Реализация функции межсетевого взаимодействия с использованием недоверенной сети

Область техники

Настоящее изобретение относится к технологии предоставления устройству пользователя (User Equipment, UE) доступа к объекту функции доступа и мобильности (Access and Mobility Function, AMF) при наличии доступа устройства UE к недоверенной сети.

Уровень техники

Известные из уровня техники технологии межсетевого взаимодействия между мобильной сетью и беспроводной локальной сетью (Wireless Local Access Network, WLAN) описаны, например, в стандарте 3GPP TS 23.234.

Когда устройство UE находится в роуминге, будучи подключенным к гостевой сети вдали от домашней сети, управление устройством UE сосредоточено в гостевой сети, а аутентификация выполняется в домашней сети (между UICC/USIM и базой данных абонентов домашней сети). Услуги, предоставляемые домашней сетью (так называемая домашняя маршрутизация), устанавливаются объектами управления сессией в гостевой и домашней сетях, при этом обслуживание включает в себя функции плоскости пользователя (маршрутизаторы, шлюзы) также в обеих сетях.

Когда устройство UE регистрируется в опорной сети через сеть доступа, оно указывает свой временный идентификатор, если он назначен, или постоянный идентификатор. Природа временного идентификатора в сетях 3GPP (например, Globally Unique Temporary Identity, GUTI) позволяет идентифицировать функцию доступа и мобильности (AMF), обслуживающую устройство UE (или объект MME в системе 4G), а также позволяет передавать контекст запроса между прежней и новой функциями AMF.

Хотя архитектура опорной сети (Core Network, CN) в системе 5G окончательно не определена, можно ожидать, что в этой архитектуре будут присутствовать различные функции и взаимосвязи между функциями. На фиг. 1 показана архитектура опорной сети системы 5G в соответствии с текущими обсуждениями в 3GPP. Она весьма похожа на архитектуру опорной сети системы 4G, называемую расширенной пакетной системой (Enhanced Packet System, EPS) или расширенным пакетным ядром (Enhanced Packet Core, EPC).

В целом, сотовые мобильные сети состоят из сетей доступа и опорной сети (см. фиг. 1). Сети доступа ((Radio) Access Network, (R)AN) предоставляют мобильному устройству, в основном, сотовый радиодоступ, например, через системы GSM, UMTS или LTE. Дополнительные сети доступа могут предоставлять мобильным или стационарным устройствам (не показаны на фиг. 1) доступ в виде ближнего радиодоступа (например, через сеть WLAN), фиксированного или спутникового доступа. Сети доступа обычно обеспечивают полную функциональность для установления, контроля и поддержания радиосвязи с устройствами.

Опорная сеть обеспечивает механизмы, не имеющие непосредственного отношения к доступу, например, аутентификацию, авторизацию и начисления (Authentication, Authorization and Accounting, ААА) для устройств и/или абонентов, мобильность между сетями доступа и маршрутизацию между сетями доступа и внешними сетями передачи данных.

Устройство UE обычно имеет доступ к опорной сети 3GPP через сеть доступа, которая может быть сетью радиодоступа (Radio Access Network, RAN). Если сеть радиодоступа определена консорциумом 3GPP (как, например, новая сеть радиодоступа 5G), она обеспечивает соединение с функцией AMF. Соединение называется NG2. Функция AMF, как и все элементы, изображенные на фиг. 1, может присутствовать в нескольких экземплярах в одной опорной сети. Функция AMF обычно выделяется для устройства UE при его регистрации в сети, при этом только одна функция AMF отвечает за одно устройство UE в каждый момент времени. Функция AMF, как и все элементы опорной сети, может связываться с другими элементами опорной сети через соответствующие интерфейсы. Функция AMF, например, подключается к объекту управления унифицированными данными (Unified Data Management, UDM) для получения информации об абоненте и подключенных услугах и к функции сервера аутентификации (Authentication Server Function, AUSF) для аутентификации устройства UE при регистрации, а также для получения удостоверений безопасности, используемых для связи с устройством UE.

На фиг. 2 представлена процедура регистрации в том виде, как она определена консорциумом 3GPP в настоящее время. Процедура регистрации описана с акцентом на сценарий использования, в котором устройство UE уже зарегистрировано в сети и использует процедуру регистрации, например, для периодического обновления регистрации или для информирования об изменении зоны отслеживания, в которой оно находится.

Устройство UE при входе в сотовую мобильную сеть передает сообщение с запросом на регистрацию в сети (R)AN (шаг 1), например, в базовую станцию сети 5G радиодоступа. На шаге 2 сеть (R)AN на основе информации, предоставленной устройством UE в этом сообщении, выбирает функцию AMF. Если устройство UE сообщило свой временный идентификатор, этот идентификатор указывает на функцию AMF, которая уже имеет контекст соответствующего устройства UE (т.е. на прежнюю функцию AMF), в противном случае сеть (R)AN может выбрать любую функцию AMF. На шаге 3 сеть (R)AN пересылает запрос в выбранную функцию AMF, чтобы запросить регистрацию в опорной сети.

Если устройство UE уже зарегистрировано и ему предоставлен идентификатор GUTI или аналогичный временный идентификатор, на шаге 4 выбранная функция AMF запрашивает информацию об устройстве UE у прежней функции AMF. Прежняя функция AMF сообщает постоянный идентификатор устройства UE и полный контекст устройства UE на шаге 5, что позволяет вновь выбранной функции AMF взять на себя управление устройством UE (шаги с 6 по 9 не имеют отношения к настоящему изобретению).

Если целостность сообщений от устройства UE обеспечена и проверка целостности с использованием принятого контекста устройства UE в новой функции AMF прошла успешно, новая функция AMF принимает управление устройством UE, о чем прежняя функция AMF информируется на шаге 10, так что она может удалить контекст устройства UE.

Затем на шаге 13 функция AMF может выбрать подходящую базу данных абонента (объект UDM), в которой на шаге 14 сохраняется новое местоположение устройства UE (то есть тот факт, что устройство UE теперь доступно через выбранную функцию AMF). Затем на основе идентификатора устройства UE может быть выбрана функция управления политиками (Policy Control Function, PCF) (шаги с 18 по 21 опущены).

Таким образом, устройство UE зарегистрировано в новой функции AMF и может запрашивать обслуживание, например, для доставки данных. Логический интерфейс связи между устройством UE и выбранной для него функции AMF называется интерфейсом NG1. Как показано на фиг. 1, он включает в себя интерфейс с сетью доступа и интерфейс NG2 с функцией AMF.

Если требуется доставка данных в сеть передачи данных (DN), например, в сеть Интернет, устройство UE запрашивает установление соответствующего соединения (так называемой сессии PDU) от сети (R)AN через интерфейс NG3 к одной или нескольким функциям плоскости пользователя (User Plane Functions, UPF) и далее через интерфейс N6 к сети передачи данных. Соответствующая активация контекста в функциях UPF, а также выделение сетевых ресурсов выполняется функцией управления сессией (Session Management Function, SMF) через интерфейсы NG4. Функция AMF выбирает функцию SMF в соответствии с запрашиваемым обслуживанием, данными абонента, сетью DN, с которой необходимо связаться, и текущей загрузкой сети. Функция приложения (Application Function, AF) может предоставлять политики сети DN и взаимодействовать с серверами приложений в сети DN с целью адаптации качества обслуживания, предоставляемого устройству UE.

Функция PCF может обеспечивать политики для настройки обслуживания и для качества обслуживания. Эти политики можно рассматривать как правила, определяющие параметры обслуживания в зависимости от абонента, услуги и состояния сети. На фиг. 1 обозначены только те интерфейсы, что наиболее релевантны данному изобретению, другие интерфейсы между объектами показаны в виде прямых линий без обозначений, а некоторые интерфейсы не показаны.

Если устройству UE необходимо установить несколько соединений с одной сетью передачи данных, например, для разного качества обслуживания или с разными сетевыми адресами, то при этом могут быть использованы одни и те же или разные функции UPF и ответственность может быть возложена на одни и те же или разные функции SMF. Аналогично, если устройству UE необходимо установить несколько соединений с разными сетями передачи данных, то также могут быть задействованы одинаковые или разные функции UPF и SMF. При этом обычно за устройство UE отвечает только одна функция AMF.

На фиг. 3 показана архитектура опорной сети в случае роуминга, то есть в случае, когда абонент обращается к опорной сети, не являющейся его домашней публичной наземной мобильной сетью (Public Land Mobile Network, PLMN). Устройство UE регистрируется в функции AMF гостевой сети и эта функция AMF связывается с домашней сетью для выполнения аутентификации. База данных UDM и функция AUSF домашней сети аутентифицируют устройство UE и создают контекст безопасности, который передается в функцию AMF гостевой сети.

На фиг. 3 представлен случай так называемой домашней маршрутизации - передачи данных в сеть передачи данных DN, подключенную к домашней сети PLMN. На фиг. 3 показано, что при этом задействованы не менее двух функций UPF: одна (H-UPF) - в домашней сети, и другая (V-UPF) - в гостевой сети. Кроме того, задействованы две функции SMF - H-SMF и V-SMF, которые конфигурируют соответствующие функции UPF. Политики могут обеспечиваться домашней и гостевой функциями управления политиками (PCF).

Альтернативный сценарий при использовании роуминга также показан на фиг. 3. Сеть передачи данных в этом случае подключена к гостевой сети. Этот сценарий так называемого «локального прорыва» не требует использования функций UPF или SMF в домашней сети. Это может быть типичный сценарий использования услуг, не зависящих от оператора (например, подключения к Интернету), которые могут быть предоставлены непосредственно гостевой сетью, что снижает нагрузку на домашнюю сеть и межсетевые соединения. Более сложные или зависящие от оператора услуги могут предоставляться с использованием домашней маршрутизации, как это описано выше.

Для регистрации в опорной сети через недоверенные сети, не являющиеся сетями 3GPP, между опорной сетью и недоверенной сетью используется не-3GPP функция межсетевого взаимодействия (Non-3GPP Interworking Function N3IWF). Защищенное соединение по протоколу IPsec (Internet Protocol Security) устанавливается между устройством UE и функцией N3IWF до завершения регистрации. Функция N3IWF не имеет контекста устройства UE до регистрации через не-3GPP доступ и для выбора функции AMF она должна использовать информацию, предоставленную устройством UE.

Консорциумом 3GPP определены различные сети доступа для доступа к опорной сети 3GPP, например, сети GSM, UMTS, HSPA, LTE, LTE-A, а в ближайшем будущем - сеть доступа 5G. Эти сети разработаны специально для работы под управлением опорной сети 3GPP. Соответствующие базовые станции поддерживают механизмы безопасности опорной сети, которые устанавливаются и поддерживаются оператором опорной сети или доверенной третьей стороной. Таким образом, сети доступа 3GPP могут представлять собой доверенные сети для опорной сети.

Кроме того, опорная сеть 3GPP настраивается для поддержки таких сетей доступа, которые не могут конфигурироваться и поддерживаться никаким доверенным оператором и которые также могут находиться за пределами домена оператора. Эти технологии доступа имеют общее наименование «не-3GPP доступ» (non-3GPP access, N3GPP) и могут представлять собой так называемый «недоверенный N3GPP доступ », если между опорной сетью и сетью доступа нет доверительных отношений.

На фиг. 4 представлен пример сетевой архитектуры, включающей в себя технологии доступа (R)AN и N3GPP. На этой фигуре показаны сетевые элементы с фиг. 1, обеспечивающие доступ к опорной сети через технологии доступа 3GPP ((R)AN) без роуминга. Кроме того, на фиг. 4 представлено устройство UE с фиг. 1, подключенное к опорной сети через не-3GPP доступ, в качестве которого, для примера, показана сеть WLAN (иногда называемая WiFi). Сеть WLAN является примером недоверенного узла, обеспечивающего доступ к Интернету, поэтому соединение с функцией межсетевого не-3GPP взаимодействия (N3IWF) устройству UE предоставляет сама сеть WLAN. Этот новый элемент опорной сети введен, чтобы сделать возможным доступ к опорной сети со стороны недоверенных узлов N3GPP. Он может объединять несколько недоверенных не-3GPP сетей доступа (на фиг. 4 показана только одна). Функция N3IWF представляет собой устройство, которое может поддерживаться оператором и поэтому может являться доверенным устройством.

Текущее состояние стандартизации не-3GPP доступа к опорной сети 5G описывает следующие функции, которые должны быть реализованы для доступа устройства UE к опорной сети через недоверенный доступ N3GPP, например, через сеть WLAN (см. фиг. 5).

Устройство UE устанавливает IP-соединение с точкой доступа сети WLAN и выполняет выбор или обнаружение функции N3IWF (шаги 1a, 1б).

После этого устройство UE начинает устанавливать начальную ассоциацию безопасности (Security Association, SA) с выбранной функцией N3IWF, используя протокол IKEv2, определенный советом IETF в документе RFC4306 и его расширениях. Эта начальная ассоциация SA делает возможным шифрование, но она не обеспечивает взаимной аутентификации устройства UE и сети NW. Затем устройство UE сообщает функции N3IWF свой идентификатор, возможно, вместе с другой информацией (шаги 2a-2г).

Функция N3IWF выбирает соответствующую функцию AMF и передает запрос на регистрацию от имени устройства UE с использованием принятого идентификатора устройства UE (шаги 3a, 3б). Сообщение с запросом также содержит вид доступа, например, «недоверенный не-3GPP доступ».

Функция AMF, не зная устройства UE по его идентификатору, выбирает функцию AUSF и запрашивает аутентификацию пользователя (шаги 4a, 4б).

Далее на основе полученного идентификатора устройства UE функция AUSF может выбирать или создавать учетные данные и выполнять взаимную аутентификацию с устройством UE на основе расширяемого протокола аутентификации (Extensible Authentication Protocol, EAP) через функцию AMF и функцию N3IWF (шаги 5a-5е).

Функции AMF и N3IWF создают контексты безопасности и, в итоге, устанавливают главную ассоциацию безопасности (SA) с устройством UE (шаги 6a-6г). Эта главная ассоциация безопасности обеспечивает соединение по протоколу IPSec (Internet Protocol Security) между устройством UE и функцией N3IWF, используемое для обмена сообщениями управления опорной сети между устройством UE и функцией AMF. Главная ассоциация безопасности также используется для получения дополнительных дочерних ассоциаций безопасности, которые используются для защиты передачи пользовательских данных к устройству UE и от него.

Сообщение с запросом команды режима безопасности (Security Mode Command, SMC) отправляется в устройство UE, а сообщение о выполнении команды SMC передается назад в функцию AMF, чтобы завершить настройку безопасности между устройством UE и функцией AMF (шаги 7a-7в). Это составляет дополнительный уровень безопасности поверх (или внутри) протокола IKE (Internet Key Exchange) ассоциации SA, установленной ранее. Сообщение «Регистрация принята» передается в устройство UE, причем оно надежно зашифровано и его целостность защищена функциями AMF и N3IWF. Сообщение «Регистрация завершена», передаваемое от устройства UE в функцию AMF, завершает регистрацию.

Функция N3IWF связывается с функцией AMF через интерфейс NG2. Этот интерфейс является общим независимым от вида доступа интерфейсом между сетями доступа и функциями AMF, т.е. он, в основном, идентичен интерфейсу NG2, соединяющему базовую станцию сети 5G с функцией AMF.

Как только обеспечен туннель по протоколу IPsec между устройством UE и функцией N3IWF, а также обеспечен безопасный интерфейс NG2, устройство UE получает маршрут, составляющий его логическое соединение с функцией AMF (так называемый интерфейс NG1). Этот маршрут может быть альтернативным маршрутом по отношению к интерфейсу NG1, установленному через сеть (R)AN.

Теперь устройство UE может запросить установление соединений с сетью передачи данных (DN) через функции плоскости пользователя (UP) через недоверенную сеть WLAN.

Возможное соединение устройства UE в роуминге через сеть WLAN с использованием функции N3IWF описано в документе S2-170318 3GPP (SA WG2 совещания # 118-BIS), в котором одно устройство UE обслуживается двумя функциями AMF, одна из которых находится в сети V-PLMN, а другая - в сети H-PLMN. Дополнительные документы S2-170321 и S2-170260 того же совещания указывают, что устройство UE должно обслуживаться одной или общей функцией AMF, поскольку наличие двух функций AMF ведет к возникновению осложнений.

В документе WO2016180865A1 описана работа устройства UE, запрашивающего доступ к услуге через недоверенную не-3GPP сеть, в частности, определение того, находится устройство UE в роуминге или нет. Эта информация используется сетью для запрета или для разрешения обслуживания через недоверенный доступ N3GPP. Этот подход не обеспечивает решения для аутентификации устройства UE в домашней сети во время роуминга в гостевой сети. Доступ через не-3GPP сеть также описан в документах WO2016179800A1 и US9137231B2. Доступ с использованием нераспознанного, но доверенного сетевого не-3GPP соединения описан в документе WO2010086029A1.

В документе US20080160959A1 описан способ установления ассоциации безопасности с гостевой сетью для находящегося в роуминге пользователя. Гостевая сеть устанавливает ассоциацию безопасности, используя результаты аутентификации для общей архитектуры аутентификации в домашней сети.

Доступ N3GPP является обычным вариантом, который оператор мобильной сети может предложить для увеличения зоны покрытия своей сети (особенно в помещении), а также для повышения качества обслуживания своих пользователей и для снижения нагрузки своей сети (R)AN. В случае роуминга гостевая сеть может предложить доступ N3GPP в дополнение к ее сети (R)AN. Сценарий роуминга на основе сетей N3GPP отличается незначительно, т.е. функция AMF гостевой сети связывается с функцией AUSF и объектом UDM в домашней сети и задействует как домашние, так и гостевые функции SMF и UPF.

Домашний оператор может предпочесть предоставление прямого доступа к своей опорной сети в максимально возможной степени. В случае роуминга это означает, что устройство UE, подключенное к гостевой сети, может использовать доступ N3GPP, например, через сеть WLAN, чтобы связываться с его домашней сетью напрямую. Это действительно возможно, если доступ к сети WLAN является, например, обычным доступом к общедоступному широкополосному Интернету. Это выводит трафик, передаваемый с использованием доступа N3GPP, из гостевой сети и разгружает межсетевой интерфейс, таким образом позволяя снизить затраты на роуминг для домашнего оператора, а также для абонента.

Для этого устройство UE связывается с функцией N3IWF своего домашнего оператора и запрашивает доступ, то есть регистрацию в домашней сети. Тем не менее, в этом сценарии устройство UE уже зарегистрировано в гостевой сети при том, что в архитектуре 3GPP разрешена только одна регистрация в одной функции AMF.

Не существует решения, обеспечивающего доступ N3GPP через домашнюю сеть PLMN при регистрации в гостевой сети PLMN с сохранением единственной регистрации в гостевой сети PLMN.

В частности, необходимо определить установление ассоциации безопасности, которая, в итоге, позволяет осуществлять обмен сообщениями управления с функцией AMF гостевой сети.

Кроме того, для устройства UE необходимы механизмы координации гостевой и домашней сетей в отношении использования доступа N3GPP, например, условий доступа устройства UE к домашней функции N3IWF.

Раскрытие изобретения

В настоящем изобретении реализован способ регистрации доступа в сеть, включающий в себя прием второй сетью запроса на регистрацию устройства UE через вторую сеть доступа, при этом запрос содержит первую информацию о том, что устройство UE зарегистрировано в первой сети через первую сеть доступа, прием второй сетью второй информации об устройстве UE от первой сети, установление второй сетью ассоциации безопасности с устройством UE через вторую сеть доступа, пересылку второй сетью третьей информации об устройстве UE в первую сеть и регистрацию первой сетью устройства UE через вторую сеть доступа при сохранении регистрации устройства UE в первой сети через первую сеть доступа.

В изобретении также реализовано устройство UE, выполненное с возможностью регистрации в первой сети для получения первого доступа с первой ассоциацией безопасности и с возможностью последующего запроса второго доступа ко второй сети, включающего в себя установление второй ассоциации безопасности через второй доступ при сохранении первого доступа, благодаря чему устройство UE имеет возможность предоставлять информацию о первом доступе в ходе установления второго доступа.

В еще одном аспекте изобретения реализована сеть PLMN, выполненная с возможностью приема от устройства UE запроса на первую регистрацию первого доступа, содержащего информацию о второй регистрации во второй сети, с возможностью выполнения взаимной аутентификации между устройством UE и сетью PLMN и установления безопасного соединения через первый доступ, а также с возможностью пересылки во вторую сеть информации о первом доступе, позволяющей второй сети зарегистрировать первый доступ и использовать безопасное соединение через первый доступ для обмена регистрационной информацией с устройством UE.

Также реализована сеть PLMN, выполненная с возможностью регистрации первого доступа устройства UE, включающей в себя запрос второй сетью аутентификации устройства UE. Сеть PLMN выполнена с возможностью приема от второй сети запроса на регистрацию второго доступа для устройства UE, включающего в себя установленную ассоциацию безопасности между устройством UE и объектом, предоставляющего второй доступ. Запрос содержит информацию, используемую сетью PLMN для соединения с устройством UE через второй доступ.

Чтобы позволить устройству UE, зарегистрированному в гостевой сети, дополнительно зарегистрироваться в домашней сети через доступ N3GPP, функция домашней сети выполняет необходимые шаги для установления ассоциации безопасности и для установления соединения по протоколу IPsec между устройством UE и функцией N3IWF в домашней сети, подобно шагам функции AMF при обычной регистрации через доступ N3GPP. Эта функция в дальнейшем называется виртуальной домашней функцией H-AMF (Home AMF), которую следует отличать от функции AMF гостевой сети, называемой V-AMF (Visited AMF).

Устройство UE запрашивает у функции N3IWF домашней сети доступ к опорной сети, сообщая свой временный идентификатор, полученный от функции V-AMF. Кроме того, устройство UE указывает, что запрос относится к дополнительному доступу при сохранении уже установленного доступа. Функция N3IWF не имеет соединения с гостевой сетью и, таким образом, выбирает функцию AMF домашней сети (H-AMF) для выполнения запроса.

Согласно изобретению, функция H-AMF связывается с функцией V-AMF и запрашивает информацию на основе временного идентификатора. Эта информация может включать в себя постоянный идентификатор устройства UE, указание на возможности устройства UE и разрешение на регистрацию вторичного доступа N3GPP. С этой информацией функция H-AMF продолжает регистрацию доступа N3GPP для устройства UE до момента завершения взаимной аутентификации на основе EAP между устройством UE и функцией N3IWF и установления ассоциации безопасности протокола IP.

Затем функция H-AMF направляет информацию о доступе N3GPP и об установленной ассоциации безопасности в функцию V-AMF и запрашивает у функции V-AMF добавление доступа N3GPP к существующему контексту устройства UE и завершение процедуры регистрации устройства UE.

Разница с известными способами, например, с хэндовером в сотовой сети мобильной связи, заключается в том, что функция AMF (H-AMF), с которой вновь установлена связь, запрашивает информацию у функции AMF, в которой устройство UE в настоящее время зарегистрировано (V-AMF), без хэндовера управления устройством UE в новую функцию AMF. Вместо этого управление сохраняется и в контекст добавляется дополнительный доступ. Впоследствии контекст устройства UE удаляется в функции H-AMF. В прежних процедурах только новая функция AMF удаляет контекст устройства UE - в том случае, если хэндовер по какой-либо причине не удался. Только тогда прежняя функция AMF продолжает управление устройством UE с неизменным контекстом. Описанная выше процедура регистрации, пересылки и добавления в существующий контекст неизвестна в уровне техники.

Отличие от известного запроса на регистрацию (запроса на подключение) состоит в том, что функция N3IWF способна принимать информацию о том, что устройство UE уже подключено к другой сети PLMN, и отправляет запрос о добавлении доступа N3GPP. Эта информация может быть получена в различных формах. Это может быть простой флаг в сообщении запроса на подключение либо специальное сообщение, например, для этой цели может быть использовано вторичное сообщение запроса на подключение или вторичное сообщение о регистрации.

Функция N3IWF пересылает эту информацию в функцию H-AMF, например, в исходном сообщении устройства UE или в дополнительном сообщении для функции H-AMF. В соответствии с одним аспектом изобретения, функция H-AMF выполняет выбор функции AUSF и взаимную аутентификацию на основе постоянного идентификатора устройства UE, полученного от функции V-AMF, и использует дополнительную информацию о другой регистрации.

Согласно дополнительному аспекту изобретения, после установления ассоциации безопасности протокола IP между устройством UE и функцией N3IWF, функция H-AMF может выполнять шаги пересылки нового контекста UE в функцию V-AMF для передачи управления соединением N3GPP, которое имеет устройство UE, в гостевую сеть, сохраняя при этом установленную ассоциацию безопасности между устройством UE и функцией N3IWF и продолжая использовать в функции V-AMF ключи безопасности и другую информацию контекста, полученную от функции H-AMF.

Как только функцией V-AMF получен контекст устройства UE, касающийся доступа N3GPP, функция V-AMF устанавливает соединение с функцией N3IWF в домашней сети и затем функция V-AMF завершает регистрацию устройства UE.

Преимущество изобретения состоит в эффективном установлении ассоциации безопасности и в установлении соединения по протоколу IPsec между устройством UE и функцией N3IWF в домашней сети, при этом, в итоге, в гостевой опорной сети для управления UE поддерживается единственная функция. Домашняя сеть способна эффективно пересылать в гостевую сеть регистрационную информацию, имеющую отношение к доступу N3GPP, что невозможно в известных архитектурах.

Другое преимущество изобретения состоит в том, что при выполнении настройки безопасности для устройства UE в домашней сети домашняя сеть имеет возможность рассматривать процедуру регистрации как обычную процедуру первичной регистрации через доступ N3GPP и прекращать регистрацию в гостевой сети. Таким образом, оператор домашней сети получает возможность сохранения контроля над устройством UE. Решение может быть принято на основе информации, полученной в функции H-AMF.

Существуют два варианта для обеспечения сессии PDU через недавно установленную функцию N3IWF. Первый вариант основан на устаревшей архитектуре роуминга с участием функций V-UPF и H-UPF. В этом варианте функция N3IWF в домашней сети подключается к функции V-UPF гостевой сети. Если посмотреть на результирующий путь передачи данных, то становится очевидным, что этот вариант во многом устарел в сравнении с ожидаемыми преимуществами доступа N3GPP в домашнюю сеть. Таким образом, предпочтительным является второй вариант, в котором задействована только функция H-UPF, к которой подключается функция N3IWF. При этом нет необходимости сначала направлять данные в гостевую сеть. Такая сессия PDU обеспечивается подобно существующим способам, т.е. новая сессия PDU запрашивается через установленный (зарегистрированный) доступ N3GPP и функция V-SMF решает не задействовать функцию V-UPF, а запрашивает у функции H-SMF прямое подключение функции N3IWF к выбранной функции H-UPF.

Может возникнуть необходимость создания возможности законного перехвата сообщений (Lawful Interception, LI) абонента, что может потребовать обеспечения способности перехвата трафика гостевой сетью. В этом случае настоящее изобретение позволяет сохранить описанную выше архитектуру (то есть маршрутизацию от функции N3IWF к функции H-UPF) и сконфигурировать функцию H-UPF для копирования данных в соответствующий узел или функцию в гостевой сети только для целей законного перехвата сообщений. Это представляет собой внутрисетевую конфигурацию функции V-AMF гостевой сети.

Краткое описание чертежей

Далее лишь в качестве примера описаны предпочтительные варианты осуществления изобретения со ссылкой на приложенные чертежи.

На фиг. 1 представлена принципиальная схема известной сетевой архитектуры.

На фиг. 2 представлена схема потока сообщений в известной архитектуре.

На фиг. 3 представлена схема известной архитектуры гостевой сети и домашней сети.

На фиг. 4 представлена схема известной архитектуры для межсетевого взаимодействия сети 3GPP и сети не-3GPP.

На фиг. 5 представлена схема потока сообщений в архитектуре с фиг. 4.

На фиг. 6 представлена схема архитектуры для межсетевого взаимодействия с использованием настоящего изобретения.

На фиг. 7 представлена схема потока сообщений в архитектуре с фиг.6.

На фиг. 8 представлено продолжение схемы потока сообщений с фиг. 7.

Осуществление изобретения

На фиг. 6 представлена архитектура сотовой мобильной сети в случае роуминга, подобная архитектуре на фиг. 3. В дополнение к доступу к гостевой сети, основанному на 3GPP, на фиг. 6 показан доступ N3GPP, в качестве которого, для примера, показан доступ через сеть WLAN, с обеспечением доступа к функции N3IWF домашней сети.

Доступ через сеть WLAN является лишь примером и другие виды доступа могут обеспечивать доступ к функции N3IWF домашней сети, а именно, другие беспроводные сети, такие как Bluetooth или WiMax, или фиксированные сети, такие как LAN, DSL и т.д. Пример, представленный на фиг. 6, показывает подключение устройства UE к сети WLAN, в качестве которой может выступать беспроводное соединение, соответствующее любому из стандартов семейства IEEE 802.11. Фиксированное соединение с функцией N3IWF может быть соединением на основе протокола IP, маршрутизируемым через общедоступный Интернет или другие сети.

Функция N3IWF на фиг. 6 показана подключенной к виртуальной функции H-AMF (виртуальной в том смысле, что она фактически не отвечает за устройство UE), которая может поддерживать связь внутри домашней сети, а также поддерживать связь с идентифицированной функцией AMF в других сетях (V- AMF). Разграничение функций H-AMF и V-AMF предназначено лишь для демонстрации наличия различных функций в рамках данного изобретения. Поскольку на практике всегда существует только одна актуальная функция AMF, отвечающая за устройство UE, а именно, функция V-AMF, это различие опущено в последующем описании способов.

В качестве предварительного условия предполагается, что устройство UE зарегистрировано в гостевой сети и, таким образом, аутентифицировано функцией AUSF в домашней сети по учетным данным объекта UDM, например, по процедуре, подобной представленной на фиг. 4.

На фиг. 7, в соответствии с настоящим изобретением, представлена последовательность сообщений о регистрации доступа N3GPP. Вышеупомянутое предварительное условие показано на фиг. 7 как шаг 0.

Чтобы получить доступ N3GPP к домашней сети, устройство UE подключается к недоверенной сети WLAN и получает IP-адрес на шаге 1a с фиг. 7. Затем устройство UE определяет адрес функции N3IWF своей домашней сети. Адрес или имя, в частности, полное доменное имя, например, «roaming.n3iwf.de.provider.com» может храниться в карте UICC (SIM-карте) или может быть задано заранее. Может применяться процедура преобразования имени DNS в соответствующий адрес или любая другая процедура, которая приводит к допустимому адресу функции N3IWF.

Затем устройство UE связывается с функцией N3IWF и устанавливает начальную ассоциацию безопасности на основе хэндшейка (т.е. подтверждения установления связи) Диффи-Хеллмана, чтобы обеспечить шифрование дальнейшей связи (сообщение «IKE_SA_Init», шаг 2a). После этого устройство UE обменивается несколькими сообщениями с запросами и ответами по протоколу IKE, в которых UE сообщает временный идентификатор UE.

Один аспект этого изобретения состоит в том, что устройство UE, в дополнение к идентификатору, сообщает информацию о том, что связь установлена, чтобы запросить вторичную регистрацию, другими словами, чтобы зарегистрировать соединение доступа N3GPP в опорной сети в дополнение к уже существующему соединению 3GPP через сеть RAN. Эта информация может быть предоставлена в сообщении протокола IKE, что показано на шаге 2б с фиг. 7 как сообщение «2nd-Reg-lnfo», и она может быть представлена в форме простого флага или в виде специального сообщения.

На шаге 3, согласно настоящему изобретению, функция N3IWF выбирает в домашней сети функцию AMF, в дальнейшем называемую функцией H-AMF, и создает сообщение от имени устройства UE, запрашивающее установление и регистрацию доступа N3GPP на шаге 4. Согласно настоящему изобретению, это сообщение или другое сообщение от функции N3IWF к функции H-AMF содержит информацию о том, что регистрация является дополнительной к первичной регистрации, выполненной через сеть (R)AN в гостевой сети.

В случае использования вне роуминга, функция N3IWF может выбрать функцию AMF, в которой устройство UE уже зарегистрировано, на основании временного идентификатора устройства UE, который устройство UE сообщило для функции N3IWF. Если эта функция AMF недоступна для функции N3IWF, то может быть выбрана другая функция AMF, которая затем запрашивает хэндовер управления от прежней AMF к новой, как это описано выше. В случае роуминга это невозможно, поскольку функция N3IWF не может напрямую связываться с функцией AMF гостевой сети. Также невозможен в случае роуминга и хэндовер управления в домашнюю сеть. Домашняя сеть может выбрать, будет ли регистрация выполнена в качестве вторичной регистрации в дополнение к уже существующей регистрации в гостевой сети или она будет выполнена в качестве первичной регистрации в домашней сети, заменяя при этом регистрацию в гостевой сети.

Затем на шаге 5a функция H-AMF запрашивает информацию об устройстве UE у функции V-AMF в информационном запросе, направляя в функцию V-AMF временный идентификатор устройства UE. Функция V-AMF отправляет в функцию H-AMF ответ, включающий в себя постоянный идентификатор устройства UE и информацию контекста.

Информационный запрос также может содержать информацию, указывающую функции V-AMF на то, что запрос выполнен для регистрации вторичного доступа и/или не-3GPP доступа, и функция V-AMF может отправлять обратно только часть контекстной информации, доступной в функции V-AMF.

Далее на шаге 5 функция AMF выбирает функцию AUSF на основе постоянного идентификатора устройства UE. Функции H-AMF, AUSF, N3IWF и устройство UE выполняют взаимную аутентификацию на основе EAP на шаге 6, которая заканчивается установлением туннеля по протоколу IPSec, при этом устанавливается ассоциация безопасности между устройством UE и функцией N3IWF и устанавливается соединение от функции N3IWF к функции H-AMF. Этот шаг весьма похож или тождественен шагу, показанному на фиг. 5 для обычной регистрации через доступ N3GPP.

Согласно настоящему изобретению, функция H-AMF теперь может решить, следует ли пересылать контекст устройства UE в гостевую сеть. В качестве альтернативы, функция H-AMF может продолжить обычную процедуру регистрации на основе функции N3IWF с фиг. 5, которая заканчивается регистрацией устройства UE в домашней сети и отменой регистрации устройства UE в гостевой сети. В этом случае функция H-AMF может принять во внимание информацию контекста, полученную от функции V-AMF, для возобновления предоставления в домашней сети тех услуг, которые в настоящее время предоставляются в гостевой сети.

Решение может быть основано на информации, принятой функцией H-AMF от объекта UDM, например, на информации об абоненте, и/или от функции PCF, например, на политике оператора. При этом учитывается текущая нагрузка на сеть, предпочтения оператора и другая информация, касающаяся сети или абонента. Функция H-AMF может запрашивать и принимать соответствующую информацию от объекта UMD и функции PCF, что не отражено на фиг. 7. На шаге 7 функция H-AMF принимает решение на основании указанной информации и, возможно, дополнительной информации, полученной в ходе процедуры регистрации.

Шаг 7 также может выполняться на другом, в частности, на более раннем этапе описанной процедуры. Последовательность сообщений и шагов на фиг. 7 является лишь примером. В частности, функция H-AMF может принять решение о том, как выполнять запрос на регистрацию - непосредственно после получения ею запроса на регистрацию или в любое время в ходе взаимной аутентификации.

После решения о направлении контекста устройства UE в гостевую сеть в изобретении введены новые технологические шаги для передачи контекста устройства UE из функции H-AMF в функцию V-AMF гостевой сети и для добавления канала доступа N3GPP к контексту устройства UE в функции AMF.

Следующие шаги проиллюстрированы на фиг. 8, которая иллюстрирует продолжение последовательности сообщений, представленной на фиг. 7.

Если принято решение о переадресации, функция H-AMF передает контекст устройства UE в функцию V-AMF. Используемое сообщение может быть откликом на информационный ответ, полученный от функции V-AMF на шаге 9 с фиг. 8. Это сообщение включает в себя контекст функции H-AMF, созданный во время процедуры регистрации, то есть оно может включать в себя постоянный идентификатор устройства UE, полученный от функции AUSF или аутентифицированный функцией AUSF, ключи безопасности устройства UE и функции N3IWF, а также адрес функции N3IWF.

Затем функция V-AMF гостевой сети связывается с функцией N3IWF, используя адрес, полученный от функции H-AMF, и запрашивает переключение соединения между функцией N3IWF и опорной сетью с функции H-AMF на функцию V-AMF. Шаг 10а на фиг. 8 представляет собой пример сообщения «Запрос на переключение пути». Это переключение пути может включать в себя установление туннеля и взаимную аутентификацию между функциями N3IWF и V-AMF, что на фиг. 8 явным образом не показано. Функция N3IWF подтверждает переключение на функцию V-AMF путем соответствующего ответного сообщения на шаге 10б. В качестве альтернативы, переключение пути может запрашиваться функцией H-AMF.

На шаге 11 функция V-AMF может подтвердить передачу контекста N3GPP и переключение маршрута, для чего она использует финальное сообщение «Подтверждение получения информации». Затем на шаге 12 функция H-AMF может удалить контекст устройства UE.

Теперь функция AMF гостевой сети способна информировать устройство UE через вновь установленный маршрут от функции AMF через функцию N3IWF о согласии на регистрацию соединения N3GPP. Согласно настоящему изобретению, принятое на шаге 13а сообщение может включать в себя информацию о конфигурации, включающую в себя правила маршрутизации сообщений плоскости управления. Поскольку устройство UE теперь имеет два разных маршрута, установленных для функции AMF, эти правила позволяют устройству UE решать, какой маршрут использовать для сообщений управления, и определять условия для принятия решения. Кроме того, для повышения правдоподобия приема возможно передавать информацию управления по обоим маршрутам.

На шаге 13б устройство UE завершает процедуру регистрации сообщением «Регистрация завершена», которое может быть передано в соответствии с правилами маршрутизации, полученными ранее через доступ N3GPP или через сеть (R)AN.

В одном аспекте изобретения сеть PLMN действует в качестве домашней сети PLMN (H-PLMN). Вторая сеть, действующая как сеть H-PLMN, получает от устройства UE запрос на регистрацию второго доступа, при этом запрос включает в себя информацию о первой регистрации в первой сети. Вторая сеть после выполнения взаимной аутентификации между устройством UE и второй сетью и установления безопасного соединения через второй доступ пересылает информацию о втором доступе в первую сеть, при этом информация о втором доступе позволяет первой сети зарегистрировать второй доступ и использовать безопасное соединение через второй доступ для обмена регистрационной информацией с этим устройством UE.

Вторая сеть может быть домашней сетью абонента устройства UE, а первая сеть - гостевой сетью или сетью роуминга. Первый доступ может обеспечиваться через сеть радиодоступа 3GPP, а второй доступ может быть доступом через сеть не-3GPP доступа. Тогда первый доступ осуществляется через доверенную сеть доступа, а второй доступ - через недоверенную сеть доступа. Регистрация первого доступа устройства UE в первую сеть включает в себя взаимную аутентификацию между устройством UE и второй сетью (принцип роуминга).

Безопасное соединение может включать в себя ассоциацию безопасности между устройством UE и объектом, предоставляющим второй доступ, и соединение по протоколу IPSec между устройством UE и этим объектом. Выполнение взаимной аутентификации и установление безопасного соединения производится без влияния на первую регистрацию устройства UE в первой сети. На основании информации об абонентах, и/или информации о политике и/или информации об обслуживании, доступной во второй сети, вторая сеть перед пересылкой информации о втором доступе в первую сеть определяет, следует ли переадресовать информацию о втором доступе в первую сеть или запросить прекращение регистрации первого доступа устройства UE в первой сети.

Сеть H-PLMN может содержать второй узел, принимающий от устройства UE запрос на регистрацию второго доступа, при этом запрос включает в себя информацию о первой регистрации в первом узле первой сети. Второй узел запрашивает и принимает первую информацию контекста устройства UE от первого узла, устанавливает безопасное соединения с устройством UE через второй доступ и предоставляет вторую информацию контекста первому узлу. Вторая контекстная информация включает в себя информацию о втором доступе и о безопасном соединении. В ответ на получение подтверждения об успешном приеме второй контекстной информации первым узлом, второй узел удаляет контекст устройства UE во втором узле.

В другом аспекте изобретения сеть PLMN действует как гостевая сеть PLMN (V-PLMN). Первая сеть регистрирует первый доступ устройства UE, при этом регистрация включает в себя запрос аутентификации устройства UE из второй сети. Первая сеть принимает от второй сети запрос на регистрацию второго доступа устройства UE. Второй доступ включает в себя установленную ассоциацию безопасности (и соединение по протоколу IPSec) между устройством UE и сетевым объектом, предоставляющим второй доступ, а запрос включает в себя информацию, используемую первой сетью для соединения с устройством UE через второй доступ с использованием ассоциации безопасности (и соединения по протоколу IPSec).

Еще одним аспектом изобретения является устройство UE, которое регистрируется в первой сети через первый доступ, запрашивает регистрацию второго доступа во второй сети, устанавливая ассоциацию безопасности (и соединение по протоколу IPSec) через второй доступ ко второй сети, и принимает ответ на запрос регистрации из первой сети через второй доступ при сохранении первого доступа к первой сети.

1. Способ регистрации доступа в сеть, включающий в себя:

- прием во второй сети запроса на регистрацию устройства пользователя (UE) через вторую сеть доступа, содержащего первую информацию о том, что устройство UE зарегистрировано в первой сети через первую сеть доступа;

- прием во второй сети второй информации об устройстве UE от первой сети;

- установление во второй сети ассоциации безопасности с устройством UE через вторую сеть доступа;

- пересылку второй сетью третьей информации об устройстве UE в первую сеть; и

- регистрацию первой сетью устройства UE через вторую сеть доступа при сохранении регистрации устройства UE в первой сети через первую сеть доступа.

2. Способ по п. 1, отличающийся тем, что первая сеть является гостевой публичной мобильной сетью, а вторая сеть является домашней публичной мобильной сетью.

3. Способ по п. 1 или 2, отличающийся тем, что первая сеть доступа является доверенной сетью доступа, а вторая сеть доступа является недоверенной сетью доступа.

4. Способ по любому из предыдущих пунктов, отличающийся тем, что первая информация об устройстве UE представляет собой одно из следующего: флаг в сообщении о подключении, вторичное сообщение запроса на подключение, вторичное сообщение о регистрации и флаг, информационное поле, параметр и идентификатор в сообщении в соответствии с протоколом IKE.

5. Способ по любому из предыдущих пунктов, отличающийся тем, что вторая информация об устройстве UE включает в себя постоянный идентификатор устройства UE.

6. Способ по любому из предыдущих пунктов, отличающийся тем, что третья информация об устройстве UE включает в себя адрес второй сети доступа и/или параметры безопасности для ассоциации безопасности.

7. Устройство пользователя (UE), выполненное с возможностью регистрации в первой сети для получения первого доступа с первой ассоциацией безопасности и с возможностью последующего запроса второго доступа ко второй сети, включающего в себя установление второй ассоциации безопасности через второй доступ при сохранении первого доступа, благодаря чему устройство UE имеет возможность предоставлять информацию о первом доступе в ходе установления второго доступа, а также выполненное с возможностью доступа к первой сети через первый доступ и через второй доступ после регистрации второго доступа.

8. Устройство UE по п. 7, отличающееся тем, что оно содержит сохраненную информацию для идентификации объекта функции межсетевого взаимодействия домашней сети устройства UE, при этом сохраненная информация достаточна для определения устройством UE IP-адреса этого объекта функции межсетевого взаимодействия.

9. Устройство UE по п. 7 или 8, отличающееся тем, что оно выполнено с возможностью предоставления информации во вторую сеть о том, что оно уже имеет доступ к первой сети, в ходе установления второго доступа.

10. Публичная мобильная сеть (PLMN), выполненная с возможностью приема от устройства пользователя (UE) запроса на первую регистрацию первого доступа, содержащего информацию о второй регистрации во второй сети, с возможностью выполнения взаимной аутентификации между устройством UE и сетью PLMN и с возможностью установления безопасного соединения через первый доступ и пересылки во вторую сеть информации о первом доступе, позволяющей второй сети зарегистрировать первый доступ и использовать безопасное соединение через первый доступ для обмена регистрационной информацией с устройством UE при сохранении второй регистрации устройства UE во второй сети.

11. Сеть PLMN по п. 10, отличающаяся тем, что она является домашней сетью устройства UE.

12. Сеть PLMN по п. 10 или 11, отличающаяся тем, что второй доступ осуществляется через сеть 3GPP радиодоступа, а первый доступ осуществляется через сеть не-3GPP доступа.

13. Сеть PLMN по любому из пп. 10-12, отличающаяся тем, что второй доступ осуществляется через доверенную сеть доступа, а первый доступ осуществляется через недоверенную сеть доступа.

14. Первый узел первой сети, выполненный с возможностью приема от устройства пользователя (UE) запроса на регистрацию первого доступа, содержащего информацию о второй регистрации во втором узле второй сети, выполненный с возможностью

- запрашивать и принимать первую информацию контекста устройства UE от второго узла;

- устанавливать защищенное соединение с устройством UE через первый доступ;

- предоставлять второму узлу вторую информацию контекста, включающую в себя информацию о первом доступе и о защищенном соединении; и

- удалять контекст устройства UE в первом узле в ответ на прием подтверждения успешного приема второй контекстной информации вторым узлом.

15. Публичная мобильная сеть (PLMN), выполненная с возможностью регистрации первого доступа устройства пользователя (UE), включающей в себя запрос второй сетью аутентификации устройства UE, и с возможностью приема от второй сети запроса для регистрации второго доступа для устройства UE, включающего в себя установленную ассоциацию безопасности между устройством UE и объектом, предоставляющим второй доступ, при этом запрос содержит информацию, используемую сетью PLMN для соединения с устройством UE через второй доступ, а также выполненная с возможностью регистрации для устройства UE второго доступа при сохранении регистрации для устройства UE первого доступа.