CN116235525A - 用于减轻无线网络中的拒绝服务(dos)攻击的方法和系统 - Google Patents
用于减轻无线网络中的拒绝服务(dos)攻击的方法和系统 Download PDFInfo
- Publication number
- CN116235525A CN116235525A CN202080017474.0A CN202080017474A CN116235525A CN 116235525 A CN116235525 A CN 116235525A CN 202080017474 A CN202080017474 A CN 202080017474A CN 116235525 A CN116235525 A CN 116235525A
- Authority
- CN
- China
- Prior art keywords
- cag
- npn
- access
- cell
- requested
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/02—Diversity systems; Multi-antenna system, i.e. transmission or reception using multiple antennas
- H04B7/04—Diversity systems; Multi-antenna system, i.e. transmission or reception using multiple antennas using two or more spaced independent antennas
- H04B7/0413—MIMO systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开涉及一种要提供用于支持超过诸如长期演进(LTE)的第四代(4G)通信系统的更高数据速率的pre‑第五代(5G)或5G通信系统。用于减轻无线网络(例如,接入网络(AN)、核心网络(CN))中的拒绝服务(DoS)攻击的方法、网络实体和系统。本文的实施例公开了用于通过在不用执行初级认证的情况下经由封闭接入组(CAG)小区验证用户设备(UE)的注册请求来执行接纳控制而减轻无线网络中的拒绝服务(DOS)攻击的方法和系统。本文的实施例公开了用于在执行初级认证之前基于UE的订阅标识符验证UE接入CAG小区的权限的方法和系统。用于减轻无线网络中的拒绝服务(DoS)攻击的方法和系统。一种用于减轻无线网络中的拒绝服务(DOS)攻击的方法包括:请求公用陆地移动网络(PLMN)以便通过封闭接入组(CAG)小区接入非公用网络(NPN);验证用户设备(UE)通过CAG小区接入所请求的NPN的权限;以及执行初级认证。
Description
技术领域
本公开涉及无线网络的领域,并且更具体地涉及减轻无线网络中的拒绝服务(DoS)攻击。
背景技术
为了满足对自第四代(4G)通信系统的部署以来已经增加的无线数据业务的需求,已经做出努力来开发改进的第五代(5G)或pre-5G通信系统。因此,5G或pre-5G通信系统也被称作“超4G网络”或“后LTE系统”。
考虑在更高频率(mmWave)频带例如60GHz频带中实现5G通信系统,以便实现更高数据速率。为了减少无线电波的传播损耗并且增加传输距离,在5G通信系统中讨论了波束成形、大规模多输入多输出(MIMO)、全维MIMO(FD-MIMO)、阵列天线、模拟波束成形、大规模天线技术。
另外,在5G通信系统中,正在基于高级小型小区、云无线电接入网络(RAN)、超密集网络、装置对装置(D2D)通信、无线回程、移动网络、协作通信、协调多点(CoMP)、接收端干扰消除等进行针对系统网络改进的开发。
在5G系统中,已经开发了作为高级编码调制(ACM)的混合FSK与QAM调制(FQAM)和滑动窗口叠加编码(SWSC)以及作为高级接入技术的滤波器组多载波(FBMC)、非正交多址(NOMA)和稀疏码多址(SCMA)。
当前,企业部署了专用无线网络/非公用网络(NPN)以满足并优化其商业过程的覆盖范围、性能和安全性要求。可以将NPN部署为非独立NPN和独立NPN。使用封闭接入组(CAG)小区和/或网络切片来结合公用陆地移动网络(PLMN)(也被称为公用网络集成非公用网络)部署非独立NPN。当非独立NPN被与PLMN一起部署时,用户设备(UE)可以使用CAG小区来经由PLMN接入NPN并且获得由NPN提供的服务。CAG标识被许可接入一个或更多个CAG小区/NPN的一组订户/UE。CAG也可以防止UE从不提供对NPN的接入的位置或者从不允许UE接入NPN的位置自动地选择和注册。CAG通过CAG标识符(CAG ID)来标识,该CAG ID由CAG小区/NPN广播。CAG小区每PLMN广播一个或多个CAG标识符。UE可能具有经由PLMN接入NPN的NPN权限/订阅/授权。UE可以基于其NPN权限/订阅/授权被进一步配置有CAG ID/CAG小区的允许列表(在下文中被称为接入CAG小区/NPN的权限)。当UE想要接入CAG小区/NPN时,PLMN需要基于UE的NPN权限/订阅和UE的CAG小区的允许列表来验证UE是否被允许接入CAG小区。本文的实施例可互换地使用诸如“权限”、“订阅”、“授权”等的术语。
可以在无需PLMN的支持的情况下部署独立NPN。独立NPN可以使用CAG和/或非公用网络标识符来标识被许可/授权接入一个或更多个CAG小区/NPN的一组订户/UE。
按照当前的3GPP规范(TS 23.501),为了接入NPN,UE通过在初始非接入层(NAS)消息(例如;注册消息)中或在任何NAS消息(例如,身份响应消息)中向PLMN的服务网络发送订阅隐藏标识符(SUCI)来发起注册过程。服务网络执行初级认证过程以基于已接收到的UE的SUCI(在去隐藏SUCI并推导出SUPI之后)对UE进行认证。一旦初级认证成功,服务网络就验证UE是否具有接入CAG小区/NPN的权限或者UE是否被授权接入CAG小区/NPN并且基于成功的验证使得UE能够接入CAG小区/NPN。然而,服务网络需要等待直到成功的初级认证过程完成才验证UE是否具有接入CAG小区/NPN小区的权限,这可能在服务网络上产生开销。
此外,当在网络中存在大量UE时,由流氓/失灵/恶意UE执行以在具有/没有有效的NPN权限的情况下并且在不必接入到CAG小区的情况下接入在特定CAG小区中或分布在不同CAG小区处的NPN的注册过程在服务网络上导致(分布式)拒绝服务((D)DoS)攻击。
当UE在对CAG小区具有有效的NPN权限和没有权限的情况下执行注册过程时或者当UE在没有有效的NPN权限和没有接入CAG小区的权限的情况下执行注册过程时,(D)DoS攻击可以是可能的。
考虑示例场景,其中UE可以连接到PLMN的新无线电(NR/5G)网络并且UE具有有效的NPN权限而没有接入CAG小区的权限。5G网络包括NG-无线电接入网络(RAN)和5G核心(5GC)网络/服务网络。5GC包括诸如但不限于接入和移动管理功能(AMF)、统一数据管理(UDM)、认证服务器功能(AUSF)等的元件。
在这样的场景中,UE发起用于接入/获得由CAG小区/NPN提供的服务的注册过程。UE通过将SUCI作为其身份发送到请求接入到CAG小区/NPN的NG-RAN来发起注册过程。NG-RAN将已接收到的SUCI连同所请求的CAG小区/NPN的CAG ID一起转发到AMF。AMF将CAG ID插入在SUCI中并且将UE的SUCI连同CAG ID一起转发到UDM。UDM揭示已接收到的SUCI并且生成认证向量。基于由UDM生成的认证向量,AMF对UE进行认证。在本文的示例中,认为初级认证过程是成功的,因为UE具有有效的NPN权限。一旦初级认证过程成功,AMF就从AUSF接收UE的订阅永久标识符(SUPI)并且基于已接收到的SUPI验证UE是否具有接入所请求的CAG小区/NPN的权限。在本文的示例中,AMF验证UE未被授权接入CAG小区,因为UE不具有权限。此后,AMF拒绝了由UE发起的注册过程。
考虑另一示例场景,其中UE是没有有效的NPN权限并且没有接入CAG小区/NPN的权限的流氓UE。在这样的场景下,流氓UE嗅探服务网络并且捕获SUCI(可以具有或可能不具有CAG小区的权限)。流氓UE然后通过经由NG-RAN将所捕获的SUCI作为其身份发送到AMF来发起注册过程,其中NG-RAN可以将所请求的CAG小区/NPN的CAG ID添加到SUCI。AMF将已接收到的SUCI连同CAG ID一起转发到UDM,其中UDM揭示SUCI,并且生成认证向量。基于所生成的认证向量,AMF执行认证过程。在本文的示例中,AMF拒绝UE的注册过程,因为认证失败,因为流氓UE不具有有效的NPN权限。
因此,在两个场景中,不管UE是否拥有有效的NPN权限,服务网络都需要执行初级认证过程以对UE的CAG小区接入进行授权。此类过程可以在服务网络上导致开销和(D)DoS攻击。
发明内容
技术问题
本文的实施例的主要目的是为了公开用于减轻无线网络中的(分布式)拒绝服务((D)DoS)攻击的方法和系统,其中无线网络包括与公用陆地移动网络(PLMN)耦合的至少一个非公用网络(NPN)。
本文的实施例的另一目的是为了公开用于通过在执行至少一个用户设备(UE)的初级认证之前验证至少一个UE接入至少一个NPN的权限来减轻(D)DoS攻击的方法和系统。
本文的实施例的另一目的是为了公开用于使用至少一个用户设备(UE)的订阅永久标识符(SUPI)和所请求的至少一个NPN的封闭接入组(CAG)标识符(ID)来验证至少一个UE接入至少一个NPN的权限的方法和系统。
问题的解决方案
因此,本文的实施例提供用于控制至少一个用户设备(UE)接入无线网络中的至少一个非公用网络(NPN)的权限的方法和系统。本文公开的方法包括由至少一个UE请求公用陆地移动网络(PLMN)以便通过至少一个封闭接入组(CAG)小区接入至少一个NPN。该方法还包括由PLMN的核心网络(CN)验证至少一个UE通过至少一个CAG小区接入所请求的至少一个NPN的权限。该方法还包括由CN执行初级认证过程以在至少一个UE通过至少一个CAG小区接入所请求的至少一个NPN的权限被验证的情况下,允许至少一个UE通过至少一个CAG小区接入至少一个NPN。
因此,本文的实施例公开了一种网络,该网络包括至少一个用户设备、至少一个非公用网络(NPN)以及结合至少一个NPN部署的公用陆地移动网络(PLMN)。PLMN包括由无线电接入网络和核心网络(CN)组成的至少一个蜂窝网络。至少一个UE被配置为请求PLMN以便通过至少一个封闭接入组(CAG)小区接入至少一个NPN。PLMN的CN被配置为验证至少一个UE经由至少一个CAG小区接入所请求的至少一个NPN的权限。CN被进一步配置为执行初级认证过程以在至少一个UE通过至少一个CAG小区接入所请求的至少一个NPN的权限被验证的情况下,允许至少一个UE通过至少一个CAG小区接入至少一个NPN。
当结合以下描述和附图考虑时,将更好地领会并理解本文的示例实施例的这些和其他方面。然而,应当理解,以下描述虽然指示示例实施例及其许多具体细节,但是作为图示而不作为限制给出。可以在本文的示例实施例的范围内在不脱离其精神的情况下做出许多变化和修改,并且本文的示例实施例包括所有此类修改。
在下面着手具体描述之前,阐述贯穿此专利文档使用的某些单词和短语的定义可以是有利的:术语“包括”和“包含”以及其派生词意指包括而没有限制;术语“或”是包括性的,意指和/或;短语“与……相关联”和“与此相关联”以及其派生词可以意在包括、被包括在内、与之互连、包含、被包含在内、连接到或与之连接、耦合到或与之耦合、可与之通信、与之合作、交错、并置、接近于、被绑定到或与之绑定、具有、具有...的性质等;并且术语“控制器”意指控制至少一个操作的任何装置、系统或其部分,这样的装置可以用硬件、固件或软件、或这些中的至少两者的某种组合加以实现。应当注意,与任何特定控制器相关联的功能性可以是集中式的或分布式的,而不论在本地还是远程地。
此外,下述各种功能能够由一个或更多个计算机程序实现或支持,每个计算机程序由计算机可读程序代码形成并且体现在计算机可读介质中。术语“应用”和“程序”是指被适配以用于在合适的计算机可读程序代码中实现的一个或更多个计算机程序、软件组件、指令集、过程、函数、对象、类、实例、相关数据或其一部分。短语“计算机可读程序代码”包括任何类型的计算机代码,包括源代码、目标代码和可执行代码。短语“计算机可读介质”包括能够被计算机访问的任何类型的介质,诸如只读存储器(ROM)、随机存取存储器(RAM)、硬盘驱动器、光盘(CD)、数字视频光盘(DVD)、或任何其他类型的存储器。“非暂时性”计算机可读介质排除输送暂时性电信号或其他信号的有线、无线、光学或其他通信链路。非暂时性计算机可读介质包括能够永久地存储数据的介质以及能够存储数据并稍后覆写的介质,诸如可重写光盘或可擦除存储器装置。
贯穿此专利文档提供了某些单词和短语的定义。本领域普通技术人员应当理解,在许多而非大多数实例中,此类定义适用于如此定义的单词和短语的在先以及将来使用。
附图说明
本文的实施例被图示在附图中,贯穿附图,相似的附图标记在各个图中指示对应的部分。根据参考附图的以下描述,将更好地理解本文的实施例,在附图中:
图1A-1C描绘根据如本文所公开的实施例的无线通信系统/无线网络;
图2描绘根据如本文所公开的实施例的无线网络100的被配置用于减轻(分布式)拒绝服务(D)DoS攻击的各种元件;
图3是描绘根据如本文所公开的实施例的在5GC的UDM处验证UE接入CAG小区的权限的顺序图;
图4是描绘根据如本文所公开的实施例的通过直接与AMF/SEAF进行通信在5GC的UDM处验证UE接入CAG小区的权限的顺序图;
图5是描绘根据如本文所公开的实施例的通过经由得到请求消息和得到响应消息与AMF/SEAF进行通信在UDM处验证UE接入CAG小区的权限的顺序图;
图6是描绘根据如本文所公开的实施例的在5GC的UDM 206和/或AUSF处验证UE接入CAG小区的权限的顺序图;
图7是描绘根据如本文所公开的实施例的在5GC的AUSF处验证UE接入CAG小区的权限的顺序图;
图8是描绘根据如本文所公开的实施例的在从UDM接收到请求时在CAG服务器处验证UE接入CAG小区的权限的顺序图;
图9是描绘根据如本文所公开的实施例的在从AMF/SEAF接收到UE的SUCI时在CAG服务器处验证UE接入CAG小区的权限的顺序图;
图10是描绘根据如本文所公开的实施例的在从AUSF接收到UE的SUCI时在CAG服务器处验证UE接入CAG小区的权限的顺序图;
图11是描绘根据如本文所公开的实施例的在AMF/SEAF处验证UE接入CAG小区的权限的顺序图;
图12是描绘根据如本文所公开的实施例的通过经由由UDM提供的服务接口与UDM进行通信在AMF/SEAF处验证UE接入CAG小区的权限的顺序图;
图13是描绘根据如本文所公开的实施例的通过直接与AMF/SEAF进行通信在CAG服务器处验证UE接入CAG小区的权限的顺序图;
图14是描绘根据如本文所公开的实施例的在从AMF/SEAF接收到UE的SUPI时在UDM处验证UE接入CAG小区的权限的顺序图;以及
图15是描绘根据如本文所公开的实施例的用于控制至少一个UE接入无线网络中的至少一个NPN的权限的方法的流程图。
具体实施方式
在下面讨论的图1A至图15以及此专利文档中用于描述本公开的原理的各种实施例仅作为图示,而不应当被以任何方式解释为限制本公开的范围。本领域技术人员将理解,可以在任何合适地布置的系统或装置中实现本公开的原理。
参考在附图中图示且在以下描述中详述的非限制性实施例更充分地说明本文的示例实施例及其各种特征和有利细节。对公知组件和处理技术的描述被省略,以免不必要地使本文的实施例混淆。本文的描述仅仅旨在促进对能够实践本文的示例实施例的方式的理解并且还使得本领域技术人员能够实践本文的示例实施例。因此,本公开不应当被解释为限制本文的示例实施例的范围。
本文的实施例公开了用于减轻无线网络中的(分布式)拒绝服务((D)DoS)攻击的方法和系统,其中无线网络系统包括与公用陆地移动网络(PLMN)耦合的至少一个非公用网络(NPN)。
本文的实施例公开了用于通过在执行至少一个用户设备(UE)的初级认证之前验证至少一个UE通过封闭接入组(CAG)小区接入至少一个NPN的权限来执行接纳控制而减轻(D)DoS攻击的方法和系统。术语“NPN的接纳控制”意指验证是否存在UE接入CAG小区的权限或者是否存在UE接入CAG小区的授权。在一个实施例中,如果UE具有用于接入NPN的权限或订阅或授权,则在UE的允许CAG列表中列举NPN的对应CAG ID。允许CAG列表是UE被允许接入CAG小区的CAG标识符的列表。
现在参考附图,并且更具体地参考图1A至图15,其中类似的附图标记在所有图中一致地表示对应的特征,示出了示例实施例。
图1A-1C描绘根据如本文所公开的实施例的无线通信系统/无线网络100。本文提到的无线网络100可以被配置为减轻公用网络集成非公用网络上的(分布式)拒绝服务(D)DoS攻击,其由来自不允许接入非公用网络的用户/UE的大量注册请求产生。
无线网络100包括公用陆地移动网络(PLMN)102a、一个或多个非公用网络(NPN)102b和多个UE 104。
PLMN 102a包括一个或多个不同的蜂窝网络,诸如但不限于长期演进(LTE)网络、高级LTE网络、新无线电(NR)/5G网络、窄带物联网(NB-IoT)或任何其他下一代网络。PLMN102a可以由移动网络运营商(MNO)经营。PLMN 102a可以被配置为向特定区域中的UE 104提供由MNO提供的通信服务。通信服务的示例可以是但不限于流服务(诸如音频、视频、文本等的多媒体数据的流式传输)、文件下载服务、轮播服务(用于组合文件下载服务和流服务的服务)、电视(TV)服务、网际协议(IP)多媒体子系统(IMS)服务、非3GPP服务(例如:防火墙等)等。本文的实施例可互换地使用诸如“PLMN”、“蜂窝网络”、“公用网络”、“3GPP接入网络”等的术语来指代向给定区域中的公众用途提供通信服务的网络。
NPN 102b可以被配置为向存在于诸如但不限于组织、企业、工厂、校园、房间、楼层等内的UE 104提供覆盖范围和专用服务。专用服务可以包括由驻地定义的服务。专用服务的示例可以是但不限于流服务(诸如音频、视频、文本等的多媒体数据的流式传输)、文件下载服务等。
在一个实施例中,可以将NPN 102b部署为非独立NPN。可以结合PLMN 102a来部署非独立NPN 102b。可以使用网络切片和/或封闭接入组(CAG)小区(如3GPP TS 23.501中指定的)来结合PLMN 102a部署非独立NPN 102b。网络切片提供专用数据网络名称(DNN)网络,或提供可以经由PLMN 102a使NPN 102b对UE 104可用的一个或多个网络切片实例。CAG可以使用由NPN/CAG小区102b广播的CAG标识符(CAG ID)来标识,其中CAG ID相对于PLMN ID是唯一的。CAG可以由NPN 102b使用来防止用户/UE从不为UE 104提供对NPN的接入的位置/地区/区域或者从不允许UE 104接入NPN的位置自动地选择和注册。本文的实施例可互换地使用术语“CAG标识符”和“非公用网络标识符”。CAG ID可以意指CAG-ID和/或NPN-ID。本文的实施例可互换地使用诸如但不限于“NPN”、“专用网络”、“公用网络集成NPN”、“非3GPP接入网络”、“非独立NPN”、“CAG小区”等的术语来指代将通信服务限制在针对UE 104定义的驻地的边界内的网络。
在一个实施例中,NPN 102b可以是独立NPN。可以在没有PLMN的支持的情况下部署独立NPN 102b。独立NPN 102b可以使用CAG和/或非公用网络标识符来标识被许可接入一个或更多个CAG小区/NPN的一组订户/UE。考虑非独立NPN 102b进一步说明本文的实施例,但是也可以考虑独立NPN,其中PLMN核心网络102a中的实体由NPN核心网络102b托管。
本文提到的UE 104可以是能够支持PLMN 102a和NPN 102b的用户装置。UE 104的示例可以是但不限于移动电话、智能电话、平板、电话平板、个人数字助理(PDA)、膝上型电脑、计算机、可穿戴计算装置、车辆信息娱乐装置、物联网(IoT)装置、虚拟现实(VR)装置、无线保真(Wi-Fi)路由器、USB加密狗、传感器、机器人、自动导航车辆等。UE 104可以包括一个或更多个处理器/中央处理单元(CPU)、存储器、收发器等,以用于执行至少一个预定功能/操作。
UE 104可以被配置为接入PLMN 102a和/或NPN 102b以便获得通信服务和/或专用服务。在一个实施例中,UE 104可以经由NPN 102b接入PLMN 102a。在一个实施例中,UE 104可以通过订阅PLMN来接入NPN并且获得由NPN 102b提供的专用网络服务。UE对PLMN的订阅可以包括NPN权限/订阅以及接入CAG小区/NPN 102b的权限/订阅中的至少一个。NPN权限可以指示UE 104被授权经由PLMN 102a接入NPN/由NPN 102b提供的服务。接入CAG小区/NPN102b的权限可以指示UE 104的CAG小区/CAG ID的允许列表。可以为UE 104基于其NPN权限来配置接入CAG小区的权限。使用现有的3GPP过程(例如:空中机制、UE配置更新过程等)来为UE 104配置接入CAG小区的权限/允许CAG列表。本文的实施例可互换地使用诸如“接入CAG小区的权限”、“CAG小区权限”、“CAG小区/CAG ID的允许列表”、“允许CAG小区权限”等的术语。
当UE 104想要接入到CAG小区/NPN 102b或者接入到由NPN 102b提供的服务时,UE104发起注册过程。UE 104通过请求接入到CAG小区/NPN 102b来向PLMN 102a发送注册请求。在本文的示例中,所请求的PLMN 102a可以是UE 104已经订阅的归属PLMN(HLPMN)。在一个实施例中,在从UE 104接收到注册请求时,PLMN 102a验证UE 104是否具有接入所请求的CAG小区/NPN 102b的权限(或者UE 104是否被授权接入所请求的CAG小区/NPN 102b)。在验证出UE 104被授权接入所请求的CAG小区/NPN 102a/或者UE 104具有接入所请求的CAG小区/NPN 102a的权限时,PLMN 102a执行初级认证过程以检查UE 104是否是经认证的UE104。基于成功的认证,PLMN进一步继续进行UE的注册请求过程以便UE接入到NPN。
在验证出UE 104不具有接入所请求的CAG小区/NPN 102b的权限(或者UE 104未被授权接入所请求的CAG小区/NPN 102b)时,PLMN 102a拒绝UE 104的注册请求并且不使得UE104能够接入所请求的CAG小区/NPN 102b。因此,在执行初级认证过程之前由PLMN 102a验证UE 104接入NPN 102b的权限/授权以减轻PLMN 102a上的(D)DoS攻击,其由UE 104在没有接入CAG小区/NPN 102b的有效权限的情况下发起的注册过程产生。
如图1b中描绘的,NPN 102b包括非公用无线电接入网络(RAN)106b和非公用核心网络(CN)108b。本文提到的非公用RAN 106b可以是3GPP接入节点、非3GPP接入节点等。3GPP接入节点的示例可以是但不限于演进型节点(eNB)、新无线电节点(gNB)等。非3GPP接入节点的示例可以是但不限于本地接入网络(LAN)节点、无线LAN(WLAN)节点、Wi-Fi节点等。NPN102b的非公用RAN 106b可以是包括CAG小区的辅助的PLMN 102a的RAN 106b。PLMN 102a托管RAN 106b以接入NPN 102b。非公用RAN 106b可以被配置为将至少一个UE 104连接到非公用CN 108b。非公用CN 108b可以被配置为将UE 104连接到外部数据网络/PLMN 102a。非公用CN 108b可以是EPC网络、5GC核心网络等中的至少一个。在一个实施例中,NPN 102b可以与PLMN 102a共享非公用RAN 106b。NPN 102b和PLMN 102a可以具有不同的标识符(ID)、分离的频谱频带和CN的功能性(例如,CN的用户平面和数据平面功能性)。在一个实施例中,NPN 102b可以与PLMN 102a部分地共享非公用RAN 106b,使得为NPN 102b服务的非公用RAN106b的功能中的一个或更多个能够由PLMN 102a提供。在一个实施例中,NPN 102b可以与PLMN 102a共享非公用RAN 106b和频谱频带。在一个实施例中,NPN 102b可以与PLMN 102a共享非公用RAN 106b和非公用CN 108b的控制平面功能性。
PLMN 102a包括由至少一个RAN 106a和CN 108a组成的至少一个蜂窝网络106。RAN106a可以被配置为将至少一个UE 104连接到CN 108a。RAN 106a可以包括节点/基站(BS),诸如但不限于演进型节点(eNB)、新无线电节点(gNB)等。RAN 106a可以包括一个或更多个处理器/中央处理单元(CPU)、存储器、收发器等,以用于执行至少一个预定功能/操作。
本文提到的CN 108a可以是演进型分组核心(EPC)、5G核心(5GC)网络等中的至少一个。CN 108a可以连接到RAN 106a和外部数据网络。外部数据网络的示例可以是但不限于因特网、分组数据网络(PDN)、网际协议(IP)多媒体核心网络子系统等。在一个实施例中,CN108a可以通过N3IWF接口连接到非公用CN 108b。本文的实施例可互换地使用诸如“核心网络(CN)”、“服务网络”等的术语。
CN 108a可以包括一个或更多个处理器/中央处理单元(CPU)、存储器、存储部、收发器等,以用于执行至少一个预定功能/操作。CN 108a可以被配置为维护关于UE 104的NPN权限、UE 104的订阅永久标识符(SUPI)以及为UE 104配置的CAG小区/CAG ID的允许列表、CAG小区的允许列表与UE 104的SUPI的映射等中的至少一种的信息。可以基于UE 104的有效的NPN权限来为UE 104配置CAG小区的允许列表。CAG小区的允许列表可以包括关于UE104可以接入的CAG小区/NPN 102b的CAG ID的信息。SUPI可以是在由UE 104执行以向网络系统100注册的通用订户身份模块(USIM)注册过程期间通过MNO分配给UE 104的唯一标识符。SUPI可以是国际移动订户标识符(IMSI)(如TS 23.503中指定的)或网络接入标识符(NAI)(如TS 23.0003中指定的)等。
CN 108a可以被配置为将至少一个UE 104(与至少一个RAN节点106a连接)连接到外部数据网络。CN 108a也可以被配置为使得UE 104能够接入NPN 102b。在一个实施例中,CN 108a可以通过在执行初级认证过程之前验证UE 104接入NPN 102b的权限来使得UE 104能够接入NPN 102b,从而减轻(D)DoS攻击并且使PLMN 102a上的开销最小化。
如图1b中描绘的,为了接入NPN 102b或者获得由NPN 102b提供的服务,UE 104与PLMN 102a的CN 108a执行注册过程。UE 104通过向PLMN 102a的已连接的RAN 106a发送请求接入到NPN 102b或由NPN 102b提供的服务的注册请求来执行注册过程。注册请求包括UE104的订阅隐藏标识符(SUCI)。SUCI可以是包含隐藏SUPI的隐私保护标识符。在一个示例中,UE 104可以与在USIM注册期间安全地提供给UE 104的家庭网络/HPLMN 102a的公用密钥一起使用基于椭圆曲线集成加密方案(ECIES)的保护方案来生成SUCI。UE 104可以在初始非接入层(NAS)消息或任何NAS消息(例如,身份响应消息等)中将包括SUCI的注册请求发送到NG-RAN 106a。
在从UE 104接收到SUCI时,RAN 106a标识所请求的CAG小区/NPN 102b的CAG ID(基于通过CAG小区/NPN 102b对CAG ID的广播)。RAN 106a将已接收到的UE 104的SUCI和经标识的的所请求的CAG小区/NPN 102b的CAG ID转发到CN 108a。在一个实施例中,RAN 106a也可以从UE 104接收所请求的CAG小区/NPN 102b的CAG ID。
在接收到UE 104的SUCI和所请求的CAG小区/NPN 102b的CAG ID时,CN 108a在执行初级认证过程之前验证UE 104接入所请求的CAG小区/NPN 102b的权限。为了验证权限,CN 108a将已接收到的SUCI揭示为SUPI(如3GPP TS.23.501中指定的)。CN 108a基于所揭示的SUPI来检索UE 104的CAG小区/CAG ID的允许列表。CN 108a使用所维护的CAG小区的允许列表与UE 104的SUPI的映射,并且针对所揭示的SUPI检索CAG小区的允许列表。CN 108a检查已接收到的所请求的CAG小区/NPN 102a的CAG ID是否存在于已检索到的UE 104的小区/CAG ID的允许列表中。
在检查已接收到的所请求的CAG小区/NPN 102a的CAG ID存在于已检索到的UE104的小区/CAG ID的允许列表中时,CN 108a验证出UE 104具有接入CAG小区/NPN 102b的权限(成功的验证)。此后,CN 108a执行初级认证过程以认证UE 104是否具有经由PLMN102a接入所请求的NPN 102b的有效的NPN权限。为了执行初级认证过程,CN 108a基于已接收到的SUCI(如3GPP TS 23.501中指定的)生成认证向量并且基于所生成的认证向量对UE104进行认证。一旦认证过程成功,CN 108a就通过执行如3GPP TS 23.501中指定的过程来使得UE 104能够接入所请求的CAG小区/NPN 102b。
在检查出已接收到的所请求的CAG小区/NPN 102a的CAG ID不存在于已检索到的UE 104的小区/CAG ID的允许列表中时,CN 108a验证出UE 104不具有接入CAG小区/NPN102b的权限(不成功的验证)。CN 108a然后拒绝UE 104的注册请求而不继续进行初级认证过程。在拒绝注册请求时,CN 108a通过RAN 106a向UE 104发送指示不允许所请求的CAG小区/NPN 102b接入的拒绝消息。CN 108a也将适当的原因值连同拒绝消息一起发送到UE104。原因值可以是描绘UE 104不能在目前位置接入所请求的CAG小区/NPN 102b或由所请求的CAG小区/NPN 102b提供的服务的错误的原因的值。原因值的示例可以是但不限于#12、#13、#15、#76等。在一个示例中,原因值#15指示在HPLMN 102a的位置/跟踪区域(其中存在UE 104)中没有合适的CAG小区或者对于UE 104不允许CAG小区接入。在一个示例中,原因值#12指示在所请求的跟踪区域中不允许CAG小区接入。在一个示例中,原因值#13指示对于所请求的跟踪区域不允许漫游。
因此,在执行初级认证过程之前验证UE 104接入CAG小区的权限减轻CN 108a上的(D)DoS并且减少CN 108a上用于执行初级认证过程的开销。
在一个实施例中,PLMN 102a可以部署CAG服务器110,其可以与如图1c中描绘的至少一个蜂窝网络106的CN 108a进行通信。CAG服务器110可以执行CN 108a的至少一种预定功能。CAG服务器110可以维护关于UE 104的NPN权限、UE 104的SUPI以及为UE 104配置的CAG小区/CAG ID的允许列表、CAG小区的允许列表与UE 104的SUPI的映射等中的至少一种的信息。CAG服务器110可以在执行初级认证过程之前验证UE 104接入NPN 102b的权限。
图2是描绘根据如本文所公开的实施例的无线网络100的被配置用于减轻(D)DoS攻击的各种元件的框图。通过作为示例考虑PLMN 102a包括作为蜂窝网络106的5G网络106和作为5GC 108b的非公用CN 108b来进一步说明本文的实施例,但是可以考虑任何其他蜂窝网络和任何其他CN。
如图2中的示例中描绘的,5G网络/PLMN 102a的RAN 106a可以是NG-RAN/gNB 106a并且CN 108a可以是5GC 108a。5GC 108a包括接入和移动性管理功能(AMF)/安全性锚功能(SEAF)202、认证服务器功能(AUSF)204以及统一数据管理(UDM)/认证凭证储存库(ARPF)/订阅标识符揭示功能206。CN 108a也包括其他元件,诸如但不限于会话管理功能(SMF)、用户平面功能性(UPF)、策略控制功能、应用功能、网络暴露功能(NEF)、NF储存库功能(NRF)、网络切片选择功能(NSSF)等(未示出)。在一个实施例中,CAG服务器110可以通过由CAG服务器110显示出的服务接口与5GC 108a的元件进行通信。在一个示例中,服务接口可以是Ncag_XXX接口。类似地,非公用CN 108b/非公用5GC 108a包括5GC 108a的所有元件(未示出)。
在一个实施例中,如果SEAF和AMF 202不位于一处,则AMF 202经由SEAF连接到AUSF 204。在本文的实施例中,如果SEAF和AMF位于一处,则贯穿此文档的术语“AMF”意指“AMF/SEAF”202。
AMF/SEAF 202可以被配置为支持诸如但不限于NAS信令的终止、NAS加密和完整性保护、注册管理、连接管理、移动性管理、接入认证和授权、安全性上下文管理等的功能。AUSF 204可以是被配置为通过维护关于UE 104的信息来对UE 104进行认证的认证服务器。
UDM/ARPF/SIDF 206可以被配置为执行诸如但不限于认证和密钥协定(AKA)凭证的生成、用户标识处理、接入授权、订阅管理等的功能。在本文的实施例中,UDM、ARPF和SIDF可以或可能不相互操作以执行至少一个功能。
本文的实施例使得UDM 206、UDM/ARPF/SIDF 206、AUSF 204、AMF/SEAF 202和CAG服务器110中的至少一个能够在执行初级认证过程之前验证UE 104是否被授权接入CAG小区/NPN 102b(或者UE是否具有接入CAG小区/NPN 102b的权限)。
本文的实施例使得5GC 108a的UDM 206能够验证UE 104接入CAG小区/NPN 102b的权限。作为注册过程的一部分,为了接入CAG小区/NPN 102b,UE 104向NG-RAN 106a发送包括SUCI的注册请求。在一个实施例中,UE 104可以在初始NAS消息中向NG-RAN 106a发送注册请求。在一个实施例中,UE 104可以在NAS消息中(例如,在身份响应消息中)向NG-RAN106a发送注册请求。NG-RAN 106a将已接收到的UE 104的SUCI转发到AMF/SEAF 202。在一个实施例中,NG-RAN 106a标识由所请求的CAG小区/NPN 102b广播的CAG ID并且将CAG ID添加到SUCI以便通过N2消息发送到AMF/SEAF 202。在一个实施例中,NG-RAN 106a从UE 104接收CAG ID(其由所请求的CAG小区/NPN 102a广播)以及SUCI。在这样的情况下,NG-RAN 106a将SUCI连同CAG ID一起转发到AMF/SEAF 202。
AMF/SEAF 202将已接收到的UE 104的SUCI、所请求的CAG小区/NPN 102b的CAGID、其他参数包括在认证请求消息(Nausf_UEAuthentication_Authenticate请求消息)中并且将该认证请求消息发送到AUSF 204。其他参数的示例可以是但不限于SN名称等。AUSF204根据已接收到的认证请求消息推导UE 104的SUCI、所请求的CAG小区/NPN 102b的CAGID和其他参数。AUSF 204将所推导的UE 104的SUCI、所请求的CAG小区/NPN 102b的CAG ID和其他参数插入在认证取得请求消息(Nudm_UEAuthentication_Get_Request消息)中。AUSF 204将认证取得请求消息发送到5GC 108a的UDM 206。
在接收到认证取得请求消息时,UDM 206检查CAG ID是否存在于已接收到的消息中。如果CAG ID存在于已接收到的消息中,则UDM 206在执行初级认证过程之前验证UE 104接入所请求的CAG小区/NPN 102b的权限。为了验证权限,UDM 206将已接收到的SUCI揭示为SUPI(如3GPP TS 23.501中指定的)。UDM 206基于所揭示的SUPI来检索UE 104的CAG小区/CAG ID的允许列表。UDM 206使用所维护的CAG小区的允许列表与UE 104的SUPI的映射来针对所揭示的SUPI检索CAG小区的允许列表。UDM 206检查已接收到的所请求的CAG小区/NPN102a的CAG ID是否存在于已检索到的UE 104的小区/CAG ID的允许列表中。
在检查出已接收到的所请求的CAG小区/NPN 102a的CAG ID存在于已检索到的UE104的小区/CAG ID的允许列表中时,UDM 206验证出UE 104具有接入CAG小区/NPN 102b的权限。在验证出UE 104具有接入CAG小区的权限时,UDM 206选择认证方法并且生成认证向量(遵循3GPP TS 23.501中指定的过程)。UDM 206通过AUSF 204将所生成的认证向量发送到AMF/SEAF 202以执行初级认证过程。在从UDM 206接收到认证向量时,AMF/SEAF 202对UE104进行认证并且在成功的认证时使得UE 104能够接入NPN 102b。
如果已接收到的所请求的CAG小区/NPN 102a的CAG ID不存在于已检索到的UE104的小区/CAG ID的允许列表中,则UDM 206验证出UE 104不具有接入CAG小区/NPN 102b的权限。在验证出UE 104不具有接入CAG小区/NPN 102b的权限之后,UDM 206不继续进行初级认证过程。UDM 206在取得响应消息(Nudm_UEAuthentication_Get_Response消息)中插入SUPI和CAG小区拒绝消息并且将该取得响应消息发送到AUSF 204。
在接收到包括CAG小区拒绝消息的响应消息时,AUSF 204将已接收到的CAG小区拒绝消息包括在认证响应消息(Nausf_UEAUthentication_Authenticate响应消息)中并且将该认证响应消息转发到AMF/SEAF 202。
在从AUSF 204接收到包括CAG小区拒绝消息的认证响应消息时,AMF/SEAF 202拒绝已接收到的UE 104的注册请求。AMF/SEAF 202向UE 104发送具有适当的原因值的注册拒绝消息。原因值指示UE 104不能接入所请求的CAG小区/NPN 102b或由所请求的CAG小区/NPN 102b提供的服务。
通过在UDM 206处执行检查,网络上的(D)DoS攻击被最小化,同时不降低5GS安全性的级别,即在初级认证之前不向AMF 202揭示SUPI以维护用户隐私,但是高效地执行授权并且不向UE 104提供除原因值/错误原因以外的任何信息。
本文的实施例使得UDM 206和/或AUSF 204能够验证UE 104接入CAG小区/NPN102b的权限。为了接入CAG小区/NPN 102b或由NPN 102b提供的服务,UE 104将注册请求连同SUCI一起发送到NG-RAN 106a。NG-RAN 106将已接收到的UE 104的SUCI转发到AMF/SEAF202。AMF/SEAF 202可以在注册请求消息中接收来自NG-RAN 106的SUCI以及来自NG-RAN106a或来自UE 104的CAG小区ID。AMF/SEAF 202将已接收到的UE 104的SUCI、所请求的CAG小区/NPN 102b的CAG ID和其他参数包括在Nausf_XXX请求消息和Nausf_UEAuthentication_Authenticate请求消息中的至少一个中。AMF/SEAF 202将Nausf_XXX请求消息和Nausf_UEAuthentication_Authenticate请求消息中的至少一个发送到AUSF204。
AUSF 204将已接收到的UE 104的SUCI、所请求的CAG小区/NPN 102b的CAG ID和其他参数包括在Nudm_XXX请求消息和Nudm_UEAuthentication_Get_Request消息中的至少一个中,以用于发送到UDM 206。
在一个实施例中,在从AUSF 204接收到包括SUCI和CAG ID的注册请求消息时,UDM206将SUCI揭示为SUPI(按照3GPP TS 33.501)并且基于SUPI推导UE 104的CAG小区的允许列表。UDM 206基于UE 104的CAG小区的允许列表和已接收到的所请求的CAG小区/NPN 102b的CAG ID来验证UE 104是否具有所请求的CAG小区/NPN 102b的权限。在验证出UE 104具有所请求的CAG小区/NPN 102b的权限时,UDM 206在Nudm_XXX响应消息和Nudm_UEAuthentication_Get_Response消息中的至少一个中向AUSF 204发送接受消息。AUSF204还在Nausf_XXX响应消息和Nausf_UEAuthentication_Authenticate响应消息中的至少一个中将接受消息转发到AMF/SEAF 202。AMF/SEAF 202可以进一步执行初级认证过程以对用于接入CAG小区/NPN 102b的UE 104进行认证。
在验证出UE 104不具有所请求的CAG小区/NPN 102b的权限时,UDM 206在Nausf_XXX响应消息和Nausf_UEAuthentication_Authenticate响应消息中将CAG小区拒绝消息连同UE 104的SUPI一起发送到AUSF 204。AUSF 204在Nausf_XXX响应消息和Nausf_UEAuthentication_Authenticate响应消息中的至少一个中将已接收到的CAG小区拒绝消息转发到AMF/SEAF 202。AMF/SEAF 202以适当的原因值拒绝UE 104的注册请求消息。
在一个实施例中,在从AUSF 204接收到包括SUCI和CAG ID的注册请求消息时,UDM206将SUCI揭示为SUPI并且基于SUPI推导UE 104的CAG小区的允许列表。UDM 206还可以在Nausf_XXX响应消息和Nausf_UEAuthentication_Authenticate响应消息中的至少一个中将UE 104的CAG小区的允许列表发送到AUSF 204以用于验证UE 104的权限。基于已接收到的来自UDM 206的CAG小区的允许列表和已接收到的来自AMF/SEAF 202的所请求的CAG小区的CAG ID,AUSF 204验证UE 104是否具有接入所请求的CAG小区/NPN 102b的权限。在验证出UE 104具有接入所请求的CAG小区/NPN 102b的权限时,AUSF 204在Nausf_XXX响应消息和Nausf_UEAuthentication_Authenticate响应消息中的至少一个中将接受消息转发到AMF/SEAF 202。AMF/SEAF 202可以进一步执行初级认证过程以对用于接入CAG小区/NPN102b的UE 104进行认证。
在验证出UE 104不具有所请求的CAG小区/NPN 102b的权限时或者如果AUSF 204未从UDM 206接收到CAG小区的允许列表,则AUSF 204向AMF/SEAF 202发送CAG小区拒绝消息。AUSF 204可以在Nausf_XXX响应消息和Nausf_UEAuthentication_Authenticate响应消息中的至少一个中将CAG小区拒绝消息发送到AMF/SEAF 202。AMF/SEAF 202然后以适当的原因值拒绝UE 104的注册请求消息。
本文的实施例使得5GC 108a的UDM 206能够通过直接与AMF/SEAF 202进行通信来验证UE 104接入CAG小区/NPN 102b的权限。为了接入CAG小区/NPN 102b或由NPN 102b提供的服务,UE 104将注册请求连同SUCI一起发送到NG-RAN 106a。NG-RAN 106a将已接收到的UE 104的SUCI转发到AMF/SEAF 202。AMF/SEAF 202可以在注册请求消息中接收来自NG-RAN106a的SUCI以及来自NG-RAN 106a或来自UE 104的CAG小区ID。AMF/SEAF 202直接请求UDM206验证UE 104是否具有接入CAG小区/NPN 102b的权限。在一个实施例中,AMF/SEAF 202可以通过由UDM 206提供的服务接口例如但不限于基于Nudm_XXX的Nudm接口、N8接口、Nudm_UEVerifyCAGAccess_Get等来直接请求UDM 206验证UE 104的权限。AMF/SEAF 202将已接收到的UE 104的SUCI、所请求的CAG小区/NPN 102b的CAG ID和其他参数包括在Nudm_XXX请求消息、Nudm_UEVerifyCAGAccess_Get请求消息中的至少一个中并且将该消息发送到UDM206。
响应于由AMF/SEAF 202请求,UDM 206将已接收到的SUCI揭示为SUPI并且基于所揭示的SUPI来检索UE 104的CAG小区的允许列表。UDM 206使用UE 104的CAG小区的允许列表和已接收到的所请求的CAG小区/NPN 102b的CAG ID来验证UE 104是否具有接入CAG小区/NPN 102b的权限。在验证出UE 104具有接入CAG小区/NPN 102b的权限后,UDM 206可以向AMF/SEAF 202发送接受消息,AMF/SEAF 202可以进一步执行初级认证过程以对用于接入CAG小区/NPN 102b的UE 104进行认证。UDM 206可以在Nudm_XXX响应消息和Nudm_UEVerifyCAGAccess_Get响应消息中的至少一个中向AMF/SEAF 202发送接受消息。
在验证出UE 104不具有接入CAG小区/NPN 102b的权限时,UDM 206可以向AMF/SEAF 202发送指示UE 104不具有接入到CAG小区/NPN 102b的权限的拒绝消息。UDM 206可以在Nudm_XXX响应消息和Nudm_UEVerifyCAGAccess_Get响应消息中的至少一个中将拒绝消息发送到AMF/SEAF 202。在从UDM 206接收到拒绝消息时,AMF/SEAF 202拒绝UE 104的注册请求并且将拒绝消息连同适当的原因值一起发送到UE 104。
本文的实施例使得UDM能够在从AMF/SEAF 202接收到SUPI时验证UE 104接入CAG小区/NPN 102b的权限。在一个实施例中,UE 104通过经由NG-RAN 106a向AMF/SEAF 202发送服务请求消息来发起用于接入CAG小区/NPN 102b的服务请求过程。在一个实施例中,当AMF/SEAF 202可能无法揭示UE 104的SUPI时,UE 104可以通过经由NG-RAN 106a向AMF/SEAF 202发送包括UE 104的SUCI的注册请求消息来发起用于接入CAG小区/NPN 102b的请求过程。AMF/SEAF 202可以在服务请求消息中从NG-RAN 106a或从UE 104接收所请求的CAG小区/NPN 102b的CAG ID。在接收到UE 104的服务请求时,AMF/SEAF 202可以揭示UE 104的SUPI(例如:来自UE的5G-GUTI等)。如果AMF/SEAF 202不具有信息(UE 104的CAG小区的允许列表)来验证UE 104接入CAG小区的权限,则AMF/SEAF 202通过Nudm_XXX消息将UE 104的SUPI和所请求的CAG小区的CAG ID提供给UDM 206。UDM 206执行UE对CAG小区的权限的验证。如果UDM 206不能验证UE接入CAG小区的权限,则AMF/SEAF 202向UE 104发送NAS拒绝消息与适当的原因值。如果UDM 206能够验证UE接入CAG小区的权限,则AMF/SEAF 202应进一步继续进行NAS/N2过程(注册请求过程或路径切换过程或N2 HO过程)。
本文的实施例使得AMF 202能够验证UE 104接入CAG小区/NPN 102b的权限。UE104通过经由NG-RAN 106a向AMF 202发送包括SUCI的注册请求消息来发起用于接入CAG小区/NPN 102b的注册过程。AMF 202可以在注册请求消息中从NG-RAN 106a或从UE 104接收所请求的CAG小区/NPN 102b的CAG ID。AMF/SEAF 202通过将UE 104的SUCI转发到UDM 206来向UDM 206请求SUPI和CAG小区的允许列表。在一个实施例中,AMF/SEAF 202可以在Nudm_XXX请求消息和Nudm_SDM_Get请求消息中的至少一个中将UE 104的SUCI转发到UDM 206。
在从AMF/SEAF 202接收到UE 104的SUCI时,UDM 206将UE 104的SUCI揭示为SUPI并且基于所揭示的SUPI来检索UE 104的CAG小区的允许列表。在一个实施例中,UDM可以在Nudm_XXX响应消息和Nudm_SDM_Get响应消息中的至少一个中将UE 104的SUPI和UE 104的CAG小区的允许列表发送到AMF/SEAF 202。
在从UDM 206接收到UE 104的CAG小区的允许列表时,AMF/SEAF 202验证所请求的CAG小区的CAG ID是否存在于CAG小区的允许列表中。如果所请求的CAG小区的CAG ID存在于允许列表中,则AMF/SEAF 202确定UE 104具有CAG小区/NPN 102b的权限,并且进一步继续进行初级认证过程以对用于接入NPN 102b的UE 104进行认证。如果所请求的CAG小区的CAG ID不存在于允许列表中或者如果AMF/SEAF 202未从UDM 206接收到允许列表,则AMF/SEAF 202确定UE不具有CAG小区/NPN 102b的权限。此后,AMF/SEAF 202以适当的原因值拒绝UE 104的注册请求。
本文的实施例使得CAG服务器110能够在从UDM 206接收到请求时验证UE 104接入CAG小区/NPN 102a的权限。UDM 206从AMF/SEAF 202或AUSF 204接收UE 104的包括UE 104的SUCI和CAG ID的注册请求消息。UDM 206检查CAG ID是否被包括在注册请求消息中。如果CAG ID被包括在注册请求消息中,则UDM 206将UE 104的SUCI揭示为SUPI。UDM 206通过由CAG服务器110提供的基于服务的接口来将UE 104的SUPI和所请求的CAG小区/NPN 102b的CAG ID转发到CAG服务器110。在一个示例中,基于服务的接口可以是Ncag_XXX等。CAG服务器110基于从UDM 206接收到的SUPI来检索UE 104的CAG小区的允许列表。基于已检索到的CAG小区的允许列表和所请求的CAG小区的CAG ID,CAG服务器110验证UE 104是否具有接入所请求的CAG小区的权限。CAG服务器110将验证的结果(接受/拒绝)发送到UDM 206。基于来自CAG服务器110的响应,UDM 206可以进一步继续进行UE 104的注册请求或者拒绝UE 104的注册请求。
本文的实施例使得CAG服务器110能够在从AMF/SEAF 202接收到请求时验证UE104接入CAG小区/NPN 102a的权限。CAG服务器110从AMF/SEAF 202接收UE 104的注册请求,其中注册请求包括UE 104的SUCI和所请求的CAG小区/NPN 102b的CAG ID。在接收到UE 104的注册请求时,CAG服务器110通过请求UE 104的SUPI将UE 104的SUCI转发到UDM 206。CAG服务器110可以在Nudm_XXX消息中将UE 104的SUCI转发到UDM 206。
在接收到NUdm_XXX请求消息时,UDM 206将所获得的SUCI揭示为SUPI。UDM 206在Nudm_XXX响应消息中将UE 104的SUPI提供给CAG服务器。在从UDM 206接收到SUPI时,CAG服务器110检索UE 104的CAG小区的允许列表。基于已检索到的CAG小区的允许列表和所请求的CAG小区的CAG ID,CAG服务器110验证UE 104是否具有接入所请求的CAG小区的权限。CAG服务器110将验证的结果(接受/拒绝)发送到AMF/SEAF 202。基于来自CAG服务器110的响应,AMF/SEAF 202可以进一步继续进行UE 104的注册请求或者拒绝UE 104的注册请求。
本文的实施例使得CAG服务器110能够在从AUSF 204接收到请求时验证UE 104是否具有接入CAG小区/NPN 102b的权限。AMF/SEAF 202通过NG-RAN 106a接收UE 104的注册请求,其中注册请求可以包括UE 104的SUCI和所请求的CAG小区/NPN 102b的CAG ID。AMF/SEAF 202将UE 104的SUCI、所请求的CAG小区的CAG ID和其他参数包括在Nausf_XXX请求消息中并且将该Nausf_XXX请求消息发送到AUSF 204。AUSF 204将UE 104的SUCI、所请求的CAG小区的CAG ID和其他参数包括在Ncag_XXX请求消息中并且将该Ncag_XXX请求消息发送到CAG服务器110。
在接收到Ncag_XXX请求消息时,CAG服务器110将SUCI揭示为SUPI并且基于所揭示的SUPI来检索CAG小区/NPN 102b的允许列表。基于已检索到的CAG小区的允许列表和所请求的CAG小区的CAG ID,CAG服务器110验证UE 104是否具有接入所请求的CAG小区的权限。如果UE 104具有接入所请求的CAG小区的权限,则CAG服务器110将给AUSF 204的接受消息和CAG小区的允许列表包括在Ncag_XXX响应消息中。在从CAG服务器110接收到接受消息时,AUSF 204可以进一步继续进行UE 104的注册请求。如果UE 104不具有接入所请求的CAG小区的权限,则CAG服务器110将给AUSF 204的拒绝消息和CAG小区的允许列表包括在Ncag_XXX响应消息中。在从CAG服务器110接收到拒绝消息时,AUSF 204在Nausf_XXX响应消息中包括CAG小区拒绝消息并且将该Nausf_XXX响应消息发送到AMF/SEAF 202。AMF/SEAF 202可以进一步拒绝UE 104的注册请求。
本文的实施例使得CAG服务器110能够在从AMF/SEAF 202接收到SUPI时验证出UE104接入CAG小区/NPN 102b的权限。UE 104通过经由NG-RAN 106a向AMF/SEAF 202发送服务请求消息来发起用于接入CAG小区/NPN 102b的请求过程。AMF/SEAF 202可以在注册请求消息中从NG-RAN 106a或从UE 104接收所请求的CAG小区/NPN 102b的CAG ID。在接收到UE104的请求时,AMF/SEAF 202可以揭示UE 104的SUPI(例如:来自UE的5G-GUTI等)。如果AMF/SEAF 202不具有信息来验证UE 104接入CAG小区/NPN 102b的权限,则AMF/SEAF 202在Ncag_XXX请求消息中将UE 104的SUPI和所请求的CAG小区的CAG ID提供给CAG服务器110。在从AMF/SEAF 202接收到SUPI时,CAG服务器110检索UE 104的CAG小区的允许列表。基于已检索到的CAG小区的允许列表和所请求的CAG小区的CAG ID,CAG服务器110验证UE 104是否具有接入所请求的CAG小区的权限。CAG服务器110在Ncag_XXX响应消息中将验证的结果(接受/拒绝)发送到AMF/SEAF 202。基于来自CAG服务器110的响应,AMF/SEAF 202可以进一步继续进行UE 104的注册请求或者拒绝UE 104的注册请求。
图1A、图1B、图1C和图2示出无线网络100的各种元件/节点/组件,但是应当理解,其他实施例不限于此。在其他实施例中,无线通信系统100可以包括更少或更大数量的单元。此外,单元的标签或名称被仅用于说明性目的,而不限制本文的实施例的范围。一个或更多个单元能够被组合在一起以在无线网络100中执行相同或基本上类似的功能。
3GPP TS 23.501将公用网络集成(非独立)非公用网络指定为在使用封闭接入组(CAG)和/或网络切片的公用PLMN的支持下部署的非公用网络(NPN)。当在有或没有有效的订阅、未被授权接入CAG小区的情况下流氓或失灵或恶意的(由攻击者危害或引入)大量UE(尤其是在工业/蜂窝/大规模IoT中)执行注册过程以经由CAG小区接入网络时,那么在网络上并且尤其是在UDM、AMF和gNB中存在开销(信令和计算),因为网络需要去隐藏SUCI并且执行认证过程,然后检查UE是否具有CAG小区接入的授权。在特定CAG小区中或分布在不同的CAG小区处经由CAG小区接入NPN的此类尝试将导致5G系统上的(分布式)拒绝服务((D)DoS)攻击。本公开提供了用于网络在不用执行初级认证的情况下经由CAG小区验证UE的注册请求的新颖机制。此方法使得网络(UDM/AUSF)能够在执行初级认证之前基于UE的订阅隐藏标识符(SUCI)来验证UE接入CAG小区(UE正在请求接入的地方)的订阅。UDM(经由AUSF)从服务网络AMF接收CAG标识符和UE的订阅标识,并且UDM在进一步继续进行认证过程之前执行CAG接入检查。通过在UDM处执行检查(而不是在服务网络(AMF)处执行检查),使网络上的开销最小化并且在不降低5GS安全性的级别的情况下减轻了网络上的(D)DoS攻击。根据各种实施例,UDM对UE的接入CAG小区执行检查并且基于CAG小区接入检查的结果进一步继续进行初级认证过程。服务网络(AMF)经由AUSF向UDM发送CAG ID(UE正在请求接入的CAG小区的标识符)。
图3是描绘根据如本文所公开的实施例的在5GC 108a的UDM处验证UE 104接入CAG小区的权限的顺序图。在步骤301,UE 104通过NG-RAN 106a向AMF/SEAF 202发送要接入CAG小区/NPN 102b的注册请求。注册请求包括UE 104的SUCI。在一个实施例中,UE 104也可以在注册请求中发送所请求的CAG小区/NPN 102b的CAG ID。在一个实施例中,NG-RAN 106a可以将服务CAG ID的所有CAG ID连同注册请求一起发送到AMF/SEAF 202。
在步骤302,AMF/SEAF 202通过将UE 104的SUCI、所请求的CAG小区的CAG ID和其他参数(例如:SN名称等)包括在认证请求(Nudm_UEAuthentication_Authenticate请求)消息中来将该认证请求消息发送到AUSF 204。
在步骤303,AUSF 204将已接收到的UE 104的SUCI、所请求的CAG小区的CAG ID和其他参数包括在认证取得请求(Nudm_UEAuthentication_Get_Request)消息中并且将该认证取得请求消息发送到UDM/ARPF/SIDF 206。
在步骤304,UDM/ARPF/SIDF 206在从AUSF 204接收到认证取得请求消息时验证UE104接入所请求的CAG小区/NPN 102b的权限或授权。在一个实施例中,UDM/ARPF/SIDF 206在执行初级认证过程之前验证UE 104接入所请求的CAG小区/NPN 102b的权限或授权。UDM/ARPF/SIDF 206将已接收到的SUCI揭示为SUPI并且基于SUPI检索CAG小区的允许列表。UDM/ARPF/SIDF 206基于SUPI验证已接收到的所请求的CAG小区的CAG ID是否存在于CAG小区的允许列表中。在基于SUPI验证出已接收到的所请求的CAG小区的CAG ID存在于CAG小区的允许列表中时,UDM/ARPF/SIDF 206确定UE具有权限或订阅或者UE是被授权接入CAG小区/NPN102b的UE。此后,UDM/ARPF/SIDF 206基于UE 104的SUPI生成认证向量并且执行用于对UE104进行认证的初级认证过程(如3GPP TS 33.501中指定的)以便允许UE 104接入NPN102b/由NPN 102b提供的服务。在基于SUPI验证出已接收到的所请求的CAG小区的CAG ID不存在于CAG小区的允许列表中时,UDM/ARPF/SIDF 206确定UE不具有权限或订阅或者UE未被授权接入CAG小区/NPN 102b。然后,UDM/ARPF/SIDF 206在认证取得响应消息(Nudm_UEAuthentication_Get_Response)中包括错误信息。
在步骤305,UDM/ARPF/SIDF 206将认证取得响应消息(例如:403禁止等)发送到AUSF。在步骤306,AUSF 204在认证响应(Nausf_UEAUthentication_Authenticate响应)中插入已接收到的认证取得响应消息的拒绝消息。AUSF 204将认证响应(例如:403禁止等)发送到AMF/SEAF 202。在步骤307,AMF/SEAF 202在从AUSF 204接收到拒绝消息时拒绝UE 104的注册请求。AMF/SEAF 202将具有适当的原因值(例如:#12、#13、#15、#76等)的拒绝消息发送到UE 104,其中适当的原因值指示不允许CAG小区接入。因此,在执行初级认证之前在UDM处验证UE 104接入CAG小区的权限/授权使5GC 108a上的信令开销最小化并且减轻DoS攻击。
根据各种实施例,一种用于控制至少一个用户设备(UE)接入网络中的至少一个非公用网络(NPN)的权限的方法,该方法包括:由至少一个UE请求公用陆地移动网络(PLMN)以便通过至少一个封闭接入组(CAG)小区接入至少一个NPN;由PLMN的核心网络(CN)验证至少一个UE通过至少一个CAG小区接入所请求的至少一个NPN的权限;以及由CN基于至少一个UE通过至少一个CAG小区接入所请求的至少一个NPN的权限被验证来执行初级认证过程以允许至少一个UE通过至少一个CAG小区接入至少一个NPN。
在一些实施例中,使用至少一个CAG小区来结合PLMN部署至少一个NPN。
在一些实施例中,至少一个NPN包括非独立NPN或独立NPN中的至少一个。
在一些实施例中,CN的统一数据管理(UDM)、接入和移动性管理功能(AMF)或认证服务器功能(AUSF)中的至少一个验证至少一个UE通过至少一个CAG小区接入所请求的至少一个NPN的权限。
在一些实施例中,耦合到CN的CAG服务器验证至少一个UE接入所请求的至少一个NPN的权限。
在一些实施例中,由至少一个UE请求对至少一个NPN的接入包括向PLMN的无线电接入网络(RAN)发送包括至少一个UE的订阅隐藏标识符(SUCI)的请求。
在一些实施例中,该方法还包括:由无线电接入网络(RAN)添加由至少一个UE请求的至少一个NPN的至少一个CAG标识符(CAG ID);以及由RAN将接收到的UE的订阅隐藏标识符(SUCI)和所请求的至少一个NPN的至少一个CAG ID发送到CN。
在一些实施例中,由至少一个UE请求对至少一个NPN的接入包括将包括至少一个UE的订阅隐藏标识符(SUCI)和所请求的至少一个NPN的至少一个CAG标识符(CAG ID)的请求发送到PLMN的无线电接入网络(RAN)。
在一些实施例中,CN基于已接收到的包括至少一个CAG ID的请求消息来验证至少一个UE接入至少一个NPN的权限。
在一些实施例中,由CN验证至少一个UE的权限包括:从无线电接入网络(RAN)接收至少一个UE的订阅隐藏标识符(SUCI)和所请求的至少一个NPN的至少一个CAG标识符(CAGID);基于已接收到的至少一个UE的SUCI来推导至少一个UE的CAG小区的允许列表;以及使用所推导的CAG小区的允许列表和已接收到的所请求的至少一个NPN的至少一个CAG ID来验证至少一个UE接入所请求的至少一个NPN的权限。
在一些实施例中,推导至少一个UE的CAG小区的允许列表包括:将已接收到的至少一个UE的SUCI揭示为订阅永久标识符(SUPI);将所揭示的至少一个UE的SUPI与CAG小区的允许列表和多个UE的SUPI的映射进行映射;以及基于相关SUPI与所揭示的至少一个UE的SUPI的映射来推导至少一个UE的CAG小区的允许列表。
在一些实施例中,使用所推导的CAG小区的允许列表和已接收到的所请求的至少一个NPN的CAG ID来验证至少一个UE的权限包括:确定已接收到的所请求的至少一个NPN的至少一个CAG ID是否存在于所推导的CAG小区的允许列表中;基于已接收到的所请求的至少一个NPN的至少一个CAG ID存在于所推导的CAG小区的允许列表中来验证出至少一个UE具有用于接入所请求的至少一个NPN的权限;以及基于已接收到的所请求的至少一个NPN的至少一个CAG ID不存在于所推导的CAG小区的允许列表中来验证出至少一个UE不具有用于接入所请求的至少一个NPN的权限。
在一些实施例中,该方法还包括在验证出至少一个UE不具有用于接入所请求的至少一个NPN的权限时拒绝至少一个UE的请求;以及与原因值一起向至少一个UE发送拒绝消息,其中原因值指示用于拒绝至少一个UE的请求的错误的至少一个原因。
在一些实施例中,执行初级认证过程包括:基于验证出至少一个UE具有用于接入所请求的至少一个NPN的权限来基于至少一个UE的揭示的订阅永久标识符(SUPI)生成认证向量;基于确定至少一个UE具有通过PLMN接入所请求的至少一个NPN的NPN权限来基于所生成的认证向量对至少一个UE进行认证;以及基于至少一个UE具有通过PLMN接入所请求的至少一个NPN的NPN权限来使得至少一个UE能够接入所请求的至少一个NPN。
根据各种实施例,一种网络包括至少一个用户设备(UE);至少一个非公用网络(NPN);以及公用陆地移动网络(PLMN)。至少一个NPN被结合PLMN部署,PLMN包括由无线电接入网络(RAN)和核心网络(CN)组成的至少一个蜂窝网络,至少一个UE被配置为请求PLMN以便通过至少一个封闭接入组(CAG)小区接入至少一个NPN,并且CN被配置为:验证至少一个UE通过至少一个CAG小区接入所请求的至少一个NPN的权限,以及基于至少一个UE通过至少一个CAG小区接入所请求的至少一个NPN的权限被验证来执行初级认证过程以允许至少一个UE通过至少一个CAG小区接入至少一个NPN。
在一些实施例中,使用至少一个CAG小区来结合PLMN部署至少一个NPN。
在一些实施例中,至少一个NPN包括非独立NPN或独立NPN中的至少一个。
在一些实施例中,CN的统一数据管理(UDM)、接入和移动性管理功能(AMF)或认证服务器功能(AUSF)中的至少一个被进一步配置为验证至少一个UE通过至少一个CAG小区接入所请求的至少一个NPN的权限。
在一些实施例中,PLMN还包括与CN耦合的CAG服务器,该CAG服务器被配置为验证至少一个UE接入所请求的至少一个NPN的权限。
在一些实施例中,至少一个UE被进一步配置为向请求接入到至少一个NPN的PLMN的RAN发送包括至少一个UE的订阅隐藏标识符(SUCI)的请求。
在一些实施例中,至少一个RAN被进一步配置为:添加由至少一个UE请求的至少一个NPN的至少一个CAG标识(CAG ID);并且将接收到的UE的订阅隐藏标识符(SUCI)和所请求的至少一个NPN的CAG ID发送到CN。
在一些实施例中,至少一个UE被进一步配置为将包括至少一个UE的订阅隐藏标识符(SUCI)和所请求的至少一个NPN的CAG标识符(CAG ID)的请求发送到PLMN的RAN。
在一些实施例中,CN被进一步配置为基于已接收到的包括至少一个CAG ID的请求消息来验证至少一个UE接入至少一个NPN的权限。
在一些实施例中,CN被进一步配置为:从RAN接收至少一个UE的订阅隐藏标识符(SUCI)和所请求的至少一个NPN的至少一个CAG标识符(CAG ID);基于已接收到的至少一个UE的SUCI推导至少一个UE的CAG小区的允许列表;以及使用所推导的CAG小区的允许列表和已接收到的所请求的至少一个NPN的至少一个CAG ID来验证至少一个UE接入所请求的至少一个NPN的权限。
在一些实施例中,CN被进一步配置为:将已接收到的至少一个UE的SUCI揭示为订阅永久标识符(SUPI);将所揭示的至少一个UE的SUPI与CAG小区的允许列表和多个UE的SUPI的映射进行映射;以及基于相关SUPI与所揭示的至少一个UE的SUPI的映射来推导至少一个UE的CAG小区的允许列表。
在一些实施例中,CN被进一步配置为:确定已接收到的所请求的至少一个NPN的至少一个CAG ID存在于所推导的CAG小区的允许列表中;基于已接收到的所请求的至少一个NPN的至少一个CAG ID存在于所推导的CAG小区允许列表中来验证出至少一个UE具有接入所请求的至少一个NPN的权限;并且基于已接收到的所请求的至少一个NPN的CAG ID不存在于所推导的CAG小区的允许列表中来验证出至少一个UE不具有用于接入所请求的至少一个NPN的至少一个CAG小区的权限。
在一些实施例中,CN被进一步配置为:在验证出至少一个UE不具有用于接入所请求的至少一个NPN的至少一个CAG ID的权限时拒绝至少一个UE的请求;以及与原因值一起向至少一个UE发送拒绝消息,其中原因值指示用于拒绝至少一个UE的请求的错误的至少一个原因。
在一些实施例中,CN被进一步配置为:基于验证出至少一个UE具有用于接入所请求的至少一个NPN的权限来基于接收到的至少一个UE的订阅永久标识符(SUPI)生成认证向量;基于确定至少一个UE具有通过PLMN接入所请求的至少一个NPN的NPN权限来基于所生成的认证向量对至少一个UE进行认证;以及基于至少一个UE具有通过PLMN接入所请求的至少一个NPN的NPN权限来使得至少一个UE能够接入所请求的至少一个NPN。
根据各种实施例,一种网络包括至少一个用户设备(UE);至少一个非公用网络(NPN);以及公用陆地移动网络(PLMN)。至少一个NPN通过至少一个封闭接入组(CAG)小区被结合PLMN部署,PLMN包括由无线电接入网络(RAN)和核心网络(CN)组成的至少一个蜂窝网络,至少一个UE被配置为请求PLMN以用于接入到至少一个NPN,并且CN包括统一数据管理(UDM),该UDM被配置为:验证至少一个UE接入所请求的至少一个NPN的权限,以及基于至少一个UE接入所请求的至少一个NPN的权限被验证来发起初级认证过程。
在一些实施例中,至少一个UE被进一步配置为向请求接入到至少一个NPN的PLMN的RAN发送包括至少一个UE的订阅隐藏标识符(SUCI)的请求,并且RAN被配置为:添加由至少一个UE请求的至少一个NPN的CAG标识符(CAG ID),并且将接收到的UE的订阅隐藏标识符(SUCI)和所请求的至少一个NPN的CAG ID发送到CN。
在一些实施例中,至少一个UE被进一步配置为将包括至少一个UE的订阅隐藏标识符(SUCI)和所请求的至少一个NPN的CAG标识符(CAG ID)的请求发送到PLMN的RAN。
在一些实施例中,CN还包括接入和移动性管理功能(AMF)和认证服务器功能(AUSF),该AMF被配置为:从RAN接收至少一个UE的SUCI和所请求的至少一个NPN的CAG ID,将已接收到的至少一个UE的SUCI和所请求的至少一个NPN的CAG ID插入在第一认证请求消息中,并且将第一认证请求消息发送到AUSF,并且AUSF被进一步配置为:根据已接收到的第一认证请求消息推导至少一个UE的SUCI和所请求的至少一个NPN的CAG ID,将所推导的至少一个UE的SUCI和所请求的至少一个NPN的CAG ID插入在第一认证取得请求消息中,并且将认证取得请求消息发送到UDM。
在一些实施例中,UDM被进一步配置为:从AUSF接收至少一个UE的SUCI和所请求的至少一个NPN的CAG ID,将已接收到的至少一个UE的SUCI揭示为订阅永久标识符(SUPI),将所揭示的至少一个UE的SUPI与CAG小区的允许列表和多个UE的SUPI的映射进行映射,基于相关SUPI与所揭示的至少一个UE的SUPI的映射来检索至少一个UE的CAG小区的允许列表,基于已接收到的所请求的至少一个NPN的CAG ID存在于已检索到的CAG小区的允许列表中来验证出至少一个UE具有接入所请求的至少一个NPN的权限,以及基于已接收到的所请求的至少一个NPN的CAG ID不存在于已检索到的CAG小区的允许列表中来验证出至少一个UE不具有接入所请求的至少一个NPN的权限。
在一些实施例中,UDM被进一步配置为:基于验证出至少一个UE不具有对所请求的至少一个UE的接入来在第二认证取得请求消息中插入拒绝消息和至少一个UE的SUPI,以及向AUSF发送认证取得响应消息,该AUSF被进一步配置为:根据已接收到的第二认证取得响应消息推导拒绝消息并且将所推导的拒绝消息插入在第二认证响应消息中,以及将该第二认证响应消息发送到AMF,并且该AMF被进一步配置为:基于从AUSF接收到拒绝消息拒绝至少一个UE的请求;以及通过RAN向至少一个UE发送拒绝消息与适当的原因值,其中原因值指示用于拒绝至少一个UE的请求的错误的至少一个原因。
在一些实施例中,UDM被进一步配置为:基于验证出至少一个UE具有接入所请求的至少一个NPN的权限来基于已接收到的至少一个UE的SUCI生成认证向量,并且通过AUSF将该认证向量发送到AMF,并且该AMF被进一步配置为:基于已接收到的认证向量对至少一个UE进行认证以确定至少一个UE具有通过PLMN接入所请求的至少一个NPN的NPN权限;并且基于至少一个UE具有通过PLMN接入所请求的至少一个NPN来使得至少一个UE能够接入所请求的至少一个NPN。
根据各种实施例,一种公用陆地移动网络(PLMN)的核心网络(CN),其中PLMN与至少一个非公用网络(NPN)结合并且连接到至少一个用户设备(UE),其中CN被配置为:通过无线电接入网络(RAN)从至少一个UE接收对接入到至少一个NPN的请求;验证至少一个UE接入所请求的至少一个NPN的权限;以及基于至少一个UE接入所请求的至少一个NPN的权限被验证来执行初级认证过程。
在一些实施例中,至少一个UE的请求包括至少一个UE的订阅隐藏标识符(SUCI)和由至少一个UE请求的至少一个NPN的封闭接入组(CAG ID)。
在一些实施例中,CN被进一步配置为:将接收到的至少一个UE的订阅隐藏标识符(SUCI)揭示为订阅永久标识符(SUPI),将所揭示的至少一个UE的SUPI与CAG小区的允许列表和多个UE的SUPI的映射进行映射,基于相关SUPI与所揭示的至少一个UE的SUPI的映射来检索至少一个UE的CAG小区的允许列表,基于已接收到的所请求的至少一个NPN的封闭接入组标识符(CAG ID)存在于已检索到的CAG小区的允许列表中来验证出至少一个UE具有接入所请求的至少一个NPN的权限,并且基于已接收到的所请求的至少一个NPN的CAG ID不存在于已检索到的CAG小区的允许列表中来验证出至少一个UE不具有接入所请求的至少一个NPN的权限。
在一些实施例中,CN被进一步配置为:基于验证出至少一个UE不具有接入所请求的至少一个NPN的权限来拒绝至少一个UE的请求,并且通过RAN与原因值一起向至少一个UE发送拒绝消息,其中原因值指示用于拒绝至少一个UE的请求的错误的至少一个原因。
图4是描绘根据如本文所公开的实施例的通过直接与AMF/SEAF 202进行通信在5GC 108a的UDM 206处验证出UE 104接入CAG小区的权限的顺序图。在步骤401,UE 104通过NG-RAN 106a向AMF/SEAF 202发送包括SUCI的注册请求以便接入CAG小区/NPN 102b。NG-RAN 106a也可以将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF 202,或者UE 104可以通过NG-RAN 106a将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF 202。
在步骤402,AMF/SEAF 202将已接收到的UE 104的SUCI、CAG ID和其他参数(例如SN名称)插入在Nudm_XXX请求消息中并且将该Nudm_XXX请求消息发送到UDM 206。
在步骤403,UDM 206在从AMF/SEAF 202接收到认证取得请求消息时验证UE 104接入所请求的CAG小区/NPN 102b的权限。在一个实施例中,UDM 206在执行初级认证过程之前验证UE 104接入所请求的CAG小区/NPN 102b的权限。UDM 206将已接收到的SUCI揭示为SUPI并且基于SUPI检索CAG小区的允许列表。UDM 206根据基于UE 104的SUPI检索到的CAG小区的允许列表以及所请求的CAG小区的CAG ID来验证UE 104是否具有接入所请求的CAG小区/NPN 102b的权限。在验证出UE 104具有所请求的CAG小区的权限时,UDM 206在Nudm_XXX响应消息中插入接受消息、UE 104的CAG小区的允许列表等。在步骤404a,UDM 206向AMF/SEAF 202发送指示成功的验证的Nudm_XXX响应消息。在步骤405a,在接收到Nudm_XXX响应消息时,AMF/SEAF 202进一步继续进行UE 104的注册请求。在步骤406a,AMF/SEAF 202执行初级认证过程(如3GPP TS 33.501中指定的)以用于对UE 104进行认证以便允许UE104接入NPN 102b/由NPN 102b提供的服务。
在验证出UE 104不具有接入CAG小区/NPN 102b的权限时,UDM 206将指示UE 104未被许可使用CAG小区的拒绝消息和原因值包括在Nudm_XXX响应消息中。在步骤404b,UDM206向AMF/SEAF 202发送指示不成功的验证的Nudm_XXX响应消息。在步骤405b,AMF/SEAF202拒绝UE 104的注册请求。在步骤406b,AMF/SEAF 202将具有拒绝消息和适当的原因值的响应发送到UE 104。
图5是描绘根据如本文所公开的实施例的通过通过取得请求消息和取得响应消息与AMF/SEAF 202进行通信在UDM 206处验证UE 104接入CAG小区的权限的顺序图。在步骤501,UE 104通过NG-RAN 106a向AMF/SEAF 202发送包括SUCI的注册请求以便接入CAG小区/NPN 102b。NG-RAN 106a也可以将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF202,或者UE 104可以通过NG-RAN 106a将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF 202。
在步骤502,AMF/SEAF 202将已接收到的UE 104的SUCI、CAG ID和其他参数(例如SN名称)插入在Nudm_UEVerifyCAGAccess_Get请求消息中并且将该Nudm_UEVerifyCAGAccess_Get请求消息发送到UDM 206。
在步骤503,UDM 206在从AMF/SEAF 202接收到认证取得请求消息时验证UE 104接入所请求的CAG小区/NPN 102b的权限。在一个实施例中,UDM 206在执行初级认证过程之前验证UE 104接入所请求的CAG小区/NPN 102b的权限。UDM 206将已接收到的SUCI揭示为SUPI并且基于SUPI检索CAG小区的允许列表。UDM 206根据基于UE 104的SUPI检索到的CAG小区的允许列表以及所请求的CAG小区的CAG ID来验证UE 104是否具有接入所请求的CAG小区/NPN 102b的权限。在验证出UE 104具有所请求的CAG小区的权限时,UDM 206在Nudm_UEVerifyCAGAccess_Get响应消息中插入接受消息、UE 104的CAG小区的允许列表等。在步骤504a,UDM 206向AMF/SEAF 202发送指示成功的验证的Nudm_UEVerifyCAGAccess_Get响应消息。在步骤505a,在接收到Nudm_XXX响应消息时,AMF/SEAF 202进一步继续进行UE 104的注册请求。
在验证出UE 104不具有接入CAG小区/NPN 102b的权限时,UDM 206将指示对于UE104不允许CAG小区的拒绝消息和原因值包括在Nudm_XXX响应消息中。在步骤504b,UDM 206向AMF/SEAF 202发送指示不成功的验证的Nudm_XXX响应消息。在步骤505b,AMF/SEAF 202拒绝UE 104的注册请求。在步骤506,AMF/SEAF 202将具有拒绝消息和适当的原因值的响应发送到UE 104。
图6是描绘根据如本文所公开的实施例的在5GC 108a的UDM 206和/或AUSF 204处验证UE接入CAG小区的权限的顺序图。在步骤601,UE 104通过NG-RAN 106a向AMF/SEAF 202发送要接入CAG小区/NPN 102b的注册请求。注册请求包括UE 104的SUCI。在一个实施例中,UE 104也可以通过NG-RAN 106a在注册请求中将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF 202。在一个实施例中,NG-RAN 106a可以将所请求的CAG小区/NPN 102b的CAGID连同注册请求一起发送到AMF/SEAF 202。
在步骤602,AMF/SEAF 202将已接收到的UE 104的SUCI、CAG ID和其他参数插入在Nausf_XXX请求消息中并且将该Nausf_XXX请求消息发送到AUSF 204。在步骤603,AUSF 204将已接收到的Nausf_XXX消息的SUCI、CAG ID和其他参数插入在Nudm_XXX请求消息中。AUSF204将Nudm_XXX请求消息发送到UDM 206。
在步骤604,UDM 206将已接收到的SUCI揭示为SUPI并且基于SUPI检索UE 104的CAG小区的允许列表。在一个实施例中,UDM 206使用基于SUPI检索到的UE 104的CAG小区的允许列表和已接收到的所请求的CAG小区/NPN 102b的CAG ID来验证UE 104接入所请求的CAG小区/NPN 102b的权限。在验证出UE具有接入CAG小区/NPN 102b的权限时,UDM 206发起初级认证过程(如3GPP TS 33.501中指定的)以用于对UE 104进行认证以便允许UE 104接入NPN 102b/由NPN 102b提供的服务。在验证出UE 104不具有接入CAG小区/NPN 102b的权限时,UDM 206将指示对于UE 104不允许CAG小区的CAG小区拒绝消息和UE的SUPI包括在Nudm_XXX响应消息中。在步骤605,UDM 206向AUSF 204发送指示不允许CAG小区的Nudm_XXX响应消息。
在一个实施例中,UDM 206可以将已检索到的CAG小区的允许列表发送到AUSF 204以便执行UE 104的权限的验证。在这样的情况下,在步骤605,UDM 206将包括CAG小区的允许列表的Nudm_XXX响应消息发送到AUSF 204。
在步骤606,AUSF 204使用已接收到的CAG小区的允许列表和所请求的CAG小区/NPN 102b的CAG ID来验证UE 104接入CAG小区/NPN 102b的权限。
在步骤607,AUSF 204在验证出UE 104不具有接入CAG小区的权限或者从UDM 206接收到指示不允许CAG小区接入的Nudm_XXX响应时在Nausf_XXX响应消息中向AMF/SEAF202发送CAG小区拒绝。在步骤608,AMF/SEAF 202通过向UE 104发送拒绝消息和适当的原因值来拒绝UE 104的注册请求。
图7是描绘根据如本文所公开的实施例的在5GC 108a的AUSF 204处验证UE 104接入CAG小区的权限的顺序图。在步骤701,UE 104通过NG-RAN 106a向AMF/SEAF 202发送要接入CAG小区/NPN 102b的注册请求。注册请求包括UE 104的SUCI。在一个实施例中,UE 104也可以通过NG-RAN 106a在注册请求中将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF。在一个实施例中,NG-RAN可以将所请求的CAG小区/NPN 102b的CAG ID连同注册请求一起发送到AMF/SEAF 202。
在步骤702,AMF/SEAF 202将已接收到的UE 104的SUCI、CAG ID和其他参数插入在Nausf_UEAuthentication_Authenticate请求消息中并且将该Nausf_UEAuthentication_Authenticate请求消息发送到AUSF 204。在步骤703,AUSF 204将已接收到的Nausf_UEAuthentication_Authenticate请求的SUCI、CAG ID和其他参数插入在Nudm_UEAuthentication_Get_Request消息中。AUSF 204将Nudm_UEAuthentication_Get_Request消息发送到UDM 206。
在步骤704,UDM 206将已接收到的SUCI揭示为SUPI并且基于SUPI检索UE 104的CAG小区的允许列表。在步骤705,UDM 206将UE 104的SUPI和CAG小区的允许列表插入在Nudm_UEauthentication_Get_Response中并且将Nudm_UEauthentication_Get_Response发送到AUSF 204。
在步骤706,AUSF 204使用已接收到的UE 104的CAG小区的允许列表和已接收到的所请求的CAG小区/NPN 102b的CAG ID来验证UE 104接入所请求的CAG小区/NPN 102b的权限。在验证出UE 104具有接入CAG小区/NPN 102b的权限时,AUSF 204发起初级认证过程(如3GPP TS 33.501中指定的)以用于对UE 104进行认证以便允许UE 104接入NPN 102b/由NPN102b提供的服务。在验证出UE 104不具有接入CAG小区/NPN 102b的权限时,AUSF 204将指示对于UE 104不允许CAG小区的CAG小区拒绝消息包括在Nausf_UEAuthentication_Authenticate响应消息中。在步骤707,AUSF 204将指示不允许CAG小区的Nausf_UEAuthentication_Authenticate响应消息发送到AMF/SEAF 202。
在步骤708,AMF/SEAF 202通过向UE 104发送拒绝消息和适当的原因值来拒绝UE104的注册请求。
图8是描绘根据如本文所公开的实施例的在从UDM 206接收到请求时在CAG服务器110处验证UE 104接入CAG小区的权限的顺序图。在步骤801,UDM 206接收请求接入到CAG小区/NPN 102b的UE 104的注册请求,其中注册请求包括UE 104的SUCI和所请求的CAG小区/NPN 102b的CAG ID。UDM 206根据已接收到的SUCI推导UE 104的SUPI。在步骤802,UDM 206将UE 104的SUPI和所请求的CAG小区/NPN 102b的CAG ID插入在Ncag_XXX请求消息中。在步骤803,UDM 206将Ncag_XXX请求消息发送到CAG服务器110。
在步骤804,CAG服务器110基于从UDM 206接收到的UE 104的SUPI获得UE 104的CAG小区的允许列表。CAG服务器110基于CAG小区的允许列表和所请求的CAG小区的CAG ID来UE 104接入CAG小区/NPN 102b的权限。在验证出UE 104具有验证所请求的CAG小区/NPN102b的权限时,CAG服务器110在Ncag_XXX响应消息中插入接受消息。在步骤805,CAG服务器110将包括接受消息的Ncag-XXX响应消息发送到UDM 206。在步骤806,UDM 206可以进一步继续进行请求过程。
在验证出UE 104不具有验证所请求的CAG小区/NPN 102b的权限时,CAG服务器在Ncag_XXX响应消息中插入拒绝消息。在步骤805,CAG服务器110将包括指示不允许CAG小区接入的拒绝消息的Ncag-XXX响应消息发送到UDM 206。在步骤806,UDM 206可以以适当的原因值拒绝UE 104的注册请求。
图9是描绘根据如本文所公开的实施例的在从AMF/SEAF 202接收到UE 104的SUCI时在CAG服务器110处验证UE 104接入CAG小区的权限的顺序图。在步骤901,UE 104通过NG-RAN 106a向AMF/SEAF 202发送要接入CAG小区/NPN 102b的注册请求。注册请求包括UE 104的SUCI。在一个实施例中,UE 104也可以通过NG-RAN 106a在注册请求中将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF 202。在一个实施例中,NG-RAN 106a可以将所请求的CAG小区/NPN 102b的CAG ID连同注册请求一起发送到AMF/SEAF 202。AMF/SEAF 202将已接收到的UE 104的SUCI和所请求的CAG小区/NPN 102b的CAG ID发送到CAG服务器110。
在步骤902,CAG服务器110将已接收到的SUCI插入在Nudm_XXX请求消息中并且将该Nudm_XXX请求消息发送到UDM 206。在步骤903,UDM 206将SUCI揭示为SUPI。在步骤904,UDM 206通过Nudm_XXX响应消息将所揭示的SUPI发送到CAG服务器110。
在步骤905,CAG服务器110基于从UDM 206接收到的UE 104的SUPI获得UE 104的CAG小区的允许列表。CAG服务器110基于CAG小区的允许列表和所请求的CAG小区的CAG ID来验证UE 104接入CAG小区/NPN 102b的权限。在步骤906,CAG服务器110将验证的结果(接受和/或拒绝)发送到AMF/SEAF 202。AMF/SEAF 202在验证的结果被接受的情况下进一步继续进行UE 104的注册请求,或者AMF/SEAF 202在验证的结果被拒绝的情况下拒绝UE 104的注册请求。
图10是描绘根据如本文所公开的实施例的在从AUSF 204接收到UE 104的SUCI时在CAG服务器110处验证UE 104接入CAG小区的权限的顺序图。在步骤1001,UE 104通过NG-RAN 106a向AMF/SEAF 202发送对于CAG小区/NPN 102b请求接入的服务请求。在一个实施例中,UE 104也可以通过NG-RAN 106a在注册请求中将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF 202。在一个实施例中,NG-RAN 106a可以将所请求的CAG小区/NPN 102b的CAG ID连同注册请求一起发送到AMF/SEAF 202。
在步骤1002,AMF/SEAF 202将UE 104的SUPI、所请求的CAG小区的CAG ID和其他参数(例如SN名称)插入在Nausf_XXX请求消息中并且将Nausf_XXX请求消息发送到AUSF 204。
在步骤1003,AUSF 204根据已接收到的Nausf_XXX请求消息推导UE 104的SUPI、所请求的CAG小区的CAG ID和其他参数(例如SN名称)。AUSF 204将UE 104的SUPI、所请求的CAG小区的CAG ID和其他参数(例如SN名称)插入在NCag_XXX请求消息中并且将该NCag_XXX请求消息发送到CAG服务器110。
在步骤1004,CAG服务器110在从AUSF 204接收到NCag_XXX请求消息时验证UE 104接入所请求的CAG小区/NPN 102b的权限。在一个实施例中,CAG服务器110验证UE 104接入所请求的CAG小区/NPN的权限。CAG服务器110基于已接收到的SUPI检索CAG小区的允许列表。CAG服务器110根据基于UE 104的SUPI检索到的CAG小区的允许列表和所请求的CAG小区的CAG ID来验证UE 104是否具有接入所请求的CAG小区/NPN 102b的权限。在验证出UE 104具有所请求的CAG小区的权限时,CAG服务器110在NCag_XXX响应消息中插入接受消息、UE104的CAG小区的允许列表等。在步骤1005,CAG服务器110向AUSF 204发送指示成功的验证的NCag_XXX响应消息。在步骤1006,AUSF 204可以在从CAG服务器110接收到接受消息时进一步继续进行UE 104的注册请求。
在验证出UE 104不具有接入CAG小区/NPN 102b的权限时,CAG服务器110在NCag_XXX响应消息中插入拒绝消息。在步骤1005,CAG服务器110向AUSF 204发送包括指示对于UE104不允许CAG小区的拒绝消息的NCag_XXX响应消息。
在步骤1006,AUSF 204在从CAG服务器110接收到拒绝消息时拒绝UE 104的服务请求。在步骤1007,AUSF 204在从CAG服务器110接收到拒绝消息时向AMF/SEAF 202发送包括CAG小区拒绝的Nausf_XXX响应消息。
在步骤1008,AMF/SEAF 202通过在从AUSF 204接收到拒绝消息时向UE 104发送拒绝消息和适当的原因值来拒绝UE 104的注册请求。
图11是描绘根据如本文所公开的实施例的在AMF/SEAF 202处验证UE接入CAG小区的权限的顺序图。在步骤1101,UE 104通过NG-RAN 106a向AMF/SEAF 202发送对于CAG小区/NPN 102b请求接入的注册请求。注册请求包括UE 104的SUCI。在一个实施例中,UE 104也可以通过NG-RAN 106a在注册请求中将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF202。在一个实施例中,NG-RAN 106a可以将所请求的CAG小区/NPN 102b的CAG ID连同注册请求一起发送到AMF/SEAF 202。
在步骤1102,AMF/SEAF 202将已接收到的UE 104的SUCI插入在Nudm_XXX请求消息中并且将该Nudm_XXX请求消息发送到UDM 206。
在步骤1103,UDM 206将已接收到的UE 104的SUCI揭示为SUPI并且基于SUPI检索UE 104的CAG小区的允许列表。如果所揭示的SUPI是有效的,则UDM 206存储可以在初级认证过程期间使用的SUCI至SUPI的映射。在步骤1104,UDM 206通过Nudm_XXX响应消息将UE104的SUPI和CAG小区的允许列表发送到AMF/SEAF 202。
在步骤1105,AMF/SEAF 202基于已接收到的CAG小区的允许列表和所请求的CAG小区/NPN 102b的CAG ID来验证UE 104接入所请求的CAG小区/NPN 102b的权限。
在步骤1106,AMF/SEAF 202在验证出UE具有接入CAG小区的权限时进一步继续进行UE 104的注册请求。
在步骤1107,AMF/SEAF 202通过在验证出UE 104不具有接入CAG小区的权限时向UE 104发送具有适当的原因值的拒绝消息来拒绝UE 104的注册请求。
图12是描绘根据如本文所公开的实施例的通过通过由UDM 206提供的服务接口与UDM 206进行通信在AMF/SEAF 202处UE接入CAG小区的权限的顺序图。在步骤1201,UE 104通过NG-RAN 106a向AMF/SEAF 202发送对于CAG小区/NPN 102b请求接入的注册请求。该注册请求包括UE 104的SUCI。在一个实施例中,UE 104也可以通过NG-RAN 106a在注册请求中将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF 202。在一个实施例中,NG-RAN106a可以将所请求的CAG小区/NPN 102b的CAG ID连同注册请求一起发送到AMF/SEAF 202。
在步骤1202,AMF/SEAF 202将已接收到的UE 104的SUCI插入在Nudm_SDM_Get_Request消息中并且将该Nudm_SDM_Get_Request消息发送到UDM 206。
在步骤1203,UDM 206将已接收到的UE 104的SUCI揭示为SUPI并且基于SUPI检索UE 104的CAG小区的允许列表。如果所揭示的SUPI是有效的,则UDM 206存储可以在初级认证过程期间使用的SUCI至SUPI的映射。在步骤1204,UDM通过Nudm_SDM_Get_Response消息将UE 104的SUPI和CAG小区的允许列表发送到AMF/SEAF 202。
在步骤1205,AMF/SEAF 202基于已接收到的CAG小区的允许列表和所请求的CAG小区/NPN 102b的CAG ID来验证UE 104接入所请求的CAG小区/NPN 102b的权限。
在步骤1206,AMF/SEAF 202在验证UE具有接入CAG小区的权限时进一步继续进行UE 104的注册请求。
在步骤1207,AMF/SEAF 202通过在验证出UE 104不具有接入CAG小区的权限时或者在AMF/SEAF 202没有从UDM 206接收到SUPI的情况下向UE 104发送具有适当的原因值的拒绝消息来拒绝UE 104的注册请求。
图13是描绘根据如本文所公开的实施例的通过直接与AMF/SEAF 202进行通信在CAG服务器处验证UE接入CAG小区的权限的顺序图。在步骤1301,UE 104通过NG-RAN 106a向AMF/SEAF 202发送对于CAG小区/NPN 102b请求接入的服务请求。在一个实施例中,UE 104也可以通过NG-RAN 106a在请求消息中将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF 202。在一个实施例中,NG-RAN 106a可以将所请求的CAG小区/NPN 102b的CAG ID连同注册请求一起发送到AMF/SEAF 202。
在步骤1302,AMF/SEAF 202揭示UE 104的SUPI。AMF/SEAF 202将所揭示的UE 104的SUPI、所请求的CAG小区/NPN 102b的CAG ID插入在Nudm_XXX请求消息中并且将该Nudm_XXX请求消息发送到CAG服务器110。
在步骤1303,CAG服务器110基于已接收到的SUPI检索CAG小区的允许列表。CAG服务器110根据基于UE 104的SUPI检索到的CAG小区的允许列表和所请求的CAG小区的CAG ID来验证UE 104是否具有接入所请求的CAG小区/NPN 102b的权限。在验证出UE 104具有所请求的CAG小区的权限时,CAG服务器110在NCag_XXX响应消息中插入接受消息和UE 104的CAG小区的允许列表。在步骤1304,CAG服务器110向AMF/SEAF 202发送指示成功的验证的NCag_XXX响应消息。在步骤1305,AMF/SEAF 202可以在从CAG服务器接收到接受消息时进一步继续进行UE 104的注册请求。
在验证出UE 104不具有接入CAG小区/NPN 102b的权限时,CAG服务器110在NCag_XXX响应消息中插入拒绝消息。在步骤1304,CAG服务器110向AMF/SEAF发送包括指示对于UE104不允许CAG小区的拒绝消息的NCag_XXX响应消息。
在步骤1305,AMF/SEAF 202在从CAG服务器110接收到拒绝消息时拒绝UE 104的服务请求。在步骤1306,AMF/SEAF 202将拒绝消息和适当的原因值发送到UE 104。
图14是描绘根据如本文所公开的实施例的在从AMF/SEAF接收到UE 104的SUPI时在UDM 206处验证UE接入CAG小区的权限的顺序图。在步骤1401,UE 104通过NG-RAN 106a向AMF/SEAF 202发送对于CAG小区/NPN 102b请求接入的服务请求。在一个实施例中,UE 104也可以通过NG-RAN 106a在服务请求中将所请求的CAG小区/NPN 102b的CAG ID发送到AMF/SEAF 202。在一个实施例中,NG-RAN 106a可以将所请求的CAG小区/NPN 102b的CAG ID连同注册请求一起发送到AMF/SEAF 202。
在步骤1402,AMF/SEAF 202揭示UE 104的SUPI。AMF/SEAF 202将所揭示的UE 104的SUPI、所请求的CAG小区/NPN 102b的CAG ID插入在Nudm_XXX请求消息中并且将该Nudm_XXXRequest消息发送到UDM 206。
在步骤1403,UDM 206基于已接收到的SUPI检索CAG小区的允许列表。UDM 206根据基于UE 104的SUPI检索到的CAG小区的允许列表以及所请求的CAG小区的CAG ID来验证UE104是否具有接入所请求的CAG小区/NPN 102b的权限。在验证出UE 104具有所请求的CAG小区的权限时,UDM 206在Nudm_XXX响应消息中插入接受消息和UE 104的CAG小区的允许列表。在步骤1404,UDM 206将指示成功的验证的Nudm_XXX响应消息发送到AMF/SEAF 202。在步骤1405,AMF/SEAF 202可以在从UDM 206接收到接受消息时进一步继续进行UE 104的注册请求。
在验证出UE 104不具有接入CAG小区/NPN 102b的权限时,UDM 206在Nudm_XXX响应消息中插入拒绝消息。在步骤1404,UDM 206向AMF/SEAF 202发送包括指示对于UE 104不允许CAG小区的拒绝消息的Nudm_XXX响应消息。在步骤1405,AMF/SEAF 202在从UDM 206接收到拒绝消息时拒绝UE 104的注册请求。在步骤1406,AMF/SEAF 202将拒绝消息和适当的原因值发送到UE 104。
图15是描绘根据如本文所公开的实施例的用于控制至少一个UE 104接入无线网络100中的至少一个NPN 102b的权限的方法1500的流程图。在步骤1502,该方法包括由至少一个UE 104请求PLMN 102a以便通过至少一个CAG小区接入至少一个NPN 102b。
在步骤1504,该方法包括由PLMN 102a的CN 108a验证至少一个UE 104通过至少一个CAG小区接入所请求的至少一个NPN(102)的权限。
在步骤1506,该方法包括由CN 108a执行初级认证过程以在至少一个UE 104通过至少一个CAG小区接入至少一个NPN 102的权限被验证的情况下,允许至少一个UE 104通过至少一个小区接入至少一个NPN 102b。可以按所呈现的次序、按不同的次序或同时地执行方法1500中的各种动作。此外,在一些实施例中,可以省略图15中列举的一些动作。
根据各种实施例,一种用于控制至少一个用户设备(UE)(104)接入网络(100)中的至少一个非公用网络(NPN)(102b)的权限的方法,该方法包括由至少一个UE(104)请求公用陆地移动网络(PLMN)(102a)以便通过至少一个封闭接入组(CAG)小区接入至少一个NPN(102b);由PLMN(102b)的核心网络(CN)(108a)验证至少一个UE(104)通过至少一个CAG小区接入所请求的至少一个NPN(102)的权限;以及由CN(108a)执行初级认证过程以在至少一个UE(104)通过至少一个CAG小区接入所请求的至少一个NPN(102)的权限被验证的情况下,允许至少一个UE(104)通过至少一个CAG小区接入至少一个NPN(102b)。
在一些实施例中,使用至少一个CAG小区来结合PLMN(102a)部署至少一个NPN(102b)。
在一些实施例中,至少一个NPN(102b)包括非独立NPN(102b)和独立NPN(102b)中的至少一个。
在一些实施例中,CN(108a)的统一数据管理(UDM)(206)、接入和移动性管理功能(AMF)(202)、认证服务器功能(AUSF)204中的至少一个验证至少一个UE(104)通过至少一个CAG小区接入所请求的至少一个NPN(102)的权限。
在一些实施例中,耦合到CN(108a)的CAG服务器(110)验证至少一个UE(104)接入所请求的至少一个NPN(102)的权限。
在一些实施例中,由至少一个UE(102)请求对至少一个NPN(102a)的接入包括:向PLMN(102b)的无线电接入网络(RAN)(106a)发送包括至少一个UE(102)的订阅隐藏标识符(SUCI)的请求。
在一些实施例中,该方法包括:由RAN(106a)添加由至少一个UE(104)请求的至少一个NPN(102b)的至少一个CAG标识符(CAG ID);以及由RAN(106b)将已接收到的UE(104)的SUCI和所请求的至少一个NPN的至少一个CAG ID发送到CN(108a)。
在一些实施例中,由至少一个UE(102)请求对至少一个NPN(102a)的接入包括:将包括至少一个UE(102)的SUCI和所请求的至少一个NPN的CAG ID的请求发送到PLMN(102b)的RAN(106a)。
在一些实施例中,只有当已接收到的请求消息包括至少一个CAG ID时,CN(108a)才验证至少一个UE(104)接入至少一个NPN(102b)的权限。
在一些实施例中,由CN(108a)验证至少一个UE(104)的权限包括:从RAN(106a)接收至少一个UE(104)的SUCI和所请求的至少一个NPN(102a)的至少一个CAG ID;基于已接收到的至少一个UE(104)的SUCI推导至少一个UE(104)的CAG小区的允许列表;以及使用所推导的CAG小区的允许列表和已接收到的所请求的至少一个NPN(102b)的至少一个CAG ID来验证至少一个UE(104)接入所请求的至少一个NPN(102b)的权限。
在一些实施例中,推导至少一个UE(104)的CAG小区的允许列表包括:将已接收到的至少一个UE(104)的SUCI揭示为订阅永久标识符(SUPI);按CAG小区的允许列表和多个UE的SUPI的映射而映射所揭示的至少一个UE(104)的SUPI;以及如果相关SUPI与所揭示的至少一个UE(104)的SUPI映射,则推导至少一个UE(104)的CAG小区的允许列表。
在一些实施例中,使用所推导的CAG小区的允许列表和已接收到的所请求的至少一个NPN(102b)的CAG ID来验证至少一个UE(104)的权限包括:确定已接收到的所请求的至少一个NPN(102b)的至少一个CAG ID是否存在于所推导的CAG小区的允许列表中;在已接收到的所请求的至少一个NPN(102b)的至少一个CAG ID存在于所推导的CAG小区的允许列表中的情况下,验证出至少一个UE(104)具有接入所请求的至少一个NPN(102b)的权限;以及在已接收到的所请求的至少一个NPN(102b)的至少一个CAG ID不存在于所推导的CAG小区的允许列表中的情况下,验证出至少一个UE(104)不具有接入所请求的至少一个NPN(102b)的权限。
在一些实施例中,该方法包括在验证出至少一个UE(104)不具有接入所请求的至少一个NPN(102b)的权限时拒绝至少一个UE(104)的请求;以及与原因值一起向至少一个UE(104)发送拒绝消息,其中原因值指示用于拒绝至少一个UE(104)的请求的错误的至少一个原因。
在一些实施例中,执行初级认证过程包括:在验证出至少一个UE(104)具有用于接入所请求的至少一个NPN(102b)的权限时基于所揭示的至少一个UE(104)的SUPI生成认证向量;在确定至少一个UE(104)是否具有通过PLMN(102a)接入所请求的至少一个NPN(102b)的NPN权限时基于所生成的认证向量对至少一个UE(104)进行认证;以及在至少一个UE(104)具有通过PLMN(102a)接入所请求的至少一个NPN(102b)的NPN权限的情况下使得至少一个UE(104)能够接入所请求的至少一个NPN(102b)。
根据各种实施例,一种网络(100)包括至少一个用户设备(UE)(104);至少一个非公用网络(NPN)(102a);以及公用陆地移动网络(PLMN)(102a)。至少一个NPN(102b)被结合PLMN(102a)部署,其中PLMN(102a)包括由无线电接入网络(106a)和核心网络(CN)(108a)组成的至少一个蜂窝网络(102a)。至少一个UE(104)被配置为:请求PLMN(102a)以便通过至少一个封闭接入组(CAG)小区接入至少一个NPN(102a)。CN(108a)被配置为验证至少一个UE(104)经由至少一个CAG小区接入所请求的至少一个NPN(102)的权限;并且执行初级认证过程以在至少一个UE(104)通过至少一个CAG小区接入所请求的至少一个NPN(102b)的权限被验证的情况下,允许至少一个UE(104)通过至少一个CAG小区接入至少一个NPN(102)。
在一些实施例中,使用至少一个CAG小区来结合PLMN(102a)部署至少一个NPN(102b)。
在一些实施例中,至少一个NPN(102b)包括非独立NPN(102b)和独立NPN(102b)中的至少一个。
在一些实施例中,CN(108a)的统一数据管理(UDM)(206)、接入和移动性管理功能(AMF)(202)、认证服务器功能(AUSF)204中的至少一个被进一步配置为验证至少一个UE(104)通过至少一个CAG小区接入所请求的至少一个NPN(102)的权限。
在一些实施例中,PLMN(102a)还包括与CN(108a)耦合的CAG服务器(110),该CAG服务器被配置为验证至少一个UE(104)接入所请求的至少一个NPN(102)的权限。
在一些实施例中,至少一个UE(102)被进一步配置为向请求接入到至少一个NPN(102b)的PLMN(102b)的RAN(106a)发送包括至少一个UE(102)的订阅隐藏标识符(SUCI)的请求。
在一些实施例中,至少一个RAN(106a)被进一步配置为:添加由至少一个UE(104)请求的至少一个NPN(102b)的至少一个CAG标识符(CAG ID);以及将已接收到的UE(104)的SUCI和所请求的至少一个NPN的CAG ID发送到CN(108a)。
在一些实施例中,至少一个UE(102)被进一步配置为将包括至少一个UE(102)的SUCI和所请求的至少一个NPN的CAG ID的请求发送到PLMN(102b)的RAN(106a)。
在一些实施例中,只有当已接收到的请求消息包括至少一个CAG ID时,CN(108a)才被进一步配置为验证至少一个UE(104)接入至少一个NPN(102b)的权限。
在一些实施例中,CN(108a)被进一步配置为:从RAN(106a)接收至少一个UE(104)的SUCI和所请求的至少一个NPN(102a)的至少一个CAG ID;基于已接收到的至少一个UE(104)的SUCI推导至少一个UE(104)的CAG小区的允许列表;并且使用所推导的CAG小区的允许列表和已接收到的所请求的至少一个NPN(102b)的至少一个CAG ID来验证至少一个UE(104)接入所请求的至少一个NPN(102b)的权限。
在一些实施例中,CN(108a)被进一步配置为:将已接收到的至少一个UE(104)的SUCI揭示为订阅永久标识符(SUPI);按CAG小区的允许列表和多个UE的SUPI的映射而映射所揭示的至少一个UE(104)的SUPI;并且如果相关SUPI与所揭示的至少一个UE(104)的SUPI映射则推导至少一个UE(104)的CAG小区的允许列表。
在一些实施例中,CN(108a)被进一步配置为:确定已接收到的所请求的至少一个NPN(102b)的至少一个CAG ID是否存在于所推导的CAG小区的允许列表中;在已接收到的所请求的至少一个NPN(102b)的至少一个CAG ID存在于所推导的CAG小区的允许列表的情况下,验证出至少一个UE(104)具有用于接入所请求的至少一个NPN(102b)的权限;以及在已接收到的所请求的至少一个NPN(102b)的CAG ID不存在于所推导的CAG小区的允许列表中的情况下,验证出至少一个UE(104)不具有用于接入所请求的至少一个NPN(102b)的CAG小区的权限。
在一些实施例中,CN(108a)被进一步配置为:在验证出至少一个UE(104)不具有用于接入所请求的至少一个NPN(102b)的至少一个CAG ID的权限时,拒绝至少一个UE(104)的请求;以及与原因值一起向至少一个UE(104)发送拒绝消息,其中原因值指示用于拒绝至少一个UE(104)的请求的错误的至少一个原因。
在一些实施例中,CN(108a)被进一步配置为:在验证出至少一个UE(104)具有用于接入所请求的至少一个NPN(102b)的权限时基于已接收到的至少一个UE(104)的SUPI生成认证向量;在确定至少一个UE(104)是否具有通过PLMN(102a)接入所请求的至少一个NPN(102b)时基于所生成的认证向量对至少一个UE(104)进行认证;以及在至少一个UE(104)具有通过PLMN(102a)接入所请求的至少一个NPN(102b)的NPN权限的情况下使得至少一个UE(104)能够接入所请求的至少一个NPN(102b)。
根据各种实施例,一种网络(100)包括至少一个用户设备(UE)(104);至少一个非公用网络(NPN)(102a);以及公用陆地移动网络(PLMN)(102a),其中至少一个NPN(102b)通过至少一个封闭接入组(CAG)小区被结合PLMN(102a)部署,其中PLMN(102a)包括由无线电接入网络(106a)和核心网络(CN)(108a)组成的至少一个蜂窝网络(102a)。至少一个UE(104)被配置为请求PLMN(102a)以用于接入到至少一个NPN(102a)。CN(108a)包括统一数据管理(UDM)(206),该UDM被配置为:验证至少一个UE(104)接入所请求的至少一个NPN(102)的权限;以及在至少一个UE(104)接入所请求的至少一个NPN(102)的权限被验证的情况下发起初级认证过程。
在一些实施例中,至少一个UE(104)被进一步配置为:向请求接入到至少一个NPN(102b)的PLMN的RAN(106a)发送包括至少一个UE(104)的订阅隐藏标识符(SUCI)的请求(102b);其中RAN(106a)被配置为:添加由至少一个UE(104)请求的至少一个NPN(102b)的CAG ID;以及将已接收到的UE(104)的SUCI和所请求的至少一个NPN(102a)的CAG ID发送到CN(108a)。
在一些实施例中,至少一个UE(104)被进一步配置为将包括至少一个UE(102)的SUCI和所请求的至少一个NPN的CAG ID的请求发送到PLMN(102b)的RAN(106a)。
在一些实施例中,CN(108a)还包括:接入和移动性管理功能(AMF)(202)和认证服务器功能(AUSF)204;其中AMF(202)被配置为:从RAN(106a)接收至少一个UE(104)的SUCI和所请求的至少一个NPN(102a)的CAG ID;将已接收到的至少一个UE(104)的SUCI和所请求的至少一个NPN(102a)的CAG ID插入在认证请求消息(Nusf_UEAuthentication_Authenticate请求消息)中;并且将认证请求消息发送到AUSF(204)。AUSF(204)被进一步配置为根据已接收到的认证请求消息推导至少一个UE(104)的SUCI和所请求的至少一个NPN(102a)的CAG ID;将所推导的至少一个UE(104)的SUCI和所请求的至少一个NPN(102a)的CAG ID插入在认证取得请求消息(Nudm_UEAuthentication_Get_Request消息)中;以及将认证取得请求消息发送到UDM(206)。
在一些实施例中,UDM(206)被进一步配置为:从AUSF(204)接收至少一个UE(104)的SUCI和所请求的至少一个NPN(102a)的CAG ID;将已接收到的至少一个UE(104)的SUCI揭示为订阅永久标识符(SUPI);按CAG小区的允许列表和多个UE的SUPI的映射而映射所揭示的至少一个UE(104)的SUPI;如果相关SUPI与所揭示的至少一个UE(104)的SUPI映射则检索至少一个UE(104)的CAG小区的允许列表;如果已接收到的所请求的至少一个NPN(102b)的CAG ID存在于已检索到的CAG小区的允许列表则验证出至少一个UE(104)具有接入所请求的至少一个NPN(102b)的权限;以及如果已接收到的所请求的至少一个NPN(102b)的CAG ID不存在于已检索到的CAG小区的允许列表中则验证出至少一个UE(104)不具有接入所请求的至少一个NPN(102b)的权限。
在一些实施例中,UDM(206)被进一步配置为:在验证出至少一个UE(204)不具有对所请求的至少一个NPN(102b)的接入时在认证取得请求消息(Nudm_UEAuthentication_Get_Response消息)中插入拒绝消息和至少一个UE(204)的SUPI;将认证取得响应消息发送到AUSF(204)。AUSF(204)被进一步配置为:根据已接收到的认证取得响应消息推导拒绝消息并且将所推导的拒绝消息插入在认证响应消息(Nausf_UEAuthentication_Authenticate响应消息)中;将认证响应消息发送到AMF(202)。AMF(202)被进一步配置为:在从AUSF(204)接收到拒绝消息时拒绝至少一个UE(104)的请求;以及通过RAN(106a)与原因值一起向至少一个UE(104)发送拒绝消息,其中原因值指示用于拒绝至少一个UE(104)的请求的错误的至少一个原因。
在一些实施例中,UDM(206)被进一步配置为:在验证出至少一个UE(104)具有接入所请求的至少一个NPN(102b)的权限时基于已接收到的至少一个UE(104)的SUCI生成认证向量;通过AUSF(204)将认证向量发送到AMF(202);AMF(202)被进一步配置为:基于已接收到的认证向量对至少一个UE(104)进行认证以确定至少一个UE(104)是否具有通过PLMN(102a)接入所请求的至少一个NPN(102b)的NPN权限;以及如果至少一个UE(104)具有通过PLMN(102a)接入所请求的至少一个NPN(102b)的NPN权限,则使得至少一个UE(104)能够接入所请求的至少一个NPN(102b)。
根据各种实施例,一种公用陆地移动网络(PLMN)(102a)的核心网络CN(108a),其中PLMN(102a)与至少一个非公用网络(NPN)(102a)结合并且连接到至少一个用户设备(UE)(104),其中CN(108a)被配置为:通过无线电接入网络(RAN)(106a)从至少一个UE(104)接收对接入到至少一个NPN(102a)的请求;验证至少一个UE(104)接入所请求的至少一个NPN(102)的权限;以及如果至少一个UE(104)接入所请求的至少一个NPN(102)的权限被验证,则执行初级认证过程。
在一些实施例中,至少一个UE(104)的请求包括至少一个UE(102)的订阅隐藏标识符(SUCI)和由至少一个UE(104)请求的至少一个NPN(102)的封闭接入组(CAG ID)。
在一些实施例中,CN(108a)被进一步配置为:将已接收到的至少一个UE(104)的SUCI揭示为订阅永久标识符(SUPI);按CAG小区的允许列表和多个UE的SUPI的映射而映射所揭示的至少一个UE(104)的SUPI;如果相关SUPI与所揭示的至少一个UE(104)的SUPI映射则检索至少一个UE(104)的CAG小区的允许列表;如果已接收到的所请求的至少一个NPN(102b)的CAG ID存在于已检索到的CAG小区的允许列表中则验证出至少一个UE(104)具有接入所请求的至少一个NPN(102b)的权限;以及如果已接收到的所请求的至少一个NPN(102b)的CAG ID不存在于已检索到的CAG小区的允许列表中则验证出至少一个UE(104)不具有接入所请求的至少一个NPN(102b)的权限。
在一些实施例中,CN(108a)被进一步配置为:在验证出至少一个UE(104)不具有接入所请求的至少一个NPN(102b)的权限时拒绝至少一个UE(104)的请求;以及通过RAN(106a)与原因值一起向至少一个UE(104)发送拒绝消息,其中原因值指示用于拒绝至少一个UE(104)的请求的错误的至少一个原因。
本文公开的实施例能够通过在至少一个硬件装置上运行并且执行网络管理功能以控制元件的至少一个软件程序来实现。图1A-14中示出的元件可以是硬件装置中的至少一个或硬件装置和软件模块的组合。
本文公开的实施例描述了用于减轻无线网络中的拒绝服务(DoS)攻击的方法和系统。因此,应理解,保护范围被扩展到这样的程序,并且除了在其中具有消息的计算机可读装置之外,这种计算机可读存储装置还包含用于当程序在服务器或移动装置或任何合适的可编程装置上运行时实现方法的一个或多个步骤的程序代码装置。方法在一个实施例中通过或与用例如甚高速集成电路硬件描述语言(VHDL)、另一编程语言编写的软件程序一起实现,或者通过在至少一个硬件装置上执行一个或多个VHDL或若干软件模块来实现。硬件装置可以是能够被编程的任何种类的便携式装置。装置也可以包括可能是例如像例如ASIC一样的硬件装置的装置,或硬件和软件装置的组合,例如ASIC和FPGA,或至少一个微处理器和软件模块位于其中的至少一个存储器。本文描述的方法实施例可以部分地用硬件并部分地用软件加以实现。可替代地,可以例如使用多个CPU来在不同的硬件装置上实现本公开。
特定实施例的前面的描述将如此充分地揭示本文的实施例的一般性质,使得其他人能够通过应用当前知识,在不脱离通用构思的情况下容易地修改和/或针对各种应用适配此类特定实施例,并且因此,此类适配和修改应当并旨在在所公开的实施例的等价含义和范围内被理解。应当理解,本文采用的措辞或术语是为了描述而非限制的目的。因此,虽然已经按实施例描述了本文的实施例,但是本领域技术人员将认识到,可以在如本文所描述的实施例的范围内按修改实践本文的实施例。
尽管已经用各种实施例描述了本公开,但是可以向本领域技术人员建议各种变化和修改。本公开旨在包含如落在所附权利要求的范围内的此类变化和修改。
Claims (15)
1.一种由统一数据管理(UDM)实体执行的方法,所述方法包括:
从认证服务器功能(AUSF)实体接收请求消息,所述请求消息包括:
用户设备(UE)的订阅隐藏标识符(SUCI),和
封闭接入组(CAG)小区的CAG标识符;
去隐藏所述UE的SUCI;以及
验证所述UE是否被允许接入所述CAG小区。
2.根据权利要求1所述的方法,所述方法还包括:
如果所述UE未被允许接入所述CAG小区,则向所述AUSF实体发送拒绝消息,所述拒绝消息包括用于指示所述CAG小区的拒绝的信息;以及
如果所述UE被允许接入所述CAG小区,则执行包括认证向量的生成的认证过程。
3.根据权利要求1所述的方法,所述方法还包括:
基于对SUCI的去隐藏来标识所述UE的订阅永久标识符(SUPI),
其中所述UE的SUPI被用来验证所述UE是否被允许接入所述CAG小区。
4.根据权利要求1所述的方法,
其中所述UDM实体与订阅标识符去隐藏功能(SIDF)或认证凭证储存库和处理功能中的至少一种相关联,并且
其中所述请求消息还包括服务网络(SN)名称。
5.一种由认证服务器功能(AUSF)实体执行的方法,所述方法包括:
从认证接入和移动性管理功能(AMF)实体接收第一请求消息,所述第一请求消息包括:
用户设备(UE)的订阅隐藏标识符(SUCI);和
封闭接入组(CAG)小区的CAG标识符,
向统一数据管理(UDM)实体发送第二请求消息,所述第二请求消息包括:
所述UE的SUCI;和
所述CAG小区的CAG标识符。
6.根据权利要求5所述的方法,所述方法还包括:
从所述UDM实体接收第二响应消息,所述第二响应消息包括用于指示所述CAG小区的拒绝的信息;以及
向所述AMF实体发送第一响应消息,所述第一响应消息包括所述用于指示所述CAG小区的拒绝的信息,
其中所述SUCI用于获得所述UE的订阅永久标识符(SUPI)以用于验证所述UE是否被允许接入所述CAG小区。
7.根据权利要求5所述的方法,
其中所述第一请求消息还包括服务网络(SN)名称,并且
其中所述第二请求消息还包括所述SN名称。
8.一种由认证接入和移动性管理功能(AMF)实体执行的方法,所述方法包括:
经由基站从用户设备(UE)接收注册请求,所述注册请求包括:
封闭接入组(CAG)小区的CAG标识符;
所述UE的订阅隐藏标识符(SUCI);
向统一数据管理(UDM)实体发送请求消息,所述请求消息包括:
所述UE的SUCI,和
所述CAG小区的CAG标识符。
9.根据权利要求8所述的方法,所述方法还包括:
在所述UE未被允许接入所述CAG小区的情况下从所述UDM实体接收响应消息,所述响应消息包括用于指示所述CAG小区的拒绝的信息,
其中所述SUCI被用来获得所述UE的订阅永久标识符(SUPI)以用于验证所述UE是否被允许接入所述CAG小区。
10.一种由用户设备(UE)执行的方法,所述方法包括:
经由基站向认证接入和移动性管理功能(AMF)实体发送注册请求,所述注册请求包括:
封闭接入组(CAG)小区的CAG标识符,
所述UE的订阅隐藏标识符(SUCI)。
11.根据权利要求10所述的方法,所述方法还包括:
在所述UE未被允许接入所述CAG小区的情况下从所述AMF实体接收包括原因值的信息的注册拒绝,并且
其中所述SUCI被用来获得所述UE的订阅永久标识符(SUPI)以用于验证所述UE是否被允许接入所述CAG小区。
12.一种统一数据管理(UDM)实体,所述UDM实体包括:
至少一个收发器;以及
至少一个处理器,所述至少一个处理器可操作地耦合到所述至少一个收发器,所述至少一个处理器被配置为实现权利要求1至4中的一项。
13.一种认证服务器功能(AUSF)实体,所述AUSF实体包括:
至少一个收发器;以及
至少一个处理器,所述至少一个处理器可操作地耦合到所述至少一个收发器,所述至少一个处理器被配置为实现权利要求5至7中的一项。
14.一种接入和移动性管理功能(AMF)实体,所述AMF实体包括:
至少一个收发器;以及
至少一个处理器,所述至少一个处理器可操作地耦合到所述至少一个收发器,所述至少一个处理器被配置为实现权利要求8至9中的一项。
15.一种用户设备(UE),所述UE包括:
至少一个收发器;以及
至少一个处理器,所述至少一个处理器可操作地耦合到所述至少一个收发器,所述至少一个处理器被配置为实现权利要求10至11中的一项。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201941007734 | 2019-02-27 | ||
| IN201941007734 | 2020-02-25 | ||
| PCT/KR2020/002848 WO2020175941A1 (en) | 2019-02-27 | 2020-02-27 | Methods and systems for mitigating denial of service (dos) attack in a wireless network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116235525A true CN116235525A (zh) | 2023-06-06 |
Family
ID=69742814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080017474.0A Pending CN116235525A (zh) | 2019-02-27 | 2020-02-27 | 用于减轻无线网络中的拒绝服务(dos)攻击的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US11363463B2 (zh) |
| EP (2) | EP3703406B1 (zh) |
| KR (1) | KR102593822B1 (zh) |
| CN (1) | CN116235525A (zh) |
| ES (1) | ES2953831T3 (zh) |
| WO (1) | WO2020175941A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113645672A (zh) * | 2016-07-29 | 2021-11-12 | Oppo广东移动通信有限公司 | 建立辅连接的方法和装置 |
| CN109526024A (zh) * | 2017-09-20 | 2019-03-26 | 索尼公司 | 无线通信方法和无线通信设备 |
| CN111726808B (zh) * | 2019-03-21 | 2022-06-10 | 华为技术有限公司 | 通信方法和装置 |
| EP3788826B1 (en) | 2019-03-28 | 2022-06-08 | Ofinno, LLC | Core paging handling |
| EP3949323A1 (en) * | 2019-03-29 | 2022-02-09 | IDAC Holdings, Inc. | Methods and apparatus for secure access control in wireless communications |
| US11503662B2 (en) * | 2019-06-14 | 2022-11-15 | Samsung Electronics Co., Ltd. | Method and system for handling of closed access group related procedure |
| WO2020251302A1 (en) * | 2019-06-14 | 2020-12-17 | Samsung Electronics Co., Ltd. | Method and system for handling of closed access group related procedure |
| US11470474B2 (en) | 2019-09-27 | 2022-10-11 | Qualcomm Incorporated | Method for deriving a network specific identifier (NSI) |
| GB2594247A (en) * | 2020-04-17 | 2021-10-27 | Nec Corp | Communication system |
| US11785456B2 (en) * | 2020-08-18 | 2023-10-10 | Cisco Technology, Inc. | Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP) |
| CN112333705B (zh) * | 2021-01-07 | 2021-04-02 | 北京电信易通信息技术股份有限公司 | 一种用于5g通信网络的身份认证方法及系统 |
| US20240121744A1 (en) * | 2021-01-15 | 2024-04-11 | Samsung Electronics Co., Ltd. | Method and device for supporting communication by using satellite in wireless communication system |
| WO2022170630A1 (en) * | 2021-02-15 | 2022-08-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, network function nodes and computer readable media for event subscription management |
| US11974134B2 (en) * | 2022-01-28 | 2024-04-30 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network |
| CN114786121A (zh) * | 2022-04-07 | 2022-07-22 | 中国联合网络通信集团有限公司 | 一种定位方法、装置、系统及存储介质 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE362295T1 (de) * | 1998-02-27 | 2007-06-15 | Ericsson Telefon Ab L M | Verfahren und vorrichtung zur authentifizierung für gesichterte übertragungen zwischen einem mobilen atm endgerät und einem atm zugriffsknoten in einem drahtlosen atm funkkommunikationsnetzwerk |
| WO2010036167A1 (en) * | 2008-09-23 | 2010-04-01 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangements in a cellular network with femtocells |
| BRPI1002815B1 (pt) * | 2009-10-01 | 2021-06-22 | Nec Corporation | Sistema de comunicação móvel, aparelho de gateway para conexão a uma estação base e uma rede de núcleo, método de comunicação por um sistema de comunicação móvel e método de comunicação por um aparelho de gateway conectando uma estação base a uma rede de núcleo |
| US8897285B2 (en) * | 2010-08-13 | 2014-11-25 | At&T Intellectual Property I, Lp | Characterization of temporary identifiers in a wireless communication network |
| US20120064889A1 (en) * | 2010-09-14 | 2012-03-15 | Kundan Tiwari | Method of Handling Manual Closed Subscriber Group Selection and Related Communication Device |
| EP3266233B1 (en) * | 2015-03-02 | 2020-05-06 | Samsung Electronics Co., Ltd. | Method and apparatus for providing service in wireless communication system |
| US9686675B2 (en) * | 2015-03-30 | 2017-06-20 | Netscout Systems Texas, Llc | Systems, methods and devices for deriving subscriber and device identifiers in a communication network |
| EP3197195B1 (en) * | 2015-08-26 | 2019-01-09 | Huawei Technologies Co., Ltd. | Small cell and small cell user authentication method |
| CN108702724B (zh) * | 2016-11-27 | 2021-06-15 | Lg 电子株式会社 | 无线通信系统中的注销方法及其装置 |
| US10313997B2 (en) * | 2017-02-06 | 2019-06-04 | Industrial Technology Research Institute | User equipment registration method for network slice selection and network controller and network communication system using the same |
| US10820185B2 (en) * | 2017-05-08 | 2020-10-27 | Qualcomm Incorporated | Mobility between areas with heterogeneous network slices |
| US11012929B2 (en) * | 2017-07-13 | 2021-05-18 | Qualcomm Incorporated | Techniques for determining public land mobile network support of different core networks |
| US11032704B2 (en) * | 2017-12-01 | 2021-06-08 | Qualcomm Incorporated | Techniques for subscription-based authentication in wireless communications |
| US10939447B2 (en) * | 2018-01-22 | 2021-03-02 | Qualcomm Incorporated | Policy-based control of reliability request for eV2X |
| US10986602B2 (en) * | 2018-02-09 | 2021-04-20 | Intel Corporation | Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function |
| US11272351B2 (en) * | 2018-04-05 | 2022-03-08 | Qualcomm Incorporated | System and method that facilitate steering of roaming |
-
2020
- 2020-02-27 CN CN202080017474.0A patent/CN116235525A/zh active Pending
- 2020-02-27 US US16/803,828 patent/US11363463B2/en active Active
- 2020-02-27 EP EP20159868.7A patent/EP3703406B1/en active Active
- 2020-02-27 EP EP23187034.6A patent/EP4274163A3/en active Pending
- 2020-02-27 KR KR1020217031014A patent/KR102593822B1/ko active IP Right Grant
- 2020-02-27 WO PCT/KR2020/002848 patent/WO2020175941A1/en active Application Filing
- 2020-02-27 ES ES20159868T patent/ES2953831T3/es active Active
-
2022
- 2022-06-13 US US17/806,654 patent/US11706626B2/en active Active
-
2023
- 2023-07-17 US US18/353,752 patent/US20230362653A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP3703406A1 (en) | 2020-09-02 |
| EP4274163A2 (en) | 2023-11-08 |
| US20220312215A1 (en) | 2022-09-29 |
| ES2953831T3 (es) | 2023-11-16 |
| US11363463B2 (en) | 2022-06-14 |
| WO2020175941A1 (en) | 2020-09-03 |
| US20230362653A1 (en) | 2023-11-09 |
| US20200275279A1 (en) | 2020-08-27 |
| EP4274163A3 (en) | 2023-12-27 |
| EP3703406B1 (en) | 2023-08-02 |
| KR102593822B1 (ko) | 2023-10-25 |
| US11706626B2 (en) | 2023-07-18 |
| KR20210121301A (ko) | 2021-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11706626B2 (en) | Methods and systems for mitigating denial of service (DoS) attack in a wireless network | |
| US11716621B2 (en) | Apparatus and method for providing mobile edge computing services in wireless communication system | |
| US20210211296A1 (en) | Authentication Mechanism for 5G Technologies | |
| US10681545B2 (en) | Mutual authentication between user equipment and an evolved packet core | |
| US10887295B2 (en) | System and method for massive IoT group authentication | |
| US11722891B2 (en) | User authentication in first network using subscriber identity module for second legacy network | |
| US9826399B2 (en) | Facilitating wireless network access by using a ubiquitous SSID | |
| CN112566050A (zh) | 附件无线设备的蜂窝服务账户转移 | |
| KR102193511B1 (ko) | 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기 | |
| US20230087052A1 (en) | Restricting onboard traffic | |
| CN110710178B (zh) | 无线接入网络中的用户认证 | |
| Santos et al. | Identity federation for cellular internet of things | |
| KR20200130141A (ko) | 무선 통신 시스템에서 모바일 엣지 컴퓨팅 서비스를 제공하기 위한 장치 및 방법 | |
| CN115701162A (zh) | 管理对网络切片的互斥访问 | |
| Santos et al. | Cross-federation identities for IoT devices in cellular networks | |
| CN115706997A (zh) | 授权验证的方法及装置 | |
| US20230017260A1 (en) | Access control method and communications device | |
| WO2023142097A1 (en) | User equipment-to-network relay security for proximity based services | |
| US20230209343A1 (en) | Network-assisted attachment for hybrid subscribers | |
| US20240137757A1 (en) | Systems and methods for authorization of proximity based services | |
| CN117204000A (zh) | 用于邻近服务的授权的系统与方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |