CN117957814A - 向接入网络连接的方法 - Google Patents

向接入网络连接的方法 Download PDF

Info

Publication number
CN117957814A
CN117957814A CN202180102430.2A CN202180102430A CN117957814A CN 117957814 A CN117957814 A CN 117957814A CN 202180102430 A CN202180102430 A CN 202180102430A CN 117957814 A CN117957814 A CN 117957814A
Authority
CN
China
Prior art keywords
message
access network
token
network
subscription
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180102430.2A
Other languages
English (en)
Inventor
A·萨尔金齐斯
A·昆兹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Singapore Pte Ltd
Original Assignee
Lenovo Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Singapore Pte Ltd filed Critical Lenovo Singapore Pte Ltd
Publication of CN117957814A publication Critical patent/CN117957814A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

公开了用于向接入网络连接设备的装置、方法和系统。一种装置(300)包括处理器(305)和收发机(325),该收发机(325)发送(505)用于向接入网络连接的第一消息,第一消息包含PLMN的身份。收发机(325)从认证服务器接收(510)第二消息,第二消息包含响应于第一消息而创建的令牌。处理器(305)使得(515)第一设备能够接收令牌,第一设备具有与PLMN的第一订阅。收发机(325)从认证服务器接收(520)第三消息,使得装置(300)能够使用第一订阅来向接入网络连接,装置(300)不执行与认证服务器的认证过程。

Description

向接入网络连接的方法
技术领域
本文中公开的主题总体上涉及无线通信,并且更具体地涉及使得没有网络凭证的第一设备能够在由拥有有效凭证的第二设备授权后向接入网络连接的过程。
背景技术
许多笔记本电脑、平板电脑或物联网(IoT)设备不拥有通用订户身份模块(USIM),因此,它们不能由公共陆地移动网络(PLMN)授权以接入无线局域网(WLAN)接入网络,因为这些设备不能与PLMN认证。
发明内容
公开了用于将设备向接入网络连接的过程。该过程可以由装置、系统、方法、或计算机程序产品实现。
一种用于向接入网络连接设备的通信设备(例如,N5CW设备)的方法,包括发送用于向接入网络连接的第一消息,其中第一消息包含PLMN的身份。该方法包括从认证服务器接收包含令牌的第二消息,其中令牌是响应于第一消息而被创建。该方法包括使得第一设备能够接收令牌,其中第一设备具有与PLMN的第一订阅。该方法包括从认证服务器接收第三消息,使得通信设备能够使用第一订阅来向接入网络连接,其中通信装置不执行与认证服务器的认证。
一种用于向接入网络连接设备的AAA服务器的方法,包括从通信设备(例如,从N5CW设备)接收用于向接入网络连接的第一消息,并且确定请求第一服务器来授权通信设备,其中使用被包含在第一消息中的NAI来进行确定。该方法包括从第一服务器接收包含用于经由另一个设备授权通信设备的令牌的响应以及向通信设备发送第二消息,其中第二消息包含令牌。
一种用于向接入网络连接设备的用户设备(UE)的方法,包括向第一服务器发送第一授权消息,其中第一授权消息包括从通信设备接收的令牌。该方法包括从第一服务器接收第二授权消息,其中第二授权消息请求用于通信设备的接入网络(AN)授权。该方法还包括请求用于通信设备的用户授权来使用属于UE设备的第一订阅以向第一AN连接,以及响应于用户授权通信设备使用第一订阅来向第一AN连接,向第一服务器发送授权接受消息。
一种用于向接入网络后端服务器连接设备的方法,包括从第一设备(例如,能够由PLMN认证的UE)接收第一授权消息,其中第一授权消息包括与第二设备(例如,N5CW设备)相关联的令牌。该方法包括向第一设备发送第二授权消息。在这里,第二授权消息请求用于第二设备的接入网络授权,其中第一设备具有与PLMN的第一订阅。该方法响应于用户授权第二设备使用第一订阅来向第一接入网络(例如,WLAN)连接,从第一设备接收第三授权信息,以及向认证服务器(例如,AAA服务器)发送接受消息。在这里,接受消息包含第一设备的身份,并且授权第二设备使用第一订阅来向接入网络连接。
附图说明
将参考附图中所示的具体实施例,对上面简要描述的实施例进行更具体的描述。将理解的是,这些附图仅描绘了一些实施例并且因此不被认为是对范围的限制,将通过使用附图以附加的特征和细节来描述和解释这些实施例,在附图中:
图1是示出用于向接入网络连接设备的无线通信系统的一个实施例的框图;
图2A是示出用于向接入网络连接N5CW设备的过程的一个实施例的呼叫流程图;
图2B是图2A的呼叫流程图的延续;
图2C是图2A和2B的呼叫流程图的延续;
图3是示出可以用于向接入网络连接设备的用户设备装置的一个实施例的框图;
图4是示出可以用于向接入网络连接设备的网络装置的一个实施例的框图;
图5是示出用于向接入网络连接设备的第一方法的一个实施例的流程图;
图6是示出用于向接入网络连接设备的第二方法的一个实施例的流程图;
图7是示出用于向接入网络连接设备的第三方法的一个实施例的流程图;
图8是示出用于向接入网络连接设备的第四方法的一个实施例的流程图。
具体实施方式
如本领域技术人员所理解的,实施例的各方面可以体现为系统、装置、方法或程序产品。因此,实施例可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)、或结合软件和硬件方面的实施例的形式。
例如,公开的实施例可以作为硬件电路来实现,包括定制的超大规模集成(VLSI)电路或门阵列、现成的半导体(例如逻辑芯片、晶体管)、或其他分立组件。公开的实施例也可以在可编程硬件设备中实现,例如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备或类似设备。作为另一个示例,公开的实施例可以包括一个或多个可执行代码的物理或逻辑块,这些可执行代码可以组织为对象、过程或函数。
此外,实施例可以采取程序产品的形式,该程序产品体现在存储机器可读代码、计算机可读代码和/或程序代码(以下称为代码)的一个或多个计算机可读存储设备中。存储设备可以是有形的、非暂态的和/或非传输的。存储设备可以不包括信号。在特定实施例中,存储设备仅采用信号来访问代码。
可以利用一种或多种计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是例如但不限于电子的、磁性的、光学的、电磁的、红外的、全息的、微机械的或半导体的系统、装置或设备、或前述各项的任何合适的组合。
存储设备的更具体示例(非详尽列表)包括以下各项:具有一根或多根电线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM”)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、便携式光盘只读存储器(CD-ROM)、光学存储设备、磁存储设备或前述各项的任何合适的组合。在本文档的上下文中,计算机可读存储介质可以是任何有形介质,其可以包含或存储程序以供指令执行系统、装置或设备使用或者与之相结合使用。
用于执行实施例的操作的代码可以是任何数目的行,并且可以用一种或多种编程语言的任何组合来编写,包括面向对象的编程语言(例如Python、Ruby、Java、Smalltalk、C++等)和传统的过程编程语言(例如C编程语言等)和/或机器语言(例如汇编语言)。代码可以完全在用户的计算机上执行,部分地在用户的计算机上执行,作为独立软件包来执行,部分地在用户的计算机上执行并且部分地在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络连接到用户的计算机,包括局域网(LAN)、无线LAN(WLAN)或广域网(WAN),或者可以进行到外部计算机的连接(例如,使用互联网服务提供商(ISP)通过互联网)。
此外,所描述的实施例的特征、结构或特性可以以任何合适的方式进行组合。在以下描述中,提供了很多具体细节,例如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例,以提供对实施例的全面理解。然而,相关领域的技术人员将认识到,实施例可以在没有一个或多个特定细节的情况下、或者使用其他方法、组件、材料等来实践。在其他情况下,公知的结构、材料或操作没有详细示出或描述,以避免混淆实施例的各方面。
本说明书中对“一个实施例”、“实施例”或类似语言的引用表示结合该实施例而描述的特定特征、结构或特性被包括在至少一个实施例中。因此,除非另有明确规定,否则短语“在一个实施例中”、“在实施例中”和类似语言贯穿本说明书的出现可以但不一定都是指同一实施例,而是指“一个或多个但不是所有实施例”。除非另有明确规定,否则术语“包括(including)”、“包括(comprising)”、“具有(having)”及其变体是指“包括但不限于”。除非另有明确规定,否则列举的项目清单并不表示任何或所有项目是相互排斥的。除非另有明确规定,否则术语“a”、“an”和“the”也指代“一个或多个”。
如本文所使用的,带有“和/或”连词的列表包括列表中的任何单个项目或列表中的项目组合。例如,A、B和/或C列表包括仅A、仅B、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所使用的,使用术语“一个或多个”的列表包括列表中的任何单个项目或列表中的项目组合。例如,A、B和C中的一个或多个包括仅A、仅B、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所使用的,使用术语“之一”的列表包括列表中任何单个项目的一个且仅一个。例如,“A、B和C之一”包括仅A、仅B或仅C,不包括A、B和C的组合。如本文所使用的,“选自A、B和C组成的组的成员”包括且仅包括A、B或C中的一个,不包括A、B和C的组合。如本文所使用的,“选自A、B和C及其组合的成员”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
以下参考根据实施例的方法、装置、系统和程序产品的示意性流程图和/或示意性框图来描述实施例的各方面。将理解的是,示意性流程图和/或示意性框图的每个块以及示意性流程图和/或示意性框图中块的组合可以通过代码来实现。该代码可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可程序数据处理装置的处理器执行的指令创建用于实现在流程图和/或框图中指定的功能/动作的部件。
代码也可以被存储在存储设备中,该存储设备可以指导计算机、其他可编程数据处理装置或其他设备以特定方式工作,使得存储在存储设备中的指令产生制品,该制品包括用于实现在流程图和/或框图中指定的功能/动作的指令。
代码也可以被加载到计算机、其他可编程数据处理装置或其他设备上,以引起一系列操作步骤在计算机、其他可编程装置或其他设备上被执行,以产生计算机实现的过程,使得在计算机或其他可编程装置上执行的代码提供用于实现在流程图和/或框图中指定的功能/动作的过程。
图中的呼叫流程图、流程图和/或框图示出了根据各种实施例的装置、系统、方法和程序产品的可能实现的架构、功能和操作。在这点上,流程图和/或框图中的每个块可以表示代码模块、段或部分,其包括用于实现(多个)指定逻辑功能的代码的一个或多个可执行指令。
还应当注意,在一些可替换的实现中,块中所示的功能可以不按图中所示的顺序出现。例如,事实上,连续示出的两个块可以基本上同时执行,或者这些块有时可以按照相反的顺序执行,这取决于所涉及的功能。可以设想在功能、逻辑或效果上等同于所示附图的一个或多个块或其部分的其他步骤和方法。
尽管在呼叫流程图、流程图和/或框图中可以采用各种箭头类型和线型,但应当理解为它们不限制对应实施例的范围。实际上,一些箭头或其他连接器可以用于仅指示所描绘的实施例的逻辑流程。例如,箭头可以指示所描绘的实施例的列举步骤之间的未指定持续时间的等待或监测时段。还将注意到,框图和/或流程图的每个块、以及框图和/或流程图中块的组合可以由执行指定功能或动作的基于专用硬件的系统、或者专用硬件和代码的组合来实现。
每个图中的元素的描述可以参考后续图的元素。相似的附图标记在所有附图中指代相似的元素,包括相似元素的替代实施例。
总体上,本公开描述了用于授权第一设备(例如,具有与PLMN的订阅的UE)以授权第二设备向接入网络连接的系统、方法和装置。在某些实施例中,方法可以使用在计算机可读介质上嵌入的计算机代码执行。在某些实施例中,装置或系统可以包括计算机可读介质,计算机可读介质包含计算机可读代码,当计算机可读代码由处理器执行时,使得装置或系统执行下述解决方案的至少一部分。
第三代合作伙伴计划(3GPP)目前正在开展工作,以指定第五代(5G)网络可以在设备成功由5G网络认证后授权设备接入WLAN接入网络的过程。这些过程被指定为“使用3GPP凭证的5GS中进行非无缝WLAN卸载研究”的一部分。
这些过程中的关键假设是尝试接入WLAN接入网络的设备必须拥有存储在USIM模块中的有效的3GPP凭证。然而,该假设在实践中往往难以实现或成本很高。例如,许多笔记本电脑、平板电脑或IoT设备没有拥有USIM模块,因此它们无法被5G网络授权以接入WLAN接入网络,因为它们无法与5G网络进行认证。这些没有拥有USIM的通信设备不支持5G核心网络(5GC)非接入层(NAS)信令,因此在本文中被称为“Non-5G-Capable-over-WLAN”(N5CW)设备。
为了解决上述限制,本公开公开了过程,使得没有3GPP凭证的第一设备(例如,笔记本电脑)能够在注册到5G网络并且拥有有效3GPP凭证的第二设备(例如,智能手机)授权后连接到WLAN接入网络。
本公开实现的典型用例如下:
·没有USIM模块的笔记本电脑通过从5G PLMN接收授权来尝试接入WLAN接入网络;
·已经使用有效3GPP凭证注册到该5G PLMN的智能手机接收请求以授权笔记本电脑接入WLAN接入网络;
·智能手机的用户授予授权;以及
·作为响应,笔记本电脑被允许连接到WLAN接入网络,并且与智能手机的订阅相关联。
本公开呈现了可以用于使得N5CW设备能够接入WLAN接入网络的新过程。该新过程的关键特性是没有对N5CW设备的认证。换言之,N5CW没有由PLMN中的AAA服务器认证。相反,如果N5CW设备由另一个设备(拥有有效凭证(即,具有与PLMN的订阅)并且可以由PLMN认证)的用户授权,则被允许接入WLAN接入网络。
图1描述了根据本公开的实施例的用于向接入网络连接设备的无线通信系统100。在一个实施例中,无线通信系统100包括至少一个远程单元105、移动接入网络120和移动核心网络140。包含至少一个基站单元121的移动接入网络120和移动核心网络140构成移动通信网络。无线通信系统100还可以包括包含至少一个接入点131的无线局域网(WLAN)接入网络。远程单元105使用无线通信链路123与移动接入网络120通信和/或使用无线通信链路133与WLAN接入网络130通信。尽管图1中描述了特定数目的远程单元105、移动接入网络120、基站单元121、无线通信链路123、WLAN接入网络130、接入点131、无线通信链路133和移动核心网络140,但本领域技术人员将认识到无线通信系统100可以包括任何数目的远程单元105、移动接入网络120、基站单元121、无线通信链路123、WLAN接入网络130、接入点131、无线通信链路133和移动核心网络140。
在一种实现方式中,移动接入网络120符合第三代合作伙伴项目(3GPP)规范中规定的5G系统。例如,移动接入网络120可以包括新一代无线接入网络(NG-RAN),实现新无线电(NR)无线电接入技术(RAT)和/或长期演进(LTE)RAT。在另一个示例中,移动接入网络120可以包括非3GPP RAT(例如,或符合电气与电子工程师协会(IEEE)802.11系列标准的WLAN)。在另一种实现方式中,移动接入网络120符合3GPP规范中规定的LTE系统。不过,更一般地说,无线通信系统100可以采用一些其他开放或专有的通信网络,例如全球微波接入互操作性(WiMAX)或IEEE 802.16系列标准等网络。本公开不旨在局限于任何特定无线通信系统架构或协议的实现。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(PDA)、平板电脑、智能电话、智能电视(例如,连接到互联网的电视)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏控制台、安全系统(包括安全摄像头)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以称为UE、订户单元、移动台、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发送/接收单元(WTRU)、设备或本领域中使用的其他术语。在各种实施例中,远程单元105包括订户身份和/或识别模块(SIM)以及提供移动终止功能的移动设备(ME)(例如,无线电传输、切换、语音编解码、误差检测与纠正、SIM的信令和接入)。在某些实施例中,远程单元105可以包括终端设备(TE)和/或被嵌入到装置或设备(例如,如上文所述的计算设备)中。
远程单元105可以经由上行链路(UL)和下行链路(DL)通信信号与移动接入网络120中的一个或多个基站单元121直接通信。此外,UL和DL通信信号可以通过无线通信链路123传输。类似地,远程单元105可以经由通过无线通信链路133传输的UL和DL通信信号与(多个)WLAN接入网络130中的一个或多个接入点通信。在这里,接入网络120和130是为远程单元105提供接入移动核心网络140的中间网络。
N5CW设备110代表不具有USIM模块的一类远程单元105,因此无法与移动核心网络140进行认证。如下文更详细地描述的,由于N5CW设备110无法直接与移动核心网络140进行认证,因此N5CW设备110可以使用具有接入移动接入网络120和移动核心网络140的有效凭证的远程单元105的订阅来向移动核心网络140请求接入WLAN接入网络130的授权。在这里,只有由订阅持有者(即,远程单元105)授权时,才允许N5CW设备110向WLAN接入网络130连接。
在一些实施例中,远程单元105和/或N5CW设备110经由与移动核心网络140的网络连接与应用服务器(例如,在分组数据网络150中)通信。例如,在远程单元105中的应用107(例如,网络浏览器、媒体客户端、电话和/或互联网语音协议(VoIP)应用)可以经由移动接入网络120触发远程单元105(或N5CW设备)与移动核心网络140建立协议数据单元(PDU)会话(或其他数据连接)。然后,移动核心网络140使用PDU会话在远程单元105(或N5CW设备)和应用服务器之间中继业务。PDU会话代表远程单元105(或N5CW设备)和用户平面功能(UPF)141之间的逻辑连接。
在其他实施例中,远程单元105和/或N5CW设备110可以与远程主机135建立连接,用于直接卸载某些业务。例如,远程主机可以是数据网络150中也有实例的应用服务器的本地实例(例如,在边缘计算网络中)。在这里,远程单元105和/或N5CW设备110中的相应的应用客户端可以与远程主机135建立连接。如下文更详细地描述的,远程单元105和/或N5CW设备110中的UE路由选择策略(URSP)规则可以指示某些业务应当直接卸载到远程主机135,而不是经由PDU会话传送到数据网络150。
为了建立PDU会话(或PDU连接),远程单元105(或N5CW设备)必须向移动核心网络140(在第四代(4G)系统上下文中也被称为“附接到移动核心网络”)注册。需要注意的是,远程单元105(或N5CW设备)可以与移动核心网络140建立一个或多个PDU会话(或其他数据连接)。因此,远程单元105可以具有用于与分组数据网络150通信的至少一个PDU会话。远程单元105(或N5CW设备)可以建立用于与其他数据网络和/或其他通信对等设备通信的额外的PDU会话。
在5G系统(5GS)的上下文中,术语“PDU会话”指的是通过UPF 141在远程单元105(或N5CW设备)和特定数据网络(DN)之间提供端到端(E2E)用户平面(UP)连接的数据连接。PDU会话支持一个或多个服务质量(QoS)流。在某些实施例中,QoS流和QoS配置文件(profile)之间可以存在一对一映射,使得属于特定QoS流的所有分组都具有相同的5G QoS标识符(5QI)。
在4G/LTE系统(诸如演进分组系统(EPS))的上下文中,分组数据网络(PDN)连接(也称为EPS会话)提供远程单元和PDN之间的E2E UP连接。PDN连接过程建立EPS承载,即远程单元105和移动核心网络140中的分组网关(PGW,未示出)之间的隧道。在某些实施例中,EPS承载和QoS配置文件(profile)之间存在一一映射,从而属于特定EPS承载的所有分组都具有相同的QoS类别标识符(QCI)。
基站单元121可以分布在一个地理区域内。在某些实施例中,基站单元121也可以被称为接入终端、接入点、基站(base)、基站(base station)、节点B(NB)、演进型节点B(缩写为eNodeB或eNB,也称为演进通用地面无线接入网络(E-UTRAN)节点B)、5G/NR节点B(gNB)、归属节点B、中继节点、RAN节点、或本领域使用的其他术语。基站单元121通常是接入网络(AN)的一部分,例如移动接入网络120,移动接入网络120可以包括可通信地耦合到一个或多个对应的基站单元121的一个或多个控制器。无线电接入网络的这些和其他元件没有示出,但是本领域普通技术人员通常是公知的。基站单元121经由移动接入网络120连接到移动核心网络140。
基站单元121可以经由无线通信链路123来服务于服务区域(例如,小区或小区扇区)内的多个远程单元105。基站单元121可以经由通信信号与一个或多个远程单元105直接通信。通常地,基站单元121在时域、频域和/或空间域中传输DL通信信号以服务于远程单元105。此外,DL通信信号可以通过无线通信链路123传输。无线通信链路123可以是许可的或未许可的无线电频谱中的任何合适载波。无线通信链路123促进一个或多个远程单元105和/或一个或多个基站单元121之间的通信。需要注意的是,在未经许可的频谱(称为NR-U)上的NR操作期间,基站单元121和远程单元105通过未经许可的(即,共享的)无线电频谱进行通信。
WLAN接入网络130可以分布在一个地理区域内。每个WLAN接入网络130可以服务于服务区域内的多个远程单元105和/或N5CW设备110。WLAN接入网络130中的接入点131可以在时域、频域和/或空间域中通过接收UL通信信号和发送DL通信信号与一个或多个远程单元105和/或N5CW设备110直接通信以服务于远程单元105和/或N5CW设备110。DL和UL通信信号是通过无线通信链路133传输的。在一些实施例中,无线通信链路123和无线通信链路133可以采用不同的频率和/或不同的通信协议。在各种实施例中,接入点131可以使用未经许可的无线电频谱通信。
在一个实施例中,移动核心网络140是5GC或演进分组核心(EPC),它可以耦合到分组数据网络150(如互联网和专用数据网以及其他数据网络)。远程单元105可以具有移动核心网络140的订阅或其他账户。在各种实施例中,每个移动核心网络140属于单个的移动网络运营商(MNO)。本公开不旨在局限于任何特定无线通信系统架构或协议的实现。
移动核心网络140包括多个网络功能(NF)。如所描述的,移动核心网络140包括至少一个UPF 141。移动核心网络140还包括多个控制平面(CP)功能,包括但不限于为移动接入网络120服务的移动管理功能(AMF)143、会话管理功能(SMF)145、认证、授权和记账(AAA)服务器146、后端服务器147、认证服务器功能(AUSF)148、统一数据管理功能(UDM)和用户数据存储库(UDR)。尽管图1中描述了特定数目和类型的网络功能,但本领域技术人员将认识到移动核心网络140可以包括任何数目和类型的网络功能。
(多个)UPF 141是/负责5G架构中的分组路由和转发、分组检查、QoS处理以及用于互连数据网络(DN)的外部PDU会话。AMF 143负责NAS信令的终止、NAS加密和完整性保护、注册管理、连接管理、移动性管理、接入认证和授权、安全上下文管理。SMF 145负责会话管理(即,会话建立、修改、释放)、远程单元(即,UE)IP地址分配和管理、DL数据通知以及UPF 141的业务引导配置,以实现正确的业务路由。
AAA服务器146处理用于接入到网络资源的用户请求,并提供认证、授权和记账(AAA)服务。AAA服务器146可以与UDM交互,以检索用于远程单元105的订阅信息。
后端服务器147协调具有与移动核心网络140的订阅的远程单元105对N5CW设备110的接入授权。如下文更详细地描述的,后端服务器147生成并且向AAA服务器146提供与请求连接到WLAN接入网络130的N5CW设备110相对应的接入令牌。如果后端服务器147从具有有效凭证的远程单元105接收到接入令牌,并且如果远程单元105授权通过N5CW设备110接入,则后端服务器147授权请求的N5CW设备110连接到WLAN接入网络130,而无需对N5CW设备110进行认证。
在一些实施例中,远程单元105建立与后端服务器147的连接以提供接入令牌并且授权请求的N5CW设备110。例如,远程单元105可以经由分组数据网络150直接连接到后端服务器147。作为另一个示例,远程单元105可以经由UPF 141连接到后端服务器147。在其他实施例中,远程单元105使用NAS消息与后端服务器147通信,其中AMF 143在远程单元105和后端服务器147之间中继NAS消息。
AUSF 148是用于5G认证过程的认证实体。在一些实施例中,家庭网络中的AUSF148执行与具有5G能力的远程单元105的认证。在某些实施例中,AUSF 148作出UE认证上的决定,但是当使用5G-AKA或EAP-AKA时,AUSF 148依赖于后端服务器用于计算认证数据和密钥材料。
UDM负责生成认证和密钥协议(AKA)凭证、用户标识处理、接入授权、订阅管理。UDR是订户信息的存储库,并且可以被用于服务于很多网络功能。例如,UDR可以存储订阅数据,策略相关数据、允许向第三方应用程序开放的与订户相关的数据等。在一些实施例中,UDM与UDR位于同一位置,被描述为组合实体UDM/UDR 149。
在各种实施例中,移动核心网络140还可以包括网络存储库功能(NRF)(其提供网络功能(NF)服务注册和发现,使得NF能够相互识别适当的服务并且通过应用程序编程接口(API)相互通信)、网络开放功能(NEF)(负责使客户和网络合作伙伴能够方便地接入网络数据和资源)、策略控制功能(PCF)(负责统一策略框架,为CP功能提供策略规则,为UDR中的策略决策提供接入订阅信息)、或为5GC定义的其他NF。
在各种实施例中,移动核心网络140支持不同类型的移动数据连接和不同类型的网络切片,其中每个移动数据连接使用特定的网络切片。在这里,“网络切片”指的是移动核心网络140中针对特定业务类型或通信服务进行优化的部分。例如,一个或多个网络切片可以针对增强型移动宽带(eMBB)服务进行优化。又如另一个例子,一个或多个网络切片可以针对超可靠低延迟通信(URLLC)服务进行优化。在其他示例中,网络切片可以针对机器型通信(MTC)服务、大规模MTC(mMTC)服务、物联网(IoT)服务进行优化。在其他示例中,网络切片可以针对特定应用服务、垂直服务、特定用例等进行部署。
网络切片实例可以通过单网络切片选择辅助信息(S-NSSAI)来标识,而远程单元105(或N5CW设备)被授权使用的网络切片集合由网络切片选择辅助信息(NSSAI)来标识。这里,NSSAI指的是包括一个或多个S-NSSAI值的矢量值。在某些实施例中,各种网络切片可包括网络功能的单独实例,例如SMF 145和UPF 141。在一些实施例中,不同的网络切片可以共享一些共同的网络功能,例如AMF 143。为了便于说明,图1中未显示不同的网络切片,但假设它们支持。
尽管图1描述了5G RAN和5G核心网络的组件,但所描述的用于向接入网络连接设备的实施例适用于其他类型的通信网络和RAT,包括IEEE 802.11变形、全球移动通信系统(GSM,即2G数字蜂窝网络)、通用分组无线服务(GPRS)、通用移动电信系统(UMTS)、LTE变形、CDMA 2000、蓝牙、ZigBee、Sigfox等。
此外,在移动核心网络140为EPC的LTE变形中,所描述的网络功能可以用适当的EPC实体替换,例如移动性管理实体(MME)、服务网关(SGW)、PGW、归属订户服务器(HSS)等。例如,AMF 143可以映射到MME,SMF 145可以映射到PGW的控制平面部分和/或MME,UPF 141可以映射到SGW和PGW的用户平面部分,UDM/UDR 149可以映射到HSS等。
在以下描述中,术语“UE”被用于移动站/远程单元,但可以由任何其他远程设备替换,例如远程单元、MS、ME等。此外,这些操作主要是在5G NR的上下文中描述的。然而,下面描述的解决方案/方法同样适用于其他的用于向接入网络连接设备的移动通信系统。
图2描述了根据本公开的实施例的用于向接入网络连接设备的过程200。过程200涉及寻求接入WLAN 209的N5CW设备207。在这里,N5CW设备207可以是N5CW设备110的一个实施例,而WLAN 209代表接入网络,并且可以是WLAN接入网络130的一个实施例。过程200还涉及UE 205、AAA服务器211和后端服务器213。在这里,UE 205可以是远程单元105的一个实施例,AAA服务器211可以是AAA服务器146的一个实施例,后端服务器213可以是后端服务器147的一个实施例。在某些实施例中,过程200还涉及AMF 245,它可以是AMF 143的一个实施例。
当无法通过WLAN进行5G(Non-5G-capable-over-WLAN,N5CW)的设备207从PLMN请求授权以接入(即,连接到)WLAN接入网络209时,应用信令过程200。在这里,假设N5CW设备207不具有任何USIM以直接与网络认证。因此,N5CW设备207不支持通过WLAN接入网络209接入5GC NAS信令。
在可选步骤0,作为先决条件,UE 205开机并且向PLMN注册(参见块215)。在各种实施例中,在UE 205和PLMN之间的注册过程是基于本领域已知的过程引导的。
在步骤1a,N5CW设备207选择可选的WLAN接入网络209并且发起可扩展认证协议(EAP)过程以向该WLAN接入网络209连接(参见块217)。在N5CW设备207和WLAN接入网络209之间交换的EAP分组被封装为层2帧,例如IEEE 802.1x帧。N5CW设备207可以选择WLAN接入网络209,因为WLAN接入网络209公告(例如,经由接入网络查询协议(ANQP))它支持与特定PLMN的互通,或者因为N5CW设备207被预配置此WLAN接入网络209的身份(例如,服务集合标识符(SSID))。
在步骤1b中,N5CW设备207在EAP-响应分组中提供其网络地址标识符(NAI=username@realm)(参见消息219)。网络地址标识符(NAI)包含用户名,该用户名可以是设备名称(表示为“device_name”),以及包括应当用于授权N5CW设备207接入WLAN接入网络209的PLMN的身份的域。例如,NAI可以被设置为“device_name@nai.5gc-nn.mnc<MNC>.mcc<MCC>.3gppnetwork.org”。这种域已在3GPP TS23.003中指定,并且被由不支持通过WLAN接入网络209的NAS信令的设备利用。应当注意,移动国家代码(MCC)和移动网络代码(MNC)的组合唯一地标识了移动网络运营商(运营商)或PLMN。
在一些实施例中,NAI还可以包括特殊标识符(例如,字符“!”),或者具有特殊格式,这指示由N5CW设备207首选哪种类型的认证/授权过程。在这种情况下,标识符指示N5CW设备207优选经由另一个设备(例如,UE 205)被授权,该设备拥有常规PLMN订阅并且可以已经向PLMN注册。
在步骤1c,包括NAI的EAP-响应消息被封装在AAA请求消息中,并且被转发到由域标识的PLMN中的AAA服务器211中(参见消息221)。AAA请求消息还包括WLAN接入网络209的身份,例如SSID。
在步骤2a,在接收到步骤1c中的AAA请求后,AAA服务器211基于由N5CW设备207提供的NAI,确定使用后端服务器213,并且从后端服务器请求授权N5CW设备207以接入WLAN接入网络209(参见块223)。
因此,在步骤2b,AAA服务器创建与后端服务器213的新会话,并且向后端服务器213发送包括N5CW设备207的设备名称和WLAN接入网络209的SSID的请求消息(参见消息225)。
在步骤2c,响应于请求消息,后端服务器213创建与新会话相关联的唯一令牌,并且向AAA服务器211提供令牌(参见消息227)。在各种实施例中,令牌可以是足够长的随机数,例如,256比特或更长。
在步骤3a,AAA服务器211将令牌封装在EAP-请求分组中,并且经由WLAN接入网络209将该分组转发到N5CW设备207(参见消息229)。
在步骤3b,N5CW设备207接收包含令牌(参见消息231)的EAP-请求分组。
在步骤4a,N5CW设备207利用EAP-响应分组来响应步骤3b中接收到的EAP-请求分组,这确认令牌的接收。N5CW设备207经由WLAN接入网络209(参见消息233)将EAP-响应分组转发到AAA服务器211。
在步骤4b,在AAA消息内的EAP-响应分组被向AAA服务器211传送(参见消息235)。在AAA服务器211接收EAP-响应后,AAA服务器211等待后端服务器213以指示N5CW设备207是否被授权以接入WLAN接入网络209。在所描述的信令过程中,这在后面(即,在步骤11中)出现。
在步骤5,令牌从N5CW设备207向UE 205传送(参见消息237)。例如,N5CW设备207呈现编码令牌的快速响应(QR)码(例如,二维条形码或矩阵条形码),并且UE 205扫描QR码(基本上,UE 205中的应用扫描QR码)。可替换地,QR码可以经由蓝牙、近场通信(NFC)、或经由启用设备到设备通信的另一种方法被传送到UE 205。
在图2B继续,应当注意的是,UE 205可以与后端服务器213(A)直接使用IP通信、或(B)经由使用NAS信令的AMF 245通信。这两种可替换方法分别在图2B和2C作为选项A和选项B示出。
根据选项A,在步骤A0,在UE 205接收令牌后,UE 205发起与后端服务器213(参见消息239)的安全的传输层安全(TLS)连接。在一个实施例中,后端服务器213的互联网协议(IP)地址可以在UE 205中预配置。在另一个实施例中,后端服务器213的IP地址可以在步骤5中与令牌一起被提供给UE 205(例如,IP地址也可以在QR码中编码、或令牌本身可以包含IP地址)。
在建立安全的TLS连接后,UE 205通过使用标识UE 205在PLMN中的订阅的凭证登录到后端服务器213。例如,UE 205可以使用其移动站综合业务数字网(MSISDN)或其订阅永久标识符(SUPI)或指代PLMN订阅的另一个标识符登录。应当注意,如果UE 205已经与后端服务器213建立了TLS连接,并且在UE 205从N5CW设备207接收到令牌时已经登录到后端服务器213,则可以跳过步骤A0。
在步骤A1,UE 205向后端服务器发送在步骤5中从N5CW设备207接收的令牌(参见消息241)。该令牌使得后端服务器能够将UE 205与由AAA服务器211在步骤2中建立的会话相关联,请求授权N5CW207以向WLAN接入网络209连接。
在步骤A2,后端服务器213向UE 205发送包括如在步骤2b中接收的N5CW设备207的身份(即,device_name)和WLAN接入网络209身份(即,SSID)的授权请求消息(参见消息243)。应当注意,步骤9直接跟随步骤A2。
根据选项B,在步骤B1a,在UE 205接收令牌之后,UE 205将令牌包括在NAS消息中,并且将该令牌向UE 205注册的AMF 245发送(参见消息247)。应当注意,步骤5紧接在步骤B1a之前。
在步骤B1b,AMF 245将NAS消息中继到后端服务器213(参见消息249)。因此,后端服务器从UE 205接收令牌。
在步骤B2a,后端服务器213创建NAS信令,并且在NAS消息中包括device_name和WLAN接入网络209的SSID。然后,后端服务器213将NAS消息转发到AMF 245(参见消息251)。
在步骤B2b,然后,AMF 245将NAS消息中继到UE 205(参见消息253)。
在步骤9,UE 205要求用户授权N5CW设备207以向WLAN接入网络209连接(参见块255)。例如,UE 205可以呈现消息:“允许<device_name>使用您的移动订阅来向WLAN接入网络209<SSID>连接?”。
在步骤10,用户响应来自UE 205的提示,即通过允许(或拒绝)命名的N5CW设备207使用UE 205的订阅接入WLAN接入网络209(参见块257)。在所描述的实施例中,假设用户授权N5CW设备207向WLAN接入网络209连接。
在图2C继续,回顾UE 205可以根据选项A(即直接使用IP通信)或选项B(即经由AMF245使用NAS信令消息)与后端服务器213通信。在这里,UE 205使用之前选择的相同选项向后端服务器213发送令牌。
根据方案A,在步骤A3,如果用户授权<device_name>(即N5CW设备207)向WLAN接入网络209连接,则UE 205向后端服务器213发送授权接受消息(参见消息259)。否则,UE 205将向后端服务器213发送授权拒绝消息(未示出)。应当注意,步骤11直接地跟随步骤A3。
根据选项B,对于步骤B3a,如果用户授权<device_name>(即N5CW设备207)向WLAN接入网络209连接,则UE 205创建包括授权接受指示的NAS消息并且将NAS消息转发给AMF245(参见消息261)。应当注意,步骤10紧接在步骤B3a之前。
在步骤B3b,依次地,AMF 245将该NAS消息中继到后端服务器213(参见消息263)。应当注意,如果用户不授权<device_name>,则UE 205将在授权拒绝指示包括在NAS消息中(未示出)。
在步骤11,响应于授权接受消息/指示,后端服务器向AAA服务器211(参见消息265)发送接受消息。在这里,接受消息包含UE 205身份,例如MSISDN、SUPI或另一个身份。该UE 205身份可以由AAA服务器211使用以检索订阅信息(例如,存储在UDM中),例如,订阅信息包含用于N5CW设备207的连接限制、计费信息等。例如,订阅信息可以指示某些服务或IP地址或域名不应该经由WLAN接入网209到达。同时,订阅信息可以指示N5CW设备207经由WLAN接入网络209发送的所有业务或所选择的业务应当以一定的计费率计费。
在步骤12a,在检索订阅信息(在图2C中未示出)之后,AAA服务器211从令牌和其他参数(例如device_name、订阅数据等)中创建主会话密钥(MSK)(参见块267)。
在步骤12b,AAA服务器向WLAN接入网络209发送AAA消息(参见消息269)。在这里,AAA消息包括EAP-成功分组和MSK。可选地,AAA消息可以包括连接参数(例如用于N5CW设备207的连接限制)等。随后,MSK被用于导出WLAN接入网络209特定的安全密钥(例如,成对主密钥(PMK)),并且这些密钥被应用于保护在N5CW设备207和WLAN接入网络209之间的单播和多播业务。
在步骤12c,EAP-成功分组被转发到N5CW设备207,N5CW设备207完成了EAP会话,并且使得N5CW设备207接入WLAN接入网络209(参见消息271)。
在步骤12d,N5CW设备207还创建与由AAA服务器211向WLAN接入网络209提供的MSK相同的MSK(参见块273)。随后,MSK被用于导出WLAN接入网络209特定安全密钥(例如,成对主密钥(PMK),并且这些密钥被用于保护在N5CW设备207和WLAN接入网络209之间的单播和多播业务。
在步骤13,N5CW设备207从WLAN接入网络209获得IP配置信息(包括IP地址),并且发起IP通信,例如,网站浏览、电子邮件接入等(参见块275)。
图3描述了根据本公开的实施例的可以用于向接入网络连接设备的用户设备装置300。在各种实施例中,用户设备装置300用于实现上述一个或多个解决方案。在某些实施例中,用户设备装置300包含USIM模块(未示出)并且因此可以是如上所述的远程单元105和/或UE 205的一个实施例。在其他实施例中,用户设备装置300不包含USIM模块并且因此可以是如上所述的N5CW设备110和/或N5CW设备207的一个实施例。此外,用户设备装置300可以包括处理器305、存储器310、输入设备315、输出设备320和收发机325。
在一些实施例中,输入设备315和输出设备320被组合成单个设备,例如触摸屏。在某些实施例中,用户设备装置300可以不包括任何输入设备315和/或输出设备320。在各种实施例中,用户设备装置300可以包括以下的一项或多项:处理器305、存储器310和收发机325,并且可以不包括输入设备315和/或输出设备320。
如所描述的,收发机325包括至少一个发射机330和至少一个接收机335。在这里,收发机325与由一个或多个基站单元121支持的一个或多个小区(或无线覆盖区域)进行通信。在各种实施例中,收发机325在未经许可的频谱上是可运行的。此外,收发机325可以包括支持一个或多个波束的多个UE平面。此外,收发机325可以支持至少一个网络接口340和/或应用接口345。(多个)应用接口345可以支持一个或多个API。(多个)网络接口340可以支持3GPP参考点,诸如Uu、N1、PC5等。如本领域普通技术人员所理解的,可以支持其他网络接口340。
在一个实施例中,处理器305可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器305可以是微控制器、微处理器、中央处理单元(CPU)、图形处理单元(GPU)、辅助处理单元、现场可编程门阵列(FPGA)、或类似的可编程控制器。在一些实施例中,处理器305执行存储在存储器310中的指令以执行本文所述的方法和例程。处理器305通信地耦合到存储器310、输入设备315、输出设备320和收发机325。
在各种实施例中,处理器305控制用户设备装置300以实现上述的UE行为。在某些实施例中,处理器305可以包括管理应用域和操作系统(OS)功能的应用处理器(也称为主处理器)以及管理无线电功能的基带处理器(也称为基带无线电处理器)。
在一些实施例中,收发机325(即,支持无线电接口)向第一服务器(即,后端服务器)发送第一授权消息并且从第一服务器接收第二授权消息。在这里,第一授权消息包括从通信设备(例如,N5CW设备)接收的令牌和请求用于通信设备的接入网络(AN)授权的第二授权消息。处理器305使用属于装置300的第一订阅来请求用于通信设备的用户授权以向第一AN连接。收发机响应于用户授权通信设备使用第一订阅来向第一AN连接,向第一服务器发送授权接受消息。
在一些实施例中,装置300还包括图像捕获设备,例如相机、二维码阅读器等。在这种实施例中,从通信设备接收令牌可以包括捕获由通信设备生成的令牌的视觉表示。应当注意的是,图像捕获设备可以是输入设备315的一部分。然后,处理器305可以从捕获的视觉表示中获得令牌。在其他实施例中,从通信设备接收令牌包括使用设备到设备通信链路来接收令牌。在各种实施例中,可以使用音频信号、超声波信号、光信号、无线电信号等来接收令牌。在进一步的实施例中,令牌可以是由装置300的用户手动输入的字符串(例如,字母数字)。
在一些实施例中,第二授权消息包括通信设备的身份和第一AN的身份。在这种实施例中,请求用于通信设备的用户授权以向第一AN连接可以包括向用户呈现通信设备的身份和第一AN的身份。在一些实施例中,第一授权消息和授权接受消息是使用NAS消息(即,经由AMF接收的)而被发送到第一服务器的,并且第二授权消息是使用NAS消息(即,经由AMF接收的)而从第一服务器接收的。
在一些实施例中,处理器305建立与第一服务器的安全连接,以及使用标识第一订阅的凭证来认证装置300与第一服务器。在这种实施例中,第一授权消息和授权接受消息是使用安全连接而被发送的,并且第二授权消息是使用安全连接而被接收的。在某些实施例中,从通信设备接收的令牌包括第一服务器的网络地址。
在各种实施例中,处理器305控制装置300执行上述N5CW设备功能和行为。在这种实施例中,收发机325(即,支持无线电接口)发送用于向接入网络(例如,WLAN)连接的第一消息,第一消息包含PLMN的身份。收发机325从认证服务器接收第二消息。在这里,第二消息包含令牌,令牌是响应于第一消息而创建的。处理器305使得第一设备(即,UE具有有效接入凭证)能够接收令牌,第一设备具有与PLMN的第一订阅。应当注意,第一设备(即,UE)不需要在选项A中向PLMN注册(即,图2A中的步骤0在选项A中是可选的)。然而,在选项B中需要注册,其中交换了NAS消息。收发机325从认证服务器接收第三消息,使得装置300能够使用第一订阅向接入网络连接。在这里,装置300不执行与认证服务器的认证。
在一些实施例中,响应于第一设备授权装置300使用第一订阅来向接入网络连接,发送第三消息。在一些实施例中,处理器305还响应于接收第三消息,从接收的令牌中创建至少一个安全密钥(例如,MSK、PMK等)。在这种实施例中,安全密钥被用于建立在通信设备和接入网络之间的安全通信。
在一些实施例中,第一消息包括装置300的NAI,其中NAI指示装置300优选被授权经由可以由PLMN认证的另一个设备来向接入网络连接。应当注意的是,在一些实施例中,N5CW设备不能够直接与PLMN认证。在某些实施例中,NAI还指示装置不支持通过接入网络的NAS信令(即,不能经由接入网络与PLMN交换NAS信令)。
在一些实施例中,处理器305生成接收的令牌的视觉表示。在这种实施例中,使得第一设备能够接收令牌包括向第一设备展示视觉表示。在一些实施例中,使得第一设备能够接收令牌包括使用设备到设备通信链路向第一设备传送令牌。
在一个实施例中,存储器310是计算机可读存储介质。在一些实施例中,存储器310包括易失性计算机存储介质。例如,存储器310可以包括RAM,包括动态RAM(DRAM)、同步动态RAM(SDRAM)和/或静态RAM(SRAM)。在一些实施例中,存储器310包括非易失性计算机存储介质。例如,存储器310可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器310包括易失性和非易失性计算机存储介质。
在一些实施例中,存储器310存储与移动操作和/或向接入网络连接设备相关的数据。例如,存储器310可以存储如上所述的各种参数、面板/波束配置、资源分配、策略等。在某些实施例中,存储器310还存储程序代码和相关数据,诸如操作系统或在装置300上运行的其他控制器算法。
在一个实施例中,输入设备315可以包括触摸屏、按钮、键盘、手写笔、麦克风等的任何已知的计算机输入设备。在一些实施例中,输入设备315可以与输出设备320集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备315包括触摸屏,使得可以使用触摸屏上显示的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入设备315包括两个或更多个不同的设备,例如键盘和触摸面板。
在一个实施例中,输出设备320被设计为输出视觉、听觉和/或触觉信号。在某些实施例中,输出设备320包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备320可以包括但不限于液晶显示器(LCD)、发光二极管(LED)显示器、有机LED(OLED)显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一个非限制性示例,输出设备320可以包括与用户设备装置300的其余部分分离但通信耦合的可穿戴显示器,诸如智能手表、智能眼镜、抬头显示器等。此外,输出设备320可以是智能手机、个人数字助理、电视机、台式计算机、笔记本(膝上型)电脑、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备320包括用于产生声音的一个或多个扬声器。例如,输出设备320可以产生音频警报或通知(例如,嘟嘟声或蜂鸣声)。在一些实施例中,输出设备320包括一个或多个触觉设备,用于产生振动、运动或其他触觉反馈。在一些实施例中,输出设备320的全部或部分可以与输入设备315集成。例如,输入设备315和输出设备320可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备320可以位于输入设备315附近。
收发机325经由一个或多个接入网络与移动通信网络的一个或多个网络功能进行通信。收发机325在处理器305的控制下运行,以传输消息、数据和其他信号,并且接收消息、数据和其他信号。例如,处理器305可以在特定时间有选择地激活收发机325(或其部分),以便发送和接收消息。
收发机325至少包括发射机330和至少一个接收机335。一个或多个发射机330可以用于向基站单元121提供UL通信信号,例如如本文所述的UL传输。类似地,一个或多个接收机335可以用于从基站单元121接收DL通信信号,如本文所述。虽然仅示出了一个发射机330和一个接收机335,但用户设备装置300可以具有任何合适数目的发射机330和接收机335。此外,(多个)发射机330和(多个)接收机335可以是任何合适类型的发射机和接收机。在一个实施例中,收发机325包括用于通过许可的无线电频谱与移动通信网络通信的第一发射机/接收机对和用于通过未经许可的无线电频谱与移动通信网络通信的第二发射机/接收机对。
在某些实施例中,用于通过许可的无线电频谱与移动通信网络通信的第一发射机/接收机对和用于通过未经许可的无线电频谱与移动通信网络通信的第二发射机/接收机对可以组合成单个收发机单元,例如,用于使用许可和未经许可的无线电频谱功能来执行功能的单个芯片。在一些实施例中,第一发射机/接收机对和第二发射机/接收机对可以共享一个或多个硬件组件。例如,某些收发机325、发射机330和接收机335可以实现为物理上分开的组件,这些组件访问共享的硬件资源和/或软件资源,例如网络接口340。
在各种实施例中,一个或多个发射机330和/或一个或多个接收机335可以实施和/或集成到单个硬件组件中,例如多收发机芯片、片上系统、专用集成电路(ASIC)或其他类型的硬件组件。在某些实施例中,一个或多个发射机330和/或一个或多个接收机335可以被实现和/或集成到多芯片模块中。在一些实施例中,其他组件(诸如网络接口340或其他硬件组件/电路)可以与任何数目的发射机330和/或接收机335集成到单个芯片中。在这种实施例中,发射机330和接收机335可以在逻辑上配置为使用一个或多个公共控制信号的收发机325,或者配置为在相同硬件芯片或多芯片模块中实现的模块化发射机330和接收机335。
图4描述了根据本公开的实施例的可以用于向接入网络连接设备的网络装置400。在一个实施例中,网络装置400可以是评估设备的一种实现方式,诸如如上所述基站单元121。此外,基站网络装置400可以包括处理器405、存储器410、输入设备415、输出设备420和收发机425。
在一些实施例中,输入设备415和输出设备420被组合成单个设备,例如触摸屏。在某些实施例中,网络装置400可以不包括任何输入设备415和/或输出设备420。在各种实施例中,网络装置400可以包括以下一项或多项:处理器405、存储器410和收发机425,并且可以不包括输入设备415和/或输出设备420。
如所描述的,收发机425包括至少一个发射机430和至少一个接收机435。在这里,收发机425与一个或多个远程单元105和/或N5CW设备110通信。此外,收发机425可以支持至少一个网络接口440和/或应用接口445。(多个)应用接口445可以支持一个或多个API。(多个)网络接口440可以支持3GPP参考点,诸如Uu、N1、N2、和N3。如本领域普通技术人员所理解的,可以支持其他网络接口440。
在一个实施例中,处理器405可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器405可以是微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA、或类似的可编程控制器。在一些实施例中,处理器405执行存储在存储器410中的指令,以执行本文所述的方法和例程。处理器405通信地耦合到存储器410、输入设备415、输出设备420和收发机425。
在各种实施例中,网络装置400是与一个或多个UE通信的RAN节点(例如,gNB),如本文所述。在这种实施例中,处理器405控制网络装置400执行上述的RAN行为。当作为RAN节点运行时,处理器405可以包括管理应用域和操作系统(OS)功能的应用处理器(也称为主处理器)以及管理无线电功能的基带处理器(也称为基带无线电处理器)。
在各种实施例中,处理器405控制装置400以执行上述的AAA功能和行为。在这种实施例中,收发机425(即,支持网络接口)从通信设备(例如,N5CW设备)接收用于向接入网络(例如,WLAN)连接的第一消息。在这里,第一消息包含通信设备的NAI。处理器405确定请求第一服务器来授权通信设备,该确定基于第一消息中的NAI。处理器405控制收发机425向第一服务器发送请求以授权通信设备。
收发机425还从第一服务器接收包含用于经由另一个设备授权通信设备的令牌的响应,以及向通信设备发送第二消息,第二消息包含令牌。在某些实施例中,令牌特定于通信设备,但不特定于可以由PLMN认证的任何特定设备。例如,如果用户具有N5CW设备(例如,笔记本电脑)和两个UE,每个UE具有其自身的订阅,然后为了接入WLAN网,用户可以与其中任何一个UE共享生成的令牌,以便使用UE的订阅来授权N5CW设备的接入。在各种实施例中,N5CW不能够直接与PLMN认证。
收发机425附加地从第一服务器接受第三消息,第三消息包含具有第一订阅(UE具有有效接入凭证)的第一设备的身份。此外,收发机425还向通信设备发送第四消息,使得通信设备能够使用第一订阅来向接入网络连接,其中装置不执行与通信设备的认证。
在一些实施例中,响应于第一设备授权通信设备通过使用第一订阅来向接入网络连接,发送第四消息。在一些实施例中,NAI指示通信设备优选经由认证的设备被授权。在某些实施例中,NAI指示通信设备不支持通过接入网络的NAS信令。
在一些实施例中,处理器405响应于接收第三消息,还从接收的令牌中创建至少一个安全密钥(例如,MSK、PMK等)。在这种实施例中,安全密钥被用于建立通信设备和接入网络之间的安全通信。
在各种实施例中,处理器405控制装置400执行上述的后端服务器功能和行为。在这种实施例中,收发机425(即,支持网络接口)从第一设备(例如,UE可以由PLMN认证)接收第一授权消息,其中第一授权消息包括与第二设备(例如,N5CW设备)相关联的令牌。收发机425向第一设备发送第二授权消息。在这里,第二授权消息请求用于第二设备的接入网络授权,其中第一设备具有与PLMN的第一订阅。收发机425还响应于用户授权第二设备使用第一订阅来向接入网络连接,从第一设备接收第三授权消息,并且向认证服务器发送接受消息。在这里,接受消息包含第一设备的身份,并且授权第二设备使用第一订阅来向接入网络连接。
在一些实施例中,收发机425从认证服务器接收请求以授权第二设备来向接入网络(例如,WLAN)连接,并且处理器425响应于请求,生成令牌,其中收发机还向认证服务器提供令牌。
在一些实施例中,使用NAS消息(即,经由AMF接收的)从第一设备接收第一授权消息和第三授权消息,使用NAS消息(即,经由AMF接收的)向第一服务器发送第二授权消息。
在一些实施例中,处理器405还建立与第一设备的安全连接,并且使用标识第一订阅的凭证来认证第一设备。在这种实施例中,使用安全连接来接收第一授权消息和第三授权消息,并且使用安全连接来发送第二授权消息。在某些实施例中,令牌包含装置400的网络地址。
在一个实施例中,存储器410是计算机可读存储介质。在一些实施例中,存储器410包括易失性计算机存储介质。例如,存储器410可以包括RAM,包括动态RAM(DRAM)、同步动态RAM(SDRAM)和/或静态RAM(SRAM)。在一些实施例中,存储器410包括非易失性计算机存储介质。例如,存储器410可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器410包括易失性和非易失性计算机存储介质。
在一些实施例中,存储器410存储与移动操作和/或向接入网络连接设备相关的数据。例如,存储器410可以存储参数、配置、资源分配、策略等类似如上所述的。在某些实施例中,存储器410还存储程序代码和相关数据,例如操作系统或在装置400上运行的其他控制器算法。
在一个实施例中,输入设备415可以包括任何已知的计算机输入设备,包括触摸屏、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备415可以与输出设备420集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备415包括触摸屏,使得可以使用触摸屏上显示的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入设备415包括两个或更多个不同的设备,例如键盘和触摸面板。
在一个实施例中,输出设备420被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备420包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备420可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一个非限制性示例,输出设备420可以包括与网络装置400的其余部分分开但通信耦合的可穿戴显示器,例如智能手表、智能眼镜、抬头显示器等。此外,输出设备420可以是智能手机、个人数字助理、电视机、台式计算机、笔记本(膝上型)电脑、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备420包括用于产生声音的一个或多个扬声器。例如,输出设备420可以产生音频警报或通知(例如,嘟嘟声或蜂鸣声)。在一些实施例中,输出设备420包括一个或多个触觉设备,用于产生振动、运动或其他触觉反馈。在一些实施例中,输出设备420的全部或部分可以与输入设备415集成。例如,输入设备415和输出设备420可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备420可以位于输入设备415附近。
收发机425至少包括发射机430和至少一个接收机435。如本文所述,一个或多个发射机430可以用于与UE通信。类似地,一个或多个接收机435可以被用于与PLMN和/或RAN中的通信功能通信,如本文所述。虽然仅示出了一个发射机430和一个接收机435,但网络装置400可以具有任何合适数目的发射机430和接收机435。此外,(多个)发射机430和(多个)接收机435可以是任何合适类型的发射机和接收机。
图5描述了根据本公开的实施例的用于向接入网络连接设备的方法500的一个实施例。在各种实施例中,方法500由通信设备(诸如如上所述的N5CW设备110、N5CW设备207、和/或用户设备装置300)执行。在一些实施例中,方法500由处理器(诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等)执行。
方法500开始并且发送505用于向接入网络连接的第一消息,其中令牌是响应于第一消息创建的。方法500包括从认证服务器接收510第二消息,第二消息包含令牌。方法500包括使得515第一设备能够接收令牌,其中第一设备具有与PLMN的第一订阅。方法500包括从认证服务器接收520第三消息,使得通信设备能够使用第一订阅来向接入网络连接,其中通信设备不执行与认证服务器的认证。方法500结束。
图6描述了根据本公开的实施例的用于向接入网络连接设备的方法600的一个实施例。在各种实施例中,方法600由认证服务器(诸如如上所述的AAA服务器146、AAA服务器211、和/或网络装置400)执行。在一些实施例中,方法600由处理器(诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等)执行。
方法600开始并且从通信设备(例如,从N5CW设备)接收605用于向接入网络连接的第一消息。方法600包括确定610请求第一服务器来授权通信设备,其中确定是使用包含在第一消息中的NAI进行的。方法600包括从第一服务器接收615包含用于经由另一个设备授权通信设备的令牌的响应。方法600包括向通信设备发送620第二消息,其中第二消息包含令牌。方法600结束。
图7描述了根据本公开的实施例的用于向接入网络连接设备的方法700的一个实施例。在各种实施例中,方法700由用户设备设备(诸如如上所述的远程单元105、UE 205和/或用户设备装置300)执行。在一些实施例中,方法700由处理器(诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等)执行。
方法700开始并且向第一服务器发送705第一授权消息,其中第一授权消息包括从通信设备接收的令牌。方法700包括从第一服务器接收710第二授权消息,其中第二授权消息请求用于通信设备的接入网络(AN)授权。方法700包括请求715用于通信设备的用户授权来使用属于UE设备的第一订阅以向第一AN连接。方法700包括响应于用户授权通信设备使用第一订阅来向第一AN连接,向第一服务器发送720授权接受消息。方法700结束。
图8描述了根据本公开的实施例的用于向接入网络连接设备的方法800的一个实施例。在各种实施例中,方法800由网络服务器(诸如如上所述的后端服务器147、后端服务器213和/或网络装置400)执行。在一些实施例中,方法800由处理器(诸如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等)执行。
方法800开始并且从第一设备(例如,能够由PLMN认证的UE)接收805第一授权消息,其中第一授权消息包括与第二设备(例如,N5CW设备)相关联的令牌。方法800包括向具有与PLMN的第一订阅的第一设备发送810第二授权消息,其中第二授权消息请求用于第二设备的接入网络授权。方法800包括响应于用户授权第二设备使用第一订阅来向第一接入网络(例如,WLAN)连接,从第一设备接收815第三授权消息。方法800包括向认证服务器(例如,AAA服务器)发送820接受消息,其中接受消息包含第一设备的身份,并且授权第二设备使用第一订阅来向接入网络连接。方法800结束。
根据本公开的实施例,本文公开了用于向接入网络连接设备的第一装置。第一装置可以由通信设备(诸如如上文所述的N5CW设备110、N5CW设备207和/或用户设备装置300)实现。第一装置包括处理器和收发机(即,支持无线电端口),收发机发送用于向接入网络(例如,WLAN)连接的第一消息,第一消息包含PLMN的身份。收发机从认证服务器接收第二消息。在这里,第二消息包含令牌,令牌是响应于第一消息创建的。处理器使得第一设备(即,UE具有有效接入凭证)能够接收令牌,第一设备具有与PLMN的第一订阅。收发机从认证服务器接收第三消息,使得第一装置能够使用第一订阅来向接入网络连接。在这里,第一装置不执行与认证服务器的认证。
在一些实施例中,响应于第一设备授权装置使用第一订阅来向接入网络连接,发送第三消息。在一些实施例中,处理器还响应于接收第三消息,从接收的令牌中创建至少一个安全密钥(例如,MSK、PMK等)。在这种实施例中,安全密钥被用于建立与接入网络的安全通信。
在一些实施例中,第一消息包括第一装置的网络地址标识符(NAI),其中NAI指示第一装置优选被授权经由具有与PLMN的订阅的另一个设备向接入网络连接。在某些实施例中,NAI还指示第一装置不支持通过接入网络的NAS信令。
在一些实施例中,处理器生成接收的令牌的视觉表示。在这种实施例中,使得第一设备能够接收令牌包括:向第一设备展示视觉表示。在一些实施例中,使得第一设备能够接收令牌包括:使用设备到设备通信链路向第一设备传送令牌。
根据本公开的实施例,本文公开了用于向接入网络连接设备的第一方法。第一方法可以由通信设备(诸如,如先前所述的N5CW设备110、N5CW设备207和/或用户设备装置300)实现。第一方法包括发送用于向接入网络连接的第一消息,其中第一消息包含PLMN的身份。第一方法包括从认证服务器接收第二消息,第二消息包含令牌,其中令牌是响应于第一消息而创建的。第一方法包括使得第一设备能够接收令牌,其中第一设备具有与PLMN的第一订阅。第一方法包括从认证服务器接收第三消息,使得通信设备使用第一订阅来向接入网络连接,其中通信设备不执行与认证服务器的认证。
在一些实施例中,响应于第一设备授权装置使用第一订阅来向接入网络连接,发送第三消息。在一些实施例中,第一方法包括响应于接收第三消息,从接收的令牌创建至少一个安全密钥(例如,MSK、PMK等)。在这种实施例中,安全密钥被用于建立与接入网络的安全通信。
在一些实施例中,第一消息包括通信设备的NAI。在这种实施例中,NAI指示装置优选被授权经由具有与PLMN的订阅的另一个设备来向接入网络连接。在某些实施例中,NAI还指示N5CW设备不支持通过接入网络的NAS信令。
在一些实施例中,第一方法包括生成接收的令牌的视觉表示。在这种实施例中,使得第一设备能够接收令牌包括:向第一设备展示视觉表示。在其他实施例中,使得第一设备能够接收令牌包括:使用设备到设备通信链路向第一设备传送令牌。
根据本公开的实施例,本文公开了用于向接入网络连接设备的第二装置。第二装置可以由认证服务器(诸如如先前所述的AAA服务器146、AAA服务器211和/或网络装置400)实现。第二装置包括处理器和收发机(即,支持网络接口),收发机从通信设备(例如,N5CW设备)接收用于向接入网络连接的第一消息。在这里,第一消息包含通信设备的NAI。处理器确定请求第一服务器来授权通信设备,该确定基于在第一消息中的NAI。
收发机还从第一服务器接收包含用于经由另一个设备授权通信设备的令牌的响应,以及向通信设备发送第二消息,第二消息包含令牌。收发机附加地从第一服务器接收第三消息,第三消息包含具有第一订阅的第一设备的身份(例如,UE具有有效接入凭证)。此外,收发机还向通信设备发送第四消息,使得通信设备能够使用第一订阅来向接入网络连接,其中装置不执行与通信设备的认证。
在一些实施例中,响应于第一设备授权通信设备通过使用第一订阅来向接入网络连接,发送第四消息。在一些实施例中,NAI指示通信设备优选经由认证的设备被授权。在某些实施例中,NAI指示装置不支持通过接入网络的NAS信令。
在一些实施例中,响应于接收第三消息,从接收的令牌创建至少一个安全密钥(例如,MSK、PMK等)。在这种实施例中,安全密钥被用于建立在通信设备和接入网络之间的安全通信。
根据本公开的实施例,本文公开了用于向接入网络连接设备的第二方法。第二方法可以由认证服务器(诸如如先前所述的AAA服务器146、AAA服务器211和/或网络装置400)实现。第二方法包括从通信设备(例如,从N5CW设备)接收用于向接入网络连接的第一消息以及确定请求第一服务器来授权通信设备,其中确定是使用被包含在第一消息中的NAI而被进行的。第二方法包括从第一服务器接收包含用于经由另一个设备授权通信设备的令牌的响应,以及向通信设备发送第二消息,其中第二消息包含令牌。
第二方法包括从第一服务器接收第三消息,第三消息包含具有第一订阅(UE具有与PLMN的订阅)的第一设备的身份。第二方法包括向通信设备发送第四消息,使得通信设备能够使用第一订阅来向接入网络连接,其中认证服务器不执行与通信设备的认证。
在一些实施例中,响应于第一设备授权通信设备通过使用第一订阅来向接入网络连接,发送第四消息。在一些实施例中,NAI指示通信设备优选经由认证的设备被授权。在某些实施例中,NAI指示装置不支持通过接入网络的NAS信令。
在一些实施例中,响应于接收第三消息,从接收的令牌创建至少一个安全密钥(例如,MSK、PMK等)。在这种实施例中,安全密钥被用于建立在通信设备和接入网络之间的安全通信。
根据本公开的实施例,本文公开了用于向接入网络连接设备的第三装置。第三装置可以由通信设备设备(诸如,如先前所述的远程单元105、UE 205和/或用户设备装置300)实现。第三装置包括处理器和收发机(即,无线电接口的),收发机向第一服务器(即,后端服务器)发送第一授权消息,以及从第一服务器接收第二授权消息。在这里,第一授权消息包括从通信设备(例如,N5CW设备)接收的令牌,并且第二授权消息请求用于通信设备的接入网络(AN)授权。处理器请求用于通信设备的用户授权以使用属于第三装置的第一订阅来向第一AN连接。收发机响应于用户授权通信设备使用第一订阅来向第一AN连接,发送授权接受消息。
在一些实施例中,第三装置还包括图像捕获设备,例如相机、二维码阅读器等。在这种实施例中,从通信设备接收令牌可以包括捕获由通信设备生成的令牌的视觉表示。然后,处理器可以从捕获的视觉表示中获得令牌。在其他实施例中,从通信设备接收令牌包括使用设备到设备通信链路接收令牌。
在一些实施例中,第二授权消息包括通信设备的身份和第一AN的身份。在这种实施例中,请求用于通信设备的用户授权以向第一AN连接可以包括:向用户展示通信设备的身份和第一AN的身份。在一些实施例中,第一授权消息和授权接受消息是使用NAS消息(即,经由AMF接收的)而被发送到第一服务器的,并且第二授权消息是使用NAS消息(即,经由AMF接收的)而从第一服务器接收的。
在一些实施例中,处理器建立与第一服务器的安全连接,以及使用标识第一订阅的凭证来认证第三装置与第一服务器。在这种实施例中,第一授权消息和授权接受消息是使用安全连接被发送的,并且第二授权消息是使用安全连接而被接收的。在某些实施例中,从通信设备接收的令牌包括第一服务器的网络地址。
根据本公开的实施例,本文公开了用于向接入网络连接设备的第三方法。第三方法可以由用户设备设备(诸如如先前所述的远程单元105、UE 205和/或用户设备装置300)实现。第三方法包括向第一服务器发送第一授权消息,其中第一授权消息包括从通信设备接收的令牌。第三方法包括从第一服务器接收第二授权消息,其中第二授权消息请求用于通信设备的接入网络(AN)授权。第三方法还包括请求用于通信设备的用户授权以使用属于UE设备的第一订阅来向第一AN连接,以及响应于用户授权通信设备使用第一订阅来向第一AN连接,发送授权接受消息。
在一些实施例中,UE设备包括图像捕获设备,例如相机、二维码阅读器等。在这种实施例中,从通信设备接收令牌可以包括捕获由通信设备生成的令牌的视觉表示。在其他实施例中,从通信设备接收令牌包括使用设备到设备通信链路接收令牌。
在一些实施例中,第二授权消息包括通信设备的身份和第一AN的身份。在这种实施例中,请求用于通信设备的用户授权以向第一AN连接可以包括:向用户展示通信设备的身份和第一AN的身份。在一些实施例中,第一授权消息和授权接受消息是使用NAS消息(即,经由AMF接收的)而被发送到第一服务器的,并且第二授权消息是使用NAS消息(即,经由AMF接收的)而从第一服务器接收的。
在一些实施例中,第三方法包括建立与第一服务器的安全连接;以及使用标识第一订阅的凭证来认证UE设备与第一服务器。在这种实施例中,第一授权消息和授权接受消息是使用安全连接而被发送的,并且第二授权消息是使用安全连接而被接收的。在某些实施例中,从通信设备接收的令牌包括第一服务器的网络地址。
根据本公开的实施例,本文公开了用于向接入网络连接设备的第四装置。第四装置可以由移动通信网络中的网络服务器(诸如如先前所述的后端服务器147、后端服务器213和/或网络装置400)实现。第四装置包括处理器和收发机,收发机从第一设备(例如,UE可以由PLMN认证)接收第一授权消息,其中第一授权消息包括与第二设备(例如,N5CW设备)相关联的令牌。收发机向第一设备发送第二授权消息。在这里,第二授权消息请求用于第二设备的接入网络授权,其中第一设备具有与PLMN的第一订阅。收发机还响应于用户(例如,订阅持有者)授权第二设备使用第一订阅来向接入网络连接,从第一设备接收第三授权消息,以及向认证服务器发送接受消息。在这里,接受消息包含第一设备的身份并且授权第二设备使用第一订阅来向接入网络连接。
在一些实施例中,收发机从认证服务器接收请求以授权第二设备来向接入网络(例如,WLAN)连接,并且处理器响应于请求,生成令牌,其中收发机还向认证服务器提供令牌。
在一些实施例中,第一授权消息和第三授权消息是使用NAS消息(即,经由AMF接收的)而从第一设备接收的,并且第二授权消息是使用NAS消息(即,经由AMF接收的)而被发送到第一设备的。
在一些实施例中,处理器还建立与第一设备的安全连接,以及使用标识所述第一订阅的凭证来认证第一设备。在这种实施例中,第一授权消息和第三授权消息是使用安全连接而被接收的,并且第二授权消息是使用安全连接而被发送的。在某些实施例中,令牌包括第四装置的网络地址。
根据本公开的实施例,本文公开了用于向接入网络连接设备的第四方法。第四方法可以由移动通信网络中的网络服务器(诸如如先前所述的后端服务器147、后端服务器213和/或网络装置400)实现。第四方法包括从第一设备(例如,UE可以由PLMN认证)接收第一授权消息,其中第一授权消息包括与第二设备(例如,N5CW设备)相关联的令牌。第四方法包括向第一设备发送第二授权消息。在这里,第二授权消息请求用于第二设备的接入网络授权,其中第一设备具有与PLMN的第一订阅。第四方法包括响应于用户授权第二设备使用第一订阅来向第一接入网络(例如,WLAN)连接,从第一设备接收第三授权消息,以及向认证服务器(例如,AAA服务器)发送接受消息。在这里,接受消息包含第一设备的身份并且授权第二设备使用第一订阅来向接入网络连接。
在一些实施例中,第四方法包括从认证服务器接收请求以授权第二设备来向接入网络(例如,WLAN)连接,并且处理器响应于请求,生成令牌。在这种实施例中,第四方法还包括经由认证服务器向第二设备提供令牌,其中第二设备向第一设备提供令牌。
在一些实施例中,第一授权消息和第三授权消息是使用NAS消息(即,经由AMF接收的)而从第一设备接收的,并且第二授权消息是使用NAS消息(即,经由AMF接收的)而被发送到第一设备的。
在一些实施例中,第四方法包括建立与第一设备的安全连接,以及使用标识第一订阅的凭证来认证第一设备。在这种实施例中,第一授权消息和第三授权消息是使用安全连接而被接收的,并且第二授权消息是使用安全连接而被发送的。在某些实施例中,令牌包括服务器的网络地址。
实施例可以以其他特定形式实践。所描述的实施例在所有方面仅被认为是说明性的而非限制性的。因此,本发明的范围由所附权利要求而不是由前述描述来指示。在权利要求的含义和等效范围内的所有改变都应当被包括在其范围内。

Claims (15)

1.一种装置,包括:
收发机:
发送用于向接入网络连接的第一消息,所述第一消息包含公共陆地移动网络(PLMN)的身份;以及
从认证服务器接收第二消息,所述第二消息包含令牌;以及处理器:
使能第一设备,其中所述第一设备具有与所述PLMN的第一订阅,
其中所述收发机从所述认证服务器接收第三消息,使得所述装置能够使用所述第一订阅来向所述接入网络连接,
其中所述装置不执行与所述认证服务器的认证。
2.根据权利要求1所述的装置,其中响应于所述第一设备授权所述装置使用所述第一订阅来向所述接入网络连接,发送所述第三消息。
3.根据权利要求1或2所述的装置,其中所述第一消息包括所述装置的网络地址标识符(NAI),其中所述NAI指示所述装置优选被授权经由具有与所述PLMN的订阅的另一个设备来向所述接入网络连接。
4.根据权利要求3所述的装置,其中所述NAI还指示所述装置不支持通过所述接入网络的非接入层(NAS)信令。
5.根据前述权利要求中任一项所述的装置,其中所述处理器生成接收的所述令牌的视觉表示,其中使得所述第一设备能够接收所述令牌包括:向所述第一设备展示所述视觉表示。
6.根据前述权利要求中任一项所述的装置,其中使得所述第一设备能够接收所述令牌包括:使用设备到设备通信链路向所述第一设备传送所述令牌。
7.根据前述权利要求中任一项所述的装置,其中所述处理器还响应于接收所述第三消息,从接收的所述令牌创建至少一个安全密钥,其中所述安全密钥被用于建立与所述接入网络的安全通信。
8.一种认证服务器装置,包括:
收发机:
从通信设备接收用于向接入网络连接的第一消息,所述第一消息包含所述通信设备的网络地址标识符(NAI);以及
处理器:
确定请求第一服务器来授权所述通信设备,所述确定基于所述第一消息中的所述NAI;
其中所述收发机还:
从所述第一服务器接收包含用于经由另一个设备授权所述通信设备的令牌的响应;
向所述通信设备发送第二消息,所述第二消息包含所述令牌;
从所述第一服务器接收第三消息,所述第三消息包含具有第一订阅的第一设备的身份;以及
向所述通信设备发送第四消息,使得所述通信设备能够使用所述第一订阅来向所述接入网络连接,其中所述装置不执行与所述通信设备的认证。
9.根据权利要求8所述的装置,其中响应于所述第一设备授权所述通信设备通过使用所述第一订阅来向所述接入网络连接,发送所述第四消息。
10.根据权利要求9所述的装置,其中所述处理器还响应于接收所述第三消息,从接收的所述令牌创建至少一个安全密钥,其中所述安全密钥被用于建立在所述通信设备和所述接入网络之间的安全通信。
11.一种网络装置,包括:
处理器;以及
收发机:
从第一设备接收第一授权消息,所述第一授权消息包括与第二设备相关联的令牌;
向所述第一设备发送第二授权消息,所述第二授权消息请求用于所述第二设备的接入网络授权,其中所述第一设备具有与公共陆地移动网络(PLMN)的第一订阅;
响应于用户授权所述第二设备使用所述第一订阅来向所述接入网络连接,从所述第一设备接收第三授权消息;以及
向认证服务器发送接受消息,所述接受消息包含所述第一设备的身份,并且授权所述第二设备使用所述第一订阅来向所述接入网络连接。
12.根据权利要求11所述的装置,其中所述收发机从所述认证服务器接收请求,以授权所述第二设备来向接入网络连接,并且所述处理器响应于所述请求,生成所述令牌,其中所述收发机还向所述认证服务器提供所述令牌。
13.根据权利要求11或12所述的装置,其中使用非接入层(NAS)消息从所述第一设备接收第一授权消息和所述第三授权消息,并且使用NAS消息向所述第一设备发送第二授权消息。
14.根据权利要求11、12或13所述的装置,其中所述处理器还:建立与所述第一设备的安全连接;以及
使用标识所述第一订阅的凭证来认证所述第一设备,
其中使用所述安全连接来接收所述第一授权消息和所述第三授权消息,并且使用所述安全连接来发送所述第二授权消息。
15.根据权利要求14所述的装置,其中所述令牌包括所述装置的网络地址。
CN202180102430.2A 2021-09-17 2021-10-20 向接入网络连接的方法 Pending CN117957814A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GR20210100617 2021-09-17
GR20210100617 2021-09-17
PCT/EP2021/079099 WO2023041188A1 (en) 2021-09-17 2021-10-20 Method to connect to an access network

Publications (1)

Publication Number Publication Date
CN117957814A true CN117957814A (zh) 2024-04-30

Family

ID=78302791

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180102430.2A Pending CN117957814A (zh) 2021-09-17 2021-10-20 向接入网络连接的方法

Country Status (2)

Country Link
CN (1) CN117957814A (zh)
WO (1) WO2023041188A1 (zh)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012135563A1 (en) * 2011-03-31 2012-10-04 Sony Mobile Communications Ab System and method for establishing a communication session
US10212143B2 (en) * 2014-01-31 2019-02-19 Dropbox, Inc. Authorizing an untrusted client device for access on a content management system

Also Published As

Publication number Publication date
WO2023041188A1 (en) 2023-03-23

Similar Documents

Publication Publication Date Title
US20230262593A1 (en) Access network selection for a ue not supporting nas over non-3gpp access
US20230231851A1 (en) Authenticating a device not having a subscription in a network
US20230146052A1 (en) Relocating an access gateway
US20220346051A1 (en) Registering with a mobile network through another mobile network
US20230179999A1 (en) Gateway function reauthentication
US20220116769A1 (en) Notification in eap procedure
US20230262455A1 (en) Determining an authentication type
CN118020330A (zh) 使用应用的认证及密钥管理实现漫游
US20240031969A1 (en) Control-plane and user-plane trusted non-3gpp gateway function
WO2023198297A1 (en) Registering with a mobile network after a first authentication with a wlan access network
US20230262463A1 (en) Mobile network authentication using a concealed identity
US20230188988A1 (en) Gateway function reauthentication
CN117296401A (zh) 建立到移动网络的附加注册
US20230156650A1 (en) Relocating an access gateway
CN117158027A (zh) 修改第一数据连接以支持第二数据连接的数据业务
CN117957814A (zh) 向接入网络连接的方法
US20230292114A1 (en) Securing communications between user equipment devices
US20240187856A1 (en) Registration authentication based on a capability
WO2024017486A1 (en) Tunnel establishment for non-seamless wlan offloading
KR20230048322A (ko) Uas 인증 및 보안 확립
CN117480820A (zh) 使用支持的网络切片信息的接入网络选择
CN117413570A (zh) 具有网络切片选择辅助信息的接入网络选择策略
WO2023208392A1 (en) Path switching between n0n-3gpp access paths

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication