技术摘要：
蜂窝网络的访问管理元件使用网络运营商标识符来确定是否允许用户设备使用蜂窝网络的一组特定的资源。当蜂窝网络的访问管理元件接收到来自用户设备的附接请求时，访问管理元件查询授权服务器以基于所述用户设备的标识获得网络运营商标识符。然后，访问管理元件基于网络  全部
背景技术：
在混合5G架构(选项3X)中，具有5G能力的用户设备(UE)向移动性管理实体(MME) 发送带有“DC-NR”位的附接请求。MME在接收到附接请求后，先通过归属订户服务器(HSS)进 行认证，然后通过直径接口向HSS进行更新位置请求(ULR)。作为响应，更新位置应答(ULA) 中的HSS可以指示不允许具有5G能力的新无线电(NR)。接受或拒绝的依据是运营商的移动 国家代码(MCC)和移动网络代码(MNC)。 移动虚拟网络运营商(MVNO)是无线通信服务提供商，它不拥有其为其客户提供服 务的物理无线网络基础设施。MVNO与拥有物理无线网络基础设施的主机运营商签订了业务 协议。该业务协议使MVNO以批发价批量访问主机运营商的无线通信服务。MVNO依次打包无 线通信服务，以零售价分发给个人消费者。MVNO可以使用其自己的客户服务、计费支持系 统、市场营销和销售人员。 附图说明 参照附图描述了详细描述，其中附图标记的最左边的数字标识该附图标记首次出 现的附图。在不同附图中使用相同的附图标记表示相似或相同的项目。 图1a-图1c概念性地示出了处理属于不同网络运营商的用户设备的访问请求的蜂 窝网络。 图2概念性地示出了使用运营商ID来确定是否允许用户设备访问一组特定的网络 资源的第一示例蜂窝网络。 图3概念性地示出了当使用运营商ID来确定是否允许用户设备访问5G网络资源时 在混合5G架构中的数据交换的序列。 图4示出了将MNC、MCC和运营商ID从MME承载到HSS的示例ULR。 图5概念性地示出了在混合5G架构中HSS获得运营商ID的数据交换的替代序列。 图6概念性地示出了第二示例蜂窝网络，其使用运营商ID来确定是否允许用户设 备访问一组特定的网络资源。 图7概念性地示出了当使用运营商ID来确定是否允许用户设备访问专用5G核心网 络时，由移动性管理功能(AMF)进行的数据交换的序列。 图8概念性地示出了当使用运营商ID来确定是否允许用户设备访问专用5G核心网 络时，由AMF进行的数据交换的替代序列。 图9是示出与示例性实施例一致的示例AMF的各种组件的框图。 图10是示出与示例性实施例一致的示例MME的各种组件的框图。 图11是示出与示例性实施例一致的示例订户服务器的各种组件的框图。 图12概念性地示出了由蜂窝网络执行的用于基于运营商ID来确定是否允许访问 一组高级网络资源的示例过程的流程图。 5 CN 111601305 A 说　明　书 2/11 页
技术实现要素：
本公开针对限制移动虚拟网络运营商(MVNO)的用户设备访问主机运营商的高级 网络资源的系统和技术。使用主机运营商的蜂窝网络的MVNO可与主机运营商共享相同的移 动国家代码(MCC)和/或移动网络代码(MNC)。这可能使MVNO服务的订户的具有5G能力的用 户设备可以利用5G基础架构和主机运营商的资源。因此，在一些实施例中，蜂窝网络的主机 运营商可以使用网络运营商标识符，也称为运营商ID，以确定是否允许用户设备使用蜂窝 网络的一组特定的网络资源。一组特定的网络资源可以是蜂窝网络的一组高级网络资源， 例如较高带宽的5G网络资源。与较低带宽网络资源(例如，LTE网络资源)相比，用户设备使 用较高带宽的5G网络资源可以使用户设备能够通过主机运营商的蜂窝网络在高达5G数据 速率下发送和接收通信数据。 在一些实施例中，当蜂窝网络的访问管理元件从用户设备接收附接请求时，访问 管理元件基于用户设备的标识查询授权服务器(ES)以获得运营商ID。然后，访问管理元件 基于运营商ID来确定是否允许用户设备访问蜂窝网络中的一组特定的网络资源。因此，即 使用户设备的MCC和MNC与主机运营商的MCC和MNC相同，MVNO的用户设备也可能会根据运营 商ID被拒绝访问特定的网络资源集。 图1a-图1c概念性地示出了蜂窝网络100，该蜂窝网络100处理属于不同网络运营 商的用户设备的访问请求。具体地，蜂窝网络使用向用户设备提供蜂窝服务的网络运营商 的运营商ID来确定是否允许用户设备使用一组高级网络资源。图1a示出了用户设备102的 访问请求，该用户设备的网络运营商是蜂窝网络100的主机运营商。图1b示出了用户设备 104的访问请求，该用户设备的网络运营商是有权使用蜂窝网络而不是一组高级网络资源 的MVNO。图1c示出了用户设备106的访问请求，该用户设备的网络运营商无权使用蜂窝网络 100。用户设备102、104和106中的每一个可以是台式计算机、膝上型计算机、平板计算机、智 能手机、智能手表、个人数字助理(PDA)或能够通过蜂窝网络100与其他设备进行通信的任 何其他计算设备或移动设备。 蜂窝网络100是具有物理无线网络基础设施的移动通信网络，该物理无线网络基 础设施包括各种网络、计算和通信资源。如图所示，蜂窝网络100包括基站(例如基站108)， 访问管理元件110，授权服务器112和一组高级网络资源114。这些高级网络资源114由主机 运营商或主机网络运营商拥有或控制。 基站108是蜂窝网络100中的电信节点。具体地，基站将移动电话或其他类型的用 户设备与蜂窝网络100的更广泛的移动通信网络连接。基站108可以是遵守通用移动电信系 统(UMTS)标准的节点B。基站108可以是能够将用户设备连接到第四代(4G)长期演进(LTE) 网络的演进节点B(eNodeB)。基站也可以是能够将用户设备连接到第五代(5G)新无线电 (NR)网络的gNodeB。基站可以通过基站108将关于用户设备的数据中继到蜂窝网络100的组 件，例如访问管理元件110和授权服务器112。基站108还可以阻止或允许具有一组高级网络 资源114的用户设备之间的业务流。 访问管理元件110是控制对一组高级网络资源114的访问的蜂窝网络100的组件。 访问管理器使用与用户设备关联的运营商ID、MNC和MCC来确定是否应该允许访问一组高级 网络资源114。访问管理元件110可以与授权服务器112通信以获得用户设备的网络运营商 的运营商ID。访问管理元件110还可以与订户服务器(未示出)通信，以认证用户设备并基于 6 CN 111601305 A 说　明　书 3/11 页 所获得的运营商ID来确定是否允许该用户设备访问该组高级网络资源114。订户服务器可 以是维护支持处理电话呼叫的网络实体的主用户数据库的归属订户服务器(HSS)。 在一些实施例中，访问管理元件110的功能由移动性管理元件(未示出)执行。移动 性管理元件(MME)是蜂窝网络100的组件，用于通过EPC处理LTE兼容用户设备的寻呼、认证 和注册。当用户设备从基站移动到基站时，MME可以跟踪用户设备的位置。在一些实施例中， 访问管理元件110的功能是访问和移动性管理功能(AMF)的一部分，其管理5G核心网络的移 动性并且能够基于运营商ID确定是否允许对5G核心网络的访问。 授权服务器112将用户设备的运营商ID提供给访问管理元件110。在一些实施例 中，授权服务器112提供将用户设备的标识(例如，国际移动订户标识或IMSI)映射到运营商 的运营商ID的查找功能。授权服务器112可以是主机运营商的授权服务器或第三方标识和 访问管理(IAM)服务器。授权服务器也可以是安全授权服务器(SES)。授权服务器112提供可 用于查证用户设备或订户由于特定原因而在特定时间间隔内是否被授予特定资源集的信 息。 一组高级网络资源114可以包括蜂窝网络100的网络、计算和通信资源，其向主机 运营商的订户提供附加值，例如更高的通信带宽或更好的计算资源。然而，使用蜂窝网络 100的MVNO可以或可以不被授权向MVNO的订户提供对一组高级网络资源114的使用。可选 地，出于特定原因，可以对MVNO授权以特定时间间隔向MVNO的订户提供对高级网络资源的 有限子集的使用。访问管理元件110使用授权服务器112提供的运营商ID来识别用户设备的 网络运营商(无论是MVNO还是主机运营商)，并决定是否准予访问一组高级网络资源114(例 如通过查询订户服务器或通过在AMF上执行访问管理功能)。 图1a示出了用户设备102的访问请求。用户设备102是蜂窝网络100的主机运营商 的订阅设备，并且有权使用高级网络资源114。在标记为“1”的操作中，用户设备102的IMSI (示为“IMSI  A”)和用户设备102的MNC和MCC(示为“MNC  XX”)通过基站108提交给蜂窝网络 100。在标记为“2”的操作中，访问管理元件110使用用户设备102的IMSI来获得标识用户设 备102的网络运营商的运营商ID(示出为“运营商1”)。在标记为“3”的操作中，访问管理元件 110使用获得的运营商ID来确定用户设备102有权访问高级网络资源114。 图1b示出了用户设备104的访问请求。用户设备104是MVNO的订阅设备，该MVNO与 主机运营商达成使用蜂窝网络100的协议。用户设备104有权使用蜂窝网络100的某些部分， 而不是高级网络资源114。在标记为“1”的操作中，用户设备104的IMSI(示为“IMSI  B”)和用 户设备104的MNC和MCC(示为“MNC  XX”)通过基站108提交给蜂窝网络100。在标记为“2”的操 作中，访问管理元件110使用用户设备104的IMSI来获得运营商ID(图示为“运营商2”)，其标 识用户设备104的网络运营商。在标记为“3”的操作中，访问管理元件110使用获得的运营商 ID来确定用户设备104无权访问高级网络资源114。注意，虽然用户设备104的MNC和MCC与用 户设备102的MNC和MCC(“MNC  XX”)相同，但是基于其运营商ID，不允许用户设备104使用高 级网络资源114。 图1c示出了用户设备106的访问请求。用户设备106是完全未被授权使用蜂窝网络 100的网络运营商的订阅设备。在标记为“1”的操作中，用户设备106的IMSI(示为“IMSI  C”) 以及用户设备106的MNC和MCC(示为“MNC  YY”)通过基站108被传递到蜂窝网络100。在标记 为“2”的操作中，访问管理元件110使用用户设备106的MNC和MCC来确定用户设备106根本无 7 CN 111601305 A 说　明　书 4/11 页 权使用蜂窝网络100。在该示例中，用户设备106的MNC和MCC(“MNC  YY”)不同于蜂窝网络100 的MVNO或主机运营商的MNC和MCC(“MNC  XX”)。 图2概念性地示出了第一示例蜂窝网络，其使用运营商ID来确定是否允许用户设 备访问一组特定的网络资源。在该示例中，蜂窝网络200确定是否允许具有5G能力的用户设 备202访问蜂窝网络中的一组具有5G能力的资源。用户设备202可由主机运营商的订户用来 访问蜂窝网络200的资源，或者可替换地，由MVNO的订户使用用户设备202，并且合约性地允 许用户设备202有限地访问蜂窝网络200的资源。 蜂窝网络200具有包括一个或更多个eNodeB基站204和一个或更多个gNodeB基站 206的混合5G架构。用户设备202能够与eNodeB基站204的LTE无线电通信或与gNodeB基站 206的5G无线电通信。基站204和206可以通过网关210与5G网络资源208交换用户平面数据。 LTE  eNodeB204还与MME  212通信，后者处理蜂窝网络200的用户设备(例如用户设备202)的 移动性管理。 MME  212与订户服务器(HSS)214和授权服务器(IAM或ES)216通信。HSS  214使用订 户数据库向蜂窝网络认证用户设备202。授权服务器216向MME  212提供运营商ID，因此MME  212和HSS  214可以确定是否允许用户设备202访问5G网络资源208。 图3概念性地示出了当使用运营商ID来确定是否允许用户设备访问5G网络资源时 在混合5G架构中的数据交换的序列。具体地，该图示出了当蜂窝网络确定是否准许用户设 备202访问5G网络资源208时在蜂窝网络200的各个组件之间的数据交换。该序列中的数据 交换被标记为“1”至“5”。 如所示，在标记为“1”的数据交换期间，用户设备202向MME  212发送设置了“DC- NR”位的附接请求(通过基站204或206)以指示用户设备202是支持5G的设备。在标记为“2” 的数据交换期间，MME  212与HSS  214通信以认证用户设备202。 在标记为“3”的数据交换期间，MME  212使用用户设备202的IMSI来查询授权服务 器216以获得与用户设备202相关联的MVNO的运营商ID。在一些实施例中，查询和响应使用 轻型目录访问协议(LDAP)。 在标记为“4”的数据交换期间，MME  212连同与用户设备202相关联的MCC和MNC一 起将获得的运营商ID发送到HSS  214。根据运营商ID、与用户设备202关联的MCC和与用户设 备202关联的MNC，HSS  214随后通知MME  212是否被允许(“允许或拒绝NR”)访问5G网络资源 (设置了“DC-NR-bit”组的附接请求)。可选的，HSS  214可以仅基于运营商ID来确定是允许 还是拒绝用户设备202访问5G网络资源，然后通知MME  212。在一些实施例中，将运营商-ID、 MCC和MNC在更新位置请求(ULR)中发送到HSS  214，而来自HSS  214的响应在更新位置应答 (ULA)中。ULR可以将运营商ID嵌入为属性值对(AVP)。图4示出了示例ULR，其从MME  212向 HSS  214承载MNC，MCC和运营商ID。 HSS  214可以使用资源访问控制列表(例如，不允许的运营商ID和/或MCC/MNC的黑 名单，或允许的运营商ID和/或MCC/MNC的白名单)来确定是否允许根据运营商ID、MCC和MNC 来进行访问。例如，如果资源访问控制列表指示与该用户设备相关联的运营商ID、MCC和MNC 都具有允许值，则可以允许用户设备访问。在替代示例中，如果资源访问控制列表指示与该 用户设备关联的运营商ID、MCC或MNC中的任何一个具有不允许的值，则可以拒绝该用户设 备的访问。在一些实施例中，当与用户设备相关联的运营商ID为空或零时，HSS可以拒绝用 8 CN 111601305 A 说　明　书 5/11 页 户设备访问。 在标记为“5”的数据交换期间，根据来自HSS  214的响应，MME  212与网关210和基 站204或206通信以允许用户设备202访问5G网络资源或阻止用户设备202访问5G网络资源。 在一些实施例中，HSS  214而不是MME  212从授权服务器获得运营商ID，以确定是 否允许用户设备访问5G网络资源。图5概念性地示出了在混合5G架构中HSS获得运营商ID的 数据交换的替代序列。序列中的数据交换标记为“1”到“5”。如图所示，在标记为“1”的数据 交换期间，用户设备202(通过基站204或206)向MME  212发送设置了“DC-NR位”的附接请求， 以指示用户设备202是5G使能的设备。在标记为“2”的数据交换期间，MME  212与HSS  214通 信以认证用户设备202。 在标记为“3”的数据交换期间，HSS  214使用用户设备202的IMSI来查询授权服务 器216以获得对应的运营商ID。在一些实施例中，HSS和授权服务器之间的查询和响应在 LDAP中。 在标记为“4”的数据交换处，MME  212将与用户设备202相关联的MCC和MNC发送到 HSS214。作为响应，根据运营商ID、与用户设备202相关联的MCC以及与用户设备202相关联 的MNC，HSS  214通知MME  212是否访问5G网络资源(设置了“DC-NR位”的附接请求)。可选地， HSS214可以仅根据运营商ID来确定是允许还是拒绝用户设备202访问5G网络资源，然后通 知MME  212。在一些实施例中，运营商ID、MCC和MNC在来自HSS  214的响应在ULA中的同时，被 发送给ULR中的HSS  214。ULR可以将运营商ID嵌入为AVP。 HSS  214可以使用资源访问控制列表来基于运营商ID、MCC和MNC来确定是否允许 访问。例如，如果资源访问控制列表指示与该用户设备相关联的运营商ID、MCC和MNC都具有 允许值，则可以允许用户设备访问。在替代示例中，如果资源访问控制列表指示与该用户设 备关联的运营商ID、MCC或MNC中的任何一个具有不允许的值，则可以拒绝该用户设备的访 问。在一些实施例中，当与使用设备相关联的运营商ID为空或零时，HSS可以拒绝用户设备 访问。 在标记为“5”的数据交换处，基于来自HSS  214的响应，MME  212与网关210、策略和 计费规则功能(PCRF)通信，并且基站204或206允许用户设备202访问5G网络资源或阻止用 户设备202访问5G网络资源。 图6概念性地示出了第二示例蜂窝网络，其使用运营商ID来确定是否允许用户设 备访问一组特定的网络资源。在该示例中，蜂窝网络600确定是否允许具有5G能力的用户设 备602访问蜂窝网络中的专用5G核心网络604。用户设备602可以是蜂窝网络600的主机运营 商的订户，或者是根据契约性地允许有限地访问蜂窝网络600的MVNO的订户。 用户设备602可以通过5G  gNodeB基站606访问专用5G核心网络604，并且交换用户 平面数据。5G  gNodeB  606还与AMF  608通信，后者为蜂窝网络600的用户处理访问管理和移 动性管理。 AMF  608控制对专用5G核心网络604的访问。AMF  608与授权服务器(IAM或ES)610 通信。授权服务器610向AMF  608提供运营商ID，因此AMF  608可以确定是否准许用户设备 602访问专用5G核心网络604。AMF  608可以通过使用一组HTTPS北向应用程序编程接口 (API)来向授权服务器610查询运营商ID。 图7概念性地示出了当使用运营商ID来确定是否允许用户设备访问专用5G核心网 9 CN 111601305 A 说　明　书 6/11 页 络时，由AMF进行的数据交换的序列。序列中的数据交换标记为“1”到“3”。 如图所示，在标记为“1”的数据交换期间，用户设备602发送设置了“DC-NR”位的附 接请求以指示用户设备602是具有5G能力的设备。在标记为“2”的数据交换期间，AMF  608使 用用户设备602的IMSI来查询授权服务器610以获得对应的运营商ID。在一些实施例中，查 询和响应使用LDAP协议。在一些实施例中，通过使用一组HTTPS北向API来进行查询和响应。 这些API可以是代表状态转移(REST)API，它们定义了一组用于创建网页服务的约束。根据 运营商ID、与用户设备602相关联的MCC以及与用户设备602相关联的MNC，AMF  608决定是允 许还是不允许对专用5G网络的访问。可替代地，AMF  608可以仅基于运营商ID来确定是允许 还是拒绝用户设备602访问专用5G网络604。 AMF  608可以使用资源访问控制列表来根据运营商ID、MCC和MNC确定是否允许访 问。例如，如果资源访问控制列表指示与该用户设备相关联的运营商ID、MCC和MNC都具有允 许值，则可以允许用户设备访问。在替代示例中，如果资源访问控制列表指示与该用户设备 关联的运营商ID、MCC或MNC中的任何一个具有不允许的值，则可以拒绝该用户设备的访问。 在一些实施例中，当与用户设备相关联的运营商ID为空或零时，AMF608可以拒绝用户设备 访问。 在标记为“3”的数据交换处，AMF  608通过N1接口向用户设备602发送非接入层 (NAS)消息。该消息指示所请求的对5G网络资源的访问是否被允许或不允许(允许或者不允 许NR)。 图8概念性地示出了当使用运营商ID来确定是否允许用户设备访问专用5G核心网 络时，由AMF进行的数据交换的替代序列。具体地，蜂窝网络600中的统一数据管理(UDM)元 件802用于向授权服务器查询运营商ID。序列中的数据交换标记为“1”到“5”。 如图所示，在标记为“1”的数据交换期间，用户设备602(通过基站606)向AMF  608 发送设置了“DC-NR”位的附接请求，以请求访问5G网络资源。在标记为“2”的数据交换期间， AMF  608向UDM  802发送认证请求。 在标记为“3”的数据交换期间，UDM  802使用用户设备602的IMSI来查询授权服务 器610以获得对应的运营商ID。在一些实施例中，查询和响应使用LDAP。在一些实施例中，通 过使用一组HTTPS北向API来进行查询和响应。这些API可以是REST  API，它们定义了一组用 于创建网页服务的约束。 在标记为“4”的数据交换期间，UDM  802使用从授权服务器获得的运营商ID响应 AMF  608的查询。AMF  608基于运营商ID、与用户设备602相关联的MCC以及与用户设备602相 关联的MNC，决定是允许还是禁止对专用5G网络的访问。可替代地，AMF  608可以仅基于运营 商ID来确定是允许还是拒绝用户设备602访问专用5G网络604。 AMF  608可以使用资源访问控制列表来基于运营商ID、MCC和MNC确定是否允许访 问。例如，如果资源访问控制列表指示与该用户设备相关联的运营商ID、MCC和MNC都具有允 许值，则可以允许用户设备访问。在替代示例中，如果资源访问控制列表指示与该用户设备 关联的运营商ID、MCC或MNC中的任何一个具有不允许的值，则可以拒绝该用户设备的访问。 在一些实施例中，当与用户设备相关联的运营商ID为空或零时，AMF608可以拒绝使用设备 访问。 在标记为“5”的数据交换处，AMF  608通过N1接口向用户设备602发送非访问层 10 CN 111601305 A 说　明　书 7/11 页 (NAS)消息。该消息指示所请求的对5G网络资源的访问是被允许还是不被允许(允许或者不 允许NR)。 图9是示出与示例性实施例一致的示例AMF的各种组件的框图。该图示出了实现 AMF  608的计算设备900。计算设备900可以是通用计算机，例如台式计算机，平板计算机，膝 上型计算机，服务器或能够接收输入、处理输入、并生成输出数据的电子设备。计算设备900 还可以是虚拟计算设备，例如托管在云中的虚拟机或软件容器。 计算设备900可以配备以下一项或更多项：通信接口902、一个或更多个处理器 904、设备硬件906和存储器908。通信接口902可以包括使计算设备能够向其他设备传送数 据和从其他设备接收数据的无线和/或有线通信组件。可以通过专用有线连接或通过通信 网络来转发数据。设备硬件906可以包括执行用户界面、数据显示、数据通信、数据存储和/ 或其他服务器功能的附加硬件。 存储器908可以使用诸如计算机存储介质之类的计算机可读介质来实现。计算机 可读介质至少包括两种类型的计算机可读介质，即计算机存储介质和通信介质。计算机存 储介质可以包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据之类的 信息的任何方法或技术实现的易失性和非易失性、可移除和不可移除介质。计算机存储介 质可以包括但不限于RAM、ROM、EEPROM、闪存或其他存储技术、CD-ROM、数字多功能磁盘 (DVD)或其他光学存储、磁盒、磁带，磁盘存储或其他磁存储设备、或可用于存储信息以供计 算设备访问的任何其他非传输介质。相反，通信介质可以在诸如载波的调制数据信号或其 他传输机制中体现计算机可读指令、数据结构、程序模块或其他数据。 计算设备900的处理器904和存储器908可以实现操作系统910、移动性管理模块 912、资源控制模块914、授权服务器接口916、基站接口918和网关接口920。 操作系统910可以包括使计算设备900能够经由各种接口(例如，用户控件、通信接 口和/或存储器输入/输出设备)接收和发送数据，以及使用处理器904处理数据并产生输出 的组件。操作系统910可以包括呈现组件，其呈现输出(例如，在电子显示器上显示数据、将 数据存储在存储器中、将数据发送到另一电子设备等)。操作系统910可以包括管理程序，该 管理程序允许计算设备操作一个或更多个虚拟机和/或虚拟网络组件。另外，操作系统910 可以包括执行通常与操作系统相关联的各种附加功能的其他组件。 移动性管理模块912是使计算设备900能够处理连接到蜂窝网络的用户设备的寻 呼、认证和注册的软件组件。当用户设备从基站移动到基站时，移动性管理模块912可以跟 踪用户设备的位置。 资源控制模块914是使计算设备能够查证是否允许用户设备访问蜂窝网络中的特 定资源集的软件组件。例如，资源控制模块914可以将与用户设备相关联的运营商ID、MNC和 MCC与资源访问控制列表(例如，不允许的运营商ID和/或MCC/MNC的黑名单，允许的运营商 ID和/或MCC/MNC的白名单)的内容进行比较，来确定是否允许用户设备使用特定的资源集。 授权服务器接口916是处理与授权服务器(例如SES或IAM)的交互的软件组件，特 别是用于基于用户设备的IMSI查询授权服务器以获得运营商ID。在一些实施例中，授权服 务器接口916使用LDAP来查询授权服务器。在一些实施例中，授权服务器接口916包括一组 RESTful  API，以便与授权服务器进行通信。 基站接口918是处理与基站(eNodeB或gNodeB)的交互的软件组件。通过基站接口 11 CN 111601305 A 说　明　书 8/11 页 918，计算设备900从用户设备接收标识信息，包括用户设备的IMSI、MCC和MNC。基站接口918 可以通过与用户设备的N1接口来处理NAS消息。 网关接口920是处理与蜂窝网络的网关组件(诸如服务网关(SGW)和分组数据网络 网关(PGW)的网关)的交互的软件组件，该网关控制对蜂窝网络的核心网络或蜂窝网络的一 组高级网络资源的访问。 图10是示出了根据示例性实施例的示例性移动性管理元件或MME的各个组件的框 图。该图示出了实现MME  212的计算设备1000。计算设备1000可以是通用计算机，例如台式 计算机、平板计算机、膝上型计算机，服务器或能够接收输入、处理输入、并生成输出数据的 电子设备。计算设备1000还可以是虚拟计算设备，例如托管在云中的虚拟机或软件容器。 计算设备1000可以配备以下一项或更多项：通信接口1002、一个或更多个处理器 1004、设备硬件1006和存储器1008。通信接口1002可以包括无线和/或有线通信组件，使计 算设备能够向其他设备传输数据和从其他设备接收数据。可以通过专用有线连接或通过通 信网络来转发数据。设备硬件1006可以包括执行用户界面、数据显示、数据通信、数据存储 和/或其他服务器功能的附加硬件。 可以使用诸如计算机存储介质之类的计算机可读介质来实现存储器1008。计算机 可读介质至少包括两种类型的计算机可读介质，即计算机存储介质和通信介质。计算机存 储介质可以包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据之类的 信息的任何方法或技术实现的易失性和非易失性、可移除和不可移除介质。计算机存储介 质可以包括但不限于RAM、ROM、EEPROM、闪存或其他存储技术、CD-ROM，数字多功能磁盘 (DVD)或其他光学存储、磁盒、磁带、磁盘存储或其他磁存储设备，或可用于存储信息以供计 算设备访问的任何其他非传输介质。相反，通信介质可以在诸如载波的调制数据信号或其 他传输机制中体现计算机可读指令、数据结构、程序模块或其他数据。 计算设备1000的处理器1004和存储器1008可以实现操作系统1010、移动性管理模 块1012、订户服务器接口1014、授权服务器接口1016、基站接口1018和网关接口1020。 操作系统1010可以包括使计算设备1000能够经由各种接口(例如，用户控件、通信 接口和/或存储器输入/输出设备)接收和发送数据以及使用处理器1004处理数据以产生输 出的组件。操作系统1010可以包括呈现组件，其呈现输出(例如，在电子显示器上显示数据、 将数据存储在存储器中、将数据发送到另一电子设备等)。操作系统1010可以包括管理程 序，该管理程序允许计算设备操作一个或更多个虚拟机和/或虚拟网络组件。此外，操作系 统1010可以包括执行通常与操作系统相关联的各种附加功能的其他组件。 移动性管理模块1012是使计算设备1000能够处理连接到蜂窝网络的用户设备的 寻呼、认证和注册的软件组件。当用户设备从基站移动到基站时，移动性管理模块可以追踪 用户设备的位置。 订户服务器接口1014是处理与订户服务器的查询和响应的软件组件。在一些实施 例中，订户服务器接口1014将与用户设备相关联的运营商ID、MNC和MCC发送到ULR中的订户 服务器(例如，HSS  214)，并获得关于是否允许该用户设备在ULA中使用一组特定的资源的 决定。 授权服务器接口1016是处理与授权服务器(例如，SES或IAM)的交互的软件组件， 特别是用于基于用户设备的IMSI查询授权服务器以获得运营商ID。在一些实施例中，授权 12 CN 111601305 A 说　明　书 9/11 页 服务器接口1016使用LDAP来查询授权服务器。在一些实施例中，授权服务器接口1016包括 一组RESTful  API，以便与授权服务器进行通信。 基站接口1018是处理与基站(eNodeB或gNodeB)的交互的软件组件。通过基站接口 1018，计算设备1000从用户设备接收标识信息，包括用户设备的IMSI、MCC和MNC。基站接口 1018可以通过与用户设备的N1接口来处理NAS消息。 网关接口1020是处理与蜂窝网络的网关组件(诸如服务网关(SGW)和分组数据网 络网关(PGW)之类的网关)的交互的软件组件，该网关控制对蜂窝网络的核心网络或蜂窝网 络的一组高级网络资源的访问。 图11是示出根据示例性实施例的示例订户服务器的各种组件的框图。该图示出了 实现HSS  214的计算设备1100。计算设备1100可以是通用计算机，例如台式计算机、平板计 算机、膝上型计算机，服务器或能够接收输入、处理输入并生成输出数据的电子设备。计算 设备1100还可以是虚拟计算设备，例如托管在云中的虚拟机或软件容器。 计算设备1100可以配备以下中的一个或更多个：通信接口1102、一个或多个处理 器1104、设备硬件1106和存储器1108。通信接口1102可以包括无线和/或有线通信组件使计 算设备能够向其他设备传输数据和从其他设备接收数据。可以通过专用有线连接或通过通 信网络来转发数据。设备硬件1106可以包括执行用户界面、数据显示、数据通信、数据存储 和/或其他服务器功能的附加硬件。 可以使用诸如计算机存储介质之类的计算机可读介质来实现存储器1108。计算机 可读介质至少包括两种类型的计算机可读介质，即计算机存储介质和通信介质。计算机存 储介质可以包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据之类的 信息的任何方法或技术实现的易失性和非易失性、可移除和不可移除介质。计算机存储介 质可以包括但不限于RAM、ROM、EEPROM、闪存或其他存储技术、CD-ROM、数字多功能磁盘 (DVD)或其他光学存储、磁盒、磁带、磁盘存储或其他磁存储设备，或可用于存储信息以供计 算设备访问的任何其他非传输介质。相反，通信介质可以在诸如载波的调制数据信号或其 他传输机制中体现计算机可读指令、数据结构、程序模块或其他数据。 计算设备1100的处理器1104和存储器1108可以实现操作系统1110、查询响应接口 1112、资源控制模块1114和授权服务器接口1116。 操作系统1110可以包括使计算设备1100能够经由各种接口(例如，用户控件、通信 接口和/或存储器输入/输出设备)接收和发送数据以及使用处理器1104来处理数据以产生 输出的组件。操作系统1110可以包括呈现组件，其呈现输出(例如，在电子显示器上显示数 据、将数据存储在存储器中、将数据发送到另一电子设备等)。操作系统1110可以包括管理 程序，该管理程序允许计算设备操作一个或多个虚拟机和/或虚拟网络组件。另外，操作系 统1110可以包括执行通常与操作系统相关联的各种附加功能的其他组件。 查询响应接口1112是处理对订户信息的查询的软件组件。在一些实施例中，查询 响应接口1112从ULR中的MME接收与用户设备相关联的运营商ID、MNC和MCC，并发送关于是 否允许用户设备使用ULA中一组特定的资源的决定的响应。 资源控制模块1114是使计算设备能够验证是否允许用户设备访问蜂窝网络中的 特定资源集的软件组件。例如，资源控制模块1114可以将与用户设备相关联的运营商ID、 MNC和MCC与资源访问控制列表(例如，不允许的运营商ID和/或MCC/MNC的黑名单，或允许的 13 CN 111601305 A 说　明　书 10/11 页 运营商ID和/或MCC/MNC的白名单)的内容进行比较，来确定是否允许用户设备使用特定的 资源集。在一些实施例中，资源控制模块1114从MME接收运营商ID作为ULR的一部分。在一些 实施例中，资源控制模块1114通过授权服务器接口1116从授权服务器接收运营商ID。 授权服务器接口1116是处理与授权服务器(例如SES或IAM)的交互的软件组件，特 别是用于基于用户设备的IMSI查询授权服务器以获得运营商ID。在一些实施例中，授权服 务器接口1116使用LDAP来查询授权服务器。在一些实施例中，授权服务器接口1116包括一 组RESTful  API，以便与授权服务器进行通信。 图12概念性地示出了由蜂窝网络执行的用于基于运营商ID来确定是否允许访问 一组高级网络资源的示例过程1200的流程图。在一些实施例中，过程1200由在蜂窝网络中 实现访问管理元件的计算设备执行，例如MME(例如计算设备1000)或AMF(例如计算设备 900)。 过程1200被示为逻辑流程图中的框的集合，其表示可以以硬件、软件或其组合来 实现的一系列操作。在软件的上下文中，框代表计算机可执行指令，当其由一个或多个处理 器执行时，执行所述操作。通常，计算机可执行指令可以包括执行特定功能或实现特定抽象 数据类型的例程、程序、对象、组件、数据结构等。描述操作的顺序不旨在被理解为限制，并 且可以以任何顺序和/或并行地组合任意数量的所描述的框以实现该过程。 在框1202中，计算设备从用户设备接收附接请求。附接请求可以包括用户设备能 够使用蜂窝网络中的一组高级网络资源的指示。这样的指示可以是“DC-NR”位，其被设置为 指示用户设备是具有5G功能的设备，并且可以使用蜂窝网络中的5G网络资源。 在框1204中，计算设备基于用户设备的标识(例如，IMSI)来查询授权服务器以获 得网络运营商标识符(即，运营商ID)。计算设备可以通过提交用户设备的IMSI来向授权服 务器查询网络运营商标识符。可以使用LDAP请求进行查询。该查询还可以通过使用HTTPS  API进行。 在方框1206中，计算设备基于网络运营商标识符来确定是否允许访问蜂窝网络中 的一组特定的网络资源。在一些实施例中，计算设备可以访问资源访问控制列表(例如，不 允许的运营商ID和/或MCC/MNC的黑名单，或允许的运营商ID和/或MCC/MNC的白名单)，以及 可以使用网络运营商标识符来确定是否允许访问而不查询订户服务器。在其他实施例中， 计算设备通过查询订户服务器来确定是否允许访问。对于其中由计算设备实现MME的实施 例，计算设备在执行框1206的操作时执行由框1208、1210和1212表示的操作。 在框1208中，计算设备将获得的网络运营商标识符嵌入到对订户服务器的资源请 求中。资源请求可以是还包括用户设备的运营商的MCC和MNC的ULR的一部分。 在框1210中，计算设备从订户服务器接收对资源请求的响应。订户服务器根据网 络运营商标识符、MCC和MNC生成对请求的响应。例如，如果网络运营商标识符是MVNO的标识 符，而不是蜂窝网络的主机运营商的标识符，则订户服务器可能不允许访问蜂窝网络中的 一组高级网络资源。当嵌入在资源请求中的网络运营商标识符设置为空或零时，订户服务 器也可能不允许访问。 在框1212中，计算设备基于对资源请求的响应，确定是否允许用户设备访问一组 特定的网络资源。 结论 14 CN 111601305 A 说　明　书 11/11 页 尽管已经用特定于结构特征和/或方法动作的语言描述了主题，但是应该理解，所 附权利要求书中定义的主题不必限于所描述的特定特征或动作。而是，将特定特征和动作 公开为实现权利要求的示例性形式。 15 CN 111601305 A 说　明　书　附　图 1/12 页 图1a 图1b 16 CN 111601305 A 说　明　书　附　图 2/12 页 图1c 17 CN 111601305 A 说　明　书　附　图 3/12 页 图2 18 CN 111601305 A 说　明　书　附　图 4/12 页 图3 19 CN 111601305 A 说　明　书　附　图 5/12 页 图4 20 CN 111601305 A 说　明　书　附　图 6/12 页 图5 21 CN 111601305 A 说　明　书　附　图 7/12 页 图6 22 CN 111601305 A 说　明　书　附　图 8/12 页 图7 23 CN 111601305 A 说　明　书　附　图 9/12 页 图8 24 CN 111601305 A 说　明　书　附　图 10/12 页 图9 图10 25 CN 111601305 A 说　明　书　附　图 11/12 页 图11 26 CN 111601305 A 说　明　书　附　图 12/12 页 图12 27