1.本公开涉及一种无线通信系统,并且例如涉及用于在无线通信系统中处理封闭接入组相关过程的方法和系统。
背景技术:
2.第三代合作伙伴计划(3gpp)(ts 23.501)将公共网络集成非公共网络(pnipn)指定为非公共网络(npn),其被部署有支持使用封闭接入组(cag)和/或网络切片的公共陆地移动网络(plmn)。cag标识被允许接入一个或多个cag小区的订户组。cag被用于公共网络集成非公共网络(pninpn),以防止用户设备(ue)从不提供对npn的接入的位置或者不允许ue接入npn的位置自动选择和注册。cag由cag标识符(cag id)标识,其由cag小区广播。新一代无线电接入网络(ng-ran)支持广播总共十二个cag标识符。此外,cag小区可以另外对每个cag标识符广播人类可读网络名称。
3.由于cag小区意指用于公共网络集成非公共网络(pninpn),因此由网络广播的、也可以揭示人类可读名称的cag标识符与npn相关。因此,建立cag标识符和与其相关的npn之间的关系是可能的。
4.根据3gpp ts 33.502,在服务请求或注册管理过程的情况下,如果ue正在使用cag小区接入ng-ran,则从ue到(r)an的接入网络(an)参数(即,在rrc消息中递送到ng-ran的rrc信息元素)包括cag标识符。当不存在有效的安全情境(即,ue不具有全球唯一临时标识符(guti)或者存储的guti无效)时,cag id在空中被递送到网络。不幸的是,这种场景允许“中间人”攻击以将ue、封闭接入组(cag)和相关npn之间的可能链接相关联。这导致:
5.ue正在接入的npn服务的隐私的可能暴露。npn意指私有网络,并且可以是隐私敏感的。
6.中间人攻击者可能识别接入cag小区的ue组(及其cag id),从而将ue组与它们正在接入的npn相关联。
7.独立的非公共网络不依赖于公共plmn的网络功能。独立的非公共网络也可以使用封闭接入组(cag)和/或非公共网络标识符(npn id)来标识被允许接入一个或多个cag小区或npn的npn订户组。
8.在另一个问题场景中,3gpp ts 23.501将公共网络集成非公共网络(pnipn)指定为非公共网络(npn),其被部署有支持使用cag和/或网络切片的公共plmn。cag标识被允许接入一个或多个cag小区的订户组。cag被用于公共网络集成非公共网络(pninpn),以防止ue从不提供对npn的接入的位置或者不允许ue接入npn的位置自动选择和注册。
9.ue由归属网络配置有允许cag列表,该允许cag列表包括允许ue接入的cag id的列表。ue使用该列表来选择cag id/cag小区以接入pninpn。根据3gpp ts 23.501,如果从ue尝试接入的ng-ran接收的cag标识符不在ue的允许cag列表中,则服务网络的接入和移动性管理功能(amf)用适当原因代码拒绝非接入层(nas)请求,并且在接收到nas拒绝时,ue从ue的允许cag列表中移除cag标识符,如果存在的话,如ts 24.501中所定义的。
10.如果amf对ue的nas请求向ue发出未受保护的nas拒绝,则ue在接收到具有与cag id相关的适当原因代码的这种nas拒绝时,将通过从列表中移除cag id来更新其允许cag列表,但是不能验证来自amf的nas拒绝消息的真实性。因此,ue将不会尝试接入cag id,因为它被从允许cag列表中移除。
11.考虑上述场景,攻击者向ue递送具有与cag id相关的适当原因代码的未受保护的nas拒绝消息。当ue接收到nas拒绝消息时,ue从其允许cag列表中移除cag id,因此,ue不再尝试接入cag id。该攻击使攻击者能够防止ue接入cag小区(cag id),从而导致对经由cag小区接入npn服务的ue的拒绝服务攻击。
12.在另一问题场景中,在功率周期之后,ue删除plmn特定尝试计数器。在上电之后,如果ue手动选择作为禁止plmn(fplmn)列表的一部分的plmn,则ue将尝试向该plmn注册。ue从网络接收非完整性受保护拒绝消息。当plmn特定尝试计数器被重置时,在非完整性受保护拒绝消息处理之后,如ts 24.501中所描述的,ue将重新尝试注册“x”次,其中,“x”是plmn特定尝试计数器的最大值。ue的这些注册重新尝试在网络上产生不必要的信令负载。
13.在另一问题场景中,ue尝试在plmn(p1)上注册。ue接收具有原因#11的非完整性受保护拒绝。ue增加plmn特定尝试计数器。如果ue尝试例如4次,则plmn特定尝试计数器被设置为4。假设在该示例中,每个ue实现的max值为5。ue执行功率循环,并且ue删除plmn特定尝试计数器。在上电之后,ue再次尝试在plmnp1上注册。ue从网络接收非完整性受保护拒绝消息。当在ts 24.501中的步骤4中重置plmn特定尝试计数器时,遵循ts 24.501中描述的非完整性受保护拒绝消息处理,当“5”是plmn特定尝试计数器的最大值时,ue将重新尝试注册“5”更多次。ue的这些重新尝试在网络上产生不必要的信令负载。
14.在另一问题场景中,根据当前3gpp规范25.401和33.501中描述的初始nas消息保护过程,如果ue不具有有效的nas安全情境,则ue将在初始nas消息中仅发送明文ie,并且在nas安全情境被建立之后,ue在安全模式完整消息中递送明文ie和非明文ie。如果ue具有有效的5g nas安全情境,则ue在初始nas消息中递送明文ie和非明文ie,并且使用当前5g nas安全情境来加密明文ie和非明文ie。在初始nas消息(例如,注册请求消息)中递送新信息元素(ie)低接入优先级指示、严格周期性注册定时器指示、扩展drx(周期)和封闭接入组(cag)标识。然而,当ue不具有有效的5g nas安全情境时,如何将这些参数递送到网络是不清楚的,例如,应该在没有加密的情况下还是在具有加密的情况下递送这些参数。
15.在另一问题场景中,根据当前3gpp ts 23.501,在rrc连接建立期间,ue在rrc连接建立期间将选择的cag id递送到ng-ran,并且ng-ran将cag id转发到amf。amf检查ue是否具有对cag id的有效订阅。然而,在从具有rrc非激活的5gmm-connected转换到5gmm-connected模式期间,amf将如何知道ue是否被允许接入cag小区是不清楚的。
16.在另一问题场景中,根据当前3gpp ts 23.501,在rrc连接建立期间,ue在rrc连接建立期间将选择的cag id递送到ng-ran,并且ng-ran将cag id转发到amf。amf检查ue是否具有对cag id的有效订阅。然而,在从具有暂停指示的5gmm-idle转换到5gmm-connected模式期间,amf将如何知道ue是否被允许接入cag小区是不清楚的。
17.在另一问题场景中,ue驻留在cag小区上,该cag小区广播相同公共网络集成npn的多个cag身份。ue具有允许cag列表,其包含多于一个广播的cag小区标识。如果ue发起rrc连接,则ue选择允许cag列表中存在的cag广播的cag标识符中的一个,并在rrc连接过程期间
递送它。然后,ng-ran将该cag标识符递送到amf。amf检查ue是否具有与接收的cag标识符相关的订阅。如果ue具有与cag标识符相关的订阅,则网络继续nas过程。否则,网络向ue指示与cag标识符相对应的cag订阅已经到期。网络随后释放n1信令连接,并且nas过程被中止。然而,ue可以具有对在cag小区中广播的另一cag标识符的有效订阅。因此,在这种情况下,ue行为不正确。
18.在另一问题场景中,在当大量ue生成与cag身份相关的信令请求的灾难情况下,amf不能处理所有请求。amf会变得拥塞并且可能无法正常工作。在最坏的情况下,amf会停止工作。当前,amf没有限制与cag身份相关的传入流量的过程。
19.因此,期望解决上述缺点或其他缺点,或者至少提供有用的替代方案。
技术实现要素:
20.问题的解决方案
21.本公开的示例实施例提供了用于处理封闭接入组相关过程的方法和系统。
22.因此,本文的示例实施例公开了一种用于支持用户设备(ue)经由无线电接入网络接入一个或多个封闭接入组(cag)小区的核心网络装置。核心网络装置包括用于与无线电接入网络和处理电路接口的接口电路。处理电路可以被配置为经由接口电路接收包括与ue相关联的受保护cag标识符(id)的请求信号,其中,受保护cag id可用于请求ue接入cag小区。处理电路可以被配置为将受保护cag id解除隐藏以确定cag id,其中,受保护cag id包括cag id。
23.在示例实施例中,处理电路还被配置为提供cag id以用于认证。
24.在示例实施例中,处理电路还被配置为当cag id被认证时,继续注册ue。
25.在示例实施例中,处理电路还被配置为检测请求信号是否包括受保护cag id被包括在所述请求信号中的指示符。
26.在示例实施例中,cag id是嵌入在ue的订阅隐藏标识符(suci)中的cag id。
27.在示例实施例中,受保护cag id是与和ue相关联的移动订阅标识号(msin)级联的cag id。
28.在示例实施例中,受保护cag id是与和ue相关联的订阅永久标识符(supi)的一部分级联的cag id。
29.本文的示例实施例公开了一种用于接入一个或多个封闭接入组(cag)小区的用户设备(ue)。ue包括无线电通信电路和处理电路。处理电路可以被配置为产生可用于请求ue接入cag小区的受保护cag标识符(id)。处理电路可以被配置为向无线电通信电路提供受保护cag id。无线电通信电路可以被配置为向无线电接入网络发送指向核心网络的请求信号,其中,请求信号可以包括受保护cag id,并且其中,受保护cag id可以包括cag id。
30.在示例实施例中,请求信号是注册请求,并且受保护cag id保护ue的cag id免受攻击者的链接而经由cag小区接入公共网络集成非公共网络(pnipn)。
31.在示例实施例中,处理电路还被配置为通过将cag id嵌入ue的订阅隐藏标识符(suci)中来产生受保护cag id。
32.在示例实施例中,受保护cag id是与和ue相关联的移动订阅标识号(msin)级联的cag id。
33.在示例实施例中,受保护cag id是与和ue相关联的订阅永久标识符(supi)的一部分级联的cag id。
34.在示例实施例中,处理电路还被配置为向无线电通信电路提供受保护cag id被包括在请求信号中的指示符,其中,无线电通信电路被配置为经由无线电接入网络向核心网络发送指示符。
35.本文的示例实施例公开了一种非暂时性计算机可读存储介质,其上存储有用于接入一个或多个封闭接入组(cag)小区的计算机可读指令,该计算机可读指令被配置为在被执行时指示一个或多个处理电路产生可用于请求ue接入cag小区的受保护cag标识符(id)。一个或多个处理电路可以无线电通信电路提供受保护cag id,并且使得指向核心网络的请求信号被发送到无线电接入网络。请求信号可以包括受保护cag id,其中,受保护cag id可以包括cag id。
36.本文的示例实施例公开了一种用于接入一个或多个封闭接入组(cag)小区的用户设备(ue)。ue可以包括无线电通信电路和处理电路。处理电路耦接到无线电通信电路,并且被配置为获得包括用于cag小区接入的cag标识符(id)的初始非接入层(nas)消息,cag id受方案保护。处理电路可以被配置为向无线电通信电路提供初始nas消息,并且无线电通信电路可以被配置为向无线电接入网络发送初始nas消息。
37.在示例实施例中,初始nas消息是用于经由cag小区接入公共网络集成非公共网络(pnipn)的注册请求消息。
38.在示例实施例中,处理电路还被配置为通过将cag id与ue的移动订阅标识号(msin)级联来获得受保护cag id。
39.在示例实施例中,处理电路还被配置为通过将ue的订阅标识符与cag id级联来获得受保护cag id。
40.在示例实施例中,订阅标识符是ue的国际移动订户身份(imsi)的一部分。
41.在示例实施例中,订阅标识符是ue的订阅永久标识符(supi)的一部分。
42.在示例实施例中,通过将cag id隐藏在ue的订阅隐藏标识符(suci)中来获得受保护cag id。
43.本文的示例实施例公开了一种由用户设备(ue)实现的用于接入一个或多个封闭接入组(cag)小区的方法。ue可以通过处理电路产生可用于请求ue接入cag小区的受保护cag标识符(id),并向无线电通信电路提供受保护cag id。ue可以通过无线电通信电路向无线电接入网络发送指向核心网络的请求信号。请求信号可以包括受保护cag id,其中,受保护cag id可以包括cag id。
44.本文的示例实施例公开了一种由核心网络装置实现的用于支持用户设备(ue)经由无线电接入网络接入一个或多个封闭接入组(cag)小区的方法。核心网络装置可以接收包括与ue相关联的受保护cag标识符(id)的请求信号。受保护cag id可用于请求ue接入cag小区。核心网络装置可以将受保护cag id解除隐藏以确定cag id,其中,受保护cag id可以包括cag id。
45.本文的示例实施例公开了一种由ue在无线通信系统中处理cag相关过程的方法。ue可以触发与amf实体和seaf实体中的至少一个的初始注册过程。ue可以检测ue不具有有效的非接入层(nas)安全情境。ue可以在初始注册过程期间基于所述检测来保护cag标识符
(cag id)。
46.本文的示例实施例公开了一种用于在无线通信系统中处理封闭接入组(cag)相关过程的方法。网络可以从用户设备(ue)接收无线电资源控制(rrc)恢复请求消息。网络可以响应于rrc恢复请求消息来确定在cag小区中广播的至少一个cag标识符(id)是否被包括在ue的允许cag列表中。响应于确定至少一个cag id被包括在允许cag列表中,网络可以继续rrc恢复过程。
47.在示例实施例中,如果至少一个cag id未被包括在允许cag列表中,则网络还通过递送rrc消息来释放rrc连接。
48.在示例实施例中,rrc消息是rrc连接释放消息和rrc连接拒绝消息中的至少一个。
49.在示例实施例中,rrc消息包括指示基于释放的rrc连接未订阅至少一个cag id的信息元素。
50.在示例实施例中,rrc消息包括基于释放的rrc连接的允许cag列表。
51.在示例实施例中,至少一个cag id基于从接入和移动性管理功能(amf)实体接收的移动性限制被确定,其中,网络从amf实体接收允许cag列表。
52.在示例实施例中,移动性限制与ue的移动性相关订阅信息相对应,其中,移动性相关订阅信息包括无线电接入技术(rat)限制、禁止区域、服务区域限制、核心网类型限制和封闭接入组信息中的至少一个。
53.在示例实施例中,当ue在cag小区中发起从rrc非激活状态到rrc连接状态转换的rrc恢复过程时,网络接收rrc恢复请求消息。
54.本文的示例实施例公开了一种用于在无线通信系统中处理封闭接入组(cag)相关过程的网络。该网络包括无线电通信电路和处理电路。处理电路与无线电通信电路耦接,并且被配置为从用户设备(ue)接收无线电资源控制(rrc)恢复请求消息。处理电路被配置为响应于rrc恢复请求消息,确定在cag小区中广播的至少一个cag标识符(id)是否被包括在ue的允许cag列表中。处理电路被配置为响应于确定至少一个cag id被包括在允许cag列表中,继续rrc恢复过程。
55.在示例实施例中,处理电路被配置为当至少一个cag id未被包括在允许cag列表中时,通过递送rrc消息来释放rrc连接。
56.在示例实施例中,rrc消息是rrc连接释放消息和rrc连接拒绝消息中的至少一个。
57.在示例实施例中,rrc消息包括指示基于释放的rrc连接未订阅至少一个cag id的信息元素。
58.在示例实施例中,rrc消息包括基于释放的rrc连接的允许cag列表。
59.在示例实施例中,处理电路被配置为基于从接入和移动性管理功能(amf)实体接收的移动性限制来确定至少一个cag标识符,其中,处理电路被配置为从amf实体接收允许cag列表,并且处理电路被配置为当ue在cag小区中发起从rrc非激活状态到rrc连接状态转换的rrc恢复过程时,接收rrc恢复请求消息。
60.在示例实施例中,移动性限制与ue的移动性相关订阅信息相对应,其中,移动性相关订阅信息包括无线电接入技术(rat)限制、禁止区域、服务区域限制、核心网类型限制和封闭接入组信息中的至少一个。
61.本文的示例实施例公开了一种用于在无线通信系统中处理封闭接入组(cag)相关
过程的方法。用户设备(ue)可以向网络发送无线资源控制(rrc)恢复请求消息。ue可以响应于确定在cag小区中广播的至少一个cag标识符(id)在ue的允许cag列表中,从网络接收rrc恢复消息。
62.在示例实施例中,当由cag小区广播的至少一个cag id未被包括在允许cag列表中时,ue可以从网络接收包括指示至少一个cag id未被订阅的信息元素的无线电资源控制(rrc)消息。ue可以从网络接收包括允许cag列表的rrc消息。ue可以执行以下之一:基于接收的信息元素从允许cag列表中移除至少一个cag id,并且基于接收的信息元素用接收的允许cag列表替换存储的cag列表。
63.在示例实施例中,rrc消息是rrc连接释放消息和rrc连接拒绝消息中的至少一个。
64.本文的示例实施例公开了一种用于在无线通信系统中处理封闭接入组(cag)相关过程的用户设备(ue)。ue包括无线电通信电路和与无线电通信电路耦接的处理电路。处理电路可以被配置为向网络发送无线电资源控制(rrc)恢复请求消息。处理电路可以被配置为响应于确定在cag小区中广播的至少一个cag标识符(id)在ue的允许cag列表中,从网络接收rrc恢复消息。
65.在示例实施例中,处理电路还可以被配置为当由cag小区广播的至少一个cag id未被包括在允许cag列表中时,从网络接收包括指示至少一个cag id未被订阅的信息元素的无线电资源控制(rrc)消息,并且从网络接收包括允许cag列表的rrc消息,以及执行以下之一:基于接收的信息元素从允许cag列表中移除至少一个cag id,并且基于接收的信息元素用接收的允许cag列表替换存储的cag列表。rrc消息可以是rrc连接释放消息和rrc连接拒绝消息中的至少一个。
66.在示例实施例中,cag id被保护在订阅隐藏标识符(suci)中。
67.在示例实施例中,该方法还包括由ue向amf实体和seaf实体中的至少一个递送包括具有受保护cag id的suci的注册请求消息。
68.在示例实施例中,通过将具有订阅永久标识符(supi)的cag id保护到suci中,在suci中保护cag id。
69.在示例实施例中,ue将包括作为an参数的受保护cag id的注册请求消息递送到amf实体和seaf实体中的至少一个。
70.在示例实施例中,由ue向amf实体和seaf实体中的至少一个指示受保护cag id是否存在于suci中。
71.在示例实施例中,当ue正在使用cag小区接入新无线电随机接入网络(ng-ran)时,在初始非接入层(nas)注册过程期间保护cag id。
72.在示例实施例中,在确定suci期间,ue被配置为将cag id与ue的移动订阅标识号(msin)和用户名中的至少一个级联,并生成suci的方案输出,用于保护suci中的cag id。
73.在示例实施例中,基于椭圆曲线密码术(ecc)临时公钥、密文值和媒体访问控制(mac)标签值来确定方案输出。
74.在示例实施例中,当supi是一种类型的国际移动订户身份(imsi)时,imsi的订阅标识符部分与cag id级联以构造方案输入并生成suci的方案输出,用于保护suci中的cag id。
75.在示例实施例中,方案输入根据由归属网络提供的椭圆曲线集成加密方案
(ecies)参数,由受保护cag id、归属网络的公钥和椭圆曲线密码术(ecc)临时公钥和私钥对来确定。
76.在示例实施例中,当supi是一种类型的网络特定标识符时,supi的订阅标识符部分与cag id级联,并用于构造方案输入并生成suci的方案输出,以保护suci中的cag id。
77.本文的示例实施例公开了一种用于在无线通信系统中处理cag相关过程的方法。amf实体和seaf实体中的一个可以从ue接收包括具有受保护cag id的suci的注册请求消息。amf实体和seaf实体中的一个可以基于注册请求消息向ausf实体递送认证请求消息。认证请求消息包括具有受保护cag id的suci。amf实体和seaf实体中的一个可以基于认证请求消息发起主要认证过程。
78.在示例实施例中,amf实体和seaf实体中的一个通过新一代无线电接入网络(ng-ran)从ue接收包括在n2参数中的一个中具有受保护cag id的suci的注册请求消息和消息,其中,n2参数是在n2接口上在下一代应用协议(ngap)消息中递送的信息元素。
79.该消息能够是nudm_ueauthentication_get_request消息。
80.本文的示例实施例公开了一种用于在无线通信系统中处理cag相关过程的方法。ausf实体可以从amf实体和seaf实体中的一个接收认证请求消息。认证请求消息包括具有受保护cag id的suci。ausf实体可以向udm递送认证获取请求消息,其中,udm确定认证请求消息包括具有受保护cag id的suci。ausf实体可以通过由udm将suci解除隐藏为supi和cag id来从udm接收认证获取响应消息,其中,认证获取响应消息包括具有supi的解除隐藏的cag id。ausf实体可以将来自udm的认证获取响应消息共享给amf和seaf中的至少一个。
81.本文的示例实施例公开了一种用于在无线通信系统中处理cag相关过程的ue。ue包括与存储器耦接的处理器。处理器被配置为触发与amf实体和seaf实体中的至少一个的初始注册过程,并且在触发初始注册过程的同时检测ue不具有有效的nas安全情境。处理器在初始注册过程期间基于所述检测来保护cag id。
82.本文的示例实施例公开了一种用于在无线通信系统中处理cag相关过程的amf实体和seaf实体。amf实体和seaf实体中的一个包括与存储器耦接的处理器。处理器被配置为从ue接收包括具有受保护cag id的suci的注册请求消息。此外,处理器被配置为基于注册请求消息向ausf实体递送认证请求消息。认证请求消息包括具有受保护cag id的suci。此外,处理器被配置为基于认证请求消息发起主要认证过程。
83.本文的示例实施例公开了一种用于在无线通信系统中处理cag相关过程的ausf实体。ausf实体包括与存储器耦接的处理器。处理器被配置为从amf实体和seaf实体中的一个接收认证请求消息。认证请求消息包括具有受保护cag id的suci。此外,处理器被配置为向udm递送认证获取请求消息,其中,udm确定认证请求消息包括具有受保护cag id的suci。此外,所述处理器被配置为通过使用udm将suci解除隐藏为supi和cag id来从udm接收认证获取响应消息。认证获取响应消息包括具有supi的解除隐藏的cag id。此外,处理器被配置为将来自udm的认证获取响应消息共享给amf和seaf中的至少一个。
84.本文的示例实施例公开了一种用于在无线通信系统中处理cag相关过程的方法。ue可以触发与amf实体和seaf实体中的至少一个的初始注册过程。在触发初始注册过程的同时,ue可以检测ue不具有有效的非接入层(nas)安全情境。ue可以递送具有明文信息元素(ie)的初始nas消息,其中,ue不在初始nas消息中包括第一信息元素。ue可以创建nas安全
情境。ue可以发送包括完整初始nas消息的安全模式完整nas消息,其中,安全模式完整nas消息利用nas安全情境加密。
85.在示例实施例中,安全模式完整nas消息包括第一ie。
86.在示例实施例中,第一ie是cag标识符。
87.在示例实施例中,由ue创建nas安全情境包括:在ue和amf之间执行认证过程,基于认证过程接收安全模式命令,以及基于接收的安全模式命令创建nas安全情境。
88.本文的示例实施例公开了一种用于在无线通信系统中处理cag相关过程的ue。ue包括与存储器耦接的处理器。处理器触发与amf实体和seaf实体中的至少一个的初始注册程序,在触发初始注册程序的同时,处理器检测ue不具有有效的nas安全情境。此外,处理器递送具有明文信息元素(ie)的初始nas消息,其中,ue在初始nas消息中不包括第一信息元素。此外,处理器创建nas安全情境并发送包括完整初始nas消息的安全模式完整nas消息,其中,安全模式完整nas消息利用nas安全情境加密。
89.当结合以下描述和附图考虑时,将更好地领会和理解本文的示例实施例的这些和其他方面。然而,应当理解,以下描述虽然指示优选的示例实施例及其许多具体细节,但是通过说明而非限制的方式给出。在不脱离本发明的精神的情况下,可以在本文的示例实施例的范围内进行许多改变和修改,并且本文的示例实施例包括所有这些修改。
附图说明
90.根据以下结合附图的详细描述,本公开的某些示例实施例的上述和其他方面、特征和优点将更加清楚,其中:
91.图1是图示根据本文公开的示例实施例的用于当ue向网络递送隐私保护的cag id时递送加密的cag标识符的方法的顺序流程图;
92.图2是图示根据本文公开的示例实施例的用于在来自ausf的ue认证时递送加密的cag标识符,以便ude使用非对称加密机制对隐藏的cag id解除隐藏的方法的顺序流程图;
93.图3是图示根据本文公开的示例实施例的用于在来自ausf的ue认证时递送加密的cag标识符,以便udm使用非对称加密机制对隐藏的cag id解除隐藏的替代方法的顺序流程图;
94.图4是图示根据本文公开的示例实施例的用于在来自ausf的ue认证时递送加密的cag标识符,以便udm使用对称加密机制对隐藏的cag id解除隐藏的另一替代方法的顺序流程图;
95.图5是图示根据本文公开的示例实施例的用于在没有完整性保护的情况下接收到5gmm原因值“cag小区不被允许”时处理5gmm原因值“cag小区不被允许”的方法的顺序流程图;
96.图6是图示根据本文公开的示例实施例的用于在没有完整性保护的情况下接收到注册拒绝消息时处理注册拒绝消息的方法的顺序流程图;
97.图7是图示根据本文公开的示例实施例的用于在初始nas消息传输过程中传输信息元素的方法的顺序流程图;
98.图8是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的方法的顺序流程图;
99.图9是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的替代方法的顺序流程图;
100.图10是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的另一替代方法的顺序流程图;
101.图11是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的另一替代方法的顺序流程图;
102.图12是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的另一替代方法的顺序流程图;
103.图13是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的另一替代方法的顺序流程图;
104.图14是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的另一替代方法的顺序流程图;
105.图15是图示根据本文公开的示例实施例的用于处理cag id最终的方法的顺序流程图;
106.图16a示出了根据本文公开的示例实施例的用于在无线通信系统中处理cag相关过程的ue的各种硬件组件;
107.图16b示出了根据本文公开的示例实施例的用于在无线通信系统中处理cag相关过程的amf实体和seaf实体的各种硬件组件;
108.图16c示出了根据本文公开的示例实施例的用于在无线通信系统中处理cag相关过程的ausf实体的各种硬件组件;
109.图16d示出了根据本文公开的示例实施例的用于在无线通信系统中处理cag相关过程的基站(即,ng-ran)的各种硬件组件;
110.图17a是图示根据本文公开的示例实施例的由ue实现的用于在无线通信系统中处理cag相关过程的方法的流程图;
111.图17b是图示根据本文公开的示例实施例的由amf实体或seaf实体实现的用于在无线通信系统中处理cag相关过程的方法的流程图;
112.图17c是图示根据本文公开的示例实施例的由ausf实体实现的用于在无线通信系统中处理cag相关过程的方法的流程图;
113.图17d是图示根据本文公开的示例实施例的用于在无线通信系统中处理cag相关过程的方法的流程图;以及
114.图17e是图示根据本文公开的示例实施例的由ue实现的用于在无线通信系统中处理cag相关过程的方法的流程图。
115.图18a是图示根据本文公开的示例实施例的由核心网络装置实现的用于支持ue经由无线电接入网络接入一个或多个封闭接入组(cag)小区的方法的流程图;
116.图18b是图示根据本文公开的示例实施例的由ue实现的用于接入一个或多个cag小区的方法的流程图;
117.图18c是图示根据本文公开的示例实施例的由ue实现的用于接入一个或多个cag小区的方法的流程图。
具体实施方式
118.参考在附图中图示并在以下描述中详述的非限制性示例实施例,更全面地解释本文的示例实施例及其各种特征和有利细节。省略了对公知组件和处理技术的描述,以免不必要地模糊本文的示例实施例。此外,本文描述的各种示例实施例不一定是相互排斥的,因为一些示例实施例能够与一个或多个其他示例实施例组合以形成新的示例实施例。除非另有说明,否则如本文所用的术语“或”是指非排他性的或。本文使用的示例仅旨在便于理解能够实践本文的示例实施例的方式,并且进一步使本领域技术人员能够实践本文的示例实施例。因此,示例不应被解释为限制本文中的示例实施例的范围。
119.如本领域中的传统,可以根据执行所描述的一个或多个功能的块来描述和图示示例实施例。这些块,在本文中可以被称为电路或单元或模块等,由诸如逻辑门、无线电通信电路、接口电路、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、硬连线电路等的模拟或数字电路物理地实现,并且可以可选地由固件和软件驱动。例如,电路可以体现在一个或多个半导体芯片中,或者体现在诸如印刷电路板等的基板支撑件上。构成块的电路可以由专用硬件实现,或者由处理器或处理电路(例如,一个或多个编程的微处理器和相关联的电路)实现,或者由执行块的一些功能的专用硬件和执行块的其他功能的处理器的组合实现。在不脱离本发明的范围的情况下,示例实施例的每个块可以物理地分离成两个或更多个相互作用和离散的块。同样地,在不脱离本发明的范围的情况下,示例实施例的块可以物理地组合成更复杂的块。
120.附图用于帮助容易地理解各种技术特征,并且应当理解,本文呈现的示例实施例不受附图的限制。因此,本公开应当被解释为扩展到除了在附图中特别阐述的那些之外的任何改变、等同物和替代物。尽管本文可以使用术语第一、第二等来描述各种元件,但是这些元件不应受这些术语的限制。这些术语通常仅用于将一个元件与另一个元件区分开。
121.以下定义和缩写适用于专利公开内容:
122.5gc:5g核心网络
123.5glan:5g局域网
124.5gs:5g系统
125.5g-an:5g接入网络
126.5g-eir:5g-设备身份寄存器
127.5g-guti:5g全球唯一临时标识符
128.5g-brg:5g宽带住宅网关
129.5g-crg:5g电缆住宅网关
130.5g-rg:5g住宅网关
131.5g-s-tmsi:5g-s-临时移动订阅标识符
132.5qi:5g qos标识符
133.af:应用功能
134.amf:接入和移动性管理功能
135.as:接入层
136.atsss:接入流量导向、交换和分割
137.atsss-ll:atsss低层
138.ausf:认证服务器功能
139.bsf:绑定支持功能
140.cag:封闭接入组
141.capif:用于3gpp北向api的公共api框架
142.chf:计费功能
143.cp:控制平面
144.dl:下行链路
145.dn:数据网络
146.dnai:dn接入标识符
147.dnn:数据网络名称
148.drx:不连续接收
149.epdg:演进分组数据网关
150.ebi:eps承载标识
151.far:转发动作规则
152.fn-brg:固定网络宽带rg
153.en-crg:固定网络电缆rg
154.fn-rg:固定网络rg
155.fqdn:完全合格域名
156.gfbr:保证的流比特率
157.gmlc:网关移动位置中心
158.gpsi:通用公共订阅标识符
159.guami:全球唯一amf标识符
160.hr:归属路由(漫游)
161.i-smf:中间smf
162.ladn:局域数据网络
163.lbo:本地疏导(漫游)
164.lmf:位置管理功能
165.lrf:位置检索功能
166.mcx:关键任务服务
167.mdbv:最大数据突发容量
168.mfbr:最大流量比特率
169.mico:仅限移动发起的连接
170.mps:多媒体优先级服务
171.mptcp:多路径tcp协议
172.n3iwf:非3gpp互通功能
173.nai:网络接入标识符
174.nef:网络开放功能
175.nf:网络功能
176.ngap:下一代应用协议
177.nid:网络标识符
178.npn:非公共网络
179.nr:新无线电
180.nrf:网络存储库功能
181.nsi id:网络切片实例标识符
182.nssai:网络切片选择辅助信息
183.nssf:网络切片选择功能
184.nssp:网络切片选择策略
185.nwdaf;网络数据分析功能
186.pcf:策略控制功能
187.pdr:分组检测规则
188.pdu:协议数据单元
189.pei:永久设备标识符
190.per:分组差错率
191.pfd:分组流描述
192.ppd:寻呼策略差异
193.ppf:寻呼继续标志
194.ppi:寻呼策略指示符
195.psa:pdu会话锚点
196.qfi:qos流标识符
197.qoe:体验质量
198.(r)an:(无线电)接入网络
199.rg:住宅网关
200.rqa:反射qos属性
201.rqi:反射qos指示
202.rsn:冗余序列号
203.sa nr:独立新无线电
204.sba:基于服务的体系结构
205.sbi:基于服务的接口
206.scp:服务通信代理
207.sd:切片差分器
208.seaf:安全锚点功能
209.sepp:安全边缘保护代理
210.smf:会话管理功能
211.smsf:短消息服务功能
212.sn:序列号
213.snpn:独立非公共网络
214.s-nssai:单个网络切片选择辅助信息
215.ssc:会话和服务连续性
216.sscmsp:会话和服务连续性模式选择策略
217.sst:切片/服务类型
218.suci:订阅隐藏标识符
219.supi:订阅永久标识符
220.tnan:信任的非3gpp接入网络
221.tnap:信任的非3gpp接入点
222.tngf:信任的非3gpp网关功能
223.tnl:传输网络层
224.tnla:传输网络层关联
225.tsc:时间敏感通信
226.tsn:时间敏感网络
227.tsp:流量导向策略
228.udm:统一数据管理
229.udr:统一数据存储库
230.uds:非结构化数据存储功能
231.ul:上行链路
232.ul cl:上行链路分类器
233.upf:用户平面功能
234.urllc:超可靠低延迟通信
235.urrp-amf:用于amf的ue可达性请求参数
236.ursp:ue路由选择策略
237.vid:vlan标识符
238.vlan:虚拟局域网
239.w-5gan:有线5g接入网络
240.w-5gban:有线bbf接入网
241.w-5gcan:有线5g电缆接入网络
242.w-agf:有线接入网关功能
243.5gmm:5g移动性管理
244.cag id:cag标识符
245.ngap:ng应用协议
246.as:接入层
247.nas:非接入层
248.cag身份和cag标识符在所有示例实施例中是等同的术语。
249.核心网络装置可以包括5g网络实体(amf、seaf、udm、arpf、sidf和ausf)中的一个。核心网络可以经由ng-ran与ue(100)连接。
250.因此,本文的示例实施例公开了一种用于在无线通信系统中处理cag相关过程的方法。ue可以触发与amf实体和seaf实体中的至少一个的初始注册过程。ue可以在触发初始注册过程的同时检测ue不具有有效的nas安全情境,并且在初始注册过程期间基于该检测来保护cag id。
251.与常规方法和系统不同,该方法能够被用于定义发送受保护(加密和/或完整性保护)的cag标识符的过程。该方法能够被用于定义网络将如何执行对接收的cag标识符的订阅检查。此外,该方法还能够被定义为当ue处于具有非激活指示的5gmm-connected或具有暂停指示的5gmm-idle时如何在cag小区上执行恢复过程。
252.现在参考附图,更具体地参考图1至图17e,其示出优选的示例实施例。
253.图1是图示根据本文公开的示例实施例的用于当ue(100)将隐私保护的cag id递送到网络时递送加密的cag标识符的各种操作的顺序流程图。
254.该方法能够用于防止ue(100)使用cag小区接入公共网络集成非公共网络(pnipn)的隐私暴露,并且还防止标识经由cag小区接入npn的ue组。解决的问题是ue(100)以明文格式在空中发送cag标识符。下面描述的各种示例实施例通过保护(例如,加密和/或完整性保护的)在空中发送的cag标识符来解决该问题,以禁止中间人攻击者识别ue(100)尝试接入的npn/cag小区。
255.在示例实施例中,如果隐私保护的cag标识符(ccag id)的解除隐藏在网络(即,udm(400a)/ausf(500))处失败,则服务网络(amf(300a))向ue(100)递送具有适当原因值的注册拒绝消息。在成功地解除隐藏ccag id(即,ue(100)已经递送了有效的cag id)之后,在网络(udm(400a)/ausf)处,网络继续ts 33.501中指定的主要认证过程。
256.在示例实施例中,如果seaf(300b)和amf(300a)不共位,则amf(300a)经由seaf(300b)连接到ausf。在另一实施例中,如果seaf(300b)和amf(300a)共位,则术语“amf”在整个文件中意味着“amf/seaf”。
257.在示例实施例中,为了支持cag,如果ue(100)由归属网络配置有允许cag列表,则归属网络还可以提供要被隐私保护的cag标识符。基于来自归属网络的该配置,当使用cag小区接入ng-ran(200)时,ue(100)可以对cag id(由ue(100)在空中递送到服务网络)应用隐私保护。
258.在示例实施例中,代替cag标识符(cag id)或除了cag标识符(cag id)之外,使用非公共网络标识符(npn id)来标识非公共网络并检查ue(100)是否被订阅和授权以接入特定的非公共网络。npn-id用于独立的非公共网络(即,不依赖于公共plmn的网络功能的网络)。贯穿本文档,术语“cag标识符”和“非公共网络标识符”可互换使用。在一些场景中,cag id意味着cag-id和/或npn-id。
259.在示例实施例中,当udm(400a)将受保护cag id解除隐藏时,它可以执行ue(100)的cag id(supi)的订阅检查。如果执行这样的检查,则仅当cag id在ue(100)的允许cag列表中时,udm(400a)才向服务网络返回解除隐藏的cag id,如果它不在列表中,则udm(400a)可以向服务网络返回具有适当的原因值的拒绝。以下示例替代方案考虑在udm(400a)处不执行订阅检查。
260.示例替代方案1(ue(100)在服务请求或注册管理过程期间向网络递送隐私保护的cag id,当ue(100)不具有有效的安全情境(即,ue(100)不具有全球唯一临时标识符(guti)或存储的guti无效)时,如果ue正在使用cag小区接入ng-ran,则ue在an参数中向服务网络递送隐私保护的cag标识符(cag id)。该隐私保护的cag标识符在本公开中被称为隐藏cag标识符(ccag id)。ue(100)构造ccag id,并在an参数中将其递送到服务网络。服务网络(即,amf(300a))在注册请求消息中从ue(100)接收隐藏的cag id(ccag id),或者从ng-ran
(200)接收隐藏的cag id(ccag id)(例如,通过n2参数中的ng-ran(200)的n2消息)。n2参数是在n2接口上的ngap消息中递送的信息元素。服务网络的amf(300a)将ccag id转发到归属网络的udm(400a)。udm(400a)将ccag id解除隐藏并向服务网络提供ccag id。
261.amf(300a)/seaf(300b)直接从udm(400a)(在hplmn中)接收解除隐藏的cag id。udm(400a)可以向服务网络的amf(300a)提供服务(出于说明的目的,通过nudm(由udm(400a)呈现的基于服务的接口)或使用ts 23.501中指定的n8接口的nudm_xxx),以用于ccag id的解除隐藏。在ue的请求期间,amf(300a)从ue(100)(在请求消息中从ue(100))获得ccag id,或者在请求消息中或从ng-ran(200)(例如,通过n2消息)获得ccag id。amf(300a)通过nudm_xxx服务从udm(400a)请求解除隐藏的cag id。udm(400a)将来自amf(300a)的请求消息的ccag id解除隐藏为cag id。然后,udm(400a)基于ccag id的解除隐藏的结果来响应amf的请求。如果来自udm(400a)的响应具有cag id,则amf(300a)存储ue(100)请求进一步过程的cag id。
262.图2是图示根据本文公开的示例实施例的用于在ue(100)由ausf(500)认证之后递送加密的cag标识符,以便udm(400a)使用非对称加密机制对隐藏的cag id解除隐藏的各种方法的顺序流程图。
263.示例替代方案1.a(udm(400a)在ue(100)从ausf(500)认证时使用非对称加密机制对隐藏的cag id解除隐藏)。在服务请求或注册管理过程期间,当ue(100)不具有有效的安全情境(即,ue(100)不具有guti或存储的guti无效)时,如果ue(100)正在使用cag小区接入ng-ran(200),则ue(100)在an参数中向服务网络递送隐私保护的cag标识符(ccag id)。
264.ccag id由ue(100)使用归属网络公钥、保护方案和用于在suci中隐藏ue标识符的方法来构造。ue(100)构造ccag id,并在an参数中将其递送到服务网络。服务网络的amf(300a)在n2参数中从ng-ran(200)接收隐藏的cag id(ccag id)。服务网络的amf(300a)经由ausf在认证请求中将ccag id转发到归属网络的udm(400a)。在主要认证成功时,udm(400a)将ccag id解除隐藏,并经由ausf(500)将其提供给服务网络amf(300a)。
265.作为注册请求过程的一部分,服务网络的amf(300a)/seaf(300b)(服务网络也可能属于hplmn)通过在到ausf(500)的nausf_ueauthentication_authenticate请求消息中包括隐藏的cag标识符(ccag id)以及其他可能的参数来发起主要认证过程。amf(300a)在注册请求消息中从ue(100)接收ccag id,或者从ng-ran(例如,通过n2消息)接收ccag id。ausf(500)在到udm(400a)的nudm_ueauthentication_get_request消息中包括ccag id以及其他可能的参数。在示例实施例中,nudm_ueauthentication_get_request消息与arpf(400b)/sidf(400c)共享。udm(400a)将包括在nudm_ueauthentication_get_request消息中的suci和ccag id解除隐藏。udm(400a)使用与用于将suci中的ue标识符解除隐藏的归属网络公钥以及保护机制和方法相同的参数将ccag id解除隐藏。如果suci和ccag id被成功地解除隐藏,则udm(400a)继续执行ts 33.501中指定的过程。udm(400a)在对ausf(500)的响应消息中包括cag id和supi,并且ausf(500)在成功认证时将它们转发到amf(300a)/seaf(300b)。
266.由于用于suci和ccag id导出的归属网络公钥和保护方案是相同的,因此将suci解除隐藏的udm(400a)也能够将ccag id解除隐藏。通过空中向网络递送隐藏的cag id(ccag id)防止中间人攻击者识别ue(100)正在尝试接入的npn/cag小区。
267.在示例实施例中,当服务网络的amf(300a)从ue(100)接收到ue标识为suci(隐藏订阅标识符supi)的cag id时,amf(300a)认为接收的cag id是隐藏cag id(ccag id),并将ccag id以及suci转发到归属网络的udm(400a)以将ccag id解除隐藏。如果服务网络的amf(300a)从ue(100)接收到ue标识为5g guti(ue的5g临时标识符)的cag id,则amf(300a)将受保护nas容器中的接收的cag id视为未隐藏。
268.图3是图示根据本文公开的示例实施例的用于在来自ausf(500)的ue认证时递送加密的cag标识符,以便udm使用非对称加密机制将隐藏的cag id解除隐藏的可替代的各种操作的顺序流程图。
269.示例替代方案1.b(udm(400a)在来自ausf(500)的ue认证时使用非对称加密机制将隐藏的cag id解除隐藏,在服务请求或注册管理过程期间,当ue(100)不具有有效的安全情境(即,ue(100)不具有guti或存储的guti无效)时,如果ue(100)正在使用cag小区接入ng-ran(200),则ue(100)通过将cag标识符(ue(100)尝试接入的cag小区的cag id)嵌入ue的suci中来保护cag标识符,其中,ue的suci作为ue标识符由ue(100)递送到服务网络。
270.cag id如下嵌入到suci中:
271.在计算suci期间,ue(100)将cag id与msin/用户名级联,并生成归属网络公钥和suci的保护方案输出。
272.当supi是imsi类型时,imsi的订阅标识符部分(即msin)与cag id级联以构造方案输入并生成suci的方案输出。
273.当supi是网络特定标识符类型时,supi的订阅标识符部分与cag id级联,并用于构造方案输入和生成supi的方案输出。
274.在示例实施例中,基于椭圆曲线密码学(ecc)临时公钥、密文值和媒体访问控制(mac)标签值来确定归属网络公钥和保护方案输出。
275.在示例实施例中,归属网络公钥和保护方案输入根据由归属网络提供的椭圆曲线集成加密方案(ecies)参数,由受保护cag id、归属网络的公钥和椭圆曲线密码学(ecc)临时公钥和私钥对来确定。
276.当ue(100)通过将cag id嵌入在suci中来构造suci并将其作为ue标识符递送到服务网络时,ue(100)将cag id嵌入在suci中的指示符suci中的cag id”)以及ue的suci递送到服务网络的amf(300a)。服务网络的amf(300a)在接收到具有“suci中的cag id”指示符的suci时,经由ausf(500)在认证请求中将ue的suci和cag id指示(“suci中的cag id”)转发到归属网络的udm(400a)。基于cag id指示,udm(400a)在主要认证成功时,将suci解除隐藏以导出supi和cag id,并经由ausf(500)将它们提供给服务网络amf(300a)。
277.作为注册请求过程的一部分,服务网络的amf(300a)/seaf(300b)(服务网络也可能属于hplmn)通过在到ausf(500)的nausf_ueauthentication_authenticate请求消息中包括ue的suci和“suci中的cag id”指示以及其他可能的参数(例如,服务网络信息)来发起主要认证过程。amf(300a)在注册请求消息中从ue(100)接收suci和“suci中的cag id”指示,或者从ng-ran(200)(例如,通过n2消息)接收suci和“suci中的cag id”指示。ausf(500)在到udm(400a)的nudm_ueauthentication_get_request消息中包括suci和“suci中的cag id”指示以及其他可能的参数。基于来自ausf(500)的“suci中的cag id”指示,udm(400a)执行将suci解除隐藏为supi和cag id的过程。udm(400a)使用与ue(100)用于隐藏supi的机制
相同的机制将suci解除隐藏以识别/导出supi和cag id。如果suci和ccag id被成功地解除隐藏,则udm(400a)继续执行ts 33.501中指定的过程。udm(400a)在对ausf(500)的响应消息中包括cag id和supi,并且ausf(500)在成功认证时将它们转发到amf(300a)/seaf(300b)。
278.由于归属网络公钥以及用于suci和ccag id导出的保护方案是相同的,因此将suci解除隐藏的udm(400a)也能够将cag id解除隐藏。通过空中向网络递送在suci中隐藏的cag id防止中间人攻击者识别ue(100)正在尝试接入的npn/cag小区。
279.图4是图示根据本文公开的示例实施例的用于在来自ausf(500)的ue认证时递送加密的cag标识符,以便udm使用对称加密机制将隐藏的cag id解除隐藏的另一替代示例方法的顺序流程图。
280.示例替代方案1.c:udm(100)在来自ausf(500)的ue认证时使用对称加密机制将隐藏的cag id解除隐藏。在服务请求或注册管理过程期间,当ue(100)不具有有效的安全情境(例如,ue(100)不具有guti或存储的guti无效)时,如果ue(100)正在使用cag小区接入ng-ran(200),则ue(100)在an参数中向服务网络发送隐私保护的cag标识符(ccag id)。
281.ue(100)如下构造ccag id:
282.生成一个被称为nonce的随机值。
283.归属网络为ue(100)提供/配置对称加密算法,以用于保护提供的允许cag列表中的cag id。
284.ue(100)利用nonce和ue的supi作为对称加密算法的密钥来生成密钥流。
285.生成的密钥流与cag id进行异或(xor)以生成ccag id。
286.ue(100)构造ccag id,并在an参数中将ccag id和nonce递送到服务网络。作为注册请求过程的一部分,服务网络的amf(300a)/seaf(300b)(服务网络也可能属于hplmn)通过在到ausf(500)的nausf_ueauthentication_authenticate请求消息中包括隐藏的cag标识符(ccag id)和nonce以及其他可能的参数来发起主要认证过程。amf(300a)在注册请求消息中从ue(100)接收ccag id和nonce,或者从ng-ran(200)(例如,通过n2消息)接收ccag id和nonce。ausf(500)在到udm(400a)的nudm_ueauthentication_get_request消息中包括ccag id和nonce以及其他可能的参数。udm(400a)执行将包括在nudm_ueauthentication_get_request消息中的suci和ccag id解除隐藏的过程。udm(400a)将suci解除隐藏并识别ue(100)(supi)。基于supi,udm(400a)识别要用于将ccag id解除隐藏的对称加密算法。与ue(100)相同,udm(400a)使用nonce、supi作为输入参数,并对ccag id解除隐藏。如果suci和ccag id被成功地解除隐藏,则udm(400a)继续执行ts 33.501中指定的过程。udm(400a)在对ausf(500)的响应消息中包括cag id和supi,并且ausf(500)在成功认证时将它们转发到amf(300a)/seaf(300b)。
287.通过空中向网络递送隐藏的cag id(ccag id)防止中间人攻击者识别ue(100)正在尝试接入的npn/cag小区。
288.示例解决方案2:ue(100)在安全情境建立之后,在服务请求或注册管理过程期间向网络递送cag id,当ue(100)不具有有效的安全情境(ue不具有guti或存储的guti无效)时,ue不向服务网络递送cag标识符。在主要认证成功并且在ue和服务网络之间建立nas和rrc安全情境之后,如果ue正在使用cag小区接入ng-ran,则ue将向服务网络递送cag id。
289.图5是图示根据本文公开的示例实施例的用于在没有完整性保护的情况下接收到5gmm原因值“cag小区不被允许”时处理5gmm原因值的各种示例过程的顺序流程图。
290.示例过程能够用于防止在使用cag小区接入公共网络集成非公共网络(pnivpn)的ue(100)上对服务的拒绝。要考虑的一个示例问题是ue(100)在接收到对cag id接入请求的未受保护的nas拒绝消息时更新其归属网络配置的允许cag列表。
291.在服务请求或注册管理过程期间,在接收到对cag id接入请求的未受保护的nas拒绝消息时,ue(100)不更新其“允许cag列表”。防止ue(100)在接收到未受保护的nas拒绝消息时更新其配置(允许cag列表)将防止ue(100)拒绝到使用cag小区的公共网络集成非公共网络(pnivpn)的服务。在接收到对cag id接入请求的未受保护的nas拒绝消息时,ue(100)重新尝试再次注册到网络达x次和/或以周期性时间间隔重新尝试再次注册到网络。该重新尝试次数(x)和/或周期性时间间隔可以在ue(100)中配置或由ue(100)从amf(300a)接收。
292.此外,在功率周期期间,ue(100)将plmn特定尝试计数器值存储在me的存储器(如nv ram)或usim中。ue(100)在通电之后使用相同的存储值,使得能够避免重新尝试。
293.如图5所示,在步骤1,ue(100)尝试经由cag小区接入npn网络。在步骤2,ue(100)向amf(300a)/seaf(300b)递送包括suci和cag标识符的注册请求。在步骤3,服务网络中的amf(300a)决定在没有安全情境建立(即,主要认证)的情况下向ue(100)递送注册拒绝消息。amf(300a)/seaf(300b)以未受保护的格式向ue(100)递送注册拒绝消息。在步骤4,amf(300a)/seaf(300b)向ue(100)递送注册拒绝(原因值=cag小区不被允许)。在步骤5,如果从amf(300a)/seaf(300b)接收的具有与cag小区不被允许相关的原因值的注册拒绝消息是未受保护的,则由于来自amf的注册拒绝消息是未受保护的,因此ue(100)不通过删除cag id来更新其允许cag列表。此外,ue(100)尝试再次向网络注册。在步骤6,ue(100)向amf(300a)/seaf(300b)递送包括suci和cag标识符的注册请求消息。
294.图6是图示根据本文公开的示例实施例的用于在没有完整性保护的情况下接收到注册拒绝消息时处理注册拒绝消息的各种方法的流程图。
295.在ue(100)上电之后,ue(100)对作为禁止plmn列表的一部分的所有plmn,将plmn特定尝试计数器值设置为最大值。尽管从plmn特定尝试计数器的角度描述了该示例实施例,但是类似的问题和方法适用于plmn特定ps尝试计数器、用于“被认为对非gprs服务无效的sim/usim”事件的计数器,以及用于“被认为对gprs服务无效的sim/usim”事件的计数器。
296.在步骤1,ue的调制解调器向网络(600)递送注册请求消息。基于注册请求消息,网络(600)向ue的调制解调器递送具有原因#11的注册拒绝消息。基于具有原因#11的注册拒绝消息,plmn特定尝试计数器被增加到1,启动nas定时器t3247。在t3247定时器到期之后,开始重启注册过程。
297.在步骤2,ue的调制解调器向网络(600)递送注册请求消息。基于注册请求消息,网络(600)向ue的调制解调器递送具有原因#11的注册拒绝消息。基于具有原因#11的注册拒绝消息,plmn特定尝试计数器被增加到2,启动nas定时器t3247,并且在t3247到期之后,开始重启注册过程。
298.在步骤3,ue的调制解调器还向网络(600)递送注册请求消息。基于注册请求消息,网络(600)将具有原因#11的注册拒绝消息递送到ue的调制解调器。基于具有原因#11的注
册拒绝消息,plmn特定尝试计数器被增加到3。例如,假设最大尝试计数器值为3。在这种情况下,plmn“p1”被填充到fplmn列表中。ue(100)断电和上电。ue(100)删除plmn特定尝试计数器情境。ue的ap向ue的调制解调器递送plmn p1的手动选择。
299.然后,ue的调制解调器向网络(600)递送注册请求消息。基于注册请求,网络(600)向调制解调器递送具有原因#11的注册拒绝消息。基于具有原因#11的注册拒绝消息,plmn特定尝试计数器被增加到1,启动定时器t3247。在t3247到期之后,重新开始注册过程,并且重复步骤2和3,但这在网络上产生不必要的信令负载。
300.图7是图示根据本文公开的示例实施例的用于在初始nas消息传输过程中传输信息元素的各种示例操作的顺序流程图。
301.在示例实施例中,
302.ue(100)不具有有效的5g非接入层(nas)安全情境。
303.ue(100)需要向amf 300a递送初始nas消息和第一信息元素(ie)。ue(100)仅递送具有明文ie的初始nas消息。ue(100)没有在初始nas消息中包括第一信息元素。
304.网络(5g核心)执行5g认证过程。ue(100)建立5g nas安全情境。
305.网络向ue(100)递送安全模式命令nas消息。
306.在接收到安全模式命令nas消息之后,在步骤2中创建的5g nas安全情境成为当前5g nas安全情境。
307.ue(100)发送包含完整初始nas消息的安全模式完整nas消息,该完整初始nas消息包含第一ie。安全模式完整nas消息用当前5g nas安全情境加密。
308.上述步骤中的第一ie可以包含以下信息元素中的至少一个:
309.低接入优先级指示,
310.严格周期性注册定时器指示,
311.扩展不连续接收(edrx),以及
312.封闭接入组(cag)标识符。
313.当ue(100)处于5g移动性管理(5gmm)空闲状态时,递送上述步骤中的初始nas消息(例如,注册请求消息、服务请求消息或注销请求消息)。
314.在另一示例实施例中,
315.ue(100)不具有有效的5g nas安全情境。
316.ue(100)需要递送初始nas消息和第一信息元素(ie)。ue仅递送具有明文ie的初始nas消息,并且ue(100)在初始nas消息中包括第一信息元素。
317.上述步骤中的第一ie可以包含以下信息元素中的至少一个:
318.低接入优先级指示,
319.严格周期性注册定时器指示,
320.扩展不连续接收(edrx),以及
321.封闭接入组(cag)标识符
322.当ue(100)处于5g移动性管理(5gmm)空闲状态时,发送上述步骤中的初始nas消息(例如,注册请求消息、服务请求消息或注销请求消息)。
323.如图7所示,在步骤1,ue(100)没有有效的5g nas安全情境。在步骤2,ue(100)向amf(300a)递送初始nas消息(明文ie)。在步骤3,基于初始nas消息,在ue(100)和amf(300a)
之间执行认证过程。在步骤4,amf(300a)向ue(100)递送安全模式命令。在步骤5,在ue(100)处创建当前5g nas安全情境。在步骤6,ue(100)向amf(300a)递送安全模式完整消息(即,包含第一ie的完整初始nas消息)。
324.图8是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的各种操作的顺序流程图。
325.步骤1:ue(100)驻留在cag小区上并注册到公共网络集成npn。ue(100)具有对cag小区的有效订阅。ue(100)处于具有rrc非激活指示的5gmm-connected模式。cag小区广播单个cag id。
326.步骤2:ue(100)在cag小区上执行恢复过程。ue(100)在恢复过程期间在rrc消息中递送小区的cag id。例如,ue(100)在nr的rrcresumerequest消息或rrcresumecomplete消息中或在新rrc消息中或现有rrc消息中递送cag小区的cag id。对于ng-enb,ue(100)在rrcconnectionresume消息或rrcconnectionresumecomplete消息中递送cag小区的cag id。在示例实施例中,ue可以递送没有cag id的rrcresumerequest。
327.在步骤2a,ue(100)向ng-ran(200)递送包括cag id的rrcresumerequest消息。在示例实施例中,ue可以递送没有cag id的rrcresumerequest消息。基于rrcresumerequest,ng-ran(200)在步骤2b向ue(100)递送rrcresume消息。在步骤2c,ue(100)递送包括cag id的rrcresumecomplete消息和nas消息。在示例实施例中,nas消息是可选的。
328.在步骤3:ng-ran(200)在现有n1ap消息中或在新n1ap消息中将接收的cag id转发到amf(300a)。
329.步骤4:amf(300a)检查ue(100)是否具有对cag id的订阅。如果ue(100)具有对cag id的订阅,则在步骤5a,网络(即,amf(300a))保持ue(100)处于5gmm-connected模式。如果对cag标识符的ue订阅已经到期,则在步骤5b,amf(300a)递送现有nas消息或新nas消息,其向ue(100)指示与cag id相对应的cag小区订阅的订阅已经到期。在递送nas消息之后,网络释放n1信令连接。
330.在另一示例实施例中,cag小区在属于注册的公共网络集成npn的cag小区中广播多个cag id,并且ue(100)订阅在cag小区中广播的多个cag id。ue(100)中的允许cag列表包括在cag小区中广播的多于一个cag id。在步骤2,当ue(100)选择第二cag id时(例如,当从ue允许cag列表中移除第一cag标识符时),则在步骤1中选择的cagid,则ue(100)在步骤2中递送第二cag id。ue(100)和amf(300a)执行步骤1-4。
331.步骤5a,如果ue(100)具有到cag id的订阅,则amf继续nas过程或保持ue(100)处于5gmm-connected状态。在步骤5b,如果没有到cag id的订阅,则将nas消息(cag id未被订阅或cag允许列表)递送到ue。
332.图9是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的替代的各种操作的顺序流程图。
333.在步骤1:ue(100)驻留在广播cag标识符1的第一cag小区上并注册到公共网络集成npn。ue(100)具有对第一cag小区和第二cag小区的有效订阅。ue(100)的允许cag列表包括具有cag标识符1和cag标识符2的条目。ue(100)处于具有rrc非激活指示的5gmm-connected模式。在示例实施例中,cag标识符1和cag标识符2属于注册的公共网络集成npn。
334.在步骤2,ue选择广播cag标识符2但不广播cag标识符1的第二cag小区。第二cag小
区还可以广播与cag标识符1和cag标识符2不同的cag标识符。
335.在步骤3a,ue(100)向ng-ran(200)递送包括cag id的rrcresumerequest消息。基于rrcresumerequest,ng-ran(200)在步骤3b向ue(100)递送rrcresume消息。在步骤3c,ue(100)递送包括cag id的rrcresumecomplete消息和nas消息。在示例实施例中,nas消息是可选的。通常,在步骤3a-步骤3c,ue(100)选择广播cag标识符2但不广播cag标识符1的第二cag小区。第二cag小区还可以广播与cag标识符1和cag标识符2不同的cag标识符。
336.此外,ue(100)在从上层接收到请求时对第二cag小区执行恢复过程。ue(100)选择cag标识符2,并且ue(100)在恢复过程期间在rrc消息中递送cag标识符2。在示例中,ue(100)在nr的rrcresumerequest或rrcresumecomplete消息中或在新rrc消息中或现有rrc消息中递送cag小区的cag id。对于ng-enb,ue(100)在rrcconnectionresume消息或rrcconnectionresumecomplete消息中递送cag小区的cag id。
337.在步骤4:ng-ran(200)在现有n1ap消息中或在新n1ap消息中将接收的cag标识符2转发到amf(300a)。
338.在步骤5:amf(300a)检查ue(100)是否具有对cag标识符2的有效订阅。amf(300a)执行步骤6a或6b。
339.在步骤6a:如果ue(100)具有对cag标识符2的有效订阅,则网络保持ue处于5gmm-connected模式。如果amf(300a)接收到可选的nas消息,则amf(300a)处理nas消息。
340.在步骤6b:如果对cag标识符2的ue订阅已经到期或者ue(100)没有对cag标识符2的有效订阅,则amf(300a)递送现有nas消息或新nas消息,其向ue(100)指示与cag标识符2相对应的cag小区订阅的订阅已经到期。在递送nas消息之后,网络释放n1信令连接。
341.在示例实施例中,第一cag小区和第二cag小区属于相同的注册区域。在另一实施例中,第一cag小区和第二cag小区不属于相同的注册区域。
342.在示例实施例中,ng-ran(200)在步骤1中存储cag小区标识符1。ng-ran(200)在步骤2-3中接收cag标识符,当ng-ran(200)接收到cag标识符2并且ng-ran(200)确定cag标识符1和cag标识符2不同时,则ng-ran(200)执行以下步骤之一:
343.ng-ran(200)拒绝rrc恢复过程并递送rrcconnectionreject。
344.ng-ran(200)递送建立rrc连接的rrc连接建立消息,并且ue(100)递送包含cag标识符2的rrc连接建立完成消息。
345.ng-ran(200)通过递送rrcconnectionrelease消息来释放rrc连接。
346.图10是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的替代的各种示例操作的流程图。
347.步骤1:ue(100)驻留在广播cag标识符1的第一cag小区上并注册到公共网络集成npn。ue(100)具有对第一cag小区和第二cag小区的有效订阅。ue允许的cag列表包括cag标识符1和cag标识符2的条目。ue(100)处于具有rrc非激活指示的5gmm-connected模式。在示例实施例中,cag标识符1和cag标识符2属于注册的公共网络集成npn。
348.步骤2:ue(100)选择广播cag标识符2但不广播cag标识符1的第二cag小区。第二cag小区可以广播除了cag标识符1和2之外的cag标识符。
349.ue(100)从具有rrc非激活的5gmm-connected状态转换到5gmm-idle模式,并释放存储的as情境。此外,ue(100)在从上层接收到请求时建立rrc连接。ue(100)在rrc连接建立
过程期间(例如,在rrc建立完成消息或rrc连接建立完成消息中)递送cag标识符2。
350.在步骤3a,ue(100)向ng-ran(200)递送包括cag id的rrcresumerequest消息。基于rrcresumerequest消息,ng-ran(200)在步骤3b向ue(100)递送rrcresume消息。在步骤3c,ue(100)递送包括cag id的rrcresumecomplete消息和nas消息。在示例实施例中,nas消息是可选的。
351.步骤4:ng-ran(200)在现有n1ap消息中或在新n1ap消息中将接收的cag标识符2转发到amf(300a)。
352.步骤5:amf(300a)检查ue(100)是否具有对cag标识符2的有效订阅。如果ue(100)具有对cag标识符2的有效订阅,则网络在步骤6a保持ue(100)处于5gmm-connected模式。如果对cag标识符2的ue订阅已经到期,则amf(300a)在步骤6b递送向ue(100)指示与cag标识符2相对应的订阅已经到期的现有nas消息或新nas消息。在递送nas消息之后,网络释放n1信令连接。
353.在示例实施例中,amf(300a)向ng-ran(200)提供更新的允许cag列表。当ng-ran(200)在恢复过程期间接收到cag标识符时,ng-ran(200)确定从ue(100)接收的cag标识符是否在允许cag列表中。在示例实施例中,当ng-ran(200)接收到rrcresumerequest消息时,ng-ran(200)确定在cag小区中广播的至少一个cag id是否在ue的允许cag列表中。如果接收的cag id或至少一个cag id在允许cag列表中,则ng-ran(200)继续恢复过程。否则,ng-ran(200)释放rrc连接并在现有rrc消息(例如,rrcconnectionrelease消息或rrcconnectionreject消息)或新rrc消息中发送向ue(100)指示cag标识符未被订阅的信息元素(ie)。在一个示例中,信息元素被完整性保护地递送。当ue(100)接收到rrc消息中的信息元素时,ue(100)从允许cag列表中移除递送的cag标识符。在另一实施例中,ng-ran(200)在新rrc消息或现有rrc消息中递送与ue(100)相关的整个允许cag列表。ue(100)在接收到允许cag列表时,用从ng-ran(200)接收的允许cag列表替换存储的允许cag列表。在另一示例实施例中,ng-ran(200)包括cag标识符以及向ue(100)指示cag标识符未被订阅的信息元素。
354.图11是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的另一各种操作的顺序流程图。
355.在步骤1:ue(100)驻留在cag小区上并注册到公共网络集成npn。ue(100)具有对cag小区的有效订阅。ue(100)处于具有暂停指示的5gmm-idle模式。cag小区广播单个cag id。
356.此外,ue(100)对cag小区执行恢复过程,并在恢复过程期间在rrc消息中递送小区的cag id。例如,ue(100)在nr的rrcresumerequest消息或rrcresumecomplete消息中或在新rrc消息中或在现有rrc消息中递送cag小区的cag id。对于ng-enb,ue(100)在rrcconnectionresume消息或rrcconnectionresumecomplete消息中递送cag小区的cag id。
357.在步骤2a,ue(100)向ng-ran(200)递送包括cag id的rrcresumerequest消息。基于rrcresumerequest,ng-ran(200)在步骤2b向ue(100)递送rrcresume消息。在步骤2c,ue(100)递送包括cag id的rrcresumecomplete消息和nas消息。在示例实施例中,nas消息是可选的。
358.在步骤3:ng-ran(200)在现有n1ap消息中或在新n1ap消息中将接收的cag id转发到amg(300)。
359.在步骤4:amf(300a)检查ue(100)是否具有对cag id的有效订阅。如果ue(100)具有对cag id的有效订阅,则网络在步骤5a保持ue(100)处于5gmm-connected模式。如果对cag标识符的ue订阅已经到期,则amf(300a)在步骤5b递送现有nas消息或新nas消息,其向ue(100)指示与cag id相对应的cag小区订阅的订阅已经到期。在递送nas消息之后,网络释放n1信令连接。
360.在示例实施例中,当cag小区在属于注册公共网络集成npn的cag小区中广播多个cag id并且ue(100)订阅在cag小区中广播的多个cag id时,即,存储在ue(100)中的允许cag列表包括在cag小区中广播的多于一个cag id时。在步骤1,当ue(100)选择第二cag id并在步骤2中递送第二cag id时。ue和网络执行步骤1-3。
361.在步骤4,amf(300a)确定ue(100)是否订阅了cag id。
362.在步骤5a,如果ue(100)具有对cag id的有效订阅,则amf(300a)继续nas过程或保持ue(100)处于5gmm-connected状态。
363.在步骤5b,如果ue没有对cag id的有效订阅,则amf(300a)递送nas消息(cag id未被订阅或cag允许列表)。
364.图12是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的另一替代示例实施例的顺序流程图。
365.在步骤1:ue(100)驻留在广播cag标识符1的第一cag小区上并且注册到注册的公共网络集成npn。ue(100)具有对第一cag小区和第二cag小区的有效订阅,即,ue的允许cag列表具有cag标识符1和cag标识符2的条目。ue(100)处于具有暂停指示的5gmm-idle模式。在一个示例中,cag标识符1和cag标识符2属于注册的公共网络集成npn。
366.步骤2:ue(100)选择广播cag标识符2但不广播cag标识符1的第二cag小区。第二cag小区可以广播除了cag标识符1和2之外的cag标识符。
367.在步骤3a-3c:ue(100)在从上层接收到请求时对cag小区执行恢复过程。ue(100)选择第二cag标识符2,并在恢复过程期间在rrc消息中递送cag标识符2。在示例中,ue(100)在nr的rrcresumerequest或rrcresumecomplete消息中或在新rrc消息中或在现有rrc消息中递送cag小区的cag id。对于ng-enb,ue(100)在rrcconnectionresume消息或rrcconnectionresumecomplete消息中递送cag小区的cag id。
368.在步骤4:ng-ran(200)在现有n1ap消息中或在新n1ap消息中将接收的cag标识符2转发到amf(300a)。
369.在步骤5:amf(300a)检查ue(100)是否具有对cag标识符2的有效订阅。
370.在步骤6a,如果ue(100)具有对cag标识符2的有效订阅,则amf(300a)保持ue(100)处于5gmm-connected连接模式。如果对cag标识符2的ue订阅已经到期,则amf(300a)递送向ue(100)指示与cag标识符2相对应的cag小区订阅的订阅已经到期的现有nas消息或新nas消息。在递送nas消息之后,网络在步骤6b释放n1信令连接。
371.在示例中,第一cag小区和第二cag小区属于相同的注册区域。在另一示例中,第一cag小区和第二cag小区不属于相同的注册区域。
372.在示例中,在步骤1中,ng-ran(200)存储cag小区标识符1。在步骤3-4中,当ng-ran
(200)接收到cag标识符并且当ng-ran(200)接收到cag标识符2时,ng-ran(200)确定cag标识符1和cag标识符2不同,然后执行以下步骤之一:
373.ng-ran(200)拒绝rrc恢复过程并递送rrc连接拒绝消息。
374.ng-ran(200)递送建立rrc连接的rrc连接建立消息,并且ue(100)递送包含cag标识符2的rrc连接建立完成消息。
375.图13是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的各种操作的另一示例的顺序流程图。
376.在步骤1:ue(100)驻留在广播cag标识符1的第一cag小区上并且注册到公共网络集成npn。ue(100)具有对第一cag小区和第二cag小区的有效订阅,即,ue允许cag列表具有条目cag标识符1和cag标识符2。ue(100)处于具有暂停指示的5gmm-idle模式。在示例中,cag标识符1和cag标识符2属于注册的公共网络集成npn。
377.在步骤2:ue(100)选择广播cag标识符2但不广播cag标识符1的第二cag小区。第二cag小区可以广播除了cag标识符1和2之外的cag标识符。ue(100)从具有rrc非激活的5gmm-connected状态转换到5gmm-idle模式,并释放存储的as情境。
378.在步骤3a-3c:ue(100)在从上层(例如,非接入层(nas))接收到请求时建立rrc连接。ue(100)在rrc连接建立过程期间(即,在rrc建立完成消息或rrc连接建立完成消息中)递送cag标识符2。
379.在步骤4:ng-ran(200)在现有n1ap消息中或在新n1ap消息中将接收的cag标识符2转发到amf(300a)。
380.在步骤5:amf(300a)检查ue(100)是否具有对cag标识符2的有效订阅。在6a,如果ue(100)具有对cag标识符2的有效订阅,则网络(即,amf(300a))保持ue(100)处于5gmm-connected模式。在步骤6b,如果对cag标识符2的ue订阅已经到期,则amf(300a)递送向ue(100)指示与cag标识符2相对应的cag小区订阅的订阅已经到期的现有nas消息或新nas消息。在递送nas消息之后,网络(即,amf(300a))释放n1信令连接。
381.在一个示例中,对于图10至图13中所公开的过程,amf(300a)将更新的允许cag列表提供给ng-ran(200)。当ng-ran(200)在恢复过程期间接收到cag标识符时,ng-ran(200)确定从ue(100)接收的cag标识符是否在允许cag列表中。如果接收的cag id在允许列表中,则ng-ran(200)继续恢复过程。否则,ng-ran(200)释放rrc连接并在现有rrc消息(例如,rrcconnectionrelease或rrcconnectionreject)或新rrc消息中递送向ue(100)指示cag标识符未被订阅的信息元素。在示例中,信息元素被完整性保护地递送。当ue(100)接收到rrc消息中的信息元素时,ue(100)从允许cag列表中移除发送的cag标识符。在另一示例中,ng-ran(200)在现有rrc消息或现有rrc消息中递送与ue(100)相关的允许cag列表。ue(100)在接收到允许cag列表时,用从ng-ran(200)接收的允许cag列表替换存储的允许cag列表。在另一示例中,ng-ran(200)包括cag标识符以及指示ue(100)未订阅cag标识符的信息元素。
382.图14是图示根据本文公开的示例实施例的用于在恢复过程期间传输cag标识符的其他替代示例过程的顺序流程图。
383.在步骤1:ue(100)具有包括多于一个cag标识符的允许cag列表。ue(100)驻留在广播相同公共网络集成npn的多于一个cag标识符的cag小区上。在允许cag列表中存在多于一个广播的cag标识符。
384.在步骤2-步骤3c:ue(100)发起rrc连接建立过程,并且ue(100)在rrc连接期间向ng-ran(200)递送存在于ue(100)的允许cag列表中的所有广播的cag标识符。在步骤3a,ue(100)向ng-ran(200)递送包括cag id列表的rrcconnectionrequest消息。基于rrcconnectionrequest,ng-ran(200)在步骤3b向ue(100)递送rrcsetup消息。基于rrcsetup,ue(100)在步骤3c向ng-ran(200)递送包括cag id列表的rrcsetupcomplete消息和nas消息。在示例实施例中,nas消息是可选的。
385.在步骤4:ng-ran(200)将所有从ue(100)接收的cag标识符转发到amf(300a)。
386.在步骤5:amf(300a)检查ue(100)是否具有与接收的cag标识符相对应的有效订阅。amf(300a)执行步骤6a或6b。
387.在步骤6a:如果amf(300a)确定ue(100)对接收的cag标识符中的至少一个具有有效订阅,则amf(300a)继续nas过程或保持ue(100)处于5gmm-connected状态。
388.在步骤6b:如果ue(100)没有对任何csg标识符的有效订阅,则amf(300a)向ue(100)通知ue(100)没有对接收的cag标识的有效订阅。随后amf(300a)释放nas信令连接。
389.在示例实施例中,在ue(100)处于具有rrc非激活指示的5gmm-connected或具有暂停指示的5gmm-idle模式时的恢复过程期间(即,在从具有rrc非激活状态的5gmm-connected到5gmm-connected模式或从具有暂停指示的5gmm-connected到5gmm-connected模式的状态转换期间),也存在于ue允许的cag列表中的cag小区中的注册公共网络集成npn的多个广播的cag标识符被递送到ng-ran(200)。ng-ran(200)将这些cag标识符转发到amf(300a)。然后amf(300a)执行步骤5-6b。
390.图15是图示根据本文公开的示例实施例的用于处理cag id最终的各种示例过程的顺序流程图。
391.在步骤1,网络(即,ng-ran(200))支持cag标识符(或身份)1,并在系统信息块(sib)中广播与cag1相关的cag标识符1。
392.在步骤2,amf(300a)确定停止与cag标识符1相关的信令(例如,由于与cag身份1相关的信令风暴导致的amf(300a)中的过载情况)。
393.在步骤3,amf(300a)向ng-ran(200)递送包含cag标识符1的ngap消息(例如,开始过载),指示ng-ran(200a)停止与cag标识符1相关的信令。amf(300a)可以不将该请求递送到连接到amf(300a)的随机ng-ran。在示例中,amf(300a)将该消息递送到连接到amf(300a)的所有ng-ran(200)。ng-ran(200)在接收到ngap消息时将执行步骤4a-5a或4b。在步骤4a-5a,ng-ran(200)在由ng-ran(200)操作的cag小区中停止广播cag标识1。在示例实施例中,ng-ran(200a)在由ng-ran(200a)操作的一些cag小区中停止广播cag标识符1。
394.在步骤4b,ng-ran(200a)开始拒绝或释放与cag标识符1相关的rrc连接建立过程(例如,当rrcsetupcomplete消息包含cag标识1时,ng-ran(200)通过递送rrcconnectionrelease消息来释放rrc连接)。在示例实施例中,rrc连接释放消息可以包含等待时间或包含等待时间和cag标识符1。一旦接收到rrc连接释放消息,则ue(100)在等待时间期间不发起与cag标识符1相关的as或nas过程。
395.在示例实施例中,当amf(300a)接收到与cag标识符1相关的第一nas消息时,amf(300a)拒绝nas过程并递送包含与cag标识符1相关的退避定时器的第二nas消息,并向ue(100)指示不发起与cag标识符1相关的信令。ue(100a)在接收到第二nas消息时运行退避定
时器,并且在退避定时器到期之前将不发起与cag标识符1相关的任何as或nas过程。在另一示例实施例中,ue(100)仍然cag小区广播cag标识1以选择cag小区。在另一实施例中,ue(100)在退避定时器到期之前不考虑将cag标识符1用于小区选择/重选过程。
396.图16a示出了根据本文公开的示例实施例的用于在无线通信系统中处理cag相关过程的ue(100)的各种硬件组件。ue(100)能够是例如但不限于蜂窝电话、平板电脑、智能电话、膝上型计算机、个人数字助理(pda)、全球定位系统、多媒体设备、视频设备、物联网(iot)设备、智能手表、游戏控制台、智能手表、可折叠显示设备、无人驾驶飞行器(uav)、飞机等。ue(100)还可以被本领域技术人员称为移动站、订户站、移动单元、订户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手持机、用户代理、移动客户端等。
397.在示例实施例中,ue(100)包括处理电路(110)、无线电通信电路(120)和其他电路(130)。处理电路(110)与无线电通信电路(120)和其它电路(130)耦接。处理电路(110)可以包括cag标识符保护引擎。处理电路(110)被配置为执行存储在其他电路(130)中的指令并执行各种处理。无线电通信电路(120)被配置用于在内部硬件组件之间进行内部通信以及经由一个或多个网络与外部设备进行通信。
398.其他电路(130)可以包括存储器。存储器存储要由处理电路(110)执行的指令。存储器可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存或电可编程存储器(eprom)或电可擦除可编程(eeprom)存储器的形式。另外,在一些示例中,存储器可以被视为非暂时性存储介质。术语“非暂时性”可以指示存储介质不是以载波或传播信号来体现。然而,术语“非暂时性”不应被解释为存储器是不可移动的。在一些示例中,存储器能够被配置为存储比存储器更大量的信息。在一些示例中,非暂时性存储介质可以存储能够随时间改变的数据(例如,在随机存取存储器(ram)或高速缓冲存储器中)。
399.在示例实施例中,包括在处理电路110中的cag标识符保护引擎被配置为触发与amf实体(300a)和seaf实体(300b)中的至少一个的初始注册过程。此外,cag标识符保护引擎被配置为检测ue(100)不具有有效的nas安全情境,并且在初始注册过程期间基于检测来保护cag id。在示例实施例中,在suci中保护cag id。
400.cag标识符保护引擎还被配置为将包括具有受保护cag id的suci的注册请求消息递送到amf实体(300a)和seaf实体(300b)中的至少一个。
401.在另一实施例中,cag标识符保护引擎被配置为检测ue(100)不具有有效的nas安全情境。cag标识符保护引擎还被配置为递送具有明文ie的初始nas消息,其中,ue(100)在初始nas消息中不包括第一信息元素。第一ie是cag标识符。cag标识符保护引擎还被配置为创建nas安全情境。通过在ue(100)和amf(300a)之间执行认证过程,基于认证过程接收安全模式命令,并且基于接收的安全模式命令创建nas安全情境来创建nas安全情境。cag标识符保护引擎还被配置为发送包括完整初始nas消息的安全模式完整nas消息。安全模式完整nas消息用nas安全情境加密。安全模式完整nas消息包括第一ie。
402.在示例实施例中,通过用supi将cag id保护到suci中来在suci中保护cag id。
403.在示例实施例中,cag标识符保护引擎将包括受保护cag id作为接入网络参数的注册请求消息递送到amf实体(300a)和seaf实体(300b)中的至少一个。
404.在示例实施例中,cag标识符保护引擎还被配置为向amf实体(300a)和seaf实体(300b)中的至少一个指示受保护cag id是否存在于suci中。
405.在另一示例实施例中,cag标识符保护引擎被配置为触发与amf实体(300a)和seaf实体中的至少一个的初始注册过程。cag标识符保护引擎还被配置为在触发初始注册过程的同时检测ue(100)不具有有效的nas安全情境,并递送具有明文ie的初始nas消息。ue(100)在初始nas消息中不包括第一ie。第一ie能够是cag标识符和低接入优先级指示符。cag标识符保护引擎还被配置为创建nas安全情境并发送包括完整初始nas消息的安全模式完整nas消息。安全模式完整nas消息用nas安全情境加密。通过在ue(100)和amf(300a)之间执行认证过程,基于认证过程接收安全模式命令,并且基于接收的安全模式命令创建nas安全情境来创建nas安全情境。
406.在示例实施例中,安全模式完整nas消息包括第一ie。
407.在示例实施例中,cag标识符保护引擎被配置为接收向ue(100)指示在rrc消息中至少一个cag id未被订阅的信息元素。所述信息元素是从ng-ran(200)被接收的。此外,cag标识符保护引擎被配置为执行以下之一:基于接收的信息元素从允许cag列表中移除至少一个cag id,以及基于接收的信息元素用来自ng-ran的新接收的允许cag列表替换存储的允许cag列表。
408.尽管图16a示出了ue(100)的各种硬件组件,但是应当理解,其他示例实施例不限于此。在其他示例实施例中,ue(100)可以包括更少或更多的组件。此外,组件的标签或名称仅用于说明性目的。能够将一个或多个组件组合在一起以执行相同或基本相似的功能,以处理无线通信系统中的cag相关过程。
409.图16b示出了根据本文公开的示例实施例的用于在无线通信系统中处理cag相关过程的amf实体(300a)和seaf实体(300b)的各种硬件组件。amf实体(300a)和seaf实体(300b)包括处理电路(310)、无线电通信电路(320)和其他电路(330)。无线电通信电路(320)可以被称为接口电路。处理电路(310)与其他电路(330)和无线电通信电路(320)耦接。无线电通信电路(520)可以被称为接口电路。处理电路(310)可以包括cag标识符保护引擎。处理电路(310)被配置为执行存储在其他电路(330)中的指令并执行各种过程。无线电通信电路(320)被配置用于在内部硬件组件之间进行内部通信并且经由一个或多个网络与外部设备进行通信。
410.处理电路(310)被配置为从ue(100)接收包括具有受保护cag id的suci的注册请求消息。处理电路(310)还被配置为基于注册请求消息向ausf实体(500)递送认证请求消息。认证请求消息包括具有受保护cag id的suci。处理电路(310)还被配置为基于认证请求消息发起主要认证过程。
411.尽管图16b示出了amf实体(300a)或seaf实体(300b)的各种硬件组件,但是应当理解,其他示例实施例不限于此。在其他示例实施例中,amf实体(300a)或seaf实体(300b)可以包括更少或更多的组件。此外,组件的标签或名称仅用于说明性目的。可以将一个或多个组件组合在一起以执行相同或基本相似的功能,以处理无线通信系统中的cag相关过程。
412.图16c示出了根据本文公开的示例实施例的用于在无线通信系统中处理cag相关过程的ausf实体(500)的各种硬件组件。ausf实体(500)包括处理电路(510)、无线电通信电路(520)和其他电路(530)。处理电路(510)与其他电路(530)和无线电通信电路(520)耦接。
无线电通信电路(520)可以被称为接口电路。处理电路(510)可以包括cag标识符保护引擎。处理电路(510)被配置为执行存储在存储器中的指令并执行各种过程。无线电通信电路(520)被配置用于在内部硬件组件之间进行内部通信并且经由一个或多个网络与外部设备进行通信。
413.处理电路(510)被配置为从amf实体(300a)和seaf实体(300b)中的一个接收认证请求消息。认证请求消息包括具有受保护cag id的suci。处理电路(510)还被配置为确定认证请求消息包括具有受保护cag id的suci。处理电路(510)还被配置为基于所述确定向udm(400a)递送认证获取请求消息。处理电路(510)还被配置为基于认证获取请求消息,通过使用udm(400a)将supi的suci和cag id解除隐藏,从udm(400a)接收认证获取响应消息。认证获取响应消息包括具有supi的解除隐藏的cag id。处理电路(510)还被配置为将来自udm(400a)的认证获取响应消息共享给amf(300a)和seaf(300b)中的至少一个。
414.图16c还可以用于包括5g核心网络实体中的一个(例如,udm、arpf或sidf)的其他5g核心网络装置。
415.图16d示出了根据本文公开的示例实施例的用于在无线通信系统中处理cag相关过程的基站(即,ng-ran或网络)(200)的各种硬件组件。在示例实施例中,ng-ran(200)包括处理电路(210)、无线电通信电路(220)和其他电路(230)。处理电路(210)与其他电路(230)和无线电通信电路(220)耦接。无线电通信电路(220)可以被称为接口电路。处理电路(210)可以包括cag标识符保护引擎。处理电路(210)被配置为执行存储在存储器中的指令并执行各种处理。无线电通信电路(220)被配置用于在内部硬件组件之间进行内部通信并且经由一个或多个网络与外部设备进行通信。
416.其他电路(230)可以包括存储器。
417.存储器存储要由处理电路(210)执行的指令。存储器可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存或电可编程存储器(eprom)或电可擦除可编程(eeprom)存储器的形式。另外,在一些实例中,存储器可以被视为非暂时性存储介质。术语“非暂时性”可以指示存储介质不以载波或传播信号体现。然而,术语“非暂时性”不应被解释为存储器是不可移动的。在一些示例中,存储器可以被配置为存储比存储器更大量的信息。在一些示例中,非暂时性存储介质可以存储能够随时间改变的数据(例如,在随机存取存储器(ram)或高速缓冲存储器中)。
418.在示例实施例中,cag标识符保护引擎被配置为当ue(100)在cag小区中发起rrc非激活状态到rrc连接状态转换的rrc恢复过程时,接收rrc恢复请求消息。在示例实施例中,基于从amf实体(300a)接收的移动性限制来确定允许cag列表中的至少一个cag标识符。
419.移动性限制与ue(100)的移动性相关订阅信息相对应。移动性相关订阅信息确定ue(100)能够获得服务的小区或跟踪区域。移动性相关订阅信息包括rat限制、禁止区域、服务区域限制、核心网络类型限制和封闭接入组信息。
420.此外,cag标识符保护引擎被配置为确定在cag小区中广播的至少一个cag标识符是否在允许cag列表中。如果至少一个cag id在允许cag列表中,则cag标识符保护引擎被配置为继续进行rrc恢复过程。如果所述至少一个cag id不在允许cag列表中,则cag标识符保护引擎被配置为如果由cag小区广播的所述至少一个cag id没有包括在cag允许列表中,则通过递送rrc消息来释放rrc连接。此外,cag标识符保护引擎被配置为基于释放的rrc连接
在rrc消息中递送向ue指示至少一个cag标识符未被订阅的信息元素。在示例实施例中,rrc消息是rrc连接释放消息和rrc连接拒绝消息中的至少一个。在示例实施例中,信息元素被完整性保护地递送。
421.尽管图16d示出了ng-ran(200)的各种硬件组件,但是应当理解,其他示例实施例不限于此。在其他示例实施例中,ng-ran(200)可以包括更少或更多的组件。此外,组件的标签或名称仅用于说明性目的。可以将一个或多个组件组合在一起以执行相同或基本相似的功能,以处理无线通信系统中的cag相关过程。
422.图17a是图示根据本文公开的示例实施例的由ue(100)实现的用于在无线通信系统(1000)中处理cag相关过程的方法的流程图(1700a)。操作(1702a和1706a)由处理电路110执行。ue可以触发与amf实体(300a)和seaf实体(300b)中的至少一个的初始注册过程(步骤1702a)。ue可以在触发初始注册过程的同时,检测到ue(100)不具有有效的nas安全情境(步骤1704a)。ue可以在初始注册过程期间基于所述检测来保护cag id(步骤1706a)。
423.图17b是图示根据本文公开的示例实施例的由amf实体(300a)或seaf实体(300b)实现的用于在无线通信系统中处理cag相关过程的方法的流程图(1700b)。操作(1702b至1706b)由处理电路310a执行。amf实体(300a)或seaf实体(300b)可以从ue(100)接收包括具有受保护cag id的suci的注册请求消息(步骤1702b)。amf实体(300a)或seaf实体(300b)可以基于注册请求消息向ausf实体(500)递送认证请求消息(步骤1704b)。认证请求消息包括具有受保护cag id的suci。amf实体(300a)或seaf实体(300b)可以基于认证请求消息发起主要认证过程(步骤1706b)。
424.图17c是图示根据本文公开的示例实施例的由ausf实体(500)实现的用于在无线通信系统中处理cag相关过程的方法的流程图(1700c)。操作(1702c至1710c)由处理电路510执行。ausf实体(500)可以从amf实体(300a)和seaf实体(300b)中的一个接收认证请求消息(步骤1702c)。认证请求消息包括具有受保护cag id的suci。ausf实体(500)可以确定认证请求消息包括具有受保护cag id的suci(步骤1704c)。ausf实体(500)可以基于所述确定向udm(400a)递送认证获取请求消息(步骤1706c)。ausf实体(500)基于认证获取请求消息,通过使用udm(400a)将suci解除隐藏为supi和cag id,来从udm(400a)接收认证获取响应消息(步骤1708c)。认证获取响应消息包括具有supi的解除隐藏的cag id。ausf实体(500)可以将来自udm的认证获取响应消息共享给amf(300a)和seaf(300b)中的至少一个(步骤1710c)。
425.图17d是图示根据本文公开的示例实施例的用于在无线通信系统中处理cag相关过程的方法的流程图(1700d)。操作(1702d和1710d)由处理电路(210)执行。
426.在1702d,该方法包括:当ue在cag小区中发起rrc非激活状态到rrc连接状态转换的rrc恢复过程时,接收rrc恢复请求消息。在1704d,该方法包括确定在cag小区中广播的至少一个cag标识符是否在ue(100)的允许cag列表中。如果至少一个cag id在允许cag列表中,则在1706d,该方法包括继续进行rrc恢复过程。如果至少一个cag id不在允许cag列表中,则在1708d,该方法包括通过递送rrc消息来释放rrc连接。在1710d,该方法还包括基于释放的rrc连接,在rrc消息中发送向ue(100)指示至少一个cag标识符未被订阅的信息元素。在1710d中,该方法还包括基于释放的rrc连接在rrc消息中递送与ue相关的允许cag列表。
427.图17e是图示根据本文公开的示例实施例的由ue(100)实现的用于在无线通信系统(1000)中处理cag相关过程的方法的流程图(1700e)。操作(1702e和1708e)由处理电路(110)执行。
428.ue可以触发与amf实体(300a)和seaf实体(300b)中的至少一个的初始注册过程(步骤1702e)。ue可以检测ue(100)不具有有效的nas安全情境(步骤1704e)。ue可以递送具有明文ie的初始nas消息,其中,ue(100)在初始nas消息中不包括第一ie(步骤1706e)。ue可以创建nas安全情境(步骤1708e)。ue可以递送包括完整初始nas消息的安全模式完整nas消息(步骤1710e)。安全模式完整nas消息用nas安全情境加密。
429.图18a是图示根据本文公开的示例实施例的由核心网络装置实现的用于支持ue(200)经由无线电接入网络接入一个或多个封闭接入组(cag)小区的方法的流程图。操作由处理电路执行。
430.核心网络装置可以经由接口电路接收包括与ue相关联的受保护cag标识符(id)的请求信号(步骤1802a)。受保护cag id可用于请求ue接入cag小区。核心网络装置可以将受保护cag id解除隐藏以确定cag id(步骤1804a)。受保护cag id包括cag id。
431.图18b是图示根据本文公开的示例实施例的由ue(200)实现的用于接入一个或多个封闭接入组(cag)小区的方法的流程图。操作由处理电路(210)执行。
432.ue(200)可以产生可用于请求ue接入cag小区的受保护cag标识符(id)(步骤1802b)。ue可以向无线电通信电路提供受保护cag id(步骤1804b)。ue可以向无线电接入网络发送指向核心网络的请求信号(步骤1806b)。请求信号包括受保护cag id。受保护cag id包括cag id。
433.图18c是图示根据本文公开的示例实施例的由ue(200)实现的用于接入一个或多个封闭接入组(cag)小区的方法的流程图。操作由处理电路(210)执行。
434.ue可以获得包括用于cag小区接入的cag标识符(id)的初始非接入层(nas)消息(步骤1802c)。cag id由方案保护。ue可以向无线电通信电路提供初始nas消息(步骤1804c)。ue可以向无线电接入网络发送初始nas消息(步骤1806c)。
435.本文公开的示例实施例能够在至少一个硬件设备上运行并执行网络管理功能以控制元件的至少一个软件程序来实现。
436.流程图中的各种动作、行动、框、步骤等可以以所呈现的顺序、以不同的顺序或同时执行。此外,在一些示例实施例中,在不脱离本发明的范围的情况下,可以省略、添加、修改、跳过等一些动作、行动、框、步骤等。
437.具体示例实施例的前述描述将充分地揭示本文的示例实施例的一般性质,使得其他人能够通过应用当前知识在不脱离总体构思的情况下容易地修改和/或调整这些具体示例实施例以用于各种应用,因此,这些调整和修改应当并且旨在于所公开的示例实施例的等同物的含义和范围内来理解。应当理解,本文采用的措辞或术语是为了描述而不是限制的目的。因此,虽然已经以优选示例实施例描述了本文的示例实施例,但是本领域技术人员将认识到,可以在如本文所述的示例实施例的精神和范围内通过修改来实践本文的示例实施例。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
