针对专用移动网络中的商业服务用户设备的无接触支持

摘要

根据一个方面，提供了一种用于执行以下操作的终端设备。终端设备向管理所述专用移动网络的服务器系统发送针对授权终端设备的用户来接入专用移动网络的请求。该请求至少包括标识用户的标识信息。响应于从服务器系统接收到对授权所述用户接入专用移动进行确认的确认消息，终端设备向至少一个存储器中的允许移动网络列表添加专用移动网络的标识符，并且向服务器系统发送针对用户的订户身份模块卡的一个或多个标识符和针对所述终端设备的一个或多个标识符。终端设备经由接入节点、至少使用专用移动网络的标识符来接入专用移动网络。

说明书

技术领域

各种示例实施例涉及无线通信。

背景技术

专用LTE网络是基于标准的LTE网络，例如由公司或政府机构部署以在其场所提供网络。通常，专用LTE网络不会在被许可给商业运营方的频谱中部署，而是由部署机构控制。专用LTE部署的主要挑战是为其网络上的商业运营方手机提供支持。通常的假设是，专用LTE网络运营方将发行被配置(provision)仅用于专用LTE网络的新SIM卡或手机。尽管这对于一些物联网(IoT)设备可能是合适的解决方案，但对于例如智能电话的用户来说却很不方便，因为他们必须随身携带多个设备或在其设备中不断改变订户身份模块(SIM)卡。

GB 2517814A公开了一种获得认证信息的方法，该认证信息对被连接到移动通信网络的移动设备进行认证。该方法支持针对订户的、在移动通信网络运营商之间的更容易的迁移(例如，支持在不要求用户更换SIM卡的情况下进行迁移)

3GPP TS 31.121V15.6.0(2019-12)，第三代合作伙伴计划；技术规范组核心网络和终端UICC终端接口；通用订户身份模块(USIM)应用测试规范(版本15)，2020-01-08；第7.2节公开了用户控制的公共陆地移动网络(PLMN)选择器处理的过程

发明内容

根据本发明的第一方面，提供了一种终端设备，包括：至少一个处理器，以及至少一个存储器，用于存储要由至少一个处理器执行的指令，其中至少一个存储器和指令被配置为与至少一个处理器一起使终端设备至少执行：向管理专用移动网络的服务器系统发送针对授权终端设备的用户接入专用移动网络的请求，其中请求至少包括标识终端设备的用户的标识信息；响应于从服务器系统接收到对授权用户接入专用移动网络进行确认的确认消息，向至少一个存储器中的允许移动网络列表添加专用移动网络的标识符，以及向服务器系统发送针对用户的订户身份模块SIM卡的一个或多个标识符和针对终端设备的一个或多个标识符，以用于使用所发送的标识符来在专用移动网络中对用户进行配置，SIM卡被包括在终端设备中并且被配置用于在公共移动网络中使用；以及经由专用移动网络的接入节点，至少使用专用移动网络(210)的标识符来接入专用移动网络。

根据第一方面的实施例，其中至少一个存储器和指令被配置为与至少一个处理器一起使终端设备执行：向服务器系统发送针对认证用户的请求，其中针对认证的请求至少包括标识终端设备的用户的标识信息；以及响应于从服务器系统接收到对用户的真实性进行确认的确认消息，执行针对授权用户的请求的发送。

根据第一方面的实施例，其中针对终端设备的一个或多个标识符包括国际移动设备标识IMEI和/或永久设备标识符PEI，并且/或者针对用户的SIM卡的一个或多个标识符包括以下至少一项：移动站国际集成服务数字网络号码MSISDN、集成电路卡标识符ICCID、国际移动订户标识IMSI和订阅永久标识符SUPI。

根据第一方面的实施例，其中向至少一个存储器中的允许移动网络列表添加专用移动网络的标识符包括：利用专用移动网络的标识符来更新终端设备的SIM卡的存储器中所维护的具有接入技术的用户控制公共陆地移动网络选择器EFPLMNwACT列表。

根据本发明的第二方面，提供了一种用于管理对专用移动网络的接入的服务器系统，服务器系统包括：至少一个处理器，以及至少一个存储器，用于存储要由至少一个处理器执行的指令，其中至少一个存储器和指令被配置为与至少一个处理器一起使服务器系统至少执行：从终端设备接收针对授权终端设备的用户接入专用移动网络的请求，其中请求至少包括标识终端设备的用户的标识信息；响应于接收，通过将用户的标识信息与被授权接入专用移动网络的用户的标识信息进行比较，来确定用户是否被授权接入专用移动网络，被授权接入专用移动网络的用户的标识信息被维护在服务器系统的第一数据库中；响应于基于第一数据库的授权成功，向终端设备发送对授权用户接入专用移动网络进行确认的确认消息；以及响应于从终端设备接收到针对用户的订户身份模块SIM卡的一个或多个标识符和针对终端设备的一个或多个标识符，发起网络配置工作流程以用于使用接收到的标识符来在专用移动网络中对用户进行配置，SIM卡被包括在终端设备中并且被配置用于在公共移动网络中使用。

根据第二方面的实施例，其中至少一个存储器和指令被配置为与至少一个处理器一起使服务器系统至少执行：接收针对认证用户的、到服务器系统的请求，其中针对认证的请求至少包括标识终端设备的用户的标识信息；响应于针对认证的请求的接收，通过将用户的标识信息与已知用户的标识信息进行比较，来确定用户是否是真实用户，已知用户的标识信息被维护在第一数据库或服务器系统的第二数据库中；以及向终端设备发送对用户的真实性进行确认的确认消息。

根据第二方面的实施例，其中服务器系统至少包括用户管理服务器和数据库服务器，用户管理服务器用于使用第一数据库来处理针对授权的请求，数据库服务器用于使用第二数据库来处理针对认证的请求。

根据第二方面的实施例，其中发起网络配置工作流程以用于基于至少一个接收到的标识符来在专用移动网络中对用户进行配置包括：向专用移动网络的核心网络元件至少发送接收到的标识符，以便触发将与用户相对应的订户记录添加到专用移动网络的归属订户服务器HSS的过程。

根据本发明的第三方面，提供了一种用于专用移动网络的缓存服务器，缓存服务器包括：至少一个处理器，以及至少一个存储器，用于存储要由至少一个处理器执行的指令，其中至少一个存储器和指令被配置为与至少一个处理器一起使缓存服务器至少执行：从专用移动网络的归属订户服务器HSS接收针对获取用于用户的认证数据的第一请求，其中第一请求包括针对用户的订户身份模块SIM卡的一个或多个标识符，SIM卡被配置用于在充当用户的归属移动网络的公共移动网络中使用；响应于接收，向用户的归属移动网络的归属订户服务器发送针对认证数据的第二请求，其中第二请求至少包括针对用户的SIM卡的一个或多个标识符；以及响应于从归属移动网络的归属订户服务器接收到包括认证数据的响应，缓存认证数据以用于专用移动网络的归属订户服务器的接入，并且向专用移动网络的归属订户服务器发送至少一些认证数据，以用于为用户提供对专用移动网络的接入。

根据第三方面的实施例，其中认证数据包括一个或多个认证向量的集合，并且至少一些认证数据的发送包括发送一个或多个认证向量的集合中的至少一个认证向量。

根据第三方面的实施例，其中一个或多个认证向量的集合中的每个认证向量包括：充当用户认证质询的随机数RAND、网络认证令牌AUTNHSS、订户认证密钥KASME和预期响应XRES。

根据本发明的第四方面，提供了一种用于专用移动网络的系统，系统包括：根据第三方面的缓存服务器；以及专用移动网络的归属订户服务器，归属订户服务器包括：至少一个处理器，以及至少一个存储器，用于存储要由至少一个处理器执行的指令，其中至少一个存储器和指令被配置为与至少一个处理器一起使归属订户服务器至少执行：响应于接收到针对在专用移动网络的归属订户服务器中对用户进行配置的请求，向在至少一个存储器中所维护的订户列表添加与用户相对应的订户记录，其中请求包括针对用户的SIM卡和/或针对用户的终端设备的一个或多个标识符，并且订户记录包括一个或多个标识符；以及响应于终端设备的用户首次注册到专用移动网络，向缓存服务器发送针对获取用于用户的认证数据的第一请求。

根据本发明的第五方面，提供了一种计算机程序产品，被实施在由计算机可读的分发介质上并且包括程序指令，程序指令在被加载到装置中时执行方法，方法包括：向管理专用移动网络的服务器系统发送针对授权终端设备的用户接入专用移动网络的请求，其中请求至少包括标识终端设备的用户的标识信息；响应于从服务器系统接收到对授权用户接入专用移动网络进行确认的确认消息，向至少一个存储器中的允许移动网络列表添加专用移动网络的标识符，以及向服务器系统发送针对用户的订户身份模块SIM卡的一个或多个标识符和针对终端设备的一个或多个标识符，以用于使用所发送的标识符来在专用移动网络中对用户进行配置，SIM卡被包括在终端设备中并且被配置用于在公共移动网络中使用；以及至少使用专用移动网络的标识符，经由专用移动网络的接入节点，来接入专用移动网络。

根据本发明的第六方面，提供了一种计算机程序产品，被实施在由计算机可读的分发介质上并且包括程序指令，程序指令在被加载到装置中时执行方法，方法包括：从终端设备接收针对授权终端设备的用户接入专用移动网络的请求，其中请求至少包括标识终端设备的用户的标识信息；响应于接收，通过将用户的标识信息与被授权接入专用移动网络的用户的标识信息进行比较，来确定用户是否被授权接入专用移动网络，被授权接入专用移动网络的用户的标识信息被维护在服务器系统的第一数据库中；响应于基于第一数据库的授权成功，向终端设备发送对授权用户接入专用移动网络进行确认的确认消息；以及响应于从终端设备接收到针对用户的订户身份模块SIM卡的一个或多个标识符和针对终端设备的一个或多个标识符，发起网络配置工作流程以用于使用接收到的标识符来在专用移动网络中对用户进行配置，SIM卡被包括在终端设备中并且被配置用于在公共移动网络中使用。

根据本发明的第七方面，提供了一种计算机程序产品，被实施在由计算机可读的分发介质上并且包括程序指令，程序指令在被加载到装置中时执行方法，方法包括：从专用移动网络的归属订户服务器接收针对获取用于用户的认证数据的第一请求，其中第一请求包括针对用户的订户身份模块SIM卡的一个或多个标识符，SIM卡被配置用于在充当用户的归属移动网络的公共移动网络中使用；响应于接收，向用户的归属移动网络的归属订户服务器发送针对认证数据的第二请求，其中第二请求至少包括针对用户的SIM卡的一个或多个标识符；以及响应于从归属移动网络的归属订户服务器接收到包括认证数据的响应，缓存认证数据以用于专用移动网络的归属订户服务器的接入，并且向专用移动网络的归属订户服务器发送至少一些认证数据，以用于为用户提供对专用移动网络的接入。

根据本发明的第八方面，提供了一种方法，包括：向管理专用移动网络的服务器系统发送针对授权终端设备的用户接入专用移动网络的请求，其中请求至少包括标识终端设备的用户的标识信息；响应于从服务器系统接收到对授权用户接入专用移动网络进行确认的确认消息，向至少一个存储器中的允许移动网络列表添加专用移动网络的标识符，以及向服务器系统发送针对用户的订户身份模块SIM卡的一个或多个标识符和针对终端设备的一个或多个标识符，以用于使用所发送的标识符来在专用移动网络中对用户进行配置，SIM卡被包括在终端设备中并且被配置用于在公共移动网络中使用；以及使用专用移动网络的标识符，经由专用移动网络的接入节点，来接入专用移动网络。

根据本发明的第九方面，提供了一种方法，包括：从终端设备接收针对授权终端设备的用户接入专用移动网络的请求，其中请求至少包括标识终端设备的用户的标识信息；响应于接收，通过将用户的标识信息与被授权接入专用移动网络的用户的标识信息进行比较，来确定用户是否被授权接入专用移动网络，被授权接入专用移动网络的用户的标识信息被维护在服务器系统的第一数据库中；响应于基于第一数据库的授权成功，向终端设备发送对授权用户接入专用移动网络进行确认的确认消息；以及响应于从终端设备接收到针对用户的订户身份模块SIM卡的一个或多个标识符和针对终端设备的一个或多个标识符，发起网络配置工作流程以用于使用接收到的标识符来在专用移动网络中对用户进行配置，SIM卡被包括在终端设备中并且被配置用于在公共移动网络中使用。

根据本发明的第十方面，提供了一种方法，包括：从专用移动网络的归属订户服务器接收针对获取用于用户的认证数据的第一请求，其中第一请求包括针对用户的订户身份模块SIM卡的一个或多个标识符，SIM卡被配置用于在充当用户的归属移动网络的公共移动网络中使用；响应于接收，向用户的归属移动网络的归属订户服务器发送针对认证数据的第二请求，其中第二请求至少包括针对用户的SIM卡的一个或多个标识符；以及响应于从归属移动网络的归属订户服务器接收到包括认证数据的响应，缓存认证数据以用于专用移动网络的归属订户服务器的接入，并且向专用移动网络的归属订户服务器发送至少一些认证数据，以用于为用户提供对专用移动网络的接入。

附图说明

在下文中，将参照所附附图更详细地描述示例实施例，其中

图1图示了例证的无线通信系统；

图2图示了根据实施例的系统架构；

图3至图7图示了根据实施例的示例性过程；以及

图8至图10图示了根据实施例的装置。

具体实施方式

在下文中，将使用基于高级长期演进(高级LTE，LTE-A)或新无线电(NR、5G)的无线电接入架构作为可以应用实施例的接入架构的示例来描述不同的示例性实施例，然而，不将实施例限于这种架构。通过适当地调整参数和程序，实施例还可以应用于具有合适部件的其他种类的通信网络。用于合适系统的其他选项的一些示例是通用移动电信系统(UMTS)无线电接入网络(UTRAN或E-UTRAN)、长期演进(LTE，与E-UTRA相同)、无线局域网(WLAN或WiFi)、全球微波接入互操作性(WiMAX)、

图1描绘了简化的系统架构的示例，其仅示出了一些元件和功能实体，全部是逻辑单元，其实现可能与所示出的不同。图1所示的连接是逻辑连接；实际的物理连接可能有所不同。对于本领域技术人员显而易见的是，该系统通常还包括除了图1所示的功能和结构以外的其他功能和结构。

然而，实施例不限于作为示例给出的系统，但是本领域技术人员可以将解决方案应用于提供有必要属性的其他通信系统。

图1的示例示出了示例性无线电接入网络的一部分。

图1示出了设备100和102。设备100和102可以例如是用户设备。设备100和102被配置为处于与节点104的一个或多个通信信道上的无线连接中。节点104还连接到核心网络110。在一个示例中，节点104可以是在小区中提供或服务设备的接入节点(诸如(e/g)NodeB)。在一个示例中，节点104可以是非3GPP接入节点。从设备到(e/g)NodeB的物理链路称为上行链路或反向链路，并且从(e/g)NodeB到设备的物理链路称为下行链路或前向链路。应该了解的是，可以通过使用适合于这种用法的任何节点、主机、服务器或接入点等实体来实施(e/g)NodeB或其功能性。

通信系统通常包括一个以上的(e/g)NodeB，在这种情况下，(e/g)NodeB也可以被配置为通过为该目的设计的有线或无线链路相互通信。这些链路可以用于信令目的。(e/g)NodeB是被配置为控制与其耦合的通信系统的无线电资源的计算设备。该NodeB也可以被称为基站、接入点或包括能够在无线环境中操作的中继站的任何其他类型的接口设备。(e/g)NodeB包括或耦合至收发器。从(e/g)NodeB的收发器向天线单元提供连接，该连接建立到设备的双向无线电链路。天线单元可以包括多个天线或天线元件。(e/g)NodeB还连接至核心网络110(CN或下一代核心NGC)。根据系统，CN侧的对方可以是服务网关(S-GW，路由和转发用户数据分组)、用于提供设备(UE)与外部分组数据网络的连接性的分组数据网络网关(P-GW)或移动管理实体(MME)等。

设备(也称为用户设备、UE、用户设备、用户终端、终端设备等)图示了分配和指派有空中接口上的资源的一种类型的装置，因此本文用设备描述的任何特征可以用诸如中继节点等对应装置来实施。这种中继节点的示例是指向基站的第3层中继(自回程中继)。

设备通常是指包括在具有或没有订户身份模块(SIM)的情况下操作的无线移动通信设备的设备(例如便携式或非便携式计算设备)，包括但不限于以下类型的设备：移动站(移动电话)、智能手机、个人数字助理(PDA)、手机、使用无线调制解调器的设备(警报或测量设备等)、膝上型和/或触摸屏计算机、平板计算机、游戏机、笔记本计算机和多媒体设备。应该了解的是，设备也可以是几乎独有的仅上行设备，其示例是将图像或视频剪辑加载到网络的相机或摄影机。设备还可以是具有在物联网(IoT)网络中操作的能力的设备，该IoT网络是物体被提供有通过网络转移数据的能力而无需人与人或人与计算机交互的场景，例如要在智能电网和连接车辆中使用。设备还可以使用云。在一些应用中，设备可以包括具有无线电零件的用户便携式设备(诸如手表、耳机或眼镜)，并且计算在云中执行。设备(或在一些实施例中，第3层中继节点)被配置为执行用户设备功能性中的一个或多个。该设备也可以被称为订户单元、移动站、远程终端、接入终端、用户终端或用户设备(UE)，仅提及几个名称或装置。

在5G中，设备100、102(或者具体地，UE硬件)可以与被称为永久设备标识符(PEI)的唯一标识符相关联。UE 100、102可以经由订阅来利用蜂窝网络的服务。订阅可以绑定到物理通用订户身份模块(USIM)卡，并且可以由唯一订阅永久标识符(SUPI)标识。SUPI可以包含移动国家代码(MCC)、移动网络代码(MNC)和移动订阅标识号(MSIN)。在以下实施例中，PEI和SUPI可以分别对应于(即，具有与之相同的格式)国际移动设备标识符(IMEI)和国际移动订户标识(IMSI)。在以下任何实施例中，可以使用PEI代替IMEI和/或可以使用SUPI代替IMSI。

本文描述的各种技术也可以应用于信息物理系统(CPS)(协作控制物理实体的计算元件的系统)。CPS可以实现在不同位置处的物理物体中嵌入的大量互连ICT设备(传感器、致动器、处理器、微控制器等)的实施和开发。所讨论的物理系统具有固有的移动性的移动信息物理系统是信息物理系统的子类别。移动物理系统的示例包括移动机器人以及由人或动物运输的电子产品。

附加地，尽管将装置描绘为单个实体，但是可以实施不同的单元、处理器和/或存储器单元(未在图1中全部示出)。

5G使得能够使用多输入多输出(MIMO)天线，比LTE(所谓的小小区概念)多得多的基站或节点，包括与较小站协作操作并取决于服务需求、用例和/或可用频谱采用多种无线电技术的宏站点。5G移动通信支持广泛的用例和相关应用，包括视频流、增强现实、数据共享的不同方式以及各种形式的机器类应用(诸如(大规模)机器类通信(mMTC))，包括车辆安全性、不同的传感器和实时控制。预计5G具有多个无线电接口，即，低于6GHz、cmWave和mmWave，并且还可与现有的传统无线电接入技术(诸如LTE)集成在一起。至少在早期阶段，可以实施与LTE的集成，作为由LTE提供宏覆盖范围的系统，并且通过聚合到LTE，5G无线电接口接入来自小小区。换言之，5G计划支持RAT间可操作性(诸如LTE-5G)和RI间可操作性(无线电接口间可操作性，诸如低于6GHz-cmWave、低于6GHz-cmWave-mmWave)。被认为在5G网络中使用的概念之一是网络切片，其中可以在同一基础设施内创建多个独立且专用的虚拟子网(网络实例)，以运行对时延、可靠性、吞吐量和移动性有不同要求的服务。

LTE网络中的当前架构完全分布在无线电中并且完全集中在核心网络中。5G中的低时延应用和服务需要使内容靠近无线电，从而导致本地突围和多接入边缘计算(MEC)。5G使分析和知识生成在数据源处进行。这种方法需要利用可能无法连续连接至网络的资源，诸如膝上型计算机、智能手机、平板计算机和传感器。MEC为应用和服务托管提供了分布式计算环境。它还具有在蜂窝订户附近存储和处理内容的能力，以加快响应时间。边缘计算覆盖了广泛的技术，诸如无线传感器网络、移动数据采集、移动签名分析、协作分布式对等自组织网络和处理，也可分类为本地云/雾计算和网格/网式计算、露水计算、移动边缘计算、微云、分布式数据存储和取回、自主自我修复网络、远程云服务、增强和虚拟现实、数据缓存、物联网(大规模连接性和/或时延关键)、关键通信(自主车辆、交通安全性、实时分析、时间关键控制、医疗保健应用)。

通信系统还能够与诸如公共交换电话网络或互联网112等其他网络通信，或者利用它们提供的服务。通信网络也可能能够支持云服务的使用，例如核心网络操作的至少一部分可以作为云服务来执行(这在图1中由“云”114描绘)。该通信系统还可以包括中央控制实体等，其为不同运营方的网络提供设施以例如在频谱共享中进行协作。

边缘云的技术可以通过利用网络功能虚拟化(NVF)和软件定义网络(SDN)进入无线电接入网络(RAN)。使用边缘云技术可能意味着将至少部分地在可操作地耦合至包括无线电零件的远程无线电头或基站的服务器、主机或节点中执行接入节点操作。还可能的是，节点操作将分布在多个服务器、节点或主机之间。cloudRAN架构的应用使得能够在RAN侧(在分布式单元DU 104中)执行RAN实时功能，并且以集中方式(在集中式单元CU 108中)执行非实时功能。

还应该理解的是，核心网络操作与基站操作之间的工作量分配可以不同于LTE，甚或不存在。可能使用的一些其他技术进步是大数据和全IP，它们可能会改变网络的构建和管理方式。5G(或新无线电NR)网络被设计为支持多个层次结构，其中MEC服务器可以放置在核心与基站或nodeB(gNB)之间。应该了解的是，MEC也可以应用于4G网络。

5G还可以例如通过提供回程来利用卫星通信以增强或补充5G服务的覆盖范围。可能的用例是为机器对机器(M2M)或物联网(IoT)设备或车载乘客提供服务连续性，或确保关键通信以及未来的铁路/海事/航空通信的服务可用性。卫星通信可以利用对地静止地球轨道(GEO)卫星系统，也可以利用低地球轨道(LEO)卫星系统，特别是巨型星座(部署了数百个(纳米)卫星的系统)。巨型星座中的每个卫星106可以覆盖创建地面小区的几个启用卫星的网络实体。地面小区可以通过地面中继节点104或由位于地面上或卫星中的gNB创建。

对于本领域技术人员明显的是，所描绘的系统只是无线电接入系统的一部分的示例，并且在实践中，该系统可以包括多个(e/g)NodeB，该设备可以接入多个无线电小区，并且该系统还可以包括至少一个(e/g)NodeB的其他装置，诸如物理层中继节点或其他网络元件等，或可以是家庭(e/g)NodeB。附加地，在无线电通信系统的地理区域中，可以提供多个不同种类的无线电小区以及多个无线电小区。无线电小区可以是宏小区(或伞形小区)，它们是通常具有长达数十公里的直径的大小区，或者是诸如微小区、毫微微小区或微微小区等小小区。图1的(e/g)NodeB可以提供任何种类的这些小区。蜂窝无线电系统可以被实施为包括几种小区的多层网络。通常，在多层网络中，一个接入节点提供一种或多种小区，因此需要多个(e/g)NodeB来提供这种网络结构。

为了满足改进通信系统的部署和性能的需求，引入了“即插即用”(e/g)NodeB的概念。通常，能够使用“即插即用”(e/g)NodeB的网络除了家庭(e/g)NodeB(H(e/g)nodeB)外还包括家庭节点B网关或HNB-GW(未在图1中示出)。通常安装在运营方网络内的HNB网关(HNB-GW)可能会将业务从大量HNB聚合回核心网络。

要讨论的实施例可以具体地应用于专用LTE网络。专用LTE网络是基于标准的LTE网络，例如由公司或政府机构部署以在其场所提供网络。通常，专用LTE网络不会在许可给商业运营方的频谱中部署，而是由部署机构控制。换言之，它们独立于商业服务提供者或运营方的移动网络。专用LTE部署的主要挑战是为专用LTE网络上的商业运营方的终端设备提供支持。通常的假设是，专用LTE网络运营方将发行被配置仅用于专用LTE网络的新SIM卡或手机。尽管这对于一些物联网(IoT)设备可能是合适的解决方案，但对于例如智能电话的用户来说却很不方便，因为他们必须随身携带多个设备或在其设备中不断改变SIM卡。在专用LTE网络中使用商业运营方的终端设备的主要问题区域是：

·授权终端设备和/或订户接入专用LTE网络，

·商业运营方的终端设备选择专用LTE公共陆地移动网络(PLMN)系统，

·配置专用LTE核心，以允许授权人员在专用LTE网络上进行接入，以及

·使用商业运营方的认证数据进行认证和加密，无需漫游协定。

实施例寻求克服或至少减轻前述问题。

本申请中所讨论的商业移动网络可以同样地称为公共移动网络。

图2图示了根据实施例的系统。在下文中，简要地描述了图2中的元件的属性和功能性，并在下面关于图3至7的流程图和信令图提供了更详细的描述。图2的系统可以对应于图1的系统的一些方面的更详细的视图。

参照图2，所图示的系统包括数字分发服务器201、终端设备202、专用移动网络210、用于管理专用移动网络210的服务器系统204和(商业)移动网络220。

数字分发服务器201是在数据库中维护根据实施例的用于使终端设备能够接入专用移动网络的应用的服务器。可以使用终端设备202下载在数据库中所维护的应用，随后将其安装在终端设备202上。下面详细讨论当运行该应用时终端设备202的操作。数字分发服务器201可以是数字分发平台的服务器。数字分发服务器201可以是互联网服务器。在一些实施例中，可以省略数字分发服务器201(例如可以将应用预安装到终端设备202或使用其他手段安装)。

终端设备202可以是关于图1定义的终端设备(同样地称为用户设备)。此处，可以假设终端设备202包括至少一个SIM(即，至少一个SIM卡)。可以结合实施例来广义地解释术语“SIM”或“SIM卡”，以便不仅包括常规的GSM SIM卡，而且包括具有附加功能性的该概念的任何进一步发展。术语“SIM”或“SIM卡”可以对应于通用集成电路卡(UICC)。UICC可以被定义为智能卡，包括中央处理单元(CPU)、只读存储器(ROM)、随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)和输入/输出(I/O)电路。具体地，根据实施例的所述UICC可以至少包括通用订户身份模块(USIM)应用(以及可选地一个或多个其他应用，例如SIM应用)。这种SIM卡有时也称为USIM卡。

终端设备202可以具体地是商业运营方的终端设备，即，商业(在职)终端设备。换言之，终端设备可以不是配备有专用于在专用移动网络中操作的专用SIM卡的终端设备。终端设备的所述至少一个SIM卡中的每个SIM卡可能能够在商业移动网络(商业PLMN)中操作，并且根据下面要讨论的实施例，还能够在专用移动网络(专用PLMN)中操作。

终端设备202无线地连接至数字分发服务器201和服务器系统204。与数字分发服务器201的连接可以例如经由无线局域网或经由无线电接入网络(未示出)来提供。可以经由无线通信网络203来提供与服务器系统204的连接。根据实施例，在运行从数字分发服务器201下载并安装的应用以完成时，终端设备也可能能够经由接入节点215无线连接至专用移动网络210。

在一些更一般的实施例中，元件203可以对应于通信部件。所述通信部件203可以包括有线和/或无线通信部件。所述通信部件203可以包括无线通信网络、无线通信链路、有线通信网络和有线通信链路中的一个或多个。进一步地，所述通信部件203可以包括无线局域网(WLAN)、WiFi网络、蓝牙通信链路、近场通信(NFC)链路、可见光通信(VLC)链路、ZigBee通信链路、移动自组织网络(MANET)、无线电接入网络(RAN)和互联网中的一个或多个。在不同实施例的以下讨论中，仅作为示例，假设通信部件203对应于无线通信网络。

服务器系统204包括用于管理专用移动网络210的一个或多个服务器205、206。所述一个或多个服务器可以包括一个或多个云服务器(即，在一个或多个公共计算云中和/或在一个或多个专用计算云中实施的一个或多个服务器)或一个或多个物理服务器。服务器系统204可以同样地称为企业系统、IT系统或计算系统。

服务器系统204可以至少包括用户管理服务器205和数据库服务器206，诸如公司活动目录服务器。用户管理服务器205可以被配置为对终端设备202的用户执行认证和验证，并且发起网络配置工作流程(network provisioning workflow)以用于在专用移动网络中对终端设备202的用户进行配置(provision)。数据库服务器206可以在数据库中维护关于与服务器系统相关联的多个用户的标识信息。针对每个用户，标识信息可以包括例如一个或多个标识符(例如数字和/或字母数字标识符)、电子邮件、姓名、地址、出生日期和/或密码。例如，服务器系统204可以是公司、政府机构或组织的服务器系统，并且数据库服务器可以在数据库中维护所述公司或政府机构的多个雇员或所述组织的多个成员的标识信息。在一些替代实施例中，用户管理服务器205和数据库服务器206的功能性可以在单个服务器中实施。

专用移动网络210至少包括工作流程管理单元211、归属订户服务器(HSS)212、缓存服务器213、核心网络214和一个或多个接入节点215。专用移动网络可以是专用LTE网络，即，由实体(诸如公司或政府机构)部署的基于标准的LTE网络。从终端设备的角度来看，专用移动网络可以被视为专用公共陆地移动网络(专用PLMN)。

工作流程管理单元211(或者被同样地称为工作流程管理实体或节点或者简称为工作流程管理器)可以被配置为管理专用移动网络210的订户。例如，工作流程管理单元211可以通过与HSS 212通信来添加、删除和/或更新订户。它将发起网络配置工作流程以用于在专用移动网络中对用户进行配置。这将包括在授权周期到期后添加订户或删除订户，或者如果它们改变了UE设备，则更新订户记录。工作流程管理单元211可以包括用于与服务器系统204通信的第一信令接口和用于与HSS 212通信的第二信令接口。

归属订户服务器(HSS)212是在IP多媒体子系统(IMS)和演进分组核心(EPC)内使用的订户数据库。HSS将关于订户的信息提供给专用移动网络210内的其他实体。IMS使用户能够取决于其状态被授予或拒绝对其他服务的接入。HSS 212可以是LTE网络的常规HSS。HSS 212可以包括用于与工作流程管理单元211通信的第一信令接口和用于与缓存服务器213通信的第二信令接口。

缓存服务器213充当商业移动网络220的HSS 221(或其中的认证中心AuC)的代理。缓存服务器213可以作为单独的服务器或HSS 212的扩展(未在图2中示出)而部署在专用移动网络210中。缓存服务器213可以被配置为从商业移动网络220的归属订户服务器221请求用户的认证数据，并且随后，在接收到认证数据时，缓存接收到的认证数据以使终端设备202能够接入专用移动网络210。

元件214指示专用移动网络210的核心网络功能性。元件214可以包括例如EPC核心、IMS核心、策略和计费规则功能(PCRF)和/或语音邮件系统。

可以如关于图1的元件104所描述的来定义提供对专用移动网络210的无线电接入的一个或多个接入节点215。

即使在图2中仅明确示出了HSS 221(作为与实施例最紧密地连接的元件)，移动网络220(或蜂窝网络或PLMN)也可以包括照惯例在移动网络中所包括的任何元件。移动网络220可以具体地是终端设备202的商业家庭移动网络或家庭公共移动网络。移动网络220可以是LTE网络或者具体地是LTE PLMN。移动网络220的HSS 221可以是移动网络的常规HSS，其被配置为在接收到对应请求时向请求者(即，此处是缓存服务器213)提供认证数据(例如至少一个认证向量)。

图3图示了根据实施例的用于通过终端设备获取对专用移动网络的接入的过程。图3的过程可以由终端设备执行，或更具体地，可以由图1的终端设备100、102和/或图2的终端设备202中的任何一个执行。执行该过程的终端设备可以包括至少一个SIM卡(如关于图2的元件202所讨论的)。

在图3中，最初可以假设执行该过程的终端设备具有安装至它的专用应用，并且该过程是具体地使用(或至少借助于)所述专用应用来执行的。关于图6更详细地讨论了该应用的安装。

参照图3，在框301中，终端设备向管理专用移动网络的服务器系统发送针对授权终端设备的用户来接入专用移动网络(经由无线通信网络)的请求。所述请求可以至少包括标识终端设备的用户的标识信息。所述标识信息可以包括例如用户的标识符(例如数字或字母数字标识符)、用户的用户名、用户的密码和/或用户的电子邮件。可以由服务器系统相对于与专用移动网络相关联的至少一个数据库来检查标识信息。例如，服务器系统可以通过相对于企业活动目录检查标识信息来检查终端设备的用户是否在拥有专用移动网络的公司处被雇佣，和/或通过相对于维护关于这种许可的信息的专用数据库(即，维护关于专用移动网络的授权用户的信息)检查标识信息，来检查是否已向终端设备的用户授予了接入该特定专用移动网络的许可。

在一些实施例中，可以发送两个或多个请求。在这种实施例中，所述两个或多个请求可以触发相对于不同数据库的标识信息的检查。而且，所述两个或多个请求可以被发送给服务器系统内的不同实体或单元或服务器(例如用户管理服务器和数据库服务器)。关于图6更详细地讨论根据这种实施例的授权功能性。

在框302中，响应于从服务器系统接收到确认用户接入专用移动网络的授权成功(经由无线通信网络)的确认消息，终端设备在框303中将专用移动网络的标识符添加到允许移动网络列表，该允许移动网络被维护在终端设备(或者具体地插入到终端设备中的SIM卡)的至少一个存储器中维护。在框302中，可以在确认消息中接收专用移动网络的标识符。可选地，关于专用移动网络的其他信息也可以被添加到所述列表或存储在其他地方。具体地，在框303中，利用专用移动网络(例如专用LTE PLMN)的标识符，终端设备可以利用在SIM卡(或USIM卡)的存储器中维护的接入技术(EDPLMNwACT)列表(具有标识符6F60)来更新用户控制的PLMN选择器。应该注意的是，由于专用移动网络的所有者(即，公司、机构或组织)可能具有多个专用移动网络，因此，添加到EFPLMNwACT文件中的专用移动网络(或PLMN)在此处具体地是针对框301的请求而确定的一个专用移动网络。

同样响应于框302中的接收，终端设备在框304中向服务器系统发送终端设备中所包括的用户的订户身份模块(SIM)卡的一个或多个标识符以及针对终端设备的一个或多个标识符(经由无线通信网络)，以用于使用所发送的标识符在专用移动网络中配置用户(即，以启用专用移动网络的核心网络的配置以允许用户的接入)。所述SIM卡可以被假设为最初(即，在对任何专用网络执行图3的过程之前)被配置仅用于一个或多个公共(或商业)移动网络。通常，所述SIM卡可以被假设为被配置用于公共移动网络(用户的家庭公共移动网络)以及可选地第二专用移动网络(即，除所述专用移动网络之外的专用移动网络)。终端设备的所述一个或多个标识符(即，除SIM卡之外的终端设备的一个或多个标识符)可以包括例如国际移动设备标识(IMEI)。用户的SIM卡的所述一个或多个标识符可以包括例如移动站国际集成服务数字网络号码(MSISDN)、集成电路卡标识符(ICCID)和/或国际移动订户标识(IMSI)。在一些实施例中，终端设备的所述一个或多个标识符可以附加地或备选地包括永久设备标识符(PEI)和/或用户的SIM卡的所述一个或多个标识符可以附加地或备选地包括订阅永久标识符(SUPI)。

在框304中，具体地可以将标识符发送给服务器系统的用户管理服务器。

在发送两个或多个请求的实施例中，可以在成功处理并随后接收到所述一个或多个请求中的每个请求之后，发送单独的确认消息。在发送第一请求和第二请求的一些实施例中，仅在已经接收到关于第一请求的确认之后才可以发送第二请求，如将关于图6讨论的。

在框305中，终端设备经由专用移动网络的接入节点至少使用专用移动网络的标识符来接入专用移动网络。接入专用移动网络的初始尝试可以触发专用移动网络的核心网络中的认证数据取回和缓存程序，以实现接入。将关于图5和7详细描述该过程。

图4图示了根据实施例的用于授权终端设备来接入专用移动网络并使得在专用移动网络中对用户进行配置的过程。图4的过程可以由服务器系统或更具体地由图2的服务器系统204来执行。执行该过程的服务器系统可以包括一个或多个服务器，该服务器包括例如用户管理服务器和/或数据库服务器。

参照图4，在框401中，服务器系统从终端设备接收用于授权终端设备的用户接入专用移动网络(经由无线通信网络)的请求。该请求可以至少包括标识该终端设备的用户的标识信息(其可以至少包括例如用户的SIM卡的IMSI)。通常，可以如关于图3的框301所描述的那样定义所述请求。

响应于框401中的接收，服务器系统在框402中通过将用户的标识信息与授权用户的标识信息进行比较来确定用户是否被授权接入专用移动网络，该授权用户的标识信息被维护在至少一个数据库中(例如在用户管理服务器的数据库中)。例如，服务器系统可以将接收到的用户的SIM卡的IMSI与在所述至少一个数据库中维护的多个用户的多个SIM卡的IMSI进行比较。如果检查了多个数据库，则所有所述数据库(或在一些实施例中，一个或多个所述数据库)可能需要包含用户的标识信息的匹配。如关于图3所描述的以及如将关于图6详细描述的，在一些实施例中，可以从同一终端设备接收多个请求，每个请求触发针对不同数据库(或其一部分)检查用户。

响应于框403中的授权成功，服务器系统在框404中向终端设备发送确认消息，该确认消息对授权用户接入专用移动网络(经由无线通信网络)进行确认。如关于图3的框304详细描述的，响应于接收到确认消息，终端设备向服务器系统发送针对终端设备中包括的用户的SIM卡的一个或多个标识符(并且至少最初被配置用于公共移动网络)和针对终端设备本身的一个或多个标识符(经由无线通信网络)。响应于在框405中接收到这些标识符，服务器系统在框406中实现网络配置工作流程，以至少使用接收到的标识符来在专用移动网络中配置用户。具体地，在框406中，服务器系统至少将接收到的标识符发送给专用移动网络(或者具体地专用移动网络的核心网络)的工作流程管理单元。在其他实施例中，可以在框406中将接收到的标识符发送给除工作流程管理单元之外的专用移动网络的核心网络元件。该配置导致用户被作为订户记录添加到专用移动网络的HSS(即，由专用移动网络运营方管理的HSS)。这将消除与商业运营方签订漫游协定以使用户能够接入专用移动网络的需求。

图5图示了根据实施例的用于使终端设备能够接入专用移动网络的过程。图5的过程可以由专用移动网络的缓存服务器执行，或更具体地，由图2的缓存服务器213执行。执行该过程的缓存服务器可以是专有缓存服务器。执行该过程的缓存服务器可以是单独的服务器或专用移动网络的HSS的一部分(或扩展)。可以在执行图3和4的过程(分别由终端设备和服务器系统执行)，并将用户作为订户记录添加到专用移动网络的HSS之后(参见图6的框615至617)，执行图5的过程。

参照图5，该过程由缓存服务器在框501中从专用移动网络的归属订户服务器接收针对获取用户的认证数据(例如一个或多个认证向量，优选地多个认证向量)的第一请求来发起。第一请求包括针对用户的SIM卡的至少一个或多个标识符和/或针对用户的终端设备的一个或多个标识符。在实施例中，第一请求至少包括用户的SIM卡的IMSI。HSS可能已响应于检测到终端设备的用户正在尝试首次接入专用移动网络来触发第一请求的发送。提供该接入首先需要获取用户的认证数据。具体地，由于专用移动网络的HSS(或具体地其中的AuC)无法针对商业运营方的终端设备生成认证数据，因此HSS需要使用缓存服务器从与用户相关联的网络商业(公共)移动网络(即，用户的家庭(公共)移动网络)请求认证数据。

相应地，在框502中，响应于框501中的接收，缓存服务器将针对用户的认证数据的第二请求发送给用户的(商业)家庭移动网络的HSS。可以基于用户的SIM卡的IMSI来确定用户的家庭(公共)移动网络(或家庭PLMN)。第二请求包括针对用户的SIM卡的至少一个或多个标识符和/或针对用户的终端设备的一个或多个标识符。在实施例中，第二请求至少包括用户的SIM卡的IMSI。基于所述第二请求，缓存服务器能够生成用于用户的认证数据。所生成的认证数据可以具体地对应于一个或多个认证向量的集合(同样地称为认证向量阵列)。优选地，一个或多个认证向量的集合包括多个认证向量(针对相同用户)。每个认证向量可以包括充当用户认证质询的随机数(RAND)、网络认证令牌(AUTN

响应于在框503中从移动网络的HSS接收到包括认证数据(例如一个或多个认证向量的集合)的响应，缓存服务器在框504中缓存认证数据并在框505中将至少一些认证数据(例如认证向量，或者通常来自一个或多个认证向量的集合的至少一个认证向量)发送给专用移动网络的HSS，以认证用户并因此提供用户对专用移动网络的接入。通常，认证数据可以被用于将认证数据提供给专用移动网络的HSS。随后，专用移动网络的HSS能够响应于从拜访位置寄存器(VLR)(或从一些其他核心网络实体或节点)接收到的认证数据请求来使用认证数据(即，尚未用于认证的集合中的认证向量)。具体地，每当需要认证用户时，缓存服务器就可以一对一地使用在框503中接收到的集合中的一个或多个认证向量。

在一些实施例中，在框501中，缓存服务器从专用移动网络的HSS接收针对获取多个用户的认证数据的第一请求。在这种实施例中，针对多个用户中的每个用户，第一请求包括针对用户的SIM卡的至少一个或多个标识符(例如至少IMSI)和/或用户的终端设备的一个或多个标识符。如关于以上实施例所描述的，所述SIM卡可以(最初)被配置用于公共移动网络。所述公共移动网络可以具体地充当用户的家庭移动网络。缓存服务器可以基于在第一请求中接收到的相应的一个或多个标识符针对所述多个用户中的每个用户单独执行关于框502至505所讨论的过程。

在下文中，简要讨论使用认证向量的认证。使用认证向量的认证基于以下思想：终端设备和移动网络接入相同的订户认证密钥K

使用关于图5讨论的方法可能需要与商业运营方达成协定以共享认证数据(例如认证向量)。然而，应该注意的是，该协定与漫游协定的非常不同之处在于：

·不存在数据到家庭网络(家庭路由)(S8)接口的路由。

·没有从家庭网络递送呼叫。

·没有S9接口。

·没有账单交换或协定。

·没有对所有商业运营方订户开放的服务。

实现实施例不需要常规的漫游协定。

图6图示了根据实施例的用于使终端设备能接入专用移动网络的信令。具体地，图6图示了在数字分发服务器、终端设备、包括数据库服务器和用户管理服务器的服务器系统以及包括工作流程管理单元和归属订户服务器的专用移动网络之间的信令。专用移动网络的所有者可以是例如公司、政府机构或组织。图6所图示的实体可以对应于关于图2讨论的对应实体。除非另外明确规定，否则关于图3至5描述的任何特征也可以同样地应用于图6的过程。

最初在图6中，数字分发服务器在框601中将应用的安装包维护在存储器中。数字分发服务器可以允许终端设备的用户浏览应用并将应用下载到其终端设备(使用其终端设备)。因此，终端设备在消息602中从数字分发服务器下载应用的安装包。随后，在框603中，终端设备使用下载的安装包来安装应用。终端设备执行的以下步骤可以通过运行所述安装的应用来执行。

首先，终端设备在消息604中向服务器系统的数据库服务器发送用于授权终端设备的用户接入专用移动网络的请求(经由无线通信网络)。所述请求至少可以包括标识终端设备的用户的标识信息(例如用户的标识符或用户的电子邮件)。

响应于在框605中从终端设备(经由无线通信网络)接收到针对认证用户的请求，在框605中，鉴于专用移动网络，数据库服务器通过将用户的标识信息与已知用户的标识信息进行比较来确定用户是否为真实用户，该已知用户的标识信息被维护在数据库服务器的数据库中。所述已知用户可以包括授权用户以及未授权(或尚未授权)用户。数据库服务器的数据库可以对应于包括关于该公司当前雇用的人的信息的公司(或企业)活动目录、包括关于所述机构当前雇用的人的信息的政府/州/市政机构活动目录或包括关于组织的当前成员的信息的组织活动目录。

在图6的示例中，假设认证成功。因此，服务器系统的数据库服务器在消息606中向终端设备发送确认用户的真实性的确认消息(经由无线通信网络)。如果认证失败，则数据库服务器可以代替地发送拒绝消息，或者可以不发送任何消息。同样地，确认消息和拒绝消息分别可以分别称为确认消息和否定确认消息。

响应于在框607中接收到确认消息，终端设备可以进行授权过程中的下一步骤，即，终端设备在消息608中将用于授权终端设备的用户接入专用移动网络的第二请求发送给服务器系统的用户管理服务器(经由无线通信网络)。类似于第一请求，第二请求可以至少包括标识终端设备的用户的标识信息。相同或不同的标识信息可以被包括在第一请求和第二请求中。在一些实施例中，可以在消息606中提供(订户)认证密钥，并且除了标识信息之外，该认证密钥随后还包括在第二请求608中，并且随后用于用户的授权。

响应于在框609中接收到第二请求，用户管理服务器在框609中通过将用户的标识信息(第二请求中所包括的)与授权用户的标识信息进行比较来确定用户是否被授权接入专用移动网络，授权用户的标识信息被维护在用户管理服务器的数据库。具体地，用户管理服务器的数据库可以维护关于已被授予接入专用移动网络的许可的公司、政府机构的雇员或组织成员的标识信息。

在图6的示例中，假设授权也成功。因此，服务器系统的数据库服务器在消息610中向终端设备发送确认用户关于接入专用移动网络的授权的确认消息(经由无线通信网络)。

在一些实施例中，可以省略关于604至607描述的授权检查，因此可以仅执行关于608至611描述的授权检查。

与元素611、612相关的动作可以对应于关于图3的框302至304描述的动作。简而言之，响应于在框611中从服务器系统的用户管理服务器接收到确认消息，终端设备在框611中将专用移动网络的标识符添加到至少一个存储器中(例如(U)SIM的存储器中)的允许移动网络列表，并在消息612中将终端设备中所包括的用户的SIM卡的一个或多个标识符和终端设备的一个或多个标识符发送给服务器系统(经由无线通信网络)。

响应于在框613中接收到标识符(例如MSISDN、ICCID、IMSI和/或IMEI)，服务器系统的用户管理服务器在消息614中向专用移动网络的工作流程管理单元发送用于在HSS中配置用户的请求。该请求可以至少包括从终端设备接收的标识符。响应于在框615中接收到该请求，专用移动网络的工作流程管理单元在消息616中将用于在HSS中配置用户的另一请求发送(或转发)给HSS。响应于在框617中接收到请求，HSS在框617中将与该用户相对应的订户记录添加到在HSS的存储器中维护的订户列表。因此，终端设备的所有授权的家庭移动网络(即，家庭PLMN)将被视为专用移动网络内的家庭移动网络(即，家庭PLMN)。因此，在专用移动网络的所有者与商业运营方(即，商业移动网络的所有者)之间不需要漫游协定。

图7图示了根据实施例的用于获取认证数据以便使终端设备能接入专用移动网络的信令。具体地，图7图示了终端设备、包括至少一个或多个接入节点的专用移动网络(明确示出了一个)、HSS以及商业移动网络的缓存服务器和归属订户服务器之间的信令。专用移动网络的所有者可以是例如公司、政府机构或组织。图7所图示的实体可以对应于关于图2讨论的对应实体。除非另外明确规定，否则关于图3至5描述的任何特征也可以同样地应用于图7的过程。

在图7中，假设最初已经授权用户接入专用移动网络，并且已经将用户的订户记录添加到专用移动网络的HSS。为此，可以假设例如在执行图7的过程之前已经执行了图6的过程。

参照图7，首先，在框701中，在终端设备与专用移动网络的核心网络之间执行附接程序(或者具体地是初始附接程序)，以便向专用移动网络注册终端设备。该注册称为网络附接。附接程序可以是任何常规的附接程序，诸如LTE附接程序。附接程序可能涉及图7中未示出的一个或多个核心网络元素，诸如移动性管理实体(MME)、服务网关(SGW)、分组数据网络网关(PGW)和/或策略和计费规则功能(PCRF)。

可以通过终端设备向专用移动网络的接入节点发送附接请求来发起框701中的附接程序。可以基于在终端设备的(或者具体地其中的SIM卡的)至少一个存储器中维护并且包括专用移动网络的标识符的允许移动网络列表(例如EFPLMNwACT列表)来具体地执行消息701中的发送。附接请求可以包括针对用户的SIM卡和/或用户的终端设备的一个或多个标识符。可以针对附接程序期间在HSS中维护的信息来检查附接请求中包括的信息(和/或此后由终端设备提供的信息)。附接程序可以为终端设备建立默认承载(或默认演进分组系统(EPS)承载)。附接程序还可以触发一个或多个专用承载建立程序，以为终端设备建立专用(EPS)承载。

在框701中，终端设备在专用移动网络中的首次注册使得HSS在消息702中向缓存服务器发送用于获取用户的认证数据的第一请求。此处，认证数据以及随后的认证数据被假设为与一个或多个认证向量的集合相对应。每个认证向量可以包括RAND、XRES、AUTN

响应于在框703中接收到第一请求，缓存服务器在消息704中将针对用户的认证向量的第二请求发送给用户的(商业)家庭移动网络的归属订户服务器(即，用户的家庭公共移动网络)。第二请求可以被称为认证数据请求。第一请求和第二请求可以包括针对用户的SIM的至少一个或多个标识符(或者具体地至少是IMSI)。

响应于在框705中从缓存服务器接收到第二请求，家庭移动网络的HSS在框705中生成用于用户的一个或多个认证向量的集合。每个认证向量可以如关于图5所描述的那样定义，即，它可以包括充当用户认证质询的随机数(RAND)、网络认证令牌(AUTN

根据实施例，在框705中，家庭移动网络的HSS如下生成一个或多个认证向量的集合中的每个认证向量。此处假设第二请求(和第一请求)至少包括用户的SIM卡的IMSI。基于第二请求中包括的所述IMSI，HSS首先从HSS的存储器中取回主密钥K和序列号SQN。HSS将SQN加1并生成RAND。基于K

在框705中生成一个或多个认证向量的集合之后，家庭移动网络的HSS在消息706中将包括一个或多个认证向量的集合的响应发送回专用移动网络的缓存服务器。该响应可以被称为认证数据响应。

响应于在框707中从家庭移动网络的归属订户服务器接收到包括一个或多个认证向量的集合的响应，在框707中，缓存服务器缓存认证向量的集合(在专用认证向量阵列中)，并在消息708中将集合中的一个或多个认证向量中的至少一个发送给专用移动网络的归属订户服务器，以提供用户对专用移动网络的接入。

响应于在框709中接收到至少一个认证向量，HSS在消息710中将至少一个认证向量中的一个认证向量的至少RAND和AUTN

具体地，可以在框716和消息714中如下执行相互认证。基于在终端设备(具体地是(U)SIM的)存储器中维护的主密钥K和序列号SQN，终端设备生成它自己的AUTN

在一些实施例中，响应于检测到已经耗尽了一个或多个认证向量的集合，缓存服务器可以从用户的家庭移动网络的HSS请求附加的认证向量。该过程可以对应于重复与元素704至708相关的动作。

上面借助于图3至图7所描述的框、相关功能和信息交换不是绝对的时间顺序，并且它们中的一些可以同时执行或以与给定顺序不同的顺序执行。也可以在它们之间或在它们内部执行其他功能，并且可以发送和/或接收其他信息，和/或应用其他映射规则。一些框或框的一部分或一个或多个信息也可以被省去或由对应的框或框的一部分或一个或多个信息代替。

图8提供了根据一些实施例的终端设备801。图8可以图示被配置为结合实现对专用移动网络的接入来至少执行上述功能的终端设备。终端设备801可以具体地对应于具有至少一个SIM卡的终端设备。终端设备可以对应于图1的终端设备100、102或图2的终端设备202中的任何一个。终端设备801可以包括一个或多个通信控制电路系统820，诸如至少一个处理器以及包括一个或多个算法831的至少一个存储器830，诸如计算机程序代码(软件)，其中至少一个存储器和计算机程序代码(软件)被配置为与至少一个处理器一起分别使终端设备执行上述终端设备的例证功能性中的任何一个。

参照图8，终端设备的通信控制电路系统820至少包括授权电路系统821和接入电路系统822。授权电路系统821可以被配置为执行与根据实施例的服务器系统通信的认证和/或授权功能性，并且为此，使用一个或多个独立的电路系统借助于图3的框301至304和图6的元素602、603、604、607、608、611、612中的任何一个来执行上述功能性中的至少一些。接入电路系统822可以被配置为执行在认证和/或授权功能性之后执行的任何功能性，以便连接至(专用)移动网络。为此，接入电路系统822可以被配置为使用一个或多个单独的电路系统借助于图3的框305和图7的元素701、711、712、713、714中的任何一个来执行上述功能性中的至少一些。通信控制电路系统820可以包括终端设备本身的电路系统以及插入到终端设备中的至少一个SIM卡的电路系统。

至少一个存储器830可以包括至少一个数据库832，其可以包括例如至少一个SIM卡的一个或多个标识符、终端设备的一个或多个标识符以及一个或多个专用和/或商业移动网络的一个或多个标识符。至少一个存储器830可以包括终端设备本身的至少一个存储器和插入到终端设备中的至少一个SIM卡的至少一个存储器。每个存储器830可以包括软件以及至少一个数据库。存储器830还可以包括可能与根据所提出的实施例中的任何一个的终端设备的功能性不相关的其他数据库。可以使用任何合适的数据存储技术来实施至少一个存储器830，诸如基于半导体的存储器设备、闪速存储器、磁性存储器设备和系统、光学存储器设备和系统、固定存储器和可移除存储器。

参照图8，终端设备还可以包括不同的接口810，诸如一个或多个通信接口(TX/RX)，其包括用于根据一个或多个通信协议通过一个或多个通信网络实现通信连接性的硬件和/或软件。具体地，一个或多个通信接口810可以为终端设备提供通信能力，以在一个或多个移动网络中进行通信，并使得能够与数字分发服务器、专用移动网络的一个或多个服务器系统、一个或多个接入节点、一个或多个终端设备(可能经由所述多个接入节点)和/或一个或多个其他网络节点或元件进行通信。一个或多个通信接口810可以包括标准的众所周知的组件，诸如放大器、滤波器、频率转换器、模数转换器、(解调器)调制器和由对应的控制单元控制的编码器/解码器电路系统和/或一个或多个天线。

图9提供了根据一些实施例的服务器系统901。图9可以图示服务器系统，该服务器系统被配置为至少结合使得终端设备能够接入由该服务器系统管理的专用移动网络来执行上述功能。服务器系统901可以包括一个或多个独立的服务器。具体地，服务器系统901可以包括关于以上实施例描述的数据库服务器和用户管理服务器。服务器系统可以对应于图2的服务器系统204。服务器系统901可以包括一个或多个通信控制电路系统920，诸如至少一个处理器以及包括一种或多种算法931的至少一个存储器930，诸如计算机程序代码(软件)，其中至少一个存储器和计算机程序代码(软件)被配置为与至少一个处理器一起分别使服务器系统执行上述服务器系统的例证功能性中的任何一个。

参照图9，服务器系统的通信控制电路系统920至少包括授权电路系统921。授权电路系统921可以被配置为执行与根据实施例的所述用户的终端设备通信的用户的认证和/或授权功能性，并且为此，使用一个或多个独立的电路系统借助于图4的框401至406和图6的元素605、606、609、610、613中的任何一个来执行上述至少一些功能性。

至少一个存储器930可以包括至少一个数据库932，该数据库932可以包括例如专用移动网络的授权和/或未授权用户的标识信息。所述至少一个数据库932可以包括关于以上实施例描述的数据库服务器的数据库和用户管理服务器的数据库。至少一个存储器930可以包括数据库服务器本身的存储器和用户管理服务器的存储器。每个存储器930可以包括软件以及至少一个数据库。至少一个存储器930还可以包括可能与根据所提出的实施例中的任何一个的服务器系统的功能性不相关的其他数据库。可以使用任何合适的数据存储技术来实施至少一个存储器930，诸如基于半导体的存储器设备、闪速存储器、磁性存储器设备和系统、光学存储器设备和系统、固定存储器和可移除存储器。

参照图9，服务器系统还可以包括不同的接口910，诸如一个或多个通信接口(TX/RX)，其包括用于根据一个或多个通信协议通过一个或多个通信网络实现通信连接性的硬件和/或软件，例如根据互联网协议通过LTE作为APN/PDN(接入点名称/分组数据网络)。具体地，一个或多个通信接口910可以向服务器系统提供通信能力，以使得能够与专用移动网络(或者具体地，其中的一个或多个核心网络元件，诸如工作流程管理单元)和/或一个或多个终端设备进行通信。一个或多个通信接口910可以包括标准的众所周知的(多个)组件，诸如放大器、滤波器、频率转换器、模数转换器、(解调器)调制器和由对应的控制单元控制的编码器/解码器电路系统和/或一个或多个天线。

图10提供了根据一些实施例的缓存服务器1001。图10可以图示缓存服务器，该缓存服务器被配置为至少结合获取试图接入专用移动网络的用户的认证数据并缓存所述认证数据来执行上述功能。缓存服务器1001可以包括在专用移动网络的核心网络中。缓存服务器可以对应于图2的缓存服务器213。缓存服务器1001可以包括一个或多个通信控制电路系统1020，诸如至少一个处理器以及包括一种或多种算法1031的至少一个存储器1030，诸如计算机程序代码(软件)，其中至少一个存储器和计算机程序代码(软件)被配置为与至少一个处理器一起分别使缓存服务器执行上述缓存服务器的例证功能性中的任何一个。

参照图10，缓存服务器的通信控制电路系统1020至少包括缓存电路系统1021。缓存电路系统1021可以被配置为执行根据实施例的缓存服务器的认证数据获取和缓存功能性，并且为此，使用一个或多个独立的电路系统借助于图5的框501至505和图7的元素703、704、707、708中的任何一个来执行上述功能性中的至少一些。

至少一个存储器1030可以包括至少一个数据库1032，该数据库1032可以包括例如至少一个用户的一个或多个认证向量的至少一个集合。至少一个存储器1030还可以包括可能与根据所提出的实施例中的任何一个的缓存服务器的功能性不相关的其他数据库。可以使用任何合适的数据存储技术来实施至少一个存储器1030，诸如基于半导体的存储器设备、闪速存储器、磁性存储器设备和系统、光学存储器设备和系统、固定存储器和可移除存储器。

参照图10，缓存服务器还可以包括不同的接口1010，诸如一个或多个通信接口(TX/RX)，其包括用于根据一个或多个通信协议通过一个或多个通信网络实现通信连接性的硬件和/或软件，诸如互联网和/或移动应用部分(MAP)协议。具体地，一个或多个通信接口1010可以向缓存服务器提供通信能力，以实现至少与缓存服务器所位于的专用移动网络的HSS和/或至少一个(商业)移动网络中的至少一个HSS进行通信。在一些实施例中，一个或多个通信接口1010可以包括标准的众所周知的组件，诸如放大器、滤波器、频率转换器、模数转换器、(解调器)调制器和由对应的控制单元控制的编码器/解码器电路系统和/或一个或多个天线。

如在本申请中所使用的，术语‘电路系统’可以指代以下中的一个或多个或者所有：(a)仅硬件电路实现，诸如仅模拟和/或数字电路系统中的实现，以及(b)电路和软件(和/或固件)的组合，诸如(如果适用的话)：(i)(多个)模拟和/或数字硬件电路与软件/固件的组合，以及(ii)(多个)硬件处理器与软件(包括(多个)数字信号处理器、软件和(多个)存储器，其一起工作以使诸如终端设备或接入节点等装置执行各种功能)的任何部分，以及(c)(多个)硬件电路和(多个)处理器，诸如(多个)微处理器或(多个)微处理器的一部分，其要求软件(例如固件)用于操作，但是当不需要用于操作时，可能不存在该软件。‘电路系统’的这种定义适用于本申请中该术语的所有使用，包括在任何权利要求中。作为又一示例，如在本申请中所使用的，术语‘电路系统’也将覆盖仅硬件电路或处理器(或多个处理器)或者硬件电路或处理器的一部分及其(或它们的)伴随的软件和/或固件的实现。术语‘电路系统’还覆盖(例如并且如果适用于特定权利要求元件)用于接入节点或终端设备或者其他计算或网络设备的基带集成电路。

在实施例中，至少一个处理器、存储器和计算机程序代码形成处理部件，或者包括一个或多个计算机程序代码部分以根据图3至7的任一实施例或其操作来执行一个或多个操作。

在实施例中，结合图3至7描述的至少一些过程可以由装置执行，该装置包括用于执行所描述的至少一些过程的对应部件。用于执行过程的一些示例部件可以包括以下中的至少一个：检测器、处理器(包括双核和多核处理器)、数字信号处理器、控制器、接收器、发射器、编码器、解码器、存储器、RAM、ROM、软件、固件、显示器、用户界面、显示电路系统、用户界面电路系统、用户界面软件、显示软件、电路、天线、天线电路系统以及电路系统。在实施例中，至少一个处理器、存储器和计算机程序代码形成处理部件，或者包括一个或多个计算机程序代码部分以根据图3至7的任一实施例或其操作来执行一个或多个操作。

根据一个方面，提供了一种终端设备，包括用于执行以下操作的部件：

向管理专用移动网络的服务器系统发送针对授权终端设备的用户来接入专用移动网络的请求，其中该请求至少包括标识终端设备的用户的标识信息；

响应于从服务器系统接收到确认消息，该确认消息对授权用户接入专用移动网络进行确认，

将专用移动网络的标识符添加到至少一个存储器中的允许移动网络列表，以及

向服务器系统发送针对用户的订户身份模块SIM卡的一个或多个标识符以及针对终端设备的一个或多个标识符，以用于使用所发送的标识符在专用移动网络中对该用户进行配置，所述SIM卡被包括在终端设备中并且被配置用于公共移动网络；以及

经由专用移动网络的接入节点至少使用专用移动网络的标识符来接入专用移动网络。

根据另一方面，提供了一种用于管理对专用移动网络的接入的服务器系统，该服务器系统包括用于执行以下操作的部件：

从终端设备接收针对授权终端设备的用户来接入专用移动网络的请求，其中该请求至少包括标识终端设备的用户的标识信息；

响应于接收，通过将用户的标识信息与被授权接入专用移动网络的用户的标识信息进行比较，来确定用户是否被授权接入专用移动网络，被授权接入专用移动网络的用户的标识信息被维护在服务器系统的第一数据库中；

响应于基于第一数据库的授权成功，向终端设备发送对授权用户接入专用移动网络进行确认的确认消息；以及

响应于从终端设备接收到用户的订户身份模块SIM卡的一个或多个标识符和终端设备的一个或多个标识符，发起网络配置工作流程以用于使用接收到的标识符在专用移动网络中对用户进行配置，所述SIM卡被包括在终端设备中并且被配置用于公共移动网络。

根据再一方面，提供了一种用于专用移动网络的缓存服务器，该缓存服务器包括用于执行以下操作的部件：

从专用移动网络的归属订户服务器HSS接收针对获取用户的认证数据的第一请求，其中第一请求包括针对用户的订户身份模块SIM卡的一个或多个标识符，所述SIM卡被配置用于在充当用户的家庭移动网络的公共移动网络中使用；

响应于接收，向用户的家庭移动网络的归属订户服务器发送针对认证数据的第二请求，其中第二请求至少包括针对用户的SIM卡的所述一个或多个标识符；以及

响应于从家庭移动网络的归属订户服务器接收到包括认证数据的响应，缓存认证数据，并且将认证数据中的至少一些发送给专用移动网络的归属订户服务器以提供用户对专用移动网络的接入。

本文描述的技术和方法可以由各种部件实施。例如，这些技术可以实施在硬件(一个或多个设备)、固件(一个或多个设备)、软件(一个或多个模块)或其组合中。针对硬件实施方式，实施例的(多个)装置可以实施在一个或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑设备(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、被设计为执行本文描述的功能的其他电子单元或其组合内。针对固件或软件，实施方式可以通过执行本文描述的功能的至少一个芯片集(程序、功能等)的模块来执行。软件代码可以存储在存储器单元中并且由处理器执行。存储器单元可以实施在处理器内或者处理器外。在后一种情况下，它可以经由本领域中已知的各种部件通信地耦合至处理器。附加地，本文描述的系统的组件可以由附加组件重新布置和/或设想，以便促进相对于它描述的各种方面的实现等，并且它们不限于在给定附图中陈述的精确配置，如本领域技术人员将了解的。

所描述的实施例还可以以由计算机程序或其部分定义的计算机过程的形式执行。结合图3至7描述的方法的实施例可以通过执行包括对应指令的计算机程序的至少一个部分来执行。计算机程序可以被提供为包括存储在其上的程序指令的计算机可读介质，或者被提供为包括存储在其上的程序指令的非瞬态计算机可读介质。计算机程序可以是源代码形式、目标代码形式或者某种中间形式，并且它可以存储在某种载体(可以是能够携带程序的任何实体或设备)中。例如，计算机程序可以存储在由计算机或处理器可读的计算机程序分发介质上。例如，计算机程序介质可以是例如但不限于记录介质、计算机存储器、只读存储器、电载波信号、电信信号和软件分发包。计算机程序介质可以是非瞬态介质。用于执行所示和所描述的实施例的软件的编码完全在本领域的普通技术人员的范围内。

即使上面已经根据附图参照示例描述了本发明，但是显而易见的是，本发明并不限于此，而是可以在所附权利要求的范围内以多种方式进行修改。因此，应该广泛地解释所有词语和表达，并且它们旨在说明而非限制实施例。对于本领域技术人员将明显的是，当技术进步时，本发明概念可以以各种方式实施。进一步地，对于本领域技术人员来说明显的是，所描述的实施例可以但不要求以各种方式与其他实施例组合。