用于无线网络中核心网设备重分配的方法与流程-尊龙凯时官方app下载

文档序号:36175610发布日期:2023-11-25 01:16阅读:127来源:国知局
用于无线网络中核心网设备重分配的方法与流程
用于无线网络中核心网设备重分配的方法、设备及系统
技术领域
1.本公开涉及通信网络中的核心网设备的终端设备认证和授权



背景技术:

2.在通信网络中,用户设备
(user equipment

ue)
需要连接到核心网设备,诸如接入和移动性管理功能
(access and mobility management function

amf)
,以便从核心网获得服务


ue
试图与核心网设备建立安全通信链路时,需要对包括
ue
与核心网设备之间的相互认证在内的交互进行加密和完整性保护



技术实现要素:

3.本公开涉及执行向核心网的
ue
认证和注册,并且具体地,涉及当
ue
从初始
amf
被重分配给目标
amf
时,支持
ue
与初始
amf
以及目标
amf
之间的安全交互

4.在一些实施方式中,公开了一种用于在通信网络中执行
ue
从初始核心网元到目标核心网元的安全重分配的方法

该方法可以由初始核心网元执行,并且可以包括:从第一网元接收第一消息,所述第一消息包括候选核心网元列表;从所述候选核心网元列表中选择所述目标核心网元;以及,基于所述目标核心网元为所述
ue
生成
5g
全球唯一临时标识符
(5g global unique temporary identifier

5g-guti)
,所述
ue
在发起第一注册请求后使用所述
5g-guti
发起第二注册请求

5.在另一些实施方式中,公开了一种设备

该设备主要包括一个或多个处理器,其中,所述一个或多个处理器被配置为实现上述方法中的任意一种

6.在又一些实施方式中,公开了一种计算机程序产品

所述计算机程序产品可包括其上存储有计算机代码的非暂时性计算机可读程序介质,所述计算机代码在被一个或多个处理器执行时,使得所述一个或多个处理器实现上述方法中的任意一种

7.在下文的附图

说明书和权利要求中更详细地阐明了上述实施例及其实施方式的其它方面和替代方案

附图说明
8.图1示出了包括终端设备

运营商网络

数据网络和服务应用的示例性通信网络

9.图2示出了通信网络中的示例性网络功能或网络节点

10.图3示出了无线通信网络中的示例性网络功能或网络节点

11.图4示出了用于从初始
amf
到目标
amf

ue
重分配的示例性逻辑流程

具体实施方式
12.图1中示为
100
的示例性通信网络可以包括终端设备
110

112、
运营商网络
102、
各种服务应用
140
和其它数据网络
150。
运营商网络
102
可以包括例如接入网
120
和核心网
130。
运营商网络
102
可以被配置为在终端设备
110

112
之间

在终端设备
110

112
与服务应用
140
之间

或者在终端设备
110

112
与其它数据网络
150
之间传输语音

数据和其它信息
(
统称为数据流量
)。
可以为这种数据传输建立和配置通信会话和对应的数据路径

接入网
120
可被配置为向终端设备
110

112
提供对核心网
130
的网络接入

接入网
120
可支持经由无线资源的无线接入,或者可支持有线接入

核心网
130
可以包括各种网络节点或网络功能,这些网络节点或网络功能被配置为控制通信会话并执行网络接入管理和数据流量路由

服务应用
140
可以由各种应用服务器托管,这些应用服务器可以由终端设备
110

112
通过运营商网络
102
的核心网
130
访问

服务应用
140
可以被部署为核心网
130
之外的数据网络

类似地,其它数据网络
150
可以由终端设备
110

112
通过核心网
130
访问,并且可以表现为在运营商网络
102
中实例化的特定通信会话的数据目的地或数据源

13.图1中的核心网
130
可以包括各种网络节点或功能,这些网络节点或功能在地理上分布且互连,以提供运营商网络
102
的服务区域的网络覆盖

这些网络节点或功能可以被实现为专用硬件网元

或者,这些网络节点或功能可以被虚拟化并被实现为虚拟机或软件实体

每个网络节点可以配置有一种或多种类型的网络功能

这些网络节点或网络功能可共同提供核心网
130
的配置和路由功能

在本公开中,术语“网络节点”和“网络功能”可互换

14.图2进一步示出了通信网络
200
的核心网
130
中的网络功能的示例性划分

虽然图2中仅示出了网络节点或功能的单个实例,但本领域普通技术人员理解,这些网络节点中的每一个可以被实例化为分布在整个核心网络
130
中的

网络节点的多个实例

如图2所示,核心网
130
可以包括但不限于诸如接入管理网络节点
(access management network node

amnn)230、
认证网络节点
(authentication network node

aunn)260、
网络数据管理网络节点
(network data management network node

ndmnn)270、
会话管理网络节点
(session management network node

smnn)240、
数据路由网络节点
(data routing network node

drnn)250、
策略控制网络节点
(policy control network node

pcnn)220
和应用数据管理网络节点
(application data management network node

admnn)210
等网络节点

在各种类型的网络节点之间通过各种通信接口进行的示例性信令和数据交换由图2中的各种实连接线表示

这种信令和数据交换可以通过遵循预定格式或协议的信令或数据消息来进行

15.以上在图1和图2中描述的实施方式可以应用于无线通信系统和有线通信系统这两者

图3示出了基于图2中的通信网络
200
的一般实施方式的示例性蜂窝无线通信网络
300。
图3示出了无线通信网络
300
可以包括用户设备
(ue)310(
用作图2中的终端设备
110)、
无线接入网
(radio access network

ran)320(
用作图2中的接入网
120)、
数据网络
(data network

dn)150
和核心网
130
,其中,该核心网
130
包括接入管理功能
(access management function

amf)330(
用作图2中的
amnn 230)、
会话管理功能
(session management function

smf)340(
用作图2中的
smnn 240)、
应用功能
(application function

af)390(
用作图2中的
admnn 210)、
用户面功能
(user plane function

upf)350(
用作图2中的
drnn 250)、
策略控制功能
322(
用作图2中的
pcnn 220)、
认证服务器功能
(authentication server function

ausf)360(
用作图2中的
aunn 260)、
以及通用数据管理
(universal data management

udm)
功能
370(
用作图2中的
udmnn 270)。
同样,虽然图3中仅示出了无线通信网络
300(
特别是核心网
130)
的一些网络功能或节点的单个实例,但本领域普通技术人员理解,这些网络节点或功能中的每一个可以具有分布在整个无线通信网络
300
中的多个实例

16.在图3中,
ue 310
可以实现为被配置为通过
ran 320
访问核心网
130
的各种类型的
移动设备
。ue 310
可以包括但不限于移动电话

膝上型计算机

平板电脑

物联网
(internet-of-things

iot)
设备

分布式传感器网络节点

可穿戴设备等
。ue
也可以是支持边缘计算的

具有多接入边缘计算
(multi-access edge computing

mec)
能力的
ue。ran 320
例如可以包括分布在运营商网络的所有服务区域的多个无线基站
。ue 310

ran 320
之间的通信可以在如图3中的
311
所指示的空中
(over-the-air

ota)
无线接口中进行

17.继续参照图3,
udm 370
可以形成用于用户合同和订阅数据的永久存储器或数据库
。udm
还可以包括认证凭证存储库和处理功能
(authentication credential repository and processing function

arpf
,如图3中的
370
所示
)
,用于存储用于用户认证的长期安全凭证,且用于使用这种长期安全凭证作为输入来执行如下文详述的加密密钥的计算

为了防止
udm/arpf
数据遭到未经授权的泄露,可以将
udm/arpf 370
放置于网络运营商或第三方的安全网络环境中

18.amf/seaf 330
可以通过通信接口与
ran 320、smf 340、ausf 360、udm/arpf 370

pcf 322
通信,这些通信接口由连接这些网络节点或功能的各种实线指示
。amf/seaf 330
可以负责
ue
到非接入层
(non-access stratum

nas)
的信令管理,并负责配置
ue 310
到核心网
130
的注册和接入

以及对
smf 340
的分配以支持特定
ue
的通信需求
。amf/seaf 330
还可以负责
ue
移动性管理
。amf
还可以包括安全锚功能
(security anchor function

seaf
,如图3的
330
所示
)
,如下文详述的,该安全锚功能与
ausf 360

ue 310
交互以用于用户认证和各种级别的加密
/
解密密钥的管理
。ausf 360
可以终止来自
amf/seaf 330
的用户注册
/
认证
/
密钥生成请求,并与
udm/arpf 370
交互以完成此类用户注册
/
认证
/
密钥生成

19.smf 340
可以由
amf/seaf 330
分配给在无线通信网络
300
中实例化的特定通信会话
。smf 340
可负责分配
upf 350
以支持用户数据平面中的通信会话和其中的数据流,并负责配置
/
调节所分配的
upf 350(
例如,用于为所分配的
upf 350
制定数据包检测和转发规则
)。
除了由
smf 340
分配之外,
upf 350
还可以由
amf/seaf 330
分配给特定的通信会话和数据流


smf 340

amf/seaf 330
分配和配置的
upf 350
可负责数据路由和转发,并负责上报特定通信会话的网络使用情况

例如,
upf 350
可以负责在
ue 310

dn 150
之间
、ue 310
与服务应用
140
之间路由端到端数据流
。dn 150
和服务应用
140
可以包括但不限于由无线通信网络
300
的运营商或由第三方数据网络和服务提供商提供的数据网络和服务

20.pcf 322
可以负责管理并向
amf/seaf 330

smf 340
提供适用于与
ue 310
相关联的通信会话的各种级别的策略和规则

因此,
amf/seaf 330
例如可以根据从
pcf 322
获得的与
ue 310
相关联的策略和规则,为通信会话分配
smf 340。
同样地,
smf 340
可以根据从
pcf 322
获得的策略和规则来分配
upf 350
,以处理通信会话的数据路由和转发

21.虽然图
1-图3和下文描述的各种示例性实施方式是基于蜂窝无线通信网络的,但本公开的范围不限于此,其基本原理适用于其它类型的无线和有线通信网络

22.图3的无线通信网络
300
中的网络身份和数据安全性可以通过由
amf/seaf330、ausf 360

udm/arpf 370
提供的用户认证过程来管理

具体地,
ue 310
可以首先与
amf/seaf 330
通信以进行网络注册,然后
ue 310
可以由
ausf 360
根据
udm/arpf 370
中的用户合同和订阅数据来认证

在向无线通信网络
300
进行用户认证之后为
ue 310
建立的通信会话可以由各种级别的加密
/
解密密钥来保护

各种密钥的生成和管理可以由通信网络中的
ausf 360
和其它网络功能协调

23.在通信网络中,一个关键特征是网络切片

网络切片功能支持在同一物理网络基础设施上对虚拟化且独立的逻辑网络的复用

每个逻辑网络
(
也称为网络切片
)
可以是隔离的端到端网络,该网络被定制为服务于具有相应服务级别要求的特定应用

网络切片可以由不同的供应商提供

例如,云计算供应商可以提供网络切片以满足
ue
的计算需求;媒体公司可以提供网络切片以支持实时视频流服务

从安全需求的一个方面来看,网络切片之间需要隔离;并且,网络切片之间的交互,不管是直接交互还是间接交互,都需要减少或消除

24.ue(
或用户
)
可以向服务运营商订阅一个或多个网络切片

例如,物联网
(iot)ue
可以订阅支持非常低吞吐量但大量设备的网络切片;被配置用于车辆通信的
ue
可以订阅支持具有极低时延和超高可靠性的数据传输的网络切片


ue
建立与
(
无线
)
接入网
((r)an)
网元
(
例如,
gnodeb(gnb))
的连接时,
ue
会在注册过程中请求一个或多个订阅的网络切片


gnb
为例,
gnb
选择初始
amf
来支持
ue。
初始
amf
查询
udm
,以检索
ue
订阅的网络切片

初始
amf
还可以确定
ue
在当前注册区域中所允许的网络切片

如果初始
amf
本身不支持
ue
所请求的所有网络切片,则初始
amf
可以从网络切片选择功能
(network slice selection function

nssf)
寻求帮助,以选择另一合适的
amf(
也称为目标
amf)
,其可以满足
ue
的网络切片订阅
。nssf
为设备提供一个或多个允许的网络切片,并与
nrf
一起确定候选
amf
列表

然后,
nssf
用候选
amf
列表对初始
amf
进行响应

初始
amf
从候选
amf
列表中选择目标
amf
,并指示
ue
重新开始注册过程并向目标
amf
注册

25.如上所述,在
ue
注册过程中,
ue
最初被分配给初始
amf
,并被重分配
(
或重定向
)
到目标
amf。

ue

amf
注册时,需要对消息交换进行完整性和安全性保护

在此过程中,将使用安全密钥,即密钥
amf(k
amf
)
,并在
ue

amf
之间共享该安全密钥


ue
向初始
amf
执行初始注册时,消息交换受到完整性保护和
/
或加密,并且在
ue
和初始
amf
之间建立了安全通信链路

然而,在需要将
ue
重分配给目标
amf
的情况下,目标
amf
侧的kamf

ue
侧的kamf
可能变得不一致

先前在
ue
和初始
amf
之间建立的安全通信链路可能不再适用于
ue
和目标
amf。
因此,要么
1)ue
和目标
amf
之间的消息交换需要在没有完整性保护和
/
或加密的情况下传输;要么
2)
消息交换需要通过或借助于所连接的核心网元进行路由
(
即,使用间接连接
)。
在支持
1)
时,
ue
需要通过软件

硬件或两者进行升级,以支持没有完整性保护和
/
加密的认证消息

在支持
2)
时,使用核心网的间接连接违背了核心网的隔离要求

26.在本公开中,公开了旨在解决上述问题的各种实施例

这些实施例不需要升级
ue
,并且支持核心网的完全的物理隔离

27.在一个实施例中,在
ue
发起第一注册请求后,初始
amf
可以检索候选
amf
列表,并从候选
amf
列表中选择目标
amf
来服务
ue。
初始
amf
基于所选择的目标
amf

ue
生成
5g-guti。
然后,初始
amf
通过使用生成的
5g-guti
请求
ue
发起第二
(
即,后续
)
注册请求

在接收到第二注册请求时,接入网络能够从例如由第二注册请求指示或承载的
5g-guti、
或由第二注册请求指示或承载的
5g-guti
的缩短形式导出目标
amf。
接入网向目标
amf
发送第二注册请求,从而
ue
完成向目标
amf
的注册

因此,
ue
被从初始
amf
重分配到目标
amf。
28.ue
重分配到目标
amf
29.图4示出了用于执行
ue
从初始
amf
到目标
amf
的安全重分配的示例性逻辑流程

具体示例性步骤由图4中的步骤1至步骤
23
示出

各种实施例可以包括这些步骤中的任意部分步骤或所有步骤

30.如图4所示,
ue 402

(
无线
)
接入网
((r)an)404
发起初始注册请求以开始注册过程
。ue
可以订阅各种网络功能或各种网络切片
。(r)an
可以包括无线接入网络,例如,
gnb、enb、nodeb、

3gpp
互通功能
(non-3gpp interworking function

n3iwf)
,或无线保真
(wifi)
网络节点,例如
wifi
基站
。(r)an
也可以包括有线接入网
。(r)an
选择初始
amf 406
并将注册请求转发给该初始
amf 406。
初始
amf
可以认证
ue
并与
ue
建立安全连接

初始
amf
还可以检索
ue
的关于网络功能和
/
或网络切片的订阅信息

在初始
amf
无法根据
ue
的订阅要求支持
ue
的情况下,初始
amf
可以通过与诸如网络切片选择功能
(nssf)414、
网络存储库功能
(network repository function

nrf)416
等的其它核心网元交互,来检索候选
amf
列表

然后,初始
amf
可以从候选
amf
列表中选择目标
amf 410。
目标
amf
的选择可以基于可配置的规则,例如,所选择的目标
amf
必须支持
ue
订阅的所有网络功能,或者
ue
订阅的一组必需网络功能

然后,初始
amf
基于目标
amf

ue
生成
5g
全球唯一临时标识符
(5g-guti)
,并将生成的
5g-guti
分配给
ue。ue
还被触发以通过使用所分配的
5g-guti
开始向目标
amf 410
的新的注册过程

31.以下是
5g-guti
的示例性格式

有关缩略语的全称,请参阅表
1。
32.《5g-guti》

《guami》《5g-tmsi》
33.其中
《guami》

《mcc》《mnc》《amf identifier》
34.并且
《amf identifier》

《amf region id》《amf set id》《amf pointer》
35.为了能够实现更高效的无线信令过程
(
例如,寻呼

服务请求

注册请求
)
,引入了
5g-guti
的缩短形式,称为
5g-s-tmsi。
下面列出了
5g-s-tmsi
的示例性格式:
36.《5g-s-tmsi》

《amf set id》《amf pointer》《5g-tmsi》
37.5g-guti

5g-s-tmsi
二者都承载
amf
信息

通过参考嵌入在
5g-guti

5g-s-tmsi
中的
amf
信息,可以导出与
ue
相关联的
amf(
例如,目标
amf)。
38.表1:缩写词
[0039][0040]
参照图4,下面详细描述为
ue
重新分配
amf
的步骤

[0041]
步骤1[0042]
ue
通过发送指示注册请求的消息来试图向网络注册

在各种实施方式中,
ue

(r)an(
例如,
gnb、enb)
发送
(send)(
例如,发送
(transmit)、
递送
)
接入网
(access network

an)
消息

在一些实施例中,
an
消息包括以下各项中的至少一项:
an
参数

注册请求
(
本文也称为
注册请求消息或
rr
消息
)、ue
策略容器

该注册请求可以包括注册类型


ue
相关联的设备标识符
(
例如,订阅隐藏标识符
(subscription concealed identifier

suci)、5g nr
全球唯一临时标识符
(5g nr global unique temporary identifier

5g-guti)、
永久设备标识符
(permanent equipment identifier

pei)

)、
上次访问的跟踪区域标识
(tracking area identity

tai)、
安全性参数

请求的网络切片选择辅助信息
(network slice selection assistance information

nssai)、[
请求的
nssai
的映射
]、
默认配置的
nssai
指示
、ue
无线能力更新
、ue
移动性管理
(mobility management

mm)
核心网能力

协议数据单元
(protocol data unit

pdu)
会话状态

待激活的
pdu
会话列表

后续请求
(follow-on request)、
仅移动发起连接
(mobile initiated connection only

mico)
模式首选项

请求的不连续接收模式
(discontinuous reception mode

drx)
参数
、[
本地数据网络-数据网络标识
(ladn dnn)
或请求
ladn
信息的指示符
]
,和
/

[nas
消息容器
]。
在一些实施例中,该
an
消息可以包括
pdu
会话身份
(pdu session identity

psi)
列表和
/
或指示
ue
对接入网发现和选择策略
(access network discovery&selection policy

andsp)
的支持的指示,以及操作系统标识符

[0043]

an
是下一代
(r)an(next generation(r)an

ng-(r)an)
的情况下,
an
参数还可以包括
5g-缩短临时移动订阅标识符
(5g shortened temporary mobile subscription identifier

5g-s-tmsi)
或全球唯一
amf
标识符
(global unique amf identifier

guami)、
选定的公共陆地移动网络
(public land mobile network

plmn)
标识
(id)
和所请求的
nssai

an
参数还包括建立原因

该建立原因提供了请求建立无线资源控制
(radio resource control

rrc)
连接的原因
。ue
是否以及如何将请求的
nssai
作为
an
参数中的一部分而包括在内取决于接入层连接建立
nssai
包含模式参数
(access stratum connection establishment nssai inclusion mode)
的值

[0044]
注册类型指示
ue
是否想要执行初始注册
(
即,
ue
处于注册管理已注销
(registration management de-registered

rm-deregistered)
状态
)、
移动性注册更新
(
即,
ue
处于注册管理已注册
(registration management registered

rm-registered)
状态,并且
ue
由于移动性或者由于以下原因而启动注册过程:
ue
需要更新其能力或协议参数

或者需要请求改变其被允许使用的网络切片集合
)、
定期注册更新
(
即,
ue
处于
rm-registered
状态,并且
ue
由于定期注册更新定时器到期而启动注册过程
)
或者紧急注册
(
即,
ue
处于有限服务状态
)。
[0045]

ue
执行初始注册时,
ue
在注册请求消息中使用以下各项中的一项来指示其
ue
身份:
[0046]
a)

ue
尝试注册的
plmn
分配的原生
5g-guti

[0047]
b)
由等效的
plmn
分配给
ue
尝试注册的
plmn
的原生
5g-guti

[0048]
c)
由任意其它
plmn
分配的原生
5g-guti

[0049]
d)
通过另一种接入类型分配的
5g-guti
;或
[0050]
e)suci。
[0051]
如果
ue
正在发送注册请求消息作为初始
nas
消息,并且
ue
具有有效的
5g nas
安全上下文,并且
ue
需要发送非明文信息元素
(ie)
,则可以包括
nas
消息容器

如果
ue
不需要发送非明文
ie
,则
ue
可以发送注册请求消息,而不包括
nas
消息容器


)
中,并且服务
amf

ue
的上次注册过程以来已经更改,如果初始
amf
和旧
amf
处于同一
amf
集合中并且部署了
udsf
,则初始
amf
可以使用
nudsf_unstructured data management_query
服务操作直接从
udsf
检索
ue

supi

ue
上下文

替代地,初始
amf
和旧
amf
可以共享
ue
上下文

[0070]
在没有
udsf
部署的情况下,如果
ue

5g-guti
包括在注册请求中并且服务
amf
自上次注册过程以来已发生更改,则初始
amf
可以在旧
amf
上调用
namf_communication_uecontexttransfer
服务操作,包括完整注册请求
nas
消息
(
该消息可能受到完整性保护
)
以及接入类型,以请求
ue

supi

ue
上下文

在这种情况下,如果上下文传输服务操作调用对应于所请求的
ue
,则旧
amf
要么使用
5g-guti
和完整性保护的完整注册请求
nas
消息,要么使用
supi
和指示
ue
已从初始
amf
验证的指示,来验证完整性保护


amf
还可以将每个网络功能
(network function

nf)
消费者针对
ue
的事件订阅信息传送到初始
amf。
[0071]
如果旧
amf
具有用于另一接入类型
(
例如,不同于在本步骤中指示的接入类型
)

pdu
会话,并且如果旧
amf
确定不存在将
n2
接口重新定位到初始
amf
的可能性,则旧
amf
返回
ue

supi
,并且指示注册请求已经针对完整性保护进行了验证,但不包括
ue
上下文的其余部分

[0072]
步骤5[0073]

amf
向初始
amf
发送对
namf_communication_uecontexttransfer
的响应,和
/

udsf(
图4中未示出
)
向初始
amf
发送对
nudsf_unstructured data management_query
的响应

在一些实施例中,
namf_communication_uecontexttransfer
可以包括旧
amf
中的
supi

/

ue
上下文

[0074]
如果在图4的步骤4中查询了
udsf
,则
udsf
使用包括已建立的
pdu
会话的相关上下文来响应用于
nudsf_unstructured data management_query
调用的初始
amf。
如果在图4的步骤4中查询了旧
amf
,则旧
amf
通过包括
ue

supi

ue
上下文来响应用于
namf_communication_uecontexttransfer
调用的初始
amf。
[0075]
如果旧
amf
持有关于一个或多个已建立的
pdu
会话的信息,则旧
amf
在响应消息中包括会话管理功能
(smf)
信息

数据网络标识
(dnn)、
单个网络切片选择辅助信息
(single-nssai

s-nssai)
和一个或多个
pdu
会话
id。
[0076]
如果旧
amf
持有通过非
3gpp
互通功能
(non-3gpp interworking function

n3iwf)
建立的
ue
上下文,则旧
amf
包括通过
n3iwf
连接的
ue
的连接管理
(connection management

cm)
状态

如果
ue
通过
n3iwf
处于
cm-connected
状态,则旧
amf
包括关于下一代应用协议
(next generation application protocol

ngap)ue
传输网络层关联
(ue transport network layer association

ue-tnla)
绑定的信息

[0077]
如果旧
amf
未通过注册请求的完整性检查,则旧
amf
可以指示完整性检查失败

[0078]
步骤6[0079]
初始
amf

ue
发送身份请求消息

该消息可用于请求
ue

suci。
[0080]
作为响应,
ue
向初始
amf
发送身份响应消息

该身份响应消息可以包括
suci。ue
可以通过使用配置的归属
plmn(home plmn

hplmn)
的公钥来导出
(
例如,计算

生成等
)suci。
[0081]
步骤7[0082]
初始
amf
可以决定通过调用
ausf 412
来启动
ue
认证,该
ausf 412
可以基于
ue

supi

suci
来选择

[0083]
步骤8[0084]
如图4所示,步骤8可以包括各种网元之间的认证交互,包括初始
amf

ausf
之间的交互
、ausf

udm 418
之间的交互

以及初始
amf

ue
之间的交互

[0085]
具体地,初始
amf
可以与
ausf
一起执行认证请求
。ausf
可以从
udm
中检索认证数据以促进认证请求

一旦
ue
已经被
ausf
认证,
ausf
向初始
amf
提供相关的安全相关信息,并向初始
amf
指示认证成功

在初始
amf

ausf
提供
suci
的情况下,
ausf
可以仅在认证成功之后,将
supi
返回到初始
amf。
[0086]
在初始
amf
中的成功认证
(
其可以由图4的步骤5中的旧
amf
中的完整性检查失败触发
)
之后,初始
amf
可以再次调用图4中的步骤4并且指示
ue
已被验证
(
例如通过
namf_communication_uecontexttransfer
消息中的原因参数
)。
[0087]
如果
nas
安全上下文不存在,则执行
nas
安全启动

在一些实施例中,例如,可以使用
nas
安全模式命令过程

如果
ue
在图4的步骤1中没有
nas
安全上下文,则
ue
包括完全注册请求消息
(
或称为完整注册请求

全部注册请求
)。
在完全注册请求中,
ue
可以在完全注册请求消息中向初始
amf
发送其能力相关参数,例如网络切片相关信息

[0088]
初始
amf
还可以启动
ngap
过程,以向
(r)an
提供安全上下文
。(r)an
存储安全上下文并向初始
amf
确认
。(r)an
可以使用该安全上下文来保护后续与
ue
交换的消息

[0089]
步骤9[0090]
可选地,初始
amf
可以向
ue
发送
nas
安全模式命令
(security mode command

smc)。ue
可以用
nas
安全模式完成消息来回复
。nas
安全模式完成消息可包含完整注册请求消息

[0091]
步骤
10
[0092]
初始
amf
可能需要
ue
的订阅信息来决定是否重新路由注册请求

如果旧
amf
未提供
ue
的网络切片选择订阅信息,则初始
amf
选择
udm 418
,以便从
udm
中检索
ue
的切片选择订阅信息

[0093]
步骤
11
[0094]
初始
amf
可以使用
udm 418
发起
nudm_sdm_get
过程

[0095]
在一些实施例中,初始
amf

udm
发送
nudm_sdm_get
消息,以请求
ue
的切片选择订阅数据
。nudm_sdm_get
消息可以包括
ue

supi。udm
可以通过
nudr_dm_query
从统一数据存储库
(unified data repository

udr)
获取
ue
的切片选择订阅数据

在一些实施例中,
nudr_dm_query
可以包括
ue

supi。
[0096]
在一些实施例中,
udm
向初始
amf
发送对
nudm_sdm_get
的响应

初始
amf
获得包括订阅的
s-nssai
的切片选择订阅数据
。udm
可能指示
ue
的网络切片订阅数据已更新

[0097]
步骤
12
[0098]
初始
amf
可以使用网络切片选择功能
(nssf)414
发起
nnssf_nsselection_get
过程

[0099]
在一些实施例中,初始
amf

nssf
发送
nnssf_nsselection_get
消息


nnssf_nsselection_get
消息可以包括请求的
nssai、[
请求的
nssai
的映射
]、
具有默认
s-nssai
指示的订阅的
s-nssai、tai、
用于其它接入类型
(
如有
)
的允许的
nssai、[
允许的
nssai
的映射
]
,和
/

supi

plmn id。
[0100]
初始
amf
有可能无法为订阅信息允许的请求的
nssai
中的所有
s-nssai
提供服务

在这种情况下,需要进行切片选择

初始
amf
通过包括请求的
nssai、
所请求的
nssai
的映射
(
可选
)、
具有默认
s-nssai
指示的订阅的
s-nssai、
用于其它接入类型
(
如有
)
的允许的
nssai、
允许的
nssai
的映射
、supi

plmn id

ue

tai
,来从
nssf
调用
nnssf_nsselection_get
服务操作

[0101]
在一些实施例中,
nssf
向初始
amf
发送对
nnssf_nsselection_get
的响应

在一些实施例中,该响应可以包括
afm
地址的
amf
集合或列表

第一接入类型的允许的
nssai、[
允许的
nssai
的映射
]、[
第二接入类型的允许的
nssai]、[
允许的
nssai
的映射
]、[
一个或多个网络切片实例
(network slice instance

nsi)id]、[
网络存储库功能
(nrf)]、[
被拒绝的
(
一个或多个
s-nssai、
一个或多个原因值
)
列表
]、[
为服务
plmn
配置的
nssai]

/

[
配置的
nssai
的映射
])。
[0102]
在一些实施例中,
nssf
向初始
amf
返回:第一接入类型的允许的
nssai、
允许的
nssai
的映射
(
可选
)、
第二接入类型
(
如有
)
的允许的
nssai、
允许的
nssai
的映射
(
可选
)、
目标
amf
集合或者
(
基于配置
)
候选
amf
列表
。nssf
可以返回与对应于某些
s-nssai
的网络切片实例相关联的
nsi id。nssf
可以返回一个或多个
nrf(
例如,图4中的
nrf 416)
,这些
nrf
将用于在所选的一个或多个网络切片实例中选择
nf/
服务
。nssf
还可以返回关于未包括在允许的
nssai
中的
s-nssai
的拒绝原因的信息
。nssf
可以返回用于服务
plmn
的配置的
nssai
,并且
(
很可能
)
返回配置的
nssai
的关联映射

[0103]
步骤
13
[0104]
如果初始
amf
不支持
ue
订阅的所需网络功能
/
网络切片,则初始
amf
可以向旧
amf
发送
namf_communication_registrationstatusupdate
消息

该消息可以包括拒绝指示,并通知旧
amf
在步骤1中启动的
ue
注册过程在初始
amf
处没有完全完成

在一些实施例中,旧
amf
会像从未接收到步骤4中的
namf_communication_ueconexttransfer
一样,继续执行操作

[0105]
步骤
14
[0106]
初始
amf
可以使用
nrf
发起
nnrf_nfdiscovery
过程

例如,在初始
amf
不支持
ue
订阅的至少一个网络切片
(
或网络功能
)
的情况下,初始
amf
需要检索可以支持
ue
订阅的网络切片
(
或网络功能
)
的目标
amf(
在本公开中也称为候选
amf)
列表

[0107]
在一些实施例中,初始
amf
向网络存储库功能
(nrf)416
发送
nnrf_nfdiscovery_request。

nnrf_nfdiscovery_request
可以包括
nf
类型和
/

amf
集合

[0108]
在一些实施例中,如果初始
amf
不在本地存储目标
amf
地址,并且如果初始
amf
打算使用到目标
amf
的直接重新路由,或者通过
(ng-r)an
消息重新路由需要包括
amf
地址,则初始
amf

nrf
调用
nnrf_nfdiscovery_request
服务操作,以找到具有服务
ue
所需的
nf
能力的适当的目标
amf。nf
类型可以被设置为
amf。amf
集合包括在
nnrf_nfdiscovery_request


[0109]
在一些实施例中,
nrf

amf
发送对
nnrf_nfdiscovery_request
的响应

该对
nnrf_nfdiscovery_request
的响应可以包括
amf
指针列表
、amf
地址列表和
/
或其它选择规则和
nf
能力

[0110]
nrf
用候选
amf
列表进行回复
。nrf
还可以提供由列表中每个候选
amf
所提供的服务的细节以及其能力
。nrf
还可以回复用于选择目标
amf
的选择规则

基于关于注册
nf
和所需能力的信息,可由初始
amf
从候选
amf
列表中选择目标
amf。
[0111]
如果初始
amf
不是目标
amf
集合的一部分,并且初始
amf
无法通过使用目标
amf
集合查询
nrf
来获得候选
amf
列表
(
例如,在
amf
上本地预配置的
nrf
不提供所请求的信息,对由
nssf
提供的适当
nrf
的查询不成功,或者初始
amf
已经知道初始
amf
未被授权为服务
amf

)
,则初始
amf
通过
(r)an
执行将
nas
消息转发给目标
amf
;允许的
nssai
和目标
amf
集合
(
或候选
amf
列表
)
被包括在内,以使得
(r)an
能够选择目标
amf。
[0112]
步骤
15
[0113]
初始
amf
例如基于
nrf
发送的目标
amf
选择规则从目标
amf
集合中选择目标
amf。
初始
amf
基于目标
amf

ue
生成
5g-guti。
如上所述,目标
amf
信息可以嵌入在
5g-guti


[0114]
步骤
16
[0115]
初始
amf

ue
发送注册接受消息,指示步骤1中的注册请求被接受

该注册接受消息承载在步骤
15
中生成的
5g-guti
,并且该
5g-guti
被分配给
ue。
[0116]
步骤
17
[0117]
ue
向初始
amf
回复注册完成消息

到此步骤,可以认为在步骤1中由注册请求发起的注册过程已完成

然而,可以触发后续
(
或第二
)
注册请求,并且,后续注册请求可以基于在步骤
15
中新生成的
5g-guti。
具体内容将在下面进行说明

[0118]
步骤
18
[0119]
初始
amf

ue
发送带有注册指示的消息,用于请求
ue
开始新的注册过程
(
即,相对步骤1至步骤
17
中的注册过程而言的后续注册过程
)。
该消息可以是
ue
配置更新命令消息,其指示“请求注册”,该消息还可以包括参数,例如下述参数:局域网
(local area data network

ladn)
信息

服务区域列表

仅移动发起连接
(mobile initiated connection only

mico)
指示

网络标识符和时区
(network identifier and time zone

nitz)
信息

在被拒绝的
nssai
信息元素
(ie)
中或在扩展的被拒绝的
nssai ie
中被拒绝的一个或多个
s-nssai、
运营商定义的接入类别定义
、sms
指示

服务间隙时间值
、cag
信息列表
、ue
无线能力
id、5gs
注册结果
、ue
无线能力
id
删除指示或截断的
5g-s-tmsi
配置

[0120]
该消息也可以是注销请求,其注销类型为“需要重新注册”。
本公开对于可以使用什么类型的消息来请求
ue
开始后续注册过程没有限制

[0121]
图4中未示出,如果
ue
收到注销请求,则
ue
可以向初始
amf
回复注销接受消息

[0122]
步骤
19
[0123]
初始
amf

(r)an
发送
n2 ue
释放命令,原因设置为注销,以释放
(r)an
与初始
amf
之间的
n2
信令连接
。(r)an
可以通过向初始
amf
返回
n2 ue
上下文释放完成消息来确认
n2
释放

[0124]
步骤
20
[0125]
(r)an
请求
ue
释放
(r)an
连接

当从
ue
接收到
(r)an
连接释放确认时,
(r)an
删除
ue
的上下文

[0126]
步骤
21
[0127]
由步骤
18
中发送的消息
(
例如,
ue
配置更新命令

注销请求
)
触发,
ue
使用在步骤
15
中生成的基于目标
amf

5g-guti
发起后续注册过程,例如,通过向
(r)an
发送具有新注册请求的初始
ue
消息来发起

[0128]
在一些实施例中,初始
ue
消息通常可以包括各种消息,并且这些各种消息可以与不同的层相关联,诸如无线资源控制
(rrc)


非接入层
(nas)
层等

例如,可以存在与从
ue

(r)an
发送的注册请求相关联的
rrc
层消息,该
rrc
层消息可以承载
5g-s-tmsi
,该
5g-s-tmsi
是分配给
ue

5g-guti
的缩短形式

[0129]
在一些实施例中,步骤1中描述的用于发送注册请求的基本原理也适用于此步骤

[0130]
由此可见,在本实施例中,有两个注册过程:第一注册过程从步骤1开始,在步骤
17
完成;第二注册过程从步骤
21
开始
(
即后续的注册过程
)。
[0131]
步骤
22
[0132]
在一些实施例中,当接收到用于注册请求的初始
ue
消息时,如上所述,
(r)an
根据初始
ue
消息中承载的
5g-s-tmsi
或初始
ue
消息中包括的各种消息来选择目标
amf。
然后,
(r)an
向目标
amf
转发初始
ue
消息

应当理解,在转发初始
ue
消息时,
(r)an
可以转换也可以不转换在步骤
21
中从
ue
发送的初始
ue
消息

[0133]
在一些实施例中,
(r)an
可以基于承载目标
amf
信息的任何
ie(
例如,承载
5g-guti

5g-s-tmsi

ie)
来选择目标
amf。
在本公开中,对于
(r)an
如何基于初始
ue
消息和
/
或注册请求来检索目标
amf
信息没有限制

[0134]
步骤
23
[0135]
在接收到来自
(r)an
发送的注册请求消息后,目标
amf

ue
继续后续的注册过程并完成注册

[0136]
在上述的实施例中,为了执行
ue
从初始
amf
到目标
amf
的安全重分配,公开了
ue
向核心网
(
例如,
amf)
认证
/
注册的过程


ue
注册过程中,初始
amf
选择目标
amf
,并基于该目标
amf

ue
生成
5g-guti。
初始
amf
一旦确定了需要进行
amf
重分配,将通过使用生成的
5g-guti
指示
ue
重新开始向核心网的注册过程

通过本公开中提供的尊龙凯时官方app下载的解决方案,
ue
和目标
amf
之间的消息交互是被安全保护的,不需要升级
ue
,并且无需使用核心网的间接连接

[0137]
上述附图和描述提供了具体的示例性实施例和实施方式

然而,所描述的主题可以以各种不同的形式体现,因此,所涵盖或要求保护的主题旨在被解释为不限于本文阐述的任何示例性实施例

所要求保护或涵盖的主题应当具有合理广泛的范围

此外,例如,主题可以体现为方法

设备

部件

系统或用于存储计算机代码的非暂时性计算机可读介质

相应地,实施例例如可以采取硬件

软件

固件

存储介质或其任意组合的形式

例如,上述方法实施例可以由包括存储器和处理器的部件

设备或系统通过执行存储在存储器中的计算机代码来实现

[0138]
在整个说明书和权利要求书中,术语可以具有在上下文中暗示或隐含的超出明确陈述含义的细微含义

同样,本文使用的短语“在一个实施例
/
实施方式中”不一定指相同的实施例,并且本文使用的短语“在另一实施例
/
实施方式中”不一定指不同的实施例

例如,所要求保护的主题包括全部或部分示例实施例的组合

[0139]
一般而言,术语可以至少部分地从上下文中的用法来理解

例如,本文使用的诸如“和”、“或”或者“和
/
或”之类的术语可以包括各种含义,这些含义可以至少部分取决于使用这些术语的上下文

通常,“或”如果用于关联列表,例如
a、b
或c,则意在表示
a、b

c(
此处用于包含意义
)
以及
a、b

c(
此处用于排除意义
)。
此外,本文使用的术语“一个或多个”,至少部分取决于上下文,可用于描述单数意义上的任何特征

结构或特性,或可用于描述复数意义上的特征

结构或特性的组合

类似地至少部分取决于上下文,诸如“一个”、“一”或“该”的术语可以被理解为传达单数用法或传达复数用法

此外,同样地,至少部分取决于上下
文,术语“基于”可被理解为不一定意在传达一组排他性的因素,而是可能允许不一定明确描述的其它因素的存在

[0140]
在整个说明书中对特征

优点或类似语言的引用并不意味着本公开方案可以实现的所有特征和优点都应该包含或包含在其任何单个实施方式中

相反,涉及特征和优势的表达被理解为结合一个实施例描述的特定特征

优点或特性包含在本方案的至少一个实施例中

因此,在整个说明书中,对特征和优点以及类似表达的讨论可以但不一定是指相同的实施例

[0141]
此外,本公开方案中所描述的特征

优点或特性可以以任何合适的方式被组合在一个或多个实施例中

相关领域的普通技术人员将认识到,根据本文的描述,本方案可以在没有特定实施例的一个或多个特定特征或优点的情况下实施

在其它情况下,在某些实施例中可以看到的附加特征和优点可能不会存在于本公开方案的所有实施例中

当前第1页1  
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
网站地图