通过中继用户设备认证用户设备的制作方法

背景技术：

诸如计算机、手持式设备、车辆、电器或其他类型的设备等设备可以通过有线或无线网络进行通信。无线网络可以包括无线局域网(wlan)，wlan包括设备可以无线地连接到的无线接入点(ap)。其他类型的无线网络包括蜂窝网络，该蜂窝网络包括设备可以无线地连接到的无线接入网络节点。

附图说明

关于以下附图描述本公开的一些实现。

图1是根据一些示例的远程用户设备(ue)的过程的流程图。

图2是根据另外的示例的各种节点之间的交互的消息流程图。

图3是根据本公开的第一实现的各种节点之间的交互的消息流程图。

图4是根据本公开的第二实现的各种节点之间的交互的消息流程图。

图5是根据本公开的第一实现的在其中使用oauth的各种节点之间的交互的消息流程图。

图6是根据本公开的第一实现的中继ue与网络节点之间的交互的消息流程图。

图7是根据本公开的第二实现的第一选项的各种节点之间的交互的消息流程图。

图8是根据一些示例的各种节点中的协议栈的框图。

图9是根据本公开的第二实现的第二选项的各种节点之间的交互的消息流程图。

图10是根据另外的示例的各种节点中的协议栈的框图。

图11是根据本公开的第二实现的第三选项的各种节点之间的交互的消息流程图。

图12是根据一些示例的网络节点的框图。

在所有附图中，相同的附图标记表示相似但不一定相同的元素。附图不一定按比例绘制，并且某些部分的尺寸可以被放大以更清楚地说明所示示例。此外，附图提供了与说明书相一致的示例和/或实现。然而，说明书不限于附图中提供的示例和/或实现。

具体实施方式

在本公开中，除非上下文另外明确指出，否则术语“一个(a)”、“一个(an)”或“该(the)”的使用也旨在包括复数形式。同样，当在本公开中使用时，术语“包括(includes)”、“包括(including)”、“包括(comprises)”、“包括(comprising)”、“具有(have)”或“具有(having)”指定所述元素的存在，但是不排除其他元素的存在或添加。

在一些示例中，无线网络是根据蜂窝协议进行操作的蜂窝网络。蜂窝协议包括由第三代合作伙伴计划(3gpp)提供的协议，诸如长期演进(lte)标准。lte标准也被称为演进型通用陆地无线电接入(e-utra)标准。蜂窝协议还可以包括下一代协议，包括第五代(5g)及以后的协议。在其他示例中也可以使用其他蜂窝协议。

无线网络的其他示例包括无线局域网(wlan)。wlan可以包括无线网络，但不限于根据电气和电子工程师协会(ieee)802.11或wi-fi联盟规范等进行操作的无线网络。

尽管提供了一些无线网络的示例，但是根据本公开的一些实现的技术或机制可以与各种类型的无线网络中的任何一种一起使用。

能够在无线网络中进行通信的无线设备的示例包括计算机(例如，平板计算机、笔记本计算机、台式计算机等)、手持式设备(例如，智能电话、个人数字助理、头戴式设备等)、可穿戴设备(智能手表、电子眼镜、头戴式设备等)、游戏设备、健康监测器、车辆(或车辆中的设备)、货物运输单元(例如，拖车、集装箱等)、物联网(iot)设备、或能够无线地进行通信的其他类型的端点或用户设备。无线设备可以包括移动设备和/或固定位置设备。更一般地，无线设备可以是指能够无线地进行通信的电子设备。

在随后的讨论中，无线设备被称为“用户设备(ue)”。ue可以指代具有uicc的ue、或者不具有uicc的移动设备(me)、或者任何其他类型的无线设备。

如此处使用的，“远程ue”可以指代可能无法接入诸如蜂窝网络等无线网络的无线设备。远程ue可以使用中继ue来接入诸如蜂窝网络等无线网络。“中继ue”是如下无线设备，其允许诸如远程ue等另一类型的无线设备使用中继ue来接入无线网络。中继ue的示例是第2层中继ue。远程ue是第一类型的ue，而中继ue是与第一类型不同的第二类型的ue。

在一些示例中，远程ue使用第一类型的无线技术与中继ue通信，包括以下中的任一项或某种组合：蓝牙、wlan、设备到设备(d2d)(诸如pc5、prosed2d、侧链路、直接短程通信(dsrc)、ieee802.11p等)、近场通信(nfc)、窄带物联网(nb-iot)等。中继ue可以使用诸如通用陆地无线电接入网(utran)、gsmedge无线电接入网(geran)、gsm演进型增强数据速率(edge)、wlan、lte、5g等第二类型的无线技术与无线网络通信。

在更具体的示例中，第2层中继ue允许远程ue通过中继ue来接入由3gpp网络提供的连接性和服务。在一些示例中，由远程ue传送的网络接入层(nas)信令可以透明地穿过具有3gpp网络的中继ue中的中继功能。中继功能可以被提供作为中继ue的第2层的一部分。

在无线网络是演进型utran(e-utran)的示例中，远程ue则可以指代eremoteue，并且中继ue可以指代erelayue。

在诸如根据由3gpp定义的关键任务一键通(mcptt)等公共安全服务的上下文中，中继ue可以指代可以被部署以将3gpp覆盖范围扩展到可能不具有3gpp覆盖范围的设备的实体，诸如在发生车辆事故或紧急事件的情形中，其中第一响应者组(诸如警察)可以建立一个或多个中继ue来向参加该事件的其他第一响应者提供更好的覆盖范围。

在远程ue要使用诸如第2层中继ue等中继ue来接入无线网络的上下文中出现的问题涉及执行远程ue的网络认证，其中远程ue不希望泄露其私有标识。私有标识也可以称为私人用户标识(id)。通常，私有标识的属性是，私有标识仅对于无线网络和远程ue是已知的。

与远程ue相关联的私有用户id的示例可以包括会话发起协议(sip)统一资源标识符(uri)或imsi。作为另一示例，私有用户id也可以是临时id。临时id可以包括以下中的任一项：全局唯一临时id(guti)、临时移动订户标识(tmsi)、分组临时移动订户标识(p-tmsi)、5g-guti等。临时id的特征是，该标识具有有限的寿命，并且可以在不同的时间或在不同的位置被分配给另一ue。

通常，术语“标识”是指私有标识或公共标识。

图1是可以由远程ue执行的用以执行认证的过程100的流程图。远程ue向应用服务器(as)发送(在102)远程ue将要使用中继ue来接入网络的指示。应用服务器(也称为“接入服务器”)是可以执行以下中的任一项或某种组合的实体：第一协议与第二协议之间的协议互通；认证功能或代理认证功能；背对背用户代理(b2bua)的功能，它是逻辑sip网络元素；用户标识映射功能、接入和移动性管理功能(amf)；等等。

b2bua是接收请求并且作为用户代理服务器(uas)处理该请求的逻辑实体。为了确定应当如何应答该请求，b2bua充当用户代理客户端(uac)并且生成请求。与代理服务器不同，b2bua保持对话状态，并且参与在b2bua已经建立的对话上发送的所有请求。

在一些示例中，假定远程ue不具有蜂窝连接性。然而，应当注意，根据一些实现的技术或机制也适用于其中ue具有蜂窝连接性的示例。

在过程100中，远程ue从应用服务器接收(在104)与远程ue的第二标识不同的第一标识。例如，第二标识可以是上面讨论的远程ue的私有标识。另一方面，例如，第一标识可以是临时id。

远程ue使用(在106)第一标识向网络注册，其中该注册导致对远程ue的认证。

以这种方式，远程ue在执行认证时不必泄露其私有标识。

图2是根据另外的示例的认证过程的消息流程图，该过程涉及远程ue、中继ue、标有as1的应用服务器、以及各种网络节点，包括mmea、mmeb、p-gw和网络节点1。mme表示“移动性管理实体”，其是执行各种控制任务以由lte接入网络的ue接入的lte核心网络节点。在其他示例中，可以使用不同类型的移动性管理节点来代替ltemme，诸如5g网络的接入和移动性管理功能(amf)。

在图2中，mmea和mmeb表示两个不同的mme。尽管在图2中示出了两个mme，但是注意，在其他示例中，可以仅采用一个mme。

p-gw表示“分组数据网络网关”，其是lte核心网络节点并且是被连接到pdn(例如，互联网或另一类型的数据网络)以在ue与pdn之间传送业务数据分组的网关。在其他示例中，代替p-gw，可以使用不同类型的核心网络节点来用于业务数据通信，诸如5g网络的用户平面功能(upf)。

在不同的示例中，as1可以被替换为5g网络的非3gpp互通功能(n3iwf)。替代地，as1可以被替换为演进分组数据网关(epdg)。因此，术语“应用服务器”可以是指应用服务器、n3iwf、epdg或被指定为执行指定任务的任何其他实体。

图1所示的网络节点1用于执行认证服务。在一些示例中，网络节点1可以包括认证授权计费(aaa)服务器、认证服务器功能(ausf)或可以提供认证服务的任何其他类型的节点。

图2示出了可以在图2中示出的实体之间被执行的各种任务。

任务1：远程ue向中继ue注册和/或与中继ue相关联。远程ue向中继ue注册和/或与中继ue相关联允许远程ue与中继ue交换信息来使得远程ue可以获取中继ue的信息，诸如中继ue的配置信息。一旦远程ue和中继ue相关联，远程ue就能够使用中继ue来与无线网络通信。

任务2：响应于远程ue与中继ue之间的关联，如果中继ue已经不存在并且不提供与as1的连接性，则中继ue创建与p-gw的数据连接。数据连接的关键特征是，其提供对as1的接入。另一特征可以是，数据连接仅提供与as1的连接性。

任务3：远程ue然后建立与网络中的应用服务器as1的安全连接。安全连接允许远程ue与as1通信，而另一实体(诸如中继ue)无法查看在远程ue与as1之间交换的信息。中继ue包括如下功能：在接收到针对与应用服务器as1相关联的互联网协议(ip)地址的请求时，限制对远程ue的接入。接入限制允许远程ue仅接入as1的指定服务，直到远程ue已经被认证。

任务4：远程ue通过向as1发送远程ue的私有标识来向as1请求临时id。临时id(或更普遍地，远程ue的第二标识，其不同于远程ue的私有标识)可以由远程ue使用以用于认证目的。

任务5：临时id或其他第二标识可以由as1以多种不同方式获取。在一些示例中，第二标识由as1分配。在其他示例中，第二标识由诸如图2中的mmeb或另一类型的移动性管理节点等移动性管理节点分配。

在第二标识由as1分配的示例中，可以实现两个选项(选项a和选项c)。在第二标识由移动性管理节点分配的替代示例中，实现选项b。

任务5：通过选项a，第二标识(由as1分配)和远程ue的私有标识在消息中被发送到作为图2中的网络节点1的示例的本地订户服务器(hss)。hss通过创建远程ue的私有标识与由as1分配的第二标识的绑定来对该消息进行响应。

任务6：通过选项b，as1从mmeb或另一移动性管理节点获取临时id或另一第二标识。第二标识可以是例如guti。as1通过向mmeb或另一移动性管理节点发送远程ue的私有标识来获取第二标识。

任务7：as1向远程ue发送临时id或另一第二标识。远程ue将由as1提供的临时id或另一第二标识绑定到远程ue的私有标识。

任务8、9：响应于接收到临时id或另一第二标识，远程ue使用临时id或另一第二标识向无线网络注册。包含临时id或另一第二标识的注册消息可以由远程ue发送给中继ue(任务8)，然后中继ue将注册消息转发(任务9)给mmea(或另一移动性管理节点)。

任务10：通过选项a或b，mmea或另一移动性管理节点发送从网络节点1(例如，hss)获取认证向量的请求(包含临时id或另一第二标识符)。认证向量包含用于执行远程ue的认证的认证信息。hss将所接收的第二标识映射到远程ue的私有标识，或者hss不执行该映射。

任务11、12：通过选项c，临时id或其他第二标识具有使得接收远程ue的注册请求(任务9)的实体(例如，mmea或另一移动性管理节点)向as1发送请求(任务11)的格式(例如，imsi、e.212等)。然后，as1将临时id或另一第二标识替换为由as1在任务4中接收的远程ue的私有标识。在as1将临时id或另一第二标识替换为远程ue的私有标识之后，as1向网络节点1发送获取认证向量的请求(任务12)。

任务13：在mmea和mmeb不是同一实体的示例中，mmea向mmeb发送识别请求以从mmeb获取标识和上下文信息。

任务14：响应于识别请求，mmeb向mmea发送标识和上下文信息。在其他示例中，mmea和mmeb可以指代其他类型的移动性管理节点。

在随后的讨论中，假定仅存在一个移动性管理节点。但是，通常，下面进一步讨论的技术或机制可以被应用于存在多个移动性管理节点(例如，图2中的mmea和mmeb)的示例中。

以下描述根据本公开的一些实施例的关于各种不同实现(例如，实现1，实现2等)的更多细节。参考诸如第1.1节等不同章节、以及这些章节的小节。

第1.1节，实现1

1.1.0，概述

在实现1中，远程ue经由中继ue隧穿到网络中的as1。as1向远程ue分配第二标识(例如，临时id或另一令牌)，以使得例如当远程ue使用第2层连接性机制经由中继ue执行注册时，然后远程ue随后可以使用第二标识。

隧穿经由已经建立分组数据协议(pdp)连接的中继ue来实现，该pdp连接仅允许远程ue对应用服务器(例如，as1)的受限接入，直到远程ue被认证。注意，中继ue允许远程ue对可以位于完全不同的网络中(与中继ue附接到的网络不同)的功能实体(as1)的受限接入。换言之，中继ue不仅限制对中继ue的局域网的应用服务器的接入。

下面参考图3。在图3中，在垂直堆栈中描绘了两个或更多个实体，这表示垂直堆栈中的任何实体可以执行图3中描绘的相应功能。

例如，在图3中，mme或amf可以执行移动性管理节点的任务。此外，p-gw或upf(或替代地，包括p-gw和upf两者的实体)可以执行数据网关的任务。类似地，as1、epdg或n3iwf中的任何一个(或替代地，as1、epdg、n3iwf的任何组合)可以执行应用服务器的任务。

图3进一步示出了可以用as2或amf2(或替代地，as2和amf2的组合)实现的另一应用服务器。作为另一替代方案，其他应用服务器可以被实现为as1和n3iwf中的任一个或某种组合。此外，在图3中，网络节点1的任务可以用aaa服务器或ausf(或替代地，其组合)来实现。

在图3中，任务3、3b和6可以使用可扩展认证协议(eap)或oauth2.0协议来实现以执行认证。

还应当注意，在图3中，任务7和8之间没有时间关系——这些任务可以以任何顺序和异步地发生。

1.1.1，远程ue操作

以下参考图3的、由远程ue通过实现1来执行的各种任务。

任务1：远程ue与中继ue相关联/向中继ue注册，并且取回关于中继ue的信息，其中该关联允许数据分组(例如，ip分组)由远程ue发送给中继ue。由远程ue从中继ue取回的信息可以包括以下中的任何一项或一些或不包括其中的任何一项：中继ue的标识、中继ue连接到的网络(例如，经注册的公共陆地移动网络或rplmn)、中继ue的位置、as1的地址等。如此处使用的，“位置”可以是指移动国家代码(mcc)、移动网络代码(mnc)、小区标识、gps坐标、航路点细节、服务集标识符(ssid)、操作员代码、位置区域(la)、路由区域(ra)、跟踪区域(ta)等中的任何一项或某种组合。

未示出的任务：远程ue使用从中继ue取回的信息或远程ue的内部配置信息来建立与as1的安全连接。

任务3：远程ue向as1发送远程ue希望使用中继ue作为接入核心网络的资源的指示(例如，使用eap或oauth)。远程ue可以在该指示中或与该指示相关联地发送以下信息中的一个或多个：中继ue的标识、中继ue附接到的网络、ue(远程ue和/或中继ue)的位置、远程ue希望使用中继ue的指示等。

任务6：远程ue从as1接收令牌，其中该令牌是或包含要在向中继ue注册第2层接入时使用的第二标识。

任务8：远程ue向中继ue发送包含来自该令牌的第二标识的nas(例如，附接、位置更新、路由区域更新、跟踪区域更新等)消息。nas消息是由远程ue用来向网络注册使得可以对远程ue进行认证并且远程ue可以从网络获取网络服务的注册请求的示例。

任务13：远程ue根据现有标准(当前发布的标准)接收认证质询。该认证质询由移动性管理节点(例如，mme或amf)响应于由网络节点1(或替代地，aaa服务器或ausf)响应于远程ue的注册请求而发送(任务11)的认证向量来发起(任务12)。认证质询由中继ue转发给远程ue(任务12)。

任务14：远程ue根据现有标准对认证质询进行响应

1.1.2，中继ue操作

以下涉及由中继ue通过实现1执行的图3中的各种任务。

任务1：中继ue与远程ue相关联并且可以向远程ue提供以下信息中的任何一项、一些或不提供以下任何信息：中继ue的标识、中继ue连接到的网络、中继ue的位置、as1的地址等。

任务2：中继ue创建pdp上下文以创建与网络的数据连接。pdp上下文具有以下特征：pdp上下文仅通过远程ue来提供与应用服务器(例如，as1)的地址的连接。如果pdp上下文已经存在，则该任务是可选的。

任务3：中继ue从远程ue接收包含目的地地址(例如，ip地址)的数据分组(例如，ip分组)。ip分组可以包括由远程ue发送给as1的、远程ue希望使用中继ue作为接入核心网络的资源的指示。

任务3b：中继ue进行以下之一：

·检查以查看在ip分组中接收的目的地ip地址是否被“允许”(例如，ip地址是as1的地址)；如果目的地ip地址被“允许”，则中继ue将ip分组转发给as1；或者

·将ip分组发送给在中继ue中预先配置的ip地址，其中预先配置的ip地址是as1的ip地址。

在一些示例中，as1的地址和用于创建pdp上下文的接入点名称(apn)可以由中继ue通过以下方式之一来获取：

1.当中继ue与网络通信(例如，附接)时，中继ue在nas消息中的协议配置选项(pco)信息元素中从网络接收as1的地址和apn；或者

2.as1和apn的地址在中继ue的通用集成电路卡(uicc)中提供(在这种情况下，中继ue将as1和apn的地址读入存储器中)；或者

3.as1和apn的地址在移动设备(me)中提供，该me是没有uicc的ue

pco信息元素在3gppts24.008中被定义，并且允许ue经由发送给网络的指示符(其中指示符可以包括一个或多个比特或者甚至消息中不存在一个或多个比特)来向网络指示ue正在请求的信息。网络可以用该信息响应于ue。

任务8：中继ue接收由远程ue发送的nas消息(例如，附接)。

任务9：中继ue向网络发送nas消息(例如，附接)或其他注册请求。

任务12：中继ue响应于由网络节点1(或替代地，aaa服务器或ausf)响应于远程ue的注册请求而发送(任务11)的认证向量来接收由移动性管理节点(例如，mme或amf)发起的认证质询。

任务13：中继ue向远程ue发送认证质询。

任务14：中继ue根据现有标准接收对认证质询的响应。

任务15：中继ue根据现有标准向网络发送对认证质询的响应。

1.1.3，as1操作

以下涉及由as1通过实现1执行的图3的各种任务。

未示出的任务：as1建立与远程ue的安全连接。

任务3：as1从远程ue接收远程ue希望使用中继ue作为资源的指示。由远程ue向as1发送或与指示一起发送的信息可以包括以下中的任何一项或某种组合：中继ue的标识、中继ue附接到的网络、ue(远程ue和/或中继ue)的位置等。

任务4：如果as1无法完成安全连接建立，例如由于as1在受接入网络中，则as1向as2发送在任务3中接收的信息。

任务5：如果远程ue被授权使用中继ue，则as2创建如下指示：该指示是或者包含远程ue的第二标识，例如，其中该指示可以包括上述令牌。

任务6：as1向中继ue发送令牌，其中该令牌是或者包含第二标识。

任务7：as1或as2向网络节点1发送消息，该消息包含以下中的至少一项：令牌、远程ue的标识、中继ue的标识等。

1.1.4，网络节点1操作

以下涉及由网络节点1通过实现1执行的图3的各种任务。网络节点1可以是以下中的任一项：hss、归属位置寄存器(hlr)/认证中心(auc)、5gausf、aaa服务器等。

任务7：网络节点1从as1接收消息，该消息包含以下中的至少一项：令牌、远程ue的标识、中继ue的标识等。作为响应，网络节点1在以下中的至少两项之间创建绑定或映射：远程ue的标识、中继ue的标识和令牌中的第二标识。

任务10：网络节点1从移动性管理节点(例如，mme或amf)接收请求第二标识的认证向量的消息。该消息可选地包含中继ue的标识。在任务10处接收的消息可以响应于由中继ue从远程ue向移动性管理节点转发的注册请求。网络节点1使用第二标识确定远程ue的私有标识，使得可以检索认证向量。可选地，网络节点1对照在作为以上任务7的一部分的绑定或映射中创建的中继ue的标识来检查中继ue的标识。

任务11：网络节点1向移动性管理节点发送认证向量。

第1.2节，实现2

1.2.0，概述

实现2在图4中描绘。

实现2与实现1类似，不同之处在于，移动性管理节点(例如，mme或amf)向远程ue分配第二标识，并且将所分配的第二标识发送回as1使得as1可以将第二标识发送给远程ue以在图4的任务8中使用。

作为分配过程的一部分，mme使用标准过程(由当前标准控制的过程)对远程ue进行认证。实现1与实现2之间的所提出的差异在图4中用虚线示出。

第2.2节描述图4中的任务3-6(可选地包括任务4a、4b和5a-5e)的三种不同实现。

三种不同实现中的第一实现涉及直接经由as1直接从远程ue向移动性管理节点发送nas消息。

三种不同实现中的第二实现涉及从远程ue向as1发送互联网密钥交换(ike)/eap消息，其中as1然后将ike/eap与发送给移动性管理节点的nas消息互通。

三种不同实现中的第三实现涉及从远程ue向as1发送ike/eap消息，其中as1向远程ue分配私有用户id(例如，imsi)，imsi具有以下特征：网络中的路由导致直径或移动性应用部分(map)消息，该消息请求要被发送给as1的认证向量。

1.2.1，远程ue操作

除了以下增加内容，实现2中的远程ue的操作与实现1中的相似。

任务5c：远程ue从as1接收认证质询，这是从as1获取第二标识的过程的一部分。

任务5d：远程ue将对认证质询的响应发送回as1。

1.2.2，中继ue操作

实现2中的中继ue的操作与在实现1中的中继ue的操作相似。

1.2.3，as1操作

除了以下增加和/或修改，实现2中的as1的操作类似于实现1中的as1的操作。

任务3：as1使用第一协议从远程ue接收远程ue希望使用中继ue作为接入网络的资源的指示。在一些示例中，第一协议可以包括基于ip的eap或nas，或者替代地，可以包括不同的协议。作为指示的一部分或与指示相关联的由as1从远程ue接收的信息包括以下中的一项或一些：中继ue的标识、中继ue附接到的网络、ue(远程ue和/或中继ue)的位置等。

任务4a：响应于该指示和相关联的信息(由远程ue在任务3处发送并且由中继ue在任务3b处转发)，as1使用第二协议向移动性管理节点发送对第二标识的请求。该请求可以包含在任务3中接收的远程ue的标识。第二协议可以与第一协议不同，并且可以是nas协议或其他协议。

任务5b：as1使用第二协议从移动性管理节点接收认证质询。

任务5c：as1使用第一协议向远程ue发送认证质询。

任务5d：as1使用第一协议从远程ue接收认证质询响应

任务5e：as1使用第二协议向移动性管理节点发送认证质询响应。

任务4b：as1使用第二协议从移动性管理节点接收包含第二标识的响应。

任务6：as1使用第一协议向远程ue发送令牌(包含远程ue的第二标识)。

1.2.4，网络节点1操作

除了以下增加，实现2中的网络节点1的操作与实现1中的网络节点1的操作相似。

任务5a：网络节点1从移动性管理节点接收对认证向量的请求。由移动性管理节点发送的对认证向量的请求响应于从as1发送给移动性管理节点的对第二标识的请求。

响应于从网络节点1接收的认证向量，移动性管理节点向as1发送认证质询(任务5b)。

第2.1节，实现1细节

以下提供与以上在第1.1节中讨论的实现1的各种任务相关的更多细节。

2.1.1，一般信息流

以下涉及图3，图3示出了实现1的消息流。

任务1：远程ue与中继ue建立连接，并且可以获取以下任何或一些组合：

a.中继ue的标识，

b.中继ue连接到的网络的标识(例如，plmn代码、服务集标识符(ssid)等)，

c.中继ue的位置，

d.as1的地址(关于可以由中继ue获取该地址的可能方法，请参见任务2)。

远程ue存储从中继ue接收的前述信息。

如果as1的地址是完全合格的域名(fqdn)，则可能发生以下情况之一。

a)中继ue将其位置信息附加到fqdn，并且将fqdn和位置信息发送给远程ue。

b)远程ue接收中继ue的fqdn和位置信息。远程ue将位置信息附加到fqdn。

任务2：如果中继ue尚未具有与网络的数据连接，则中继ue创建与网络的数据连接。用于标识要连接的数据网络的标识符(例如，apn)是在中继me或中继ue的uicc上配置的，或者是从网络获取的。

在as的标识符在中继me或uicc上配置的实现中，下面的表1列出了对3gppts31.102或3gppts31.103的示例改变，可以做出这些改变以允许在中继me或uicc上配置标识符。下面的表1中带下划线的文本指示对3gppts31.102或3gppts31.103这两个标准之一进行的改变的示例。尽管在本说明书中包括对各种标准的所提议的示例改变，但是应当注意，根据本公开的一些实现的技术或机制可以以对标准的其他改变来实现，或者甚至与不使用对标准的改变的实现一起实现。此外，当单词“应当(shall)”出现在所提议的改变文本中时，该单词还可以覆盖其中“应当(shall)”被替换为“应当(should)”或“可以(may)”的其他示例。

表1

替代地，中继ue可以从网络获取as1的地址，这在下面的第2.1.3节中描述。

由中继ue建立的数据连接的特征在于，数据连接允许远程ue仅与应用服务器(as1)通信的受限接入。

中继ue在远程ue与已经建立的数据连接之间创建映射。

如果数据连接已经存在，则中继ue在远程ue与现有数据连接之间创建映射。

任务3、3b：远程ue建立到网络中的as1的安全连接，并且可以在安全建立过程中的安全建立消息或后续消息(例如，注册消息)中包括以下中的任一项：

a.由中继ue在任务1中存储的任何信息；或者

b.远程ue的第二标识；或者

c.其他信息。

响应于从远程ue接收到ip分组，中继ue通过在任务2中与远程ue相关联的数据连接来从中继ue发送所接收的ip分组。

要使用的as1的地址或者是在任务1中获取或者是在远程ue中提供(关于可能的实现，参见任务2)。

用于确保远程ue被限制为仅接入目标as的另一种方式是由远程ue使用fqdn来到达目标as。如果远程ue发送的fqdn与存储在中继ue中的fqdn不匹配，则中继ue将该fqdn修改为存储在中继ue中的fqdn，其中附加有中继ue的位置，并且然后中继ue在请求中发送fqdn，诸如对dns服务器的域名系统(dns)请求。

fqdn的匹配涉及将从远程ue接收的fqdn的语法中包括的中继ue的位置信息与存储在中继ue中的fqdn的对应位置信息进行比较。

任务4：如果as1无法响应于来自中继ue的消息而完成安全连接建立，例如，因为as1在受访问网络中，则as1向as2发送在任务3中接收的信息。通过使用在任务3中接收的远程ue的第二标识来确定as2。该确定通过使用第二标识的域部分来进行(例如，第二标识采用网络接入标识符(nai)[用户名@域]的格式)，其中域标识网络运营商。如果所接收的nai域部分未被as1处理，则as1将消息从中继ue路由到as2。

任务5：如果远程ue被授权使用中继ue，则as2创建指示，该指示是或者包含要在任务5中(例如，在令牌中)发送回的远程ue的第二标识。该指示针对远程ue的第二标识来存储。as2向as1发送令牌或包含该指示的另一消息。

在任务5中，如果远程ue未被授权使用中继ue或该特定中继ue，则as2创建远程ue尚未被授权的指示。as2向as1发送消息，该消息包含可以指示以下中的任何一项或某种组合的指示：

a.远程ue认证失败，

b.不允许远程ue使用第2层中继ue，

c.不允许远程ue使用该特定的第2层中继ue，

d.不允许远程ue在漫游时使用中继ue，

e.不允许远程ue使用连接到该rplmn的中继ue，或者

f.其他指示。

注意，as2和as1可以是同一实体，或者可以是不同实体。

使用中继ue的授权可以通过使用以下中的任一项或不使用其中的任一项来确定：远程ue的位置、中继ue的标识、或中继ue连接到的网络(例如，rplmn)。

由as2发送给as1的指示可以基于以下中的任何项或不基于其中的任一项：中继ue的位置、中继ue的标识、或中继ue连接到的网络(例如，rplmn)。

任务6：as1向远程ue发送消息，该消息包含包括远程ue的第二标识(例如，令牌)的指示、或者远程ue无法将中继ue用作第2层中继ue的指示。

响应于接收到远程ue不能使用中继ue作为第2层中继ue的指示，远程ue可以执行以下中的任一项：

a.在远程ue的显示器上显示该指示；

b.播放可听声音

c.如果所接收的指示表明不允许远程ue使用该特定的第2层中继ue，则如果另一中继ue可用，则远程ue可以重复任务1的过程；

d.如果所接收的指示表明不允许远程ue使用该特定的第2层中继ue，则如果另一中继ue可用，则远程ue可以重复任务1的过程，但是如果中继ue表明中继ue连接到在同一rplmn，则远程ue不会继续执行任何其他任务。

任务7：as2向hss发送消息，该消息包含以下中的任一项或某种组合：可以包含远程ue的第二标识的指示、或其他信息。

hss从as2接收该消息，并且在指示和在来自as2的消息中接收的远程ue的第二标识之间存储、映射或创建绑定。

任务8：如果在任务7中接收到包含远程ue的第二标识的指示，则远程ue向中继ue发送消息，该消息包含作为在来自as1的消息中接收的令牌的一部分的远程ue的第二标识。

任务9：由中继ue在协议栈中的一层接收来自远程ue的任务8消息使得中继ue不与该消息交互。中继ue将在任务8处接收的消息传递给移动性管理节点。

任务10：响应于来自中继ue的任务9的消息，移动性管理节点向网络节点1发送消息，该消息包括以下中的任一项或某种组合：在任务9的消息中接收的第二标识、和中继ue的标识。

网络节点1(例如，hss)接收任务10的消息。hss确定(例如，根据第二标识的语法)任务10的消息中包括的第二标识是临时id并且确定第二标识是否被分配给简档(例如，远程ue的第二标识简档)。替代地，hss使用所接收的第二标识来取回与第二标识相关联的订户简档，例如在任务7中。作为取回简档的一部分，hss获取或创建与远程ue的第二标识相关联的认证向量。

临时id的确定可以按范围进行，例如，如果临时id采用imsi的格式，则imsi结构内的特定数字可以表示它是临时id。一个示例可以是，imsi结构中的第n(n是在0至某个非零值之间的整数)表示imsi是临时的。

任务11：响应于任务10的消息，hss向移动性管理节点发送在任务10中确定的认证向量。

任务12：响应于来自hss的认证向量，移动性管理节点向中继ue发送认证向量。

任务13：中继ue向远程ue发送在任务12中接收的认证向量。认证向量构成对远程ue的认证质询。

任务14：响应于认证质询，远程ue向中继ue发送认证质询响应。

任务15：中继ue向任务管理节点发送在任务14中接收的认证质询响应。

注意，在任务12、13、14和15中，中继ue透明地接收和发送在远程ue与移动性管理节点之间传送的消息。

2.1.2，与应用服务器的通信

以下两个小节包含关于如何执行图3的任务3、3b和6的更多细节。一种机制是使用oauth，另一种机制是使用eap。

2.1.2.1，oauth

在下面的表2中列出了对3gppts33.180的所提出的示例改变(改变带有下划线)以使用oauth。为了得到更好的清晰度，省略了3gppts33.180的图。

表2

下面的表3描述使用oauth的替代示例流程。

表3

2.1.2.2，eap

下面的表4示出了对的3gppts24.302的针对使用eap的示例改变(带下划线的文本指示改变)。

表4

2.1.3，中继ue提供应用服务器接入标识

以下描述如何向中继ue提供应用服务器(例如，as1)的标识的示例。

2.1.3.1，ue操作

以下参考图6。

任务602：中继ue向网络发送请求(例如，附接、ims方法[例如，注册、订阅]等)，该请求例如在pco标签中包含该ue是中继ue的指示。

任务604：中继ue从网络接收(对请求的)响应(例如，附接接受、200ok、通知等)，该响应包含要用于接入应用服务器标识的地址(例如，apn、ip地址等)的指示。

附接接受可以在pco字段中包含该指示。

200ok或通知消息是应用服务器的地址的指示，诸如以表5所示的示例格式。

表5

下面的表6列出了pco的示例实现，其中对3gppts24.008的建议修改由带下划线的文本(添加的文本)和删除线文本(删去的文本)指示。

表6

当包括0012h时，可以在表7中找到接入服务器的预配服务的编码(带下划线的文本表示对3gppts24.008的添加)。

表7

在表7中，可以在表1中找到用于apn和接入服务器地址的编码。

2.1.3.2，网络节点操作

下面描述图6中的网络节点的操作。

任务602——网络节点(例如，mme、s-cscf、p-gw、amf、smf、应用服务器等)从中继ue接收具有它是中继ue的指示的请求。

任务604——如果任务602中的消息包含ue是中继ue的指示，并且如果网络节点被配置有应用服务器的地址，则网络节点在对发送给中继ue的请求的响应中包括应用服务器的该地址。

应用服务器的地址可以在外部数据库(例如，hss/hlr)中被提供，并且经由消息被发送给网络节点(例如，移动交换中心(msc)、mme、服务呼叫状态控制功能s-cscf)(例如，符合3gppts29.002或3gppts29.272的插入订户数据)

第2.2节，实现2的细节

下面描述可以与实现2一起使用的各种选项，包括选项a、b和c。

2.2.1，选项a

图7示出了实现2的选项a。

图7中的箭头的标记和以下描述有意地是无序的，例如，任务4b出现在任务5e之后。选择它们以使其与1.2节中的编号相一致。

任务1：参见第2.1.1节的任务1。

任务2：参见第2.1.1节的任务2。创建pdp上下文和与网络的pdn连接的任务包括注册(附接)任务。

任务3、3b：参见第2.1.1节的任务3)和3b，以下进一步说明。

远程ue向as1发送包含以下中的任一项或一些的注册(例如，附接等)消息：私有用户id、远程ue的第一pdn地址(诸如在演进型分组系统会话管理(esm)消息中)、中继ue的位置或其他信息。

任务4a：如果接收到，则as1可以在任务3b的消息中去除或改变第一pdn地址。如果第一pdn地址被包括在来自远程ue的消息中，则当附接消息被发送给mme时，第一pdn地址可以被替换并且设置为在as1中被配置的地址(第二pdn地址)。

图8描绘了远程ue、as1和mme中的可能的协议栈，其示出了任务3b如何可以与任务4a互通以及远程ue<->as1<->mme之间的后续交互。

远程ue的协议栈包括1级(l1)层、2级(l2)层、ip层、ip安全性(ipsec)层、应用层和nas层。as1包括用于与远程ue通信的第一协议栈，其中第一协议栈包括l1层、l2层、ip层、ipsec层和应用层。as1还包括用于与mme通信的第二协议栈，其中第二协议栈包括l1层、l2层、流控制传输协议(sctp)/ip层和s1应用协议(s1-ap)层。as1还包括用于在as1的第一协议栈与第二协议栈之间中继的中继功能802。

mme具有协议栈，该协议栈包括l1层、l2层、sctp/ip层、s1-ap层和nas层。

远程ue<->as1<->mme之间的交互包括as1进行以下中的任一项：

·当as1从远程ue接收消息时，as1的中继功能802将nas消息从应用层中取出并且将nas消息插入s1-ap消息中并且将s1-ap消息发送给mme。

·当as1从mme接收消息时，as1将nas消息从s1-ap消息中取出并且将该消息发送给远程ue。

任务4a：响应于图7中的任务3b的注册消息，as1向mme702发送包含以下中的任一项或一些的注册消息(例如，附接、位置更新、路由区域更新、跟踪区域更新等)：私有用户id、第二pdn地址或其他信息。mme702是远程ue的“旧”mme，即，例如，远程ue将在最初基于远程ue的位置而与之相关联的mme。

第二pdn地址的特征使得，如果远程ue尝试使用与第二pdn地址相对应的pdn连接来发送数据业务，则业务将失败。

中继ue的位置可以用于确定as1将向其发送注册消息的mme702。在as1中，位置与mme之间可以存在映射。

任务5a)i)：mme702使用在任务3b中接收的私有用户id来向hss请求认证向量。

任务5a)ii)：响应于来自mme702的任务5a)i)的请求，hss向mme702发送认证向量。

任务5b：mme702例如在nas认证请求中向as1发送认证质询。

任务5c：响应于认证质询，as1向远程ue发送认证质询。

任务5d：响应于认证质询，远程ue向as1发送认证质询响应。

任务5e：as1例如在nas认证响应中向mme7702发送认证质询响应。

任务4b：响应于认证质询响应，mme702向as1发送具有临时id(例如，guti、tmsi等)的注册接受(例如，附接接受、位置接受、路由区域更新接受、跟踪区域更新接受等)。在选项a中，远程ue的临时id由mme702分配。

任务6：as1向远程ue发送在任务4b处从mme702接收的临时id。

任务8：在接收到临时id之后，远程ue向中继ue发送包含临时id的注册消息。该注册消息可以包括附接、位置更新、路由区域更新、跟踪区域更新等。

任务9：参见2.1.1任务9。注意，在图7中，注册消息可以由中继ue转发给新mme704，该新mme704可以与旧的mme702相同或不同。

任务9a、9b：新mme704使用现有标准从旧mme702获取与远程ue相关联的上下文信息。

任务10-15)分别参见第2.1.1节的任务10-15。

2.2.2，选项b

图9示出了实现2的选项b。

注意，在图9中，as1可以用epdg和aaa服务器来实现。epdg和aaa服务器可以是同一网络节点的一部分，也可以被包括在单独的网络节点中。另外，在一些示例中，mme也可以与as1以及p-gw相结合。

图10描绘了当epdg和aaa服务器相结合时的可能的协议栈。如图10所示，远程ue具有包括l1层、l2层、ip层和ikev2/eap层的协议栈。as1包括用于与远程ue通信的第一协议栈。第一协议栈包括l1层、l2层、ip层和ikev2/eap层。

与mme通信的as1的第二协议栈包括l1层、l2层、sctp/ip层和nas层。mme的协议栈包括l1层、l2层、sctp/ip层和nas层。

在图10中，当as1接收ike或eap消息时，asi将ike或eap消息的内容与nas消息互通。该互通可以涉及以下中的任一项：

a)as1可以从eap消息取得参数并且将该参数转换为等效参数，例如，imsi被编码为nai并且被转换为数值，其中每个数字均由4位表示。

b)as1可以从eap消息取得参数并且将该参数映射到等效参数。

当as1在反向方向上接收nas消息时，as1执行到eap消息的反向转换或映射。

以下涉及图9的任务。

任务1：参见第2.1.1节的任务1。

任务2：参见第2.1.1节的任务2)

任务2a：远程ue和epdg交换第一对消息，称为ike_sa_init，其中epdg和ue协商密码关联，交换一次性随机数，并且执行diffie_hellman值的diffie_hellman交换。

任务3、3b：远程ue在ike_auth阶段的第一消息(ike_auth请求消息)中发送用户标识，诸如私有用户id(在第一消息的idi有效载荷中)、apn信息(在第一消息的idr有效载荷中)和远程ue位置(编码为用户标识的一部分)。ike_auth请求消息还包括用于远程ue开始协商子安全性关联的安全性关联信息。远程ue在ike_auth请求消息内发送配置有效载荷(cfg_request)以获取ipv4和/或ipv6归属ip地址和/或归属代理地址。远程ue忽略auth参数，以便向epdg指示远程ue希望在ikev2上使用eap。用户标识符合在ts23.003中指定的网络接入标识符(nai)格式，并且包含imsi或假名，如在注释请求(rfc)4187中为eap-aka(认证和密钥协商)定义的。

注意：关于ue中继如何确保将任务2a、3和3b的消息路由到正确的as1，参见本公开中的其他地方的任务3和3b的描述。

任务3c：响应于ike_auth请求消息，epdg向3gppaaa服务器(网络节点1的一部分)发送认证和授权请求消息。认证和授权请求消息包含用户标识、远程ue位置、和所接收的ike_auth请求消息中包含的apn。远程ue使用根据3gppts23.003的条款19.3定义的nai，并且3gppaaa服务器基于nai的领域部分来标识正在执行联合认证和授权以通过仅允许eap-aka的epdg来建立隧道。

任务4a：aaa服务器然后执行任务3c的eap消息与发送给mme702的nas消息之间的互通。nas消息可以包括注册消息、附接消息、位置更新消息、路由区域更新消息、跟踪区域更新消息等。3gppaaa服务器在从epdg接收的认证和授权请求消息中获取用户标识，并且生成临时id(表示为用户id1)。aaa服务器还创建用户标识与临时id(用户id1)之间的映射，并且将临时id(用户id1)包括从aaa服务器发送给mme702的在任务4a的nas消息中。nas消息还可以办理apn，该apn可以取自任务3c或者可以按照第2.2.1节的任务4a中所述进行修改(适用于上述选项a)。

关于其他可能的过程，参见第2.2.1节的任务6。

任务5a)i：mme702向aaa服务器发送对临时id(用户id1)的认证向量的请求。

任务5a)1：aaa服务器使用所接收的临时id(用户id1)查找用户标识(关于如何在临时id(用户id1)与用户标识之间创建该映射，参见上面的任务4a)。aaa服务器向hss(网络节点1的一部分)发送对用户标识的认证向量的请求。

任务5a)2：响应于对认证向量的请求，hss向aaa服务器发送包含认证向量的消息。aaa服务器接收认证向量和针对用户标识的认证向量。

任务5a)ii：aaa服务器向mme702发送包含所接收的认证向量的消息。

任务5b：mme702响应于从aaa服务器接收到认证向量而向aaa服务器发送nas认证请求消息(认证质询)。

任务5b)1：aaa服务器将nas认证请求消息与eap请求/质询消息互通。aaa服务器通过在认证和授权应答消息中向epdg发送认证质询来发起认证质询，epdg响应于由epdg发送给aaa服务器的认证和授权。aaa服务器还存储在nas认证请求消息中使用的认证向量使得aaa服务器稍后可以确定使用了哪组认证向量来质询远程ue。任务5b)1和4b)1的给信息(下面进一步讨论)用于创建正确的密钥材料。

任务5c：epdg通过向远程ue发送ike_auth响应消息来响应于认证和授权应答消息，其中ike_auth响应消息响应于任务3和3b的ike_auth请求消息。ike_auth响应消息包含epdg的标识、凭证和auth参数以保护epdg发送给远程ue的先前消息(在任务2a的ike_sa_init交换中)。从aaa服务器接收的eap消息(eap-request/aka-challenge)被包括在ike_auth响应消息中以通过ikev2来开始eap过程。

任务5d：响应于ike_auth响应消息，远程ue检查认证参数并且通过向epdg发送另一ike_auth请求消息来响应于认证质询。任务5d的ike_auth请求消息包括eap消息(eap-response/aka-challenge)，该eap消息包含远程ue对认证质询的响应。

任务5d)1：epdg在认证和授权请求消息中将eap-response/aka-challenge消息转发给aaa服务器。

任务5e：aaa服务器从任务5d)1获取认证质询响应，并且将认证质询响应包括在给mme702的认证响应消息中。

任务4b：参见2.2.1的任务4b。

任务4b)1：aaa服务器从mme702接收附接接受消息(任务4b)，并且使附接接受消息与eap成功消息互通。aaa服务器从任务4b获取临时id(例如，guti)，并且将其包括在eap成功消息中。

如果所有检查都成功，则aaa服务器向epdg发送最终认证和授权应答(带有指示成功的结果代码)，包括相关服务授权信息guti、eap成功和密钥材料。密钥材料包括在认证过程中生成的主会话密钥(msk)。当使用diameter协议实现epdg与aaa服务器之间的swm和swd接口时，msk被封装在eap-master-session-key-avp中，如rfc4072中定义的。

任务6：epdg向远程ue发送包含临时id(例如，guti)的ike_auth响应消息。ike_auth响应消息响应于任务5d的ike_auth请求消息。

任务8、9、9a，9b，10-15：分别参见2.2.1节的任务8、9、9a、9b、10-15。

2.2.3，选项c

图11示出了实现2的选项c。

在选项c中，远程ue使用非3gpps2b过程来向epdg进行认证。该认证过程提供如下标识，远程ue可以使用该标识经由中继ue向核心网络注册。

任务1、2、2a，3、3c、5a)1、5a)2、5b)1、5c、5d、5d)1、4b)1，分别参见第2.2.2节的任务1、2、2a、3、3c、5a)1、5a)2、5b)1、5c，5d，5d)1、4b)1。

任务6：参见第2.2.2节的任务6。另外，当epdg发送任务6的ike_auth响应消息时，epdg还指派或分配临时id(例如，具有imsi格式等)。epdg创建任务3中接收的用户标识与临时id(例如，imsi等)之间的绑定。

任务8：参见2.2.2的任务8。ue向中继ue发送消息，例如，附接、跟踪区域更新、位置更新等，该消息包含在任务6中接收的临时id。

任务9：参见2.2.2的任务9。

任务10：mme702向aaa服务器发送对在任务9中接收的临时id的认证向量的请求。

注意，临时id的值使得对认证向量的请求的路由在分配了该临时id的实体(在这种情况下为aaa服务器)上终止。

任务10a：在任务10中接收到对临时id的认证向量的请求之后，aaa服务器使用临时id来确定是否存在到另一标识(例如，远程ue的私有标识)的映射。如果存在另一标识(即，在任务3中接收的用户标识)，则aaa服务器使用另一标识来取回认证向量。aaa服务器向hss发送对另一标识的认证向量的请求

任务10b：hss向aaa服务器发送所请求的认证向量。

任务11：aaa服务器向mme702发送认证向量。

系统示例

图12是通信节点1200的框图，通信节点1200可以是以下中的任一项：远程ue、中继ue、应用服务器、移动性管理节点、网络节点、或可以在根据本公开的方法中被涉及的任何其他类型的节点。

通信节点1200包括处理器1202(或多个处理器)。处理器可以包括微处理器、多核微处理器的核、微控制器、可编程集成电路、可编程门阵列、或另一硬件处理电路。

通信节点1200还包括非瞬态机器可读或计算机可读存储介质1204，其存储有机器可读指令1206，该机器可读指令1206在处理器(即，一个或多个处理器1202)上可执行以执行本公开中讨论的各种任务。

通信节点1200还包括用于执行有线或无线通信的通信接口1208。通信接口1208可以包括网络接口控制器、无线电收发器等。

存储介质1204可以包括以下中的任一项或某种组合：半导体存储设备，诸如动态或静态随机存取存储器(dram或sram)、可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)和闪存；磁盘，诸如固定、软盘和可移动磁盘；另一磁性介质，包括磁带；光学介质，诸如光盘(cd)或数字视频盘(dvd)；或其他类型的存储设备。注意，上面讨论的指令可以在一个计算机可读或机器可读存储介质上提供，或者替代地，可以在被分布在具有可能多个节点的大型系统中的多个计算机可读或机器可读存储介质上提供。这样的计算机可读或机器可读存储介质被认为是物品(或制品)的一部分。物品或制品可以是指任何制造的单个组件或多个组件。一个或多个存储介质可以位于运行机器可读指令的机器中，或者位于可以通过网络从其下载机器可读指令以执行的远程站点处。

在前面的描述中，阐述了很多细节以提供对本文中公开的主题的理解。然而，实现方式可以在没有这些细节中的一些细节的情况下被实践。其他实现可以包括对以上讨论的细节的修改和变化。意图在于，所附权利要求覆盖这样的修改和变化。