Обработка отказа в случае не разрешения доступа к 5gcn не от 3gpp

ПЕРЕКРЕСТНАЯ ССЫЛКА НА РОДСТВЕННЫЕ ЗАЯВКИ

[001] Настоящая заявка испрашивает приоритет, в соответствии с §119 из 35 свода законов США, по предварительной заявке на патент США №62/692,722, озаглавленной «Method and Apparatus For Handling Authentication Failure During Security Association Establishment», поданной 30 июня 2018 г. и настоящим явным образом включенной в настоящий документ посредством ссылки.

ОБЛАСТЬ ТЕХНИКИ

[002] Настоящая заявка в целом относится к сетям доступа и, в частности, к установлению сеанса оборудованием пользователя в сети доступа, когда установление ассоциации безопасности не принято.

УРОВЕНЬ ТЕХНИКИ

[003] Утверждения в этом разделе предоставляют описание родственного уровня техники и не являются признаниями известного уровня техники. Оборудование пользователя (UE; user equipment), такое как смартфоны, смарт-планшеты, ноутбуки, компьютеры, умные часы и т.д., часто включает возможность как подключения к беспроводной локальной сети (WLAN; wireless local area network) (например, подключение WLAN, совместимой с IEEE 802.11x), так и как подключения к сети радиодоступа (например, технологии, полностью или частично совместимые с набором стандартов проекта партнерства третьего поколения (3GPP), включая EVDO, UMTS, HSPA и LTE). Таким образом, UE может подключаться к сети развитого пакетного ядра (EPC; evolved packet core) от 3GPP, с использованием двух типов технологий доступа, состоящих из сетей доступа от 3GPP и сетей доступа не от 3GPP.

[004] В общем, сети доступа от 3GPP полностью или частично совместимы с технологиями, определенными набором стандартов от 3GPP, которые включают, например, GPRS, UMTS, EDGE, HSPA, LTE и LTE Advanced. Сети доступа не от 3GPP полностью или частично совместимы с технологиями, которые не определены набором стандартов от 3GPP. Они включают в себя такие технологии, как cdma2000, WLAN (например, WLAN, совместимую с IEEE 802.11x) или фиксированные сети.

[005] Набор стандартов от 3GPP определяет технологии доступа «не от 3GPP» с различными механизмами безопасности: сети недоверенного доступа и сети доверенного доступа. Сети недоверенного доступа включают в себя сети доступа, которые могут представлять более высокий риск безопасности (например, общедоступная сеть WLAN или сеть доступа фемтосоты). Сети доверенного доступа включают в себя сети доступа, которые, по мнению сетевого оператора, имеют определенный уровень доверия с точки зрения безопасности и могут напрямую взаимодействовать с сетью EPC.

[006] В новом наборе стандартов 5G сеть доступа не от 3GPP (N3AN), рассматривается как сеть доступа 5G и часть системы 5G (5GS). Для недоверенного доступа не от 3GPP функция взаимодействия не от 3GPP (N3IWF; Non-3GPP Interworking Function) обеспечивает окончание интерфейсов сигнализации для плоскости управления и плоскости пользователя соответственно, как и узел NG-RAN. Таким образом, UE с поддержкой 5G могут получить доступ к опорной сети 5G (5GCN; 5G core network), подключившись к сети доступа не от 3GPP, в качестве сети доступа 5G через N3IWF. N3IWF ретранслирует сигнализацию плоскости управления восходящего и нисходящего каналов между UE и 5GCN. Кроме того, N3IWF обеспечивает соединение в плоскости пользователя между UE и 5GCN для сеансов в сетях доступа не от 3GPP.

[007] В настоящее время процедуры сигнализации между UE и N3IWF определяются, когда сеть принимает определенное установление аутентификации безопасности. Однако отсутствует доступный способ обработки случая, когда установление ассоциации безопасности не принимается сетью. Аналогично для соединений плоскости пользователя необходимо определить способ обработки случая, когда установление ассоциации безопасности плоскости пользователя не принято сетью.

[008] Следовательно, существует потребность в обеспечении системы и способа, которые поддерживают обработку отказа во время установления ассоциации безопасности для доступа к 5GCN через сети доступа не от 3GPP. Другие потребности и преимущества также обеспечиваются вариантами осуществления, описанными в данном документе.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

[009] Нижеследующее описание представляет собой сущность описанного предмета изобретения, чтобы обеспечить основное понимание некоторых аспектов описанного предмета изобретения. Эта сущность изобретения не является исчерпывающим обзором описанного предмета изобретения. Она не предназначена для определения ключевых или критических элементов описанного предмета изобретения или для определения объема описанного предмета изобретения. Ее единственная цель состоит в том, чтобы представить некоторые концепции в упрощенной форме в качестве вводной части к более подробному описанию, изложенному ниже.

[0010] В одном аспекте узел функции взаимодействия для управления сетевым соединением через сеть недоверенного доступа к базовой сети содержит первый сетевой интерфейс, выполненный с возможностью связи с оборудованием пользователя (UE) через сеть недоверенного доступа, и второй сетевой интерфейс, выполненный с возможностью связи с одним или более узлами в опорной сети. Узел функции взаимодействия содержит устройство обработки, выполненное с возможностью обработки запроса на установление соединения с опорной сетью от UE в сети недоверенного доступа и генерирования запроса для опорной сети; определения того, что установление соединения не принято опорной сетью; и генерирования ответного сообщение для UE, при этом ответное сообщение содержит ошибку, указывающую, что установление соединения через сеть недоверенного доступа не разрешено опорной сетью.

[0011] В другом аспекте функция управления доступом и мобильностью (AMF; Access and Mobility Management function) для обработки запроса сетевого соединения от узла функции взаимодействия содержит сетевой интерфейс, выполненный с возможностью связи с узлом функции взаимодействия, и функции аутентификации в опорной сети. AMF также содержит устройство обработки, выполненное с возможностью обработки запроса на аутентификацию и установления безопасного соединения для UE через сеть недоверенного доступа; генерирования запроса на аутентификацию и проверку подписки для функции сервера аутентификации (AUSF; Authentication Server Function); определения ответа для аутентификации и проверки подписки, который указывает на отказ аутентификации; и генерирования ответного сообщения об аутентификации и установлении безопасного соединения путем включения в ответное сообщение значения причины, указывающего, что доступ к опорной сети не разрешен через сеть недоверенного доступа.

[0012] В другом аспекте оборудование пользователя (UE) содержит сетевой интерфейс, выполненный с возможностью связи с узлом функции взаимодействия через сеть недоверенного доступа. UE содержит устройство обработки, выполненное с возможностью генерирования запроса регистрации для установления безопасного сеанса в опорной сети; обработки ответного сообщения от узла функции взаимодействия; и определения на основании ответного сообщения, что установление соединения через сеть недоверенного доступа не разрешено опорной сетью.

[0013] В одном или более из вышеупомянутых аспектов устройство обработки в узле функции взаимодействия выполнено с возможностью приема запроса на аутентификацию и установление безопасного соединения от UE через сеть недоверенного доступа; генерирования запроса на аутентификацию и проверку подписки и передачи запроса на аутентификацию и проверку подписки через второй интерфейс в функцию управления доступом и мобильностью (AMF); получения ответа на аутентификацию и проверку подписки от AMF; и генерирования ответного сообщения обмена ключами по Интернету (IKE; Internet Key Exchange) для UE с полезной нагрузкой NAS, включающего ошибку, указывающую, что установление соединения через сеть недоверенного доступа не разрешено опорной сетью.

[0014] В одном или более из вышеупомянутых аспектов устройство обработки в узле функции взаимодействия выполнено с возможностью приема ответа от функции управления доступом и мобильностью, инкапсулирующего сообщение об отклонении регистрации, включающее в себя значение причины 5GMM, указывающее, что доступ не от 3GPP к 5GCN не разрешен, и генерирования ответного сообщения обмена ключами по Интернету (IKE) с полезной нагрузкой, включающего тип сообщения, указывающий, что установление соединения не принимается опорной сетью.

[0015] В одном или более из вышеупомянутых аспектов устройство обработки в узле функции взаимодействия выполнено с возможностью генерирования ответного сообщения обмена ключами по Интернету (IKE) с полезной нагрузкой уведомления, содержащего тип сообщения частного уведомления, указывающий причину отказа.

[0016] В одном или более из вышеупомянутых аспектов устройство обработки в узле функции взаимодействия выполнено с возможностью генерирования сообщения ответа IKE путем генерирования сообщения ответа IKE с полезной нагрузкой уведомления, содержащего тип сообщения частного уведомления, указывающий, что недоверенный доступ к 5GCN не от 3GPP не разрешен.

[0017] В одном или более из вышеупомянутых аспектов устройство обработки в узле функции взаимодействия выполнено с возможностью передачи ответного сообщения в UE, при этом ответное сообщение указывает, что установление соединения не принято опорной сетью; получения сообщения об остановке от UE; и генерирования сообщения об остановке для UE.

[0018] В одном или более из вышеупомянутых аспектов устройство обработки в узле функции взаимодействия выполнено с возможностью обработки сообщения остановке от UE, при этом сообщение об остановке включает формат сообщения 5G-Stop, имеющий поле идентификатора сообщения, и при этом поле идентификатора сообщения содержит идентификатор 5G-Stop.

[0019] В одном или более из вышеупомянутых аспектов запрос на установление соединения от UE в сети недоверенного доступа включает сообщение запроса IKE для инициирования ассоциации безопасности (SA; Security Association) IPsec с опорной сетью.

[0020] В одном или более из вышеупомянутых аспектов опорная сеть представляет собой 5GCN, а сеть недоверенного доступа представляет собой сеть доступа не от 3GPP.

[0021] В одном или более из вышеупомянутых аспектов устройство обработки в AMF выполнено с возможностью инкапсулирования в ответном сообщении сообщения об отклонении регистрации, которое содержит значение причины, при этом значение причины включает в себя значение причины 5GMM, указывающее, что доступ к 5GCN не от 3GPP не разрешен.

[0022] В одном или более из вышеупомянутых аспектов устройство обработки в AMF выполнено с возможностью генерирования индикации отказа расширяемого протокола аутентификации (EAP; Extensible Authentication Protocol) в ответном сообщении.

[0023] В одном или более из вышеупомянутых аспектов устройство обработки в оборудовании пользователя выполнено с возможностью генерирования сообщения остановки, указывающего конец запроса регистрации для установления безопасного сеанса в 5GCN, и передачи сообщения остановки через сеть доступа не от 3GPP в функциональный узел взаимодействия.

[0024] В одном или более из вышеупомянутых аспектов устройство обработки в оборудовании пользователя выполнено с возможностью генерирования сообщения остановки в виде сообщения в формате ответа EAP, содержащего поле идентификатора сообщения, установленное на 5G-Stop.

[0025] В одном или более из вышеупомянутых аспектов устройство обработки в оборудовании пользователя выполнено с возможностью обработки сообщения об отказе EAP от узла функции взаимодействия; и выполнения процедуры удаления ассоциации безопасности.

[0026] В одном или более из вышеупомянутых аспектов устройство обработки в оборудовании пользователя выполнено с возможностью повторной попытки регистрации в 5GCN путем генерирования второго запроса регистрации для установления безопасного сеанса в 5GCN и определения на основании второго ответного сообщения от узла функции взаимодействия о том, что установление соединения через сеть недоверенного доступа прошло успешно.

[0027] В одном или более из вышеупомянутых аспектов устройство обработки в оборудовании пользователя выполнено с возможностью генерирования второго запроса регистрации для установления безопасного сеанса в 5GCN с обновленными параметрами.

[0028] Дополнительные аспекты будут изложены в частности в подробном описании, фигурах и любом из пунктов формулы изобретения, которые следуют ниже, и частично будут получены из подробного описания. Следует понимать, что как предшествующее общее описание, так и последующее подробное описание являются только иллюстративными и пояснительными, и формула изобретения не ограничивается описанными вариантами осуществления.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[0029] Некоторые варианты осуществления устройства и/или способов в соответствии с вариантами осуществления настоящего изобретения далее описаны только в качестве примера и со ссылкой на сопроводительные графические материалы, в которых:

[0030] На фиг. 1 схематически проиллюстрирована блок-схема варианта осуществления типов сетей доступа.

[0031] На фиг. 2 схематически проиллюстрирована блок-схема варианта осуществления архитектуры системы 5G для доступа не от 3GPP.

[0032] На фиг. 3 проиллюстрирована блок-схема логической последовательности, иллюстрирующая вариант осуществления способа регистрации UE в 5GCN через сеть недоверенного доступа не от 3GPP.

[0033] На фиг. 4 проиллюстрирована блок-схема логической последовательности варианта осуществления способа устранения случая, когда SA IKE и установление сигнальной SA IPsec не принимаются.

[0034] На фиг. 5 проиллюстрирована блок-схема логической последовательности варианта осуществления способа процедуры сеанса EAP-5G после отказа аутентификации из-за исправимых ошибок.

[0035] блок-схема логической последовательности, иллюстрирующая вариант осуществления процедуры сеанса EAP-5G после отказа аутентификации.

[0036] На фиг. 6 проиллюстрирована блок-схема логической последовательности, иллюстрирующая вариант осуществления процедуры сеанса EAP-5G отклонения регистрации из-за отказов по причине неисправимых ошибок.

[0037] На фиг. 7 схематически проиллюстрирована блок-схема варианта осуществления сообщения EAP-Response/5G-Stop.

[0038] На фиг. 8 проиллюстрирована блок-схема логической последовательности варианта осуществления способа для потока сообщений между сетевыми функциями, когда SA IKE и установление сигнальной SA IPsec для регистрации UE через доступ не от 3GPP не принимаются.

[0039] На фиг. 9 проиллюстрирована блок-схема логической последовательности варианта осуществления способа для потока сообщений между сетевыми функциями, когда SA IKE и установление сигнальной SA IPsec для регистрации UE через доступ не от 3GPP не принимаются из-за ограничения подписки.

[0040] На фиг. 10 схематически проиллюстрирована блок-схема варианта осуществления способа для потока сообщений между сетевыми функциями, когда установление ассоциации безопасности IPsec в плоскости пользователя не принято.

[0041] На фиг. 11 схематически проиллюстрирована блок-схема варианта осуществления элемента 1100 информации о причине 5GMM.

[0042] На фиг. 12 схематически проиллюстрирована блок-схема варианта осуществления значений для элемента информации о причине 5GMM.

[0043] На фиг. 13 проиллюстрирована блок-схема логической последовательности варианта осуществления способа N3IWF.

[0044] На фиг. 14 проиллюстрирована блок-схема логической последовательности варианта осуществления способа запроса регистрации в опорной сети через сеть недоверенного доступа с отказом аутентификации из-за исправимых ошибок.

[0045] На фиг. 15 проиллюстрирована блок-схема логической последовательности варианта осуществления способа запроса регистрации в опорной сети через сеть недоверенного доступа с отказом аутентификации из-за неисправимых ошибок.

[0046] На фиг. 16 схематически проиллюстрирована блок-схема варианта осуществления приведенного в качестве примера оборудования пользователя.

[0047] На фиг. 17 схематически проиллюстрирована блок-схема варианта осуществления узла AMF.

[0048] На фиг. 18 схематически проиллюстрирована блок-схема варианта осуществления N3IWF.

ПОДРОБНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ

[0049] Описание и графические материалы всего лишь иллюстрируют принципы различных вариантов осуществления. Таким образом, следует принять во внимание, что специалисты в данной области техники смогут разработать различные устройства, которые, хотя явно и не описаны и не показаны в настоящем документе, реализуют принципы, изложенные в настоящем документе и в формуле изобретения, и подпадают под сущность и объем настоящего изобретения. Кроме того, все примеры, приведенные в данном документе, в основном предназначены исключительно для обучающих целей, чтобы помочь читателю понять принципы вариантов осуществления и концепции, внесенные изобретателем для продвижения области техники, и должны толковаться как не ограничивающие такие конкретно приводимые примеры и условия. Более того, все утверждения в данном документе, излагающие принципы, аспекты и варианты осуществления, а также их конкретные примеры, предназначены для охвата их эквивалентов.

[0050] Некоторые из сокращений, которые описаны в данном документе, разъяснены ниже в словах для удобства:

5GC - ядро 5G

5GCN - опорная сеть 5G

5GS - система 5G

5G-AN - сеть доступа 5G

5GMM - управление мобильностью 5GS

5G-GUTI - глобальный уникальный временный идентификатор 5G

5G-S-TMSI - временный идентификатор абонентской базы 5G

5QI - идентификатор QoS 5G

AMF - функция управления доступом и мобильностью

AUSF - функция сервера аутентификации

EAP - расширяемый протокол аутентификации

HPLMN - опорная наземная сеть мобильной связи общего пользования

IKEv2 - обмен ключами по Интернету в 2

IMSI - международный идентификатор мобильного абонента

IMEI - международный идентификатор оборудования мобильной связи

IPsec - безопасность интернет-протокола

MCM - режим с установлением нескольких соединений

N3IWF - функция взаимодействия не от 3GPP

NAS - уровень, не связанный с предоставлением доступа

PDN - сеть пакетной передачи данных

PLMN - наземная сеть мобильной связи общего пользования

QoS - качество обслуживания

SA - ассоциация безопасности

SCM - режим одного соединения

UDM - унифицированное управление данными

UE - оборудование пользователя

UICC - универсальная карта с интегральной схемой

USIM - мобильная связь идентификации абонента UMTS

[0051] В настоящем документе описаны один или более вариантов осуществления, которые обеспечивают систему и способ предоставления сетевых услуг неаутентифицированному оборудованию пользователя. Например, описаны различные способы установления сеанса для неаутентифицированного UE в сети доступа не от 3GPP.

[0052] На фиг. 1 схематически проиллюстрирована блок-схема варианта осуществления типов сетей доступа для опорной сети 5G (5GCN; 5G core network) 100, которая полностью или частично соответствует набору стандартов Проекта партнерства 3-го поколения (3GPP; 3rd Generation Partnership Project) для системы 5G, таких как Техническая спецификация (TS; Technical Specification) 23.501 «Системная архитектура для системы 5G» (System Architecture for the 5G System), причем Техническая спецификация (TS) 23.502 определяет процедуры для системы 5G, а Техническая спецификация (TS) 23.503 определяет политику и структуру управления тарифами для системы 5G.

[0053] 5GCN 100 соединена с возможностью связи с одной или более сетями 102 доступа. В варианте осуществления сети 102 доступа могут содержать одну или более сетей 104 доступа от 3GPP или одну или более сетей 106 доступа не от 3GPP. Сети 104 доступа от 3GPP полностью или частично соответствуют технологиям, указанным в наборе стандартов от 3GPP, и включают, например, GPRS, UMTS, EDGE, HSPA, LTE и LTE Advanced. Сети 106 доступа не от 3GPP полностью или частично соответствуют технологиям, которые не определены набором стандартов от 3GPP. Сети 106 доступа не от 3GPP могут быть так определены в наборе стандартов от 3GPP. Сети 106 доступа не от 3GPP могут содержать одну или более сетей 108 доверенного доступа не от 3GPP или одну или более сетей 110 недоверенного доступа не от 3GPP.

[0054] Сети 108 доверенного доступа не от 3GPP представляют собой созданные оператором или поддерживаемые оператором беспроводные локальные сети (WLAN), такие как сеть WLAN, совместимая с IEEE 802.11x, с шифрованием и безопасным способом аутентификации. В одном варианте осуществления сеть 108 доверенного доступа не от 3GPP поддерживает следующие приведенные в качестве примера функции: аутентификация на основе 802.1x, которая, в свою очередь, также требует шифрования сети радиодоступа (RAN; radio access network), доступ к сети на основе 3GPP с использованием способа EAP для аутентификации, и протоколы IPv4 и/или IPv6. Однако оператор может определить, что другие типы сетей доступа не от 3GPP с другими типами безопасности должны считаться доверенными. Сети 110 недоверенного доступа не от 3GPP содержат сети доступа не от 3GPP, которые неизвестны оператору или не включают поддерживаемые стандарты аутентификации. Например, сеть недоверенного доступа не от 3GPP может содержать домашнюю или общедоступную WLAN, такую как сеть WLAN, совместимая с IEEE 802.11x, которая открыта для общего доступа, домашняя WLAN или другая не происходящая от оператора, созданная и управляемая сеть.

[0055] На фиг. 2 схематически проиллюстрирована блок-схема варианта осуществления архитектуры системы 5G для доступа не от 3GPP. Эта архитектура более подробно описана в техническом стандарте TS 23.501 от 3GPP, версия 15 (декабрь 2017 г.), озаглавленном «Архитектура системы для системы 5G», который включен в настоящий документ посредством ссылки.

[0056] Сети доступа не от 3GPP подсоединены к 5GCN 100 через функцию взаимодействия не от 3GPP (N3IWF; Non-3GPP Interworking Function). N3IWF 204 взаимодействует с функциями плоскости управления (CP; control plane) и плоскости пользователя (UP; user plane) 5GCN 100 через интерфейсы N2 и N3 соответственно. UE 200 устанавливает туннель IP-безопасности (IPSec; IP security) с N3IWF 204 для подключения к 5GCN 100 через сеть 110 недоверенного доступа не от 3GPP. UE 200 аутентифицируется и подключается к 5GCN 100 во время процедуры установления туннеля IPSec. Дополнительные подробности о подключении UE 200 к 5GCN 100 через сеть 110 недоверенного доступа не от 3GPP описаны в TS 23.502 от 3GPP, версия 15 (декабрь 2017 г.), озаглавленном «Процедуры для системы 5G» (Procedures for the 5G System), который настоящим включен в данный документ посредством ссылки.

[0057] 5GCN 100 содержит опорную наземную сеть мобильной связи общего пользования или эквивалентную опорную PLMN (HPLMN; Home Public Land Mobile Network), содержащую функцию 202 управления доступом и мобильностью (AMF; Access and Mobility Management function). AMF 202 обеспечивает окончание интерфейса плоскости управления (N2) и окончание набора протоколов NAS (N1), а также шифрование и защиту целостности NAS. AMF 202 также обеспечивает регистрацию и управление подсоединением. AMF 202 может содержать различные функциональные возможности для поддержки сетей 110 доступа не от 3GPP. Например, AMF 202 может обеспечивать поддержку протоколов управления интерфейсом N2 с N3IWF 204, а также поддержку сигнализации NAS с UE 200 через N3IWF 204. Кроме того, AMF 202 может обеспечивать поддержку аутентификации UE 200, подсоединенных через N3IWF 204, и управление мобильностью, аутентификацией и отдельным состоянием (состояниями) контекста безопасности UE 200, подсоединенного через доступ не от 3GPP или подсоединенного через доступ от 3GPP и одновременный доступ не от 3GPP. Уровень, не связанный с предоставлением доступа (NAS; Non-Access Stratum), представляет собой набор протоколов в стандартах 5G. NAS (уровень, не связанный с предоставлением доступа) 5G включает процедуры, связанные с управлением мобильностью 5GS (5GMM; 5GS Mobility Management) и управлением сеансами 5G (5GSM; 5G Session Management) в система 5G (5GS; 5G system). NAS используют для передачи управляющих сигналов между оборудованием пользователя (UE) и функциями 5GCN. Версия протокола NAS 5G определена в TS 24.501 от 3GPP «Протокол уровня доступа (NAS) для системы 5G (5GS)» (Access-Stratum (NAS) protocol for 5G System (5GS)), версия 1.1, от 9 мая 2018 г., который настоящим включен в данный документ посредством ссылки.

[0058] Функция 206 управления сеансом (SMF; Session Management function) содержит функциональные возможности управления сеансом, например установление, модификацию и разъединение сеанса, включая техобслуживание туннеля между UPF 208 и узлом AN. SMF 206 также обеспечивает назначение и управление IP-адресом UE (включая дополнительную авторизацию) и функции DHCPv4 (сервер и клиент) и DHCPv6 (сервер и клиент).

[0059] Функция 208 плоскости пользователя (UPF; user plane function) обеспечивает внешнюю точку сеанса PDU для взаимного соединения с сетью передачи данных и маршрутизацией и пересылкой пакетов. UPF 208 также поддерживает часть плоскости пользователя принудительного применения правил политики, например стробирование, перенаправление, управление трафиком и т.д.

[0060] Функция 214 управления политикой (PCF; Policy Control Function) поддерживает структуру унифицированной политики для управления режимом действия сети. Унифицированное управление данными (UDM; Unified Data Management) 212 включает в себя поддержку генерирования учетных данных аутентификации AKA от 3GPP, авторизацию доступа на основе данных подписки (например, ограничения роуминга) и управление регистрацией обслуживающей NF UE (например, сохранение обслуживающей AMF для UE, сохранение обслуживающей SMF для сеанса PDU UE). Она также обеспечивает управление SMS и подпиской. Для обеспечения этих функциональных возможностей UDM 212 использует данные подписки (включая данные аутентификации), которые могут храниться в UDR. Другой модуль обеспечивает функцию 210 сервера аутентификации (AUSF; authentication server function).

[0061] Функциональные возможности N3IWF 204 в случае сети 110 недоверенного доступа не от 3GPP включают в себя поддержку установления туннеля IPsec с UE 200. N3IWF 204 обеспечивает окончание протоколов IKEv2/IPsec с UE 200 через интерфейс NWu и ретранслирует через интерфейс N2 информацию, необходимую для аутентификации UE 200 и авторизации его доступа к 5GCN 100. N3IWF 204 обеспечивает окончание интерфейсов N2 и N3 в 5GCN 100 для плоскости управления и плоскости пользователя соответственно. N3IWF 204 ретранслирует сигнализацию NAS (N1) плоскости управления восходящего и нисходящего каналов между UE 200 и AMF 202. N3IWF 204 обеспечивает обработку сигнализации N2 от SMF 206 (ретранслируемой AMF 202), связанной с сеансами PDU и QoS. N3IWF 204 дополнительно обеспечивает установление ассоциации безопасности IPsec (IPsec SA; IPsec Security Association) для поддержки трафика сеанса PDU. N3IWF 204 также обеспечивает ретрансляцию пакетов плоскости пользователя восходящего и нисходящего каналов между UE 200 и UPF 208.

[0062] На фиг. 3 схематически проиллюстрирована блок-схема, показывающая вариант осуществления способа регистрации UE 200 в 5GCN 100 через сеть 110 недоверенного доступа не от 3GPP. Данный способ включает в себя специфичный для поставщика, расширяемый протокол аутентификации (EAP; Extensible Authentication Protocol) под названием «EAP-5G». EAP определен в IETF RFC 3748: «Расширяемый протокол аутентификации (EAP)» (Extensible Authentication Protocol (EAP)), датированном июнем 2004 года. EAP-5G представляет собой специфичный для поставщика EAP для 5GS (EAP-5G), который используют для инкапсуляции сообщений NAS между UE 200 и N3IWF 204. Пакеты EAP-5G используют «расширенный» тип EAP и существующий идентификатор поставщика от 3GPP, зарегистрированный в IANA в соответствии с реестром частного предпринимательского кода SMI (SMI Private Enterprise Code) (т.е. 10415). В одном варианте осуществления EAP-5G используют только для инкапсуляции сообщений NAS (не для аутентификации).

[0063] Если UE 200 необходимо аутентифицировать, между UE 200 и AUSF 210 выполняется взаимная аутентификация EAP-AKA, как описано ниже в настоящем документе. При регистрации и последующих процедурах регистрации через сети 110 недоверенного доступа не от 3GPP обмен сообщениями NAS происходит между UE 200 и AMF 202.

[0064] На этапе 1 UE 200 подсоединяется к сети 110 недоверенного доступа не от 3GPP с помощью процедур, выходящих за рамки 3GPP (например, указанных в протоколах WLAN IEEE 802.11), и ему назначается IP-адрес. Можно использовать любой способ аутентификации не от 3GPP, например без аутентификации (в случае бесплатной WLAN), расширяемый протокол аутентификации (EAP) с предварительным общим ключом, именем пользователя/паролем и т.д. Когда UE 200 решает подключиться к 5GCN 100, UE 200 выбирает N3IWF 204 в PLMN 5G.

[0065] На этапе 2 UE 200 переходит к установлению ассоциации безопасности IPsec (SA) с выбранной N3IWF 204, инициируя начальный обмен по протоколу обмена ключами по Интернету (IKE; Internet Key exchange), например как описано в IETF RFC 7296 «Протокол обмена ключами по Интернету версия 2 (IKEv2)» (октябрь 2014 г.). После этапа 2 последующие сообщения IKE зашифровываются, и их целостность защищается с помощью SA IKE, установленной на этом этапе.

[0066] На этапе 3 UE 200 должно инициировать обмен IKE_AUTH путем отправки сообщения запроса IKE_AUTH. Полезная нагрузка AUTH не включена в сообщение запроса IKE_AUTH, которое указывает, что обмен IKE_AUTH использует протоколы сигнализации расширяемого протокола аутентификации (EAP), например передачу сигналов EAP-5G (например, EAP-AKA, описанную в IETF RFC 5448, «Улучшенный способ расширяемого протокола аутентификации для аутентификации третьего поколения и согласования ключей (EAP-AKA')» (Improved Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA')) от 5 марта 2018 г. и включенную в настоящий документ посредством ссылки).

[0067] На этапе 4 N3IWF 204 отвечает ответным сообщением IKE_AUTH, которое содержит пакет запроса EAP/начала 5G (EAP-Request/5G-Start). Пакет EAP-Request/5G-Start информирует UE 200 о необходимости инициировать сеанс EAP-5G, то есть начать отправку сообщений NAS, инкапсулированных в пакеты EAP-5G.

[0068] На этапе 5 UE 200 генерирует и передает запрос регистрации для 5GCN 100, например запрос IKE_AUTH, который содержит пакет EAP-Response/5G-NAS, который содержит параметры сети доступа, или AN-параметров (AN-Params; Access Network parameters) и сообщение запроса регистрации NAS. Таким образом, UE подтверждает начало сеанса EAP-5G, отправляя пакет EAP-Response/5G-NAS, который содержит, например: a) поле NAS-PDU, которое содержит сообщение NAS, например, сообщение REGISTRATION REQUEST; и b) поле AN-параметров, которое содержит параметры сети доступа, такие как SUPI или 5G-GUTI, выбранная сеть и S-NSSAI и т.д. (см. TS 23.502 от 3GPP). Параметры AN используются N3IWF 204 для выбора AMF 202 в 5GCN 100.

[0069] На этапе 6a N3IWF 204 выбирает AMF 202 в 5GCN 100 на основе принятых AN-параметров и локальной политики. Затем N3IWF 204 пересылает запрос регистрации, полученный от UE 200, выбранному AMF 202 на этапе 6b. N3IWF 204 при приеме сообщений NAS от AMF 202 включает сообщение NAS внутри сообщения EAP-Request/5G-NAS для UE 100. Сообщение EAP-Request/5G-NAS содержит поле NAS-PDU, которое содержит сообщение NAS. Дальнейшие сообщения NAS между UE 200 и AMF 202 через N3IWF 204 вставляются в поля NAS-PDU сообщения EAP-Response/5G-NAS (направление от UE к N3IWF) и сообщения EAP-Request/5G-NAS (в направлении от N3IWF к UE).

[0070] На этапах 7a и 7b выбранный AMF 202 может решить сделать запрос на постоянную идентификацию (SUPI) UE, отправив сообщение запроса идентификации NAS на UE 200 через N3IWF 204. Это сообщение NAS и все последующие сообщения NAS отправляются на UE 200 посредством N3IWF 204, инкапсулированной в пакеты EAP/5G-NAS.

[0071] На этапе 8 AMF 202 может решить аутентифицировать UE 200. В этом случае AMF 202 выбирает AUSF 210, используя SUPI или зашифрованный SUPI UE 200, и отправляет запрос ключа в выбранную AUSF 210 на этапе 8a. AUSF 210 может инициировать аутентификацию EAP-AKA' на этапе 8b, как указано в TS от 3GPP, т.е. TS 33.501: «Архитектура безопасности и процедуры для системы 5G» (Security Architecture and Procedures for 5G System) (версия 15, 26 марта 2018 г.), которая включена в настоящий документ посредством ссылки. Пакеты запроса EAP-AKA' инкапсулируются в сообщения аутентификации NAS для N3IWF на этапе 8c, а сообщения аутентификации NAS инкапсулируются в пакеты EAP/5G-NAS на этапе 8d. UE 200 генерирует ответ аутентификации на запрос EAP-AKA на этапе 8e, который направляется с помощью N3IWF 204 в AMF на этапе 8f. Затем AUSF 210 принимает ответ аутентификации от AMF на этапе 8g.

[0072] После успешной аутентификации UE 100, на этапе 8h, AUSF 210 отправляет ключ привязки (ключ SEAF) в AMF 202, который используется AMF 202 для получения ключей безопасности NAS и ключа безопасности для N3IWF 204 (ключ N3IWF). UE 200 также получает ключ привязки (ключ SEAF) и из этого ключа получает ключи безопасности NAS и ключ безопасности для N3IWF 204 (ключ N3IWF). Ключ N3IWF используется UE 200 и N3IWF 204 для установления ассоциации безопасности IPsec (на этапе 11). AUSF 210 содержит SUPI (незашифрованный), если на этапе 8a AMF 202 предоставила AUSF 210 зашифрованный SUPI.

[0073] На этапах 9a и 9b AMF 202 отправляет запрос команды режима безопасности (SMC; Security Mode Command) на UE 200, чтобы активировать безопасность NAS. Этот запрос сначала отправляется N3IWF 204 (в сообщении N2) вместе с ключом N3IWF. Если аутентификация EAP-AKA' была успешно выполнена на этапе 8, то на этапе 9a AMF 202 инкапсулирует EAP-Success, полученный от AUSF 210, в сообщение запроса SMC.

[0074] На этапе 10a UE 200 завершает аутентификацию EAP-AKA' (если инициирована на этапе 8) и создает контекст безопасности NAS и ключ N3IWF. После того, как ключ N3IWF создан в UE 200, UE 200 запрашивает завершение сеанса EAP-5G, отправляя пакет EAP-Response/5G-Complete. Это запускает N3IWF 204 для отправки успешного выполнения EAP (EAP-Success) на UE 200 на этапе 10b, предполагая, что N3IWF 204 также получила ключ N3IWF от AMF 202. Это завершает сеанс EAP-5G, и не может происходить обмен дальнейшими пакетами EAP-5G. Если N3IWF 204 не получила ключ N3IWF от AMF 202, N3IWF 204 отвечает отказом EAP (EAP-Failure).

[0075] На этапе 11 устанавливается SA IPsec между UE 200 и N3IWF 204 с использованием общего ключа N3IWF, который был создан в UE 200 и принят N3IWF 204 на этапе 9a. Эта SA IPsec называется «сигнальной SA IPsec». После установления сигнальной SA IPsec все сообщения NAS между UE 200 и N3IWF 204 обмениваются через эту SA IPsec. Сигнальная SA IPsec должна быть сконфигурирована для работы в транспортном режиме. Значение SPI используют для определения того, несет ли пакет IPsec сообщение NAS или нет.

[0076] На этапе 12 UE 200 отправляет сообщение завершения SMC (SMC Complete) через установленную сигнальную SA IPsec, и обмен всеми последующими сообщениями NAS между UE 200 и AMF 202 происходит через эту SA IPsec.

[0077] Как описано выше, UE 200 и N3IWF 204 используют определенный способ, когда 5GCN 100 принимает установление SA IKE и сигнальной SA IPsec через сеть 110 доступа не от 3GPP. Однако отсутствует система или способ устранения случая, когда установление SA IKE и сигнальной SA IPsec не принимается 5GCN 100. Кроме того, для плоскости пользователя необходимо указать систему и способ устранения случая, когда установление SA IPsec плоскости пользователя не принимается 5GCN 100. В общем, необходимо разработать способы и системы для устранения отклонения доступа не от 3GPP к 5GCN 100.

Вариант осуществления - улучшение процесса и протокола для устранения случая, когда регистрация UE в сети доступа не от 3GPP не принимается опорной сетью 5G.

[0078] На фиг. 4 проиллюстрирована блок-схема логической последовательности варианта осуществления способа 400 для устранения случая, когда установление SA IKE и сигнальной SA IPsec не принимаются. На этапе 402 UE 200 переходит к запросу на установление ассоциации безопасности (SA) IPsec с выбранной N3IWF 204. UE 200 инициирует установление SA IPsec с использованием протокола обмена ключами по Интернету (IKE), описанного в IETF RFC 7296 «Протокол обмена ключами по Интернету версии 2 (IKEv2)» (октябрь 2014 г.). UE 200 отправляет сообщение запроса IKE_AUTH на этапе 404. На этапе 406 N3IWF 204 отвечает сообщением ответа IKE_AUTH, которое содержит пакет EAP-Request/5G-Start. Пакет EAP-Request/5G-Start информирует UE 200 о необходимости инициировать сеанс EAP-5G, то есть начать отправку сообщений NAS, инкапсулированных в пакеты EAP-5G.

[0079] На этапе 408 UE 200 генерирует запрос регистрации для 5GCN 100, например запрос IKE_AUTH, который содержит пакет EAP-Response/5G-NAS, который содержит параметры сети доступа (AN-Params) и сообщение запроса регистрации NAS. AN-Params содержат информацию (например, SUPI или 5G-GUTI, выбранную сеть и NSSAI), которая используется N3IWF 204 для выбора AMF 202 в 5GCN 100.

[0080] В некоторых случаях регистрация UE через доступ не от 3GPP отклоняется, например из-за ошибки аутентификации, например аутентификация EAP-AKA не была успешно выполнена. Тогда установление SA IKE и сигнальной SA IPsec не принимается 5GCN 100. В варианте осуществления AMF 202 генерирует сообщение об отклонении регистрации (REGISTRATION REJECT), а N3IWF 204 отправляет сообщение EAP-Response/5G-NAS в UE, которое содержит поле NAS-PDU, которое содержит сообщение REGISTRATION REJECT на этапе 410.

[0081] После получения сообщения об отклонении регистрации UE 200 завершает запрос регистрации, генерируя и отправляя сообщение EAP-Response/5G-Stop (инкапсулированное в запрос IKE_Auth) на этапе 412. UE 200 получает от N3IWF 204 сообщение ответа IKE_AUTH с сообщением об отказе EAP на этапе 414. При приеме сообщения об отказе EAP от N3IWF 204 UE 200 выполняет процедуру удаления IKEv2 SA. UE 200 повторно не инициирует установление SA IKE и сигнальной SA IPsec на N3IWF 204 из той же PLMN, пока не выключится или не будет удален UICC, содержащий USIM.

[0082] Когда регистрация UE 200 в сети 110 доступа не от 3GPP отклоняется, AMF 202 передает сообщение REGISTRATION REJECT в N3IWF 204. В ответ N3IWF 204 передает сообщение EAP-Response/5G-NAS в UE 200, которое содержит поле NAS-PDU, содержащее сообщение REGISTRATION REJECT. Последующий ответ UE 200 может отличаться в зависимости от причины отклонения регистрации. Для исправимых ошибок, таких как синтаксическая ошибка или определенные причины временного отклонения, UE 200 может попытаться снова инициировать регистрацию с действительными параметрами. В случае других причин отклонения UE 200 прекращает процедуру EAP-5G и восстанавливает ресурсы, относящиеся к SA IKE и стеку EAP. Для остановки процедуры EAP-5G необходима индикация 5G-Stop. Обе эти процедуры описаны в настоящем документе более подробно.

Вариант реализации - завершение процедуры EAP-5G после отказа в регистрации из-за исправимых ошибок.

[0083] На фиг. 5 проиллюстрирована блок-схема логической последовательности варианта осуществления способа 500 процедуры сеанса EAP-5G после отказа в аутентификации из-за исправимых ошибок. В этом варианте осуществления запрос регистрации UE 200 в 5GCN 100 через сеть 110 недоверенного доступа не от 3GPP отклоняется.

[0084] N3IWF 204 передает сообщение EAP-Request/5G-Start в UE 200 на этапе 502. Начальное сообщение 5G посылает запрос UE 200 на инициирование сеанса EAP-5G, т.е. начало отправки сообщений NAS, инкапсулированных в пакеты EAP-5G. UE 200 генерирует запрос регистрации в 5GCN 100 в сообщении EAP-Response/5G-NAS, которое содержит параметры AN и поле NAS-PDU, включая запрос регистрации на этапе 504. В этом варианте осуществления регистрация UE 200 в 5GCN 100 отклоняется AMF 202. AMF 202 передает сообщение REGISTRATION REJECT на N3IWF 204. В ответ N3IWF 204 передает сообщение EAP-Request/5G-NAS на UE 200, которое содержит поле NAS-PDU, включая сообщение NAS REGISTRATION REJECT на этапе 506.

[0085] UE 200 может снова попытаться инициировать регистрацию в 5GCN, хотя повторная попытка регистрации не является обязательной. Для исправимых ошибок, таких как синтаксические ошибки или определенные причины временного отклонения, UE 200 может модифицировать сообщение запроса регистрации с обновленными параметрами и повторяет попытку регистрации. В качестве альтернативы, UE 200 может повторить попытку регистрации позже без обновления параметров.

[0086] UE 200 передает второй запрос регистрации, отформатированный как сообщение EAP-Response/5G-NAS, которое содержит обновленные параметры AN, если необходимо, и поле NAS-PDU, содержащее запрос регистрации на этапе 508. Затем UE 200 и N3IWF 204 выполняют установление SA IKE и сигнальной SA IPsec для создания контекста безопасности NAS и ключа N3IWF (не показан).

[0087] После того как создан ключ N3IWF в UE 200, N3IWF 204 передает сообщение EAP-Request/5G NAS, содержащее PDU NAS с сообщением команды режима безопасности, указывающим успешное выполнение EAP (EAP-success) на этапе 510. UE 200 запрашивает завершение сеанса EAP-5G путем генерирования и передачи сообщения EAP-Response/5G-NAS с PDU NAS, включая сообщение о завершении режима безопасности на этапе 512. Это запускает N3IWF 204 для отправки EAP-Success на UE 200, предполагая, что N3IWF 204 также получила ключ N3IWF от AMF 202. На этом сеанс EAP-5G завершается, и дальнейший обмен пакетами EAP-5G невозможен.

[0088] Таким образом, UE 200 может повторно пытаться запросить регистрацию в 5GCN 100 через сеть 110 доступа не от 3GPP в случае ее отклонения. Данное отклонение может быть связано с исправляемыми ошибками, такими как синтаксические ошибки или ошибки в параметрах AN. Вторая попытка регистрации может быть успешной после исправления таких исправимых ошибок. В другом варианте отклонение происходит по причинам временного отклонения. Затем UE 200 может повторить попытку регистрации с теми же параметрами и завершить сеанс EAP-5G.

Вариант реализации - завершение процедуры EAP-5G после отказа в регистрации из-за неисправимых ошибок.

[0089] На фиг. 6 показана блок-схема логической последовательности, иллюстрирующая вариант осуществления процедуры сеанса EAP-5G отклонения регистрации из-за неисправимых ошибок или постоянных отказов. В этом варианте осуществления запрос регистрации UE 200 в 5GCN 100 через сеть 110 недоверенного доступа не от 3GPP снова отклонен.

[0090] N3IWF 204 передает сообщение EAP-Request/5G-Start в UE 200, чтобы инициировать регистрацию в 5GCN 100 через сеть 110 доступа не от 3GPP на этапе 602. UE 200 отвечает запросом регистрации, например сообщением EAP-Response/5G-NAS, которое содержит параметры AN и поле NAS-PDU, содержащее запрос регистрации на этапе 604.

[0091] Если аутентификация не удалась из-за неисправимых ошибок, например аутентификация EAP-AKA не была успешной, N3IWF 204 принимает сообщение REGISTRATION REJECT от AMF 202 (не показано). В ответ на получение сообщения REGISTRATION REJECT от AMF 202, N3IWF 204 генерирует сообщение EAP-Response/5G-NAS для UE 200 на этапе 606. Сообщение EAP-Response/5G-NAS содержит поле NAS-PDU, которое содержит сообщение NAS REGISTRATION REJECT с полем EAP-Failure.

[0092] UE 200 завершает процедуру регистрации, генерируя и передавая сообщение EAP-Response/5G-Stop на этапе 608. Сообщение 5G-stop указывает на окончание сеанса EAP для регистрации в 5GCN 100 через сеть 110 доступа не от 3GPP. После приема сообщения EAP-Response/5G-Stop от UE 200, N3IWF 204 завершает процедуру EAP-5G, отправляя сообщение EAP-Failure на UE 200 на этапе 610. В этом варианте осуществления UE 200 прекращает сеанс EAP-5G без повторных попыток регистрации.

[0093] На фиг. 7 схематически проиллюстрирована блок-схема варианта осуществления сообщения 700 EAP-Response/5G-Stop. Сообщение 700 EAP-Response/5G-Stop содержит различные пакеты EAP с приведенными в качестве примера полями, включая код 702, идентификатор 704, длину 706, тип 708, ИД поставщика 710, тип поставщика 712, идентификатор сообщения (ИД сообщения) 714, резерв 716 и расширения 718. Поле 714 ИД сообщения пакета EAP содержит идентификатор для указания сообщения 5G-Stop. Пример значений полей в пакете EAP представлен ниже в таблице 1.

Приведенные в качестве примера поля для сообщения EAP-Response/5G-Stop

[0094] Поле 714 идентификатора сообщения (ИД сообщения) в сообщении EAP содержит идентификатор или значение 5G Stop. Поля и значения сообщения 700 EAP-Response/5G-Stop являются примерами, и могут быть реализованы другие поля/значения или пакеты протокола, указывающие аналогичное значение остановки регистрации.

Вариант осуществления - улучшение способов и протокола для устранения, когда установление SA IPsec не принято из-за отказа аутентификации

[0095] На фиг. 8 проиллюстрирована блок-схема логической последовательности варианта осуществления способа 800 для потока сообщений между функциями сетевого узла, когда установление SA IKE и сигнальной SA IPsec для регистрации UE 200 через сеть 110 доступа не от 3GPP не принимаются из-за отказа аутентификации. Например, установление SA IKE и сигнальной SA IPsec может быть неприемлемо из-за отказа процедуры аутентификации, такой как запрос AKA (AKA-Challenge) или запрос AKA’ (AKA’-Challenge). Способ 800 включает в себя новый тип частного сообщения уведомления IKEv2, чтобы сигнализировать об отказе UE 200, и новое значение причины, чтобы указать, что доступ к 5GCN 100 не разрешен сетью 110 доступа не от 3GPP.

[0096] UE 200 подключается к сети недоверенного доступа не от 3GPP (N3AN; non-3GPP access network) 110, например с использованием протоколов 802.1x для общедоступной WLAN на этапе 802. Когда UE 200 решает подключиться к 5GCN 100, UE 200 выбирает N3IWF 204 в PLMN 5G на этапе 804. UE 200 продолжает установление ассоциация безопасности (SA) IPsec с выбранным N3IWF 204 путем инициирования начального обмена IKE, например как описано в IETF RFC 7296 «Протокол обмена ключами по Интернету версии 2 (IKEv2)» (октябрь 2014 г.), на этапе 806. После установления SA IKE последующие сообщения IKE зашифровываются, а целостность защищается с помощью SA IKE, установленной на этом этапе 806.

[0097] Затем UE 200 инициирует обмен IKE_AUTH, отправив сообщение запроса IKE_AUTH на этапе 808. Полезная нагрузка AUTH не включена в сообщение запроса IKE_AUTH, что указывает на то, что обмен IKE_AUTH должен использовать сигнализацию EAP (в данном случае сигнализацию EAP-5G). UE 200 должно установить поле ИД UE в этом сообщении равным любому случайному номеру. N3IWF 204 отвечает ответным сообщением IKE_AUTH, которое содержит пакет EAP-Request/5G-Start на этапе 810. Пакет EAP-Request/5G-Start информирует UE 200 о необходимости инициировать сеанс EAP-5G, то есть начать отправку сообщений NAS, инкапсулированных в пакеты EAP-5G.

[0098] UE 200 может также проверить сертификат N3IWF и подтвердить, что идентификатор N3IWF 204 соответствует N3IWF 204, выбранному UE 200. Отсутствие сертификата от N3IWF 204 или неудачное подтверждение идентификатора может привести к отказу соединения. Затем UE 200 отправляет запрос IKE_AUTH, который содержит пакет EAP-Response/5G-NAS, чтобы запросить регистрацию в 5GCN 100 на этапе 812. Сообщение EAP-Response/5G-NAS содержит параметры AN (например, GUAMI, выбранный идентификатор PLMN, запрошенную NSSAI) и поле NAS-PDU, содержащее запрос регистрации.

[0099] Затем N3IWF 204 выбирает AMF 202, используя параметры AN, и пересылает запрос регистрации, полученный от UE 200, в AMF 202 в транспортном сообщении NAS N2 на этапе 814.

[00100] AMF 202 может решить аутентифицировать UE 200. В этом случае AMF 202 выбирает AUSF 210 на этапе 816 и отправляет запрос ключа в AUSF 210. Затем AUSF 210 может инициировать процедуру аутентификации, такую как AKA-Challenge или AKA’-challenge на этапе 818. Между AMF 202 и UE 200 пакеты аутентификации инкапсулируются в сообщения аутентификации NAS, а сообщения аутентификации NAS инкапсулируются в пакеты EAP-5G/5G-NAS. Сообщение EAP-Request/AKA'-Challenge передается в UE 200 через N3IWF 204 в сообщении запроса аутентификации сообщения NAS на этапах 820 и 822. Это сообщение может содержать ngKSI, которая будет использоваться UE 200 и AMF 202 для идентификации частичного собственного контекста безопасности, который создается в случае успешной аутентификации. UE 200 пересылает RAND и AUTN, полученные в сообщении EAP-Request/AKA'-Challenge, в USIM.

[00101] При получении RAND и AUTN, USIM проверяет вектор аутентификации, проверяя, можно ли принять AUTN. Если это так, USIM вычисляет ответ (RES) на этапе 823. UE 200 отправляет сообщение EAP-Response/AKA'-Challenge в сообщении NAS Auth-Resp на этапе 824. Сообщение EAP-Response/AKA'-Challenge передается в AUSF 210 через AMF 202 на этапах 826 и 828. Затем AUSF 210 пытается проверить данное сообщение. Если AUSF 210 успешно проверила это сообщение, оно должно продолжить аутентификацию.

[00102] В ранее известных системах, если AUSF 210 определяет, что доступ не от 3GPP к 5GCN 100 не разрешен из-за отказа аутентификации на этапе 830, она возвращает ошибку. В новой улучшенной системе и способе AMF 202 генерирует новый частный тип сообщения уведомления IKEv2, чтобы сигнализировать, что доступ не от 3GPP к сети 5GC не разрешен, например из-за отказа аутентификации.

[00103] На этапе 832 AUSF 210 отправляет сообщение сеанса HTTP EAP с полезной нагрузкой EAP об отказе EAP и результатом аутентификации Отказа аутентификации. AMF 202 генерирует новую причину управления мобильностью 5G (5GMM), чтобы указать, что доступ к 5GCN 100 не от 3GPP не разрешен. AMF 202 генерирует транспортное сообщение N2 NAS с отклонением регистрации и сообщение EAP, указывающее на отказ EAP и содержащее причину 5GMM на этапе 834. Причина 5GMM указывает тип ошибки, например в этом случае «Доступ к 5GCN не от 3GPP запрещен».

[00104] UE 200 принимает от N3IWF 204 ответное сообщение IKE_AUTH с полезной нагрузкой уведомления с типом частного сообщения уведомления (например, любым типом частного сообщения уведомления в заранее определенном диапазоне, например 8192…16383) на этапе 836. Частное сообщение уведомления IKEv2 содержит ответ EAP/PDU 5G-NAS, включая отклонение регистрации с причиной 5GMM «NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED» (доступ к 5GCN не от 3GPP не разрешен) и тип сообщения EAP EAP-Failure (отказ EAP).

[00105] Таким образом, способ 800 включает в себя новый тип частного сообщения уведомления IKEv2 и новое значение причины 5GMM для информирования UE об отказе запроса регистрации о том, что доступ к 5GCN 100 не от 3GPP не разрешен. Хотя реализовано новое частное сообщение уведомления IKEv2, могут быть реализованы другие типы сообщений или форматов, полей или типов ошибок, чтобы информировать UE 200 о том, что доступ к сети 5GC не от 3GPP не разрешен или был отклонен.

[00106] После приема частного сообщения уведомления с причиной 5GMM NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED, UE 200 завершает сеанс EAP-5G, отправив сообщение EAP-Response/5G-Stop на этапе 838. UE 200 получает от N3IWF 204 ответное сообщение IKE_AUTH с сообщением об отказе EAP (EAP-Failure) на этапе 840.

[00107] При приеме сообщения EAP-Failure от N3IWF 204, UE 200 выполняет процедуру удаления SA IKEv2 и закрывает SA IKE на этапе 842. UE 200 не инициирует повторно установление SA IKE и SA IPsec для N3IWF 204 от той же PLMN до выключения или до удаления UICC, содержащей USIM. UE 200 может передать информационное сообщение об удалении SA IKEv2 на этапе 844. Затем N3IWF 204 может закрыть SA IKEv2 на этапе 846.

Вариант реализации - улучшения способов и протокола для устранения, когда установление SA IPsec не принято из-за ограничения подписки

[00108] На фиг. 9 проиллюстрирована блок-схема логической последовательности варианта осуществления способа 900 для потока сообщений между сетевыми функциями, когда установление SA IKE и сигнальной SA IPsec для регистрации UE 200 через доступ не от 3GPP не принимается из-за ограничения подписки. Например, установление SA IKE и сигнальной SA IPsec может быть запрещено из-за ограничения подписки. Способ 900 включает в себя новый тип частного сообщения уведомления IKEv2, чтобы сигнализировать об отказе UE 200, и новое значение причины, чтобы указать, что доступ к 5GCN 100 не разрешен сетью 110 доступа не от 3GPP.

[00109] UE 200 подсоединяется к сети 110 недоверенного доступа не от 3GPP (N3AN), например с использованием протоколов 802.1x к общедоступной WLAN на этапе 902. Когда UE 200 решает подключиться к 5GCN 100, UE 200 выбирает N3IWF 204 в PLMN 5G на этапе 904. UE 200 продолжает установку ассоциации безопасности (SA) IPsec с выбранной N3IWF 204 путем инициирования начального обмена IKE, например как описано в IETF RFC 7296 «Протокол обмена ключами по Интернету версии 2 (IKEv2)» (октябрь 2014 г.), на этапе 906. После установления SA IKE последующие сообщения IKE шифруются, а целостность защищается с использованием установленных ключей в SA IKE.

[00110] Затем UE 200 инициирует обмен IKE_AUTH, отправив сообщение запроса IKE_AUTH на этапе 908. Полезная нагрузка AUTH не включена в сообщение запроса IKE_AUTH, что указывает на то, что обмен IKE_AUTH должен использовать сигнализацию EAP (в данном случае сигнализацию EAP-5G). UE 200 устанавливает поле ИД UE в этом сообщении равным любому случайному номеру. N3IWF 204 отвечает ответным сообщением IKE_AUTH, которое содержит пакет EAP-Request/5G-Start на этапе 910. Пакет EAP-Request/5G-Start информирует UE 200 о необходимости инициировать сеанс EAP-5G, то есть начать отправку сообщений NAS, инкапсулированных в пакеты EAP-5G.

[00111] Также UE 200 может проверить подлинность сертификата N3IWF и подтвердить, что идентификатор N3IWF 204 соответствует N3IWF 204, выбранному UE. Отсутствие сертификата от N3IWF 204 или неудачное подтверждение идентификации может привести к отказу соединения. Затем UE 200 отправляет запрос регистрации в запросе IKE_AUTH, который содержит пакет EAP-Response/5G-NAS на этапе 912. Пакет EAP-Response/5G-NAS содержит параметры AN, такие как GUAMI, выбранный идентификатор PLMN, запрошенная NSSAI и PDU NAS с запросом регистрации. Затем N3IWF 204 выбирает AMF 202 и пересылает запрос регистрации в PDU NAS, принятом от UE 200, в AMF 202 на этапе 914.

[00112] AMF 202 может решить аутентифицировать UE 200. В этом случае AMF 202 выбирает AUSF 210 на этапе 916 и отправляет запрос ключа в AUSF 210. Затем AUSF 210 может инициировать процедуру аутентификации, такую как AKA-Challenge или AKA'-Challenge на этапе 918. Между AMF 202 и UE 200 пакеты аутентификации инкапсулируются в сообщения аутентификации NAS, а сообщения аутентификации NAS инкапсулируются в пакеты EAP-5G/5G-NAS. Сообщение EAP-Request/AKA'-Challenge передается в UE 200 в сообщении NAS Auth-Req от AMF на этапе 920 и пересылается N3IWF на этапе 922. Это сообщение может содержать ngKSI, который будет использоваться UE 200 и AMF 202 для идентификации частичного собственного контекста безопасности, который создается в случае успешной аутентификации. UE 200 пересылает RAND и AUTN, полученные в сообщении EAP-Request/AKA'-Challenge, своему USIM.

[00113] При получении RAND и AUTN USIM проверяет подлинность вектора аутентификации, проверяя, можно ли принять AUTN. Если это так, USIM вычисляет ответ аутентификации на этапе 923. UE 200 отправляет сообщение EAP-Response/AKA'-Challenge в сообщении NAS Auth-Resp на этапе 924. Сообщение EAP-Response/AKA'-Challenge передается N3IWF в AMF на этапе 926, а затем в AUSF 210 на этапе 928. Затем AUSF 210 пытается проверить подлинность сообщения. Если AUSF 210 успешно проверила подлинность этого сообщения, оно должно продолжить аутентификацию. Однако AUSF 210 может отклонить аутентификацию и не разрешить доступ к 5GCN 100 не от 3GPP на этапе 930.

[00114] В известных ранее системах, если AUSF 210 определяет отказ аутентификации, AUSF 210 возвращает ошибку. В новом улучшенном способе AMF 202 генерирует новую причину, чтобы сигнализировать о том, что доступ к 5GCN 100 не от 3GPP не разрешен. Например, AMF 202 может сгенерировать новый тип частного сообщения уведомления IKEv2, чтобы сигнализировать UE 200 о том, что доступ к 5GCN 100 не от 3GPP не разрешен, например из-за подписки или ограничения сети.

[00115] На этапе 932 AUSF 210 отправляет сообщение сеанса HTTP EAP с полезной нагрузкой EAP об отказе EAP и результатом аутентификации «Ошибка аутентификации» с указанием причины. AMF 202 генерирует транспортное сообщение NAS N2 с отклонением регистрации и сообщение EAP об отказе EAP, которое содержит причину 5GMM, на этапе 934. Причина 5GMM указывает тип ошибки NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED.

[00116] N3IWF 204 принимает ответ от AMF 202, инкапсулирующий сообщение об отклонении регистрации, содержащее значение причины 5GMM, указывающее, что доступ к 5GCN не от 3GPP не разрешен, и сообщение типа EAP-Failure. N3IWF 204 генерирует ответное сообщение IKE_AUTH с полезной нагрузкой уведомления с типом частного сообщения уведомления (например, любым типом частного сообщения уведомления в заранее определенном диапазоне, например 8192…16383) на этапе 936. Частное сообщение уведомления IKEv2 содержит EAP response/PDU 5G-NAS, включая отклонение регистрации с указанием причины 5GMM «NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED» и типа сообщения EAP EAP-Failure.

[00117] Таким образом, реализуется новый код причины 5GMM, чтобы сигнализировать UE 200 о том, что доступ к 5GCN 100 не от 3GPP не разрешен. Эта причина 5GMM генерируется AMF 202 и передается на UE 200, если оно запрашивает услуги через доступ не от 3GPP в PLMN, где UE 200 по подписке или ограничению сети не может получить доступ к 5GCN 100 через сеть 110 доступа не от 3GPP. Таким образом, UE 200 информируется об отклонении доступа к 5GCN 100 через сеть 110 доступа не от 3GPP.

[00118] UE 200 принимает от N3IWF 204 ответное сообщение IKE_AUTH с полезной нагрузкой уведомления с типом частного сообщения уведомления и сообщением EAP EAP-Failure и причиной 5GMM NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED на этапе 936. Поэтому, вместо того, чтобы просто принять сообщение об ошибке UE 200 принимает уведомление об отклонении регистрации с указанием причины.

[00119] Затем UE 200 завершает запрос регистрации, генерируя сообщение EAP-Response/5G-Stop для N3IWF 204 на этапе 938. UE 200 принимает от N3IWF 204 ответное сообщение IKE_AUTH с сообщением EAP Failure на этапе 940.

[00120] При приеме сообщения EAP-Failure от N3IWF 204 UE 200 выполняет процедуру удаления SA IKEv2 и закрывает SA IKE на этапе 942. В этом примере из-за неустранимой ошибки подписки или ограничения сети UE 200 не инициирует повторно установление SA IKE и SA IPsec для N3IWF 204 из той же сети PLMN, пока не отключится или не будет удалена UICC, содержащая USIM. UE 200 может передать информационное сообщение об удалении SA IKEv2 на этапе 944. Затем N3IWF 204 может закрыть SA IKEv2 на этапе 946.

Вариант осуществления - улучшение способов и протокола для устранения, когда установление SA IPsec плоскости пользователя не принято

[00121] На фиг. 10 проиллюстрирована блок-схема логической последовательности варианта осуществления способа для потока сообщений между функциями сетевого узла, когда установление ассоциации безопасности (SA) IPsec плоскости пользователя не принято. UE 200 подсоединяется к сети недоверенного доступа не от 3GPP (N3AN) 110, например с использованием протоколов 802.1x в общедоступной WLAN на этапе 1002. Когда UE 200 решает подключиться к 5GCN 100, UE 200 выбирает N3IWF 204 в PLMN 5G на этапе 1004. UE 200 продолжает установление ассоциации безопасности (SA) IPsec с выбранной N3IWF 204 путем инициирования начального обмена IKE на этапе 1006. В этом варианте осуществления UE 200 успешно устанавливает SA IKE и сигнальную SA IPsec на выбранной N3IWF 204 на этапе 1008. Например, аутентификация UE 200, например, процедура EAP-AKA' прошла успешно и EAP-5G завершен, как показано на фиг. 3.

[00122] Затем UE 200 передает сообщение запроса установления сеанса PDU в AMF 202, чтобы установить SA IPsec плоскости пользователя на этапе 1010. Это сообщение запроса установления сеанса PDU отправляется в N3IWF 204 через сигнальную SA Ipsec, и N3IWF 204 прозрачно пересылает его на AMF 202 в 5GCN 100 на этапе 1012. AMF 202 может создать контекст управления сеансом (SM) с SMF 206 на этапе 1014. AMF 202 отправляет сообщение запроса сеанса PDU интерфейса N2 NAS в N3IWF 204 для установления ресурсов доступа для этого сеанса PDU, например в запросе установки ресурсов сеанса PDU N2 на этапе 1016. Запрос сеанса PDU может содержать идентификатор сеанса PDU, принятие установления сеанса PDU, QFI, профили QoS и т.д.

[00123] На основе своих собственных политик и конфигурации и на основе профилей QoS, полученных в запросе сеанса PDU N2, N3IWF 204 определяет количество SA IPsec плоскости пользователя, которые необходимо установить, и профили QoS, связанные с каждой SA IPsec плоскости пользователя. Например, N3IWF 204 может решить установить одну SA IPsec плоскости пользователя и связать все профили QoS с этой SA IPsec плоскости пользователя. В этом примере все потоки QoS сеанса PDU будут передаваться через одну SA IPsec плоскости пользователя. В другом примере N3IWF 204 может принять решение установить множество дочерних SA IPsec плоскости пользователя и связать определенные профили QoS с разными из совокупности дочерних SA IPsec плоскости пользователя.

[00124] N3IWF 204 отправляет на UE 200 запрос IKE Create_Child_SA для установления первой дочерней SA IPsec плоскости пользователя для сеанса PDU на этапе 1018. Запрос IKE Create_Child_SA указывает первую дочернюю SA IPsec плоскости пользователя с идентификатором SAup1. Этот запрос может содержать полезную нагрузку уведомления от 3GPP, которая содержит (а) QFI, связанную(ые) с дочерней SA, (b) идентификатор сеанса PDU, связанный с этой дочерней SA, (c) необязательно, значение DSCP, связанное с дочерней SA и (d) UP_IP_ADDRESS. Запрос IKE Create_Child_SA может также содержать другую информацию, такую как полезная нагрузка SA, селекторы трафика (TS; Traffic Selectors) для N3IWF 204 и UE 200 и т.д.

[00125] Когда UE 200 принимает новую дочернюю SA IPsec, UE 200 отправляет ответ IKE Create_Child_SA на этапе 1020. UE 200 и N3IWF 204 могут обмениваться множественными итерациями запросов и ответов IKE Create_Child_SA для установления совокупности дочерних SA IPsec на этапе 1022. Устанавливаются дополнительные дочерние SA IPsec, каждая из которых связана с одним или более QFI и UP_IP_ADDRESS.

[00126] Если запрос SA IPsec плоскости пользователя на этапе 1024 не принят UE 200, как на этапе 1026, UE 200 отправляет ответное сообщение CREATE_CHILD_SA в N3IWF 204 с полезной нагрузкой уведомления типа ошибки на этапе 1026. Типом сообщения уведомления может быть «ошибка». Тип сообщения уведомления «ошибка» указывает на то, что дочерняя SA IPsec не принимается UE 200.

[00127] После приема ответного сообщения CREATE_CHILD_SA с полезной нагрузкой уведомления типа ошибки, N3IWF 204 указывает отказ и отказ ресурсов сеанса PDU для настройки списка в AMF 202 через ответное сообщение об установке ресурсов сеанса PDU N2 1032, чтобы инициировать отклонение установления сеанса PDU через доступ не от 3GPP. В качестве альтернативы, если N3IWF 204 ранее решила создать несколько SA IPsec плоскости пользователя для идентификаторов потока QoS (QFI; QoS flow identifier) сеанса PDU, и одна или более SA IPsec плоскости пользователя сеанса PDU уже активны, сеть может выбрать завершение установления сеанса PDU путем сопоставления QFI отказанных SA IPsec плоскости пользователя с уже установленными SA IPsec плоскости пользователя, как показано на этапах 1028 и 1030.

[00128] После приема команды об освобождении ресурсов сеанса PDU N2, содержащей PDU NAS, указывающей сообщение об отказе в установлении сеанса PDU на этапе 1034, N3IWF 204 прозрачно пересылает отклонение установления сеанса PDU на UE 200 на этапе 1036. Причина выделенного управления сеансом 5G (5GSM) «отказ SA IPsec» устанавливается для указания причины отклонения сеанса PDU.

Вариант осуществления - типы частных сообщений уведомления IKEv2 для доступа не от 3GPP

[00129] В таблице 2 ниже перечислены типы сообщений уведомления для доступа не от 3GPP. В этом примере описаны частные сообщения уведомления IKEv2 и частные типы ошибок, однако другие протоколы сообщений, значения и типы ошибок могут использоваться для уведомления UE 200 о причинах или ошибках, когда доступ к 5GCN 100 не от 3GPP не разрешен.

[00130] В этом примере типы частных сообщений уведомления IKEv2 определены для использования доступа не от 3GPP. Тип сообщения уведомления со значением (в десятичном формате) от 8192 до 16383 зарезервирован для использования в частных ошибках, хотя могут быть реализованы другие значения и поля. Тип сообщения уведомления со значением (в десятичном формате) от 40960 до 65535 зарезервирован для использования частного статуса. В настоящем документе описаны только типы частных сообщений уведомления IKEv2, используемые для этой спецификации. Типы ошибок частных сообщений уведомлений, определенные в таблице 2, представляют собой уведомления об ошибках, которые указывают на ошибку при согласовании доступа к 5GCN 100 не от 3GPP. Например, типы ошибок могут быть сгенерированы в ответ на согласование SA IKEv2 или SA IPsec для доступа не от 3GPP к 5GCN 100. Поля и

[00131] значения типов частных сообщений уведомления являются примерами, и могут быть реализованы другие поля/значения с указанием аналогичных значений.

Таблица 2

Типы сообщений уведомления для доступа не от 3GPP

[00132] UE 200 может принять сообщение с типом ошибки, указывающим, что доступ к 5GCN 100 не от 3GPP не разрешен. Таким образом, UE 200 информируется об отклонении доступа к 5GCN 100 через сеть 110 доступа не от 3GPP.

Вариант осуществления - код причины для сообщения об отказе аутентификации из-за отсутствия подписки для доступа к сети 5GC не от 3GPP

[00133] На фиг. 11 схематически проиллюстрирована блок-схема варианта осуществления элемента 1100 информации о причине 5GMM. Элемент 1100 информации о причине 5GMM содержит индикатор 1104 элемента информации о причине (IEI; information element indicator) 5GMM и значение 1106 причины. Значение 1106 причины указывает причину, по которой запрос 5GMM на доступ к 5GCN 100 от UE 200 отклоняется сетью.В этом варианте осуществления новый код причины соответствует причине «доступ к 5GCN не от 3GPP не разрешен». Эта причина 5GMM отправляется на UE 200, если оно делает запрос на услуги через доступ не от 3GPP в PLMN, причем UE 200 из-за подписки, ограничения сети или другого отказа аутентификации не может получить доступ к 5GCN 100 через доступ не от 3GPP.

[00134] На фиг. 12 схематически проиллюстрирована блок-схема варианта осуществления значений для элемента информации о причине 5GMM. В этом примере предварительно определенное значение соответствует причине «доступ к 5GCN не от 3GPP не разрешен». Другие значения, принятые UE 200, рассматриваются как «ошибка протокола, не определена». Любое другое значение, принятое сетью, также рассматривается как «ошибка протокола, неопределенная». Поля и значения элемента информации о причине 5GMM являются примерами, и могут быть реализованы другие поля/значения с указанием аналогичных значений.

[00135] На фиг. 13 проиллюстрирована блок-схема логической последовательности варианта осуществления способа 1300 N3IWF 204. N3IWF 204 связывается с помощью первого интерфейса с узлами в 5GCN 100, используя один или более протоколов, на этапе 1302. N3IWF 204 связывается с UE через сеть доступа не от 3GPP с использованием по меньшей мере второго интерфейса, такого как приемопередатчик WLAN, совместимый с протоколами WLAN IEEE 802.1x, на этапе 1304.

[00136] N3IWF 204 обрабатывает запрос регистрации для установления безопасного соединения с опорной сетью от UE 200 в сети недоверенного доступа на этапе 1306. Например, N3IWF 204 принимает сообщение EAP-Response/5G-NAS, которое содержит параметры AN и запрос регистрации от UE 100. N3IWF 204 пересылает сообщение в 5GCN 100 для аутентификации и проверки подписки UE 200. Например, N3IWF 204 генерирует запрос на аутентификацию и проверку подписки и передает запрос для проверки аутентификации и подписки через второй интерфейс на AMF 202.

[00137] N3IWF 204 определяет, что установление соединения не принято опорной сетью на этапе 1308, например, из-за неисправимых ошибок. Например, AMF 202 принимает ответ об отказе аутентификации от AUSF 210. AMF 202 генерирует транспортное сообщение NAS с отклонением регистрации и сообщение EAP об отказе EAP, которое содержит причину 5GMM. Причина 5GMM указывает на тип ошибки NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED. N3IWF 204 принимает данный ответ от AMF 202, инкапсулируя сообщение об отклонении регистрации, включая значение причины 5GMM, указывающее, что доступ к 5GCN не от 3GPP запрещен.

[00138] N3IWF 204 генерирует ответное сообщение для UE, причем ответное сообщение содержит значение причины, указывающее, что установление соединения через недоверенный доступ к сети не разрешено опорной сетью на этапе 1310. Например, N3IWF 204 генерирует ответное сообщение обмена ключом по Интернету (IKE) с полезной нагрузкой, включая тип сообщения или отказ EAP (EAP-Failure), указывающий, что установление соединения не принято 5GCN 100, и причину 5GMM. Сообщение EAP-Response/5G-NAS для UE 200 содержит сообщение об отклонении регистрации с полем EAP-Failure и причиной 5GMM. Причина 5GMM в сообщении об отклонении регистрации указывает на то, что доступ не от 3GPP не разрешен 5GCN 100.

[00139] В варианте осуществления ответное сообщение IKE для UE может содержать ответное сообщение IKE_AUTH с полезной нагрузкой уведомления с типом частного сообщения уведомления (например, любым тип частного сообщения уведомления в заранее определенном диапазоне, таком как 8192…16383). Частное сообщение уведомления IKEv2 содержит ответ EAP/PDU 5G-NAS, содержащий отклонение регистрации с причиной 5GMM «NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED» и типом сообщения EAP EAP-Failure.

[00140] N3IWF 204 обрабатывает ответ от UE 200, включая сообщение об остановке, и в ответ генерирует сообщение об отказе для UE 200. Например, UE 200 передает сообщение EAP-Response/5G-Stop в N3IWF 204, чтобы указать конец запроса регистрации для установления безопасного сеанса с 5GCN 100. Пакет EAP- response содержит идентификатор типа сообщения остановки 5G. После принятия сообщения EAP-Response/5G-Stop от UE 200 N3IWF 204 завершает процедуру EAP-5G, отправляя сообщение EAP-Failure на UE 200. Хотя N3IWF 204 описывается как осуществляющая эти этапы при выполнении способа 1300, другие узлы или модули, связанные с UE и опорной сетью, могут выполнять один или более этапов, описанных в настоящем документе.

[00141] На фиг. 14 проиллюстрирована блок-схема логической последовательности варианта осуществления способа 1400 запроса регистрации в опорной сети через сеть недоверенного доступа с отказом аутентификации из-за исправимых ошибок. UE 200 выполнено с возможностью связи через сеть доступа не от 3GPP, с функцией взаимодействия (такой как N3IWF 204) в 5GCN 100 на этапе 1402. UE 200 может сделать запрос на регистрацию в 5GCN 100 через сеть доступа не от 3GPP на этапе 1404. UE 200 обрабатывает ответное сообщение с уведомлением о том, что доступ не от 3GPP к 5GCN 100 не разрешен на этапе 1406. UE 200 определяет, что ошибка или причина отклонения могут быть исправлены на этапе 1408. UE 200 может исправить параметры в этом втором запросе регистрации с первой попытки. В качестве альтернативы, UE может решить повторить попытку регистрации позже с теми же параметрами. Затем UE 200 передает второй запрос регистрации в 5GCN 100 через сеть доступа не от 3GPP на этапе 1410. Затем UE 200 обрабатывает ответ об успешном установлении сеанса на этапе 1412.

[00142] На фиг. 15 проиллюстрирована блок-схема логической последовательности варианта осуществления способа 1500 запроса регистрации в опорной сети через сеть недоверенного доступа с отказом аутентификации из-за неисправимых ошибок. UE 200 выполнено с возможностью связи через сеть доступа не от 3GPP, с функцией взаимодействия (такой как N3IWF 204) в 5GCN 100 на этапе 1502. UE 200 может запросить регистрацию в 5GCN 100 через сеть доступа, отличную от 3GPP, на этапе 1504. UE 200 обрабатывает ответное сообщение с уведомлением о том, что доступ не от 3GPP к 5GCN 100 не разрешен на этапе 1506. UE 200 определяет, что ошибка или причина отклонения не могут быть исправлены на этапе 1508. UE 200 завершает сеанс и генерирует ответ с сообщением об остановке на этапе 1510. UE 200 принимает сообщение об отказе, выполняет процедуру удаления и закрывает сеанс на этапе 1512.

[00143] На фиг. 16 схематически проиллюстрирована блок-схема варианта осуществления приведенного в качестве примера оборудования 200 пользователя. Оборудование 200 пользователя (UE) может включать в себя смартфон, смарт-планшет, ноутбук, смарт-часы, ПК, телевизор или другое устройство, предназначенное для связи через сеть 110 доступа не от 3GPP. Дополнительные или альтернативные компоненты и функции могут быть включены в UE 200. Кроме того, одна или более функций и компонентов, показанных в настоящем документе, могут отсутствовать или могут быть объединены с другими компонентами или функциями.

[00144] UE 200 содержит устройство 1600 обработки и запоминающее устройство 1602, которые выполнены с возможностью осуществления одной или более функций, описанных в настоящем документе в отношении UE 200. Запоминающее устройство 1602 может содержать управляемый объект 1604, который хранит приложения и оперативные инструкции, которые управляют устройством 1600 обработки для выполнения различных функций, описанных в настоящем документе. UE 200 может также содержать UICC 1606, который содержит USIM 1608 для хранения IMSI. В других вариантах осуществления UE 200 не имеет возможностей UICC, например UE 200 не содержит UICC 1606, недействующую UICC 1606 и т.д.

[00145] UE 200 может дополнительно содержать приемопередатчик 1610 Bluetooth, приемопередатчик 1612 WLAN (совместимый с IEEE 802.11x), приемопередатчик 1614 мобильного RF (3G/4G) и GPS 1616. Приемопередатчик 1612 WLAN может работать как интерфейс доступа не от 3GPP к сети WLAN. UE 200 может дополнительно содержать пользовательские интерфейсы 1618, адаптер 1620 переменного тока, аккумуляторный модуль 1622, приемопередатчик 1624 USB и порт 1628 Ethernet.

[00146] UE 200 может дополнительно содержать цифровую камеру 1630, контроллер 1632 сенсорного экрана, громкоговоритель 1634 и микрофон 1636. UE 200 также может содержать блок 1638 управления питанием. Одна или более внутренних коммуникационных шин (не показаны) могут соединяться с возможностью связи с одним или более компонентами UE 200.

[00147] На фиг. 17 схематически проиллюстрирована блок-схема варианта осуществления приведенной в качестве примера AMF 202. AMF 202 содержит любой узел или узлы с функциональными возможностями AMF 202. AMF 202 может быть интегрирована с другими узлами в 5GCN 100. Дополнительные или альтернативные компоненты и функции могут быть включены в AMF 202. Кроме того, одна или более функций и компонентов, показанных в настоящем документе, могут отсутствовать или могут быть объединены с другими компонентами, функциями или узлами. AMF 202 содержит устройство 1700 обработки и запоминающее устройство 1702, которые выполнены с возможностью осуществления одной или более функций, описанных в настоящем документе в отношении AMF 202. AMF 202 может содержать сетевой интерфейс 1704, который содержит порты для взаимодействия с другими сетевыми узлами в 5GCN 100.

[00148] На фиг. 18 схематически проиллюстрирована блок-схема варианта осуществления приведенной в качестве примера N3IWF 204. N3IWF 204 может быть точкой доступа в беспроводной локальной сети, шлюзом в локальной сети или другим типом узла, включая функции взаимодействия, описанные в данном документе. N3IWF 204 может быть интегрирована с другими узлами в сети доступа или 5GCN 100. Дополнительные или альтернативные компоненты и функции могут быть включены в N3IWF 204. Кроме того, одна или более функций и компонентов, показанных в данном документе, могут отсутствовать или могут быть объединены с другими компонентами или функциями.

[00149] N3IWF 204 содержит устройство 1800 обработки и запоминающее устройство 1802, которые выполнены с возможностью осуществления одной или более функций, описанных в данном документе. N3IWF 204 может содержать первый сетевой интерфейс 1804 (например, порты Ethernet, IP-порты) для взаимодействия с другими сетевыми узлами в 5GCN 100. N3IWF 204 также может содержать один или более других типов интерфейсов для связи с UE, например приемопередатчик 1806 WLAN (например, совместимый с сетями типа WLAN IEEE 802.1x). N3IWF 204 может также содержать мобильный радиочастотный приемопередатчик 1808, совместимый с радиоинтерфейсом сотовой связи. UE 200 может связываться с N3IWF 204, используя одно или более из приемопередатчика 1806 WLAN или мобильного радиочастотного приемопередатчика 1808.

[00150] В одном варианте осуществления устройство обработки выполнено с возможностью приема запроса ассоциации безопасности (SA) IPsec от UE 200 через сеть недоверенного доступа не от 3GPP и выполнения протокола аутентификации UE 200 в сети недоверенного доступа не от 3GPP, например протокола IKE. Затем N3IWF 204 может принять ответ аутентификации, указывающий, что запрос SA IPsec не принят опорной сетью. Затем N3IWF 204 может сгенерировать ответ аутентификации для UE 200, при этом ответ аутентификации указывает, что доступ к опорной сети со стороны UE 200 через сеть недоверенного доступа отклонен.

[00151] Устройство обработки, описанное в настоящем документе, содержит по меньшей мере одно устройство обработки, такое как микропроцессор, микроконтроллер, процессор цифровых сигналов, микрокомпьютер, центральный процессор, программируемая вентильная матрица, программируемое логическое устройство, конечный автомат, логическая схема, аналоговая схема, цифровая схема и/или любое устройство, которое управляет сигналами (аналоговыми и/или цифровыми) на основе жесткого кодирования схемы и/или рабочих инструкций. Запоминающее устройство представляет собой энергонезависимое запоминающее устройство и может представлять собой внутреннее запоминающее устройство или внешнее запоминающее устройство, а память может представлять собой одно запоминающее устройство или совокупность запоминающих устройств. Запоминающее устройство может представлять собой постоянное запоминающее устройство, оперативное запоминающее устройство, энергозависимое запоминающее устройство, энергонезависимое запоминающее устройство, статическое запоминающее устройство, динамическое запоминающее устройство, флэш-память, кэш-память и/или любое энергонезависимое запоминающее устройство, которое хранит цифровую информацию. Термин «модуль» используется при описании одного или более вариантов осуществления элементов в настоящем документе. Модуль содержит одно или более устройств обработки и/или одно или более энергонезависимых запоминающих устройств, способных выполнять одну или более функций, которые могут быть описаны в настоящем документе. Модуль может работать независимо и/или совместно с другими модулями и может использовать устройство обработки и/или запоминающие устройства других модулей и/или рабочие инструкции других модулей. Используемый в настоящем документе модуль может содержать один или более подмодулей, каждый из которых может представлять собой один или более модулей.

[00152] Используемый в настоящем документе термин «предназначенный для» или «настраиваемый для» указывает, что элемент содержит одно или более из схем, инструкций, модулей, данных, ввода(ов), вывода(ов) и т.д., для выполнения одной или более из описанных или необходимых соответствующих функций и может дополнительно включать предполагаемое соединение с одним или более другими элементами для выполнения описанных или необходимых соответствующих функций. Также используемые в настоящем документе термины «связанный», «связанный с», «подсоединенный к» и/или «соединение» или «взаимное соединение» включает прямое соединение или связь между узлами/устройствами и/или непрямое соединение между узлами/устройства через промежуточный элемент (например, элемент включает, без ограничения, компонент, элемент, схему, модуль, узел, устройство, сетевой элемент и т.д.). Как может быть дополнительно использовано в данном документе, предполагаемые связи (то есть, когда один элемент соединен с другим элементом посредством логического вывода) включают прямую связь и непрямую связь между двумя элементами таким же образом, как и тогда, когда они «соединены с».

[00153] Следует отметить, что аспекты настоящего изобретения могут быть описаны в настоящем документе как процесс, который изображен в виде схемы, технологической схемы, блок-схемы последовательности, структурной схемы или блок-схемы. Хотя блок-схема может описывать операции как последовательный процесс, многие из операций могут выполняться параллельно или одновременно. Кроме того, порядок операций может быть изменен. Процесс завершается, когда его операции завершены. Процесс может соответствовать способу, функции, процедуре, программе, подпрограмме и т.д. Когда процесс соответствует функции, его завершение соответствует возврату функции к вызывающей функции или основной функции.

[00154] Различные признаки настоящего изобретения, описанные в настоящем документе, могут быть реализованы в различных системах и устройствах без отступления от настоящего изобретения. Следует отметить, что вышеизложенные аспекты настоящего изобретения являются просто примерами и не должны толковаться как ограничение настоящего изобретения. Описание аспектов настоящего изобретения предназначено для иллюстрации, а не для ограничения объема формулы изобретения. По существу, настоящие идеи могут быть легко применены к другим типам устройств, и многие альтернативы, модификации и вариации будут очевидны специалистам в данной области техники.

[00155] В вышеприведенном описании некоторые характерные аспекты настоящего изобретения были описаны со ссылкой на конкретные примеры. Однако могут быть сделаны различные модификации и изменения без отступления от объема настоящего изобретения, изложенного в формуле изобретения. Данное описание и фигуры являются иллюстративными, а не ограничивающими, и предполагается, что модификации входят в объем настоящего изобретения. Соответственно, объем настоящего изобретения должен определяться формулой изобретения и ее правовыми эквивалентами, а не просто описанными примерами. Например, компоненты и/или элементы, приведенные в любых пунктах формулы изобретения с указанием устройства, могут быть собраны или иным образом функционально сконфигурированы во множестве перестановок и, соответственно, не ограничены конкретной конфигурацией, приведенной в формуле изобретения.

[00156] Кроме того, определенные улучшения, другие преимущества и решения проблем были описаны выше в отношении конкретных вариантов осуществления; однако любое улучшение, преимущество, решение проблемы или любой элемент, который может привести к тому, что какое-либо конкретное улучшение, преимущество или решение возникнет или станет более выраженным, не должны рассматриваться как критические, обязательные или существенные признаки или компоненты любых или всех пунктов формулы изобретения.

[00157] Используемые в настоящем документе термины «содержат», «содержит», «содержащий», «имеющий», «включающий», «включает» или любые их вариации предназначены для ссылки на неисключительное включение, такое, что процесс, способ, изделие, композиция или устройство, которое содержит перечень элементов, включает не только перечисленные элементы, но может также включать другие элементы, не перечисленные явно или не присущие такому процессу, способу, изделию, композиции или устройству. Другие комбинации и/или модификации вышеописанных структур, компоновок, применений, пропорций, элементов, материалов или компонентов, используемых при реализации настоящего изобретения, в дополнение к тем, которые конкретно не указаны, могут быть изменены или иным образом специально приспособлены к конкретным условиям окружающей среды, производственным спецификациям, параметрам конструкции или другим эксплуатационным требованиям без отклонения от общих принципов.

[00158] Более того, ссылка на элемент в единственном числе не предназначена для обозначения «один и только один», если специально не указано иное, а скорее означает «один или более». Если специально не указано иное, термин «некоторые» относится к одному или более. Все структурные и функциональные эквиваленты элементов различных аспектов, описанных в настоящем описании, которые известны или позже станут известны обычным специалистам в данной области техники, явно включены в настоящий документ посредством ссылки и предназначены для охвата формулы изобретения. Более того, ничто из описанного в настоящем документе не предназначено для публичного ознакомления, независимо от того, указано ли такое изобретение явно в формуле изобретения. Никакой элемент формулы изобретения не может быть истолкован в соответствии с положениями §112(f) 35 свода законов США как элемент типа «средство плюс функция», если только этот элемент не приведен явно с использованием фразы «средство для» или, в случае пункта с указанием способа, элемент приведен с использованием фразы «этап для».

1. Узел функции взаимодействия для управления сетевым подключением через сеть недоверенного доступа к опорной сети, содержащий:

первый сетевой интерфейс, выполненный с возможностью связи с оборудованием пользователя (UE) через указанную сеть недоверенного доступа;

второй сетевой интерфейс, выполненный с возможностью связи с одним или более узлами в указанной опорной сети; и

устройство обработки, выполненное с возможностью:

обработки запроса на установление соединения с указанной опорной сетью от указанного UE в указанной сети недоверенного доступа и генерирования запроса для указанной опорной сети;

определения того, что указанное установление соединения не принято указанной опорной сетью;

генерирования ответного сообщения для указанного UE, причем указанное ответное сообщение содержит ошибку, указывающую, что указанное установление соединения через указанную сеть недоверенного доступа не разрешено указанной опорной сетью;

передачи указанного ответного сообщения на указанное UE, причем указанное ответное сообщение указывает, что указанное установление соединения не принято указанной опорной сетью;

приема сообщения об остановке от указанного UE; и

генерирования сообщения об отказе для указанного UE.

2. Узел функции взаимодействия по п. 1, отличающийся тем, что указанное устройство обработки выполнено с возможностью:

приема от указанного первого сетевого интерфейса запроса на аутентификацию и установления безопасного соединения от указанного UE через указанную сеть недоверенного доступа;

генерирования запроса на аутентификацию и проверку подписки и передачи указанного запроса на аутентификацию и проверку подписки через указанный второй сетевой интерфейс в функцию управления доступом и мобильностью (AMF - Access and Mobility management Function);

приема от указанного второго сетевого интерфейса ответа на аутентификацию и проверку подписки от указанной AMF; и

генерирования ответного сообщения обмена ключом по Интернету (IKE - Internet Key Exchange) для указанного UE с полезной нагрузкой NAS, содержащего указанную ошибку, указывающую, что указанное установление соединения через указанную сеть недоверенного доступа не разрешено указанной опорной сетью.

3. Узел функции взаимодействия по п. 2, отличающийся тем, что указанное устройство обработки дополнительно выполнено с возможностью:

приема ответа от указанной функции управления доступом и мобильностью, инкапсулирующей сообщение об отклонении регистрации, содержащее значение причины 5GMM, указывающее, что доступ к 5GCN не от 3GPP не разрешен; и

генерирования указанного ответного сообщения IKE с полезной нагрузкой, содержащего тип сообщения, указывающий, что указанное установление соединения не принято указанной опорной сетью.

4. Узел функции взаимодействия по п. 2, отличающийся тем, что указанное устройство обработки дополнительно выполнено с возможностью генерирования указанного ответного сообщения IKE путем либо:

генерирования указанного ответного сообщения IKE с полезной нагрузкой уведомления, содержащего тип частного сообщения уведомления, указывающий причину отказа; либо

генерирования указанного ответного сообщения IKE с указанной полезной нагрузкой уведомления, содержащего указанный тип частного сообщения уведомления, указывающий, что недоверенный доступ не от 3GPP к указанной опорной сети 5G (5GCN) не разрешен.

5. Узел функции взаимодействия по п. 1, отличающийся тем, что указанное устройство обработки дополнительно выполнено с возможностью:

обработки указанного сообщения об остановке от указанного UE, причем указанное сообщение об остановке содержит формат сообщения 5G-Stop, имеющий поле идентификатора сообщения, причем указанное поле идентификатора сообщения содержит идентификатор 5G-Stop.

6. Узел функции взаимодействия по любому предшествующему пункту, отличающийся тем, что либо:

указанный запрос на указанное установление соединения от указанного UE в указанной сети недоверенного доступа содержит сообщение о запросе IKE для инициирования ассоциации безопасности (SA - Security Association) IPsec с указанной опорной сетью; либо

указанная опорная сеть представляет собой 5GCN, а указанная сеть недоверенного доступа представляет собой сеть доступа не от 3GPP.

7. Узел функции управления доступом и мобильностью (AMF) для обработки запроса на сетевое соединение от узла функции взаимодействия, содержащий:

сетевой интерфейс, выполненный с возможностью связи с указанным узлом функции взаимодействия и функцией аутентификации в опорной сети; и устройство обработки, выполненное с возможностью:

обработки запроса на аутентификацию и установление безопасного соединения для оборудования пользователя (UE) через сеть недоверенного доступа;

генерирования запроса на аутентификацию и проверку подписки для функции сервера аутентификации (AUSF);

определения того, что ответ для указанной аутентификации и проверки подписки указывает на отказ аутентификации;

генерирования ответного сообщения об аутентификации и установлении безопасного соединения путем инкапсулирования в указанном ответном сообщении значения причины, указывающего, что доступ к указанной опорной сети не разрешен через указанную сеть недоверенного доступа;

передачи указанного ответного сообщения на указанное UE, причем указанное ответное сообщение указывает, что указанное установление соединения не принято указанной опорной сетью;

приема сообщения об остановке от указанного UE; и

генерирования сообщения об отказе для указанного UE.

8. Узел AMF по п. 7, отличающийся тем, что указанная сеть недоверенного доступа представляет собой сеть доступа не от 3GPP, а указанная опорная сеть представляет собой опорную сеть 5G (5GCN).

9. Узел AMF по п. 8, отличающийся тем, что указанное устройство обработки выполнено с возможностью:

инкапсулирования в указанном ответном сообщении сообщения об отклонении регистрации, которое содержит указанное значение причины, причем указанное значение причины содержит значение причины 5GMM, указывающее, что доступ к указанной 5GCN не от 3GPP не разрешен.

10. Узел AMF по п. 9, отличающийся тем, что указанное устройство обработки выполнено с возможностью:

генерирования в указанном ответном сообщении индикации отказа расширяемого протокола аутентификации (EAP; Extensible Authentication Protocol).

11. Оборудование пользователя, содержащее:

сетевой интерфейс, выполненный с возможностью связи с узлом функции взаимодействия через сеть недоверенного доступа; и

устройство обработки, выполненное с возможностью:

генерирования запроса регистрации для установления защищенного сеанса в опорной сети;

обработки ответного сообщения от указанного узла функции взаимодействия;

определения на основании указанного ответного сообщения, что указанное установление защищенного сеанса через указанную сеть недоверенного доступа не разрешено указанной опорной сетью;

генерирования сообщения об остановке, указывающего конец указанного запроса регистрации для установления защищенного сеанса для указанной опорной сети; и

передачи указанного сообщения об остановке через указанную сеть недоверенного доступа в указанный узел функции взаимодействия.

12. Оборудование пользователя по п. 11, отличающееся тем, что указанная сеть недоверенного доступа представляет собой сеть доступа не от 3GPP, а указанная опорная сеть представляет собой опорную сеть 5G (5GCN).

13. Оборудование пользователя по п. 11, отличающееся тем, что указанное устройство обработки дополнительно выполнено с возможностью:

генерирования указанного сообщения об остановке в виде сообщения в формате EAP-Response, содержащего поле идентификатора сообщения, установленное на 5G-Stop.

14. Оборудование пользователя по п. 13, отличающееся тем, что указанное устройство обработки дополнительно выполнено с возможностью:

обработки сообщения об отказе EAP от указанного узла функции взаимодействия; и выполнения процедуры удаления ассоциации безопасности.

15. Оборудование пользователя по п. 12, отличающееся тем, что указанное устройство обработки дополнительно выполнено с возможностью:

повторной попытки регистрации в указанной 5GCN путем генерирования второго запроса регистрации для установления защищенного сеанса для указанной 5GCN; и

определения на основании второго ответного сообщения от указанного узла функции взаимодействия, что указанное установление соединения через указанную сеть недоверенного доступа прошло успешно.

16. Оборудование пользователя по п. 15, отличающееся тем, что указанное устройство обработки дополнительно выполнено с возможностью:

генерирования указанного второго запроса регистрации для установления защищенного сеанса для указанной 5GCN с обновленными параметрами.