用于管理通信装置到运营商网络的附接的装置和方法与流程

[0001]
本发明属于电信的一般领域。
[0002]
本发明更具体地涉及当通信装置受益于经由运营商网络供给但由与网络运营商分开的第三方提供的网络连接时、对该网络的接入的控制。


背景技术：

[0003]
因此，本发明以特殊但非限制的方式应用于嵌入网络连接的连接对象(无论这些对象的性质如何，例如数字平板电脑、连接灯泡、连接车辆、传感器等)，该网络连接不是由支持该连接的网络运营商直接供给，而是由第三方供给。
[0004]
随着第五代电信网络(5g)和网络功能虚拟化(或nfv)的出现，用于托管这些网络功能(从无线电功能到路由功能)的基础架构意在采取标准计算机基础架构的形式，能够以可在标准操作系统上执行的计算机代码的形式托管任何虚拟化的网络功能。更具体地，焦点在于托管专用于在中心式数据中心中执行中心式网络功能的基础架构，而专用于执行网络的外围功能(诸如例如无线电基站功能)的基础架构意在由较小的邻近数据中心托管，如特别是在由etsi对网页http://www.etsi.org/technologies-clusters/technologies/multi-access-edge-computing上描述的“多接入边缘计算”(或mec)执行的工作中提出的。
[0005]
在虚拟化的该上下文中，当前电信网络也越来越多地正向第三方开放，也就是说向除这些网络的运营商之外的各方开放。因此，在新的5g网络架构中，考虑将网络“切片”专用于一个或多个第三方，每个网络切片满足第三方所需的特定服务质量要求(吞吐量、等待时间、可靠性等)。网络切片指定一组资源，包括网络功能和托管这些网络功能的硬件基础架构，当以适当的方式组合时，允许创建满足给定质量和性能要求的网络介质。
[0006]
因此，对网络进行切片允许在公共物理网络基础架构上管理和操作多个虚拟网络。因此，例如，汽车制造商可以受益于用于其车辆的通信需求的5g网络切片，而专门从事照明的工业家可以受益于用于其连接的灯泡的通信需求的另一5g网络切片，这些方中的每一方具有非常不同和特定的约束以及技术需求。这些网络切片基于在运营商网络中实例化的虚拟功能，这些虚拟功能实际上彼此密封，尽管它们依赖于运营商网络的相同物理资源(在装置方面以及频谱等方面)。
[0007]
虽然各种网络切片可以被设计为根据它们被分配给的第三方的需求来激活或相反地停止一些网络功能，但是其他功能仍然在这些网络切片之间保持共享，并且在5g电信网络的架构的当前保留版本(“阶段1”)中在网络切片“外部”(也就是说，在选择实际网络切片之前)实施。因此，例如，在选择与这些装置相关联的网络切片的上游、将装置附接到运营商网络期间，执行特定于每个接入网络的接入认证和控制。换言之，只有在已经有效地执行了已经预订与第三方的网络连接的装置的认证时，才操作与该第三方相关联的网络切片的选择。
[0008]
因此，可以理解，由于第三方可能具有非常不同和特定的需求，因此这样的架构不一定很好地适应，并且在任何情况下都缺乏灵活性。


技术实现要素：

[0009]
本发明特别允许通过提出一种用于管理通信装置到运营商网络的附接的方法来克服该缺点，以便受益于由第三方经由运营商网络提供的网络连接，所述方法包括：
[0010]-从所述通信装置接收对于附接到所述运营商网络的请求、和所述第三方的标识符的步骤；
[0011]-使用所述第三方的标识符来获得用于控制对由所述运营商分配给所述第三方的网络切片的接入的实例化的软件控制网关的一条联系信息的步骤，该条联系信息包括所述软件控制网关的可达性地址、或被分配给所述第三方并且由所述软件控制网关控制对其的接入的所述网络切片的标识符；以及
[0012]-向所述装置发送包含所述一条联系信息的消息并使用该条联系信息邀请所述通信装置附接到所述软件控制网关的步骤。
[0013]
对应地，本发明还旨在一种软件网络实体，被实例化以管理至少一个通信装置到运营商网络的附接，以便受益于由第三方经由运营商网络提供的网络连接，该软件网络实体包括：
[0014]-接收模块，能够从所述通信装置接收对于附接到所述运营商网络的请求和所述第三方的标识符；
[0015]-获得模块，被配置为使用所述第三方的标识符从用于控制对由所述运营商分配给所述第三方的网络切片的接入的实例化的软件控制网关获得一条联系信息，该条联系信息包括所述软件控制网关的可达性地址、或由所述运营商分配给所述第三方并且由所述软件控制网关控制对其的接入的所述网络切片的标识符；以及
[0016]-发送模块，被配置为向所述通信装置发送包含所述一条联系信息的消息，并使用该条联系信息邀请所述通信装置附接到所述软件控制网关。
[0017]
本发明还涉及一种计算机系统，包括：
[0018]-根据本发明的软件网络实体，被实例化以管理至少一个通信装置到运营商网络的附接，以便受益于由第三方经由运营商网络提供的网络连接；以及
[0019]-实例化的软件控制网关，用于控制对分配给所述第三方的所述运营商网络的切片的接入。
[0020]
对根据本发明的计算机系统的性质没有限制。它可以是服务器、或配备有计算机和网络资源的任何其他装置，诸如例如数据中心。
[0021]
根据另一方面，本发明还涉及一种用于由通信装置接入由第三方经由运营商网络提供的网络连接的方法，该方法包括：
[0022]-请求附接到所述运营商网络的步骤，所述步骤包括提供第三方标识符；
[0023]-接收包含用于控制对由所述运营商分配给所述第三方的网络切片的接入的实例化的软件控制网关的一条联系信息的消息的步骤，该条联系信息包括所述软件控制网关的可达性地址、或由所述软件控制网关控制对其的接入的所述网络切片的标识符，所述消息邀请所述通信装置附接到所述软件控制网关；
[0024]-使用所述一条联系信息请求从所述软件控制网关附接的步骤；以及
[0025]-由所述通信装置经由分配给所述第三方的所述运营商网络的切片来接入网络连接的步骤。
[0026]
对应地，本发明还涉及一种通信装置，包括：
[0027]-第一请求模块，被配置为请求附接到运营商网络以便受益于由第三方经由所述运营商网络提供的网络连接，所述请求模块被配置为提供所述第三方的标识符；
[0028]-接收模块，能够从用于控制对由所述运营商分配给所述第三方的网络切片的接入的实例化的软件控制网关接收包含一条联系信息的消息，该条联系信息包括所述软件控制网关的可达性地址、或由所述软件控制网关控制对其的接入的所述网络切片的标识符，所述消息邀请所述装置附接到所述软件控制网关；
[0029]-第二请求模块，被配置为使用所述一条联系信息请求从所述软件控制网关的附接；以及
[0030]-接入模块，被配置为接入所述运营商网络切片，并且经由分配给所述第三方的所述运营商网络切片向所述通信装置提供网络连接。
[0031]
对本发明应用到的通信装置的性质没有限制。它可以是具有经由网络(无论该网络如何，例如无线、移动、短程等)进行通信的手段的任何类型的对象，诸如例如连接的对象(例如iot对象，诸如连接的灯泡、连接的车辆等)、数字平板电脑、电话等。
[0032]
因此，本发明提出将受益于由第三方经由运营商网络供给的网络连接的通信装置的接入控制和认证、与由网络运营商执行的网络功能解耦。该方案允许在向第三方开放该网络的上下文中增加运营商网络架构的灵活性，并为第三方供给使所实施的接入控制适应其需求的可能性。实际上，得益于本发明，所实施的策略以及接入控制和认证机制不再由通信装置用于接入运营商网络所使用的接入技术强加和限制，而是可以由第三方自己与网络运营商协作根据其特定需求来定义和选择。换言之，在嵌入网络连接的通信装置由不同于网络运营商的第三方管理的上下文中，本发明允许向这些第三方供给控制用于接入分配给它们的网络切片的规则的可能性。
[0033]
为此，本发明有利地基于用于受益于运营商网络中的网络切片的每个第三方的软件接入控制网关的实例化，运营商网络在通信装置尝试附接到网络时将通信装置返回到该软件访问控制网关以便获得网络连接。更具体地，与第三方相关联的每个软件接入控制网关被实例化以控制对分配给该第三方的网络切片的接入。根据本发明，在选择受所讨论的通信装置的附接请求影响的网络切片之后，因此执行通信装置的接入控制和认证。因此，它们可以由第三方选择，由于专用于第三方的软件控制网关，第三方可以定义其自己的认证会话(即，为该认证保留的标准、算法等)，而不依赖于网络运营商在这方面做出的选择。根据本发明的管理方法优选地在没有通信装置与运营商网络的预先认证的情况下实施。
[0034]
因此，本发明实施起来相对简单，并且特别适合于向第三方开放电信网络的当前上下文。
[0035]
此外，软件功能(软件网络实体和软件控制网关)的使用为第三方供给了动态地适配和/或更新其希望应用于其管理网络连接的通信装置的接入控制策略的可能性。特别是，它可以容易地添加接入控制机制或修改由这些机制应用的规则等。本发明在接入控制的定义中提供了很大的灵活性，其不需要费力的干预来添加/删除/修改所实施的接入控制：由软件控制网关执行的计算机代码的简单修改就足够了。
[0036]
此外，这些各种软件功能可以容易地由计算机系统实施，这极大地简化了网络架构所基于的基础结构。如前所述，在特定实施例中，该计算机系统可以是数据中心，并且控
制网关和网络实体可以是由依赖于该数据中心的计算机资源和网络的虚拟机(这然后被称为虚拟控制网关和虚拟网络实体)执行的功能。
[0037]
由于在请求附接时由通信装置向运营商网络传送的第三方的标识符，使得能够选择与向通信装置提供网络连接的提议(offer)的第三方(以及因此控制对该网络切片的接入的网关)对应的网络切片。
[0038]
在特定实施例中，在由通信装置发送到网络的附接请求中提供第三方的标识符。
[0039]
由于该标识符，网络可以容易地标识引导通信装置附接到哪个软件控制网关。
[0040]
对该标识符的性质没有限制：它可以是在附接通信装置时未加密或加密地传送到网络的名称、代码或任何字母数字串、密码密钥(例如公共加密密钥)等。
[0041]
可替代地，第三方的标识符可以由通信装置在网络和通信装置之间建立的交换期间作为其附接请求的一部分来提供。例如，它可以是从嵌入在通信装置中的加密材料实施的、并由第三方提供给运营商网络的随机质询的对象。
[0042]
在特定实施例中，所述管理方法包括：
[0043]-预备步骤，实例化所述软件控制网关以执行计算机代码，所述计算机代码实施由所述第三方定义的用于控制对由所述运营商分配给所述第三方的所述网络切片的接入的功能；以及
[0044]-在数据库中与实例化的所述软件控制网关的可达性地址(例如，用于统一资源定位符的url、或用于统一资源标识符的uri、或指针)相关联地、或者与由所述运营商分配给所述第三方的所述网络切片的标识符相关联地存储所述第三方的标识符的步骤。
[0045]
在该实施例中，在从已经预订与第三方的网络连接的通信装置接收到任何附接请求之前，实例化对分配给第三方的网络切片执行接入控制的软件控制网关。例如，当第三方同意网络运营商从网络切片中受益以向其管理的通信装置提供网络连接时，可以执行与第三方相关联的控制网关的实例化。这允许加速由第三方管理的通信装置发出的附接请求的处理。
[0046]
在另一实施例中，在从通信装置接收到附接请求之后，动态地实例化软件控制网关，以执行实施用于控制对由运营商分配给第三方的网络切片的接入的由第三方定义的功能的计算机代码，该计算机代码通过借助于第三方的标识符查询软件网络函数库来获得。
[0047]
具体而言，当运营商网络接收到从由第三方管理的通信装置发出的第一请求时，可以实例化附接到第三方的软件控制网关。
[0048]
在特定实施例中，该管理方法由被托管在被称为邻近数据中心的数据中心中的软件网络实体实施，所述邻近数据中心还托管软件控制网关和接入网络的接入点，所述通信装置连接到所述接入点，并且所述通信装置使用所述接入点来接入所述运营商网络。
[0049]
这样的接入点例如是基站，也就是说用于4g无线电技术的节点enodeb、或用于5g无线电技术的gnodeb。然后，软件网络实体和软件控制网关可以自治地实施，或者依赖于接入点已经执行的一些功能。
[0050]
对应地，根据本发明的数据中心可以包括接入网络的接入点，所述通信装置连接到所述接入点，并且所述通信装置使用所述接入点来接入所述运营商网络。
[0051]
在该实施例中，本发明提出了一种创新的方案，该方案定义了一种最小化接入网络架构，该架构能够实施支持向第三方开放该网络所必需的网络的主要功能，而无需预先
定义核心网络。该方案基于解耦，迄今为止在网络架构的设计中很少考虑解耦，但是其允许增加整个架构的灵活性。该实施例进一步极大地简化了运营商核心网络的架构，减轻了在接入网络处的网络边缘处执行的功能。
[0052]
此外，如上所述，软件功能的使用允许简化对每个网络切片执行的接入控制的可能更新。
[0053]
在特定实施例中，管理方法和/或接入方法的各个步骤由计算机程序指令确定。
[0054]
因此，本发明还涉及信息介质上的计算机程序，该程序能够在软件网络实体中、在通信装置中或更一般地在计算机中实施，该程序包括适于实施如上所述的管理方法或接入方法的步骤的指令。
[0055]
该程序可以使用任何编程语言，并且可以是源代码、目标代码、或源代码和目标代码之间的中间代码的形式，诸如部分编译的形式，或任何其他期望的形式。
[0056]
本发明还涉及计算机可读的信息或记录介质，并且包括如上所述的计算机程序的指令。
[0057]
信息或记录介质可以是能够存储程序的任何实体或装置。例如，介质可以包括储存部件，诸如rom，例如cdrom或微电子电路rom，或者磁记录部件，例如硬盘。
[0058]
另一方面，信息或记录介质可以是诸如电信号或光信号的可传输介质，其可以经由电缆或光缆、通过无线电或通过其他手段来传递。根据本发明的程序尤其可以从互联网类型的网络下载。
[0059]
可替代地，信息或记录介质可以是合并有程序的集成电路，该电路适于执行所讨论的方法或在执行所讨论的方法时使用。
[0060]
本发明还涉及一种通信系统，包括：
[0061]-根据本发明的通信装置，已经预订了由第三方经由运营商网络切片提供的网络连接；
[0062]-根据本发明的软件网络实体，被实例化以管理该装置到运营商网络的附接，以便受益于所述网络连接；以及
[0063]-实例化的软件控制网关，用于控制对分配给所述第三方的所述运营商网络切片的接入。
[0064]
在其他实施例中，还可能考虑根据本发明的管理方法、软件网络实体、接入方法、通信装置和系统组合具有上述特征的全部或部分。
附图说明
[0065]
本发明的其它特征和优点将从下面参考附图给出的描述中显现，附图图示了本发明的示例性实施例，而没有任何限制性质。在附图中：
[0066]-图1示意性地示出特定实施例中根据本发明的通信系统；
[0067]-图2和图3示出特定实施例中根据本发明的数据中心和通信装置的硬件架构；
[0068]-图4示出特定实施例中根据本发明的管理方法和接入方法的主要步骤。
具体实施方式
[0069]
图1在其环境中示出了根据本发明的通信系统1，在特定实施例中，其允许通信装
置2受益于由第三方3rd经由运营商(op)网络nw供给的网络连接。网络nw在这里例如是5g电信网络。然而，该假设本身不是限制性的，并且可以考虑其它类型的电信网络，诸如有线通信网络(光纤或adsl)。
[0070]
第三方在这里指与网络nw运营商op不同的任何方，其与运营商op达成协议，向其授予网络nw的虚拟切片(表示为sli(3rd))，由第三方管理的通信装置可以接入该虚拟切片，以便与其它装置进行通信并受益于网络连接，换言之，接入连接到相同网络切片的第三方的所有资源，以及可能经由互联网网络或经由其它虚拟网络切片接入其它资源。这样的第三方例如是所考虑的通信装置的制造商。如前所述，网络的切片指定一组资源，包括网络功能和托管这些网络功能的硬件基础架构，当以适当的方式组合时，允许创建满足给定质量和性能要求(在这种情况下，由第三方定义的那些)的网络介质。
[0071]
对通信装置2的性质没有附加限制。它可以是无线地进行通信的任何类型的对象，也就是说，其嵌入网络连接模块以与其它装置进行通信，也就是说，这里是用于连接到网络nw的部件(如卡、通信接口等)。这样的通信对象例如是连接的对象，诸如连接的车辆、连接的灯泡等、数字平板电脑、电话等。更具体地，这里的焦点在于位于由通信装置2嵌入的网络连接模块中的认证软件由第三方3rd而不是由网络nw运营商op设计的情况。
[0072]
根据本发明，通信系统1包括托管根据本发明的软件网络实体4的计算机系统3(包括一个或多个计算机)、以及为第三方3rd控制对由运营商op分配给第三方的网络nw的切片sli(3rd)的接入而实例化的软件控制网关5(3rd)。
[0073]
在图1中考虑的实施例中，计算机系统3是被称为邻近数据中心的数据中心，其位于网络nw的外围，并且更具体地位于由通信装置2用来接入网络nw的无线电接入网络处。
[0074]
此外，软件控制网关5(3rd)和软件网络实体4在这里是由数据中心3的虚拟机执行的虚拟功能。这样的虚拟功能以已知的方式看到在其上托管它们的系统的物理资源的抽象，并且不直接在这些物理资源上运行。这样的抽象允许多个虚拟机共享系统的物理资源。然而，应当注意，该假设不是限制性的：控制网关和网络实体通常是软件功能，而不管是否使用计算机资源虚拟化技术。虚拟化有助于实施这样的软件功能，但不是本发明的先决条件。其它技术，诸如osgi(开放服务网关计划)技术，可以替代地用于实施本发明并实例化控制网关和软件网络实体。
[0075]
更具体地，在本文描述的实施例中，数据中心3还集成了硬件元件(例如计算机服务器；到无线电天线的数字链路)和通常在接入网络的接入点(由附图标记6全局表示)中包括的软件功能，在蜂窝网络的上下文中也更通常地被称为基带单元(bbu)。对严格来说由接入点6(特别是与通信装置2通信)实施的无线电接入技术没有附加限制：它可以是蜂窝接入技术、wifi等。
[0076]
注意，在图1中考虑的示例中，接入点6和软件网络实体4被表示为自治实体。然而，在替代实施例中，根据本发明的软件网络实体4可以通过重用由接入点6实施的一些功能来实施，由附加的计算机代码指令补充，以便实现其根据本发明的软件网络实体的功能。
[0077]
在本文描述的实施例中，数据中心3具有如图2所示的计算机的硬件架构。
[0078]
它特别包括处理器7、随机存取存储器8、只读存储器9、大容量存储器10(例如非易失性闪存、硬盘等)以及通信部件11，该通信部件11允许它经由接入点6与网络nw的多件装备和与通信装置2进行通信。
[0079]
在本文描述的实施例中，数据中心3的只读存储器9包含由根据本发明的软件网络实体4执行的计算机代码。只读存储器9构成根据本发明的记录介质，其可由处理器7读取，并且在其上记录根据本发明的计算机程序prog3，该计算机程序prog3包括用于执行根据本发明的管理方法的步骤的指令。这里假设针对每个第三方的实例化的接入控制网关(特别是网关5(3rd))是存储在数据中心3的大容量存储器10中的软件功能。
[0080]
这里的计算机程序prog3定义了使用或依赖于先前提到的数据中心3的硬件元件7-11的软件网络实体4的功能和软件模块。如图1所示，这些模块特别包括：
[0081]-接收模块4a，能够从诸如通信装置2的通信装置接收对于附接到运营商op的网络nw的请求、和管理通信装置2的网络连接的第三方3rd的标识符id(3rd)。对标识符id(3rd)的性质没有附加限制：它可以是诸如代码的字母数字串，或者诸如分配给第三方3rd的公共加密密钥的密码材料等；
[0082]-获得模块4b，被配置为使用第三方3rd的标识符id(3rd)，从用于控制对由运营商分配给第三方3rd的网络切片的接入的实例化的软件控制网关获得一条联系信息，换言之，这里，从软件控制网关5(3rd)获得一条联系信息。该条联系信息可以具有不同的性质，但是它允许直接或间接接入软件控制网关5(3rd)。因此，它可以例如是软件控制网关5(3rd)的可达性地址@5(3rd)，诸如url(统一资源定位符)或指向该网关的指针。它也可以是由运营商op分配给第三方3rd并且由软件控制网关控制对其的接入的网络切片sli(3rd)的表示为idsli(3rd)的标识符的变体，该标识符在数据中心3处(更具体地在接入点6处)与和第三方3rd相关联的控制网关5(3rd)的可达性地址@5(3rd)相关联；以及
[0083]-发送模块4c，被配置为向所述通信装置2发送包含所述一条联系信息(@5(3rd)或idsli(3rd))的消息，并使用该条联系信息邀请所述通信装置2附接到所述软件控制网关5(3rd)。
[0084]
稍后参考根据本发明的管理方法的步骤，更详细地描述模块4a至4c的功能。
[0085]
类似地，在本文描述的实施例中，通信装置2具有如图3所示的计算机的硬件架构。
[0086]
特别地，它包括处理器12、随机存取存储器13、只读存储器14、非易失性闪存15、以及允许它经由接入点6与网络nw的多件装备进行通信的通信部件16。
[0087]
在这里描述的实施例中，通信装置2的只读存储器14构成根据本发明的记录介质，该记录介质可由处理器12读取，并且在其上记录了根据本发明的计算机程序prog2，所述计算机程序prog2包括用于执行根据本发明的接入方法的步骤的指令。
[0088]
该计算机程序prog2在此定义了使用或依赖于上述通信装置2的硬件元件12-16的通信装置2的功能和软件模块。如图1所示，这些模块特别包括：
[0089]-第一请求模块2a，被配置为请求附接到运营商op网络nw，以便受益于由第三方3rd经由网络nw提供的网络连接，该第一请求模块2a被配置为提供第三方(3rd)的标识符id(3rd)；
[0090]-接收模块2b，能够从软件网络实体4接收包含来自用于控制对由运营商op分配给第三方3rd的网络nw的切片sli(3rd)的接入的实例化的软件控制网关5(3rd)的一条联系信息的消息，该条联系信息包括如前所示的软件控制网关5(3rd)的可达性地址@5(3rd)、或由软件控制网关5(3rd)控制对其的接入的网络切片sli(3rd)的标识符idsli(3rd)。根据本发明，该消息邀请通信装置2附接到软件控制网关5(3rd)；
[0091]-第二请求模块2c，被配置为使用所接收的一条联系信息请求从所述软件控制网关5(3rd)附接；
[0092]-认证模块2d(可选)，被配置为使用软件控制网关5(3rd)对通信装置2进行认证；以及
[0093]-接入模块2e，被配置为接入运营商op网络nw的切片sli(3rd)，并且因此经由网络nw的该切片sli(3rd)向通信装置2提供网络连接。
[0094]
现在参考根据本发明的接入方法的步骤，更详细地描述模块2a至2e的功能。
[0095]
图4以视图形式示出了在第一实施例中由软件网络实体4和由通信装置2分别实施的管理方法的主要步骤和接入方法的主要步骤。
[0096]
在图4所示的实施例中，假设在由网络nw的运营商op将虚拟网络切片sli(3rd)分配给第三方3rd之后的预备步骤期间，在邻近数据中心3中实例化控制网关5(3rd)(步骤e10)。在本文描述的实施例中，该实例化由软件网络实体4执行，向该软件网络实体4提供第三方3rd的标识符id(3rd)(以加密形式或非加密形式)，并且该软件网络实体4实例化(即创建)软件模块(在本文描述的实施例中，该软件模块是虚拟机或任何其他容器)，该软件模块用于执行定义意在应用于控制对网络切片sli(3rd)的接入的接入控制机制的计算机代码。假设该机制已经由第三方3rd(与运营商op一致)选择或预定义，并且以由软件网络实体4使用的计算机代码的形式编码以实例化网关5(3rd)。该计算机代码例如在与第三方3rd的标识符id(3rd)相关联的第三方软件网络函数(在本文描述的实施例中的虚拟网络函数)的库中可用。该函数库可以存储在数据中心3处或另一数据中心中(例如，在如前所述的位于网络nw中的中心式数据中心中)。
[0097]
可替代地，网关5(3rd)可以由除软件网络实体4之外的实体实例化，诸如例如通过用于管理在数据中心3中实例化的并且如etsi提出的mano(nfv管理和编排)项目中所描述的软件网络功能的功能。在网关5(3rd)的实例化结束时，将标识符id(3rd)提供给软件网络实体4。
[0098]
在网关5(3rd)的实例化之后，软件网络实体4在例如其非易失性存储器10中包含的表中存储与最近实例化的网关5(3rd)的一条联系信息相关联的第三方3rd的标识符id(3rd)(步骤e20)。在本文描述的实施例中，该条联系信息是网关5(3rd)的可达性地址@5(3rd)，诸如url、或指向对网关5(3rd)进行实例化的软件模块的指针。
[0099]
可替代地，该条联系信息可以是由运营商op分配给第三方3rd的网络切片sli(3rd)的标识符idsli(3rd)。
[0100]
现在假设通信装置2希望附接到网络nw以便受益于由第三方3rd供给(和管理)的网络连接。以本身已知的方式，通信装置到网络的附接指定了常规地允许装置与到该网络的接入点建立初始连接的过程(例如，在装置关机之后等)。这样的过程可以包括例如对通信装置进行认证、对其服务配置文件(及其权限)进行检索、对装置的位置进行记录以允许将数据路由到该装置等。
[0101]
为此，通信装置2经由其第一请求模块2a和接入点6发送对于附接到由attach-nw指定的网络nw的请求(步骤e30)。这里，该附接请求包含向其提供网络连接的第三方3rd的标识符id(3rd)，并且由软件网络实体4经由其接收模块4a接收或拦截。可以在寻址到网络nw的附接请求中未加密或加密地提供标识符id(3rd)。
[0102]
可替代地，标识符id(3rd)可以不直接在附接请求attach-nw中提供给软件网络实体4，而是在软件网络实体4接收到附接请求attach-nw之后、在软件网络实体4和通信装置2之间建立的交换期间提供给软件网络实体4。例如，标识符id(3rd)可以是从通信装置2中的嵌入式加密装备(例如，如果第三方3rd具体而言是通信装置2的制造商，则从第三方3rd)在软件网络实体4和通信装置2之间实施的、并且先前由第三方3rd提供给软件网络实体4的、质询或随机质询的对象。
[0103]
通过使用附接请求中包含的第三方的标识符id(3rd)，软件网络实体4借助于其获得模块4b获得用于控制对分配给第三方3rd的网络切片sli(3rd)的接入的实例化的控制网关5(3rd)的一条联系信息(步骤e40)。在这里描述的实施例中，该条联系信息是与标识符id(3rd)相关联地存储在其非易失性存储器10中的地址@5(3rd)。
[0104]
注意，软件网络实体4可以将附接请求attack-nw重新路由到控制网关5(3rd)以执行附加检查，并且例如执行第一级接入控制(例如基于由控制网关5(3rd)授权并传送到网络实体4的mac地址列表等)。如果该第一级接入控制对于通信装置2是肯定的，则网络实体4可以向其提供令牌，该令牌随后将用作对控制网关5(3rd)的该先前授权的证明。这允许过滤附接请求。
[0105]
然后，软件网络实体4通过其发送模块4c来发送包含控制网关5(3rd)的一条联系信息@5(3rd)的表示为invit的消息作为对附接请求attach-nw的响应，并通过使用所传送的一条联系信息来邀请通信装置2附接到控制网关5(3rd)(也就是说，特别是与控制网关5(3rd)建立连接并随后利用其进行认证)(步骤e50)。
[0106]
可替代地，如前所述，由软件网络实体4获得的网关5(3rd)的一条联系信息可以是分配给第三方3rd的网络切片sli(3rd)的标识符idsli(3rd)，并且软件实体4邀请通信装置2在该标识符idsli(3rd)上连接以便附接到管理和控制对该网络切片的接入的控制网关5(3rd)。
[0107]
在经由其接收模块2b接收到消息invit时，通信装置2经由其第二请求模块2c使用可达性地址@5(3rd)来向控制网关5(3rd)发送表示为attach-gw的附接请求(步骤e60)。该附接请求通过接入点6；因此，为了允许打算送到控制网关5(3rd)的附接请求由接入点6正确地路由到后者，通信装置2的第二请求模块2c可以在附接请求中包括允许接入点6标识要联系的实体的地址@5(3rd)。
[0108]
可替代地，如果通信装置2接收到的一条联系信息是分配给第三方3rd的虚拟网络切片的标识符idsli(3rd)，则通信装置2的第二请求模块2c可以在附接请求中包括标识符idsli(3rd)，然后接入点6使用该标识符来确定要联系的实体的地址@5(3rd)。为此，接入点6可能先前已默认配置有与第三方3rd相关联的并且被实例化以控制对由idsli(3rd)标识的网络切片的接入的控制网关5(3rd)的地址@5(3rd)。例如，进行该默认配置，使得接入点6将在由idsli(3rd)标识的网络切片上传达的所有消息寻址到所讨论的网关。
[0109]
在本文描述的实施例中，在接收到附接请求attack-gw时，控制网关5(3rd)发起与通信装置2的认证会话，以便对后者进行认证(步骤e70)。对在该认证会话期间实施的用于对通信装置2进行认证的部件没有限制。因此，例如，通信装置的认证可以经由登录名和密码的交换、或者经由非对称或对称密码机制来完成。要使用的认证机制可能已经在通信装置2和第三方3rd之间预先商定(例如，当设计通信装置2或其固件时)，或者通过通信装置2
和控制网关5(3rd)之间的协商来动态地选择。换言之，由于本发明，特别是经由用于第三方3rd的实例化的控制网关，第三方3rd可以定义其自己的认证机制(而不经过网络运营商)。
[0110]
可替代地，控制网关不实施通信装置2的认证机制。
[0111]
在特定实施例中，如果通信装置2的认证是肯定的，则控制网关5(3rd)生成令牌tok(2)，该令牌tok(2)包含由第三方3rd定义的接入控制规则，并且通信装置2必须遵守该接入控制规则，例如在吞吐量限制、认证的有效期等方面(步骤e80)。包含通信装置2的接入权限的这样的令牌可以例如以jwt(json网络令牌)格式生成，和/或由控制网关5(3rd)签名以便保证其来源。
[0112]
由控制网关5(3rd)生成的令牌tok(2)可以由控制网关5(3rd)发送到通信装置2，当网络实体4希望检查通信装置2的访问权限时，通信装置2又将令牌传送到软件网络实体4。
[0113]
可替代地，由控制网关5(3rd)生成的令牌tok(2)可以由控制网关5(3rd)直接提供给软件网络实体4、或在某个时刻需要控制通信装置2的接入权限的网络切片sli(3rd)的任何其他实体。
[0114]
因此，通信装置2可以经由其接入模块2e来接入专用于第三方3rd的网络切片sli(3rd)，并且受益于经由网络nw的网络连接(步骤e90)。软件网络实体4在接收到意在用于通信装置2或由通信装置2发出的消息时，由于令牌tok(2)的内容，因此可以检查这些消息是否满足由第三方3rd定义的并且通信装置2必须遵守的接入控制规则。
[0115]
在另一变型中，控制网关5(3rd)不生成令牌tok(2)，而是用通信装置2必须遵守的接入控制规则或更一般地用通信装置2的接入权限，来配置软件网络实体4或接入点6的接口。
[0116]
在另一变型中，由通信装置2发出的所有消息可以通过控制网关5(3rd)，除了接入控制功能之外，控制网关5还可以确保用于这些消息的路由功能。特别是，它们可以由网关直接发送到由第三方3rd管理的网络。该网络可以具有任何性质，诸如例如以太网(在这种情况下，网关5(3rd)充当该网络上的以太网交换机)。
[0117]
在刚刚描述的第一实施例中，甚至在由第三方3rd管理的通信装置向控制网关5(3rd)发送附接请求之前，在先前步骤e10期间实例化控制网关5(3rd)。
[0118]
在第二实施例中，可以在例如接收到由第三方3rd管理的通信装置2的第一附接请求之后动态地实例化控制网关5(3rd)。在该实施例(其在步骤e30之前不包括图4所示的步骤e10和e20)中，在从通信装置2接收到包含第三方3rd的标识符id(3rd)的附接请求attack-nw之后，软件网络实体4检查第三方3rd的标识符id(3rd)是否在其非易失性存储器10中与接入控制网关的一条联系信息(可达性地址或网络切片标识符)相关联。
[0119]
如果是这种情况，则这意味着已经为网络切片sli(3rd)和第三方3rd实例化了接入控制网关5(3rd)。然后，与先前参考图4和第一实施例已经描述的步骤相同地执行步骤e40至e90。
[0120]
或者，在本文描述的第二实施例中，软件网络实体4查询第三方网络函数库，以获得与标识符id(3rd)相关联的、并且定义意在由接入控制网关5(3rd)实施以控制对网络切片sli(3rd)的接入的接入控制功能的计算机代码。例如，该库可以位于如上所述的数据中心3内，或者位于网络nw中的中心式数据中心中。
[0121]
对应于标识符id(3rd)的计算机代码由库发送到软件网络实体4。
[0122]
在接收到该计算机代码时，软件网络实体引导接入控制网关5(3rd)的实例化。更具体地，它实例化(即，创建)软件模块(诸如本文描述的实施例中的虚拟机或任何其他容器)以执行从网络函数库获得的计算机代码。
[0123]
可替代地，网关5(3rd)可以由除软件网络实体4之外的实体实例化，诸如例如通过用于管理在数据中心3中实例化的并且如etsi提出的mano(nfv管理和编排)项目中所描述的软件网络功能的功能。在网关5(3rd)的实例化结束时，将标识符id(3rd)提供给软件网络实体4。
[0124]
然后，步骤e20和e40至e90以类似于先前针对第一实施例已经描述的方式来实施。