本发明总体上涉及移动通信网络和系统。
移动通信网络和系统的详细描述可以在文献中找到,诸如特别是在标准化机构(诸如例如3gpp(第三代合作伙伴计划))出版的技术规范中。
通常,在移动系统中,用户/用户设备(ue)可以接入由移动网络提供的服务。移动网络通常包括经由接入网络(诸如无线电接入网络)接入的核心网络。
移动系统的示例是下一代(nextgen)系统,也被称为5g系统,当前由3gpp指定,诸如在3gpptr23.799、3gppts23.501和3gppts23.502中。
下一代(或者5g)移动网络中使用的一个概念是网络切片的概念。如例如在3gppts23.501中所指示的,运营方可以部署多个网络切片实例,这些网络切片实例提供完全相同的特征但是针对不同的ue组,例如,因为它们提供不同的承诺服务和/或因为它们可以专用于客户。
在这种网络和系统中网络切片的引入带来了需要新解决方案的新技术问题。这种新技术问题的一个示例是网络切片可能会在系统端到端链中引入可能需要独立认证和/或授权的新利益相关者。
有必要解决这些新的技术问题。本发明的实施例特别解决了这些需求。
在一个方面,这些和其他目标通过移动网络实体、诸如接入和移动性管理功能amf来实现,该移动网络实体在支持网络切片的移动网络中提供注册管理功能,所述移动网络实体被配置为:
-在注册期间,除了用于接入所述移动网络的认证和/或授权之外,还检查涉及与网络切片相关联的第三方的认证和/或授权是否被要求以用于接入所述网络切片,
-在检查涉及所述第三方的所述认证和/或授权被需要时,发起涉及所述第三方的所述认证和/或授权。
在另一方面,这些和其他目标通过用于支持网络切片的移动网络的移动网络订户数据库、诸如sdm来实现,所述移动网络订户数据库被配置为:
-存储订阅数据,该订阅数据指示除了用于接入所述移动网络的认证和/或授权之外,涉及与网络切片相关联的第三方的认证和/或授权是否被需要以用于接入所述网络切片。
在另一方面,这些和其他目标通过用于支持网络切片的移动系统的用户设备来实现,所述用户设备被配置为:
-在注册期间,除了用于接入所述网络的认证和/或授权之外,在涉及与网络切片相关联的第三方的认证和/或授权被需要以用于所述网络切片的情况下,支持涉及与网络切片相关联的第三方的认证和/或授权以用于接入所述网络切片。
在另一方面,这些和其他目标通过移动网络实体、诸如ausf来实现,该移动网络实体在支持网络切片的移动网络中提供认证服务器功能,所述移动网络实体被配置为:
-在为接入所述网络切片而执行的认证和/或授权过程中,中继如下信息,该信息在提供注册管理功能的移动网络实体、诸如接入和移动性管理功能amf,与被称为第三方aaa服务器的aaa服务器之间被交换,所述移动网络实体诸如为接入和移动性管理功能amf,所述aaa服务器与关联于网络切片的第三方相关联。
在另一方面,这些和其他目标通过用于在支持网络切片的移动系统中增强注册的方法来实现,所述方法包括由如此配置的实体中的至少一个实体执行的至少一个步骤:提供注册管理功能的移动网络实体(诸如接入和移动性管理功能amf)、移动网络订户数据库(诸如sdm)、用户设备ue、提供认证服务器功能的移动网络实体(诸如ausf)。
现在仅通过示例并且参考附图描述根据本发明实施例的装置和/或方法的一些实施例,附图中:
-图1意图以简化的方式示出根据本发明的实施例的利用外部(第三方)aaa服务器在移动系统中引入切片接入的额外级别的认证,
-图2意图以简化的方式示出根据本发明的实施例的注册过程的步骤的示例,
-图3意图以简化的方式示出根据本发明的实施例的注册过程的更详细步骤的示例。
缩略语
aaa认证、授权和计费
amf接入和移动性管理功能
ausf认证服务器功能
eap可扩展认证协议
msisdn移动订户isdn号码
nas非接入层
nssai网络切片选择辅助信息
plmn公共陆地移动网络
ran无线电接入网络
rrc无线电资源控制
sd切片差异化信息
sdm订户数据管理器
smf会话管理功能
s-nssai单网络切片选择辅助信息
sst切片服务类型
ue用户设备
具体实施方式
在下文中,将通过示例的方式针对下一代(5g)系统的情况描述本发明的实施例。然而,本发明的实施例不限于这样的示例,并且更一般地应用于使用网络切片的移动系统/网络。
在ts23.501和ts23.502的范围内,ue可以经由被称为amf的单个功能同时附接到多于一个的网络切片。amf可以专用于ue所附接的网络切片集合。
网络切片在概念上类似于端到端网络。它由s-nssai的值标识,该值由切片服务类型(sst)值和切片差异化信息(sd)值组成。ue意图使用或者网络接受ue使用的切片集合由nssai定义,该nssai是ue正在使用的切片的s-nssai的集合。sd字段可用于将切片与第三方相关联,该第三方作为运营方提供的网络切片的租户。该租户可以具有其自己的aaa数据库。本发明的实施例旨在允许租户利用其自己的aaa数据库来认证和/或授权其自己的订户。
ue订阅其被授权使用的网络切片。这些存储为订阅到hss中的s-nssai(现在在5g中称为udm=用户数据管理器)。
接入切片的授权通常在注册过程期间发生,其中在ue被认证并被授权接入plmn之后,订阅数据基于hss/udm存储的数据指出ue允许哪些切片。具有3gpp证书的ue的认证是经由称为ausf(认证服务器功能)的功能。然而,该模型假设租户完全依赖plmn运营方来执行a&a。在许多情况下,租户可能希望应用其一个认证和/或授权。本发明的实施例旨在允许切片租户应用其自己的认证和/或授权。
在ts23.401和ts29.061中记录的已有的系统中使用数据网络接入认证和授权的一些提案是不合适的,因为数据网络可能属于不是租户本身而是租户的客户的一方。在注册发生时接入切片也被授权,并且sm可能不会同时发生。此外,允许ue保持附接而没有pdn连接,并且仍然可以应用一些ran级控制平面策略而不建立pdn连接。本发明的实施例旨在允许由租户应用的认证和/或授权的步骤在注册过程期间发生。
如图2或者图3中所示的注册过程的示例实施例可以用在如图1的示例实施例中所示的系统中。
在一些实施例中,如果额外级别的认证被需要以接入特定切片,则ue可以被配置有用以将每切片的认证方法相关联的信息。在一些实施例中,如果ue被配置为这样做,则在ue被认证以用于plmn接入之后,额外级别的认证可以被执行。
在一些实施例中,sdm存储的订阅数据可以包括每s-nssai是否需要额外级别的认证和/或授权。如图1的示例中所示,sdm可以将订阅的切片存储为s-nssai,并且指示可能的额外认证和/或授权。
在一些实施例中,如果额外级别的认证被需要,则ue可以被挑战通过amf来对切片进行认证,并且ue可以基于其针对切片的配置来执行额外级别的认证。amf可以直接连接到租户的aaa服务器,或者ausf可以代理amf。如图1的示例中所示,amf可以是ue的认证方,以用于基于3gpp证书的plmn接入以及还可选地基于第三方aaa证书的切片接入两者。
在一些实施例中,另外地或者单独地,如果额外级别的授权被需要,则这可以在ue通过其被认证(因此第三方执行a&a)时,或者通过向第三方aaa服务器提交plmn可以在外部使用的标识(如ts23.682中定义的ms_isdn或者外部id)、因此aaa服务器可以检查它是否被允许接入切片来形成第三方数据库。在这种情况下,图2中的步骤4(图3中的4c、4d、4e、4f)将不涉及ue并且基于利用aaa数据库的可信ue标识检查而仅在amf和aaa服务器之间。在这种情况下,步骤4c和4d将仅包括ms-isdn或者外部id,并且步骤4e和4f将向amf报告ue授权信息的成功或者失败。第三方aaa还可以在步骤4e和4f中向amf报告用以挑战具有所提供的ms-isdn或者外部id的ue的请求,在这种情况下,该过程将从步骤4a重新开始。
在一些实施例中,ue可以执行指示如下nssai的注册请求,该nssai包括其意图使用的切片的所有s-nssai(图2或者图3中的步骤1)。用于plmn接入的安全过程(amf作为认证方,并且ausf作为认证服务器)可以被执行(图2或图3中的步骤2)。步骤3处的amf可以检查ue是否订阅了这些s-nssai中的每个s-nssai。如果没有订阅一个s-nssai,则s-nssai不被接受。然而,如果存在订阅,则可能存在另外的订阅信息以要求ue进一步由第三方认证和/或授权。如果是,则可以包括认证的方法、向第三方指示ue外部标识的需求(如23.682中定义的ms-isdn或者ue外部id)以及发送认证请求的aaa服务器地址。此外,针对需要第三方认证的每个s-nssai,图2中的步骤4(图3中的4a到4m)可以被执行。可以假设eap用作灵活的认证协议传输。步骤4序列中的消息数目可能取决于第三方所选择的确切eap认证方法,但是流程中那些消息仅是示例。
此外,由于ue执行定期注册,因此在定期注册中可能不需要该步骤。基于与第三方的协议,一旦ms-isdn(或者外部id)与初始注册时认证的第三方用户id相关联(如果这包括在步骤4c、4d中),amf可以通过使用消息4.c、4.d、4.e、4.f来报告定期注册,消息4.c、4.d、4.e、4.f仅包括msisdn(或者外部id)。因此,该方法还可以允许第三方用户id和运营方认证标识的关联,其可以加快随后注册,并且仅定期第三方可以利用新的第三方认证来再次挑战ue(以节省aaa和网络资源)。
在步骤5(图2或者图3)中,amf可以通过已接受的s-nssai来接受包括nssai的注册(基于仅订阅检查或者基于第三方成功认证)
还可以以下面的方式描述本发明的实施例。
eps根据简单范例来提供分组数据服务,其中服务ue的单个接入网络将提供对pdn的接入。接入网络认证基于plmn认证(3gppaka),其也提供了用于无线链路加密的密钥。可选地,如果ue需要接入的pdn由第三方操作,则该第三部分可能需要额外级别的认证,尽管hss记录指示ue订阅了pdn的apn,但是允许ue被拒绝接入。这将允许pdn运营方为其订户管理证书的独立集合,并且建立或者移除客户-服务提供方关系,而无需联系运营方。
当我们转向5g系统时,除了上面提到用于epc的概念(仍由5g系统提供)之外,现在还具有网络切片的概念。
经由网络切片的概念,plmn运营方可以以批发类型的协议向第三方提供特定服务等级/网络服务。
需要讨论是否足以使用plmn级认证来允许ue接入被提供给第三方的切片。
很可能与网络切片的运营方一起进入sla的第三方可能拥有自己的订户库,或者意图基于自己的标识和证书拥有自己的独立订户库。因此,希望允许第三方经由检查他们拥有的订户数据库来授权对切片的接入。
要求额外级别的认证和授权的切片租户(如eps中的pdn运营方)确信plmn基于plmn接入认证、授权和安全来提供安全链路,并且plmn运营方将基于在plmn接入认证和授权之上所执行的基于租户的认证和授权的结果来允许或者拒绝对切片的接入。因此,当ue在注册过程期间在租用切片中被接受(可选地包括额外级别的切片接入认证)时,假设可以执行与切片的s-nssai相关的所有其他过程。注意,由于在注册时发生s-nssai的接受,因此额外级别的认证需要在注册时进行。
本发明的实施例可包括以下的一个或多个:
如果ue订阅指向需要第三方认证的切片的s-nssai,则该信息存储在sdm(订户数据管理器)中作为指示需要其步骤的标志,以及将执行认证的aaa服务器的ip地址。
当ue执行请求s-nssai的注册请求时,或者s-nssai因为它在sdm中被标记为默认而被系统默认分配给ue的注册请求时,则amf在任何所需的plmn特定认证和授权步骤之上执行与ue一起运行的并且涉及第三方的aaa服务器的认证和授权步骤。aaa服务器的ip地址在认证消息中被携带到ausf,因此ausf知道从amf中继认证请求消息的位置。
备选地。如果第三方中的用户id可以被定义为nai(参见rfc4282https://tools.ietf.org/html/rfc4282),即用户id是以user@domain的格式,则sdm中不需要ip地址并且第三方服务器的正确aaa通过解析nai的域部分在ausf处而得到。
ue准备执行这些认证过程,因为其被配置用于与第三方切片相关的s-nssai,该第三方切片具有与第三方的aaa服务器认证自身所需的必要证书和算法。应当注意,假设的传输协议是eap,因此这对n2和n1信令没有额外要求,因为这已经用于3gpp和非3gpp接入认证,因此该额外的步骤仅仅是重用已有的认证过程传输。
这样的提议可以被总结为如图2所示
可以观察到步骤4是可选的,但是应该在与需要第三方认证的切片相关的s-nssai可以被包括在接受的nssai中之前被执行。如果该步骤未被执行,则ue在执行用于切片的sm之前,不能执行针对特定切片的会话管理过程,因为ue应该使用注册过程来执行对切片的注册。
因此,应该在注册时允许第三方订户数据库检查以容许ue进入该第三方从运营方租用的切片中,并且如果是这样,则应该在技术规范3gppts23.501和3gppts23.502中引入必要的改变。
本发明的实施例不旨在替换由运营方执行的主要认证。如果这样做,则ue-cn安全性将是第三方的网络切片中的一个网络切片,并且这是当前plmn不可接受的。此外,因为假设amf中存在单个安全性终止点并且这在amf支持单个ue的网络切片之间共享,所以这将不允许用于单个ue的多个切片的共存。显然,如果安全性仅与一个切片相关,则这对于其他切片可能是不满意的。
本发明的各个方面和/或实施例包括(但不限于)以下方面和/或实施例。
一些方面涉及移动网络实体、诸如接入和移动性管理功能amf,该移动网络实体在支持网络切片的移动网络中提供注册管理功能。
提供了各种实施例,包括(但不限于)以下实施例,其可以根据各种组合单独地或者组合地使用。
在一个实施例中,所述移动网络实体被配置为:
-在注册期间,除了用于接入所述移动网络的认证和/或授权之外,还检查涉及与网络切片相关联的第三方的认证和/或授权是否被需要以用于接入所述网络切片。
-在检查涉及所述第三方的所述认证和/或授权被需要时,发起涉及所述第三方的所述认证和/或授权。
在一个实施例中,所述移动网络实体被配置为:
-基于如下订阅数据来执行所述检查,该订阅数据指示涉及所述第三方的所述认证和/或授权是否被需要。
在一个实施例中,所述移动网络实体被配置为:
-从订户数据管理器接收订阅数据,该订阅数据指示涉及所述第三方的所述认证和/或授权是否被需要。
在一个实施例中,所述移动网络实体被配置为:
-在涉及所述第三方的认证和/或授权过程中充当认证方。
在一个实施例中,所述移动网络实体被配置为:
-从订户数据管理器接收订阅数据,该订阅数据包含与所述第三方相关联的aaa服务器的地址信息,该aaa服务器被称为第三方aaa服务器。
在一个实施例中,所述移动网络实体被配置为:
-在涉及所述第三方的认证和/或授权过程中,与关联于所述第三方的aaa服务器交互,该aaa服务器被称为第三方aaa服务器。
在一个实施例中,所述移动网络实体被配置为:
-在涉及所述第三方的认证和/或授权过程中,与提供认证服务器功能的移动网络实体、诸如ausf交互。
在一个实施例中,所述移动网络实体被配置为:
-在涉及所述第三方的认证和/或授权过程中,向提供认证服务器功能的移动网络实体、诸如ausf发送以下中的至少一项:
·与所述第三方相关联的aaa服务器的地址信息,该aaa服务器被称为第三方aaa服务器,
·公共用户标识信息,诸如msisdn,
·被记录在第三方aaa服务器中的用户的用户id。
在一个实施例中,所述移动网络实体被配置为:
-如果用于接入所述移动网络的所述认证和/或授权,以及用于接入所述网络切片的所述认证和/或授权已经被成功地执行,则向用户设备ue发送所述注册被接受的指示。
在一个实施例中,所述移动网络实体被配置为:
-如果用于接入所述移动网络的所述认证和/或授权,以及用于接入所述网络切片的所述认证和/或授权已经被成功地执行,则在注册消息中向用户设备ue发送接受的nssai。
其他方面涉及用于支持网络切片的移动网络的移动网络订户数据库,诸如sdm。
提供了各种实施例,包括(但不限于)以下实施例,其可以根据各种组合单独地或者组合地使用。
在一个实施例中,所述移动网络订户数据库被配置为:
-存储订阅数据,该订阅数据指示除了用于接入所述移动网络的认证和/或授权之外,涉及与网络切片相关联的第三方的认证和/或授权是否被需要以用于接入所述网络切片。
在一个实施例中,所述移动网络订户数据库被配置为:
-在注册期间,向支持注册功能的移动网络实体、诸如amf提供所述订阅数据。
在一个实施例中:
-所述订阅数据包括与所述第三方相关联的aaa服务器的地址信息,所述aaa服务器被称为第三方aaa服务器。
其他方面涉及用于支持网络切片的移动系统的用户设备。
提供了各种实施例,包括(但不限于)以下实施例,其可以根据各种组合单独地或者组合使用。
在一个实施例中,所述用户设备被配置为:
-在注册期间,除了用于接入所述网络的认证和/或授权之外,在涉及与网络切片相关联的第三方的认证和/或授权被需要以用于所述网络切片的情况下,则支持涉及与网络切片相关联的第三方的认证和/或授权以用于接入所述网络切片。
在一个实施例中,所述用户设备被配置为:
-存储配置信息,以用于执行涉及所述第三方用于接入所述网络切片的认证和/或授权过程。
在一个实施例中,所述用户设备被配置为:
-在涉及所述第三方用于接入所述网络切片的认证和/或授权过程中,与提供注册管理功能的移动网络实体、诸如接入和移动性管理功能amf交互。
其他方面涉及移动网络实体、诸如ausf,该移动网络实体在支持网络切片的移动网络中提供认证服务器功能。
提供了各种实施例,包括(但不限于)以下实施例,其可以根据各种组合单独地或者组合地使用。
在一个实施例中,所述移动网络实体被配置为:
-在为接入网络切片而执行的认证和/或授权过程中,中继如下信息,该信息在提供注册管理功能的移动网络实体、诸如接入和移动性管理功能amf,与被称为第三方aaa服务器的aaa服务器之间被交换,所述aaa服务器与关联于网络切片的第三方相关联。
在一个实施例中,所述信息包括以下中的至少一项:
-所述第三方aaa服务器的地址信息,
-公共用户标识信息,诸如msisnd,
–被记录在所述第三方aaa服务器中的用户的用户id。
其他方面涉及用于支持网络切片的移动系统中的增强注册的方法,所述方法包括由以下中的至少一项执行的至少一个步骤:提供注册管理功能的移动网络实体(诸如接入和移动性管理功能amf)、移动网络订户数据库(诸如sdm)、用户设备ue、提供认证服务器功能的移动网络实体(诸如ausf)。
本领域技术人员将容易认识到,各种上述方法的步骤可以由编程计算机执行。本文中,一些实施例还意图涵盖程序存储设备(例如,数字数据存储介质),其是机器或者计算机可读的并且编码机器可执行的或者计算机可执行的指令的程序,其中所述指令执行所述上述方法的一些或者所有步骤。程序存储设备可以是,例如,数字存储器、磁存储介质(诸如磁盘和磁带)、硬盘驱动器或者光学可读数字数据存储介质。实施例还意图涵盖被编程为执行上述方法的所述步骤的计算机。