CN117044249A - 基于能力的注册认证 - Google Patents

基于能力的注册认证 Download PDF

Info

Publication number
CN117044249A
CN117044249A CN202280021198.4A CN202280021198A CN117044249A CN 117044249 A CN117044249 A CN 117044249A CN 202280021198 A CN202280021198 A CN 202280021198A CN 117044249 A CN117044249 A CN 117044249A
Authority
CN
China
Prior art keywords
network device
registration
plmn
request
remote unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202280021198.4A
Other languages
English (en)
Inventor
R·阿塔瑞斯
A·昆兹
G·维勒夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Singapore Pte Ltd
Original Assignee
Lenovo Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Singapore Pte Ltd filed Critical Lenovo Singapore Pte Ltd
Publication of CN117044249A publication Critical patent/CN117044249A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/90Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Emergency Management (AREA)
  • Environmental & Geological Engineering (AREA)
  • Public Health (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

公开了用于基于能力的注册认证的装置、方法和系统。一种方法(700)包括在第二网络设备处从第一网络设备接收(702)针对用于注册的能力的指示。该方法(700)包括向第三网络设备发送(704)用于注册的认证过程类型的第一请求。该方法(700)包括向远程单元发送(706)第二请求。第二请求对应于用于注册的认证过程类型。方法(700)包括从远程单元接收(708)对第二请求的响应。该响应对应于远程单元中存储的凭证。

Description

基于能力的注册认证
相关申请的交叉引用
本申请要求于2021年3月15日Roozbeh Atarius申请的题为“APPARATUSES,METHODS,AND SYSTEMS FOR REGISTRATION AND CHARGING OF A DEVICE IN A DISASTERROAMING NETWORK WITH LIMITED ROAMING AGREEMENT”的美国专利申请序列第63/161395号的优先权,该申请通过引用整体并入本文。
技术领域
本文所公开的主题总体上涉及无线通信,更具体地,涉及基于能力的注册认证。
背景技术
在某些无线通信网络中,用户设备(“UE”)可由公共陆地移动网络(“PLMN”)认证。在这样的网络中,UE可以从一个PLMN移动到另一个PLMN。
发明内容
公开了用于基于能力的注册认证的方法。装置和系统也执行方法的功能。方法的一个实施例包括在第二网络设备处从第一网络设备接收针对用于注册的能力的指示。在一些实施例中,该方法包括向第三网络设备发送用于注册的认证过程类型的第一请求。在某些实施例中,该方法包括向远程单元发送第二请求。第二请求对应于用于注册的认证过程类型。在各种实施例中,该方法包括从远程单元接收对第二请求的响应。该响应对应于远程单元中存储的凭证。
一种基于能力的注册认证装置包括第二网络设备。在一些实施例中,该装置包括接收器,接收器从第一网络设备接收针对用于注册的能力的指示。在各种实施例中,该装置包括发射器,该发射器:向第三网络设备发送用于注册的认证过程类型的第一请求;并向远程单元发送第二请求。第二请求对应于用于注册的认证过程类型。在某些实施例中,接收器从远程单元接收对第二请求的响应。该响应对应于远程单元中存储的凭证。
用于基于能力的注册认证方法的另一实施例包括从远程单元向第一网络设备发送注册请求消息,注册请求消息包括针对用于注册的能力的指示。在一些实施例中,该方法包括从第二网络设备接收请求。该请求对应于用于注册的认证过程类型。在某些实施例中,该方法包括向第二网络设备发送对请求的响应。该响应对应于远程单元中存储的凭证。
另一种用于基于能力的注册认证装置包括远程单元。在一些实施例中,该装置包括发射器,发射器向第一网络设备发送注册请求消息,注册请求消息包括针对用于注册的能力的指示。在各种实施例中,该装置包括从第二网络设备接收请求的接收器。该请求对应于用于注册的认证过程类型。在某些实施例中,发射器向第二网络设备发送对请求的响应,并且该响应对应于远程单元中存储的凭证。
附图说明
将参考附图中示出的具体实施例对上面简要描述的实施例进行更具体的描述。应理解,这些附图仅描述了一些实施例,因此不应被视为对范围的限制,将通过使用附图以额外的具体性和细节描述和解释实施例,其中:
图1是示出用于基于能力的注册认证的无线通信系统的一个实施例的示意性框图;
图2是示出可用于基于能力的注册认证的装置的一个实施例的示意性框图;
图3是示出可用于基于能力的注册认证的装置的一个实施例的示意性框图;
图4是示出处于灾难状态的系统的一个实施例的示意性框图;
图5是示出系统的一个实施例的示意性框图,该系统示出了经由PLMN-B中的有限连接接入PLMN-A服务的UE的信号流;
图6A和图6B是示出系统的一个实施例的示意性框图,该系统示出了UE注册到PLMN-B中AMF的信号流,用于UE经由PLMN-B中的有限连接访问PLMN-A服务;
图7是示出用于基于能力的注册认证的方法的一个实施例的流程图;以及
图8是示出用于基于能力的注册认证的方法的另一实施例的流程图。
具体实施方式
如本领域技术人员将理解的,实施例的各方面可以体现为系统、装置、方法或程序产品。因此,实施例可以采取完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)的形式或者本文通常称之为“电路”、“模块”或“系统”的结合软件和硬件方面的实施例。此外,实施例可以采用存储机器可读代码、计算机可读代码和/或程序代码(以下称为代码)的一个或多个计算机可读存储设备中的程序产品的形式被实施。存储设备可以是有形的、非暂时性的和/或非传输性的。存储设备可能不包含信号。在特定实施例中,存储设备仅使用信号来访问代码。
为了更具体地强调功能单元的实现独立性,本说明书中描述的特定功能单元可被标记为模块。例如,模块可以作为硬件电路实现,包括定制的超大规模集成(“VLSI”)电路或门阵列、现成的半导体,例如逻辑芯片、晶体管或其他分立组件。模块也可以在可编程硬件设备中实现,例如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等。
模块也可以在代码和/或软件中实现,以供各种类型的处理器执行。例如,所识别的代码模块可以包括一个或多个可执行代码的物理或逻辑块,其可以例如被组织为对象、过程或功能。尽管如此,所识别模块的可执行文件不需要物理上位于一起,而是可以包括存储在不同位置的不同指令,当这些指令在逻辑上结合在一起时,包括该模块并实现该模块的既定目标。
实际上,一个代码模块可以是单个指令,或者多个指令,并且甚至可以分布在多个不同的代码段、不同的程序和多个存储设备上。类似地,操作数据可以在本文的模块中被识别和说明,并且可以以任何适当的形式被体现并在任何适当类型的数据结构中被组织。操作数据可以作为单个数据集被收集,或者可以分布在不同的位置,包括不同的计算机可读存储设备。当模块或模块的一部分以软件实现时,软件部分被存储在一个或多个计算机可读存储设备上。
可以利用一种或多种计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是,例如但不限于,电子、磁、光、电磁、红外、全息、微机械或半导体系统、装置或设备,或前述的任何适当组合。
存储设备的更具体示例(非穷尽列表)将包括以下内容:具有一条或多条电线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式光盘只读存储器(“CD-ROM”)、光存储设备、磁存储设备或前述各项的任何适当组合。在本文件的上下文中,计算机可读存储介质可以是能够包含或存储由指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合使用的程序的任何有形介质。
用于执行实施例的操作的代码可以是任意数量的行,并且可以以一种或多种编程语言(包括面向对象的编程语言,例如Python、Ruby、Java、Smalltalk、C++等)和常规过程编程语言(诸如“C”编程语言等)和/或机器语言(诸如汇编语言)的任意组合来编写。代码可以完全在用户计算机上执行、部分在用户计算机上执行、作为独立的软件包执行、部分在用户计算机上执行部分在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络连接到用户的计算机,包括局域网(“LAN”)或广域网(“WAN”),或者可以连接到外部计算机(诸如使用互联网服务提供商通过互联网)的连接。
在本说明书中,对“一个实施例”、“实施例”或类似语言的引用表明结合该实施例描述的特定特征、结构或特性包含在至少一个实施例中。因此,除非另有明确说明,否则在本说明书中出现的短语“在一个实施例中”、“在实施例中”和类似语言可以但不一定都指相同的实施例,而是指“一个或多个但并非所有实施例”。除非另有明确规定,术语“包括”、“包含”、“具有”及其变体指“包括但不限于”。除非另有明确规定,列举的项目清单并不意味着任何或所有项目相互排斥。除非另有明确规定,术语“一个(a)”、“一个(an)”和“该(the)”也指“一个或多个”。
此外,所述实施例的特征、结构或特性可以以任何合适的方式组合。在以下描述中,提供了许多具体细节,例如编程、软件模块、用户选择、网络交易、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例,以提供对实施例的透彻理解。然而,相关领域的技术人员将认识到,实施例可以在没有一个或多个特定细节的情况下实施,或者使用其他方法、组件、材料等实施。在其他情况下,未详细展示或描述已知的结构、材料或操作,以避免难以理解实施例的各个方面。
以下参考根据实施例的方法、装置、系统和程序产品的示意性流程图和/或示意性框图来描述实施例的各个方面。应当理解,示意性流程图和/或示意性框图的每个框以及示意性流程图和/或示意性框图中框的组合可以通过代码实现。该代码可被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,以便经由计算机或其他可编程数据处理装置的处理器执行的指令,创建用于实现示意性流程图和/或示意性框图的一个或多个框中指定的功能/动作的部件。
代码也可以存储在存储设备中,该存储设备可以指示计算机、其他可编程数据处理装置或其他设备以特定方式运行,使得存储在存储设备中的指令产生包括实现在示意性流程图和/或示意性框图的一个框或多个框中指定的功能/动作的指令的工业制品。
代码也可以被加载到计算机、其他可编程数据处理装置或其他设备上,以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤,从而产生计算机实现的过程,以便在计算机或其他可编程装置上执行的代码提供用于实现在流程图和/或框图的一个框或多个框中指定的功能/动作的过程。
图中的示意性流程图和/或示意性框图示出了根据各种实施例的装置、系统、方法和程序产品的可能实现的架构、功能和操作。在这方面,示意性流程图和/或示意性框图中的每个框可以表示代码的模块、片段或部分,其包括用于实现特定逻辑功能的代码的一个或多个可执行指令。
还应注意的是,在一些替代的实施方式中,框中标注的功能可以出现在图中标注的顺序之外。例如,根据所涉及的功能,连续显示的两个块实际上可以基本上同时被执行,或者这些块有时可以以相反的顺序被执行。可以设想在功能、逻辑或效果上等同于所示图的一个或多个框或其部分的其他步骤和方法。
尽管在流程图和/或框图中可以采用各种箭头类型和线条类型,但它们不应被理解为限制相应实施例的范围。实际上,一些箭头或其他连接器可以仅用于指示所描述的实施例的逻辑流程。例如,箭头可以指示所描述的实施例的枚举步骤之间的未指定持续时间的等待或监测期间。还应注意,框图和/或流程图的每个框以及在框图和/或流程图中框的组合,可能由执行特定功能或动作的基于专用硬件的系统或专用硬件和代码的组合来实现。
各图中元素的描述可参考流程图中的元素。在所有图中,类似的数字指代类似的元素,包括类似元素的备选实施例。
图1描述了用于基于能力的注册认证的无线通信系统100的实施例。在一个实施例中,无线通信系统100包括远程单元102和网络单元104。尽管图1中描述了特定数量的远程单元102和网络单元104,但是本领域技术人员将认识到,无线通信系统100中可以包括任何数量的远程单元102和网络单元104。
在一个实施例中,远程单元102可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(诸如连接到互联网的电视)、机顶盒、游戏控制台、安全系统(包括安全摄像机)、车载计算机、网络设备(诸如路由器、开关、调制解调器)、空中飞行器、无人机等。在一些实施例中,远程单元102包括可穿戴设备,诸如智能手表、健身手环、光学头戴式显示器等。此外,远程单元102可被称为订户单元、移动通讯、移动站、用户、终端、移动终端、固定终端、订户站、UE、用户终端、设备或本领域中使用的其他术语。远程单元102可经由UL通信信号直接与网络单元104中的一个或多个网络单元104通信。在某些实施例中,远程单元102可以经由侧链路通信直接与其他远程单元102通信。
网络单元104可以分布在地理区域上。在特定实施例中,网络单元104还可以指和/或可以包括以下一项或多项:接入点、接入终端、基地、基站、位置服务器、核心网络(“CN”)、无线电网络实体、节点B、演进节点B(“eNB”)、5G节点B(“gNB”)、归属节点B、中继节点、设备、核心网络、空中服务器、无线电接入节点、接入点(“AP”)、新无线电(“NR”)、网络实体,接入和移动性管理功能(“AMF”)、统一数据管理(“UDM”)、统一数据存储库(“UDR”)、UDM/UDR、策略控制功能(“PCF”)、无线电接入网络(“RAN”)、网络切片选择功能(“NSSF”)、操作、管理(administration)和管理(management)(“OAM”)、会话管理功能(“SMF”)、用户平面功能(“UPF”)、应用功能、认证服务器功能(“AUSF”)、安全锚功能(“SEAF”)、可信非3GPP网关功能(“TNGF”),或者本领域使用的其他术语。网络单元104一般是无线电接入网络的一部分,该无线电接入网络包括一个或多个可通信地耦合到一个或多个相应网络单元104的控制器。无线电接入网络一般可通信地耦合到一个或多个核心网络,核心网络可以耦合到其他网络,诸如互联网和公共交换电话网络等。无线电接入和核心网络的这些和其他元素未被示出,但是本领域普通技术人员一般熟知。
在一个实施方式中,无线通信系统100符合第三代合作伙伴计划(“3GPP”)中标准化的NR协议,其中网络单元104发送在下行链路(“DL”)上使用OFDM调制方案,远程单元102发送在上行链路上使用单载波频分多址(“SC-FDMA”)方案或正交频分复用(“OFDM”)方案。然而,更一般地,无线通信系统100可以实现一些其他开放或专有的通信协议,例如,WiMAX、电气与电子工程师协会(“IEEE”)802.11变体、全球移动通信系统(“GSM”)、通用分组无线服务(“GPRS”)、通用移动电信系统(“UMTS”)、长期演进(“LTE”)变体、码分多址2000(“CDMA2000”)、蓝牙、紫蜂(ZigBee)、Sigfox等协议。本公开不旨在限制任何特定无线通信系统架构或协议的实现。
网络单元104可以经由无线通信链路服务于服务区域内的多个远程单元102,例如小区或小区扇区。网络单元104发送DL通信信号,以在时间、频率和/或空间域中服务远程单元102。
在各种实施例中,远程单元102可以从远程单元向第一网络设备发送包括针对用于注册的能力的指示的注册请求消息。在一些实施例中,远程单元102可以从第二网络设备接收请求。该请求对应于用于注册的认证过程类型。在某些实施例中,远程单元102可以向第二网络设备发送对请求的响应。该响应对应于远程单元中存储的凭证。因此,远程单元102可被用于基于能力的注册认证。
在某些实施例中,网络单元104可以在第二网络设备处从第一网络设备接收针对用于注册的能力的指示。在一些实施例中,网络单元104可以向第三网络设备发送用于注册的认证过程类型的第一请求。在某些实施例中,网络单元104可以向远程单元发送第二请求。第二请求对应于用于注册的认证过程的类型。在各种实施例中,网络单元104可以从远程单元接收对第二请求的响应。该响应对应于远程单元中存储的凭证。因此,网络单元104可以被用于基于能力的注册认证。
图2描述了可用于基于能力的注册认证的装置200的一个实施例。装置200包括远程单元102的一个实施例。此外,远程单元102可以包括处理器202、存储器204、输入设备206、显示器208、发射器210和接收器212。在一些实施例中,输入设备206和显示器208被组合成单个设备,诸如触摸屏。在特定实施例中,远程单元102可以不包括任何输入设备206和/或显示器208。在各种实施例中,远程单元102可以包括处理器202、存储器204、发射器210和接收器212中的一个或多个,并且可以不包括输入设备206和/或显示器208。
在一个实施例中,处理器202可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器202可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或类似的可编程控制器。在一些实施例中,处理器202执行存储在存储器204中的指令,以执行本文描述的方法和例行程序。处理器202被通信地耦合到存储器204、输入设备206、显示器208、发射器210和接收器212。
在一个实施例中,存储器204是计算机可读存储介质。在一些实施例中,存储器204包括易失性计算机存储介质。例如,存储器204可以包括RAM,包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器204包括非易失性计算机存储介质。例如,存储器204可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器204包括易失性和非易失性计算机存储介质二者。在一些实施例中,存储器204还存储程序代码和相关数据,例如在远程单元102上运行的操作系统或其他控制器算法。
在一个实施例中,输入设备206可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备206可以与显示器208集成,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备206包括触摸屏,使得可以使用触摸屏上显示的虚拟键盘和/或通过触摸屏上的手写输入文本。在一些实施例中,输入设备206包括两个或更多个不同的设备,例如键盘和触摸面板。
在一个实施例中,显示器208可以包括任何已知的电子可控显示器或显示设备。显示器208可被设计成输出视觉、听觉和/或触觉信号。在一些实施例中,显示器208包括能够向用户输出视觉数据的电子显示器。例如,显示器208可以包括但不限于液晶显示器(“UCD”)、发光二极管(“UED”)显示器、有机发光二极管(“OLED”)显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,显示器208可以包括可穿戴显示器,例如智能手表、智能眼镜、平视显示器等。此外,显示器208可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表盘等的组件。
在某些实施例中,显示器208包括用于产生声音的一个或多个扬声器。例如,显示器208可以产生可听见的警报或通知(诸如嘟嘟声或铃声)。在一些实施例中,显示器208包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,显示器208的全部或部分可以与输入设备206集成。例如,输入设备206和显示器208可以形成触摸屏或类似的触敏显示器。在其他实施例中,显示器208可以位于输入设备206附近。
在某些实施例中,发射器210向第一网络设备发送包括针对用于注册的能力的指示的注册请求消息。在各种实施例中,接收器212从第二网络设备接收请求。该请求对应于用于注册的认证过程类型。在某些实施例中,发射器210向第二网络设备发送对请求的响应,并且该响应对应于远程单元中存储的凭证。
虽然仅示出了一个发射器210和一个接收器212,但是远程单元102可以具有任何合适数量的发射器210和接收器212。发射器210和接收器212可以是任何合适类型的发射器和接收器。在一个实施例中,发射器210和接收器212可以是收发器的一部分。
图3描述了可用于基于能力的注册认证的装置300的一个实施例。装置300包括网络单元104的一个实施例。此外,网络单元104可以包括处理器302、存储器304、输入设备306、显示器308、发射器310和接收器312。可以看出,处理器302、存储器304、输入设备306、显示器308、发射器310和接收器312,可以相应地与远程单元102的处理器202、存储器204、输入设备206、显示器208、发射器210和接收器212基本相似。
在某些实施例中,接收器312从第一网络设备接收针对用于注册的能力的指示。在各种实施例中,发射器310:向第三网络设备发送用于注册的认证过程的类型的第一请求;以及向远程单元发送第二请求。第二请求对应于用于注册的认证过程的类型。在某些实施例中,接收器312从远程单元接收对第二请求的响应。该响应对应于远程单元中存储的凭证。
应当注意,本文描述的一个或多个实施例可以组合成单个实施例。
在某些实施例中,第五代(“5G”)系统(“5GS”)具有高可靠性和高可用性通信服务。这些特征可用于任何类型的订户,并且在网络的一部分不可用的情况下。具体地,无线电接入网络(“RAN”)可能存在单点故障(诸如天线塔、单个功率,或前传或回程的通信电缆),因此可能发生由于某些极端状态,一个或多个小区变得不可用的情况。这样的状态可称为灾难状态(诸如本文中使用的“DisasC”)。
在一些实施例中,在灾难状态下,一些订户可能不在网络覆盖范围内。为了提供对一般公共服务和特定垂直服务的访问,订户可以使用不在优选网络列表中、或甚至在禁止网络列表中的另一个网络的服务。
图4是示出用于灾难状态的系统400的一个实施例的示意性框图。系统400包括处于灾难状态区域404中的用户设备(“UE”)402(诸如灾难入站漫游器),区域404进一步在第一公共陆地移动网络(“PLMN”)406RAN(PLMN-A)内,PLMN-A与PLMN-A核心网络(“CN”)408通信,第二PLMN 410RAN(PLMN-B)与PLMN-BCN 412通信。
具体地,图4展示了与本文档对应的场景。UE 402是PLMN-A 406的订户(或者可以漫游到被访问的PLMN-A)。由于灾难状态,UE 402可能在PLMN-A 406的RAN覆盖范围之外,但在PLMN-B 410的覆盖范围内。PLMN-B 410不在UE 402的优选PLMN列表中,或PLMN-B 410在禁止PLMN列表中。
由于灾难状态,UE 402选择PLMN-B 410网络,并且可能能够向PLMN-B 410注册。这种UE 402被描述为灾难入站漫游器。UE 402业务如何到达公共服务可能有两个选项:1)本地疏导(“LBO”)业务;和2)归属路由(“HR”)业务。UE 402应当能够使用来自归属网络(诸如PLMN-A 406)的语音和/或短消息服务(“SMS”)服务。此外,假设支持HR业务。
由于PLMN-A 406和PLMN-B 410不是漫游合作伙伴,因此假设不存在预设的符合标准的漫游接口。然而,PLMN-B 410可能知道DisasC发生在PLMN-A 406网络。
在一些实施例中,在PLMN-A和PLMN-B之间存在接口时,UE可以在PLMN-A中使用订阅的服务(诸如语音、SMS、数据),以及如何在UE仍被允许连接到PLMN-A的情况下适当限制UE的接入。
图5是示出系统500的一个实施例的示意性框图,系统500展出了经由PLMN-B中的有限连接访问PLMN-A服务的UE的信号流。系统500包括UE 502、RAN 504、第一AMF 506、SMF508、UPF 510、非3GPP互通功能(“N3IWF”)512和第二AMF 514。UE 502、RAN504、第一AMF506、SMF 508和UPF 510可以是PLMN-B的一部分。此外,N3IWF 512和第二AMF 514可以是PLMN-A的一部分。系统500中的每个通信可以包括一个或多个消息。
UE 502可以为DisasC执行网络选择516。在第一次通信518中,可能存在针对DisasC的无线电资源控制(“RRC”)连接请求。此外,在第二次通信520中,可能存在非接入层(“NAS”)注册请求(诸如包括初始、SUCI、PLMN-A ID、DisasC)。此外,在第三次通信522中,在UE 502和PLMN-B之间可能存在没有主认证、NAS和/或UP安全的灾难注册过程。在第四次通信524中,存在注册接受(诸如仅允许有限的DisasC协议数据单元(“PDU”)会话)。此外,在第五次通信526和第六次通信528中,存在PDU会话建立请求(诸如针对DisasC)。此外,在第七次通信530中,仅允许向PLMN-A的N3IWF业务。
在第八次通信532中,发送PDU会话接受(诸如受限访问,PLMN-A的N3IWF)。此外,在第九次通信534中,存在IPsec隧道建立、经由不受信任的非3GPP接入PLMN-A的注册、注册请求(诸如初始注册、源PLMN-A)和注册接受。此外,在第十次通信536和第十一次通信538中,可以发送IPsec消息的UE成功建立。第一AMF 506然后确定540保留或注销UE 502。
在图5中,在UE 502失去了在PLMN-A的RAN覆盖范围,并且在优选和/或允许的PLMN列表中找不到任何合适的小区之后。基于在PLMN-B小区的SI中广播的指示,UE 502确定PLMN-A经历DisasC。UE 502应用针对DisasC的网络选择过程。作为结果,UE 502选择在来自PLMN-B的小区上驻留。在由于DisasC建立RRC连接后,AMF可以发起与UE的安全交换,而不是与AUSF的主认证。由于未执行与AUSF的主认证,PLMN-B中的AMF可能会受到恶意UE的攻击。恶意UE还可以包括指示符,表明其先前已在PLMN-A注册,但未将SUCI的PLMN ID部分设置为PLMN-A作为归属PLMN(“HPLMN”)。因此,可能存在机制来避免恶意UE对在PLMN-B中的AMF的攻击。
在一些实施例中,如果由于PLMN-A和PLMN-B之间的漫游接口不存在,而无法对UE执行主认证,则PLMN-B能够认证UE。此外,在各种实施例中,可以使用PLMN-B中的UE的计费方面。
在某些实施例中,PLMN-B知道在PLMN-A发生了DisasC,并且PLMN-B已被配置为对应于DisasC的区域,这意味着RAN区域和一些AMF知道PLMN-A中的DisasC。在这样的实施例中,假设UE能够区分PLMN-B的网络选择为正常选择或由于DisasC的选择。换句话说,UE可以区分由于灾难漫游引起的注册请求和正常的注册请求。
在一些实施例中,PLMN-B可以了解到PLMN-A发生了灾难,并配置RAN实体,以开始在系统信息(“SI”)中广播来自PLMN-A的UE由于DisasC可能在PLMN-B中被服务。诸如PLMN-B的OAM系统可以被通知关于在PLMN-A的特定区域中的DisasC。OAM系统可以配置RAN实体,以广播来自PLMN-A的UE由于PLMN-A中的DisasC而可以使用PLMN-B通信服务的指示。
在各种实施例中,UE被预配置或配置有针对DisasC(诸如PLMN-B)的备份网络的证书。如果UE试图向PLMN-B注册,则UE在认证和安全程序中使用证书用于以下至少一个目的:1)PLMN-B能够认证UE;以及2)UE能够认证PLMN-B。
在某些实施例中,网络(诸如PLMN-B或其他网络)证书可以通过以下一种方式在UE中进行预配置或配置:1)由PLMN-A在UE的全球订户识别卡(“USIM”)配置文件中存储或更新,用于订阅PLMN-A;和/或2)在UE的ME部分存储或更新。PLMN-A可以为多个PLMN配置一个或多个证书。在这样的实施例中,每个证书与网络标识符(诸如PLMN ID或独立非公共网络(“SNPN”)ID)相关联。PLMN-A可将USIM更新协议、UE参数更新程序(诸如由UDM触发)或其他适用于此目的的程序用于证书的配置。
在一些实施例中,来自经历DisasC的PLMN-A的UE可以选择PLMN-B并向PLMN-B注册。需要UE预配置UE证书以及可用于验证server_certificate的证书(诸如PLMN-B的证书)。需要PLMN-B中的AUSF预配置AUSF证书,以及可用于验证客户(诸如UE)证书的证书。
图6A和图6B是示出系统600的一个实施例的示意性框图,该系统600展示了UE注册到PLMN-B中AMF的信号流,用于UE经由PLMN-B中的有限连接访问PLMN-A服务。系统600包括UE 602、RAN 604、第一AMF 606(和/或SEAF)、SMF 608、AUSF 610、UDM 612、CHF 614、UPF616、N3IWF 618,以及第二AMF620。UE 602、RAN 604、第一AMF 606、SMF 608、AUSF 610、UDM612、CHF 614和UPF 616是PLMN-B的一部分。此外,N3IWF 618和第二AMF 620是PLMN-A的一部分。系统600中的通信中的每一通信可以包括一个或多个消息。
UE 602失去了在PLMN-A的覆盖范围,并且无法从优选和/或允许的PLMN列表中找到任何合适的小区。基于PLMN-B小区的SI中广播的指示,UE 602确定622PLMN-A经历DisasC。UE 602针对DisasC应用网络选择程序。因此,UE选择在来自PLMN-B的小区上驻留。
通知UE 602NAS层关于发现的PLMN-B小区。NAS层在PLMN-B创建并发出NAS注册请求消息。NAS层触发AS层以建立RRC连接,并指示该连接是由于DisasC。这样,NAS层可以进入DisasC情况下特有的注册子状态。
在第一次通信624中,UE 602中的RRC实体发出包括DisasC指示的RRC连接请求消息。在RAN节点上可使用该指示,以应用特定于DisasC UE的接入控制或接入许可。另外,RAN节点可以使用该指示以选择被配置为服务DisasC UE的特定AMF。
在第二次通信626中,NAS注册请求消息包括基于HPLMN订阅永久标识符(“SUPI”)的订阅隐藏标识符(“SUCI”)和凭证,因为UE 602不知道PLMN-B是否具有与HPLMN的漫游接口以及是否可以应用主网络认证。如果UE 602先前在其HPLMN中注册,则SUCI的PLMN ID部分将包含HPLMN ID,并且UE 602不需要包括进一步的指示。然而,如果PLMN-A不是HPLMN,则UE 602可以包括PLMN-A名称(诸如UE 602经历DisasC的源PLMN)。另外,由于UE 602可能不知道PLMN-B具有与HPLMN的漫游接口,因此不知道是否可以执行主网络认证,因此UE 602可以包括注册是由于DisasC的指示、以及UE 602具有传输层安全(“TLS”)可扩展认证协议(“EAP”)(“TLS-EAP”,“EAP-TLS”)能力的指示。
在第三次通信628、第四次通信630、第五次通信632、第六次通信634、第七次通信636、第八次通信638、第九次通信640、第十次通信642、第十一次通信644、第十二次通信646、第十三次通信648、第十四次通信650、第十五次通信652、第十六次通信654和/或第十七次通信656中,基于注册是由于DisasC和到PLMN-A的漫游接口丢失的指示、以及UE 602具有TLS-EAP能力的指示,PLMN-B的第一AMF 606决定基于TLS-EAP为DisasC申请本地注册。第一AMF 606可以根据在SUCI的PLMN ID决定是否接受UE 602以执行注册。如果HPLMN不是PLMN-A,并且UE 602先前未在PLMN-A注册,但已包含针对PLMN-A的指示,则第一AMF 606可根据该指示决定是否接受UE 602执行注册。需要注意的是,可能存在恶意UE向PLMN-A错误指示的风险。可能需要以下项来消除恶意UE:a)(诸如步骤628)如果第一AMF 606确定继续进行注册请求,则第一AMF 606可以发送EAP请求身份以请求UE 602的身份;
b)(诸如步骤630、632、634)UE 602可以从client_certificate发送其对等体身份(“Peer ID”),该对等体身份可能符合网络访问标识符(“NAI”)的语法,其具有:为Peer ID指定的用户名部分,以及设置为“nai.5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org”的领域,其中<MNC>和<MCC>识别PLMN-A,或识别PLMN-A的运算域-第一AMF 606可以在Nausf_UEAuthentication_Authenticate请求消息中向AUSF 610转发身份EAP响应-第一AMF 606充当直通代理,而AUSF 610充当后端服务器-如果使用具有隧道模式的EAP方法,在与后端服务器建立隧道后发送Peer ID;
c)(诸如步骤636、638、640),具有所接收的Peer ID和指示,该指示为认证是由于DisasC,AUSF 610选择EAP-TLS作为认证方法-使用EAP-TLS的选择可由AUSF 610向UDM 612查询认证方法来做出,并且包括认证是由于DisasC的指示-AUSF 610向第一AMF 606发出包含EAP-请求和/或EAP-TLS(TLS开始)消息的Nausf_UEAuthentication_Authenticate响应消息,第一AMF 606向UE 602转发在EAP请求消息中的EAP-请求和/或EAP-TLS(TLS开始)用于认证目的-该消息可以包括ngKSI和ABBA参数-参数ngKSI可被UE 602和第一AMF 606用于识别如果认证成功而创建的部分本地安全上下文-第一AMF 606可设置ABBA参数-在EAP认证过程中,ngKSI的值和第一AMF 606向UE 602发出的ABBA参数不可改变;
d)(诸如步骤642、644)EAP-TLS对话可通过由UE向AUSF 610发送EAP-类型=EAP-TLS的EAP-响应分组而开始-该分组的数据字段可封装一个或多个TLS记录,TLS记录包括TLS client_hello握手消息;
e)(诸如步骤646、648)AUSF 610可以响应具有EAP-类型=EAP-TLS的EAP-请求分组的UE 602-该分组的数据字段可以封装一个或多个TLS记录,TLS记录包括TLS server_hello握手消息,之后可能是server_certificate、server_key_exchange、certificate_request、server_hello_done、已完成的握手消息,和/或TLS change_cipher_spec消息-可以包括certificate_request消息,以请求UE经由公钥验证自身。
f)(诸如步骤650、652)UE 602用所接收的消息来认证服务器-UE 602可以用EAP-类型=EAP-TLS的EAP-响应分组,来响应AUSF 610EAP-请求,EAP-响应分组具有封装一个或多个TLS记录的数据字段,TLS记录包含TLS client_key_exchange、change_cipher_spec、client_certificate、certificate_verify消息和已完成的消息-UE 602签名公钥证书,而certificate_verify消息包含UE 602向第一AMF 606的签名认证响应;以及
g)(例如步骤654、656)AUSF 610基于所接收的消息,认证UE 602-AUSF 610可以验证由UE 602提供的client_certificate属于由Peer ID标识的订户-如果Peer ID中的订户标识符不匹配,则AUSF 610不接受client_certificate-如果AUSF 610已经成功验证了该消息,则AUSF 610可以发送EAP-Success,否则其可以向UE 602返回EAP-失败。
AUSF 610可以使用扩展主会话密钥(“EMSK”)的最高有效256位作为KAUSF,然后可以从KAUSF计算KSEAF-AUSF 910向第一AMF 606发出EAP-Success消息,以及Nausf_UEAuthentication_Authenticate响应中的Peer ID和得出的锚密钥。
在第十八次通信658和/或第十九次通信660中,第一AMF 606可以继续注册过程并且执行NAS安全模式命令(“SMC”)过程(诸如使用得出的密钥)。在成功的相互认证(例如UE602基于预配置的证书认证PLMN-B,而PLMN-B认证UE 602)之后,UE可以经由加密的NAS消息将其订户ID(诸如SUPI)发给第一AMF 606。为此,第一AMF 606可以向UE 602请求订户ID。第一AMF 606可存储UE 602的SUPI,并将其用于与在PLMN-B中的其他网络功能(“NF”)(例如与SMF 608)的信令交换。在一个实施例中,代替预先配置DisasC UE的移动性管理策略,在DisasC的情况下,PLMN-B可以具有与各种其他网络不同的协议。PLMN-B中的UDM 612可以是特定的UDM,可以存储特定于PLMN-A或来自PLMN-A的一组订户的订阅数据。在这种情况下,第一AMF 606可以使用SUPI来选择PLMN-B中的UDM,并从UDM 612获取订阅数据。
在第二十次通信662中,第一AMF 606可在成功建立TLS会话后,向UE 602发送注册接受消息,该消息包括被允许的网络切片选择辅助信息(“NSSAI”),该信息可包括识别特定于DisasC服务的网络切片的单个(“S”)(“S-NSSAI”)。UE 602可以使用S-NSSAI请求PDU会话。另外,第一AMF 606可能指示该注册仅允许有限的DisasC PDU会话。可在UE 602中使用该指示,以内部阻止请求移动发起(“MO”)通信的一些应用,但允许特定应用(例如N3IWF客户端)请求MO通信。UE 602NAS还可以使用“仅限(多个)DisasC PDU会话”指示,以触发更高层发起对HPLMN(诸如PLMN-A)的不可信的非3GPP接入。
在第二十一次通信664和第二十二次通信666中,UE 602向网络发出NAS会话管理(“SM”)PDU会话建立请求。UE 602可以在NAS SM消息或NAS MM消息(例如携带NAS SM消息)中指示PDU会话是针对DisasC的。
如果第一AMF 606接收用于PDU会话建立的NAS SM消息,则第一AMF 606应用DisasC配置数据(或特定的S-NSSAI)选择适当的SMF。第一AMF 606可在N11消息中(例如在Nsmf_PDUSession_CreateSMContext请求中)向SMF 608附加以下指示:1)用于DisasC以通知SMF 608DisasC应该适用的指示;和/或2)由于SUPI未被用作订户ID,第一AMF 606可包括PLMN-A ID,作为向SMF 608的指示,以知道该UE 602属于哪个PLMN ID。SMF 608可以应用针对DisasC的本地配置数据和来自第一AMF 606的附加指示。SMF 608可决定仅对PLMN-A中的目的地地址应用有限的数据连接。例如,SMF 608基于PLMN-A N3IWF地址得出被允许的目的地地址和/或互联网协议(“IP”)前缀。
在第二十三次通信668中,SMF 608经由N4程序执行UPF配置。SMF 608可以向UPF616发出所得出的连接性限制(例如允许的目的地地址和/或IP前缀)。UPF 606对MO业务应用所配置的限制。
在第二十四次通信670中,SMF 608使用从第一AMF 606接收的SUPI作为与计费功能(“CHF”)614进行信令交换的密钥,并为该UE 602生成计费数据记录(“CDR”)。在一个实施例中,代替为DisasC UE预先配置策略和会话数据,在DisasC的情况下,PLMN-B可以与各种其他网络具有不同的协议。PLMN-B中的UDM(可能是特定的UDM)可以存储特定于PLMN-A或来自PLMN-A的一组订户的订阅数据。在这种情况下,SMF 608可以使用SUPI来选择PLMN-B中的UDM,并从UDM获取订阅数据。
在第二十五次通信672中,SMF 608向UE 602发出NAS SM PDU会话建立接受消息。该消息可能表明PDU会话上的数据连接限定于PLMN-A的N3IWF 618。如果不需要与HPLMN进行额外的认证,则该过程可在此处停止,取决于服务等级协议(“SLA”),并且UE 602可访问不同的运营商服务或仅访问受限的IP连接。
在第二十六次通信674和第二十七次通信676中,UE 602在内部触发发现,并连接到PLMN-A的N3IWF 618。UE 602启动与N3IWF 618的IPsec隧道建立过程。
在第二十八次通信678、第二十九次通信680、第三十次通信682和/或第三十一次通信684中,在与N3IWF 618成功建立IPsec隧道(例如安全关联)后,UE 602向PLMN-A发出注册请求消息,作为通过不可信的非3GPP接入的注册过程的一部分。由于UE 602知道向PLMN-B的注册是由于DisasC,所以UE 602可以额外地包括源PLMN ID(诸如PLMN-B ID),以向PLMN-A指示哪个PLMN用于有限的注册和数据连接。PLMN-A可以使用该指示来计算使用PLMN-B服务的UE数量。
在第三十二次通信686和第三十三次通信688中,UPF 616可以确定UE和N3IWF之间的IPsec隧道建立是否成功。例如,UPF 616可以采用深度分组检查或检查传入(诸如下行链路)分组的源地址。UPF 616可以验证传入分组是否来自与UPF 616对传出(诸如上行链路)分组进行过滤的相同的源。在UPF 616已经确定在UE 602和N3IWF 618之间成功建立了IPsec之后,UPF 616可以通知SMF 608。SMF 608可以将该指示转发给第一AMF 606(例如经由N11消息)。
在第一AMF 606中使用针对成功建立IPsec的指示,来验证690UE 602是否真正连接到PLMN-A,或者是否注册已经被错误地指示DisasC的UE滥用。如果第一AMF 606未接收到UPF 616和/或SMF 608关于成功建立IPsec的指示,则第一AMF 606可使用向UE 602的传输,启动注销过程。
图7是示出用于基于能力的注册认证的一个实施例的方法700的流程图。在一些实施例中,方法700由装置执行,诸如网络单元104。在某些实施例中,方法700可由执行程序代码的处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
在各种实施例中,方法700包括在第二网络设备处从第一网络设备接收702针对用于注册的能力的指示。在一些实施例中,方法700包括向第三网络设备发送704用于注册的认证过程的类型的第一请求。在某些实施例中,方法700包括向远程单元发送706第二请求。第二请求对应于用于注册的认证过程类型。在各种实施例中,方法700包括从远程单元接收708对第二请求的响应。该响应对应于远程单元中存储的凭证。
在某些实施例中,注册对应于灾难状态。在一些实施例中,存储的凭证由第四网络设备更新,并且第四网络设备处于灾难状态。在各种实施例中,远程单元包括用户设备。
在一个实施例中,第一网络设备包括接入和移动性管理功能(AMF)。在某些实施例中,第二网络设备包括认证服务器功能(AUSF)。
在一些实施例中,第三网络设备包括统一数据管理(UDM)。在各种实施例中,用于注册的能力是认证协议。
图8是示出用于基于能力的注册认证的另一实施例的方法800的流程图。在一些实施例中,方法800由装置执行,诸如远程单元102。在某些实施例中,方法800可由执行程序代码的处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
在各种实施例中,方法800包括从远程单元向第一网络设备发送802包括针对用于注册的能力指示的注册请求消息。在一些实施例中,方法800包括从第二网络设备接收804请求。该请求对应于针对注册的认证过程类型。在某些实施例中,方法800包括向第二网络设备发送806对请求的响应。该响应对应于远程单元中存储的凭证。
在某些实施例中,注册对应于灾难状态。在一些实施例中,存储的凭证由第四网络设备更新,并且第四网络设备处于灾难状态。在各种实施例中,第四网络设备是灾难状态下的接入和移动性管理功能(AMF)。
在一个实施例中,远程单元包括用户设备。在某些实施例中,第一网络设备包括接入和移动性管理功能(AMF)。在一些实施例中,第二网络设备包括认证服务器功能(AUSF)。
在一个实施例中,一种装置包括第二网络设备。该装置进一步包括:接收器,其从第一网络设备接收针对用于注册的能力的指示;以及发射器,其向第三网络设备发送用于注册的认证过程的类型的第一请求;并且向远程单元发送第二请求,其中第二请求对应于用于注册的认证过程的类型,其中接收器从远程单元接收对第二请求的响应,其中该响应对应于远程单元中存储的凭证。
在某些实施例中,注册对应于灾难状态。
在一些实施例中,存储的凭证由第四网络设备更新,并且第四网络设备处于灾难状态。
在各种实施例中,远程单元包括用户设备。
在一个实施例中,第一网络设备包括接入和移动性管理功能(AMF)。
在某些实施例中,第二网络设备包括认证服务器功能(AUSF)。
在一些实施例中,第三网络设备包括统一数据管理(UDM)。
在各种实施例中,用于注册的能力是认证协议。
在一个实施例中,第二网络设备的方法包括:从第一网络设备接收针对用于注册的能力的指示;向第三网络设备发送用于注册的认证过程的类型的第一请求;向远程单元发送第二请求,其中第二请求对应于用于注册的认证过程的类型;以及从远程单元接收对第二请求的响应,其中该响应对应于远程单元中存储的凭证。
在某些实施例中,注册对应于灾难状态。
在一些实施例中,存储的凭证由第四网络设备更新,并且第四网络设备处于灾难状态。
在各种实施例中,远程单元包括用户设备。
在一个实施例中,第一网络设备包括接入和移动性管理功能(AMF)。
在某些实施例中,第二网络设备包括认证服务器功能(AUSF)。
在一些实施例中,第三网络设备包括统一数据管理(UDM)。
在各种实施例中,用于注册的能力是认证协议。
在一个实施例中,装置包括远程单元。该装置进一步包括:发射器,其向第一网络设备发送包括针对用于注册的能力的指示的注册请求消息;以及接收器,其从第二网络设备接收请求,其中该请求对应于用于注册的认证过程的类型,其中发射器向第二网络设备发送对该请求的响应,并且该响应对应于远程单元中存储的凭证。
在某些实施例中,注册对应于灾难状态。
在一些实施例中,存储的凭证由第四网络设备更新,并且第四网络设备处于灾难状态。
在各种实施例中,第四网络设备是处于灾难状态下的接入和移动性管理功能(AMF)。
在一个实施例中,远程单元包括用户设备。
在某些实施例中,第一网络设备包括接入和移动性管理功能(AMF)。
在一些实施例中,第二网络设备包括认证服务器功能(AUSF)。
在一个实施例中,远程单元的方法包括:向第一网络设备发送包括针对用于注册的能力的指示的注册请求消息;从第二网络设备接收请求,其中该请求对应于用于注册的认证过程的类型;以及向第二网络设备发送对该请求的响应,其中该响应对应于远程单元中存储的凭证。
在某些实施例中,注册对应于灾难状态。
在一些实施例中,存储的凭证由第四网络设备更新,并且第四网络设备处于灾难状态。
在各种实施例中,第四网络设备是处于灾难状态下的接入和移动性管理功能(AMF)。
在一个实施例中,远程单元包括用户设备。
在某些实施例中,第一网络设备包括接入和移动性管理功能(AMF)。
在一些实施例中,第二网络设备包括认证服务器功能(AUSF)。
实施例可以以其他特定形式实施。所描述的实施例在所有方面均应被视为仅是说明性的而非限制性的。因此,本发明的范围由所附权利要求书而非前述说明书来指示。权利要求的含义和等效范围内的所有变化均应包含在权利要求的范围内。

Claims (15)

1.一种包括第二网络设备的装置,所述装置进一步包括:
接收器,所述接收器从第一网络设备接收针对用于注册的能力的指示;以及
发射器,所述发射器:
向第三网络设备发送用于所述注册的认证过程类型的第一请求;以及
向远程单元发送第二请求,其中所述第二请求对应于用于所述注册的认证过程的所述类型,其中所述接收器从所述远程单元接收对所述第二请求的响应,其中所述响应对应于所述远程单元中存储的凭证。
2.根据权利要求1所述的装置,其中所述注册对应于灾难状态。
3.根据权利要求2所述的装置,其中所述存储的凭证由第四网络设备更新,并且所述第四网络设备处于所述灾难状态。
4.根据权利要求1所述的装置,其中所述远程单元包括用户设备。
5.根据权利要求1所述的装置,其中所述第一网络设备包括接入和移动性管理功能(AMF)。
6.根据权利要求1所述的装置,其中所述第二网络设备包括认证服务器功能(AUSF)。
7.根据权利要求1所述的装置,其中所述第三网络设备包括统一数据管理(UDM)。
8.根据权利要求1所述的装置,其中用于所述注册的所述能力是认证协议。
9.一种第二网络设备的方法,所述方法包括:
从第一网络设备接收针对用于注册能力的指示;
向第三网络设备发送用于所述注册的认证过程类型的第一请求;
向远程单元发送第二请求,其中所述第二请求对应于用于所述注册的认证过程的所述类型;以及
从所述远程单元接收对所述第二请求的响应,其中所述响应对应于所述远程单元中存储的凭证。
10.一种包括远程单元的装置,所述装置进一步包括:
发射器,所述发射器向第一网络设备发送包括针对用于注册的能力的指示的注册请求消息;以及
接收器,所述接收器从第二网络设备接收请求,其中所述请求对应于用于所述注册的认证过程类型,其中所述发射器向所述第二网络设备发送对所述请求的响应,并且所述响应对应于所述远程单元中存储的凭证。
11.根据权利要求10所述的装置,其中所述注册对应于灾难状态。
12.根据权利要求11所述的装置,其中所述存储的凭证由第四网络设备更新,并且所述第四网络设备处于所述灾难状态。
13.根据权利要求12所述的装置,其中所述第四网络设备是处于灾难状态的接入和移动性管理功能(AMF)。
14.根据权利要求10所述的装置,其中所述远程单元包括用户设备。
15.根据权利要求10所述的装置,其中所述第一网络设备包括接入和移动性管理功能(AMF),并且所述第二网络设备包括认证服务器功能(AUSF)。
CN202280021198.4A 2021-03-15 2022-03-14 基于能力的注册认证 Pending CN117044249A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US202163161395P 2021-03-15 2021-03-15
US63/161,395 2021-03-15
PCT/IB2022/052299 WO2022195461A1 (en) 2021-03-15 2022-03-14 Registration authentication based on a capability

Publications (1)

Publication Number Publication Date
CN117044249A true CN117044249A (zh) 2023-11-10

Family

ID=80928602

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202280021198.4A Pending CN117044249A (zh) 2021-03-15 2022-03-14 基于能力的注册认证

Country Status (2)

Country Link
CN (1) CN117044249A (zh)
WO (1) WO2022195461A1 (zh)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG11202100720PA (en) * 2018-08-09 2021-02-25 Nokia Technologies Oy Method and apparatus for security realization of connections over heterogeneous access networks

Also Published As

Publication number Publication date
WO2022195461A1 (en) 2022-09-22

Similar Documents

Publication Publication Date Title
US10993161B2 (en) Authenticating user equipments through relay user equipments
US10798767B2 (en) Method and apparatus for relaying user data between a secure connection and a data connection
US20230209340A1 (en) Method and apparatus for transferring network access information between terminals in mobile communication system
US20230048066A1 (en) Slice authentication method and apparatus
KR20200093086A (ko) 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기
US11789803B2 (en) Error handling framework for security management in a communication system
CN116195362A (zh) 通信网络中的认证
US20230021215A1 (en) Communication Method, Apparatus, and System
TWI828235B (zh) 用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品
US20220272533A1 (en) Identity authentication method and communications apparatus
CN118020330A (zh) 使用应用的认证及密钥管理实现漫游
US20240187856A1 (en) Registration authentication based on a capability
CN117296401A (zh) 建立到移动网络的附加注册
CN115942305A (zh) 一种会话建立方法和相关装置
CN117044249A (zh) 基于能力的注册认证
WO2020208295A1 (en) Establishing secure communication paths to multipath connection server with initial connection over private network
US20240179525A1 (en) Secure communication method and apparatus
WO2024067619A1 (zh) 通信方法和通信装置
US20230102604A1 (en) Slice service verification method and apparatus
WO2021132087A1 (ja) Amfノード及びその方法
WO2023175541A1 (en) Authentication and registration of personal internet of things network elements
JP2024508724A (ja) セルラーネットワークにおけるプロビジョニングサーバの選択
WO2023175461A1 (en) Establishing an application session corresponding to a pin element
CN116569536A (zh) 向网络的应用注册
KR20230048322A (ko) Uas 인증 및 보안 확립

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination