CN117322026A - 用于认证的方法和装置 - Google Patents
用于认证的方法和装置 Download PDFInfo
- Publication number
- CN117322026A CN117322026A CN202280029776.9A CN202280029776A CN117322026A CN 117322026 A CN117322026 A CN 117322026A CN 202280029776 A CN202280029776 A CN 202280029776A CN 117322026 A CN117322026 A CN 117322026A
- Authority
- CN
- China
- Prior art keywords
- authentication
- authentication method
- session management
- entity
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 556
- 238000013475 authorization Methods 0.000 claims abstract description 38
- 230000008569 process Effects 0.000 claims abstract description 28
- 230000006870 function Effects 0.000 claims description 99
- 230000001960 triggered effect Effects 0.000 claims description 24
- 230000004044 response Effects 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 7
- 238000012217 deletion Methods 0.000 claims description 7
- 230000037430 deletion Effects 0.000 claims description 7
- 238000007726 management method Methods 0.000 description 205
- 238000004891 communication Methods 0.000 description 34
- 238000010586 diagram Methods 0.000 description 20
- 230000008901 benefit Effects 0.000 description 16
- 238000005516 engineering process Methods 0.000 description 10
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开的实施例提供了用于认证的方法和装置。一种由会话管理和网关实体执行的方法包括从移动性管理实体接收包括终端设备的标识的创建会话请求。该方法进一步包括确定使用第二认证方法而不是第一认证方法。第二认证方法比第一认证方法具有更高的安全性。该方法进一步包括触发与认证授权和记账AAA服务器相关的第二认证方法的过程。
Description
技术领域
本公开的非限制性和示例性实施例通常涉及通信技术领域,特别涉及用于认证的方法和装置。
背景技术
本部分介绍了可以有助于更好地理解本公开的多个方面。因此,本部分的陈述应从这种角度来阅读,以及不应被理解为关于什么在现有技术中或什么不在现有技术中的承认。
通信服务提供方和网络运营方一直面临着例如通过提供有竞争力的网络服务和性能向消费方提供价值和便利的挑战。随着网络和通信技术的快速发展,诸如长期演进(LTE)/第四代(4G)网络和新无线电(NR)/第五代(5G)网络的无线通信网络预期实现具有更低延迟的高业务容量和高终端用户数据速率。为了满足各种行业对新服务的不同要求,第三代合作伙伴计划(3GPP)正在开发用于各种通信网络的各种网络功能服务。
在无线通信网络中,可以存在各种认证、授权和记账(AAA)过程。例如,3GPPTS29.061V17.1.0的条款16(其公开内容通过引用整体并入本文)描述了在Gi/Sgi接口上的RADIUS(远程认证拨入用户服务)的使用。3GPP TS29.561V17.0.0的条款12(其公开内容通过引用整体并入本文)描述了与DN(数据网络)-AAA(Diameter)的互通。
根据3GPP TS23.501V16.7.0的第5.6.6条(其公开内容通过引用整体并入本文),在PDU(协议数据单元)会话建立期间仅定义了DN-AAA服务器的二次认证/授权。如果UE(用户设备)在PDU会话建立期间提供与DN特定标识相对应的认证/授权信息,则SMF(会话管理功能)基于与DN相关联的SMF策略确定需要PDU会话建立的认证/授权。
对于5GC(5G核心网络),可扩展认证协议(EAP)认证是强制的,因为EAP具有比传统密码认证协议(PAP)或挑战握手认证协议(CHAP)(来自PCO(协议配置选项)的用户名和用户密码)更高的安全性。
传统的PAP/CHA(来自PCO的用户名和用户密码)仍用于4G PDN(分组数据网络)连接设置(包括具有5G能力的4G用户)。对于4G PDN连接,没有定义基于EAP的认证。
发明内容
以简化形式提供本发明内容以介绍选择的构思,以下该构思在详细描述中将被进一步描述。本发明内容既不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
当在通信网络中使用安全性较低的认证方法时,可能会出现一些安全问题。例如,当UE附着到EPS(演进分组系统)时,会发生安全问题。在PDN连接设置期间,UE使用遗留的PAP/CHAP(来自PCO的用户名和用户密码)。没有任何安全性的原始数据在PCO或ePCO(扩展协议配置选项)中传输。
为了在通信网络中提供更高的安全性,提供支持具有更高安全性的认证方法的解决方案可能是期望的。例如,为了给予用于4G PDN连接的更高的安全性,定义在EPS中支持用于4G PDN的EAP连接的解决方案可能是期望的。当对于4G PDN连接支持基于EAP的认证时,从4G到5G的移动性不需要进行重新认证。
在本公开的第一方面中,提供了一种由会话管理和网关实体执行的方法。该方法包括从移动性管理实体接收包括终端设备的标识的创建会话请求。该方法进一步包括确定使用第二认证方法而不是第一认证方法。第二认证方法比第一认证方法具有更高的安全性。该方法进一步包括触发与认证授权和记账(AAA)服务器相关的第二认证方法的过程。
在一个实施例中,该方法进一步包括向AAA服务器发送包括终端设备标识的接入请求。该方法进一步包括从AAA服务器接收包括授权数据的接入接受消息。
在一个实施例中,接入请求进一步包括空的用户名或本地配置的用户名。
在一个实施例中,该方法进一步包括向策略控制功能发送信息,该信息指示与终端设备相关的认证待定。该方法进一步包括从策略控制功能接收默认服务质量QoS信息。
在一个实施例中,第二认证方法的过程是在会话被成功设置后触发的。
在一个实施例中,该方法进一步包括从AAA服务器接收信息,该信息指示第二认证方法成功。该方法进一步包括向策略控制功能发送信息,该信息指示第二认证方法成功。该方法进一步包括从策略控制功能接收至少一个服务策略和计费控制规则。
在一个实施例中,该方法进一步包括向移动性管理实体发送消息,该消息包括指示第二认证方法成功的信息和服务质量(QoS)信息。
在一个实施例中,在第二认证方法的过程期间,在会话管理和网关实体与移动性管理实体之间使用包括具有可扩展认证协议(EAP)消息交换的扩展协议配置选项(ePCO)的至少一个更新承载请求和至少一个更新承载响应。
在一个实施例中,该方法进一步包括确定第二认证方法失败。该方法进一步包括触发会话删除过程。
在一个实施例中,基于以下中的至少一个来确定第二认证方法失败:从AAA服务器接收到指示第二认证方法失败的信息;或者来自移动性管理实体的更新承载响应失败或超时。
在一个实施例中,第二认证方法包括可扩展认证协议(EAP)。
在一个实施例中,第一认证方法包括密码认证协议(PAP)或挑战握手认证协议(CHAP)。
在一个实施例中,基于以下中的至少一个来确定使用第二认证方法而不是第一认证方法:与AAA服务器的协定;被被包括在所述创建会话请求中的至少一个参数;是否应该使用所述第二认证方法的本地配置;AAA服务器的能力;或者终端设备的能力。
在一个实施例中,与AAA服务器的协定包括:用于特定数据网络名称(DNN)或单个网络切片选择辅助信息(S-NSSAI)的与AAA服务器的协定。
在一个实施例中,会话管理和网关实体包括与分组数据网络网关控制面组合的会话管理功能(SMF+PGW-C)。
在一个实施例中,AAA服务器包括数据网络AAA(DN-AAA)服务器。
在一个实施例中,终端设备正在接入第四代(4G)网络。
在一个实施例中,创建会话请求不包括特定于数据网络名称的真实用户名和用户密码。
在本公开的第二方面中,提供了一种由移动性管理实体执行的方法。该方法包括从终端设备接收附着请求。该方法进一步包括向会话管理和网关实体发送包括终端设备的标识的创建会话请求。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,该方法进一步包括从会话管理和网关实体接收消息,该消息包括指示第二认证方法成功的信息和服务质量(QoS)信息。该方法进一步包括向终端设备发送包括信息的消息,该信息指示第二认证方法成功。
在一个实施例中,在第二认证方法的过程期间,在终端设备与移动性管理实体之间使用包括具有可扩展认证协议(EAP)消息交换的扩展协议配置选项(ePCO)的至少一个修改演进分组系统(EPS)承载上下文请求和至少一个修改EPS承载上下文接受。
在一个实施例中,附着请求不包括特定于数据网络名称的真实用户名和用户密码。
在本公开的第三方面中,提供了一种由终端设备执行的方法。该方法包括向移动性管理实体发送附着请求。由会话管理和网关实体触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,该方法进一步包括从移动性管理实体接收包括信息的消息,该信息指示第二认证方法成功。
在本公开的第四方面中,提供了一种由策略控制功能执行的方法。该方法包括从会话管理和网关实体接收信息,该信息指示与终端设备相关的认证待定。该方法进一步包括向会话管理和网关实体发送默认服务质量QoS信息。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,该方法进一步包括从会话管理和网关实体接收信息,该信息指示第二认证方法成功。该方法进一步包括向会话管理和网关实体发送至少一个服务策略和计费控制规则。
在本公开的第五方面中,提供了一种由认证授权和记账(AAA)服务器执行的方法。该方法包括从会话管理和网关实体接收包括终端设备的标识的接入请求。该方法进一步包括向会话管理和网关实体发送包括授权数据的接入接受消息。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,所述方法进一步包括:在成功完成所述第二认证方法的过程后,向所述会话管理和网关实体发送指示所述第二认证方法成功的信息。
在一个实施例中,该方法进一步包括确定在一段时间后没有开始第二认证方法的过程。该方法进一步包括向会话管理和网关实体发送断开连接请求。
在本公开的第六方面中,提供了一种会话管理和网关实体。会话管理和网关实体包括处理器和耦合到处理器的存储器。所述存储器存储可由所述处理器执行的指令。所述会话管理和网关实体可操作以从移动性管理实体接收包括终端设备的标识的创建会话请求。所述会话管理和网关实体还可操作以确定使用第二认证方法而不是第一认证方法。第二认证方法比第一认证方法具有更高的安全性。所述会话管理和网关实体还可操作以触发与认证授权和记账(AAA)服务器相关的第二认证方法的过程。
在本公开的第七方面中,提供了一种移动性管理实体。移动性管理实体包括处理器和耦合到处理器的存储器。所述存储器存储可由所述处理器执行的指令。所述移动性管理实体可操作以从终端设备接收附着请求。所述移动性管理实体还可操作以向会话管理和网关实体发送包括终端设备的标识的创建会话请求。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在本公开的第八方面中,提供了一种终端设备。终端设备包括处理器和耦合到处理器的存储器。所述存储器存储可由所述处理器执行的指令。所述终端设备可操作以向移动性管理实体发送附着请求。由会话管理和网关实体触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在本公开的第九方面中,提供了一种策略控制功能。策略控制功能包括处理器和耦合到处理器的存储器。所述存储器存储可由所述处理器执行的指令。所述策略控制功能可操作以从会话管理和网关实体接收信息,该信息指示与终端设备相关的认证待定。所述策略控制功能还操作以向会话管理和网关实体发送默认服务质量QoS信息。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在本公开的第十方面中,提供了一种认证授权和记账(AAA)服务器。AAA服务器包括处理器和耦合到处理器的存储器。所述存储器存储可由所述处理器执行的指令。AAA服务器可操作以向会话管理和网关实体发送包括授权数据的接入接受消息。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在本公开的第十一方面中,提供了一种会话管理和网关实体。会话管理和网关实体包括第一接收模块、第一确定模块和第一触发模块。第一接收模块可以被配置为从移动性管理实体接收包括终端设备的标识的创建会话请求。第一确定模块可以被配置为确定使用第二认证方法而不是第一认证方法,其中第二认证方法比第一认证方法具有更高的安全性。第一触发模块可以被配置为触发与认证授权和记账(AAA)服务器相关的第二认证方法的过程。
在一个实施例中,会话管理和网关实体还可以包括第一发送模块,其被配置为发送包括终端设备标识的接入请求。
在一个实施例中,会话管理和网关实体还可以包括第二接收模块,其被配置为从AAA服务器接收包括授权数据的接入接受消息。
在一个实施例中,会话管理和网关实体还可以包括第二发送模块,其被配置为向策略控制功能发送信息,该信息指示与终端设备相关的认证待定。
在一个实施例中,会话管理和网关实体还可以包括第三接收模块,其被配置为从策略控制功能接收默认服务质量QoS信息。
在一个实施例中,会话管理和网关实体还可以包括第四接收模块,其被配置为从AAA服务器接收信息,该信息指示第二认证方法成功。
在一个实施例中,会话管理和网关实体还可以包括第三发送模块,其被配置为向策略控制功能发送信息,该信息指示第二认证方法成功。
在一个实施例中,会话管理和网关实体还可以包括第五接收模块,其被配置为从策略控制功能接收至少一个服务策略和计费控制规则。
在一个实施例中,会话管理和网关实体还可以包括第四发送模块,其被配置为向移动性管理实体发送包括指示第二认证方法成功的信息和服务质量(QoS)信息的消息。
在一个实施例中,会话管理和网关实体还可以包括第二确定模块,其被配置为确定第二认证方法失败。
在一个实施例中,会话管理和网关实体还可以包括第二触发模块,其被配置为触发会话删除过程。
在本公开的第十二方面中,提供了一种移动性管理实体。移动性管理实体包括第一接收模块和第一发送模块。第一接收模块可以被配置为从终端设备接收附着请求。第一发送模块可以被配置为向会话管理和网关实体发送包括终端设备的标识的创建会话请求。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,移动性管理实体还可以包括第二接收模块,其被配置为从会话管理和网关实体接收包括指示第二认证方法成功的信息和服务质量(QoS)信息的消息。
在一个实施例中,移动性管理实体还可以包括第二发送模块,其被配置为向终端设备发送包括信息的消息,该信息指示第二认证方法成功。
在本公开的第十三方面中,提供了一种终端设备。终端设备包括发送模块。发送模块可以被配置为向移动性管理实体发送附着请求。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,终端设备还可以包括接收模块,该接收模块被配置为从移动性管理实体接收包括信息的消息,该信息指示第二认证方法成功。
在本公开的第十四方面中,提供了一种策略控制功能。策略控制功能包括第一接收模块和第一发送模块。第一接收模块可以被配置为从终端设备接收附着请求。第一发送模块可以被配置为向会话管理和网关实体发送默认服务质量QoS信息。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,策略控制功能可以进一步包括第二接收模块,其被配置为从会话管理和网关实体接收信息,该信息指示第二认证方法成功。
在一个实施例中,策略控制功能还可以包括第二发送模块,其被配置为向会话管理和网关实体发送至少一个服务策略和计费控制规则。
在本公开的第十五方面中,提供了一种AAA服务器。AAA服务器包括第一接收模块和第一发送模块。第一接收模块可以被配置为从会话管理和网关实体接收包括终端设备的标识的接入请求。第一发送模块可以被配置为向会话管理和网关实体发送包括授权数据的接入接受消息。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,AAA服务器还可以包括确定模块,该确定模块被配置为确定在一段时间后没有开始第二认证方法的过程。
在一个实施例中,AAA服务器还可以包括第二发送模块,其被配置为向会话管理和网关实体发送断开连接请求。
本文中的实施例可以提供了许多优点,以下是优点的示例的非详尽列表。在本文的一些实施例中,可以为最初附着到EPS的UE解决安全问题。在本文的一些实施例中,可以为最初附着到EPS并在会话寿命期间移动到5GS的UE解决安全问题。在本文的一些实施例中,诸如SMF的会话管理和网关实体可以在UE移动到5GS时立即从DN-AAA服务器获得5GS属性。在本文的一些实施例中,当触发重新认证时,DN-AAA服务器可以具有正确的信息。本文的实施例不限于上述特征和优点。在阅读以下详细描述后,本领域技术人员将认识到额外的特征和优点。
附图说明
从参考附图的下面的详细描述,通过示例的方式,本公开的各个实施例的上述和其他方面、特征和益处将变得更加完全明显,在附图中,相似的附图标记或字母用于指代相似或等同的元素。附图被示出以用于促进本公开的实施例的更好的理解,以及不一定按比例绘制,其中:
图1示意性地示出了根据本公开实施例的5G网络中的高级架构;
图2示意性地示出了根据本公开实施例的4G网络中的系统架构;
图3示出了在基于GTP的S5/S8的Sgi接口上的RADIUS消息流的示例(成功的用户认证情况);
图4示出了与外部AAA服务器的初始EAP认证的流程图;
图5a示出了根据本公开实施例的方法的流程图;
图5b示出了根据本公开的另一个实施例的方法的流程图;
图5c示出了根据本公开的另一个实施例的方法的流程图;
图5d示出了根据本公开的另一个实施例的方法的流程图;
图5e示出了根据本公开的另一个实施例的方法的流程图;
图5f示出了根据本公开的另一个实施例的方法的流程图;
图5g示出了根据本公开的另一个实施例的方法的流程图;
图6a示出了根据本公开的另一个实施例的方法的流程图;
图6b示出了根据本公开的另一个实施例的方法的流程图;
图6c示出了根据本公开的另一个实施例的方法的流程图;
图6d示出了根据本公开的另一个实施例的方法的流程图;
图6e示出了根据本公开的另一个实施例的方法的流程图;
图6f示出了根据本公开的另一个实施例的方法的流程图;
图7是示出适用于实践本公开的一些实施例的设备的框图;
图8a是示出根据本公开实施例的会话管理和网关实体的框图;
图8b是示出根据本公开的实施例的移动性管理实体的框图;
图8c是示出根据本公开的实施例的终端设备的框图;
图8d是示出根据本公开的实施例的策略控制功能的框图;以及
图8e是示出根据本公开的实施例的AAA服务器的框图。
具体实施方式
参考附图详细描述本公开的实施例。应当理解,仅出于使本领域技术人员能够更好地理解以及因此实现本公开的目的来讨论这些实施例,而不是建议对本公开的范围的任何限制。在整个说明书中对特征,优点或类似语言的引用并不意味着可以用本公开实现的所有特征和优点应该在或在本公开的任何单个实施例中。相反,提及特征和优点的语言应被理解为意味着结合实施例描述的特定特征,优点或特性被包括在本公开的至少一个实施例中。此外,在一个或多个实施例中,可以以任何合适的方式来组合本公开所描述的特征,优点和特性。相关领域的技术人员将认识到,可以在没有特定实施例的特定特征或优点中的一个或多个特定特征或优点的情况下实践本公开。在其他情况下,在某些实施例中可以认识到附加特征和优点,而附加特征和优点可能不会在本公开的所有实施例中存在。
如本文所用,术语“网络”是指遵循任何合适的通信标准的网络,例如,新无线电(NR)、长期演进(LTE)、高级LTE、宽带码分多址(WCDMA)、高速分组接入(HSPA)、码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交频分多址(OFDMA)、单载波频分多址(SC-FDMA)和其他无线网络。CDMA网络可以实现诸如通用陆地无线电接入(UTRA)等的无线电技术。UTRA包括WCDMA和CDMA的其他变体。TDMA网络可以实现诸如全球移动通信系统(GSM)的无线电技术。OFDMA网络可以实现无线电技术,例如演进的UTRA(E-UTRA)、超移动宽带(UMB)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、Flash-OFDMA、Ad-hoc网络、无线传感器网络等。在以下描述中,术语“网络”和“系统”可以互换使用。此外,可以根据任何合适的通信协议来执行在网络中的两个设备之间的通信,通信协议包括但不限于由诸如3GPP的标准组织定义的通信协议。例如,通信协议可以包括第一代(1G)、2G、3G、4G、4.5G、5G通信协议和/或当前已知的或将来开发的任何其他协议。
术语“网络设备”、“网络实体”或“网络节点”是指可以在通信网络的网络实体(物理或虚拟)中实现的任何合适的网络功能(NF)。例如,网络功能可以被实现为专用硬件上的网络元件、在专用硬件上运行的软件实例,或者被实现为在适当平台上(例如在云基础设施上)实例化的虚拟化功能。例如,5G系统(5GS)可以包括多个NF,诸如AMF(接入和移动功能)、SMF(会话管理功能)、AUSF(认证服务功能)、UDM(统一数据管理)、PCF(策略控制功能)、AF(应用功能)、NEF(网络开放功能)、UPF(用户面功能)和NRF(网络存储库功能)、RAN(无线电接入网络)、SCP(服务通信代理)、NWDAF(网络数据分析功能)、NSSF(网络切片选择功能)、NSSAAF(网络切片特定认证和授权功能)等。例如,4G系统(例如LTE)可以包括MME(移动性管理实体)、HSS(归属用户服务器)、策略和计费规则功能(PCRF)、分组数据网络网关(PGW或PG-W),PGW控制面(PGW-C)、PGW用户面(PGW-U)、服务网关(SGW)、SGW控制面、SGW用户面、E-UTRAN节点B(eNB)等。在其他实施例中,例如,取决于特定网络,网络功能可以包括不同类型的NF。
网络设备可以是通信网络中具有接入功能的接入网络设备,终端设备通过该接入网络设备接入网络并从其接收服务。接入网络设备可以包括无线通信网络中的基站(BS)、接入点(AP)、多小区/多播协调实体(MCE)、控制器或任何其他合适的设备。BS例如可以是节点B(NodeB或NB)、演进型节点B(eNodeB或eNB)、下一代节点B(gNodeB或gNB)、远程无线电单元(RRU)、无线电头端(RH)、集成接入和回程(IAB)节点、远程无线电头端(RRH)、中继器、诸如毫微微、微微的低功率节点,等等。
接入网络设备的又一示例包括诸如MSR BS的多标准无线电(MSR)无线电设备、诸如无线电网络控制器(RNC)或基站控制器(BSC)的网络控制器、基站收发信台(BTS)、传输点、传输节点、定位节点和/或诸如此类。然而,更一般地,网络节点可以表示任何合适的设备(或设备组),该设备(或设备组)能够、被配置、被布置和/或可操作以使能终端设备和/或向终端设备提供对无线通信网络的接入,或者向已经接入无线通信网络的终端设备提供一些服务。
术语“终端设备”是指可以接入通信网络并从其接收服务的任何末端设备。作为示例而非限制,终端设备指移动终端、用户设备(UE)或其他合适的设备。UE可以是例如用户站(SS)、便携式用户站、移动站(MS)或接入终端(AT)。终端设备可以包括但不限于便携式计算机,诸如数码相机之类的图像捕获终端设备,游戏终端设备,音乐存储和回放设备,移动电话,蜂窝电话,智能电话,IP语音(VoIP)电话,无线本地环路电话,平板电脑,可穿戴设备,个人数字助理(PDA),便携式计算机,台式计算机,可穿戴终端设备,车载无线终端设备,无线端点,移动台,笔记本电脑嵌入式设备(LEE),笔记本电脑安装设备(LME),USB软件狗,智能设备,无线用户驻地设备(CPE)等。在下面的描述中,术语“终端设备”,“终端”,“用户设备”和“UE”可以互换使用。作为一个示例,终端设备可以代表被配置用于根据由3GPP(第三代合作伙伴计划)发布的一个或多个通信标准(例如3GPP的LTE标准或NR标准)进行通信的UE。如本文所使用的,就拥有和/或操作相关设备的人类用户而言,“用户设备”或“UE”可能不一定具有“用户”。在一些实施例中,终端设备可以被配置为在没有直接人类交互的情况下发送和/或接收信息。例如,当被内部或外部事件触发时,或者响应于来自通信网络的请求,终端设备可以被设计为按照预定的调度向网络发送信息。替代地,UE可以代表旨在出售给人类用户或由人类用户操作但最初可能不与特定人类用户相关联的设备。
作为又一示例,在物联网(IoT)场景中,终端设备可以代表执行监测和/或测量的机器或其他设备,以及将这种监测和/或测量的结果发送到另一个终端设备和/或网络设备。在这种情况下,终端设备可以是机器对机器(M2M)设备,其在3GPP上下文中可以被称为机器类型通信(MTC)设备。作为一个特定示例,终端设备可以是实现3GPP窄带物联网(NB-IoT)标准的UE。此类机器或设备的特定示例是传感器、计量设备(例如电表、工业机械)或家用或个人电器(例如冰箱、电视)、个人可穿戴设备(例如手表),等。在其他场景中,终端设备可以代表能够监测和/或报告其运行状态或与其运行相关的其他功能的车辆或其他设备。
说明书中对“一个实施例”、“实施例”、“示例性实施例”等的引用表明所描述的实施例可以包括特定的特征、结构或特性,但不必是每个实施例都包括特定特征、结构或特性。此外,这些短语不一定指相同的实施例。此外,当结合实施例描述特定特征、结构或特性时,无论是否被明确描述,认为影响与其他实施例相关的此类特征、结构或特性在本领域技术人员的知识范围内。
应当理解,虽然本文可以使用术语“第一”和“第二”等来描述各种元素,但是这些元素不应受这些术语的限制。这些术语仅用于将一种元素与另一种元素区分开来。例如,在不脱离示例实施例的范围的情况下,第一元素可以被称为第二元素,类似地,第二元素可以被称为第一元素。如本文所用,术语“和/或”包括一个或多个相关所列术语的任何和所有组合。
如本文所用,短语“A和B中的至少一个”或“A或B中的至少一个”应理解为“仅A,仅B,或A和B两者”。短语“A和/或B”应理解为由“仅A,仅B,或A和B两者”。
本文中使用的术语仅是出于描述特定实施例的目的,以及不旨在限制示例实施例。除非上下文另外明确指出,否则如本文所使用的单数形式“一”,“一个”和“该”也旨在包括复数形式。将进一步理解的是,当在本文中使用时,术语“包括”,“包含”,“具有”,“拥有”,“含有”和/或“涵盖”指定所述特征,元素和/或组件等的存在,但是不不包括一个或多个其他特征,元素,组件和/或其组合的存在或增加。
注意,本文中使用的这些术语仅是用于便于描述和在节点,设备或网络等之间的区分。随着技术的发展,也可以使用具有相似/相同含义的其他术语。
在以下描述和权利要求书中,除非另有定义,否则本文中使用的所有技术术语和科学术语具有与本公开所属领域的普通技术人员通常所理解的相同含义。
尽管可以在使用任何适当组件的任何适当类型的系统中实现本文中描述的主题,但本文公开的实施例是关于符合图1-2所示的示例性系统架构的通信系统进行描述的。为了简单起见,图1-2的系统架构仅描绘了一些示例性元件。在实践中,通信系统可以进一步包括适合于支持终端设备之间或无线设备与另一通信设备(例如陆线电话、服务提供方或任何其他网络节点或终端设备)之间的通信的任何附加元件。通信系统可以向一个或多个终端设备提供通信和各种类型的服务,以促进终端设备访问和/或使用由通信系统或经由通信系统提供的服务。
图1示意性地示出了根据本公开实施例的用于5GS和EPC(演进型分组核心)/E-UTRAN(演进型通用陆地无线电接入网)之间互通的非漫游架构。图1的架构与3GPPTS23.501V16.7.0中描述的图4.3.1-1相同。
如图1所示,N26接口是MME和5GS AMF之间的CN(核心网)间接口,以实现EPC和NG核心之间的互通。网络中对用于互通的N26接口的支持是可选的。N26支持在S10上支持的功能的子集(对于互通是必要的)。PGW-C+SMF和UPF+PGW-U专用于5GS和EPC之间的互通,它们是可选的,并且基于UE MM(移动性管理)核心网络能力和UE签约。不受5GS和EPC互通约束的UE可以由不专用于互通的实体提供服务,即由PGW或SMF/UPF提供服务。在NG-RAN(下一代RAN)和UPF+PGW-U之间可以存在另一个UPF(图3中未示出),即,如果需要的话,UPF+PGF-U可以支持朝向附加的UPF的N9。本规范中描述SGW的图和过程没有假设SGW是作为单片SGW还是作为分为其控制面和用户面功能的SGW进行部署。
图2示意性地示出了根据本公开的另一个实施例的用于5GS和EPC(演进型分组核心)/E-UTRAN(演进型通用陆地无线电接入网)之间互通的非漫游架构。CHF表示计费功能。CDR表示计费数据记录。BS表示基本服务。如图2所示,DN-AAA可以包括DN-AAA共享服务器或DN-AAA带内服务器。DN-AAA共享服务器可以连接到PGW-C+SMF。DN-AAA带内服务器可以连接到PGW-U+UPF。
图3示出了在用于基于GTP的S5/S8的Sgi接口上的RADIUS消息流的示例(成功的用户认证情况)。图3与3GPP TS29.061V17.1.0的图25a.1相同。如3GPP TS29.061V17.1.0的条款16.4.1中所述,接入请求消息(从GGSN/P-GW发送到AAA服务器)可以包括用户名和用户密码。用户名由用户在IP-CAN(IP(互联网协议)-连接接入网)会话建立过程期间接收的协议配置选项(PCO)中或者对于P-GW的情况下当附加协议配置选项中支持多个认证时在附加的协议配置选项(APCO)中提供给GGSN/P-GW。如果使用PPP(点对点协议)PDP(分组数据协议)类型,则在PPP认证阶段由用户将其提供给GGSN(网关GPRS(通用分组无线电服务)支持节点)。如果没有可用的用户名,则应该存在基于每个APN(接入点名称)可配置的通用用户名。如果使用了PAP,用户密码由用户在IP-CAN会话建立过程期间接收的PCO中或者对于P-GW的情况当支持多个认证时在APCO中提供给GGSN/P-GW。如果使用PPP PDP类型,则用户在PPP认证阶段将其提供给GGSN。如果没有可用的密码,则应该存在基于每个APN可配置的通用密码。从安全角度来看,由于PAP和CHAP协议各自的脆弱性,PAP/CHAP没有用于认证的适当的底层保护。例如,在没有任何安全性的情况下,用户名和用户密码会在PCO或ePCO中传输。
图4示出了与外部AAA服务器的初始EAP认证的流程图。图4与3GPP TS33.501V17.0.0的图11.1.2-1相同,其公开内容通过引用整体并入本文。
如3GPP TS 33.501V17.0.0第11.1.2条所述,在步骤8,H-SMF(归属SMF)应该触发EAP认证以从外部DN-AAA服务器获得授权。如果没有现有的N4会话,H-SMF选择UPF并与其建立N4会话。H-SMF向DN-AAA-服务器通知GPSI(通用公共签约标识符)(如果可以获得)以及分配给PDU会话的UE的IP地址(如果PDU会话是IP PDU类型)或MAC(介质访问控制)地址(如果PDU会话是以太网PDU类型)。
在步骤9,H-SMF应该向UE发送EAP请求/标识消息。
在步骤10,UE应该发送被包含在NAS(非接入层)消息的SM(会话管理)PDU DN请求容器内的EAP响应/标识消息。SM PDU DN请求容器包括其符合网络接入标识符(NAI)格式的DN特定标识和PDU会话ID(标识符)。
为了避免步骤9和10中的额外往返,UE可以在步骤4中发送二次认证标识。
在步骤11,如果没有现有的N4会话,H-SMF选择UPF并与其建立N4会话。SM PDU DN请求容器(如果由UE提供)被转发到UPF。H-SMF基于UE提供的SM PDU DN请求容器和本地配置来识别DN AAA服务器。
在步骤12,UPF应该将包含EAP响应/标识消息的SM PDU DN请求容器转发到DN AAA服务器。
在步骤13,DN AAA服务器和UE应根据EAP方法的要求交换被包含在SM PDU DN请求容器中的EAP消息。此外,它可以发送如在3GPP TS 33.501V17.0.0条款5.6.6中定义的附加授权信息。
在步骤14,在认证过程成功完成后,DN AAA服务器向H-SMF发送EAP成功消息。
在步骤15,这就完成了在SMF处的认证过程。SMF可以将DN特定的ID和DNN(或者DN的AAA服务器ID,如果可以获得的话)保存在用于UE和SMF之间的成功认证/授权的列表中。可替代地,SMF可以更新在UDM中的列表。
如果授权成功,则PDU会话建立在3GPP TS23.502V16.7.1中的图4.3.2.2.1-1的步骤7a(其公开内容通过引用整体并入本文)处进一步开始。
图5a示出了根据本公开的实施例的方法的流程图,该方法可以由在会话管理和网关实体中或处实现的装置或被实现为会话管理与网关实体的装置或者通信地耦合到会话管理和网关实体的装置来执行。因此,该装置可以提供用于实现方法500的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。会话管理和网关实体可以是能够实现会话管理功能和网关功能的任何合适的网络实体。在一个实施例中,会话管理和网关实体可以包括与分组数据网络网关控制面组合的会话管理功能(SMF+PGW-C)。
在框501,会话管理和网关实体可以从移动性管理实体接收包括终端设备的标识的创建会话请求。例如,在附着过程期间,移动性管理实体可以向会话管理和网关实体发送创建会话请求。在一个实施例中,根据3GPP TS23.401V16.9.0的第5.3.2条和图5.3.2.1-1(其公开内容通过引用整体并入本文),移动性管理实体(例如MME)可以向服务网关(SGW)发送创建会话请求。并且服务网关可以向会话管理和网关实体(例如SMF+PGW-C)发送创建会话请求。
在框502,会话管理和网关实体可以确定使用第二认证方法而不是第一认证方法。第二认证方法比第一认证方法具有更高的安全性。
第二种认证方法可以是任何合适的认证方法。在一个实施例中,第二认证方法包括可扩展认证协议(EAP)。在其他实施例中,第二认证方法可以包括在3GPP定义的第六代(6G)或超6G通信网络中使用的认证方法。
第一种认证方法可以是任何合适的认证方法。在一个实施例中,第一认证方法包括密码认证协议(PAP)或挑战握手认证协议(CHAP)。
在一个实施例中,在第四代(4G)网络中使用第一认证方法。在一个实施例中,在第五代(5G)网络中使用第二认证方法。
在一个实施例中,终端设备正在接入第四代(4G)网络。
在一个实施例中,创建会话请求不包括特定于数据网络名称的真实用户名和用户密码。例如,创建会话请求可以不包括如在3GPP TS29.061V17.1.0的条款16.4.1中描述的用户名和用户密码。
会话管理和网关实体可以以各种方式确定使用第二认证方法而不是第一认证方法。在一个实施例中,会话管理和网关实体可以基于以下中的至少一个来确定使用第二认证方法而不是第一认证方法:与AAA服务器的协定;被被包括在所述创建会话请求中的至少一个参数;是否应该使用所述第二认证方法的本地配置;AAA服务器的能力;或者终端设备的能力。
例如,与AAA服务器的协定可以指示是否应该使用第二认证方法。在一个实施例中,与AAA服务器的协定包括用于特定数据网络名称(DNN)或单个网络切片选择辅助信息(S-NSSAI)的与AAA服务器的协定。
是否应该使用第二认证方法的本地配置可以由运营方来配置。是否应该使用第二认证方法的本地配置可以针对单个终端设备或一组终端设备来配置。
在创建会话请求中包括的至少一个参数可以包括PAP/CHAP用户证书。例如,例如当接入EPS时,UE可以在ePCO IE(信息元素)中不提供PAP/CHAP用户证书。如果没有将这样的信息提供给会话管理和网关实体,则会话管理和网关实体可以确定使用第二认证方法而不是第一认证方法。
当AAA服务器的能力指示AAA服务器支持第二认证方法时,会话管理和网关实体可以确定使用第二认证方法而不是第一认证方法。
当终端设备的能力指示终端设备支持第二认证方法时,会话管理和网关实体可以确定使用第二认证方法而不是第一认证方法。
在框503,会话管理和网关实体可以触发与认证授权和记账(AAA)服务器相关的第二认证方法的过程。在一个实施例中,AAA服务器包括数据网络AAA(DN-AAA)服务器。
在一个实施例中,在会话被成功设置后触发第二认证方法的过程。例如,在会话被成功设置后,SMF+PGW-C启动基于EAP的认证过程。SMF+PGW-C触发包括新信息的更新承载请求消息:EAP请求/标识。EAP请求/标识可以被包括在ePCO参数中。MME可以在NAS消息(例如,修改EPS承载上下文请求)中向UE发送EAP请求/标识。UE可以在EAP消息中向SMF+PGW-C发送DN特定标识。SMF+PGW-C可以向DN-AAA服务器触发具有该EAP消息的接入请求消息。DN AAA服务器和UE应该根据EAP方法的要求交换EAP消息,类似于用于5G PDU会话的EAP认证,但是使用更新承载请求/响应过程。
在一个实施例中,当第二认证方法是可扩展认证协议(EAP)时,EAP的过程可以类似于图4的步骤8-15,除了消息和网络实体在不同的网络中可能不同之外。
在一个实施例中,在第二认证方法的过程期间,在会话管理和网关实体与移动性管理实体之间使用包括具有可扩展认证协议(EAP)消息交换的扩展协议配置选项(ePCO)的至少一个更新承载请求和至少一个更新承载响应。更新承载请求和更新承载响应可以类似于3GPP TS23.401V16.9.0中描述的对应消息,除了它们包括具有可扩展认证协议(EAP)消息交换的扩展协议配置选项(ePCO)之外。
图5b示出了根据本公开的另一个实施例的方法510的流程图,该方法510可以由在会话管理和网关实体中或处实现的装置或被实现为会话管理与网关实体的装置或者通信地耦合到会话管理和网关实体的装置来执行。因此,该装置可以提供用于实现方法510的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。对于已经在上述实施例中描述的一些部分,为了简洁起见,此处省略其描述。
在框511,会话管理和网关实体可以向AAA服务器发送包括终端设备的标识的接入请求。例如,在从移动性管理实体接收包括终端设备的标识的创建会话请求之后,会话管理和网关实体可以向AAA服务器发送包括终端设备标识的接入请求。终端设备的标识可以是能够唯一地标识终端设备的任何合适的标识。例如,终端设备的标识可以包括IMSI(国际移动用户标识)、MSISDN(移动用户ISDN(综合业务数字网)号码)、IMPI(IP多媒体私有标识)、IMPU(IP多媒体公共标识)或应用特定标识等。
在框512,会话管理和网关实体可以从AAA服务器接收包括授权数据的接入接受消息。例如,授权数据可以包括分配的IP地址、空闲超时或会话超时等。
在一个实施例中,接入请求还可以包括空的用户名或本地配置的用户名。在另一个实施例中,接入请求可以进一步包括仅进行授权的指示。在这种情况下,AAA服务器应该首先使用终端设备的标识进行授权。AAA服务器可以为终端设备分配IP地址。AAA服务器可以启动定时器以等待第二认证方法消息(例如EAP消息)。如果没有接收到第二认证方法消息(例如EAP消息),则AAA服务器可以向会话管理和网关实体发送断开连接请求。
图5c示出了根据本公开的另一个实施例的方法520的流程图,该方法520可以由在会话管理和网关实体中或处实现的装置或被实现为会话管理与网关实体的装置或者通信地耦合到会话管理和网关实体的装置来执行。因此,该装置可以提供用于实现方法520的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。对于已经在上述实施例中描述的一些部分,为了简洁起见,此处省略其描述。
在框521,会话管理和网关实体可以向策略控制功能发送信息,该信息指示与终端设备相关的认证待定。该信息可以避免任何服务触发(例如来自策略控制功能的任何规则)。例如,在从AAA服务器接收到包括授权数据的接入接受消息之后,会话管理和网关实体可以向策略控制功能发送信息,该信息指示与终端设备相关的认证待定。该信息可以被包括在任何合适的消息中。在一个实施例中,该信息可以被包括在Npcf_SMPolicyCreate请求消息中。
在框522,会话管理和网关实体可以从策略控制功能接收默认服务质量QoS信息。默认服务质量QoS信息可以被包括在任何合适的消息中。在一个实施例中,默认服务质量QoS信息可以被包括在Npcf_SMPolicyCreate响应消息中。
图5d示出了根据本公开的另一个实施例的方法530的流程图,该方法530可以由在会话管理和网关实体中或处实现的装置或被实现为会话管理与网关实体的装置或者通信地耦合到会话管理和网关实体的装置来执行。因此,该装置可以提供用于实现方法530的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。对于已经在上述实施例中描述的一些部分,为了简洁起见,此处省略其描述。
在框531,会话管理和网关实体可以从AAA服务器接收信息,该信息指示第二认证方法成功。
在框532,会话管理和网关实体可以向策略控制功能发送信息,该信息指示第二认证方法成功。
在框533,会话管理和网关实体可以从策略控制功能接收至少一个服务策略和计费控制规则。
在框534,会话管理和网关实体可以向移动性管理实体发送包括指示第二认证方法成功的信息和服务质量(QoS)信息的消息。
例如,如果会话管理和网关实体(如SMF+PGW-C)从AAA服务器(如DN-AAA服务器)接收到第二认证方法的成功(如EAP成功)。SMF+PGW-C应该发送具有信息的Npcf_SMFPolicyUpdate请求消息并且可以从PCF获得服务规则,该信息指示以通知PCF认证成功。SMF+PGW-C向MME发送带有EAP成功消息和其他QoS信息的更新承载请求消息。
图5e示出了根据本公开的另一个实施例的方法540的流程图,该方法540可以由在会话管理和网关实体中或处实现的装置或被实现为会话管理与网关实体的装置或者通信地耦合到会话管理和网关实体的装置来执行。因此,该装置可以提供用于实现方法540的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。对于已经在上述实施例中描述的一些部分,为了简洁起见,此处省略其描述。
在框541,会话管理和网关实体可以确定第二认证方法失败。例如,会话管理和网关实体可以基于以下中的至少一个来确定第二认证方法失败:从AAA服务器接收到指示第二认证方法失败的信息;或者来自移动性管理实体的更新承载响应失败或超时。
在框542,会话管理和网关实体可以触发会话删除过程。
图5f示出了根据本公开的另一个实施例的方法550的流程图,该方法550可以由在移动性管理实体中或处实现的装置或被实现为移动性管理实体的装置或者通信地耦合到移动性管理实体的装置来执行。因此,该装置可以提供用于实现方法550的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。对于已经在上述实施例中描述的一些部分,为了简洁起见,此处省略其描述。
在框551,移动性管理实体可以从终端设备接收附着请求。在一个实施例中,附着请求不包括特定于数据网络名称的真实用户名和用户密码。
在框552,移动性管理实体可以向会话管理和网关实体发送包括终端设备的标识的创建会话请求。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
图5g示出了根据本公开的另一个实施例的方法560的流程图,该方法560可以由在移动性管理实体中或处实现的装置或被实现为移动性管理实体的装置或者通信地耦合到移动性管理实体的装置来执行。因此,该装置可以提供用于实现方法560的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。对于已经在上述实施例中描述的一些部分,为了简洁起见,此处省略其描述。
在框561,移动性管理实体可以从会话管理和网关实体接收包括指示第二认证方法成功的信息和服务质量(QoS)信息的消息。
在框562,移动性管理实体可以向终端设备发送包括信息的消息,该信息指示第二认证方法成功。
在一个实施例中,在第二认证方法的过程期间,在终端设备与移动性管理实体之间使用包括具有可扩展认证协议(EAP)消息交换的扩展协议配置选项(ePCO)的至少一个修改演进分组系统(EPS)承载上下文请求和至少一个修改EPS承载上下文接受。
图6a示出了根据本公开的另一个实施例的方法600的流程图,该方法600可以由在终端设备中或处实现的装置或被实现为终端设备的装置或者通信地耦合到终端设备的装置来执行。因此,该装置可以提供用于实现方法600的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。对于已经在上述实施例中描述的一些部分,为了简洁起见,此处省略其描述。
在框601,终端设备可以向移动性管理实体发送附着请求。由会话管理和网关实体触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性
在框602,可选地,终端设备可以从移动性管理实体接收包括信息的消息,该信息指示第二认证方法成功。
图6b示出了根据本公开的另一个实施例的方法610的流程图,该方法610可以由在策略控制功能中或处实现的装置或被实现为策略控制功能的装置或者通信地耦合到策略控制功能的装置来执行。因此,该装置可以提供用于实现方法610的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。对于已经在上述实施例中描述的一些部分,为了简洁起见,此处省略其描述。在一个实施例中,策略控制功能可以是如3GPP TS23.501V16.7.0中所描述的PCF。
在框611,策略控制功能可以从会话管理和网关实体接收信息,该信息指示与终端设备相关的认证待定。
在框612,策略控制功能可以向会话管理和网关实体发送默认服务质量QoS信息。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
图6c示出了根据本公开的另一个实施例的方法620的流程图,该方法620可以由在策略控制功能中或处实现的装置或被实现为策略控制功能的装置或者通信地耦合到策略控制功能的装置来执行。因此,该装置可以提供用于实现方法620的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。对于已经在上述实施例中描述的一些部分,为了简洁起见,此处省略其描述。在一个实施例中,策略控制功能可以是如3GPP TS23.501V16.7.0中所描述的PCF。
在框621,策略控制功能可以从会话管理和网关实体接收信息,该信息指示第二认证方法成功。
在框622,策略控制功能可以向会话管理和网关实体发送至少一个服务策略和计费控制规则。
图6d示出了根据本公开的另一个实施例的方法630的流程图,该方法630可以由在AAA服务器中或处实现的装置或被实现为AAA服务器的装置或者通信地耦合到AAA服务器的装置来执行。因此,该装置可以提供用于实现方法630的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。对于已经在上述实施例中描述的一些部分,为了简洁起见,此处省略其描述。在一个实施例中,AAA服务器可以是如3GPPTS23.502V16.7.1中所述的DN-AAA。
在框631,AAA服务器可以从会话管理和网关实体接收包括终端设备的标识的接入请求。
在框632,AAA服务器可以向会话管理和网关实体发送包括授权数据的接入接受消息。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在框633,可选地,在成功完成第二认证方法的过程之后,AAA服务器可以向会话管理和网关实体发送信息,该信息指示第二认证方法成功。
图6e示出了根据本公开的另一个实施例的方法640的流程图,该方法640可以由在AAA服务器中或处实现的装置或被实现为AAA服务器的装置或者通信地耦合到AAA服务器的装置来执行。因此,该装置可以提供用于实现方法640的各个部分的构件或模块,以及用于结合其他组件来实现其他过程的构件或模块。对于已经在上述实施例中描述的一些部分,为了简洁起见,此处省略其描述。
在框641,AAA服务器可以确定在一段时间后没有开始第二认证方法的过程。该段时间可以是可以由网络运营方配置的任何合适的时间段。
在框642,AAA服务器可以向会话管理和网关实体发送断开连接请求。
图6f示出了根据本公开的另一个实施例的方法的流程图。
在步骤1,UE向MME和SGW发送附着请求。
在步骤2,MME向SMF+PGW-C发送具有UE标识(例如IMSI或MSISDN)的创建会话请求。
在步骤3,SMF可以例如基于针对特定DNN/S-NSSAI的与DN-AAA服务器的协定或者是否应该触发基于EAP的AUTH的本地配置来决定是否需要基于EAP的认证。因此,SMF+PGW-C可以向DN-AAA服务器发送带有UE标识(诸如MSISDN)的接入请求消息,以在接入接受消息中从DN-AAA获得授权数据(如分配的IP地址、空闲超时或会话超时等)。接入请求消息可以包括空的用户名或本地配置的用户名。
在步骤4,DN-AAA服务器应该首先使用UE标识进行授权。DN-AAA服务器可以为UE分配IP地址。DN-AAA服务器可以启动定时器以等待EAP消息。当时间到了时没有接收到EAP消息,则DN-AAA服务器可以触发断开连接请求。
在步骤5,如果启用了PCF,则SMF+PGW-C在Npcf_SMPolicyCreate请求消息中发送指示以指示认证待定以避免任何服务触发(例如来自PCF的任何规则)。
在步骤6,在SMF+PGW-C和UPF之间建立分组转发控制面(PFCP)关联。
在步骤7-10,根据当前标准,SMF+PGW-C继续会话创建过程,并且会话被成功地设置。在步骤7,SMF+PGW-C向MME和SGW发送创建会话响应。在步骤8,MME和SGW向UE发送DL(下行链路)NAS(附着接受)。在步骤9,UE向MME和SGW发送UL(上行链路)NAS(附着完成)。在步骤10,MME和SGW向SMF+PGW-C发送修改承载请求。
在步骤11,在会话被成功设置后,SMF+PGW-C开始基于EAP的认证过程。SMF+PGW-C触发更新承载请求消息,该消息包括新的信息:EAP请求/标识,其可以被包括在ePCO参数中。
在步骤12,MME在DL NAS消息中向UE发送EAP消息,例如修改EPS承载上下文请求。UE在修改EPS承载上下文接受中的EAP消息中向MME发送DN特定标识。
在步骤13,MME向SMF+PGW-C发送更新承载响应(ePCO:EAP响应/标识)。如果更新承载响应失败或超时,则SMF触发会话删除。
在步骤14,SMF+PGW-C向DN-AAA服务器发送接入请求(EAP消息)。
在步骤15-22,DN AAA服务器和UE应该根据EAP方法的要求交换EAP消息,步骤15-22类似于用于5G PDU会话的EAP认证的相应步骤,但是使用更新承载请求/响应过程。
在步骤15,DN-AAA服务器向SMF+PGW-C发送接入挑战(EAP消息)。
在步骤16,SMF+PGW-C向MME发送包括具有可扩展认证协议(EAP)的扩展协议配置选项(ePCO)消息的更新承载请求。
在步骤17,MME向UE发送DL NAS消息,例如修改演进分组系统(EPS)承载上下文请求,其包括具有可扩展认证协议(EAP)消息的扩展协议配置选项(ePCO)。UE向MME发送诸如修改EPS承载上下文接受的UL NAS消息,该UL NAS消息包括具有可扩展认证协议(EAP)的扩展协议配置选项(ePCO)消息。
在步骤18,MME向SMF+PGW-C发送更新承载响应,该更新承载响应包括具有可扩展认证协议(EAP)的扩展协议配置选项(ePCO)消息。
在步骤19,SMF+PGW-C向DN-AAA服务器发送接入请求(EAP消息)。
在步骤20,SMF+PGW-C从DN-AAA服务器接收EAP成功。如果从DN-AAA服务器接收到接入拒绝,则SMF可以触发会话删除。
在步骤21,如果SMF+PGW-C从DN-AAA服务器接收到EAP成功,则SMF+PCW-C向MME发送更新承载请求(EAP成功消息和其他QoS信息)。
在步骤22,MME向UE发送DL NAS消息,例如修改EPS承载上下文请求(具有EAP消息的ePCO)。UE向MME发送UL NAS消息,例如修改EPS承载上下文接受(具有EAP消息的ePCO)。
在步骤23,MME向SMF+PGW-C发送更新承载响应(成功)。
在步骤24,如果SMF+PGW-C从DN-AAA服务器接收到EAP成功,则SMF+PGF-C发送具有信息的Npcf_SMFPolicyUpdate请求消息并且可以从PCF获得服务规则,该信息指示以通知PCF认证成功。
图7是示出适用于实践本公开的一些实施例的装置的框图。例如,上述会话管理和网关实体、移动性管理实体、终端设备、策略控制功能和AAA服务器中的任何一个都可以被实现为装置700或通过装置700来实现。
装置700包括至少一个处理器721,例如数字处理器(DP),以及耦合到处理器721的至少一个存储器(MEM)722。装置700还可以包括耦合到处理器721的发送器TX和接收器RX723。MEM 722存储程序(PROG)724。PROG 724可以包括指令,当在相关联的处理器721上执行指令时,指令使装置700能够根据本公开的实施例进行操作。至少一个处理器721和至少一个MEM 722的组合可以形成适于实现本公开的各种实施例的处理构件725。
本公开的各种实施例可以通过由处理器721、软件、固件、硬件或其组合中的一个或多个可执行的计算机程序来实现。
MEM 722可以具有适合本地技术环境的任何类型,并且可以使用任何合适的数据存储技术来实现,作为非限制性示例,例如基于半导体的存储设备、磁存储设备和系统、光存储设备和体系、固定存储器和可移动存储器。
处理器721可以具有适合本地技术环境的任何类型,并且可以包括以下中的一个或多个:作为非限制性示例,通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器架构的处理器。
在装置被实现为会话管理和网关实体或在会话管理和网关实体处实现的实施例中,存储器722存储可由处理器721执行的指令,由此会话管理和网关实体根据与如上所述的会话管理和网关实体相关的任何方法进行操作。
在装置被实现为移动性管理实体或在移动性管理实体处实现的实施例中,存储器722存储可由处理器721执行的指令,由此移动性管理实体根据与上述移动性管理实体相关的任何方法进行操作。
在装置被实现为终端设备或在终端设备处实现的实施例中,存储器722存储可由处理器721执行的指令,由此终端设备根据与上述终端设备相关的任何方法进行操作。
在装置实现为策略控制功能或在策略控制功能处实现的实施例中,存储器722存储可由处理器721执行的指令,由此策略控制功能根据与上述策略控制功能相关的任何方法进行操作。
在装置被实现为AAA服务器或在AAA服务器处实现的实施例中,存储器722存储可由处理器721执行的指令,由此AAA服务器根据与上述AAA服务器相关的任何方法进行操作。
图8a是示出根据本公开实施例的会话管理和网关实体的框图。如图所示,会话管理和网关实体800包括第一接收模块801、第一确定模块802和第一触发模块803。第一接收模块801可以被配置为从移动性管理实体接收包括终端设备的标识的创建会话请求。第一确定模块802可以被配置为确定使用第二认证方法而不是第一认证方法,其中第二认证方法比第一认证方法具有更高的安全性。第一触发模块803可以被配置为触发与认证授权和记账(AAA)服务器相关的第二认证方法的过程。
在一个实施例中,会话管理和网关实体800还可以包括第一发送模块804,其被配置为发送包括终端设备标识的接入请求。
在一个实施例中,会话管理和网关实体800还可以包括第二接收模块805,其被配置为从AAA服务器接收包括授权数据的接入接受消息。
在一个实施例中,会话管理和网关实体800还可以包括第二发送模块806,其被配置为向策略控制功能发送信息,该信息指示与终端设备相关的认证待定。
在一个实施例中,会话管理和网关实体800还可以包括第三接收模块807,其被配置为从策略控制功能接收默认服务质量QoS信息。
在一个实施例中,会话管理和网关实体800还可以包括第四接收模块808,其被配置为从AAA服务器接收信息,该信息指示第二认证方法成功。
在一个实施例中,会话管理和网关实体800还可以包括第三发送模块809,其被配置为向策略控制功能发送信息,该信息指示第二认证方法成功。
在一个实施例中,会话管理和网关实体800还可以包括第五接收模块810,其被配置为从策略控制功能接收至少一个服务策略和计费控制规则。
在一个实施例中,会话管理和网关实体800还可以包括第四发送模块811,其被配置为向移动性管理实体发送包括指示第二认证方法成功的信息和服务质量(QoS)信息的消息。
在一个实施例中,会话管理和网关实体800还可以包括第二确定模块812,其被配置为确定第二认证方法失败。
在一个实施例中,会话管理和网关实体800还可以包括第二触发模块813,其被配置为触发会话删除过程。
图8b是示出根据本公开实施例的移动性管理实体的框图。如图所示,移动性管理实体820包括第一接收模块821和第一发送模块822。第一接收模块821可以用于从终端设备接收附着请求。第一发送模块822可以被配置为向会话管理和网关实体发送包括终端设备的标识的创建会话请求。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,移动性管理实体820还可以包括第二接收模块823,其被配置为从会话管理和网关实体接收包括指示第二认证方法成功的信息和服务质量(QoS)信息的消息。
在一个实施例中,移动性管理实体820还可以包括第二发送模块824,第二发送模块824被配置为向终端设备发送包括信息的消息,该信息指示第二认证方法成功。
图8c是示出根据本公开的实施例的终端设备的框图。如图所示,终端设备830包括发送模块831。发送模块831可以被配置为向移动性管理实体发送附着请求。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,终端设备830还可以包括接收模块832,该接收模块被配置为从移动性管理实体接收包括信息的消息,该信息指示第二认证方法成功。
图8d是示出根据本公开的实施例的策略控制功能的框图。如图所示,策略控制功能840包括第一接收模块841和第一发送模块842。第一接收模块841可以被配置为从终端设备接收附着请求。第一发送模块842可以被配置为向会话管理和网关实体发送默认服务质量QoS信息。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,策略控制功能840还可以包括第二接收模块843,其被配置为从会话管理和网关实体接收信息,该信息指示第二认证方法成功。
在一个实施例中,策略控制功能840还可以包括第二发送模块844,其被配置为向会话管理和网关实体发送至少一个服务策略和计费控制规则。
图8e是示出根据本公开实施例的AAA服务器的框图。如图所示,AAA服务器850包括第一接收模块851和第一发送模块852。第一接收模块851可以被配置为从会话管理和网关实体接收包括终端设备的标识的接入请求。第一发送模块852可以被配置为向会话管理和网关实体发送包括授权数据的接入接受消息。会话管理和网关实体将触发第二认证方法的过程而不是第一认证方法的过程。第二认证方法比第一认证方法具有更高的安全性。
在一个实施例中,AAA服务器850还可以包括确定模块853,其被配置为确定在一段时间后没有启动第二认证方法的过程。
在一个实施例中,AAA服务器850还可以包括第二发送模块854,其被配置为向会话管理和网关实体发送断开连接请求。
本文中的实施例可以提供了许多优点,以下是优点的示例的非详尽列表。在本文的一些实施例中,可以为最初附着到EPS的UE解决安全问题。在本文的一些实施例中,可以为最初附着到EPS并在会话寿命期间移动到5GS的UE解决安全问题。在本文的一些实施例中,诸如SMF的会话管理和网关实体可以在UE移动到5GS时立即从DN-AAA服务器获得5GS属性。在本文的一些实施例中,当触发重新认证时,DN-AAA服务器可以具有正确的信息。本文的实施例不限于上述特征和优点。在阅读以下详细描述后,本领域技术人员将认识到额外的特征和优点。。
术语“单元”或“模块”在电子、电气设备和/或电子设备领域可以具有传统含义,并且可能包括,例如,电气和/或电路、设备、模块、处理器、存储器、逻辑固态和/或离散设备、计算机程序或指令,它们用于执行例如本文所描述的那些的相应任务、过程、计算、输出和/或显示功能等等。
通过功能单元,会话管理和网关实体、移动性管理实体、终端设备、策略控制功能和AAA服务器可以不需要固定的处理器或存储器,可以从通信系统中的会话管理和网关实体、移动性管理实体、终端设备、策略控制功能和AAA服务器布置任何计算资源和存储资源。虚拟化技术和网络计算技术的引入可以提高网络资源的使用效率和网络的灵活性。
根据本公开的一个方面,提供了一种计算机程序产品,该计算机程序产品被有形地存储在计算机可读存储介质上,并且包括指令,当在至少一个处理器上执行指令时,该指令使至少一个处理器执行上述任何方法。
根据本公开的一个方面,提供了一种计算机可读存储介质,其存储指令,当由至少一个处理器执行指令时,指令使至少一个处理器执行上述任何方法。
此外,本公开还可以提供一种包含上述计算机程序的载体,该载体为电子信号、光信号、无线电信号或计算机可读存储介质中的一种。计算机可读存储介质可以是例如光盘或电子存储设备,如RAM(随机存取存储器)、ROM(只读存储器)、闪存、磁带、CD-ROM、DVD、蓝光光盘等。
本文描述的技术可以以各种方式来实现,使得实现用实施例描述的相应装置的一个或多个功能的装置不仅包括现有技术构件,还包括用于实现与实施例一起描述的相应装置的一个或多个功能的构件,以及它可以包括用于每个单独功能的单独构件或者可以被配置为执行两个或更多功能的构件。例如,这些技术可以在硬件(一个或多个装置)、固件(一个或多个装置)、软件(一个或多个模块)或其组合中实现。对于固件或软件,实现可以通过执行本文描述的功能的模块(例如,过程、功能等)来完成。
以上已经参考方法和装置的框图和流程图说明描述了本文的示例性实施例。将理解的是,框图和流程图示的每个框以及框图和流程图示中的框的组合分别可以通过包括计算机程序指令的各种构件来实现。这些计算机程序指令可以加载到通用计算机、专用计算机或其他可编程数据处理设备上以生产机器,从而在计算机或其他可编程数据处理设备上执行的指令创建用于实现在流程图框或多个框中指定功能的构件。
此外,虽然以特定顺序描绘了操作,但这不应被理解为要求以所示出的特定顺序或按顺序执行这些操作,或者要求执行所有图示的操作,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。同样,虽然上述讨论中包含若干具体实施细节,但这些不应被解释为对本文所述主题的范围的限制,而应被解释为可以特定于特定实施例的特征的描述。在单独实施例的上下文中描述的某些特征也可以在单个实施例中以组合来实现。相反,在单个实施例的上下文中描述的各种特征也可以在多个实施例中单独地或以任何合适的子组合来实现。
虽然本说明书包含许多特定的实施细节,但这些不应被解释为对任何实施的范围或可能要求保护的范围的限制,而是应被解释为可以特定于特定实施的特定实施例的特征的描述。本说明书中在单独实施例的上下文中描述的某些特征也可以在单个实施例中以组合来实现。相反,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合在多个实施例中实现。此外,虽然上述特征可能被描述为在某些组合中起作用,甚至最初要求如此保护,但在某些情况下可以从组合中删除来自所要求保护的组合的一个或多个特征,所要求保护的组合可以针对子组合或子组合的变型。
对于本领域技术人员来说显而易见的是,随着技术的进步,可以以各种方式实施本发明构思。给出上述实施例以用于描述而非限制本公开,应当理解,如本领域技术人员容易理解的那样,可以在不脱离本公开的精神和范围的情况下进行修改和变型。这种修改和变型被认为在本公开和所附权利要求书的范围内。本公开的保护范围由所附权利要求书限定。
Claims (68)
1.一种由会话管理和网关实体执行的方法(500),包括:
从移动性管理实体接收(501)包括终端设备的标识的创建会话请求;
确定(502)使用第二认证方法而不是第一认证方法,其中,所述第二认证方法比所述第一认证方法具有更高的安全性;以及
触发(503)与认证授权和记账AAA服务器相关的所述第二认证方法的过程。
2.根据权利要求1所述的方法,进一步包括:
向所述AAA服务器发送(511)包括所述终端设备的所述标识的接入请求;以及
从所述AAA服务器接收(512)包括授权数据的接入接受消息。
3.根据权利要求2所述的方法,其中,所述接入请求进一步包括空的用户名或本地配置的用户名。
4.根据权利要求1-3中任一项所述的方法,进一步包括:
向策略控制功能发送(521)信息,所述信息指示与所述终端设备相关的认证待定;以及
从所述策略控制功能接收(522)默认服务质量QoS信息。
5.根据权利要求1-4中任一项所述的方法,其中,在所述会话被成功设置后触发所述第二认证方法的过程。
6.根据权利要求1-5中任一项所述的方法,进一步包括:
从所述AAA服务器接收(531)指示所述第二认证方法成功的信息;
向所述策略控制功能发送(532)指示所述第二认证方法成功的信息;以及
从所述策略控制功能接收(533)至少一个服务策略和计费控制规则。
7.根据权利要求6所述的方法,进一步包括:
向所述移动性管理实体发送(534)消息,所述消息包括指示所述第二认证方法成功的信息和服务质量QoS信息。
8.根据权利要求1-7中任一项所述的方法,其中,在所述第二认证方法的过程期间,在所述会话管理和网关实体与所述移动性管理实体之间使用包括具有可扩展认证协议EAP消息交换的扩展协议配置选项ePCO的至少一个更新承载请求和至少一个更新承载响应。
9.根据权利要求1-8中任一项所述的方法,进一步包括:
确定(541)所述第二认证方法失败;以及
触发(542)会话删除过程。
10.根据权利要求9所述的方法,其中,基于以下中的至少一个确定所述第二认证方法失败:
从所述AAA服务器接收指示所述第二认证方法失败的信息;或
来自所述移动性管理实体的更新承载响应失败或超时。
11.根据权利要求1-10中任一项所述的方法,其中,所述第二认证方法包括可扩展认证协议EAP。
12.根据权利要求1-11中任一项所述的方法,其中,所述第一认证方法包括密码认证协议PAP或挑战握手认证协议CHAP。
13.根据权利要求1-12中任一项所述的方法,其中,基于以下中的至少一个确定使用所述第二认证方法而不是所述第一认证方法:
与所述AAA服务器的协定;
被包括在所述创建会话请求中的至少一个参数;
是否应该使用所述第二认证方法的本地配置;
所述AAA服务器的能力;或
所述终端设备的能力。
14.根据权利要求13所述的方法,其中,与所述AAA服务器的所述协定包括用于特定数据网络名称DNN或单个网络切片选择辅助信息S-NSSAI的与所述AAA服务器的协定。
15.根据权利要求1-14中任一项所述的方法,其中,所述会话管理和网关实体包括与分组数据网络网关控制面组合的会话管理功能SMF+PGW-C。
16.根据权利要求1-15中任一项所述的方法,其中,所述AAA服务器包括数据网络AAA(DN-AAA)服务器。
17.根据权利要求1-16中任一项所述的方法,其中,所述终端设备正在接入第四代4G网络。
18.根据权利要求1-17中任一项所述的方法,其中,所述创建会话请求不包括特定于数据网络名称的真实用户名和用户密码。
19.一种由移动性管理实体执行的方法(550),包括:
从终端设备接收(551)附着请求;以及
向会话管理和网关实体发送(552)包括所述终端设备的标识的创建会话请求,
其中,将由所述会话管理和网关实体触发第二认证方法的过程而不是第一认证方法的过程,
其中,所述第二认证方法比所述第一认证方法具有更高的安全性。
20.根据权利要求19所述的方法,其中,在所述会话被成功设置后触发所述第二认证方法的过程。
21.根据权利要求19或20所述的方法,进一步包括:
从所述会话管理和网关实体接收(561)包括指示所述第二认证方法成功的信息和服务质量QoS信息的消息;以及
向所述终端设备发送(562)包括指示所述第二认证方法成功的信息的消息。
22.根据权利要求19-21中任一项所述的方法,其中,在所述第二认证方法的过程期间,在所述会话管理和网关实体与所述移动性管理实体之间使用包括具有可扩展认证协议EAP消息交换的扩展协议配置选项ePCO的至少一个更新承载请求和至少一个更新承载响应。
23.根据权利要求19-22中任一项所述的方法,其中,在所述第二认证方法的过程期间,在所述终端设备与所述移动性管理实体之间使用包括具有可扩展认证协议EAP消息交换的扩展协议配置选项ePCO的至少一个修改演进分组系统EPS承载上下文请求和至少一个修改EPS承载上下文接受。
24.根据权利要求19-23中任一项所述的方法,其中,所述第二认证方法包括可扩展认证协议EAP。
25.根据权利要求19-24中任一项所述的方法,其中,所述第一认证方法包括密码认证协议PAP或挑战握手认证协议CHAP。
26.根据权利要求19-25中任一项所述的方法,其中,所述会话管理和网关实体包括与分组数据网络网关控制面组合的会话管理功能SMF+PGW-C。
27.根据权利要求19-26中任一项所述的方法,其中,所述终端设备正在接入第四代4G网络。
28.根据权利要求19-27中任一项所述的方法,其中,所述创建会话请求不包括特定于数据网络名称的真实用户名和用户密码。
29.根据权利要求19-28中任一项所述的方法,其中,所述附着请求不包括特定于数据网络名称的真实用户名和用户密码。
30.一种由终端设备执行的方法(600),包括:
向移动性管理实体发送(601)附着请求,
其中,将由会话管理和网关实体触发第二认证方法的过程而不是第一认证方法的过程,
其中,所述第二认证方法比所述第一认证方法具有更高的安全性。
31.根据权利要求30所述的方法,其中,在所述会话被成功设置后触发所述第二认证方法的过程。
32.根据权利要求30或31所述的方法,进一步包括:
从所述移动性管理实体接收(602)消息,所述消息包括指示所述第二认证方法成功的信息。
33.根据权利要求30-32中任一项所述的方法,其中,在所述第二认证方法的过程期间,在所述会话管理和网关实体与所述移动性管理实体之间使用包括具有可扩展认证协议EAP消息交换的扩展协议配置选项ePCO的至少一个更新承载请求和至少一个更新承载响应。
34.根据权利要求30-33中任一项所述的方法,其中,在所述第二认证方法的过程期间,在所述终端设备与所述移动性管理实体之间使用包括具有可扩展认证协议EAP消息交换的扩展协议配置选项ePCO的至少一个修改演进分组系统EPS承载上下文请求和至少一个修改EPS承载上下文接受。
35.根据权利要求30-34中任一项所述的方法,其中,所述第二认证方法包括可扩展认证协议EAP。
36.根据权利要求30-35中任一项所述的方法,其中,所述第一认证方法包括密码认证协议PAP或挑战握手认证协议CHAP。
37.根据权利要求30-36中任一项所述的方法,其中,所述会话管理和网关实体包括与分组数据网络网关控制面组合的会话管理功能SMF+PGW-C。
38.根据权利要求30-37中任一项所述的方法,其中,所述终端设备正在接入第四代4G网络。
39.根据权利要求30-38中任一项所述的方法,其中,所述附着请求不包括特定于数据网络名称的真实用户名和用户密码。
40.一种由策略控制功能执行的方法(610),包括:
从会话管理和网关实体接收(611)信息,所述信息指示与终端设备相关的认证待定;以及
向所述会话管理和网关实体发送(612)默认服务质量QoS信息,
其中,将由所述会话管理和网关实体触发第二认证方法的过程而不是第一认证方法的过程,
其中,所述第二认证方法比所述第一认证方法具有更高的安全性。
41.根据权利要求40所述的方法,其中,在所述会话被成功设置后触发所述第二认证方法的过程。
42.根据权利要求40或41所述的方法,进一步包括:
从所述会话管理和网关实体接收(621)信息,所述信息指示所述第二认证方法成功;以及
向所述会话管理和网关实体发送(622)至少一个服务策略和计费控制规则。
43.根据权利要求40-42中任一项所述的方法,其中,所述第二认证方法包括可扩展认证协议EAP。
44.根据权利要求40-43中任一项所述的方法,其中,所述第一认证方法包括密码认证协议PAP或挑战握手认证协议CHAP。
45.根据权利要求40-44中任一项所述的方法,其中,所述会话管理和网关实体包括与分组数据网络网关控制面组合的会话管理功能SMF+PGW-C。
46.根据权利要求40-45中任一项所述的方法,其中,所述终端设备正在接入第四代4G网络。
47.一种由认证授权和记账AAA服务器执行的方法(630),包括:
从会话管理和网关实体接收(631)包括终端设备的标识的接入请求;以及
向所述会话管理和网关实体发送(632)包括授权数据的接入接受消息,
其中,将由所述会话管理和网关实体触发第二认证方法的过程而不是第一认证方法的过程,
其中,所述第二认证方法比所述第一认证方法具有更高的安全性。
48.根据权利要求47所述的方法,其中,所述接入请求进一步包括空的用户名或本地配置的用户名。
49.根据权利要求47或48所述的方法,其中,在所述会话被成功设置后触发所述第二认证方法的过程。
50.根据权利要求47-49中任一项所述的方法,进一步包括:
在成功完成所述第二认证方法的过程之后,向所述会话管理和网关实体发送(633)指示所述第二认证方法成功的信息。
51.根据权利要求47-50中任一项所述的方法,进一步包括:
确定(641)在一段时间后没有开始所述第二认证方法的过程;以及
向所述会话管理和网关实体发送(642)断开连接请求。
52.根据权利要求47-51中任一项所述的方法,其中,所述第二认证方法包括可扩展认证协议EAP。
53.根据权利要求47-52中任一项所述的方法,其中,所述第一认证方法包括密码认证协议PAP或挑战握手认证协议CHAP。
54.根据权利要求47-53中任一项所述的方法,其中,所述会话管理和网关实体包括与分组数据网络网关控制面组合的会话管理功能SMF+PGW-C。
55.根据权利要求47-54中任一项所述的方法,其中,所述AAA服务器包括数据网络AAA(DN-AAA)服务器。
56.根据权利要求47-55中任一项所述的方法,其中,所述终端设备正在接入第四代4G网络。
57.一种会话管理和网关实体(700),包括:
处理器(721);和
耦合到所述处理器(721)的存储器(722),所述存储器(722)存储可由所述处理器(721)执行的指令,由此所述会话管理和网关实体(700)可操作以:
从移动性管理实体接收包括终端设备的标识的创建会话请求;
确定使用第二认证方法而不是第一认证方法,其中,所述第二认证方法比所述第一认证方法具有更高的安全性;以及
触发与认证授权和记账AAA服务器相关的所述第二认证方法的过程。
58.根据权利要求57所述的会话管理和网关实体,其中,所述会话管理和网关实体还可操作以执行权利要求2至18中任一项所述的方法。
59.一种移动性管理实体(700),包括:
处理器(721);和
耦合到所述处理器(721)的存储器(722),所述存储器(722)存储可由所述处理器(721)执行的指令,由此所述移动性管理实体(700)可操作以:
从终端设备接收附着请求;以及
向会话管理和网关实体发送包括所述终端设备的标识的创建会话请求,
其中,将由所述会话管理和网关实体触发第二认证方法的过程而不是第一认证方法的过程,
其中,所述第二认证方法比所述第一认证方法具有更高的安全性。
60.根据权利要求59所述的移动性管理实体,其中,所述移动性管理实体还可操作以执行根据权利要求20至29中任一项所述的方法。
61.一种终端设备(700),包括:
处理器(721);和
耦合到所述处理器(721)的存储器(722),所述存储器(722)存储可由所述处理器(721)执行的指令,由此所述终端设备(700)可操作以:
向移动性管理实体发送附着请求,
其中,将由会话管理和网关实体触发第二认证方法的过程而不是第一认证方法的过程,
其中,所述第二认证方法比所述第一认证方法具有更高的安全性。
62.根据权利要求61所述的终端设备,其中,所述终端设备还可操作以执行权利要求31至39中任一项所述的方法。
63.一种策略控制功能(700),包括:
处理器(721);和
耦合到所述处理器(721)的存储器(722),所述存储器(722)存储可由所述处理器(721)执行的指令,由此所述策略控制功能(700)可操作以:
从会话管理和网关实体接收信息,所述信息指示与终端设备相关的认证待定;以及
向所述会话管理和网关实体发送默认服务质量QoS信息,
其中,将由所述会话管理和网关实体触发第二认证方法的过程而不是第一认证方法的过程,
其中,所述第二认证方法比所述第一认证方法具有更高的安全性。
64.根据权利要求63所述的策略控制功能,其中,所述策略控制功能还可操作以执行权利要求41至46中任一项所述的方法。
65.一种认证授权和记账AAA服务器(700),包括:
处理器(721);和
耦合到所述处理器(721)的存储器(722),所述存储器(722)存储可由所述处理器(721)执行的指令,由此所述AAA服务器(700)可操作以:
从会话管理和网关实体接收包括终端设备的标识的接入请求;以及
向所述会话管理和网关实体发送包括授权数据的接入接受消息,
其中,将由所述会话管理和网关实体触发第二认证方法的过程而不是第一认证方法的过程,
其中,所述第二认证方法比所述第一认证方法具有更高的安全性。
66.根据权利要求65所述的AAA服务器,其中,所述AAA服务器还可操作以执行根据权利要求48至56中任一项所述的方法。
67.一种存储指令的计算机可读存储介质,所述指令在由至少一个处理器执行时使所述至少一个处理器执行根据权利要求1至56中任一项所述的方法。
68.一种包括指令的计算机程序产品,所述指令在由至少一个处理器执行时使所述至少一个处理器执行根据权利要求1至56中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNPCT/CN2021/077462 | 2021-02-23 | ||
| CN2021077462 | 2021-02-23 | ||
| PCT/CN2022/077469 WO2022179525A1 (en) | 2021-02-23 | 2022-02-23 | Method and apparatus for authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117322026A true CN117322026A (zh) | 2023-12-29 |
Family
ID=83047751
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280029776.9A Pending CN117322026A (zh) | 2021-02-23 | 2022-02-23 | 用于认证的方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20240129312A1 (zh) |
| EP (1) | EP4298813A1 (zh) |
| JP (1) | JP2024507269A (zh) |
| CN (1) | CN117322026A (zh) |
| WO (1) | WO2022179525A1 (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067342B (zh) * | 2011-10-20 | 2018-01-19 | 中兴通讯股份有限公司 | 一种使用eap进行外部认证的设备、系统及方法 |
| WO2018137873A1 (en) * | 2017-01-27 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Secondary authentication of a user equipment |
| CN109391940B (zh) * | 2017-08-02 | 2021-02-12 | 华为技术有限公司 | 一种接入网络的方法、设备及系统 |
-
2022
- 2022-02-23 WO PCT/CN2022/077469 patent/WO2022179525A1/en active Application Filing
- 2022-02-23 EP EP22758889.4A patent/EP4298813A1/en active Pending
- 2022-02-23 US US18/278,309 patent/US20240129312A1/en active Pending
- 2022-02-23 CN CN202280029776.9A patent/CN117322026A/zh active Pending
- 2022-02-23 JP JP2023550687A patent/JP2024507269A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2024507269A (ja) | 2024-02-16 |
| EP4298813A1 (en) | 2024-01-03 |
| US20240129312A1 (en) | 2024-04-18 |
| WO2022179525A1 (en) | 2022-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2727432B1 (en) | Methods and apparatus for multiple packet data connections | |
| US10827394B2 (en) | Triggering selective fallback based on user subscription information | |
| US9344890B2 (en) | Trusted wireless local area network (WLAN) access scenarios | |
| US9749306B2 (en) | Method, device and communications system for network convergence | |
| WO2015062098A1 (zh) | 一种网络选择方法及核心网设备 | |
| US20210127272A1 (en) | User Plane Integrity Protection Method and Apparatus, and Device | |
| WO2017028998A1 (en) | System, method, and apparatus for facilitating selection of a serving node | |
| WO2020098245A1 (en) | Method and apparatus for session management | |
| US20240121591A1 (en) | Methods and apparatuses for event monitoring | |
| EP4135379A1 (en) | Slice authentication method and apparatus | |
| EP2787768B1 (en) | Access method and system | |
| US20140071945A1 (en) | Device Triggering Method and Network Element Device | |
| US9641531B2 (en) | Node and a method for enabling network access authorization | |
| CN110301156B (zh) | 通信终端、控制设备、通信系统和通信方法 | |
| CN117322026A (zh) | 用于认证的方法和装置 | |
| CN115299168A (zh) | 用于切换的方法和装置 | |
| US20230224300A1 (en) | Method and Apparatus for Authentication and Authorization | |
| WO2021217611A1 (en) | Method and apparatus for information synchronization | |
| EP4192064A1 (en) | Access control method and apparatus, and communication device | |
| WO2024017181A1 (zh) | 设备授权方法、装置及网络侧设备 | |
| KR20240044508A (ko) | 세션 관리를 위한 방법 및 장치 | |
| CN118233865A (zh) | 用于会话管理的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |