具体实施方式

在以下具体实施方式中，参考形成本发明的一部分的附图，其中类似的数字表示整个附图中类似的部件，并且在其中以举例的方式示出了可实践的实施方案。应当理解，在不脱离本公开的范围的情况下，可使用其他实施方案并且可进行结构性或逻辑性变更。因此，以下具体实施方式将不具有限制意义。

各种操作可以最有助于理解要求保护的主题的方式依次描述为多个离散动作或操作。然而，不应将描述的顺序理解为暗示这些操作必然依赖于顺序。具体地讲，这些操作不能按呈现顺序来执行。所述操作可以与所述实施方案不同的顺序执行。在附加的实施方案中，可执行各种附加操作和/或可省略所述的操作。

出于本公开的目的，短语“A或B”和“A和/或B”是指(A)、(B)或(A和B)。出于本公开的目的，短语“A、B或C”和“A、B和/或C”是指(A)、(B)、(C)、(A和B)、(A和C)、(B和C)或(A、B和C)。

描述可使用短语“在一个实施方案中”或“在多个实施方案中”，其可各自指相同或不同实施方案中的一者或多者。此外，与本公开的实施方案一起使用的术语“包含”、“包括”、“具有”等是同义的。

如本文所用，术语“电路”可指提供所述功能的集成电路(例如，现场可编程门阵列(FPGA)、专用集成电路(ASIC)等)、分立电路、组合逻辑电路、片上系统(SOC)一部分或包括它们的任何组合。在一些

实施方案中，电路可执行一个或多个软件或固件模块以提供所述功能。在一些实施方案中，电路可包括逻辑部件，该逻辑部件可至少部分地在硬件中操作。

未认证UE可以能够为了由网络提供的特定服务而接入运营商的网络。一旦未认证UE成功下载用于接入网络的对应订阅配置文件，未认证UE就可能需要与现有网络断开连接并且通过订阅配置文件执行认证过程。未认证UE是指未被认证以接入服务网络和/或由服务网络提供的特定服务的UE。在这种过程中，EPC网络可允许未认证UE为了特定受限本地运营商服务(RLOS)而接入网络。然而，在现有接入认证过程下可能会出现问题。例如，DoS攻击可能发生并影响EPC网络。

常规地，UE可附接到第四代(4G)网络和/或第五代(5G)网络。UE可为了特定RLOS而请求接入服务网络。然而，现有服务网络授权过程可能缺乏必要的规定并导致未授权网络向UE提供服务。这可导致未授权网络驻留在所提供的服务的中间。例如，所提供的服务的中间的未授权网络可在没有适当授权的情况下收集未授权信息(例如，支付信息和其他用户信息)。同时，由于现有的授权过程，可能无法有效地防止对服务网络的DoS攻击。

例如，本文所述的实施方案可包括用于从UE和网络两者的角度来执行EPC网络中的或与EPC网络相关的认证过程的装置、方法和存储介质。各种实施方案涉及对网络中的RLOS的订阅的充分认证。此类认证过程可授权未认证UE接入由网络提供的RLOS，同时抑制相对于网络的DoS攻击。

图1示出了根据各种实施方案的无线网络系统100的示例性架构。示出系统100包括用户装备(UE)101和UE 102。如本文所用，术语“用户装备”或“UE”可指具有无线电通信能力并且可描述通信网络中的网络资源的远程用户的设备。此外，术语“用户装备”或“UE”可被认为是同义的，并且可被称为客户端、移动电话、移动设备、移动终端、用户终端、移动单元、移动站、移动用户、订户、用户、远程站、接入代理、用户代理、接收器、无线电装备、可重新配置的无线电装备、可重新配置的移动设备等。此外，术语“用户装备”或“UE”可包括任何类型的无线/有线设备或包括无线通信接口的任何计算设备。在该示例中，UE 101和102被示为智能电话(例如，可连接到一个或多个蜂窝网络的手持式触摸屏移动计算设备)，但也可包括任何移动或非移动计算设备，诸如消费电子设备、蜂窝电话、智能电话、功能手机、平板电脑、可穿戴计算机设备、个人数字助理(PDA)、寻呼机、无线手持设备、台式计算机、膝上型计算机、车载信息娱乐(IVI)、车载娱乐(ICE)设备、仪表板(IC)、平视显示器(HUD)设备、板载诊断(OBD)设备、dashtop移动装备(DME)、移动数据终端(MDT)、电子发动机管理系统(EEMS)、电子/发动机电子控制单元(ECU)、电子/发动机电子控制模块(ECM)、嵌入式系统、微控制器、控制模块、发动机管理系统(EMS)、联网或“智能”家电、机器类型通信(MTC)设备、机器对机器(M2M)设备、物联网(IoT)设备等。

在一些实施方案中，UE 101和UE 102中的任一个可包括物联网(IoT)UE，其可包括被设计用于利用短期UE连接的低功率IoT应用程序的网络接入层。IoT UE可以利用技术诸如机器对机器(M2M)或机器类型通信(MTC)，经由公共陆地移动网络(PLMN)、基于邻近的服务(ProSe)或设备对设备(D2D)通信、传感器网络或IoT网络与MTC服务器或设备交换数据。M2M或MTC数据交换可以是机器启动的数据交换。IoT网络描述了互连的IoT UE，这些UE可包括具有短暂连接的唯一可识别的嵌入式计算设备(在互联网基础结构内)。IoT UE可执行后台应用程序(例如，保持活动消息、状态更新等)以促进IoT网络的连接。

UE 101和UE 102可被配置为连接(例如，通信地耦接)无线电接入网(RAN)110。RAN110可以是例如演进通用移动通信系统(UMTS)陆地无线电接入网(E-UTRAN)、下一代RAN(NGRAN)或一些其他类型的RAN。UE 101和102分别利用连接(或信道)103和104，其中每个连接(或信道)包括物理通信接口或层(下文将进一步详细讨论)。如本文所用，术语“信道”可指用于传送数据或数据流的任何有形的或无形的传输介质。术语“信道”可与“通信信道”、“数据通信信道”、“传输信道”、“数据传输信道”、“接入信道”、“数据访问信道”、“链路”、“数据链路”“载波”、“射频载波”和/或表示通过其传送数据的途径或介质的任何其他类似的术语同义和/或等同。另外，术语“链路”可指通过无线电接入技术(RAT)在两个设备之间进行的用于传输和接收信息的连接。在该示例中，连接103和连接104被示为空中接口以实现通信耦接，并且可以与蜂窝通信协议保持一致，诸如全球移动通信系统(GSM)协议、码分多址(CDMA)网络协议、一键通(PTT)协议、蜂窝PTT协议(POC)、通用移动电信系统(UMTS)协议、3GPP长期演进(LTE)协议、第五代(5G)协议、新无线电(NR)协议等。

在该实施方案中，UE 101和UE 102还可以经由ProSe接口105直接交换通信数据。ProSe接口105可另选地被称为包括一个或多个逻辑信道的侧链路(SL)接口，该一个或多个逻辑信道包括但不限于物理侧链路控制信道(PSCCH)、物理侧链路共享信道(PSSCH)、物理侧链路发现信道(PSDCH)和物理侧链路广播信道(PSBCH)。在各种具体实施中，SL接口105可用于车辆应用和通信技术，其通常被称为V2X系统。V2X是其中UE(例如，UE 101、102)直接通过PC5/SL接口105彼此通信的通信模式，并且可在UE 101、102由RAN节点111、112提供服务时或在一个或多个UE在RAN110的覆盖区域之外时发生。V2X可分为四种不同类型：车辆对车辆(V2V)、车辆对基础设施(V2I)、车辆对网络(V2N)以及车辆对行人(V2P)。这些V2X应用可使用“协作意识”来为最终用户提供更智能的服务。例如，vUE 101、102、RAN节点111、112、应用程序服务器130和行人UE 101、102可收集它们的本地环境的知识(例如，从其他车辆或接近的传感器装备接收的信息)以处理和共享该知识，以便提供更智能的服务，诸如协作碰撞警告、自主驾驶等。在这些具体实施中，UE 101、102可被实现/用作车辆嵌入式通信系统(VECS)或vUE。

示出UE 102被配置为经由连接107访问接入点(AP)106(也称为“WLAN节点106”、“WLAN 106”、“WLAN终止106”或“WT 106”等)。连接107可包括本地无线连接，诸如与任何IEEE 802.11协议一致的连接，其中AP 106将包括无线保真路由器。在该示例中，示出AP 106连接到互联网而没有连接到无线系统的核心网(下文进一步详细描述)。在各种实施方案中，UE 102、RAN 110和AP 106可被配置为利用LTE-WLAN聚合(LWA)操作和/或与IPsec隧道(LWIP)集成的WLAN LTE/WLAN无线电级别操作。LWA操作可涉及由RAN节点111、112配置为利用LTE和WLAN的无线电资源的RRC_CONNECTED中的UE 102。LWIP操作可涉及UE102经由互联网协议安全(IPsec)协议隧道来使用WLAN无线电资源(例如，连接107)来认证和加密通过连接107发送的分组(例如，互联网协议(IP)分组)。IPsec隧道传送可包括封装整个原始IP数据包并添加新的数据包头，从而保护IP数据包的原始头。

RAN 110可包括启用连接103和连接104的一个或多个接入节点。如本文所用，术语“接入节点”、“接入点”等可描述为网络与一个或多个用户之间的数据和/或语音连接提供无线电基带功能的装备。这些接入节点可被称为基站(BS)、节点B、演进节点B(eNB)、下一代节点B(gNB)、RAN节点、路侧单元(RSU)等，并且可包括地面站(例如，陆地接入点)或卫星站，其在地理区域(例如，小区)内提供覆盖。术语“路侧单元”或“RSU”可指在gNB/eNB/RAN节点或静止(或相对静止)UE中或由其实现的任何运输基础结构实体，其中在UE中或由其实现的RSU可被称为“UE型RSU”，并且在eNB中或由其实现的RSU可被称为“eNB型RSU”。RAN 110可包括用于提供宏小区的一个或多个RAN节点(例如，宏RAN节点111)，以及用于提供毫微微小区或微微小区(例如，与宏小区相比，具有更小的覆盖区域、更小的用户容量或更高的带宽的小区)的一个或多个RAN节点(例如低功率(LP)RAN节点112)。

RAN节点111和RAN节点112中的任一者可终止空中接口协议，并且可以是UE 101和UE 102的第一联系点。在一些实施方案中，RAN节点111和112中的任一个都可以满足RAN110的各种逻辑功能，包括但不限于，无线电网络控制器(RNC)的功能，诸如无线电承载管理、上行链路和下行链路动态无线电资源管理、数据分组调度以及移动性管理。

根据一些实施方案，UE 101和UE 102可以被配置为根据各种通信技术，使用正交频分复用(OFDM)通信信号通过多载波通信信道彼此进行通信或者与RAN节点111和112中的任一者进行通信，通信技术诸如但不限于，正交频分多址(OFDMA)通信技术(例如，用于下行链路通信)或单载波频分多址(SC-FDMA)通信技术(例如，用于上行链路和ProSe或侧行链路通信)，但是实施方案的范围在这方面不受限制。OFDM信号可包括多个正交子载波。

在一些实施方案中，下行链路资源网格可以用于从RAN节点111和RAN节点112中的任一者到UE 101和UE 102的下行链路传输，而上行链路传输可以利用类似的技术。网格可以是时频网格，称为资源网格或时频资源网格，其是每个时隙中下行链路中的物理资源。对于OFDM系统，此类时频平面表示是常见的做法，这使得无线资源分配变得直观。资源网格的每一列和每一行分别对应一个OFDM符号和一个OFDM子载波。时域中资源网格的持续时间与无线电帧中的一个时隙对应。资源网格中最小的时频单位表示为资源元素。每个资源网格包括多个资源块，这些资源块描述了某些物理信道到资源元素的映射。每个资源块包括资源元素的集合。在频域中，这可以表示当前可以分配的最少量资源。使用此类资源块来传送几个不同的物理下行链路信道。

物理下行链路共享信道(PDSCH)可将用户数据和更高层信令输送至UE 101和UE102。物理下行链路控制信道(PDCCH)可以承载关于与PDSCH信道有关的传输格式和资源分配的信息等等。它还可将与上行链路共享信道相关的传输格式、资源分配和H-ARQ(混合自动重传请求)信息通知UE 101和UE 102。通常，可基于从UE 101和UE 102中的任一者反馈的信道质量信息，在RAN节点111和RAN节点112中的任一者处执行下行链路调度(将控制和共享信道资源块分配给小区内的UE 102)。可在用于(例如，分配给)UE 101和UE 102中的每一者的PDCCH上发送下行链路资源分配信息。

PDCCH可以使用控制信道元素(CCE)来传送控制信息。在被映射到资源元素之前，可以首先将PDCCH复数值符号组织为四元组，然后可以使用子块交织器对其进行排列以进行速率匹配。可以使用这些CCE中的一个或多个来传输每个PDCCH，其中每个CCE可以对应于九个的四个物理资源元素集，称为资源元素组(REG)。四个正交相移键控(QPSK)符号可以映射到每个REG。根据下行链路控制信息(DCI)的大小和信道条件，可以使用一个或多个CCE来传输PDCCH。可存在四个或更多个被定义在LTE中具有不同数量的CCE(例如，聚合级，L＝1、2、4或8)的不同的PDCCH格式。

一些实施方案可以使用用于控制信道信息的资源分配的概念，其是上述概念的扩展。例如，一些实施方案可以利用将PDSCH资源用于控制信息传输的增强的物理下行链路控制信道(EPDCCH)。可使用一个或多个增强的控制信道元素(ECCE)来传输EPDCCH。与以上类似，每个ECCE可以对应于九个的四个物理资源元素集，称为增强的资源元素组(EREG)。在一些情况下，ECCE可以具有其他数量的EREG。

RAN 110被示为经由SI接口113通信耦接到核心网(CN)120。在多个实施方案中，CN120可以是演进分组核心(EPC)网络、下一代分组核心(NPC)网络或某种其他类型的CN。在该实施方案中，SI接口113分为两部分：S1-U接口114，它在RAN节点111和112与服务网关(S-GW)122之间承载流量数据；以及SI-移动性管理实体(MME)接口115，它是RAN节点111和112与MME 121之间的信令接口。

在该实施方案中，CN 120包括MME 121、S-GW 122、分组数据网络(PDN)网关(P-GW)123和归属订户服务器(HSS)124。MME 121在功能上可以类似于传统服务通用分组无线电服务(GPRS)支持节点(SGSN)的控制平面。MME 121可管理访问中的移动性方面，诸如网关选择和跟踪区域列表管理。HSS 124可包括用于网络用户的数据库，该数据库包括用于支持网络实体处理通信会话的订阅相关信息。根据移动订户的数量、设备的容量、网络的组织等，CN120可包括一个或多个HSS 124。例如，HSS 124可提供对路由/漫游认证、授权、命名/寻址解析、位置依赖关系等的支持。

S-GW 122可终止面向RAN 110的S1接口113，并且在RAN 110和CN120之间路由数据分组。另外，S-GW 122可以是用于RAN间节点切换的本地移动锚点，并且还可以提供用于3GPP间移动的锚。其他职责可包括合法拦截、计费和执行某些策略。

P-GW 123可终止朝向PDN的SGi接口。P-GW 123可经由互联网协议(IP)接口125在S-GW 122和外部网络诸如包括应用程序服务器130的网络(另选地被称为应用功能(AF))之间路由数据分组。一般地，应用程序服务器130可以是提供与核心网一起使用IP承载资源的应用程序的元素(例如，UMTS分组服务(PS)域、LTE PS数据服务等)。在该实施方案中，P-GW123被示为经由IP通信接口125通信地耦接到应用程序服务器130。应用程序服务器130还可被配置为经由CN 120支持针对UE 101和UE 102的一个或多个通信服务(例如，互联网协议语音(VoIP)会话、PTT会话、组通信会话、社交网络服务等)。

P-GW 123还可以是用于策略实施和计费数据收集的节点。策略和计费执行功能(PCRF)126是CN 120的策略和计费控制元素。在非漫游场景中，与UE的互联网协议连接访问网络(IP-CAN)会话相关联的国内公共陆地移动网络(HPLMN)中可能存在单个PCRF。在具有本地流量突破的漫游场景中，可能存在与UE的IP-CAN会话相关联的两个PCRF：HPLMN内的国内PCRF(H-PCRF)和受访公共陆地移动网络(VPLMN)内的受访PCRF(V-PCRF)。PCRF 126可经由P-GW 123通信地耦接到应用程序服务器130。应用程序服务器130可发信号通知PCRF 126以指示新服务流，并且选择适当的服务质量(QoS)和计费参数。PCRF 126可将该规则配置为具有适当的通信流模板(TFT)和QoS类别标识符(QCI)的策略和计费执行功能(PCEF)(未示出)，该功能开始由应用程序服务器130指定的QoS和计费。

图2示出了根据各种实施方案的为RLOS授权UE的示例性过程200。在操作0处，UE101可接收指示服务网络支持RLOS的系统信息块(SIB)消息和/或对其进行解码。服务网络可以是UE 101寻求的用于提供RLOS的网络。UE 101可能未由RLOS和/或服务网络认证。当UE101解码或确定RLOS可从服务网络获得时，UE 101可执行另外操作以获得RLOS。

在操作1处，UE 101可生成请求订阅由服务网络提供的RLOS的第一附接请求。该附接请求可包括RLOS的信息和某些UE识别(ID)信息。此类UE ID信息(也称为订阅标识符)可包括但不限于相对于UE 101的国际移动用户身份(IMSI)、国际移动装备身份(IMEI)和通用唯一标识符(UUID)。附接请求可包括附接是针对RLOS的指示，其可类似于为了紧急呼叫和/或其他类似服务而可用于未认证UE的紧急附接指示。附接请求被传输到服务网络的MME121。一旦RLOS被授予UE 101，MME 121就可确定或选择用于RLOS的本地配置的APN。MME 121可对应于NR网络中的接入和移动性管理功能(AMF)。在一些实施方案中，如果UE 101被认证(例如，在有限状态下)，则UE 101可在操作1之前执行分离过程。

在操作2处，MME 121可通过传输附接拒绝消息来响应于来自UE 101的第一请求。可利用服务网络证书和随机数(RAND)来生成附接拒绝消息。附接拒绝消息可指示或请求UE101发送相对于RLOS授权具有相同信息和/或附加信息的另一个附接请求。RAND是由MME生成的随机数并且其长度可以是例如16或64位。UE可使用RAND来生成授权签名。

在操作3处，UE 101可通过生成第二附接请求消息来响应于附接拒绝消息。在从MME 121接收到附接拒绝消息时，UE 101可基于附接拒绝消息生成授权签名。第二附接请求可包括由UE 101接收的RAND，或基于所接收的RAND生成的信息。该信息可基于所接收的RAND和多个其他参数来生成。其可通过使用RAND来避免或减少对服务网络的重放攻击。

在实施方案中，第二附接请求消息可包括所请求的RLOS的相同或基本上类似的信息。第二附接请求消息可包括UE 101的IMSI、IMEI和/或UUID的相同或基本上类似的信息。此外，UE 101可生成或提供相对于UE 101的全球移动通信系统协会(GSMA)设备证书的统一资源定位符(URL)。在实施方案中，GSMA设备证书的URL可由UE 101用私钥签名。可基于附接拒绝消息中的指示或请求来提供UE 101的此类签名。需注意，UE 101可配备有具有公钥/私钥的增强型通用集成电路卡(eUICC)，其在制造阶段被规定为对应于证书。URL可包括指向的证书授权方230的指针和UE 101唯一标识符。例如，URL可能以www.RLOSA.com/DeviceID ＝xxxx的形式或与其类似。

在操作4处，如果UE 101传输IMSI，则MME 121可检索IMSI。如果UE 101传输IMEI，则MME 121可经由软件验证来检索IMEI。

在操作5a-5d处，服务网络可执行关于由UE 101传输的授权信息的验证。

在操作5a处，MME 121可将授权验证请求消息发送到网络中的授权服务器225。授权验证请求消息可包括由MME 121接收的一个或多个订阅标识符(IMSI、IMEI、UUID等)。授权验证请求消息还可包括URL和RAND。授权验证请求消息还可包括由UE 101签署的签名。

在操作5b-5c处，授权服务器225可与由URL识别的证书授权方230具有业务关系。授权服务器225可通过经由URL联系证书授权方230来检索设备证书。以这种方式，授权服务器225可验证来自MME的授权验证请求消息中的接收签名。验证可导致成功或失败的结果。在一些实施方案中，证书授权方230可以是授权服务器225的一部分。

在操作5d处，授权服务器225可生成授权验证响应消息并将其传输到MME 121。授权验证响应消息可包括对应于操作5b-5c的验证的结果。该结果可包括关于UE 101的验证的成功或失败的指示。

在操作6处，MME 121可根据对应的3GPP系统方面工作组(SA2)规范继续EPC的该RLOS接入过程。该过程可被称为提供规定对RLOS的接入。如果授权验证响应消息指示成功验证，则MME 121可向UE 101授权对RLOS的访问或订阅。如果授权验证响应消息指示失败的验证，则MME 121可通过向UE 101发送最终附接拒绝消息来中止该RLOS接入/附接过程。

在实施方案中，上述过程可适用于LTE技术、NE技术和各种未来无线技术。需注意，MME可被称为接入和移动性管理功能(AMF)或其他类似术语。

图3示出了根据各种实施方案的用于有利于RLOS接入授权过程的操作流程/算法结构300。操作流程/算法结构300可以是相对于图2所示的RLOS接入授权的过程的一部分。操作流程/算法结构300可由UE 101或其电路执行。

在305处，操作流程/算法结构300可包括传输用于接入由服务网络提供的RLOS的第一附接请求消息。在各种实施方案中，第一附接请求消息可与相对于图2的操作1处的第一附接请求消息相同或基本上类似，其可包括请求RLOS的信息、订阅标识符和/或关于UE的其他信息。一个或多个订阅标识符可包括但不限于UE 101的IMSI、IMEI和UUID。UE 101可生成第一附接请求消息以包括上述信息中的一些或全部。UE 101可能未由服务网络认证或可能由服务网络认证。

在310处，操作流程/算法结构300可包括在接收到附接拒绝消息时对附接拒绝消息中的随机数(RAND)进行解码。附接拒绝消息可与相对于图2的操作2处的附接拒绝消息相同或基本上类似，其可包括RAND以及相对于UE授权/认证过程的其他请求以获得对RLOS的接入/订阅。UE 101可经由对应的网络节点和/或实体接收附接拒绝消息。

在315处，操作流程/算法结构300可包括传输包括随机数的第二附接请求消息。附接拒绝消息可与相对于图2的操作3处的第二附接请求消息相同或基本上类似，其可包括RAND以及相对于UE授权/认证过程的其他授权信息以获得对RLOS的接入/订阅。在实施方案中，第二附接请求消息可包括UE 101的IMSI、IMEI和/或UUID的相同或基本上类似的信息，作为包括在第一附接请求消息中的订阅标识符。当MME或AMF以附接拒绝消息请求时，UE101可生成或提供相对于UE 101的全球移动通信系统协会(GSMA)设备证书的统一资源定位符(URL)。在实施方案中，GSMA设备证书的URL可由UE 101用私钥签名。可基于附接拒绝消息中的指示或请求来提供UE 101的此类签名。需注意，UE 101可配备有具有eUICC，其在制造阶段被规定为对应于证书。UE 101可基于MME 121或AMF对附接拒绝消息的接收来生成第二附接请求消息。

图4示出了根据各种实施方案的用于有利于RLOS接入授权过程的操作流程/算法结构400。操作流程/算法结构400可以是相对于图2所示的RLOS接入授权的过程的一部分。操作流程/算法结构400可由MME 121、AMF或其相应电路执行。

在405处，操作流程/算法结构400可包括从UE接收用于接入与MME相关联的服务网络所提供的RLOS的第一附接请求消息。MME 121可对由UE 101传输的第一附接请求消息进行解码。

在410处，操作流程/算法结构400可包括基于第一附接请求消息的接收来传输附接拒绝消息，该附接拒绝消息包括由MME或AMF生成的随机数。MME或AMF可向UE 101生成附接拒绝消息。附接拒绝消息可与相对于图2的操作2处的附接拒绝消息相同或基本上类似，其可包括RAND以及相对于UE授权/认证过程的其他请求以获得对RLOS的接入/订阅。附接拒绝消息可包括对UE授权信息的一个或多个请求。

在415处，操作流程/算法结构400可包括基于从UE接收第二附接请求消息，对第二附接请求消息中的随机数和UE的一个或多个订阅标识符进行解码。第二附接请求消息可与相对于图2的操作3处的第二附接请求消息相同或基本上类似，其可包括RAND、UE订阅标识符信息和/或相对于UE授权/认证过程的GSMA设备证书的URL以获得对RLOS的访问/订阅。MME或AMF可检索IMSI和/或IMEI并且相应地验证它们。

在420处，操作流程/算法结构400可包括确定使UE接入RLOS的授权决定。该确定可与相对于图2的操作5a-5d处的过程相同或基本上类似。授权决定可指示成功验证以启用进一步的PARLOS接入过程，或指示失败验证以中断RLOS附接过程。

图5示出了根据各种实施方案的用于有利于RLOS接入授权过程的操作流程/算法结构500。操作流程/算法结构500可以是相对于图2所示的RLOS接入授权的过程的一部分。操作流程/算法结构500可由授权服务器225或其电路执行。

在505处，操作流程/算法结构500可包括从MME或AMF接收授权验证请求消息。授权验证请求消息可与相对于图2的操作5a处的授权验证请求消息相同或基本上类似，其可包括RAND、UE订阅标识符信息、URL和/或UE的签名。

在510处，操作流程/算法结构500可包括基于授权验证请求消息来确定授权验证。UE的授权验证的确定可与相对于图2的操作5b-5c处的授权验证请求消息相同或基本上类似。授权服务器225可检索设备证书。在一些实施方案中，检索可来自证书授权方230。授权服务器225可用所检索的设备证书信息来验证所接收的签名和/或其他UE信息。授权服务器225可呈现关于UE是否被成功验证的决定。

在515处，操作流程/算法结构500可包括向MME传输授权验证响应。授权验证响应可与相对于图2的操作5d处的授权验证请求消息相同或基本上类似。

以下附图描述了可实现本文所述的各种实施方案的系统、设备和部件。类似命名的元件可彼此取代。

图6示出了根据各种实施方案的要在无线网络中操作的示例性装备600。装备600(或“系统600”)可被实现为基站、无线电总部、RAN节点等。在其他示例中，系统600可在UE、应用程序服务器130和/或本文所讨论的任何其他元件/设备中实现或由其实现。系统600可包括以下中的一者或多者：应用程序电路605、基带电路610、一个或多个无线电前端模块615、存储器电路620、电源管理集成电路(PMIC)625、电源三通电路630、网络控制器电路635、网络接口连接器640、卫星定位电路645和用户界面650。在一些实施方案中，系统600可包括附加元件，诸如例如，存储器/存储装置、显示器、相机、传感器或输入/输出(I/O)接口。在其他实施方案中，以下描述的部件可以包括在一个以上的设备中(例如，所述电路可以单独地包括在用于云-RAN(C-RAN)具体实施的一个以上的设备中)。

如本文所用，术语“电路”可指以下项、为以下项的一部分或包括以下项：硬件部件诸如被配置为提供所述功能的电子电路、逻辑电路、处理器(共享、专用或组)和/或存储器(共享、专用或组)、专用集成电路(ASIC)、现场可编程设备(FPD)(例如，现场可编程门阵列(FPGA)、可编程逻辑设备(PLD)、复杂PLD(CPLD)、大容量PLD(HCPLD)、结构化ASIC或可编程片上系统(SoC))、数字信号处理器(DSP)等。

在一些实施方案中，电路可执行一个或多个软件或固件程序以提供所述功能中的至少一些。此外，术语“电路”还可以指一个或多个硬件元件与用于执行该程序代码的功能的程序代码的组合(或电气或电子系统中使用的电路的组合)。在这些实施方案中，硬件元件和程序代码的组合可被称为特定类型的电路。

术语“应用程序电路”和/或“基带电路”可被认为与“处理器电路”同义，并且可被称为“处理器电路”。如本文所用，术语“处理器电路”可指、是或包括能够顺序地和自动地执行一系列算术运算或逻辑运算的电路；记录、存储和/或传输数字数据。术语“处理器电路”可指一个或多个应用处理器、一个或多个基带处理器、物理中央处理单元(CPU)、单核处理器、双核处理器、三核处理器、四核处理器和/或能够执行或以其他方式操作计算机可执行指令(诸如程序代码、软件模块和/或功能过程)的任何其他设备。

此外，核心网120的各种部件可被称为“网络元件”。术语“网络元件”可描述用于提供有线或无线通信网络服务的物理或虚拟化装备。术语“网络元件”可被认为是和/或被称为联网计算机、联网硬件、网络装备、网络节点、路由器、开关、集线器、网桥、无线网络控制器、无线接入网设备、网关、服务器、虚拟化网络功能(VNF)、网络功能虚拟化基础结构(NFVI)等。

应用程序电路605可包括一个或多个中央处理单元(CPU)核心和以下中的一者或多者：高速缓存存储器、低压差稳压器(LDO)、中断控制器、串行接口诸如SPI、I2C或通用可编程串行接口模块、实时时钟(RTC)、包括间隔计时器和看门狗计时器的计时器-计数器、通用输入/输出(I/O或IO)、存储卡控制器诸如安全数字(SD)多媒体卡(MMC)或类似产品、通用串行总线(USB)接口、移动产业处理器接口(MIPI)接口和联合测试访问组(JTAG)测试访问端口。作为示例，应用程序电路605可包括一个或多个Intel或处理器；Advanced Micro Devices(AMD)处理器、加速处理单元(APU)或处理器；等等。在一些实施方案中，系统600可能不利用应用程序电路605，并且替代地可能包括专用处理器/控制器以处理例如从EPC或5GC接收的IP数据。

除此之外或另选地，应用程序电路605可包括电路，诸如但不限于一个或多个现场可编程设备(FPD)诸如现场可编程门阵列(FPGA)等；可编程逻辑设备(PLD)，诸如复杂PLD(CPLD)、大容量PLD(HCPLD)等；ASIC，诸如结构化ASIC等；可编程SoC(PSoC)；等等。在此类实施方案中，应用程序电路605的电路可包括逻辑块或逻辑构架，该逻辑块或逻辑构架包括可被编程用于执行各种功能诸如本文所讨论的各种实施方案的过程、方法、功能等的其他互连资源。在此类实施方案中，应用程序电路605的电路可包括用于存储查找表(LUT)等中的逻辑块、逻辑构架、数据等的存储器单元(例如，可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)、闪存存储器、静态存储器(例如，静态随机存取存储器(SRAM)、防熔丝等))。

基带电路610可被实现为例如焊入式衬底，其包括一个或多个集成电路、焊接到主电路板的单个封装集成电路或包含两个或更多个集成电路的多芯片模块。尽管未示出，但基带电路610可包括一个或多个数字基带系统，所述一个或多个数字基带系统可经由互连子系统耦接到CPU子系统、音频子系统和接口子系统。数字基带子系统还可经由另一个互连子系统耦接到数字基带接口和混合信号基带子系统。互连子系统中的每个可包括总线系统、点对点连接件、片上网络(NOC)结构和/或一些其他合适的总线或互连技术，诸如本文所讨论的那些。音频子系统可包括数字信号处理电路、缓冲存储器、程序存储器、语音处理加速器电路、数据转换器电路诸如模数转换器电路和数模转换器电路，包括放大器和滤波器中的一者或多者的模拟电路，和/或其他类似部件。在本公开的一个方面，基带电路610可包括具有一个或多个控制电路实例(未示出)的协议处理电路，以为数字基带电路和/或射频电路(例如，无线电前端模块615)提供控制功能。

用户接口电路650可包括被设计成使得用户能够与系统600或外围部件接口进行交互的一个或多个用户接口，该外围部件接口被设计成使得外围部件能够与系统600进行交互。用户接口可包括但不限于一个或多个物理或虚拟按钮(例如，复位按钮)、一个或多个指示器(例如，发光二极管(LED))、物理键盘或小键盘、鼠标、触摸板、触摸屏、扬声器或其他音频发射设备、麦克风、打印机、扫描仪、头戴式耳机、显示屏或显示设备等。外围部件接口可包括但不限于非易失性存储器端口、通用串行总线(USB)端口、音频插孔、电源接口等。

无线电前端模块(RFEM)615可包括毫米波RFEM和一个或多个子毫米波射频集成电路(RFIC)。

存储器电路620可包括以下中的一者或多者：包括动态随机存取存储器(DRAM)和/或同步动态随机存取存储器(SDRAM)的易失性存储器、包括高速电可擦存储器(通常称为“闪存存储器”)的非易失性存储器(NVM)、相变随机存取存储器(PRAM)、磁阻随机存取存储器(MRAM)等，并且可结合和的三维(3D)交叉点(XPOINT)存储器。存储器电路620可被实现为以下中的一者或多者：焊入式封装集成电路、套接存储器模块和插入式存储卡。

PMIC 625可包括稳压器、电涌保护器、电源警报检测电路以及一个或多个备用电源，诸如电池或电容器。电源警报检测电路可检测掉电(欠压)和电涌(过压)状况中的一者或多者。电源三通电路630可提供从网络电缆提取的电力，以使用单个电缆来为基础设施装备600提供电源和数据连接两者。

网络控制器电路635可使用标准网络接口协议诸如以太网、基于GRE隧道的以太网、基于多协议标签交换(MPLS)的以太网或一些其他合适的协议来提供到网络的连接。可使用物理连接经由网络接口连接器640向基础设施装备600提供网络连接/提供来自该基础设施装备的网络连接，该物理连接可以是电连接(通常称为“铜互连”)、光学连接或无线连接。网络控制器电路635可包括用于使用前述协议中的一者或多者来通信的一个或多个专用处理器和/或FPGA。在一些具体实施中，网络控制器电路635可包括用于使用相同或不同的协议来提供到其他网络的连接的多个控制器。

定位电路645可包括用于接收和解码由全球导航卫星系统(GNSS)的一个或多个导航卫星星座发射的信号的电路。导航卫星星座(或GNSS)的示例可包括美国的全球定位系统(GPS)、俄罗斯的全球导航系统(GLONASS)、欧盟的伽利略系统、中国的北斗导航卫星系统、区域导航系统或GNSS增强系统(例如，利用印度星座(NAVIC)、日本的准天顶卫星系统(QZSS)、法国的多普勒轨道图和卫星集成的无线电定位(DORIS)等进行导航)等。定位电路645可包括各种硬件元件(例如，包括硬件设备诸如开关、滤波器、放大器、天线元件等，以有利于空中(OTA)通信)以与定位网络的部件诸如导航卫星星座节点通信。

图6所示的部件可使用接口电路彼此通信。如本文所用，术语“接口电路”可指以下项、为以下项的一部分或包括以下项：提供两个或更多个部件或设备之间的信息交换的电路。术语“接口电路”可指一个或多个硬件接口，例如总线、输入/输出(I/O)接口、外围部件接口、网络接口卡等。任何合适的总线技术可用于各种具体实施中，其可包括任何数量的技术，包括行业标准架构(ISA)、扩展ISA(EISA)、外围部件互连(PCI)、外围部件互连扩展(PCIx)、PCI express(PCIe)或任何数量的其他技术。总线可以是专有总线，例如，在基于SoC的系统中使用。可包括其他总线系统，诸如I2C接口、SPI接口、点对点接口和电源总线等等。

图7示出了根据各种实施方案的网络系统700的架构。示出系统700包括UE 701，其可与先前讨论的UE 601和602相同或类似；RAN节点711，该RAN节点可与先前讨论的RAN节点611和612相同或类似；数据网络(DN)703，其可为例如运营商服务、互联网访问或第3方服务；和5G核心网(5GC或CN)720。

CN 720可包括认证服务器功能(AUSF)722；接入和移动性管理功能(AMF)721；会话管理功能(SMF)724；网络曝光功能(NEF)723；策略控制功能(PCF)726；网络功能(NF)储存库功能(NRF)725；统一数据管理(UDM)727；应用程序功能(AF)728；用户平面功能(UPF)702；以及网络切片选择功能(NSSF)729。

UPF 702可充当RAT内和RAT间移动性的锚点、与DN 703互连的外部PDU会话点，以及支持多宿主PDU会话的分支点。UPF 702还可执行分组路由和转发、执行分组检查、强制执行策略规则的用户平面部分、合法地拦截分组(UP收集)；执行流量使用情况报告、对用户平面执行QoS处理(例如，分组滤波、门控、UL/DL速率执行)、执行上行链路流量验证(例如，SDF到QoS流映射)、上行链路和下行链路中的传送级别分组标记以及下行链路分组缓冲和下行链路数据通知触发。UPF 702可包括用于支持将流量流路由到数据网络的上行链路分类器。DN 703可表示各种网络运营商服务、互联网访问或第三方服务。DN 703可包括或类似于先前讨论的应用服务器630。UPF 702可经由SMF 724和UPF 702之间的N4参考点与SMF 724进行交互。

AUSF 722可存储用于UE 701的认证的数据并处理与认证相关的功能。AUSF 722可有利于针对各种访问类型的公共认证框架。AUSF 722可经由AMF 721和AUSF 722之间的N12参考点与AMF 721通信；并且可经由UDM727和AUSF 722之间的N13参考点与UDM 727通信。另外，AUSF 722可呈现出基于Nausf服务的接口。

AMF 721可负责注册管理(例如，负责注册UE 701等)、连接管理、可达性管理、移动性管理和对AMF相关事件的合法拦截，并且访问认证和授权。AMF 721可以是AMF 721和SMF724之间的N11参考点的终止点。AMF 721可为UE 701和SMF 724之间的会话管理(SM)消息提供传输，并且充当用于路由SM消息的透明代理。AMF 721还可为UE 701和SMS功能(SMSF)(图7未示出)之间的短消息服务(SMS)消息提供传送。AMF721可充当安全锚定功能(SEA)，该SEA可包括与AUSF 722和UE 701的交互，接收由于UE 701认证过程而建立的中间密钥。在使用基于USIM的认证的情况下，AMF 721可从AUSF 722检索安全材料。AMF 721还可包括安全内容管理(SCM)功能，该功能从SEA接收用于导出接入网络特定密钥的密钥。

此外，AMF 721可以是RAN CP接口的终止点，其可包括或为(R)AN 711和AMF 721之间的N2参考点；并且AMF 721可以是NAS(N1)信令的终止点，并且执行NAS加密和完整性保护。

AMF 721还可通过N3互通功能(IWF)接口支持与UE 701的NAS信令。N3IWF可用于提供对不可信实体的访问。N3IWF可以是控制平面的(R)AN 711和AMF 721之间的N2接口的终止点，并且可以是用户平面的(R)AN 711和UPF 702之间的N3参考点的终止点。因此，AMF721可处理来自SMF 724和AMF 721的用于PDU会话和QoS的N2信令，封装/解封分组以用于IPSec和N3隧道，将N3用户平面分组标记在上行链路中，并且执行对应于N3分组标记的QoS，这考虑到与通过N2接收的此类标记相关联的QoS需求。N3IWF还可经由UE 701和AMF 721之间的N1参考点在UE 701和AMF 721之间中继上行链路和下行链路控制平面NAS信令，并且在UE701和UPF 702之间中继上行链路和下行链路用户平面分组。N3IWF还提供用于利用UE701建立IPsec隧道的机制。AMF 721可呈现出基于Namf服务的接口，并且可以是两个AMF721之间的N14参考点和AMF 721与5G装备身份寄存器(5G-EIR)(图7未示出)之间的N17参考点的终止点。

SMF 724可负责会话管理(例如，会话建立、修改和发布，包括UPF和AN节点之间的隧道维护)；UE IP地址分配和管理(包括任选授权)；UP功能的选择和控制；配置UPF的交通转向以将流量路由至正确的目的地；终止朝向策略控制功能的接口；策略执行和QoS的控制部分；合法拦截(对于SM事件和与LI系统的接口)；终止NAS消息的SM部分；下行链路数据通知；发起经由AMF 721通过N2发送到(R)AN 711的AN特定SM信息；以及确定会话的SSC模式。SMF 724可包括以下漫游功能：处理本地执行以应用QoS SLA(VPLMN)；计费数据采集和计费接口(VPLMN)；合法拦截(对于SM事件和与LI系统的接口，在VPLMN中)；支持与外部DN的交互，以传送用于通过外部DN进行PDU会话授权/认证的信令。在漫游场景中，两个SMF 724之间的N16参考点可包括在系统700中，该系统可位于受访网络中的另一个SMF 724与家庭网络中的SMF 724之间。

另外，SMF 724可呈现出基于Nsmf服务的接口。

NEF 723可提供用于安全地暴露由3GPP网络功能为第三方、内部暴露/再暴露、应用功能(例如，AF 728)、边缘计算或雾计算系统等提供的服务和能力的构件。在此类实施方案中，NEF 723可对AF进行认证、授权和/或限制。NEF 723还可转换与AF 728交换的信息以及与内部网络功能交换的信息。例如，NEF 723可在AF服务标识符和内部5GC信息之间转换。NEF723还可基于其他网络功能的暴露能力从其他网络功能(NF)接收信息。该信息可作为结构化数据存储在NEF 723处，或使用标准化接口存储在数据存储NF处。然后，存储的信息可由NEF 723重新暴露于其他NF和AF，并且/或者用于其他目的诸如分析。另外，NEF 723可呈现出基于Nnef服务的接口。

NRF 725可支持服务发现功能，从NF实例接收NF发现请求，并且向NF实例提供发现的NF实例的信息。NRF 725还维护可用的NF实例及其支持的服务的信息。如本文所用，术语“实例化”等可指实例的创建，并且“实例”可指对象的具体出现，其可例如在程序代码的执行期间发生。另外，NRF725可呈现出基于Nnrf服务的接口。

PCF 726可提供用于控制平面功能以强制执行它们的策略规则，并且还可支持用于管理网络行为的统一策略框架。PCF 726还可实现前端(FE)以访问与UDM 727的UDR中的策略决策相关的订阅信息。PCF 726可经由PCF726和AMF 721之间的N15参考点与AMF 721通信，这可包括受访网络中的PCF 726和在漫游场景情况下的AMF 721。

PCF 726可经由PCF 726和AF 728之间的N5参考点与AF 728通信；并且经由PCF726和SMF 724之间的N7参考点与SMF 724通信。系统700和/或CN 720还可包括(家庭网络中的)PCF 726和受访网络中的PCF 726之间的N24参考点。另外，PCF 726可呈现出基于Npcf服务的接口。

UDM 727可处理与订阅相关的信息以支持网络实体对通信会话的处理，并且可存储UE 701的订阅数据。例如，可经由UDM 727和AMF 721之间的N8参考点在UDM 727和AMF721之间传送订阅数据。UDM 727可包括两部分：应用程序FE和用户数据存储库(UDR)(图7未示出FE和UDR)。UDR可存储UDM 727和PCF 726的订阅数据和策略数据，和/或NEF 723的用于暴露的结构化数据以及应用程序数据(包括用于应用程序检测的分组流描述(PFD)、多个UE701的应用程序请求信息)。基于Nudr服务的接口可由UDR呈现出以允许UDM 727、PCF 726和NEF 723访问存储的数据的特定集，以及读取、更新(例如，添加、修改)、删除和订阅UDR中的相关数据更改的通知。UDM可包括UDM FE，该UDM FE负责处理凭据、位置管理、订阅管理等。在不同的事务中，若干不同的前端可为同一用户服务。UDM-FE访问存储在UDR中的订阅信息并执行认证凭据处理；用户标识符处理：访问授权；注册/移动性管理；和订阅管理。UDR可经由UDM 727和SMF 724之间的N10参考点与SMF 724进行交互。UDM 727还可支持SMS管理，

其中SMS-FE实现如前所讨论的类似应用逻辑。另外，UDM 727可呈现出基于Nudm服务的接口。

AF 728可提供应用程序对流量路由的影响，提供对网络能力暴露(NCE)的访问，并且与策略框架进行交互以进行策略控制。NCE可以是允许5GC和AF 728经由NEF 723彼此提供信息的机制，该机制可用于边缘计算具体实施。在此类具体实施中，网络运营商和第三方服务可被托管在附件的UE701接入点附近，以通过减小的端到端延迟和传输网络上的负载来实现有效的服务递送。对于边缘计算具体实施，5GC可选择UE 701附近的UPF 702并且经由N6接口执行从UPF 702到DN 703的流量转向。这可基于UE订阅数据、UE位置和AF 728所提供的信息。这样，AF 728可影响UPF(重新)选择和流量路由。基于运营商部署，当AF 728被认为是可信实体时，网络运营商可允许AF 728与相关NF直接进行交互。另外，AF 728可呈现出基于Naf服务的接口。

NSSF 729可选择为UE 701服务的一组网络切片实例。如果需要，NSSF729还可确定允许的网络切片选择辅助信息(NSSAI)以及到订阅的单个NSSAI(S-NSSAI)的映射。NSSF729还可基于合适的配置并且可能通过查询NRF 725来确定用于为UE 701服务的AMF集，或候选AMF 721的列表。UE 701的一组网络切片实例的选择可由AMF 721触发，其中UE 701通过与NSSF 729进行交互而注册，这可导致AMF 721发生改变。NSSF 729可经由AMF 721和NSSF 729之间的N22参考点与AMF 721进行交互；并且可经由N31参考点(图7未示出)与受访网络中的另一NSSF 729通信。另外，NSSF729可呈现出基于Nnssf服务的接口。

如前所讨论，CN 720可包括SMSF，该SMSF可负责SMS订阅检查和验证，并向/从UE701从/向其他实体中继SM消息，所述其他实体诸如SMS-GMSC/IWMSC/SMS路由器。SMS还可与AMF 721和UDM 727进行交互以用于UE 701可用于SMS传输的通知过程(例如，设置UE不可达标志，并且当UE 701可用于SMS时通知UDM 727)。

CN 720还可包括图7未示出的其他元素，诸如数据存储系统/架构、5G装备身份寄存器(5G-EIR)、安全边缘保护代理(SEPP)等。数据存储系统可包括结构化数据存储网络功能(SDSF)、非结构化数据存储网络功能(UDSF)等。任何NF均可经由任何NF和UDSF(图7未示出)之间的N18参考点将未结构化数据存储到UDSF(例如，UE上下文)中或从中检索。单个NF可共享用于存储其相应非结构化数据的UDSF，或者各个NF可各自具有位于单个NF处或附近的它们自己的UDSF。另外，UDSF可呈现出基于Nudsf服务的接口(图7未示出)。5G-EIR可以是NF，其检查永久设备标识符(PEI)的状态，以确定是否将特定设备/实体从网络中列入黑名单；并且SEPP可以是在PLMN间控制平面接口上执行拓扑隐藏、消息过滤和警管的非透明代理。

另外，NF中的NF服务之间可存在更多参考点和/或基于服务的接口；然而，为了清楚起见，图7省略了这些接口和参考点。在一个示例中，CN 720可包括Nx接口，其为MME(例如，MME 621)和AMF 721之间的CN间接口，以便能够在CN 720和CN 620之间进行互通。

其他示例性接口/参考点可包括由5G-EIR呈现出的基于N5g-eir服务的接口、受访网络中的NRF与家庭网络中的NRF之间的N27参考点，以及受访网络中的NSSF与家庭网络中的NSSF之间的N31参考点。

在又另一个示例中，系统700可包括多个RAN节点711，其中Xn接口被限定在连接到5GC的两个或更多个RAN节点711(例如，gNB等)之间，连接到5GC 720的RAN节点711(例如，gNB)与eNB(例如，图6的RAN节点611)之间，和/或连接到5GC 720的两个eNB之间。在一些具体实施中，Xn接口可包括Xn用户平面(Xn-U)接口和Xn控制平面(Xn-C)接口。Xn-U可提供用户平面PDU的非保证递送并支持/提供数据转发和流控制功能。Xn-C可提供管理和错误处理功能，用于管理Xn-C接口的功能；对连接模式(例如，CM-CONNECTED)下的UE 701的移动性支持包括用于管理一个或多个RAN节点711之间的连接模式的UE移动性的功能。该移动性支持可包括从旧(源)服务RAN节点711到新(目标)服务RAN节点711的上下文传输；以及对旧(源)服务RAN节点711到新(目标)服务RAN节点711之间的用户平面隧道的控制。Xn-U的协议栈可包括建立在互联网协议(IP)传输层上的传输网络层，以及UDP和/或IP层的顶部上的用于承载用户平面PDU的GTP-U层。Xn-C协议栈可包括应用层信令协议(称为Xn应用协议(Xn-AP))和构建在SCTP层上的传输网络层。SCTP层可位于IP层的顶部。SCTP层提供应用层消息的保证递送。在传输IP层中，使用点对点传输来递送信令PDU。在其他具体实施中，Xn-U协议栈和/或Xn-C协议栈可与本文所示和所述的用户平面和/或控制平面协议栈相同或类似。

图8是示出了根据各种示例性实施方案的能够从机器可读介质或计算机可读介质(例如，非暂态机器可读存储介质)读取指令并执行本文所讨论的方法中的任何一种或多种方法的部件的框图。具体地，图8示出了硬件资源800的示意图，包括一个或多个处理器(或处理器核心)810、一个或多个存储器/存储设备820以及一个或多个通信资源830，它们中的每一者都可以经由总线840通信地耦接。如本文所用，术语“计算资源”、“硬件资源”等可指物理或虚拟设备、计算环境内的物理或虚拟部件，和/或特定设备内的物理或虚拟部件，诸如计算机设备、机械设备、存储器空间、处理器/CPU时间和/或处理器/CPU使用率、处理器和加速器负载、硬件时间或使用率、电源、输入/输出操作、端口或网络套接字、信道/链路分配、吞吐量、存储器使用率、存储、网络、数据库和应用程序等。对于其中利用节点虚拟化(例如，NFV)的实施方案，可执行管理程序802以提供用于一个或多个网络切片/子切片以利用硬件资源800的执行环境。“虚拟化资源”可指虚拟化基础设施提供给应用、设备、系统等的计算、存储和/或网络资源。

处理器810(例如，中央处理单元(CPU)、精简指令集计算(RISC)处理器、复杂指令集计算(CISC)处理器、图形处理单元(GPU)、数字信号处理器(DSP)(诸如基带处理器)、专用集成电路(ASIC)、射频集成电路(RFIC)、另一个处理器或其任意合适的组合)可包括例如处理器812和处理器814。

存储器/存储设备820可包括主存储器、磁盘存储装置或其任何合适的组合。存储器/存储设备820可包括但不限于任何类型的易失性或非易失性存储器，诸如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存存储器、固态存储装置等。

通信资源830可包括互连装置或网络接口部件或其他合适的设备，以经由网络808与一个或多个外围设备804或一个或多个数据库806通信。例如，通信资源830可包括有线通信部件(例如，用于经由通用串行总线(USB)进行耦接)、蜂窝通信部件、NFC部件、部件(例如，低功耗)、部件和其他通信部件。如本文所用，术语“网络资源”或“通信资源”可指可由计算机设备经由通信网络访问的计算资源。术语“系统资源”可指提供服务的任何种类的共享实体，并且可包括计算资源和/或网络资源。系统资源可被视为可通过服务器访问的一组连贯功能、网络数据对象或服务，其中此类系统资源驻留在单个主机或多个主机上并且可清楚识别。

指令850可包括用于使处理器810中的至少任一个处理器执行操作流程/算法结构300、400和/或500中的任一者或多者的软件、程序、应用程序、小应用程序、应用或其他可执行代码。指令850可完全地或部分地驻留在处理器810中的至少一者(例如，处理器的高速缓存存储器内)、存储器/存储设备820，或它们的任何合适的组合内。此外，指令850的任何部分可以从外围设备或数据库的任何组合被传送到硬件资源800。因此，处理器810的存储器、存储器/存储设备820、外围设备804和数据库806是计算机可读介质和机器可读介质的示例。

在一些实施方案中，本文的附图的电子设备、网络、系统、芯片或部件或其部分或具体实施可以被配置为执行本文所述的一个或多个过程、技术或方法或其部分。

下文提供了各种实施方案的一些非限制性示例。

实施例1可包括一种方法，该方法包括：向移动性管理实体(MME)或接入和移动性管理功能(AMF)传输用于接入由服务网络提供的受限本地运营商服务(RLOS)的第一附接请求消息或致使这样传输；在从所述MME/AMF接收到附接拒绝消息时，对所述附接拒绝消息中的随机数进行解码或致使这样解码；以及向所述MME/AMF传输第二附接请求消息或致使这样传输，所述第二附接请求消息包括用于接入所述RLOS的所述随机数以及所述UE的一个或多个订阅标识符。

实施例2可包括实施例1和/或本文的某个其他实施例的方法，其中所述MME/AMF是所述服务网络的MME/AMF。

实施例3可包括实施例1和/或本文的某个其他实施例的方法，其中所述UE相对于所述服务网络未被认证。

实施例4可包括实施例1和/或本文的某个其他实施例的方法，其中所述第一附接请求消息和所述第二附接请求消息分别包括所述RLOS的信息。

实施例5可包括实施例4和/或本文的某个其他实施例的方法，其中所述第一附接请求消息包括所述UE的所述一个或多个订阅标识符，并且其中所述一个或多个订阅标识符包括相对于所述UE的国际移动用户身份(IMSI)、国际移动装备身份(IMEI)和通用唯一标识符(UUID)中的至少一者。

实施例6可包括实施例5和/或本文的某个其他实施例的方法，其中所述第二附接请求消息还包括相对于所述UE的设备证书的统一资源定位符(URL)，并且其中所述UE用私钥对所述GSMA设备证书的所述URL签名。

实施例6.5可包括实施例6和/或本文的某个其他实施例的方法，其中所述设备证书是全球移动通信系统协会(GSMA)设备证书。

实施例7可包括实施例1和/或本文的某个其他实施例的方法，还包括：与原始网络断开连接或致使这样断开，并且其中所述UE无线连接到与所述服务网络不同的所述原始网络。

实施例8可包括实施例1和/或本文的某个其他实施例的方法，还包括基于由所述MME/AMF进行的成功授权验证来接收接入所述RLOS的授权或致使这样接收。

实施例9可包括实施例8和/或本文的某个其他实施例的方法，还包括：生成所述第一附接请求消息或致使这样生成；以及基于对所述附接拒绝消息进行解码来生成所述第二附接请求消息或致使这样生成。

实施例10可包括实施例1至9和/或本文的某个其他实施例的方法，其中所述方法由UE或其部分执行。

实施例11可包括一种方法，该方法包括：从用户装备(UE)接收用于接入与所述MME/AMF相关联的服务网络所提供的受限本地运营商服务(RLOS)的第一附接请求消息或致使这样接收；基于所述第一附接请求消息的接收来传输附接拒绝消息或致使这样传输，所述附接拒绝消息包括由所述MME/AMF生成的随机数；基于从所述UE接收到第二附接请求消息，对所述第二附接请求消息中的所述随机数进行解码或致使这样解码；以及基于由授权服务器或实体进行的授权验证来确定使所述UE接入所述RLOS的授权或致使这样确定。

实施例12可包括实施例11和/或本文的某个其他实施例的方法，还包括生成包括所述随机数的所述附接拒绝消息或致使这样生成。

实施例13可包括实施例11和/或本文的某个其他实施例的方法，其中所述附接拒绝消息还包括对来自所述UE的订阅标识符信息的请求，并且其中所述订阅标识符信息包括相对于所述UE的国际移动用户身份(IMSI)、国际移动装备身份(IMEI)和通用唯一标识符(UUID)中的至少一者。

实施例14可包括实施例13和/或本文的某个其他实施例的方法，还包括：基于从所述UE接收到第二附接请求消息，检索所述第二附接请求中的所述IMSI和IMEI中的至少一者或致使这样检索；向所述授权服务器或实体发送授权验证请求消息以检索设备证书或致使这样发送；以及从所述授权服务器或实体接收授权验证响应消息或致使这样接收。

实施例15可包括实施例14和/或本文的某个其他实施例的方法，其中所述授权验证请求消息包括所述一个或多个订阅标识符信息、所述随机数和相对于所述UE的设备证书的统一资源定位符(URL)，并且所述URL在所述第二附接请求消息中。

实施例15.5可包括实施例15和/或本文的某个其他实施例的方法，其中所述设备证书是全球移动通信系统协会(GSMA)设备证书。

实施例16可包括实施例15和/或本文的某个其他实施例的方法，其中所述UE用私钥对所述GSMA设备证书的所述URL签名。

实施例17可包括实施例11至16和/或本文的某个其他实施例的方法，其中所述方法由MME/AMF或其部分执行。

实施例18可包括一种方法，该方法包括：接收授权验证请求消息或致使这样接收；基于授权验证来确定UE的RLOC授权或致使这样确定；以及向MME传输授权验证响应消息或致使这样传输。

实施例19可包括实施例18和/或本文的某个其他实施例的方法，其中所述授权验证请求消息包括所述一个或多个订阅标识符信息、所述随机数和相对于所述UE的设备证书的统一资源定位符(URL)，并且所述URL在所述第二附接请求消息中。

实施例19.5可包括实施例15和/或本文的某个其他实施例的方法，其中所述设备证书是全球移动通信系统协会(GSMA)设备证书。

实施例20可包括实施例19和/或本文的某个其他实施例的方法，还包括：基于从证书实体检索设备证书来验证所述GSMA设备证书的所述URL或致使这样验证。

实施例21可包括实施例18至20和/或本文的某个其他实施例的方法，其中所述方法由授权服务器或其部分执行。

实施例22可包括一种装置，所述装置包括用于执行实施例1至21中任一项所述或与之相关的方法或本文所述的任何其他方法或过程的一个或多个元素的装置。

实施例23可包括一个或多个非暂态计算机可读介质，所述一个或多个非暂态计算机可读介质包括指令，这些指令在电子设备的一个或多个处理器执行指令时使得所述电子设备执行实施例1至21中任一项所述或与之相关的方法或本文所述的任何其他方法或过程的一个或多个元素。

实施例24可包括一种装置，所述装置包括用于执行实施例1至21中任一项所述或与之相关的方法或本文所述的任何其他方法或过程的一个或多个元素的逻辑部件、模块和/或电路。

实施例25可包括实施例1至21中任一项所述或与之相关的方法、技术或过程，或其部分或部件。

实施例26可包括一种装置，所述装置包括：一个或多个处理器以及一个或多个计算机可读介质，所述一个或多个计算机可读介质包括指令，这些指令在由一个或多个处理器执行时，使得所述一个或多个处理器执行实施例1至21中任一项所述或与之相关的方法、技术或过程或其部分。

参考根据本公开的实施方案的方法、装置(系统)和计算机程序产品的流程图或框图描述了本公开。应当理解，流程图图示或框图的每个块，以及流程图图示或框图中的块的组合，均可通过计算机程序指令来实现。这些计算机程序指令可被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器，使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图或框图的一个块或多个块中指定的功能/动作的装置。

这些计算机程序指令也可存储在计算机可读介质中，该计算机可读介质可引导计算机或其他可编程数据处理装置以特定方式起作用，使得存储在计算机可读介质中的指令产生包括指令装置的制造制品，这些指令装置实现流程图或框图的一个块或多个块中指定的功能/动作。

计算机程序指令也可加载到计算机或其他可编程数据处理装置上，以使得在计算机或其他可编程装置上执行一系列操作步骤以产生计算机实现的过程，使得在计算机或其他可编程装置上执行的指令提供用于实现流程图或框图的一个块或多个块中指定的功能/动作的过程。

本文中示出的具体实施的描述，包括说明书摘要中所述的具体实施，并不旨在是详尽的或将本公开限制为所公开的精确形式。尽管本文出于示意性的说明的目的描述了特定的具体实施和示例，但是如相关领域的技术人员将认识到的，可以在不脱离本公开的范围的情况下，根据以上详细描述，进行各种计算来实现相同目的的另选或等效实施方案或具体实施。