通信网络中用于用户设备的数据传输管理

技术领域

本领域一般地涉及通信系统，并且更具体地但不排他地涉及这种系统内的安全管理。

背景技术

本节介绍可以有助于促进更好地理解本发明的各方面。因此，本节的描述要从这个角度阅读，而不应被理解为承认现有技术中存在或不存在的内容。

第四代(4G)无线移动电信技术(也被称为长期演进(LTE)技术)旨在提供具有高数据速率的高容量移动多媒体，特别是用于人类交互。这种4G网络通常采用演进分组系统(EPS)，其架构包括两个子系统，即演进通用陆地无线电接入网络(E-UTRAN)和演进分组核心(EPC)网络。

下一代或第五代(5G)技术旨在不仅用于人类交互，而且还用于所谓的物联网(IoT)网络中的机器类型通信。虽然5G网络旨在实现大规模IoT服务(例如，非常大量的有限容量设备)和关键任务IoT服务(例如，需要高可靠性)，但支持采用增强型移动宽带(eMBB)服务形式的对传统移动通信服务的改进，从而针对移动设备提供改进的无线互联网接入。

在示例通信系统中，用户设备(5G网络中的5G UE，或者更广泛地，UE)通过空中接口与5G网络中的接入网络(被称为NG-RAN)的基站或接入点通信。接入点(例如，gNB)说明性地是通信系统的NG-RAN的一部分。一般而言，接入点(例如，gNB)针对UE提供对核心网络(CN或5GC)的接入，核心网络进而针对UE提供对其他UE和/或诸如分组数据网络或PDN(例如，互联网)之类的数据网络的接入。

虽然UE通常可以被称为移动站、用户站，或者更一般地被称为通信设备，包括诸如被插入膝上型计算机或其他设备(诸如智能电话)中的卡的组合之类的示例，但在一些应用场景中，UE是无人/无人驾驶空中系统(UAS)(也被称为无人/无人驾驶飞行器或UAV)(例如，中插入的卡)的一部分。

然而，由于不断尝试改进与4G/5G网络相关联的架构和协议的安全性，在建立数据网络连接期间与UE认证/授权相关联的问题可能带来重大挑战。

发明内容

说明性实施例提供了用于当通过通信网络建立数据网络连接时在用户设备的认证/授权期间管理与用户设备相关联的上行链路数据传输的技术。

在从用户设备的角度的一个说明性实施例中，一种方法包括以下步骤。该用户设备使得发起通过通信网络建立与数据网络的连接。由该用户设备从该通信网络接收向该数据网络的上行链路数据传输未被允许的第一通知。由该用户设备从该通信网络接收向该数据网络的上行链路数据传输被允许的第二通知，其中，该第二通知对应于由认证实体对该用户设备的成功验证。

例如，用户设备避免在接收第一通知与接收第二通知之间发起向数据网络的上行链路数据传输。此外，举例来说，验证包括基于数据网络标识符(例如，服务级别标识或数据网络特定的标识)对用户设备进行的认证和授权，该数据网络标识符与用于接入通信网络的标识符(例如，用户标识)不同。

在从通信网络的角度的另一个说明性实施例中，一种方法包括以下步骤。该通信网络从用户设备接收通过该通信网络建立与数据网络的连接的请求。该通信网络向该用户设备发送向该数据网络的上行链路数据传输未被允许的第一通知。该通信网络向该用户设备发送向该数据网络的上行链路数据传输被允许的第二通知，其中，该第二通知对应于由认证实体对该用户设备的成功验证。此外，举例来说，验证包括基于数据网络标识符(例如，服务级别标识或数据网络特定的标识)对用户设备进行的认证和授权，该数据网络标识符与用于接入通信网络的标识符(例如，用户标识)不同。

进一步的说明性实施例以非暂时性计算机可读存储介质的形式提供，在该非暂时性计算机可读存储介质中体现有可执行程序代码，该可执行程序代码在由处理器执行时使该处理器执行上述步骤。更进一步的说明性实施例包括具有被配置为执行上述步骤的处理器和存储器的装置。

有利地，说明性实施例提供了在与UAS一起使用的UE的分组数据网络(PDN)连接建立期间对UAS的认证和授权的增强。然而，应当理解，说明性实施例更一般地将这些增强例如扩展到任何UE(即，不必是与UAS一起使用的UE)，以用于在数据网络连接建立期间由认证实体对UE提供的数据网络特定的标识进行认证和授权(即，验证)。例如，在UAS场景中，认证实体可以是UAS服务供应商(USS)，而在EPS场景中，认证实体可以是数据网络认证、授权和计费服务器(DN-AAA服务器)。然而，实施例不限于这些示例性场景。

从附图和以下详细描述中，本文描述的实施例的这些和其他特征和优点将变得更加显而易见。

附图说明

图1A示出实现可用于实现一个或多个说明性实施例的第一通信网络架构的通信系统；

图1B示出实现可用于实现一个或多个说明性实施例的第二通信网络架构的通信系统；

图2示出可用于实现一个或多个说明性实施例的用户设备和至少一个网络实体/功能；

图3示出可用于实现一个或多个说明性实施例的第一类型通信网络和第二类型通信网络的复合架构；

图4示出图3的复合架构的进一步细节；

图5示出根据说明性实施例的在数据网络连接建立期间执行的与无人/无人驾驶空中系统相关联的认证/授权消息流。

具体实施方式

本文将结合示例通信系统和用于通信系统中的安全管理的相关联技术来说明实施例。然而，应当理解，权利要求的范围不限于所公开的特定类型的通信系统和/或过程。可以使用替代的网络、过程和操作，在各种其他类型的通信系统中实现实施例。例如，虽然在使用3GPP系统单元/元件的基于无线蜂窝的系统(诸如4G和/或5G系统)的上下文中进行说明，但所公开的实施例可以以直接的方式适用于各种其他类型的通信系统。

根据说明性实施例，一个或多个3GPP技术规范(TS)和/或技术报告(TR)可以提供对可以与本发明方案的部分交互的网络实体和/或操作的进一步解释。例如，EPS架构中的E-UTRAN接入的细节在TS 23.401，标题为“用于演进通用陆地无线电接入网络(E-UTRAN)接入的通用分组无线电服务(GPRS)增强)(General Packet Radio Service(GPRS)Enhancements for Evolved Universal Terrestrial Radio Access Network(E-UTRAN)Access”(其公开内容通过引用全部并入本文中)中进行了描述。在5G网络中，接入网络在TS23.501，标题为“技术规范组服务和系统方面；用于5G系统的系统架构(TechnicalSpecification Group Services and System Aspects；System Architecture for the5G System)”(其公开内容通过引用全部并入本文中)中进行了描述。5G核心网络在TS23.502，标题为“技术规范组服务和系统方面；用于5G系统(5GS)的过程(TechnicalSpecification Group Services and System Aspects；Procedures for the 5GSystem(5GS))”(其公开内容通过引用全部并入本文中)中进行了描述。其他3GPP TS/TR文档可以提供本领域普通技术人员将了解的其他细节。例如，在UAS应用的上下文中，TS 23.256，标题为“支持无人驾驶空中系统(UAS)连接、识别和跟踪；阶段2(Support of UncrewedAerial Systems(UAS)Connectivity,Identification and Tracking；Stage 2)”和TS22.125，标题为“3GPP中的无人驾驶空中系统(UAS)支持；阶段1)(Unmanned Aerial System(UAS)Support in 3GPP；Stage 1”(其公开内容通过引用全部并入本文中)可以适用于将在本文进一步解释的说明性实施例。

然而，虽然非常适合于4G相关和/或5G相关3GPP标准，但实施例并非旨在限于任何特定标准，而是提供跨多个标准和架构的通用解决方案。

此外，如本文说明性地使用的，将引用各种缩写词，包括但不限于：

3GPP：第三代合作伙伴计划

AAA：认证、授权和计费

DN：数据网络

MME：移动性管理实体

NAS：非接入层

NEF：网络开放功能

PDN：分组数据网络

PCO：协议配置选项

PGW：PDN网关

SGW：服务网关

SMF：会话管理功能

TPAE：第三方授权实体

UAS：无人/无人驾驶空中系统

UAV：无人/无人驾驶飞行器

USS：UAS服务供应商

UTM：UAS业务管理

UUAA：USS UAV授权/认证

说明性实施例与4G和5G网络中的UAS认证/授权相关。在描述这样的说明性实施例之前，下面将描述4G网络(图1A)和5G网络(图1B)的某些主要组件的一般说明。

图1A示出了其中实现说明性实施例的4G通信系统100的一部分。应当理解，在通信系统100中所示的单元旨在表示在系统内提供的某些主要实体，例如，UE接入实体、移动性管理实体、认证实体等。因此，在图1A中所示的块引用了4G网络中提供这些主要实体的特定单元。然而，可以使用其他网络单元来实现所表示的主要实体的一些或全部。此外，应当理解，在图1A中并未描绘4G网络的所有实体。相反，表示了促进说明性实施例的解释的至少一些实体。后续附图可以进一步描绘这些实体以及附加实体(即，其可以更一般地被称为网络节点)。

因此，如图所示，通信系统100包括经由空中接口103与接入点(eNB)104通信的用户设备(UE)102。如上所述，在说明性实施例中，UE 102可以是UAS(例如，中插入的卡)的一部分。在本文中可以使用术语“具有空中能力的用户设备(aerial-capable userequipment)”以包含具有机载UE的各种不同类型的UAS(和UAV)，诸如但不限于无人机。

接入点104说明性地是通信系统100的接入网络的一部分。这样的接入网络可以包括例如具有多个基站和一个或多个相关联的无线电网络控制功能的4G RAN(E-UTRAN)系统。基站和无线电网络控制功能可以是逻辑上分离的实体，但在给定的实施例中可以在同一物理网络单元中实现。

在此说明性实施例中，接入点104在操作上被耦接到移动性管理实体(MME)106。除了其他网络操作之外，通信系统的核心网络部分中的移动性管理实体管理或以其他方式参与(通过接入点104)与UE的接入和移动性(包括认证/授权)操作。在本文中MME还可以更一般地被称为接入和移动性管理节点。

在此说明性实施例中，MME 106在操作上被耦接到附加网络实体108。如图所示，这些实体中的一些包括归属用户服务器(HSS)以及认证中心(AuC)。在本文中HSS和AuC(单独地或共同地)还可以更一般地被称为一个或多个认证节点。此外，附加实体108可以包括服务网关(SGW)和分组数据网络网关(PGW)。

注意，UE(诸如UE 102)通常签约(subscribed)到归属公共陆地移动网络(HPLMN)，实体106和108中的一些或全部驻留在其中。如果UE正在漫游(不在HPLMN中)，则它通常与受访公共陆地移动网络(VPLMN)(也被称为受访网络)相连接，而当前正在服务UE的网络被称为服务网络。在漫游情况下，网络实体106和108中的一些可以驻留在VPLMN中，在这种情况下，VPLMN中的实体根据需要与HPLMN中的实体通信。然而，在非漫游场景中，移动性管理实体106和其他网络实体108驻留在同一通信网络(即，HPLMN)中。本文描述的实施例不受哪些实体驻留在哪个PLMN(即，HPLMN或VPLMN)中的限制。

在此未描述4G网络的其他典型操作和实体，因为它们不是说明性实施例的焦点并且可以在适当的3GPP 4G文档中找到。

应当理解，这种系统单元的特定布置仅仅是示例，并且在其他实施例中可以使用其他类型和布置的附加或替代单元来实现通信系统。例如，在其他实施例中，系统100可以包括本文未明确示出的其他实体。

因此，图1A的布置只是无线蜂窝系统的一个示例配置，并且可以使用系统单元的多个替代配置。例如，虽然可以在图1A的实施例中示出单个实体，但这仅仅是为了描述的简单和清晰。给定的替代实施例当然可以包括更大数量的这种系统单元、以及通常与常规系统实现相关联的类型的附加或替代单元。

图1B示出了其中实现说明性实施例的5G通信系统110的一部分。应当理解，在通信系统110中所示的单元旨在表示在系统内提供的某些主要功能，例如，UE接入功能、移动性管理功能、认证功能等。因此，在图1B中所示的块引用了5G网络中提供这些主要功能的特定单元。然而，可以使用其他网络单元来实现所表示的某些主要功能的一些或全部。此外，应当理解，在图1B中并未描绘5G网络的所有功能。相反，表示了促进说明性实施例的解释的至少一些功能。后续附图可以进一步描绘这些功能以及附加功能(即，更一般地被称为网络节点)。

因此，如图所示，通信系统110包括经由空中接口113与接入点(gNB)114通信的用户设备(UE)112。此外，在说明性实施例中，UE 112包括UAS。

接入点114说明性地是通信系统110的接入网络的一部分。这样的接入网络可以包括例如具有多个基站和一个或多个相关联的无线电网络控制功能的NG-RAN系统。基站和无线电网络控制功能可以是逻辑上分离的实体，但在给定的实施例中可以在同一物理网络单元中实现。

在该说明性实施例中，接入点114在操作上被耦接到移动性管理功能116。在5G网络中，移动性管理功能由接入和移动性管理功能(AMF)实现。安全锚功能(SEAF)也可以利用将UE与移动性管理功能相连接的AMF来实现。如本文所使用的，移动性管理功能是通信系统的核心网络(CN)部分中的单元或功能(即，实体)，除了其他网络操作之外，它管理或以其他方式参与(通过接入点114)与UE的接入和移动性(包括认证/授权)操作。在本文中AMF还可以更一般地被称为接入和移动性管理节点。

在此说明性实施例中，AMF 116在操作上被耦接到附加功能118。如图所示，这些功能中的一些包括统一数据管理(UDM)功能以及认证服务器功能(AUSF)。在本文中AUSF和UDM(单独地或共同地)还可以更一般地被称为一个或多个认证节点。附加功能118还可以包括会话管理功能(SMF)、用户面功能(UPF)、策略控制功能(PCF)以及网络开放功能(NEF)。

注意，UE(诸如UE 112)通常签约到归属公共陆地移动网络(HPLMN)，功能116和118中的一些或全部驻留在其中。如果UE正在漫游(不在HPLMN中)，则它通常与受访公共陆地移动网络(VPLMN)(也被称为受访网络)相连接，而当前正在服务UE的网络被称为服务网络。在漫游情况下，网络功能116和118中的一些可以驻留在VPLMN中，在这种情况下，VPLMN中的功能根据需要与HPLMN中的功能通信。然而，在非漫游场景中，移动性管理功能116和其他网络功能118驻留在同一通信网络(即，HPLMN)中。本文描述的实施例不受哪些功能驻留在哪个PLMN(即，HPLMN或VPLMN)中的限制。

在此未描述这种网络的其他典型操作和功能，因为它们不是说明性实施例的焦点并且可以在适当的3GPP 5G文档中找到。注意，116和118中所示的功能是网络功能(NF)的示例。

应当理解，这种系统单元的特定布置仅仅是示例，并且在其他实施例中可以使用其他类型和布置的附加或替代单元来实现通信系统。例如，在其他实施例中，系统110可以包括本文未明确示出的其他单元/功能。

因此，图1B的布置只是无线蜂窝系统的一个示例配置，并且可以使用系统单元的多个替代配置。例如，虽然在图1B的实施例中示出单个功能，但这仅仅是为了描述的简单和清晰。给定的替代实施例当然可以包括更大数量的这种系统单元、以及通常与常规系统实现相关联的类型的附加或替代单元。

还应当注意，虽然图1B将系统单元示出为单个功能块，但构成5G网络的各种子网络被划分成所谓的网络切片。网络切片(网络分区)包括一系列网络功能(NF)集(即，功能链)，以用于使用公共物理基础架构上的网络功能虚拟化(NFV)的每个对应的服务类型。网络切片根据给定服务(例如，eMBB服务、大规模IoT服务、以及关键任务IoT服务)的需要而被实例化。因此，当创建网络切片或功能的实例时，该网络切片或功能被实例化。在一些实施例中，这涉及在底层物理基础架构的一个或多个主机设备上安装或以其他方式运行网络切片或功能。UE 112被配置为经由gNB 114接入这些服务中的一个或多个。

图2是说明性实施例中用于在通信系统中提供或以其他方式参与认证/授权的用户设备(UE)和网络节点的框图。系统200被示出为包括用户设备202和网络节点204。

应当理解，用户设备202表示UE 102(图1A)或UE 112(图1B)的一个示例，其在说明性实施例中包括UAS。还应当理解，网络节点204表示被配置为提供本文描述的安全管理和其他技术的任何网络实体和/或任何网络功能以及任何其他网络组件、单元/元件、服务等，例如但不限于AMF、SEAF和UDM(诸如基于SBA的5G核心网络(图1B)的一部分)，或者MME、HSS和AuC(诸如基于EPS的4G核心网络(图1A)的一部分)。

网络节点204还可以是核心网络外部(即，第三方外部企业网络)的网络实体、功能、节点、组件、单元/元件、服务等。此外，网络节点204可以表示一个或多个处理设备，其被配置为编排和管理核心网络或任何通信网络或系统内的一个或多个网络实体或功能的实例化。网络节点204可以是在UAS的认证/授权中直接或间接涉及的任何其他实体/功能，例如，如可在上面引用的TS 23.256和TS 22.125中描述的实体/功能和/或可在下面以其他方式描述的实体/功能。举例来说，在由DN-AAA的辅助DN认证/授权的情况下，网络节点204可以是DN-AAA服务器。

用户设备202包括被耦接到存储器216和接口电路210的处理器212。用户设备202的处理器212包括安全管理处理模块214，其可以至少部分地以由处理器执行的软件的形式实现。处理模块214执行与安全管理相关联的操作，如结合本文中后续附图和其他方面所描述的。用户设备202的存储器216包括安全管理存储模块218，其存储在安全管理操作期间生成或以其他方式使用的数据。

网络节点204包括被耦接到存储器226和接口电路220的处理器222。网络节点204的处理器222包括安全管理处理模块224，其可以至少部分地以由处理器222执行的软件的形式实现。处理模块224执行与安全管理相关联的操作，如结合本文中后续附图和其他方面所描述的。网络节点204的存储器216包括安全管理存储模块228，其存储在安全管理操作期间生成或以其他方式使用的数据。

处理器212和222可以包括例如微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)或其他类型的处理设备或集成电路、以及这种单元的部分或组合。这种集成电路设备及其部分或组合是本文使用的术语“电路”的示例。硬件和相关联的软件或固件的各种其他布置可以用于实现说明性实施例。此外，可以在完全虚拟化的环境中使用在云平台上运行的软件实现说明性实施例，以模拟各种网络功能。

存储器216和226可以用于存储一个或多个软件程序，这些软件程序由相应的处理器212和222执行以实现本文描述的功能的至少一部分。例如，可以使用由处理器212和222执行的软件代码以直接的方式实现如结合本文中后续附图和其他方面所描述的安全管理操作和其他功能。

因此，存储器216或226中的给定的一个可以被视为在本文中更一般地被称为计算机程序产品或者更一般地被称为处理器可读存储介质(在其中体现有可执行程序代码)的示例。处理器可读存储介质的其他示例可以包括磁盘或其他类型的磁性或光学介质及其任何组合。说明性实施例可以包括包含这种计算机程序产品或其他处理器可读存储介质的制品。

更具体地，存储器216或226可以包括例如电子随机存取存储器(RAM)(诸如静态RAM(SRAM)、动态RAM(DRAM))或其他类型的易失性或非易失性电子存储器。后者例如可以包括诸如闪存存储器、磁性RAM(MRAM)、相变RAM(PC-RAM)或铁电RAM(FRAM)之类的非易失性存储器。如本文所使用的，术语“存储器”旨在被广义地解释，并且可以附加地或可替代地包含例如只读存储器(ROM)、基于磁盘的存储器、或其他类型的存储设备、以及这种设备的部分或组合。

接口电路210和220说明性地包括收发机或其他通信硬件或固件，其允许相关联的系统单元以本文描述的方式彼此通信。

从图2可以看出，用户设备202被配置为经由它们相应的接口电路210和220与网络节点204通信，反之亦然。该通信涉及用户设备202向网络节点204发送数据，以及网络节点204向用户设备202发送数据。然而，在替代实施例中，其他网络节点可以在操作上被耦接在用户设备202与网络节点204之间。如本文所使用的，术语“数据”旨在被广义地解释，以便包含可以在用户设备与网络节点之间以及在网络实体之间发送的任何类型的信息，包括但不限于消息、标识符、密钥、指示符、用户数据、控制数据等。

应当理解，图2中所示的组件的特定布置仅仅是示例，并且在其他实施例中可以使用多个替代配置。例如，任何给定的网络节点都可以被配置为包含附加或替代组件并支持其他通信协议。

其他系统单元(诸如eNB 104和gNB 114)还可以各自被配置为包括诸如处理器、存储器和网络接口之类的组件。这些单元不需要在单独的独立处理平台上实现，而是可以例如表示单个公共处理平台的不同功能部分。

更进一步地，虽然图2示出了用户设备与网络节点之间的示例架构和互联(interconnectivity)，但图2还可以表示多个网络节点之间的示例架构和互联(例如，202可以表示一个网络节点，其在操作上被耦接到采用网络节点204的形式的另一个网络节点)。更一般地，图2可以被认为表示两个处理设备，其被配置为提供相应的安全管理功能并且在通信系统中在操作上彼此耦接。

如上所述，根据在TS 22.125中定义的用例和服务要求，TS 23.256规定了对4G/5G网络的架构增强以用于支持UAS连接、识别和跟踪。

图3示出了用于TS 23.256中描述的UAS应用的4G和5G通信网络的复合架构300，其可以用于实现一个或多个说明性实施例。通常如图所示，(UAS中的)UE302可以经由NG-RAN304(5G接入网络)在操作上耦接到复合架构300以便接入5GC 306(5G核心网络)。同样地，(UAS中的)UE302可以经由诸如E-UTRAN之类的RAN 308(4G接入网络)在操作上耦接到复合架构300以便接入EPC 310(4G核心网络)。UAS NF/NEF 312在操作上被耦接到5GC 306和/或EPC 310，或者以其他方式被并入为5GC 306和/或EPC 310的一部分。UAS NF/NEF在操作上被耦接到USS 314以接入数据网络316(例如PDN)。TPAE 318在操作上被耦接到数据网络316。注意，图3中的N、S和SG引用对应于用于连接网络节点的特定3GPP接口。

图4示出了描绘图3的复合架构300的进一步细节的复合架构400。如图所示，UE402-1和UE 402-2(它们可以是相同或不同的UE)分别经由E-UTRAN 404和NG-RAN 406连接到复合架构400。复合架构400包括4G接入和移动性控制器MME 408、5G接入和移动性控制器AMF 410、SGW 412、用户面控制器414(用于4G的PGW-U和用于5G的UPF)、控制面控制器416(用于4G的PGW-C和用于5G的SMF)、PCF 418、认证控制器420(用于4G的HSS和用于5G的UDM)、以及UAS NF/NEF 422。注意，UAS网络功能(UAS NF)由NEF支持，并且用于向USS(即，图3中的USS 314)进行服务的外部开放。下面将在图5的上下文中进一步描述这些和其他网络节点。

依据TS 23.256，在航空级别，UAS由民航局(CAA)级别UAV标识(ID)来标识。除了正常/主要UE认证/授权之外，3GPP系统还可以在允许向网络中的空中UE提供任何服务之前，由UAS服务供应商(USS)/UAS业务管理(UTM)执行UAV标识(CAA级别UAV ID)的认证/授权。对于5GS，可以在5GS注册时或在分组数据单元(PDU)会话建立期间执行CAA级别UAV ID的认证/授权。对于EPS，在PDN连接建立期间执行UAV认证/授权。

此外，TS 23.256定义了在EPS附着时在默认PDN连接期间的USS UAV授权/认证(UUAA)。3GPP Rel-17还在TS 23.501中定义了辅助DN认证/授权。

在USS UAV授权/认证(UUAA)和辅助DN认证/授权中的每一个期间的认证/授权过程可需要UE与认证实体(USS/UTM或DN AAA服务器)之间的认证相关的消息交换的多个往返。在EPC上，当UE请求建立PDN连接时，4G NAS和S11/S5/S8信令不期望在UE与PGW(PDN GW)之间交换超出PDN连接已建立的UE请求和网络应答(NAS默认承载激活)的额外信令。

依据在TS 23.256中定义的过程，在默认承载激活之后并且直到从认证实体(在UAS的情况下为USS/UTM，或者用于辅助DN认证/授权的DN AAA服务器)获得成功认证响应为止，在PGW(PDN GW)上应用接入控制以停止默认承载上的任何业务(traffic)。然而，本文意识到UE不知道PDN连接不能用于上行链路数据传输。此状况导致尽管上行链路数据不能按照UE预期地被传送到PDN，但UE还是尝试执行上行链路数据传输。因此，浪费了网络资源以及UE的处理能力，并且UE应用可能错误地认为它们可以开始接入数据网络。

说明性实施例提供了用于克服上述和其他挑战的解决方案。当在建立PDN连接(即，通过EPC)时应用辅助DN认证/授权或SM级别UUAA时，网络(PGW)向UE通知PDN连接在辅助DN认证/授权或SM级别UUAA成功的条件下被建立。根据说明性实施例，在网络(例如，PGW)向UE通知UE辅助DN认证/授权或SM级别UUAA已成功之前，UE不应向网络发送上行链路数据(或者如果它发送这样的数据，则数据可被网络丢弃)。

注意，根据TS 23.256，UUAA-MM是指在向5GS注册期间可选地执行的UUAA过程，而UUAA-SM是指在建立PDU会话期间可选地执行(当未执行UUAA-MM时)的UUAA过程，以及在建立PDN连接期间执行的UUAA过程。

图5示出了在PDN连接建立(即，针对EPC)时执行的用于执行SM级别UUAA的消息流500。虽然图5仅示出了SM级别UUAA过程，但说明性实施例同样适用于由DN-AAA的辅助DN认证/授权(例如，针对UE使用EAP/TLS以获得数据网络上由AAA服务器的认证和授权)。如图所示，消息流500涉及UE 502、RAN 504、MME 506、SGW 508、被表示为SMF+PGW-C 510和PGW-U512的PGW、UAS NF/NEF 514、以及USS 516。

一般而言，UE 502首先由通信网络基于通信网络的凭证(例如，使用基于通用用户标识模块(USIM)的认证)来认证(由MME 506完成，针对4G网络)。当这完成时，通信网络开始考虑针对连接到数据网络的UE请求(这可考虑与数据网络相关的其他凭证)。

在步骤1，UE 502发起EPS附着(EPS Attach)过程，例如，如在TS 23.401的图5.3.2.1-1中的步骤1-13和TS 23.502的图4.11.1.5.2-1中的步骤1-2或TS 23.502中的条款4.11.2.4中所述。UE 502在附着请求(Attach Request)中包括服务级别设备标识(例如，在UAV的情况下为CAA级别UAV ID)，并且可以在协议配置选项(PCO)中包括如认证实体(即，在UAV的情况下为USS 516，或者在辅助DN认证/授权的情况下为DN-AAA服务器)所需的认证数据。

在步骤2，PGW(在5GC-EPC互通的情况下为SMF+PGW-C 510)确定PDN连接请求需要由认证实体/服务器(即，在UAV的情况下为USS516，或者在辅助DN认证/授权的情况下为DN-AAA服务器)进行认证/授权，并配置接入控制列表(ACL)以停止默认PDN连接上的任何业务。

在步骤3，在调用SM级别UUAA(即，UUAA-SM)过程(或由DN-AAA的辅助DN认证/授权)之前，完成附着过程，例如，如在TS 23.401的图5.3.2.1-1中的步骤14-22中所述。在附着过程期间，当PGW(SMF+PGW-C 510)返回创建会话响应(Create Session Response)时(如在TS23.401中的图5.3.2.1-1的步骤15中所述)，PGW在PCO(协议配置选项)中包括向UE 502的在PDN连接上上行链路数据传输尚未被允许的指示。这样做是为了使能在UE 502与认证UE502的认证实体/服务器(USS 516或DN AAA服务器)之间认证相关的消息交换的多个往返的可能性，因为MME 506在网络已发送附着接受(Attach Accept)之前不能与UE 502交换NASSM传输。在附着完成(以及默认承载激活)之后，如果UE 502已接收到“上行链路数据传输未被允许”的指示(即，第一通知)，则UE不向网络发送(即，避免发送)上行链路数据，直到它进一步从网络接收到在PDN连接上“上行链路数据传输被允许”的指示(即，第二通知)。

在步骤4，PGW(SMF+PGW-C 510)发起认证/授权过程。在消息流500(即，针对UUAA-SM)中，它遵循如在3GPP TS 23.256中的图5.2.3.2-1的步骤1-2中描述的认证/授权过程。对于辅助DN认证，PGW遵循TS 23.502的图4.3.2.3-1的步骤2和3以进行由DN-AAA的PDU会话建立认证/授权。

在步骤5，可存在由认证实体/服务器(例如，USS 516或DN-AAA)使用的认证方法所需的多个往返消息。包括来自认证实体/服务器(例如，USS 516或DN-AAA)的认证消息的PCO由PGW(SMF+PGW-C 510)在更新承载请求(Update Bearer Request)和下行链路NAS传输(Downlink NAS Transport)中传送到UE 502(步骤5b-5d)。来自UE 502的响应在上行链路NAS传输(Uplink NAS Transport)和更新承载响应(Update Bearer Response)中被传送到PGW(SMF+PGW-C 510)(步骤5e-5g)。使用PCO和更新承载过程允许最小化对MME 506的影响并且对SGW 508没有任何影响。

在步骤6，利用认证实体/服务器完成认证/授权过程并接收认证/授权结果。在消息流500(即，针对UUAA)中，它遵循如在3GPP TS 23.256中的图5.2.3.2-1的步骤4-5中描述的认证/授权过程。

在成功的UUAA-SM(或由DN-AAA的辅助DN认证/授权)之后，在步骤7，PGW(SMF+PGW-C 510)更新ACL以允许通过PDN连接的业务。

进一步地，在步骤8，PGW(或SMF+PGW-C 510)发送更新承载请求(Update BearerRequest)，在PCO中包括向UE 502的在PDN连接上上行链路数据传输现在被允许的指示。PGW(SMF+PGW-C 510)还可以包括需要被传送到UE 502的认证/授权结果和授权数据。

有利地，如本文所示，说明性实施例提供了UE首先由通信网络基于通信网络的凭证(例如，使用基于USIM的认证)来认证(由MME完成，针对4G网络)。当这完成时，通信网络开始考虑针对连接到数据网络的UE请求。作为处理针对连接到数据网络的UE请求的一部分，通信网络发送向数据网络的上行链路数据传输未被允许的第一通知，进而基于数据网络标识符完成由数据网络的认证，进而通信网络发送向数据网络的上行链路数据传输被允许的第二通知。例如，在UAS的情况下，UE提供CAA级别ID，其可以被称为服务级别设备标识。对于基于DN-AAA的辅助DN认证/授权，此标识可以被称为DN特定的标识。

给定本文的本发明教导，可以以直接的方式实现用于由DN-AAA的辅助DN认证/授权的类似的消息流。更具体地，在TS 23.501和TS 23.502中描述了用于在5GS中建立PDU会话期间由DN-AAA服务器的辅助认证/授权的过程。在EPC(互通)情况下支持辅助DN认证和授权当前也被视为针对5GC-EPC互通的挑战/差距。因此，说明性实施例旨在更一般地在任何UE(即，不必是在UAS中实现的UE)中实现。

结合本文描述的附图而描述的特定处理操作和其他系统功能仅仅作为说明性示例提供，并且不应被解释为以任何方式限制本公开的范围。替代实施例可以使用其他类型的处理操作和消息传送协议。例如，在其他实施例中，步骤的排序可以改变，或者某些步骤可以至少部分地彼此同时执行而不是连续地执行。此外，可以周期性地重复一个或多个步骤，或者可以彼此并行地执行方法的多个实例。

应当再次强调，本文描述的各种实施例仅仅作为说明性示例提供，而不应被解释为限制权利要求的范围。例如，替代实施例可以利用与以上在说明性实施例的上下文中所描述的那些不同的通信系统配置、用户设备配置、基站配置、提供和使用过程、消息传送协议和消息格式。在所附权利要求的范围内的这些和许多其他替代实施例对于本领域技术人员来说将是显而易见的。