CN117412290A - 向移动通信网络进行认证的方法 - Google Patents
向移动通信网络进行认证的方法 Download PDFInfo
- Publication number
- CN117412290A CN117412290A CN202311474652.4A CN202311474652A CN117412290A CN 117412290 A CN117412290 A CN 117412290A CN 202311474652 A CN202311474652 A CN 202311474652A CN 117412290 A CN117412290 A CN 117412290A
- Authority
- CN
- China
- Prior art keywords
- eap
- network
- message
- access network
- nas
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 145
- 238000010295 mobile communication Methods 0.000 title claims abstract description 94
- 230000004044 response Effects 0.000 claims abstract description 110
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 claims description 123
- 230000006870 function Effects 0.000 claims description 72
- 230000000977 initiatory effect Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 abstract description 53
- 230000011664 signaling Effects 0.000 description 45
- 238000010586 diagram Methods 0.000 description 23
- 230000000007 visual effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000004984 smart glass Substances 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 102100038254 Cyclin-F Human genes 0.000 description 1
- 101000884183 Homo sapiens Cyclin-F Proteins 0.000 description 1
- 101000741965 Homo sapiens Inactive tyrosine-protein kinase PRAG1 Proteins 0.000 description 1
- 102100038659 Inactive tyrosine-protein kinase PRAG1 Human genes 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及向移动通信网络进行认证的方法。本文公开了用于向移动通信网络进行认证的装置、方法和***。一种装置包括:处理器;第一收发器,其经由第一接入网络与移动通信网络通信;以及第二收发器,其经由第二接入网络与所述移动通信网络通信。处理器发送经由所述第二接入网络开始认证的请求,并且经由所述第二接入网络接收具有第一扩展类型的可扩展认证协议(“EAP”)请求。处理器经由所述第二接入网络发送EAP响应,该EAP响应包括第一扩展类型、第一参数集和第一消息。在此,第一消息是可用于通过第一接入网络建立与移动通信网络的连接的相同类型的消息。
Description
本申请是于2019年11月5日进入中国国家阶段的、PCT申请号为PCT/EP2017/060959、国际申请日为2017年5月8日、中国申请号为201780090431.3、发明名称为“向移动通信网络进行认证的方法”的申请的分案申请。
技术领域
本文公开的主题总体上涉及无线通信,并且更确切地,涉及通过非3GPP接入网络认证和建立与移动通信网络的连接。
背景技术
在此定义了以下缩写和首字母缩写,以下描述内引用了其中至少一些。
第三代合作伙伴计划(“3GPP”)、肯定应答(“ACK”)、接入和移动性管理功能(“AMF”)、认证和密钥协议(“AKA”)、认证服务器功能(“AUSF”)、公共控制平面网络功能(“CCNF”)、控制平面功能(“CPF”)、数据网络名称(“DNN”)、下行链路(“DL”)、增强型移动宽带(“eMBB”)、演进型节点B(“eNB”)、欧洲电信标准协会(“ETSI”)、可扩展认证协议(“EAP”)、混合自动重传请求(“HARQ”)、互联网密钥交换(“IKE”)、互联网密钥交换版本2(“IKEv2”)、物联网(“IoT”)、互联网协议(“IP”)、长期演进(“LTE”)、LTA高级(“LTE-A”)、媒体接入控制(“MAC”)、机器类型通信(“MTC”)、大规模MTC(“mMTC”)、窄带(“NB”)、否定应答(“NACK”)或(“NAK”)、网络功能(“NF”)、网络切片实例(“NSI”)、网络切片选择辅助信息(“NSSAI”)、网络切片选择功能(“NSSF”)、网络切片选择策略(“NSSP”)、下一代节点B(“gNB”)、非接入层(“NAS”)、主小区(“PCell”)、公共陆上移动网络(“PLMN”)、服务质量(“QoS”)、无线电接入网络(“RAN”)、无线电资源控制(“RRC”)、接收(“RX”)、会话管理(“SM”)、会话管理功能(“SMF”)、辅小区(“SCell”)、单个NSSAI(“S-NSSAI”)、切片区分符(“SD”)、切片/服务类型(“SST”)、传输控制协议(“TCP”)、发送和接收点(“TRP”)、发送(“TX”)、上行链路控制信息(“UCI”)、用户数据报协议(“UDP”)、用户实体/设备(移动终端)(“UE”)、上行链路(“UL”)、用户平面功能(“UPF”)、通用移动电信***(“UMTS”),超可靠性和低延迟通信(“URLLC”)、无线局域网(“WLAN”)和全球微波接入互操作性(WiMAX)。
在3GPP 5G网络中,UE可以连接到非3GPP接入网络;然而,没有机制支持UE经由非3GPP接入网向5G核心网注册(例如,认证和连接)。
发明内容
公开了用于通过非3GPP接入网络认证和建立与移动通信网络的连接的方法。装置和***也执行所述方法的功能。一种UE认证和建立与移动通信网络的连接的方法包括:提供第一收发器以用于经由第一接入网络与移动通信网络进行通信以及第二收发器以用于经由第二接入网络与移动通信网络进行通信,以及发送经由第二接入网络开始认证的请求。所述方法包括:经由第二接入网络接收具有第一扩展类型的可扩展认证协议(“EAP”)请求;以及经由第二接入网络发送EAP响应,所述EAP响应包括第一扩展类型、第一参数集和第一消息。在此,第一消息是可用于通过第一接入网络建立与移动通信网络的连接的相同类型的消息。
一种用于认证和建立与移动通信网络的连接的互通功能的方法包括:经由第一接入网络(例如,非3GPP接入网络)从远程单元接收开始认证的请求,以及将具有第一扩展类型的EAP请求发送给远程单元。所述方法还包括经由第一接入网络接收EAP响应,所述EAP响应包括第一扩展类型、第一参数集和第一消息。在此,第一消息是可用于通过另一接入网络(例如,3GPP接入网络)建立与移动通信网络的连接的相同类型的消息,所述另一接入网络使用与第一接入网络不同的通信协议。
附图说明
将通过参考在附图中示出的特定实施例来呈现对上面简要地描述的实施例的更具体的描述。理解到这些附图仅示出一些实施例并且因此不应认为是对范围的限制,将通过使用附图以额外的特征和细节来描述和解释实施例,在附图中:
图1是示出用于认证和建立与移动通信网络的连接的无线通信***的一个实施例的示意性框图;
图2是示出用于认证和建立与移动通信网络的NAS连接的网络架构的一个实施例的框图;
图3是示出用于通过非3GPP接入网络认证和建立与移动通信网络的NAS连接的远程装置的一个实施例的示意性框图;
图4是示出用于通过非3GPP接入网认证和建立与移动通信网络的NAS连接的互通功能装置的一个实施例的示意性框图;
图5A是示出使用EAP通过不可信的非3GPP接入网络认证和建立与移动通信网络的NAS连接的网络过程的一个实施例的框图;
图5B是图5A中示出的网络过程的延续;
图6A是示出使用EAP通过不可信的非3GPP接入网络连接到移动通信网络并与所述移动通信网络进行认证的网络过程的另一实施例的框图;
图6B是图6A中示出的网络过程的延续;
图7A是示出使用EAP通过不可信的非3GPP接入网络认证和建立与移动通信网络的NAS连接的网络过程的一个实施例的框图;
图7B是图5A中示出的网络过程的延续;
图8是示出用于与移动通信网络进行认证的方法的一个实施例的示意性流程图;并且
图9是示出用于与移动通信网络进行认证的方法的一个实施例的示意性流程图。
具体实施方式
如本领域技术人员将了解的,实施例的各方面可以体现为***、装置、方法或程序产品。因此,实施例可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或结合软件方面和硬件方面的实施例的形式。
例如,所公开的实施例可以被实现为硬件电路,包括定制超大规模集成(“VLSI”)电路或门阵列,诸如逻辑芯片、晶体管或其它分立部件的现成半导体。所公开的实施例还可以在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等可编程硬件设备中实现。举另一示例来说,所公开的实施例可以包括可执行代码的一个或多个物理或逻辑块,所述可执行代码举例来说可以被组织为对象、过程或功能。
此外,实施例可以采用程序产品的形式,所述程序产品体现在存储机器可读代码、计算机可读代码和/或程序代码(以下称为代码)的一个或多个计算机可读存储设备中。存储设备可以是有形的、非临时的和/或非传输的。存储设备可能不体现信号。在某些实施例中,存储设备仅采用信号来访问代码。
可以利用一个或多个计算机可读介质的任何组合。所述计算机可读介质可以是计算机可读存储介质。所述计算机可读存储介质可以是存储代码的存储设备。存储设备可以是例如但不限于电子、磁性、光学、电磁、红外、全息、微机械或半导体***、装置或设备或前述的任何合适的组合。
存储设备的更特定的示例(非详尽列表)将包括以下内容:具有一根或多根电线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦可编程只读存储器(“EPROM”或快闪存储器)、便携式光盘只读存储器(“CD-ROM”)、光学存储设备、磁性存储设备或前述的任何合适的组合。在本文献的上下文中,计算机可读存储介质可以是任何有形介质,所述有形介质可以包含或存储供指令执行***、装置或设备使用或与其结合使用的程序。
在整个说明书中,对“一个实施例”、“实施例”或类似语言的引用意味着结合所述实施例描述的特定特征、结构或特性包括在至少一个实施例中。因此,贯穿本说明书出现的短语“在一个实施例中”,“在实施例中”和类似的语言可以但不一定全部指代相同的实施例,而是指“一个或多个但不是所有实施例”,除非另有明确说明。除非另有明确说明,否则术语“包括”、“包含”、“具有”以及其变化形式表示“包括但不限于”。除非另有明确说明,否则列举的项目清单并不意味着任何或所有项目都是互斥的。除非另有明确说明,否则术语“一个”,“一种”和“所述”也指代“一个或多个”。
此外,可以以任何合适的方式组合实施例的描述的特征、结构或特性。在以下描述中,提供了众多特定的细节,诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例,以提供对实施例的透彻理解。然而,相关领域的技术人员将认识到,可以在没有特定细节中的一个或多个的情况下或利用其它方法、部件、材料等来实践各实施例。在其它实例中,未详细示出或描述熟知的结构、材料或操作,以避免模糊实施例的各方面。
下面参考根据实施例的方法、装置、***和程序产品的示意性流程图和/或示意性框图来描述实施例的各方面。将理解的是,可以通过代码来实现示意性流程图和/或示意性框图中的每个框以及示意性流程图和/或示意性框图中的框的组合。所述代码可以被提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器以产生机器,以使得经由计算机或其它可编程数据处理装置的处理器执行的指令创建用于实现示意性流程图和/或示意性框图中指定的功能/动作的装置。
所述代码还可以存储在存储设备中,所述存储设备可以引导计算机、其它可编程数据处理装置或其它设备以特定方式运行,以使得存储在所述存储设备中的指令产生包括指令的制品,所述指令实现示意性流程图和/或示意性框图中指定的功能/动作。
所述代码还可以被加载到计算机、其它可编程数据处理装置或其它设备上,以使在计算机、其它可编程装置或其它设备上执行一系列操作步骤以产生计算机实现的过程,以使得在计算机或其它可编程装置上执行的代码提供用于实现示意性流程图和/或示意性框图中指定的功能/动作的过程。
附图中的示意性流程图和/或示意性框图示出了根据各种实施例的装置、***、方法和程序产品的可能实施方式的架构、功能和操作。就这一点而言,示意性流程图和/或示意性框图中的每个框可以代表代码的模块、区段或部分,包括用于实现指定的逻辑功能的代码的一个或多个可执行指令。
还应当注意,在一些替代实施方式中,框中指出的功能可以不按附图中指出的顺序发生。例如,取决于所涉及的功能,实际上可以基本上同时执行连续示出的两个框,或者有时可以以相反的顺序执行这些框。可以设想在功能、逻辑或效果上与示出的附图的一个或多个框或其各部分等效的其它步骤和方法。
每个图中的元素的描述可以参考前面各图的元素。在所有附图中,相同的数字指代相同的元素,包括相同元素的替代实施例。
为了支持UE经由非3GPP接入网络向5G核心网络注册(例如,连接),本公开描述了使用新的EAP认证方法(在本文中称为“EAP-5G”过程)的***、方法和装置,所述过程允许UE通过重用用于通过3GPP(无线电)接入网络向5G核心网络注册UE的相同消息类型(例如,NAS信令)通过非3GPP接入网络向5G核心网络注册。EAP-5G过程使用特定于3GPP的EAP扩展数据分组。在此,EAP扩展数据分组的供应商ID指向3GPP,而供应商类型标识EAP-5G过程,并且供应商数据分组含针对EAP-5G过程定义的消息。
图1描绘了根据本公开实施例的用于例如通过非3GPP接入网络认证和建立与移动通信网络的连接的无线通信***100。在一个实施例中,无线通信***100包括多个远程单元105、至少一个3GPP基站单元110、包括至少一个3GPP基站单元110的3GPP无线电接入网(“RAN”)111、3GPP通信链路115、至少一个非3GPP接入网络(“AN”)120(在此,描绘的非3GPPAN 120包括至少一个WLAN接入点(“AP”)121)和非3GPP通信链路125。虽然图1中描绘了特定数量的远程单元105、非3GPP AN 120、WLAN AP 121、WLAN 3GPP通信链路115,移动无线电接入网络120、3GPP基站单元110、3GPP RAN 111、3GPP通信链路115、非3GPP AN、WLAN AP 121以及非3GPP通信链路125,但是本领域技术人员将认识到,任何数量的远程单元105、非3GPPAN 120、WLAN AP 121、WLAN 3GPP通信链路115,移动无线电接入网络120、3GPP基站单元110、3GPP RAN 111、3GPP通信链路115、非3GPP AN、WLAN AP 121以及非3GPP通信链路125可以被包括在无线通信***100中。
在一个实施方式中,无线通信***100符合3GPP规范中指定的5G***或后续蜂窝网络***。然而,更通常地,无线通信***100可以实现一些其它开放或专有通信网络,例如LTE、LTE-A高级或WiMAX,以及其它网络。本公开不意在限于任何特定的无线通信***架构或协议的实施方式。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、笔记本计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏机、安保***(包括安保摄像头)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身手环、光学头戴式显示器等。此外,远程单元105可以被称为订户单元、移动设备、移动台、用户、终端、移动终端、固定终端、订户台、UE、用户终端、设备或本领域中使用的其它术语。远程单元105可以经由上行链路(“UL”)通信信号和下行链路(“DL”)通信信号与3GPP基站单元110中的一个或多个直接通信。此外,可以在3GPP通信链路115上传送UL通信信号和DL通信信号。类似地,远程单元105可以经由在非3GPP AN 120上传送的UL通信信号和DL通信信号与非3GPP AN 120中的一个或多个WLAN AP 121进行通信。应当注意,3GPP基站单元110和WLAN AP 121使用不同的通信标准,并且3GPP通信链路115和非3GPP通信链路125例如在诸如MAC层和PHY层等较低层上传送遵循不同通信协议的消息。
3GPP基站单元110可以分布在地理区域上。在某些实施例中,3GPP基站单元110也可以称为接入终端、基站(base)、基站(base station)、节点B、eNB、gNB、家庭节点B、中继节点、毫微微蜂窝、设备或本领域使用的任何其它术语。3GPP基站单元110是3GPP无线电接入网络(“RAN”)111的一部分,可以包括可通信地联接到一个或多个对应的3GPP基站单元110的一个或多个控制器。虽然无线电接入网络的这些元件和其它元件未示出,但是对于本领域普通技术人员而言是众所周知的。3GPP基站单元110经由3GPP RAN 111连接到移动核心网络135。
3GPP基站单元110可以经由无线通信链路为服务区域(例如,小区或小区扇区)内的若干远程单元105服务。3GPP基站单元110可以经由通信信号直接与远程单元105中的一个或多个通信。通常而言,3GPP基站单元110在时域、频域和/或空域中传输DL通信信号以服务于远程单元105。此外,DL通信信号可以在3GPP通信链路115上传送。3GPP通信链路115可以是授权的或未授权的无线电频谱中的任何合适的载波。3GPP通信链路115有助于远程单元105中的一个或多个和/或3GPP基站单元110中的一个或多个之间的通信。
非3GPP AN 120可以分布在地理区域上。如图1中所示,非3GPP AN 120经由互通功能130连接到移动核心网络135。在某些实施例中,非3GPP AN 120可以由移动核心网络135的运营商控制并且可以直接访问移动核心网络135。这种非3GPP AN部署被称为“可信的非3GPP AN”。当由3GPP运营商运营时非3GPP AN 120被视为“可信”,并且支持某些安全功能,诸如基于3GPP的认证和强大的空中接口加密。在一些实施例中,互通功能130可以包含在可信的非3GPP AN内(例如,与之共址)。在一个实施例中,互通功能130可以是WLAN AP 121的组件或可信的非3GPP AN 120中的其它非3GPP接入点。
在其它实施例中,非3GPP AN 120不受移动核心网络135的运营商的控制,并且因此无法直接访问移动核心网络135。这种非3GPP接入网络部署被称为“不可信的”非3GPPAN。例如,部署在购物中心、咖啡店和其它公共区域的公共热点被视为不可信。在此,不可信的非3GPP AN 120依赖数据网络(诸如,互联网)来连接到移动核心网络135。移动核心网络135可以经由非3GPP AN 120向远程单元105提供服务,如本文更详细描述的。
WLAN AP 121是非3GPP接入点的示例,并且允许远程单元105连接到(例如,接入)非3GPP AN 120。每个WLAN AP 121可以通过服务区域服务于若干远程单元105。通常而言,WLAN AP 121的服务区域小于3GPP基站单元110的服务区域。WLAN AP 121可以通过接收UL通信信号并传输DL通信信号来与一个或多个远程单元105直接通信以在时域、频域和/或空域中服务于远程单元105。DL通信信号和UL通信信号二者均通过非3GPP通信链路125而被传送。WLAN AP 121可以使用未授权的无线电频谱进行通信。
在一个实施例中,移动核心网络135是5G核心网(“5GC”),其可以联接到诸如互联网和专用数据网络等数据网络以及其它数据网络。在一些实施例中,远程单元105经由与移动核心网络135的网络连接与远程主机通信。每个移动核心网络135属于单个公共陆上移动网络(“PLMN”)。本公开不意在限于任何特定无线通信***架构或协议的实施方式。
移动核心网络135包括数个网络功能(“NF”)。在某些实施例中,移动核心网络可以支持一个或多个网络切片。如图所示,移动核心网络135包括至少一个接入和移动性管理功能(“AMF”)140、至少一个会话管理功能(“SMF”)145、至少一个用户平面功能(“UPF”)150以及至少一个认证服务器功能(“AUSF”)155。虽然在图1中描绘了特定数量的NF,但是本领域技术人员将认识到,移动核心网络135中可以包括任何数量的NF。
AMF 140和SMF 145是移动核心网络135的控制平面网络功能的示例。控制平面网络功能提供诸如UE注册、UE连接管理、UE移动性管理、数据会话管理等服务。UPF 150向远程单元105提供用户平面(例如,数据)服务。例如,UPF 150管理远程单元105与远程主机之间的数据连接。AUSF 155认证远程单元105的证书,从而在移动核心网135中寻找服务。AUSF155可以支持多种认证方法,包括NAS认证。
虽然描绘为在移动核心网络135的外部,但是在一些实施例中,互通实体130可以位于移动核心网络135内。例如,位于移动核心网135内的互通功能130的实例可以向不可信的非3GPP AN 120提供互通。互通功能130在非3GPP AN 120与移动核心网络135之间提供互通,从而将非3GPP接入网协议转换为通过N2接口和N3接口发送的消息。在此,互通功能130可以为非3GPP AN 120执行AAA功能,以将移动核心网络135使用的3GPP认证消息转换为非3GPP AN 120使用的认证消息(例如,EAP消息)。
图2描绘了根据本公开的实施例的用于例如通过非3GPP接入网络认证和建立与移动通信网络的NAS连接的网络架构200。网络架构200可以是无线通信***100的简化实施例。如图所示,网络架构200包括UE 205、3GPP(R)AN 210、非3GPP AN 215、非3GPP互通功能(“N3IWF”)220和核心网络225。如图所示,UE 205能够使用3GPP(R)AN 210和非3GPP AN 215中的一个或两个来访问核心网络225。在此,核心网络225包括AMF 140、UPF 145和AUSF150。3GPP(R)AN 210和N3IWF 220二者均使用“N2”接口与AMF 140通信,并使用“N3”接口与UPF150通信。
UE 205可以是远程单元105的一个实施例,3GPP(R)AN 210可以是3GPP RAN 111的一个实施例,而非3GPP AN 215可以是非3GPP AN 120的一个实施例,如上所述。核心网络225可以是如上所讨论的移动核心网络135的一个实施例。另外,N3IWF 220可以是上面所讨论的互通功能130的一个实施例。在此,N3IWF 220被描述为位于非3GPP AN 215和核心网络225的外部。在其它实施例中,N3IWF 220可以与非3GPP AN 215共置(例如,如果非3GPP AN215AN 215是可信的非3GPP AN 215)或位于核心网络225内。
在网络架构200中,UE 205可以经由3GPP(R)AN 210或非3GPP AN 215建立与核心网络225的连接。当使用3GPP(R)AN 210时,UE 205将通过RRC传送的NAS消息240发送到3GPP(R)AN 210/从3GPP(R)AN 210接收所述NAS消息,并且3GPP(R)AN 210发送/接收通过N2-AP传送的相应的NAS消息235。另外,当使用非3GPP AN 215时,UE 205将EAP消息(例如,通过EAP-5G传送的NAS消息230)发送到核心网络225。N3IWF 220将通过EAP-5G传送的NAS消息230转换为通过N2-AP传送的NAS消息235。使用封装在EAP-5G数据分组中的NAS消息,UE 205向核心网络225进行认证。成功认证的结果是经由非3GPP AN 215在UE 205与核心网络225之间建立NAS连接。
在此,由N3IWF 220发送到核心网络225的通过N2-AP传送的NAS消息235具有与通过3GPP传送的NAS消息240相同的形式(例如,具有相同的类型)。因此,从核心网络225(包括AMF 140)的角度,相同类型的消息(例如,通过N2-AP传送的NAS消息235)是从3GPP(R)AN210和从N3IWF 220接收的(但不一定具有相同的值)。在此,核心网络225可以以与对从3GPP(R)AN 210接收到的通过N2-AP传送NAS消息235的解释和操作相同的方式来对从N3IWF 220接收到的通过N2-AP传送的NAS消息235进行解释和操作。
图3描绘了根据本公开的实施例的远程装置300的一个实施例,其可以用于例如通过非3GPP接入网络认证和建立与移动通信网络的连接。远程装置300可以是远程单元105和/或UE 205的一个实施例。此外,远程装置300包括处理器305、存储器310、输入设备315、显示器320、第一收发器325和第二收发器330。在一些实施例中,输入设备315和显示器320被组合成单个设备,诸如触摸屏。在某些实施例中,远程单元105可以不包括任何输入设备315和/或显示器320。
第一收发器325(“收发器-1”)通过第一接入网络与移动通信网络(例如,核心网络)通信,而第二收发器330(“收发器-2”)通过第二接入网络与移动通信网络通信。第一接入网络和第二接入网络各自促进移动核心网络135与远程装置300之间的通信。在此,第一接入网络使用与第二接入网络不同的通信协议。在一个实施例中,第一接入网络是3GPPRAN 111或3GPP(R)AN 210,第二接入网络是非3GPP AN 120、非3GPP AN 215或其它非蜂窝式接入网络。在此,第一接入网络可以使用第一通信(例如,媒体接入控制(“MAC”)层和/或物理(“PHY”)层)协议,诸如3GPP新无线电(“NR”)协议,而第二接入网络可以使用第二通信(例如,MAC层和/或PHY层)协议,诸如IEEE 802.11协议族。在其它实施例中,第一接入网络和第二接入网络可以是其它类型的接入网路,第一接入网络是与第二接入网络不同的接入网络(并且支持不同的通信协议)。每个收发器325、330可以包括至少一个发射器和至少一个接收器。另外,收发器325、330可以各自支持用于与接入网络和/或核心网络通信的至少一个网络接口,诸如用于与3GPP基站单元110或5G(R)AN 210通信的“Uu”接口。
在一个实施例中,处理器305可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器305可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或类似的可编程控制器。在一些实施例中,处理器305执行存储在存储器310中的指令以执行本文所描述的方法和例程。处理器305通信地联接到存储器310、输入设备315、显示器320、第一收发器325和第二收发器330。
在一些实施例中,处理器305发送经由第二接入网络开始认证的请求。在一个实施例中,处理器305发送通过不可信的非3GPP接入网络连接到移动通信网络并经由不可信的非3GPP接入网络开始认证的请求。在另一个实施例中,处理器305发送经由可信的非3GPP接入网络开始认证的请求。
在某些实施例中,第二接入网络是非3GPP接入网络,诸如WLAN或热点。在一个实施例中,连接请求被嵌入在IKEv2消息(诸如IKE认证(“IKE_AUTH”)请求)内。连接请求例如使用永久或临时UE标识符来标识远程装置300。处理器305可以将请求发送到互通功能,诸如N3IWF 220。
响应于所述连接请求,处理器305可以经由第二(例如,非3GPP)接入网络接收具有第一扩展类型的可扩展认证协议(“EAP”)请求。在此,第一扩展类型可以是3GPP特定类型,诸如EAP-5G扩展类型。这向处理器305指示开始特定的认证方法,所述方法要求使用EAP-5G消息内的NAS消息。在一个实施例中,具有第一扩展类型的EAP请求对应于5G开始消息。EAP请求也可以嵌入在IKEv2消息(诸如IKE-AUTH响应)内。
响应于EAP请求,处理器305可以(经由第二接入网络)发送EAP响应,所述EAP响应包含第一扩展类型、第一参数集和第一消息。在此,第一消息是可用于通过第一接入网络建立与移动通信网络的连接的相同类型的消息。例如,第一消息可以是非接入层(“NAS”)注册请求。在移动通信网络是5G网络的情况下,第一消息可以是5G-NAS注册请求。在此,成功认证的结果是经由非3GPP接入在远程装置300与5G核心网之间建立NAS连接。应当注意,相同的NAS消息(a)封装在RRC和N2-AP中或者(b)封装在EAP-5G和N2-AP中被发送到移动通信网络(例如,发送到核心网络中的AMF),如上面所讨论。因此,通过非3GPP接入网络建立与通过3GPP接入网络通常建立的相同类型的NAS连接。
在某些实施例中,第一参数集包括3GPP接入网络参数(“AN-Params”),互通功能将使用所述3GPP接入网参数来选择移动核心网络135内的AMF。在此,AN-params可以包括一个或多个S-NSSAI(切片信息)、DNN(数据网络名称)、SSC模式(会话和服务连续性)等。然后,互通功能将第一消息转发到选定的AMF。在一些实施例中,处理器305还接收一个或多个额外的EAP请求并且发送相等数量的EAP响应。在此,额外的EAP请求和响应中的每个都封装了至少一个NAS消息。以这种方式,可以使用NAS消息来识别和认证远程装置300。此外,处理器305经由额外的EAP请求和响应建立与移动通信网络的NAS连接。
在某些实施例中,处理器305可以与互通功能(例如,N3IWF 220)建立安全的IPsec连接。然后,处理器305经由安全的IPsec连接与移动通信网络交换NAS消息。处理器305可以响应于完成认证过程而建立安全的IPsec连接。
在一些实施例中,处理器305可以确定其不支持第一扩展类型(例如,不支持EAP-5G和5G-NAS协议)。在此,处理器305通过发送包括第一扩展类型和由装置支持的用于经由第二接入网络向移动通信网络进行认证的认证方法的列表的EAP响应来经由第二接入网络发送EAP响应。在这种实施例中,处理器305使用所支持的认证方法中的一个来与移动通信网络执行认证过程。
在一些实施例中,虽然处理器305确定远程装置300支持第一扩展类型(例如,支持EAP-5G协议),但是不支持期望的5G-NAS消息类型(例如,不支持与期望的消息类型相关联的5G-NAS协议)。在此,处理器305通过发送包括第一扩展类型和互通功能可用的一个或多个额外参数的EAP响应(例如,EAP“5G-info”消息)来经由第二接入网络发送EAP响应。然后,互通功能可以代表远程装置300生成期望消息类型的消息(例如,5G-NAS注册请求消息)。在某些实施例中,互通功能包括5G-NAS消息中的(可选)指示,所述消息是由互通功能代表远程装置300创建的。
在远程装置300支持EAP-5G协议但不支持5G-NAS协议的情况下(例如,不支持与期望消息类型相关联的5G-NAS协议),处理器305可以将EAP信息消息(例如,EAP-5G-info消息)发送到包括额外参数(例如,AN-params)的互通功能以例如在5G核心网络中选择AMF时辅助互通功能。
在一个实施例中,存储器310是计算机可读存储介质。在一些实施例中,存储器310包括易失性计算机存储介质。例如,存储器310可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器310包括非易失性计算机存储介质。例如,存储器310可以包括硬盘驱动器、快闪存储器或任何其它合适的非易失性计算机存储设备。在一些实施例中,存储器310包括易失性计算机存储介质和非易失性计算机存储介质二者。在一些实施例中,存储器310存储与向移动通信网络进行认证有关的数据,例如存储AN-params、UE ID、安全密钥等。在一些实施例中,存储器310还存储程序代码和相关数据,诸如在远程单元105和一个或多个软件应用上运行的操作***或其它控制器算法。
在一个实施例中,输入设备315可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、触笔、麦克风等。在一些实施例中,输入设备315可以与显示器320集成为一体,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备315包括触摸屏,以使得可以使用在触摸屏上显示的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入设备315包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,显示器320可以包括任何已知的电子可控显示器或显示设备。显示器320可以被设计成输出视觉、听觉和/或触觉信号。在一些实施例中,显示器320包括能够向用户输出视觉数据的电子显示器。例如,显示器320可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。举另一非限制性示例来说,显示器320可以包括可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等。此外,显示器320可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的部件。
在某些实施例中,显示器320包括用于产生声音的一个或多个扬声器。例如,显示器320可以产生听觉警报或通知(例如,蜂鸣声或提示音)。在一些实施例中,显示器320包括用于产生振动、运动或其它触觉反馈的一个或多个触觉设备。在一些实施例中,显示器320的全部或部分可以与输入设备315集成为一体。例如,输入设备315和显示器320可以形成触摸屏或类似的触敏显示器。在其它实施例中,显示器320可以位于输入设备315附近。
收发器325经由第一接入网络与移动通信网络通信,而第二收发器330经由第二接入网络与移动通信网络通信。如上面所讨论的,第一接入网络可以是3GPP RAN 111和/或3GPP(R)AN 210的实施例,而第二接入网络是非3GPP接入网络120和/或非3GPP AN 215的实施例。在其它实施例中,第一接入网络和第二接入网络可以是其它类型的接入网络,第一接入网络是与第二接入网络不同类型的接入网络。
收发器325和330在处理器305的控制下操作以发送消息、数据和其它信号,并且还接收消息、数据和其它信号。例如,处理器305可以在特定时间选择性地激活收发器325、330(或其部分)中的一个或两个,以便发送和接收消息。收发器325可以包括一个或多个发射器和一个或多个接收器,以用于通过第一接入网络进行通信。类似地,收发器330可以包括一个或多个发射器以及一个或多个接收器,以用于通过第二接入网络进行通信。如上面所讨论的,第一收发器325和第二收发器330可以支持一个或多个网络接口以用于与移动通信网络进行通信。
图4描绘了根据本公开的实施例的互通装置400的一个实施例,所述互通装置400可以用于例如通过非3GPP接入网络认证远程单元并建立与移动通信网络的连接。互通装置400可以是互通功能130和/或N3IWF 220的一个实施例。此外,互通装置400包括处理器405、存储器410、输入设备415、显示器420、第一收发器425和第二收发器430。在一些实施例中,输入设备415和显示器420被组合成单个设备,例如触摸屏。在某些实施例中,互通装置400可能不包括任何输入设备415和/或显示器420。
第一收发器425(“收发器-1”)允许互通装置400经由非3GPP接入网络与远程单元105和/或UE 205通信。第二收发器430(“收发器-2”)允许互通装置400与移动通信网络内的其它网络元件(诸如,AMF 140和/或UPF 145)进行通信。第一收发器425和第二收发器430中的每个可以包括至少一个发射器和至少一个接收器。另外,收发器425、430可以各自支持至少一个网络接口,诸如用于与AMF通信的“N2”接口和用于与SMF通信的“N3”接口。
在一个实施例中,处理器405可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器405可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或类似的可编程控制器。在一些实施例中,处理器405执行存储在存储器410中的指令以执行本文所描述的方法和例程。处理器405通信地联接到存储器410、输入设备415、显示器420、第一收发器425和第二传输器330。
在一些实施例中,处理器405从远程单元接收经由第一接入网络开始认证的请求。在某些实施例中,第一接入网络是非3GPP接入网络,诸如WLAN或热点。在一个实施例中,连接请求例如使用永久或临时UE标识符来标识远程单元。在一些实施例中,处理器405接收经由不可信的非3GPP接入网络连接到移动通信网络并开始认证的请求。在另一实施例中,处理器405接收经由可信的非3GPP接入网络开始认证的请求。
响应于所述连接请求,处理器405可以将具有第一扩展类型的可扩展认证协议(“EAP”)请求发送到远程单元。在此,第一扩展类型可以是3GPP特定类型,诸如EAP-5G扩展类型。在某些实施例中,EAP请求可以体现为IKEv2消息,诸如IKE认证(“IKE_AUTH”)响应。在某些实施例中,来自远程单元的向移动通信网络进行认证的请求包括远程单元支持使用第一扩展类型的EAP消息传递的指示。在此,处理器405发送具有第一扩展类型的EAP请求响应于所述指示而发生。
在某些实施例中,处理器405可以经由第一接入网络(例如,非3GPP接入网络)接收EAP响应。在此,EAP响应可以包括第一扩展类型(例如,EAP-5G扩展类型)、第一参数集(例如,AN-params)和第一消息。在这种实施例中,第一消息是可用于通过另一接入网络(例如,3GPP接入网络)建立与移动通信网络的连接的相同类型的消息,所述另一接入网络使用与第一接入网络不同的通信协议。在一个实施例中,第一消息是非接入层(“NAS”)注册请求,诸如可用于通过3GPP接入网络建立连接的5G-NAS注册请求。在此,成功认证的结果是经由非3GPP接入在远程单元与5G核心网络之间建立NAS连接。应当注意,相同的NAS消息(a)封装在RRC和N2-AP中或者(b)封装在EAP-5G和N2-AP中被发送到移动通信网络(例如,发送到核心网络中的AMF),如上面所讨论。因此,通过非3GPP接入网络建立与通过3GPP接入网络通常建立的相同类型的NAS连接。
在某些实施例中,处理器405发送一个或多个额外的EAP请求并且接收相等数量的EAP响应,其中所述额外的EAP请求和响应中的每个封装至少一个NAS消息。在一些实施例中,处理器405还建立与远程单元的安全IPsec连接。此后,处理器405可以经由安全的IPsec连接在远程单元与移动通信网络之间中继NAS消息。在其它实施例中,远程单元经由额外的EAP请求和响应建立与移动通信网络的NAS连接。
在一些实施例中,处理器405接收远程单元不支持第一扩展类型(例如,EAP-5G扩展类型)的指示。在此,经由第一接入网络接收EAP响应可以包括:接收包括第一扩展类型和由远程单元支持的用于经由第二接入网络向移动通信网络进行认证的认证方法的列表的EAP响应。作为响应,处理器405可以将远程单元支持的认证方法的列表转发给移动通信网络。
在某些实施例中,处理器405可以代表远程单元将NAS消息发送给移动通信网络,并且(可选地)代表UE发送NAS消息是由装置创建的指示。NAS消息可以是以下中的一个或多个:NAS注册请求,以及包括会话建立请求的NAS注册请求,以及NAS服务请求。在一个实施例中,处理器405可以将不具有第一扩展类型的EAP请求发送到远程单元。
在一些实施例中,处理器405接收远程单元不支持期望的消息类型(例如,5G-NAS消息类型)的指示。例如,远程单元可以支持EAP-5G协议(例如,与EAP-5G扩展类型相关联),但是不支持与期望的消息类型相关联的5G-NAS协议。此处,EAP响应可以包括第一扩展类型(例如,EAP-5G扩展类型)和一个或多个额外的参数(例如,AN-params)。在此,处理器代表远程单元生成具有期望的消息类型的消息(例如,5G-NAS消息)。在某些实施例中,处理器405在5G-NAS消息中包括以下指示:期望的消息类型(例如,5G-NAS消息类型)的消息是由互通装置400代表远程单元创建的。
在一个实施例中,存储器410是计算机可读存储介质。在一些实施例中,存储器410包括易失性计算机存储介质。例如,存储器410可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器410包括非易失性计算机存储介质。例如,存储器410可以包括硬盘驱动器、快闪存储器或任何其它合适的非易失性计算机存储设备。在一些实施例中,存储器410包括易失性计算机存储介质和非易失性计算机存储介质二者。在一些实施例中,存储器410存储与向移动通信网络进行认证有关的数据,诸如消息内容、UE AN-params等。在某些实施例中,存储器410还存储程序代码和相关数据,诸如在互通装置400上运行的操作***或其它控制器算法以及一个或多个软件应用。
在一个实施例中,输入设备415可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、触笔、麦克风等。在一些实施例中,输入设备415可以与显示器420集成为一体,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备415包括触摸屏,以使得可以使用在触摸屏上显示的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入设备415包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,显示器420可以包括任何已知的电子可控显示器或显示设备。显示器420可以被设计成输出视觉、听觉和/或触觉信号。在一些实施例中,显示器420包括能够向用户输出视觉数据的电子显示器。例如,显示器420可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。举另一非限制性示例来说,显示器420可以包括可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等。此外,显示器420可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的部件。
在某些实施例中,显示器420包括用于产生声音的一个或多个扬声器。例如,显示器420可以产生听觉警报或通知(例如,蜂鸣声或提示音)。在一些实施例中,显示器420包括用于产生振动、运动或其它触觉反馈的一个或多个触觉设备。在一些实施例中,显示器420的全部或部分可以与输入设备415集成为一体。例如,输入设备415和显示器420可以形成触摸屏或类似的触敏显示器。在其它实施例中,显示器420可以位于输入设备415附近。
收发器425与远程单元或UE通信,而第二收发器430与移动通信网络中的NF通信。收发器425和430在处理器405的控制下操作以发送消息、数据和其它信号,并且还接收消息、数据和其它信号。例如,处理器405可以在特定时间选择性地激活收发器425、430(或其部分)中的一个或两个,以便发送和接收消息。第一收发器425可以包括一个或多个发射器和一个或多个接收器,以用于通过第一接入网络进行通信。类似地,第二收发器430可以包括一个或多个发射器以及一个或多个接收器,以用于通过第二接入网络进行通信。如上面所讨论的,第一收发器425和第二收发器430可以支持一个或多个网络接口以用于与移动通信网络进行通信。
图5A和图5B描绘了根据本公开实施例的网络过程500,所述网络过程500用于使用EAP来例如通过不可信的非3GPP接入网络连接到移动通信网络,向移动通信网络进行认证并且建立与移动通信网络的NAS连接。网络过程500在图5A中开始并且在图5B中继续。网络过程500涉及UE 205、非3GPP AN 215、N3IWF 220、3GPP(R)AN 210、AMF 140和AUSF155。在此,成功认证的结果是经由非3GPP AN 215在UE 205与5G核心网络之间建立了NAS连接。
网络过程500描绘了本文公开的新EAP-5G过程如何被用于支持UE 205经由不可信的非3GPP接入(诸如非3GPP AN 215)注册到5G核心网络(例如,核心网络225)。应当注意,新的EAP-5G过程在UE 205与N3IWF 220之间运行,并且在认证过程期间支持在UE 205与N3IWF220之间交换NAS消息和其它信息。
网络过程500在图5A处开始,其中UE 205连接到非3GPP AN 215并从该网络中检索IP(参见框502)。这样做,UE 205获得与诸如互联网等外部网络的连接。在此,非3GPP AN215是不可信的非3GPP接入网络,诸如公共热点或其它公共网络。UE 205随后决定在某个PLMN中向5G核心网络(例如,核心网络225)注册,并发现该PLMN中的互通功能(此处为N3IWF 220)的IP地址(参见框504)。在此,UE 205可以执行DNS发现过程以发现N3IWF 220的IP地址。
在发现N3IWF 220之后,UE 220开始与N3IWF 220建立IPsec连接(例如,IPsec隧道),在此使用互联网密钥交换版本2(“IKEv2”)协议IKE_SA_INIT交换(参见信令506)。应当注意,IKE“交换”由一对消息组成:请求和响应。在此,IKE_SA_INIT交换为后续IKEv2交换建立安全参数。
UE 205发送包括其永久或临时标识的IKE_AUTH请求(参见信令508)。在某些实施例中,可以由5G核心网络在先前的注册过程期间将永久或临时标识指配给UE 205。在此,IKE_AUTH请求包含UE标识,但发送时没有AUTH值。
在一些实施例中,来自UE 205的IKE_AUTH请求包括UE 205是否支持具有第一扩展类型的EAP方法(例如,EAP-5G过程)的指示。如果缺少该指示(或包括否定指示),则N3IWF220不会使用具有第一种扩展类型(EAP-5G)的EAP方法,而是使用旧式EAP方法(即,没有第一种扩展类型的EAP方法)。在网络过程500中,UE 205支持具有第一扩展类型(例如,EAP-5G协议以及其相关联的扩展类型)的EAP方法,并且还支持5G-NAS协议(以及期望的5G-NAS类型的消息)。
N3IWF 220发送包含5G-启动消息的EAP请求消息,以通知UE 205应该启动NAS过程(例如5G-NAS)以建立与5G核心网络的连接(参见信令510)。应当注意,5G-启动消息使用第一EAP扩展类型(例如,对应于本文所描述的EAP-5G过程)。UE 205用包含接入网络参数(“AN-params”)和NAS注册请求消息的5G消息(例如,嵌入在EAP响应消息中)进行响应(参见信令512)。应当注意,5G消息还使用第一EAP扩展类型(例如,与EAP-5G协议关联的EAP-5G扩展类型)。AN-params包括用于N3IWF 220将NAS注册请求消息路由到5G核心网络中的适当的AMF(此处为AMF 140)的信息。例如,AN-params可以包括一个或多个S-NSSAI(切片信息)、DNN(数据网络名称)、SSC模式(会话和服务连续性)等。
虽然图5A描绘了由UE 205发送给N3IWF的NAS注册请求(具体是NAS-PDU注册请求),但是在其它实施例中,可以使用另一合适的NAS消息,诸如NAS服务请求。在所描绘的实施例中,当在UE 205与N3IWF 220之间传递时,NAS注册请求被体现为“5G消息”格式的消息。在其它实施例中,当在UE 205与N3IWF 220之间传递时,NAS注册请求消息可以体现为“5G质询”格式的消息。响应于5G消息,N3IWF 220通过使用由UE提供的AN-params来选择AMF,以将NAS注册请求转发给所述AMF(参见框514)。在此,N3IWF 220选择PLMN中的AMF 140。
现在参看图5B,N3IWF 220将NAS注册请求消息转发给选定的AMF 140(参见信令516)。在此,N3IWF 220生成包含NAS注册请求的N2消息。在从UE 205接收的5G消息包含NAS服务请求(或其它NAS消息)的情况下,N3IWF 220将NAS服务请求消息(或其它NAS消息)转发给选定的AMF。
在某些实施例中,AMF 140可以通过使用经由N3IWF 220向UE 205发送NAS标识请求消息来决定请求UE 205(例如,检测被盗的UE)的UE标识(参见信令518)。在此,AMF 140发送包含NAS标识请求的N2消息,并且N3IWF 220将N2消息转换成EAP-5G消息。类似地,UE 205发送包含NAS标识响应的EAP-5G消息,并且N3IWF 220将EAP-5G消息转换成N2消息。NAS标识请求/响应消息和所有其它NAS消息被封装在EAP-5G消息分组中发送给UE 205。在所描绘的实施例中,当在UE 205与N3IWF 220之间传递时,NAS身份请求/响应消息被体现为“5G消息”格式的消息。在其它实施例中,当在UE 205与N3IWF 220之间传递时,NAS身份请求/响应消息被体现为“5G质询”格式的消息。
在某些实施例中,AMF 140可以决定对UE 205进行认证。在这种情况下,正常NAS认证消息在UE 205、AMF 140与AUSF 155之间交换,如信令520到534中所示。同样,当在UE 205与N3IWF 220之间传递时,这些NAS认证消息封装在EAP-5G消息分组中。在所描绘的实施例中,当在UE 205与N3IWF 220之间传递时,NAS认证请求/响应消息被体现为“5G消息”格式的消息。在其它实施例中,当在UE 205与N3IWF 220之间传递时,NAS认证请求/响应消息被体现为“5G质询”格式消息。
如图所示,AMF 140向AUSF 155发送AAA密钥请求消息,并从AUSF 155接收包含NAS认证请求的AAA消息。AMF 140以N2消息向N3IWF 220发送认证请求,所述N2消息被N3IWF220转换成EAP-5G消息。类似地,N3IWF 220将包含(从UE 205接收到的)NAS认证响应的EAP-5G消息转换成发送给AMF 140的N2消息。AMF 140将包含NAS认证响应的AAA消息发送给AUSF155,并从AUSF 155接收包含K-SEAF密钥的AAA密钥响应消息。应当注意,消息518到534是网络过程500中的可选步骤(如由虚线所指示)。
在成功认证之后,AMF 140向UE 205发送安全模式命令(“SMC”)请求以便激活NAS安全性(参见信令536)。该消息首先与用于在UE205与N3IWF 220之间建立IPsec安全关联(“SA”)的K_N3IWF密钥一起发送到N3IWF220。UE 205在认证过程期间生成相同的K_N3IWF密钥。在N3IWF 220向UE 205发送SMC请求之前,它通过向UE发送EAP成功消息来完成EAP认证过程(参见信令538)。UE 205和N3IWF 220还交换IKE_AUTH请求/响应(参见信令540)。在此,AUTH值包括在IKE_AUTH交换中。
在UE与N3IWF之间建立安全IPsec隧道(参见框542)。该隧道在UE 205和N3IWF 220中使用安全关联(SA),所述安全关联包含用于保护通过隧道的数据的安全密钥和算法。在建立IPsec隧道之后,经由该隧道在UE 205与N3IWF 220之间交换所有NAS消息。
经由IPsec隧道,N3IWF 220将SMC请求转发给UE 205(参见信令544),并且其余的NAS注册过程照常进行(参见框546)。应当注意,在认证过程期间,需要将NAS消息封装在EAP-5G数据分组中,但是成功认证之后不使用EAP协议。实际上,NAS消息在建立的IPsec隧道内传递。如图所示,成功认证的结果是经由非3GPP AN 215在UE 205与5G核心之间建立NAS连接。应当注意,通过非3GPP接入网络建立与通过3GPP接入网络通常建立的相同类型的NAS连接。
虽然以经由不可信的非3GPP接入网络进行连接的方式描述了网络过程500,但是网络过程500也适用于可信的非3GPP接入网络,区别在于在可信的情况下,EAP消息没有被封装在IKEv2消息内(如图所示),而是被封装在IEEE 802.1x消息内,如图7A和图7B中所示。
图6A和图6B描绘了根据本公开实施例的用于使用EAP例如通过不可信的非3GPP接入网络连接到移动通信网络并向移动通信网络进行认证的网络过程600。网络过程600在图6A中开始并且在图6B中继续。网络过程600涉及UE 205、非3GPP AN 215、N3IWF 220、3GPP(R)AN 210、AMF 140、SMF 145、UPF 150和AUSF 155。网络过程600描述了不支持NAS协议的UE 205如何可以经由不可信的非3GPP接入网络注册到5G核心网络。
网络过程600在图6A处开始,其中UE 205连接到非3GPP AN 215并从该网络中检索IP(参见框502)。这样做,UE 205获得与诸如互联网等外部网络的连接。在此,非3GPP AN215是不可信的非3GPP接入网络。UE 205随后决定在某个PLMN中向5G核心网络(例如,核心网络225)注册,并发现该PLMN中的互通功能(此处为N3IWF 220)的IP地址(参见框504)。
在发现N3IWF 220之后,UE 220开始使用IKE_SA_INIT交换与N3IWF 220建立IPsec连接(例如,IPsec隧道)(参见信令506)。另外,UE 205发送包括其永久或临时标识的IKE_AUTH请求(参见信令508)。N3IWF 220发送包含EAP 5G启动消息的EAP请求消息以通知UE205应该启动用于建立与5G核心网络的连接的NAS过程(参见信令510)。应当注意,网络过程600以与网络过程500相同的五个步骤(例如,对应于502到510)开始。到目前为止,两个网络过程是相同的。
在此,UE 205确定其不支持EAP-5G过程(例如,不支持EAP-5G协议以及其扩展类型)。可替选地,UE 205可以确定其不支持由网络请求的NAS消息(例如,UE 205不支持5G-NAS协议以及其期望的消息类型)。在两种情况下,UE 205均以EAP-NaK消息(例如,嵌入在EAP响应消息中)进行响应,所述消息包含UE 205支持的一种或多种替代EAP方法(例如,EAP-AKA)的列表(参见信令602)。应当注意,EAP-NaK消息使用与EAP 5G-启动消息相同的EAP扩展类型。
响应于EAP-NaK消息,N3IWF 220代表UE 205创建包括PDU会话建立请求的NAS注册请求消息(例如,5G-NAS消息类型)(参见框604)。这是必需的,因为AMF 140仍然期望NAS注册请求消息来启动注册过程,但是UE 205不支持EAP-5G协议和/或不支持5G-NAS协议。在此,N3IWF 220可以使用NAS注册请求消息中的默认参数。需要PDU会话建立请求来为UE 205建立PDU会话,以在认证过程之后交换用户数据。应当注意,UE 205只能与5G核心网络交换用户数据。在此,由于缺乏NAS协议支持,因此信令不可行。
另外,N3IWF 220选择AMF以转发NAS注册请求(参见框606)。在某些实施例中,基于由UE在步骤3a中提供的用户ID或通过选择默认AMF而选择AMF。在此,N3IWF 220选择PLMN中的AMF 140。
现在参看图6B,N3IWF 220将创建的NAS注册请求消息转发到选定的AMF 140(参见信令608)。在此,N3IWF 220生成包含NAS注册请求的N2消息。NAS注册请求消息可以可选地包括指示符(例如,类型=代理(Proxy)),所述指示符向AMF 140指示NAS注册请求是由充当UE 205的代理的N3IWF 220(不是由UE 205)生成的。在某些实施例中,N3IWF 220还可以转发由UE 205支持的替代认证方法(在EAP-NaK消息中接收),所述替代认证方法被发送到AUSF 155以便选择用于认证UE 205的正确方法。
在一些实施例中,UE 205可以支持本文描述的EAP-5G过程,但是不支持5G-NAS协议(并且因此不支持AMF 140期望的消息类型(5G-NAS))。这种UE 205可以在EAP-NaK消息中包括诸如AN-params等额外信息,以便帮助N3IWF创建代理NAS注册请求消息和PDU会话建立请求。回想一下,AN-params包括用于N3IWF 220将NAS注册请求消息路由到5G核心网络中的适当的AMF(此处为AMF 140)的信息。
AMF 140通过向AUSF 155发送AAA密钥请求消息来开始认证UE 205(参见信令610)。在某些实施例中,AMF 140和/或AUSF 155可以决定请求UE 205的UE标识。因为NAS消息不可行(由于在UE205处缺乏支持),所以AUSF 155经由AMF 140和N3WFW 220向UE 205发送EAP-AKA标识请求消息,UE 205针对所述标识请求消息生成EAP-AKA标识响应消息(参见信令612到616)。在此,AMF 140从AUSF 155接收AAA消息,并且将包含EAP-AKA标识请求的N2消息发送到N3IWF 220。N3IWF 220将N2消息转换成IKE_AUTH消息。类似地,UE 205发送包含EAP-AKA标识响应的IKE_AUTH消息,N3IWF 220将IKE_AUTH消息转换成N2消息,并且AMF 140将N2消息转换成AAA消息。在此,步骤612到616在网络过程600中是可选的(如由虚线所示)。
在认证UE 205时,在UE 205、N3IWF 220、AMF 140与AUSF 155之间交换EAP-AKA认证消息(例如,EAP-AKA质询请求和响应),如信令618到628中所示。如图所示,AMF 140从AUSF 155接收包含EAP-AKA质询请求的AAA消息。AMF140以N2消息将EAP-AKA质询请求发送给N3IWF 220,所述N2消息被N3IWF 220转换成包含EAP-AKA质询请求的IKE_AUTH消息。类似地,N3IWF 220将包含EAP-AKA质询响应(从UE 205接收到)的IKE_AUTH消息转换成被发送到AMF 140的N2消息。AMF 140将包含EAP-AKA质询响应的AAA消息发送给AUSF 155。在完成EAP-AKA质询后,AMF 140从AUSF 155接收带有K_SEAF密钥的AAA密钥响应消息(参见信令630)。
在成功的认证过程之后,AMF 140为UE 205选择SMF(参见框632),并开始为UE 205建立PDU会话(参见框634)。在某些实施例中,AMF 140使用默认AN-params,例如默认的S-NSSAI(切片信息)、默认的DNN(数据网络名称)、默认的SSC模式(会话和服务连续性)等。这些默认参数可以从用户的订阅数据中检索。在UE 205向AMF 140提供AN-params的情况下,AMF 140在建立PDU会话时可以使用这些AN-params。
响应于建立PDU会话,AMF 140使用K_N3IWF密钥向N3IWF 220发送N2消息,所述K_N3IWF密钥用于在UE 205与N3IWF 220之间建立IPsec安全关联(“SA”)(参见信令636)。UE205在认证过程期间生成相同的K_N3IWF密钥。N3IWF 220通过向UE 205发送EAP成功消息来完成EAP认证过程(参见信令638)。UE 205和N3IWF 220还交换IKE_AUTH请求/响应(参见信令640)。在此,AUTH值包括在IKE_AUTH交换中。
在UE 205与N3IWF 220之间建立安全IPsec隧道(参见框642)。该隧道在UE 205和N3IWF 220中使用安全关联(SA),所述安全关联包含用于保护通过隧道的数据的安全密钥和算法。另外,在N3IWF 220与UPF 150之间建立N3隧道。在此,IPsec隧道用于传输用户数据,但不传输NAS消息。而且,在IPsec隧道建立期间,UE 205从N3IWF 220接收由SMF 145分配的用于建立的PDU会话的IP地址。应当注意,在网络过程500中,UE 205没有从N3IWF 220接收IP地址;这是不需要的,因为网络过程500中的IPsec隧道仅用于NAS信令。
虽然以经由不可信的非3GPP接入网络进行连接的方式描述了网络过程600,但是网络过程600也适用于可信的非3GPP接入网络,区别在于在可信的情况下,EAP消息没有被封装在IKEv2消息内(如图所示),而是被封装在IEEE 802.1x消息内。
图7A和图7B描绘了根据本公开的实施例的用于使用EAP例如通过可信的非3GPP接入网络认证和建立与移动通信网络的NAS连接的网络过程700。网络过程700在图7A中开始并且在图7B中继续。网络过程700涉及UE 205、非3GPP AN 215、N3IWF 220、3GPP(R)AN 210、AMF 140和AUSF 155。
网络过程700描绘了本文公开的新EAP-5G过程如何被用于支持UE 205经由可信的非3GPP接入(在此被描绘为非3GPP AN 215)注册到5G核心网络(例如,核心网络225)。应当注意,新的EAP-5G过程在UE 205与N3IWF 220之间运行,并且在认证过程期间支持在UE 205与N3IWF 220之间交换NAS消息和其它信息。在一些实施例中,N3IWF 220可以位于可信的非3GPP接入网络内部(例如,在非3GPP AN 215内)。
网络过程700在图7A处开始,其中UE 205连接到非3GPP AN 215并开始IEEE802.1x认证过程(参见框702)。在此,非3GPP AN 215是在AMF 140和AUSF 155的运营商的控制下的可信的非3GPP接入网络。UE 205随后决定向与可信的非3GPP接入网络相关联的5G核心网络(例如,核心网络225)注册,并且发送802.1x启动消息(参见信令704)。虽然图7A到图7B描绘了UE 205使用802.1x协议,但是在其它实施例中,可以使用其它链路层协议,诸如点对点协议(“PPP”)。
N3IWF 220发送包含5G启动消息的EAP-5G请求消息,以通知UE 205应该启动NAS过程(例如,5G-NAS)以便建立与5G核心网络的连接(参见信令706)。在此,EAP-5G请求消息嵌入在802.1x消息内。应当注意,5G启动消息使用第一EAP扩展类型(例如,对应于EAP-5G协议)。
UE 205以5G消息格式的消息(例如,嵌入在EAP-5G响应消息中)进行响应,所述消息包含接入网络参数(“AN-params”)和NAS注册请求消息(参见信令708)。可替选地,UE 205可以用包含AN-params和NAS注册请求消息的5G质询格式的消息(例如,嵌入在EAP-5G响应消息中)进行响应。应当注意,5G消息还使用第一EAP扩展类型(例如,EAP-5G扩展类型)。AN-params包括用于N3IWF 220将NAS注册请求消息路由到5G核心网络中的适当的AMF(此处为AMF 140)的信息。虽然图7A描绘了由UE 205发送到N3IWF的NAS注册请求(具体是NAS-PDU注册请求),但是在其它实施例中,可以使用另一种合适的NAS消息,诸如NAS服务请求。
响应于5G消息,N3IWF 220通过使用由UE提供的AN-params来选择AMF,以将NAS注册请求转发给所述AMF(参见框710)。在此,N3IWF 220选择PLMN中的AMF 140。接着,N3IWF220将NAS注册请求消息转发到选定的AMF 140(参见信令516)。在此,N3IWF 220生成包含NAS注册请求的N2消息。在从UE 205接收的5G消息包含NAS服务请求(或其它NAS消息)的情况下,N3IWF 220将NAS服务请求消息(或其它NAS消息)转发给选定的AMF。
在某些实施例中,AMF 140可以通过使用经由N3IWF 220向UE 205发送NAS标识请求消息来决定请求UE 205的UE标识(例如,检测被盗的UE)(参见信令518)。在此,AMF 140发送包含NAS标识请求的N2消息,并且N3IWF 220将N2消息转换成EAP-5G消息。类似地,UE 205发送包含NAS标识响应(嵌入在802.1X消息内)的EAP-5G消息(参见信令712)。在此,N3IWF220将802.1x/EAP-5G消息转换成N2消息。NAS标识请求/响应消息和所有其它NAS消息被封装在EAP-5G消息分组(嵌入在802.1x消息中)中发送给UE 205。应当注意,步骤518和步骤712在网络过程700中是可选的。在所描绘的实施例中,当在UE 205与N3IWF 220之间传递时,NAS标识请求/响应消息被体现为“5G消息”格式的消息。在其它实施例中,当在UE 205与N3IWF 220之间传递时,NAS标识请求/响应消息被体现为“5G质询”格式的消息。
在某些实施例中,AMF 140可以决定对UE 205进行认证。AMF 140通过向AUSF 155发送AAA密钥请求消息来开始(参见信令520),并且从AUSF 155接收包含NAS认证请求的AAA消息(参见信令522)。在图7B中继续,AMF 140以N2消息向N3IWF 220发送NAS认证请求(参见信令524),所述N2消息被N3IWF 220转换成被发送给UE 205的EAP-5G消息(参见信令714)。类似地,N3IWF 220从UE 205接收包含NAS认证响应的EAP-5G消息(参见信令716),并将其转换成发送给AMF 140的N2消息(参见信令530)。在所描绘的实施例中,当在UE 205与N3IWF220之间传递时,NAS认证请求/响应消息被体现为“5G消息”格式的消息。在其它实施例中,当在UE 205与N3IWF 220之间传递时,NAS认证请求/响应消息被体现为“5G质询”格式的消息。
AMF 140将包含NAS认证响应的AAA消息发送给AUSF 155(参见信令532),并且从AUSF 155接收包含K-SEAF密钥的AAA密钥响应消息(参见信令534)。应当注意,UE认证消息(例如,522、524、714、716、530、532和534)是网络过程700中的可选步骤(如由虚线所指示)。同样,当使用802.1x消息在UE 205与N3IWF 220之间传递时,这些NAS认证消息被封装在EAP-5G消息分组中。
在成功认证之后,AMF 140向UE 205发送安全模式命令(“SMC”)请求,以便激活NAS安全性(参见信令536)。该消息被与用于在UE 205与N3IWF 220之间建立IPsec安全关联(“SA”)的K_N3IWF密钥一起发送到N3IWF 220。UE 205在认证过程期间生成相同的K_N3IWF密钥。在N3IWF 220向UE 205发送SMC请求之前,它通过向UE发送EAP成功消息来完成EAP认证过程(参见信令718)。UE 205和N3IWF 220然后执行802.1x 4次握手协议以创建额外的安全密钥(参见信令720)。
然后在UE与N3IWF之间建立安全链路(参见框722)。在此,安全链路既用于NAS信令,又用于PDU会话数据。经由所述安全链路,N3IWF 220将SMC请求转发到UE 205(参见信令724),并且其余的NAS注册过程通常在安全链路上发生(参见框726)。在此,成功认证的结果是经由非3GPP AN 215在UE 205与5G核心网之间建立NAS连接。应当注意,通过非3GPP接入网络建立与通过3GPP接入网络通常建立的相同类型的NAS连接。
图8描绘了根据本公开的实施例的用于例如通过非3GPP接入网络向移动通信网络进行认证的方法800。在一些实施例中,方法800由诸如远程单元105、UE 205和/或远程装置300等装置执行。在某些实施例中,方法800可以由执行程序代码的处理器执行,所述处理器例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
方法800开始并提供805第一收发器以用于经由第一接入网络与移动通信网络进行通信和第二收发器以用于经由第二接入网络与移动通信网络进行通信。在此,在诸如远程单元105、UE 205和/或远程装置300等远程单元中提供805第一收发器和第二收发器。在一个实施例中,第二接入网络是非3GPP接入网络,诸如无线局域网(“WLAN”)。
方法800包括发送810经由第二接入网络开始认证的请求。在某些实施例中,发送810所述经由第二接入网络开始认证的请求包括:发送通过不可信的非3GPP接入网络连接到移动通信网络并且然后经由不可信的非3GPP接入网络开始认证的请求。在其它实施例中,发送810经由第二接入网络开始认证的请求包括发送经由可信的非3GPP接入网络开始认证的请求。
在一个实施例中,连接请求例如使用永久或临时UE标识符来识别远程单元。方法800包括经由第二接入网络接收815具有第一扩展类型(例如,EAP-5G扩展类型)的可扩展认证协议(“EAP”)请求。在此,第一扩展类型可以是3GPP特定类型,诸如EAP-5G扩展数据分组。在一个实施例中,具有第一扩展类型的EAP请求对应于EAP 5G启动消息。EAP请求也可以嵌入在IKEv2消息(诸如IKE-AUTH响应)内。应当注意,EAP请求指示远程单元启动特定认证方法,所述方法要求使用EAP-5G消息内的5G-NAS消息。
方法800包括经由第二接入网络(例如,非3GPP接入网络)发送820EAP响应,所述EAP响应包括第一扩展类型(例如,对应于EAP-5G协议的EAP-5G扩展类型)、第一参数集(例如,AN-params)和第一消息。在此,第一消息是可用于通过第一接入网络建立与移动通信网络的连接的相同类型的消息(例如,可用于通过3GPP接入网络进行连接的5G-NAS消息)。在一个实施例中,第一消息是非接入层(“NAS”)注册请求。在某些实施例中,发送820EAP响应包括启动与互通功能的安全IPsec连接。未来的NAS消息可以经由安全IPsec连接与移动通信网络交换。
在一些实施例中,发送820所述EAP响应包括接收一个或多个额外EAP-5G请求以及发送相等数量的EAP-5G响应。在此,额外的EAP-5G请求和响应中的每个都封装了至少一个5G-NAS消息。以这种方式,可以使用5G-NAS消息来识别和认证远程单元。在此,成功认证的结果是经由非3GPP接入在远程单元与5G核心网络之间建立NAS连接。因此,远程单元可以经由额外的EAP请求和响应来建立与移动通信网络的NAS连接。
响应于确定远程单元不支持第一扩展类型(例如,与EAP-5G协议相关联的EAP-5G扩展类型),经由第二接入网络发送820所述EAP响应可以包括:发送包括第一扩展类型和由远程单元支持的用于经由第二接入网络向移动通信网络进行认证的认证方法的列表的EAP响应。此后,远程单元可以使用支持的认证方法中的一个向移动通信网络进行认证。
响应于确定所述装置不支持期望的消息类型(例如,与5G-NAS协议相关联的5G-NAS消息类型),经由第二接入网络发送820所述EAP响应可以包括发送包括第一扩展类型(例如,EAP-5G扩展类型)和一个或多个额外参数的EAP响应,所述一个或多个额外的参数可被互通功能用来代表远程单元生成期望的消息类型的消息(例如,5G-NAS消息)。在此,互通功能可以(可选地)包括以下指示:预期消息类型的消息(例如,5G-NAS消息)是由互通功能代表远程单元创建的。方法800结束。
图9描绘了根据本公开的实施例的用于例如通过非3GPP接入网络向移动通信网络进行认证的方法900。在一些实施例中,方法900由诸如互通功能130、N3IWF 220和/或互通装置400等装置执行。在某些实施例中,方法900可以由执行程序代码的处理器来执行,所述处理器例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
方法900开始并从远程单元接收905经由第一接入网络开始认证的请求。在一些实施例中,第一接入网络是WLAN或其它非3GPP接入网。在一个实施例中,连接请求例如使用永久或临时UE标识符来识别远程单元。在一些实施例中,接收905所述开始认证的请求包括接收经由不可信的非3GPP接入网络连接到移动通信网络并开始认证的请求。在另一实施例中,接收905所述开始认证的请求包括接收经由可信的非3GPP接入网络开始认证的请求。
方法900包括将具有第一扩展类型(例如,EAP-5G扩展类型)的可扩展认证协议(“EAP”)请求发送910到远程单元。在此,第一扩展类型可以是3GPP特定类型,诸如EAP-5G扩展数据分组。在一个实施例中,具有第一扩展类型的EAP请求对应于EAP 5G启动消息。EAP请求也可以嵌入在IKEv2消息(诸如,IKE-AUTH响应)内。
在某些实施例中,发送910所述EAP请求响应于来自远程单元的开始认证的请求而发生,所述请求包括远程单元支持使用第一扩展类型的EAP消息传递的指示。否则,如果远程单元指示它不支持第一扩展类型(例如,不支持EAP-5G协议),则将没有第一扩展类型的EAP请求发送到该远程单元。
方法900包括经由第一接入网络接收915EAP响应,所述EAP响应包括第一扩展类型(例如,EAP-5G扩展类型)、第一参数集(例如,AN-params)和第一消息。在此,第一消息是可用于通过另一接入网络(例如,通过3GPP接入网络)建立与移动通信网络的连接的相同类型的消息,所述另一接入网络使用与第一接入网络不同的通信协议。在一些实施例中,第一消息是非接入层(“NAS”)注册请求。在某些实施例中,接收915EAP响应触发建立与远程单元的安全IPsec连接。未来的NAS消息可以经由安全IPsec连接在远程单元与移动通信网络之间交换。
在一些实施例中,接收915所述EAP响应包括发送一个或多个额外的EAP-5G请求和接收相等数量的EAP-5G响应。在此,额外的EAP-5G请求和响应中的每个都封装了至少一个5G-NAS消息。以这种方式,互通功能可以使用5G-NAS消息来识别和认证远程单元。在此,成功认证的结果是经由非3GPP接入在远程单元与5G核心网络之间建立NAS连接。因此,远程单元可以经由额外的EAP请求和响应来建立与移动通信网络的NAS连接。
在一些实施例中,接收915所述EAP响应包括在互通功能处接收远程单元不支持第一扩展类型(例如,与EAP-5G协议相关联的EAP-5G扩展类型)的指示,其中EAP响应包含第一扩展类型和由远程单元支持的用于经由第二接入网络向移动通信网络进行认证的认证方法的列表。在此,互通功能可以将认证方法的列表转发到移动通信网络(例如,到AUSF155)。在某些实施例中,互通功能然后可以代表远程单元将NAS消息发送到移动通信网络,并且可选地包括NAS消息是由互通功能代表远程单元创建的指示。在一个实施例中,NAS消息是以下中的一个:NAS注册请求,包含会话建立请求的NAS注册请求,以及NAS服务请求。
在某些实施例中,接收915所述EAP响应包括在互通功能处接收远程单元不支持期望的消息类型的指示(例如,远程单元不支持5G-NAS协议以及其相关联的消息类型),其中EAP响应包含第一扩展类型和可用于代表远程单元生成期望的消息类型的消息的一个或多个额外参数,以及期望的消息类型的消息是由互通功能代表远程单元创建的指示。方法900结束。
实施例可以以其它特定形式来实践。所描述的实施例在所有方面应被认为仅是说明性的而非限制性的。因此,本发明的范围由所附权利要求而不是前面的描述来指示。落入权利要求的等效形式的含义和范围内的所有改变均应包含在权利要求的范围内。
Claims (20)
1.一种装置,包括:
处理器;以及
耦合到所述处理器的存储器,所述处理器被配置为使所述装置:
发送经由包括非3GPP互通功能的接入网络开始与移动通信网络认证的第一请求;
接收可扩展认证协议(“EAP”)开始分组,所述EAP开始分组发起所述装置与所述非3GPP互通功能之间的EAP-5G会话,所述EAP-5G会话利用具有扩展EAP类型和3GPP供应商标识的EAP-5G分组,其中,所述EAP-5G会话被发起以用于经由所述非3GPP互通功能在所述装置与所述移动通信网络之间交换非接入层(“NAS”)消息,其中,所述NAS消息被封装在EAP-5G分组内;和
经由所述接入网络发送EAP-5G响应分组,所述EAP-5G-响应分组包括接入网络参数的集合和NAS注册请求消息,
其中,所述接入网络参数的第一集合包括所述移动通信网络的公共陆上移动网络(“PLMN”)标识和网络切片选择辅助信息。
2.根据权利要求1所述的装置,其中,所述接入网络包括无线局域网(“WLAN”)。
3.根据权利要求1所述的装置,其中,所述处理器进一步被配置为使所述装置:
响应于完成向所述移动通信网络的认证而建立与所述非3GPP互通功能的安全网络协议安全性(“IPsec”)连接,并且
经由所述安全IPsec连接与所述移动通信网络交换NAS消息。
4.根据权利要求1所述的装置,其中,所述处理器进一步被配置为使所述装置:
接收一个或多个额外的EAP-5G请求分组,
发送相等数量的EAP-5G响应分组,其中所述一个或多个额外的EAP-5G请求分组和所述相等数量的EAP-5G响应分组各自封装至少一个NAS消息,以及
经由所述一个或多个额外的EAP-5G请求分组和所述相等数量的EAP-5G响应分组建立与所述移动通信网络的NAS连接。
5.根据权利要求1所述的装置,其中,所述处理器进一步被配置为使所述装置:确定所述装置不支持所述扩展EAP类型,其中,为经由所述第二接入网络发送所述EAP-5G响应分组,所述处理器被配置为使所述装置:发送利用所述扩展EAP类型和由所述装置支持的用于经由所述接入网络向所述移动通信网络进行认证的认证方法的列表的所述EAP-5G响应分组。
6.根据权利要求5所述的装置,其中,所述处理器进一步被配置为使所述装置:使用由所述装置支持的所述认证方法的列表中的认证方法来向所述移动通信网络进行认证。
7.根据权利要求1所述的装置,其中,所述处理器进一步被配置为使所述装置:确定所述装置不支持与期望的消息类型相关联的协议,其中,为经由所述接入网络发送所述EAP-5G响应分组,所述处理器被配置为使所述装置:发送利用所述扩展EAP类型和一个或多个额外参数的EAP-5G响应分组,所述一个或多个额外的参数能被互通功能用来代表所述装置生成所述期望的消息类型的消息。
8.根据权利要求7所述的装置,其中,所生成的期望的消息类型的消息包括所生成的消息是由所述互通功能代表所述装置创建的指示。
9.根据权利要求1所述的装置,其中,所述接入网络是可信的非3GPP接入网络。
10.根据权利要求1所述的装置,其中,所述接入网络是不可信的非3GPP接入网络。
11.一种远程单元的方法,所述方法包括:
发送经由包括非3GPP互通功能的接入网络开始与移动通信网络认证的第一请求;
在所述远程单元处接收可扩展认证协议(“EAP”)开始分组,所述EAP开始分组发起所述远程单元与所述非3GPP互通功能之间的EAP-5G会话,所述EAP-5G会话利用具有扩展EAP类型和3GPP供应商标识的EAP-5G分组,其中,所述EAP-5G会话被发起以用于经由所述非3GPP互通功能在所述远程单元与所述移动通信网络之间交换非接入层(“NAS”)消息,其中,所述NAS消息被封装在EAP-5G分组内;和
经由所述接入网络发送EAP-5G响应分组,所述EAP-5G-响应分组包括接入网络参数的第一集合和NAS注册请求消息,
其中,所述接入网络参数的第一集合包括所述移动通信网络的公共陆上移动网络(“PLMN”)标识和网络切片选择辅助信息。
12.根据权利要求11所述的方法,其中,所述接入网络包括无线局域网(“WLAN”)。
13.根据权利要求11所述的方法,还包括:
响应于完成向所述移动通信网络的认证而建立与所述非3GPP互通功能的安全网络协议安全性(“IPsec”)连接,并且
经由所述安全IPsec连接与所述移动通信网络交换NAS消息。
14.根据权利要求11所述的方法,还包括:
接收一个或多个额外的EAP-5G请求分组,
发送相等数量的EAP-5G响应分组,其中所述一个或多个额外的EAP-5G请求分组和所述相等数量的EAP-5G响应分组各自封装至少一个NAS消息,以及
经由所述一个或多个额外的EAP-5G请求分组和所述相等数量的EAP-5G响应分组建立所述移动通信网络。
15.根据权利要求11所述的方法,还包括确定所述远程单元不支持所述扩展EAP类型,其中,经由所述接入网络发送所述EAP-5G响应分组包括:发送利用所述扩展EAP类型和由所述远程单元支持的用于经由所述接入网络向所述移动通信网络进行认证的认证方法的列表的所述EAP-5G响应分组。
16.根据权利要求15所述的方法,还包括使用由所述远程单元支持的所述认证方法中的列表中的认证方法来向所述移动通信网络进行认证。
17.根据权利要求11所述的方法,还包括确定所述远程单元不支持与期望的消息类型相关联的协议,其中,经由所述接入网络发送所述EAP-5G响应分组包括:发送利用所述扩展EAP类型和一个或多个额外参数的EAP-5G响应分组,所述一个或多个额外的参数能被互通功能用来代表所述远程单元生成所述期望的消息类型的消息。
18.根据权利要求17所述的方法,其中,所生成的期望的消息类型的消息包括所生成的消息是由所述互通功能代表所述远程单元创建的指示。
19.根据权利要求11所述的方法,其中,所述接入网络是可信的非3GPP接入网络。
20.根据权利要求11所述的方法,其中,所述接入网络是不可信的非3GPP接入网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311474652.4A CN117412290A (zh) | 2017-05-08 | 2017-05-08 | 向移动通信网络进行认证的方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311474652.4A CN117412290A (zh) | 2017-05-08 | 2017-05-08 | 向移动通信网络进行认证的方法 |
| PCT/EP2017/060959 WO2018206081A1 (en) | 2017-05-08 | 2017-05-08 | A method to authenticate with a mobile communication network |
| CN201780090431.3A CN110603891B (zh) | 2017-05-08 | 2017-05-08 | 向移动通信网络进行认证的方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780090431.3A Division CN110603891B (zh) | 2017-05-08 | 2017-05-08 | 向移动通信网络进行认证的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117412290A true CN117412290A (zh) | 2024-01-16 |
Family
ID=58699112
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780090431.3A Active CN110603891B (zh) | 2017-05-08 | 2017-05-08 | 向移动通信网络进行认证的方法 |
| CN202311474652.4A Pending CN117412290A (zh) | 2017-05-08 | 2017-05-08 | 向移动通信网络进行认证的方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780090431.3A Active CN110603891B (zh) | 2017-05-08 | 2017-05-08 | 向移动通信网络进行认证的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (3) | US10986481B2 (zh) |
| EP (2) | EP3855767A1 (zh) |
| KR (2) | KR102316613B1 (zh) |
| CN (2) | CN110603891B (zh) |
| WO (1) | WO2018206081A1 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110603891B (zh) * | 2017-05-08 | 2023-11-21 | 摩托罗拉移动有限责任公司 | 向移动通信网络进行认证的方法 |
| US11178603B2 (en) * | 2017-05-09 | 2021-11-16 | Telefonaktiebolaget Lm Ericsson (Publ) | AMF relocation with N3IWF handling |
| CN111034273B (zh) | 2017-08-14 | 2024-03-29 | 交互数字专利控股公司 | 从非3gpp接入网络请求网络切片能力的终端 |
| KR102425582B1 (ko) * | 2018-05-11 | 2022-07-26 | 삼성전자주식회사 | 무선통신 시스템에서 정보 보호 방법 및 장치 |
| US10897701B2 (en) * | 2018-05-17 | 2021-01-19 | Mediatek Singapore Pte. Ltd. | Support for no SUPI or no non-3GPP coverage in 5G mobile communications |
| CN116546622A (zh) * | 2018-05-18 | 2023-08-04 | 日本电气株式会社 | 用户设备、接入和移动管理功能及其所用的方法 |
| US10805792B2 (en) * | 2018-09-07 | 2020-10-13 | Nokia Technologies Oy | Method and apparatus for securing multiple NAS connections over 3GPP and non-3GPP access in 5G |
| WO2020064107A1 (en) * | 2018-09-27 | 2020-04-02 | Lenovo (Singapore) Pte. Ltd. | Accessing a 5g network via a non-3gg access network |
| EP4195731A1 (en) * | 2019-01-21 | 2023-06-14 | Telefonaktiebolaget LM Ericsson (publ) | Methods for authentication and key management in a wireless communications network and related apparatuses |
| EP3949306A1 (en) * | 2019-04-02 | 2022-02-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Ims registration |
| WO2020208295A1 (en) * | 2019-04-11 | 2020-10-15 | Nokia Technologies Oy | Establishing secure communication paths to multipath connection server with initial connection over private network |
| WO2021089177A1 (en) * | 2019-11-08 | 2021-05-14 | Lenovo (Singapore) Pte. Ltd. | Registering with a mobile network through another mobile network |
| US11032743B1 (en) * | 2019-11-30 | 2021-06-08 | Charter Communications Operating, Llc | Methods and apparatus for supporting devices of different types using a residential gateway |
| US11240855B2 (en) * | 2020-01-13 | 2022-02-01 | Qualcomm Incorporated | Local area network client participation in a network slice |
| KR20220164762A (ko) * | 2020-04-06 | 2022-12-13 | 레노보 (싱가포르) 피티이. 엘티디. | Eap 절차에서의 통보 |
| US20210385088A1 (en) * | 2020-06-03 | 2021-12-09 | Alibaba Group Holding Limited | Network access method, user equipment, network entity, and storage medium |
| CN112039838B (zh) * | 2020-07-15 | 2022-03-15 | 中国电子科技集团公司第三十研究所 | 一种适用于移动通信不同应用场景的二次认证方法和*** |
| US11785456B2 (en) * | 2020-08-18 | 2023-10-10 | Cisco Technology, Inc. | Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP) |
| CN115134875A (zh) * | 2021-03-24 | 2022-09-30 | 华为技术有限公司 | 会话切换的方法和装置 |
| US20230112305A1 (en) * | 2021-10-08 | 2023-04-13 | Comcast Cable Communications, Llc | Diverse pathway integration |
| CN113923660B (zh) * | 2021-10-09 | 2023-08-29 | 中国联合网络通信集团有限公司 | 一种终端接入局域网的认证方法、设备及存储介质 |
| CN115996374A (zh) * | 2021-10-19 | 2023-04-21 | 华为技术有限公司 | 一种通信方法、装置及*** |
| CN114222298A (zh) * | 2021-12-14 | 2022-03-22 | 中国电信股份有限公司 | 终端接入方法、装置、网络设备、终端和介质 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102461230B (zh) * | 2009-04-07 | 2015-06-17 | 托吉瓦控股股份公司 | 用于在基于uam的wlan网络中对网络节点进行认证的方法和*** |
| CN103067342B (zh) * | 2011-10-20 | 2018-01-19 | 中兴通讯股份有限公司 | 一种使用eap进行外部认证的设备、***及方法 |
| US9031050B2 (en) * | 2012-04-17 | 2015-05-12 | Qualcomm Incorporated | Using a mobile device to enable another device to connect to a wireless network |
| US9451643B2 (en) * | 2012-09-14 | 2016-09-20 | Futurewei Technologies, Inc. | System and method for a multiple IP interface control protocol |
| US20140093071A1 (en) * | 2012-10-02 | 2014-04-03 | Telefonaktiebolaget L M Ericsson (Publ) | Support of multiple pdn connections over a trusted wlan access |
| TR201806887T4 (tr) * | 2013-01-03 | 2018-06-21 | Huawei Tech Co Ltd | Bir ağa erişilmesine yönelik sistemler ve yöntemler. |
| US9344890B2 (en) * | 2013-07-12 | 2016-05-17 | Qualcomm Incorporated | Trusted wireless local area network (WLAN) access scenarios |
| US9226153B2 (en) * | 2013-08-23 | 2015-12-29 | Cisco Technology, Inc. | Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP |
| EP3047625A1 (en) * | 2013-09-16 | 2016-07-27 | Convida Wireless, LLC | Mobile network operator (mno) control of wifi qos via eap/diameter |
| EP3119118B1 (en) * | 2015-07-17 | 2020-07-15 | HTC Corporation | Handling of cellular-wireless local area network aggregation |
| US9980133B2 (en) * | 2015-08-12 | 2018-05-22 | Blackberry Limited | Network access identifier including an identifier for a cellular access network node |
| US10674346B2 (en) * | 2016-10-10 | 2020-06-02 | Qualcomm Incorporated | Connectivity to a core network via an access network |
| CN109997379B (zh) * | 2016-11-07 | 2021-11-30 | Lg电子株式会社 | 用于管理会话的方法 |
| CN115460685A (zh) * | 2017-02-06 | 2022-12-09 | 三星电子株式会社 | 基站、接入和移动性管理功能实体及其方法 |
| CN110603891B (zh) * | 2017-05-08 | 2023-11-21 | 摩托罗拉移动有限责任公司 | 向移动通信网络进行认证的方法 |
-
2017
- 2017-05-08 CN CN201780090431.3A patent/CN110603891B/zh active Active
- 2017-05-08 EP EP21162538.9A patent/EP3855767A1/en active Pending
- 2017-05-08 CN CN202311474652.4A patent/CN117412290A/zh active Pending
- 2017-05-08 EP EP17722736.0A patent/EP3622731B1/en active Active
- 2017-05-08 US US16/347,322 patent/US10986481B2/en active Active
- 2017-05-08 WO PCT/EP2017/060959 patent/WO2018206081A1/en unknown
- 2017-05-08 KR KR1020197032711A patent/KR102316613B1/ko active IP Right Grant
- 2017-05-08 KR KR1020217033649A patent/KR102378301B1/ko active IP Right Grant
-
2021
- 2021-03-19 US US17/206,543 patent/US11617067B2/en active Active
-
2023
- 2023-03-27 US US18/190,516 patent/US20230232198A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| KR102378301B1 (ko) | 2022-03-25 |
| KR20190139925A (ko) | 2019-12-18 |
| EP3622731B1 (en) | 2021-04-21 |
| KR102316613B1 (ko) | 2021-10-26 |
| CN110603891B (zh) | 2023-11-21 |
| US11617067B2 (en) | 2023-03-28 |
| US10986481B2 (en) | 2021-04-20 |
| EP3855767A1 (en) | 2021-07-28 |
| US20230232198A1 (en) | 2023-07-20 |
| KR20210129745A (ko) | 2021-10-28 |
| US20190335330A1 (en) | 2019-10-31 |
| CN110603891A (zh) | 2019-12-20 |
| US20210211855A1 (en) | 2021-07-08 |
| WO2018206081A1 (en) | 2018-11-15 |
| EP3622731A1 (en) | 2020-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110603891B (zh) | 向移动通信网络进行认证的方法 | |
| US11902783B2 (en) | Core network attachment through standalone non-3GPP access networks | |
| EP4128858B1 (en) | Relocating an access gateway | |
| US20230179999A1 (en) | Gateway function reauthentication | |
| US20220116769A1 (en) | Notification in eap procedure | |
| US20230156650A1 (en) | Relocating an access gateway | |
| WO2021223862A9 (en) | Gateway function reauthentication | |
| WO2022048743A1 (en) | Control-plane and user-plane trusted non-3gpp gateway function |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |