网络中个体会话的准入的制作方法

相关申请的交叉引用

本申请要求2015年6月1日提交的美国临时申请序列第62/169,460号以及2016年5月31日提交的美国非临时专利申请序列第15/169,097号的优先权，两者的内容通过引用并入本文。

本公开内容涉及使用户会话准入到网络的过程。

背景技术：

在包括第三代(3^rdgeneration，3g)网络和第四代(4^thgeneration，4g)网络的移动网络中，例如符合长期演进(longtermevolution，lte)标准的那些网络，网络运营商通过利用使得能够进行各种不同网络服务的网络功能为终端用户提供服务并且拥有在其上可以运行网络的物理基础设施。由于运营商拥有网络接入基础设施，所以当用户设备(userequipment，ue)附接至网络时，能够执行认证授权和计费(authenticationauthorizationandaccounting，aaa)过程。

移动虚拟网络运营商(mobilevirtualnetworkoperator，mvno)利用由网络运营商(也被称为服务提供商)提供的网络服务以及网络运营商所拥有的基础设施向订户提供服务。通常，mvno向网络运营商提供aaa信息，使得当ue附接至网络接入点时，可以对mvno客户进行身份认证并授权接入。一些mvno与不止一个服务提供商有关系。这允许mvno利用多个提供商的覆盖图。mvno能够创建较广泛的其中服务提供商图不交叠的覆盖区，并且允许在服务区交叠的位置较深地覆盖。网络运营商处理与mvno相关联的流量的方式通常由服务级别协议(servicelevelagreement，sla)来管理。

随着包括所谓的第五代(fifthgeneration，5g)网络的下一代网络的设计的演进，越来越清楚的是，在利用来自包括网络功能虚拟化(networkfunctionsvirtualization，nfv)的其他网络领域的资源共享技术方面存在兴趣，其可以由管理和协调架构框架(managementandorchestrationarchitecturalframework，mano)管理以使得服务提供商(serviceprovider，sp)能够向客户提供虚拟网络(virtualnetwork，vn)。通过利用虚拟化的基础设施，可以定制所提供的vn以满足客户的需求。

这些vn可以使得ue能够附接至由sp所拥有的物理基础设施。因为ue不可能总是处于由与vn具有某种协议的sp所服务的区域中，所以对sp的需求可能会上升以使得在sp不具有aaa数据情况下使ue准入。

技术实现要素：

本公开内容的一个方面提供了一种使移动设备接入网络资源的方法。这种方法包括在认证和授权功能(authenticationandauthorizationfunction，aaf)处，从无线电接入网(radioaccessnetwork，ran)设备接收移动设备接入的请求。这种方法包括响应于未能授权接入多个虚拟网络中的任何一个，在aaf处授权移动设备接入有限接入服务。在一些实施方式中，该方法可以包括在aaf处对移动设备进行认证。在一些实施方式中，多个虚拟网络通过均连接至ran的多个核心网络建立。在一些实施方式中，ran连接至核心网络，并且通过核心网络建立多个虚拟网络。在一些实施方式中，该方法由ran网的aaf执行。在一些实施方式中，该方法还可以包括从移动设备接收优选的虚拟网络的指示。在一些实施方式中，该方法还可以包括向移动设备发送虚拟网络的列表。在一些实施方式中，该方法由核心网络的aaf执行。在一些实施方式中，多个虚拟网络通过网络架构建立。这样的网络架构可以包括：用于提供ran基础设施的基础设施提供商(infrastructureprovider，inp)；以及多个电信连接服务提供商(telecommunicationsconnectivityserviceprovider，tcsp)，其中，每个tcsp与至少一个虚拟网络运营商(virtualnetworkoperator，vno)相关联，其中，vno利用由tcsp建立的虚拟网络向订阅客户提供虚拟网络服务。可替选地，这样的网络架构可以包括inp、tcsp和多个vno，其中所述vno中的每个vno利用由tcsp建立的虚拟网络向订阅客户提供虚拟网络服务。在一些实施方式中，认证包括从可以是第三方服务器的不同实体请求和/或接收认证。在一些实施方式中，授权移动设备接入有限接入服务包括请求授权移动设备接入有限接入。在一些实施方式中，请求授权移动设备接入有限接入服务包括向第三方服务器发送请求。在一些实施方式中，该方法还包括：响应于所述请求为应急接入服务的请求，授权接入应急接入服务；并且其中，所述有限接入服务是非应急有限接入服务。

本公开内容的另一方面提供了一种在网络构架中授权ran中的移动设备接入网络资源的方法，所述网络构架包括具有第一管理域的ran和利用具有第二管理域的核心网络实现的vn。这种方法包括在aaf处，接收移动设备接入的请求。这种方法还包括响应于未能授权接入vn，在aaf处，授权移动设备接入由具有第二管理域的核心网络提供的有限接入服务。在一些实施方式中，这种方法还包括在aaf处对移动设备进行认证。在一些实施方式中，认证包括从可以是第三方服务器的不同实体请求和/或接收认证。在一些实施方式中，该方法由ran的aaf执行。在一些实施方式中，响应于未能授权接入vn，授权移动设备接入有限接入服务包括向核心网络的aaf发送请求，以及从核心网络的aaf功能接收回复。在一些实施方式中，该方法由核心网络的认证和授权功能(authenticationandauthorizationfunction，aaf)执行。在一些实施方式中，响应于未能授权接入vn，授权移动设备接入有限接入服务包括：未能根据aaf的订户数据库授权移动设备进行网络接入；根据黑名单授权功能请求授权；以及向ran发送授权消息。

本公开内容的另一方面提供了一种经由tcsp提供第三方提供的服务的方法，该方法由第三方服务器执行。这种方法包括在没有订阅与所述tcsp相关联的网络的情况下，代表用户从tcsp接收会话的请求。这种方法还包括对用户进行授权。这种方法还包括向tcsp发送授权响应以及提供第三方服务。在一些实施方式中，该方法还包括向tcsp发送指示第三方同意支付连接费用的消息。在一些实施方式中，该方法还包括与tcsp协商关于会话的特定连接参数。

本公开内容的另一方面提供了一种节点，其包括：处理器；以及存储用于实现认证和授权功能(authenticationandauthorizationfunction，aaf)的机器可执行指令的机器可读存储器。机器可读存储器包括使得aaf从无线电接入网(radioaccessnetwork，ran)设备接收关于移动设备的接入请求的指令。所述指令还使得aaf响应于未能授权接入多个虚拟网络中的任何一个，授权移动设备接入有限接入服务。在一些实施方式中，所述指令还使得aaf对移动设备进行认证。在一些实施方式中，所述指令还使得aaf实现本文所描述的其他方法步骤。

本公开内容的另一方面提供了一种在网络中使用的节点，该网络包括具有第一管理域的ran和利用具有第二管理域的核心网络实施的vn。这样的节点包括：处理器；以及存储用于实现aaf的机器可执行指令的机器可读存储器。机器可读存储器包括使得aaf接收移动设备接入的请求的指令。所述指令还使得aaf响应于未能授权接入vn，授权移动设备接入由具有第二管理域的核心网络提供的有限接入服务。在一些实施方式中，所述指令还使得aaf对移动设备进行认证。在一些实施方式中，所述指令还使得aaf实现本文所描述的其他方法步骤。

本公开内容的另一方面提供了一种用于在基础设施提供商网络中的节点处进行会话准入的方法。该方法包括：从与网络不相关联的用户设备接收连接请求，其中，基础设施提供商网络与所述网络相关联；以及从用户设备获得与基础设施提供商网络相关联的服务提供商的身份。然后从所识别的服务提供商请求接入授权。

实施方式使得这样的过程能够提供政府授权的免费接入，或者使得某些其他服务提供商为该服务付费。

根据以下结合仅作为示例而描述的附图的详细描述，本发明的前述和其他目的、特征、方面和优点将变得更加明显。

附图说明

为了更完全地理解本公开内容，现在参考以下结合附图进行的简要描述，以及通过非限制性示例示出和描述的实施方式的详细描述，其中相同的附图标记表示相同的部件。

图1是示出可能的网络结构的框图。

图2示出了根据实施方式的网络架构。

图3示出了根据实施方式的呼叫流程。

图4示出了根据另一实施方式的呼叫流程。

图5示出了根据另一实施方式的呼叫流程。

图6示出了根据另一实施方式的呼叫流程。

图7示出了根据另一实施方式的呼叫流程。

图8示出了根据另一实施方式的呼叫流程。

图9示出了根据另一实施方式的呼叫流程。

图10是示出根据一种实施方式的方法的流程图。

图11是示出根据另一实施方式的方法的流程图。

图12是示出根据另一实施方式的方法的流程图。

图13示出了根据实施方式的可以用作上述呼叫流程中的节点的计算平台的框图。

具体实施方式

在当前的移动网络中，任何可以附接至网络的设备被提供有接入应急服务(例如911或112)的能力。在将来的网络架构中，可以提供接入非应急数据服务的设备。这些服务可能在范围上受到限制，但可以由除了拥有网络接入点(accesspoint，ap)和其他基础设施之外的实体提供。在一个示例性实施方式中，可以向没有订阅的ue提供互联网有限接入以使得用户能够从vno获取服务。在其他实施方式中，可以向用户提供对通过与内容供应商的协议可获得的有限种类的内容的接入。

此外，可能需要提供非应急服务。可能需要使得待被提供的ue在没有订阅的情况下接入一组数据服务。本公开内容的各个方面提供了使得网络能够在相应用户没有订阅的位置处进行会话准入的方法和系统。

将在提供没有订阅会话准入机制的细节之前讨论示例性网络。在当前的网络架构中，服务提供商是单个实体，其利用所拥有(或具有长期租赁协议)的基础设施向终端用户群提供电信服务。图1是示出其中基础设施的所有权和管理、电信服务的提供以及面向客户的角色被去耦(decouple)的网络架构的图。这种去耦中的一些或全部可能存在于下一代网络中。在所示的架构中，不同的功能角色中的每一个可以由不同的实体来服务。在某些情况下，单个实体可以在不止一个功能角色中发挥作用。一个这样的实体是虚拟网络运营商(virtualnetworkoperator，vno)，其向客户(例如ue)提供移动网络接入。vno可以可替选地被称为mvno。另一实体是基础设施提供商(infrastructureprovider，inp)，其拥有网络基础设施，例如用于提供网络接入的网络接入点(例如，基站、enodeb，wifiap等)、计算和存储资源(例如，由数据中心提供的资源)、以及包括有线和无线回程连接的其他连接资源。另一实体是电信连接服务提供商(telecommunicationsconnectivityserviceprovider，tcsp)，其汇集资源以向vno的客户提供电信服务。tcsp可以可替选地被称为网络运营商(networkoperator，no)。

在图1所示的架构中，两个inp——inp1130和inp2135提供网络接入基础设施。inp1130具有覆盖区140，并且inp2135具有覆盖区145。每个inp具有例如接入点(accesspoint，ap)的网络接入基础设施，其中与inp2135相关联的ap为黑色，并且与inp1130相关联的ap为白色。tcspa150获得inp1130和inp2135的连接资源的一部分。在一些实施方式中，inp将利用网络切片(networkslicing)来提供tcsp，该tcsp具有tcsp可以不同程度地控制的一组虚拟化的接入资源。tcspa150利用从inp1130和inp2135获得的连接资源，与可以在其他网络资源之上提供的其他功能一起，为各种vno(也被称为虚拟网络客户(virtualnetworkcustomer，vnc))提供连接服务。第一vno和第二vno(vno1110和vno2115)从tcspa150获取网络服务，以便为其相应的终端用户群提供服务。每个vno110、115具有其自己的终端用户群，每个终端用户群分别被集体地指定为客户1120和客户2125。其他实施方式可以包括另外的tcsp，例如tcspb160和tcspc155，tcspa150可以利用所述另外的tcsp以提供端到端的通信路径。此外，本领域普通技术人员将理解，inp130、135与vno110、115之间不存在一一对应关系，虽然事实上附图示出了每个对象均是两个也是如此。可以支持任意数目的inp和vno。

终端用户群可以通过非限制性示例的方式包括与以下中的一者或更多者相关联的装置：安防公司、传感器公司(sensorcompany)、警察局、消防局、电子健康监测服务及其任意组合。这些客户群中的每一个都可以与针对关于他们的用户/设备的虚拟网络(virtualnetwork，vn)服务的特定vno签约。可替选地，vno110、115可以简单地为订阅其服务的个体客户提供服务。

每个vno可以被认为是tcsp的资源的消费者。在一些实施方式中，虚拟网络所需的资源可以取决于虚拟网络的类型和功能。

在向vno提供服务时，服务提供商(例如，tcsp)可以引入另外的inp，使得其可以向sla所需的vno提供服务。在一种情况下，可以引入另外的inp来扩展vno可利用的覆盖区。在另一情况下，可以引入另外的inp来增强在频繁使用的区域中的覆盖。tcsp可以集合多个inp的资源以创建包括连接资源以及计算和存储资源的网络。tcsp使用多个inp对于vno不可见。

在这样的去耦架构中，不同的实体操作不同的管理域。对于图1所示的示例，每个vno、tcsp和inp都操作其自己的管理域。

在这样的网络架构中，vno包括用于向客户销售服务的面向客户的功能，客户可以是团体订户或个体订户。tcsp向vno提供用于支持vno客户的连接服务。在一些实施方式中，tcsp以使得vno看起来好像具有其自己的虚拟网络一样的方式分配服务。在一些实施方式中，tcsp为每个vno提供单独的网络切片。这使得关于每个vno的流量能够与其他vno的流量隔离。在一些实施方式中，tcsp还可以运作为基础设施提供商(infrastructureprovider，inp)(但是在这样的情况下，基础设施资源可以专用于该tcsp并且不可用于其他tcsp)。

即使在tcsp已经接入了其自己的inp的资源的情况下，其接入其他inp的资源也会对其有益。在一个示例中，inp可以是办公楼的所有者。在办公楼中，可以部署也被称为lte环境中的小基站或微微基站的一系列网络接入点。代替每个tcsp部署自己的一组接入点，inp可以使其接入网可用于多个不同的tcsp。拥有自己的基础架构的tcsp仍然可以受益于接入inp的资源，使得其在办公楼中可以具有较好的网络覆盖。在其他情况下，地铁运营商可以创建自己的inp以销售对在站点与地铁隧道中部署的ap的接入，从而创建可以在常规移动网络部署经常服务不佳的区域中提供覆盖的网络。

如上所述，tcsp也可以运作为inp。类似地，tcsp可以运作为vno。vno可能具有由tcsp专门限定的服务区，但是tcsp的操作也将使得在tcsp资源之上能够接入其他vn。

分配给特定vn的资源可以被静态地分配，或者它们可以以动态方式与需求一起变化。可以利用硬切片或软切片分配底层物理资源，使得底层物理资源可以相应地静态提交或者动态提交。

网络切片是使得资源池的一部分(基础设施和网络功能两者)能够被组合成具有至少有限量的网络控制和流量隔离的子网络的一种网络管理技术。可以在一组资源(无论是物理的还是虚拟的)上创建单个网络切片。每个网络切片可以运作为基本隔离的网络。可以定制每个网络切片的功能和操作参数。将资源分配给切片。可以增加或减少所分配的资源，这使得能够修改切片的地理范围，并且使得分配给特定位置的切片的资源也能够改变。网络切片的配置可以基于软件定义网络(softwaredefinednetworking，sdn)并且由sdn控制器执行。切片内的管理平面可以利用标准化的网络协作功能与其他切片或者与控制切片管理和配置的控制器进行通信。在切片内，可以利用网络功能虚拟化来创建切片内所需的网络功能。这些虚拟网络功能(virtualnetworkfunction，vnf)然后可以通过使用逻辑链路在切片内相互连接。通过改变逻辑链路或分配给vnf的资源的特性，可以适应网络的动态需求。对于切片内的任何实体或者在切片内流动的流量，切片是与物理网络无法区分的完整网络。

在3g/4g网络中，规定允许没有订阅网络的设备接入应急服务，对确保未来网络具有为没有订阅的设备提供至少有限的接入的能力的兴趣增加。在某些情况下，可能存在监管需求，以向非订阅设备提供对某些数据服务(例如，识别为基本服务的服务，例如接入基于数据的应急服务和其他应急警报)以及可能受益于提供有限的接入权限的商业机会的接入。在某些情况下，可以向例如在没有订阅的情况下连接的ue之类的移动设备提供有限的数据接入，使得移动设备可以注册服务。在另一种情况下，可以实现接入特定内容提供商。在允许接入特定内容提供商的情况下，内容提供商可能已经被布置成为网络资源的使用付费，使得移动设备用户能够为内容付费。类似地，搜索引擎或一些其他服务可以针对接入没有订阅的ue来协商。作为另一示例，对于具有先前已经与tcsp协商的较早的通常用于一次准入的单会话准入(singlesessionadmission，ssa)的设备，可以允许按需单会话准入(ssa)。

基本服务也可以被称为基本接入服务(basicaccessservice，bas)或有限接入服务。将描述向对网络具有有限接入的ue提供bas。对网络的有限接入可能需要仅限于一组服务或站点的接入，并且可能进一步需要限制传输的数据的量(如数据速率上限或传输的数据的量的上限)。实施方式包括提供对非应急有限接入服务的接入。

在关于没有订阅的ue的会话准入的讨论中，参照图1应当理解的是，ue将订阅vno，但将连接至inp。inp和vno均与tcsp有关系，但可能彼此不相关联。inp通过其将确定ue已经订阅(与tcsp相关联的vno，所述tcsp也与inp相关联)的机制经受共同未决的申请。不被inp识别为与vno相关联的ue被分类为没有订阅的ue。这种指定可以包括不具有对任何网络的订阅或者不具有对相关联网络的订阅的ue。

图2示出了根据实施方式的网络架构。图2的网络架构类似于图1的网络架构。例如inp1260和inp2250之类的基础设施提供商(infrastructureprovider，inp)包括接入点(未示出)并且为无线电网络接入提供资源。电信连接服务提供商(telecomconnectivityserviceprovider，tcsp)230在从inp获得的物理资源之上提供服务。tcsp向vno提供这些服务，以使得移动网络服务能够被提供给终端用户。

认证、授权和计费(authentication,authorizationandaccounting，aaa)服务器是本领域已知的，并且它们提供的服务已经由3gpp限定。认证是证实与ue相关联的身份信息的过程，以确保ue是被表示为是的设备。授权是确定ue是否具有对资源的接入权限的过程。在本文讨论的一些实施方式中，可以利用授权来确认用户/设备未被阻止(列入黑名单)接入网络资源(例如，针对先前的滥用行为)。可以利用授权来确定ue是否可以用于接入特定网络切片的一些或全部资源。计费涉及用于向关于服务的实体收费的过程。

将参考认证和授权功能(authenticationandauthorizationfunction，aaf)来讨论实施方式。aaf将被本领域技术人员理解为提供认证和授权(authorizationandauthorization，aa)服务，例如将由3gpp兼容aaa功能提供的服务。从aaf中省略计费功能不应该被理解为不存在需求，而是应该理解为可以在其他地方提供计费功能，但是在aaf中可以提供计费功能。在3gppaaa功能将认证视为确定显示标识符的设备是与标识符相关联的设备(所述设备是所要求保护的设备)的情况下，应当理解的是，在aa功能的一些实施方式中，认证可能涉及用户认证代替ue的认证。

tcsp230还可以包括被配置成为tcsp230(为其本身或代表vn)提供aa服务的aaftcsp-aa231。此外，每个inp可以包括用于向相应的inp(inp1250和inp2260)提供aa服务的其自己的本地aaf251、261。tcsp可以以不同的方式向主管的vn提供aa服务。在第一实施方式中，vn能够使用虚拟aa模板，使得vno可以使aaf实例化，使得其具有对aa功能的完全控制。由于vno与ue通过其连接的不同的inp不直接相关联，因此所有的aa请求将从inp发送至tcsp，然后发送至vno。为了减少涉及的一些延迟，tcsp可以创建自己的aa功能。这些功能可以用于缓存来自各种vno的aa信息。这将允许tcsp主管的aaf通过提供可以提供aa服务的中间位置来减少在inp与vnoaa功能之间流动的流量。根据某些协议，tcsp也可以将aa信息推送到由inp操作的网络中的aa实例，或者推送到在接入节点中的inp实例化的aa功能。通常，由inp中的aa实例所主管的aa信息与已经被该inp认证一次的ue相关联。

除了aa之外，监测和策略控制(monitoringandpolicycontrol，m&pc)功能例如流量监测(monitoring，m)和策略控制(policycontrol，pc)也可以通过inp和tcsp两者实例化。例如，inp1260被示为包括m&pc功能262，并且tcsp230被示为包括m&pc功能232。m&pc还可以包括准入控制(admissioncontrol，ac)和流量控制(trafficcontrol，tc)功能。这些功能可以由可以位于不同的管理域中的不同的实体来分离和管理。aa功能可以被再分为在一些实施方式中由不存在于同一管理域内的功能执行的授权、认证和计费中的每一个。通过使得每个aa功能能够以不同的vnf执行，每个aa功能可以被单独控制并且被移动到不同的物理位置，或者被移动到网络中的不同管理域。当ue附接至ap时，ap可以执行准入检查，其可以包括认证、授权和准入控制过程。这些过程不一定由同一功能执行。准入控制过程使得网络实体能够在使ue准入之前确定存在足够的可用网络资源。在ue发起连接请求时，ue可以被认证和授权，但会话可能会由于缺少可用资源而被拒绝。

在一些实施方式中，tcsp可以针对基本服务分配资源池，并且准入控制可以基于这样的资源池的剩余容量来限制会话。在其他实施方式中，tcsp可以建立基本服务切片，并且准入控制可以取决于这样的基本服务切片的剩余容量。

如图2所示，tcsp230和inp1260分别包括m&pc功能232和m&pc功能262的实例。m&pc功能在inp中可以不被实例化，并且在这样的情况下，tcsp负责m&pc功能。这一点通过不具有m&pc功能的inp2示出。通过将m&pc责任委托给inp1260中的m&pc功能实例，tcsp230能够在inp级别监测流量并且执行策略，从而尽可能接近源地限制过剩的流量。本领域技术人员将理解的是，m&pc262可以执行由m&pc232执行的功能的子集。

当ue附接至ap时，连接至网络元件的是inp的一部分。ap可以接入可以执行aaa功能中的一些或全部的本地aa功能。如果本地aa功能无法认证或拒绝认证请求，则aa请求可以从本地aa转发到tcsp主管的aa服务。如果tcsp主管的aa服务可以认证ue或拒绝认证请求，则它可以向inp提供aa响应，并且可以接受或拒绝ue连接请求。如果tcsp确定ue与特定vno相关联，并且tcsp不能保证它已经拥有了关于vno的最新的aa信息，则可以将该请求传递给vno。从inp中的节点的角度来看，tcsp将提供认证或者指示认证失败。inp不需要为其本身考虑tcsp是否已经与vno关联。当inp和tcsp都不能获得认证或授权时，ue被认为是没有订阅的ue。代替ue不被授权网络接入的简单地拒绝，在某些情况下，提供基本接入服务可能是有益的(或者甚至是必需的)。

现在将参照图2简单地讨论在其中ue与inp或tcsp不相关联的位置处(例如ue不能被授权接入与和inp相关联的任何tcsp相关联的vno)通过inp使个体会话准入。在这种情况下，tcsp230与inp(例如，inp1260或inp2250)具有现有关系。作为发送的连接请求的一部分，ue提供的凭证被提供给ap。这些凭证被aa功能使用。如上所述，没有订阅的ue的凭证将导致授权失败。

当没有订阅的ue尝试连接时，将不能从标准aaa过程获得授权。如果ue被设置成接入某些资源(例如，包括接入允许ue选择订阅的切片的有限数据接入，或者包括接入一组受限服务的有限数据接入)，则可能需要执行某种授权过程，以避免可能的滥用行为。图2还示出了可被tcsp230利用以确保ue272被授权接入有限服务的第三方aa服务器221。作为接入有限服务的前提条件，授权考虑ue先前没有被识别为具有滥用行为的认证。用于执行轻量级授权过程的一种机制是使用所谓的关于有限服务的黑名单。黑名单可以用于追踪先前从事滥用行为(例如，违反服务条款或参与拒绝服务攻击等)的ue或可能与先前从事滥用行为(例如，违反服务条款或参与拒绝服务攻击等)的用户相关联的身份信息。图2还示出了与第三方服务220通信的tcsp230。这种第三方服务270可以与第三方aa服务器221相关联，并且在一些实施方式中这种第三方服务270可以是用于tcsp230接入第三方aa221的唯一途径。第三方服务220可以表示在利用第三方aa221进行认证时提供给ue272的有限接入服务。应当理解的是，接入第三方服务220可能需要授权检查和准入控制过程来确定存在足够的资源来支持连接。例如，如果inp或tcsp具有超过阈值的流量负载，则ue连接请求将被拒绝。

有限接入服务例如接入第三方服务220可以在tcsp网络的不同的网络切片内实现。用于授权ue272接入第三方服务220的aa过程可以包括关于ue发送具有切片特定标识符的附接请求的指令。

在第三方服务220内提供的服务可以因实施方式而异。在一些实施方式中，可以提供政府授权的服务。可以由政府授权的服务的一些示例可以包括接入应急服务、交通警报、天气警告等。在其他实施方式中，第三方服务可以由例如内容提供商、例如流视频提供商，以及其他线上服务等的实体提供。来自内容提供商的内容可能导致对其中被可能被内容提供商覆盖范围的收费。可以支持任意数目的其他服务。

图3是示出用于执行上述一些功能的ue302、存在于inp网络308内的ap304和inpaaf306以及tcspaaf310的交互300的呼叫流程图。在这个示例中，假设inp308不能保证其aaf功能306的内容是tcspaaf310的内容的完整镜像，并且inp308仅服务于单个tcsp。ue302向ap304发送连接消息320。连接消息可以包括允许执行认证和授权功能中至少之一的aa凭证。ap304向本地inpaaf306发送aa请求332。inpaaf306执行aa进程324。aa进程324的认证组件可以被成功地执行，但授权组件失败。下面将参照图7来讨论在没有认证凭证的情况下如何执行进程324的细节。因为inpaaf306不能获得ue302接入网络资源的授权，所以inpaaf306将aa请求326发送至tcspaaf310。aa请求326可以简单地是aa请求322的转发。在步骤328中，tcsp-aaf310能够认证ue302，但是不能获得授权或者不能识别与ue302相关联的vno。作为授权失败的结果，tcsp-aaf310在步骤330中执行基于黑名单的授权。如参照图2所描述的，这可以由tcsp网络中(在tcsp-aaf310的请求处)其他地方的tcsp-aaf执行或由第三方aaa功能执行。基于黑名单的授权用于识别具有滥用行为的过去史的ue。如果ue302没有这样的历史，则被授权接入基本服务。tcsp-aaf310向inpaaf306发送授权消息332。该消息332可以指定授权接入基本服务(或者视情况而定的第三方服务)。如果通过特定网络切片提供基本服务，则切片标识符可以被包括在消息332中。inpaaf306向ap304发送aa响应334。aa响应334可以可选地包括切片标识符。然后ap304可以发送附接响应336，附接响应336可以包括切片标识符。附接响应336可以指示ue302连接至特定切片。如果是这种情况，则执行切片附接进程338，其中ue302发送指定所提供的切片标识符的附接请求340。ap304发送授权接入与指定切片相关联的资源的aa请求342。本地aa进程334提供授权的确认。inpaaf306向ap304发送aa授权，ap304进而向ue203提供附接响应348。

图4示出了关于与图3的场景类似但是其中inp308不具有aa功能但仍然与单个tcsp相关联的场景的呼叫流程。如图3所示，ue302发送包括aa凭证的连接请求320。ap304向tcspaaf310发送aa请求352。在一些实施方式中，aa请求352可以通过其他节点进行中继。响应于aa请求352的接收，tcsp-aaf310执行步骤328和330，如图3所示。向ap304发送aa响应354。在接收到aa响应354时，ap304如上所述发送附接响应336。如果需要，ue发送附接请求340以启动切片附接进程。

图5示出了关于其中inp308具有完整的aa数据库的情况的呼叫流程。如前所述，ue302发送连接请求320，并且ap304发送aa请求332。然后inpaaf306执行其本地aa进程358，并且未能授权ue或者未能识别可能与ue相关联的vno。如果多个tcsp连接至inp，则inp308将不知道将哪个tcsp连接至ue302。然后inpaaf306向ue302发送tcsp列表360。消息360可以被划分为inpaaf306与ap304之间的消息360a以及ap304与ue302之间的消息360b。ue将所选择的tcsp的指示作为tcsp选择362发送回inpaaf306，tcsp选择362可以被划分为被发送至ap304的消息362a以及通过ap304转发到inpaaa306的362b。如果存在仅一个可利用的tcsp，则不需要消息360和362(类似地，如果inp默认，则不需要tcsp选择360和362)。inpaaf306向在所选(或默认)tcsp中的tcspaaf310发送用于获得有限服务的授权的请求364。因为ue302已被认证但未被授权，并且inpaaf306具有完整记录，所以tcspaaf310可以如上所述直接进行到步骤330。如上所述发送消息332、334和336。

图6示出了关于涉及不保证inp308具有完整的aa数据库的inp308，并且其中inp308与多个tcsp相关联的过程的呼叫流程。与上述呼叫流程一样，发送消息320和322。因为inpaaf308不能确定认证324，没有完整的数据，并且与多个不同的tcsp一起使用，因此向每个tcsp中的aa服务器发送aa请求326。因此，向tcsp1aaf310发送aa请求3261；向tcsp2aaf312发送aa请求3262；以及向tcsp3aaf314发送aa请求2363。每个tcspaaf310、312和314将执行aa进程328，并且在确定ue302在进程328中不能被授权接入时，执行黑名单认证进程330。假设ue302未被列入黑名单，则每个tcspaaf310、312、314向inpaaf306发送提供基本服务授权的消息332。inpaaf306可以向ue302提供tcsp列表360。该列表可以包括通过每个tcsp可获得服务的指示(应当注意，如在上述呼叫流程中，授权消息332可以包括切片标识符)。如果tcsp具有要提供的多个不同的基本/第三方服务，则每个tcspaaf310312314可以包括多个不同的切片标识符。然后ue302可以发送tcsp选择362。该选择可以包括选择tcsp，并且如果存在与tcsp相关联的多个切片，则还包括选择所选择的切片。然后如上所述发送aa响应334和附接响应336。

图7示出了由第三方370执行认证的呼叫流程。这种第三方认证过程可以与第三方授权结合，或者可以与上面讨论的授权选项一起使用。ue302通过无线电接入网连接向接入点ap304发送没有认证凭证的连接消息372。由于消息372没有认证凭证，所以ue302不能与接入资源的任何授权相关联。向inpaaf306发送aa请求374。没有认证凭证，本地aa进程324不能认证ue302，并且aa请求376被发送至tcspaaf310。再次，aa进程378不能对ue302进行认证。结果，tcspaaf310向第三方370发送认证请求380。第三方370和ue302参与认证过程。该过程可以包括指示ue302连接至用于该过程的特定切片，或者可以以任意数目的不同方式来执行，这对本领域技术人员是明显的。认证进程382还可以可选地包括获得为服务付费的授权或服务升级。在进程382完成时，第三方370向tcspaaf310发送认证响应384，然后tcspaaf310向inpaaf306发送授权消息386。消息334和336如上所述进行交换。将很好地理解的是，在任何先前的呼叫流程中，可以利用该过程来解决无法认证ue302的问题。在一个可替选的实施方式中，ap304或inpaaf306可以确定连接请求372不具有凭证，并且因此可以绕过中间节点来获得用户认证信息。应当注意的是，在接收到消息384之后，tcspaaf310可以执行进程328和330中的一个或两个进程。在所述一个或两个进程之后，tcspaaf310可以发送授权消息386。

图8示出了其中ue302发送具有一组第三方凭证的连接请求390的可替选过程388。这些凭证可以包括第三方370的身份。向inpaaf306发送aa请求374。因为inpaaf306可以识别第三方凭证，所以已知的是它不能对ue进行认证。因此，inpaaf306可以转发aa请求376而不需要执行aa进程324。类似地，tcspaaf310不一定需要执行aa进程378，并且可以将包括凭证的认证请求392直接转发到第三方370。在基于提供的凭证认证用户(或用户设备)时，第三方370可以发送认证响应384。如上所述，发送消息386、334和336。

图9示出了类似于图7的过程368的过程394。如上所述执行消息和进程372、374、324、376和378。tcspaaf310需要确定哪个第三方370将被用于用户/ue认证。在进程396中，tcspaaf310从ue302获得所选择的第三方的指示。这可以通过向ue302发送可利用的第三方列表并等待选择来实现，或者ue302可以发送可以提供认证的第三方指示，从而允许tcspaaf310从列表中进行选择。如本领域技术人员将会很好理解的，可以支持其他变型。提供这两个选项，而非穷举，这是因为列出所有其他这样的选项是不实际的。在396中获得所选择的第三方的指示时，可以如上所述地执行消息和进程380、382、384、386、336和336。

图10是示出根据一种实施方式的使移动设备接入网络资源的方法的流程图。这种方法包括在认证和授权功能(authenticationandauthorizationfunction，aaf)处，接收移动设备接入的请求510。这样的方法包括在步骤530处，响应于未能授权接入多个虚拟网络中的任何一个，在aaf处授权移动设备接入有限接入服务。在一些实施方式中，该方法可以包括步骤520，在aaf处对移动设备进行认证。步骤520以虚线示出，这是因为由于步骤520可以由不同的实体执行而是可选的。在一些实施方式中，认证520包括从可以是第三方服务器的不同实体请求和/或接收认证。

图11是示出根据另一实施方式的在网络构架中授权在ran中的移动设备接入网络资源的方法的流程图，所述网络构架包括具有第一管理域的ran和利用具有第二管理域的核心网络实现的vn。这种方法由aaf执行。该方法包括接收移动设备接入的请求610。这种方法还包括步骤630，响应于未能授权接入vn，授权移动设备接入由具有第二管理域的核心网络提供的有限接入服务。在一些实施方式中，该方法可以包括在步骤620处，对移动设备进行认证。步骤620以虚线示出，这是因为步骤620可以由不同的实体执行而是可选的。在一些实施方式中，认证620包括从可以是第三方服务器的不同实体请求和/或接收认证。

图12是示出经由tcsp提供第三方提供的服务的方法的流程图，该方法由根据另一实施方式的第三方服务器执行。这种方法包括在步骤710处，在没有订阅与tcsp相关联的网络的情况下，代表用户从tcsp接收会话的请求。这种方法还包括在步骤720处对用户进行授权。这种方法还包括在步骤730处向tcsp发送授权响应，并且在步骤740处提供第三方服务。

图13示出了可以用作上述呼叫流程中的节点的计算平台的框图。节点400包括可以执行存储在存储器404中的指令以执行上述过程的处理器402。可以通过网络接口406与其他节点进行通信。如果需要不同的网络接口，也可以采用可选的第二网络接口408。本领域技术人员将理解，在虚拟化环境中，多个离散处理器可以一起工作以执行存储在可共同存取的存储器中的一组指令。在虚拟化环境中，如果正在通信的节点存在于相同的处理系统中，则网络接口406和408可以不是物理接口，但是可以将与其他节点的通信发送至将利用物理接口与其他节点进行通信的虚拟接口。

通过对前述实施方式的描述，本发明可以通过仅利用硬件或者通过利用软件和必要的通用硬件平台来实现。基于这样的理解，本发明的技术方案可以体现为软件产品的形式。软件产品可以存储在非易失性或非暂时性的存储介质中，其可以是rom、ram、闪存、光盘只读存储器(compactdiskread-onlymemory，cd-rom)、usb闪存盘、可移动硬盘等。软件产品包括使处理器执行本发明的实施方式中提供的方法的许多指令。

虽然已经参考具体特征和实施方式对本发明进行了描述，但明显的是，在不脱离本发明的情况下可对其进行各种修改和组合。因此，说明书和附图被简单地视为对由所附权利要求限定的本发明的说明，并且被预期为覆盖落在本发明的范围内的任何和所有修改、变化、组合或等同内容。