[go: up one dir, main page]

ES2978139T3 - Método para operar un equipo de usuario dentro o como parte de una red de telecomunicaciones, equipo de usuario, sistema o red de telecomunicaciones, función o funcionalidad de autorización de aplicación, programa y producto de programa informático - Google Patents

Método para operar un equipo de usuario dentro o como parte de una red de telecomunicaciones, equipo de usuario, sistema o red de telecomunicaciones, función o funcionalidad de autorización de aplicación, programa y producto de programa informático Download PDF

Info

Publication number
ES2978139T3
ES2978139T3 ES21195884T ES21195884T ES2978139T3 ES 2978139 T3 ES2978139 T3 ES 2978139T3 ES 21195884 T ES21195884 T ES 21195884T ES 21195884 T ES21195884 T ES 21195884T ES 2978139 T3 ES2978139 T3 ES 2978139T3
Authority
ES
Spain
Prior art keywords
application
functionality
user equipment
network
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES21195884T
Other languages
English (en)
Inventor
Ikuno Josep Colom
Dieter Gludovacz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Application granted granted Critical
Publication of ES2978139T3 publication Critical patent/ES2978139T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

La invención se refiere a un método para operar un equipo de usuario dentro o como parte de una red de telecomunicaciones, en donde el funcionamiento del equipo de usuario implica el funcionamiento de una aplicación o una funcionalidad de capa de aplicación del equipo de usuario, en donde la red de telecomunicaciones comprende o está asociada o asignada a una red de acceso y a una red central, en donde la red central proporciona al equipo de usuario conectividad de datos hacia una red de datos, en donde el funcionamiento de la aplicación o de la funcionalidad de capa de aplicación del equipo de usuario requiere que se establezca al menos una sesión de transmisión de datos entre el equipo de usuario y la red central, en donde el equipo de usuario comprende o está asignado a o es capaz de acceder a una función o funcionalidad de autorización de aplicación, en donde la función o funcionalidad de autorización de aplicación autoriza a la aplicación o a la funcionalidad de capa de aplicación a acceder a la al menos una sesión de transmisión de datos, en donde, para que la aplicación o la funcionalidad de capa de aplicación intercambien datos de carga útil con o se conecten a la red central y/o a la red de datos, utilizando la al menos una sesión de transmisión de datos, el método comprende los siguientes pasos: en un primer paso, la aplicación o la funcionalidad de capa de aplicación transmite un mensaje de solicitud de acceso de aplicación a la función de autorización de aplicación o funcionalidad, comprendiendo el mensaje de solicitud de acceso a la aplicación al menos una pieza de información de credenciales relacionada con la aplicación o la funcionalidad de la capa de aplicación,-- en un segundo paso, la función o funcionalidad de autorización de la aplicación transmite - en caso de que la función o funcionalidad de autorización de la aplicación determine que el mensaje de solicitud de acceso a la aplicación es válido - un mensaje de concesión de acceso a la aplicación a la aplicación o a la funcionalidad de la capa de aplicación. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Método para operar un equipo de usuario dentro o como parte de una red de telecomunicaciones, equipo de usuario, sistema o red de telecomunicaciones, función o funcionalidad de autorización de aplicación, programa y producto de programa informático
Antecedentes
La presente invención se refiere a un método para operar un equipo de usuario dentro o como parte de una red de telecomunicaciones, en donde la operación del equipo de usuario implica la operación de una aplicación o una funcionalidad de capa de aplicación del equipo de usuario, en donde la operación de la aplicación o de la funcionalidad de la capa de aplicación del equipo de usuario requiere que se establezca al menos una sesión de transmisión de datos entre el equipo de usuario y la red central con el fin que la aplicación o la funcionalidad de la capa de aplicación intercambien datos de carga útil o se conecten a la red central y/o a la red de datos, utilizando al menos una sesión de transmisión de datos.
Además, la presente invención se refiere a un equipo de usuario para ser operado dentro o como parte de una red de telecomunicaciones, en donde la operación del equipo de usuario implica la operación de una aplicación o una funcionalidad de capa de aplicación del equipo de usuario, en donde el funcionamiento de la aplicación o de la funcionalidad de la capa de aplicación del equipo de usuario requiere que se establezca al menos una sesión de transmisión de datos entre el equipo de usuario y la red central para que la aplicación o la funcionalidad de la capa de aplicación intercambien datos de carga útil con o para ser conectado a la red central y/o a la red de datos, utilizando al menos una sesión de transmisión de datos.
Además, la presente invención se refiere a un sistema o red de telecomunicaciones para operar un equipo de usuario dentro o como parte de la red de telecomunicaciones, en donde la operación del equipo de usuario implica la operación de una aplicación o una funcionalidad de capa de aplicación del equipo de usuario, en donde el funcionamiento de la aplicación o de la funcionalidad de la capa de aplicación del equipo de usuario requiere que se establezca al menos una sesión de transmisión de datos entre el equipo de usuario y la red central con el fin que la aplicación o la funcionalidad de la capa de aplicación intercambien datos de carga útil con o para conectarse a la red central y/o a la red de datos, utilizando al menos una sesión de transmisión de datos.
Además, la presente invención se refiere a una función o funcionalidad de autorización de aplicación de un sistema o red de telecomunicaciones de acuerdo con la presente invención.
Además, la presente invención se refiere a un programa y a un medio legible por ordenador de acuerdo con el método inventivo para operar un equipo de usuario dentro o como parte de la red de telecomunicaciones.
En las redes de telecomunicaciones conocidas convencionalmente, normalmente existe una diferenciación entre una red de acceso (también denominada AN en el contexto de la presente invención), y una red central (también denominada CN en el contexto de la presente invención). Un equipo de usuario forma parte de dichas redes de telecomunicaciones o está conectado a ellas. Especialmente en el caso de redes de comunicaciones móviles, la red de acceso es una red de acceso por radio. En el caso de una red de comunicaciones móviles, el equipo de usuario se comunica con la red de acceso por radio a través de una interfaz de radio, la cual se utiliza para transmitir tanto información de señalización como tráfico de datos (carga útil). Incluso si existe una separación lógica (por ejemplo, en forma de canales lógicos como las interfaces N1/N2 versus N3 en el caso de una red de telecomunicaciones de acuerdo con el estándar 5G), ambos tipos de datos terminan transmitiéndose por el mismo medio físico. Una situación análoga (de transmitir tanto información de señalización como tráfico de datos (de carga útil) a través del mismo medio físico, por ejemplo una línea de suscripción digital) también se aplica en el caso de redes de telecomunicaciones de línea fija. Sin embargo, en diversas circunstancias, lo que se busca es que el equipo del usuario esté conectado a una red de datos; para ello es necesaria una sesión de transmisión de datos, por ejemplo en forma de una sesión PDU en el caso de una red de telecomunicaciones de acuerdo con el estándar 5G.
Una sesión de transmisión de datos (o sesión de PDU) es un canal lógico de transporte de datos terminado en la red central que proporciona conectividad a una red de datos; la sesión de transmisión de datos (o sesión de PDU) normalmente tiene un punto de terminación, por ejemplo, una función de plano de usuario (UPF) en el caso de una red de telecomunicaciones de acuerdo con el estándar 5G, que también es un anclaje de sesión de transmisión de datos terminado (o anclaje de sesión de PDU). A la vez que un equipo de usuario se mueve (por ejemplo, realizando operaciones de traspaso dentro de una red de comunicación móvil, especialmente una red de acceso por radio), el anclaje de la sesión de transmisión de datos normalmente permanece constante (de ahí el término “ancla”).
Actualmente, diferentes aplicaciones (o funcionalidades de capa de aplicación) realizadas en o mediante un equipo de usuario normalmente pueden interactuar con la red de telecomunicaciones o partes o entidades de la misma o partes o entidades conectadas a la misma, tales como, típicamente, la red de datos. Sin embargo, las posibilidades o capacidades de tales aplicaciones (por ejemplo, con respecto a qué acceso está disponible para qué servicio y bajo qué condiciones) dependen convencionalmente de la suscripción del equipo del usuario, y no hay control de acceso (es decir, autorización) ni métodos de autenticación con base en la granularidad de cada aplicación. Hay formas de autenticar el registro (del equipo de usuario) en una red, en un segmento específico, y en una sesión de PDU determinada, pero no dentro de una sesión de PDU. La técnica anterior relacionada se divulga en el borrador S4-211240 del 3GPP, titulado “3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study on 5G media streaming extensions (Release 17)” y en el borrador S4-211080 del 3GPP, titulado “Considerations on Per-Application Authorization”, así como en las publicaciones de solicitud de patente WO 2020/163760 A2 y US 2017/257791 A1.
Resumen
Un objeto de la presente invención es proporcionar una solución técnicamente simple, efectiva y rentable para operar un equipo de usuario dentro o como parte de una red de telecomunicaciones, en donde la operación del equipo de usuario implica la operación de una aplicación o una funcionalidad de capa de aplicación del equipo de usuario, y en donde el acceso de la aplicación o la funcionalidad de capa de aplicación a una sesión de transmisión de datos (a al menos una sesión de transmisión de datos) se puede controlar y vigilar de una manera específica de la aplicación. Un objeto adicional de la presente invención es proporcionar un correspondiente equipo de usuario, sistema o red de comunicaciones móviles, función o funcionalidad de autorización de aplicaciones, y un correspondiente programa y medio legible por ordenador.
Las reivindicaciones independientes adjuntas definen el alcance de protección de la presente invención. El objeto de la presente invención se logra mediante un método para operar un equipo de usuario dentro o como parte de una red de telecomunicaciones, en donde la operación del equipo de usuario implica la operación de una aplicación o una funcionalidad de capa de aplicación del equipo de usuario,
en donde la red de telecomunicaciones comprende o está asociada o asignada a una red de acceso y a una red central, en donde la red central proporciona al equipo de usuario conectividad de datos hacia una red de datos,
en donde la operación de la aplicación o de la funcionalidad de la capa de aplicación del equipo de usuario requiere que se establezca al menos una sesión de transmisión de datos entre el equipo de usuario y la red central,
en donde el equipo de usuario comprende o está asignado o es capaz de acceder a una función o funcionalidad de autorización de la aplicación, en donde la función o funcionalidad de autorización de la aplicación autoriza a la aplicación o la funcionalidad de la capa de aplicación a acceder a al menos una sesión de transmisión de datos, en donde, con el fin que la aplicación o la funcionalidad de la capa de aplicación intercambien datos de carga útil con o se conecten a la red central y/o la red de datos, utilizando al menos una sesión de transmisión de datos, el método comprende las siguientes etapas:
- en una primera etapa, la aplicación o la funcionalidad de la capa de aplicación transmite un mensaje de solicitud de acceso a la aplicación a la función o funcionalidad de autorización de la aplicación, comprendiendo el mensaje de solicitud de acceso a la aplicación al menos una pieza de información de credencial que está relacionada con la aplicación o la capa de aplicación funcionalidad,
- en una segunda etapa, la función o funcionalidad de autorización de la aplicación transmite - en caso de que la función o funcionalidad de autorización de la aplicación determine que el mensaje de solicitud de acceso a la aplicación es válido - un mensaje de concesión de acceso a aplicación a la aplicación o a la funcionalidad de la capa de aplicación.
Por lo tanto, es ventajosamente posible de acuerdo con la presente invención que mediante la aplicación o la funcionalidad de la capa de aplicación que solicita y la función o funcionalidad de autorización de la aplicación que proporciona acceso a la sesión de transmisión de datos (es decir, la aplicación o la funcionalidad de la capa de aplicación que transmite una mensaje de solicitud de acceso a la aplicación (que comprende al menos una pieza de información de credencial relacionada con la aplicación o la funcionalidad de la capa de aplicación) a la función o funcionalidad de autorización de la aplicación, y la función o funcionalidad de autorización de la aplicación que se transmite (en caso de que el mensaje de solicitud de acceso a la aplicación sea determinado, por la función o funcionalidad de autorización de la aplicación, como válido) un mensaje de concesión de acceso a la aplicación a la aplicación o la funcionalidad de la capa de aplicación), es posible que la aplicación o la funcionalidad de la capa de aplicación intercambien datos de carga útil con o estén conectados a la red central y/o la red de datos, utilizando la (al menos una) sesión de transmisión de datos, de una manera específica de la aplicación. En relación con esto, es ventajosamente posible proporcionar servicios diferenciados relacionados con cómo y dónde se implementan dichos servicios en la red de telecomunicaciones, por ejemplo, servicios de borde, servicios de baja latencia, características específicas, etc., y quién tiene acceso a qué servicios, es decir qué servicios están permitidos para una suscripción determinada (de un equipo de usuario) y/o para qué aplicaciones o funcionalidades de capa de aplicación bajo qué condiciones.
Convencionalmente, el alcance de una red móvil (o, más generalizadamente, de una red de telecomunicaciones) se compone del equipo de usuario, la red de acceso, la red central y una o una pluralidad de redes de datos. Convencionalmente, se da a entender que la información de acceso, servicio y suscripción se relaciona con una suscripción de equipo de usuario, y que, convencionalmente, no hay forma de utilizar métodos de control/autorización y autenticación de acceso en función de la granularidad por aplicación. En general existen formas de autenticar el registro en una red, en un segmento específico, y en el establecimiento de una sesión de PDU determinada, pero no dentro de una sesión de PDU.
De acuerdo con la presente invención, es ventajosamente posible, por ejemplo, limitar el acceso a segmentos de red específicos a determinadas aplicaciones, para cargar en una aplicación de manera específica, especialmente el tráfico específico de la aplicación con base en los flujos de aplicaciones y, más en general hablando, para poder controlar el acceso a la conectividad de datos por aplicación en lugar de (o además) por suscriptor. Por lo tanto, de acuerdo con la presente invención, es ventajosamente posible que los operadores de red tengan la posibilidad de ofrecer conectividad no (sólo) a suscriptores específicos (por ejemplo, un cliente físico o un equipo de usuario), sino más bien a aplicaciones, es decir, de una manera específica de la aplicación. Esto significa que los servicios a los cuales un determinado equipo de usuario puede acceder no sólo están dictados por los datos de suscripción de ese determinado equipo de usuario (o con los cuales está relacionado este equipo de usuario), sino más bien por los “datos de suscripción de la aplicación” (es decir, a través de la aplicación o la funcionalidad de la capa de aplicación que solicita y la función de autorización de la aplicación o la funcionalidad que proporciona acceso a la sesión de transmisión de datos).
Con el fin de establecer una conexión de datos que permita al equipo de usuario (o cualquier equipo de usuario) comunicarse con una red de datos, se requiere una sesión de transmisión de datos (especialmente una sesión de PDU). Una sesión de transmisión de datos (o sesión de PDU) es un canal lógico de transporte de datos, normalmente terminado en la red central, que proporciona conectividad a una red de datos. El punto de terminación de una sesión de transmisión de datos determinada (o sesión de PDU), normalmente una función del plano de usuario en el contexto de una red de telecomunicaciones 5G) -, es el ancla de sesión de transmisión de datos terminada (o ancla de sesión de PDU, PSA, especialmente en 5G). A la vez que el equipo de un usuario se mueve (por ejemplo, en caso de traspaso), el anclaje de la sesión de transmisión de datos normalmente permanece bastante constante. Se establece una sesión de transmisión de datos (o sesión de PDU) entre el equipo de usuario y la red central de la siguiente manera, es decir, de acuerdo con las siguientes etapas de procesamiento:
el equipo de usuario envía una solicitud de establecimiento de sesión (es decir, un mensaje correspondiente) a la red central; la sesión de transmisión de datos la establece la red central; la red central envía una aceptación de establecimiento de sesión de transmisión de datos (es decir, un mensaje correspondiente) al equipo de usuario; como resultado de estas etapas de procesamiento, el equipo de usuario, y especialmente una aplicación o una funcionalidad de capa de aplicación dentro o como parte del equipo de usuario, es capaz de enviar tráfico de datos a la red de datos (accesible por o a través de la red central) y/o para recibir tráfico de datos a partir de la red de datos, utilizando la sesión de transmisión de datos o sesión de PDU.
De acuerdo con la presente invención, el equipo de usuario comprende o está asignado o es capaz de acceder a una función o funcionalidad de autorización de aplicación, en donde la función o funcionalidad de autorización de aplicación autoriza a la aplicación o a la funcionalidad de capa de aplicación a acceder a la sesión de transmisión de datos considerada o una pluralidad de sesiones de transmisión de datos consideradas (es decir, al menos una sesión de transmisión de datos). El intercambio de datos de carga útil (o tráfico de datos), o la conectividad, entre la aplicación o la funcionalidad de la capa de aplicación, por un lado, y la red central y/o la red de datos, por otro lado, requiere al menos un sesión de transmisión de datos.
La red de telecomunicaciones normalmente comprende una red de acceso y una red central. Sin embargo, la presente invención también está relacionada con situaciones en donde la red de telecomunicaciones no comprende, estrictamente hablando, tanto una red de acceso como una red central, sino que la red de telecomunicaciones sólo está asociada o asignada a una red de acceso (y especialmente comprende la red central), o donde la red de telecomunicaciones sólo está asociada o asignada a una red central (y especialmente comprende la red de acceso), o donde la red de telecomunicaciones sólo está asociada o asignada tanto a una red de acceso como a una red central. De acuerdo con la presente invención, la red central proporciona especialmente al equipo de usuario conectividad de datos hacia una red de datos, por lo que la red central, al menos parcialmente, realiza la funcionalidad 5G.
De acuerdo con la presente invención, es ventajosamente posible realizar de que podría requerirse que una aplicación solicite acceder o utilizar (para que su tráfico de datos o datos de carga útil se transmitan hacia y a partir de la red de datos) a o la considerada sesión de transmisión de datos (mediante la transmisión del mensaje de solicitud de acceso a la aplicación a la función o funcionalidad de autorización de la aplicación). Sólo en caso de que se conceda esta solicitud (mediante el mensaje de concesión de acceso a la aplicación transmitido a (y recibido por) la aplicación o la funcionalidad de la capa de aplicación), la aplicación o la funcionalidad de la capa de aplicación puede (o se le permite) acceder a la sesión de transmisión de datos y, por supuesto, esta concesión también podría ser denegada por la función o funcionalidad de autorización de la aplicación (en caso de que la función o funcionalidad de autorización de la aplicación determine que el mensaje de solicitud de acceso a la aplicación no es válido).
De acuerdo con la presente invención, es además ventajosamente posible y preferido que el funcionamiento del equipo de usuario implique además el funcionamiento de una aplicación adicional o una funcionalidad de capa de aplicación adicional del equipo de usuario, en donde el funcionamiento de la aplicación adicional o de la funcionalidad de capa de aplicación adicional del equipo de usuario también utiliza al menos una sesión de transmisión de datos establecida entre el equipo de usuario y la red central, en donde, con el fin que la aplicación adicional o la funcionalidad de capa de aplicación adicional intercambien datos de carga útil con o para estar conectado a la red central y/o a la red de datos, utilizando al menos una sesión de transmisión de datos: la aplicación adicional o la funcionalidad de capa de aplicación adicional transmite un mensaje de solicitud de acceso a la aplicación adicional a la función o funcionalidad de autorización de la aplicación, el mensaje de solicitud de acceso a la aplicación adicional que comprende al menos una pieza de información de credencial adicional que está relacionada con la aplicación adicional o la funcionalidad de capa de aplicación adicional, y transmite la función o funcionalidad de autorización de aplicación - en caso de que el mensaje de solicitud de acceso a aplicación adicional esté determinado, por la función de autorización de aplicación o funcionalidad, para que sea válida - un mensaje de concesión de acceso a la aplicación adicional para la aplicación adicional o la funcionalidad de la capa de aplicación adicional.
Por lo tanto, es ventajosamente posible de acuerdo con la presente invención que el acceso a la sesión de transmisión de datos (o a diferentes sesiones de transmisión de datos) esté condicionado tanto a la aplicación (y/o a la funcionalidad de la capa de aplicación) como a la aplicación adicional (y/o la funcionalidad de capa de aplicación adicional) solicitando este acceso al utilizar al menos una pieza específica de información de credencial (es decir, la al menos una pieza de información de credencial en el caso de la aplicación o la funcionalidad de capa de aplicación, y la al menos una pieza de información de credencial adicional en el caso de la aplicación adicional o de la funcionalidad de capa de aplicación adicional) - por lo tanto, la concesión de este acceso a la sesión de transmisión de datos (o la pluralidad de sesiones de transmisión de datos) es específica de la aplicación de acuerdo con la presente invención.
De acuerdo con la presente invención, es además ventajosamente posible y preferido que al menos una pieza de información de credencial sea o corresponda o comprenda un certificado o información de certificado y/o una información de token.
De este modo, el concepto inventivo se puede realizar comparativamente fácilmente utilizando tipos convencionalmente conocidos de información de credencial o piezas de información de credencial tales como, por ejemplo, certificados y/o tokens, así como piezas de información derivadas de los mismos.
Además, es ventajosamente posible y preferido que el mensaje de solicitud de acceso a la aplicación, la al menos una pieza de información de credencial, y el mensaje de concesión de acceso a la aplicación sean específicos de la aplicación o específicos del grupo de aplicaciones, respectivamente.
De este modo, es ventajosamente posible mejorar, por ejemplo, el nivel de seguridad utilizando (entre diferentes aplicaciones o funcionalidades de capa de aplicación, o entre diferentes grupos de aplicaciones o diferentes grupos de funcionalidades de capa de aplicación) diferentes mensajes de solicitud de acceso a aplicaciones, diferentes piezas de información de credencial, y diferentes mensajes de concesión de acceso a aplicaciones que son específicos de la aplicación respectiva (o funcionalidad de capa de aplicación) o grupo de las mismas.
Además, es ventajosamente posible y preferido de acuerdo con la presente invención que la información de credencial se refiera a dos o más aplicaciones o funcionalidades de la capa de aplicación, especialmente a un grupo de aplicaciones o funcionalidades de la capa de aplicación.
Por lo tanto, es ventajosamente posible que - en caso de que el acceso a una sesión de transmisión de datos ya haya sido solicitado y proporcionado o concedido a una primera aplicación o funcionalidad de la primera capa de aplicación (del grupo considerado de aplicaciones o grupo de funcionalidades de la capa de aplicación) - una segunda aplicación o una segunda funcionalidad de capa de aplicación (del grupo de aplicaciones considerado o del grupo de funcionalidades de capa de aplicación) puede utilizar directamente el acceso concedido a la respectiva sesión de transmisión de datos.
Además, de acuerdo con la presente invención es ventajosamente posible y preferido que al menos una información de credencial sea válida para dos o más sesiones de transmisión de datos.
Por lo tanto, es ventajosamente posible que una aplicación o funcionalidad de capa de aplicación a la que ya se le ha concedido acceder a una primera sesión de transmisión de datos pueda acceder también a una segunda sesión de transmisión de datos (sin que necesariamente se requiera volver a solicitar ese acceso con respecto a la segunda sesión de transmisión de datos).
Además, es ventajosamente posible y preferido de acuerdo con la presente invención que, en una tercera etapa posterior a la segunda etapa, la aplicación o la funcionalidad de la capa de aplicación del equipo de usuario utilice la al menos una sesión de transmisión de datos para intercambiar datos de carga útil con o para transmitir datos de carga útil y/o recibir datos de carga útil a partir de la red central y/o la red de datos.
Además, es ventajosamente posible y preferido de acuerdo con la presente invención que la al menos una sesión de transmisión de datos sea una sesión de PDU, una sesión de unidad de datos de protocolo.
Además, es ventajosamente posible y preferido de acuerdo con la presente invención que, en una cuarta etapa posterior a la primera etapa y antes de la segunda etapa, la función o funcionalidad de autorización de la aplicación consulte la red central, especialmente una función de servidor de autorización. Por lo tanto, con respecto a al menos una pieza de información de credencial, especialmente para determinar si el mensaje de solicitud de acceso a la aplicación es válido o no.
De este modo, es ventajosamente posible que la validez del mensaje de solicitud de acceso a la aplicación pueda comprobarse o verificarse de forma centralizada, por ejemplo mediante la función del servidor de autorización de la red central.
De acuerdo con una realización preferida adicional de la presente invención, la cuarta etapa implica, después de haber sido establecida o generada la sesión de PDU, que el equipo de usuario intercambie mensajes de modificación de sesión de PDU con la red central, especialmente la función de servidor de autorización en la misma,
en donde especialmente el establecimiento o generación o modificación posterior de la sesión de PDU comprende una indicación de una capacidad relacionada con el manejo de mensajes de solicitud de acceso a la aplicación y mensajes de concesión de acceso a la aplicación y/o una indicación de la necesidad de usar o manejar mensajes de solicitud de acceso a la aplicación y mensajes de concesión de acceso a la aplicación.
A través del equipo de usuario que intercambia mensajes de modificación de sesión de PDU con la red central, especialmente la función de servidor de autorización en la misma, es ventajosamente posible que los beneficios inventivos puedan realizarse comparativamente fácilmente usando un mecanismo o manera establecida para modificar la sesión de transmisión de datos o la sesión de PDU.
Mediante el uso de la indicación de una capacidad (relacionada con el manejo de mensajes de solicitud de acceso a aplicaciones y mensajes de concesión de acceso a aplicaciones) y/o la indicación de la necesidad (para usar o manejar mensajes de solicitud de acceso a aplicaciones y mensajes de concesión de acceso a aplicaciones) es ventajosamente posible - especialmente durante la cuarta etapa, o durante una quinta etapa antes de la primera etapa - modificar la sesión de transmisión de datos o la sesión de PDU de tal manera que el mecanismo inventivo sea posible y/o incluso requerido, especialmente requerido para una determinada aplicación o funcionalidad de capa de aplicación o para un determinado grupo (específicamente definido) de aplicaciones o funcionalidades de capa de aplicación o para una determinada clase de aplicaciones o funcionalidades de capa de aplicación.
Además, es ventajosamente posible y preferido de acuerdo con la presente invención que durante la cuarta etapa, la función o funcionalidad de autorización de la aplicación consulte o recupere información del flujo de la aplicación -relacionada con al menos una pieza de información de credencial o relacionada con la aplicación o a la funcionalidad de la capa de aplicación o al grupo de aplicaciones o al grupo de funcionalidades de la capa de aplicación - a partir de la red central, especialmente a partir de una función de gestión de sesión en la misma, en donde especialmente, la información del flujo de aplicación se usa para indicar, dentro de la sesión de transmisión de datos, datos de carga útil relacionados con las credenciales de la aplicación (o credenciales del grupo de aplicaciones), a la vez que la aplicación o la funcionalidad de la capa de aplicación del equipo de usuario utiliza al menos una sesión de transmisión de datos para intercambiar datos de carga útil con o para transmitir datos de carga útil y/o recibir datos de carga útil de la red central y/o de la red de datos.
Por lo tanto, es posible ventajosamente, de acuerdo con la presente invención, etiquetar - dentro de la sesión de transmisión de datos, es decir, típicamente dentro de la sesión de PDU - los datos de carga útil (o tráfico de datos) de la aplicación respectiva o funcionalidad de capa de aplicación (o del respectivo grupo de aplicaciones o grupo de funcionalidades de la capa de aplicación).
Además, la presente invención se refiere a un equipo de usuario para ser operado dentro o como parte de una red de telecomunicaciones, en donde la operación del equipo de usuario implica la operación de una aplicación o una funcionalidad de capa de aplicación del equipo de usuario,
en donde el equipo de usuario está configurado para comunicarse con o como parte de la red de telecomunicaciones y con una red de acceso y una red central de la misma, en donde la red central proporciona al equipo de usuario conectividad de datos hacia una red de datos,
en donde el funcionamiento de la aplicación o de la funcionalidad de la capa de aplicación del equipo de usuario requiere que se establezca al menos una sesión de transmisión de datos entre el equipo de usuario y la red central,
en donde el equipo de usuario comprende o está asignado o es capaz de acceder a una función o funcionalidad de autorización de la aplicación, en donde la función o funcionalidad de autorización de la aplicación autoriza a la aplicación o la funcionalidad de la capa de aplicación a acceder a al menos una sesión de transmisión de datos, en donde, para que la aplicación o la funcionalidad de la capa de aplicación intercambien datos de carga útil con o se conecten a la red central y/o la red de datos, utilizando al menos una sesión de transmisión de datos, el equipo de usuario está configurado de tal manera que:
- la aplicación o la funcionalidad de la capa de aplicación transmite un mensaje de solicitud de acceso a la aplicación a la función o funcionalidad de autorización de la aplicación, comprendiendo el mensaje de solicitud de acceso a la aplicación al menos una pieza de información de credencial que está relacionada con la aplicación o la funcionalidad de la capa de aplicación,
- la aplicación o la funcionalidad de la capa de aplicación recibe un mensaje de concesión de acceso a la aplicación -en caso de que la función o funcionalidad de autorización de la aplicación determine que el mensaje de solicitud de acceso a la aplicación es válido - a partir de la función o funcionalidad de autorización de la aplicación.
Además, la presente invención se refiere a un sistema o red de telecomunicaciones para operar un equipo de usuario dentro o como parte de la red de telecomunicaciones, en donde la operación del equipo de usuario implica la operación de una aplicación o una funcionalidad de capa de aplicación del equipo de usuario,
en donde la red de telecomunicaciones comprende o está asociada o asignada a una red de acceso y a una red central, en donde la red central proporciona al equipo de usuario conectividad de datos hacia una red de datos,
en donde el funcionamiento de la aplicación o de la funcionalidad de la capa de aplicación del equipo de usuario requiere que se establezca al menos una sesión de transmisión de datos entre el equipo de usuario y la red central,
en donde el equipo de usuario comprende o está asignado o es capaz de acceder a una función o funcionalidad de autorización de la aplicación, en donde la función o funcionalidad de autorización de la aplicación autoriza a la aplicación o la funcionalidad de la capa de aplicación a acceder a al menos una sesión de transmisión de datos, en donde, con el fin que la aplicación o la funcionalidad de la capa de aplicación intercambie datos de carga útil con o esté conectada a la red central y/o la red de datos, usando al menos una sesión de transmisión de datos, el sistema o red de telecomunicaciones está configurado de tal manera que:
- un mensaje de solicitud de acceso a la aplicación es recibido por la función o funcionalidad de autorización de la aplicación a partir de la aplicación o la funcionalidad de la capa de aplicación, comprendiendo el mensaje de solicitud de acceso a la aplicación al menos una pieza de información de credencial relacionada con la aplicación o la funcionalidad de la capa de aplicación,
- la función o funcionalidad de autorización de la aplicación transmite - en caso de que la función o funcionalidad de autorización de la aplicación determine que el mensaje de solicitud de acceso a la aplicación es válido - un mensaje de concesión de acceso a la aplicación a la aplicación o a la funcionalidad de la capa de aplicación.
Además, la presente invención se refiere a una función o funcionalidad de autorización de aplicación de un sistema inventivo o una red de telecomunicaciones inventiva.
Además, la presente invención se refiere a un programa que comprende un código de programa legible por ordenador y/o un medio legible por ordenador que comprende instrucciones, las cuales, cuando se ejecutan en un ordenador y/o en un equipo de usuario y/o en una función o funcionalidad de autorización de aplicación y/o en un nodo de red de una red de telecomunicaciones, o en parte en un equipo de usuario y/o en parte en una función o funcionalidad de autorización de aplicación y/o en parte en un nodo de red de una red de telecomunicaciones, causa el ordenador y/o el equipo de usuario y/o la función o funcionalidad de autorización de la aplicación y/o el nodo de red de la red de telecomunicaciones realice un método inventivo.
Estas y otras características, rasgos y ventajas de la presente invención resultarán evidentes a partir de la siguiente descripción detallada, tomada junto con los dibujos adjuntos, los cuales ilustran, a modo de ejemplo, los principios de la invención. La descripción se proporciona únicamente a modo de ejemplo, sin limitar el alcance de la invención. Las figuras de referencia citadas a continuación se refieren a los dibujos adjuntos.
Breve descripción de los dibujos
La Figura 1 ilustra esquemáticamente una red de telecomunicaciones que comprende una red de acceso, una red central y un equipo de usuario, en donde una red de datos es parte de la red de telecomunicaciones o está conectada o accesible por la red de telecomunicaciones, en donde el equipo de usuario comprende o proporciona una función o funcionalidad de autorización de aplicación para autorizar una aplicación o una funcionalidad de capa de aplicación del equipo de usuario para acceder a una sesión de transmisión de datos del equipo de usuario con la red central con o hacia la red de datos.
La Figura 2 ilustra esquemáticamente el equipo de usuario, una aplicación o funcionalidad de capa de aplicación del equipo de usuario, la red de acceso, la red central y la red de datos de acuerdo con la presente invención, en donde se representan dos posibles implementaciones de acuerdo con la presente invención con respecto a la localización o asociación de la función o funcionalidad de autorización de la aplicación.
Las Figuras 3 a 5 ilustran esquemáticamente diagramas de comunicación entre la aplicación, el equipo de usuario, la red central y la red de datos de acuerdo con la presente invención.
Descripción detallada
La presente invención se describirá con respecto a realizaciones particulares y con referencia a ciertos dibujos, pero la invención no se limita a los mismos sino únicamente a las reivindicaciones. Los dibujos descritos son sólo esquemáticos y no limitativos. En los dibujos, el tamaño de algunos de los elementos podrá estar exagerado y no dibujado a escala con fines ilustrativos.
Cuando se utiliza un artículo indefinido o definido cuando se hace referencia a un sustantivo singular, por ejemplo, “un”, “una”, “el”, esto incluye un plural de ese sustantivo a menos que se indique específicamente algo más.
Además, los términos primero, segundo, tercero y similares en la descripción y en las reivindicaciones se usan para distinguir entre elementos similares y no necesariamente para describir un orden secuencial o cronológico. Debe entenderse que los términos así utilizados son intercambiables en circunstancias apropiadas y que las realizaciones de la invención descritas en el presente documento son capaces de funcionar en otras secuencias que las descritas o ilustradas en el presente documento.
En la Figura 1, se muestra esquemáticamente una red 100 de telecomunicaciones que comprende una red 110 de acceso y una red 120 central. La red 110 de acceso comprende una pluralidad de celdas 11, 12 de radio. Además, la red 120 central está conectada a una red 130 de datos. La red 120 central proporciona al equipo 20 de usuario conectividad de datos hacia la red 130 de datos.
En la situación o escenario de ejemplo que se muestra en la Figura 1, una primera entidad 111 de estación base genera o está asociada con o abarca la primera celda 11 de radio, y una segunda entidad 112 de estación base genera o está asociada con o abarca la segunda celda 12 de radio. Un equipo 20 de usuario es parte de o está conectado a la red 100 de telecomunicaciones a través de una interfaz aérea (o interfaz de radio) con una de las entidades de estación base (en el ejemplo que se muestra, ya sea la primera entidad 111 de estación base o la segunda entidad 112 de estación base). El equipo 20 de usuario tiene o comprende una aplicación 21 o una funcionalidad 21 de capa de aplicación, por ejemplo, una aplicación instalada u otro programa o módulo de programa. Además, el equipo 20 de usuario comprende, en la realización de ejemplo que se muestra en la Figura 1, una función o funcionalidad 25 de autorización de aplicación para autorizar a la aplicación 21 o la funcionalidad 21 de capa de aplicación a acceder a una sesión de transmisión de datos que no se muestra explícitamente en la Figura 1.
La red 120 central comprende una función 121 de servidor de autorización, una función 122 de gestión de sesión, y una función 123 de plano de usuario. El equipo 20 de usuario es típicamente, pero no necesariamente, móvil, es decir, capaz de moverse con respecto a (típicamente, pero no necesariamente estáticas) celdas 11, 12 de radio o entidades 111, 112 de estación base correspondientes de la red 110 de acceso.
En general en el contexto de la presente invención, la función 121 de servidor de autorización proporciona una funcionalidad de autorización; especialmente en el contexto de una red de telecomunicaciones de acuerdo con el estándar 5G, una funcionalidad de autorización de este tipo podría proporcionarse mediante una función de gestión de acceso y movilidad y/o mediante una función de servidor de autenticación y/o mediante una gestión de datos unificada: La función de servidor de autenticación (AUSF) normalmente proporciona la funcionalidad de autenticación, la gestión de datos unificada (UDM) tiene los datos de autorización y la función de gestión de acceso y movilidad (AMF) normalmente proporciona la autorización real dependiendo de estos datos.
De acuerdo con la presente invención -como en las redes de telecomunicaciones convencionalmente conocidas-, se establece una sesión de transmisión de datos (o sesión PDU), lógicamente, entre el equipo 20 de usuario y la red 120 central (aunque, por supuesto, la red 110 de acceso también está implicada) y tiene un nivel de calidad de servicio asociado (o definido), es decir, diversos flujos de calidad de servicio pueden estar contenidos dentro de la sesión de transmisión de datos.
En la Figura 2, se muestran dos representaciones o implementaciones, de acuerdo con la presente invención. Ambas representaciones o implementaciones muestran una aplicación 21 o funcionalidad 21 de capa de aplicación del equipo 20 de usuario, el equipo 20 de usuario, la red 110 de acceso, la red 120 central y la red 130 de datos. Entre el equipo 20 de usuario y la red 120 central, se muestra esquemáticamente una sesión de PDU o una sesión 210 de transmisión de datos. La sesión de PDU o sesión 210 de transmisión de datos se termina (o ancla), en la red 120 central, a través de un ancla 123 de sesión, o ancla 123 de sesión de PDU, especialmente una función 123 de plano de usuario de la red central (especialmente en el caso de a la red 100 de telecomunicaciones 5G). Las dos implementaciones de acuerdo con la presente invención están relacionadas principalmente con la localización o asociación de la función o funcionalidad 25 de autorización de aplicación, ya sea con la función o funcionalidad 25 de autorización de aplicación integrada o ubicada conjuntamente con el equipo 20 de usuario, que se muestra en la representación superior de la Figura 2, o con la función o funcionalidad 25 de autorización de aplicación integrada o ubicada junto con la red 120 central, que se muestra en la representación inferior de la Figura 2. En ambas representaciones o implementaciones, la función o funcionalidad 25 de autorización de aplicación se muestra a modo de ejemplo con una función o funcionalidad 26 de control de acceso a sesión. La función o funcionalidad 26 de control de acceso a sesión está especialmente prevista para controlar la decisión de la función o funcionalidad 25 de autorización de aplicación, y especialmente activa los paquetes de datos de enlace descendente y los paquetes de datos de enlace ascendente a marcar o etiquetar.
Aunque la aplicación 21 o la funcionalidad 21 de la capa de aplicación está representada, en la Figura 2 (y también en las Figuras 3 a 5), disociada del equipo 20 de usuario, debe entenderse que la aplicación 21 o la funcionalidad de la capa de aplicación se implementa o integra en el equipo 20 de usuario.
En caso de que dos aplicaciones 21 o funcionalidades 21 de capa de aplicación diferentes (típicamente como parte del equipo 20 de usuario, es decir, instaladas (como, por ejemplo, una aplicación) en el equipo 20 de usuario o parte nativa del equipo 20 de usuario, por ejemplo como parte de su sistema operativo) ambos usan una sesión de PDU o una sesión 210 de transmisión de datos determinada, es ventajosamente posible, de acuerdo con la presente invención:
- limitar el acceso a dicha sesión de PDU o sesión 210 de transmisión de datos en una base por aplicación y/o
- para marcar o etiquetar los paquetes de datos de enlace descendente y/o los paquetes de datos de enlace ascendente, igualmente de acuerdo con la aplicación.
Esto tampoco es posible en las redes de telecomunicaciones conocidas convencionalmente.
En las redes de telecomunicaciones convencionalmente conocidas, las credenciales se utilizan o pueden utilizarse para:
- (el equipo del usuario) obtener o recibir acceso a la red o red de telecomunicaciones
- y/o acceder a un segmento de red determinado
- y/o el establecimiento de una sesión de transmisión de datos (o sesión de PDU).
Esto significa, utilizando principalmente la nomenclatura 5G, que con respecto al acceso a la red (especialmente en el caso de una red móvil terrestre pública), se utilizan datos de suscripción del equipo de usuario (los cuales normalmente se almacenan en el módulo de identidad de suscriptor del equipo de usuario, especialmente USIM) para registrarse en la red a través de la función de gestión de acceso y movilidad. Con respecto al acceso a un segmento (de red) determinado, una red 5G puede requerir autenticación y proporcionar/rechazar autorización para el acceso a segmentos (de red) específicos, especialmente además de las credenciales relacionadas con el acceso a la red. Especialmente para el acceso a un segmento de red determinado y el establecimiento de una sesión de transmisión de datos (o sesión de PDU), se prevé que se pueda utilizar un servidor de credenciales externo (especialmente fuera de la red central). En cuanto al acceso a la red, esto también es posible (por ejemplo, en el caso de redes privadas con base en 5G, es decir, SNPNs); sin embargo, no se usa comúnmente en redes móviles públicas (redes móviles terrestres públicas), las credenciales utilizadas para otorgar acceso a una red móvil terrestre pública se almacenan, según lo definen los estándares 3GPP, en una USIM (ya sea una UICC física o en formato electrónico, por ejemplo, eSIM) en el equipo del usuario. Otros tipos de credenciales pueden almacenarse en otro lugar, pero en última instancia se utilizan en la comunicación entre el equipo de usuario y la red central para otorgar acceso, por ejemplo, a un segmento determinado y/o como parte de un procedimiento de establecimiento de sesión de transmisión de datos (o sesión de PDU).
Además, con respecto a las redes de telecomunicaciones conocidas convencionalmente, un uso común de dicha autenticación de sesión de PDU es cuando se usa una sesión de PDU para conectarse a una red de datos privada (que comprende o tiene asignado un nombre de red de datos, DNN) para proporcionar servicios de datos similares a VPN, por ejemplo acceso a una red corporativa, donde las credenciales utilizadas para el establecimiento de sesión de PDU no son credenciales de operador sino credenciales de terceros de, por ejemplo, una empresa. Como tal, una sesión de PDU específica podría usarse exclusivamente para una conexión de datos determinada y autenticarse mediante credenciales dedicadas. El uso típico actual de las sesiones PDU en redes de comunicaciones móviles (a menudo red de telecomunicaciones según el estándar 4G), es que dos sesiones PDU están presentes en casi todos (o la mayoría) de los momentos: una sesión PDU para acceso a Internet (especialmente utilizada por aplicaciones tales como, por ejemplo, navegador, transmisión de vídeo, etc. para conectividad a Internet) y una sesión de PDU para acceso al subsistema multimedia IP (IMS) (utilizado especialmente por el marcador telefónico, normalmente incluido como parte del sistema operativo del equipo de usuario). El anclaje de sesión de PDU respectivo (PSA, función que desempeña principalmente la función del plano de usuario en las redes 5G) puede ser diferente para cada sesión de PDU o, alternativamente, compartido por más de una sesión de PDU. Un caso típico de uso empresarial es que la red privada virtual (VPN) corporativa sustituye al DNN de Internet, por lo que la VPN (es decir, la red corporativa) proporciona el “acceso a Internet”, lo que resulta también en dos sesiones de PDU.
Además, en redes de telecomunicaciones conocidas convencionalmente, es posible que una aplicación tenga acceso a una sesión de PDU (por ejemplo, para acceso DNN común a Internet) y a otra que admita servicios específicos tales como características de borde, por ejemplo, a través de un segmento de red diferente; tal como (adicional). Una sesión de PDU adicional de este tipo también podría ser compartida por diversas aplicaciones. Además, es posible en redes de telecomunicaciones convencionalmente conocidas tengan diversas sesiones de PDU que proporcionen conectividad al mismo DNN (por ejemplo, para proporcionar el mejor esfuerzo “normal” y de alto ancho de banda a través de una sesión de PDU y una sesión de PDU separada realizada, por ejemplo, a través de una porción de red separada, que también proporciona comunicación ultra confiable de baja latencia, URLLC, soporte y características adicionales, pero tal vez con ancho de banda limitado).
Además, en las redes de telecomunicaciones conocidas convencionalmente, la sesión de PDU transmite metadatos relacionados con el tráfico (o paquetes de datos de carga útil) que se transportan, marcando los paquetes de datos transmitidos con identificadores. Por ejemplo, 3GPP TS 38.401 comprende la pila de protocolos de sesión de PDU, es decir, la estructura de protocolo utilizada para los datos que se envían a través de sesiones de PDU, y 3GPP TS 38.415 muestra cómo los paquetes del plano de usuario (entre la red de acceso y la red central) se marcan como pertenecientes a una flujo de QoS específico (como parte de la sesión de PDU). Además, dentro de un túnel GTP-U, también se utiliza un mapeo TEID (identificadores de punto final del túnel) y un identificador de flujo de calidad de servicio como metadatos de un paquete de datos de carga útil y contiene el tráfico a una sesión de PDU específica. Además, 3GPP TS 38.301 comprende la pila del plano de usuario entre el equipo del usuario y la red de acceso (para el caso de una red de telecomunicaciones de acuerdo con el estándar 5G, 5G-NR) que muestra cómo el equipo de usuario mapea los flujos diferenciados de calidad de servicio en la pila de protocolos que proporciona comunicación entre el equipo del usuario y la red de acceso. Por el contrario (es decir, entre la red de acceso y el equipo de usuario), se realiza el proceso inverso: En la interfaz red de acceso - equipo de usuario, los flujos de calidad de servicio se separan; La etapa de manejo del flujo de calidad de servicio, como se define en 3GPP TS 37.324, funciona convencionalmente agregando un PDU de control de marcador final que contiene un QFI, el cual indica el ID del flujo de calidad de servicio (3GPP TS 23.501) al cual pertenece el PDU SDAP. Como se define en 3GPP TS 37.324, “ la entidad SDAP en el UE utiliza el PDU de control de marcador final para indicar que detiene el mapeo del SDU SDAP del flujo de QoS indicado por el QFI/PQFI al DRB/SLDRB en el cual se transmite el PDU de control del marcador final”.
De acuerdo con la presente invención, se proporciona un método para operar un equipo 20 de usuario dentro o como parte de una red 100 de telecomunicaciones. Como suele ser el caso, el funcionamiento del equipo 20 de usuario implica el funcionamiento de una aplicación 21 o una funcionalidad 21 de capa de aplicación del equipo 20 de usuario. Dicha aplicación 21 o una funcionalidad 21 de capa de aplicación podría ser especialmente una aplicación o aplicación instalada en el equipo 20 de usuario o en un sistema operativo del equipo 20 de usuario, es decir, como parte nativa del equipo 20 de usuario. Como suele ser el caso, la red 100 de telecomunicaciones comprende o está asociada o asignada a la red 110 de acceso y a la red 120 central, en donde la red 120 central proporciona al equipo 20 de usuario conectividad de datos hacia la red 130 de datos.
El funcionamiento de la aplicación 21 o de la funcionalidad 21 de la capa de aplicación del equipo 20 de usuario requiere que se establezca al menos una sesión 210 de transmisión de datos entre el equipo 20 de usuario y la red 120 central (a través de la red 110 de acceso). En realidad, a menudo se establecen diversas sesiones de transmisión de datos entre el equipo 20 de usuario y la red 120 central, normalmente a través de la red 110 de acceso. Esto también se conoce en las redes de telecomunicaciones convencionales. De acuerdo con la presente invención, el acceso (de una aplicación 21 o una funcionalidad 21 de capa de aplicación) a una sesión de transmisión de datos considerada 210 puede concederse o permitirse por aplicación, lo cual no es posible en las redes de telecomunicaciones convencionalmente conocidas.
Por lo tanto, de acuerdo con la presente invención, el equipo 20 de usuario comprende o está asignado o puede acceder a una función o funcionalidad 25 de autorización de aplicación. Esta función o funcionalidad 25 de autorización de aplicación autoriza la aplicación 21 o la funcionalidad 21 de capa de aplicación para acceder a al menos una sesión 210 de transmisión de datos (considerada). Para que la aplicación 21 o la funcionalidad 21 de capa de aplicación intercambien datos de carga útil con la red 120 central y/o la red 130 de datos (es decir, para enviar datos de carga útil a la red 120 central y/o a la red 130 de datos y/o para recibir datos de carga útil de la red 120 central y/o de la red 130 de datos, para conectarse así a la red 120 central y/o a la red 130 de datos) usando al menos una sesión 210 de transmisión de datos, el método comprende las etapas primera y segunda, a saber: En la primera etapa, la aplicación 21 o la funcionalidad 21 de la capa de aplicación transmite un mensaje 201 de solicitud de acceso a la aplicación a la función o funcionalidad 25 de autorización de la aplicación, el mensaje 201 de solicitud de acceso a la aplicación que comprende al menos una pieza de información 250 de credencial que está relacionada con la aplicación 21 o la funcionalidad 21 de la capa de aplicación, y, en una segunda etapa, la función o funcionalidad de autorización de la aplicación 25 transmite - en caso de que se determine la aplicación del mensaje 201 de solicitud de acceso, mediante la función o funcionalidad 25 de autorización de la aplicación, como válido: un mensaje 202 de concesión de acceso a la aplicación a la aplicación 21 o la funcionalidad 21 de la capa de aplicación.
Por lo tanto, al menos la función o funcionalidad 25 de autorización de aplicación de acuerdo con la presente invención se proporciona o está presente en el equipo 20 de usuario (o es accesible para el equipo 20 de usuario) en una red 100 de telecomunicaciones inventiva. La función o funcionalidad de autorización de aplicación realiza una función de autorización de aplicación (AAF) que autoriza las aplicaciones 21 (o funcionalidades 21 de capa de aplicación) para que puedan acceder a una sesión 210 de PDU dada, es decir, a la al menos una sesión 210 de transmisión de datos considerada. Especialmente, además también una función de control de acceso a sesión o funcionalidad 26 se proporciona o está presente en el equipo 20 de usuario (o es accesible para el equipo 20 de usuario) en una red 100 de telecomunicaciones inventiva. La función o funcionalidad 26 de control de acceso a sesión realiza una función de control de acceso a sesión de PDU (PDU-ACF) que controla la decisión de la AAF y especialmente el tráfico de marcas (o etiquetas), especialmente el tráfico de carga útil, en consecuencia.
De acuerdo con realizaciones específicas de la presente invención, se consideran especialmente los dos casos, a saber, la ubicación de la AAF (o función o funcionalidad de autorización de aplicación) 25 dentro del equipo 20 de usuario (véase la parte superior de la Figura 2) y la ubicación de la AAF (o función o funcionalidad de autorización de aplicación) 25 dentro de la red 120 central (véase con la parte inferior de la Figura 2). En ambos casos, el PDU-ACF (o función o funcionalidad de control de acceso a la sesión) 26 se coloca preferiblemente dentro del equipo 20 de usuario (después de todo, controla el acceso a una sesión de PDU o sesión 210 de transmisión de datos determinada). Sin embargo, se prefiere de acuerdo con la presente invención (ya que la funcionalidad PDU-ACF (función o funcionalidad de control de acceso a sesión) 26 normalmente se colocaría en el equipo 20 de usuario) a ubicar la AAF (función o funcionalidad de autorización de aplicación) 25 en la red 120 central no es tan beneficiosa como colocarla en el equipo 20 de usuario.
De acuerdo con una realización de la presente invención, se prefiere, por lo tanto, que se operen tanto una aplicación (o funcionalidad de capa de aplicación) 21 como una aplicación adicional (o funcionalidad de capa de aplicación adicional). De acuerdo con esta realización, tanto la aplicación 21 como la aplicación adicional son capaces de utilizar la al menos una sesión 210 de transmisión de datos, establecida entre el equipo 20 de usuario y la red 120 central, mediante la solicitud de acceso a la misma (para intercambiar datos de carga útil con o para conectarse a la red 120 central y/o la red 130 de datos) cuyo acceso se solicita a través de mensajes de solicitud de acceso a aplicaciones individuales (o específicos de la aplicación) (a la función o funcionalidad de autorización de la aplicación 25), en donde la aplicación los mensajes de solicitud de acceso comprenden, respectivamente, al menos una pieza de información de credencial (que está relacionada con la aplicación o con la aplicación adicional).
En la Figura 3, se muestra esquemáticamente un diagrama de comunicación entre la aplicación 21, el equipo 20 de usuario, la red 120 central y la red 130 de datos de acuerdo con la presente invención. En la Figura 3, se asume que la función o funcionalidad 25 de autorización de aplicación es parte del equipo 20 de usuario y la función o funcionalidad 26 de control de acceso a sesión también. Además, la red 120 central comprende la función 121 de servidor de autorización, la función 122 de gestión de sesión y la función 123 de plano de usuario.
En una primera etapa 301 de procesamiento, la aplicación 21 o funcionalidad 21 de capa de aplicación envía una solicitud para acceder a la sesión 210 de transmisión de datos (o sesión 210 de PDU) a la función o funcionalidad 25 de autorización de aplicación; esta solicitud comprende o es idéntica al mensaje 201 de solicitud de acceso a la aplicación que a su vez comprende al menos una pieza de información 250 de credencial, es decir, las credenciales de la aplicación (que están relacionadas con la aplicación 21 o la funcionalidad 21 de la capa de aplicación). En una segunda etapa 302 de procesamiento, la información de credencial es evaluada por la función o funcionalidad 25 de autorización de aplicación. En una tercera etapa 303 de procesamiento y una cuarta etapa 304 de procesamiento, la función o funcionalidad 25 de autorización de aplicación consulta la función 121 de servidor de autorización con respecto a la información de credencial recibida, y recibe a cambio un resultado de la función 121 de servidor de autorización. En una quinta etapa 305 de procesamiento y una sexta etapa 306 de procesamiento, la función o funcionalidad 25 de autorización de aplicación consulta y/o recupera información de flujo de aplicación (relacionada con al menos una pieza de información 250 de credencial o relacionada con la aplicación 21 o con la funcionalidad 21 de capa de aplicación o con un grupo de aplicaciones 21 o grupo de funcionalidades 21 de capa de aplicación) de la función 122 de gestión de sesión, y recibe a cambio un resultado de la sesión función 122 de gestión. En una séptima etapa 307 de procesamiento, la función 122 de gestión de sesión transmite la información de flujo de aplicación al anclaje de sesión de transmisión de datos (o anclaje de sesión de PDU, PSA o función de plano de usuario) 123. En una octava etapa 308 de procesamiento, la función o funcionalidad 25 de autorización de aplicación envía un mensaje a la función o funcionalidad 26 de control de acceso a sesión para configurar el acceso de la aplicación 21 (solicitante) respectiva o funcionalidad 21 de capa de aplicación a o para la sesión de PDU o sesión 210 de transmisión de datos. En una novena etapa 309 de procesamiento, la función o funcionalidad de autorización de aplicación otorga acceso (a la sesión de transmisión de datos considerada o sesión 210 de PDU) a la aplicación 21 o funcionalidad 21 de capa de aplicación. En una décima etapa 310 de procesamiento, la aplicación 21 o funcionalidad 21 de capa de aplicación envía (operativamente) datos (paquetes de datos de carga útil) a la función o funcionalidad 26 de control de acceso a la sesión, y en una undécima etapa 311 de procesamiento la función o funcionalidad 26 de control de acceso a la sesión marca (o etiqueta) los paquetes de datos recibidos a partir de la aplicación 21 o la funcionalidad 21 de capa de aplicación de modo que, dentro de la sesión de transmisión de datos o sesión 210 de PDU, es posible diferenciar las diferentes aplicaciones, es decir, los datos de carga útil transmitidos usando la sesión de transmisión de datos o sesión 210 de PDU consistentes en diferentes flujos de aplicaciones. En una duodécima etapa de procesamiento, la función o funcionalidad 26 de control de acceso a la sesión transmite los datos de carga útil (recibidos, en la décima etapa 310 de procesamiento, a partir de la aplicación 21 o la funcionalidad 21 de la capa de aplicación) a la red 120 central, especialmente la función 123 del plano de usuario, actuando como ancla de sesión de transmisión de datos (o ancla de sesión de PDU). En una decimotercera etapa 313 de procesamiento, estos datos son enviados, por la red 120 central, especialmente la función 123 del plano de usuario, a la red 130 de datos.
Por lo tanto, de acuerdo con una realización de la presente invención, de acuerdo con la cual un PDU-ACF (o función o funcionalidad de control de acceso a sesión) 26 está presente, el PDU-ACF (o función o funcionalidad de control de acceso a sesión) 26 está a cargo de controlar el acceso a la sesión de PDU o a la sesión 210 de transmisión de datos (por ejemplo, cuando se solicita un socket al sistema operativo del equipo 20 de usuario, la aplicación 21 o la funcionalidad 21 de la capa de aplicación necesita incluir credenciales (al menos una pieza de información 250 de credencial) y sólo podrá crear exitosamente el objeto de socket si el acceso es otorgado por capas inferiores) y, por lo tanto, controla el acceso de la aplicación 21 o la funcionalidad 21 de la capa de aplicación a la sesión de transmisión de datos o sesión 210 de PDU y, adicionalmente, es posible marcar flujos de datos dentro de la respectiva sesión 210 de PDU con base en la aplicación 21 de origen o la funcionalidad 21 de la capa de aplicación; por lo tanto, dentro de la sesión de PDU o la sesión 210 de transmisión de datos, se pueden diferenciar diferentes flujos de aplicaciones (de datos de carga útil relacionados con diferentes aplicaciones 21 o funcionalidades 21 de capa de aplicación que acceden a la sesión de PDU o sesión 210 de transmisión de datos considerada) (o una clasificación realizada de estos diferentes flujos de datos dentro de la respectiva sesión 210 de PDU); de acuerdo con la presente invención, es posible considerar adicionalmente flujos de calidad de servicio dentro de la respectiva sesión 210 de PDU. Por lo tanto, de acuerdo con la presente invención, la clasificación de flujo con base en aplicaciones (o aplicación específica) puede usarse de forma complementaria a las marcas de calidad de servicio. La red 120 central puede entonces utilizar esta información para (entre otros usos):
- aplicar diferentes políticas de priorización/tráfico al tráfico de determinadas aplicaciones 21 o funcionalidades 21 de capa de aplicación,
- aplicar diferentes reglas de cobro a diferentes aplicaciones 21 o funcionalidades 21 de capa de aplicación,
- realizar la funcionalidad mencionada anteriormente sin la necesidad de realizar o aplicar una inspección profunda de paquetes (DPI) al tráfico.
En la Figura 4, se muestra esquemáticamente un diagrama de comunicación entre la aplicación 21, el equipo 20 de usuario, la red 110 de acceso, la red 120 central y la red 130 de datos de acuerdo con una realización preferida de la presente invención. En la Figura 4, se asume que la función o funcionalidad 25 de autorización de aplicación es parte del equipo 20 de usuario. Especialmente, la función o funcionalidad 26 de control de acceso a sesión también es parte del equipo 20 de usuario. Además, la red 120 central especialmente comprende componentes o funciones tales como la función 121 de servidor de autorización, la función 122 de gestión de sesión, y la función 123 de plano de usuario; sin embargo, estas funciones o componentes no se muestran específicamente en la Figura 4. Principalmente, la Figura 4 muestra una realización que es capaz de realizar el control de acceso con base en la aplicación (o específico de la aplicación) (a la sesión de transmisión de datos o sesión 21 de PDU). En una primera etapa 401 de procesamiento, la aplicación 21 o funcionalidad 21 de capa de aplicación envía la solicitud para acceder a la sesión 210 de transmisión de datos considerada (o al menos una) (o sesión 210 de PDU) al equipo 20 de usuario, especialmente a su función o funcionalidad 25 de autorización de aplicación; esta solicitud comprende o es idéntica al mensaje 201 de solicitud de acceso a la aplicación (de acuerdo con la primera etapa del método de la presente invención) y comprende al menos una pieza de información 250 de credencial, es decir, las credenciales de la aplicación. Esta etapa de procesamiento de “Solicitud de acceso a la sesión 210 de PDU (o sesión 210 de transmisión de datos)” se concibe en su forma más simple como una extensión de las APIs del sistema operativo de modo que cuando se inicializa un socket de comunicaciones, las credenciales de la aplicación (o información similar/análoga como un token de autorización) se agrega a la llamada de creación de socket. Internamente, esta llamada de socket se asigna a una sesión de PDU, por ejemplo, a la “sesión de PDU DNN común de Internet”, pero en este caso sólo regresaría si la pila del equipo de usuario realiza con éxito el procedimiento de modificación de la sesión de PDU. En una segunda etapa 402 de procesamiento, la información de credencial es evaluada por el equipo 20 de usuario, especialmente por la función o funcionalidad 25 de autorización de aplicación. En una tercera etapa 403 de procesamiento y una cuarta etapa 404 de procesamiento, el equipo 20 de usuario (especialmente la autorización de aplicación función o funcionalidad 25) consulta a la red 120 central (especialmente la función 121 de servidor de autorización) y/o una entidad (u otra función de servidor de autorización) fuera o externa a la red 120 central con respecto a la información de credencial recibida, y recibe a cambio un resultado a partir de la función 121 del servidor de autorización; en el último caso (es decir, en caso de que esté involucrada una entidad externa a la red 120 central), la comunicación va a través de la red 120 central hacia la función 121 de servidor de autorización. La tercera y cuarta etapas 403, 404 de procesamiento corresponden especialmente o realizan la cuarta etapa (posterior a la primera etapa y antes de la segunda etapa) de acuerdo con el método de la presente invención, es decir, la función o funcionalidad 25 de autorización de aplicación o el equipo 20 de usuario que consulta a la red 120 central con respecto a al menos una pieza de información 250 de credencial, especialmente para determinar si el mensaje 201 de solicitud de acceso a la aplicación es válido o no. En una quinta etapa 405 de procesamiento, el equipo 20 de usuario configura el acceso solicitado de la aplicación 21 o funcionalidad 21 de capa de aplicación a la sesión de PDU o sesión 210 de transmisión de datos considerada, y en una sexta etapa 406 de procesamiento, el acceso se concede a través de, de acuerdo con la segunda etapa del método de acuerdo con la presente invención, transmitir - mediante el equipo 20 de usuario - el mensaje 202 de concesión de acceso a la aplicación 21 o funcionalidad 21 de la capa de aplicación (en caso de que el mensaje 201 de solicitud de acceso a la aplicación se determina que es válido). Por supuesto, en caso de que se determine que el mensaje 201 de solicitud de acceso a la aplicación no es válido (especialmente debido a que al menos una pieza de información 250 de credencial falta o es inválida o no corresponde al mensaje 201 de solicitud de acceso a la aplicación o a la aplicación solicitante 21 o funcionalidad 21 de capa de aplicación) no se concede el acceso a la sesión de PDU considerada o a la sesión 210 de transmisión de datos. En una séptima etapa 407 de procesamiento, los datos de carga útil (es decir, el tráfico de datos) entre la aplicación 21 o la funcionalidad 21 de capa de aplicación y la red 130 de datos a través de la sesión de transmisión de datos o sesión 210 de PDU se intercambian (operacionalmente) (correspondiente a la tercera etapa subsiguiente a la segunda etapa) de acuerdo con el método inventivo de la presente invención).
De acuerdo con la presente invención, se prefiere además implementar la presente invención a través de una extensión de la modificación de la sesión del PDU para permitir una autenticación/autorización con base en aplicaciones. Esto se muestra esquemáticamente en la Figura 5 la cual muestra, nuevamente, un diagrama de comunicación entre la aplicación 21, el equipo 20 de usuario, la red 110 de acceso, la red 120 central y la red 130 de datos. De nuevo en la Figura 5, se asume que la función o funcionalidad 25 de autorización de aplicación es parte del equipo 20 de usuario. Especialmente, la función o funcionalidad 26 de control de acceso a sesión también es parte del equipo 20 de usuario. Además, la red 120 central comprende especialmente componentes o funciones tales como la función 121 del servidor de autorización, la función 122 de gestión de sesión, y la función 123 del plano de usuario; sin embargo, estas funciones o componentes no se muestran específicamente en la Figura 5. Principalmente, la Figura 5 muestra una realización de la presente invención donde la autenticación/autorización con base en aplicación o control de acceso (a la sesión de transmisión de datos o sesión 21 de PDU) se implementa a través de un extensión a la modificación de la sesión del PDU.
En una primera etapa 501 de procesamiento, el equipo 20 de usuario envía o transmite una solicitud (mensaje) de establecimiento de sesión de PDU a la red 120 central. En una segunda etapa 502 de procesamiento, la red 120 central establece la sesión 210 de PDU (o la sesión 210 de transmisión de datos). En una tercera etapa 503 de procesamiento, la red 120 central envía o transmite una aceptación (mensaje) de establecimiento de sesión de PDU al equipo 20 de usuario. En una cuarta etapa 504 de procesamiento, la aplicación 21 o la funcionalidad 21 de capa de aplicación envía la solicitud para acceder a la considerada (o la al menos una) sesión 210 de transmisión de datos (o sesión 210 de PDU) al equipo 20 de usuario, especialmente a su función o funcionalidad 25 de autorización de aplicación; esta solicitud comprende o es idéntica al mensaje 201 de solicitud de acceso a la aplicación (de acuerdo con la primera etapa del método de la presente invención) y comprende al menos una pieza de información 250 de credencial, es decir, las credenciales de la aplicación. Nuevamente, esta etapa de procesamiento se puede realizar mediante una extensión de las APIs del sistema operativo, especialmente agregando las credenciales de la aplicación (o información similar/análoga como un token de autorización o información derivada de las credenciales de la aplicación) a la llamada de creación del socket. En una quinta etapa 505 de procesamiento, una solicitud (mensaje) de modificación de sesión de PDU, que comprende especialmente la información de autorización, es decir, al menos una pieza de información 250 de credencial, se transmite, por el equipo 20 de usuario, a la red 120 central. En una sexta etapa 506 de procesamiento, la red 120 central transmite una modificación de sesión de PDU (mensaje) (o 'modificación de sesión de PDU aceptada'), que comprende especialmente una información de acceso concedido a la aplicación, por la red 120 central, al equipo 20 de usuario. En una séptima etapa 507 de procesamiento, la concesión de acceso se comunica con la aplicación 21 o la funcionalidad 21 de la capa de aplicación mediante, de acuerdo con la segunda etapa del método de acuerdo con la presente invención, transmitiendo - por el equipo 20 de usuario - el mensaje 202 de concesión de acceso a la aplicación 21 o la funcionalidad 21 de la capa de aplicación (en caso de que se determine que el mensaje 201 de solicitud de acceso a la aplicación es válido). En una octava etapa 508 de procesamiento, los datos de carga útil (es decir, el tráfico de datos) entre la aplicación 21 o la funcionalidad 21 de capa de aplicación y la red 130 de datos a través de la sesión de transmisión de datos o sesión 210 de PDU se intercambian (operacionalmente) (correspondiente a la tercera etapa subsiguiente a la segunda etapa) de acuerdo con el método inventivo de la presente invención).
De acuerdo con realizaciones preferidas de la presente invención, la función o funcionalidad 25 de autorización de aplicación consulta o recupera (especialmente durante la cuarta etapa del método inventivo) información de flujo de aplicación - relacionada con al menos una pieza de información 250 de credencial o relacionada a la aplicación 21 o a la funcionalidad 21 de capa de aplicación o al grupo de aplicaciones 21 o al grupo de funcionalidades 21 de capa de aplicación - a partir de la red 120 central, especialmente a partir de una función 122 de gestión de sesión en la misma. Por lo tanto, es especialmente posible usar la información de flujo de aplicación para indicar, dentro de la sesión 210 de transmisión de datos, datos de carga útil relacionados con la aplicación o las credenciales del grupo de aplicaciones a la vez que la aplicación 21 o la funcionalidad 21 de capa de aplicación del equipo 20 de usuario usa al menos una sesión 210 de transmisión de datos para intercambiar datos de carga útil con o para transmitir datos de carga útil a y/o recibir datos de carga útil de la red 120 central y/o la red 130 de datos. Por lo tanto, a través de la información de flujo de aplicación, es posible distinguir diferentes aplicaciones 21 o funcionalidades 21 de capa de aplicación (o diferentes grupos de aplicaciones o diferentes grupos de funcionalidades de capa de aplicación).
De acuerdo con la presente invención, se prefiere que se implemente una indicación de capacidad adicional, es decir, la indicación de que la sesión de PDU soporta autenticación con base en aplicaciones y/o marcado de paquetes, y también con respecto a si es obligatoria. De manera similar, estas capacidades se pueden agregar a la solicitud de establecimiento de PDU (por ejemplo, el equipo 20 de usuario solicita que dicha capacidad esté presente en la sesión de PDU/sesión 210 de transmisión de datos proporcionada). Dichas indicaciones se transmiten, envían y/o reciben preferiblemente durante las primeras y terceras etapas 501, 503 de procesamiento de acuerdo con la Figura 5, es decir, la solicitud (mensaje) de establecimiento de sesión de PDU (primera etapa 501 de procesamiento) comprende indicaciones de capacidad adicionales o piezas de información correspondientes indicativas de tales capacidades adicionales, y la aceptación (mensaje) de establecimiento de sesión de PDU (tercera etapa 503 de procesamiento) comprende la indicación o piezas de información correspondientes indicativas de tales capacidades adicionales.
Además, de acuerdo con la presente invención se prefiere que se realice un conocimiento de la red 110 de acceso. En una red 5G, la red 110 de acceso por radio conoce las sesiones de PDU y sus flujos de QoS relacionados. Esta información es utilizada, por ejemplo, por los gNBs (es decir, entidades de estaciones base) para programación de dirección. De acuerdo con la presente invención, al extender el marco de sesión de PDU a aplicaciones (o funcionalidades de capa de aplicación del equipo de usuario), la red 110 de acceso por radio es preferiblemente consciente de la información del flujo de aplicaciones (especialmente además de ser consciente del segmento de red utilizado y/o la sesión de PDU utilizada y/o el nivel de calidad de servicio asignado a cada flujo de datos), y es ventajosamente posible utilizar la información del flujo de aplicación para:
- programación de dirección, y/o
- dirigir la activación de funciones específicas de la red de acceso por radio de acuerdo con cada aplicación (por ejemplo, marcado L4S, por ejemplo para aplicaciones con retraso crítico), y/o
- con base en el flujo de aplicaciones, la red 120 central puede ordenar a la red 110 de acceso que aplique ciertas políticas/características/restricciones de movilidad/prioridad/etc. al tráfico (datos de carga útil) con respecto a una determinada aplicación o un determinado grupo de aplicaciones.
En ciertas realizaciones de la presente invención, se prefiere además que la información 250 de credencial se relacione con dos o más aplicaciones 21 o funcionalidades 21 de capa de aplicación, especialmente con un grupo de aplicaciones 21 o funcionalidades 21 de capa de aplicación. Esto significa que tales dos o más aplicaciones 21 o funcionalidades 21 de capa de aplicación comparten o utilizan la misma información de credencial. Además de, o alternativamente, en ciertas realizaciones de la presente invención, también se prefiere que al menos una pieza de información 250 de credencial sea válida para dos o más sesiones 210 de transmisión de datos, es decir, es posible de acuerdo con la presente invención que (de acuerdo con un extremo) una aplicación 21 o una funcionalidad 21 de capa de aplicación tiene o utiliza una información 250 de credencial específica (diferente de la información de credencial que usan otras aplicaciones o funcionalidades de capa de aplicación) y/o que la aplicación 21 o la funcionalidad 21 de capa de aplicación tiene o utiliza diferentes piezas de información 250 de credencial para diferentes sesiones de transmisión de datos o sesiones 210 de PDU; y (de acuerdo con el otro extremo) una pluralidad de aplicaciones 21 o una pluralidad de funcionalidades 21 de capa de aplicación (o un grupo de aplicaciones 21 o un grupo de funcionalidades 21 de capa de aplicación) tiene o utiliza una información 250 de credencial común (pero diferente de la información de credencial de otras aplicaciones o funcionalidades de capa de aplicación) y/o que la pluralidad de aplicaciones 21 o la pluralidad de funcionalidades 21 de capa de aplicación tienen o usan una pieza común de información 250 de credencial para diferentes sesiones de transmisión de datos o sesiones 210 de p Du .

Claims (14)

REIVINDICACIONES
1. Método para operar un equipo (20) de usuario dentro o como parte de una red (100) de telecomunicaciones, en donde la operación del equipo (20) de usuario implica la operación de una aplicación (21) o una funcionalidad (21) de capa de aplicación del equipo (20) de usuario,
en donde la red (100) de telecomunicaciones comprende o está asociada o asignada a una red (110) de acceso y a una red (120) central, en donde la red (120) central proporciona al equipo (20) de usuario conectividad de datos hacia una red (130) de datos,
en donde el funcionamiento de la aplicación (21) o de la funcionalidad (21) de la capa de aplicación del equipo (20) de usuario requiere que se establezca al menos una sesión (210) de transmisión de datos entre el equipo (20) de usuario y la red (120) central, en donde la al menos una sesión (210) de transmisión de datos es una sesión (210) de PDU, sesión de unidad de datos de protocolo,
en donde el equipo (20) de usuario o la red (120) central comprende una función o funcionalidad (25) de autorización de aplicación, en donde la función o funcionalidad (25) de autorización de aplicación autoriza la aplicación (21) o la funcionalidad (21) de capa de aplicación para acceder a al menos una sesión (210) de transmisión de datos, en donde, para que la aplicación (21) o la funcionalidad (21) de capa de aplicación intercambien datos de carga útil con o se conecten a la red (120) central y/o la red (130) de datos, utilizando al menos una sesión (210) de transmisión de datos, el método comprende las siguientes etapas:
- en una primera etapa, la aplicación (21) o la funcionalidad (21) de capa de aplicación transmite un mensaje (201) de solicitud de acceso a la aplicación a la función o funcionalidad (25) de autorización de la aplicación, comprendiendo el mensaje (201) de solicitud de acceso a la aplicación al menos una pieza de información (250) de credencial está relacionada con la aplicación (21) o la funcionalidad (21) de la capa de aplicación,
- en una segunda etapa, la función o funcionalidad (25) de autorización de la aplicación transmite - en caso de que se determine que el mensaje (201) de solicitud de acceso a la aplicación, mediante la función o funcionalidad (25) de autorización de la aplicación, es válido - un mensaje (202) de concesión de acceso a la aplicación (21) o la funcionalidad (21) de la capa de aplicación, de tal manera que el acceso de la aplicación (21) o la funcionalidad (21) de la capa de aplicación a al menos una sesión (210) de transmisión de datos esté permitido únicamente en caso de que se determine que el mensaje (201) de solicitud de acceso a la aplicación es válido y en donde el acceso no se permite en caso de que se determine que el mensaje (201) de solicitud de acceso a la aplicación no es válido,
en donde el equipo (20) de usuario comprende una función o funcionalidad (26) de control de acceso a sesión la cual controla el acceso de la aplicación (21) o funcionalidad (21) de capa de aplicación a al menos una sesión (210) de transmisión de datos de acuerdo con la decisión de la función o funcionalidad (25) de autorización de la aplicación.
2. Método de acuerdo con la reivindicación 1, en donde el funcionamiento del equipo (20) de usuario implica además el funcionamiento de una aplicación adicional o una funcionalidad de capa de aplicación adicional del equipo (20) de usuario,
en donde la operación de la aplicación adicional o de la funcionalidad de la capa de aplicación adicional del equipo (20) de usuario también utiliza al menos una sesión (210) de transmisión de datos establecida entre el equipo (20) de usuario y la red (120) central,
en donde, con el fin que la aplicación adicional o la funcionalidad de capa de aplicación adicional intercambie datos de carga útil con o esté conectada a la red (120) central y/o la red (130) de datos, usando al menos una sesión (210) de transmisión de datos: la aplicación adicional o la funcionalidad de la capa de aplicación adicional transmite un mensaje de solicitud de acceso a la aplicación adicional a la función o funcionalidad (25) de autorización de la aplicación, comprendiendo el mensaje de solicitud de acceso a la aplicación adicional al menos una pieza de información de credencial adicional que está relacionada con la aplicación adicional o la funcionalidad de capa de aplicación adicional, y la función o funcionalidad (25) de autorización de aplicación transmite - en caso de que se determine que el mensaje de solicitud de acceso a aplicación adicional, mediante la función o funcionalidad (25) de autorización de aplicación, es válido - un mensaje de concesión de acceso a la aplicación adicional o a la funcionalidad de capa de aplicación adicional.
3. Método de acuerdo con una de las reivindicaciones anteriores, en donde al menos una pieza de información (250) de credencial es o corresponde o comprende un certificado o información de certificado y/o una información de token, y/o
en donde el mensaje (201) de solicitud de acceso a la aplicación, la al menos una pieza de información (250) de credencial y el mensaje (202) de concesión de acceso a la aplicación son específicos de la aplicación o específicos del grupo de aplicaciones, respectivamente.
4. Método de acuerdo con una de las reivindicaciones anteriores, en donde la información de credencial se refiere a dos o más aplicaciones (21) o funcionalidades (21) de la capa de aplicación, en particular a un grupo de aplicaciones (21) o funcionalidades (21) de la capa de aplicación.
5. Método de acuerdo con una de las reivindicaciones anteriores, en donde al menos una información (250) de credencial es válida para dos o más sesiones (210) de transmisión de datos.
6. Método de acuerdo con una de las reivindicaciones anteriores, en donde, en una tercera etapa posterior a la segunda etapa, la aplicación (21) o la funcionalidad (21) de la capa de aplicación del equipo (20) de usuario utiliza al menos una sesión (210) de transmisión de datos para intercambiar datos de carga útil con o para transmitir datos de carga útil y/o recibir datos de carga útil a partir de la red (120) central y/o la red (130) de datos.
7. Método de acuerdo con una de las reivindicaciones anteriores, en donde, en una cuarta etapa posterior a la primera etapa y antes de la segunda etapa, la función o funcionalidad (25) de autorización de la aplicación consulta la red (120) central, especialmente una función (121) de servidor de autorización por lo tanto, con respecto a al menos una pieza de información (250) de credencial, especialmente para determinar si el mensaje (201) de solicitud de acceso a la aplicación es válido o no.
8. Método de acuerdo con la reivindicación 7, en donde la cuarta etapa implica, después de haber sido establecida o generada la sesión (210) de PDU, el equipo (20) de usuario intercambia mensajes de modificación de sesión de PDU con la red (120) central, especialmente función (121) de servidor de autenticación de este,
en donde especialmente el establecimiento o generación o modificación posterior de la sesión (210) de PDU comprende una indicación de una capacidad relacionada con el manejo de mensajes de solicitud de acceso a la aplicación y mensajes de concesión de acceso a la aplicación y/o una indicación de la necesidad de usar o manejar mensajes de solicitud de acceso a la aplicación y mensajes de concesión de acceso a la aplicación.
9. Método de acuerdo con la reivindicación 7 u 8, en donde durante la cuarta etapa, la función o funcionalidad (25) de autorización de la aplicación consulta o recupera información del flujo de la aplicación - relacionada con al menos una pieza de información (250) de credencial o relacionada con la aplicación (21) o a la funcionalidad (21) de capa de aplicación o al grupo de aplicaciones (21) o al grupo de funcionalidades (21) de capa de aplicación - a partir de la red (120) central, especialmente a partir de una función (122) de gestión de sesión de la misma,
en donde especialmente, la información de flujo de aplicación se usa para indicar, dentro de la sesión (210) de transmisión de datos, datos de carga relacionados con la aplicación o las credenciales del grupo de aplicación a la vez que la aplicación (21) o la funcionalidad (21) de la capa de aplicación del equipo (20) de usuario utiliza al menos una sesión (210) de transmisión de datos para intercambiar datos de carga útil con o para transmitir datos de carga útil y/o recibir datos de carga útil a partir de la red (120) central y/o la red (130) de datos.
10. Equipo (20) de usuario para ser operado dentro o como parte de una red (100) de telecomunicaciones, en donde la operación del equipo (20) de usuario implica la operación de una aplicación (21) o una funcionalidad (21) de capa de aplicación del equipo (20) de usuario,
en donde el equipo (20) de usuario está configurado para comunicarse con o como parte de la red (100) de telecomunicaciones y con una red (110) de acceso y una red (120) central de la misma, en donde la red (120) central proporciona el equipo (20) de usuario con conectividad de datos hacia una red (130) de datos,
en donde el funcionamiento de la aplicación (21) o de la funcionalidad (21) de la capa de aplicación del equipo (20) de usuario requiere que se establezca al menos una sesión (210) de transmisión de datos entre el equipo (20) de usuario y la red (120) central, en donde la al menos una sesión (210) de transmisión de datos es una sesión (210) de PDU, sesión de unidad de datos de protocolo,
en donde el equipo (20) de usuario comprende una función o funcionalidad (25) de autorización de aplicación, en donde la función o funcionalidad (25) de autorización de aplicación autoriza a la aplicación (21) o la funcionalidad (21) de capa de aplicación a acceder a al menos una sesión (210) de transmisión de datos,
en donde, con el fin que la aplicación (21) o la funcionalidad (21) de capa de aplicación intercambien datos de carga útil con o se conecten a la red (120) central y/o la red (130) de datos, utilizando al menos un dato sesión de transmisión (210), el equipo (20) de usuario está configurado de tal manera que:
- la aplicación (21) o la funcionalidad (21) de capa de aplicación transmite un mensaje (201) de solicitud de acceso a la aplicación a la función o funcionalidad (25) de autorización de la aplicación, comprendiendo el mensaje (201) de solicitud de acceso a la aplicación al menos una pieza de información (250) de credencial que está relacionada con la aplicación (21) o la funcionalidad (21) de la capa de aplicación,
- un mensaje (202) de concesión de acceso a la aplicación es recibido por la aplicación (21) o la funcionalidad (21) de la capa de aplicación - en caso de que el mensaje (201) de solicitud de acceso a la aplicación esté determinado por la función o funcionalidad (25) de autorización de la aplicación, para ser válido - a partir de la función o funcionalidad (25) de autorización de la aplicación, de modo que el acceso de la aplicación (21) o la funcionalidad (21) de la capa de aplicación a al menos una sesión (210) de transmisión de datos se permite solo en caso de que se determine que el mensaje (201) de solicitud de acceso a la aplicación es válido y en donde el acceso no se permite en caso de que se determine que el mensaje (201) de solicitud de acceso a la aplicación no es válido,
en donde el equipo (20) de usuario comprende una función o funcionalidad (26) de control de acceso a sesión la cual está configurada para controlar el acceso de la aplicación (21) o funcionalidad (21) de capa de aplicación a la al menos una sesión (210) de transmisión de datos de acuerdo con la decisión de la función o funcionalidad (25) de autorización de la aplicación.
11. Red (100) de telecomunicaciones para operar un equipo (20) de usuario dentro o como parte de la red (100) de telecomunicaciones, en donde la operación del equipo (20) de usuario implica la operación de una aplicación (21) o una capa de aplicación funcionalidad (21) del equipo (20) de usuario,
en donde la red (100) de telecomunicaciones comprende o está asociada o asignada a una red (110) de acceso y la red (100) de telecomunicaciones comprende una red (120) central, en donde la red (120) central proporciona al equipo (20) de usuario con conectividad de datos hacia una red (130) de datos,
en donde el funcionamiento de la aplicación (21) o de la funcionalidad (21) de la capa de aplicación del equipo (20) de usuario requiere que se establezca al menos una sesión (210) de transmisión de datos entre el equipo (20) de usuario y la red (120) central, en donde la al menos una sesión (210) de transmisión de datos es una sesión (210) de PDU, sesión de unidad de datos de protocolo,
en donde la red (120) central comprende una función o funcionalidad (25) de autorización de aplicación, en donde la función o funcionalidad (25) de autorización de aplicación autoriza a la aplicación (21) o la funcionalidad (21) de capa de aplicación a acceder a al menos una sesión (210) de transmisión de datos,
en donde, para que la aplicación (21) o la funcionalidad (21) de capa de aplicación intercambien datos de carga útil con o se conecten a la red (120) central y/o la red (130) de datos, usando la al menos una sesión (210) de transmisión de datos, la red (100) de telecomunicaciones está configurada de tal manera que
- un mensaje (201) de solicitud de acceso a la aplicación es recibido por la función o funcionalidad (25) de autorización de la aplicación a partir de la aplicación (21) o la funcionalidad (21) de la capa de aplicación, comprendiendo el mensaje (201) de solicitud de acceso a la aplicación al menos una pieza de que la información (250) de credencial esté relacionada con la aplicación (21) o la funcionalidad (21) de la capa de aplicación,
- la función o funcionalidad (25) de autorización de la aplicación transmite - en caso de que la función o funcionalidad (25) de autorización de la aplicación determine que el mensaje (201) de solicitud de acceso a la aplicación es válido
- un mensaje (202) de concesión de acceso a la aplicación a la aplicación (21) o a la funcionalidad (21) de la capa de aplicación, de tal manera que el acceso de la aplicación (21) o a la funcionalidad (21) de la capa de aplicación a la al menos una sesión (210) de transmisión de datos se permite sólo en caso de que se determine que el mensaje (201) de solicitud de acceso a la aplicación es válido y en donde el acceso no se permite en caso de que se determine que el mensaje (201) de solicitud de acceso a la aplicación no es válido,
en donde el equipo (20) de usuario comprende una función o funcionalidad (26) de control de acceso a sesión que está configurada para controlar el acceso de la aplicación (21) o funcionalidad (21) de capa de aplicación a la al menos una sesión (210) de transmisión de datos de acuerdo con la decisión de la función o funcionalidad (25) de autorización de la aplicación.
12. Función o funcionalidad (25) de autorización de aplicación de un equipo (20) de usuario de acuerdo con la reivindicación 10.
13. Programa que comprende un código de programa legible por ordenador el cual, cuando se ejecuta en un ordenador y/o en un equipo (20) de usuario y/o en una función o funcionalidad (25) de autorización de aplicación y/o en un nodo de red de una red (100) de telecomunicaciones, o en parte en un equipo (20) de usuario y/o en parte en una función o funcionalidad (25) de autorización de aplicación y/o en parte en un nodo de red de una red (100) de telecomunicaciones, hace que el ordenador y/o el equipo (20) de usuario y/o la función o funcionalidad (25) de autorización de aplicación y/o el nodo de red de la red (100) de telecomunicaciones para realizar un método de acuerdo con una de las reivindicaciones 1 a 9.
14. Medio legible por ordenador que comprende instrucciones las cuales, cuando se ejecutan en un ordenador y/o en un equipo (20) de usuario y/o en una función o funcionalidad (25) de autorización de aplicación y/o en un nodo de red de una red (100) de telecomunicaciones, o en parte en un equipo (20) de usuario y/o en parte en una función o funcionalidad (25) de autorización de aplicación y/o en parte en un nodo de red de una red (100) de telecomunicaciones, hace que el ordenador y/o o el equipo (20) de usuario y/o la función o funcionalidad (25) de autorización de aplicación y/o el nodo de red de la red (100) de telecomunicaciones realice un método de acuerdo con una de las reivindicaciones 1 a 9.
ES21195884T 2021-09-10 2021-09-10 Método para operar un equipo de usuario dentro o como parte de una red de telecomunicaciones, equipo de usuario, sistema o red de telecomunicaciones, función o funcionalidad de autorización de aplicación, programa y producto de programa informático Active ES2978139T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP21195884.8A EP4149139B1 (en) 2021-09-10 2021-09-10 Method for operating a user equipment within or as part of a telecommunications network, user equipment, system or telecommunications network, application authorization function or functionality, program and computer program product

Publications (1)

Publication Number Publication Date
ES2978139T3 true ES2978139T3 (es) 2024-09-05

Family

ID=77710597

Family Applications (1)

Application Number Title Priority Date Filing Date
ES21195884T Active ES2978139T3 (es) 2021-09-10 2021-09-10 Método para operar un equipo de usuario dentro o como parte de una red de telecomunicaciones, equipo de usuario, sistema o red de telecomunicaciones, función o funcionalidad de autorización de aplicación, programa y producto de programa informático

Country Status (5)

Country Link
US (1) US12238522B2 (es)
EP (1) EP4149139B1 (es)
CN (1) CN117941394B (es)
ES (1) ES2978139T3 (es)
WO (1) WO2023036676A1 (es)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20250106680A1 (en) * 2023-09-27 2025-03-27 Verizon Patent And Licensing Inc. Systems and methods for l4s-enablement in wireless networks
US12461942B2 (en) * 2024-01-26 2025-11-04 Teachers Insurance And Annuity Association Of America Curated portable datamart

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2829121B1 (en) * 2012-03-21 2020-12-30 Samsung Electronics Co., Ltd. Granular network access control and methods thereof
US9717004B2 (en) * 2015-03-17 2017-07-25 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
CN106998551B (zh) * 2016-01-25 2021-06-29 中兴通讯股份有限公司 一种应用接入鉴权的方法、系统、装置及终端
CN108377495B (zh) * 2016-10-31 2021-10-15 华为技术有限公司 一种数据传输方法、相关设备及系统
CN109429370B (zh) * 2017-06-24 2021-03-02 华为技术有限公司 一种信息处理方法及装置
WO2019229492A1 (en) * 2018-05-26 2019-12-05 Telefonaktiebolaget Lm Ericsson (Publ) Methods and systems for ue to request appropriate nssai in 5g
WO2020163760A2 (en) * 2019-02-07 2020-08-13 Apple Inc. Enabling uas service for identification and operation in 3gpp system
KR102587360B1 (ko) 2019-02-14 2023-10-11 삼성전자 주식회사 Dn authorized pdu세션 재인증 지원 및 dn authorization data 변경에 따른 pdu세션 관리 방법 및 장치
EP4042659A1 (en) 2019-10-09 2022-08-17 Lenovo (Singapore) Pte. Ltd. Accessing a mobile communication network using a user identifier

Also Published As

Publication number Publication date
EP4149139A1 (en) 2023-03-15
CN117941394B (zh) 2025-06-10
CN117941394A (zh) 2024-04-26
EP4149139B1 (en) 2024-04-03
US12238522B2 (en) 2025-02-25
WO2023036676A1 (en) 2023-03-16
US20240276222A1 (en) 2024-08-15

Similar Documents

Publication Publication Date Title
KR102369596B1 (ko) Nas 메시지의 보안 보호를 위한 시스템 및 방법
US11863983B2 (en) Provisioning of VLAN IDs in 5G systems
US11665616B2 (en) Systems and methods for processing packet traffic without an explicit connection oriented signaling protocol
ES2579290T3 (es) Sistema y procedimiento de telecomunicaciones
US10645014B2 (en) Mobile network operator (MNO) control of WiFi QoS based on traffic detection and DSCP mapping in trusted WLAN access and networks
ES2435472T3 (es) Método y aparato para gestionar una prioridad de retención y de asignación evolucionada
ES2944698T3 (es) Aparato y método de traspaso
CA2825108C (en) Mobile router in eps
ES2796729T3 (es) Segmento de red de emergencia, y método y entidad de red de acceso para procesar una comunicación de emergencia en una red de comunicación conmutada por paquetes
BR112019015657B1 (pt) Método para executar qualidade de serviço (qos) reflexiva em sistema de comunicação sem fio e um dispositivo para o mesmo
BR112019007163B1 (pt) Método e equipamento de usuário para executar uma verificação de bloqueio de acesso em um sistema de comunicação sem fio
CA3030741A1 (en) Method for processing pdu session establishment procedure and amf node
CN107566115A (zh) 密钥配置及安全策略确定方法、装置
US20200344655A1 (en) Methods and apparatuses for selecting a session management entity for serving a wireless communication device
ES2673220T3 (es) Optimización de calidad de transmisión por secuencias
BR112018002275B1 (pt) Suporte para múltiplos contextos de serviço simultâneos com um contexto de conectividade único
WO2021197185A1 (zh) 一种通信方法和通信装置
ES2978139T3 (es) Método para operar un equipo de usuario dentro o como parte de una red de telecomunicaciones, equipo de usuario, sistema o red de telecomunicaciones, función o funcionalidad de autorización de aplicación, programa y producto de programa informático
CN102948203B (zh) 负载控制方法和设备及通信系统
WO2011130906A1 (zh) 业务实现方法、装置和系统
ES2374989T3 (es) Localización de un terminal de acceso móvil sin licencia (uma) en una red de comunicaciones.
ES2404045T3 (es) Manejo del tipo de usuario en una red de acceso inalámbrica
US9647935B2 (en) Inter-layer quality of service preservation
CN114205814A (zh) 一种数据传输方法、装置、系统、电子设备及存储介质
ES2701426T3 (es) Método para la gestión de calidad de servicio en un sistema de comunicación móvil