CN109804651A - 通过独立的非3gpp接入网络的核心网络附接 - Google Patents
通过独立的非3gpp接入网络的核心网络附接 Download PDFInfo
- Publication number
- CN109804651A CN109804651A CN201680089800.2A CN201680089800A CN109804651A CN 109804651 A CN109804651 A CN 109804651A CN 201680089800 A CN201680089800 A CN 201680089800A CN 109804651 A CN109804651 A CN 109804651A
- Authority
- CN
- China
- Prior art keywords
- network
- attachment
- mobile core
- remote unit
- core network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于经由非3GPP接入网络(110)使远程单元(105)附接到移动核心网络(130)的装置、方法、和***。一种装置(400)包括:处理器(405),通过非3GPP接入网络(110)发起到远程单元(105)的第一认证过程并且代表远程单元(105)向核心网络(130)发送附接请求。处理器(405)接收来自移动核心网络(130)的附接认证请求并将该附接认证请求转换成第一认证过程的认证请求。处理器(405)进一步使用第一认证过程的认证响应以完成与移动核心网络(130)的附接。在某些实施例中,该装置(400)还包括分别通过接入网络(110)与远程单元(105)进行通信以及与移动核心网络(130)进行通信的第一网络接口(425)和第二网络接口(430)。
Description
技术领域
这里所公开的主题总体上涉及一种无线通信,并且更具体地涉及经由独立的非3GPP接入网络使远程单元附接到移动核心网络。
背景技术
在此定义以下缩写,其中至少一些缩写在以下描述中被引用。
3GPP 第三代合作伙伴计划
4G ***
5G 第五代
AAA 认证授权和计费
ANDSF 接入网络发现和选择功能
AP 接入点
CP 控制平面
DL 下行链路
DTLS 数据报传输层安全性
EAP 可扩展认证协议
EAP-AKA 第三代认证和密钥协商可扩展认证协议
EAP-AKA' 改进的第三代认证和密钥协商可扩展认证协议
EAPoL LAN 上的可扩展认证协议
eNB 演进节点B.
EPC 演进分组核心
ePDG 增强分组数据网关
ESSID 扩展服务集标识
E-UTRAN 演进的通用陆地无线接入网络
HSS 归属订户服务器
IKEv2 互联网密钥交换版本2
LAN 局域网
LTE 长期演进
MME 移动性管理实体
NSWO 非无缝WLAN卸载
OFDM 正交频分多路复用
PCRF 策略和计费规则功能
PDN 分组数据网络
PGW 分组数据网络网关
PLMN 公共陆地移动网络
RAN 无线电接入网络
SC-FDMA 单载波频分多址
SGW 服务网关
TWAG 可信无线接入网络关
UE 用户实体/设备(移动终端)
UL 上行链路
UP 用户平面
WiMAX 微波存取全球互通
WLAN 无线局域网
当前,遵循长期演进(“LTE”)架构的移动通信网络支持接入网络(“AN”)与演进分组核心(“EPC”)之间的若干不同接口,其中不同类型的接入网络使用不同类型的接口。例如,SI接口仅被使用在演进的通用陆地无线电接入(“E-UTRAN”)与EPC之间。作为另一示例,对EPC的无线局域网(“WLAN”)接入涉及若干其它接口:S2a和STa接口,用于经由可信WLAN进行接入;SWu和S2b接口,用于经由不可信的WLAN进行接入,以及S2c接口,用于经由可信或不可信的WLAN进行接入。另外,已经为WLAN互通指定了新的网络元件,其包括认证、授权和计费(“AAA”)服务器;演进的分组数据网关(“ePDG”);可信无线接入网络关(“TWAG”)等。用于连接对EPC的不同接入的所有这些不同接口和网络元件已经导致复杂且难以管理的架构。
有时,例如使用LTE-WLAN聚合(“LWA”),以既不需要EPC中的新网络元件也不需要新的AN-EPC接口的方式将WLAN接入网络集成到E-UTRAN之中。然而,这种类型的WLAN集成具有受限的部署场景:WLAN接入必须始终在LTE覆盖范围之内(否则双连接不可行)并且,更重要的是,WLAN接入必须是支持与eNB的接口及若干其它增强功能的“特定”WLAN。这种WLAN接入不是“独立”WLAN。然而为了支持与独立WLAN接入(考虑到大多数的部署场景)的互通,需要额外的WLAN特定网络元件和接口,因此增加了***的复杂性。
发明内容
公开了用于经由非3GPP接入网络使远程单元附接到移动核心网络的装置。方法和***还执行该装置的功能。在一个实施例中,一种用于经由非3GPP接入网络来使远程单元附接到移动核心网络的装置包括:处理器,所述处理器通过非3GPP接入网络发起与远程单元的第一认证过程并且代表该远程单元向移动核心网络发送附接请求。处理器接收来自移动核心网络的附接认证请求并将该附接认证请求转换成第一认证过程的认证请求。处理器进一步使用该第一认证过程的认证响应以完成与移动核心网络的附接。在某些实施例中,该装置还包括分别通过非3GPP接入网络与远程单元进行通信以及与移动核心网络进行通信的第一网络接口和第二网络接口。
在一些实施例中,处理器通过请求远程单元的订户标识来发起第一认证过程。在这样的实施例中,处理器接收包括订户标识和片选择信息的订户标识响应,其中,处理器基于片选择信息将附接请求发送到移动核心网络中的特定网络片,移动核心网络包括至少两个网络片。在一个实施例中,订户标识响应包含修饰标识,该修饰标识用于将订户标识和片选择信息组合成单个值。在某些实施例中,附接请求包括订户标识并指示经由非3GPP接入网络的附接。附接请求还可以包括非3GPP接入网络的标识。
在一个实施例中,非3GPP接入网络是包含至少一个WLAN接入点和装置的可信WLAN。在另一实施例中,该装置是互通实体。在某些实施例中,附接认证请求包括用于保护在远程单元与装置之间通信的第一认证的消息的瞬态安全密钥。
在一些实施例中,代表远程单元向移动核心网络发送附接请求包括将附接请求发送到移动核心网络的控制平面功能。在进一步的实施例中,处理器进一步响应于完成与移动核心网络的附接而创建安全密钥。在某些实施例中,处理器进一步响应于完成与移动核心网络的附接而建立与远程单元的安全连接,其中安全连接是通过使用安全密钥来建立的。在一个实施例中,安全连接是数据报传输层安全性(“DTLS”)连接,并且安全密钥用作用于建立DTLS连接的预共享密钥。在另一实施例中,处理器进一步响应于建立安全连接而在远程单元和移动核心网络之间中继非接入层消息。
在某些实施例中,第一认证过程是改进的第三代认证和密钥协商可扩展认证协议(“EAP-AKA'”)过程。在一个实施例中,非3GPP接入网络是不可信无线局域网并且EAP-AKA'过程被嵌入到互联网密钥交换版本2(“IKEv2”)过程之中。在进一步的实施例中,第一认证过程的认证请求是EAP-AKA'质询消息并且第一认证过程的认证响应是EAP-AKA'质询响应,其中,使用第一认证过程的认证响应来完成与移动核心网络的附接包括处理器使用EAP-AKA'质询响应生成附接认证响应以及将该附接认证响应发送到移动核心网络的控制平面功能。在一个实施例中,处理器进一步接收来自移动核心网络的响应于附接认证响应的附接接受消息以及用于保护经由非3GPP接入网络的用户业务的安全密钥。在另一实施例中,处理器进一步向远程单元发送EAP-AKA'通知,该EAP-AKA'通知包括装置的网络地址。
在一些实施例中,处理器进一步响应于完成与移动核心网络的附接而生成远程单元上下文,该远程单元上下文包括远程单元的网络地址、远程单元的订户标识、和一个或多个用于远程单元的改进的第三代认证和密钥协商可扩展认证协议(“EAP-AKA'”)标识。在另一实施例中,该装置是使得非3GPP接入网络能够与移动核心接口连接的互通实体。
在一个实施例中,一种用于使用互通实体经由非3GPP接入网络使远程单元附接到移动核心网络的方法包括:通过非3GPP接入网络发起与远程单元的第一认证过程并且代表远程单元向移动核心网络发送附接请求。该方法还包括接收来自移动核心网络的附接认证请求并将该附接认证请求转换成第一认证过程的认证请求。该方法进一步包括使用第一认证过程的认证响应以完成与移动核心网络的附接。
附图说明
通过参考在附图中说明的特定实施例,将呈现对以上简要描述的实施例的更具体描述。应当理解的是,这些附图仅描绘了一些实施例并且因此不应当被认为是对范围的限制,将通过使用附图以附加特性和细节来描述和解释该实施例,在附图中:
图1是图示用于使用互通实体经由非3GPP接入网络来使远程单元附接到移动核心网络的无线通信***的一个实施例的示意性框图。
图2图示用于使用互通实体经由非3GPP接入网络来使远程单元附接到移动核心网络的网络架构的一个实施例;
图3图示其中接入网络互通实体与多个网络片连接的网络架构的一个实施例;
图4是用于图示使用互通实体经由非3GPP接入网络来使远程单元附接到移动核心网络的计算设备的一个实施例的示意性框图;
图5是用于图示使用互通实体经由非3GPP接入网络使远程单元附接到移动核心网络的方法的另一实施例的示意性流程图;
图6图示用于经由可信WLAN接入网络附接到移动核心网络的协议架构的一个实施例;
图7图示用于经由可信WLAN接入网络与控制平面功能交换NAS信令的协议架构的一个实施例;
图8图示用于经由不可信WLAN接入网络附接到移动核心网络的协议架构的一个实施例;
图9图示用于经由不可信WLAN接入网络与控制平面功能交换NAS信令的协议架构的一个实施例;
图10A图示用于经由可信WLAN接入网络附接到移动核心网络的信令过程的一个实施例;
图10B继续图10A的信令过程;
图11A图示用于经由不可信WLAN接入网络附接到移动核心网络的信令过程的一个实施例;以及
图11B继续图11A的信令过程。
具体实施方式
如所属领域的技术人员将了解的是,实施例的方面可以被实施为***、装置、方法、或程序产品。因此,实施例可以采用完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)、或者组合了软件和硬件方面的实施例的形式。
例如,所公开的实施例可以是作为包括以下项目的硬件电路来实现的:定制的超大规模集成(“VLSI”)电路或门阵列、市售半导体(诸如逻辑芯片、晶体管、或其它分立组件)。所公开的实施例还可以是在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等的可编程硬件设备中实现的。作为另一示例,所公开的实施例可以包括可执行代码的一个或多个物理或逻辑块,该一个或多个物理或逻辑块可以例如被组织为对象、过程、或功能。
此外,实施例可以采取在存储机器可读代码、计算机可读代码、和/或程序代码的一个或多个计算机可读存储设备中实施的程序产品的形式(在下文中被称为代码)。存储设备可以是有形的、非暂时的、和/或非传输的。存储设备可能不实施信号。在某个实施例中,存储设备仅实施用于接入代码的信号。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以例如是但不局限于电、磁、光、电磁、红外、全息、微机械或半导体***、装置、或设备、或者前述任何适当组合。
存储设备的更具体示例(非详尽列表)将包括以下内容:具有一条或多条电线的电连接件、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪速存储器)、便携式光盘、只读存储器(“CD-ROM”)、光学存储设备、磁存储设备、或者前述任何适当组合。在该文档的上下文中,计算机可读存储介质可以是下述任何有形介质,该有形介质能够包含或存储程序以供指令执行***、装置、或设备使用或与其结合使用。
在该说明书中对“一个实施例”、“实施例”、或类似语言的引用意指结合实施例所描述的特定特性、结构、或特征包含在至少一个实施例中。因此,除非另有明确说明,在整个说明书中出现的短语“在一个实施例中”、“在实施例中”、和类似语言可以但不一定全部指代相同实施例,而是指“一个或多个但不是所有实施例”。除非另有明确说明,术语“包括(including)”,“包含(comprising)”,“具有(having)”及变型意指“包括但不限于”。除非另有明确说明,项目的列举列表并不暗示任何或所有项目是互斥的。除非另有明确说明,术语“一(a)”、“一个(an)”、和“该(the)”还指的是“一个或多个(one or more)”。
此外,实施例的所描述的特性、结构、或特征可以以任何适当方式组合。在以下描述中,提供了许多诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例的具体细节以提供对实施例的透彻理解。然而,相关领域的技术人员将认识到可以在没有一个或多个具体细节的情况下或者利用其它方法、组件、材料等来实践实施例。在其它情况下,未详细示出或描述公知的结构、材料、或操作以避免对实施例的各方面造成模糊。
下面参考根据实施例的方法、装置、***、和程序产品的示意性流程图和/或示意性框图来描述实施例的各方面。应当理解的是,示意性流程图和/或示意性框图的每个框以及示意性流程图和/或示意性框图中的框的组合能够通过代码来实现。可以将该代码提供给通用计算机、专用计算机、或其它可编程数据处理装置的处理器以生成机器,使得用于经由计算机或其它可编程数据处理装置的处理器执行的指令创建用于实现在示意性流程图和/或示意性框图中指定的功能/动作的装置。
还可以将代码存储在存储设备中,该存储设备能够指示计算机、其它可编程数据处理装置、或其它设备以特定方式起作用,使得在存储设备中存储的指令产生包括以下指令的制品,所述指令实现在示意性流程图和/或示意性框图中指定的功能/动作。
还可以将代码加载到计算机、其它可编程数据处理装置、或其它设备上以使要在计算机、其它可编程装置、或其它设备上执行一系列操作步骤产生计算器实现过程,使得在计算机或其它可编程装置上执行的代码提供用于实现在示意性流程图和/或示意性框图中所指定的功能/动作的过程。
附图中的示意性流程图和/或示意性框图说明了根据各个实施例的装置、***、方法、和程序产品的可能实现方式的架构、功能、和操作。就此而言,示意性流程图和/或示意性框图中的每个框可以表示代码的模块、片段、或部分,其包括用于实现所指定的逻辑功能的一个或多个可执行代码指令。
还应当注意的是在一些替代实现中方框中注意到的功能可以不按图中注释的顺序发生。例如,根据所涉及的功能,以连续的方式示出的两个方框实际上可以基本上同时地执行,或者这些方框有时可以以相反顺序执行。可以设想其它步骤和方法在功能、逻辑、或效果上等同于图中所图示的一个或多个块或其部分。
对每个图中的元件的描述可以参考前述附图的元件。在所有附图中相同数字是指相同元件,其包括相同元件的可替代的实施例。
为了解决将非3GPP接入(例如非EUTRAN接入)集成到下一代移动通信网络(例如5G网络)中的上述问题,期望未来的无线标准简化架构并指定公共的AN-CN接口,该公共AN-CN接口能够用于包括5G RAN、WLAN、固定宽带、卫星接入等的所有类型的接入。这里,所有类型的接入网络(3GPP和非3GPP)使用以下项目的非常相同的接口与核心网络进行通信:公共控制平面接口(这里称为“NG2”接口)和公共用户平面接口(这里称为“NG3”接口)。
为了提供非3GPP接入网络(“N3AN”)之间的互通,本公开描述了被称为非3GPP互通功能(“N3IWF”)的新网络元件。N3IWF包含了用于协议转换的硬件和软件元件以及N3AN与CN之间的信号适配。另外,当UE与N3AN连接并执行认证过程时,N3IWF代表UE执行与CN的3GPP附接过程。例如,当UE与可信WLAN相关联并且开始EAP-AKA'认证过程时,N3IWF代表UE发起与CN的5G附接过程(例如,N3IWF起UE的代理的作用),同时UE继续EAP-AKA'认证过程。
N3IWF包括被称为附接代理的功能组件,该功能组件执行认证信令与3GPP附接信令之间的互通。在这样做时,附接代理起UE代理的作用并代表UE发起3GPP附接过程。附接代理获取认证过程消息中的从UE接收到的参数并使用所接收到的参数生成用于CN附接过程消息。类似地,附接代理获取附接过程消息中的从CN接收到的参数并使用所解析的参数生成用于UE的认证过程消息。
有利地,使用所描述的装置、方法、信令过程、网络架构、协议架构等对于N3AN不需要新的认证过程。另外,当传统UE附接到可信WLAN时(例如,使用EAP-AKA'认证),传统UE可以由5G CN认证和授权。以这种方式,传统UE可以与可信WLAN连接并且开始非无缝WLAN卸载(“NSWO”)业务(即,仅横越WLAN而不是5G核心网络的业务)而无需新的UE能力。类似地,当传统UE建立与其被感知为ePDG的N3IWF的IKEv2/IPsec连接时,传统UE可以由5G CN认证和授权。
如下面更详细讨论的,N3IWF支持通过非3GPP接入的网络片选择,即使得UE能够在由网络使用的WLAN认证期间发送“辅助信息”,以选择用于UE的适当网络片(例如,选择IoT片)。
图1是根据本公开的实施例的用于使用互通实体经由非3GPP接入网络使远程单元附接到移动核心网络的无线通信***100。在一个实施例中,无线通信***100包括远程单元105、至少一个WLAN AN 110(每个WLAN AN 110包括一个或多个WLAN接入点(“AP”)111)、WLAN通信链路115、移动无线电接入网络(“RAN”)120(包括一个或多个蜂窝基站单元121)、和蜂窝通信链路125。即使在图1中描绘了特定数目的远程单元105、WLAN AN 110、WLAN AP111、WLAN通信链路115、移动无线电接入网络120、蜂窝基站单元121、和蜂窝通信链路125,本领域技术人员将认识到在无线通信***100中可以包括任意数目的远程单元105、WLANAN 110、WLAN AP 111、WLAN通信链路115、移动无线电接入网络120、蜂窝基站单元121、和蜂窝通信链路125。
在一个实现方式中,无线通信***100符合3GPP协议的第五代(“5G”,也被称为“NextGen”),其中蜂窝基站单元121使用正交频分多路复用(OFDM)调制方案在DL上进行发送并且远程单元105使用单载波频分多址(“SC-FDMA”)方案在UL上进行发送。然而,更一般地,除其它协议之外,无线通信***100可以实现一些其它开放或专有通信协议(例如,WiMAX)。本公开不旨在限于任何特定无线通信***架构或协议的实现方式。
在一个实施例中,远程单元105可以包括诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,与互联网连接的电视)、智能设备(例如,与互联网连接的电器)、机顶盒、游戏控制台、安全***(包括安全摄像机)、车载计算机、网络设备(例如路由器、交换机、调制解调器)等的计算设备。在一些实施例中,远程单元105包括诸如智能手表、健身带、光学头戴式显示器等的可穿戴设备。此外,远程单元105可以被称为在本领域中所使用的订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、UE、用户终端、设备、或者其它术语。远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号直接与WLAN AP 111中的一个或多个进行通信。此外,可以在WLAN通信链路115上承载UL通信信号和DL通信信号。类似地,远程单元105可以经由在蜂窝通信链路125上承载的UL通信信号和DL通信信号与移动无线电接入网络120中的一个或多个蜂窝基站单元121进行通信。
WLAN ANS 110可以被分布在地理区域上。如图1所示,WLAN AN 110经由互通实体135与移动核心网络130连接。在某些实施例中,WLAN AN 110可以由移动核心网络130的运营商控制并且可以直接接入到移动核心网络130。这种WLAN部署被称为“可信WLAN”。当WLANAN 110由3GPP运营商操作并且支持某些安全特征(诸如基于3GPP的认证和强的空中接口加密)时,WLAN AN 110被认为是“可信的”。在一些实施例中,互通实体135可以被包含在可信WLAN之内(例如与其共站)。在一个实施例中,互通实体可以是可信WLAN AN 110中的WLANAP 111的组件。
在其它实施例中,WLAN AN 110不由移动核心网络130的运营商控制并且因此不具有对移动核心网络130的直接接入。这种WLAN部署被称为“不可信的”WLAN。在商场、咖啡店、和其它公共区域中部署的公共热点被认为不可信的。这里,不可信的WLAN AN 110依赖于诸如互联网这样的数据网络以与移动核心网络130连接。移动核心网络130可以经由WLAN AN110向远程单元105提供服务,如这里更详细的描述。
每个WLAN AP 111可以服务服务区域内的多个远程单元105。通常,WLAN AP 111的服务区域小于蜂窝基站单元121的服务区域。WLAN AP 111可以通过接收UL通信信号并发送DL通信信号来直接与一个或多个远程单元105进行通信,以在时域、频域、和/或空间域上服务远程单元105。DL通信信号和UL通信信号两者都被承载在WLAN通信链路115上。WLAN AP111可以使用未许可的无线电频谱进行通信。
可以在地理区域上分布移动无线电接入网络120中的蜂窝基站单元121。在某些实施例中,蜂窝基站单元121还可以被称为在本领域中使用的接入终端、基础站、基站、节点B、eNB、归属节点B、中继节点,设备、或者任何其它术语。蜂窝基站单元121是移动无线电接入网络(“RAN”)120的部分,其可以包括可通信地联接到一个或多个相应蜂窝基站单元121的一个或多个控制器。无线接入网络的这些和其它元件未被图示,但通常对本领域普通技术人员熟知。
移动无线电接入网络120可以经由无线通信链路服务服务区域(例如,小区或小区扇区)内的数个远程单元105。移动无线电接入网络120可以经由通信信号直接与远程单元105中的一个或多个进行通信。通常,移动无线电接入网络120发送下行链路(“DL”)通信信号以在时域、频域、和/或空间域上服务远程单元105。此外,DL通信信号可以承载在蜂窝通信链路125上。蜂窝通信链路125可以是许可的或未许可的无线电频谱中的任何适当载波。蜂窝通信链路125可以在移动无线电接入网络120中与远程单元105中一个或多个和/或蜂窝基站单元中的一个或多个进行通信。
在一个实施例中,移动核心网络130是5G分组核心,该5G分组核心可以与其它数据网络(如互联网和专用数据网络、其它网络)联接。另外,移动核心网络130可以与诸如固定宽带接入网络、卫星接入等的其它类型的接入网络联接。本公开不旨在局限于任何特定无线通信***架构或协议的实现方式。因此,移动无线电接入网络120可以与任何适当下一代(例如5G)分组核心网络联接。
每个移动核心网络130属于单个公共陆地移动网(“PLMN”)。移动核心网络130包括至少一个控制平面(“CP”)功能(这里被描述为CP功能140)。虽然移动核心网络130可以包括多个CP功能140,但是所公开的过程可能仅需要涉及多个CP功能140中的一个CP(例如网络实体)。如所描绘的,移动核心网络130还包括至少一个用户平面(“UP”)功能(这里被描述为UP功能145)以及归属订户服务器(“HSS”)150。虽然被描绘为在移动核心网络130之外,但是在一些实施例中,互通实体135可以位于移动核心网络130之内。例如,位于移动核心网络130之内的互通实体135的实例可以向不可信的WLAN AN 110提供互通功能。
CP功能140包括用于对移动核心网络130的服务的接入进行管控的网络控制功能。CP功能140的示例包括但不局限于移动性管理功能、策略功能、会话管理功能、和认证功能。UP功能145使得能够向订户(例如,远程单元105)递送数据和其它服务。HSS 150是包含用户相关和订阅相关信息的中央数据库。尽管在图1中描绘了特定数目的CP功能140,但是本领域技术人员将认识到在移动核心网络130中可以包含任何数目的CP功能140、UP功能145、和HSS 150。此外,无线通信***100可以包括任何数目的移动核心网络130。
在下一代(“5G”)3GPP移动核心网络130中,移动RAN 120和WLAN AN 110二者使用公共控制平面接口(例如,“NG2”接口)和公共用户(数据)平面接口(例如,“NG3”接口)与核心网络进行通信。互通实体135提供(独立的)WLAN AN 110与移动核心网络130之间的互通,将非3GPP接入网络协议转换为通过NG2和NG3接口发送的消息。
此外,为了促进远程单元105接收来自移动核心网络130的服务,当远程单元105与WLAN AN 110连接并且执行与互通实体135的认证过程时,互通实体135代表远程单元105向130的移动角发送3GPP附接请求。这里,互通实体135可以对WLAN AN 110执行AAA功能,用于它们将由移动核心网络130使用的3GPP认证消息转换成由WLAN AN 110使用的认证消息。
图2描绘了根据本公开的实施例的用于使用互通实体经由非3GPP接入网络来使远程单元附接到移动核心网络的网络架构200。网络架构200包括UE 205、可信的非3GPP接入网络210、不可信的非3GPP接入网络215、包含非3GPP互通功能(“N3IWF”)225的非3GPP接入网络220、和移动核心网络130。UE 205可以是上面参考图1所讨论的远程单元105的一个实施例。移动核心网络130可以是上面参考图1基本上描述的并且如上所述包括CP功能140、UP功能145、和HSS 150。
可信的非3GPP接入网络210是UE 205能够通过其接入移动核心网络130的接入网络。可信的非3GPP接入网络210可以是无线接入网络(诸如WLAN)、固定宽带接入网络、卫星接入网络等。然而,可信的非3GPP接入网络210不同于(例如不包括)如上参考图1讨论的包含蜂窝基站单元121的移动RAN 120。此外,可信的非3GPP接入网络210是独立接入网络,这意指它不是3GPP RAN的一部分(例如,移动RAN 120)。可信的WLAN AN 110是可信的非3GPP接入网络210的一个实施例。
在某些实施例中,可信的非3GPP接入网络210包括AAA代理230。可信的非3GPP接入网络210包括其中N3IWF被部署在可信的非3GPP接入网络210之外的AAA代理230。AAA代理中间接入至UE 205与N3IWF 225之间的AAA业务。这里,N3IWF充当朝向UE 205的AAA服务器并且使用STa接口与AAA代理230进行通信。然而,在其中N3IWF被部署在可信非3GPP接入网络内的实施例中,不需要AAA代理230并且可以省略AAA代理230。
不可信的非3GPP接入网络215是UE 205通过其能够接入移动核心网络130的另一接入网络。不可信的非3GPP接入网络215可以是无线接入网络(诸如WLAN)、固定宽带接入网络、卫星接入网络等。与可信的非3GPP接入网络210相类似,不可信的非3GPP接入网络215处于如上参考图1讨论的其包含蜂窝基站单元121的3GPP移动RAN 120之外,并且不包括该3GPP移动RAN 120。另外,不可信的非3GPP接入网络215是独立的接入网络。如这里所使用的是,不是RAN的一部分的WLAN部署被称为“独立”WLAN。不可信的WLAN AN 110是不可信的非3GPP接入网络215的一个实施例。
如所描绘的是,UE 205使用NWt接口和Y1接口与可信的非3GPP接入网络210进行通信。通过NWt接口,UE 205接入N3IWF 225以及AAA代理230(如果存在)。类似地,UE 205使用NWu接口和Y1接口与不可信的非3GPP接入网络215进行通信。通过NWu接口,UE 205接入N3IWF 225。注意的是,不可信的非3GPP接入网络215不包括AAA代理230。因此,NWu接口不允许UE 205接入到AAA代理230。在附接到移动核心网络130之后,UE 205通过NG1接口与CP功能140进行通信。
还如所描绘的是,N3IWF 225经由NG2接口和NG3接口与移动核心网络130进行通信。如上所讨论的是,NG2接口是N3IWF 225通过其与CP功能140进行通信的控制平面接口。类似地,NG3接口是N3IWF225通过其与UP功能145进行通信的用户平面接口。为了完整性,示出了UP功能145通过其与移动核心网络130之外的数据网络进行通信的NG6接口。
网络架构200包括N3IWF 225,该N3IWF可以是上面参考图1所讨论的互通实体135的一个实施例。N3IWF执行与UE 205的第一认证过程,同时例如通过使用3GPP附接过程使UE205附接到移动核心网络130。在一些实施例中,N3IWF 225在附接UE 205时与CP功能140的单个控制平面功能进行通信。在其它实施例中,N3IWF 225在附接UE 205时与CP功能140的多个功能进行通信。N3IWF 225执行如参考图10A-图10B和图11A-11B更详细讨论的第一认证过程与3GPP附接过程之间的互通。
在一些实施例中,N3IWF 225可以被部署在可信的非3GPP接入网络210之内。在其它实施例中,N3IWF 225可以被部署在移动核心网络130之内。更进一步,在一些实施例中,网络架构200可以包括N3IWF 225的多个实例。例如,可信的非3GPP接入网络210可以包括N3IWF 225的一个实例,同时移动核心网络130可以包括N3IWF 225的第二实例。
图3描绘了根据本公开的实施例的用于使用互通实体经由非3GPP接入网络来使远程单元附接到移动核心网络的网络架构300。该网络架构300包括UE 205、可信的非3GPP接入网络210、和包括N3IWF225的非3GPP接入网络220。可信的非3GPP接入网络210、非3GPP接入网络220、和N3IWF 225可以是上面参考图2所基本上描述的。在网络架构300中,N3IWF225与多个网络片连接,这里是第一核心网络片235和第二核心网络片240。第一核心网络片235和第二核心网络片240可以是上面参考图1和图2所讨论的移动核心网络130的一部分。这里,将每个核心网络片235-240描绘为具有其自己的CP功能140、UP功能145、和HSS 150。可以对某些业务类型优化每个核心网络片235-240。例如,可以对移动宽带业务优化第一核心网络片235,同时可以对物联网(“IoT”)业务和机器类型通信(“MTC”)优化第二核心网络片240。
如图3所示,N3IWF 225可以基于由UE 205提供的信息来执行网络片选择。例如,当UE 205(例如在第一认证过程期间)向N3IWF 225提供其订户标识时,UE 205可以另外提供片选择“辅助信息”。使用切选择信息,N3IWF 225可以例如从网络片235-240当中选择适当的网络片。在一个实施例中,UE 205提供用片选择信息修饰(例如包含)的特定标识,其中N3IWF 225基于该片选择信息来选择网络片(例如,发起与特定工作片的代理附接)。所修饰的标识可以包括组合成单个值的订户标识和片选择信息。在某些实施例中,片选择信息可以是附加到订户标识的、具有用于将订户标识与片选择信息分离开的特定字符的字符串。
尽管未被描绘为包含这样,但是在一些实施例中网络架构300包括诸如不可信的非3GPP接入网络215的不可信的非3GPP接入网络。在这样的实施例中,不可信的非3GPP接入网络与N3IWF 225连接。再次,UE 205可以向N3IWF 225提供片选择信息,其中N3IWF 225基于所提供的片选择信息来选择适当网络片。当移动核心网络130仅由一个网络片组成并且片选择信息与该网络片不匹配时,N3IWF 225可以拒绝UE 205。类似地,如果N3IWF 225发送与移动核心网络130中的任何部署的网络片段不匹配的片选择信息,则N3IWF 225可以拒绝UE 205。
图4描绘了根据本公开的实施例的可以用于经由非3GPP接入网络来使远程单元附接到移动核心网络的装置400的一个实施例。装置400包括互通实体135的一个实施例。此外,远程单元105可以包括处理器405、存储器410、输入设备415、显示器420、接入网络(“AN”)接口425、和核心网络(“CN”)接口430。在一些实施例中,输入设备415和显示器420被组合成诸如触摸屏的单个设备。在某些实施例中,远程单元105可以不包括任何输入设备415和/或显示器420。
在一个实施例中,处理器405可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器405可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似可编程控制器。在一些实施例中,处理器405执行存储器410中存储的指令以执行这里描述的方法和例程。处理器405与存储器410、输入设备415、显示器420、AN接口425、和CN接口430通信式地联接。
在某些实施例中,处理器405通过非3GPP接入网络发起到远程单元105的第一认证过程。例如,处理器405可以利用AN接口425来发起第一认证过程。在一些实施例中,非3GPP接入网络是可信的WLAN接入网络,并且处理器405发起EAP-AKA'过程,如下面参考图10A-图10B所讨论的。在一些实施例中,非3GPP接入网络是不可信的WLAN接入网络,并且处理器405发起封装到IKEv2信令中的EAP-AKA'过程,如下面参考图11A-图11B所讨论的。
另外,处理器405代表远程单元105向移动核心网络130发送3GPP附接请求。例如,处理器405可以利用CN接口430来发送3GPP附接请求。这里,装置400充当远程单元105的代理,以与移动核心网络130的3GPP附接。
处理器405接收来自移动核心网络130的附接认证请求(例如,对3GPP附接过程的认证请求)。例如,处理器405可以通过CN接口430接收附接认证请求。然后,处理器405将该附接认证请求转换成第一认证过程的认证请求。在这样做时,处理器405执行(例如,由非3GPP接入网络使用的)3GPP附接过程与第一认证过程之间的互通。在第一认证过程是EAP-AKA'过程的情况下,处理器405可以使用来自3GPP附接认证请求的参数来生成EAP-AKA'质询(challenge)消息。
处理器405通过AN接口425发送第一认证过程的认证请求,并且根据第一认证过程(还通过AN接口425)接收认证响应。此后处理器405使用第一认证过程的认证响应来完成与移动核心网络130的附接。在第一认证过程是EAP-AKA'过程的情况下,处理器405使用来自EAP-AKA'质询响应的参数来完成使远程单元105代理附接到移动核心网络130。例如,处理器405可以从EAP-AKA'质询响应生成3GPP附接认证响应。在一个实施例中,处理器405进一步接收来自移动核心网络130的响应于附接认证响应的附接接受消息。同时,处理器405可以接收用于通过非3GPP接入网络来保护用户业务的安全密钥。在另一实施例中,处理器405进一步向远程单元发送EAP-AKA'通知,该EAP-AKA'通知包括装置400的网络地址。
在一些实施例中,处理器405通过请求远程单元105的订户标识来发起第一认证过程。在某些实施例中,处理器405可以(通过AN接口425)接收包括订户标识和片选择信息的订户标识响应,其中处理器405基于片选择信息将3GPP附接请求发送到移动核心网络130中的特定网络片(例如,第一核心网络片235和第二核心网络片240)。当移动核心网络130仅由一个网络片组成并且片选择信息不匹配该网络片时,处理器405可以拒绝远程单元105。类似地,如果处理器405发送不匹配移动核心网络130中的任何部署的网络片的片选择信息,则处理器405可以拒绝远程单元105。
在一个实施例中,订户标识响应包含用于将订户标识和片选择信息组合成单个串的修饰标识。在某些实施例中,处理器405将订户标识包括在3GPP附接请求中。处理器405可以进一步使用3GPP附接请求中的信息元素来指示远程单元105正在通过非3GPP接入网络附接。可选地,处理器405可以在3GPP附接请求中包括非3GPP接入网络的标识。
在进一步的实施例中,处理器405响应于代表远程单元105完成与移动核心网络130的附接来进一步创建安全密钥。在某些实施例中,处理器405响应于完成到移动核心网络130的代理附接而使用安全密钥来建立与远程单元105的安全连接。在一个实施例中,安全连接是DTLS连接并且安全密钥是用于建立DTLS连接的预共享密钥。此后,响应于建立安全连接,处理器405可以在远程单元105与移动核心网络130之间中继NAS消息。
在一些实施例中,处理器405进一步响应于完成到移动核心网络的附接而生成远程单元上下文。处理器405可以将远程单元上下文存储在存储器410中。如这里所使用的,远程单元上下文包括诸如远程单元105的网络地址、远程单元105的订户标识、和远程单元的一个或多个EAP-AKA'标识的远程单元105的标识上下文。
在一个实施例中,存储器410是计算机可读存储介质。在一些实施例中,存储器410包括易失性计算机存储介质。例如,存储器410可以包括包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)、和/或静态RAM(“SRAM”)的RAM。在一些实施例中,存储器410包括非易失性计算机存储介质。例如,存储器410可以包括硬盘驱动器、闪速存储器、或任何其它适当非易失性计算机存储设备。在一些实施例中,存储器410包括易失性和非易失性计算机存储介质二者。在一些实施例中,存储器410存储例如协议栈、消息、安全密钥、远程单元标识、远程单元上下文等的、与经由非3GPP接入网络使远程单元附接到移动核心网络有关的数据。在一些实施例中,存储器410还存储诸如在远程单元105上操作的操作***或其它控制器算法以及一个或多个软件应用的程序代码及有关数据。
在一个实施例中,输入设备415可以包括包括触摸板、按钮、键盘、触控笔、麦克风等的任何已知的计算机输入设备。在一些实施例中,可以将输入设备415与显示器420集成在一起,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备415包括触摸屏使得可以使用在触摸屏上显示的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入设备415包括诸如键盘和触摸板的两个或更多个不同的设备。
在一个实施例中,显示器420可以包括任何已知的电子可控显示器或显示设备。显示器420可以被设计为输出视觉、听觉、和/或触觉信号。在一些实施例中,显示器420包括能够向用户输出视觉数据的电子显示器。例如,显示器420可以包括但不局限于能够向用户输出图像、文本等的LCD显示器、LED显示器、OLED显示器、投影仪、或者类似显示设备。作为另一非限制性示例,显示器420可以包括诸如智能手表、智能眼镜、抬头式显示器等的可穿戴显示器。此外,显示器420可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,显示器420包括用于产生声音的一个或多个扬声器。例如,显示器420可以产生可听告警或通知(例如,嘟嘟声或鸣声)。在一些实施例中,显示器420包括用于生成振动、运动、或其它触觉反馈的一个或多个触觉设备。在一些实施例中,可以将显示器420的全部或部分与输入设备415集成在一起。例如,输入设备415和显示器420可以形成触摸屏或类似触敏显示器。在其它实施例中,显示器420可以位于输入设备415附近。
在一个实施例中,AN接口425是用于与非3GPP接入网络进行通信的网络接口。在一些实施例中,处理器405经由AN接口425执行与远程单元105的第一认证过程。AN接口425可以包括诸如上面参考图2所讨论的NWt和NWu接口的多个接口。在一些实施例中,AN接口425可以包括如上面参考图2所讨论的用于与可信的非3GPP接入网络210中的AAA代理230进行通信的STa接口。AN接口425可以包括用于与非3GPP接入网络进行通信的硬件电路和/或软件代码。
在一个实施例中,CN接口430是用于与移动核心网络130进行通信的网络接口。在一些实施例中,处理器405代表远程单元105经由CN接口430执行与移动核心网络130的3GPP附接过程。CN接口430可以支持诸如上面参考图2所讨论的NG2(控制平面)和NG3(用户平面)接口的多个接口。CN接口430可以包括用于与移动核心网络130进行通信的硬件电路和/或软件代码。在一些实施例中,当附接远程单元105时,装置400与CP功能140的单个控制平面功能进行通信。在其它实施例中,当附接远程单元105时,装置400与CP功能140的多个功能进行通信。
图5是图示根据本公开的实施例的用于使用互通实体经由非3GPP接入网络来使远程单元附接到移动核心网络的方法500的一个实施例的示意性流程图。在一些实施例中,方法500是由诸如互通实体135、N3IWF 225、或装置400的装置来执行的。在某些实施例中,方法500可以是由例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等的、执行程序代码的处理器来执行的。
方法500可以包括由互通实体通过非3GPP接入网络(“N3AN”)发起与远程单元的第一认证过程505。在一个实施例中,处理器405经由接入网络接口425发起与远程单元105的第一认证过程(505)。N3AN可以是WLAN。在一个实施例中,N3AN是可信的WLAN接入网络(“TWAN”)并且第一认证过程是经由NWt接口发送的EAP-AKA'过程。在另一实施例中,N3AN是不可信的WLAN接入网络(“UTWAN”)并且第一认证过程是嵌入在经由NWu接口发送的IKEv2过程之内的EAP-AKA'过程。
在某些实施例中,发起第一认证过程505包括互通实体请求远程单元的订户标识。在一个实施例中,订好标识是属于远程单元的IMSI。在一些实施例中,互通实体接收包含订户标识和片选择信息二者的订户标识响应。在一个实施例中,订户标识响应包含修饰标识,该修饰标识用于将订户标识和切选择信息组合成单个值。
方法500包括由互通实体代表远程单元向移动核心网络发送附接请求510。在一个实施例中,处理器405代表远程单元105经由核心网络接口430(例如,使用逻辑NG2接口)向移动核心网络130发送附接请求510。在某些实施例中,附接代理(诸如下面所描述的附接代理615)代表远程单元105向移动核心网络130发送附接请求510。在某些实施例中,发送附接请求510包括将附接请求发送到移动核心网络130中的一个或多个控制平面功能140。
在一些实施例中,发送附接请求510包括在附接请求内发送订户标识以及(可选地)N3AN的标识。附加地,附接请求可以指示正在通过N3AN进行附接。在某些实施例中,移动核心网络130可以包括两个或更多个网络片。在这样的实施例中,互通实体可以接收来自远程单元的片选择信息,其中发送附接请求510包括基于片选择信息将附接请求发送到移动核心网络中的特定网络片。
方法500包括在互通实体处接收来自移动核心网络的附接认证请求515。在一个实施例中,处理器405经由NG2接口接收来自移动核心网络130的附接认证请求515。在某些实施例中,附接认证请求是5G附接过程的一部分并且是响应于发送附接请求510而被接收515。
在一些实施例中,附接认证请求包括瞬态安全密钥,用于保护来自在远程单元105与互通实体135之间通信的第一认证过程的消息。例如,瞬态安全密钥可以是瞬态EAP密钥,该瞬态EAP密钥包括按照在RFC 5448中的指定生成的K_aut密钥和K_encr密钥。保护第一认证过程的消息包括对消息发起者的标识进行认证(例如,以防止中间人攻击)进行认证并且对认证消息的诸如分配远程单元105的临时标识的某些敏感部分进行加密。
方法500包括由互通实体将附接认证请求转换520成第一认证过程的认证请求。在一个实施例中,处理器405将附接认证请求转换520成第一认证过程的认证请求。在某些实施例中,附接代理(诸如附接代理615)将附接认证请求转换520成第一认证过程的认证请求。在一个实施例中,附接认证请求是3GPP认证请求并且第一认证过程的认证请求是EAP-AKA'质询消息。在这样的实施例中,附接认证请求包括对来自3GPP认证请求的参数进行解析并使用所解析的参数生成EAP-AKA'质询消息。
方法500包括由互通实体使用525第一认证过程的认证响应以完成与移动核心网络的附接。在一个实施例中,处理器405使用525第一认证过程的认证响应以完成远程单元105与移动核心网络130的附接。在某些实施例中,附接代理(诸如附接代理615)使用525第一认证过程的认证响应(例如,EAP-AKA'认证过程)以完成远程单元105与移动核心网络130的3GPP附接。在一些实施例中,完成与移动核心网络130的附接包括互通实体135接收来自移动核心网络130的响应于3GPP附接认证响应的附接接受消息。在某些实施例中,互通实体135还接收用于保护通过N3AN的用户业务的安全密钥。例如,互通实体可以通过NG2接口接收初始上下文建立响应消息,该消息包含附接接受消息以及包含一个或多个安全密钥的安全上下文。
在一个实施例中,第一认证过程的认证响应是EAP-AKA'质询响应。在这样的实施例中,使用525EAP-AKA'质询响应以完成与移动核心网络130的附接包括互通实体135使用EAP-AKA'质询响应来生成3GPP附接认证响应并且将该3GPP附接认证响应发送到移动核心网络130的一个或多个控制平面功能140。附加地,完成与移动核心网络130的附接可以包括互通实体135向远程单元105发送包括互通实体135的网络地址的EAP-AKA'通知。
在一些实施例中,互通实体响应于完成与移动核心网络130的附接而创建安全密钥。附加地,互通实体可以响应于完成与移动核心网络130的附接而使用该安全密钥以建立与远程单元105的安全连接。响应于建立安全连接,互通实体可以在远程单元105与移动核心网络130之间中继NAS消息。在一个实施例中,安全连接是数据报传输层安全性(“DTLS”)连接并且安全密钥用作用于建立DTLS连接的预共享密钥。
在某些实施例中,互通实体响应于完成与移动核心网络130的附接而生成远程单元上下文。这里,远程单元上下文包括远程单元105的网络地址、远程单元105的订户标识、和远程单元105的一个或多个EAP-AKA'标识。
图6描绘了根据本公开实施例的用于经由可信的WLAN接入网络610和N3IWF 225与移动核心网络130附接的UE 205的协议架构600。UE 205是如上参考图2和图3基本上描述的。UE 205可以是如上参考图1描述的远程单元105的一个实施例。移动核心网络130是如上参考图1-图3基本上描述的并且包括一个或多个CP功能140。可信的WLAN接入网络(“TWAN”)610是上面参考图1-图3描述的WLAN AN 110和可信的非3GPP接入网络210的实施例。N3IWF225是上面参考图2-图3基本上描述的。另外,N3IWF 225可以是上面参考图1、图4、图5讨论的互通实体135的一个实施例。
如所描绘的,UE 205通过NWt接口与TWAN 610进行通信。UE 205的协议栈包括WLAN层601、IPv4/v6层603、LAN上的EAP(“EAPoL”)层605、和EAP层607。WLAN层601包括物理层(层1)和数据链路层(层2)并终止于TWAN 610。TWAN 610具有基于其与N3IWF 225的连接而终止于N3IWF 225的相对应的层1和层2。为简单起见,层2和层1被描绘为组合的L2/L1层619。
EAP0L层605终止于TWAN 610并且TWAN 610具有终止于N3IWF 225的AAA层617。在一些实施例中,TWAN 610包括在AAA层617处进行操作的AAA代理230。如所描绘的,N3IWF225中的每个UE 205包括终止于TWAN 610的EAP层607。
UE 205的协议栈还包括EAP-AKA'层609,该EAP-AKA'层609涉及TWAN 610并且终止于N3IWF 225。在EAP-AKA'层609之上,UE 205包括适配层611。适配层611使得NAS层613能够通过EAP-AKA'进行操作。如所描绘的,CP功能140还包括NAS层613。
N3IWF 225的协议栈包括附接代理615。附接代理615执行EAP-AKA'信令与NG2信令之间的互通。如所描绘的,N3IWF 225包括NG2较低层621及NG2应用协议(“AP”)层623。NG2较低层621和NG2AP层623终止于CP功能140。如上所讨论的,N3IWF 225使用NG2接口与CP功能140进行通信。附接代理615代表UE 205朝向CP功能140发起附接过程。因此,UE 205与执行EAP-AKA'过程并行地附接到移动核心网络130,如下面参考图10A-图10B更详细地讨论。
图7图示根据本公开实施例的用于经由TWAN 610在UE 205与CP功能140之间交换NAS信令的协议架构700的一个实施例。协议架构700在UE 205附接到移动核心网络130之后发生。如下所讨论的,图10A-图10B描述了用于从协议架构600转换到协议架构700的附接过程。
在UE 205完成EAP-AKA'过程并且附接到移动核心网络130之后,UE 205可以通过逻辑NG1接口与CP功能140(在NAS层613处)交换NAS信令。UE 205可以使用NG1接口来请求数据连接(还被称为PDU会话),以例如通过移动核心网络130的用户平面并经由TWAN 610与外部数据网络进行通信。应当注意的是,UE 205中的NAS层613被设计为通过无线电资源控制(“RRC”)层进行操作,例如其中UE 205通过移动RAN 120附接到移动核心网络130。这里,适配层611执行要使得NAS层613能够通过DTLS/UDP/IP进行操作需要的所有适配功能。
如所描绘的是,UE 205的协议栈包括经由TWAN 610与N3IWF 225接口连接的WLAN层601及IPv4/v6层603。另外,UE 205和N3IWF 225包括用户数据报协议(“UDP”)层701和数据报传输层安全性(“DTLS”)层703。UDP层701是传输层,同时DTLS层703为UDP数据报提供通信安全性。如下面更详细讨论的是,UE 205和N3IWF 225在附接过程期间导出来自从CP功能140接收到的安全上下文DTLS(预共享)密钥。
适配层611接收来自N3IWF 225的N3IWF 225的IP地址并建立与N3IWF 225的安全DTLS隧道。对该DTLS隧道应用相互认证。
图8描绘了根据本公开实施例的用于经由不可信的WLAN接入网络810和N3IWF 225附接到移动核心网络130的UE 205的协议架构600。UE 205可以是如上参考图2-3和6-7基本上描述的。UE 205可以是如上参考图1描述的远程单元105的一个实施例。移动核心网络130是如上参考图1-图3基本上描述的并且包括一个或多个CP功能140。可信的WLAN接入网络(“TWAN”)610是如上参考图1-图3描述的WLAN AN 110和不可信的非3GPP接入网络215的实施例。N3IWF 225是如上参考图2-图3和图6-图7基本上描述的。另外,N3IWF 225可以是如上参考图1、图4、图5讨论的互通实体135的一个实施例。
如所描绘的是,UE 205通过NWt接口与UTWAN 810进行通信。UE 205的协议栈包括WLAN层601、IPv4/v6层603、UDP层701、IKEv2层801、和EAP层607。WLAN层601包括物理层(层1)和数据链路层(层2)并终止于UTWAN 810。UTWAN 810具有终止于N3IWF 225的相对应的L2/L1层619。
UE 205的协议栈还包括其涉及UTWAN 810并终止于N3IWF 225处的IPv4/v6层603、IKEv2层801、和EAP-AKA'层609。IKEv2层801允许用于建立与N3IWF的IKEv2/IPSec连接。通过IKEv2/IPSec连接发送在IKEv2认证消息中嵌入的EAP-AKA'信令。IKEv2协议运行在UDP之上,并且EAP-AKA'协议运行在IKEv2之上。在EAP-AKA'层609上,UE 205包括适配层611。适配层611使得NAS层613能够通过EAPAKA'/IKEv2/UDP进行操作。如所描绘的是,CP功能140还包括NAS层613。
N3IWF 225的协议栈包括附接代理615。附接代理615执行EAP-AKA'信令与NG2信令之间的互通。如所描绘的是,N3IWF 225包括NG2较低层621及NG2应用协议(“AP”)层623。NG2较低层621和NG2AP层623终止于CP功能140。如上所讨论的是,N3IWF 225使用NG2接口与CP功能140进行通信。附接代理615代表UE 205朝向CP功能140发起附接过程。因此,UE 205与执行通过IKEv2的EAP-AKA'认证过程并行地附接到移动核心网络130,如下面参考图11A-图11B更详细地讨论。
图9图示根据本公开实施例的用于经由UTWAN 810在UE 205与CP功能140之间交换NAS信令的协议架构900的一个实施例。协议架构900在UE 205附接到移动核心网络130之后发生。如下所述,图11A-图11B描述了用于从协议架构800转换到协议架构900的附接过程。
在UE 205完成EAP-AKA'过程并且附接到移动核心网络130之后,UE 205可以通过逻辑NGI接口(在NAS层613处)与CP功能140交换NAS信令。UE 205可以使用NG1接口来请求数据连接(PDU会话)以通过移动核心网络130的用户平面且经由UTWAN 810与外部数据网络进行通信。应当注意的是,UE 205中的NAS层613被设计为通过RRC层进行操作,例如其中UE205通过移动RAN 120附接到移动核心网络130。这里,适配层611执行要使得NAS层613能够通过IP/ESP/1PSec进行操作需要的所有适配功能。
如下所述,参考图11A-图11B,UE 205经由IKEv2信令使用EAP-AKA'(经由CP功能140)附接到移动核心网络130。在附接期间,UE 205与N3IWF 225建立IPsec隧道。在封装安全有效载荷(“ESP”)/IPsec层901处支持该IPsec隧道。再次,适配层611使得NAS层613能够通过非RRC协议(这里是ESP/IPsec层901和IP层903)进行操作。适配层611发现N3IWF 225的IP地址,从而建立了IP层903。协议架构900允许UE 205在经由UTWAN 810附接到移动核心网络130的同时通过逻辑NG1接口请求PDU会话。
图10A-图10B图示用于经由可信的WLAN接入网络610附接到移动核心网络130的信令过程1000。信令过程1000描绘了由UE 205、TWAN 610、N3IWF 225、和移动核心网络130当中的通信执行的动作以及UE 205、TWAN 610、N3IWF 225、和移动核心网络130当中的通信。UE 205、TWAN 610、N3IWF 225、和移动核心网络130是如上参考图1-图2和图5-图7基本上描述的。信令过程1000描绘了UE 205如何由移动核心网络130的CP功能140(经由NG2接口)认证并且被授权为接入TWAN 610。在一些实施例中,当N3IWF 225使UE 205附接并对其进行认证时,N3IWF 225与CP功能140的单个控制平面功能进行通信。在其它实施例中,当N3IWF225使UE 205附接并对其进行认证时,N3IWF 225与CP功能140的多个功能进行通信。
有益地,下面的步骤1002-1050不需要新的UE能力。步骤1002-150可以由支持EAP-AKA'的任何UE 205来执行以便在由其归属PLMN(例如,移动核心网络130)认证和授权之后连接到可信的WLAN接入网络(例如,TWAN 610)。这样的传统UE 205将能够仅使用TWAN 610用于非无缝WLAN卸载(“NSWO”)业务。
在1002处,UE 205发现并且与TWAN 610进行认证。UE 205应用正常EAP-AKA'过程以与TWAN 610连接。在1004处,UE 205根据现有过程与TWAN 610相关联。
在1006处,TWAN 610通过发送EAP-REQ/标识请求来开始IEEE 802.1x接入控制过程。应当注意的是,在信令过程1000中未示出802.1x消息(例如,LAN上的EAP)。在1008处,UE205提供标识及领域,该域主要用于路由目的。基于所提供的域,TWAN 610将EAP-RSP/标识消息路由到N3IWF 225。在1010处,此后N3IWF 225请求来自UE 205的特定标识(例如,永久或临时订户标识)。从TWAN 610的角度来看,N3IWF 225用作AAA服务器,其将EAP-AKA'信令封装在AAA消息内。
在一些实施例中,移动核心网络130包括多个网络片。如果UE205支持经由可信WLAN接入的网络片选择,则UE 205可以向N3IWF 225提供片选择“辅助信息”。在一个实施例中,UE 205通过使所提供的标识修饰有片选择“辅助信息”来提供切片选择信息。通过N3IWF225使用该“辅助信息”来为UE 205选择合适的网络片。
例如,基于片选择“辅助信息”,N3IWF 225可以选择对IoT操作优化的片。因此,如果UE 205具有IMSI标识“295023820005424”,则UE 205可以提供修饰的IMSI标识“295023820005424%iot”。这里,“%”是保留用于将IMSI标识与片选择“辅助信息”分离开的特定字符,在该示例中,片选择“辅助信息”是“iot”。如本领域技术人员将显而易见的是,特定字符不局限于“%”,它可以是保留用于将订户标识与片选择信息区分离开的任何适当字符。
可替选地,代替修饰UE标识,可以定义新的EAP-AKA'属性(例如,EAP-AKA'标识消息内的参数或信息元素),该新的EAP-AKA'属性携带来自UE的片选择“辅助信息”。在1012处,UE 205发送EAP-AKA'标识响应,这里被描述为包含片选择信息,并且TWAN 610将该标识响应转发到N3IWF 225。在1014处,N3IWF 225基于片选择信息执行网络片选择。
在1016处,N3IWF 225中的附接代理615代表UE 205创建包含附接请求消息的初始UE消息。附接请求消息包括UE 205的所接收到的订户标识。附接请求消息还包括“类型”信息元素(IE),该“类型”信息元素指示所述附接通过可信的非3GPP接入网络(例如,TWAN610)。附接请求消息可以进一步包括TWAN 610的标识(例如ESSID)。
附接请求消息用于认证UE 205并授权对TWAN 610的接入。在某些实施例中,附接请求消息省略诸如旧位置区域标识(“LAI”)、UE网络能力、不连续接收(“DRX”)参数等的专用于3GPP(RAN)接入的信息元素。
在1018处,移动核心网络130获得认证向量。这里,CP功能140咨询HSS 150以获得认证向量。在1020处,移动核心网络130的CP功能140导出密钥材料。
在1022处,CP功能140通过NG2接口向N3IWF 225发送DL NAS传输消息,该DL NAS传输消息包含认证请求。认证请求是3GPP附接过程的部分并且包括随机值(“RAND”)、认证参数(“AUTN”)、和多个瞬态EAP密钥(“TEK”)。具体地,N3IWF 225接收用于保护UE 205与N3IWF225之间的EAP-AKA'信令的认证密钥(“K_aut”)以及加密密钥(“K_encr”)TEK。在某些实施例中,仅当附接请求中的类型IE指示非3GPP接入时,TEK密钥才被包含在认证请求之中。
在1024处,N3IWF 225向UE 205发送EAP-AKA'认证消息(这里是EAP-REQ/AKA-质询消息)。在该消息之中包含1022处接收到的RAND和AUTN参数。此外,EAP-AKA'认证消息包括基于1022处接收到的K_aut密钥计算的消息认证码属性(“AT_MAC”)。如果存在对将(例如,在AT_ENCR_DATA属性内的)加密参数发送到UE205的需求,则基于1022处接收到的K_encr密钥对这些参数进行加密。
在1026处,UE 205验证AUTN,从而生成会话密钥(例如,主会话密钥(“MSK”)、扩展主会话密钥(“EMSK”)、K_aut密钥,K_encr密钥等),并将结果(RES)导出到包含结果属性(“AT_RES”)的EAP-AKA'认证消息(例如,EAP-REQ/AKA-质询消息)。在1028处,UE 205向N3IWF 225发送EAP-AKA'认证响应(这里是EAP-REQ/AKA-质询响应)。在1030处,N3IWF导出包含从EAP-AKA'响应接收到的结果(RES)的3GPP认证响应消息。N3IWF 225还通过NG 2将3GPP认证响应消息发送到CP功能140。
在1032处,CP功能140验证结果(RES)。如果结果(RES)是正确的,则CP功能140在1034处用(示出嵌入在“初始上下文建立请求”消息中的)附接接受消息进行响应。该附接接受消息可以包括要传输到UE 205的参数(在图10B中称为IE)。例如,附接接受消息可以包括临时UE标识。另外,“初始上下文建立请求”消息可以包括下述安全上下文,该安全上下文包含先前由UE 205导出的并且被需要以保护WLAN空中接口业务的会话密钥(例如MSK、EMSK)。
在1036处,N3IWF 225导出“DTLS密钥”(例如,来自EMSK)以在稍后点处被使用用于与UE 205建立安全DTLS连接。如这里所使用的是,“DTLS密钥”指的是用作用于建立DTLS连接的预共享密钥的安全密钥。应当注意的是,在成功认证之后还由UE 205导出相同的DTLS密钥。在1038处,N3IWF 225向UE 205发送下述EAP-AKA'通知消息(这里是EAP-REQ/AKA通知消息),该通知消息包括N3IWF 225的地址以及在附接接受消息(例如新的临时标识)之中包含的其它参数(IE)。应当注意的是,传统UE 205将忽略N3IWF的地址以及其它参数(IE)。
在1040处,UE 205以下述EAP-AKA'通知响应(这里是EAP-RES/AKA通知)进行响应,所述EAP-AKA'通知响应触发N3IWF 225以在1042处向CP功能140发送附接完成消息。在1044处,EAP-AKA'认证过程以EAP-成功消息完成。(还在1044处)进一步将MSK传输到TWAN 610,以便导出如在IEEE 802.11规范中定义的成对主密钥(PMK)。
在1046处,N3IWF 225创建UE上下文,该UE上下文存储诸如UE MAC地址、(在附接接受消息之中包含的)UE临时标识、UE 205的EAP-AKA'标识(例如,假名和/或快速重新认证标识)等的信息。此时,UE 205与TWAN 610连接(例如,相关联)并且在1048处例如通过经由DHCP接收IPv4地址而能够建立层3连接性。在1050处,此后UE 205能够然后使用TWAN 610用于NSWO业务。
应当注意的是,信令过程1000的上述步骤不需要新的UE能力并且因此可以由传统UE 205执行。然而,步骤1052-1056需要新的UE能力。
在1052处,UE 205响应于在移动核心网络130处对UE 205成功认证而如上所述导出DTSL密钥。在1054处,UE 205中的适配层611通过使用在步骤1052中导出的安全密钥作为DTLS预共享密钥来建立与N3IWF 225的安全DTLS连接。UE 205中的适配层611发起与在步骤1038中接收到的N3IWF 225的地址的DTLS连接。
在1056处,UE 205中的自适应层611向NAS层613通知完成了经由可信的WLAN接入(例如,TWAN 610)的3GPP附接。适配层611还向NAS层613提供(例如,如UE205在1038处所接收的、)由移动核心网络130在附接接受消息中提供的IE。此时,UE 205中的NAS层613可以发起与网络中的CP功能140的NAS信令,以便例如通过WLAN接入建立PDU会话。
图11A-图11B图示用于经由不可信的WLAN接入网络810附接到移动核心网络130的信令过程1100。信令过程1100描绘了由UE 205、UTWAN 810、N3IWF 225、和移动核心网络130当中的通信执行的动作以及UE 205、UTWAN 810、N3IWF 225、和移动核心网络130当中的通信。UE 205、UTWAN 810、N3IWF 225、和移动核心网络130是如上参考图1-图2和图8-图9基本上描述的。信令过程1100描绘了UE 205如何与UTWAN 810连接并且然后建立了到由移动核心网络130(经由NG2接口)认证的并附接到移动核心网络130的N3IWF 225的IPsec连接。在一些实施例中,当N3IWF 225使UE 205附接并对其进行认证时,N3IWF 225与CP功能140的单个控制平面功能进行通信。在其它实施例中,当N3IWF 225使UE 205附接并对其进行认证时,N3IWF 225与CP功能140的多个功能进行通信。随后可以使用IPsec连接来在移动核心网络130中的UE 205与CP功能140之间交换NAS信令消息。
在1102处,UE 205根据现有过程发现UTWAN 810并与UTWAN 810相关联。因为UTWAN810不是可信的非3GPP接入网络并且它可能不支持基于3GPP的认证,所以在需要时,在1104处由UTWAN 810对UE 205进行认证。该认证不是基于3GPP的认证。UE 205可以使用任何非3GPP方法来认证UTWAN 810并与UTWAN 810连接。例如,在开放(免费)的WLAN作为示例的情况下,UE 205可以在不需要认证的情况下与UTWAN 810连接,UE 205可以使用用户名/密码组合等经由具有预共享密钥的EAP与UTWAN 810进行认证。
在1106处,UE 205与UTWAN 810连接并且能够例如通过经由动态主机配置协议(“DHCP”)接收IP地址来建立层3连接。在1108处,UE 205需要发现N3IWF 255的理想IP地址。这里,UE 205可以执行(例如,如在3GPP TS 23.402中所规定的)ePDG发现过程,以便发现N3IWF 255。
在1110处,NAS层613向适配层611发送附接请求。响应于附接请求,适配层611发起在UE 205与N3IWF 255之间建立安全IPsec隧道。适配层611不转发从NAS层613接收到的附接请求。相反,适配层611发起IKEv2过程以建立安全IPsec隧道。
在1112处,UE 205和N3IWF 225交换安全关联发起消息(这里是“IKE_SA_INIT”消息)。在1114处,UE 205向N3IWF 225发送IKEv2认证请求消息(这里是“IKE_AUTH请求”消息)。这里,认证请求可以包括UE 205的标识。然而,在1116处,N3IWF 225在(这里嵌入在“IKE_AUTH响应”消息中的)IKEv2信令内将EAP-AKA'标识请求发送到UE 205。如上面参考图10a所讨论的,N3IWF 225可以向UE 205请求特定标识。
在1118处,UE 205将包含UE 205的订户标识(例如,IMSI)的EAP-AKA'标识响应发送到N3IWF 225。可选地,EAP-AKA'标识响应还可以包括片选择信息以例如作为修饰的标识或者作为单独的属性,如上面参考图10A所讨论的。应当注意的是,UE 205将EAP-AKA'标识响应嵌入在IKEv2认证请求消息内。在1120处,N3IWF 225基于片选择信息来执行网络片选择。
在1122处,N3IWF 225中的附接代理615代表UE 205创建包含附接请求消息的初始UE消息。这里应当注意的是,这是单独的附接请求消息而不是由NAS层613在1110处生成的消息。然而,它包括与1110处的附接请求中的订户标识相同的订户标识。附接代理615响应于EAP-AKA'标识响应消息而代表UE 205创建新的附接请求消息。该附接请求消息用于对UE205进行认证并授权建立到N3IWF的IPsec隧道。
附接请求消息包括所接收到的UE 205的订户标识。该附接请求消息还包括“类型”信息元素(IE),该“类型”信息元素用于指示通过不可信的非3GPP接入网络(例如,UTWAN810)的附接。附接请求消息可以进一步包括UTWAN 810的标识(例如,ESSID)。在某些实施例中,附接请求消息省略诸如旧位置区域标识(“LAI”)、UE网络能力、不连续接收(“DRX”)参数等的专用于3GPP(RAN)接入的信息元素。
在1124处,移动核心网络130获得认证向量。这里,CP功能140咨询HSS 150以获得认证向量。在1126处,移动核心网络130的CP功能140导出密钥材料。
现在参考图11B,CP功能140通过NG2接口向N3IWF 225发送包含认证请求的DL NAS传输消息。认证请求是3GPP附接过程的一部分并且包括随机值(“RAND”)、认证参数(“AUTN”)、和多个瞬态EAP密钥(“TEK”)。具体地,N3IWF 225接收用于保护UE 205与N3IWF225之间的EAP-AKA'信令的认证密钥(“K_aut”)以及加密密钥(“K_encr”)TEK。在某些实施例中,仅当附接请求中的类型IE指示非3GPP接入时,TEK密钥才被包含在认证请求之中。
在1130处,N3IWF 225向UE 205发送EAP-AKA'认证消息(这里是EAP-REQ/AKA-质询消息)。应当注意的是,EAP-AKA'认证消息被嵌入在IKEv2信令(这里是IKE认证响应消息)内。在该消息之中包含1128处接收到的RAND和AUTN参数。此外,EAP-AKA'认证消息包括基于1128处接收到的K_aut密钥计算的消息认证码属性(“AT_MAC”)。如果需要将(例如,在AT_ENCR_DATA属性内的)加密参数发送到UE 205,则基于在1128处接收到的K_encr密钥对这些参数进行加密。
在1132处,UE 205对AUTN进行验证,生成会话密钥(例如,主会话密钥(“MSK”)、扩展主会话密钥(“EMSK”)、K_aut密钥,K_encr密钥等),并将结果(RES)导出到包含结果属性(“AT_RES”)的EAP-AKA'认证消息(例如,EAP-REQ/AKA-质询消息)。在1134处,UE 205向N3IWF 225发送EAP-AKA'认证响应(这里是EAP-REQ/AKA-质询响应)。应当注意的是,EAP-AKA'认证响应被嵌入在IKEv2信令(这里是IKE认证请求消息)内。在1136处,N3IWF导出包含从EAP-AKA'响应接收到的结果(RES)的3GPP认证响应消息。N3IWF 225还通过NG2将3GPP认证响应消息发送到CP功能140。
在1138处,CP功能140验证结果(RES)。如果结果(RES)是正确的,则CP功能140用1140处的(示出嵌入在“初始上下文建立请求”消息中的)附接接受消息进行响应。该附接接受消息可以包括要发送到UE 205的参数(在图10B中称为IE)。例如,附接接受消息可以包括临时UE标识。另外,“初始上下文建立请求”消息可以包括下述安全上下文,该安全上下文包含先前由UE 205导出的并且被需要以保护WLAN空中接口业务的会话密钥(例如,MSK、EMSK)。
在1142处,N3IWF 225向UE 205发送EAP-AKA'通知消息(这里是EAP-REQ/AKA通知消息),该EAP-AKA'通知消息包括在附接接受消息(例如新的临时标识)中包括的其它参数(IE)。应当注意的是,传统UE 205将忽略其它参数(IE)。
在1144处,UE 205以EAP-AKA'通知响应(这里是在IKEv2认证请求之内嵌入的EAP-RES/AKA通知)进行响应,所述EAP-AKA'通知响应触发N3IWF 225以在1146处向CP功能140发送附接完成消息。在1148处,EAP-AKA'认证过程以EAP-成功消息完成。
在1150处,N3IWF 225创建UE上下文,该UE上下文存储诸如UE IP地址、(在附接接受消息之中包含的)UE临时标识、UE 205的EAP-AKA'标识(例如,假名和/或快速重新认证标识)等的信息。此时,UE 205中的适配层611用附接接受消息来响应NAS层613。此时,在UE205和N3IWF 225之间建立IPsec隧道。在1154处,IPsec隧道用于在UE 205与CP功能140之间交换NAS信令。
实施例可以以其它特定形式实践。所描述的实施例在所有方面都应当被视为仅是说明性的而非限制性的。因此,本发明的范围由所附权利要求而不是前述来指示的。在权利要求的含义和等同范围内的所有变化都被涵盖在其范围之内。
Claims (38)
1.一种装置,包括:
第一网络接口,所述第一网络接口通过非3GPP接入网络与远程单元进行通信;
第二网络接口,所述第二网络接口与移动核心网络进行通信;
处理器,所述处理器:
通过所述非3GPP接入网络发起与所述远程单元的第一认证过程;
代表所述远程单元向所述移动核心网络发送附接请求;
接收来自所述移动核心网络的附接认证请求;
将所述附接认证请求转换成所述第一认证过程的认证请求;并且
使用所述第一认证过程的认证响应以完成与所述移动核心网络的附接。
2.根据权利要求1所述的装置,其中,所述处理器通过请求所述远程单元的订户标识来发起所述第一认证过程。
3.根据权利要求2所述的装置,其中,所述处理器接收包括所述订户标识和片选择信息的订户标识响应,其中,所述处理器基于所述片选择信息将所述附接请求发送到所述移动核心网络中的特定网络片,所述移动核心网络包括至少两个网络片。
4.根据权利要求3所述的装置,其中,所述订户标识响应包含修饰标识,所述修饰标识将所述订户标识和所述片选择信息组合成单个值。
5.根据权利要求2所述的装置,其中,所述附接请求包括所述订户标识并指示通过所述非3GPP接入网络的附接。
6.根据权利要求5所述的装置,其中,所述附接请求进一步包括所述非3GPP接入网络的标识。
7.根据权利要求1所述的装置,其中,所述非3GPP接入网络是包含至少一个WLAN接入点和所述装置的可信无线局域网(“WLAN”)。
8.根据权利要求1所述的装置,其中,所述附接认证请求包括用于保护在所述远程单元与所述装置之间通信的所述第一认证的消息的瞬态安全密钥。
9.根据权利要求1所述的装置,其中,代表所述远程单元向所述移动核心网络发送附接请求包括将所述附接请求发送到所述移动核心网络的控制平面功能。
10.根据权利要求1所述的装置,其中,所述处理器进一步响应于完成与所述移动核心网络的附接而创建安全密钥。
11.根据权利要求10所述的装置,其中,所述处理器进一步响应于完成与所述移动核心网络的附接而建立与所述远程单元的安全连接,其中,通过使用所述安全密钥建立所述安全连接。
12.根据权利要求11所述的装置,其中,所述安全连接是数据报传输层安全性(“DTLS”)连接,并且所述安全密钥被用作用于建立DTLS连接的预共享密钥。
13.根据权利要求11所述的装置,其中,所述处理器进一步响应于建立所述安全连接而在所述远程单元与所述移动核心网络之间中继非接入层消息。
14.根据权利要求1所述的装置,其中,所述第一认证过程是改进的第三代认证和密钥协商可扩展认证协议(“EAP-AKA'”)过程。
15.根据权利要求14所述的装置,其中,所述非3GPP接入网络是不可信无线局域网,并且其中所述EAP-AKA'过程被嵌入到互联网密钥交换版本2(“IKEv2”)过程之中。
16.根据权利要求14所述的装置,其中,所述第一认证过程的认证请求是EAP-AKA'质询消息并且所述第一认证过程的认证响应是EAP-AKA'质询响应,其中,使用所述第一认证过程的认证响应来完成与所述移动核心网络的附接包括所述处理器使用所述EAP-AKA'质询响应生成附接认证响应以及将所述附接认证响应发送到所述移动核心网络的控制平面功能。
17.根据权利要求16所述的装置,其中,所述处理器进一步接收来自所述移动核心网络的响应于所述附接认证响应的附接接受消息以及用于保护通过所述非3GPP接入网络的用户业务的安全密钥。
18.根据权利要求16所述的装置,其中,所述处理器进一步向所述远程单元发送EAP-AKA'通知,所述EAP-AKA'通知包括所述装置的网络地址。
19.根据权利要求1所述的装置,其中,所述处理器进一步响应于完成与所述移动核心网络的附接而生成远程单元上下文,所述远程单元上下文包括所述远程单元的网络地址、所述远程单元的订户标识、和一个或多个用于所述远程单元的改进的第三代认证和密钥协商可扩展认证协议(“EAP-AKA'”)标识。
20.一种方法包括:
在互通实体处,通过非3GPP接入网络发起与远程单元的第一认证过程;
通过所述互通实体,代表所述远程单元向移动核心网络发送附接请求;
在互通实体处,接收来自所述移动核心网络的附接认证请求;
通过所述互通实体,将所述附接认证请求转换成所述第一认证过程的认证请求;以及
通过所述互通实体,使用所述第一认证过程的认证响应以完成与所述移动核心网络的附接。
21.根据权利要求20所述的方法,其中,发起所述第一认证过程包括所述互通实体请求所述远程单元的订户标识。
22.根据权利要求21所述的方法,进一步包括所述互通实体接收包括所述订户标识和片选择信息的订户标识响应,其中,代表所述远程单元向所述移动核心网络发送附接请求包括所述互通实体基于所述片选择信息将所述附接请求发送到所述移动核心网络中的特定网络片,所述移动核心网络包括至少两个网络片。
23.根据权利要求22所述的方法,其中,所述订户标识响应包含修饰标识,所述修饰标识将所述订户标识和所述片选择信息组合成单个值。
24.根据权利要求21所述的方法,其中,所述附接请求包括所述订户标识并指示通过所述非3GPP接入网络的附接。
25.根据权利要求24所述的方法,其中,所述附接请求进一步包括所述非3GPP接入网络的标识。
26.根据权利要求20所述的方法,其中,所述非3GPP接入网络是包含至少一个WLAN接入点和所述互通实体的可信无线局域网(“WLAN”)。
27.根据权利要求20所述的方法,其中,所述附接认证请求包括用于保护在所述远程单元与所述互通实体之间通信的所述第一认证过程的消息的瞬态安全密钥。
28.根据权利要求20所述的方法,其中,代表所述远程单元向所述移动核心网络发送附接请求包括所述互通实体将所述附接请求发送到所述移动核心网络的控制平面功能。
29.根据权利要求20所述的方法,进一步包括所述互通实体响应于完成与所述移动核心网络的附接而创建安全密钥。
30.根据权利要求29所述的方法,进一步包括所述互通实体响应于完成与所述移动核心网络的附接而建立与所述远程单元的安全连接,其中,通过使用所述安全密钥建立所述安全连接。
31.根据权利要求30所述的方法,其中,所述安全连接是数据报传输层安全性(“DTLS”)连接,并且所述安全密钥被用作用于建立DTLS连接的预共享密钥。
32.根据权利要求30所述的方法,进一步包括所述互通实体响应于建立所述安全连接而在所述远程单元与所述移动核心网络之间中继非接入层(“NAS”)消息。
33.根据权利要求20所述的方法,其中,所述第一认证过程是改进的第三代认证和密钥协商可扩展认证协议(“EAP-AKA'”)过程。
34.根据权利要求33所述的方法,其中,所述非3GPP接入网络是不可信无线局域网,并且其中,所述EAP-AKA'过程被嵌入到互联网密钥交换版本2(“IKEv2”)过程之中。
35.根据权利要求33所述的方法,其中,所述第一认证过程的认证请求是EAP-AKA'质询消息并且所述第一认证过程的认证响应是EAP-AKA'质询响应,其中,使用所述第一认证过程的认证响应来完成与所述移动核心网络的附接包括所述互通实体使用所述EAP-AKA'质询响应生成附接认证响应以及将所述附接认证响应发送到所述移动核心网络的控制平面功能。
36.根据权利要求35所述的方法,进一步包括所述互通实体接收来自所述移动核心网络的响应于所述附接认证响应的附接接受消息以及用于保护通过所述非3GPP接入网络的用户业务的安全密钥。
37.根据权利要求35所述的方法,进一步包括所述互通实体向所述远程单元发送EAP-AKA'通知,所述EAP-AKA'通知包括所述互通实体的网络地址。
38.根据权利要求20所述的方法,进一步包括所述互通实体响应于完成与所述移动核心网络的附接而生成远程单元上下文,所述远程单元上下文包括所述远程单元的网络地址、所述远程单元的订户标识、和一个或多个用于所述远程单元的改进的第三代认证和密钥协商可扩展认证协议(“EAP-AKA'”)标识。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2016/073819 WO2018065052A1 (en) | 2016-10-05 | 2016-10-05 | Core network attachment through standalone non-3gpp access networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109804651A true CN109804651A (zh) | 2019-05-24 |
| CN109804651B CN109804651B (zh) | 2023-02-14 |
Family
ID=57121239
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680089800.2A Active CN109804651B (zh) | 2016-10-05 | 2016-10-05 | 通过独立的非3gpp接入网络的核心网络附接 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US10924930B2 (zh) |
| EP (3) | EP4398676A2 (zh) |
| CN (1) | CN109804651B (zh) |
| WO (1) | WO2018065052A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113852959A (zh) * | 2021-08-30 | 2021-12-28 | 浪潮软件科技有限公司 | 一种5GC对Wi-Fi设备的鉴权方法及装置 |
| CN114008989A (zh) * | 2019-07-18 | 2022-02-01 | 联想(新加坡)私人有限公司 | 测量移动通信网络中的往返时间 |
| WO2023011652A1 (zh) * | 2021-08-06 | 2023-02-09 | 华为技术有限公司 | 安全通信的方法和装置 |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112888022B (zh) * | 2016-11-16 | 2024-02-02 | 华为技术有限公司 | 数据迁移方法及装置 |
| CN110235423B (zh) * | 2017-01-27 | 2022-10-21 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
| WO2018143763A1 (en) * | 2017-02-06 | 2018-08-09 | Lg Electronics Inc. | Method for handling of a rrc connection request message of a remote ue by a relay ue in wireless communication system and a device therefor |
| EP3384707B1 (en) * | 2017-02-10 | 2019-10-30 | IPCom GmbH & Co. KG | Roaming control |
| WO2018170617A1 (zh) * | 2017-03-18 | 2018-09-27 | 华为技术有限公司 | 一种基于非3gpp网络的入网认证方法、相关设备及*** |
| RU2734694C1 (ru) * | 2017-04-11 | 2020-10-22 | АйПиКОМ ГМБХ УНД КО. КГ | Управление доступом устройства пользователя к сети |
| US20190014095A1 (en) * | 2017-07-06 | 2019-01-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
| CN109257705B (zh) * | 2017-07-14 | 2023-04-18 | 华为技术有限公司 | 数据传输方法、装置和*** |
| WO2019097499A1 (en) * | 2017-11-20 | 2019-05-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Security gateway selection in hybrid 4g and 5g networks |
| WO2019159567A1 (en) * | 2018-02-16 | 2019-08-22 | Nec Corporation | Distinguishing between general nas level congestion and s-nssai related congestion control |
| EP3701738A4 (en) * | 2018-05-18 | 2020-12-09 | NEC Corporation | EU STATE SYNCHRONIZATION PROCESS IN A COMMUNICATION NETWORK |
| WO2020030248A1 (en) * | 2018-08-07 | 2020-02-13 | Lenovo (Singapore) Pte. Ltd. | Delegated data connection |
| EP3858083B1 (en) * | 2018-09-27 | 2023-11-01 | Lenovo (Singapore) Pte. Ltd. | Accessing a 5g network via a non-3gpp access network |
| CN113016215B (zh) * | 2018-11-16 | 2024-03-29 | 联想(新加坡)私人有限公司 | 不支持通过非3gpp接入的nas的ue的接入网络选择 |
| US11997479B2 (en) * | 2019-03-04 | 2024-05-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Key derivation for non-3GPP access |
| US20210022059A1 (en) * | 2019-07-19 | 2021-01-21 | Parallel Wireless, Inc. | 5G Stand Alone (SA) Radio Access Network (RAN) with Evolved Packet Core (EPC) |
| US11032743B1 (en) * | 2019-11-30 | 2021-06-08 | Charter Communications Operating, Llc | Methods and apparatus for supporting devices of different types using a residential gateway |
| US10750366B1 (en) | 2019-12-19 | 2020-08-18 | Cisco Technology, Inc. | Efficient authentication and secure communications in private communication systems having non-3GPP and 3GPP access |
| EP4264986A1 (en) * | 2020-12-15 | 2023-10-25 | Telefonaktiebolaget LM Ericsson (publ) | Methods, entities and computer readable media for non-3gpp access authentication |
| US20230016347A1 (en) * | 2021-07-19 | 2023-01-19 | Nokia Technologies Oy | Method, apparatus, and computer program product for authentication using a user equipment identifier |
| CN117693953A (zh) * | 2021-07-30 | 2024-03-12 | 三星电子株式会社 | 电子装置和通过使用电子装置中的嵌入式用户识别模块来移动线路的方法 |
| US11871318B2 (en) * | 2021-11-08 | 2024-01-09 | Verizon Patent And Licensing Inc. | Systems and methods for tiered network slice design and management in a wireless network |
| CN114980275B (zh) * | 2022-06-06 | 2024-01-30 | 中国电信股份有限公司 | 网络接入方法、网络接入装置、存储介质和终端设备 |
| CN117597962A (zh) * | 2022-06-17 | 2024-02-23 | 北京小米移动软件有限公司 | 认证方法、装置、通信设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102017677A (zh) * | 2008-04-11 | 2011-04-13 | 艾利森电话股份有限公司 | 通过非3gpp接入网的接入 |
| US20120269167A1 (en) * | 2009-10-29 | 2012-10-25 | Panasonic Corporation | Enhanced attachment procedure for attaching a ue to a 3gpp access network |
| US20130031271A1 (en) * | 2011-07-28 | 2013-01-31 | Juniper Networks, Inc. | Virtual private networking with mobile communication continuity |
| CN103313344A (zh) * | 2012-03-07 | 2013-09-18 | 中兴通讯股份有限公司 | 融合的核心网及其接入方法 |
| US20140341203A1 (en) * | 2011-09-23 | 2014-11-20 | Zte Corporation | Trusted Non-3GPP Access Network Element, and Method for Accessing Mobile Network and De-Attachment |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE60221993D1 (de) | 2002-11-29 | 2007-10-04 | Motorola Inc | Kommunikationssystem und Methode zur Authentifizierung dafür |
| FI121560B (fi) * | 2006-11-20 | 2010-12-31 | Teliasonera Ab | Todentaminen matkaviestintäyhteistoimintajärjestelmässä |
| WO2008094419A1 (en) * | 2007-01-31 | 2008-08-07 | Interdigital Technology Corporation | Method and apparatus for performing attachment procedures |
| US20090290556A1 (en) * | 2008-05-23 | 2009-11-26 | Pouya Taaghol | Wireless network handover with single radio operation |
| JP2012044327A (ja) * | 2010-08-16 | 2012-03-01 | Ntt Docomo Inc | 移動通信方法、リレーノード及び無線基地局 |
| US20140093071A1 (en) * | 2012-10-02 | 2014-04-03 | Telefonaktiebolaget L M Ericsson (Publ) | Support of multiple pdn connections over a trusted wlan access |
| JP6152470B2 (ja) * | 2013-05-22 | 2017-06-21 | コンヴィーダ ワイヤレス, エルエルシー | アクセスネットワーク支援型ブートストラッピング |
| JP6123035B1 (ja) * | 2014-05-05 | 2017-04-26 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Twagとueとの間でのwlcpメッセージ交換の保護 |
| US11147042B1 (en) * | 2014-07-08 | 2021-10-12 | Sprint Communications Company L.P. | Wireless communication system to deliver pages to wireless communication devices based on wireless fidelity network identifiers |
| KR102304147B1 (ko) * | 2015-06-05 | 2021-09-23 | 콘비다 와이어리스, 엘엘씨 | 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 |
-
2016
- 2016-10-05 EP EP24177172.4A patent/EP4398676A2/en active Pending
- 2016-10-05 WO PCT/EP2016/073819 patent/WO2018065052A1/en unknown
- 2016-10-05 US US16/330,058 patent/US10924930B2/en active Active
- 2016-10-05 EP EP16778785.2A patent/EP3523997B1/en active Active
- 2016-10-05 CN CN201680089800.2A patent/CN109804651B/zh active Active
- 2016-10-05 EP EP24177171.6A patent/EP4398675A2/en active Pending
-
2021
- 2021-02-15 US US17/176,091 patent/US11350278B2/en active Active
-
2022
- 2022-05-26 US US17/825,363 patent/US11902783B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102017677A (zh) * | 2008-04-11 | 2011-04-13 | 艾利森电话股份有限公司 | 通过非3gpp接入网的接入 |
| US20120269167A1 (en) * | 2009-10-29 | 2012-10-25 | Panasonic Corporation | Enhanced attachment procedure for attaching a ue to a 3gpp access network |
| US20130031271A1 (en) * | 2011-07-28 | 2013-01-31 | Juniper Networks, Inc. | Virtual private networking with mobile communication continuity |
| US20140341203A1 (en) * | 2011-09-23 | 2014-11-20 | Zte Corporation | Trusted Non-3GPP Access Network Element, and Method for Accessing Mobile Network and De-Attachment |
| CN103313344A (zh) * | 2012-03-07 | 2013-09-18 | 中兴通讯股份有限公司 | 融合的核心网及其接入方法 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP: "Study on Architecture for Next Generation System", 《3GPP TR 23.799 V1.0.2》 * |
| GEIR M: "Security Aspects of 3G-WLAN Interworking", 《IEEE COMMUNICATIONS MAGAZINE》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114008989A (zh) * | 2019-07-18 | 2022-02-01 | 联想(新加坡)私人有限公司 | 测量移动通信网络中的往返时间 |
| CN114008989B (zh) * | 2019-07-18 | 2024-04-02 | 联想(新加坡)私人有限公司 | 测量移动通信网络中的往返时间 |
| WO2023011652A1 (zh) * | 2021-08-06 | 2023-02-09 | 华为技术有限公司 | 安全通信的方法和装置 |
| CN113852959A (zh) * | 2021-08-30 | 2021-12-28 | 浪潮软件科技有限公司 | 一种5GC对Wi-Fi设备的鉴权方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018065052A1 (en) | 2018-04-12 |
| US20220295277A1 (en) | 2022-09-15 |
| CN109804651B (zh) | 2023-02-14 |
| EP3523997A1 (en) | 2019-08-14 |
| US20210185532A1 (en) | 2021-06-17 |
| US11902783B2 (en) | 2024-02-13 |
| US20190215691A1 (en) | 2019-07-11 |
| EP3523997B1 (en) | 2024-07-03 |
| US10924930B2 (en) | 2021-02-16 |
| EP4398675A2 (en) | 2024-07-10 |
| EP4398676A2 (en) | 2024-07-10 |
| US11350278B2 (en) | 2022-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109804651A (zh) | 通过独立的非3gpp接入网络的核心网络附接 | |
| CN107852407B (zh) | 用于集成小型小区和Wi-Fi网络的统一认证 | |
| CN106717044B (zh) | 服务网络认证 | |
| JP6727294B2 (ja) | ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム | |
| US20130298209A1 (en) | One round trip authentication using sngle sign-on systems | |
| CN108012264A (zh) | 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案 | |
| US20110035592A1 (en) | Authentication method selection using a home enhanced node b profile | |
| CN107211272A (zh) | 方法、装置和*** | |
| CN109560919A (zh) | 一种密钥衍生算法的协商方法及装置 | |
| CN115552942A (zh) | 网关功能重新认证 | |
| CN115699833A (zh) | 支持远程单元重新认证 | |
| US20230224704A1 (en) | Using a pseudonym for access authentication over non-3gpp access | |
| CN115943652A (zh) | 使用隐藏标识的移动网络认证 | |
| KR20220164762A (ko) | Eap 절차에서의 통보 | |
| CN115699834A (zh) | 支持远程单元重新认证 | |
| Ntantogian et al. | A security protocol for mutual authentication and mobile VPN deployment in B3G networks | |
| Ntantogian et al. | A Security Binding for Efficient Authentication in 3G-WLAN Heterogeneous Networks | |
| Komninos et al. | Adaptive authentication and key agreement mechanism for future cellular systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Apostolos Solginz Inventor before: Apostolic Doris Sargentzas |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |