CN116711350A - 基于数字证书信息选择数据连接 - Google Patents
基于数字证书信息选择数据连接 Download PDFInfo
- Publication number
- CN116711350A CN116711350A CN202180088978.6A CN202180088978A CN116711350A CN 116711350 A CN116711350 A CN 116711350A CN 202180088978 A CN202180088978 A CN 202180088978A CN 116711350 A CN116711350 A CN 116711350A
- Authority
- CN
- China
- Prior art keywords
- application
- digital certificate
- data connection
- certificate information
- policy rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 56
- 238000004891 communication Methods 0.000 claims description 48
- 238000010295 mobile communication Methods 0.000 claims description 23
- 230000003213 activating effect Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 53
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 49
- 238000010586 diagram Methods 0.000 description 21
- 230000001413 cellular effect Effects 0.000 description 13
- 238000012545 processing Methods 0.000 description 11
- 238000001228 spectrum Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 6
- 230000011664 signaling Effects 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000004984 smart glass Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 101000741965 Homo sapiens Inactive tyrosine-protein kinase PRAG1 Proteins 0.000 description 1
- 102100038659 Inactive tyrosine-protein kinase PRAG1 Human genes 0.000 description 1
- 241000700159 Rattus Species 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于基于数字证书信息选择数据连接的装置、方法和系统。一种装置(400)包括收发器(425)和处理器(405),其接收发送数据分组的请求并确定第一应用使用的第一应用标识。处理器(405)在装置中找到与第一应用标识匹配的第一策略规则,并且确定第一应用是否与数字证书信息匹配。这里,第一策略规则包含数字证书信息。在确定第一应用与数字证书信息匹配时,处理器(405)应用第一策略规则来选择数据连接参数的第一集合,并且收发器(425)经由使用数据连接参数的第一集合的数据连接发射数据分组。
Description
技术领域
本文中公开的主题总体上涉及无线通信,并且更具体地涉及基于数字证书信息选择数据连接。
背景技术
在此定义以下缩写和首字母缩写,在以下描述中引用其中的至少一些:第三代合作伙伴计划(“3GPP”)、第五代系统(“5GS”)、认证、授权和计费(“AAA”)、应用功能(“AF”)、自动导引车辆(“AGV”)、接入和移动性管理功能(“AMF”)、反洗钱(“AML”)、肯定应答(“ACK”)、应用编程接口(“API”)、接入层(“AS”)、应用服务提供商(“ASP”)、基站(“BS”)、核心网络(“CN”)、控制平面(“CP”)、数据网络(“DN”)、去中心化标识符(“DID”)、数字标识符(“DIG-ID”)、下行链路(“DL”)、分布式账本技术(“DLT”)、DN名称(“DNN”)、分布式交易验证网络(“DTVN”)、边缘应用服务器(“EAS”)、边缘计算服务提供商(“ECSP”)、边缘数据网络(“EDN”)、边缘使能客户端(“EEC”)、边缘使能服务器(“EES”)、演进型节点B(“eNB”)、演进型分组核心(“EPC”)、未来工厂(“FF”)、FF应用使能器(“FAE”)、FAE客户端(“FAE-C”)、FAE服务器(“FAE-S”)、完全限定域名(“FQDN”,也称为“绝对域名”)、新一代(即,5G)节点-B(“gNB”)、通用分组无线电服务(“GPRS”)、通用公共服务标识符(“GPSI”)、全球移动通信系统(“GSM”)、家庭订户服务器(“HSS”)、物联网(“IoT”)、标识管理(“IM”)、了解您的客户(“KYM”)、长期演进(“LTE”)、移动边缘计算(“MEC”)、大规模IoT(“mIoT”)、移动性管理实体(“MME”)、移动网络运营商(“MNO”)、否定应答(“NACK”)或(“NAK”)、新无线电(“NR”,5G无线电接入技术;也称为“5G NR”)、非接入层(“NAS”)、非公共网络(“NPN”)、网络切片选择辅助信息(“NSSAI”)、原始设备制造商(“OEM”)、操作系统标识符(“OSid”)、空中下载(“OTA”)、分组数据单元(“PDU”,与“PDU会话”结合使用)、部分限定域名(“PQDN”,也称为作为“相对域名”)、策略控制功能(“PCF”)、公共陆地移动网络(“PLMN”)、体验质量(“QoE”)、服务质量(“QoS”)、无线电接入网络(“RAN”)、服务使能架构层(“SEAL”)、会话管理功能(“SMF”)、服务提供商(“SP”)、单网络切片选择辅助信息(“S-NSSAI”)、自主身份(“SSI”)、订阅隐藏标识符(“SUCI”)、订阅永久标识符(“SUPI”)、时间敏感网络(“TSN”)、信任服务提供商(“TSP”)、车辆对一切(“V2X”)、车辆对基础设施(“V2I”)、车辆对车辆(“V2V”)、V2X应用使能器(“VAE”)、VAE客户端(“VAE-C”)、VAE服务器(“VAE-S”)、统一数据管理(“UDM”)、用户数据存储库(“UDR”)、用户实体/设备(移动终端)(“UE”)、上行链路(“UL”)、用户平面(“UP”)、用户平面功能(“UPF”)、通用移动电信系统(“UMTS”)、垂直应用层(“VAL”)和全球微波接入互操作性(“WiMAX”)。
用户设备(“UE”)可以具有多个UE路由选择策略(“URSP”)规则,每个规则包含业务描述符组件和路由选择描述符组件。路由选择描述符组件标识必须用于发射与业务描述符组件匹配的业务的数据连接。
发明内容
公开了用于基于数字证书信息选择数据连接的过程。UE基于数字证书信息选择数据连接的一种方法包括接收发送数据分组的请求并且确定第一应用使用的第一应用标识。第一方法包括在UE中找到与第一应用标识匹配的第一策略规则,该第一策略规则中包含数字证书信息,并且确定第一应用是否与数字证书信息匹配。第一方法包括响应于确定第一应用与数字证书信息匹配来应用第一策略规则以选择数据连接参数的第一集合,并且经由使用数据连接参数的第一集合的数据连接发射数据分组。
附图说明
将通过参考在附图中示出的具体实施例来呈现对以上简要描述的实施例的更具体的描述。理解这些附图仅描绘了一些实施例并且因此不应被认为是对范围的限制,将通过使用附图以附加的特异性和细节来描述和解释实施例,在附图中:
图1是图示用于基于数字证书信息选择数据连接的无线通信系统的一个实施例的示意性框图;
图2是图示用于基于数字证书信息选择数据连接的网络架构和信令流程的程序的一个实施例的图;
图3A是图示用于应用签名的程序的一个实施例的信令流程的图;
图3B是图示用于数字证书的一个实施例的信令流程的图;
图4是图示可以被用于基于数字证书信息选择数据连接的用户设备装置的一个实施例的图;以及
图5是图示可以被用于基于数字证书信息选择数据连接的用户设备装置的一个实施例的图;以及
图6是图示可以被用于基于数字证书信息选择数据连接的方法的一个实施例的流程图。
具体实施方式
如本领域技术人员将理解的,实施例的各方面可以被体现为系统、装置、方法或程序产品。因此,实施例可以采取完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)或组合软件和硬件方面的实施例的形式。
例如,所公开的实施例可以被实现为硬件电路,包括定制的超大规模集成(“VLSI”)电路或门阵列、现成的半导体,诸如逻辑芯片、晶体管或其他分立的组件。所公开的实施例也可以在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等的可编程硬件设备中实现。作为另一示例,所公开的实施例可以包括可执行代码的一个或多个物理块或逻辑块,其可以例如被组织为对象、过程或函数。
此外,实施例可以采取体现在一个或多个计算机可读存储设备中的程序产品的形式,该一个或多个计算机可读存储设备存储机器可读代码、计算机可读代码和/或程序代码,以下称为代码。存储设备可以是有形的、非暂时性的和/或非传输的。存储设备可以不体现信号。在某个实施例中,存储设备仅采用信号用于接入代码。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是,例如,但不限于电子、磁、光、电磁、红外、全息、微机械或半导体系统、装置或设备、或前述的任何适当的组合。
存储设备的更具体示例(非详尽列表)将包括以下:具有一个或多个电线的电气连接、便携式计算机软盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式致密盘只读存储器(“CD-ROM”)、光存储设备、磁存储设备、或前述的任何适当的组合。在本文档的上下文中,计算机可读存储介质可以是能够包含或存储用于由指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合使用的程序的任何有形介质。
用于执行实施例的操作的代码可以是任意数量的行,并且可以用包括诸如Python、Ruby、Java、Smalltalk、C++等的面向对象的编程语言、和诸如“C”编程语言的传统过程编程语言、和/或诸如汇编语言的机器语言中的一种或多种编程语言的任意组合来编写。代码可以完全在用户的计算机上、部分在用户的计算机上、作为独立软件包、部分在用户的计算机上且部分在远程计算机上或完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过包括局域网(“LAN”)或广域网(“WAN”)的任何类型的网络连接到用户的计算机,或者可以连接到外部计算机(例如,通过使用因特网服务提供商的因特网)。
贯穿本说明书对“一个实施例”、“实施例”或类似语言的引用意指结合该实施例描述的特定特征、结构或特性被包括在至少一个实施例中。因此,除非另有明确说明,否则贯穿本说明书的短语“在一个实施例中”、“在实施例中”和类似语言的出现可以但不一定都指代相同的实施例,而是意指“一个或多个但不是所有实施例”。除非另有明确说明,否则术语“包括”、“包含”、“具有”及其变形意指“包括但不限于”。除非另有明确说明,否则列举的项的列表并不暗示任何或所有项是相互排斥的。除非另有明确说明,否则术语“一个”、“一”和“该”也指“一个或多个”。
如本文所使用的,具有“和/或”连词的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所使用的,使用术语“...的一个或多个”的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和C的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所使用的,使用术语“...中的一个”的列表包括列表中的任何单个项中的一个且仅一个。例如,“A、B和C中的一个”包括仅A、仅B或仅C并且不包括A、B和C的组合。如本文所使用的,“选自由A、B和C组成的组的成员”包括A、B或C中的一个且仅一个,并且不包括A、B和C的组合。如本文所使用的,“选自由A、B和C及其组合组成的组的成员”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
此外,实施例的描述的特征、结构或特性可以以任何适当的方式组合。在下面的描述中,提供了许多具体细节,诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例,以提供对实施例的透彻理解。然而,相关领域的技术人员将认识到,实施例可以在没有这些具体细节的一个或多个的情况下或者利用其他方法、组件、材料等来实践。在其他实例中,未详细示出或描述众所周知的结构、材料或操作以避免模糊实施例的各方面。
下面参考根据实施例的方法、装置、系统和程序产品的示意流程图和/或示意性框图来描述实施例的各方面。将理解,示意流程图和/或示意性框图中的各个框以及示意流程图和/或示意性框图中的框的组合都能够通过代码来实现。该代码可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得通过计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图和/或框图中指定的功能/动作的装置。
代码还可以被存储在存储设备中,该存储设备能够引导计算机、其他可编程数据处理装置或其他设备以特定方式运行,使得存储在存储设备中的指令产生包括实现流程图和/或框图中指定的功能/动作的指令的制品。
代码还可以被加载到计算机、其他可编程数据处理装置或其他设备上,以使一系列操作步骤在计算机、其他可编程装置或其他设备上执行,从而产生计算机实现的过程,使得在计算机或其他可编程装置上执行的代码提供用于实现流程图和/或框图中指定的功能/动作的过程。
附图中的流程图和/或框图示出了根据各种实施例的装置、系统、方法和程序产品的可能实现方式的架构、功能和操作。在这点上,流程图和/或框图中的每个框可以表示模块、段或代码的一部分,其包括用于实现指定逻辑功能的代码的一个或多个可执行指令。
还应注意,在一些替代实现方式中,框中标注的功能可以不按图中标注的顺序出现。例如,取决于所涉及的功能,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行。可以设想到在功能、逻辑或效果上与示出的图的一个或多个框或其部分等效的其他步骤和方法。
尽管在流程图和/或框图中可以采用各种箭头类型和线类型,但它们不被理解为限制对应实施例的范围。实际上,一些箭头或其他连接器可以用于仅指示描绘的实施例的逻辑流程。例如,箭头可以指示描绘的实施例的列举步骤之间的未指定持续时间的等待或监测时段。还将注意,框图和/或流程图的每个框以及框图和/或流程图中的框的组合能够由执行指定功能或动作的基于专用硬件的系统或专用硬件与代码的组合来实现。
每个图中的元件的描述可以参考前面的附图的元件。在所有附图中,相同的标号指代相同的元件,包括相同元件的替代实施例。
通常,本公开描述了用于基于数字证书信息选择数据连接的系统、方法和装置。本文公开了用于扩展UE路由选择策略(“URSP”)规则的业务描述符组件的机制/技术,该规则被扩展以还包含数字证书信息。
如在TS 23.502中指定的,具有5G能力的UE可以具有多个URSP规则,每个规则包含业务描述符组件和路由选择描述符组件。在一个实施例中,URSP规则能够利用数据连接参数的第一集合将由第一应用生成的业务映射到数据连接中。为了标识由第一应用生成的业务,URSP规则的业务描述符组件包括第一应用的标识。
然而,请注意,应用的标识不是安全标识符,即,它不能唯一地标识应用。因此,第二应用被(恶意)设计为具有与第一应用的标识符相同的标识符是可行的。这样,第二应用伪装成第一应用,并且能够使UE基于被设计成为应用于第一应用的业务的URSP规则来发射其业务。
为了克服这个问题,本公开引入了对URSP规则和UE应用的程序的变化。特别是,URSP规则的业务描述符组件被扩展以还包含数字证书信息。在一个实施例中,数字证书信息包含例如,证书指纹的唯一地标识数字证书的信息。只有当此应用使用URSP规则中的数字证书信息标识的证书进行签名时,UE才对应用的业务应用URSP规则。当前的3GPP规范没有定义带有数字证书信息的URSP规则,并且没有定义UE如何应用分组含应用标识和数字证书信息的URSP规则。
图1描绘了根据本公开的实施例的用于测量RTT的无线通信系统100。在一个实施例中,无线通信系统100包括至少一个远程单元105、5G-RAN 115和移动核心网络140。5G-RAN 115和移动核心网络140形成移动通信网络。5G-RAN 115可以由包含至少一个蜂窝基站单元121的3GPP接入网络120和/或包含至少一个接入点131的非3GPP接入网络130组成。远程单元使用3GPP通信链路123与3GPP接入网络120通信并使用非3GPP通信链路133与非3GPP接入网络130通信。即使在图1中描绘了特定数量的远程单元105、3GPP接入网络120、蜂窝基站121、3GPP通信链路123、非3GPP接入网络130、接入点131、非3GPP通信链路133、以及移动核心网络140,但是本领域技术人员将认识到任何数量的远程单元105、3GPP接入网络120、蜂窝基站单元121、3GPP通信链路123、非3GPP接入网络130、接入点131、非3GPP通信链路133和移动核心网络140可以被包括在无线通信系统100中。
在一个实施方式中,无线通信系统100符合3GPP规范中规定的5G系统。然而,更一般地,无线通信系统100可以实现一些其他开放或专有通信网络,例如,LTE或WiMAX,以及其他网络。本公开不旨在限于任何特定无线通信系统架构或协议的实施方式。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到因特网的电视)、智能电器(例如,连接到因特网的电器)、机顶盒、游戏机、安全系统(包括安全摄像头)、车载电脑、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以称为UE、订户单元、移动设备、移动台、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、设备、或本领域中使用的其他术语。
远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号与3GPP接入网络120中的一个或多个蜂窝基站单元121直接通信。此外,UL和DL通信信号可以通过3GPP通信链路123承载。类似地,远程单元105可以经由通过非3GPP通信链路133承载的UL和DL通信信号与非3GPP接入网络130中的一个或多个接入点131通信。这里,接入网络120和130是为远程单元105提供对移动核心网络140的接入的中间网络。
远程单元105可以具有多个网络接口,每个网络接口使用3GPP接入(例如,5G无线电接入)或非3GPP接入(例如,WLAN无线电接入、卫星无线电接入等)。远程单元105经由远程单元105和移动核心网络140之间的网络连接传送数据业务,诸如通过3GPP接入或非3GPP接入建立的PDU会话。通过3GPP接入和非3GPP接入两者建立的PDU会话称为“多接入”PDU会话。在一些实施例中,远程单元105可以通过非3GPP接入网络直接卸载数据业务,例如,卸载到本地服务器实例。
在一些实施例中,远程单元105经由与移动核心网络140的网络连接与远程主机155通信。例如,远程单元105中的移动应用(例如,网络浏览器、媒体客户端、电话/VoIP应用、移动应用客户端109)可以触发远程单元105以使用5G-RAN 115(例如,3GPP接入网络120和/或非-3GPP接入网络130)与移动核心网络140建立PDU会话(或其他数据连接)。移动核心网络140然后使用PDU会话在远程单元105和数据网络150(例如,远程主机155)之间中继业务。PDU会话代表远程单元105和UPF 141之间的逻辑连接。为了建立PDU会话,远程单元105必须向移动核心网络注册。
每个PDU会话本质上是UE和UE显式地建立的移动通信网络之间的虚拟数据连接。PDU会话具有在PDU会话建立时由UE和移动通信网络协商的某些属性。这些属性在PDU会话的整个生命周期内保持相同。PDU会话可以经由3GPP接入或经由非3GPP接入来建立。
注意,远程单元105可以与移动核心网络140建立一个或多个PDU会话(或其他数据连接)。因此,远程单元105可以具有用于与数据网络150通信的至少一个PDU会话。远程单元105可以建立用于与其他数据网络和/或其他远程主机通信的额外的PDU会话。在各种实施例中,远程单元105可以配置有用于将移动应用的业务引导到特定PDU会话的UE路由选择策略规则110。
蜂窝基站单元121可以分布在地理区域上。在某些实施例中,蜂窝基站单元121还可以称为接入终端、基本、基站、Node-B、eNB、gNB、家庭Node-B、中继节点、设备、或本领域中使用的任何其他术语。蜂窝基站单元121通常是无线电接入网络(“RAN”)的一部分,诸如3GPP接入网络120,其可以包括可通信地耦合到一个或多个相应的蜂窝基站单元121的一个或多个控制器。无线电接入网络的这些和其他元件没有被图示,但通常为本领域普通技术人员所熟知。蜂窝基站单元121经由3GPP接入网络120连接到移动核心网络140。
蜂窝基站单元121可以经由3GPP通信链路123服务于例如,小区或小区扇区的服务区域内的多个远程单元105。蜂窝基站单元121可以经由通信信号直接与一个或多个远程单元105通信。通常,蜂窝基站单元121发射DL通信信号以在时域、频域和/或空间域中服务于远程单元105。此外,DL通信信号可以通过3GPP通信链路123承载。3GPP通信链路123可以是授权或非授权的无线电频谱中的任何合适的载波。3GPP通信链路123促进一个或多个远程单元105和/或一个或多个蜂窝基站单元121之间的通信。
非3GPP接入网络130可以分布在地理区域上。每个非3GPP接入网络130可以通过服务区域服务于多个远程单元105。非3GPP接入网络130中的接入点131可以通过接收UL通信信号和发射DL通信信号来与一个或多个远程单元105直接通信以在时域、频域和/或空间域中服务于远程单元105。DL和UL通信信号两者通过非3GPP通信链路133承载。3GPP通信链路123和非3GPP通信链路133可以采用不同的频率和/或不同的通信协议。在各种实施例中,接入点131可以使用未授权的无线电频谱进行通信。移动核心网络140可以经由非3GPP接入网络130向远程单元105提供服务,如本文更详细描述的。
在一些实施例中,非3GPP接入网络130经由互通功能135连接到移动核心网络140。互通功能135提供远程单元105和移动核心网络140之间的互通。在一些实施例中,互通功能135是非3GPP互通功能(“N3IWF”),并且在其他实施例中,它是可信(trusted)非3GPP网关功能(“TNGF”)。N3IWF支持“不可信(untrusted)”的非3GPP接入网络连接到移动核心网络(例如,5GC),然而TNGF支持“可信”的非3GPP接入网络连接到移动核心网络。互通功能135支持经由“N2”和“N3”接口到移动核心网络140的连接性,并且它在远程单元105和AMF 143之间中继“N1”信令。3GPP接入网络120和互通功能135两者使用“N2”接口与AMF 143通信。互通功能135还使用“N3”接口与UPF 141通信。
在某些实施例中,非3GPP接入网络130可以由移动核心网络140的运营商控制并且可以直接接入移动核心网络140。这样的非3GPP AN部署被称为“可信的非3GPP接入网络。当非3GPP接入网络130由3GPP运营商或受信任的合作伙伴运营并且支持某些安全特征——诸如强空中接口加密——时,它被认为是“可信的”。相比之下,不受移动核心网络140的运营商(或可信的合作伙伴)控制、不具有对移动核心网络140的直接接入或不支持某些安全特征的非3GPP AN部署被称为“非可信(non-trusted)”的非3GPP接入网络。
在一个实施例中,移动核心网140是5G核心(“5GC”)或演进型分组核心网络(“EPC”),其可以耦合到数据网络(例如,数据网络150,诸如互联网和专用数据网络,以及其他数据网络)。远程单元105可以具有与移动核心网络140的订阅或其他账户。每个移动核心网络140属于单个公共陆地移动网络(“PLMN”)。本公开不旨在限于任何特殊无线通信系统架构或协议的实施方式。
移动核心网络140包括若干网络功能(“NF”)。如所描绘的,移动核心网140至少包括服务于3GPP接入网络120和非3GPP接入网络130的UPF 141。注意,在某些实施例中,移动核心网络可以包含一个或多个中间UPF,例如,服务于非3GPP接入网络130的第一中间UPF和服务于3GPP接入网络120的第二中间UPF。在这样的实施例中,UPF 141将是接收两个中间UPF的UP业务的锚UPF。
移动核心网络140还包括多个控制平面功能,包括但不限于服务于3GPP接入网络120和非3GPP接入网络130的接入和移动性管理功能(“AMF”)143、会话管理功能(“SMF”)145、策略控制功能(“PCF”)147以及统一数据管理功能(“UDM”)149。在某些实施例中,移动核心网络140还可以包括认证服务器功能(“AUSF”)、网络存储库功能(“NRF”)(由各个NF用于通过API发现和相互通信)、或为5GC定义的其他NF。
在各个实施例中,移动核心网络140支持不同类型的移动数据连接和不同类型的网络切片,其中每个移动数据连接利用特定的网络切片。这里,“网络切片”指的是针对某个业务类型或通信服务优化的移动核心网络140的一部分。每个切片可以使用S-NSSAI来标识。在某些实施例中,各种网络切片可以包括网络功能的单独实例,诸如SMF 145和UPF141。在一些实施例中,不同的网络切片可以共享一些公共网络功能,诸如AMF 143。为便于说明在图1中未示出不同的网络切片,但是假定它们的支持。
尽管图1中描绘了特定数量和类型的网络功能,但是本领域的技术人员将认识到任何数量和类型的网络功能可以被包括在移动核心网络140中。此外,其中移动核心网络140是EPC,所描述的网络功能可以用诸如MME、S-GW、P-GW、HSS等的适当的EPC实体代替。
如所描绘的,远程单元105(例如,UE)可以经由两种类型的接入连接到移动核心网络(例如,连接到5G移动通信网络):(1)经由3GPP接入网络120和(2)经由非3GPP接入网络130。第一类型的接入(例如,3GPP接入网络120)使用3GPP定义类型的无线通信(例如,NG-RAN),并且第二类型的接入(例如,非3GPP接入网络130)使用非3GPP定义类型的无线通信(例如,WLAN)。5G-RAN 115指的是能够提供对移动核心网络140的接入的任何类型的5G接入网络,包括3GPP接入网络120和非3GPP接入网络130。
如上所述,具有5G能力的UE可以具有多个URSP规则,每个规则包含业务描述符组件和路由选择描述符组件。路由选择描述符组件标识必须用于发射与业务描述符组件匹配的业务的数据连接。数据连接用数据连接参数的集合来标识,其中数据连接参数能够标识(a)经由数据连接可达的外部数据网络的名称(例如,数据网络名称),(b)由数据连接利用的网络切片(例如,由S-NSSAI标识),(c)由数据连接利用的无线电接入网络类型(例如,3GPP接入或非3GPP接入),(d)由数据连接利用的IP类型(例如,IPv4或IPv6),(e)由数据连接提供的会话和服务连续性类型(“SSC类型”)等。
虽然图1描绘了5G RAN和5G核心网络的组件,但所描述的解决方案应用于其他类型的通信网络和RAT,包括IEEE 802.11变体、GSM、GPRS、UMTS、LTE变体、CDMA 2000、蓝牙、ZigBee、Sigfoxx等。例如,在涉及EPC的LTE变体中,AMF 143可以映射到MME,SMF 145可以映射到PGW的控制平面部分和/或映射到MME,UPF 141可以映射到SGW和PGW的用户平面部分、UDM/UDR 149可以映射到HSS等。因此,虽然在5G系统的场境下主要描述操作,但所提出的解决方案/方法也同样适用于支持基于数字证书信息的数据连接选择的其他移动通信系统。
图2描绘了用于基于数字证书信息选择数据连接的程序200。该程序200由包含用第一数字证书进行签名的第一应用201的UE 205实现。这意味着第一应用201用与第一数字证书中的公钥对应的私钥加密签名,并且第一数字证书中的公钥能够被用于验证第一应用201的真实性。下面参考附图3A-3B讨论应用签名和数字证书的示例。在各种实施例中,每个UE应用用唯一数字证书进行签名。
UE 205被配置有一个或多个URSP规则203的集合,每个URSP规则包含业务描述符组件和路由选择描述符组件(根据TS 23.503)。路由选择描述符组件指示必须用于发射与业务描述符组件匹配的业务的数据连接参数。本质上,URSP规则203将在UE 205中生成的不同业务流映射到不同的数据连接中,每个数据连接利用不同的数据连接参数。
UE 205与包括无线电接入网络(例如,5G-RAN)和核心网络(例如,5G核心网络)的移动通信网络215(例如,5G网络)通信。无线电接入网络能够包括多种类型的无线电接入网络,例如,3GPP接入网络和非3GPP接入网络。
移动通信网络215支持多个数据连接(PDU会话),每个数据连接利用数据连接参数的集合。数据连接参数能够标识(a)经由数据连接(诸如数据网络150)可到达的外部数据网络的名称(数据网络名称,DNN)、(b)由数据连接利用的网络切片(S-NSSAI)、(c)由数据连接利用的无线电接入网络类型(3GPP接入或非3GPP接入)、(d)由数据连接利用的IP类型(例如,IPv4或IPv6)、(e)由数据连接提供的会话和服务连续性类型(SSC类型)等。例如,数据连接125利用3GPP接入网类型,然而数据连接135利用非3GPP接入网络类型。
UE可以具有与移动通信网络的一个或多个数据连接。在所描绘的实施例中,UE205包括至少支持到移动通信网络215的第一连接211和到网络215的第二连接213的无线电收发器209。
程序200开始于步骤1,因为UE 205中的移动OS 207接收发送数据分组的请求。虽然我们考虑移动OS 207接收请求,在替代实施例中,移动OS 207外部的组件可以接收此请求,例如,UE 205中的另一应用或UE 205的调制解调器中的组件。
在步骤2处,移动OS 207确定由第一应用201使用的第一应用标识,即,确定发送请求的应用的标识,例如,“com.example.first-app”。
在步骤3处,移动OS 207在UE 205中找到与第一应用标识匹配的第一URSP规则303。此URSP规则可以被称为“候选URSP规则”和/或“匹配URSP规则”。描绘了一个示例URSP规则227。示例URSP规则227匹配第一应用标识,因为它包含具有等同于第一应用标识“com.example.first-app”的应用标识的业务描述符。
在步骤4处,移动OS 207确定第一URSP规则包含数字证书信息,例如,证书指纹。证书指纹由唯一地标识数字证书的值和用于生成此值的散列函数组成。例如,
证书指纹=SHA-1(数字证书的内容),
其中SHA-1是散列函数。
在示例URSP规则227中,数字证书信息被包含在URSP规则227的业务描述符组件中并且由证书指纹组成。在其他实施例中,匹配URSP规则能够包含其他类型的数字证书信息,例如,发布者名称。
注意,URSP规则303由移动通信网络215生成并发送到UE 205。在一些实施例中,移动通信网络包括从应用分组提取数字证书并创建数字证书信息——诸如证书指纹——的功能性。在其他实施例中,移动通信网络215包括至少一个接口,其中外部应用功能能够向网络215发送与应用相关联的数字证书信息。外部应用功能可以向网络215发送用于多个应用的数字证书信息。
在步骤5处,移动OS 207确定第一应用201是否与数字证书信息匹配。例如,当数字证书信息包含证书指纹(例如,“SHA-1:d7268d869be7d87cb797e8f7449bf2451ed8019b”)时,移动OS 207使用此指纹中的散列函数(例如,SHA-1)和第一数字证书的内容来生成散列值。如果此散列值等同于URSP规则中的证书指纹值(例如,“d7268d869be7d87cb797e8f7449bf2451ed8019b”),则第一应用201与数字证书信息匹配。
当数字证书信息包含发布者名称时,当匹配的URSP规则中的发布者名称与第一数字证书中的发布者名称相同时,第一应用201与数字证书信息匹配。
在步骤6处,如果确定第一应用与数字证书信息匹配,则移动OS 207应用第一URSP规则来选择数据连接参数的第一集合。当移动OS 207应用匹配的URSP规则时,它在匹配的URSP规则的路由选择描述符中选择数据连接参数(接入类型、DNN等)。如果第一应用201与匹配第一应用标识的URSP规则中的数字证书信息不匹配,则不应用URSP规则,并且UE 205尝试找到与第一应用标识匹配的另一URSP规则(即,再次执行步骤3)。
在步骤7处,移动OS 207经由使用数据连接参数的第一集合的数据连接发射数据分组。
图3A描绘了用于应用签名的程序300的一个示例。应用分组301包含原始应用303(即,一个或多个文件),并且还包含数字证书305和数字签名307。在(例如,向移动市场)发布原始应用303之前,通过使用发布者的私钥313对其进行加密签名,该私钥313是仅由发布者已知的唯一密钥。
能够用于验证应用文件303的真实性的所生成的数字签名307和数字证书305都被包括在能够发布和分发的应用分组301中。在所描绘的实施例中,原始应用文件303通过密码散列函数309(例如,SHA-1、SHA-256或另一合适的算法)运行。由密码散列函数309输出的散列值然后由加密函数311使用发布者的私钥313加密成数字签名307。注意,私钥313是公钥-私钥对中的一个,其中对应的公钥被包括在数字证书305中。下面参考图3B讨论数字证书的一个示例。
当在UE中下载应用时,UE中的移动OS使用公钥和包含在嵌入式数字证书中的密码算法来验证应用的真实性,即,确认应用是由仅发布者已知的对应私钥进行签名的。如果此验证成功,则UE知道应用是真实的,即,它没有以任何方式被修改。它还知道应用发布者的名称。
图3B描绘了根据本公开的实施例的数字证书305的一个示例。注意,每个UE应用可以用唯一数字证书305进行签名,该唯一数字证书305通常包含有效期、应用的发布者、发布者的公钥等。在示例数字证书305中,发行者是“示例通信公司”。数字证书305包含能够被用于生成公钥、发布者名称(发行者)、有效期、应用于创建数字签名的密码算法(具有RSA加密的SHA1)等的模块和指数。
图4描绘了根据本公开的实施例的可以被用于基于数字证书信息选择数据连接的用户设备装置400的一个实施例。在各种实施例中,用户设备装置400被用于实现上面描述的一个或多个解决方案。用户设备装置400可以在诸如上述的远程单元105和/或UE 205的UE中实现。此外,用户设备装置400可以包括处理器405、存储器410、输入设备415、输出设备420、以及收发器425。在一些实施例中,输入设备415和输出设备420被组合成单个设备,诸如触摸屏。在某些实施例中,用户设备装置400可以不包括任何输入设备415和/或输出设备420。在各种实施例中,用户设备装置400可以包括下述中的一个或多个:处理器405、存储器410和收发器425,并且可以不包括输入设备415和/或输出设备420。
如所描绘的,收发器425包括至少一个发射器430和至少一个接收器435。这里,收发器425与一个或多个远程单元105通信。另外,收发器425可以支持至少一个网络接口440。在一些实施例中,收发器425支持用于与RAN中的一个或多个基站通信的第一接口(例如,Uu接口)、用于与AMF通信的第二接口(例如,N1接口)以及用于与TSN系统通信的第三接口。
在一个实施例中,处理器405可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器405可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、FPGA、或类似的可编程控制器。在一些实施例中,处理器405执行存储在存储器410中的指令以执行本文中所描述的方法和例程。处理器405通信地耦合到存储器410、输入设备415、输出设备420和收发器425。在各种实施例中,处理器405控制用户设备装置400以实现上述UE行为。
在各种实施例中,处理器405控制用户设备装置400以实现上述UE行为。在一些实施例中,处理器405接收请求(即,来自在用户设备装置400上运行的应用的内部请求)以发送数据分组并且确定由第一应用使用的第一应用。处理器405在用户设备装置400中找到与第一应用标识匹配的第一策略规则并确定第一应用是否与数字证书信息匹配,该第一策略规则包含数字证书信息。在确定第一应用与数字证书信息匹配时,处理器405应用第一策略规则以选择数据连接参数的第一集合并且经由使用数据连接参数的第一集合的数据连接发射数据分组。
在一些实施例中,处理器405通过确定发送请求的应用的标识来确定第一应用标识。在一些实施例中,用户设备装置400由移动通信网络配置有多个策略规则。在一些实施例中,用户设备装置400包含SIM(例如,USIM),其中该SIM包含多个策略规则。在一些实施例中,策略规则是URSP规则。在一个实施例中,SIM被预配置有策略规则。
在一些实施例中,当第一策略规则的业务描述符包含等同于第一应用标识的应用标识时,第一策略规则与第一应用标识匹配。在一些实施例中,第一策略规则包含包括应用标识和数字证书信息的业务描述符组件(例如,如示例URSP规则227所示)。
在一些实施例中,数字证书信息包含唯一地标识数字证书305的信息(例如,证书指纹)。在这样的实施例中,唯一地标识数字证书的信息由指纹值和被利用于生成该指纹值的散列函数组成。在一些实施例中,数字证书信息包含标识第一应用的发布者的信息。
在一些实施例中,如果第一策略规则的业务描述符组件中的数字证书信息标识第一数字证书,则第一应用与数字证书信息匹配,其中该第一数字证书是通过其对第一应用进行签名的证书。在一些实施例中,如果第一策略规则的业务描述符组件中的数字证书信息包含包括在第一数字证书中的信息,则第一应用与数字证书信息匹配,其中第一数字证书是通过其对第一应用进行签名的证书。
在一些实施例中,处理器405通过在此规则中选择包含在路由选择描述符中的数据连接参数的集合并且应用这些数据连接参数来发射数据分组应用第一策略规则。在这样的实施例中,处理器405可以确定利用数据连接参数的第一集合的数据连接是否已经在用户设备装置400中被激活。如果尚未在用户设备装置400中激活,则处理器405激活利用数据连接参数的第一集合的数据连接。处理器405控制收发器425以经由已激活的数据连接发射数据分组。
用户设备装置400支持一个或多个应用接口445。每个应用接口445支持在用户设备装置400上运行的应用实例当中的通信和/或支持与外部应用实例的通信,例如,在网络设备或UE上运行的。在一些实施例中,应用接口445包括允许在用户设备装置400上运行的应用接入其他应用、服务或操作系统的数据和特征的功能和程序的集合。
在一个实施例中,存储器410是计算机可读存储介质。在一些实施例中,存储器410包括易失性计算机存储介质。例如,存储器410可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器410包括非易失性计算机存储介质。例如,存储器410可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器410包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器410存储与用于基于数字证书信息选择数据连接有关的数据。例如,存储器410可以存储数字证书、数字证书信息、URSP规则等。在某些实施例中,存储器410还存储程序代码和相关数据,诸如在远程单元105上操作的操作系统或其他控制器算法。
在一个实施例中,输入设备415可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、指示笔、麦克风等。在一些实施例中,输入设备415可以与输出设备420集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备415包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上的手写被输入。在一些实施例中,输入设备415包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备420被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备420包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备420可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备420可以包括与用户设备设备400的其余部分分离,但通信地耦合到的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等。此外,输出设备420可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备420包括用于产生声音的一个或多个扬声器。例如,输出设备420可以产生听觉警报或通知(例如,蜂鸣声或嘟嘟声)。在一些实施例中,输出设备420包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备420的全部或部分可以与输入设备415集成。例如,输入设备415和输出设备420可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备420可以位于输入设备415附近。
收发器425在处理器405的控制下操作以发射消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器405可以在特殊时间选择性地激活收发器(或其部分)以便于发送和接收消息。
在各种实施例中,收发器425被配置成与3GPP接入网络和/或非3GPP接入网络通信。在一些实施例中,收发器425实现用于3GPP接入网络和/或非3GPP接入网络的调制解调器功能性。在一个实施例中,收发器425使用不同通信协议或协议栈实现多个逻辑收发器,同时使用通用物理硬件。
在一个实施例中,收发器425包括用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对。在某些实施例中,用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对可以被组合成单个收发器单元,例如,执行与授权和未授权无线电频谱两者使用的功能的单个芯片。在一些实施例中,第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如,某些收发器425、发射器430和接收器435可以被实现为物理上分离的组件,这些组件接入共享的硬件资源和/或软件资源,诸如例如网络接口440。
收发器425可以包括一个或多个发射器430和一个或多个接收器435。尽管仅图示了一个发射器430和一个接收器435,但是用户设备装置400可以具有任何合适数量的发射器430和接收器435。此外,发射器430和接收器435可以是任何合适类型的发射器430和接收器435。在某些实施例中,一个或多个发射器430和/或一个或多个接收器435可以共享收发器硬件和/或电路。例如,一个或多个发射器430和/或一个或多个接收器435可以共享天线、天线调谐器、放大器、滤波器、振荡器、混频器、调制器/解调器、电源等。
在各种实施例中,一个或多个发射器430和/或一个或多个接收器435可以被实现和/或集成到单个硬件组件中,诸如,多收发器芯片、片上系统、应用集成电路(“ASIC”)或其他类型的硬件组件。在某些实施例中,一个或多个发射器430和/或一个或多个接收器435可以被实现和/或集成到多芯片模块中。在一些实施例中,诸如网络接口440的其他组件或其他硬件组件/电路可以与任意数量的发射器430和/或接收器435集成到单个芯片中。在这样的实施例中,发射器430和接收器435可以被逻辑地配置为使用一个更常见的控制信号的收发器425,或者被实现为在相同硬件芯片或多芯片模块中实现的模块化发射器430和接收器435。在某些实施例中,收发器425可以实现3GPP调制解调器(例如,用于经由NR或LTE接入网络进行通信)和非3GPP调制解调器(例如,用于经由Wi-Fi或其他非GPP接入网络进行通信)。
图5描绘了根据本公开的实施例的可以用于基于数字证书信息选择数据连接的网络设备装置500的一个实施例。在一些实施例中,网络设备装置500可以实现网络功能,诸如UPF、AMF、SMF、PCF和/或UDM/UDR。此外,网络设备装置500可以包括处理器505、存储器510、输入设备515、输出设备520、收发器525。在一些实施例中,输入设备515和输出设备520被组合成单个设备,诸如触摸屏。在某些实施例中,网络设备装置500不包括任何输入设备515和/或输出设备520。
如所描绘的,收发器525包括至少一个发射器530和至少一个接收器535。这里,收发器525与一个或多个远程单元105通信。另外,收发器525可以支持至少一个网络接口540。在一些实施例中,收发器525支持用于与RAN节点通信的第一接口、用于与移动核心网络(例如,5GC)中的一个或多个网络功能通信的第二接口以及用于与远程单元(例如,UE)通信的第三接口。
在一个实施例中,处理器505可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器505可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中,处理器505执行存储在存储器510中的指令以执行本文中所描述的方法和例程。处理器505通信地耦合到存储器510、输入设备515、输出设备520和第一收发器525。
在各种实施例中,网络设备装置500获取用于一个或多个应用的数字证书信息并创建包含数字证书信息的URSP规则。在一些实施例中,处理器505解析应用分组以提取数字证书。处理器505然后可以生成数字证书信息,例如,通过对数字证书的内容应用散列函数来形成证书指纹。在其他实施例中,处理器505从应用的发布者接收数字证书信息,例如,经由应用接口545。注意,处理器505可以通过修改一个或多个现有URSP规则以将数字证书信息包括在业务描述符部分中来创建包含数字证书信息的URSP规则。
在一个实施例中,存储器510是计算机可读存储介质。在一些实施例中,存储器510包括易失性计算机存储介质。例如,存储器510可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器510包括非易失性计算机存储介质。例如,存储器510可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器510包括易失性和非易失性计算机存储介质两者。在一些实施例中,存储器510存储与基于数字证书信息选择数据连接相关的数据,例如存储数字证书信息、URSP规则等。在某些实施例中,存储器510还存储程序代码和相关数据,诸如在网络设备装置500上操作的操作系统(“OS”)或其他控制器算法以及一个或多个软件应用。
在一个实施例中,输入设备515可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、触控笔、麦克风等。在一些实施例中,输入设备515可以与输出设备520集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备515包括触摸屏,使得可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上的手写来输入文本。在一些实施例中,输入设备515包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备520可以包括任何已知的电子可控显示器或显示设备。输出设备520可以被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备520包括能够向用户输出视觉数据的电子显示器。例如,输出设备520可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备520可以包括可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等。此外,输出设备520可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备520包括用于产生声音的一个或多个扬声器。例如,输出设备520可以产生听觉警报或通知(例如,蜂鸣声或嘟嘟声)。在一些实施例中,输出设备520包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备520的全部或部分可以与输入设备515集成。例如,输入设备515和输出设备520可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备520的全部或部分可以位于输入设备515附近。
如在上面所讨论的,收发器525可以与一个或多个远程单元和/或与提供对一个或多个PLMN的接入的一个或多个互通功能通信。收发器525还可以与一个或多个网络功能(例如,在移动核心网络140中)通信。收发器525在处理器505的控制下操作以发射消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器505可以在特定时间选择性地激活收发器(或其部分)以便于发送和接收消息。
收发器525可以包括一个或多个发射器530和一个或多个接收器535。在某些实施例中,一个或多个发射器530和/或一个或多个接收器535可以共享收发器硬件和/或电路。例如,一个或多个发射器530和/或一个或多个接收器535可以共享天线、天线调谐器、放大器、滤波器、振荡器、混频器、调制器/解调器、电源等。在一个实施例中,收发器525使用不同的通信协议或协议栈实现多个逻辑收发器,同时使用公共物理硬件。
图6描绘了根据本公开的实施例的用于基于数字证书信息选择数据连接的方法600的一个实施例。在各种实施例中,该方法600由诸如如上所述的远程单元105、UE 205和/或用户设备装置400的UE执行。在一些实施例中,该方法600由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等的处理器执行。
该方法600开始并接收605发送数据分组的请求。该方法600包括确定610由第一应用使用的第一应用标识。该方法600包括在UE中找到615与第一应用标识匹配的第一策略规则,该第一策略规则包含数字证书信息。该方法600包括确定620第一应用是否与数字证书信息匹配。该方法600包括响应于确定第一应用与数字证书信息匹配应用625第一策略规则以选择数据连接参数的第一集合。该方法600包括经由使用数据连接参数的第一集合的数据连接发射630数据分组。该方法600结束。
在此公开了根据本发明的实施例的用于基于数字证书信息选择数据连接的第一装置。第一装置可以由诸如远程单元105、UE 205和/或用户设备装置400的UE实现。第一装置包括收发器,该收发器与支持多个数据连接的移动通信网络通信(即,PDU会话)。在此,每个数据连接利用数据连接参数的集合(例如,接入类型、DNN、S-NSSAI、SSC类型、IP类型等)。
第一装置包括处理器,该处理器接收发送数据分组的请求(即,来自在UE上运行的应用的内部请求)并确定由第一应用使用的第一应用标识。处理器在UE中找到与第一应用标识匹配的第一策略规则,该第一策略规则中包含数字证书信息,并确定第一应用是否与数字证书信息匹配。在确定第一应用与数字证书信息匹配时,处理器应用第一策略规则来选择数据连接参数的第一集合并且经由使用数据连接参数的第一集合的数据连接来发射数据分组。
在一些实施例中,处理器通过确定发送请求的应用的标识来确定第一应用标识。在一些实施例中,UE由移动通信网络被配置有多个策略规则。在一些实施例中,UE包含包含多个策略规则的SIM(例如,USIM)。在一些实施例中,策略规则是URSP规则。
在一些实施例中,当第一策略规则的业务描述符包含等同于第一应用标识的应用标识时,第一策略规则与第一应用标识匹配。在一些实施例中,第一策略规则包含业务描述符组件,该业务描述符组件包括应用标识和数字证书信息。
在一些实施例中,数字证书信息包含唯一地标识数字证书的信息(例如,证书指纹)。在这样的实施例中,唯一地标识数字证书的信息由指纹值和用于生成指纹值的散列函数组成。在一些实施例中,数字证书信息包含标识第一应用的发布者的信息。
在一些实施例中,如果第一策略规则的业务描述符组件中的数字证书信息标识第一数字证书,则第一应用与数字证书信息匹配,其中该第一数字证书是通过其对第一应用进行签名的证书。在一些实施例中,如果第一策略规则的业务描述符组件中的数字证书信息包含第一数字证书中包括的信息,则第一应用与数字证书信息匹配,其中该第一数字证书是通过其对第一应用进行签名的证书。
在一些实施例中,处理器通过选择包含在第一策略规则中的路由选择描述符中的数据连接参数的集合并应用这些数据连接参数来发射数据分组来应用此规则。在这样的实施例中,处理器可以确定利用数据连接参数的第一集合的数据连接是否已经在UE中被激活。如果尚未在UE中激活,则处理器激活利用数据连接参数的第一集合的数据连接。处理器控制收发器以经由已激活的数据连接发射数据分组。
本文公开了根据本公开的实施例的用于基于数字证书信息选择数据连接的第一方法。第一方法可以由诸如远程单元105、UE 205和/或用户设备装置400的UE执行。第一方法包括接收发送数据分组的请求(即,来自UE上运行的应用的内部请求)并且确定第一应用使用的第一应用标识。第一方法包括在UE中找到与第一应用标识匹配的第一策略规则,该第一策略规则包含数字证书信息,并且确定第一应用是否与数字证书信息匹配。第一方法包括响应于确定第一应用与数字证书信息匹配应用第一策略规则以选择数据连接参数的第一集合并且经由使用数据连接参数的第一集合(例如,接入类型、DNN、S-NSSAI、SSC类型、IP类型等)的数据连接(即,PDU会话)发射数据分组。
在一些实施例中,确定第一应用标识包括确定发送请求的应用的标识。在一些实施例中,UE由移动通信网络配置有多个策略规则。在一些实施例中,UE包含包含多个策略规则的SIM(例如,USIM)。在一些实施例中,策略规则是URSP规则。
在一些实施例中,当第一策略规则的业务描述符包含等同于第一应用标识的应用标识时,第一策略规则与第一应用标识匹配。在一些实施例中,第一策略规则包含业务描述符组件,该业务描述符组件包括应用标识和数字证书信息。
在一些实施例中,数字证书信息包含唯一地标识数字证书的信息(例如,证书指纹)。在这样的实施例中,唯一地标识数字证书的信息由指纹值和用于生成指纹值的散列函数组成。在一些实施例中,数字证书信息包含标识第一应用的发布者的信息。
在一些实施例中,如果第一策略规则的业务描述符组件中的数字证书信息标识第一数字证书,则第一应用与数字证书信息匹配,其中该第一数字证书是通过其对第一应用进行签名的证书。在一些实施例中,如果第一策略规则的业务描述符组件中的数字证书信息包含第一数字证书中包括的信息,则第一应用与数字证书信息匹配,其中该第一数字证书是通过其对第一应用进行签名的证书。
在一些实施例中,应用第一策略规则包括选择包含在此规则中的路由选择描述符中的数据连接参数的集合并且应用这些数据连接参数来发射数据分组。在这样的实施例中,第一方法可以包括确定利用数据连接参数的第一集合的数据连接是否已经在UE中被激活。如果尚未在UE中激活,则第一方法包括激活利用数据连接参数的第一集合的数据连接。第一方法包括经由已激活的数据连接发射数据分组。
实施例可以以其他特定形式被实践。所描述的实施例在所有方面仅被认为是说明性的而不是限制性的。因此,本发明的范围由所附权利要求而不是由前述描述指示。在权利要求的含义和范围内的所有变化都应被涵盖在其范围内。
Claims (20)
1.一种用户设备(“UE”)的方法,所述方法包括:
接收发送数据分组的请求;
确定第一应用使用的第一应用标识;
在所述UE中找到与所述第一应用标识匹配的第一策略规则,所述第一策略规则包含数字证书信息;
确定所述第一应用与所述数字证书信息是否匹配;
响应于确定所述第一应用与所述数字证书信息匹配,应用所述第一策略规则以选择数据连接参数的第一集合;以及
经由使用所述数据连接参数的第一集合的数据连接发射所述数据分组。
2.根据权利要求1所述的方法,其中,确定所述第一应用标识包括确定发送所述请求的应用的标识。
3.根据权利要求1所述的方法,其中,当所述第一策略规则的业务描述符包含等同于所述第一应用标识的应用标识时,所述第一策略规则与所述第一应用标识匹配。
4.根据权利要求1所述的方法,其中,所述第一策略规则包含业务描述符组件,所述业务描述符组件包括应用标识和所述数字证书信息。
5.根据权利要求1所述的方法,其中,所述UE被所述移动通信网络配置有多个策略规则。
6.根据权利要求1所述的方法,其中,所述UE包含订户标识模块(“SIM”),所述SIM包含多个策略规则。
7.根据权利要求1所述的方法,其中,所述策略规则是UE路由选择策略(“URSP”)规则。
8.根据权利要求1所述的方法,其中,所述数字证书信息包含唯一地标识数字证书的信息。
9.根据权利要求8所述的方法,其中,唯一地标识数字证书的所述信息由指纹值和被利用于生成所述指纹值的散列函数组成。
10.根据权利要求1所述的方法,其中,所述数字证书信息包含标识应用的发布者的信息。
11.根据权利要求1所述的方法,其中,如果所述第一策略规则的业务描述符组件中的所述数字证书信息标识第一数字证书,则所述第一应用与所述数字证书信息匹配,其中所述第一数字证书是通过其对所述第一应用进行签名的证书。
12.根据权利要求1所述的方法,其中,如果所述第一策略规则的业务描述符组件中的所述数字证书信息包含所述第一数字证书中包括的信息,则所述第一应用与所述数字证书信息匹配,其中所述第一数字证书是通过其对所述第一应用进行签名的证书。
13.根据权利要求1所述的方法,其中,应用所述第一策略规则包括:选择包含在此规则中的路由选择描述符中的数据连接参数的集合,并且应用这些数据连接参数来发射所述数据分组。
14.根据权利要求13所述的方法,进一步包括
确定在所述UE中是否已经激活了利用所述数据连接参数的第一集合的数据连接;
如果在所述UE中尚未激活,则激活利用所述数据连接参数的第一集合的数据连接;以及
经由所激活的数据连接发射所述数据分组。
15.一种用户设备(“UE”)装置,包括:
收发器,所述收发器与支持多个数据连接的移动通信网络通信,每个数据连接利用数据连接参数的集合,并且
处理器,所述处理器:
接收发送数据分组的请求;
确定第一应用使用的第一应用标识;
在所述UE中找到与所述第一应用标识匹配的第一策略规则,所述第一策略规则包含数字证书信息;
确定所述第一应用是否与所述数字证书信息匹配;
响应于确定所述第一应用与所述数字证书信息匹配,应用所述第一策略规则以选择数据连接参数的第一集合;以及
经由使用所述数据连接参数的第一集合的数据连接发射所述数据分组。
16.根据权利要求15所述的装置,其中,确定所述第一应用标识包括确定发送所述请求的应用的标识,其中当所述第一策略规则的业务描述符包含等同于所述第一应用标识的应用标识时,所述第一策略规则与所述第一应用标识匹配。
17.根据权利要求15所述的装置,其中,所述第一策略规则是UE路由选择策略(“URSP”)规则,所述URSP规则包含业务描述符组件,所述业务描述符组件包括应用标识和所述数字证书信息。
18.根据权利要求15所述的装置,其中,所述数字证书信息包含证书指纹值和被利用于生成所述证书指纹值的散列函数。
19.根据权利要求15所述的装置,其中,所述数字证书信息包含标识应用的发布者的信息。
20.根据权利要求15所述的装置,其中,应用所述第一策略规则包括:选择包含在此规则中的路由选择描述符中的数据连接参数的集合,并且应用这些数据连接参数以发射所述数据分组,其中,所述处理器进一步:
确定在所述UE中是否已经激活了利用所述数据连接参数的第一集合的数据连接;
如果在所述UE中尚未激活,则激活利用所述数据连接参数的第一集合的数据连接;并且
经由所激活的数据连接发射所述数据分组。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2021/050099 WO2022148533A1 (en) | 2021-01-05 | 2021-01-05 | Selecting a data connection based on digital certificate information |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116711350A true CN116711350A (zh) | 2023-09-05 |
Family
ID=74175883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180088978.6A Pending CN116711350A (zh) | 2021-01-05 | 2021-01-05 | 基于数字证书信息选择数据连接 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20240056313A1 (zh) |
| EP (1) | EP4275376A1 (zh) |
| CN (1) | CN116711350A (zh) |
| WO (1) | WO2022148533A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11743342B2 (en) * | 2021-02-05 | 2023-08-29 | Samsung Electronics Co., Ltd. | Electronic device for performing edge computing service and a method for the same |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111406425B (zh) * | 2018-09-28 | 2024-04-09 | 联想(新加坡)私人有限公司 | 根据os特定的连接能力确定网络连接的类型 |
| TWI738319B (zh) * | 2019-05-06 | 2021-09-01 | 聯發科技股份有限公司 | 無線通訊方法及使用者設備 |
| CN111314475B (zh) * | 2020-02-21 | 2021-05-04 | 北京紫光展锐通信技术有限公司 | 会话创建方法及相关设备 |
| CN112073979B (zh) * | 2020-08-13 | 2022-02-22 | 展讯通信(天津)有限公司 | 通路描述符传输方法及相关装置 |
-
2021
- 2021-01-05 WO PCT/EP2021/050099 patent/WO2022148533A1/en active Application Filing
- 2021-01-05 EP EP21700109.8A patent/EP4275376A1/en active Pending
- 2021-01-05 CN CN202180088978.6A patent/CN116711350A/zh active Pending
- 2021-01-05 US US18/260,453 patent/US20240056313A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022148533A1 (en) | 2022-07-14 |
| EP4275376A1 (en) | 2023-11-15 |
| US20240056313A1 (en) | 2024-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3704885B1 (en) | User authentication using connection information provided by a blockchain network | |
| CN110603891B (zh) | 向移动通信网络进行认证的方法 | |
| CN111406425A (zh) | 根据os特定的连接能力确定网络连接的类型 | |
| WO2022067654A1 (en) | Key-based authentication for a mobile edge computing network | |
| US20230413060A1 (en) | Subscription onboarding using a verified digital identity | |
| US20230292130A1 (en) | Encrypted traffic detection | |
| US20220116769A1 (en) | Notification in eap procedure | |
| US20240056313A1 (en) | Selecting a data connection based on digital certificate information | |
| CN118020330A (zh) | 使用应用的认证及密钥管理实现漫游 | |
| CN117296401A (zh) | 建立到移动网络的附加注册 | |
| CN115769618A (zh) | 使用假名用于通过非3gpp接入的接入认证 | |
| WO2023070433A1 (en) | Authentication between wireless devices and edge servers | |
| US20240022908A1 (en) | Authentication using a digital identifier for ue access | |
| US20240098500A1 (en) | Managing end-to-end data protection | |
| CN117917042A (zh) | 在应用实体与无线通信网络之间建立信任关系 | |
| WO2023147888A1 (en) | Updating route selection policy rules having digital certificate information therein | |
| CN116569536A (zh) | 向网络的应用注册 | |
| WO2024088552A1 (en) | Improving user plane function performance in a wireless communication network | |
| WO2023175461A1 (en) | Establishing an application session corresponding to a pin element |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |