CN116647394A - 不允许对5gcn的非3gpp接入的处理失败 - Google Patents
不允许对5gcn的非3gpp接入的处理失败 Download PDFInfo
- Publication number
- CN116647394A CN116647394A CN202310661806.4A CN202310661806A CN116647394A CN 116647394 A CN116647394 A CN 116647394A CN 202310661806 A CN202310661806 A CN 202310661806A CN 116647394 A CN116647394 A CN 116647394A
- Authority
- CN
- China
- Prior art keywords
- message
- 5gcn
- response
- request
- access network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 title claims abstract description 155
- 238000000034 method Methods 0.000 title claims description 115
- 230000008569 process Effects 0.000 title description 16
- 230000004044 response Effects 0.000 claims abstract description 164
- 238000012545 processing Methods 0.000 claims abstract description 55
- 238000012217 deletion Methods 0.000 claims description 7
- 230000037430 deletion Effects 0.000 claims description 7
- 230000006870 function Effects 0.000 abstract description 68
- 238000010586 diagram Methods 0.000 description 38
- 230000011664 signaling Effects 0.000 description 31
- 238000007726 management method Methods 0.000 description 19
- 230000015654 memory Effects 0.000 description 11
- 230000008901 benefit Effects 0.000 description 7
- 230000000977 initiatory effect Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 238000011022 operating instruction Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- HRULVFRXEOZUMJ-UHFFFAOYSA-K potassium;disodium;2-(4-chloro-2-methylphenoxy)propanoate;methyl-dioxido-oxo-$l^{5}-arsane Chemical compound [Na+].[Na+].[K+].C[As]([O-])([O-])=O.[O-]C(=O)C(C)OC1=CC=C(Cl)C=C1C HRULVFRXEOZUMJ-UHFFFAOYSA-K 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/18—Management of setup rejection or failure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
Abstract
提供了不允许对5GCN的非3GPP接入的处理失败。例如5G核心网络之类的核心网络系统中的互通功能试图在不受信任的接入网络中与用户设备(UE)建立安全关联。当5G核心网络不接受安全关联时,UE从核心网络接收响应,所述响应包括指示不允许对5G核心网络的非3GPP接入的消息类型。在接收到响应消息后,UE通过发送以可扩展认证协议(EAP)响应格式化的5G停止消息来结束会话。EAP响应/5G停止消息包括具有5G停止值的消息ID字段。
Description
本申请是申请号为201980044322.7、申请日为2019年6月28日、优先权日为2018年6月30日、发明名称为“不允许对5GCN的非3GPP接入的处理失败”的中国专利申请的分案申请。
相关申请的交叉引用
根据35U.S.C.§119,本申请要求于2018年6月30日提交的题为“用于在安全关联建立期间处理认证失败的方法和设备(Method and Apparatus For HandlingAuthentication Failure During Security Association Establishment)”的第62/692,722号美国临时申请的优先权,所述美国临时申请在此明确以引用的方式并入本文。
技术领域
本申请总体上涉及接入网络,且更具体地,涉及当安全关联建立不被接受时用户设备在接入网络中进行的会话建立。
背景技术
本节中的陈述提供了对现有技术的描述,而不是对现有技术的承认。例如智能手机、智能平板计算机、膝上型计算机、计算机、智能手表等用户设备(UE)通常既具有无线局域网(WLAN)连接性(例如符合IEEE 802.11x的WLAN连接性),又具有无线电接入网络连接性(例如完全或部分地符合第三代合作伙伴计划(3GPP)标准集的技术,包括EVDO、UMTS、HSPA和LTE)。因此,UE可使用由3GPP接入网络和非3GPP接入网络组成的两种类型的接入技术连接到3GPP演进分组核心(EPC)网络。
通常,3GPP接入网络完全或部分地符合3GPP标准集规定的技术,包括例如GPRS、UMTS、EDGE、HSPA、LTE和高级LTE。非3GPP接入网络完全或部分地符合3GPP标准集未指定的技术。它们包括例如cdma2000、WLAN(例如符合IEEE 802.11x的WLAN)或固定网络之类的技术。
3GPP标准集指定了具有不同安全机制的“非3GPP”接入技术:不受信任的接入网络和受信任的接入网络。不受信任的接入网络包括可能造成更高安全风险的接入网络(例如,公共WLAN或毫微微小区接入网络)。受信任的接入网络包括网络运营商从安全角度考虑具有信任级别并且可直接与EPC网络对接的的接入网络。
在新的5G标准集中,非3GPP接入网络(N3AN)被视为5G接入网络并被视为5G系统(5GS)的一部分。对于不受信任的非3GPP接入,与NG-RAN节点一样,非3GPP互通功能(N3IWF)提供分别用于控制平面和用户平面的信令接口的终止。因此,具有5G功能的UE可以通过经由N3IWF连接到作为5G接入网络的非3GPP接入网络来接入5G核心网络(5GCN)。N3IWF在UE与5GCN之间中继上行链路和下行链路控制平面信令。另外,N3IWF为非3GPP接入网络上的会话提供了UE与5GCN之间的用户平面连接。
当前,当网络接受某些安全认证建立时,指定UE与N3IWF之间的信令程序。但是,没有可用的方法来处理网络不接受安全关联建立的情况。类似地,对于用户平面连接,需要指定一种方法来处理网络不接受用户平面安全关联建立的情况。
因此,需要提供一种在经由非3GPP接入网络接入5GCN的安全关联建立期间支持处理失败的系统和方法。本文描述的实施方案还提供了其他需求和益处。
发明内容
下文呈现对所公开的主题的概述,以提供对所公开的主题的一些方面的基本理解。此概述并非是所公开的主题的详尽概括。它不意图标识所公开的主题的关键或决定性要素、或划出所公开的主题的范围。它的唯一目的是以简化形式呈现一些概念,以作为下文所讨论的更详细的描述的序言。
在一个方面,一种用于管理通过不受信任的接入网络与核心网络进行网络连接的互通功能节点包括:被配置成通过不受信任的接入网络与用户设备(UE)进行通信的第一网络接口和被配置成与核心网络中的一个或多个节点进行通信的第二网络接口。所述互通功能节点包括处理装置,所述处理装置被配置成:处理来自不受信任的接入网络中的UE的对与核心网络进行连接建立的请求,并向核心网络生成请求;确定核心网络不接受连接建立;向UE生成响应消息,其中所述响应消息包括错误,所述错误指示核心网络不允许通过不受信任的接入网络进行连接建立。
在另一方面,一种用于处理来自互通功能节点的网络连接请求的接入和移动性管理功能(AMF)包括:被配置成与互通功能节点和核心网络中的认证功能进行通信的网络接口。AMF还包括处理装置,所述处理装置被配置成:处理UE通过不受信任的接入网络进行认证和安全连接建立的请求;向认证服务器功能(AUSF)生成对认证和订阅检查的请求;确定对认证和订阅检查的响应指示认证失败;以及通过在认证和安全连接建立的响应消息中包括指示不允许通过不受信任的接入网络接入核心网络的原因值,生成所述响应消息。
在另一方面,用户设备(UE)包括网络接口,所述网络接口被配置成通过不受信任的接入网络与互通功能节点通信。UE包括处理装置,所述处理装置被配置成:生成对与核心网络进行安全会话建立的注册请求;处理来自互通功能节点的响应消息;以及根据响应消息确定核心网络不允许通过不受信任的接入网络进行连接建立。
在以上方面中的一个或多个方面中,互通功能节点中的处理装置被配置成:接收来自UE的对通过不受信任的接入网络进行认证和安全连接建立的请求;生成对认证和订阅检查的请求,并通过第二接口将对认证和订阅检查的请求传输到接入和移动性管理功能(AMF);接收来自AMF的对认证和订阅检查的响应;以及向UE生成互联网密钥交换(IKE)响应消息,所述IKE响应消息具有包括指示核心网络不允许通过不受信任的接入网络进行连接建立的错误的NAS有效负载。
在以上方面中的一个或多个方面中,互通功能节点中的处理装置被配置成:接收来自接入和移动性管理功能的响应,所述响应封装了注册拒绝消息,所述注册拒绝消息包括指示不允许对5GCN的非3GPP接入的5GMM原因值;并生成互联网密钥交换(IKE)响应消息,所述IKE响应消息具有包括指示核心网络不接受连接建立的消息类型的有效负载。
在以上方面中的一个或多个方面中,互通功能节点中的处理装置被配置成生成互联网密钥交换(IKE)响应消息,所述IKE响应消息具有包括指示失败原因的专用通知消息类型的通知有效负载。
在以上方面中的一个或多个方面中,互通功能节点中的处理装置被配置成通过生成具有包括指示不允许不受信任的非3GPP接入5GCN的专用通知消息类型的通知有效负载的IKE响应消息来生成IKE响应消息。
在以上方面中的一个或多个方面中,互通功能节点中的处理装置被配置成:向UE传输响应消息,其中所述响应消息指示核心网络不接受连接建立;接收来自UE的停止消息;并向UE生成失败消息。
在以上方面中的一个或多个方面中,互通功能节点中的处理装置被配置成处理来自UE的停止消息,其中所述停止消息包括具有消息标识符字段的5G停止消息格式,并且其中所述消息标识符字段包括5G停止标识符。
在以上方面中的一个或多个方面中,来自不受信任的接入网络中的UE的对连接建立的请求包括发起与核心网络的IPsec安全关联(SA)的IKE请求消息。
在以上方面中的一个或多个方面中,核心网络是5GCN,并且不受信任的接入网络是非3GPP接入网络。
在以上方面中的一个或多个方面中,AMF中的处理装置被配置成在响应消息中封装包括原因值的注册拒绝消息,其中所述原因值包括指示不允许对5GCN的非3GPP接入的5GMM原因值。
在以上方面中的一个或多个方面中,AMF中的处理装置被配置成在响应消息中生成可扩展认证协议(EAP)失败指示。
在以上方面中的一个或多个方面中,用户设备中的处理装置被配置成:生成停止消息,所述停止消息指示对与5GCN进行安全会话建立的注册请求的结束;并通过非3GPP接入网络将所述停止消息传输到互通功能节点。
在以上方面中的一个或多个方面中,用户设备中的处理装置被配置成生成停止消息作为EAP响应格式的消息,所述消息包括设置为5G停止的消息标识符字段。
在以上方面中的一个或多个方面中,用户设备中的处理装置被配置成处理来自互通功能节点的EAP失败消息,并执行安全关联删除程序。
在以上方面中的一个或多个方面中,用户设备中的处理装置被配置成通过生成对与5GCN进行安全会话建立的第二注册请求来重新尝试向5GCN注册,并根据来自互通功能节点的第二响应消息来确定通过不受信任的接入网络进行的连接建立成功。
在以上方面中的一个或多个方面中,用户设备中的处理装置被配置成使用更新后的参数生成对与5GCN进行安全会话建立的第二注册请求。
将部分地在详细描述、附图和随附的任何权利要求中阐述另外的方面,并且将部分地从详细描述中得出另外的方面。应理解,以上概述和以下详述都仅仅是示例性和解释性的,并且权利要求不限于所公开的实施方案。
附图说明
现在仅通过举例的方式并参考附图来描述根据本公开的实施方案的设备和/或方法的一些实施方案,其中:
图1示出了多种类型的接入网络的实施方案的示意框图。
图2示出了用于非3GPP接入的5G系统架构的实施方案的示意框图。
图3示出了逻辑流程图,所述逻辑流程图示出了UE经由不受信任的非3GPP接入网络向5GCN注册的方法的实施方案。
图4示出了用于处理其中不接受IKE SA和信令IPsec SA建立的实施方案的方法的实施方案的逻辑流程图。
图5示出了在由于可恢复的错误而导致的认证失败之后的EAP-5G会话程序的方法的实施方案的逻辑流程图。
图6示出了逻辑流程图,所述逻辑流程图示出了由于不可恢复的错误失败而导致的注册拒绝的EAP-5G会话程序的实施方案。
图7示出了EAP响应/5G停止消息的实施方案的示意框图。
图8示出了当不接受用于通过非3GPP接入进行UE注册的IKE SA和信令IPsec SA建立时,用于网络功能之间的消息流的方法的实施方案的逻辑流程图。
图9示出了当由于订阅限制而不接受用于通过非3GPP接入进行UE注册的IKE SA和信令IPsec SA建立时,用于网络功能之间的消息流的方法的实施方案的逻辑流程图。
图10示出了当不接受用户平面IPsec安全关联建立时,用于网络功能之间的消息流的方法的实施方案的逻辑流程图。
图11示出了5GMM原因信息元素1100的实施方案的示意框图。
图12示出了5GMM原因信息元素的值的实施方案的示意框图。
图13示出了N3IWF的方法的实施方案的逻辑流程图。
图14示出了在由于可恢复的错误而导致认证失败的情况下通过不受信任的接入网络进行对核心网络的注册请求的方法的实施方案的逻辑流程图。
图15示出了在由于不可恢复的错误而导致认证失败的情况下通过不受信任的接入网络进行对核心网络的注册请求的方法的实施方案的逻辑流程图。
图16示出了示例用户设备的实施方案的示意框图。
图17示出了AMF节点的实施方案的示意框图。
图18示出了N3IWF的实施方案的示意框图。
具体实施方式
描述和附图仅示出了各种实施方案的原理。因此,将理解,本领域的技术人员将能够设计出各种布置,所述布置尽管未在本文中明确描述或示出,但体现本文和权利要求中的原理并且落入本公开的精神和范围内。此外,本文中列举的所有示例主要旨在明确地仅用于教导目的,以帮助读者理解实施方案的原理和发明人为深化本领域所做出的构思,并且应解释为不限于这些具体列举的示例和条件。此外,本文中引用原理、方面和实施方案及其具体示例的所有陈述旨在涵盖其等效物。
为了方便起见,下文展开本文中所描述的某些缩写:
5GC 5G核心
5GCN 5G核心网络
5GS 5G系统
5G-AN 5G接入网络
5GMM 5GS移动性管理
5G-GUTI 5G全局唯一临时标识符
5G-S-TMSI 5G S临时移动订阅标识符
5QI 5G QoS标识符
AMF 接入和移动性管理功能
AUSF 认证服务器功能
EAP 可扩展认证协议
HPLMN 家庭公共陆地移动网络
IKEv2 互联网密钥交换第2版
IMSI 国际移动订户身份
IMEI 国际移动设备身份
IPsec 互联网协议安全
MCM 多连接模式
N3IWF 非3GPP互通功能
NAS 非接入层
PDN 分组数据网络
PLMN 公共陆地移动网络
QoS 服务质量
SA 安全关联
SCM 单连接模式
UDM 统一数据管理
UE 用户设备
UICC 通用集成电路卡
USIM UMTS订户身份模块
本文描述了提供用于向未经认证的用户设备提供网络服务的系统和方法的一个或多个实施方案。例如,描述了用于未经认证的UE在非3GPP接入网络中进行会话建立的各种方法。
图1示出了用于5G核心网络(5GCN)100的多种类型的接入网络的实施方案的示意框图,所述5GCN 100完全或部分地符合用于5G系统的第三代合作伙伴计划(3GPP)标准集,例如技术规范(TS)23.501“用于5G系统的系统架构”、定义5G系统的程序的技术规范(TS)23.502,以及定义5G系统的策略和计费控制框架的技术规范(TS)23.503。
5GCN 100通信地耦合到一个或多个接入网络102。在实施方案中,接入网络102可包括一个或多个3GPP接入网络104或一个或多个非3GPP接入网络106。3GPP接入网络104完全或部分地符合3GPP标准集规定的技术,且包括例如GPRS、UMTS、EDGE、HSPA、LTE和高级LTE。非3GPP接入网络106完全或部分地符合3GPP标准集未指定的技术。非3GPP接入网络106也可在3GPP标准集中指定。非3GPP接入网络106可包括一个或多个非3GPP受信任的接入网络108或一个或多个非3GPP不受信任的接入网络110。
受信任的非3GPP接入网络108是运营商构建或运营商支持的无线局域网(WLAN),例如具有加密和安全认证方法的符合IEEE 802.11x的WLAN网络。在一个实施方案中,受信任的非3GPP接入网络108支持以下示例特征:基于802.1x的认证,所述认证又需要对无线电接入网络(RAN)的加密;使用EAP方法进行认证的基于3GPP的网络接入;以及IPv4和/或IPv6协议。然而,运营商可确定具有不同类型的安全性的其他类型的非3GPP接入网络将被视为受信任的。不受信任的非3GPP接入网络110包括运营商未知或不包括支持的认证标准的非3GPP接入网络。例如,不受信任的非3GPP接入网络可包括家庭或公共WLAN,例如向公共、家庭WLAN或其他发起和管理的非运营商开放的符合IEEE 802.11x的WLAN网络。
图2示出了用于非3GPP接入的5G系统架构的实施方案的示意框图。在题为“5G系统的系统架构(System Architecture for the 5G System)”的技术标准3GPP TS 23.501(版本15)(2017年12月)中更详细地描述了此架构,所述技术标准在此以引用的方式并入本文。
非3GPP接入网络通过非3GPP互通功能(N3IWF)连接到5GCN 100。N3IWF 204分别经由N2和N3接口对接5GCN 100的控制平面(CP)和用户平面(UP)功能。UE 200与N3IWF 204建立IP安全(IPSec)隧道,以通过不受信任的非3GPP接入网络110附接到5GCN 100。UE 200在IPSec隧道建立程序期间由5GCN 100认证并附接到5GCN 100。在题为“5G系统的程序(Procedures for the 5G System)”的3GPP TS 23.502(版本15)(2017年12月)中描述了UE200通过不受信任的非3GPP接入110附接到5GCN 100的更多详细信息,所述技术标准在此以引用的方式并入本文。
5GCN 100包括家庭公共陆地移动网络或等效家庭PLMN(HPLMN),包括接入和移动性管理功能(AMF)202。AMF 202提供控制平面接口(N2)的终止和NAS(N1)协议集的终止以及NAS加密和完整性保护。AMF 202还提供注册和连接管理。AMF 202可以包括各种功能以支持非3GPP接入网络110。例如,AMF 202可以通过N3IWF 204提供对N2接口控制协议的支持以及通过N3IWF 204支持与UE 200的NAS信令。另外,AMF 202可以支持通过N3IWF 204连接的UE200的认证,以及经由非3GPP接入连接或同时经由3GPP和非3GPP接入连接的UE 200的移动性管理、认证和单独的安全上下文状态。非接入层(NAS)是5G标准中的协议集。5G NAS(非接入层)包括与5GS(5G系统)上的5GMM(5GS移动性管理)和5GSM(5G会话管理)相关的程序。NAS用于在用户设备(UE)与5GCN功能之间传递控制信令。在3GPP TS 24.501:“用于5G系统(5GS)的接入层(NAS)协议(Access-Stratum(NAS)protocol for 5G System(5GS))”第1.1版(2018年5月9日)中定义了5G NAS协议的版本,所述协议在此以引用的方式并入本文。
会话管理功能(SMF)206包括会话管理功能性,例如会话建立、修改和发布,包括UPF 208与AN节点之间的隧道维护。SMF 206还提供UE IP地址分配和管理(包括可选的授权)以及DHCPv4(服务器和客户端)和DHCPv6(服务器和客户端)功能。
用户平面功能(UPF)208提供与数据网络以及分组路由和转发的互连的外部PDU会话点。UPF 208还支持策略规则实施的用户平面部分,例如选通、重定向、流量转向等。
策略控制功能(PCF)214支持统一的策略框架来管理网络行为。统一数据管理(UDM)212包括支持生成3GPP AKA认证凭证、基于订阅数据的接入授权(例如漫游限制)以及UE的服务NF注册管理(例如为UE存储服务AMF,为UE的PDU会话存储服务SMF)。它还提供SMS和订阅管理。为了提供此功能性,UDM 212使用可以存储在UDR中的订阅数据(包括认证数据)。另一个模块提供认证服务器功能(AUSF)210。
在不受信任的非3GPP接入110的情况下,N3IWF 204的功能性包括支持与UE 200进行IPsec隧道建立。N3IWF 204通过NWu接口终止与UE 200的IKEv2/IPsec协议,并通过N2接口中继认证UE 200并授权其接入5GCN 100所需的信息。N3IWF 204为5GCN 100提供分别用于控制平面和用户平面的N2和N3接口的终端。N3IWF 204在UE 200与AMF 202之间中继上行链路和下行链路控制平面NAS(N1)信令。N3IWF 204提供来自SMF 206(由AMF 202中继)的与PDU会话和QoS有关的N2信令的处理。N3IWF 204还提供IPsec安全关联(IPsec SA)的建立以支持PDU会话流量。N3IWF 204还提供在UE 200与UPF 208之间中继上行链路和下行链路用户平面分组。
图3示出了逻辑流程图,所述逻辑流程图示出了UE 200经由不受信任的非3GPP接入110向5GCN 100注册的方法的实施方案。所述方法包括称为“EAP-5G”的供应商特定的可扩展认证协议(EAP)。在2004年6月发布的IETF RFC 3748:“可扩展认证协议(EAP)(Extensible Authentication Protocol(EAP))”中定义了EAP。EAP-5G是用于5GS的供应商特定的EAP(EAP-5G),其用于封装在UE 200与N3IWF 204之间的NAS消息。EAP-5G分组利用“扩展的”EAP类型和根据SMI专用企业代码注册表(即10415)向IANA注册的现有3GPP供应商ID。在实施方案中,EAP-5G仅用于封装NAS消息(不用于认证)。
如果需要认证UE 200,则如下文所述,在UE 200与AUSF 210之间执行EAP-AKA'相互认证。在经由不受信任的非3GPP接入网络110进行的注册和随后的注册程序中,在UE 200与AMF 202之间交换NAS消息。
在步骤1中,UE 200利用3GPP范围之外的程序(例如在IEEE 802.11WLAN协议中指定的)连接到不受信任的非3GPP接入网络110,并且被分配IP地址。可以使用任何非3GPP认证方法,例如,不进行认证(在免费WLAN的情况下),具有预共享密钥、用户名/密码等的可扩展认证协议(EAP)。当UE 200决定附接到5GCN 100时,UE 200在5G PLMN中选择N3IWF 204。
在步骤2中,通过发起互联网密钥交换(IKE)协议初始交换(例如,如IETF RFC7296“互联网密钥交换协议第2版(IKEv2)(Internet Key Exchange Protocol Version 2(IKEv2))”(2014年10月)中所描述的),UE 200通过所选的N3IWF 204继续IPsec安全关联(SA)的建立。步骤2之后,通过使用在此步骤中建立的IKE SA对后续的IKE消息进行加密和完整性保护。
在步骤3中,UE 200将通过发送IKE_AUTH请求消息来发起IKE_AUTH交换。AUTH有效负载未包含在IKE_AUTH请求消息中,这指示IKE_AUTH交换使用可扩展认证协议(EAP)信令协议,例如EAP-5G信令(例如IETF RFC 5448:“第三代认证和密钥协定(EAP-AKA')的改进的可扩展认证协议方法(Improved Extensible Authentication Protocol Method for 3rdGeneration Authentication and Key Agreement(EAP-AKA'))”(2018年3月5日)中描述的EAP-AKA’,所述协议在此以引用的方式并入本文)。
在步骤4中,N3IWF 204以IKE_AUTH响应消息进行响应,所述消息包括EAP请求/5G开始分组。EAP请求/5G开始分组通知UE 200发起EAP-5G会话,即开始发送封装在EAP-5G分组内的NAS消息。
在步骤5中,UE 200生成并传输针对5GCN 100的注册请求,例如IKE_AUTH请求,所述请求包括具有接入网络参数(AN参数)和NAS注册请求消息的EAP响应/5G-NAS分组。因此,UE通过发送EAP响应/5G-NAS分组来确认EAP-5G会话的开始,所述EAP响应/5G-NAS分组包括:a)包含NAS消息(例如注册请求消息)的NAS-PDU字段;b)包含接入网络参数的AN参数字段,例如SUPI或5G-GUTI、选择的网络和S-NSSAI等(参见3GPP TS 23.502)。N3IWF 204使用AN参数来选择5GCN 100中的AMF 202。
在步骤6a中,N3IWF 204基于接收到的AN参数和本地策略来选择5GCN 100中的AMF202。N3IWF 204然后在步骤6b中将从UE 200接收的注册请求转发到所选择的AMF 202。N3IWF 204在从AMF 202接收到NAS消息之后,将所述NAS消息包括在发送给UE 200的EAP请求/5G-NAS消息中。EAP请求/5G-NAS消息包括NAS-PDU字段,所述字段包含NAS消息。UE 200与AMF 202之间经由N3IWF 204传送的其他NAS消息被插入EAP响应/5G-NAS消息(UE到N3IWF方向)和EAP请求/5G-NAS消息(N3IWF到UE方向)的NAS-PDU字段中。
在步骤7a和7b中,所选择的AMF 202可以决定通过经由N3IWF 204向UE 200发送NAS身份请求消息来请求UE的永久身份(SUPI)。通过封装在EAP/5G-NAS分组中的N3IWF 204将此NAS消息和所有后续的NAS消息发送给UE 200。
在步骤8中,AMF 202可以决定认证UE 200。在这种情况下,AMF 202将通过使用UE200的SUPI或加密的SUPI来选择AUSF 210,并且将在步骤8a将密钥请求发送到所选择的AUSF 210。AUSF 210可以在步骤8b中发起EAP-AKA'认证,如在TS 3GPP TS 33.501:“用于5G系统的安全架构和程序(Security Architecture and Procedures for 5GSystem)”(2018年3月26日,版本15)中所指定的,所述协议在此以引用的方式并入本文。在步骤8c中,将EAP-AKA'质询分组封装在去往N3IWF的NAS认证消息中,并在步骤8d中,将NAS认证消息封装在EAP/5G-NAS分组中。在步骤8e中,UE 200生成对EAP-AKA质询的认证响应,在步骤8f中,所述认证响应由N3IWF 204转发给AMF。然后,在步骤8g中,AUSF 210从AMF接收认证响应。
在成功认证UE 200之后,在步骤8h中,AUSF 210将锚密钥(SEAF密钥)发送到AMF202,AMF 202使用所述锚密钥来导出NAS安全密钥和N3IWF 204的安全密钥(N3IWF密钥)。UE200还导出锚密钥(SEAF密钥),并且从所述密钥中导出NAS安全密钥和N3IWF 204的安全密钥(N3IWF密钥)。UE 200和N3IWF 204使用N3IWF密钥来建立IPsec安全关联(在步骤11中)。如果在步骤8a中,AMF 202向AUSF 210提供了加密的SUPI,则AUSF 210包括SUPI(未加密)。
在步骤9a和9b,AMF 202向UE 200发送安全模式命令(SMC)请求以激活NAS安全性。此请求首先与N3IWF密钥一起发送到N3IWF 204(在N2消息内)。如果在步骤8中成功执行了EAP-AKA’认证,则在步骤9a中AMF 202将从AUSF 210接收到的EAP成功封装在SMC请求消息内。
在步骤10a中,UE 200完成EAP-AKA'认证(如果在步骤8中发起),并创建NAS安全上下文和N3IWF密钥。在UE 200中创建了N3IWF密钥之后,UE 200通过发送EAP响应/5G完成分组来请求EAP-5G会话的完成。假设N3IWF 204也已经从AMF 202接收到N3IWF密钥,则这在步骤10b中触发N3IWF 204向UE 200发送EAP成功。这样就完成了EAP-5G会话,并且不再交换任何EAP-5G分组。如果N3IWF 204尚未从AMF 202接收到N3IWF密钥,则N3IWF 204以EAP失败来响应。
在步骤11中,通过使用在UE 200中创建并且在步骤9a中由N3IWF204接收到的公共N3IWF密钥,在UE 200和N3IWF 204之间建立IPsec SA。此IPsec SA被称为“信令IPsec SA”。在建立信令IPsec SA之后,经由此IPsec SA在UE 200与N3IWF 204之间交换所有NAS消息。信令IPsec SA将被配置为在传送模式下操作。SPI值用于确定IPsec分组是否携带NAS消息。
在步骤12,UE 200通过所建立的信令IPsec SA发送SMC完成消息,并且所有后续的NAS消息经由此IPsec SA在UE 200与AMF 202之间交换。
如上所述,当5GCN 100接受在非3GPP接入网络110上的IKE SA和信令IPsec SA建立时,UE 200和N3IWF 204具有定义的方法。但是,没有可用的系统或方法来处理5GCN 100不接受IKE SA和信令IPsec SA建立的情况。另外,对于用户平面,需要指定一种系统和方法来处理5GCN 100不接受用户平面IPsec SA建立的情况。通常,需要建立用于处理对5GCN100的非3GPP接入的拒绝的方法和系统。
实施方案-用于处理5G核心网络不接受通过非3GPP接入网络进行UE注册的情况的过程和协议增强
图4示出了用于处理不接受IKE SA和信令IPsec SA建立的情况的方法400的实施方案的逻辑流程图。在步骤402中,UE 200继续进行对与所选择的N3IWF 204建立IPsec安全关联(SA)的请求。UE 200使用IETF RFC 7296“互联网密钥交换协议第2版(IKEv2)”(2014年10月)中描述的互联网密钥交换(IKE)协议发起IPsec SA建立。在步骤404中,UE 200发送IKE_AUTH请求消息。在步骤406中,N3IWF 204以IKE_AUTH响应消息作为响应,所述消息包括EAP请求/5G开始分组。EAP请求/5G开始分组通知UE 200发起EAP-5G会话,即开始发送封装在EAP-5G分组内的NAS消息。
在步骤408中,UE 200向5GCN 100生成注册请求,例如IKE_AUTH请求,所述IKE_AUTH请求包括EAP响应/5G-NAS分组,所述EAP响应/5G-NAS分组包括接入网络参数(AN参数)和NAS注册请求消息。AN参数包含N3IWF 204用来在5GCN 100中选择AMF 202的信息(例如SUPI或5G-GUTI,所选择的网络和NSSAI)。
在一些情况下,例如由于认证失败,诸如EAP-AKA'认证不成功,通过非3GPP接入进行的UE注册被拒绝。然后,5GCN 100不接受IKE SA和信令IPsec SA建立。在一个实施方案中,在步骤410中,AMF 202生成注册拒绝消息,并且N3IWF 204向UE发送EAP响应/5G-NAS消息,所述EAP响应/5G-NAS消息包括NAS-PDU字段,所述NAS-PDU字段包含注册拒绝消息。
在接收到注册拒绝消息之后,在步骤412中,UE 200通过生成并发送EAP响应/5G停止消息(封装在IKE_Auth请求中)来结束注册请求。在步骤414中,UE 200从N3IWF 204接收带有EAP失败消息的IKE_AUTH响应。在从N3IWF 204接收到EAP失败消息时,UE 200执行IKEv2 SA删除程序。直到断开或移除包含USIM的UICC,UE 200才从相同的PLMN向N3IWF 204重新发起IKE SA和信令IPsec SA建立。
当通过非3GPP接入网络110进行UE 200注册被拒绝时,AMF 202将注册拒绝消息传输到N3IWF 204。作为响应,N3IWF 204向UE 200传输EAP响应/5G-NAS消息,所述EAP响应/5G-NAS消息包括NAS-PDU字段,所述NAS-PDU字段包括注册拒绝消息。后续UE 200响应可以根据注册拒绝的原因而不同。对于可恢复的错误,例如语法错误或某些临时拒绝原因,UE200可以尝试再次使用有效参数来发起注册。由于其他拒绝原因,UE 200停止EAP-5G程序并且恢复与IKE SA和EAP栈有关的资源。要停止EAP-5G程序,需要5G停止指示。这两个程序在本文中都有更详细的描述。
实施方案-在由于可恢复的错误而导致的注册失败之后的EAP-5G程序完成
图5示出了在由于可恢复的错误而导致认证失败之后的EAP-5G会话程序的方法500的实施方案的逻辑流程图。在此实施方案中,拒绝了UE 200通过不受信任的非3GPP接入网络110对5GCN 100的注册请求。
在步骤502中,N3IWF 204向UE 200传输EAP请求/5G开始消息。5G开始消息请求UE200发起EAP-5G会话,即开始发送封装在EAP-5G分组内的NAS消息。在步骤504中,UE 200以EAP响应/5G-NAS消息向5GCN 100生成注册请求,所述EAP响应/5G-NAS消息包括AN参数和包括注册请求的NAS-PDU字段。在此实施方案中,AMF 202拒绝UE 200向5GCN 100的注册。AMF202向N3IWF 204传输注册拒绝消息。作为响应,在步骤506,N3IWF 204向UE 200传输EAP响应/5G-NAS消息,所述EAP响应/5G-NAS消息包括NAS-PDU字段,所述NAS-PDU字段包括NAS注册拒绝消息。
UE 200可以尝试再次向5GCN发起注册,但重新尝试注册不是强制性的。对于可恢复的错误,例如语法错误或某些临时拒绝原因,UE 200可以使用更新后的参数来修改注册请求消息并重新尝试注册。替代地,UE 200可以在不更新参数的情况下稍后重新尝试注册。
在步骤508中,UE 200传输被格式化为EAP响应/5G-NAS消息的第二注册请求,所述EAP响应/5G-NAS消息包括更新后的AN参数(如果需要)和包括注册请求的NAS-PDU字段。然后,UE 200和N3IWF 204执行IKE SA和信令IPsec SA建立以创建NAS安全上下文和N3IWF密钥(未示出)。
在UE 200中创建N3IWF密钥之后,在510,N3IWF 204传输包括NAS PDU的EAP请求/5G NAS消息,所述NAS-PDU具有指示EAP成功的安全模式命令消息。在512,UE 200通过生成并传输具有包括安全模式完成消息的NAS PDU的EAP响应/5G-NAS消息来请求EAP-5G会话的完成。假设N3IWF 204也已经从AMF 202接收到N3IWF密钥,则这触发N3IWF 204向UE 200发送EAP成功。这样就完成了EAP-5G会话,并且不再交换任何EAP-5G分组。
因此,当被拒绝时,UE 200可以通过非3GPP接入网络110重新尝试向5GCN 100的注册请求。拒绝可能是由于可恢复错误,例如语法错误或AN参数中的错误。当此类可恢复的错误被纠正时,第二次注册尝试可能会成功。在另一个实施方案中,拒绝是由于暂时拒绝原因造成的。然后,UE 200可以使用相同的参数重新尝试注册并完成EAP-5G会话。
实施方案-在由于不可恢复的错误而导致的注册失败之后的EAP-5G程序完成
图6示出了逻辑流程图,所述逻辑流程图示出了由于不可恢复的错误或永久失败而导致的注册拒绝的EAP-5G会话程序的实施方案。在此实施方案中,再次拒绝UE 200通过不受信任的非3GPP接入网络110向5GCN 100的注册请求。
在步骤602中,N3IWF 204通过非3GPP接入网络110向UE 200传输EAP请求/5G开始消息以发起向5GCN 100的注册。在步骤604中,UE 200以例如EAP响应/5G-NAS消息的注册请求作出响应,所述EAP响应/5G-NAS消息包括AN参数和包括注册请求的NAS-PDU字段。
如果由于不可恢复的错误而导致认证失败,例如EAP-AKA'认证不成功,则N3IWF204从AMF 202(未示出)接收注册拒绝消息。响应于从AMF 202接收到注册拒绝消息,在606,N3IWF 204向UE 200生成EAP请求/5G-NAS消息。EAP请求/5G-NAS消息包括NAS-PDU字段,所述字段包括具有EAP失败字段的NAS注册拒绝消息。
在步骤608,UE 200通过生成并传输EAP响应/5G停止消息来结束注册程序。5G停止消息指示用于通过非3GPP接入网络110向5GCN 100注册的EAP会话结束。在从UE 200接收到EAP响应/5G停止消息之后,在步骤610,N3IWF 204通过向UE 200发送EAP失败消息来完成EAP-5G程序。在此实施方案中,UE 200在注册时没有重新尝试的情况下停止了EAP-5G会话。
图7示出了EAP响应/5G停止消息700的实施方案的示意框图。EAP响应/5G停止消息700包括各种EAP分组,其中示例性字段包括代码702、标识符704、长度706、类型708、供应商ID 710、供应商类型712、消息标识符(消息ID)714、备用716和扩展718。EAP分组的消息ID字段714包括用于指示5G停止消息的标识符。以下表1中描述了EAP分组中的字段的值的示例。
表1
EAP响应/5G停止消息的示例字段
EAP消息中的消息标识符(消息ID)字段714包括5G停止标识符或值。EAP响应/5G停止消息700的字段和值是示例,并且可以实现指示注册停止的相似含义的其他字段/值或协议分组。
实施方案-当由于认证失败而不接受IPsec SA建立时用于进行处理的方法和协议增强
图8示出了当由于认证失败而不接受用于通过非3GPP接入网络110进行UE 200注册的IKE SA和信令IPsec SA建立时,用于网络节点功能之间的消息流的方法800的实施方案的逻辑流程图。例如,由于例如AKA质询或AKA'质询之类的认证程序的失败,可能无法接受IKE SA和信令IPsec SA建立。方法800包括新的专用IKEv2通知消息类型以向UE 200发信号通知失败,并且包括新的原因值以指示不允许通过非3GPP接入网络110接入5GCN 100。
在步骤802中,UE 200连接到不受信任的非3GPP接入网络(N3AN)110,例如使用802.1x协议连接到公共WLAN。当UE 200决定附接到5GCN 100时,在步骤804中,UE 200选择5G PLMN中的N3IWF 204。在步骤806中,UE 200通过发起IKE初始交换(例如,如IETF RFC7296“互联网密钥交换协议第2版(IKEv2)(Internet Key Exchange Protocol Version 2(IKEv2))”(2014年10月)中所述)来继续与所选择的N3IWF 204的IPsec安全关联(SA)的建立。建立IKE SA后,对后续的IKE消息进行加密,并使用在此步骤806中建立的IKE SA进行完整性保护。
在步骤808,然后,UE 200通过发送IKE_AUTH请求消息来发起IKE_AUTH交换。AUTH有效负载未包括在IKE_AUTH请求消息中,这指示IKE_AUTH交换将使用EAP信令(在这种情况下为EAP-5G信令)。UE 200将把此消息中的UE ID字段设置为等于任何随机数。在步骤810中,N3IWF 204以IKE_AUTH响应消息进行响应,所述消息包括EAP请求/5G开始分组。EAP请求/5G开始分组通知UE 200发起EAP-5G会话,即开始发送封装在EAP-5G分组内的NAS消息。
UE 200还可以验证N3IWF证书并确认N3IWF 204的身份与UE 200选择的N3IWF 204匹配。N3IWF 204缺少证书或身份确认不成功可能会导致连接失败。在步骤812,然后,UE200发送包括EAP响应/5G-NAS分组的IKE_AUTH请求以请求向5GCN 100注册。EAP响应/5G-NAS消息包括AN参数(例如,GUAMI、所选择的PLMN ID、所请求的NSSAI)和包括注册请求的NAS-PDU字段
在步骤814中,然后,N3IWF 204使用AN参数选择AMF 202,并将从UE 200接收到的注册请求以N2 NAS传送消息转发到AMF 202。
AMF 202可以决定认证UE 200。在这种情况下,AMF 202在步骤816选择AUSF 210,并将密钥请求发送给AUSF 210。在步骤818,然后,AUSF 210可以发起认证程序,例如AKA质询或AKA'质询。在AMF 202与UE 200之间,将认证分组封装在NAS认证消息中,并且将NAS认证消息封装在EAP-5G/5G-NAS分组中。在步骤820和822中,经由N3IWF 204在NAS消息认证请求消息中将EAP请求/AKA'质询消息传输到UE 200。此消息可以包括将由UE 200和AMF 202使用的ngKSI,以标识在认证成功的情况下创建的部分本地安全上下文。UE 200将在EAP请求/AKA'质询消息中接收到的RAND和AUTN转发给USIM。
在接收到RAND和AUTN时,USIM通过检查是否可以接受AUTN来验证认证向量。如果是,则在步骤823,USIM计算响应RES。在步骤824中,UE 200在NAS消息认证响应消息中发送EAP响应/AKA'质询消息。在步骤826和828中,经由AMF 202将EAP响应/AKA'质询消息传输到AUSF 210。然后,AUSF 210将尝试验证消息。如果AUSF 210已成功验证了此消息,则它将继续进行认证。
在先前已知系统中,如果在步骤830中由于认证失败而导致AUSF 210确定不允许对5GCN 100的非3GPP接入,则它返回错误。在新的改进的系统和方法中,AMF 202生成新的专用IKEv2通知消息类型,以发信号通知例如由于认证失败而不允许对5GC网络的非3GPP接入。
在步骤832中,AUSF 210发送具有EAP失败的EAP有效负载和认证失败的认证结果的HTTP EAP会话消息。AMF 202生成新的5G移动性管理(5GMM)原因,以指示不允许5GCN 100的非3GPP接入。在步骤834,AMF 202生成N2 NAS传送消息,该消息具有注册拒绝以及指示EAP失败并包括5GMM原因的EAP消息。5GMM原因指示错误类型,例如在此情况下为“不允许5GCN的非3GPP接入”。
在步骤836中,UE 200从N3IWF 204接收IKE_AUTH响应消息,所述响应消息具有通知有效负载,所述通知有效负载具有专用通知消息类型(例如,预定义范围内的任何专用通知消息类型,例如8192......16383)。专用IKEv2通知消息包括EAP响应/5G-NAS PDU,所述EAP响应/5G-NAS PDU包括5GMM原因为“NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED”的注册拒绝和EAP失败的EAP消息类型。
因此,方法800包括新的专用IKEv2通知消息类型和新的5GMM原因值,以向UE通知注册请求的失败,即不允许对5GCN 100的非3GPP接入。尽管实现了新的专用IKEv2通知消息,但是可以实现其他类型的消息、格式或字段或错误类型,以向UE 200通知不允许或已拒绝对5GC网络的非3GPP接入。
在接收到具有5GMM原因
NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED的专用通知消息时,在步骤838中,UE200通过发送EAP响应/5G-停止消息来结束EAP-5G会话。在步骤840中,UE 200从N3IWF 204接收具有EAP失败消息的IKE_AUTH响应消息。
在从N3IWF 204接收到EAP失败消息时,在步骤842中,UE 200执行IKEv2 SA删除程序并关闭IKE SA。直到断开或移除包含USIM的UICC,UE 200才从相同的PLMN向N3IWF 204重新发起IKE SA和IPsec SA建立。在步骤844,UE 200可以传输IKEv2 SA删除的信息消息。然后,在步骤846,N3IWF 204可以关闭IKEv2 SA。
实施方案-当由于订阅限制而不接受IPsec SA建立时用于进行处理的方法和协议增强
图9示出了当由于订阅限制而不接受用于通过非3GPP接入进行UE 200注册的IKESA和信令IPsec SA建立时,用于网络功能之间的消息流的方法900的实施方案的逻辑流程图。例如,由于订阅限制,可能不接受IKE SA和信令IPsec SA建立。方法900包括新的专用IKEv2通知消息类型以向UE 200发信号通知失败,并且包括新的原因值以指示不允许通过非3GPP接入网络110接入5GCN 100。
在步骤902中,UE 200连接到不受信任的非3GPP接入网络(N3AN)110,例如使用802.1x协议连接到公共WLAN。当UE 200决定附接到5GCN 100时,在步骤904中,UE 200选择5G PLMN中的N3IWF 204。在步骤906中,UE 200通过发起IKE初始交换(例如,如IETF RFC7296“互联网密钥交换协议第2版(IKEv2)(Internet Key Exchange Protocol Version 2(IKEv2))”(2014年10月)中所述)来继续与所选择的N3IWF 204的IPsec安全关联(SA)的建立。建立IKE SA后,对后续的IKE消息进行加密,并使用IKE SA中建立的密钥进行完整性保护。
在步骤908,然后,UE 200通过发送IKE_AUTH请求消息来发起IKE_AUTH交换。AUTH有效负载未包括在IKE_AUTH请求消息中,这指示IKE_AUTH交换将使用EAP信令(在这种情况下为EAP-5G信令)。UE 200将此消息中的UE ID字段设置为等于任何随机数。在步骤910中,N3IWF 204以IKE_AUTH响应消息进行响应,所述消息包括EAP请求/5G开始分组。EAP请求/5G开始分组通知UE 200发起EAP-5G会话,即开始发送封装在EAP-5G分组内的NAS消息。
UE 200还可以验证N3IWF证书并确认N3IWF 204的身份与UE选择的N3IWF 204匹配。N3IWF 204缺少证书或身份确认不成功可能会导致连接失败。在步骤912中,然后,UE200在包括EAP响应/5G-NAS分组的IKE_AUTH请求中发送注册请求。EAP响应/5G-NAS分组包括AN参数,例如GUAMI、所选择的PLMN ID、所请求的NSSAI和具有注册请求的NAS PDU。在步骤914中,然后,N3IWF 204选择AMF 202并将从UE 200接收到的NAS PDU中的注册请求转发到AMF 202。
AMF 202可以决定认证UE 200。在这种情况下,AMF 202在步骤916选择AUSF 210,并将密钥请求发送给AUSF 210。在步骤918,然后,AUSF 210可以发起认证程序,例如AKA质询或AKA'质询。在AMF 202与UE 200之间,将认证分组封装在NAS认证消息中,并且将NAS认证消息封装在EAP-5G/5G-NAS分组中。EAP请求/AKA'质询消息在步骤920中由AMF在NAS消息认证请求消息中传输到UE 200,并在步骤922中由N3IWF转发。此消息可以包括将由UE 200和AMF 202使用的ngKSI,以标识在认证成功的情况下创建的部分本地安全上下文。UE 200将在EAP请求/AKA'质询消息中接收到的RAND和AUTN转发给其USIM。
在接收到RAND和AUTN时,USIM通过检查是否可以接受AUTN来验证认证向量。如果是,则在步骤923,USIM计算认证响应。在步骤924中,UE 200在NAS消息认证响应消息中发送EAP响应/AKA'质询消息。EAP响应/AKA'质询消息在步骤926中由N3IWF传输到AMF,然后在步骤928中传输到AUSF 210。然后,AUSF 210将尝试验证消息。如果AUSF 210已成功验证了此消息,则它将继续进行认证。然而,在步骤930中,AUSF 210可以拒绝认证并且不允许对5GCN100的非3GPP接入。
在先前已知系统中,如果AUSF 210确定认证失败,则AUSF 210返回错误。在新的改进方法中,AMF 202生成新的原因以发信号通知不允许对5GCN 100的非3GPP接入。例如,AMF202可以生成新的专用IKEv2通知消息类型,以向UE 200发信号通知例如由于订阅或网络限制而不允许对5GCN 100的非3GPP接入。
在步骤932中,AUSF 210发送HTTP EAP会话消息,所述会话消息具有EAP失败的EAP有效负载和具有原因的认证失败的认证结果。在步骤934,AMF 202生成N2 NAS传送消息,所述传送消息具有注册拒绝和包括5GMM原因的EAP失败的EAP消息。5GMM原因指示错误类型为NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED。
N3IWF 204从AMF 202接收封装了注册拒绝消息的响应,所述注册拒绝消息包括指示不允许对5GCN的非3GPP接入的5GMM原因值和EAP失败类型消息。在步骤936中,N3IWF 204生成IKE_AUTH响应消息,所述响应消息具有通知有效负载,所述通知有效负载具有专用通知消息类型(例如,预定义范围内的任何专用通知消息类型,例如8192......16383)。专用IKEv2通知消息包括EAP响应/5G-NAS PDU,所述EAP响应/5G-NAS PDU包括5GMM原因为“NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED”的注册拒绝和EAP失败的EAP消息类型。
因此,实现了新的5GMM原因代码,以向UE 200发信号通知不允许对5GCN 100的非3GPP接入。此5GMM原因由AMF 202生成,并且如果UE 200通过PLMN中的非3GPP接入请求服务,则将此5GMM原因传输到UE 200,其中因订阅或网络限制,不允许UE 200通过非3GPP接入网络110接入5GCN 100。因此,通知UE 200拒绝通过非3GPP接入网络110接入5GCN 100。
在步骤936中,UE 200从N3IWF 204接收具有通知有效负载的IKE_AUTH响应消息,所述通知有效负载具有专用通知消息类型和EAP失败的EAP消息以及5GMM原因
NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED。UE 200因此接收具有原因的注册拒绝通知,而不是仅仅接收错误消息。
在步骤938中,然后,UE 200通过向N3IWF 204生成EAP响应/5G停止消息来结束注册请求。在步骤940中,UE 200从N3IWF 204接收具有EAP失败消息的IKE_AUTH响应消息。
在从N3IWF 204接收到EAP失败消息时,在步骤942中,UE 200执行IKEv2 SA删除程序并关闭IKE SA。在此示例中,由于订阅或网络限制的不可恢复的错误,直到断开或移除包含USIM的UICC,UE 200才从相同的PLMN向N3IWF 204重新发起IKE SA和IPsec SA建立。在步骤944,UE 200可以传输IKEv2 SA删除的信息消息。在步骤946,然后,N3IWF 204可以关闭IKEv2 SA。
实施方案-当不接受用户平面IPsec SA建立时用于进行处理的方法和协议增强
图10示出了当不接受用户平面IPsec安全关联(SA)建立时,用于网络节点功能之间的消息流的方法的实施方案的逻辑流程图。在步骤1002中,UE 200连接到不受信任的非3GPP接入网络(N3AN)110,例如使用802.1x协议连接到公共WLAN。当UE 200决定附接到5GCN100时,在步骤1004中,UE 200选择5G PLMN中的N3IWF 204。在步骤1006中,UE 200通过发起IKE初始交换来继续与所选择的N3IWF 204的IPsec安全关联(SA)的建立。在此实施方案中,在1008,UE 200成功建立了IKE SA并向所选择的N3IWF 204发信号通知IPsec SA。例如,如图3所示,UE 200的认证(例如EAP-AKA'程序)成功,并且EAP-5G完成。
然后,在1010,UE 200将PDU会话建立请求消息传输到AMF 202以建立用户平面IPsec SA。在步骤1012,经由信令IPsec SA将此PDU会话建立请求消息发送到N3IWF 204,并且N3IWF 204将其透明地转发到5GCN 100中的AMF 202。在步骤1014,AMF 202可以与SMF206创建会话管理(SM)上下文。在步骤1016中,AMF 202向N3IWF 204发送NAS N2接口PDU会话请求消息,以例如在N2 PDU会话资源设置请求中建立用于此PDU会话的接入资源。PDU会话请求可以包括PDU会话ID、PDU会话建立接受、QFI、QoS配置文件等。
基于其自身的策略和配置以及基于在N2 PDU会话请求中接收到的QoS配置文件,N3IWF 204确定要建立的多个用户平面IPsec SA以及与每个用户平面IPsec SA相关联的QoS配置文件。例如,N3IWF 204可以决定建立一个用户平面IPsec SA,并将所有QoS配置文件与此用户平面IPsec SA相关联。在此示例中,PDU会话的所有QoS流将通过一个用户平面IPsec SA传送。在另一示例中,N3IWF 204可以决定建立多个用户平面IPsec子SA,并将某些QoS配置文件与所述多个用户平面IPsec子SA中的不同用户平面IPsec子SA关联。
在步骤1018,N3IWF 204向UE 200发送IKE Create_Child_SA请求,以建立用于PDU会话的第一用户平面IPsec子SA。IKE Create_Child_SA请求指示具有SAup1标识的第一用户平面IPsec子SA。此请求可以包括3GPP特定的通知有效负载,所述有效负载包括(a)与子SA相关联的QFI,(b)与此子SA相关联的PDU会话的标识,(c)可选地,与子SA相关联的DSCP值,和(d)UP_IP_ADDRESS。IKE Create_Child_SA请求还可以包括其他信息,例如SA有效负载、N3IWF 204和UE 200的流量选择器(TS)等。
在步骤1020,当UE 200接受新的IPsec子SA时,UE 200发送IKE Create_Child_SA响应。在步骤1022,UE 200和N3IWF 204可以交换IKE Create_Child_SA请求和响应的多次迭代以建立多个IPsec子SA。建立额外的IPsec子SA,每个IPsec子SA与一个或多个QFI和UP_IP_ADDRESS相关联。
如果在步骤1026中UE 200不接受步骤1024中的用户平面IPsec SA请求,则在步骤1026,UE 200将具有错误类型的通知有效负载的CREATE_CHILD_SA响应消息发送到N3IWF204。通知消息类型可以是“错误”。为“错误”的通知消息类型指示UE 200不接受IPsec子SA。
在接收到具有错误类型的通知有效负载的CREATE_CHILD_SA响应消息后,在步骤1032,N3IWF 204经由N2 PDU会话资源设置响应消息向AMF 202指示失败和PDU会话资源设置失败列表,以触发拒绝通过非3GPP接入进行PDU会话建立。替代地,如果N3IWF 204先前决定为PDU会话的QoS流标识符(QFI)创建多个用户平面IPsec SA,并且PDU会话的一个或多个用户平面IPsec SA已经处于活动状态,则网络可以选择通过将失败的用户平面IPsec SA的QFI映射到已经建立的用户平面IPsec SA来完成PDU会话建立,如步骤1028和1030所示。
当在步骤1034中接收到包括指示PDU会话建立拒绝消息的NAS PDU的N2 PDU会话资源释放命令时,在步骤1036中,N3IWF 204将PDU会话建立拒绝透明地转发到UE 200。建立专用的5G会话管理(5GSM)原因“IPsec SA失败”以指示PDU会话拒绝原因。
实施方案-非3GPP接入的专用IKEv2通知消息类型
下表2列出了非3GPP接入的通知消息类型。在此示例中,描述了专用IKEv2通知消息和专用错误类型,然而当不允许对5GCN 100的非3GPP接入时,可以使用其他消息协议、值和错误类型向UE 200提供原因或错误的通知。
在此示例中,为非3GPP接入使用定义了专用IKEv2通知消息类型。尽管可以实现其他值和字段,但保留具有介于8192与16383之间的值(以十进制表示)的通知消息类型仅供专用错误使用。保留具有介于40960与65535之间的值(以十进制表示)的通知消息类型供专用状态使用。在此仅描述用于此规范的专用IKEv2通知消息类型。表2中定义的专用通知消息错误类型是错误通知,其指示在协商对5GCN 100的非3GPP接入时发生错误。例如,可响应于协商用于对5GCN 100的非3GPP接入的IKEv2SA或IPsec SA而生成错误类型。专用通知消息类型的字段和值是示例,并且可以实现指示相似含义的其他字段/值。
/>
表2
非3GPP接入的通知消息类型
UE 200可以接收具有指示不允许对5GCN 100的非3GPP接入的错误类型的消息。因此,通知UE 200拒绝通过非3GPP接入网络110接入5GCN 100。
实施方案—由于没有用于对5GC网络的非3GPP接入的订阅而导致发信号通知认证失败的原因代码
图11示出了5GMM原因信息元素1100的实施方案的示意框图。5GMM原因信息元素1100包括5GMM原因信息元素指示符(IEI)1104和原因值1106。原因值1106指示网络拒绝从UE 200接入5GCN 100的5GMM请求的原因。在此实施方案中,新的原因代码对应于“不允许对5GCN的非3GPP接入”。如果UE 200通过PLMN中的非3GPP接入请求服务,则将此5GMM原因发送到UE 200,其中因订阅或网络限制或其他认证失败,不允许UE 200通过非3GPP接入来接入5GCN 100。
图12示出了5GMM原因信息元素的值的实施方案的示意框图。在此示例中,预定值对应于“不允许对5GCN的非3GPP接入”。UE 200接收到的其他值被视为“协议错误,未指定”。网络接收到的任何其他值也被视为“协议错误,未指定”。5GMM原因信息元素的字段和值是示例,并且可以实现指示相似含义的其他字段/值。
图13示出了N3IWF 204的方法1300的实施方案的逻辑流程图。在步骤1302,N3IWF204使用第一接口使用一个或多个协议与5GCN 100中的节点进行通信。在步骤1304,N3IWF204使用至少第二接口(例如,符合IEEE 802.1x WLAN协议的WLAN收发器)通过非3GPP接入网络与UE进行通信。
在步骤1306,N3IWF 204处理来自不受信任的接入网络中的UE 200的对与核心网络进行安全连接建立的注册请求。例如,N3IWF 204从UE 200接收包括AN参数和注册请求的EAP响应/5G-NAS消息。N3IWF 204将消息转发到5GCN 100以用于UE 200的认证和订阅检查。例如,N3IWF 204生成对认证和订阅检查的请求,并且通过第二接口将对认证和订阅检查的请求传输到AMF 202。
在步骤1308,N3IWF 204确定例如由于不可恢复的错误而导致核心网络不接受连接建立。例如,AMF 202从AUSF 210接收认证失败响应。AMF 202生成NAS传送消息,所述传送消息具有注册拒绝和指示5GMM原因的EAP失败的EAP消息。5GMM原因指示错误类型为NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED。N3IWF 204从AMF 202接收封装了注册拒绝消息的响应,所述注册拒绝消息包括指示不允许对5GCN的非3GPP接入的5GMM原因值。
在步骤1310,N3IWF 204向UE生成响应消息,其中所述响应消息包括指示核心网络不允许通过不受信任的网络接入进行连接建立的原因值。例如,N3IWF 204生成具有有效负载的互联网密钥交换(IKE)响应消息,所述有效负载包括指示5GCN 100不接受连接建立的消息类型或EAP失败以及5GMM原因。去往UE 200的EAP响应/5G-NAS消息包括具有EAP失败字段和5GMM原因的注册拒绝消息。注册拒绝消息中的5GMM原因指示5GCN 100不允许非3GPP接入。
在实施方案中,去往UE的IKE响应消息可以包括IKE_AUTH响应消息,所述响应消息具有通知有效负载,所述通知有效负载具有专用通知消息类型(例如,预定义范围内的任何专用通知消息类型,例如8192......16383)。专用IKEv2通知消息包括EAP响应/5G-NASPDU,所述EAP响应/5G-NAS PDU包括5GMM原因为“NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED”的注册拒绝和EAP失败的EAP消息类型。
N3IWF 204处理来自UE 200的包括停止消息的响应,并作为响应向UE 200生成失败消息。例如,UE 200将EAP响应/5G停止消息传输到N3IWF 204以指示对与5GCN 100进行安全会话建立的注册请求的结束。EAP响应分组包括5G停止的消息类型标识符。在从UE 200接收到EAP响应/5G停止消息之后,N3IWF 204通过向UE 200发送EAP失败消息来完成EAP-5G程序。尽管将N3IWF 204描述为执行方法1300中的这些步骤,但是与UE和核心网络通信的其他节点或模块也可以执行本文描述的一个或多个步骤。
图14示出了在由于可恢复的错误而导致认证失败的情况下通过不受信任的接入网络进行对核心网络的注册请求的方法1400的实施方案的逻辑流程图。在步骤1402,将UE200配置为通过非3GPP接入网络与5GCN 100中的互通功能(例如N3IWF 204)进行通信。在1404,UE 200可以通过非3GPP接入网络请求向5GCN 100注册。在1406,UE 200处理响应消息,所述响应消息具有不允许对5GCN 100的非3GPP接入的通知。在步骤1408,UE 200确定拒绝的错误或原因是可恢复的。UE 200可以从第一次尝试开始校正此第二注册请求中的参数。替代地,UE可以决定稍后使用相同的参数重新尝试注册。然后,在1410,UE 200通过非3GPP接入网络将第二注册请求传输到5GCN 100。然后,在步骤1412,UE 200处理会话建立成功的响应。
图15示出了在由于不可恢复的错误而导致认证失败的情况下通过不受信任的接入网络进行对核心网络的注册请求的方法1500的实施方案的逻辑流程图。在步骤1502,将UE 200配置为通过非3GPP接入网络与5GCN 100中的互通功能(例如N3IWF 204)进行通信。在1504,UE 200可以通过非3GPP接入网络请求向5GCN 100注册。在1506,UE 200处理响应消息,所述响应消息具有不允许对5GCN 100的非3GPP接入的通知。在步骤1508,UE 200确定拒绝的错误或原因不是可恢复的。在步骤1510,UE 200结束会话并生成具有停止消息的响应。在步骤1512,UE 200接收失败消息,并且执行删除程序并关闭会话。
图16示出了示例用户设备200的实施方案的示意框图。用户设备(UE)200可以包括智能手机、智能平板计算机、膝上型计算机、智能手表、PC、TV或可通过非3GPP接入网络110进行通信的其他设备。在UE 200内可以包括额外或替代部件和功能。另外,本文所示的功能和部件中的一个或多个可不存在或与其他部件或功能组合。
UE 200包括处理装置1600和存储器装置1602,其被配置成执行本文关于UE 200所描述的一个或多个功能。存储器装置1602可以包括被管理对象1604,所述被管理对象1604存储应用程序和操作指令,所述应用程序和操作指令控制处理装置1600执行本文描述的各种功能。UE 200还可包括UICC 1606,所述UICC 1606包括用于存储IMSI的USIM 1608。在其他实施方案中,UE 200不具有UICC功能,例如,UE 200不具有UICC 1606,具有不可操作的UICC 1606等。
UE 200可以进一步包括蓝牙收发器1610、WLAN(符合IEEE 802.11x的)收发器1612、移动RF(3G/4G)收发器1614和GPS 1616。WLAN收发器1612可以用作通向WLAN网络的非3GPP接入接口。UE200可以进一步包括用户界面1618、AC适配器1620、电池模块1622、USB收发器1624和以太网端口1628。
UE 200可以进一步包括数码相机1630、触摸屏控制器1632、扬声器1634和传声器1636。UE 200还可以包括功率管理单元1638。一个或多个内部通信总线(未示出)可以通信地耦合UE 200的一个或多个部件。
图17示出了示例AMF 202的实施方案的示意框图。AMF 202包括具有AMF 202的功能的任何一个或多个节点。AMF 202可以与5GCN 100中的其他节点集成。在AMF 202内可以包括额外或替代部件和功能。另外,本文所示的功能和部件中的一个或多个可不存在或与其他部件或功能或节点组合。AMF 202包括处理装置1700和存储器装置1702,其被配置成执行本文关于AMF 202所描述的一个或多个功能。AMF 202可以包括网络接口1704,所述网络接口1704包括用于对接5GCN 100中的其他网络节点的端口。
图18示出了示例N3IWF 204的实施方案的示意框图。N3IWF 204可以是无线局域网中的接入点、局域网中的网关,或包括本文描述的互通功能的其他类型的节点。N3IWF 204可以与接入网络或5GCN 100中的其他节点集成。在N3IWF 204内可以包括额外或替代部件和功能。另外,本文所示的功能和部件中的一个或多个可不存在或与其他部件或功能组合。
N3IWF 204包括处理装置1800和存储器装置1802,其被配置成执行本文描述的一个或多个功能。N3IWF 204可以包括用于对接5GCN 100中的其他网络节点的第一网络接口1804(例如,以太网端口、IP端口)。N3IWF 204还可包括一种或多种其他类型的用于与UE进行通信的接口,例如(例如,符合IEEE 802.1x WLAN类型网络的)WLAN收发器1806。N3IWF204还可以包括与蜂窝空中接口兼容的移动RF收发器1808。UE 200可以使用WLAN收发器1806或移动RF收发器1808中的一个或多个与N3IWF 204进行通信。
在一个实施方案中,处理装置被配置成接收来自UE 200的通过不受信任的非3GPP接入网络做出的IPsec安全关联(SA)请求,并在不受信任的非3GPP接入网络中执行UE 200的认证协议,例如IKE协议。然后,N3IWF 204可以获取指示核心网络不接受IPsec SA请求的认证响应。然后,N3IWF 204可以向UE 200生成认证响应,其中所述认证响应指示拒绝UE200通过不受信任的接入网络接入核心网络。
本文所述的处理装置包括至少一个处理装置,例如微处理器、微控制器、数字信号处理器、微计算机、中央处理单元、现场可编程门阵列、可编程逻辑装置、状态机、逻辑电路、模拟电路、数字电路和/或基于电路和/或操作指令的硬编码来操纵信号(模拟和/或数字)的任何装置。存储器装置是非暂时性存储器装置,并且可以是内部存储器或外部存储器,并且存储器可以是单个存储器装置或多个存储器装置。存储器装置可以是只读存储器、随机存取存储器、易失性存储器、非易失性存储器、静态存储器、动态存储器、快闪存储器、高速缓冲存储器和/或存储数字信息的任何非暂时性存储器装置。在本文的元件的一个或多个实施方案的描述中使用术语“模块”。模块包括一个或多个处理装置和/或一个或多个非暂时性存储器装置,其可操作以执行如本文所述的一个或多个功能。模块可以独立地和/或与其他模块结合地操作,并且可以利用其他模块的处理装置和/或存储器和/或其他模块的操作指令。还如本文使用的,模块可以包含一个或多个子模块,每个子模块可以是一个或多个模块。
如本文所使用的,术语“可操作以”或“可配置以”指示元件包括电路、指令、模块、数据、输入、输出等中的一个或多个,以执行所描述的或必要的对应功能中的一个或多个,并且还可以包括推断的与一个或多个其他项目的耦合以执行所描述的或必要的对应功能。如本文中也可以使用的,术语“耦合”、“耦合至”、“连接到”和/或“连接”或“互连”包括节点/设备之间的直接连接或链接,和/或节点/装置之间经由中间项(例如,项包括但不限于部件、元件、电路、模块、节点、装置、网络元件等)的间接连接。如本文中可能进一步使用的,推断的连接(即,推断一个元件连接到另一元件的情况)包括以“连接到”相同的方式在两个项之间进行直接和间接连接。
注意,本文中可以将本公开的各方面描述为被描绘为示意图、流程图、流图、结构图或框图的过程。尽管流程图可以将操作描述为顺序过程,但是许多操作可以并行或同时执行。另外,可以重新安排操作顺序。操作完成后,过程将终止。过程可以对应于方法、函数、程序、子例程、子程序等。当过程对应于函数时,其终止对应于函数返回到调用函数或主函数。
在不脱离本公开的情况下,可以在不同的系统和装置中实现本文描述的本公开的各种特征。应当注意,本公开的前述方面仅是示例,并且不应被解释为限制本公开。本公开的各方面的描述旨在是说明性的,而不是限制权利要求的范围。这样,本教导可以容易地应用于其他类型的设备,并且许多替代、修改和变化对于本领域技术人员而言将是显而易见的。
在前述说明书中,已经参考特定示例描述了本发明的某些代表性方面。然而,在不脱离如在权利要求中阐述的本发明的范围的情况下,可以做出各种修改和改变。本说明书和附图是说明性而非限制性的,并且修改意在包括在本公开的范围内。因此,本公开的范围可以由权利要求及其法律等效物来确定而不是仅由所描述的示例来确定。例如,任何设备权利要求中记载的部件和/或元件可以以各种排列进行组装或以其他方式可操作地配置,并且因此不限于权利要求中记载的特定配置。
此外,上文已经关于特定实施方案描述了某些益处、其他优点和问题的解决方案;然而,任何益处、优点、问题的解决方案,或可能导致任何特定益处、优点或解决方案出现或变得更加明显的任何要素都不应被解释为任何或所有权利要求的关键、必需或必要特征或部件。
如本文中所用,术语“包括”、“具有”或其任何其他变体意图指非排它性的包括,使得包括一系列要素的过程、方法、物品、组成或设备不仅包括那些所述要素,而且还可以包括没有明确列出或这种过程、方法、物品、组成或设备所固有的其他要素。除了没有特别叙述的以外,在本发明的实践中使用的上述结构、布置、应用、比例、要素、材料或部件的其他组合和/或修改可以被改变或另外特别地适于特定环境、制造规格、设计参数或其他操作要求,而不会背离其一般原则。
此外,除非特别声明,否则以单数形式提及要素并不意图意指“一个且仅一个”,而是“一个或多个”。除非另有明确说明,否则术语“一些”是指一个或多个。本领域普通技术人员已知或以后将知道的,贯穿本公开内容所描述的各个方面的要素的所有结构和功能等效物均通过引用明确地并入本文,并且旨在由权利要求涵盖。而且,无论在权利要求中是否明确叙述了本文公开的内容,都不打算将这种公开内容贡献给社会大众。根据35U.S.C.§112(f)的规定,任何权利要求要素均不应解释为“装置附加功能”类型的要素,除非该要素使用短语“用于……的装置”明确叙述,或者在方法权利要求中,使用短语“用于……的步骤”来叙述要素。
Claims (26)
1.一种互通功能节点(N3IWF),用于管理通过不受信任的非第三代合作伙伴计划(非3GPP)接入网到第五代核心网(5GCN)的网络连接,所述N3IWF包括:
第一网络接口,被配置为通过所述不受信任的非3GPP接入网与用户设备(UE)进行通信;
第二网络接口,被配置为与所述5GCN中的接入和移动性管理功能(AMF)进行通信;以及
处理设备,被配置为:
处理通过所述不受信任的非3GPP接入网从所述UE接收到的对建立到所述5GCN的安全连接的请求,并生成向所述5GCN的所述AMF的请求;
经由所述第二网络接口向所述5GCN中的所述AMF提供认证和安全连接建立请求;
基于响应于所述认证和安全连接建立请求的来自所述5GCN中的所述AMF的响应,确定所述5GCN不允许通过不受信任的非3GPP接入网的安全连接的建立;
向所述UE提供响应消息,所述响应消息包括5G移动性管理(5GMM)原因值,所述5GMM原因值指示所述5GCN不允许通过任何不受信任的非3GPP接入网来接入所述5GCN;以及
响应于所述响应消息,从所述UE接收停止消息,所述停止消息终止通过所述不受信任的非3GPP接入网的对建立到所述5GCN的所述安全连接的所述请求。
2.根据权利要求1所述的N3IWF,其中所述处理设备被配置为:
经由所述第一网络接口,通过所述不受信任的非3GPP接入网从所述UE接收对建立到所述5GCN的所述安全连接的所述请求;
经由所述第二网络接口,从所述5GCN的所述AMF接收对用于认证和订阅检查的所述请求的所述响应;以及
生成到所述UE的具有非接入层(NAS)有效负载的互联网密钥交换(IKE)响应消息,所述NAS有效负载包括指示所述5GCN不允许通过任何不受信任的非3GPP接入网的安全连接建立的所述5GMM原因值。
3.根据权利要求2所述的N3IWF,其中所述处理设备还被配置为:
从所述5GCN的所述AMF接收封装有注册拒绝消息的响应,所述注册拒绝消息包括如下的指示:所述5GCN不允许通过任何不受信任的非3GPP接入网来接入所述5GCN的安全连接;以及
生成具有有效负载的所述IKE响应消息,所述有效负载包括消息类型,所述消息类型指示所述5GCN不允许通过不受信任的非3GPP接入网的与所述5GCN的安全连接建立。
4.根据权利要求2所述的N3IWF,其中所述处理设备还被配置为通过以下任一项来生成所述IKE响应消息:
生成具有通知有效负载的所述IKE响应消息,所述通知有效负载包括指示失败原因的专用通知消息类型;或者
生成具有所述通知有效负载的所述IKE响应消息,所述通知有效负载包括:指示所述5GCN不允许经由不受信任的非3GPP接入网的与所述5GCN的连接建立和连接的所述专用通知消息类型。
5.根据任一项前述权利要求所述的N3IWF,其中所述处理设备还被配置为:
响应于从所述UE接收到所述停止消息,生成到所述UE的失败消息;以及
处理从所述UE接收到的所述停止消息,其中所述停止消息包括具有消息标识符字段的5G停止消息格式,并且其中所述消息标识符字段包括5G停止标识符。
6.根据任一项前述权利要求所述的N3IWF,其中通过所述不受信任的非3GPP接入网从所述UE接收到的用于所述安全连接建立的所述请求包括:对发起与所述5GCN的IPsec安全关联(SA)的IKE请求消息。
7.一种接入和移动性管理功能(AMF),用于处理来自第五代核心网(5GCN)的互通功能节点(N3IWF)的网络连接请求,所述AMF包括:
网络接口,被配置为与所述5GCN中的所述N3IWF以及认证和订阅功能(AUSF)进行通信;以及
处理设备,被配置为:
通过所述网络接口从所述N3IWF接收认证和安全连接建立请求,所述认证和安全连接建立请求与对建立与所述5GCN的安全连接的注册请求相关联,所述注册请求由所述N3IWF通过不受信任的非第三代合作伙伴计划(非3GPP)接入网从用户设备(UE)接收;
响应于接收到所述认证和安全连接建立请求,向所述5GCN的所述AUSF提供用于认证和订阅检查的请求;
响应于确定由所述AUSF进行的所述认证和订阅检查失败,通过在响应消息中封装所述5GCN不允许通过任何不受信任的非3GPP接入网来接入所述5GCN的指示,而生成响应于从所述N3IWF接收到的所述认证和安全连接建立请求的所述响应消息;以及
向所述N3IWF提供所述响应消息。
8.根据权利要求7所述的AMF,其中所述处理设备还被配置为:
在所述响应消息中封装注册拒绝消息,所述注册拒绝消息包括:所述5GCN不允许通过任何不受信任的非3GPP接入网的与所述5GCN的安全连接建立的所述指示。
9.根据权利要求8所述的AMF,其中所述处理设备被配置为:
生成所述响应消息中的可扩展认证协议(EAP)失败指示。
10.一种用户设备(UE),包括:
网络接口,被配置为通过不受信任的非第三代合作伙伴计划(非3GPP)接入网与第五代核心网(5GCN)的互通功能节点(N3IWF)进行通信;以及
处理设备,被配置为:
生成用于与所述5GCN的安全连接建立的注册请求;
通过所述不受信任的非3GPP接入网向所述5GCN的所述N3IWF发送消息,所述消息包括用于与所述5GCN的安全连接建立的所述请求;
响应于所述请求,从所述5GCN的所述N3IWF接收响应消息,所述响应消息包括5G移动性管理(5GMM)原因值,所述5GMM原因值指示所述5GCN不允许通过任何不受信任的非3GPP接入网的与所述5GCN的安全连接建立;
从所述响应消息确定所述5GCN不允许通过任何不受信任的非3GPP接入网的与所述5GCN的安全连接建立;
在所述5GCN不允许通过任何不受信任的非3GPP接入网的与所述5GCN的安全连接建立的情况下,生成包括消息标识符字段的停止消息,所述消息标识符字段包括5G停止标识符;
将所述停止消息的所述消息标识符字段中的所述5G停止标识符设置为5G停止;以及
向所述5GCN的所述N3IWF传输所述停止消息,以终止经由所述不受信任的非3GPP接入网的用于与所述5GCN的所述安全连接建立的所述注册请求。
11.根据权利要求10所述的UE,其中所述处理设备还被配置为:
生成所述停止消息,所述停止消息指示用于到所述5GCN的安全连接建立的所述注册请求的结束;以及
通过所述不受信任的非3GPP接入网,向所述5GCN的所述N3IWF传输所述停止消息。
12.根据权利要求11所述的UE,其中所述处理设备还被配置为:
将所述停止消息生成为可扩展认证协议(EAP)响应格式化消息,所述EAP响应格式化消息包括被设置为5G停止的消息标识符字段。
13.根据权利要求12所述的UE,其中所述处理设备还被配置为:
处理来自所述N3IWF的EAP失败消息;以及
执行安全关联(SA)删除程序。
14.一种用于管理通过不受信任的非第三代合作伙伴计划(非3GPP)接入网到第五代核心网(5GCN)的网络连接的方法,所述方法包括:
经由互通功能节点(N3IWF)处理来自用户设备(UE)的对建立到所述5GCN的安全连接的请求,所述请求经由所述N3IWF与所述5GCN中的应用和移动性管理功能(AMF)之间的网络接口被接收到;
经由所述网络接口向所述5GCN中的所述AMF提供认证和安全连接建立请求;
基于响应于所述认证和安全连接建立请求的从所述5GCN中的所述AMF接收到的响应,确定所述5GCN不允许通过任何不受信任的非3GPP接入网的安全连接建立;
向所述UE提供响应消息,所述响应消息包括如下的指示:所述5GCN不允许通过任何不受信任的非3GPP接入网的与所述5GCN的安全连接建立;以及
响应于所述响应消息,从所述UE接收停止消息,所述停止消息终止对建立到所述5GCN的安全连接的所述请求。
15.根据权利要求14所述的方法,还包括:
经由所述第一网络接口,通过所述不受信任的非3GPP接入网从所述UE接收对建立到所述5GCN的所述安全连接的所述请求;
经由所述第二网络接口,从所述5GCN的所述AMF接收对用于认证和订阅检查的所述请求的所述响应;以及
生成到所述UE的具有非接入层(NAS)有效负载的互联网密钥交换(IKE)响应消息,所述NAS有效负载包括:指示所述5GCN不允许通过任何不受信任的非3GPP接入网的安全连接建立的所述5GMM原因值。
16.根据权利要求15所述的方法,还包括:
从所述5GCN的所述AMF接收封装有注册拒绝消息的响应,所述注册拒绝消息包括如下的指示:所述5GCN不允许通过任何不受信任的非3GPP接入网来接入所述5GCN的安全连接;以及
生成具有有效负载的所述IKE响应消息,所述有效负载包括消息类型,所述消息类型指示所述5GCN不允许通过不受信任的非3GPP接入网的与所述5GCN的安全连接建立。
17.根据权利要求15所述的方法,其中生成所述IKE响应消息还包括:
生成具有通知有效负载的所述IKE响应消息,所述通知有效负载包括指示失败原因的专用通知消息类型;或者
生成具有所述通知有效负载的所述IKE响应消息,所述通知有效负载包括:指示所述5GCN不允许经由不受信任的非3GPP接入网的与所述5GCN的连接建立和连接的所述专用通知消息类型。
18.根据权利要求14-17中任一项所述的方法,还包括:
响应于从所述UE接收到所述停止消息,生成到所述UE的失败消息;以及
处理从所述UE接收到的所述停止消息,其中所述停止消息包括具有消息标识符字段的5G停止消息格式,并且其中所述消息标识符字段包括5G停止标识符。
19.根据权利要求14-18中任一项所述的方法,其中通过所述不受信任的非3GPP接入网从所述UE接收到的用于所述安全连接建立的所述请求包括:对发起与所述5GCN的IPsec安全关联(SA)的IKE请求消息。
20.一种用于管理通过不受信任的非第三代合作伙伴计划(非3GPP)接入网到第五代核心网(5GCN)的网络连接的方法,所述方法包括:
在所述5GCN的应用和移动性管理功能(AMF)处,通过网络接口从所述5GCN的互通功能节点(N3IWF)接收认证和安全连接建立请求,所述认证和安全连接建立请求与对建立与所述5GCN的安全连接的注册请求相关联,所述注册请求由所述N3IWF通过不受信任的非3GPP接入网从用户设备(UE)接收;
响应于接收到所述认证和安全连接建立请求,向所述5GCN的认证和订阅功能(AUSF)提供用于认证和订阅检查的请求;
响应于确定由所述AUSF进行的所述认证和订阅检查失败,通过在响应消息中封装所述5GCN不允许通过任何不受信任的非3GPP接入网来接入所述5GCN的指示,而生成响应于从所述N3IWF接收到的所述认证和安全连接建立请求的所述响应消息;以及
向所述N3IWF提供所述响应消息。
21.根据权利要求20所述的方法,还包括:
在所述响应消息中封装注册拒绝消息,所述注册拒绝消息包括:所述5GCN不允许通过任何不受信任的非3GPP接入网的与所述5GCN的安全连接建立的所述指示。
22.根据权利要求21所述的方法,还包括:
生成所述响应消息中的可扩展认证协议(EAP)失败指示。
23.一种用于管理通过不受信任的非第三代合作伙伴计划(非3GPP)接入网到第五代核心网(5GCN)的网络连接的方法,所述方法包括:
在用户设备(UE)处生成用于到第五代核心网(5GCN)的安全连接建立的注册请求;
从所述UE通过不受信任的非3GPP接入网向所述5GCN的互通功能节点(N3IWF)发送所述注册请求;
在所述UE处,响应于所述注册请求,从所述5GCN的所述N3IWF接收响应消息,所述响应消息包括5G移动性管理(5GMM)原因值,所述5GMM原因值指示所述5GCN不允许通过任何不受信任的非3GPP接入网来接入所述5GCN;
从所述响应消息确定所述5GCN不允许通过任何不受信任的非3GPP接入网的到所述5GCN的安全连接建立;
在确定所述5GCN不允许通过任何不受信任的非3GPP接入网的到所述5GCN的安全连接建立之后,生成停止消息,所述停止消息包括消息标识符字段,所述消息标识符字段包括5G停止标识符;
将所述停止消息的所述消息标识符字段中的所述5G停止标识符设置为5G停止;以及
从所述UE向所述5GCN的所述N3IWF传输所述停止消息,以终止经由所述不受信任的非3GPP接入网的用于与所述5GCN的所述安全连接建立的所述注册请求。
24.根据权利要求23所述的方法,还包括:
生成所述停止消息,所述停止消息指示用于到所述5GCN的安全连接建立的所述注册请求的结束;以及
通过所述不受信任的非3GPP接入网,向所述5GCN的所述N3IWF传输所述停止消息。
25.根据权利要求24所述的方法,还包括:
将所述停止消息生成为可扩展认证协议(EAP)响应格式化消息,所述EAP响应格式化消息包括被设置为5G停止的消息标识符字段。
26.根据权利要求25所述的方法,还包括:
处理来自所述N3IWF的EAP失败消息;以及
执行安全关联(SA)删除程序。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862692722P | 2018-06-30 | 2018-06-30 | |
| US62/692,722 | 2018-06-30 | ||
| CN201980044322.7A CN112602298B (zh) | 2018-06-30 | 2019-06-28 | 不允许对5gcn的非3gpp接入的处理失败 |
| PCT/US2019/039992 WO2020006515A1 (en) | 2018-06-30 | 2019-06-28 | Handling failure of non-3gpp access to 5gcn not being allowed |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980044322.7A Division CN112602298B (zh) | 2018-06-30 | 2019-06-28 | 不允许对5gcn的非3gpp接入的处理失败 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116647394A true CN116647394A (zh) | 2023-08-25 |
Family
ID=67470646
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310661806.4A Pending CN116647394A (zh) | 2018-06-30 | 2019-06-28 | 不允许对5gcn的非3gpp接入的处理失败 |
| CN201980044322.7A Active CN112602298B (zh) | 2018-06-30 | 2019-06-28 | 不允许对5gcn的非3gpp接入的处理失败 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980044322.7A Active CN112602298B (zh) | 2018-06-30 | 2019-06-28 | 不允许对5gcn的非3gpp接入的处理失败 |
Country Status (15)
| Country | Link |
|---|---|
| US (1) | US20210136582A1 (zh) |
| EP (1) | EP3811588A1 (zh) |
| JP (2) | JP7317056B2 (zh) |
| KR (2) | KR102542210B1 (zh) |
| CN (2) | CN116647394A (zh) |
| AU (2) | AU2019293046B2 (zh) |
| BR (1) | BR112020026940A2 (zh) |
| CA (1) | CA3104374A1 (zh) |
| CL (1) | CL2020003401A1 (zh) |
| CO (1) | CO2021000912A2 (zh) |
| MX (1) | MX2021000159A (zh) |
| PH (1) | PH12020552227A1 (zh) |
| SG (1) | SG11202012478QA (zh) |
| WO (1) | WO2020006515A1 (zh) |
| ZA (1) | ZA202100508B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020064107A1 (en) * | 2018-09-27 | 2020-04-02 | Lenovo (Singapore) Pte. Ltd. | Accessing a 5g network via a non-3gg access network |
| CN113141676B (zh) * | 2020-01-19 | 2022-10-11 | 大唐移动通信设备有限公司 | 非3gpp接入的终端进入连接状态的方法及通信设备 |
| EP4107922A1 (en) * | 2020-02-21 | 2022-12-28 | Telefonaktiebolaget LM Ericsson (publ) | Determination of trust relationship of non-3gpp access networks in 5gc |
| WO2021201558A1 (en) * | 2020-03-30 | 2021-10-07 | Samsung Electronics Co., Ltd. | Method and apparatus for providing akma service in wireless communication system |
| US11785658B2 (en) * | 2021-06-24 | 2023-10-10 | Mediatek Inc. | Method and apparatus for performing internet reachability management with aid of indicator |
| US11729849B1 (en) * | 2021-07-20 | 2023-08-15 | T-Mobile Usa, Inc. | UE retry during network overload |
| CN116980897A (zh) * | 2022-04-22 | 2023-10-31 | 华为技术有限公司 | 通信方法和装置 |
| CN115175264A (zh) * | 2022-07-21 | 2022-10-11 | 亚信科技(中国)有限公司 | 接入核心网的方法、装置及处理器可读存储介质 |
| WO2024050736A1 (zh) * | 2022-09-07 | 2024-03-14 | 北京小米移动软件有限公司 | 通信方法、装置、系统、电子设备及介质 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008080637A1 (en) * | 2007-01-04 | 2008-07-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for determining an authentication procedure |
| CN102017677B (zh) * | 2008-04-11 | 2014-12-10 | 艾利森电话股份有限公司 | 通过非3gpp接入网的接入 |
| US8861426B2 (en) * | 2010-04-16 | 2014-10-14 | Panasonic Intellectual Property Corporation Of America | Path switching system, path switching method, and mobile terminal |
| KR102084580B1 (ko) * | 2015-08-07 | 2020-03-04 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 3gpp 네트워크로의 단말 액세스를 위한 처리 방법 및 장치 |
| CN108848112B (zh) * | 2015-09-22 | 2019-07-12 | 华为技术有限公司 | 用户设备ue的接入方法、设备及系统 |
| EP3151599A1 (en) * | 2015-09-30 | 2017-04-05 | Apple Inc. | Authentication failure handling for cellular network access through wlan |
| US9877198B1 (en) * | 2016-09-08 | 2018-01-23 | Alcatel-Lucent Usa Inc. | Network access backoff mechanism |
| CN108702724B (zh) * | 2016-11-27 | 2021-06-15 | Lg 电子株式会社 | 无线通信系统中的注销方法及其装置 |
| US10327278B2 (en) * | 2017-03-24 | 2019-06-18 | Qualcomm Incorporated | Mechanisms for establishing user plane connectivity for non-3GPP access |
| WO2019201241A1 (en) * | 2018-04-17 | 2019-10-24 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for handling access type restriction information |
-
2019
- 2019-06-28 SG SG11202012478QA patent/SG11202012478QA/en unknown
- 2019-06-28 CN CN202310661806.4A patent/CN116647394A/zh active Pending
- 2019-06-28 WO PCT/US2019/039992 patent/WO2020006515A1/en active Application Filing
- 2019-06-28 AU AU2019293046A patent/AU2019293046B2/en active Active
- 2019-06-28 BR BR112020026940-9A patent/BR112020026940A2/pt unknown
- 2019-06-28 CN CN201980044322.7A patent/CN112602298B/zh active Active
- 2019-06-28 CA CA3104374A patent/CA3104374A1/en active Pending
- 2019-06-28 JP JP2020573395A patent/JP7317056B2/ja active Active
- 2019-06-28 KR KR1020227028320A patent/KR102542210B1/ko active IP Right Grant
- 2019-06-28 US US17/257,106 patent/US20210136582A1/en active Pending
- 2019-06-28 MX MX2021000159A patent/MX2021000159A/es unknown
- 2019-06-28 KR KR1020217002859A patent/KR102435266B1/ko active IP Right Grant
- 2019-06-28 EP EP19745834.2A patent/EP3811588A1/en active Pending
-
2020
- 2020-12-21 PH PH12020552227A patent/PH12020552227A1/en unknown
- 2020-12-28 CL CL2020003401A patent/CL2020003401A1/es unknown
-
2021
- 2021-01-25 ZA ZA2021/00508A patent/ZA202100508B/en unknown
- 2021-01-28 CO CONC2021/0000912A patent/CO2021000912A2/es unknown
-
2022
- 2022-06-29 AU AU2022204645A patent/AU2022204645A1/en active Pending
-
2023
- 2023-07-18 JP JP2023116614A patent/JP2023156302A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023156302A (ja) | 2023-10-24 |
| BR112020026940A2 (pt) | 2021-03-30 |
| US20210136582A1 (en) | 2021-05-06 |
| CN112602298B (zh) | 2023-06-30 |
| MX2021000159A (es) | 2021-05-27 |
| CA3104374A1 (en) | 2020-01-02 |
| CL2020003401A1 (es) | 2021-07-02 |
| AU2019293046A1 (en) | 2021-01-21 |
| KR102435266B1 (ko) | 2022-08-22 |
| SG11202012478QA (en) | 2021-01-28 |
| ZA202100508B (en) | 2022-07-27 |
| PH12020552227A1 (en) | 2021-06-28 |
| EP3811588A1 (en) | 2021-04-28 |
| KR20210024152A (ko) | 2021-03-04 |
| AU2019293046B2 (en) | 2022-03-31 |
| JP2021530896A (ja) | 2021-11-11 |
| CN112602298A (zh) | 2021-04-02 |
| CO2021000912A2 (es) | 2021-04-19 |
| KR20230086812A (ko) | 2023-06-15 |
| WO2020006515A1 (en) | 2020-01-02 |
| AU2022204645A1 (en) | 2022-07-21 |
| JP7317056B2 (ja) | 2023-07-28 |
| KR102542210B1 (ko) | 2023-06-14 |
| KR20220119762A (ko) | 2022-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112602298B (zh) | 不允许对5gcn的非3gpp接入的处理失败 | |
| AU2022252749B2 (en) | Method and apparatus for security realization of connections over heterogeneous access networks | |
| KR101961301B1 (ko) | 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 | |
| US9716999B2 (en) | Method of and system for utilizing a first network authentication result for a second network | |
| CN110249648B (zh) | 由未经认证的用户设备执行的用于会话建立的系统和方法 | |
| KR102666042B1 (ko) | 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링 | |
| RU2774977C1 (ru) | Обработка отказа в случае не разрешения доступа к 5gcn не от 3gpp |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |