1 (en) | 2020-07-31 | 2021-07-29 | Authentication of a wireless device in a wireless communication network |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116057981A true CN116057981A (zh) | 2023-05-02 |
Family
ID=72039507
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180058774.8A Pending CN116057981A (zh) | 2020-07-31 | 2021-07-29 | 无线通信网络中的无线设备的认证 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20230308871A1 (zh) |
EP (1) | EP4189916A1 (zh) |
KR (1) | KR20230033730A (zh) |
CN (1) | CN116057981A (zh) |
WO (1) | WO2022023491A1 (zh) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110035433B (zh) * | 2018-01-11 | 2024-03-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
CN110366159B (zh) * | 2018-04-09 | 2022-05-17 | 华为技术有限公司 | 一种获取安全策略的方法及设备 |
-
2021
- 2021-07-29 WO PCT/EP2021/071320 patent/WO2022023491A1/en active Application Filing
- 2021-07-29 EP EP21751574.1A patent/EP4189916A1/en active Pending
- 2021-07-29 CN CN202180058774.8A patent/CN116057981A/zh active Pending
- 2021-07-29 KR KR1020237004309A patent/KR20230033730A/ko active Search and Examination
- 2021-07-29 US US18/018,631 patent/US20230308871A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
KR20230033730A (ko) | 2023-03-08 |
EP4189916A1 (en) | 2023-06-07 |
WO2022023491A1 (en) | 2022-02-03 |
US20230308871A1 (en) | 2023-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220167153A1 (en) | Privacy control of user equipment and related apparatuses | |
CN113767657B (zh) | 5g中的多个认证过程的处理 | |
WO2019097458A1 (en) | Replay protection for resume procedure | |
US11968524B2 (en) | Configuring radio resources | |
CN114731515A (zh) | 无线电资源控制消息的完整性保护 | |
US11916925B2 (en) | Method for improving data transmission security | |
US11917412B2 (en) | AMF reallocation handling using UE exceptions to security context rules | |
WO2019030727A1 (en) | METHOD FOR RECOVERING CONNECTION AFTER REJECTION | |
EP3935801A1 (en) | Authentication decision for fixed network residential gateways | |
EP4059254A1 (en) | Methods for trust information in communication network and related communication equipment and communication device | |
CN112335213B (zh) | 用于对早期数据传输的安全处理的方法 | |
US11785443B2 (en) | Methods for providing regulation compliant privacy and related apparatuses | |
US20210409952A1 (en) | Security Parameter Negotiation in a Wireless Communication System | |
CN115087971A (zh) | 保护无线通信网络中的能力信息传输 | |
CN116057981A (zh) | 无线通信网络中的无线设备的认证 | |
US20240064509A1 (en) | Amf re-allocation handling | |
WO2021144238A1 (en) | Robust nas layer signaling | |
CN113748695A (zh) | 提供对紧急会话的管理的方法以及相关设备和节点 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |