将会话接纳至虚拟网络服务的制作方法

相关申请的交叉引用

本申请要求于2015年6月1日提交的题为“admissionofanindividualsession/userwhohasalreadysubscribedtoavirtualnetworkservice”的美国临时专利申请序列号62/169,425的优先权，其全部内容通过引用并入本文中，并且要求于2016年5月31日提交的美国非临时专利申请序列号15/169,469的优先权，其内容也通过引用并入本文中。

本公开内容涉及虚拟网络(virtualnetwork,vn)，并且更特别地，涉及将用户会话接纳至vn的处理。

背景技术：

在常规移动网络中，无线电接入网络(radioaccessnetwork,ran)与通常基于有线的核心网络配对。ran通过网络接入点(accesspoint,ap)的使用向移动装置如用户设备(userequipment,ue)提供连接，所述网络接入点通过回程连接连接到核心网络。在现有的三、四代(thirdfourthgeneration,3g/4g)移动网络中，ran和核心网络紧密互连。通常，核心和ran由向终端用户提供服务的单个实体拥有，并且可以提供以下平台：移动虚拟网络运营商(mobilevirtualnetworkoperator,mvno)通过所述平台可以向其自己的终端用户提供服务。

在移动网络——4g网络，如符合由第三代合作伙伴计划(3^rdgenerationpartnershipproject,3gpp)规定的长期演进(longtermevolution,lte)标准的那些网络——中，ue通过发送附着请求来开始附着至网络的处理。这是由enodeb接收的请求，enodeb然后将该请求发送到驻留在核心网络内的移动性管理实体。ue的认证、非接入层(non-accessstratum,nas)安全设置和as安全设置都被执行。as安全设置是在ue与基于ran的实体(在这种情况下为enodeb)之间执行的唯一处理。因为网络运营商通常拥有ran中的基础设施以及核心网络，并且使用这些资源为终端用户提供服务，所以认证和接入控制过程仅在核心网络中执行。

对单个实体而言，不再需要拥有和管理用于提供连接性和联网服务的所有资源和基础设施。移动虚拟网络运营商(mobilevirtualnetworkoperator,mvno)使用提供的服务和网络运营商(也称为服务提供商)的资源为其订户提供服务。通常，mvno向网络运营商提供认证和授权信息，使得当mvno客户连接到网络接入点时，该信息可以在网络运营商的核心网络中使用。一些mvno与多于一个服务提供商有关系。这允许mvno利用多个提供商的覆盖图。mvno能够创建服务提供商的覆盖图不交叠的更广泛的覆盖区域，并且允许服务区域交叠的更深或更多冗余的覆盖。与mvno相关联的通信量流量的服务提供商网络的使用通常由服务水平协议(servicelevelagreement,sla)来管理。

随着网络架构演进，ran可以不与单个核心网络相关联。用于接入一系列核心网络切片(或使用网络切片的单个核心网络)的ran将有效地与许多不同的核心网络相关联。当ue附着时，如此严重地依赖于接入核心网络中的资源的附着过程可能不是可行的。存在提议和标准准备(如例如由欧洲电信标准协会etsi所描述的网络功能虚拟化(networkfunctionsvirtualization,nfv)管理和编排架构框架(managementandorchestration,mano)，共同称为nfv-mano)以便于以下网络架构：在所述网络架构中，服务提供商(serviceprovider,sp)可以使用虚拟化的基础设施资源为其客户提供虚拟网络(virtualnetwork,vn)作为服务。在如此的情境中，甚至提供认证和授权信息的sp可以在vn内，而不在能够直接接入ran的核心网络内。

需要接纳属于vn或特定核心网络(或者根据情况可以是核心网络切片)的个别会话的方法。需要根据相关核心网络或相关vn的需求、sla和个别会话需求来接纳个别会话的框架和方法。

技术实现要素：

本公开内容的一个方面提供了一种将用户会话接纳到虚拟网络中的方法。所述方法包括：在核心网络域中的移动性管理功能处接收来自与虚拟网络相关联的用户设备的附着请求。所述方法还包括执行关于用户设备的认证质询以及与虚拟网络相关联并且在核心网络域外部的认证功能。所述方法还包括：响应于认证质询的成功完成，执行将用户设备接纳至虚拟网络中的用户会话。

本公开内容的另一个方面提供了一种将用户会话接纳到虚拟网络中的方法。所述方法包括：在核心网络域中的移动性管理功能处接收来自与虚拟网络相关联的用户设备的附着请求；执行与用户设备相关联的认证质询以及与虚拟网络相关联并且被提供有虚拟网络的订户的认证数据的认证功能；以及响应于认证质询的成功完成而将用户设备接纳至虚拟网络中的用户会话。

本公开内容的一个方面提供了一种用于接纳来自订购了虚拟网络运营商的服务的用户装置的会话的方法。所述方法包括：接收来自接入点处的所述用户装置的服务请求，以及选择网络认证和授权功能aaf以确认用户装置被授权所请求的服务，以及将所述请求发送到所选择的aaf。处理所述请求的aaf可以归于虚拟网络运营商(virtualnetworkoperator,vno)。然而，vno可以与其他网络实体(例如，电信连接服务提供商(telecomconnectivityserviceprovider,tcsp)或inp)共享其认证和授权(authenticationandauthorization,aa)数据库，并且允许那些实体执行aa功能。

如果请求对aa处理失败，则该请求将被拒绝。存在用户会话将被阻止的其他实例，并且所述其他实例通常与资源分配有关。例如，如果用于会话的资源(网络容量)不足，则用户会话可以被接纳控制功能阻止。一般来说，一旦新的用户/会话成功地通过aa处理，除非网络容量不允许，否则所述新的用户/会话将被接纳。

本公开内容的一个方面提供了一种用于将会话接纳到建立在分层网络内的虚拟网络(virtualnetwork,vn)中的方法。所述方法包括对由分层网络的第一实体拥有的接入点(accesspoint,ap)接收到的请求执行接纳检查，接纳检查使用主机的aaf，主机已经接收了关于由虚拟网络运营商(virtualnetworkoperator,vno)所建立的vn的aa信息。当vno与第一实体之间的直接关联未建立时，这样的方法适用。在一些实施方式中，主机归于vno。在一些实施方式中，关于所建立的vn的aa信息归于vno。在一些实施方式中，主机驻留在分层网络的第二实体的网络中，第二实体与vno和第一实体两者都具有关联。在一些实施方式中，主机从vno获得关于所建立的vn的aa信息。在一些实施方式中，主机驻留在第一实体的网络中，并且被配置成从分层网络的第二实体获得关于所建立的vn的aa信息，第二实体与vno和第一实体两者都具有关联。在一些实施方式中，执行接纳检查的步骤包括将来自第一实体中的ap的请求转发到分层网络的第二实体的网络中的主机，第二实体与vno和第一实体两者都具有关联。在一些实施方式中，接纳检查包括认证和授权。在一些实施方式中，接纳检查还包括确保足够的网络资源可用的接纳控制检查。在一些实施方式中，接纳检查还包括核算检查(accountingcheck)。

本公开内容的另一个方面提供了用于将会话接纳到建立在分层网络内的虚拟网络(virtualnetwork,vn)中的方法。这样的方法包括在分层网络的基础设施提供商(infrastructureprovider,inp)拥有的接入点(accesspoint,ap)处接收连接请求。所述方法还包括ap请求接纳检查，其中接纳检查利用主机的aaf，主机从虚拟网络运营商(virtualnetworkoperator,vno)已经接收到了关于vn的aa信息。在这样的方法中，ap请求接纳检查包括ap请求来自分层网络的电信连接服务提供商(telecomconnectivityserviceprovider,tcsp)的接纳控制检查，tcsp与vno和inp两者都具有关联。在一些实施方式中，所述方法还包括接收来自tcsp的关于tcsp网络内是否有足够的资源可用于连接请求的接纳控制响应。在一些实施方式中，主机驻留在inp内，已经从tcsp为aaf提供了关于vn的aa信息，tcsp进而从vno接收关于所建立的vn的aa信息。在一些实施方式中，主机驻留在tcsp内，并且ap请求接纳检查包括向驻留在tcsp内的主机发送请求以执行对会话的认证和授权。

本公开内容的另一个方面提供了用于将会话接纳到由电信连接服务提供商(telecomconnectivityserviceprovider,tcsp)为虚拟网络运营商(virtualnetworkoperator,vno)提供的虚拟网络(virtualnetwork,vn)中的方法。这样的方法包括接收对来自基础设施提供商(infrastructureprovider,inp)的tcsp处的会话的接纳请求，所述基础设施提供商(infrastructureprovider,inp)拥有接收来自用户设备(userequipment,ue)的连接请求的接入点，其中，inp与vno不关联。这样的方法还包括提供对inp的响应。在这样的方法中，接纳请求请求接纳检查，包括接纳控制检查。这样的接纳检查利用主机的aaf，主机从虚拟网络运营商(virtualnetworkoperator,vno)已经接收到关于所建立的vn的aa信息。在一些实施方式中，所述方法还包括：tcsp执行接纳控制检查以确定在tcsp网络内是否有足够的资源可用于所请求的会话。在一些实施方式中，主机驻留在tcsp内，aaf已经从vno接收到关于所建立的vn的aa信息。在一些实施方式中，主机驻留在vno内，并且还包括tcsp请求来自vno的认证和授权。在一些实施方式中，tcsp与inp不关联，并且所接收的来自inp的接纳请求从第二tcsp被转发到tcsp，第二tcsp与inp具有关联。在一些实施方式中，tcsp与第二tcsp进行协商以建立端到端的路径以接纳会话。

本公开内容的另一个方面提供了一种主机，所述主机包括处理器和存储机器可执行指令的机器可读存储器，在所述机器可执行指令被处理器执行时，所述机器可执行指令对aaf进行实例化以对由基础设施提供商(infrastructureprovider,inp)拥有的接入点(accesspoint,ap)接收的连接请求执行接纳检查，aaf使用关于由电信连接服务提供商(telecomconnectivityserviceprovider,tcsp)为虚拟网络运营商(virtualnetworkoperator,vno)建立的虚拟网络(virtualnetwork,vn)的aa信息。当inp和vno不关联时，使用这样的主机。在一些实施方式中，主机驻留在vno内，并且机器可执行指令将主机配置成：接收来自tcsp的连接请求，对所述请求进行授权和认证并且提供对tcsp的响应。在一些实施方式中，主机驻留在tcsp内，并且机器可执行指令将主机配置成：接收来自ap的连接请求，使用从vno接收到的信息来对所述请求进行授权和认证，并且提供对ap的响应。在一些实施方式中，主机驻留在tcsp内，并且机器可执行指令将主机配置成：接收来自ap的请求，并且将所述请求转发到vno以对所述请求进行授权和认证。在一些实施方式中，主机驻留在inp内，并且机器可执行指令将主机配置成：接收来自ap的请求，并且使用从tcsp接收到的aa信息对所述请求进行授权和认证。在一些实施方式中，主机驻留在inp内，并且机器可执行指令将主机配置成：接收来自ap的请求，并且将所述请求转发到tcsp以对所述请求进行授权和认证。

结合附图根据以下详细描述，本发明的前述目的和其他目的、特征、方面和优点将变得更加明显，对附图的描述仅作为示例。

附图说明

为了更全面地理解本公开内容，现在结合附图参考以下简要描述以及通过非限制性示例的方式说明和描述实施方式的详细描述，其中相同的附图标记表示相同的部分。

图1是示出了网络架构的框图。

图2是示出了网络架构内的关系的框图。

图3是示出了网络架构内的关系的框图。

图4是示出了网络架构(称为选项b)的关系内的第二组通信的框图。

图5是示出了网络架构(以下称为选项c)内的关系的框图。

图6是根据实施方式的可以用于实现各种网络功能的主机处理系统的框图。

图7是示出了在虚拟化的aaf的建立中使用的数据流的框图。

图8是示出了在第一附着处理中使用的消息流的消息流图。

图9是示出了在第二附着处理中使用的消息流的消息流图。

图10是示出了在第三附着处理中使用的消息流的消息流图。

图11是示出了在第四附着处理中使用的消息流的消息流图。

具体实施方式

图1是示出了在未来的网络架构中可能发生的角色的解耦的图。这样的解耦网络架构可以适用于下一代无线网络，包括所谓的第五代(fifthgeneration,5g)通信网络。在这样的解耦网络中，网络接入基础设施可以被隔离为单独的实体，在此指示为基础设施提供商(infrastructureprovider,inp)。由inp提供的ran功能可以与核心网络分开而进入不同的网络域中，使得其可以与核心网络分开执行和管理。核心网络(corenetwork,cn)功能可以由也称为电信连接服务提供商(telecommunicationsconnectivityserviceprovider,tcsp)的服务提供商提供。在一些区域中，inp可以用作多个不同的tcsp的接入网络(或作为接入网络的一部分)。面向客户的服务在下面的示例中示出为由虚拟网络运营商(virtualnetworkoperator,vno)提供。应当理解的是，网络的这些划分可能纯粹是出于管理原因，或者它们可以是完全不同的实体。inp可以具有非常小的接入网络，如建筑物内的一组小的接入点。inp可以为许多不同的tcsp提供接入到其资源。这具有单个ran服务于多个cn的效果。在另一示例中，单个inp可以服务于它们各自实际上是单个cn的切片的多个cn。当同一实体拥有cn和ran两者(例如，tcsp和inp是相同的)时，这可以发生，但是当ran是单独的域时，使得其可以服务于多个不同的cn切片。

在图1中，根据实施方式的网络架构包括具有覆盖区域140的第一inp1130以及具有覆盖区域145的第二inp2135。每个inp拥有连接资源如ap，具有与inp2135相关联的黑色ap以及与inp1130相关联的白色ap。tcspa150使用inp1130和inp2135的资源的一部分以提供到tcspa150提供的核心网络功能的ran接入。inp为tcsp提供接入服务的条件可以由服务水平协议(servicelevelagreement,sla)来管理。tcspa150使用inp资源以及其他网络资源(包括其拥有的资源)来为各种vno提供核心网络和无线电接入功能。第一vno和第二vno(vno1110和vno2115)从tcspa150获得连接服务，以向其各自的终端用户群体提供服务。每个vno110,115具有其自己的终端用户群体，每个分别共同地指定为客户1120和客户2125。其他实施方式可以包括附加的tcsp，如tcspb160。此外，本领域普通技术人员将理解的是，尽管附图示出了每个中的两个的事实，但是inp130,135与vno110,115之间不存在一一对应。可以支持任何数目的inp、tcsp和vno。

通过非限制性示例的方式，终端用户群体可以包括与警报公司、传感器公司、警察部门、消防部门、电子健康监测服务以及这些中的任何的任意组合中的一个或更多个相关联的装置。这些客户群中的每一个都可以就用于他们的用户/装置的虚拟网络(virtualnetwork,vn)服务与特定vno签约。可替选地，vno110,115可以只为订购了其服务的个别客户提供服务。

每个vno可以被认为是一个或更多个tcsp的资源和服务的消费者。在一些示例性实施方式中，虚拟网络所需的资源可以取决于虚拟网络的类型和功能。

在向vn客户提供服务时，服务提供商(例如，tcsp)可以获得可以不被tcsp拥有或者可以不总是可用于tcsp的基础设施资源。例如，tcsp可以从inp获取资源，使得可以在tcsp不拥有ran资源的区域中为vn客户提供服务。tcsp可以聚集来自不同inp的资源，以创建包括节点和链路资源两者的网络拓扑。这为vn提供端到端服务，从而允许vn的客户连接到网络并接入服务。

vno通常提供由终端用户使用的服务。在一些示例中，这包括诸如对语音信道、移动宽带(mobilebroadband,mbb)信道和其他数据信道的支持的服务。一些vno针对诸如机器类型通信(machine-typecommunication,mtc)流量的特定需求或对于某些客户群如紧急服务(例如，执法、紧急医疗服务、消防部门)定制支持。tcsp提供vno使用的连接服务。在一些情况下，tcsp可以提供与由3gpp定义的演进分组核心(evolvedpacketcore,epc)相当(或实质上相当)的连接性和网络功能。在一些实施方式中，tcsp以如下这样的方式分配服务：以使得看起来好像vno具有其自己的虚拟网络。这可以通过使用诸如网络切片和网络功能虚拟化的技术来完成。单个无线电接入网络可以通过使用多个不同的inp来创建。tcsp可以通过从多个不同的inp获得ran资源来创建覆盖图，并且可以可选地具有其自己的ran资源中的一些ran资源。在一些实施方式中，tcsp为每个vno分配至少一个网络切片，以通过inpran资源向其客户提供具有网络接入的vn。

为了提供流量隔离和一定程度的控制，inp可以为tcsp提供资源作为网络切片。该切片可以是硬切片(限定的资源的固定分配)、软切片(可随时间变化的资源的分配，被分配的资源量或特定资源的变化)或这两者的混合(例如，提供保证水平的服务的硬切片，具有可以由软切片提供的顶部的柔性组件)。tcsp可以基于从不同inp获得的切片来组合资源池。基于所组合的资源池，tcsp可以然后向vno提供网络服务，包括可以提供核心网络的功能的网络切片。应当理解的是，在常规核心网络中，诸如家庭订户服务器(homesubscriberserver,hss)的功能是cn的一部分，但是在图1所示的解耦架构中，保存订户信息的数据库可以驻留在vno网络内。订户数据库可以根据从tcsp获得的资源来实例化，但是其也可以驻留在能够通过由tcsp提供的切片接入的子网络中，但不严格地在所述子网络中。

分配给特定vn的资源可以被静态地分配，它们可以以动态方式或者以如上所述的混合方式根据需求而变化。底层物理资源可以使用硬切片或软切片来分配，使得底层物理资源可以分别静态地被提交或动态地被提交。

图2进一步示出了可以在未来网络架构中发现的角色的解耦。移动装置270的池由vno1210和vno2220来服务。vno1210服务的移动装置由白色元件272表示，并且由vno2220服务的移动装置由黑色元件271表示。术语移动装置应该被理解为指代可以连接到移动网络用于服务的装置。无论装置本身是否是移动的，该装置都利用移动连接。移动装置的突出示例是诸如移动网络手机(例如，移动电话)的用户设备(userequipment,ue)。诸如机器类型通信(machinetypecommunication,mtc)装置的其他装置(也称为机器到机器(machine-to-machine,m2m)装置)也是移动装置的示例。应当理解的是，术语移动装置和ue可互换使用，并且一个术语的使用不应被解释为是限制性的。

如图2所示，诸如inp1260或inp2250的基础设施提供商(infrastructureprovider,inp)提供无线电接入资源。inp可以不拥有通过其提供连接的频谱，而是替代地可以从频谱拥有者240获得频谱使用权。可替选地，可以从tcsp为inp提供指令，来为tcsp提供限定的频谱带中的服务。tcsp可以从政府获得频谱使用权，或者通过与频谱拥有者240的协议来获得频谱使用权。电信连接服务提供商(telecomconnectivityserviceprovider,tcsp)230使用从inp获得的资源以提供其可以提供的无线电接入cn功能。在一些实施方式中，inp提供无线电接入网络，用户可以通过该无线电接入网络使用由tcsp提供给vno的联网功能。在其他实施方式中，inp也可以提供一些核心网络资源。

vno通常将包括被配置成提供aa服务的aaf，其显示为vn-aa211和vn-aa221。vn-aaa可以包括订户数据库或者可以接入订户数据库。本领域技术人员将理解的是，aaf提供认证和授权服务，如将由3gpp兼容的认证、授权和核算(authentication,authorizationandaccounting,aaa)功能提供的服务。对来自aaf的核算功能的省略不应该被理解为不存在的需求，而应该替代地理解为核算功能可以在别处被提供，尽管它们可以在aaf中被提供也是如此。在3gppaaa功能将认证视为确定呈现标识符的装置为与该标识符相关联的装置(该装置是其所声称的装置)的情况下，应当理解的是，在aa功能的一些实施方式中，认证可以涉及替代ue的认证的用户认证。授权涉及确定实体是否应被授予接入所请求的服务或资源的权限。认证还可以涉及关于被认证的身份或认证凭证是否被禁止接入资源(例如，通过使用黑名单)的确定。

本领域技术人员将进一步理解，tcsp230还可以包括被配置成在tcsp网络内提供aa服务的aaftcsp-aa231。tcspaa可以包括与支持的vno的订户相关联的aa数据。这允许tcsp在不需要传递到vno域的流量的情况下提供aa服务，这可以允许更快的aa处理。此外，每个inp可以包括其自己的本地aaf251,261，用于在ran内提供aa服务。因为移动装置连接到可以支持多个核心网络的ran，所以可以有利的是在ran内而不是专门在cn内提供aa服务。在inp内实例化的本地aa可以是tcsp的aa数据的子集。tcspaa数据可以是每个vno的aa数据的一部分的组合。如果inp向多个tcsp提供服务，则其本地aaf可以保存作为相应tcspaaf的一部分的组合的aa数据。

可以以许多不同方式中的任何方式来执行vn至tcsp的配置和接纳，并且vn被接纳至tcsp的特定方式与下面的讨论没有密切关系。在将vn假定为已经被配置并且被接纳的情况下，将讨论实施方式。如果tcsp不向vno提供服务，而是替代地直接向终端用户或客户群提供服务，则tcspaaf将保存完整的vnaaf数据库的等同内容。

为了说明，注意，ue可以被接纳，或者用于ue的各个会话可以各自分别被接纳。注意，存在ue可以被接纳至网络用于一种类型的会话而不是另一种类型的会话的情况。例如，ue可以被接纳至特定vno以获得某种类型的服务(例如，mbb或增强的mbb(enhancedmbb,embb)服务)。如果其尝试针对另一个服务(如ue没有订购的v2x(车辆服务))进行注册，则同一ue可以被同一网络拒绝。在这种情境中，注意，vno可以提供v2x服务，但是没有针对该ue进行注册。在其他实施方式中，ue能够对针对v2x服务的注册进行协商。或者，ue能够连接到不同的vno以获得v2x服务。

现在将讨论根据实施方式的接纳个别会话的处理。ue连接到由inp提供的ran。在与ue相关联的vn被托管时，inp向tcsp提供资源。在这种情况下，vno(例如，vno1210)与tcsp230相关联。tcsp230利用由inp(例如，inp260)提供的ran资源。然而，inp1260与vno1201不关联(即，没有合同关系)。换言之，vno与inp之间的直接关联没有被建立。tcsp230与inp1260和vno1310两者都相关联。

作为发送连接请求的一部分，ue提供用于aa处理的凭证。在一些实施方式中，还发生接纳控制(admissioncontrol,ac)处理。下面讨论三个选项，这三个选项将被称为选项a、选项b和选项c。本领域技术人员将会很好地理解，这些示例并不旨在是详尽的。简言之，aa处理可以以分布式方式由网络内的不同实体来执行，并且甚至可以由不同网络域内的实体来执行。如上所述，aa处理包括可以包括认证和授权的接纳检查。

在选项a的一个实施方式中，aa处理专门地由vnaaf211来执行。选项a为vno提供对该处理的完全控制，原因是选项a不涉及任何权利的委托或任何数据的释放。该控制的抵消成本是：aa处理通常将由于用于aa处理的消息遍历多个网络域而具有更多的等待时间。

在选项b的实施方式中，vno1210可以将aa功能委托给tcsp230。这可以被执行以减少vno1210所需的开销，并且将利用tcspaaf231。然而，仍然存在创建在这样的布置中的等待时间的层，原因是inp1260必须将用于认证和授权的数据传递给tcsp230。另外，其要求vno1210向tcsp230提供足够的信息以处理至少一个aa功能。这需要以下信任关系：所述信任关系可以不总是可能的。在vno使用多个tcsp(未示出)的情况下，该选项可以导致aa信息被多个tcsp共享。tcsp可能已经在运行aaf。aa数据可以被预先加载到tcspaaf中，或者每当个别用户或ue被认证和/或授权时，可以使用aa数据来填充tcspaaf。aaf数据的该逐步构建允许vno仅根据需要释放数据。在合理的到期时间之后，存储在tcspaaf中的数据可以到期并且被删除，以减少对数据安全性的担忧。

在选项c的实施方式中，aaf(或其一部分)可以位于inp1260内。使本地aaf261通常将提供最小等待时间(其直接影响接纳时间)，但是需要最大数目的由vno1210对aa的委托。还应当理解的是，aa处理的不同部分可以在不同实体处被执行。

vno可以选择使用aaf的tcsp或inp实例化(例如，使用aa虚拟机(aavirtualmachine,aavm))。这允许aaf位于tcsp中，但是aaf由vno控制。为了其需要，vno可以使用由tcsp实例化的aa，或者其可以具有其自己的aa。vno-tcsp协议可以允许tcsp具有在所述tcsp内实例化的aaf，以代表vno执行aa功能。可替选地，tcsp可以将vno认证数据推送到tcsp控制的aaf中，以允许更快的aa处理。tcspaaf可以支持由tcsp支持的所有vno。

aaf也可以被向下推送到inp(可选地，使用有限的用户数据)，以允许更快的aa响应。这可以允许在具有有限数据集的网络的边缘处实例化aaf。当ue第一次连接到边缘节点时，与其认证相关的数据可以被移动到拥有ue所附着的设备的inp中实例化的aaf中。替代大量网络运营商和服务提供商预先加载具有可能永远不会使用的用户数据的基于inp的aaf，与已经附着到inpap的ue相关联的aa数据可以由inpaaf进行缓存(或者简单地推送到inpaaf)。这将减少任何进一步的aa处理的等待时间。在aaf在vno域的外部的任何情况下，可以向aaf提供有限的aa数据。如果需要的话，与vn有关的订购和其他数据可以由vno专门保存。

如果ue对aa处理失败，则可以拒绝附着请求或者可以不允许接入。存在ue将被阻止的其他情况，这通常与资源分配有关。例如，如果inp超负荷，则可以拒绝ue附着请求。类似地，如果已经超出了vno的资源分配，则tcsp可以拒绝会话。一般来说，当新的用户/会话成功地通过aa处理时，除非网络容量不允许，否则会话将被接纳。

除了aa以外，还可以将诸如流量监视(monitoring,m)和策略控制(policycontrol,pc)的监视和策略控制(m&pc)功能推送到inp。为了便于说明，m&pc将用于还通常包括接纳控制(admissioncontrol,ac)和流量控制(trafficcontrol,tc)，但是应当理解的是，这些功能可以被分离并且由不同的网络元件管理。实际上，在一些选项中，可以对aaf进行细分，其中授权、认证和核算由不同的网络元件执行。在一些实施方式中，这些功能中的一个或更多个功能可以在网络元件和/或网络的不同层之间动态地被控制和移动。在一些实施方式中，接纳检查可以包括认证、授权和接纳控制，其不一定需要由相同的功能来执行。在该上下文中，接纳控制指代检查足够的网络资源可用于满足请求。在一些情况下，可以对连接请求进行认证和授权，但是由于缺乏递送所请求的服务的资源而不能被接纳。

图3至图5是示出了对示出关于已经是vno的订户的用户的单个会话的几个接纳选项有用的可能的网络布局的框图。如上面讨论的，将关于三个选项来讨论实施方式：

选项a：vno在vno功能中维持aa数据和功能，标记为v-aa，并且总体上参照图3和图8进行讨论；

选项b：vno可以将aa数据和功能分配给tcsp功能，标记为v-t-aa，并且总体上参照图4和图9进行讨论；或者

选项c：vno可以请求tcsp将aa数据和功能分配给inp，并且标记为l-v-aa，且总体上参照图5和图10进行讨论。

图3示出了其中vno1310与tcsp1330相关联的架构。vno1310与tcsp1330之间的关联通过线315示意性地示出。tcsp1330进而具有分别与inp1360和inp2350的关联334、337。inp2350还具有与tcsp2380的关联385。tcsp2380与vno1不关联，但是具有与inp3的关联311。tcsp1330具有其自己的aaf、t_aa331和m&pc功能332，它们为tcsp1330执行这些功能。类似地，tcsp2380具有其自己的aaf(t_aa381)和m&pc功能382。inp1360具有其自己的aaf、本地aa361和m&pc功能362以及诸如接入点(accesspoint,ap)363、364和365的物理基础设施。inp2350具有其自己的aaf、本地aa351、m&pc功能352以及ap353、ap354和ap355。inp3340具有其自己的aaf、本地aa341、m&pc功能342以及ap343、ap344和ap345。虽然不是必需的，但是假设每个inp提供对多于一个tcsp的接入服务，从而证明操作其自己的aa和m&pc功能是正当的。然而，如果inp由tcsp拥有或完全专用于tcsp，则其可以放弃操作其自己的aa和m&pc功能，并且使用tcsp的aa和m&pc功能。并非每个inp都支持aa功能(例如，由办公楼的建筑管理操作的微微蜂窝网络可以不支持本地aa功能)。在一些实现中，本地aa功能可以非常简单，并且在接收到aa请求时，可以将该请求转发到另一个aa实体。tcsp还将包括诸如网关功能和移动性管理功能的其他功能连同对本领域技术人员而言将明显的其他功能。在lte网络的背景下，网关功能可以是服务网关(servinggateway,s-gw)或分组网关(packetgateway,pgw)之一，并且移动性管理功能(mobilitymanagementfunction,mmf)可以等同于移动性管理实体(mobilitymanagemententity,mme)。tcsp1330还包括mmf336。如果利用nfv，则tcsp1330还可以包括用于实例化vf的mano333。作为另一示例，如果利用nfv，则可以使用v-u-gw(未示出)。

对于图3至图5中的每一个，利用以下约定。圆形代表vno以及vno控制功能或定位功能。椭圆形代表tcsp或tcsp功能。矩形代表inp和inp定位功能。该约定有助于说明vno可以将功能(通过提供或控制它们所利用的功能或数据)委托给分层网络的不同层。应当理解的是，每个功能可以由一个或更多个主机执行。主机可以是计算机或包括处理器和机器可读指令的网络元件，在所述机器可读指令由处理器执行时，所述机器可读指令实现功能。图6是可以用于实现各种网络功能的主机处理系统601的示例性框图，这将在下面进一步讨论。

对于3个选项(即，选项a、选项b和选项c)中的每个选项，针对关于ue1370和ue2372都是vno1的订户的情况的两种情境讨论实施方式：

情境1：当ue1370连接到inp1360时的会话接纳；以及

情境2：当ue2372连接到inp3340(其与和vno1310相关联的tcsp不关联)时的会话接纳。

现在将参照图3来讨论实现选项a的实施方式，其中vno1310保持对aa数据和功能的控制。在选项a中，不将aa处理委托给tcsp或inp。确切地说，vno1310在v-aa311中保持aa功能。作为替选，对于其中tcsp实现网络切片的实施方式，可以在该vn的tcsp的资源(处理)切片中实例化aa功能。在一个实施方式中，由vno基于网络切片的状态来执行接纳控制(admissioncontrol,ac)。例如，基于剩余容量或来自tcsp的其他提取反馈。在另一个实施方式中，在由vno的aa执行认证和授权之后，ac决定通过tcsp1330的m&pc功能332基于当前网络负荷和策略自行决定来执行。在这种情况下，m&pc功能332从vno接收策略与监视方针，并且基于其实用性(成本/网络状态、qoe要求以及由vno指定的要求等)建立其自己的策略。

现在将讨论选项a的情境1。根据实施方式，ue1370连接到由inp1360操作的ap363。ue1370发送包括其id及其vno1订购id的附着请求以发起连接请求。如果附着请求已经被实例化，则附着请求可以由ap363转发到本地aaf361。本地aa361尝试对ue进行认证。存在三个可能的结果：成功、拒绝以及不能认证。当本地aa具有对ue进行认证所需的信息并且ue具有要被认证的凭证(在这种情况下，认证处理已完成)时就发生成功。当本地aa具有对ue进行认证所需的信息，但是ue不具有凭证并且从而该处理结束时就发生拒绝。当本地aa361不具有认证所需的信息以作出决定时，发生不能进行认证。在一些情境中，ap363可以根据附着请求中提供的vno订购id来确定认证处理不能在本地被执行。在这样的情境中，可以简单地将aa处理推送到tcsp。

因为本地aa361不能对ue进行认证，所以附着请求被推送到tcsp或vno。因此，inp1360通常通过向t-aa331发送请求来向v-aa311转发所述请求。t-aa331将不能完成认证，并且然后将所述请求转发给v-aaf311。v-aaf311对用户进行认证并且根据建立vn的服务协议向tcsp1330发送安全密钥和授权的用户类别详情。tcsp1330向inp1360发送aa信息和策略以及监视要求。可以基于ue的位置和任何后续移动来选择或改变提供服务的inp。例如，服务可以被分配给inp2350的ap353。在利用网络功能虚拟化(networkfunctionvirtualization,nfv)的一些实施方式中，这样的设置可以包括实例化虚拟实体如虚拟用户特定服务网关(virtualuserspecificservinggateway,v-u-sgw)，并且可以包括其他虚拟化功能的实例化，例如在tcsp1中。在会话终止时，终止信息被发送到vno1310。

图8是示出了根据该情境的实施方式的消息流的消息流图。在所示情境中，vno310与tcsp330具有服务协议。在接收到来自ue370的请求时，ap363检查vnid，确定810负责对ue370的连接性管理的正确功能(例如，mmf)并且将附着请求发送到该功能(例如，tcsp330的mmf)。ap363可以将附着请求转发给其本地aa361。本地aa361不能对ue进行认证，因此其将该请求发送给tcsp。该请求可以被直接发送到mmf336或者经由t-aa331被发送到mmf336。在利用网络切片的实施方式中，这可以是与建立在tcsp330内的vno服务切片相关联的mmf。当ue连接到在多个tcsp之间共享的ap时，ap可以选择与向ue提供服务的vno相关联的tcsp。当vno与inp两者都共享多个公共tcsp时，可以存在与每个vno相关联的tcsp的分级表以允许ap选择单个tcsp。还应当理解的是，可以使用从与vno相关联的一组tcsp中选择tcsp的不同方法。在一个实施方式中，mmf使用tcsp接入控制实体(tcspaccesscontrol,t-ac)和/或tcsp策略和计费实体(tcsppolicyandcharging,t-pc)进行检查，这两者都可以是m&pc功能332或单独功能的一部分，以评估网络资源可用性。在利用网络切片的实施方式中，将评估切片资源可用性。因此，在一些实施方式中，在ue310的认证之前，m&pc332基于策略来确定820是否应当拒绝请求。在确认有足够的资源并且无基于策略的理由拒绝连接时，mmf开始认证质询处理822。本领域技术人员将理解的是，认证质询822类似于在lte网络中执行的认证质询。认证数据请求被发送到v-aa311，但是也可以被发送到具有ue认证详情的任何节点如hss，或者在其他aaf代表v-aa311正在行动的情况下，认证数据请求也可以被发送到其他aaf。在认证质询822完成时，可以向mmf336确保ue已经被认证为vno所要求的级别。应当注意的是，所示的呼叫流程在对ue的认证方面类似于现有3gpp网络中使用的处理。在一些实施方式中，可以对用户而非ue执行认证。在这样的实施方式中，认证数据请求可以从aaf转发到第三方认证实体，使得可以获得认证质询。在其他实施方式中，对用户的认证通过在第三方认证功能与ue之间创建会话来实现，从而允许用户提供认证凭证。可以从ue或第三方认证功能向mmf提供用户认证的结果。如图8所示，在认证质询822之后，可以进行nas安全设置处理824。本领域技术人员将理解，该处理允许在mmf336与ue370之间创建安全连接。然后，由mm336将附着请求(针对认证的ue)转发到v-aa331。v-aa311执行授权和接纳控制830。ac可以由vno接入控制实体(vnoaccesscontrol,v-ac)(其可以是v-aa311的一部分或单独的vno功能)来执行。作为替选，vno310可以单独执行授权。如果vno310仅使用单个tcsp的资源，则这是特别合适的。在这种情况下，t-ac(其可以是mme内或t-aa331内的功能)可以基于用于vno和vno接纳控制策略的可用资源来执行ac处理840。应当理解的是，在一些实施方式中，ac仅被检查一次(例如，在步骤820或840处)。在其他实施方式中，步骤820基于根据切片/网络可用性的第一阈值提供ac检查。如果网络或切片的容量不足，则接纳将被拒绝。如果网络或切片具有有限的容量，则接纳会话的决定可以取决于策略，例如，基于ue和/或vn优先级等。在这种情况下，在认证和授权检查830之后，进行第二ac检查。附着接受被发回到ue370。在接收到ue已经被接纳的指示时，ap363可以执行as安全设置并且在处理850中转发附着接受。as安全设置允许被接纳的ue370与ap363之间的安全连接。

对于其中tcsp提供vno以切片的形式进行操作的资源的实施方式，附着请求可以包括切片id。如果ue370不提供切片id，但是识别vn，则ap363能够例如经由查找表等来确定tcsp和切片id。在一些实施方式中，tcsp可以为多于一个vn分配切片(即，切片的资源由多个vn共享)，在这种情况下，请求可以包括切片id和vnid两者。如果tcsp不实现网络切片，那么ac将通常取决于一般与分配给vn切片的资源的可用性相对的资源的可用性。

现在将参照图3来讨论ue2372连接到inp3340(其与和vno1310相关联的tcsp不关联)的情境2。ue2372连接到由请求网络连接的inp3340操作的ap344。ue2373是vno1310的订户。ap344在inp3340中向本地aa341发送连接请求。认证请求可以包括ueid以及标识vno1310和tcsp1330中至少之一的订购id。本地aa341不能对ue2372进行认证。本地aa341不能将请求转发给可以处理该请求的aaf。inp3340及其实例化的功能不能对ue2372进行认证或者将其连接到vno310。因此，inp3340将请求转发到t_aa381，t_aa381是tcsp2380的aaf。t_aa381将请求转发到tcsp1330的t_aa331，tcsp1330的t_aa331进而将请求转发到vno1310的v-aa311。消息转发可以利用基本服务(在要求免费基本服务的权限中)或者成本可以由vno1、ue2或一些其他实体支付。如果作为基本服务被提供，则ue2可以由集中式认证服务器认证以避免潜在的滥用行为，并且通常防止过度使用或参与ddos。一旦被vno1接纳，vno1/tcsp1可以请求tcsp2按需提供服务，并且在此基础上对服务计费。可替选地，vno1可以与tcsp2建立新合同，期待其用户中的更多用户请求来自tcsp2的服务。

vno1310的v-aaf311对用户进行认证，并且向tcsp2发送安全密钥和授权的用户类别详情。tcsp2380同意接纳并且向其inp发送aa信息和m&pc要求。另外，可以根据需要利用网关、mmf和其他功能(未示出)，包括其他虚拟化的功能。一旦终止，终止信息被发送到vno1/tcsp1。

当通过inp3的ue连接被接受时，仍然需要提供由tcsp提供的电信连接服务。tcsp1和tcsp2可以协调以下路径的设置和选择：数据可以通过所述路径从inp3流到tcsp2中再流到tcsp1中然后流到vno1。所述路径可以从inp3直接到tcsp1中，或者路径设置为tcsp2内的隧道(或其他这样的构造)，所述隧道可以通过由tcsp2提供的功能使流量从inp3路由到tcsp1中。

当ue连接到无线电接入网络(如inp3)并且没有将允许ue被认证的订购时，可以使用各种不同的机制。这些机制与ue或用户的认证以及基于订购对ue会话的后续接纳没有密切关系。

将总体上参照图4来讨论实现选项b的实施方式，其中vno将aa数据库内容和aa功能委托给tcspv_t_aa335。将再次讨论情境1和情境2。图3与图4的不同之处在于添加了tcsp功能v_t_aa335。注意，v-t-aa335用圆形示出，以表示其是椭圆形tcsp1330内的vno提供的功能。v-t-aa335在tcsp1330内的实例化可以以许多不同的方式来实现。v-t-aa335可以被实例化为能够由t_aa331获得的独立功能。这允许图8的许多信令保持原样。t_aa331与v-aa311之间的任何通信都将通过v-t-aa335。这种独立的实例化可以在ue连接时建立其自己的aa数据库，或者其可以复制由v-aa311接入的aa数据库的部分或全部。可替选地，v-t-aa335可以在t_aa331内实例化。这将为t_aa331提供对能够由v-aa311接入的aa数据的至少一个子集的接入。在一些实施方式中，vno1310将做出接纳决定的权限委托给tcsp1330，并且v_t_aa335表示由vno1310下载或以其他方式提供给t_aaf331的vnaa数据。在其他实施方式中，v_t_aa335表示在tcsp1330内由vno1310实例化的虚拟aaf。利用这样的虚拟aaf使得vno1310能够除了将做决定权限委托给tcsp1330以外保持更多的控制，同时与选项a相比还减少了等待时间。在一些实施方式中，v_t_aa335将在vn建立时被建立，并且可以以由vno1310确定的时间间隔进行更新。应当注意的是，为了便于说明，mmf336在图4中未示出，但是应当理解的是，仍然可以利用这样的功能。

现在将讨论ue1370附着到网络(情境1)的过程。ue1370连接到由inp1360提供的ran中的ap363，ap363将接收到的附着请求转发给本地aa361。附着请求可以包括ueid以及将vno1识别为ue所订购的vno。在一些实施方式中，inp1将所有认证请求指引到本地aa361。当本地aa361不能明确地对ue370进行认证(对ue进行认证或者确定ue不是其所声称的实体)时，其将该请求转发到t_aa331。如果t_aa331可以对ue进行明确地认证，那么其将这样做。否则，在v-t-aa335已经被实例化以允许隔离vno认证数据的实施方式中，t_aa331将请求转发到v-t-aa335。

在一些实施方式中，可以指示inp要在tcsp1或vno1处进行所有认证。在这种情况下，可以指示ap向t_aa331转发请求。可替选地，inp1可以通过将指令置于本地aa361中来实现该要求。当接收到对认证的请求时，ap将向本地aa361发送请求，本地aa361将向t_aa331发送认证请求，而不试图对ue进行认证。

在一些实施方式中，ap363或本地aa361将向t-aa1331发送附着请求，t-aa1331使用v-t-aa335对所述请求进行处理。在其他实施方式中，t-aa1331将请求转发到v-t-aa335以进行处理。v-t-aa335同意接纳，并且通过向inp1提供aa信息和m&pc要求来通知inp1。其他实施方式可以根据需要例如基于ue的移动性提供对其他inp的授权。再次，可以基于ue的位置和任何后续移动来选择或改变提供服务的实际ap。另外，可以在期望的位置处设置s-gw和mmf功能，所述s-gw和mmf功能连同其他功能一起可以通过虚拟化来提供。可以根据sla在会话期间将监视信息发送到vno。一旦终止，终止信息被发送到vno1。

图9是示出了用于实现上述实施方式的消息流的消息流图。图9还示出了涉及在tcsp的主机中实例化的虚拟化的aaf的实施方式的消息流，这将在下面参照图8进行讨论。该处理开始于vno1310在tcsp310中实例化910v-t-aa335的实例化。tcsp网络中的功能的实例化可以由管理和编排(managementandorchestration,mano)实体如tcspmano333执行。响应于在tcsp提供的核心网络域内实例化虚拟aaf的指令，mano333对新的aaf(v-t-aa335)进行实例化。mano333将v-t-aaa335的实例化的确认发送到请求实体(示出为vno310)。然后，vno310中的实体可以在流905中将aa数据从v-aa311推送到v-t-aa335。如果实现了网络切片，则可以以每个vn切片为基础执行该处理。在操作期间，v-t-aa可以接收另外的aa数据更新。

ue370向ap363发送附着请求。附着请求可选地包括vnid。ap363为请求920选择mmf。如果包括vnoid，则可以使用vnoid来进行对mmf的选择。inp不试图对ue370执行认证，并且将请求转发到所选择的mmf336。如果通过网络切片创建vno310，则mmf336可以是特定的vn切片。mmf336选择负责的aaf，在这种情况下，负责的aaf是v-t-aa335，并且mmf336请求认证和授权。然后，执行aa处理930。虽然aa处理被示出为由v-t-aa335执行，但是mmf336可以向t-aa发送认证请求，t-aa可以将所述认证请求转发到v-t-aa335，或者t-aa可以使用可用于v-t-aa335的数据自身执行认证处理。如关于图8所述，aa处理930可以是如822的认证质询以及nas安全设置824。在对ue370进行认证时，v-t-aa335向mmf336提供认证结果，mmf336可以执行接纳控制检查930。ac930可以由m&pc功能332的t-ac组件或由专用t-ac功能执行。然后，通过ap363向ue370发送对附着请求的响应。本领域技术人员将理解的是，附着响应传输可以包括在与850的as安全设置类似的as安全设置中。

图5示出了选项c。在选项c中，vnoaa数据可以被推送到tcsp和inp中的任一个或者tcsp和inp这两者。aa数据的分布可以通过构造可用的aa数据的子集或者通过具有在由inp1360提供的ran内实例化的aaf来实现。在inp1360中实例化的aaf被示出为v-l-aa367。注意，v-l-aa367被示为圆形，以说明其是vno功能(即使是可以由tcsp330的mano333实例化的vno功能，或者响应于来自mano333的请求而由inp的mano实例化的vno功能)。v-l-aa367可以与ap共处一地。可替选地，v-l-aa367可以位于inp网络中并且连接到一个或更多个ap，但其不在给定的ap内被实例化。应当注意的是，为了便于说明，在图5中未显示mmf336，但是应当理解的是，仍然可以利用这样的功能。

现在将讨论用于具有v-l-aa功能中的aa数据的ue的附着处理。ue1370向与inp1360相关联的ap363发送附着请求。所述请求包括ueid和vno标识符。vno标识符向ap363指示可以在由inp提供的ran内执行对ue的认证。取决于v-l-aa367如何被实例化，ap363将附着请求转发到本地aa361或将附着请求转发到v-l-aa367。用于接入vno的认证和授权在ran中提供。inp1360向tcsp1330通知关于接纳请求，并且提供关于资源可用性的容量信息。tcsp1330确认会话可以被接纳。其余步骤与上面相同。应当理解的是，inp可以接收数据以包括在其aa服务中，或者其可以在接收到附着请求时代表vno对aaf进行实例化。这将产生inp节点(如接入点(例如，enodeb))中或用于实例化本地aa361的同一节点或节点的集合内的v-aa实例。这可以向vn提供对aaf的控制(取决于实例化的性质)，同时在可能的与ue最接近的位置处提供aaf。

图10是示出了根据上述处理的消息流的消息流图。图10还示出了涉及在ap中实例化的虚拟化的aaf的实施方式的消息流。vno310在由inp提供的ran内发送对v-l-aa的实例化的请求。这可以涉及向tcspmano333发送请求。如果mano333可以实例化inp内的功能，则其发送实例化的指令。在图10中，该消息被发送到ap，使得可以在无线电边缘处对v-l-aa进行实例化。在其他实施方式中，tcspmano333可以指示在其他位置处对v-l-aaa进行实例化。在tcspmano333不能直接控制inp域内的功能的实例化的实施方式中，可以将请求转发给inpmano，然后inpmano将进而管理v-l-aa的实例化。如果没有使用nfv，则可以省略此步骤。在步骤1015中，vno310向基于inp的aaf(例如，v-l-aa)提供相关的aa数据。这种数据交换可以通过作为inp与vno之间的普通媒介物的tcsp1330来进行，或者在1010中响应于v-l-aa的实例化，mano可以向vno提供用于实例化的功能的寻址信息以允许直接连接。ue370向ap发送附着请求。附着请求可选地包括vno标识符。ap可以确定可以对ue进行认证的aaf在inpran中。该确定可以与在步骤1020中识别相关tcsp中的mmf同时执行。附着请求被转发到所选择的mmf，并且然后mmf和v-l-aa执行认证和授权处理1030。在成功认证和授权后，可以执行接纳控制1040。成功的附着响应然后被发送回到ue。本领域技术人员将理解，作为处理1030的一部分，可以执行处理822和处理824，针对认证数据请求，mmf336与v-l-aa联系。

如上所述，在一些实施方式中，vno可以通过在tcsp330中实例化定制的虚拟功能来保持对其aa功能和信息的控制。因此，vno1310向tcsp提供定制的aaf(虚拟化的功能：v_t_aa335)，以在其网络中或在云中进行实例化。只要用户需要会话的接纳，就可以使用v_t_aa335。如上所述，也可以在inp1360中对v-l-aa367进行实例化。图7是示出了根据实施方式的使用这样的虚拟化的功能的流程图。在此，v-aa311建立虚拟化的aafv-t-aa335。虚拟化的aafv-t-aa335可以由t-aa331接入(但不被修改)。vno保持修改aa数据和虚拟化的aa功能两者的能力。这对通过非可信的ap提供接入有用。

图11是消息流图，该消息流图示出了与关于上述选项a或选项b的情境2相关的实施方式的示例性消息流。在此，假设vno与tcsp1具有服务协议并且该信息可用于其他tcsp，使得vno可以从其他tcsp获取服务。关于tcsp与vno之间的关联的信息也可以包括在ue附着请求中。此外，在该示例中，tsp2已经为漫游或“基本服务”切片分配了资源以服务于非订购的客户。在这种情况下，ue2372连接到ap344，ap344检查vnid并且将请求发送到与tcsp的“基本服务”切片相关联的tcsp2380的mmf。tcsp2380将会将所述请求识别为涉及tcsp2380没有服务协议的vno。mmf将检查漫游限制并检查tcsp和vno数据库。作为示例，将以其他方式被认证的ue可以在某些地理位置处被拒绝接入或拒绝被特定inp接入。vno可以具有inp的列表，即使所述inp的列表连接到vno与其具有关系的tcsp，vno通过所述inp的列表也不允许流量通过。此外，tcsp可以具有以下inp：无论vno或其他tcsp是谁，所述inp都不进行处理。例如，用于国家安全组的vno可以允许tcsp与除了使用来自被认为不安全的供应商的设备的任何inp以外的inp或tcsp进行即时交涉。这意味着将基于ue正在连接的inp(即使inp与主tcsp具有协议)来拒绝附着请求。mmf然后将请求直接转发到tcsp1330或vno1310。vno310可以拒绝tcsp2或与tcsp2协商以提供所需的服务，并且如果同意，则tcsp2以与先前讨论的情境的方式类似的方式提供服务。vno可以允许tcsp(例如，tcsp1)通过另一个tcsp和inp来布置接入。vno将规定其愿意接受的条件(例如，不能花费多于x)，如果tcsp可以根据那些条件进行协商以处理ue连接即可如此。

根据实施方式，如果未来用户是预期的，则vno310可以协商以具有在tcsp2380或inp3403内的ap处部分地实例化的vno_aa功能，来为后续请求提供更快的响应。在这种情况下，tcsp(或inp)中的mano可以涉及在tcsp2380或inp3340内的ap中对虚拟aa功能进行实例化。

图6是可以用于实现各种网络功能的主机处理系统601的示例性框图。如图6所示，主机601包括处理器610、工作存储器620、非暂态存储装置630、网络接口、i/o接口1240，并且根据节点类型还包括收发器660，它们都经由双向总线670通信地耦接。

根据某些实施方式，可以利用所描绘的元件中的所有元件或者仅所述元件的子集。此外，处理系统601可以包括某些元件的多个实例，如多个处理器、存储器或收发器。此外，在没有双向总线的情况下，主机601的元件可以直接耦接至其他组件。主机601可以形成诸如ap或路由器的网络元件的一部分，其可以形成用于实现网络功能的专用处理系统。因此，主机601可以执行用于实现各种网络功能的机器可执行指令，包括本文中讨论的aa和m&pc功能。

存储器可以包括任何类型的非暂态存储器，如静态随机存取存储器(staticrandomaccessmemory,sram)、动态随机存取存储器(dynamicrandomaccessmemory,dram)、同步dram(synchronousdram,sdram)、只读存储器(read-onlymemory,rom)、这些的任何组合等。大容量存储元件可以包括任何类型的非暂态存储装置，如固态驱动器、硬盘驱动器、磁盘驱动器、光盘驱动器、usb驱动器或被配置成存储数据和机器可执行程序代码的任何计算机程序产品。根据某些实施方式，存储器或大容量存储装置在其上记录能够由处理器执行的用于对上述功能进行实例化并且用于执行上述步骤的语句和指令。

通过对前述实施方式的描述，本公开内容可以通过仅使用硬件或通过使用软件和必要的通用硬件平台来实现。基于这样的理解，本公开内容的技术方案可以以软件产品的形式来实现。软件产品可以存储在可以包括如上所述的装置存储器的非易失性或非暂态存储介质中，或者存储在诸如光盘只读存储器(compactdiskread-onlymemory,cd-rom)、闪速存储器或可移除硬盘的可移除存储器中。软件产品包括使得计算机装置(计算机、服务器或网络装置)能够执行本公开内容的实施方式中提供的方法的许多指令。例如，这样的执行可以与如本文中描述的逻辑操作的模拟对应。软件产品可以另外地或可替选地包括许多指令，所述指令使得计算机装置能够执行根据本公开内容的实施方式的用于配置或编程数字逻辑设备的操作。

虽然已经参照具体特征及其实施方式对本发明进行了描述，但是明显的是，可以在不脱离本发明的情况下对其进行各种修改和组合。因此，说明书和附图被简单地视为如由所附权利要求限定的本发明的说明，并且被设想为覆盖落在本发明的范围内的任何和所有修改、变型、组合或等同物。