Усовершенствованная процедура регистрации в системе мобильной связи, поддерживающей сетевое сегментирование

Настоящее изобретение в целом относится к сетям и системам мобильной связи.

Подробное описание сетей и систем мобильной связи можно найти в соответствующей литературе, в частности, такой как технические спецификации, опубликованные организациями по стандартизации, например 3GPP (проект совместной координации разработки систем третьего поколения).

В общем случае в системе мобильной связи пользователь/пользовательское оборудование (UE, User Equipment) осуществляет доступ к услугам, предоставляемым сетью мобильной связи. Сеть мобильной связи обычно включает базовую сеть (Core Network), доступную через сеть доступа (Access Network), такую как сеть радиодоступа (Radio Access Network).

Примером системы мобильной связи является система следующего поколения (Next Gen, Next Generation), также называемая системой 5G, определяемая в настоящее время стандартами 3GPP, такими как 3GPP TR 23.799, 3GPP TS 23.501 и 3GPP TS 23.502.

Одной из концепций, используемых в сетях мобильной связи следующего поколения (или 5G), является концепция сетевого сегментирования (network slicing). Как указано, например, в 3GPP TS 23.501, оператор может использовать множество экземпляров сетевых сегментов, предоставляющих полностью одинаковые возможности, но для различных групп UE, например, предоставляющих различные фиксированные услуги и/или услуги, предназначающиеся для заказчика.

Введение сетевого сегментирования в таких сетях и системах приводит к возникновению новых технических проблем, требующих новых решений. Например, одна из таких новых технических проблем заключается в том, что сетевое сегментирование может привести к возникновению новых заинтересованных сторон в сквозной системной цепи, для которых может потребоваться независимая аутентификация и/или авторизация.

Требуется обратить внимание на такие новые технические проблемы. Варианты осуществления настоящего изобретения, в частности, направлены на удовлетворение таких потребностей.

Эти и другие цели достигаются, согласно одному из аспектов, с помощью объекта сети мобильной связи, такого как функциональный объект управления доступом и мобильностью (AMF, Access and Mobility Management Function), выполняющий функции управления регистрацией в сети мобильной связи, поддерживающей сетевое сегментирование, при этом указанный объект сети мобильной связи сконфигурирован для:

- проверки, во время регистрации, требуется ли аутентификация и/или авторизация, в которой задействована третья сторона, связанная с сетевым сегментом, для доступа к указанному сетевому сегменту, в дополнение к аутентификации и/или авторизации для доступа к указанной сети мобильной связи,

- инициирования указанной аутентификации и/или авторизации, в которой задействована третья сторона, после обнаружения того, что указанная аутентификация и/или авторизация, в которой задействована указанная третья сторона, требуется.

Эти и другие цели достигаются, согласно другому аспекту, с помощью абонентской базы данных сети мобильной связи, такой как SDM, для сети мобильной связи, поддерживающей сетевое сегментирование, при этом указанная абонентская база данных сконфигурирована для

- сохранения данных подписки, указывающих, требуется ли во время регистрации аутентификация и/или авторизация, в которой задействована третья сторона, связанная с сетевым сегментом, для доступа к указанному сетевому сегменту, в дополнение к аутентификации и/или авторизации для доступа к указанной сети мобильной связи.

Эти и другие цели достигаются, согласно другому аспекту, с помощью пользовательского оборудования для системы мобильной связи, поддерживающей сетевое сегментирование, при этом указанное пользовательское оборудование сконфигурировано для

- поддержки, во время регистрации, аутентификации и/или авторизации, в которой задействована третья сторона, связанная с сетевым сегментом, для доступа к указанному сетевому сегменту, в дополнение к аутентификации и/или авторизации для доступа к указанной сети мобильной связи, если это требуется для указанного сетевого сегмента.

Эти и другие цели достигаются, согласно другому аспекту, с помощью объекта сети мобильной связи, такого как AUSF, выполняющего функции сервера аутентификации в сети мобильной связи, поддерживающей сетевое сегментирование, при этом указанный объект сети мобильной связи сконфигурирован для

- передачи информации, которой обмениваются объект сети мобильной связи, такой как функциональный объект управления доступом и мобильностью (AMF), выполняющий функции управления регистрацией, и сервер AAA, называемый сервером AAA третьей стороны и относящийся к третьей стороне, связанной с сетевым сегментом, в процедуре аутентификации и/или авторизации, выполняемой для доступа к указанному сетевому сегменту.

Эти и другие цели достигаются, согласно другому аспекту, с помощью способа усовершенствованной регистрации в системе мобильной связи, поддерживающей сетевое сегментирование, при этом указанный способ включает по меньшей мере один шаг, выполняемый по меньшей мере одним из следующих сконфигурированных указанным образом объектов: объект сети мобильной связи, такой как функциональный объект управления доступом и мобильностью (AMF), выполняющий функции управления регистрацией, абонентская база данных сети мобильной связи, такая как SDM, пользовательское оборудование (UE), объект сети мобильной связи, такой как AUSF, выполняющий функции сервера аутентификации.

Некоторые варианты осуществления устройств и/или способов в соответствии с вариантами осуществления настоящего изобретения описываются ниже только как примеры со ссылкой на прилагаемые чертежи, на которых:

- на фиг. 1 в упрощенном виде показано включение в систему мобильной связи дополнительного уровня аутентификации доступа к сегменту с использованием внешнего (принадлежащего третьей стороне) сервера AAA в соответствии с вариантами осуществления настоящего изобретения,

- на фиг. 2 в упрощенном виде показан пример выполнения шагов процедуры регистрации в соответствии с вариантами осуществления настоящего изобретения,

- на фиг. 3 в упрощенном виде показан более подробный пример выполнения шагов процедуры регистрации в соответствии с вариантами осуществления настоящего изобретения.

Список аббревиатур

AAA Authentication, Authorization and Accounting, аутентификация, авторизация и учет

AMF Access and Mobility Management Function, функциональный объект управления доступом и мобильностью

AUSF Authentication Server Function, функциональный объект сервера аутентификации

ЕАР Extensible Authentication Protocol, расширяемый протокол аутентификации

MSISDN Mobile Subscriber ISDN Number, ISDN-номер мобильного абонента

NAS Non-Access Stratum, уровень, не связанный с предоставлением доступа

NSSAI Network Slice Selection Assistance Information, информация помощи в выборе сетевого сегмента

PLMN Public Land Mobile Network, наземная сеть мобильной связи общего пользования

RAN Radio Access Network, сеть радиодуступа

RRC Radio Resource Control, управление радиоресурсами

SD Slice Differentiator, дифференциатор сегмента

SDM Subscriber Data Manager, диспетчер абонентских данных

SMF Session Management Function, функциональный объект управления сеансами

S-NSSAI Single-Network Slice Selection Assistance Information, информация помощи в выборе сетевого сегмента для одного сегмента

SST Slice Service Туре, тип услуги сегмента

UE User Equipment, пользовательское оборудование

Описание различных аспектов и/или вариантов осуществления изобретения

Далее в виде примера описываются варианты осуществления настоящего изобретения для системы следующего поколения (5G). Однако варианты осуществления настоящего изобретения не ограничены этим примером и в более общем случае применимы к системам/сетям мобильной связи, использующим сегментирование.

В рамках TS 23.501 и TS 23.502 определяется, что UE может одновременно подключаться к нескольким сетевым сегментам посредством одной функции, называемой AMF. AMF может быть специализирована для набора сетевых сегментов, к которым подключен UE.

Концептуально, сетевой сегмент подобен сквозной сети. Он идентифицируется значением S-NSSAI, которое представляет собой сочетание значения типа услуги сегмента (SST, Slice Service type) и значения идентификатора сегмента (SD, Slice differentiator). Набор сегментов, предназначенных для использования UE или допущенных для использования сетью, определяется идентификатором NSSAI, который представляет собой коллекцию S-NSSAI сегментов, используемых UE. Поле SD может использоваться для связи сегмента с третьей стороной, функционирующей как арендатор сети оператора, обеспечивающего сетевой сегмент. Этот арендатор может поддерживать собственную базу данных AAA. Цель вариантов осуществления настоящего изобретения состоит в предоставлении арендатору возможности выполнять аутентификацию и/или авторизацию своих собственных абонентов с использованием собственной базы данных AAA.

UE осуществляет подписку в сетевых сегментах, в которых оборудование авторизовано для использования сегмента. Эта информация хранится в виде подписки на S-NSSAI в сервере HSS (теперь известном в 5G как UDM=User Data Manager (диспетчер пользовательских данных)).

Авторизация для доступа к сегменту обычно происходит во время выполнения процедуры регистрации, когда, после того как UE аутентифицировано и авторизовано для доступа к PLMN, данные подписки указывают, какие сегменты разрешены для UE, на основе данных, хранимых в HSS/UDM. Аутентификация UE с использованием учетных данных 3GPP осуществляется с помощью функционального объекта, называемого AUSF (Authentication Server function, функциональный объект сервера аутентификации). Однако в этой модели предполагается, что арендатор полностью полагается на оператора PLMN при выполнении А&А (аутентификации и авторизации). Во многих случаях арендатор сегмента сети может пожелать применить собственную процедуру аутентификации и/или авторизации. Цель вариантов осуществления настоящего изобретения состоит в предоставлении арендатору сегмента возможности применять собственную процедуру аутентификации и/или авторизации.

Некоторые предложения по использованию аутентификации и авторизации доступа к сетям передачи данных как в существующей системе, документированные в TS 23.401 и TS 29.061, неприменимы, поскольку сеть передачи данных может принадлежать в действительности не самому арендатору, а его клиенту. Доступ к сегменту также авторизуется в момент прохождения регистрации, и SM может не происходить в тот же момент времени. Кроме того, UE допускается оставаться подключенным в отсутствие соединения PDN, и в этот период некоторые политики плоскости управления уровня RAN все еще могут применяться, в то время как соединение PDN не установлено. Цель вариантов осуществления настоящего изобретения состоит в реализации шагов аутентификации и/или авторизации, применимых арендатором в процессе выполнения процедуры регистрации.

Пример варианта процедуры регистрации, показанный на фиг. 2 или 3, может использоваться в системе, пример осуществления которой изображен на фиг. 1.

В некоторых вариантах осуществления UE может конфигурироваться с использованием информации для привязки способа аутентификации к сегменту, если для доступа к определенному сегменту требуется дополнительный уровень аутентификации.

В некоторых вариантах осуществления, если UE конфигурируется для выполнения такой процедуры, дополнительный уровень аутентификации может осуществляться после аутентификации UE для доступа к PLMN.

В некоторых вариантах осуществления, данные подписки, хранящиеся в SDM, могут содержать информацию о том, требуется ли дополнительный уровень аутентификации и/или авторизации, в информации S-NSSAI. Как показано в примере на фиг. 1, в SDM может храниться информация о подписанных сегментах в виде S-NSSAI с индикацией о возможной дополнительной аутентификации и/или авторизации.

В некоторых вариантах осуществления, если требуется дополнительный уровень аутентификации, в UE из AMF может передаваться запрос аутентификации в сегменте, и UE может выполнять дополнительный уровень аутентификации на основе своей конфигурации для сегмента. AMF может непосредственно соединяться с сервером AAA арендатора, или AUSF может выполнять функцию прокси-системы в этом процессе. Как показано в примере, изображенном на фиг. 1, AMF может являться аутентификатором UE как для доступа к PLMN, основанного на учетных данных 3GPP, так и, дополнительно, для доступа к сегменту, основанного на учетных данных AAA третьей стороны.

В некоторых добавочных или отдельных вариантах осуществления, информация о необходимости дополнительного уровня авторизации может поступать из базы данных третьей стороны, либо при аутентификации UE с использованием этой информации (при этом третья сторона выполняет А&А), либо путем передачи серверу AAA третьей стороны идентификатора, который PLMN может использовать внешним образом (например, MS_ISDN или внешнего идентификатора, определенного в TS 23.682) таким образом, чтобы сервер AAA мог проверить, разрешен ли доступ к сегменту. В этом случае на шаге 4, изображенном на фиг. 2 (4с, d, е, f на фиг. 3), не задействуется UE, и операция выполняется только между AMF и сервером AAA на основе проверки доверенного идентификатора UE с использованием базы данных AAA. В этом случае при выполнении шагов 4с и 4d используется только MS-ISDN или внешний идентификатор, и при выполнении шагов 4е и 4f в AMF передаются сведения об успешной или неудачной проверке информации авторизации UE. AAA третьей стороны может также на шаге 4е и 4f запросить AMF проверить UE с использованием предоставляемого MS-ISDN или внешнего ID, и в этом случае процедура повторно запускается с шага 4а.

В некоторых вариантах осуществления UE может выполнять запрос регистрации, указывающий NSSAI, содержащую все S-NSSAI сегменты, которые оборудование намеревается использовать (шаг 1 на фиг. 2 или 3). При этом могут выполняться процедуры обеспечения безопасности для доступа к PLMN (с использованием AMF в качестве аутентификатора и AUSF - в качестве сервера аутентификации) (шаг 2 на фиг. 2 или 3). AMF на шаге 3 может проверить, подписан ли UE на каждую из этих S-NSSAI. S-NSSAI не удостоверяется, если на нее отсутствует подписка. Однако при наличии подписки также может существовать дополнительная информация о подписке, требующая в дальнейшем аутентификации и/или авторизации UE третьей стороной. В этом случае может включаться информация о способе аутентификации, требовании индикации внешнего идентификатора UE для третьей стороны (например, MS-ISDN или внешний идентификатор UE, определенный в 23.682) и адрес сервера AAA, которому требуется передать запрос аутентификации. Кроме того, для каждой S-NSSAI, для которой требуется аутентификация третьей стороной, может выполняться шаг 4, изображенный на фиг. 2 (4а-4m на фиг. 3). Предполагается, что ЕАР используется в качестве гибкого транспортного средства протоколов аутентификации. Количество сообщений в последовательности на шаге 4 может зависеть от конкретного способа аутентификации ЕАР, выбранного третьей стороной, и показанные в алгоритме сообщения приведены только в качестве примера.

Кроме того, поскольку UE выполняет периодические регистрации, этот шаг может не потребоваться в ходе периодических регистраций. AMF может на основе соглашения с третьей стороной сообщать о периодических регистрациях с помощью сообщений 4.с, d, е, f, содержащих только MSISDN (или внешний идентификатор), после того как MS-ISDN (или внешний идентификатор) связывается с идентификатором пользователя третьей стороны, аутентифицированным при начальной регистрации, если эта операция включена на шаге 4с, 4d. Таким образом, этот способ может также позволять связывать идентификатор пользователя третьей стороны и аутентифицируемые оператором идентификаторы, что может сократить последующие регистрации, и третья сторона может только периодически снова запрашивать у UE новую аутентификацию третьей стороной (для сохранения ресурсов AAA и сети).

На шаге 5 (фиг. 2 или 3) AMF может удостоверить регистрацию, включающую NSSAI с удостоверенными S-NSSAI (либо только на основе проверки подписки, либо на основе успешной аутентификации третьей стороной).

Варианты осуществления настоящего изобретения могут также быть описаны следующим образом.

EPS предлагает услуги передачи пакетных данных в соответствии с простой парадигмой, согласно которой одна сеть доступа, обслуживающая UE, предоставляет доступ к PDN. Аутентификация сети доступа основывается на аутентификации PLMN (3GPP AKA), в ходе которой также предоставляются ключи для шифрования беспроводной линии связи. Дополнительно, если PDN, к которой желает получить доступ UE, управляется третьей стороной, то эта третья сторона может потребовать дополнительный уровень аутентификации, позволяющий отклонять доступ UE, несмотря на то что записи HSS указывают, что UE подписано на APN PDN. Это позволяет оператору PDN управлять независимым набором учетных данных для своих абонентов и устанавливать или удалять взаимоотношение "заказчик-поставщик услуг" без необходимости контакта с оператором.

При переходе к системе 5G, помимо концепций, указанных выше для EPS, которые все еще поддерживаются системой 5G, вводится новая концепция сетевого сегментирования.

Посредством концепции сетевого сегментирования оператор PLMN может предоставить третьей стороне определенный уровень услуг/сетевые услуги в рамках оптового соглашения.

Вопрос о том, достаточно ли использовать аутентификацию уровня PLMN для предоставления UE доступа к сегменту, предлагаемому третьей стороне, требует обсуждения.

Вполне возможно, что третьи стороны, которые входят в SLA с оператором для сетевого сегмента, могут владеть своей собственной абонентской базой или намереваются получить свою собственную независимую абонентскую базу на основе собственной идентификационной и учетной информации. Таким образом, желательно позволить третьей стороне авторизовать доступ к сегменту с помощью проверки принадлежащей ей абонентской базы данных.

Арендатор сегмента, которому требуется дополнительный уровень аутентификации и авторизации, такой как оператор PDN в EPS, должен полагаться на то, что PLMN обеспечивает безопасную линию связи, основанную на аутентификации, авторизации и безопасности доступа к PLMN, и оператор PLMN разрешает или отклоняет доступ к сегменту в соответствии с результатом основанной на процедурах арендатора аутентификации и авторизации, выполняемой на верхнем уровне аутентификации и авторизации доступа к PLMN. Таким образом, если UE допускается в арендованном сегменте во время выполнения процедур регистрации, дополнительно включающих добавочный уровень аутентификации доступа к сегменту, предполагается, что могут выполняться все другие процедуры, относящиеся к S-NSSAI сегмента. Следует отметить, что поскольку удостоверение S-NSSAI происходит во время регистрации, требуется дополнительный уровень аутентификации в период регистрации.

Варианты осуществления настоящего изобретения могут включать выполнение одной или более следующих операций:

Если UE подписывается на S-NSSAI, указывающую сегмент, которому требуется аутентификация третьей стороной, эта информация сохраняется в SDM (диспетчер абонентских данных) в виде флага, указывающего, что требуется выполнить этот шаг, а также IP-адреса сервера AAA, который выполняет аутентификацию.

Если UE выполняет запрос регистрации, в котором запрашивается S-NSSAI или S-NSSAI назначается UE по умолчанию системой, поскольку она отмечена в SDM как принятая по умолчанию, то AMF в начале любой требуемой операции аутентификации и авторизации, специфичной для PLMN, выполняет шаг аутентификации и авторизации, который осуществляется с использованием UE, и задействует сервер AAA третьей стороны. IP-адрес сервера AAA переносится в сообщениях аутентификации в AUSF, для того чтобы AUSF имел информацию о том, куда пересылать сообщение запроса аутентификации из AMF.

В альтернативном варианте, если идентификатор пользователя на третьей стороне может определяться как NAI (см. RFC 4282 https://tools.ietf.org/html/rfc4282), то есть идентификатор пользователя задается в виде user@domain, IP-адрес не требуется в SDM, и корректная процедура AAA сервера третьей стороны формируется в AUSF путем разрешения доменной части NAI.

UE готово выполнять эти процедуры аутентификации, поскольку оно сконфигурировано для S-NSSAI, связанной с сегментом третьей стороны, с необходимыми учетными данными и алгоритмами, требуемыми для собственной аутентификации с использованием сервера AAA третьей стороны. Следует отметить, что предполагается использование ЕАР в качестве транспортного протокола, и, таким образом, это не накладывает дополнительных требований на сигнализацию N2 и N1, поскольку это уже используется для аутентификации доступа 3GPP и доступа, отличного от 3GPP, поэтому данная дополнительная операция состоит лишь в повторном использовании существующего транспортного средства процедур аутентификации.

Такое предложение может быть обобщено так, как это показано на фиг. 2.

На чертеже можно видеть, что шаг 4 является дополнительным, но он должен выполняться перед тем как S-NSSAI, связанная с сегментом, для которого требуется аутентификация третьей стороны, может включаться в удостоверенную NSSAI. Если этот шаг не выполняется, UE не способно выполнить процедуры управления сеансом для конкретного сегмента, поскольку UE перед выполнением SM для сегмента должно выполнить регистрацию в сегменте с использованием процедуры регистрации.

Таким образом, проверка на основе абонентской базы данных третьей стороны должна быть разрешена во время регистрации для допуска UE в сегмент, который третья сторона арендует у оператора, и в таком случае необходимые изменения должны быть внесены в технические спецификации 3GPP TS 23.501 и 3GPP TS 23.502.

Целью вариантов осуществления настоящего изобретения не является замена первичной аутентификации, выполняемой оператором. Если бы это было осуществлено, то безопасность UE-CN обеспечивалась бы сетевым сегментом третьей стороны, а это неприемлемо для текущих PLMN. Кроме того, это бы не позволило сосуществовать множеству сегментов для одного UE, поскольку предполагается, что имеется одна оконечная точка обеспечения безопасности в AMF, и эта процедура разделяется между сетевыми сегментами, которые AMF поддерживает для одного UE. Очевидно, что если безопасность связана лишь с одним сегментом, то такую ситуацию нельзя считать удовлетворительной для других сегментов.

Различные аспекты и/или варианты осуществления настоящего изобретения включают (хотя и не ограничивают объем изобретения) следующие аспекты и/или варианты осуществления.

Некоторые аспекты связаны с объектом сети мобильной связи, таким как функциональный объект управления доступом и мобильностью (AMF), выполняющим функции управления регистрацией в сети мобильной связи, поддерживающей сетевое сегментирование.

Предлагаются различные варианты осуществления, включающие (но не ограничивающие объем изобретения) следующие варианты, которые можно рассматривать по отдельности или в совокупности в соответствии с различными комбинациями.

Согласно варианту осуществления указанный объект сети мобильной связи сконфигурирован для:

- проверки, во время регистрации, требуется ли аутентификация и/или авторизация, в которой задействована третья сторона, связанная с сетевым сегментом, для доступа к указанному сетевому сегменту, в дополнение к аутентификации и/или авторизации для доступа к указанной сети мобильной связи,

- инициирования указанной аутентификации и/или авторизации, в которой задействована третья сторона, после обнаружения, что указанная аутентификация и/или авторизация, в которой задействована указанная третья сторона, требуется.

Согласно варианту осуществления указанный объект сети мобильной связи сконфигурирован для:

- выполнения указанной проверки на основе данных подписки, указывающих, требуется ли указанная аутентификация и/или авторизация, в которой задействована указанная третья сторона.

Согласно варианту осуществления, указанный объект сети мобильной связи сконфигурирован для:

- приема от диспетчера абонентских данных информации о подписке, указывающей, требуется ли указанная аутентификация и/или авторизация, в которой задействована указанная третья сторона.

Согласно варианту осуществления указанный объект сети мобильной связи сконфигурирован для

- функционирования в качестве аутентификатора в процедуре аутентификации и/или авторизации, в которой задействована указанная третья сторона.

Согласно варианту осуществления указанный объект сети мобильной связи сконфигурирован для

- приема от диспетчера абонентских данных информации о подписке, содержащей информацию об адресе сервера AAA, связанного с указанной третьей стороной и называемого сервером AAA третьей стороны.

Согласно варианту осуществления указанный объект сети мобильной связи сконфигурирован для

- взаимодействия с сервером AAA, связанным с указанной третьей стороной и называемым сервером AAA третьей стороны, в процедуре аутентификации и/или авторизации, в которой задействована указанная третья сторона.

Согласно варианту осуществления указанный объект сети мобильной связи сконфигурирован для

- взаимодействия с объектом сети мобильной связи, таким как AUSF, выполняющим функции сервера аутентификации в процедуре аутентификации и/или авторизации, в которой задействована указанная третья сторона.

Согласно варианту осуществления указанный объект сети мобильной связи сконфигурирован для

- передачи в объект сети мобильной связи, такой как AUSF, выполняющий функции сервера аутентификации в процедуре аутентификации и/или авторизации, в которой задействована указанная третья сторона, по меньшей мере одного из следующего:

информация об адресе сервера AAA, связанного с указанной третьей стороной и называемого сервером AAA третьей стороны,

общедоступная идентификационная информация о пользователе, например MSISDN.

идентификатор пользователя, сохраненный на сервере AAA третей стороны. Согласно варианту осуществления указанный объект сети мобильной связи сконфигурирован для

- передачи в пользовательское оборудование (UE) индикации о том, что указанная регистрация удостоверена, если указанная аутентификация и/или авторизация для доступа к указанной сети мобильной связи и указанная аутентификация и/или авторизация для доступа к указанному сетевому сегменту выполнена успешно.

Согласно варианту осуществления, указанный объект сети мобильной связи сконфигурирован для

- передачи в пользовательское оборудование (UE) удостоверенной NSSAI в сообщении регистрации, если указанная аутентификация и/или авторизация для доступа к указанной сети мобильной связи и указанная аутентификация и/или авторизация для доступа к указанному сетевому сегменту выполнена успешно.

Другие аспекты связаны с абонентской базой данных сети мобильной связи, такой как SDM, для сети мобильной связи, поддерживающей сетевое сегментирование.

Предлагаются различные варианты осуществления, включающие (но не ограничивающие объем изобретения) следующие варианты, которые можно рассматривать по отдельности или в совокупности в соответствии с различными комбинациями.

Согласно варианту осуществления указанная абонентская база данных сети мобильной связи сконфигурирована для

- сохранения данных подписки, указывающих, требуется ли во время регистрации аутентификация и/или авторизация, в которой задействована третья сторона, связанная с сетевым сегментом, для доступа к указанному сетевому сегменту, в дополнение к аутентификации и/или авторизации для доступа к указанной сети мобильной связи.

Согласно варианту осуществления указанная абонентская база данных сети мобильной связи сконфигурирована для:

- предоставления во время регистрации указанных данных подписки в объект мобильной связи, такой как AMF, выполняющий функции регистрации.

Согласно варианту осуществления

- указанные данные о подписке включают информацию об адресе сервера AAA, связанного с указанной третьей стороной и называемого сервером AAA третьей стороны.

Другие аспекты связаны с пользовательским оборудованием для системы мобильной связи, поддерживающей сетевое сегментирование.

Предлагаются различные варианты осуществления, включающие (но не ограничивающие объем изобретения) следующие варианты, которые можно рассматривать по отдельности или в совокупности в соответствии с различными комбинациями.

Согласно варианту осуществления, указанное пользовательское оборудование сконфигурировано для

- поддержки во время регистрации аутентификации и/или авторизации, в которой задействована третья сторона, связанная с сетевым сегментом, для доступа к указанному сетевому сегменту, в дополнение к аутентификации и/или авторизации для доступа к указанной сети мобильной связи, если это требуется для указанного сетевой сегмента.

Согласно варианту осуществления, указанное пользовательское оборудование сконфигурировано для

- сохранения информации о конфигурации для выполнения процедуры аутентификации и/или авторизации, в которой задействована указанная третья сторона, для доступа к указанному сетевому сегменту.

Согласно варианту осуществления указанное пользовательское оборудование сконфигурировано для

- взаимодействия с объектом сети мобильной связи, таким как функциональный объект управления доступом и мобильностью (AMF), выполняющим функции управления регистрацией в процедуре аутентификации и/или авторизации, в которой задействована указанная третья сторона, для доступа к указанному сетевому сегменту.

Другие аспекты связаны с объектом сети мобильной связи, таким как AUSF, выполняющим функции сервера аутентификации в сети мобильной связи, поддерживающей сетевое сегментирование.

Предлагаются различные варианты осуществления, включающие (но не ограничивающие объем изобретения) следующие варианты, которые можно рассматривать по отдельности или в совокупности в соответствии с различными комбинациями.

Согласно варианту осуществления указанный объект сети мобильной связи сконфигурирован для

- передачи информации, которой обмениваются объект сети мобильной связи, такой как функциональный объект управления доступом и мобильностью (AMF), выполняющий функции управления регистрацией, и сервер AAA, обозначаемый как сервер AAA третьей стороны и относящийся к третьей стороне, связанной с сетевым сегментом, в процедуре аутентификации и/или авторизации, выполняемой для доступа к указанному сетевому сегменту.

Согласно варианту осуществления, указанная информация включает по меньшей мере одно из следующего:

- информацию об адресе указанного сервера AAA третьей стороны,

- общедоступную идентификационную информацию о пользователе, например MSISDN,

- идентификатор пользователя, сохраненный на сервере AAA третей стороны.

Другие аспекты связаны со способом усовершенствованной регистрации в системе мобильной связи, поддерживающей сетевое сегментирование, при этом указанный способ включает по меньшей мере один шаг, выполняемый по меньшей мере одним из следующих сконфигурированных должным образом объектов: объект сети мобильной связи, такой как функциональный объект управления доступом и мобильностью (AMF), выполняющий функции управления регистрацией, абонентская база данных сети мобильной связи, такая как SDM, пользовательское оборудование (UE), объект сети мобильной связи, такой как AUSF, выполняющий функции сервера аутентификации.

Специалист в этой области техники легко может понять, что шаги описанных выше способов могут выполняться программируемыми компьютерами. В этом описании некоторые варианты осуществления настоящего изобретения также предназначены для охвата функций устройств для хранения программ, таких как цифровые носители данных, представляющих собой машинные или машиночитаемые и закодированные программы, исполняемые машиной или компьютером и состоящие из команд, выполняющих некоторые или все шаги описанных выше способов. Устройства для хранения программ могут представлять собой, например, цифровые запоминающие устройства, магнитные запоминающие устройства, такие как магнитные диски и магнитные ленты, жесткие диски или оптические читаемые цифровые носители данных. Варианты осуществления настоящего изобретения также предназначены для охвата функций компьютеров, программируемых для выполнения указанных шагов описанных выше способов.

1. Пользовательское устройство связи, содержащее:

по меньшей мере один процессор и

по меньшей мере одну память, содержащую компьютерный программный код, при этом по меньшей мере одна память и компьютерный программный код конфигурированы так, чтобы, с помощью упомянутого по меньшей мере одного процессора, заставлять устройство по меньшей мере:

- выполнять процедуру регистрации в сети и

- поддерживать, во время процедуры регистрации, аутентификацию и/или авторизацию, в которой задействован сервер аутентификации, авторизации и учета третьей стороны, для доступа к сетевому сегменту, в дополнение к аутентификации и/или авторизации для доступа к упомянутой сети, если это требуется для упомянутого сетевого сегмента.

2. Устройство по п. 1, в котором по меньшей мере одна память и компьютерный программный код конфигурированы так, чтобы, с помощью упомянутого по меньшей мере одного процессора, заставлять устройство:

- взаимодействовать с объектом сети, предоставляющим функции управления регистрацией, в процедуре аутентификации и/или авторизации, в которой задействован упомянутый сервер аутентификации, авторизации и учета третьей стороны.

3. Устройство по п. 1 или 2, в котором по меньшей мере одна память и компьютерный программный код конфигурированы так, чтобы, с помощью упомянутого по меньшей мере одного процессора, заставлять устройство:

- хранить информацию о конфигурации для выполнения процедуры аутентификации и/или авторизации, в которой задействован упомянутый сервер аутентификации, авторизации и учета третьей стороны.

4. Устройство по любому из пп. 1-3, в котором по меньшей мере одна память и компьютерный программный код конфигурированы так, чтобы, с помощью упомянутого по меньшей мере одного процессора, заставлять устройство:

- принимать индикацию о том, что упомянутая регистрация удостоверена, если упомянутая аутентификация и/или авторизация для доступа к упомянутой сети и упомянутая аутентификация и/или авторизация для доступа к упомянутому сетевому сегменту выполнены успешно.

5. Устройство по любому из пп. 1-4, в котором по меньшей мере одна память и компьютерный программный код конфигурированы так, чтобы, с помощью упомянутого по меньшей мере одного процессора, заставлять устройство:

- принимать удостоверенную информацию помощи в выборе сетевого сегмента для одного сегмента, если упомянутая аутентификация и/или авторизация для доступа к упомянутой сети и упомянутая аутентификация и/или авторизация для доступа к упомянутому сетевому сегменту выполнены успешно.

6. Способ регистрации в сети связи, содержащий:

- выполнение процедуры регистрации в сети и,

- во время процедуры регистрации, поддержку аутентификации и/или авторизации, в которой задействован сервер аутентификации, авторизации и учета третьей стороны, для доступа к сетевому сегменту, в дополнение к аутентификации и/или авторизации для доступа к упомянутой сети, если это требуется для упомянутого сетевого сегмента.

7. Способ по п. 6, содержащий:

- взаимодействие с объектом сети, предоставляющим функции управления регистрацией, в процедуре аутентификации и/или авторизации, в которой задействован упомянутый сервер аутентификации, авторизации и учета третьей стороны.

8. Способ по п. 6 или 7, содержащий:

- хранение информации о конфигурации для выполнения процедуры аутентификации и/или авторизации, в которой задействован упомянутый сервер аутентификации, авторизации и учета третьей стороны.

9. Способ по любому из пп. 6-8, содержащий:

- прием индикации о том, что упомянутая регистрация удостоверена, если упомянутая аутентификация и/или авторизация для доступа к упомянутой сети и упомянутая аутентификация и/или авторизация для доступа к упомянутому сетевому сегменту выполнены успешно.

10. Способ по любому из пп. 6-9, содержащий:

- прием удостоверенной информации помощи в выборе сетевого сегмента для одного сегмента, если упомянутая аутентификация и/или авторизация для доступа к упомянутой сети и упомянутая аутентификация и/или авторизация для доступа к упомянутому сетевому сегменту выполнены успешно.

11. Устройство связи, содержащее:

по меньшей мере один процессор и

по меньшей мере одну память, содержащую компьютерный программный код, при этом по меньшей мере одна память и компьютерный программный код конфигурированы так, чтобы, с помощью упомянутого по меньшей мере одного процессора, заставлять устройство по меньшей мере:

- предоставлять функции регистрации в сети,

- проверять, во время процедуры регистрации, требуется ли аутентификация и/или авторизация, в которой задействован сервер аутентификации, авторизации и учета третьей стороны, для доступа к сетевому сегменту, в дополнение к аутентификации и/или авторизации для доступа к упомянутой сети, и

- инициировать упомянутую аутентификацию и/или авторизацию, в которой задействован сервер аутентификации, авторизации и учета третьей стороны, после обнаружения того, что упомянутая аутентификация и/или авторизация, в которой задействован сервер аутентификации, авторизации и учета третьей стороны, требуется.

12. Устройство по п. 11, в котором по меньшей мере одна память и компьютерный программный код конфигурированы так, чтобы, с помощью упомянутого по меньшей мере одного процессора, заставлять устройство:

- взаимодействовать с пользовательским оборудованием в процедуре аутентификации и/или авторизации, в которой задействован упомянутый сервер аутентификации, авторизации и учета третьей стороны.

13. Устройство по п. 11 или 12, в котором по меньшей мере одна память и компьютерный программный код конфигурированы так, чтобы, с помощью упомянутого по меньшей мере одного процессора, заставлять устройство:

- предоставлять индикацию о том, что упомянутая регистрация удостоверена, если упомянутая аутентификация и/или авторизация для доступа к упомянутой сети и упомянутая аутентификация и/или авторизация для доступа к упомянутому сетевому сегменту выполнены успешно.

14. Устройство по любому из пп. 11-13, в котором по меньшей мере одна память и компьютерный программный код конфигурированы так, чтобы, с помощью упомянутого по меньшей мере одного процессора, заставлять устройство:

- предоставлять удостоверенную информацию помощи в выборе сетевого сегмента для одного сегмента, если упомянутая аутентификация и/или авторизация для доступа к упомянутой сети и упомянутая аутентификация и/или авторизация для доступа к упомянутому сетевому сегменту выполнены успешно.