CN116868608A - 用于非3gpp接入认证的方法、实体和计算机可读介质 - Google Patents

用于非3gpp接入认证的方法、实体和计算机可读介质 Download PDF

Info

Publication number
CN116868608A
CN116868608A CN202180093661.1A CN202180093661A CN116868608A CN 116868608 A CN116868608 A CN 116868608A CN 202180093661 A CN202180093661 A CN 202180093661A CN 116868608 A CN116868608 A CN 116868608A
Authority
CN
China
Prior art keywords
authentication
entity
identity
request message
hidden
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180093661.1A
Other languages
English (en)
Inventor
王成
D·卡斯特拉诺萨莫拉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Priority to CN202311660258.XA priority Critical patent/CN117896723A/zh
Publication of CN116868608A publication Critical patent/CN116868608A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本公开提供用于非3GPP接入认证的方法、实体和计算机可读介质。一种由用于AAA的实体执行的方法(500A)包括:从非3GPP接入单元接收(S501A)用于认证的请求消息,该请求消息包括待认证的UE的标识,其中,UE的标识包括UE的隐藏标识或UE的第一标识;从所接收到的用于认证的请求消息中检测(S503A)UE的标识;以及向互通实体发送(S505A)用于认证凭证的第一请求消息,其至少包括所检测到的UE的标识。

Description

用于非3GPP接入认证的方法、实体和计算机可读介质
技术领域
本公开一般涉及通信技术的技术领域,特别地,涉及用于非第三代合作伙伴计划(非3GPP)接入认证的方法、实体和计算机可读介质。
背景技术
本节旨在向本公开中所描述的技术的各种实施例提供背景。本节中的描述可包括可追求的概念,而并不一定是先前构思或追求的概念。因此,除非本文另外指示,本节中所描述的内容不是本公开的说明书和/或权利要求的现有技术,并且仅通过包含在本节中而不被承认为现有技术。
在演进分组系统(EPS)中,除了原生的第三代合作伙伴计划(3GPP)接入技术(诸如长期演进(LTE))之外,还存在对经由非3GPP接入来访问数据通信服务和/或互联网服务的支持,特别地包括经由非3GPP接入方法/技术/网络/标准(例如,根据标准IEEE 802.16的全球微波接入互操作性(WiMAX)、例如根据标准IEEE 802.11g/n的无线局域网(WLAN)等)通过归属网络(诸如归属公共陆地移动网络(HPLMN))接入。
在5G系统(5GS)中存在类似的部署。
然而,在演进分组核心(EPC)和5G核心(5GC)共存的场景中,在用于非3GPP接入认证的传统技术方案中存在一些问题。
发明内容
为了至少部分地解决传统技术方案中的上述问题,本公开提供了若干机制以支持在非3GPP接入认证过程中基于隐私保护的订户标识(例如SUCI)检索认证凭证,其至少可以包括:
-独立的隐藏标识去隐藏服务,以使得用于AAA的实体(例如,AAA服务器)能够从5GC中的用于认证的实体(例如,UDM)获得明文订户标识,即去隐藏标识,并按照如在EPC中定义的基准过程进行例如针对NSWO的认证;
-基于Diameter的服务和基于UDICOM的服务的增强,以使得用于AAA的实体或EPC中的用于认证的实体(例如,HSS)能够在基于Diameters的接口和UDICOM接口中处理隐藏标识,并按照如在EPC中定义的基准过程进行例如针对NSWO的认证;
-基于UDICOM的服务的增强,以使得5GC中的用于认证的实体能够从EPC中的用于认证的实体取得认证凭证,然后传递给用于AAA的实体以使得用于AAA的实体能够按照如在EPC中定义的基准过程进行例如针对NSWO的认证;以及
-其中待认证的UE可以例如基于以下中至少一项来确定是否激活UE身份隐私的方案:来自非3GPP接入单元(例如,非3GPP接入点(AP))的信息,从UE的归属网络提供的信息,或UE的配置。
根据本公开的第一方面,提供了一种由非3GPP接入网络中的非3GPP接入单元执行的方法。该方法包括:发送网络列表,经由其中的每一个网络,非3GPP接入单元至少支持UE身份隐私。
在示例性实施例中,非3GPP接入单元经由网络列表中的每个网络进一步支持与用于AAA的实体的连接用于接入认证。
在示例性实施例中,该方法还包括:从UE接收包括UE的标识的用于接入认证的请求消息;以及向用于AAA的实体发送包括UE的标识的用于认证的请求消息。
在示例性实施例中,UE的标识包括UE的隐藏标识或UE的第一标识。
在示例性实施例中,UE的隐藏标识包括UE的SUCI,UE的第一标识包括UE的国际移动订户标识(IMSI)。
在示例性实施例中,用于认证的请求消息还包括非3GPP接入网络的接入网络标识。
在示例性实施例中,网络列表包括公共陆地移动网络(PLMN)的列表,并且用于AAA的实体包括3GPP AAA服务器。
根据本公开的第二方面,提供了一种非3GPP接入网络中的非3GPP接入单元。非3GPP接入单元包括:至少一个处理器,以及存储指令的至少一个存储器,该指令当在至少一个处理器上执行时使得非3GPP接入单元执行根据本公开的第一方面的任何方法的指令。
根据本公开的第三方面,提供了一种由UE执行的方法。该方法包括:确定UE身份隐私是否应当被用于与用于UE的非3GPP接入网络的通信;以及取决于确定的结果,向非3GPP接入网络中的非3GPP接入单元发送用于接入认证的请求消息,该请求消息包括UE的标识。
在示例性实施例中,基于以下至少一项确定UE身份隐私是否应当被用于与用于UE的非3GPP接入网络的通信:
UE的配置;
关于非3GPP接入网络中的非3GPP接入单元的信息;或
关于UE的归属网络的信息。
在示例性实施例中,该方法还包括:接收或者预配置UE的配置,该配置包括:指示UE是否支持UE身份隐私的信息。
在示例性实施例中,该方法还包括:从非3GPP接入单元接收指示非3GPP接入单元是否支持UE身份隐私的关于非3GPP接入单元的信息,其中,关于非3GPP接入单元的信息包括网络列表,经由其中的每一个网络,非3GPP接入单元至少支持UE身份隐私。
在示例性实施例中,非3GPP接入单元经由网络列表中的每个网络进一步支持与用于AAA的实体的连接用于接入认证。
在示例性实施例中,该方法还包括:从归属网络接收指示归属网络是否支持UE身份隐私的关于归属网络的信息。
在示例性实施例中,在UE参数更新(UPU)过程或漫游引导(SoR)过程中携带指示归属网络是否支持UE身份隐私的关于归属网络的信息。
在示例性实施例中,支持UE身份隐私包括支持UE身份隐私用于非3GPP接入认证。
在示例性实施例中,如果确定UE身份隐私应当被使用,则用于接入认证的请求消息包括UE的隐藏标识,以及如果确定UE身份隐私不应当被使用,则用于接入认证的请求消息包括应当被使用的UE的第一标识。
在示例性实施例中,UE的隐藏标识包括UE的SUCI,并且UE的第一标识包括UE的IMSI。
在示例性实施例中,与非3GPP接入网络的通信包括来自用于UE的非3GPP接入网络的NSWO。
在示例性实施例中,网络列表包括PLMN的列表,并且用于AAA的实体包括3GPP AAA服务器。
根据本公开的第四方面,提供了一种UE。UE包括:至少一个处理器,以及存储指令的至少一个存储器,该指令当在至少一个处理器上执行时使得UE执行根据本公开的第三方面的任何方法。
根据本公开的第五方面,提供了一种由用于AAA的实体执行的方法。该方法包括:从非3GPP接入单元接收用于认证的请求消息,该请求消息包括待认证的UE的标识,其中,UE的标识包括UE的隐藏标识或UE的第一标识;从所接收到的用于认证的请求消息中检测UE的标识;以及向互通实体发送用于认证凭证的第一请求消息,其至少包括所检测到的UE的标识。
在示例性实施例中,用于认证凭证的第一请求消息经由路由实体被发送到互通实体。
在示例性实施例中,在所接收到的用于认证的请求消息中的UE的标识包括UE的隐藏标识的情况下,检测UE的隐藏标识;以及用于认证凭证的第一请求消息包括所检测到的UE的隐藏标识,并且通过支持UE的隐藏标识的基于Diameter的接口被发送到互通实体。
在示例性实施例中,在所接收到的用于认证的请求消息中的UE的标识包括UE的第一标识或者用空(Null)方案保护的UE的隐藏标识的情况下,检测UE的第一标识;以及用于认证凭证的第一请求消息包括UE的第一标识,并且通过支持UE的第一标识的基于Diameter的接口被发送到互通实体。
在示例性实施例中,该方法还包括:从互通实体接收用于认证凭证的第一响应消息,其包括:由与UE相关联的5GC中的用于认证的实体选择的认证方法或者由5GC中的用于认证的实体向与UE相关联的EPC中的用于认证的实体请求的认证方法,由5GC中的用于认证的实体生成的认证向量或由5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量,以及从所检测到的UE的标识获得的UE的第一标识。
在示例性实施例中,UE的隐藏标识包括UE的SUCI,并且UE的第一标识包括UE的IMSI。
在示例性实施例中,用于认证的请求消息还包括与非3GPP接入单元相关的接入网络标识,以及用于认证凭证的第一请求消息还包括与非3GPP接入单元相关的接入网络标识。
根据本公开的第六方面,提供了一种由用于AAA的实体执行的方法。该方法包括:从非3GPP接入单元接收用于认证的请求消息,该请求消息包括待认证的UE的隐藏标识,从所接收到的用于认证的请求消息中检测UE的隐藏标识;以及向互通实体发送包括所检测到的UE的隐藏标识的标识请求消息。
在示例性实施例中,标识请求消息经由路由实体被发送到互通实体。
在示例性实施例中,UE的隐藏标识包括UE的SUCI。
在示例性实施例中,该方法还包括:从互通实体接收包括UE的第一标识的标识响应消息,第一标识是由互通实体从UE的第二标识转换的,而第二标识是由与UE相关联的5GC中的用于认证的实体从UE的隐藏标识去隐藏的;以及将标识响应消息转发到用于AAA的实体。
在示例性实施例中,标识请求消息通过支持UE的隐藏标识的基于Diameter的接口被发送,并且标识响应消息通过该基于Diameter的接口被接收。
在示例性实施例中,该方法还包括:向与UE相关联的EPC中的用于认证的实体发送用于认证凭证的第二请求消息,其至少包括所接收到的UE的第一标识;以及从EPC中的用于认证的实体接收用于认证凭证的第二响应消息,其包括:由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证方法,以及由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量。
在示例性实施例中,UE的第一标识包括UE的IMSI,以及述UE的第二标识包括UE的订阅永久标识符(SUPI)。
在示例性实施例中,用于AAA的实体包括3GPP AAA服务器,以及路由实体包括签约定位功能(SLF)/Diameter路由代理(DRA)。
根据本公开的第七方面,提供了一种用于AAA的实体。用于AAA的实体包括:至少一个处理器,以及存储指令的至少一个存储器,该指令当在至少一个处理器上执行时使得用于AAA的实体执行根据本公开的第五至第六方面的任何方法。
根据本公开的第八方面,提供了一种由路由实体执行的方法。该方法包括:从用于AAA的实体接收用于认证凭证的第一请求消息,其至少包括待认证的UE的标识,其中,UE的标识包括UE的隐藏标识或UE的第一标识;以及将用于认证凭证的第一请求消息转发到互通实体。
在示例性实施例中,在UE的标识包括UE的隐藏标识的情况下,用于认证凭证的第一请求消息通过支持UE的隐藏标识的基于Diameter的接口被接收和转发。
在示例性实施例中,在UE的标识包括UE的第一标识的情况下,用于认证凭证的第一请求消息通过支持UE的第一标识的基于Diameter的接口被接收和转发。
在示例性实施例中,该方法还包括:从互通实体接收用于认证凭证的第一响应消息,其包括:由与UE相关联的5GC中的用于认证的实体选择的认证方法或者由5GC中的用于认证的实体向与UE相关联的EPC中的用于认证的实体请求的认证方法,由5GC中的用于认证的实体生成的认证向量或者由5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量,以及从UE的标识获得的UE的第一标识;以及将用于认证凭证的第一响应消息转发到用于AAA的实体。
在示例性实施例中,UE的隐藏标识包括UE的SUCI,并且UE的第一标识包括UE的IMSI。
在示例性实施例中,用于认证凭证的第一请求消息还包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
根据本公开的第九方面,提供了一种由路由实体执行的方法。该方法包括:从用于AAA的实体接收包括待认证的UE的隐藏标识的标识请求消息;以及将标识请求消息转发到互通实体。
在示例性实施例中,UE的隐藏标识包括UE的SUCI。
在示例性实施例中,该方法还包括:从互通实体接收包括UE的第一标识的标识响应消息,第一标识是由互通实体从UE的第二标识转换的,而第二标识是由与UE相关联的5GC中的用于认证的实体从UE的隐藏标识去隐藏的。
在示例性实施例中,标识请求消息通过支持UE的隐藏标识的基于Diameter的接口被接收和转发,并且UE的标识响应消息通过该基于Diameter的接口被接收和转发。
在示例性实施例中,该方法还包括:从用于AA的实体接收针对UE的用于认证凭证的第二请求消息,其至少包括所接收到的UE的第一标识;以及向与UE相关联的EPC中的用于认证的实体转发所接收到的用于认证凭证的第二请求消息。
在示例性实施例中,UE的第一标识包括UE的IMSI,并且UE的第二标识包括UE的SUPI。
在示例性实施例中,该方法还包括:从EPC中的用于认证的实体接收用于认证凭证的第二响应消息,其包括:由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证方法,以及由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量;以及将所接收到的用于认证凭证的第二响应消息转发到用于AAA的实体。
在示例性实施例中,路由实体包括SLF/DRA,并且用于AAA的实体包括3GPP AAA服务器。
根据本公开的第十方面,提供了一种路由实体。路由实体包括:至少一个处理器,以及存储指令的至少一个存储器,该指令当在至少一个处理器上执行时使得路由实体执行根据本公开的第八至第九方面的任何方法。
根据本公开的第十一方面,提供了一种由互通实体执行的方法。该方法包括:从用于AAA的实体接收用于认证凭证的第一请求消息,其至少包括待认证的UE的标识,其中,所接收到的UE的标识包括UE的隐藏标识或UE的第一标识;基于所接收到的UE的标识,选择与UE相关联的5GC中的用于认证的实体;以及向所选择的5GC中的用于认证的实体发送用于认证凭证的第四请求消息。
在示例性实施例中,经由路由实体从用于AAA的实体接收用于认证凭证的第一请求消息。
在示例性实施例中,该方法还包括:从所选择的5GC中的用于认证的实体接收用于认证凭证的第四响应消息,其中,用于认证凭证的第四响应消息至少包括:由所选择的5GC中的用于认证的实体选择的认证方法或者由所选择的5GC中的用于认证的实体向与UE相关联的EPC中的用于认证的实体请求的认证方法,以及由所选择的5GC中的用于认证的实体生成的认证向量或者由所选择的5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量。
在示例性实施例中,在所接收到的UE的标识包括UE的隐藏标识的情况下,通过支持UE的隐藏标识的基于Diameter的接口接收用于认证凭证的第一请求消息,基于被包括在所接收到的UE的隐藏标识中的路由指示符来选择5GC中的用于认证的实体,用于认证凭证的第四请求消息至少包括请求节点是用于AAA的实体的指示和UE的隐藏标识,并且用于认证凭证的第四响应消息还包括由5GC中的用于认证的实体从UE的隐藏标识去隐藏的UE的第二标识。
在示例性实施例中,在所接收到的UE的标识包括UE的第一标识的情况下,通过支持UE的第一标识的基于Diameter的接口接收用于认证凭证的第一请求消息,基于UE的第一标识来选择5GC中的用于认证的实体,用于认证凭证的第四请求消息至少包括请求节点是用于AAA的实体的指示以及由互通实体从UE的第一标识转换的UE的第二标识,并且用于认证凭证的第四响应消息还包括UE的第二标识。
在示例性实施例中,用于认证凭证的第四请求消息还包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
在示例性实施例中,该方法还包括:向用于AAA的实体发送用于认证凭证的第一响应消息,其包括:认证方法,认证向量,以及从所接收到的UE的标识获得的UE的第一标识。
在示例性实施例中,UE的隐藏标识包括UE的SUCI,并且UE的第一标识包括UE的IMSI。
根据本公开的第十二方面,提供了一种由互通实体执行的方法。该方法包括:从用于AAA的实体接收包括待认证的UE的隐藏标识的标识请求消息;基于所接收到的UE的隐藏标识,选择与UE相关联的5GC中的用于认证的实体;以及向所选择的5GC中的用于认证的实体发送用于标识去隐藏的请求消息,其包括所接收到的UE的隐藏标识。
在示例性实施例中,经由路由实体从用于AAA的实体接收标识请求消息。
在示例性实施例中,标识请求消息通过支持UE的隐藏标识的基于Diameter的接口被接收,并且基于被包括在所接收到的UE的隐藏标识中的路由指示符来选择与UE相关联的5GC中的用于认证的实体。
在示例性实施例中,UE的隐藏标识包括UE的SUCI。
在示例性实施例中,该方法还包括:从所选择的5GC中的用于认证的实体接收用于标识去隐藏的响应消息,其包括由所选择的5GC中的用于认证的实体从UE的隐藏标识去隐藏的UE的第二标识;将所接收到的UE的第二标识转换为UE的第一标识;以及向用于AAA的实体发送标识响应消息,该标识响应消息包括UE的第一标识。
在示例性实施例中,UE的第一标识包括UE的IMSI,并且UE的第二标识包括UE的SUPI。
在示例性实施例中,路由实体包括SLF/DRA,并且用于AAA的实体包括3GPP AAA服务器。
根据本公开的第十三方面,提供了一种互通实体。互通实体包括:至少一个处理器,以及存储指令的至少一个存储器,该指令当在至少一个处理器上执行时使得互通实体执行根据本公开的第十一至第十二方面的任何方法。
根据本公开的第十四方面,提供了一种由5GC中的用于认证的实体执行的方法。该方法包括:从互通实体接收针对待认证的UE的用于认证凭证的第四请求消息,其至少包括请求节点是用于AAA的实体的指示以及UE的标识;以及向互通实体发送用于认证凭证的第四响应消息。
在示例性实施例中,用于认证凭证的第四请求消息还包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
在示例性实施例中,所接收到的UE的标识包括UE的隐藏标识,以及该方法还包括:从所接收到的UE的隐藏标识去隐藏UE的第二标识。
在示例性实施例中,所接收到的UE的标识包括UE的第二标识。
在示例性实施例中,该方法还包括:至少基于请求节点是用于AAA的实体的指示和UE的第二标识,选择用于UE的认证方法;以及至少基于UE的第二标识,生成用于UE的认证向量。
在示例性实施例中,该方法还包括:向EPC中的用于认证的实体发送用于认证凭证的第五请求消息,其至少包括:请求节点是用于AAA的实体的指示,以及UE的标识;以及从EPC中的用于认证的实体接收用于认证凭证的第五响应消息,其包括用于UE的认证方法和用于UE的认证向量。
在示例性实施例中,UE的隐藏标识包括UE的SUCI,并且UE的第二标识包括UE的SUPI。
在示例性实施例中,用于认证凭证的第五请求消息还包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
根据本公开的第十五方面,提供了一种由5GC中的用于认证的实体执行的方法。该方法包括:从互通实体接收用于标识去隐藏的请求消息,其包括待认证的UE的隐藏标识;从所接收到的UE的隐藏标识去隐藏UE的第二标识;以及向互通实体发送用于标识去隐藏的响应消息,其包括UE的第二标识。
在示例性实施例中,UE的隐藏标识包括UE的SUCI,并且UE的第二标识包括UE的SUPI。
在示例性实施例中,用于AAA的实体包括3GPP AAA服务器。
根据本公开的第十六方面,提供了一种5GC中的用于认证的实体。5GC中的用于认证的实体包括:至少一个处理器,以及存储指令的至少一个存储器,该指令当在至少一个处理器上执行时使得5GC中的用于认证的实体执行根据本公开的第十四至第十五方面的任何方法。
根据本公开的第十七方面,提供了一种由EPC中的用于认证的实体执行的方法。该方法包括:从与待认证的UE相关联的5GC中的用于认证的实体接收用于认证凭证的第五请求消息,其至少包括:请求节点是用于AAA的实体的指示,以及UE的第一标识;获得用于UE的认证凭证;以及向5GC中的用于认证的实体发送用于认证凭证的第五响应消息,其包括所获得的用于UE的认证凭证。
在示例性实施例中,用于UE的认证凭证包括:用于UE的认证方法和用于UE的认证向量,并且所述获得用于UE的认证凭证包括:至少基于请求节点是用于AAA的实体的指示和UE的第一标识,选择用于UE的认证方法;以及至少基于UE的第一标识,生成用于UE的认证向量。
在示例性实施例中,UE的第一标识包括UE的IMSI。
在示例性实施例中,用于认证凭证的第五请求消息还包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
在示例性实施例中,该方法还包括:在用于网络存储库的实体中注册EPC中的用于认证的实体支持的路由指示符。
在示例性实施例中,用于AAA的实体包括3GPP AAA服务器。
根据本公开的第十八方面,提供了一种EPC中的用于认证的实体。EPC中的用于认证的实体包括:至少一个处理器,以及存储指令的至少一个存储器,该指令当在至少一个处理器上执行时使得EPC中的用于认证的实体执行根据本公开的第十七方面的任何方法。
根据本公开的第十九方面,提供了一种计算机可读存储介质。在计算机可读存储介质上存储有计算机程序指令,计算机程序指令当由至少一个处理器执行时,使得至少一个CPU执行根据本公开的第一、第三、第五至第六、第八至第九、第十一至第十二、第十四至第十五和第十七方面中的任一个的方法。
本公开的技术方案可以实现非3GPP接入认证,而对现有的接入网络(例如,Wi-Fi和5GC)影响最小/没有,从而提供对在非3GPP接入认证过程中基于待认证的UE的隐藏标识(例如,SUCI)检索认证凭证的支持。特别地,本公开的技术方案至少可以支持:
在用于AAA的实体(例如,AAA服务器)中处理隐藏标识;
针对EPC共存情况通过UDICOM处理隐藏标识;
处理从5GC中的用于认证的实体(例如,UDM)到EPC中的用于认证的实体(例如,HSS)的认证凭证的检索;以及
确定待认证的UE中的隐藏标识的使用等。
附图说明
根据结合附图的优选实施例的描述,本公开的目的、优点和特征将更加明显,其中:
图1示意性地示出支持3GPP接入和非3GPP接入的EPS内的示例性非漫游架构;
图2示意性地示出具有EPS共存的5GC中的示例性非3GPP接入认证架构,在其中应用本公开的示例性实施例;
图3示意性地示出根据本公开的示例性实施例的由非3GPP接入网络中的非3GPP接入单元执行的示例性方法;
图4示意性地示出根据本公开的示例性实施例的由UE执行的示例性方法;
图5A示意性地示出根据本公开的第一示例性实施例的由用于AAA的实体执行的示例性方法;
图5B示意性地示出根据本公开的第二示例性实施例的由用于AAA的实体执行的示例性方法;
图5C示意性地示出根据本公开的第三示例性实施例的由用于AAA的实体执行的示例性方法;
图6A示意性地示出根据本公开的第一示例性实施例的由路由实体执行的示例性方法;
图6B示意性地示出根据本公开的第二示例性实施例的由路由实体执行的示例性方法;
图6C示意性地示出根据本公开的第三示例性实施例的由路由实体执行的示例性方法;
图7A示意性地示出根据本公开的第一示例性实施例的由互通实体执行的示例性方法;
图7B示意性地示出根据本公开的第二示例性实施例的由互通实体执行的示例性方法;
图8A示意性地示出根据本公开的第一示例性实施例的由5GC中的用于认证的实体执行的示例性方法;
图8B示意性地示出了根据本公开的第二示例性实施例的由5GC中的用于认证的实体执行的示例性方法;
图8C示意性地示出根据本公开的第三示例性实施例的由5GC中的用于认证的实体执行的示例性方法;
图9A示意性地示出根据本公开的第一示例性实施例的由EPC中的用于认证的实体执行的示例性方法;
图9B示意性地示出根据本公开的第三示例性实施例的由EPC中的用于认证的实体执行的示例性方法;
图10A示意性地示出根据本公开的第一示例性实施例的用于非3GPP接入认证的示例性信令序列图,在其中应用图3、图4、图5A、图6A、图7A、图8A和图9A的方法;
图10B示意性地示出根据本公开的第二示例性实施例的用于非3GPP接入认证的示例性信令序列图,在其中应用图3、图4、图5B、图6B、图7B和图8B的方法;
图10C示意性地示出根据本公开的第三示例性实施例的用于非3GPP接入认证的示例性信令序列图,在其中应用图3、图4、图5C、图6C、图8C和图9B的方法;
图11示意性地示出根据本公开的第一至第三示例性实施例中的任一个示例性实施例的非3GPP接入单元的示例性结构框图;
图12示意性地示出根据本公开的第一至第三示例性实施例中的任一个示例性实施例的非3GPP接入单元的另一个示例性结构框图;
图13示意性地示出根据本公开的第一至第三示例性实施例中的任一个示例性实施例的UE的示例性结构框图;
图14示意性地示出根据本公开的第一至第三示例性实施例中的任一个示例性实施例的UE的另一个示例性结构框图;
图15示意性地示出根据本公开的第一至第三示例性实施例中的任一个示例性实施例的用于AAA的实体的示例性结构框图;
图16示意性地示出根据本公开的第一至第三示例性实施例中的任一个示例性实施例的用于AAA的实体的另一个示例性结构框图;
图17A示意性地示出根据本公开的第一至第二示例性实施例中的任一个示例性实施例的路由实体的示例性结构框图;
图17B示意性地示出根据本公开的第三示例性实施例的路由实体的示例性结构框图;
图18示意性地示出根据本公开的第一至第三示例性实施例中的任一个示例性实施例的路由实体的另一个示例性结构框图;
图19示意性地示出了根据本公开的第一至第二示例性实施例中的任何一个示例性实施例的互通实体的示例性结构框图;
图20示意性地示出根据本公开的第一至第二示例性实施例中的任何一个示例性实施例的互通实体的另一个示例性结构框图;
图21A示意性地示出根据本公开的第一示例性实施例的5GC中的用于认证的实体的示例性结构框图;
图21B示意性地示出根据本公开的第二和第三示例性实施例中的任一个示例性实施例的5GC中的用于认证的实体的示例性结构框图;
图22示意性地示出根据本公开的第一至第三示例性实施例中的任一个示例性实施例的5GC中的用于认证的实体的另一个示例性结构框图;
图23A示意性地示出根据本公开的第一示例性实施例的EPC中的用于认证的实体的示例性结构框图;
图23B示意性地示出根据本公开的第三示例性实施例的EPC中的用于认证的实体的示例性结构框图;以及
图24示意性地示出根据本公开的第一和第三示例性实施例中的任一个示例性实施例的EPC中的用于认证的实体的另一个示例性结构框图。
应当注意,在整个附图中,相同或相似的附图标记用于指示相同或相似的元件;附图中的各部分不按比例绘制,而是仅用于说明性目的,因此不应被理解为对本公开的范围的任何限制和约束。
具体实施方式
在下文中,将参考说明性实施例来描述本公开的原理和精神。现在将参考附图更充分地描述本文所预期的实施例中的一些实施例。然而,其他实施例被包含在本文所公开的主题范围内,所公开的主题不应当被解释为仅限于本文中阐述的实施例;相反,这些实施例仅作为示例被提供以将主题范围传达给本领域技术人员。
本领域技术人员将理解,术语“示例性”在本文中用于意指“说明性的”或“用作示例”,而不旨在暗示特定实施例优于另一个实施例或者特定特征是必要的。同样,术语“第一”和“第二”以及类似的术语仅用于区分项目或特征的一个特定实例与另一个实例,而不表示特定的顺序或排列,除非上下文另外清楚指示。进一步地,如本文所使用的术语“步骤”意指与“操作”或“动作”同义。本文中对一系列步骤的任何描述都不暗示这些操作必须以特定的顺序执行,或者甚至根本不暗示以任何顺序执行这些操作,除非所描述的操作的上下文或细节清楚指示了其他情况。
说明书中对“一个实施例”、“实施例”、“示例实施例”等的引用表明所描述的实施例可以包括特定特征、结构或者特点,但是并不需要每个实施例包括该特定特征、结构或者特点。而且,这样的短语不必指代相同的实施例。进一步地,当在结合实施例描述特定特征、结构或特点时,认为结合其他实施例实现这样的特征、结构或特点(无论是否明确描述)在本领域技术人员的知识内。
本文所使用的术语仅出于描述特定实施例的目的,并且不旨在限制示例性实施例。如本文中所使用的,除非上下文另外清楚指示,否则单数形式“一”、“一个”和“该”旨在也包括复数形式。将进一步理解,当在本文中使用时,术语“包括”、“具有”、“拥有”、和/或“包含”指定所说明的特征、元件和/或部件的存在,但是不排除一个或多个其他特征、元件、部件和/或其组合的存在或者添加。
如本文所使用的,术语“和/或”包括相关联的所列项目中的一个或多个的任意和全部组合。
在以下的描述和权利要求中,除非另外定义,否则本文中所使用的所有技术和科学术语具有与本公开所属的领域的普通技术人员通常理解的相同的意义。
如本文所使用的,术语“网络”是指遵循任何适合的(无线或有线)通信标准的网络。例如,无线通信标准可以包括新无线电(NR)、长期演进(LTE)、LTE-Advanced、宽带码分多址(WCDMA)、高速分组接入(HSPA)、码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交频分多址(OFDMA)、单载波频分多址(SC-FDMA)和其他无线网络。CDMA网络可以实现诸如通用陆地无线电接入(UTRA)等无线电技术。UTRA包括WCDMA以及CDMA的其他变型。TDMA网络可以实现如全球移动通信系统(GSM)的无线电技术。OFDMA网络可以实现诸如演进型UTRA(E-UTRA)、超移动宽带(UMB)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、闪存OFDMA、自组织网络、无线传感器网络等的无线电技术。在以下描述中,术语“网络”和“系统”可以可互换地使用。
此外,网络中的两个设备之间的通信可以根据任何适合的通信协议来执行,包括但不限于如由诸如3GPP的标准组织定义的无线通信协议或有线通信协议。例如,无线通信协议可以包括第一代(1G)、2G、3G、4G、4.5G、5G通信协议和/或当前已知或未来待开发的任何其他协议。
本文所使用的术语“实体”或“网络实体”是指通信网络中的网络设备或网络节点或网络功能,并且也可以是指可在云上实现的虚拟化实体。例如,在诸如3GPP型蜂窝网络的无线通信网络中,核心网络设备可以向通过接入网络设备互连的客户提供许多服务。每个接入网络设备可通过有线或无线连接而连接到核心网络设备。
术语“CN实体”是指可以在通信网络的网络实体(物理或虚拟的)中实现的任何适合的功能。例如,网络实体可以被实现为专用硬件上的网络元件、在专用硬件上运行的软件实例、或在适当平台上(例如,在云基础设施上)实例化的虚拟化功能。例如,5G核心网络系统(5GC)可以包括多个功能,诸如AMF、SMF、UDM(统一数据管理)、PCF(策略控制功能)、UPF(用户面功能)、NRF(网络存储库功能)等。例如,4G核心网络系统(诸如EPC)可包括MME、HSS(归属用户服务器)、P-GW、BM-SC等。在其他实施例中,CN实体可以包括不同类型的功能,例如取决于特定网络。
如先前所描述的,在EPS中,除了原生3GPP接入技术(诸如LTE)之外,还存在对经由非3GPP接入来访问数据通信服务和/或互联网服务的支持,特别地包括经由非3GPP接入方法/技术/网络/标准(例如,根据标准IEEE 802.16的WiMAX、例如根据标准IEEE 802.11g/n的WLAN等)通过归属网络(诸如HPLMN)的接入。
可以理解,非3GPP接入意味着使用其规范在3GPP范围之外的接入技术的接入。存在两种类别的非3GPP接入:可信的非3GPP接入和非可信的非3GPP接入(也称为“不可信”的非3GPP接入)。
图1示意性地示出了EPS内的示例性非漫游架构,其不仅支持3GPP接入,而且支持如在3GPP TS23.402v16.0.0“Architecture enhancement for Non-3GPP accesses(用于非3GPP接入的架构增强)”中定义的非3GPP接入,该规范通过引用被整体并入本文。
对于3GPP接入,3GPP接入点(图1中的“3GPP接入”)经由S6a参考点(在本文中也称为“接口”)与归属用户服务器(HSS)(作为EPC中的用于认证的实体的示例)认证用户设备(UE)。在认证成功之后,3GPP接入点通过演进分组核心(EPC)建立用于UE的IP连接,即,经由S5和SGi参考点连接到运营商的IP服务。
对于可信的非3GPP接入,可信的非3GPP接入点(图1中的“可信的非3GPP IP接入”)通过3GPP认证、授权和计费(AAA)服务器(作为用于AAA的实体的示例)与HSS对UE进行认证,即,经由STa和SWx参考点。在认证成功之后,可信的非3GPP接入点通过EPC建立IP连接,即经由S2a和SGi参考点连接到运营商的IP服务。
对于不可信的非3GPP接入,不可信的非3GPP接入点(图1中的“不可信的非3GPP IP接入”)通过演进分组数据网关(ePDG)经由3GPP AAA服务器连接到演进分组核心(EPC)。对于不可信的接入,UE和ePDG应在UE与ePDG之间通过SWu参考点的网际协议安全(IPsec)隧道建立期间执行相互认证。UE经由SWu参考点连接到ePDG,并且ePDG通过3GPP AAA服务器(即,经由SWm和SWx参考点)与HSS对UE进行认证。在认证成功之后,ePDG通过EPC建立IP连接,即经由S2b和SGi参考点到运营商的IP服务。
上述三种类型的接入的共同点在于:从EPC中的HSS取得认证相关信息(例如,用于可扩展认证协议(EAP)-AKA或EAP-AKA'的认证和密钥协议(AKA)认证向量(AV))以用于UE的认证;在认证成功之后,通过EPC为UE建立IP连接,并且运营商的IP服务可以经由SGi参考点被连接,无论先前的参考点是S5(用于3GPP接入)、S2a(用于可信的非3GPP接入)还是S2b(用于不可信的非3GPP接入)。
另外,非3GPP接入网络还可以提供“卸载”功能,即,在不通过EPC建立数据连接的情况下,经由非3GPP接入网络直接连接到例如互联网,例如,非无缝WLAN卸载/分流(NSWO)。
在图1的示例中,出于从例如不可信的非3GPP接入网络卸载的目的,在可以执行UE与ePDG之间的IPsec隧道建立之前,UE需要获得跨接入网络的IP连接,这可能要求附加的接入认证。附加的接入认证独立于结合通过ePDG的IPsec隧道建立而运行的EAP-AKA认证,并且可能是不可信的非3GPP接入网络的安全性所要求的,并且可以在SWa参考点上实现。
SWa参考点以安全的方式传输接入认证、授权和计费相关信息。3GPP AAA服务器经由SWx参考点从EPC中的HSS获取认证相关信息(例如用于EAP-AKA或EAP-AKA'的AKA-AV)、订阅和分组数据网络(PDN)连接数据。
在经由SWa和SWx参考点对UE的认证成功之后,UE将不通过EPC建立数据连接,而是经由不可信的非3GPP接入网络连接到例如互联网,即卸载到不可信的非3GPP接入网络。
该附加接入认证的典型用途是用于例如在体育场、酒店、咖啡店等的Wi-Fi接入认证。也就是说,仅使用与3GPP AAA服务器的SWa,但是,不要求来自EPC的移动性和PDN连接服务(即不要求ePDG/SWm)。该部署允许UE经由移动网络核心使用基于订户标识模块(SIM)的接入认证来连接到非3GPP接入网络(例如,WLAN),并将所选择的业务卸载到非3GP接入网络。
这是在4G网络中部署的特征,其允许使用移动网络订阅和漫游协议以用于非3GPP接入并将所选择的业务卸载到非3GPP接入网络,其中,对要卸载的业务的选择是基于策略,并且其中,所卸载的业务不使用3GPP定义的实体。
3GPP已经批准了一个研究项目“New SID on Non Seamless WLAN Offload in5GC using 3GPP credentials(关于使用3GPP凭证的5GC中的非无缝WLAN卸载的新SID)”(3GPP TSG-SA Meeting#91-e e-meeting,2021年3月18~29日,SP-210262,其通过引用被整体并入本文),以使能5G系统(5GS)中的部署特征,该特征与EPC中的特征类似。在研究项目描述(SID)中定义的目标是:
-在5GS中支持NSWO的解决方案;
-支持用于目标1中的相应解决方案的认证方法的过程;以及
-订阅标识符的隐私的维护,甚至对于来自WLAN的NSWO认证。
在2020年12月15日提交的PCT申请号PCT/CN2020/136618已提出了支持非3GPP接入认证的若干替代方案,其通过引用被整体并入本文。替代方案可包括:
-替代方案1)SWa/SWx经由互通/代理实体(例如AAA互通功能(IWF))与5G核心(5GC)中的用于认证的实体(例如统一数据管理(UDM))互通,并且支持EPC共存,
-替代方案2)SWa/SWx经由5GC中的另一个用于认证的实体(例如,认证服务器功能(AUSF))与例如UDM互通,以及EPC共存,
-替代方案3)SWa经由例如AAA-IWF与例如AUSF互通,以及EPC共存
-替代方案4)部署可信的无线局域网互通功能(TWIF)作为非3GPP接入点,
-替代方案5)部署可信的非3GPP网关功能(TNGF)作为非3GPP接入点。
然而,关于替代方案1)SWa/SWx经由互通实体与5GC中的用于认证的实体互通以及EPC共存,传统的技术方案不能支持在非3GPP接入认证过程中基于隐私保护的订户标识(在整个说明书中也称为“隐藏标识”)(例如,订阅隐藏标识符(SUCI))来检索认证凭证。例如,传统的技术方案不能在用于AAA的实体(例如,AAA服务器)中处理隐私保护的订户标识;针对EPC共存情况,不能通过用户数据互通、共存和迁移(UDICOM)处理隐私保护的用户标识;不能处理从5GC中的用于认证的实体(例如,UDM)到EPC中的用于认证的实体(例如,HSS)的认证凭证的检索;以及不能确定在待认证的UE中使用隐私保护的订户标识等。
因此,本公开设计了若干机制以支持在非3GPP接入认证过程中基于隐私保护的订户标识来检索认证凭证。
本公开可以被应用在具有EPS共存的5GC中的非3GPP接入认证架构中。
图2示意性地示出了具有EPS共存的5GC中的示例性非3GPP接入认证架构,在其中可以应用本公开的示例性实施例。
如图2所示,3GPP AAA(也称为“3GPP AAA服务器”)(用于AAA的实体的示例)可以通过SWx/SWx'接口(基于Diameter的接口的示例,其中,SWx是支持UE的明文标识(例如,IMSI)的基于Diameter的接口的示例,SWx'是支持UE的隐藏标识(例如,SUCI)的基于Diameter的接口的示例)向HSS(EPC中的用于认证的实体的示例)请求用于待认证的UE的认证凭证(例如,用于EAP AKA/EAP AKA'的AV或为简单起见仅称为“AV”)。如果在HSS中部署了用于UE的认证向量生成功能,则HSS可以向3GPP AAA提供AV。如果用于UE的认证向量生成功能已经被移动到UDM/认证凭证存储库和处理功能(ARPF),则HSS可以通过UDICOM NU1接口向UDM/ARPF请求AV。
可替代地,3GPP AAA可以通过3GPP AAA与AAA-IWF/NSSAAF之间的SWx/SWx'接口以及AAA-IWF/NSSAAF与UDM/ARPF之间的N59接口经由AAA-IWF(互通实体的示例)向UDM/ARPF(5GC中的用于认证的实体的示例)请求认证凭证(例如,用于EAP AKA/EAP AKA'的AV)。AAA-IWF可以通过网络切片特定认证和授权功能(NSSAAF)来实现,并因此也可被表示为“AAA-IWF/NSSAAF”。如果在UDM/ARPF中部署了用于UE的认证向量生成功能,则UDM/ARP可以向3GPP AAA提供AV。如果用于UE的认证向量生成功能已经被移动到HSS,则UDM/ARPF可以通过UDICOM NU1接口向HSS请求AV。
在归属网络支持仅4G用户、支持与EPC互通的5G用户和仅5G用户的混合的场景中,SLF/DRA(路由实体的示例)可以协助将来自3GPP AAA的认证向量请求经由AAA-IWF/NSSAAF向HSS(对于仅4G用户、支持与EPC互通的5G用户)或向UDM/ARPF(对于仅5G用户)路由。
3GPP AAA可以通过支持UE的隐藏标识(例如,SUCI)而不是明文标识(例如,IMSI)的基于Diameter的接口(例如,SWx'接口)来发送认证向量请求。
SLF/DRA还可以例如基于Diameter命令或UE的标识(例如,SUCI或IMSI),协助将认证向量请求经由AAA-IWF/NSSAAF通过基于Diameter的接口(其也可以被称为“Diameter命令”)向UDM/ARPF路由。
本公开的基本思想主要包括:
-独立的隐藏标识去隐藏服务,以使得用于AAA的实体(例如,AAA服务器)能够从5GC中的用于认证的实体(例如,UDM)获得明文订户标识,即去隐藏标识,并按照如在EPC中定义的基准过程进行例如针对NSWO的认证;
-基于Diameter的服务和基于UDICOM的服务的增强,以使得用于AAA的实体或EPC中的用于认证的实体(例如,HSS)能够在基于Diameters的接口和UDICOM接口中处理隐藏标识,并按照如在EPC中定义的基准过程进行例如针对NSWO的认证;
-基于UDICOM的服务的增强,以使得5GC中的用于认证的实体能够从EPC中的用于认证的实体获取认证凭证,然后传递到用于AAA的实体以使得用于AAA的实体能够按照如在EPC中定义的基准过程进行例如针对NSWO的认证;以及
-其中待认证的UE可以例如基于以下至少一项确定是否激活UE身份隐私的方案:来自非3GPP接入单元(例如,非3GPP AP)的信息,从UE的归属网络提供的信息,或UE的配置。
特别地,本公开涉及在支持仅4G用户、支持与EPC互通的5G用户以及仅5G用户的场景中,对非3GPP接入单元、待认证的UE以及在针对UE的非3GPP接入认证过程中涉及的各种(CN)实体的改进。
在下文中,将参考图3~图24在以下示例性实施例中详细描述由本公开提出的对非3GPP接入单元、待认证的UE以及在针对UE的非3GPP接入认证过程中涉及的各种(CN)实体的改进。
图3示意性地示出了根据本公开的示例性实施例的由非3GPP接入网络中的非3GPP接入单元执行的用于UE的接入认证的示例性方法300。例如,非3GPP接入单元可以是不可信的非3GPP AP,诸如WLAN AP或WLAN网关等。
如图3所示,在步骤S301中,非3GPP接入单元可以发送(例如,广播)如在3GPPTS23.501v17.1.1的条款6.3.12中规定的网络列表,该TS23.501 v17.1.1通过引用被整体并入本文。
除了支持用于接入认证的与用于AAA的实体(例如,3GPP AAA服务器)的连接之外,非3GPP接入单元还可以经由列表中的网络支持UE身份隐私。
例如,网络列表可以是不仅支持用于接入认证的AAA连接而且支持UE身份隐私以例如用于非3GPP接入认证的PLMN的列表。
一旦UE选择了非3GPP接入网络,即非3GPP接入单元,并且在由非3GP接入单元广播的列表中选择网络(例如,PLMN)以经由该网络执行基于3GPP的接入认证,则UE可以确定UE身份隐私是否应当被用于与非3GPP接入网络的通信。
因此,在方法300中,在UE确定UE身份隐私应当被使用的情况下,非3GPP接入单元可以从UE接收用于接入认证的请求消息(例如,EAP响应/标识消息),该请求消息包括UE的隐藏标识,例如SUCI。所接收的UE的隐藏标识可以符合如在3GPP TS23.003v17.2.0中规定的网络接入标识符(NAI)格式。
否则,在UE确定UE身份隐私不应当被使用的情况下,非3GPP接入单元可以从UE接收用于接入认证的请求消息,该请求消息包括UE的明文标识(在整个描述中也称为“第一标识”),例如IMSI。
然后,在方法300中,非3GPP接入单元可以例如基于如在3GPP TS 33.402v16.0.0中规定的NAI的领域部分,向适当的用于AAA的实体发送用于认证的请求消息。
由非3GPP接入单元发送的用于认证的请求消息可包括从所接收到的用于接入认证的请求消息获得的UE的标识。可替代地,用于认证的请求消息还可以包括非3GPP接入网络的接入网络标识,例如ANID。
对应地,图4示意性地示出了根据本公开的示例性实施例的由UE执行的用于接入认证的示例性方法400。应当理解,由UE执行的方法400至少部分地对应于由非3GPP接入单元执行的方法300。因此,方法400的一些描述可以参考如先前所描述的方法300的描述,并因此为了简单起见,在此将被省略。
如先前所描述的,UE可以选择非3GPP接入网络,即非3GPP接入单元,并且在由非3GP接入单元广播的列表中选择网络(例如,PLMN)以用于经由该网络执行基于3GPP的接入认证。
然后,在步骤S401中,UE可以确定UE身份隐私是否应当被用于与所选择的非3GPP接入网络的通信。在示例性实施例中,与非3GPP接入网络的通信可以包括来自用于UE的非3GPP接入网络的NSWO。
在示例性实施例中,UE可以基于以下至少一项确定UE身份隐私是否应当被用于与用于UE的非3GPP接入网络的通信:
UE的配置;
关于非3GPP接入网络中的非3GPP接入单元的信息;或
关于UE的归属网络的信息。
在示例性实施例中,UE可以通过接收或预配置UE的配置来获得UE的配置。UE的配置可包括指示UE是否支持UE身份隐私的信息。
在示例性实施例中,UE可以通过从非3GPP接入单元接收指示非3GPP接入单元是否支持UE身份隐私的关于非3GPP接入单元的信息来获得关于非3GPP接入单元的信息。关于非3GPP接入单元的信息可以包括如先前所描述的网络列表,例如PLMN的列表,经由其中的每一个网络,非3GPP接入单元可以不仅支持用于接入认证的与用于AAA的实体(例如,3GPPAAA服务器)的连接,而且支持UE身份隐私。
在示例性实施例中,UE可以通过从UE的归属网络接收指示归属网络是否支持UE身份隐私的关于归属网络的信息来获得关于归属网络的信息。
在如在3GPP TS 33.501v17.2.1中定义的UE UPU过程或SoR过程中可以携带指示归属网络是否支持UE身份隐私的关于归属网络的信息。
支持UE身份隐私可包括支持用于非3GPP接入认证的UE身份隐私。
在UE确定UE身份隐私是否应当被使用之后,在步骤S403中,取决于确定的结果,UE可以向非3GPP接入单元发送用于接入认证的请求消息。用于接入认证的请求消息可以包括UE的标识。UE可以发送它的符合如在3GPP TS23.003v17.2.0中规定的NAI格式的标识。
特别地,如果UE确定UE身份隐私应当被使用,则用于接入认证的请求消息可包括NAI中的UE的隐藏标识,例如SUCI。
否则,如果UE确定UE身份隐私不应当被使用,则用于接入认证的请求消息可包括NAI中的UE的第一标识,例如IMSI。
在非3GPP接入单元向用于AAA的实体发送包括UE的标识的用于认证的请求消息之后,在支持仅4G用户、支持与EPC互通的5G用户和仅5G用户的场景中,各种(CN)实体可以协作以执行UE的非3GPP接入认证。
关于在支持仅4G用户、支持与EPC互通的5G用户和仅5G用户的场景中由各种实体(CN)执行的用于UE的非3GPP接入认证的方法,本公开提出至少三个示例性实施例,其示例性的信令序列图分别在图10A~10C中示出,将在后面详细描述。
可以理解,对于至少三个示例性实施例,如先前参考图3和图4所描述的由UE和非3GPP接入单元执行的方法是相同的。
在第一示例性实施例中,UE的认证凭证(例如,认证方法、认证向量等)可以经由互通实体从5GC中的用于认证的实体中检索。
在下文中,将分别参考图5A、6A、7A、8A和9A描述根据第一示例性实施例的由用于AAA的实体、路由实体、互通实体、5GC中的用于认证的实体和EPC中的用于认证的实体执行的UE的非3GPP接入认证的方法。
图5A示意性地示出了根据本公开的第一示例性实施例的由用于AAA的实体执行的示例性方法500A。应当理解,用于AAA的实体可以是3GPP AAA服务器,或者是可以被配置为执行如下面所描述的方法500A的任何其他实体,包括可以在云上实现的虚拟化实体。
在步骤S501A中,用于AAA的实体可以从非3GPP接入单元接收用于认证的请求消息。
从非3GPP接入网络接收到的用于认证的请求消息可以包括待认证的UE的标识。如先前所描述的,UE的标识可以包括UE的隐藏标识(例如,SUCI)或者UE的第一标识(例如,IMSI),这取决于UE关于UE身份隐私是否应当被用于与非3GPP接入网络的通信的确定结果,并且可被包含在由从UE到非3GPP接入网络的用于接入认证的请求消息和/或从非3GPP接入网络到用于AAA的实体的用于认证的请求消息所携带的NAI中。
如先前所描述的,用于认证的请求消息还可以包括非3GPP接入网络的接入网络标识,例如ANID。
然后,在步骤S503A中,用于AAA的实体可以从所接收到的用于认证的请求消息中检测UE的标识。
在所接收到的用于认证的请求消息中的UE的标识包括UE的隐藏标识(例如,SUCI)的情况下,UE的隐藏标识可由用于AAA的实体检测。
在所接收到的用于认证的请求消息中的UE的标识包括UE的第一标识(例如,IMSI)或者用空方案保护的UE的隐藏标识(SUCI)的情况下,UE的第一标识(例如,IMSI)可由用于AAA的实体检测。
然后,在步骤S505A中,用于AAA的实体可以向互通实体发送用于认证凭证的第一请求消息。用于认证凭证的第一请求消息可以至少包括所检测到的UE的标识。
在所检测到的UE的标识是UE的隐藏标识(例如,SUCI)的情况下,用于认证凭证的第一请求消息可以通过支持UE的隐藏标识(例如,SUCI)的基于Diameter的接口(例如,SWx接口的增强(由SWx'表示))被发送到互通实体。
例如,用于认证凭证的第一请求消息可以是SWx消息的增强,诸如如在3GPP TS33.402v16.0.0中规定的Multimedia-Auth-Request/Multimedia-Auth-Answer。
在所检测到的UE的标识是UE的第一标识(例如,IMSI)的情况下,用于认证凭证的第一请求消息可以通过支持UE的第一标识(例如,IMSI)的基于Diameter的接口(例如,现有的SWx接口)被发送到互通实体。
可替代地,用于认证凭证的第一请求消息可以进一步包括与非3GPP接入单元相关的接入网络标识,例如,ANID。
在示例性实施例中,用于认证凭证的第一请求消息可以经由路由实体(例如,SLF/DRA)被发送到互通实体。
可以理解,路由实体可以是可选的。在缺少单独的路由实体的情况下,对应的路由功能可以由用于AAA的实体实现。
在互通实体从5GC中的用于认证的实体获得认证凭证之后,用于AAA的实体可以从互通实体接收用于认证凭证的第一响应消息。
用于认证凭证的第一响应消息可以包括:
由与UE相关联的5GC中的用于认证的实体选择的认证方法(例如,EAP AKA/EAPAKA')或者由5GC中的用于认证的实体向与UE相关联的EPC中的用于认证的实体请求的认证方法,
由5GC中的用于认证的实体生成的认证向量或者由5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量,以及
从所检测到的UE的标识获得的UE的第一标识,例如IMSI。
稍后将在参考图7A的由互通实体执行的方法700A和参考图8A的由5GC中的用于认证的实体执行的方法800A中描述关于如何获得认证凭证的细节,诸如认证方法、UE的认证向量和UE的第一标识,例如IMSI。
图6A示意性地示出了根据本公开的第一示例性实施例的由路由实体执行的示例性方法600A。应当理解,路由实体可以是SLF/DRA,或者是可被配置为执行如下面所描述的方法600A的任何其他实体,包括可以在云上实现的虚拟化实体。
还应当理解,由路由实体执行的方法600A至少部分地对应于由用于AAA的实体执行的方法500A。因此,方法600A的一些描述可以参考如先前所描述的方法500A的描述,并因此为了简单起见,在此将被省略。
在步骤S601A中,路由实体可以从用于AAA的实体(例如,3GPP AAA服务器)接收用于认证凭证的第一请求消息。
如先前所描述的,用于认证凭证的第一请求消息可以至少包括待认证的UE的标识。UE的标识可以包括UE的隐藏标识,例如SUCI,或者UE的第一标识,例如IMSI。
可替代地,用于认证凭证的第一请求消息还可以包括与非3GPP接入单元相关的接入网络标识,例如,ANID。
在步骤S603A中,路由实体可以将用于认证凭证的第一请求消息转发到互通实体,例如AAA-IWF/NSSAAF。
也就是说,路由实体可以协助将用于认证凭证的第一请求消息经由互通实体向5GC中的用于认证的实体路由。
在UE的标识包括UE的隐藏标识(例如,SUCI)的情况下,用于认证凭证的第一请求消息可以通过支持UE的隐藏标识(例如,SUCI)的基于Diameter的接口(例如,SWx'接口)接收和转发。
在UE的标识包括UE的第一标识(例如,IMSI)的情况下,用于认证凭证的第一请求消息可以通过支持UE的第一标识(例如,IMSI)的基于Diameter的接口(例如SWx接口)接收和转发。
在互通实体从5GC中的用于认证的实体获得认证凭证之后,路由实体可以从互通实体接收用于认证凭证的第一响应消息,并且将用于认证凭证的第一响应消息转发到用于AAA的实体。
如先前所描述的,用于认证凭证的第一响应消息可以包括:
由与UE相关联的5GC中的用于认证的实体选择的认证方法(例如,EAP AKA/EAPAKA')或者由5GC中的用于认证的实体向与UE相关联的EPC中的用于认证的实体请求的认证方法,
由5GC中的用于认证的实体生成的认证向量或者由5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量,以及
从UE的标识获得的UE的第一标识,例如IMSI。
如先前所描述的,稍后将在参考图7A的由互通实体执行的方法700A和参考图8A的由5GC中的用于认证的实体执行的方法800A中描述关于如何获得认证凭证的细节,诸如认证方法、AV和UE的第一标识,例如IMSI。
可以理解,尽管由路由实体执行的方法600A在此单独描述,但是,在缺少单独的路由实体的情况下,它可以由用于AAA的实体执行。
图7A示意性地示出了根据本公开的第一示例性实施例的由互通实体执行的示例性方法700A。应当理解,互通实体可以是AAA-IWF/NSSAAF,或者是可被配置为执行如下面所描述的方法700A的任何其他实体,包括可以在云上实现的虚拟化实体。
还应当理解,由互通实体执行的方法700A至少部分地对应于由用于AAA的实体执行的方法500A,以及可选地由路由实体执行的方法600A。因此,方法700A的一些描述可以参考如先前所描述的方法500A的描述以及可选地方法600A的描述,并因此为了简单起见,在此将被省略。
在步骤S701A中,互通实体可以从用于AAA的实体(例如,3GPP AAA服务器)接收用于认证凭证的第一请求消息。
如先前所描述的,用于认证凭证的第一请求消息可以至少包括待认证的UE的标识。所接收到的UE的标识可以包括UE的隐藏标识(例如,SUCI),或者UE的第一标识(例如,IMSI)。
可替代地,用于认证凭证的第一请求消息还可以包括与非3GPP接入单元相关的接入网络标识,例如,ANID。
如先前所描述的,可以经由路由实体从用于AAA的实体接收用于认证凭证的第一请求消息。
然后,在步骤S703A中,基于所接收到的UE的标识,互通实体可以选择与UE相关联的5GC中的用于认证的实体,例如UDM。
在步骤S705A中,互通实体可以向所选择的5GC中的用于认证的实体发送用于认证凭证的第四请求消息。在示例性实施例中,用于认证凭证的第四请求消息可以是新的用于认证凭证的基于服务的接口(SBI)请求消息,其是由互通实体通过基于Diameter的接口(例如,SWx/SWx'接口)从用于认证凭证的第一请求消息转换的。
在所接收到的UE的标识包括UE的隐藏标识(例如,SUCI)的情况下,在步骤S701A中,互通实体可以通过支持UE的隐藏标识(例如,SUCI)的基于Diameter的接口(例如,SWx'接口)接收用于认证凭证的第一请求消息。然后,在步骤S703A中,基于被包括在所接收到的UE的隐藏标识(例如,SUCI)中的路由指示符,互通实体可以选择5GC中的用于认证的实体。接下来,在步骤S705A中,互通实体可以向所选择的5GC中的用于认证的实体发送用于认证凭证的第四请求消息,其中,用于认证凭证的第四请求消息可以至少包括请求节点是用于AAA的实体的指示和UE的隐藏标识,例如SUCI。
在所接收到的UE的标识包括UE的第一标识(例如,IMSI)的情况下,在步骤S701A中,互通实体可以通过支持UE的第一标识(例如,IMSI)的基于Diameter的接口(例如,SWx接口)接收用于认证凭证的第一请求消息。然后,在步骤S703A中,基于UE的第一标识(例如,IMSI),互通实体可以选择5GC中的用于认证的实体。接下来,在步骤S705A中,互通实体可以向所选择的5GC中的用于认证的实体发送用于认证凭证的第四请求消息,其中,用于认证凭证的第四请求消息可以至少包括请求节点是用于AAA的实体的指示以及UE的另一个明文标识(在整个说明书中也称为“第二标识”),例如SUPI,该明文标识可以是由互通实体从UE的第一标识(例如,IMSI)转换的。
可替代地,在上述两种情况中的任一种情况下,用于认证凭证的第四请求消息还可以包括与UE所连接到的非3GPP接入单元相关的接入网络标识,例如ANID。
在所选择的5GC中的用于认证的实体获得对应的认证凭证之后,互通实体可以从所选择的5GC中的用于认证的实体接收用于认证凭证的第四响应消息。
用于认证凭证的第四响应消息可以至少包括:
由所选择的5GC中的用于认证的实体选择的认证方法或者由所选择的5GC中的用于认证的实体向与UE相关联的EPC中的用于认证的实体(例如,HSS)请求的认证方法,以及
由所选择的5GC中的用于认证的实体生成的认证向量或者由所选择的5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量。
可以理解,在用于认证凭证的第一请求消息中所接收到的UE的标识包括UE的第一标识(例如,IMSI)的情况下,用于认证凭证的第四响应消息可以不包括UE的第二标识,例如SUPI,因为互通实体已经知道UE的第一标识,例如IMSI。
可替代地,用于认证凭证的第四响应消息还可以包括UE的第二标识(例如,SUPI),其中,在用于认证凭证的第一请求消息中所接收到的UE的标识包括UE的隐藏标识(例如,SUCI)的情况下,该第二标识可以是由5GC中的用于认证的实体从UE的隐藏标识(例如,SUCI)中去隐藏的;或者在用于认证凭证的第一请求消息中所接收到的UE的标识包括UE的第一标识(例如,IMSI)的情况下,该第二标识可以是由互通实体从所接收到的第一标识(例如,IMSI)转换的。
然后,互通实体可以向用于AAA的实体发送用于认证凭证的第一响应消息。
如先前所描述的,用于认证凭证的第一响应消息可以包括:
由5GC中的用于认证的实体选择的认证方法(例如,EAP AKA/EAP AKA')或者由5GC中的用于认证的实体向与UE相关联的EPC中的用于认证的实体请求的认证方法,
由所选择的5GC中的用于认证的实体生成的认证向量或者由所选择的5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量,以及
从所接收到的UE的标识获得的UE的第一标识。
在其中从所选择的5GC中的用于认证的实体接收到的用于认证凭证的第四响应消息包括如先前所描述的UE的第二标识(例如,SUPI)的示例性实施例中,互通实体可以将UE的第二标识(例如,SUPI)转换为UE的第一标识(例如,IMSI),并将UE的第一标识(例如,IMSI)包括在用于认证凭证的第一响应消息中。
在其中在用于认证凭证的第一请求消息中所接收到的UE的标识包括UE的第一标识(例如,IMSI)的情况下,互通实体已经知道UE的第一标识(例如,IMSI)的示例性实施例中,从所选择的5GC中的用于认证的实体接收到的用于认证凭证的第四响应消息可以不如先前所描述地包括UE的第二标识(例如,SUPI),并且互通实体可以在用于认证凭证的第一响应消息中直接包括UE的第一标识,例如IMSI。
图8A示意性地示出了根据本公开的第一示例性实施例的由5GC中的用于认证的实体执行的示例性方法800A。应当理解,5GC中的用于认证的实体可以是UDM/ARPF/订阅标识符去隐藏功能(SIDF),或者是可被配置为执行如下面所描述的方法800A的任何其他实体,包括可以在云上实现的虚拟化实体。
还应当理解,由5GC中的用于认证的实体执行的方法800A至少部分地对应于由互通实体执行的方法700A。因此,方法800A的一些描述可以参考方法700A的描述,并因此为了简单起见,在此将被省略。
在步骤S801A中,5GC中的用于认证的实体可以从互通实体接收针对待认证的UE的用于认证凭证的第四请求消息。
如先前所描述的,用于认证凭证的第四请求消息可以至少包括请求节点是用于AAA的实体的指示以及UE的标识。UE的标识可以包括UE的隐藏标识,例如SUCI,或者UE的第二标识,例如SUPI。可替代地,用于认证凭证的第四请求消息还可以包括与UE所连接到的非3GPP接入单元相关的接入网络标识,例如ANID。
在所接收到的UE的标识包括UE的隐藏标识(例如,SUCI)的情况下,5GC中的用于认证的实体可以从所接收到的UE的隐藏标识(例如,SUCI)去隐藏UE的第二标识(例如,SUPI)。
然后,至少基于请求节点是用于AAA的实体的指示和UE的第二标识(例如,SUPI),5GC中的用于认证的实体可以选择用于UE的认证方法,例如,EAP AKA/EAP AKA'。针对UE选择EAP AKA'可以进一步基于与UE所连接到的非3GPP接入单元相关的接入网络标识,例如ANID。
并且5GC中的用于认证的实体可以至少基于UE的第二标识(例如,SUPI)来生成用于UE的认证向量。
可以理解,在所接收到的UE的标识包括由互通实体从UE的第一标识(例如,IMSI)转换的UE的第二标识(例如,SUPI)的情况下,5GC中的用于认证的实体可以直接使用UE的第二标识(例如,SUPI)以选择认证方法和生成认证向量,而无需去隐藏。
在示例性实施例中,用于UE的认证向量生成功能可以被部署在与UE相关联的EPC中的用于认证的实体中,例如HSS。在这种情况下,5GC中的用于认证的实体可以向EPC中的用于认证的实体请求对应的认证凭证。
特别地,5GC中的用于认证的实体可以向EPC中的用于认证的实体发送用于认证凭证的第五请求消息。用于认证凭证的第五请求消息可以至少包括:请求节点是用于AAA的实体的指示,以及UE的标识。在此,UE的标识可以包括UE的第二标识,例如SUPI,或者可以包括可以是由5GC中的用于认证的实体转换的UE的第一标识,例如IMSI。
可替代地,用于认证凭证的第五请求消息还可以包括UE所连接到的非3GPP接入网络的接入网络标识,例如ANID。
然后,5GC中的用于认证的实体可以从EPC中的用于认证的实体接收用于认证凭证的第五响应消息。用于认证凭证的第五响应消息可以至少包括用于UE的认证方法和用于UE的认证向量。
稍后将在参考图9A的由EPC中的用于认证的实体执行的方法900A中描述关于如何由EPC中的用于认证的实体获取UE的认证凭证的细节,诸如认证方法、AV。
在5GC中的用于认证的实体获得用于UE的认证凭证(诸如认证方法、AV)之后,5GC中的用于认证的实体可以将认证凭证包括在用于认证凭证的第四响应消息中,并在步骤S803A中向互通实体发送用于认证凭证的第四响应消息。
图9A示意性地示出了根据本公开的第一示例性实施例的由EPC中的用于认证的实体执行的示例性方法900A。应当理解,EPC中的用于认证的实体可以是HSS/认证中心(AUC),或者是可被配置为执行如下面所描述的方法900A的任何其他实体,包括可以在云上实现的虚拟化实体。
还应当理解,由EPC中的用于认证的实体执行的方法900A至少部分地对应于由5GC中的用于认证的实体执行的方法800A。因此,方法900A的一些描述可以参考方法800A的描述,并因此为了简单起见,在此将被省略。
如先前所描述的,如果用于UE的认证向量生成功能被部署在EPC中的用于认证的实体中,则方法900A由EPC中的用于认证的实体执行。在这种情况下,5GC中的用于认证的实体可以向EPC中的用于认证的实体请求对应的认证凭证。
在步骤S901A中,EPC中的用于认证的实体可以从与待认证的UE相关联的5GC中的用于认证的实体接收用于认证凭证的第五请求消息。
如先前所描述的,用于认证凭证的第五请求消息可以至少包括:请求节点是用于AAA的实体的指示,以及UE的标识。UE的标识可以包括UE的第二标识,例如SUPI,或者可以包括可由5GC中的用于认证的实体转换的UE的第一标识,例如IMSI。
可替代地,用于认证凭证的第五请求消息还可以包括UE所连接到的非3GPP接入网络的接入网络标识,例如ANID。
然后在步骤S903A中,EPC中的用于认证的实体可以获得用于UE的认证凭证。用于UE的认证凭证可以包括:用于UE的认证方法,例如EAP AKA/EAP AKA',以及用于UE的认证向量。
特别地,在步骤S903A中,EPC中的用于认证的实体可以至少基于请求节点是用于AAA的实体的指示和UE的标识(例如,SUPI或IMSI)选择用于UE的认证方法,并可以至少基于UE的标识(例如,SUPI或IMSI)生成用于UE的认证向量。
然后,在步骤S905A中,EPC中的用于认证的实体可以将所获得的用于UE的认证凭证包括在用于认证凭证的第五响应消息中,并向5GC中的用于认证的实体发送用于认证凭证的第五响应消息。
在下文中,将参考如图10A所示的示例性信令序列图来描述根据本公开的第一示例性实施例的用于UE的非3GPP接入认证,其中可以应用图3、图4、图5A、图6A、图7A、图8A和图9A的方法。如图10A所示的示例性信令序列图的一些描述可以参考如先前所描述的方法300、400、500A、600A、700A、800A和900A的描述,并因此为了简单起见,在此将被省略。
在关于图10A的示例性信令序列图的以下描述中,WLAN AP被说明为如先前所描述的非3GPP接入单元的示例,3GPP AAA服务器被说明为用于AAA的实体的示例,SLF/DRA(未示出)被说明为路由实体的示例,AAA-IWF/NSSAAF被说明为互通实体的示例,UDM/ARPF/SIDF被说明为5GC中的用于认证的实体的示例,以及HSS/AUC被说明为EPC中的用于认证的实体的示例。
应当理解,以上的示例性实体在此仅用于说明而没有任何限制。除了在此所提到的实体或其任何组合之外的相应实体可以协作以执行用于UE的非3GPP接入认证,只要可以分别实现方法300、500A、600A、700A、800A和900A即可。
应当注意,以下描述主要集中在与方法300、400、500A、600A、700A、800A和900A相关的信令,并且一些其他信令未被详细描述以避免混淆本公开的原理。在图10A中,以粗斜体示出对与方法300、400、500A、600A、700A、800A和900A相关的信令的修改,其中涉及例如信令S10A_0b、S10A_5~S10A_7和S10A_9~S10A_11。
在S10A_0a中,UE可以选择WLAN接入网络和PLMN以用于经由该PLMN执行基于3GPP的接入认证。
在该过程期间,WLAN接入网络中的WLAN AP可以广播如在3GPP TS23.501v17.1.1的条款6.3.12中规定的PLMN列表。WLAN AP可以广播包括WLAN接入网络可以经由其支持用于接入认证的与3GPP AAA服务器的连接和UE身份隐私(例如SUCI)的所有PLMN的PLMN列表。
在S10A_0b中,例如基于本地配置、来自WLAN AP的信息、以及由归属网络提供的归属网络支持UE身份隐私用于接入认证(例如用于NSWO)的信息,UE可以确定UE身份隐私是否应当被用于例如NSWO业务。提供这样的信息可以在如在3GPP TS 33.501v17.2.1中定义的UE UPU过程或SoR过程中携带。
在S10A_1中,可以在UE与WLAN接入网络之间建立层2连接。
在S10A_2中,WLAN接入网络,例如WLAN接入网络中的EAP认证器,可以向UE发送EAP请求/标识。
在S10A_3中,UE可以向WLAN接入网络(即WLAN AP)发送EAP响应/标识消息。UE应发送它的符合如在3GPP TS23.003v17.2.0中规定的NAI格式的标识。
在UE确定UE身份隐私应当被使用的情况下,NAI包含在前一次认证过程的运行中分配给UE的假名,或者在第一认证情况下包含SUCI。
然后,在S10A_4中,WLAN AP可以例如基于如在3GPP TS 33.402v16.0.0中规定的NAI的领域部分,向适当的3GPP AAA服务器发送AAA请求消息。路由路径可包括一个或若干AAA代理。在这样的情况下,SUCI的NAI可以按如在3GPP TS23.003v17.2.0中规定的修饰的(decorated)NAI格式形成。由WLAN AP发送的AAA请求消息可以包括NAI中的SUCI或IMSI,以及可选地WLAN接入网络的ANID。
在S10A_5中,3GPP AAA服务器可以接收包含UE的标识的AAA请求消息。在UE确定使用SUCI的情况下,AAA请求消息可以包括NAI格式中的SUCI,并且3GPP AAA可以从NAI中检测SUCI。
3GPP AAA可以确定通过SWx(在检测到IMSI的情况下)或SWx'(在检测到SUCI的情况下)检索用于UE的认证凭证,诸如EAP AKA/EAP AKA'、AV。
在UE确定使用IMSI的情况下,AAA请求消息可以包括NAI格式中的IMSI,并且3GPPAAA可以从NAI中检测IMSI,并可以确定经由SWx从HSS/AUC检索认证凭证,如在现有的EPC过程中(具有UDICOM)。
在S10A_6中,3GPP AAA服务器可以经由AAA-IWF/NSSAAF发送用于从UDM/ARPF/SIDF检索认证凭证的AV请求消息。AV请求消息可以包括SUCI或IMSI,以及可选地ANID。
在检测到SUCI的情况下,3GPP AAA服务器可以创建更新的Diameter SWx'请求消息作为AV请求消息。该消息可以是SWx消息的增强,例如,如在3GPP TS 33.402v16.0.0中规定的Multimedia-Auth-Request/Multimedia-Auth-Answer。否则,在检测到IMSI的情况下,可以如所定义地使用现有的Diameter SWx Multimedia-Auth-Request(MAR)命令。
可选的SLF/DRA(未示出)可以协助将更新的Diameter SWx/SWx'请求经由AAA-IWF/NSSAAF向UDM/ARPF/SIDF路由。
在S10A_7中,AAA-IWF/NSSAAF可以例如基于SUCI的路由标识符发现并选择UDM/ARPF/SIDF。AAA-IWF/NSSAAF可以将SWx'/SWx AV请求消息转换成新的SBI AV请求消息,例如Nudm_UEAuthentication_GetAaaAV,其可以包括SUCI(在接收到SUCI的情况下)或由AAA-IWF/NSSAAF从IMSI转换的SUPI(在接收到SUCI的情况下)、请求节点是3GPP AAA服务器的指示、以及可选地ANID。AAA-IWF/NSSAAF可以向所选择的UDM/ARPF/SIDF发送SBI AV请求消息。
在S10A_8中,UDM/ARPF/SIDF可以从SUCI去隐藏SUPI(在接收到SUCI的情况下)。UDM/ARPF/SIDF可以例如至少基于UE的SUPI(在接收到SUCI的情况下去隐藏的,或直接接收的)以及请求节点是3GPP AAA服务器的指示,选择EAP AKA作为认证方法,或者例如至少基于UE的订阅、ANID、以及请求节点是3GPP AAA服务器的指示,选择EAP-AKA'作为认证方法。UDM/ARPF/SIDF可以至少基于UE的SUPI生成EAP-AKA/EAP-AKA'的AV。
可替代地,如果(用于该用户的)认证向量生成功能被部署在HSS/AUC中,则在S10A_9中,UDM/ARPF/SIDF可以使用UDICOM NU1参考点的新的服务操作向HSS/AUC发送用于对应的认证凭证的AV请求消息。AV请求消息可以包括SUPI或者可由UDM/ARPF/SIDF转换的IMSI、请求节点是3GPP AAA服务器的指示、以及可选地ANID。然后,UDM/ARPF/SIDF可以从HSS/AUC接收对应的认证凭证。
在S10A_10中,UDM/ARPF/SIDF可以将具有所选择的认证凭证和可选地SUPI的AV响应消息发送到AAA-IWF/NSSAAF。
在S10A_11中,AAA-IWF/NSSAAF可以将SUPI转换为IMSI(在接收到SUPI的情况下),并且通过SWx/SWx'将具有所选择的认证凭证和IMSI的AV响应消息发送到3GPP AAA服务器。
然后,在S10A_14中,3GPP AAA服务器和UE可以进行EAP AKA'过程,并导出密钥材料,例如如在3GPP TS 33.402v16.0.0中规定的MSK/EMSK。
在S10A_15中,3GPP AAA服务器可以向WLAN接入网络中的认证器发送EAP成功消息和MSK。
在S10A_16中,WLAN接入网络中的认证器可以用EAP成功消息向UE通知成功的认证。
在S10A_17a中,UE和WLAN接入网络可以基于共享密钥材料进行安全建立。
在S10A_17b中,在成功的认证之后,UE可以从WLAN接入网络接收它的IP配置,并且可以直接经由WLAN交换IP数据业务,即使用NSWO。
在第二示例性实施例中,用于UE的认证凭证(例如,认证方法、认证向量等)可以基于UE的第一标识(例如,IMSI)从EPC中的用于认证的实体中检索,该第一标识是从5GC中的用于认证的实体去隐藏的。
在下文中,将分别参考图5B、图6B、图7B和图8B描述根据第二示例性实施例的由用于AAA的实体、路由实体、互通实体、5GC中的用于认证的实体执行的UE的非3GPP接入认证的方法。
图5B示意性地示出了根据本公开的第二示例性实施例的由用于AAA的实体执行的示例性方法500B。应当理解,用于AAA的实体可以是3GPP AAA服务器,或者是可被配置为执行如下面所描述的方法500B的任何其他实体,包括可以在云上实现的虚拟化实体。
在步骤S501B中,用于AAA的实体可以从非3GPP接入单元接收用于认证的请求消息。
从非3GPP接入网络接收的用于认证的请求消息可以包括待认证的UE的标识。UE的标识可以包括UE的隐藏标识,例如SUCI,这取决于UE关于UE身份隐私应当被用于与非3GPP接入网络的通信的确定结果,并且可以被包含在由从UE到非3GPP接入网络的用于接入认证的请求消息和/或从非3GPP接入网络到用于AAA的实体的用于认证的请求消息携带的NAI中。
然后,在步骤S503B中,用于AAA的实体可以从所接收到的用于认证的请求消息中检测UE的隐藏标识,例如SUCI。
然后,在步骤S505B中,用于AAA的实体可以向互通实体(例如,AAA-IWF/NSSAAF)发送用于检索UE的去隐藏标识(也称为“第一标识”)(例如,IMSI)的标识请求消息。标识请求消息可以包括所检测到的UE的隐藏标识,例如SUCI。标识请求消息可以通过支持UE的隐藏标识(例如,SUCI)的基于Diameter的接口(例如,SWx'接口)发送。
在示例性实施例中,标识请求消息可以经由路由实体(例如,SLF/DRA)被发送到互通实体。
可以理解,路由实体可以是可选的。在缺少单独的路由实体的情况下,对应的路由功能可以由用于AAA的实体实现。
在互通实体从5GC中的用于认证的实体获得UE的第一标识(例如,IMSI)之后,用于AAA的实体可以从互通实体接收标识响应消息。标识响应消息可以包括UE的第一标识(例如,IMSI),该第一标识可以是由互通实体从UE的第二标识(例如,SUPI)转换的,该第二标识进而是由与UE相关联的5GC中的用于认证的实体从UE的隐藏标识(例如,SUCI)去隐藏的。
标识响应消息也可以通过基于Diameter的接口(例如,SWx'接口)接收。
然后,用于AAA的实体可以基于已经从5GC中的用于认证的实体去隐藏的UE的第一标识(例如IMSI)来执行现有的认证凭证检索过程。
特别地,用于AAA的实体可以向与UE相关联的EPC中的用于认证的实体发送用于认证凭证的请求消息(在整个说明书中称为“用于认证凭证的第二请求消息”),可选地,经由路由实体。用于认证凭证的第二请求消息可以至少包括所接收到的UE的第一标识,例如IMSI。
然后,用于AAA的实体可以从EPC中的用于认证的实体接收用于认证凭证的第二响应消息,可选地,经由路由实体。
用于认证凭证的第二响应消息可以包括:
由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证方法,以及
由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量。
可以理解,认证凭证(诸如认证方法、UE的认证向量)的检索由EPC中的用于认证的实体用现有的认证凭证检索方法实现,这不是本公开的一部分,因此,为了完整起见,稍后将在由EPC中的用于认证的实体执行的方法中进行简单描述。
图6B示意性地示出了根据本公开的第二示例性实施例的由路由实体执行的示例性方法600B。应当理解,路由实体可以是SLF/DRA,或者是可被配置为执行如下面所描述的方法600B的任何其他实体,包括可以在云上实现的虚拟化实体。
还应当理解,由路由实体执行的方法600B至少部分地对应于由用于AAA的实体执行的方法500B。因此,方法600B的一些描述可以参考如先前所描述的方法500B的描述,并因此为了简单起见,在此将被省略。
在步骤S601B中,路由实体可以从用于AAA的实体(例如,3GPP AAA服务器)接收用于检索UE的去隐藏标识(也称为“第一标识”)(例如,IMSI)的标识请求消息。标识请求消息可以包括所检测到的UE的隐藏标识,例如SUCI。
然后,在步骤S603B中,路由实体可以将标识请求消息转发给互通实体,例如AAA-IWF/NSSAAF。
标识请求消息可以通过支持UE的隐藏标识(例如,SUCI)的基于Diameter的接口(例如,SWx'接口)接收和转发。
也就是说,路由实体可以协助将标识请求消息经由互通实体向5GC中的用于认证的实体路由。
在互通实体从5GC中的用于认证的实体获得UE的第一标识(例如,IMSI)之后,路由实体可以从互通实体接收标识响应消息。标识响应消息可以包括UE的第一标识(例如,IMSI),该第一标识可以是由互通实体从UE的第二标识(例如,SUPI)转换的,该第二标识进而是由与UE相关联的5GC中的用于认证的实体从UE的隐藏标识(例如,SUCI)去隐藏的。
然后,路由实体可以将标识响应消息转发给用于AAA的实体。
标识响应消息也可以通过基于Diameter的接口(例如,SWx'接口)接收和转发。
然后,路由实体可以从用于AAA的实体接收用于认证凭证的第二请求消息。用于认证凭证的第二请求消息可以至少包括所接收到的UE的第一标识,例如IMSI。
然后,路由实体可以将所接收到的用于认证凭证的第二请求消息转发给与UE相关联的EPC中的用于认证的实体。
接下来,路由实体可以从EPC中的用于认证的实体接收用于认证凭证的第二响应消息,可选地,经由路由实体。
用于认证凭证的第二响应消息可以包括:
由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证方法,以及
由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量。
然后,路由实体可以将所接收到的用于认证凭证的第二响应消息转发给用于AAA的实体。
可以理解,认证凭证(诸如认证方法、UE的认证向量)的检索由EPC中的用于认证的实体用现有的认证凭证检索方法实现,这不是本公开的一部分,因此,为了完整起见,稍后将在由EPC中的用于认证的实体执行的方法中进行简单描述。
可以理解,尽管由路由实体执行的方法600B在此被单独描述,但是,在缺少单独的路由实体的情况下,它可以由用于AAA的实体执行。
图7B示意性地示出了根据本公开的第二示例性实施例的由互通实体执行的示例性方法700B。应当理解,互通实体可以是AAA-IWF/NSSAAF,或者是可被配置为执行如下面所描述的方法700B的任何其他实体,包括可以在云上实现的虚拟化实体。
还应当理解,由互通实体执行的方法700B至少部分地对应于由用于AAA的实体执行的方法500B以及可选地由路由实体执行的方法600B。因此,方法700B的一些描述可以参考如先前所描述的方法500B的描述以及可选地方法600B的描述,并因此为了简单起见,在此将被省略。
在步骤S701B中,互通实体可以从用于AAA的实体(例如,3GPP AAA服务器)接收用于检索UE的去隐藏标识(也称为“第一标识”)(例如,IMSI)的标识请求消息。
如先前所描述的,标识请求消息可以包括UE的隐藏标识,例如SUCI。标识请求消息可以通过支持UE的隐藏标识(例如,SUCI)的基于Diameter的接口(例如,SWx'接口)接收。
如先前所描述的,可以经由路由实体从用于AAA的实体接收标识请求消息。
然后在步骤S703B中,互通实体可以基于所接收到的UE的隐藏标识来选择与UE相关联的5GC中的用于认证的实体。在示例性实施例中,与UE相关联的5GC中的用于认证的实体可以由互通实体基于被包括在所接收到的UE的隐藏标识(例如,SUCI)中的路由指示符来选择。
然后,在步骤S705B中,互通实体可以向所选择的5GC中的用于认证的实体发送用于标识去隐藏的请求消息。在示例性实施例中,用于标识去隐藏的请求消息可以是新的用于标识去隐藏的SBI请求消息,其是由互通实体通过支持UE的隐藏标识(例如,SUCI)的基于Diameter的接口(例如,SWx'接口)从标识请求消息转换的。
用于标识去隐藏的请求消息可以包括所接收到的UE的隐藏标识,例如SUCI。
然后,互通实体可以从所选择的5GC中的用于认证的实体接收用于标识去隐藏的响应消息。用于标识去隐藏的响应消息可以包括UE的第二标识(例如,SUPI),其由所选择的5GC中的用于认证的实体从UE的隐藏标识(例如,SUCI)去隐藏;将所接收到的UE的第二标识(例如,SUPI)转换为UE的第一标识(例如,IMSI);以及将标识响应消息发送到用于AAA的实体。标识响应消息可以包括UE的第一标识,例如IMSI。
图8B示意性地示出了根据本公开的第二示例性实施例的由5GC中的用于认证的实体执行的示例性方法800B。应当理解,5GC中的用于认证的实体可以是UDM/ARPF/SIDF,或者是可被配置为执行如下面所描述的方法800B的任何其他实体,包括可以在云上实现的虚拟化实体。
还应当理解,由5GC中的用于认证的实体执行的方法800B至少部分地对应于由互通实体执行的方法700B。因此,方法800B的一些描述可以参考方法700B的描述,并因此为了简单起见,在此将被省略。
在步骤S801B中,5GC中的用于认证的实体可以从互通实体(例如,AAA-IWF/NSSAAF)接收用于标识去隐藏的请求消息。如先前所描述的,用于标识去隐藏的请求消息可以包括所接收到的UE的隐藏标识,例如SUCI。
在步骤S803B中,5GC中的用于认证的实体可以从所接收到的UE的隐藏标识(例如SUCI)去隐藏UE的第二标识(例如SUPI)。
然后在步骤S805B中,5GC中的用于认证的实体可以向互通实体发送用于标识去隐藏的响应消息。用于标识去隐藏的响应消息可包括UE的去隐藏的第二标识,例如SUPI。
如先前所描述的,在第二示例性实施例中的由EPC中的用于认证的实体执行的用于非3GPP接入认证的方法不是本公开的一部分,并且为了完整性将在此简单描述。
在用于AAA的实体接收到UE的第一标识(例如,IMSI)之后,它可以通过支持UE的第一标识(例如,IMSI)的基于Diameter的接口向与UE相关联的EPC中的用于认证的实体发送用于认证凭证的第二请求消息,可选地经由路由实体。用于认证凭证的第二请求消息可以至少包括UE的第一标识,例如IMSI,以及可选地UE所连接到的非3GPP接入网络的ANID。
因此,EPC中的用于认证的实体可以通过支持UE的第一标识(例如,IMSI)的基于Diameter的接口从用于AAA的实体接收用于认证凭证的第二请求消息。第二请求消息可以至少包括UE的第一标识,例如IMSI,以及可选地ANID。
如果用于UE的认证向量生成功能被部署在EPC中的用于认证的实体中,则EPC中的用于认证的实体可以直接向用于AAA的实体提供用于UE的认证凭证,诸如认证方法、AV。
可替代地,如果用于UE的认证向量生成功能被部署在5GC中的用于认证的实体中,则EPC中的用于认证的实体可以通过UDICOM NU1接口向5GC中的用于认证的实体发送进一步的用于认证凭证的请求消息,以便从5GC中的用于认证的实体获得用于UE的认证凭证。
然后,EPC中的用于认证的实体可以通过支持UE的第一标识(例如,IMSI)的基于Diameter的接口向用于AAA的实体发送用于认证凭证的第二响应消息。
用于认证凭证的第二响应消息可以包括:由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证方法,以及由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量。
在下文中,将参考如图10B所示的示例性信令序列图来描述根据本公开的第二示例性实施例的用于UE的非3GPP接入认证,其中可以应用图3、图4、图5B、图6B、图7B和图8B的方法。如图10B所示的示例性信令序列图的一些描述可以参考如先前所描述的方法300、400、500B、600B、700B和800B的描述,并因此为了简单起见,在此将被省略。
与图10A的示例性信令序列图类似地,在以下关于图10B的示例性信令序列图的描述中,WLAN AP被说明为如先前所描述的非3GPP接入单元的示例,3GPP AAA服务器被说明为用于AAA的实体的示例,SLF/DRA(未示出)被说明为路由实体的示例,AAA-IWF/NSSAAF被说明为互通实体的示例,UDM/ARPF/SIDF被说明为5GC中的用于认证的实体的示例,以及HSS/AUC被说明为EPC中的用于认证的实体的示例。
应当理解,以上的示例性实体此处仅用于说明而没有任何限制。除了在此所提到的实体或其任何组合之外的相应实体可以协作以执行用于UE的非3GPP接入认证,只要可以分别实现方法300、500B、600B、700B、和800B即可。
应当注意,以下描述主要集中在与方法300、400、500B、600B、700B和800B相关的信令,并且一些其他信令未被详细描述以避免混淆本公开的原理。在图10B中,以粗斜体示出对与方法300、400、500B、600B、700B和800B相关的信令的修改,其中涉及例如信令S10B_0b、S10B_5~S10A_7和S10B_9。
在图10B的示例性信令序列图中,图10B中的信令S10B_0a~S10B_5与图10A中的信令S10A_0a~S10A_5类似。仅有的差异在于,UE在S10B_0b中确定UE身份隐私应当被使用,并因此在S10B_3中向WLAN AP发送EAP响应/标识消息,其中SUCI在NAI中,3GPP AAA服务器因此在S10B_5中从NAI中检测SUCI。因此,关于那些信令S10B_0a~S10B_5的详细描述可以参考关于信令S10A_0a~S10A_5的描述,并且为了简单起见,在此将被省略。
在S10B_6中,3GPP AAA服务器可以通过SWx'经由新的基于Diameter的命令发送具有从S10B_4接收并在S10B_5中检测到的SUCI的IMSI检索请求。
可选的SLF/DRA(未示出)可以协助将新的Diameter SWx'请求经由AAA-IWF/NSSAAF向UDM/ARPF/SIDF路由。
注意:在从S10B_4接收到的NAI包含用空方案保护的SUCI的情况下,3GPP AAA服务器可以自己从SUCI中取得IMSI,并跳过S10B_6到S10B_10。
在S10B_7中,AAA-IWF/NSSAAF可以例如基于SUCI的路由标识符发现并选择UDM/ARPF/SIDF。AAA-IWF/NSSAAF可以使用新的Nudm服务(例如,Nudm_SUCIDeconceament_Get)向UDM/ARPF/SIDF发送SUCI去隐藏请求。
在S10B_8中,UDM/ARPF/SIDF可以从SUCI去隐藏SUPI。
在S10B_9中,UDM/ARPF/SIDF可以向AAA-IWF/NSSAAF发送具有SUPI的SUCI去隐藏响应。
在S10B_10中,AAA-IWF/NSSAAF可以将SUPI转换为IMSI,并且通过SWx'向3GPP AAA服务器发送IMSI检索响应。
在S10B_11中,3GPP AAA服务器可以发送具有在S10B_4中接收到的IMSI和可选地ANID的AV请求消息。AV请求消息可以如当前所规定地经由SWx被路由到HSS。在UE的归属网络中存在多个HSS实例的情况下,SLF/DRA将协助将SWx请求路由到与UE相关联的HSS。
在归属网络支持仅4G用户、支持与EPC互通的5G用户和仅5G用户的混合的场景中,SLF/DRA还可以协助将AV请求消息经由通过NSSAAF实现的AAA-IWF向HSS/AUC路由(对于仅4G用户、支持与EPC互通的5G用户)或者向UDM/ARPF/SIDF路由(对于仅5G用户)。
在S10B_12中,如果HSS/AUC支持用于UE的认证向量生成功能,则HSS/AUC可以如当前所定义地向3GPP AAA服务器提供用于UE的认证凭证,诸如认证方法、AV。如果用于UE的认证向量生成功能已经被移动到UDM/ARPF/SIDF,则HSS/AUC可以如当前所规定地使用UDICOMNU1参考点向UDM/ARPF/SIDF请求认证凭证。
在S10B_13中,HSS/AUC可以通过Diameter SWx向3GPP AAA服务器发送AV响应消息。流程继续到S10B_14。
图10B中的信令S10B_14~S10B_17b与图10A中的信令S10A_14~S10A_17b相同。因此,关于那些信令S10B_14~S10B_17b的描述可以参考关于信令S10A_14~S10A_17b的描述,并且为了简单起见将被省略。
在第三示例性实施例中,用于UE的认证凭证(例如,认证方法、认证向量等)可以基于UE的隐藏标识(例如,SUCI)从EPC中的用于认证的实体中检索。
在下文中,将分别参考图5C、图6C、图8C和图9B描述根据第二示例性实施例的由用于AAA的实体、路由实体、互通实体、5GC中的用于认证的实体执行的UE的非3GPP接入认证的方法。
图5C示意性地示出了根据本公开的第三示例性实施例的由用于AAA的实体执行的示例性方法500C。应当理解,用于AAA的实体可以是3GPP AAA服务器,或者是可被配置为执行如下面所描述的方法500C的任何其他实体,包括可以在云上实现的虚拟化实体。
在步骤S501C中,用于AAA的实体可以从非3GPP接入单元接收用于认证的请求消息。
从非3GPP接入网络接收的用于认证的请求消息可以包括待认证的UE的标识。UE的标识可以包括UE的隐藏标识,例如SUCI,这取决于UE关于UE身份隐私应当被用于与非3GPP接入网络的通信的确定结果,并可被包含在由从UE到非3GPP接入网络的用于接入认证的请求消息和/或从非3GPP接入网络到用于AAA的实体的用于认证的请求消息所携带的NAI中。
然后,在步骤S503C中,用于AAA的实体可以从所接收到的用于认证的请求消息中检测UE的隐藏标识,例如SUCI。
然后,在步骤S505C中,用于AAA的实体可以向与UE相关联的EPC中的用于认证的实体(例如,HSS)发送用于认证凭证的第三请求消息。用于认证凭证的第三请求消息可以至少包括所检测到的UE的隐藏标识,例如SUCI。
在示例性实施例中,用于AAA的实体可以经由路由实体(例如,SLF/DRA)向EPC中的用于认证的实体发送用于认证凭证的第三请求消息。在这种情况下,路由实体选择EPC中的用于认证的实体,这稍后将详细描述。
可替代地,在没有单独的路由实体的示例性实施例中,用于AAA的实体可以在用于网络存储库的实体(例如,NRF)中基于所检测到的UE的隐藏标识(例如,SUCI)选择EPC中的用于认证的实体。
可以基于被包括在所检测到的UE的隐藏标识中的路由指示符,在用于网络存储库的实体中选择EPC中的用于认证的实体。
然后,在步骤S505C中,用于AAA的实体可以向所选择的EPC中的用于认证的实体发送用于认证凭证的第三请求消息。
用于认证凭证的第三请求消息可以通过支持UE的隐藏标识(例如,SUCI)的基于Diameter的接口(例如,SWx'接口)被发送口。
然后,用于AAA的实体可以从EPC中的用于认证的实体接收用于认证凭证的第三响应消息。用于认证凭证的第三响应消息也可以通过基于Diameter的接口(例如,SWx'接口)被接收。
用于认证凭证的第三响应消息可以包括:
由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向与UE相关联的5GC中的用于认证的实体(例如,UDM)请求的认证方法,
由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量,以及
从UE的隐藏标识(例如SUCI)获得的UE的第一标识(例如IMSI)。
图6C示意性地示出了根据本公开的第三示例性实施例的由路由实体执行的示例性方法600C。应当理解,路由实体可以是SLF/DRA,或者是可以被配置为执行如下面所描述的方法600A的任何其他实体,包括可以在云上实现的虚拟化实体。
还应当理解,由路由实体执行的方法600C至少部分地对应于由用于AAA的实体执行的方法500C。因此,方法600C的一些描述可以参考如先前所描述的方法500C的描述,并因此为了简单起见,在此将被省略。
在步骤S601C中,路由实体可以从用于AAA的实体(例如,3GPP AAA服务器)接收用于认证凭证的第三请求消息。用于认证凭证的第三请求消息可以至少包括所检测到的待认证的UE的隐藏标识,例如SUCI。
然后,在步骤S603C中,路由实体可以基于所检测到的UE的隐藏标识(例如,SUCI)在用于网络存储库的实体(例如,NRF)中选择EPC中的用于认证的实体(例如,HSS)。
可以基于被包括在所检测到的UE的隐藏标识中的路由指示符,在用于网络存储库的实体中选择EPC中的用于认证的实体。
然后,在步骤S605C中,路由实体可以将用于认证凭证的第三请求消息转发到所选择的EPC中的用于认证的实体。
用于认证凭证的第三请求消息可以通过支持UE的隐藏标识(例如,SUCI)的基于Diameter的接口(例如,SWx'接口)接收和转发。
然后,路由实体可以从EPC中的用于认证的实体接收用于认证凭证的第三响应消息,并将其转发给用于AAA的实体。
用于认证凭证的第三响应消息可以包括:
由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向与UE相关联的5GC中的用于认证的实体(例如,UDM)请求的认证方法,
由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量,以及
从UE的隐藏标识(例如SUCI)获得的UE的第一标识(例如IMSI)。
用于认证凭证的第三响应消息也可以通过基于Diameter的接口(例如,SWx'接口)接收和转发。
可以理解,尽管由路由实体执行的方法600C在此被单独描述,但是在没有单独的路由实体的情况下,它可以由用于AAA的实体执行。
图9C示意性地示出了根据本公开的第三示例性实施例的由EPC中的用于认证的实体执行的示例性方法900C。应当理解,EPC中的用于认证的实体可以是HSS/AUC,或者是可以被配置为执行如下面所描述的方法900C的任何其他实体,包括可以在云上实现的虚拟化实体。
还应当理解,由EPC中的用于认证的实体执行的方法900C至少部分地对应于由用于AAA的实体执行的方法500C。因此,方法900C的一些描述可以参考方法500C的描述,并且因此为了简单起见,在此将被省略。
如先前所描述的,路由实体或用于AAA的实体可以基于被包括在所检测到的UE的隐藏标识(例如,SUCI)中的路由指示符在用于网络存储库的实体(例如,NRF)中选择EPC中的用于认证的实体。
因此,EPC中的用于认证的实体应当在用于网络存储库的实体中注册EPC中的用于认证的实体支持的(一个或多个)路由指示符,以使得路由实体或用于AAA的实体可以基于在所检测到的UE的隐藏标识(例如,SUCI)中包括的路由指示符,从用于网络存储库的实体中选择EPC中的用于认证的实体。
在步骤S901C中,EPC中的用于认证的实体可以从用于AAA的实体(例如,3GPP AAA服务器)接收用于认证凭证的第三请求消息。用于认证凭证的第三请求消息可以至少包括待认证的UE的隐藏标识,例如SUCI。
用于认证凭证的第三请求消息可以通过支持UE的隐藏标识(例如,SUCI)的基于Diameter的接口(例如,SWx'接口)接收。
然后,EPC中的用于认证的实体可以向与UE相关联的5GC中的用于认证的实体(例如,UDM)发送用于认证凭证的第六请求消息。用于认证凭证的第六请求消息可以至少包括请求节点是用于AAA的实体的指示和UE的隐藏标识,例如SUCI。
可以通过例如UDICOM NU1参考点来发送用于认证凭证的第六请求消息。
因此,EPC中的用于认证的实体可以通过例如UDICOM NU1参考点从5GC中的用于认证的实体接收用于认证凭证的第六响应消息。用于认证凭证的第六响应消息可以至少包括可从UE的隐藏标识(例如,SUCI)获得的UE的第一标识(例如,IMSI)或第二标识(例如,SUPI)。
在示例性实施例中,EPC中的用于认证的实体可以至少基于请求节点是用于AAA的实体的指示和UE的第一标识(例如,IMSI)来选择用于UE的认证方法;以及至少基于UE的第一标识来生成用于UE的认证向量。
在另一个示例性实施例中,EPC中的用于认证的实体可以从5GC中的用于认证的实体检索对应的认证凭证。在这种情况下,除了UE的第一标识(例如,IMSI)或第二标识(例如,SUPI)之外,用于认证凭证的第六响应消息还可以包括用于UE的认证凭证。认证凭证可包括:由5GC中的用于认证的实体选择的用于UE的认证方法;以及由5GC中的用于认证的实体生成的用于UE的认证向量。
然后,EPC中的用于认证的实体可以向用于AAA的实体发送用于认证凭证的第三响应消息。用于认证凭证的第三响应消息可以包括认证方法、认证向量、以及可从UE的第二标识(例如,SUPI)获得的UE的第一标识(例如,IMSI)。
用于认证凭证的第三响应消息也可以通过基于Diameter的接口(例如,SWx'接口)被发送。
图8C示意性地示出了根据本公开的第三示例性实施例的由5GC中的用于认证的实体执行的示例性方法800C。应当理解,5GC中的用于认证的实体可以是UDM/ARPF/SIDF,或者是可以被配置为执行如下面所描述的方法800C的任何其他实体,包括可以在云上实现的虚拟化实体。
还应当理解,由5GC中的用于认证的实体执行的方法800C至少部分地对应于由EPC中的用于认证的实体执行的方法900C。因此,方法800C的一些描述可以参考如先前所描述的方法900C的描述,并且因此为了简单起见,在此将被省略。
在步骤S801C中,5GC中的用于认证的实体可以从EPC中的用于认证的实体(例如,HSS)接收用于认证凭证的第六请求消息。用于认证凭证的第六请求消息可以至少包括请求节点是用于AAA的实体的指示和UE的隐藏标识(例如SUCI)、以及可选地与UE所连接到的非3GPP接入单元相关的接入网络标识(例如ANID)。
可以通过例如UDICOM NU1参考点接收用于认证凭证的第六请求消息。
然后,在步骤S803C中,5GC中的用于认证的实体可以从UE的隐藏标识(例如,SUCI)中获得UE的第一标识(例如,IMSI)或第二标识(例如,SUPI)。
然后,在步骤S805C中,5GC中的用于认证的实体可以通过例如UDICOM NU1参考点向EPC中的用于认证的实体发送用于认证凭证的第六响应消息。用于认证凭证的第六响应消息可以至少包括所获得的UE的第一标识(例如,IMSI)或第二标识(例如,SUPI)。
在示例性实施例中,5GC中的用于认证的实体可以从UE的隐藏标识(例如,SUCI)去隐藏UE的第二标识(例如,SUPI)。可选地,5GC中的用于认证的实体可以将UE的第二标识(例如,SUPI)转换为UE的第一标识(例如,IMSI)。
在示例性实施例中,5GC中的用于认证的实体可以获得用于UE的认证凭证,诸如认证方法、认证向量。特别地,5GC中的用于认证的实体可以至少基于请求节点是用于AAA的实体的指示和UE的第二标识(例如,SUPI)选择用于UE的认证方法;以及至少基于UE的第二标识(例如,SUPI)生成用于UE的认证向量。
在这种情况下,5GC中的用于认证的实体可以向EPC中的用于认证的实体提供认证凭证和UE的标识(例如,IMSI)。因此,被发送到EPC中的用于认证的实体的用于认证凭证的第六响应消息可以包括:用于UE的认证凭证和UE的标识(例如,IMSI)。
在示例性实施例中,5GC中的用于认证的实体可以在用于认证凭证的第六响应消息中向EPC中的用于认证实体仅发送UE的第一或第二标识。并且对应的认证凭证可以由EPC中的用于认证的实体提供,这已经先前在方法900C中被描述。
在下文中,将参考如图10C所示的示例性信令序列图来描述根据本公开的第三示例性实施例的用于UE的非3GPP接入认证,其中可以应用图3、图4、图5C、图6C、图8C和图9B的方法。如图10C所示的示例性信令序列图的一些描述可以参考如先前所描述的方法300、400、500C、600C、800C和900C的描述,并且因此为了简单起见,在此将被省略。
与图10A和图10B的示例性信令序列图类似地,在下面关于图10C的示例性信令序列图的描述中,WLAN AP被说明为如先前所描述的非3GPP接入单元的示例,3GPP AAA服务器被说明为用于AAA的实体的示例,SLF/DRA(未示出)被说明为路由实体的示例,AAA-IWF/NSSAAF被说明为互通实体的示例,UDM/ARPF/SIDF被说明为5GC中的用于认证的实体的示例,以及HSS/AUC被说明为EPC中的用于认证的实体的示例。
应当理解,以上的示例性实体在此仅用于说明而没有任何限制。除了在此所提到的实体或其任何组合之外的相应实体可以协作以执行用于UE的非3GPP接入认证,只要可以分别实现方法300、500C、600C、800C和900C即可。
应当注意,以下的描述主要集中在与方法300、400、500C、600C、800C和900C相关的信令,并且一些其他信令未被详细描述以避免混淆本公开的原理。在图10C中,以粗斜体示出对与方法300、400、500C、600C、800C和900C相关的信令的修改,其中涉及例如信令S10C_0b、以及S10C_5~S10C_8。
在图10C的示例性信令序列图中,图10C中的信令S10C_0a~S10C_5与图10B中的信令S10B_0a~S10B_5相同。因此,关于那些信令S10C_0a~S10C_5的详细描述可以参考关于信令S10B_0a~S10B_5的描述,并且为了简单起见,在此将被省略。
在S10C_6中,3GPP AAA服务器可以通过SWx'经由新的基于Diameter的命令发送具有从S10C_4接收并在S10C_5中检测到的SUCI的AV请求消息。AV请求消息可以可选地包括在S10C_4中接收到的ANID。
AV请求消息可以经由(更新的)SWx'被路由到HSS/AUC。
在UE的归属网络中存在多个HSS/AUC实例的情况下,可选的SLF/DRA(未示出)可以协助将SWx'请求向在其中定义UE的HSS(即与UE相关联的HSS)路由。
SLF/DRA可以例如基于被包括在SUCI中的路由指示符来发现并从NRF中选择HSS。出于该目的,HSS需要提前在NRF中注册它支持的(一个或多个)路由指示符。
在S10C_7中,HSS可以使用新的UDICOM NU1参考点的服务操作用SUCI、请求节点是3GPP AAA服务器的指示以及可选地ANID向UDM/ARPF/SIDF请求认证凭证和IMSI。
UDM/ARPF/SIDF可以从SUCI去隐藏SUPI,生成EAP-AKA'的AKA AV,并发送回HSS。
在S10C_8中,HSS可以通过Diameter SWx/SWx'向3GPP AAA服务器发送AV响应消息。流程继续到S10C_14。
图10C中的信令S10C_14~S10C_17b与图10A中的信令S10A_14~S10A_17b相同。因此,关于那些信令S10C_14~S10C_17b的描述可以参考关于信令S10A_14~S10A_17b的描述,并且为了简单起见将被省略。
在下文中,将参考图11描述根据本公开的第一至第三示例性实施例中的任何一个实施例的非3GPP接入单元的示例性结构。图11示意性地示出了根据本公开的第一至第三示例性实施例中的任何一个实施例的非3GPP接入单元1100的示例性结构框图。图11中的非3GPP接入单元1100可以执行参考图3的方法300。因此,关于非3GPP接入单元1100的一些详细描述可以参考图1中的方法300的对应描述和图10A~图10C中的信令序列图,并且因此为了简单起见,在此将被省略。
如图11所示,非3GPP接入单元1100可以至少包括发送单元1101。
发送单元1101可以被配置为发送网络列表,经由其中的每一个网络,非3GPP接入单元可以至少支持UE身份隐私。
在示例性实施例中,非3GPP接入单元经由网络列表中的每个网络可以进一步支持用于接入认证的与用于AAA的实体的连接的。
在示例性实施例中,非3GPP接入单元1100可以包括接收单元(未示出),该接收单元可以被配置为从UE接收用于接入认证的请求消息,该请求消息包括UE的标识。然后,发送单元1101可以被配置为向用于AAA的实体发送用于认证的请求消息,该请求消息包括UE的标识。
在示例性实施例中,UE的标识可包括UE的隐藏标识或UE的第一标识。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI,并且UE的第一标识可包括UE的IMSI。
在示例性实施例中,用于认证的请求消息还可包括非3GPP接入网络的接入网络标识。
在示例性实施例中,网络列表可包括PLMN的列表,并且用于AAA的实体可包括3GPPAAA服务器。
在下文中,将参考图12描述根据本公开的第一至第三示例性实施例中的任何一个实施例的非3GPP接入单元1200的另一示例性结构。图12示意性地示出了根据本公开的第一至第三示例性实施例中的任何一个实施例的非3GPP接入单元1200的示例性结构框图。图12中的非3GPP接入单元1200可以执行如先前参考图3所描述的方法300。因此,关于非3GPP接入单元1200的一些详细描述可以参考图3中的方法300的对应描述和图10A~图10C中的信令序列图,并且因此为了简单起见,在此将被省略。
如图12所示,非3GPP接入单元1200包括至少一个处理器1201和至少一个存储器1203。至少一个处理器1201包括例如能够执行计算机程序指令的任何适合的CPU(中央处理单元)、微控制器、DSP(数字信号处理器)等。至少一个存储器1203可以是RAM(随机存取存储器)和ROM(只读存储器)的任何组合。至少一个处理器存储器1203还可以包括持久性存储装置,该持久性存储装置例如可以是磁存储器、光存储器、或固态存储器或者甚至远程安装的存储器的任何单个一个或组合。
至少一个存储器1203存储可由至少一个处理器1201执行的指令。指令当从至少一个存储器1203加载并在至少一个处理器1201上执行时可以使得非3GPP接入单元1200执行例如先前结合图3所描述的过程的动作,并且因此为了简单起见,在此将被省略。
在下文中,将参考图13描述根据本公开的第一至第三示例性实施例中的任何一个实施例的UE的示例性结构。图13示意性地示出了根据本公开的第一至第三示例性实施例中的任何一个实施例的UE 1300的示例性结构框图。图13中的UE 1300可以执行如先前参考图4所描述的方法400。因此,关于UE 1300的一些详细描述可以参考图4中的方法400的对应描述和图10A~图10C中的信令序列图,并且因此为了简单起见,在此将被省略。
如图13所示,UE 1300可以至少包括确定单元1301和发送单元1303。
确定单元1301可以被配置为确定UE身份隐私是否应当被用于与用于UE的非3GPP接入网络的通信。发送单元1303可以被配置为取决于确定的结果,向非3GPP接入网络中的非3GPP接入单元发送用于接入认证的请求消息,该请求消息可以包括UE的标识。
在示例性实施例中,基于以下至少一项确定UE身份隐私是否应当被用于与用于UE的非3GPP接入网络的通信:
UE的配置;
关于非3GPP接入网络中的非3GPP接入单元的信息;或
关于UE的归属网络的信息。
在示例性实施例中,UE 1300还可以包括配置单元(未示出),其可以被配置为接收或预配置UE的配置。UE的配置可包括指示UE是否支持UE身份隐私的信息。
在示例性实施例中,该方法还可以包括接收单元(未示出),该接收单元可以被配置为从非3GPP接入单元接收指示非3GPP接入单元是否支持UE身份隐私的关于非3GPP接入单元的信息,其中,关于非3GPP接入单元的信息可以包括网络列表,经由其中的每一个网络,非3GPP接入单元可以至少支持UE身份隐私。
在示例性实施例中,非3GPP接入单元经由网络列表中的每个网络可以进一步具支持用于接入认证的与用于AAA的实体的连接。
在示例性实施例中,接收单元还可以被配置为从归属网络接收指示归属网络是否支持UE身份隐私的关于归属网络的信息。
在示例性实施例中,指示归属网络是否可支持UE身份隐私的关于归属网络的信息可以在UPU过程或SoR过程中被携带。
在示例性实施例中,支持UE身份隐私可包括支持UE身份隐私用于非3GPP接入认证。
在示例性实施例中,如果确定UE身份隐私应当被使用,则用于接入认证的请求消息可以包括UE的隐藏标识,以及如果确定UE标识隐私不应当被使用,则用于接入认证的请求消息可以包括应当被使用的UE的第一标识。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI,并且UE的第一标识可包括UE的IMSI。
在示例性实施例中,与非3GPP接入网络的通信可以包括来自用于UE的非3GPP接入网络的NSWO。
在示例性实施例中,网络列表可包括PLMN的列表,并且用于AAA的实体可包括3GPPAAA服务器。
在下文中,将参考图14描述根据本公开的另一示例性实施例的UE的另一示例性结构。图14示意性地示出了根据本公开的示例性实施例的UE 1400的示例性结构框图。图14中的UE 1400可以执行如先前参考图4所描述的方法400。因此,关于UE 1400的一些详细描述可以参考图4中的方法400的对应描述和图10A~图10C中的信令序列图,并且因此为了简单起见,在此将被省略。
如图14所示,UE 1400包括至少一个处理器1401和至少一个存储器1403。至少一个处理器1401包括例如能够执行计算机程序指令的任何适合的CPU(中央处理单元)、微控制器、DSP(数字信号处理器)等。至少一个存储器1403可以是RAM(随机存取存储器)和ROM(只读存储器)的任何组合。至少一个处理器存储器1403还可以包括持久性存储装置,该持久性存储装置例如可以是磁存储器、光存储器、或固态存储器或甚至远程安装的存储器的任何单个一个或组合。
至少一个存储器1403存储可由至少一个处理器1401执行的指令。指令当从至少一个存储器1403加载并在至少一个处理器1401上执行时可以使得UE 1400执行例如先前结合图4所描述的过程的动作,并且因此为了简单起见,在此将被省略。
在下文中,将参考图15描述根据本公开的第一至第三示例性实施例中的任何一个实施例的用于AAA的实体的示例性结构。图15示意性地示出了根据本公开的第一至第三示例性实施例中的任何一个实施例的用于AAA的实体1500的示例性结构框图。图15中的用于AAA的实体1500可以分别执行如先前参考图5A所描述的根据第一示例性实施例的方法500A、如先前参考图5B所描述的根据第二示例性实施例的方法500B、以及如先前参考图5C所描述的根据第三示例性实施例的方法500C。因此,关于用于AAA的实体1500的一些详细描述可以参考相应的图5A~图5C中的相应方法500A~500C和图10A~图10C中的相应信令序列图的对应描述,并且因此为了简单起见,在此将被省略。
如图15所示,用于AAA的实体1500可以至少包括接收单元1501、检测单元1503和发送单元1505。
在已经参考图5A和图10A描述的第一示例性实施例中,接收单元1501可以被配置为从非3GPP接入单元接收用于认证的请求消息,该请求消息包括待认证的UE的标识,其中,UE的标识可以包括UE的隐藏标识或UE的第一标识。检测单元1503可以被配置为从所接收到的用于认证的请求消息中检测UE的标识。发送单元1505可以被配置为向互通实体发送用于认证凭证的第一请求消息,其可以至少包括所检测到的UE的标识。
在示例性实施例中,用于认证凭证的第一请求消息可以经由路由实体被发送到互通实体。
在示例性实施例中,在所接收到的用于认证的请求消息中的UE的标识可以包括UE的隐藏标识的情况下,可以检测UE的隐藏标识;以及用于认证凭证的第一请求消息可以包括所检测到的UE的隐藏标识,并且可以通过支持UE的隐藏标识的基于Diameter的接口被发送到互通实体。
在示例性实施例中,在所接收到的用于认证的请求消息中的UE的标识可以包括UE的第一标识或用空方案保护的UE的隐藏标识的情况下,可以检测UE的第一标识;以及用于认证凭证的第一请求消息可以包括UE的第一标识,并且可以通过支持UE的第一标识的基于Diameter的接口被发送到互通实体。
在示例性实施例中,接收单元1501还可以被配置为从互通实体接收用于认证凭证的第一响应消息,其可以包括:由与UE相关联的5GC中的用于认证的实体选择的认证方法或者由5GC中的用于认证的实体向与UE相关联的EPC中的用于认证的实体请求的认证方法,由5GC中的用于认证的实体生成的认证向量或者由5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量,以及从所检测到的UE的标识获得的UE的第一标识。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI,并且UE的第一标识可包括UE的IMSI。
在示例性实施例中,用于认证的请求消息还可包括与非3GPP接入单元相关的接入网络标识,以及用于认证凭证的第一请求消息还包括与非3GPP接入单元相关的接入网络标识。
在示例性实施例中,用于AAA的实体可以包括3GPP AAA服务器,路由实体可以包括SLF/DRA,并且用于网络存储库的实体可以包括NRF。
在已经参考图5B和图10B描述的第二示例性实施例中,接收单元1501可以被配置为从非3GPP接入单元接收用于认证的请求消息,该请求消息包括待认证的UE的隐藏标识。检测单元1503可以被配置为从所接收到的用于认证的请求消息中检测UE的隐藏标识。发送单元1505可以被配置为向互通实体发送包括所检测到的UE的隐藏标识的标识请求消息。
在示例性实施例中,标识请求消息可以经由路由实体被发送到互通实体。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI。
在示例性实施例中,接收单元1501还可以被配置为从互通实体接收包括UE的第一标识的标识响应消息,该第一标识是由互通实体从UE的第二标识转换的,第二标识进而是由与UE相关联的5GC中的用于认证的实体从UE的隐藏标识去隐藏的。并且发送单元1505还可以被配置为向用于AAA的实体转发标识响应消息。
在示例性实施例中,可以通过支持UE的隐藏标识的基于Diameter的接口发送标识请求消息,并且可以通过基于Diameter的接口接收标识响应消息。
在示例性实施例中,标识请求消息可以通过支持UE的隐藏标识的基于Diameter的接口被发送,并且标识响应消息可以通过基于Diameter的接口被接收。
在示例性实施例中,发送单元1505还可以被配置为向与UE相关联的EPC中的用于认证的实体发送用于认证凭证的第二请求消息,其可以至少包括所接收到的UE的第一标识。并且,接收单元1501还可以被配置为从EPC中的用于认证的实体接收用于认证凭证的第二响应消息,其可以包括:由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证方法,以及由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量。
在示例性实施例中,UE的第一标识可包括UE的IMSI,并且UE的第二标识可包括UE的SUPI。
在示例性实施例中,用于AAA的实体可以包括3GPP AAA服务器,路由实体可以包括SLF/DRA,并且用于网络存储库的实体可以包括NRF。
在已经参考图5C和图10C描述的第三示例性实施例中,接收单元1501可以被配置为从非3GPP接入单元接收用于认证的请求消息,该请求消息包括待认证的UE的隐藏标识。检测单元1503可以被配置为从所接收到的用于认证的请求消息中检测UE的隐藏标识。发送单元1505可以被配置为向与UE相关联的EPC中的用于认证的实体发送用于认证凭证的第三请求消息,其可以至少包括所检测到的UE的隐藏标识。
在示例性实施例中,用于AAA的实体1500还可以包括选择单元(未示出),其可以被配置为基于所检测到的UE的隐藏标识在用于网络存储库的实体中选择EPC中的用于认证的实体。发送单元1505还可以被配置为将用于认证凭证的第三请求消息发送到所选择的EPC中的用于认证的实体。
在示例性实施例中,可以基于被包括在所检测到的UE的隐藏标识中的路由指示符,在用于网络存储库的实体中选择EPC中的用于认证的实体。
在示例性实施例中,用于认证凭证的第三请求消息可以经由路由实体被发送到互通实体。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI。
在示例性实施例中,接收单元1501还可以被配置为从EPC中的用于认证的实体接收用于认证凭证的第三响应消息,其可以包括:由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向与UE相关联的5GC中的用于认证的实体请求的认证方法,由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量,以及从UE的隐藏标识获得的UE的第一标识。
在示例性实施例中,用于认证凭证的第三请求消息可以通过支持UE的隐藏标识的基于Diameter的接口被发送,以及用于认证凭证的第三响应消息可以通过基于Diameter的接口被接收。
在示例性实施例中,UE的第一标识可以包括UE的IMSI。
在示例性实施例中,用于AAA的实体可以包括3GPP AAA服务器,路由实体可以包括SLF/DRA,并且用于网络存储库的实体可以包括NRF。
在下文中,将参考图16描述根据本公开的第一至第三示例性实施例中的任何一个实施例的用于AAA的实体的另一示例性结构。图16示意性地示出了根据本公开的第一至第三示例性实施例中的任何一个实施例的用于AAA的实体1600的示例性结构框图。图16中的用于AAA的实体1600可以分别执行如先前参考图5A所描述的根据第一示例性实施例的方法500A、如先前参考图5B所描述的根据第二示例性实施例的方法500B、以及如先前参考图5C所描述的根据第三示例性实施例的方法500C。因此,关于用于AAA的实体1600的一些详细描述可以参考相应的图5A~图5C中的相应方法500A~500C和图10A~图10C中的相应信令序列图的对应描述,并且因此为了简单起见,在此将被省略。
如图16所示,用于AAA的实体1600包括至少一个处理器1601和至少一个存储器1603。至少一个处理器1601包括例如能够执行计算机程序指令的任何适合的CPU(中央处理单元)、微控制器、DSP(数字信号处理器)等。至少一个存储器1603可以是RAM(随机存取存储器)和ROM(只读存储器)的任何组合。至少一个处理器存储器1603还可以包括持久性存储装置,该持久性存储装置例如可以是磁存储器、光存储器、或固态存储器或甚至远程安装的存储器的任何单个一个或组合。
至少一个存储器1603存储可由至少一个处理器1601执行的指令。指令当从至少一个存储器1603加载并在至少一个处理器1601上执行时可以使得用于AAA的实体1600执行例如先前结合图5A~图5C所描述的相应过程的动作,并且因此为了简单起见,在此将被省略。
在下文中,将参考图17A描述根据本公开的第一至第二示例性实施例中的任何一个实施例的路由实体的示例性结构。图17A示意性地示出了根据本公开的第一至第二示例性实施例中的任何一个实施例的路由实体1700的示例性结构框图。图17A中的路由实体1700可以分别执行如先前参考图6A所描述的根据第一示例性实施例的方法600A和如先前参考图6B所描述的根据第二示例性实施例的方法600B。因此,关于路由实体1700的一些详细描述可以参考相应的图6A和图6B中的相应方法600A和600B以及图10A和图10B中的相应信令序列图的对应描述,并且因此为了简单起见,在此将被省略。
如图17A所示,路由实体1700可以至少包括接收单元1701和发送单元1703。
在已经参考图6A和图10A描述的第一示例性实施例中,接收单元1701可以被配置为从用于AAA的实体接收用于认证凭证的第一请求消息,其可以至少包括待认证的UE的标识,其中,UE的标识可以包括UE的隐藏标识或UE的第一标识。发送单元1703可以被配置为将用于认证凭证的第一请求消息转发给互通实体。
在示例性实施例中,在UE的标识可以包括UE的隐藏标识的情况下,用于认证凭证的第一请求消息可以通过支持UE的隐藏标识的基于Diameter的接口被接收和转发。
在示例性实施例中,在UE的标识可以包括UE的第一标识的情况下,用于认证凭证的第一请求消息通过支持UE的第一标识的基于Diameter的接口被接收和转发。
在示例性实施例中,接收单元1701还可以被配置为从互通实体接收用于认证凭证的第一响应消息,其可以包括:由与UE相关联的5GC中的用于认证的实体选择的认证方法或者由5GC中的用于认证的实体向与UE相关联的EPC中的用于认证的实体请求的认证方法,由5GC中的用于认证的实体生成的认证向量或者由5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量,以及从UE的标识获得的UE的第一标识。发送单元1703还可以被配置为将用于认证凭证的第一响应消息转发到用于AAA的实体。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI,并且UE的第一标识可包括UE的IMSI。
在示例性实施例中,用于认证凭证的第一请求消息还可包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
在示例性实施例中,路由实体可包括SLF/DRA,用于AAA的实体可包括3GPP AAA服务器,以及用于网络存储库的实体可包括NRF。
在已经参考图6B和图10B描述的第二示例性实施例中,接收单元1701可以被配置为从用于AAA的实体接收包括待认证的UE的去隐藏标识的标识请求消息。发送单元1703可以被配置为将标识请求消息转发给互通实体。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI。
在示例性实施例中,接收单元1701还可以被配置为从互通实体接收包括UE的第一标识的标识响应消息,该第一标识是由互通实体从UE的第二标识转换的,第二标识进而是由与UE相关联的5GC中的用于认证的实体从UE的隐藏标识去隐藏的。
在示例性实施例中,标识请求消息可以通过支持UE的隐藏标识的基于Diameter的接口被接收和转发,以及UE的标识响应消息可以通过基于Diameter的接口被接收和转发。
在示例性实施例中,接收单元1701还可以被配置为从用于AAA的实体接收用于UE的认证凭证的第二请求消息,其可以至少包括所接收到的UE的第一标识。发送单元1703还可以被配置为向与UE相关联的EPC中的用于认证的实体转发所接收到的用于认证凭证的第二请求消息。
在示例性实施例中,UE的第一标识可包括UE的IMSI,并且UE的第二标识可包括UE的SUPI。
在示例性实施例中,接收单元1701还可以被配置为从EPC中的用于认证的实体接收用于认证凭证的第二响应消息,其可以包括:由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证方法,以及由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量。发送单元1703还可以被配置为将所接收到的用于认证凭证的第二响应消息转发到用于AAA的实体。
在示例性实施例中,路由实体可包括SLF/DRA,用于AAA的实体可包括3GPP AAA服务器,以及用于网络存储库的实体可包括NRF。
在下文中,将参考图17B描述根据本公开的第三示例性实施例的路由实体的示例性结构。图17B示意性地示出了根据本公开的第三示例性实施例的路由实体1700'的示例性结构框图。图17B中的路由实体1700'可以执行如先前参考图6C所描述的根据第三示例性实施例的方法600C。因此,关于路由实体1700'的一些详细描述可以参考图6C中的方法600C和图10C中的信令序列图的对应描述,并且因此为了简单起见,在此将被省略。
如图17B所示,路由实体1700'可以至少包括接收单元1701'、选择单元1702'和发送单元1703'。
在已经参考图6C和图10C描述的第三示例性实施例中,接收单元1701'可以被配置为从用于AAA的实体接收用于认证凭证的第三请求消息,其可以至少包括待认证的UE的隐藏标识。选择单元1702'可以被配置为基于所接收到的UE的隐藏标识在用于网络存储库的实体中选择EPC中的用于认证的实体。发送单元1703'可以被配置为将用于认证凭证的第三请求消息转发到所选择的EPC中的用于认证的实体。
在示例性实施例中,可以基于被包括在UE的隐藏标识中的路由指示符,在用于网络存储库的实体中选择EPC中的用于认证的实体。
在示例性实施例中,接收单元1701'还可以被配置为从EPC中的用于认证的实体接收用于认证凭证的第三响应消息,其可以包括:由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向与UE相关联的5GC中的用于认证的实体请求的认证方法,由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量,以及从UE的隐藏标识获得的UE的第一标识。发送单元1703'还可以被配置为将所接收到的用于认证凭证的第二响应消息转发到用于AAA的实体。
在示例性实施例中,用于认证凭证的第三请求消息可以通过支持UE的隐藏标识的基于Diameter的接口被接收和转发,以及用于认证凭证的第三响应消息可以通过基于Diameter的接口被接收和转发。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI,并且UE的第一标识可包括UE的IMSI。
在示例性实施例中,路由实体可包括SLF/DRA,用于AAA的实体可包括3GPP AAA服务器,以及用于网络存储库的实体可包括NRF。
在下文中,将参考图18描述根据本公开的第一至第三示例性实施例中的任何一个实施例的路由实体的另一示例性结构。图18示意性地示出了根据本公开的第一至第三示例性实施例中的任何一个实施例的路由实体1800的示例性结构框图。图18中的路由实体1800可以分别执行如先前参考图6A所描述的根据第一示例性实施例的方法600A、如先前参考图6B所描述的根据第二示例性实施例的方法600B、以及如先前参考图6C所描述的根据第三示例性实施例的方法600C。因此,关于路由实体1800的一些详细描述可以参考相应的图6A~图6C中的相应方法600A~600C和以图10A~图10C中的相应信令序列图的对应描述,并且因此为了简单起见,在此将被省略。
如图18所示,路由实体1800包括至少一个处理器1801和至少一个存储器1803。至少一个处理器1801包括例如能够执行计算机程序指令的任何适合的CPU(中央处理单元)、微控制器、DSP(数字信号处理器)等。至少一个存储器1803可以是RAM(随机存取存储器)和ROM(只读存储器)的任何组合。至少一个处理器存储器1803还可以包括持久性存储装置,该持久性存储装置例如可以是磁存储器、光存储器、或固态存储器或者甚至远程安装的存储器的任何单个一个或组合。
至少一个存储器1803存储可由至少一个处理器1801执行的指令。指令当从至少一个存储器1803加载并在至少一个处理器1801上执行时可以使得路由实体1800执行例如先前结合图6A~图6C所描述的相应过程的动作,并且因此为了简单起见,在此将被省略。
在下文中,将参考图19描述根据本公开的第一至第二示例性实施例中的任何一个实施例的互通实体的示例性结构。图19示意性地示出了根据本公开的第一至第二示例性实施例中的任何一个实施例的互通实体1900的示例性结构框图。图19中的互通实体1900可以分别执行如先前参考图7A所描述的根据第一示例性实施例的方法700A和如先前参考图7B所描述的根据第二示例性实施例的方法700B。因此,关于路由实体1700的一些详细描述可以参考相应的图7A和图7B中的相应方法700A和700B以及图10A和图10B中的相应信令序列图的对应描述,并且因此为了简单起见,在此将被省略。
如图19所示,互通实体1900可以至少包括接收单元1901、选择单元1903和发送单元1905。
在已经参考图7A和图10A描述的第一示例性实施例中,接收单元1901可以被配置为从用于AAA的实体接收用于认证凭证的第一请求消息,其可以至少包括待认证的UE的标识,其中,所接收到的UE的标识可以包括UE的隐藏标识或UE的第一标识。选择单元1903可以被配置为基于所接收到的UE的标识来选择与UE相关联的5GC中的用于认证的实体。发送单元1905可以被配置为向所选择的5GC中的用于认证的实体发送用于认证凭证的第四请求消息。
在示例性实施例中,可以经由路由实体从用于AAA的实体接收用于认证凭证的第一请求消息。
在示例性实施例中,接收单元1901还可以被配置为从所选择的5GC中的用于认证的实体接收用于认证凭证的第四响应消息,其中,用于认证凭证的第四响应消息可以至少包括:由所选择的5GC中的用于认证的实体选择的认证方法或者由所选择的5GC中的用于认证的实体向与UE相关联的EPC中的用于认证的实体请求的认证方法,以及由所选择的5GC中的用于认证的实体生成的认证向量或者由所选择的5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量。
在示例性实施例中,在所接收到的UE的标识包括UE的隐藏标识的情况下,用于认证凭证的第一请求消息可以通过支持UE的隐藏标识的基于Diameter的接口被接收,5GC中的用于认证的实体可以基于被包括在所接收到的UE的隐藏标识中的路由指示符来选择,用于认证凭证的第四请求消息可以至少包括请求节点是用于AAA的实体的指示和UE的隐藏标识,并且用于认证凭证的第四响应消息还可以包括由5GC中的用于认证的实体从UE的隐藏标识去隐藏的UE的第二标识。
在示例性实施例中,在所接收到的UE的标识包括UE的第一标识的情况下,用于认证凭证的第一请求消息可以通过支持UE的第一标识的基于Diameter的接口被接收,5GC中的用于认证的实体可以基于UE的第一标识来选择,用于认证凭证的第四请求消息可以至少包括请求节点是用于AAA的实体的指示以及UE的第二标识,该第二标识是由互通实体从UE的第一标识转换的,并且用于认证凭证的第四响应消息还可以包括UE的第二标识。
在示例性实施例中,用于认证凭证的第四请求消息还可包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
在示例性实施例中,发送单元1905还可以被配置为向用于AAA的实体发送用于认证凭证的第一响应消息,其可以包括:认证方法,认证向量,以及从所接收到的UE的标识获得的UE的第一标识。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI,并且UE的第一标识可包括UE的IMSI。
在示例性实施例中,路由实体可以包括SLF/DRA,并且用于AAA的实体可以包括3GPP AAA服务器。
在已经参考图7B和图10B描述的第二示例性实施例中,接收单元1901可以被配置为从用于AAA的实体接收包括待认证的UE的隐藏标识的标识请求消息。选择单元1903可以被配置为基于所接收到的UE的隐藏标识来选择与UE相关联的5GC中的用于认证的实体。发送单元1905可以被配置为向所选择的5GC中的用于认证的实体发送用于标识去隐藏的请求消息,其可以包括所接收到的UE的隐藏标识。
在示例性实施例中,可以经由路由实体从用于AAA的实体接收标识请求消息。
在示例性实施例中,标识请求消息可以通过支持UE的隐藏标识的基于Diameter的接口来接收,并且与UE相关联的5GC中的用于认证的实体可以基于被包括在所接收到的UE的隐藏标识中的路由指示符来选择。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI。
在示例性实施例中,接收单元1901还可以被配置为从所选择的5GC中的用于认证的实体接收用于标识去隐藏的响应消息,其可以包括由所选择的5GC中的用于认证的实体从UE的隐藏标识去隐藏的UE的第二标识。互通实体1900还可以包括转换单元(未示出),该转换单元可以被配置为将所接收到的UE的第二标识转换为UE的第一标识。发送单元1905还可以被配置为向用于AAA的实体发送标识响应消息,标识响应消息包括UE的第一标识。
在示例性实施例中,UE的第一标识可包括UE的IMSI,并且UE的第二标识可包括UE的SUPI。
在示例性实施例中,路由实体可以包括SLF/DRA,并且用于AAA的实体可以包括3GPP AAA服务器。
在下文中,将参考图20描述根据本公开的第一至第二示例性实施例中的任何一个实施例的互通实体的另一示例性结构。图20示意性地示出了根据本公开的第一至第二示例性实施例中的任何一个实施例的互通实体2000的示例性结构框图。图20中的互通实体2000可以分别执行如先前参考图7A所描述的根据第一示例性实施例的方法700A和如先前参考图7B所描述的根据第二示例性实施例的方法700B。因此,关于互通实体2000的一些详细描述可以参考相应的图7A和图7B中的相应方法700A和700B以及图10A和图10B中的相应信令序列图的对应描述,并且因此为了简单起见,在此将被省略。
如图20所示,互通实体2000包括至少一个处理器2001和至少一个存储器2003。至少一个处理器2001包括例如能够执行计算机程序指令的任何适合的CPU(中央处理单元)、微控制器、DSP(数字信号处理器)等。至少一个存储器2003可以是RAM(随机存取存储器)和ROM(只读存储器)的任何组合。至少一个处理器存储器2003还可以包括持久性存储装置,该持久性存储装置例如可以是磁存储器、光存储器、或固态存储器或甚至远程安装的存储器的任何单个一个或组合。
至少一个存储器2003存储可由至少一个处理器2001执行的指令。指令当从至少一个存储器2003加载并在至少一个处理器2001上执行时可以使得互通实体2000执行例如先前结合图7A和图7B所描述的相应过程的动作,并且因此为了简单起见,在此将被省略。
在下文中,将参考图21A描述根据本公开的第一示例性实施例的5GC中的用于认证的实体的示例性结构。图21A示意性地示出了根据本公开的第一示例性实施例的5GC中的用于认证的实体2100的示例性结构框图。
图21A中的5GC中的用于认证的实体2100可以执行如先前参考图8A所描述的方法800A。因此,关于5GC中的用于认证的实体2100的一些详细描述可以参考相应的图7A中的方法800A的对应描述和图10A中的信令序列图,并且因此为了简单起见,在此将被省略。
如图21A所示,5GC中的用于认证的实体2100可以至少包括接收单元2101和发送单元2103。
接收单元2101可以被配置为从互通实体接收针对待认证的UE的用于认证凭证的第四请求消息,其可以至少包括请求节点是用于AAA的实体的指示以及UE的标识。发送单元2103可以被配置为向互通实体发送用于认证凭证的第四响应消息。
在示例性实施例中,用于认证凭证的第四请求消息还可包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
在示例性实施例中,所接收到的UE的标识可包括UE的隐藏标识。5GC中的用于认证的实体2100还可以包括获得单元(未示出),其可以被配置为从所接收到的UE的隐藏标识去隐藏UE的第二标识。
在示例性实施例中,所接收到的UE的标识可包括UE的第二标识。
在示例性实施例中,获得单元可以被配置为至少基于请求节点是用于AAA的实体的指示和UE的第二标识来选择用于UE的认证方法,以及至少基于UE的第二标识来生成用于UE的认证向量。
在示例性实施例中,发送单元2103还可以被配置为向EPC中的用于认证的实体发送用于认证凭证的第五请求消息,其可以至少包括:请求节点是用于AAA的实体的指示,以及UE的标识。接收单元2103还可以被配置为从EPC中的用于认证的实体接收用于认证凭证的第五响应消息,其可以包括用于UE的认证方法和用于UE的认证向量。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI,并且UE的第二标识可包括UE的SUPI。
在示例性实施例中,用于认证凭证的第五请求消息还可包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
在示例性实施例中,用于AAA的实体可包括3GPP AAA服务器。
在下文中,将参考图21B描述根据本公开的第二和第三示例性实施例中的任何一个实施例的5GC中的用于认证的实体的示例性结构。图21B示意性地示出了根据本公开的第二和第三示例性实施例中的任何一个实施例的5GC中的用于认证的实体2100'的示例性结构框图。图21B中的5GC中的用于认证的实体2100'可以分别执行如先前参考图8B所描述的方法800B和如先前参考图8C所描述的方法800C。因此,关于5GC中的用于认证的实体2100'的一些详细描述可以参考相应的图7B和图7C中的方法800B和800C以及图10B和图10C中的相应信令序列图的对应描述,并且因此为了简单起见,在此将被省略。
如图21B所示,5GC中的用于认证的实体2100'可以至少包括接收单元2101、获得单元2102'和发送单元2103'。
在已经参考图8B和图10B描述的第二示例性实施例中,接收单元2101'可以被配置为从互通实体接收用于标识去隐藏的请求消息,其可以包括待认证的UE的隐藏标识。获得单元2102'可以被配置为从所接收到的UE的隐藏标识去隐藏UE的第二标识。发送单元2103'可以被配置为向互通实体发送用于标识去隐藏的响应消息,其可以包括UE的第二标识。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI,并且UE的第二标识可包括UE的SUPI。
在已经参考图8C和图10C描述的第三示例性实施例中,接收单元2101'可以被配置为从与待认证的UE相关联的EPC中的用于认证的实体接收用于认证凭证的第六请求消息,其可以至少包括请求节点是用于AAA的实体的指示以及UE的隐藏标识。获得单元2102'可以被配置为从UE的隐藏标识获得UE的第一标识或第二标识。发送单元2103'可以被配置为向EPC中的用于认证的实体发送用于认证凭证的第六响应消息,其可以至少包括所获得的UE的第一标识或第二标识。
在示例性实施例中,获得单元2102'还可以被配置为从UE的隐藏标识去隐藏UE的第二标识,以及将UE的第二标识转换为UE的第一标识。
在示例性实施例中,获得单元2102'还可以被配置为从UE的隐藏标识去隐藏UE的第二标识。
在示例性实施例中,获得单元2102'还可以被配置为获得用于UE的认证凭证,并且其中,用于认证凭证的第六响应消息还包括用于UE的认证凭证。
在示例性实施例中,用于UE的认证凭证可以包括:用于UE的认证方法和用于UE的认证向量。获得单元2102'还可以被配置为至少基于请求节点是用于AAA的实体的指示和UE的第二标识来选择用于UE的认证方法,以及至少基于UE的第二标识来生成用于UE的认证向量。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI,UE的第一标识可包括UE的IMSI,以及UE的第二标识可包括UE的SUPI。
在示例性实施例中,用于认证凭证的第六请求消息还可包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
在示例性实施例中,用于AAA的实体可包括3GPP AAA服务器。
在下文中,将参考图22描述根据本公开的第一至第三示例性实施例中的任何一个实施例的5GC中的用于认证的实体的另一示例性结构。图22示意性地示出了根据本公开的第一至第三示例性实施例中的任何一个实施例的5GC中的用于认证的实体2200的示例性结构框图。5GC中的用于认证的实体2200可以分别执行如先前参考图8A所描述的根据第一示例性实施例的方法800A、如先前参考图8B所描述的根据第二示例性实施例的方法800B、以及如先前参考图8C所描述的根据第三示例性实施例的方法800C。因此,关于5GC中的用于认证的实体2200的一些详细描述可以参考相应的图8A~图8C中的相应方法800A~800C和图10A~图10C中的相应信令序列图的对应描述,并且因此为了简单起见,在此将被省略。
如图22所示,5GC中的用于认证的实体2200包括至少一个处理器2201和至少一个存储器2203。至少一个处理器2201包括例如能够执行计算机程序指令的任何适合的CPU(中央处理单元)、微控制器、DSP(数字信号处理器)等。至少一个存储器2203可以是RAM(随机存取存储器)和ROM(只读存储器)的任何组合。至少一个处理器存储器2203还可以包括持久性存储装置,该持久性存储装置例如可以是磁存储器、光存储器、或固态存储器或甚至远程安装的存储器的任何单个一个或组合。
至少一个存储器2203存储可由至少一个处理器2201执行的指令。指令当从至少一个存储器2203加载并在至少一个处理器2201上执行时可以使得5GC中的用于认证的实体2200执行例如先前结合图8A~图8C所描述的相应过程的动作,并且因此为了简单起见,在此将被省略。
在下文中,将参考图23A描述根据本公开的第一示例性实施例的EPC中的用于认证的实体的示例性结构。图23A示意性地示出了根据本公开的第一示例性实施例的EPC中的用于认证的实体2300的示例性结构框图。
图23A中的EPC中的用于认证的实体2300可以执行如先前参考图9A所描述的方法900A。因此,关于EPC中的用于认证的实体2300的一些详细描述可以参考相应的图9A中的方法900A的对应描述和图10A中的信令序列图,并且因此为了简单起见,在此将被省略。
如图23A所示,EPC中的用于认证的实体2300可以至少包括接收单元2301、获得单元2303和发送单元2305。
接收单元2301可以被配置为从与待认证的UE相关联的5GC中的用于认证的实体接收用于认证凭证的第五请求消息,其至少可以包括:请求节点是用于AAA的实体的指示,以及UE的第一标识。获得单元2303可以被配置为获得用于UE的认证凭证。发送单元2305可以被配置为向5GC中的用于认证的实体发送用于认证凭证的第五响应消息,其可以包括所获得的用于UE的认证凭证。
在示例性实施例中,用于UE的认证凭证可以包括:用于UE的认证方法和用于UE的认证向量。获得单元2303还可以被配置为至少基于请求节点是用于AAA的实体的指示和UE的第一标识来选择用于UE的认证方法,以及至少基于UE的第一标识来生成用于UE的认证向量。
在示例性实施例中,UE的第一标识可以包括UE的IMSI。
在示例性实施例中,用于认证凭证的第五请求消息还可包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
在下文中,将参考图23B描述根据本公开的第三示例性实施例的EPC中的用于认证的实体的示例性结构。图23B示意性地示出了根据本公开的第三示例性实施例的EPC中的用于认证的实体2300'的示例性结构框图。图23B中的EPC中的用于认证的实体2300'可以执行如先前参考图9B所描述的方法900C。因此,关于EPC中的用于认证的实体2300'的一些详细描述可以参考相应的图9B中的方法900C的对应描述和图10C中的信令序列图,并且因此为了简单起见,在此将被省略。
如图23C所示,EPC中的用于认证的实体2300'可以至少包括接收单元2301'。
接收单元2301'可以被配置为从用于AAA的实体接收用于认证凭证的第三请求消息,其可以至少包括待认证的UE的隐藏标识。
在示例性实施例中,EPC中的用于认证的实体2300'还可以包括发送单元(未示出),其可以被配置为向与UE相关联的5GC中的用于认证的实体发送用于认证凭证的第六请求消息,其可以至少包括请求节点是用于AAA的实体的指示以及UE的隐藏标识。接收单元2301'还可以被配置为从5GC中的用于认证的实体接收用于认证凭证的第六响应消息,其可以至少包括可从UE的隐藏标识获得的UE的第一标识或第二标识。
在示例性实施例中,用于认证凭证的第六响应消息还可包括用于UE的认证凭证,其可以包括:由5GC中的用于认证的实体选择的用于UE的认证方法;以及由5GC中的用于认证的实体生成的用于UE的认证向量。
在示例性实施例中,EPC中的用于认证的实体2300'还可以包括获得单元(未示出),其可以被配置为至少基于请求节点是用于AAA的实体的指示和UE的第一标识来选择用于UE的认证方法,以及至少基于UE的第一标识来生成用于UE的认证向量。
在示例性实施例中,发送单元还可以被配置为:向用于AAA的实体发送用于认证凭证的第三响应消息,其可以包括:认证方法,认证向量,以及从UE的第二标识获得的UE的第一标识。
在示例性实施例中,用于认证凭证的第三请求消息可以通过支持UE的隐藏标识的基于Diameter的接口被接收,并且用于认证凭证的第三响应消息可以通过基于Diameter的接口被发送。
在示例性实施例中,EPC中的用于认证的实体2300'还可以包括注册单元(未示出),其可以被配置为在用于网络存储库的实体中注册EPC中的用于认证的实体支持的路由指示符。
在示例性实施例中,UE的隐藏标识可包括UE的SUCI,UE的第一标识可包括UE的IMSI,并且UE的第二标识可包括UE的SUPI。
在示例性实施例中,用于AAA的实体可包括3GPP AAA服务器。
在下文中,将参考图24描述根据本公开的第一至第三示例性实施例中的任何一个实施例的EPC中的用于认证的实体的另一示例性结构。图24示意性地示出了根据本公开的第一至第三示例性实施例中的任何一个实施例的EPC中的用于认证的实体2400的示例性结构框图。EPC中的用于认证的实体2400可以分别执行如先前参考图9A所描述的根据第一示例性实施例的方法900A和如先前参考图9B所描述的根据第三示例性实施例的方法900C。因此,关于EPC中的用于认证的实体2400的一些详细描述可以参考相应的图9A和图9C中的相应方法900A和900C以及图10A和图10C中的相应信令序列图的对应描述,并且因此为了简单起见,在此将被省略。
如图24所示,EPC中的用于认证的实体2400包括至少一个处理器2401和至少一个存储器2403。至少一个处理器2401包括例如能够执行计算机程序指令的任何适合的CPU(中央处理单元)、微控制器、DSP(数字信号处理器)等。至少一个存储器2403可以是RAM(随机存取存储器)和ROM(只读存储器)的任何组合。至少一个处理器存储器2403还可以包括持久性存储装置,该持久性存储装置例如可以是磁存储器、光存储器、或固态存储器或甚至远程安装的存储器的任何单个一个或组合。
至少一个存储器2403存储可由至少一个处理器2401执行的指令。指令当从至少一个存储器2403加载并在至少一个处理器2401上执行时可以使得EPC中的用于认证的实体2400执行例如先前结合图9A和图9C所描述的相应过程的动作,并且因此为了简单起见,在此将被省略。
如本领域技术人员将理解的,本文所描述的概念可以被体现为方法、数据处理系统、计算机程序产品和/或存储可执行计算机程序的计算机存储介质。因此,本文所描述的概念可以采取完全硬件实施例、完全软件实施例、或者组合软件和硬件方面的实施例的形式,所有这些通常在本文中被称为“电路”或“模块”。本文所描述的任何过程、步骤、动作和/或功能可以由可在软件和/或固件和/或硬件中实现的对应模块执行和/或与其相关联。此外,本公开可以采取在有形计算机可用存储介质上的计算机程序产品的形式,在该介质中体现了可由计算机执行的计算机程序代码。可以使用任何适合的有形计算机可读介质,包括硬盘、CD-ROM、电子存储设备、光学存储设备、或磁性存储设备。
在本文中参考方法、系统和计算机程序产品的流程图和/或框图描述了一些实施例。将理解,流程图图示和/或框图中的每个框以及流程图图示和/或框图中的框的组合可以通过计算机程序指令来实现。这些计算机程序指令可以被提供到通用计算机的处理器(从而产生专用计算机)、专用计算机或其他可编程数据处理装置以产生机器,以使得经由计算机的处理器或其他可编程数据处理装置执行的指令创建用于实现在流程图和/或(一个或多个)框图框中所指定的功能/动作的装置。
这些计算机程序指令还可被存储在计算机可读存储器或存储介质中,其可以引导计算机或其他可编程数据处理装置以特定方式运行,以使得被存储在计算机可读存储器中的指令产生包括实现在流程图和/或(一个或多个)框图框中所指定的功能/动作的指令装置的制品。
计算机程序指令还可以被加载到计算机或其他可编程数据处理装置上以使得一系列操作步骤在计算机或其他可编程装置上被执行以产生计算机实现的过程,以使得在计算机或其他可编程装置上执行的指令提供用于实现在流程图和/或(一个或多个)框图框中所指定的功能/动作的步骤。
应理解,框中所标注的功能/动作可以按在操作图中所标注的顺序发生。例如,连续示出的两个框实际上可以基本上并发地执行,或者框可以有时以相反的顺序执行,这取决于所涉及的功能/动作。尽管一些图包括通信路径上的箭头以示出通信的主要方向,但是,应理解,通信可以在与所描绘的箭头相反的方向上发生。
用于执行本文所描述的概念的操作的计算机程序代码可以用面向对象的编程语言(诸如或C++)来编写。然而,用于执行本公开的操作的计算机程序代码还可以用常规的程序性编程语言编写,诸如“C”编程语言。程序代码可以全部在用户的计算机上运行、部分在用户的计算机上运行、作为独立软件包运行、部分在用户的计算机上并且部分在远程计算机上运行、或者全部在远程计算机上运行。在后一种场景中,远程计算机可以通过局域网(LAN)或广域网(WAN)连接到用户的计算机,或者可以连接到外部计算机(例如,使用互联网服务提供商通过互联网连接)。
本文已经结合以上描述和附图公开了许多不同实施例。将理解,在文字上描述和说明这些实施例的每一个组合和子组合将是过度重复和模糊的。因此,所有实施例可以以任何方式和/或组合来组合,并且包括附图的本说明书应当被解释为构成本文所描述的实施例以及制造和使用它们的方式和过程的所有组合和子组合的完整书面描述,并且应当支持对任何这类组合或子组合的权利要求。
本领域技术人员将理解,本文所描述的实施例不限于上文已经特别示出并描述的内容。另外,除非相反的提及,否则应注意,所有附图不是按比例的。根据以上教导,各种修改和变型是可能的。
本文所描述的技术和装置的示例性实施例包括但不限于以下列举的示例:
A组实施例
A-1.一种由用于认证、授权和计费“AAA”的实体执行的方法(500C),包括:
从非第三代合作伙伴计划“非3GPP”接入单元接收(S501C)包括待认证的用户设备“UE”的隐藏标识的用于认证的请求消息;
从所接收到的用于认证的请求消息中检测(S503C)UE的隐藏标识;以及
向与UE相关联的演进分组核心“EPC”中的用于认证的实体发送(S505C)用于认证凭证的第三请求消息,其至少包括所检测到的UE的隐藏标识。
A-2.根据实施例A-1所述的方法(500C),还包括:基于所检测到的UE的隐藏标识,在用于网络存储库的实体中选择EPC中的用于认证的实体,以及
所述发送用于认证凭证的第三请求消息包括向所选择的EPC中的用于认证的实体发送用于认证凭证的第三请求消息。
A-3.根据实施例A-2所述的方法(500C),其中,基于被包括在所检测到的UE的隐藏标识中的路由指示符,在用于网络存储库的实体中选择EPC中的用于认证的实体。
A-4.根据实施例A-1至A-3中的任一项所述的方法(500C),其中,用于认证凭证的第三请求消息经由路由实体被发送到互通实体。
A-5.根据实施例A-1至A-4中的任一项所述的方法(500C),其中,UE的隐藏标识包括UE的订阅隐藏标识符“SUCI”。
A-6.根据实施例A-1至A-5中的任一项所述的方法(500C),还包括:
从EPC中的用于认证的实体接收用于认证凭证的第三响应消息,其包括:
由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向与UE相关联的5GC中的用于认证的实体请求的认证方法,
由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量,以及
从UE的隐藏标识获得的UE的第一标识。
A-7.根据实施例A-6所述的方法(500C),其中,
用于认证凭证的第三请求消息通过支持UE的隐藏标识的基于Diameter的接口被发送,以及
用于认证凭证的第三响应消息通过所述基于Diameter的接口被接收。A-8.根据实施例A-6至A-7中的任一项所述的方法(500C),其中,UE的第一标识包括UE的国际移动订户标识“IMSI”。
A-9.根据实施例A-1至A-8中的任一项所述的方法(500C),其中,
用于AAA的实体包括3GPP AAA服务器,
路由实体包括签约定位功能“SLF”/Diameter路由代理“DRA”,以及
用于网络存储库的实体包括网络存储库功能“NRF”。
A-10.一种用于认证、授权和计费“AAA”的实体(1600),包括:
至少一个处理器(1601),以及
至少一个存储器(1603),其存储指令,所述指令当在至少一个处理器(1601)上执行时使得用于AAA的实体(1600)执行根据实施例A-1至A-9中的至少一项所述的方法。
A-11.一种计算机可读存储介质,在其上存储有计算机程序指令,所述计算机程序指令当由至少一个处理器执行时使得至少一个处理器执行根据实施例A-1至A-9中的至少一项所述的方法。
B组实施例
B-1.一种由路由实体执行的方法(600C),包括:
从用于认证、授权和计费的实体“AAA”接收(S601C)用于认证凭证的第三请求消息,其至少包括待认证的用户设备“UE”的隐藏标识;
基于所接收到的UE的隐藏标识,在用于网络存储库的实体中选择(S603C)演进分组核心“EPC”中的用于认证的实体;以及
将用于认证凭证的第三请求消息转发(S605C)到所选择的EPC中的用于认证的实体。
B-2.根据实施例B-1所述的方法(600C),其中,基于被包括在UE的隐藏标识中的路由指示符,在用于网络存储库的实体中选择EPC中的用于认证的实体。
B-3.根据实施例B-1或B-2所述的方法(600C),还包括:
从EPC中的用于认证的实体接收用于认证凭证的第三响应消息,其包括:
由EPC中的用于认证的实体选择的认证方法或者由EPC中的用于认证的实体向与UE相关联的5GC中的用于认证的实体请求的认证方法,
由EPC中的用于认证的实体生成的认证向量或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量,以及
从UE的隐藏标识获得的UE的第一标识;以及
将所接收到的用于认证凭证的第二响应消息转发到用于AAA的实体。
B-4.根据实施例B-3所述的方法(600C),其中,
用于认证凭证的第三请求消息通过支持UE的隐藏标识的基于Diameter的接口被接收和转发,以及
用于认证凭证的第三响应消息通过所述基于Diameter的接口被接收和转发。
B-5.根据实施例B-1至B-4中的任一项所述的方法(600C),其中,UE的隐藏标识包括UE的订阅隐藏标识符“SUCI”,以及
UE的第一标识包括UE的国际移动订户标识“IMSI”。
B-6.根据实施例B-1至B-6中的任一项所述的方法(600C),其中,
路由实体包括签约定位功能“SLF”/Diameter路由代理“DRA”,
用于AAA的实体包括3GPP AAA服务器,以及
用于网络存储库的实体包括网络存储库功能“NRF”。
B-7.一种路由实体(1800),包括:
至少一个处理器(1801),以及
至少一个存储器(1803),其存储指令,所述指令当在至少一个处理器(1801)上执行时使得路由实体(1800)执行根据实施例B-1至B-6中的至少一项所述的方法。
B-8.一种计算机可读存储介质,在其上存储有计算机程序指令,所述计算机程序指令当由至少一个处理器执行时使得至少一个处理器执行根据实施例B-1至B-6中的至少一项所述的方法。
C组实施例
C-1.一种由5G核心“5GC”中的用于认证的实体执行的方法(800C),包括:
从与待认证的用户设备“UE”相关联的演进分组核心“EPC”中的用于认证的实体接收(S801C)用于认证凭证的第六请求消息,其至少包括请求节点是用于认证、授权和计费“AAA”的实体的指示以及UE的隐藏标识;
从UE的隐藏标识获得(S803C)UE的第一标识或第二标识;以及
向EPC中的用于认证的实体发送(S805C)用于认证凭证的第六响应消息,其至少包括所获得的UE的第一标识或第二标识。
C-2.根据实施例C-1所述的方法(800C),其中,所述获得UE的第一标识包括:
从UE的隐藏标识去隐藏UE的第二标识;以及
将UE的第二标识转换为UE的第一标识。
C-3.根据实施例C-1所述的方法,其中,所述获得UE的第二标识包括:
从述UE的隐藏标识去隐藏UE的第二标识。
C-4.根据实施例C-1至C-3中的任一项所述的方法(800C),还包括:获得用于UE的认证凭证,以及
其中,用于认证凭证的第六响应消息还包括用于UE的认证凭证。
C-5.根据实施例C-4所述的方法(800C),其中,用于UE的认证凭证包括:用于UE的认证方法和用于UE的认证向量,以及
所述获得用于UE的认证凭证包括:
至少基于请求节点是用于AAA的实体的指示和UE的第二标识,选择用于UE的认证方法;以及
至少基于UE的第二标识,生成用于UE的认证向量。
C-6.根据实施例C-1至C-5中的任一项所述的方法(800C),其中,
UE的隐藏标识包括UE的订阅隐藏标识符“SUCI”,
UE的第一标识包括UE的国际移动订户标识“IMSI”,以及
UE的第二标识包括UE的订阅永久标识符“SUPI”。
C-7.根据实施例C-1至C-6中的任一项所述的方法(800C),其中,用于认证凭证的第六请求消息还包括与UE所连接到的非3GPP接入单元相关的接入网络标识。
C-8.根据实施例C-1至C-7中的任一项所述的方法(800C),其中,
用于AAA的实体包括3GPP AAA服务器。
C-9.一种5G核心“5GC”中的用于认证的实体(2200),包括:
至少一个处理器(2201),以及
至少一个存储器(2203),其存储指令,所述指令当在至少一个处理器(2201)上执行时使得5GC中的用于认证的实体(2200)执行根据实施例C-1至C-8中的至少一项所述的方法。
C-10.一种计算机可读存储介质,在其上存储有计算机程序指令,所述计算机程序指令当由至少一个处理器执行时使得至少一个处理器执行根据实施例C-1至C-8中的至少一项所述的方法。
D组实施例
D-1.一种由演进分组核心“EPC”中的用于认证的实体执行的方法(900C),包括:
从用于认证、授权和计费的实体“AAA”接收(S901C)用于认证凭证的第三请求消息,其至少包括待认证的用户设备“UE”的隐藏标识。
D-2.根据实施例D-1所述的方法(900C),还包括:
向与UE相关联的5G核心“5GC”中的用于认证的实体发送用于认证凭证的第六请求消息,其至少包括请求节点是用于AAA的实体的指示以及UE的隐藏标识;以及
从5GC中的用于认证的实体接收用于认证凭证的第六响应消息,其至少包括从UE的隐藏标识获得的UE的第一标识或第二标识。
D-3.根据实施例D-2所述的方法(900C),其中,用于认证凭证的第六响应消息还包括用于UE的认证凭证,其包括:
由5GC中的用于认证的实体选择的用于UE的认证方法;以及
由5GC中的用于认证的实体生成的用于UE的认证向量。
D-4.根据实施例D-2所述的方法(900C),还包括:
至少基于请求节点是用于AAA的实体的指示和UE的第一标识,选择用于UE的认证方法;以及
至少基于UE的第一标识,生成用于UE的认证向量。
D-5.根据实施例D-3或D-4所述的方法(900C),还包括:
向用于AAA的实体发送用于认证凭证的第三响应消息,其包括:
认证方法,
认证向量,以及
从UE的第二标识获得的UE的第一标识。
D-6.根据实施例D-4所述的方法(900C),其中,
用于认证凭证的第三请求消息通过支持UE的隐藏标识的基于Diameter的接口被接收,以及
用于认证凭证的第三响应消息通过所述基于Diameter的接口被发送。
D-7.根据实施例D-1至D-6中的任一项所述的方法(900C),还包括:
在用于网络存储库的实体中注册EPC中的用于认证的实体支持的路由指示符。
D-7.根据实施例D-2至D-6中的任一项所述的方法(900C),其中,
UE的隐藏标识包括UE的订阅隐藏标识符“SUCI”,
UE的第一标识包括UE的国际移动订户标识“IMSI”,以及
UE的第二标识包括UE的订阅永久标识符“SUPI”。
D-8.根据实施例D-1至D-7中的任一项所述的方法(900C),其中,
用于AAA的实体包括3GPP AAA服务器。
D-9.一种演进分组核心“EPC”中的用于认证的实体(2400),包括:
至少一个处理器(2401),以及
至少一个存储器(2403),其存储指令,所述指令当在至少一个处理器(2401)上执行时使得EPC中的用于认证的实体(2400)执行根据实施例D-1至D-8中的至少一项所述的方法的。
D-10.一种计算机可读存储介质,在其上存储有计算机程序指令,所述计算机程序指令当由至少一个处理器执行时使得至少一个处理器执行根据实施例D-1至D-8中的至少一项所述的方法。

Claims (94)

1.一种由非第三代合作伙伴计划“非3GPP”接入网络中的非3GPP接入单元执行的方法(300),所述方法(300)包括:
发送(S301)网络列表,经由其中的每个网络,所述非3GPP接入单元至少支持用户设备UE身份隐私。
2.根据权利要求1所述的方法(300),其中,所述非3GPP接入单元经由所述网络列表中的每个网络进一步支持与用于认证、授权和计费AAA的实体的连接用于接入认证。
3.根据权利要求2所述的方法(300),还包括:
从UE接收包括所述UE的标识的用于接入认证的请求消息;以及
向所述用于AAA的实体发送包括所述UE的所述标识的用于认证的请求消息。
4.根据权利要求3所述的方法(300),其中,所述UE的所述标识包括所述UE的隐藏标识或所述UE的第一标识。
5.根据权利要求4所述的方法(300),其中,
所述UE的所述隐藏标识包括所述UE的订阅隐藏标识符SUCI,以及
所述UE的所述第一标识包括所述UE的国际移动订户标识IMSI。
6.根据权利要求3至5中的任一项所述的方法(300),其中,
所述用于认证的请求消息还包括所述非3GPP接入网络的接入网络标识。
7.根据权利要求2至6中的任一项所述的方法(300),其中,
所述网络列表包括公共陆地移动网络PLMN的列表,以及
所述用于AAA的实体包括3GPP AAA服务器。
8.一种非第三代合作伙伴计划“非3GPP”接入网络中的非3GPP接入单元(1200),包括:
至少一个处理器(1201),以及
至少一个存储器(1203),其存储指令,所述指令当在所述至少一个处理器(1201)上被执行时使得所述非3GPP接入单元(1200)执行根据权利要求1至7中的至少一项所述的方法。
9.一种在其上存储有计算机程序指令的计算机可读存储介质,所述计算机程序指令当由至少一个处理器执行时使得所述至少一个处理器执行根据权利要求1至7中的至少一项所述的方法。
10.一种由用户设备UE执行的方法(400),所述方法(400)包括:
确定(S401)UE身份隐私是否应当被用于与用于所述UE的非第三代合作伙伴计划“非3GPP”接入网络的通信;以及
取决于所述确定的结果,向所述非3GPP接入网络中的非3GPP接入单元发送(S403)包括所述UE的标识的用于接入认证的请求消息。
11.根据权利要求10所述的方法(400),其中,基于以下中的至少一项确定所述UE身份隐私是否应当被用于与用于所述UE的所述非3GPP接入网络的通信:
所述UE的配置;
关于所述非3GPP接入网络中的所述非3GPP接入单元的信息;或者
关于所述UE的归属网络的信息。
12.根据权利要求11所述的方法(400),还包括:
接收或预配置所述UE的所述配置,所述配置包括:指示所述UE是否支持所述UE身份隐私的信息。
13.根据权利要求11或12所述的方法(400),还包括:
从所述非3GPP接入单元接收指示所述非3GPP接入单元是否支持所述UE身份隐私的关于所述非3GPP接入单元的所述信息,
其中,关于所述非3GPP接入单元的所述信息包括网络列表,经由其中的每个网络,所述非3GPP接入单元至少支持所述UE身份隐私。
14.根据权利要求13所述的方法(400),其中,所述非3GPP接入单元经由所述网络列表中的每个网络进一步支持与用于认证、授权和计费AAA的实体的连接用于接入认证。
15.根据权利要求11至14中的任一项所述的方法(400),还包括:
从所述归属网络接收指示所述归属网络是否支持所述UE身份隐私的关于所述归属网络的所述信息。
16.根据权利要求15所述的方法(400),其中,在UE参数更新UPU过程或漫游引导SoR过程中携带指示所述归属网络是否支持所述UE身份隐私的关于所述归属网络的所述信息。
17.根据权利要求12至16中的任一项所述的方法(400),其中,支持所述UE身份隐私包括支持所述UE身份隐私用于非3GPP接入认证。
18.根据权利要求10至17中的任一项所述的方法(400),其中,
如果确定所述UE身份隐私应当被使用,则所述用于接入认证的请求消息包括所述UE的隐藏标识,以及
如果确定所述UE身份隐私不应当被使用,则所述用于接入认证的请求消息包括应当被使用的所述UE的第一标识。
19.根据权利要求18所述的方法(400),其中,
所述UE的所述隐藏标识包括所述UE的订阅隐藏标识符SUCI,以及
所述UE的所述第一标识包括所述UE的国际移动订户标识IMSI。
20.根据权利要求10至19中的任一项所述的方法(400),其中,与所述非3GPP接入网络的所述通信包括来自用于所述UE的所述非3GPP接入网络的非无缝无线本地接入网络卸载NSWO。
21.根据权利要求14至20中的任一项所述的方法(400),其中,
所述网络列表包括公共陆地移动网络PLMN的列表,以及
所述用于AAA的实体包括3GPP AAA服务器。
22.一种用户设备UE(1400),包括:
至少一个处理器(1401),以及
至少一个存储器(1403),其存储指令,所述指令当在所述至少一个处理器(1401)上执行时使得所述UE(1400)执行根据权利要求10至21中的至少一项所述的方法。
23.一种在其上存储计算机程序指令的计算机可读存储介质,所述计算机程序指令当由至少一个处理器执行时使得所述至少一个处理器执行根据权利要求10至21中的至少一项所述的方法。
24.一种由用于认证、授权和计费AAA的实体执行的方法(500A),所述方法(500A)包括:
从非第三代合作伙伴计划“非3GPP”接入单元接收(S501A)用于认证的请求消息,所述用于认证的请求消息包括待认证的用户设备UE的标识,其中,所述UE的所述标识包括所述UE的隐藏标识或所述UE的第一标识;
从所接收到的用于认证的请求消息中检测(S503A)所述UE的所述标识;以及
向互通实体发送(S505A)用于认证凭证的第一请求消息,所述第一请求消息至少包括所检测到的所述UE的标识。
25.根据权利要求24所述的方法(500A),其中,用于认证凭证的所述第一请求消息经由路由实体被发送到所述互通实体。
26.根据权利要求24或25所述的方法(500A),其中,在所接收到的用于认证的请求消息中的所述UE的所述标识包括所述UE的所述隐藏标识的情况下,
检测所述UE的所述隐藏标识,以及
用于认证凭证的所述第一请求消息包括所检测到的所述UE的所述隐藏标识,并且通过支持所述UE的所述隐藏标识的基于Diameter的接口被发送到所述互通实体。
27.根据权利要求24或25所述的方法(500A),其中,在所接收到的用于认证的请求消息中的所述UE的所述标识包括所述UE的所述第一标识或者用空方案保护的所述UE的所述隐藏标识的情况下,
检测所述UE的所述第一标识,以及
用于认证凭证的所述第一请求消息包括所述UE的所述第一标识,并且通过支持所述UE的所述第一标识的基于Diameter的接口被发送到所述互通实体。
28.根据权利要求24至27中的任一项所述的方法(500A),还包括:
从所述互通实体接收用于认证凭证的第一响应消息,所述第一响应消息包括:
由与所述UE相关联的5G核心5GC中的用于认证的实体选择的认证方法,或者由5GC中的用于认证的实体向与所述UE相关联的演进分组核心EPC中的用于认证的实体请求的认证方法,
由5GC中的用于认证的实体生成的认证向量,或者由5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量,以及
从所检测到的所述UE的标识获得的所述UE的第一标识。
29.根据权利要求24至28中的任一项所述的方法(500A),其中,
所述UE的所述隐藏标识包括所述UE的订阅隐藏标识符SUCI,以及
所述UE的所述第一标识包括所述UE的国际移动订户标识IMSI。
30.根据权利要求24至29中的任一项所述的方法(500A),其中,
所述用于认证的请求消息还包括与所述非3GPP接入单元相关的接入网络标识,以及
用于认证凭证的所述第一请求消息还包括与所述非3GPP接入单元相关的所述接入网络标识。
31.一种由用于认证、授权和计费AAA的实体执行的方法(500B),所述方法(500B)包括:
从非第三代合作伙伴计划“非3GPP”接入单元接收(S501B)用于认证的请求消息,所述用于认证的请求消息包括待认证的用户设备UE的隐藏标识;
从所接收到的用于认证的请求消息中检测(S503B)所述UE的所述隐藏标识;以及
向互通实体发送(S505B)包括所检测到的所述UE的隐藏标识的标识请求消息。
32.根据权利要求31所述的方法(500B),其中,所述标识请求消息经由路由实体被发送到所述互通实体。
33.根据权利要求31或32所述的方法(500B),其中,
所述UE的所述隐藏标识包括所述UE的订阅隐藏标识符SUCI。
34.根据权利要求31至33中的任一项所述的方法(500B),还包括:
从所述互通实体接收包括所述UE的第一标识的标识响应消息,所述第一标识是由所述互通实体从所述UE的第二标识转换的,而所述第二标识是由与所述UE相关联的5GC中的用于认证的实体从所述UE的所述隐藏标识去隐藏的。
35.根据权利要求34所述的方法(500B),其中,
所述标识请求消息通过支持所述UE的所述隐藏标识的基于Diameter的接口被发送,并且
所述标识响应消息通过所述基于Diameter的接口被接收。
36.根据权利要求34至35中的任一项所述的方法(500B),还包括:
向与所述UE相关联的演进分组核心EPC中的用于认证的实体发送用于认证凭证的第二请求消息,所述第二请求消息至少包括所接收到的所述UE的第一标识;以及
从EPC中的用于认证的实体接收用于认证凭证的第二响应消息,所述第二响应消息包括:
由EPC中的用于认证的实体选择的认证方法,或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证方法,以及
由EPC中的用于认证的实体生成的认证向量,或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量。
37.根据权利要求34至36中的任一项所述的方法(500B),其中,
所述UE的所述第一标识包括所述UE的国际移动订户标识IMSI,以及
所述UE的所述第二标识包括所述UE的订阅永久标识符SUPI。
38.根据权利要求25至37中的任一项所述的方法(500A,500B),其中,
所述用于AAA的实体包括3GPP AAA服务器,以及
所述路由实体包括签约定位功能SLF/Diameter路由代理DRA。
39.一种用于认证、授权和计费AAA的实体(1600),包括:
至少一个处理器(1601),以及
至少一个存储器(1603),其存储指令,所述指令当在所述至少一个处理器(1601)上执行时使得所述用于AAA的实体(1600)执行根据权利要求24至38中的至少一项所述的方法。
40.一种在其上存储计算机程序指令的计算机可读存储介质,所述计算机程序指令当由至少一个处理器执行时使得所述至少一个处理器执行根据权利要求24至38中的至少一项所述的方法。
41.一种由路由实体执行的方法(600A),所述方法(600A)包括:
从用于认证、授权和计费AAA的实体接收(S601A)用于认证凭证的第一请求消息,所述第一请求消息至少包括待认证的用户设备UE的标识,其中,所述UE的所述标识包括所述UE的隐藏标识或所述UE的第一标识;以及
将用于认证凭证的所述第一请求消息转发(S603A)到互通实体。
42.根据权利要求41所述的方法(600A),其中,
在所述UE的所述标识包括所述UE的所述隐藏标识的情况下,用于认证凭证的所述第一请求消息通过支持所述UE的所述隐藏标识的基于Diameter的接口被接收和转发。
43.根据权利要求41所述的方法(600A),其中,
在所述UE的所述标识包括所述UE的所述第一标识的情况下,用于认证凭证的所述第一请求消息通过支持所述UE的所述第一标识的基于Diameter的接口被接收和转发。
44.根据权利要求41至43中的任一项所述的方法(600A),还包括:
从所述互通实体接收用于认证凭证的第一响应消息,所述第一响应消息包括:
由与所述UE相关联的5G核心5GC中的用于认证的实体选择的认证方法,或者由5GC中的用于认证的实体向与所述UE相关联的演进分组核心EPC中的用于认证的实体请求的认证方法,
由5GC中的用于认证的实体生成的认证向量,或者由5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量,以及
从所述UE的所述标识获得的所述UE的第一标识;以及
将用于认证凭证的所述第一响应消息转发到所述用于AAA的实体。
45.根据权利要求41至44中的任一项所述的方法(600A),其中,
所述UE的所述隐藏标识包括所述UE的订阅隐藏标识符SUCI,以及
所述UE的所述第一标识包括所述UE的国际移动订户标识IMSI。
46.根据权利要求41至45中的任一项所述的方法(600A),其中,
用于认证凭证的所述第一请求消息还包括与所述UE所连接到的非第三代合作伙伴计划“非3GPP”接入单元相关的接入网络标识。
47.一种由路由实体执行的方法(600B),所述方法(600B)包括:
从用于认证、授权和计费AAA的实体接收(S601B)标识请求消息,所述标识请求消息包括待认证的用户设备UE的隐藏标识;以及
将所述标识请求消息转发(603B)到互通实体。
48.根据权利要求47所述的方法(600B),其中,
所述UE的所述隐藏标识包括所述UE的订阅隐藏标识符SUCI。
49.根据权利要求47或48所述的方法(600B),还包括:
从所述互通实体接收包括所述UE的第一标识的标识响应消息,所述第一标识是由所述互通实体从所述UE的第二标识转换的,而所述第二标识是由与所述UE相关联的5GC中的用于认证的实体从所述UE的所述隐藏标识去隐藏的;以及
将所述标识响应消息转发到所述用于AAA的实体。
50.根据权利要求49所述的方法(600B),其中,
所述标识请求消息通过支持所述UE的所述隐藏标识的基于Diameter的接口被接收和转发,以及
所述UE的所述标识响应消息通过所述基于Diameter的接口被接收和转发。
51.根据权利要求49至50中的任一项所述的方法(600B),还包括:
从所述用于AAA的实体接收针对所述UE的用于认证凭证的第二请求消息,所述第二请求消息至少包括所接收到的所述UE的第一标识;以及
向与所述UE相关联的演进分组核心EPC中的用于认证的实体转发所接收到的用于认证凭证的第二请求消息。
52.根据权利要求49至51中的任一项所述的方法(600B),其中,
所述UE的所述第一标识包括所述UE的国际移动订户标识IMSI,以及
所述UE的所述第二标识包括所述UE的订阅永久标识符SUPI。
53.根据权利要求51或52所述的方法(600B),还包括:
从EPC中的用于认证的实体接收用于认证凭证的第二响应消息,所述第二响应消息包括:
由EPC中的用于认证的实体选择的认证方法,或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证方法,以及
由EPC中的用于认证的实体生成的认证向量,或者由EPC中的用于认证的实体向5GC中的用于认证的实体请求的认证向量;以及
将所接收到的用于认证凭证的第二响应消息转发到所述用于AAA的实体。
54.根据实施例41至53中的任一项所述的方法(600A,600B),其中,
所述路由实体包括签约定位功能SLF/Diameter路由代理DRA,以及
所述用于AAA的实体包括3GPP AAA服务器。
55.一种路由实体(1800),包括:
至少一个处理器(1801),以及
至少一个存储器(1803),其存储指令,所述指令当在所述至少一个处理器(1801)上执行时使得所述路由实体(1800)执行根据权利要求41至54中的至少一项所述的方法。
56.一种在其上存储计算机程序指令的计算机可读存储介质,所述计算机程序指令当由至少一个处理器执行时使得所述至少一个处理器执行根据权利要求41至54中的至少一项所述的方法。
57.一种由互通实体执行的方法(700A),所述方法(700A)包括:
从用于认证、授权和计费AAA的实体接收(S701A)用于认证凭证的第一请求消息,所述第一请求消息至少包括待认证的用户设备UE的标识,其中,所接收到的所述UE的标识包括所述UE的隐藏标识或所述UE的第一标识;
基于所接收到的所述UE的标识,选择(S703A)与所述UE相关联的5G核心5GC中的用于认证的实体;以及
向所选择的5GC中的用于认证的实体发送(S705A)用于认证凭证的第四请求消息。
58.根据权利要求57所述的方法(700A),其中,经由路由实体从所述用于AAA的实体接收用于认证凭证的所述第一请求消息。
59.根据权利要求57或58所述的方法(700A),还包括:
从所选择的5GC中的用于认证的实体接收用于认证凭证的第四响应消息,其中,用于认证凭证的所述第四响应消息至少包括:
由所选择的5GC中的用于认证的实体选择的认证方法,或者由所选择的5GC中的用于认证的实体向与所述UE相关联的演进分组核心EPC中的用于认证的实体请求的认证方法,以及
由所选择的5GC中的用于认证的实体生成的认证向量,或者由所选择的5GC中的用于认证的实体向EPC中的用于认证的实体请求的认证向量。
60.根据权利要求57至59中的任一项所述的方法(700A),其中,在所接收到的所述UE的标识包括所述UE的所述隐藏标识的情况下,
通过支持所述UE的所述隐藏标识的基于Diameter的接口接收用于认证凭证的所述第一请求消息,
基于被包括在所接收到的所述UE的隐藏标识中的路由指示符来选择5GC中的用于认证的实体,
用于认证凭证的所述第四请求消息至少包括请求节点是所述用于AAA的实体的指示和所述UE的所述隐藏标识,以及
用于认证凭证的所述第四响应消息还包括由5GC中的用于认证的实体从所述UE的所述隐藏标识去隐藏的所述UE的第二标识。
61.根据权利要求56至59中的任一项所述的方法(700A),其中,在所接收到的所述UE的标识包括所述UE的所述第一标识的情况下,
通过支持所述UE的所述第一标识的基于Diameter的接口接收用于认证凭证的所述第一请求消息,
基于所述UE的所述第一标识来选择5GC中的用于认证的实体,
用于认证凭证的所述第四请求消息至少包括请求节点是所述用于AAA的实体的指示以及由所述互通实体从所述UE的所述第一标识转换的所述UE的第二标识,以及
用于认证凭证的所述第四响应消息还包括所述UE的所述第二标识。
62.根据权利要求57至61中的任一项所述的方法(700A),其中,用于认证凭证的所述第四请求消息还包括与所述UE所连接到的非第三代合作伙伴计划“非3GPP”接入单元相关的接入网络标识。
63.根据权利要求59至62中的任一项所述的方法(700A),还包括:
向所述用于AAA的实体发送用于认证凭证的第一响应消息,所述第一响应消息包括:
所述认证方法,
所述认证向量,以及
从所接收到的所述UE的标识获得的所述UE的第一标识。
64.根据权利要求57至63中的任一项所述的方法(700A),其中,
所述UE的所述隐藏标识包括所述UE的订阅隐藏标识符SUCI,以及
所述UE的所述第一标识包括所述UE的国际移动订户标识IMSI。
65.一种由互通实体执行的方法(700B),所述方法(700B)包括:
从用于认证、授权和计费AAA的实体接收(S701B)标识请求消息,所述标识请求消息包括待认证的用户设备UE的隐藏标识;
基于所接收到的所述UE的隐藏标识,选择(S703B)与所述UE相关联的5GC中的用于认证的实体;以及
向所选择的5GC中的用于认证的实体发送(S705B)用于标识去隐藏的请求消息,所述用于标识去隐藏的请求消息包括所接收到的所述UE的隐藏标识。
66.根据权利要求65所述的方法(700B),其中,经由路由实体从所述用于AAA的实体接收所述标识请求消息。
67.根据权利要求65或66所述的方法(700B),其中,
通过支持所述UE的所述隐藏标识的基于Diameter的接口来接收所述标识请求消息,以及
基于被包括在所接收到的所述UE的隐藏标识中的路由指示符来选择与所述UE相关联的5GC中的用于认证的实体。
68.根据权利要求65至67中的任一项所述的方法(700B),其中,
所述UE的所述隐藏标识包括所述UE的订阅隐藏标识符SUCI。
69.根据权利要求65至68中的任一项所述的方法(700B),还包括:
从所选择的5GC中的用于认证的实体接收用于标识去隐藏的响应消息,所述响应消息包括由所选择的5GC中的用于认证的实体从所述UE的所述隐藏标识去隐藏的所述UE的第二标识;
将所接收到的所述UE的第二标识转换成所述UE的第一标识;以及
向所述用于AAA的实体发送标识响应消息,所述标识响应消息包括所述UE的所述第一标识。
70.根据权利要求69所述的方法(700B),其中,
所述UE的所述第一标识包括所述UE的国际移动订户标识IMSI,以及
所述UE的所述第二标识包括所述UE的订阅永久标识符SUPI。
71.根据权利要求57至70中的任一项所述的方法(700A,700B),其中,
所述路由实体包括签约定位功能SLF/Diameter路由代理DRA,以及
所述用于AAA的实体包括3GPP AAA服务器。
72.一种互通实体(2000),包括:
至少一个处理器(2001),以及
至少一个存储器(2003),其存储指令,所述指令当在所述至少一个处理器(2001)上执行时使得所述互通实体(2000)执行根据权利要求57至71中的至少一项所述的方法。
73.一种在其上存储计算机程序指令的计算机可读存储介质,所述计算机程序指令当由至少一个处理器执行时使得所述至少一个处理器执行根据权利要求57至71中的至少一项所述的方法。
74.一种由5G核心5GC中的用于认证的实体执行的方法(800A),所述方法(800A)包括:
从互通实体接收(S801A)针对待认证的用户设备UE的用于认证凭证的第四请求消息,所述第四请求消息至少包括请求节点是用于认证、授权和计费AAA的实体的指示以及所述UE的标识;以及
向所述互通实体发送(S803A)用于认证凭证的第四响应消息。
75.根据权利要求74所述的方法(800A),其中,用于认证凭证的所述第四请求消息还包括与所述UE所连接到的非第三代合作伙伴计划“非3GPP”接入单元相关的接入网络标识。
76.根据权利要求74或75所述的方法(800A),其中,所接收到的所述UE的标识包括所述UE的隐藏标识,以及
所述方法还包括:从所接收到的所述UE的隐藏标识去隐藏所述UE的第二标识。
77.根据权利要求74或75所述的方法(800A),其中,所接收到的所述UE的标识包括所述UE的第二标识。
78.根据权利要求74或77所述的方法(800A),还包括:
至少基于所述请求节点是所述用于AAA的实体的所述指示和所述UE的所述第二标识,选择用于所述UE的认证方法;以及
至少基于所述UE的所述第二标识,生成用于所述UE的认证向量。
79.根据权利要求76或77所述的方法(800A),还包括:
向EPC中的用于认证的实体发送用于认证凭证的第五请求消息,所述第五请求消息至少包括:所述请求节点是所述用于AAA的实体的所述指示,以及所述UE的所述标识;以及
从EPC中的用于认证的实体接收用于认证凭证的第五响应消息,所述第五响应消息包括用于所述UE的认证方法和用于所述UE的认证向量。
80.根据权利要求76至79中的任一项所述的方法(800A),其中,
所述UE的所述隐藏标识包括所述UE的订阅隐藏标识符SUCI,以及
所述UE的所述第二标识包括所述UE的订阅永久标识符SUPI。
81.根据权利要求80所述的方法(800A),其中,用于认证凭证的所述第五请求消息还包括与所述UE所连接到的非3GPP接入单元相关的接入网络标识。
82.一种由5G核心5GC中的用于认证的实体执行的方法(800B),所述方法(800B)包括:
从互通实体接收(S801B)用于标识去隐藏的请求消息,所述请求消息包括待认证的用户设备UE的隐藏标识;
从所接收到的所述UE的隐藏标识去隐藏(S803B)所述UE的第二标识;以及
向所述互通实体发送(S805B)用于标识去隐藏的响应消息,所述响应消息包括所述UE的所述第二标识。
83.根据权利要求82所述的方法(800B),其中,
所述UE的所述隐藏标识包括所述UE的订阅隐藏标识符SUCI,以及
所述UE的所述第二标识包括所述UE的订阅永久标识符SUPI。
84.根据权利要求74至83中的任一项所述的方法(800A,800B),其中,
所述用于AAA的实体包括3GPP AAA服务器。
85.一种5G核心5GC中的用于认证的实体(2200),包括:
至少一个处理器(2201),以及
至少一个存储器(2203),其存储指令,所述指令当在所述至少一个处理器(2201)上执行时使得5GC中的用于认证的实体(2200)执行根据权利要求74至84中的至少一项所述的方法。
86.一种在其上存储计算机程序指令的计算机可读存储介质,所述计算机程序指令当由至少一个处理器执行时使得所述至少一个处理器执行根据权利要求74至84中的至少一项所述的方法。
87.一种由演进分组核心EPC中的用于认证的实体执行的方法(900A),所述方法(900A)包括:
从与待认证的用户设备UE相关联的5G核心5GC中的用于认证的实体接收(S901A)用于认证凭证的第五请求消息,所述第五请求消息至少包括:请求节点是用于认证、授权和计费AAA的实体的指示,以及所述UE的标识;
获得(S903A)用于所述UE的认证凭证;以及
向5GC中的用于认证的实体发送(S905A)用于认证凭证的第五响应消息,所述第五响应消息包括所获得的用于所述UE的认证凭证。
88.根据权利要求87所述的方法(900A),其中,用于所述UE的所述认证凭证包括:用于所述UE的认证方法和用于所述UE的认证向量,以及
所述获得用于所述UE的所述认证凭证包括:
至少基于所述请求节点是所述用于AAA的实体的所述指示和所述UE的所述标识,选择用于所述UE的认证方法;以及
至少基于所述UE的所述标识,生成用于所述UE的认证向量。
89.根据权利要求87或88所述的方法(900A),其中,
所述UE的所述标识包括所述UE的国际移动订户标识IMSI或所述UE的订阅永久标识符SUPI。
90.根据权利要求87至89中的任一项所述的方法(900A),其中,用于认证凭证的所述第五请求消息还包括与所述UE所连接到的非3GPP接入单元相关的接入网络标识。
91.根据权利要求87至90中的任一项所述的方法(900A),还包括:
在用于网络存储库的实体中注册EPC中的用于认证的实体所支持的路由指示符。
92.根据权利要求87至91中的任一项所述的方法(900A),其中,
所述用于AAA的实体包括3GPP AAA服务器。
93.一种演进分组核心EPC中的用于认证的实体(2400),包括:
至少一个处理器(2401),以及
至少一个存储器(2403),其存储指令,所述指令当在所述至少一个处理器(2401)上执行时使得EPC中的用于认证的实体(2400)执行根据权利要求87至92中的至少一项所述的方法。
94.一种在其上存储计算机程序指令的计算机可读存储介质,所述计算机程序指令当由至少一个处理器执行时使得所述至少一个处理器执行根据权利要求87至92中的至少一项所述的方法。
CN202180093661.1A 2020-12-15 2021-12-14 用于非3gpp接入认证的方法、实体和计算机可读介质 Pending CN116868608A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311660258.XA CN117896723A (zh) 2020-12-15 2021-12-14 用于非3gpp接入认证的方法、实体和计算机可读介质

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
CNPCT/CN2020/136618 2020-12-15
CN2020136618 2020-12-15
CNPCT/CN2021/111518 2021-08-09
CN2021111518 2021-08-09
PCT/CN2021/137970 WO2022127792A1 (en) 2020-12-15 2021-12-14 Methods, entities and computer readable media for non-3gpp access authentication

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202311660258.XA Division CN117896723A (zh) 2020-12-15 2021-12-14 用于非3gpp接入认证的方法、实体和计算机可读介质

Publications (1)

Publication Number Publication Date
CN116868608A true CN116868608A (zh) 2023-10-10

Family

ID=79686800

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202180093661.1A Pending CN116868608A (zh) 2020-12-15 2021-12-14 用于非3gpp接入认证的方法、实体和计算机可读介质
CN202311660258.XA Pending CN117896723A (zh) 2020-12-15 2021-12-14 用于非3gpp接入认证的方法、实体和计算机可读介质

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN202311660258.XA Pending CN117896723A (zh) 2020-12-15 2021-12-14 用于非3gpp接入认证的方法、实体和计算机可读介质

Country Status (7)

Country Link
EP (1) EP4264985A1 (zh)
JP (1) JP2023552887A (zh)
KR (1) KR20230117216A (zh)
CN (2) CN116868608A (zh)
BR (1) BR112023011654A2 (zh)
CO (1) CO2023009441A2 (zh)
WO (1) WO2022127792A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230016347A1 (en) * 2021-07-19 2023-01-19 Nokia Technologies Oy Method, apparatus, and computer program product for authentication using a user equipment identifier

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019105695A1 (en) * 2017-11-30 2019-06-06 Telefonaktiebolaget Lm Ericsson (Publ) Secure deactivation of subscriber identifier protection in 5g
KR102571312B1 (ko) * 2018-08-09 2023-08-28 노키아 테크놀로지스 오와이 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치

Also Published As

Publication number Publication date
WO2022127792A1 (en) 2022-06-23
CO2023009441A2 (es) 2023-09-18
EP4264985A1 (en) 2023-10-25
KR20230117216A (ko) 2023-08-07
JP2023552887A (ja) 2023-12-19
BR112023011654A2 (pt) 2024-02-20
CN117896723A (zh) 2024-04-16

Similar Documents

Publication Publication Date Title
US11411616B2 (en) Trusted WLAN connectivity to 3GPP evolved packet core
EP3576471B1 (en) Connection processing method and apparatus in multi-access scenario
EP3259939B1 (en) Access point steering
CN111885675B (zh) 无线局域网(wlan)连通性选项发现
JP6823047B2 (ja) セルラーアクセスネットワークノードのための識別子を含むネットワークアクセス識別子
KR101751655B1 (ko) 신뢰되는 무선 로컬 영역 네트워크 (wlan) 액세스 시나리오들
WO2012066189A1 (en) Apparatus and method for selection of a gateway of a local area network
WO2016004822A1 (zh) 用于网络切换的方法及装置
US20170156105A1 (en) Realm based network-access-identifier (nai) modification for a roaming party needing to authenticate with home network
EP3114865B1 (en) Using services of a mobile packet core network
CN116868608A (zh) 用于非3gpp接入认证的方法、实体和计算机可读介质
US20240056446A1 (en) Methods, entities and computer readable media for non-3gpp access authentication
WO2019196030A1 (en) Selecting non-3gpp access nodes to support ims services to 5g core networks
US11283798B2 (en) Network nodes and methods performed by network node for selecting authentication mechanism
JP6146105B2 (ja) ゲートウェイシステム、拡張ゲートウェイ、拡張エッジ装置、移動端末接続方法およびプログラム
WO2024053551A1 (en) Method in user equipment (ue), method in access and mobility management function (amf), method in unified data management (udm), ue, amf, and udm
WO2024053389A1 (en) User equipment (ue), method of ue and access and mobility management function (amf)
KR20240036111A (ko) 보안 통신 방법 및 장치
CN115915126A (zh) 安全通信的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination