RU2783383C1 - Systems and method for safe updates of configuration parameters provided in user equipment - Google Patents

Systems and method for safe updates of configuration parameters provided in user equipment Download PDF

Info

Publication number
RU2783383C1
RU2783383C1 RU2021112741A RU2021112741A RU2783383C1 RU 2783383 C1 RU2783383 C1 RU 2783383C1 RU 2021112741 A RU2021112741 A RU 2021112741A RU 2021112741 A RU2021112741 A RU 2021112741A RU 2783383 C1 RU2783383 C1 RU 2783383C1
Authority
RU
Russia
Prior art keywords
nas
message
configuration parameter
parameter update
specified
Prior art date
Application number
RU2021112741A
Other languages
Russian (ru)
Other versions
RU2021112741A (en
Inventor
Дженнифер ЛЮ
Original Assignee
Нокиа Текнолоджиз Ой
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Нокиа Текнолоджиз Ой filed Critical Нокиа Текнолоджиз Ой
Application granted granted Critical
Publication of RU2783383C1 publication Critical patent/RU2783383C1/en
Publication of RU2021112741A publication Critical patent/RU2021112741A/en

Links

Images

Abstract

FIELD: communication.
SUBSTANCE: method includes: reception to user equipment (hereinafter – UE) from an element of an access and mobility management function (hereinafter – AMF) of the first non-access stratum (hereinafter – NAS) message containing a container, which contains update of a configuration parameter of UE, wherein the specified update of the configuration parameter of UE contains UE parameter incapsulated into a protected package; the first safety checking for checking the specified update of the configuration parameter of UE; and direction of the specified protected package to a universal subscriber identification module (hereinafter – USIM) made with the possibility of communication with the specified UE, if the specified first safety checking is successful, while the specified USIM is made with the possibility of the second safety checking for checking the specified protected package, and, if the specified second safety checking is successful, update of one or more of the specified configuration parameters of UE in the specified USIM based on the specified UE parameter incapsulated in the specified protected package.
EFFECT: provision of safe update of configuration parameters of UE, using NAS messages.
65 cl, 18 dwg, 9 tbl

Description

Родственные заявкиRelated Applications

Эта обычная заявка на патент испрашивает приоритет предварительной заявки на патент США №62/742,341, поданной 06 октября 2018 г., которая полностью включена в данный документ посредством ссылки.This ordinary patent application claims priority to U.S. Provisional Application No. 62/742,341, filed October 06, 2018, which is incorporated herein by reference in its entirety.

Область техникиTechnical field

Это раскрытие относится к области систем связи и, в частности, к обновлению мобильных устройств.This disclosure relates to the field of communication systems and, in particular, to updating mobile devices.

Уровень техникиState of the art

Поставщики или операторы услуг реализуют мобильные сети, чтобы предлагать многочисленные речевые услуги и услуги передачи данных конечным пользователям мобильных телефонов или других мобильных устройств/терминалов, которые обычно называются оборудованием пользователя (User Equipment - UE). Некоторыми примерами речевых услуг являются речевые вызовы, переадресация вызова, ожидание вызова и т.д. Некоторыми примерами услуг передачи данных являются доступ в Интернет, потоковое аудио, потоковое видео, онлайн-игры, телевидение по протоколу Интернет (Internet Protocol television - IP-TV) и т.д. Мобильная сеть представляет собой тип сети, в которой последняя линия связи к конечному пользователю является беспроводной. Мобильная сеть обычно содержит опорную сеть и одну или большее количество сетей с радиодоступом (Radio Access Network - RAN), которые обмениваются сигнализацией и данными с UE через радиоинтерфейс.Service providers or service providers implement mobile networks to offer multiple voice and data services to end users of mobile phones or other mobile devices/terminals commonly referred to as User Equipment (UE). Some examples of voice services are voice calls, call forwarding, call waiting, and so on. Some examples of data services are Internet access, audio streaming, video streaming, online games, Internet Protocol television (IP-TV), etc. A mobile network is a type of network in which the last link to the end user is wireless. The mobile network typically comprises a core network and one or more Radio Access Networks (RANs) that exchange signaling and data with the UE via an air interface.

UE обычно обеспечивается международным идентификатором мобильного абонента (International Mobile Subscriber Identity - IMSI), аутентификацией безопасности, информацией о шифровании и другими параметрами конфигурации. Могут быть случаи, когда домашней сети UE необходимо обновить один или большее количество из параметров конфигурации в UE. Например, домашняя сеть UE может обновлять параметры конфигурации, когда происходит изменение подписки, когда есть новое назначение услуги, когда мобильные сети переходят от сетей долгосрочного развития (Long-Term Evolution - LTE) к сетям следующего поколения и т.д. Следовательно, выгодно идентифицировать расширенные процедуры для обновления параметров конфигурации в UE.The UE is typically provided with an International Mobile Subscriber Identity (IMSI), security authentication, encryption information, and other configuration parameters. There may be cases where the UE's home network needs to update one or more of the configuration parameters in the UE. For example, the UE's home network may update configuration parameters when there is a subscription change, when there is a new service assignment, when mobile networks migrate from Long-Term Evolution (LTE) networks to next generation networks, and so on. Therefore, it is advantageous to identify extended procedures for updating configuration parameters at the UE.

Сущность изобретенияThe essence of the invention

Описанные в данном документе варианты осуществления обеспечивают обновления параметров конфигурации UE с использованием сообщений слоя без доступа (Non-Access Stratum - NAS). В общем, мобильные сети, переходящие в сети следующего поколения, могут содержать управление едиными данными (Unified Data Management - UDM) и функцию управления доступом и мобильностью (Access and Mobility Management Function - AMF). UDM, которое находится в домашней сети UE, выполнено с возможностью сборки обновления параметра конфигурации UE для UE с защитой безопасности (например, защищенный пакет, защита целостности и т.д.). UDM отправляет обновление параметра конфигурации UE с защитой безопасности в AMF. AMF, в свою очередь, выполнена с возможностью прозрачной отправки обновления параметра конфигурации UE в UE с применением сообщения NAS. И снова обновление параметра конфигурации UE безопасно защищено в сообщении NAS. UE выполнено с возможностью обновления своих параметров конфигурации UE при приеме сообщения NAS на основе обновления, предоставленного в сообщении NAS. Одно из технических преимуществ этой процедуры состоит в том, что для обновления параметров конфигурации UE обеспечивается межконцевая безопасность. Другое техническое преимущество состоит в том, что для обновления параметров конфигурации UE можно использовать собственные функциональные возможности плоскости управления. Таким образом, не требуется развертывать специализированный сетевой элемент для предоставления обновлений для UE.The embodiments described herein provide UE configuration parameter updates using Non-Access Stratum (NAS) messages. In general, mobile networks transitioning to next generation networks may include Unified Data Management (UDM) and Access and Mobility Management Function (AMF). The UDM, which resides in the UE's home network, is configured to assemble the UE configuration parameter update for the UE with security protection (eg, secure packet, integrity protection, etc.). The UDM sends an update of the security protected UE configuration parameter to the AMF. The AMF, in turn, is configured to transparently send a UE configuration parameter update to the UE using a NAS message. Again, the UE configuration parameter update is securely protected in the NAS message. The UE is configured to update its UE configuration parameters when receiving the NAS message based on the update provided in the NAS message. One of the technical advantages of this procedure is that end-to-end security is provided for updating the UE configuration parameters. Another technical advantage is that native control plane functionality can be used to update the UE configuration parameters. Thus, it is not necessary to deploy a dedicated network element to provide updates to the UE.

Один вариант осуществления содержит элемент AMF мобильной сети. Элемент AMF содержит процессор(ы) и запоминающее устройство, содержащее код компьютерной программы, исполняемый процессором. Процессор выполнен с возможностью предписывания элементу AMF принимать сообщение плоскости управления от элемента UDM, содержащее обновление параметра конфигурации UE для UE. Указанное обновление параметра конфигурации UE безопасно защищено в соответствии с механизмом защиты. Процессор дополнительно выполнен с возможностью предписывания элементу AMF вставить обновление параметра конфигурации UE, которое безопасно защищено, в контейнер первого сообщения NAS, при этом контейнер предназначен для обновления параметра конфигурации UE. Процессор дополнительно выполнен с возможностью предписывания элементу AMF отправить первое сообщение NAS на UE с контейнером, содержащим обновление параметра конфигурации UE, которое безопасно защищено.One embodiment comprises a mobile network AMF element. The AMF element contains a processor(s) and a storage device containing computer program code executable by the processor. The processor is configured to cause the AMF element to receive a control plane message from the UDM element containing an update of the UE configuration parameter for the UE. The specified UE configuration parameter update is securely protected according to the protection mechanism. The processor is further configured to cause the AMF element to insert the UE configuration parameter update that is securely protected into the first NAS message container, the container for updating the UE configuration parameter. The processor is further configured to cause the AMF element to send a first NAS message to the UE with a container containing the UE configuration parameter update that is securely protected.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет в соответствии с механизмом защиты.In another embodiment, the UE configuration parameter update is encapsulated in a secure packet according to a security mechanism.

В другом варианте осуществления обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS UE в соответствии с механизмом защиты.In another embodiment, the UE configuration parameter update is integrally secured using the UE's NAS security context in accordance with the security mechanism.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет, и защищенный пакет целостно защищен с применением контекста безопасности NAS UE в соответствии с механизмом защиты.In another embodiment, the UE configuration parameter update is encapsulated in a secure packet, and the secure packet is integrally secured using the UE's NAS security context according to the security mechanism.

В другом варианте осуществления первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на UE во время процедуры регистрации NAS. Процессор дополнительно выполнен с возможностью предписывания элементу AMF принять второе сообщение NAS от UE во время процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что обновление параметра конфигурации UE было принято, и отправлять другое сообщение плоскости управления элементу UDM с подтверждением UE. Второе сообщение NAS, принятое от UE, может содержать сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.In another embodiment, the first NAS message contains a NAS registration confirmation message sent to the UE during the NAS registration procedure. The processor is further configured to cause the AMF element to receive a second NAS message from the UE during the NAS registration procedure with the container containing the UE confirmation that the UE configuration parameter update has been received and send another control plane message to the UDM element with the UE confirmation. The second NAS message received from the UE may contain an NAS registration in progress message or an uplink NAS transport message.

В другом варианте осуществления первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS. Процессор дополнительно выполнен с возможностью предписывания элементу AMF принять второе сообщение NAS от UE с контейнером, содержащим подтверждение UE от UE о том, что обновление параметра конфигурации UE было принято, и отправлять другое сообщение плоскости управления элементу UDM с подтверждением UE. Второе сообщение NAS содержит транспортное сообщение NAS восходящей линии связи.In another embodiment, the first NAS message contains a downlink NAS transport message of the NAS transport procedure performed after the NAS registration procedure. The processor is further configured to cause the AMF element to receive a second NAS message from the UE with a container containing a UE confirmation from the UE that the UE configuration parameter update has been received and send another control plane message to the UDM element with the UE confirmation. The second NAS message contains an uplink NAS transport message.

Другой вариант осуществления содержит способ выполнения процедуры обновления для обновления параметров конфигурации UE, обеспеченных в UE. Указанный способ включает в себя прием сообщения плоскости управления в элементе AMF от элемента UDM, которое содержит обновление параметра конфигурации UE для UE. Указанное обновление параметра конфигурации UE безопасно защищено в соответствии с механизмом защиты. Способ дополнительно включает в себя вставку в элементе AMF обновления параметра конфигурации UE, которое безопасно защищено, в контейнер первого сообщения NAS, при этом контейнер предназначен для обновления параметра конфигурации UE. Способ дополнительно включает в себя отправку первого сообщения NAS от элемента AMF на UE с контейнером, содержащим обновление параметра конфигурации UE, которое безопасно защищено.Another embodiment comprises a method for performing an update procedure to update the UE configuration parameters provided in the UE. Said method includes receiving a control plane message in an AMF element from a UDM element that contains an update of a UE configuration parameter for the UE. The specified UE configuration parameter update is securely protected according to the protection mechanism. The method further includes inserting, in the AMF element, a UE configuration parameter update that is securely protected into a container of the first NAS message, wherein the container is for updating the UE configuration parameter. The method further includes sending a first NAS message from the AMF element to the UE with a container containing the UE configuration parameter update that is securely protected.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет в соответствии с механизмом защиты.In another embodiment, the UE configuration parameter update is encapsulated in a secure packet according to a security mechanism.

В другом варианте осуществления обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS UE в соответствии с механизмом защиты.In another embodiment, the UE configuration parameter update is integrally secured using the UE's NAS security context in accordance with the security mechanism.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет, и защищенный пакет целостно защищен с применением контекста безопасности NAS UE в соответствии с механизмом защиты.In another embodiment, the UE configuration parameter update is encapsulated in a secure packet, and the secure packet is integrally secured using the UE's NAS security context according to the security mechanism.

В другом варианте осуществления первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное от элемента AMF на UE во время процедуры регистрации NAS.In another embodiment, the first NAS message contains the NAS registration confirmation message sent from the AMF element to the UE during the NAS registration procedure.

В другом варианте осуществления способ дополнительно включает в себя прием второго сообщения NAS в элементе AMF от UE во время процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что обновление параметра конфигурации UE было принято, и отправку другого сообщения плоскости управления от элемента AMF элементу UDM с подтверждением UE. Второе сообщение NAS может содержать сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.In another embodiment, the method further includes receiving a second NAS message in the AMF element from the UE during the NAS registration procedure with the container containing the UE confirmation that the UE configuration parameter update has been received and sending another control plane message from the AMF element to the element UDM with UE confirmation. The second NAS message may comprise an NAS registration in progress message or an uplink NAS transport message.

В другом варианте осуществления первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS.In another embodiment, the first NAS message contains a downlink NAS transport message of the NAS transport procedure performed after the NAS registration procedure.

В другом варианте осуществления способ дополнительно включает в себя прием второго сообщения NAS в элементе AMF от UE с контейнером, содержащим подтверждение UE от UE о том, что обновление параметра конфигурации UE было принято, и отправку другого сообщения плоскости управления от элемента AMF элементу UDM с подтверждением UE. Второе сообщение NAS содержит транспортное сообщение NAS восходящей линии связи.In another embodiment, the method further includes receiving a second NAS message in the AMF element from the UE with a container containing a UE acknowledgment from the UE that the UE configuration parameter update has been received, and sending another control plane message from the AMF element to the UDM element with the acknowledgment U.E. The second NAS message contains an uplink NAS transport message.

В другом варианте осуществления способ дополнительно включает в себя прием первого сообщения NAS в UE от элемента AMF, содержащего контейнер, который содержит обновление параметра конфигурации UE для UE, которое безопасно защищено, выполнение проверки безопасности в UE для проверки обновления параметра конфигурации UE и обновление одного или большего количества из параметров конфигурации UE на основе обновления параметра конфигурации UE, когда обновление параметра конфигурации UE проверено.In another embodiment, the method further includes receiving a first NAS message to the UE from an AMF element containing a container that contains a UE configuration parameter update for the UE that is securely protected, performing a security check at the UE to verify the UE configuration parameter update, and updating one or more of the UE configuration parameters based on the UE configuration parameter update when the UE configuration parameter update is verified.

В другом варианте осуществления, когда первое сообщение NAS содержит индикатор повторной регистрации, способ дополнительно включает в себя инициирование процедуры регистрации NAS в UE для повторной регистрации с применением обновленных параметров конфигурации UE.In another embodiment, when the first NAS message contains a re-registration indicator, the method further includes initiating a NAS registration procedure at the UE to re-register using the updated UE configuration parameters.

Другой вариант осуществления содержит UE, которое содержит универсальную карту с интегральной схемой (Universal Integrated Circuit Card - UICC), в которой размещается универсальный модуль идентификации абонента (Universal Subscriber Identity Module - USIM), процессор и запоминающее устройство, содержащее код компьютерной программы, исполняемый процессором. Одно или оба из UICC и указанного запоминающего устройства хранят параметры конфигурации UE для UE. Процессор выполнен с возможностью предписывания UE принимать первое сообщение NAS от элемента AMF, содержащего контейнер, который содержит обновление параметра конфигурации UE для UE, которое безопасно защищено в соответствии с механизмом защиты. UICC и/или процессор выполнен с возможностью предписывания UE выполнять проверку безопасности для проверки обновления параметра конфигурации UE и обновления одного или большего количества из параметров конфигурации UE на основе обновления параметра конфигурации UE, когда обновление параметра конфигурации UE проверено.Another embodiment comprises a UE that includes a Universal Integrated Circuit Card (UICC) that houses a Universal Subscriber Identity Module (USIM), a processor, and a memory containing computer program code executable by the processor. . One or both of the UICC and said storage device store UE configuration parameters for the UE. The processor is configured to cause the UE to receive a first NAS message from an AMF element containing a container that contains a UE configuration parameter update for the UE that is securely protected according to the protection mechanism. The UICC and/or the processor is configured to cause the UE to perform a security check to check for a UE configuration parameter update and update one or more of the UE configuration parameters based on the UE configuration parameter update when the UE configuration parameter update is verified.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет в контейнере первого сообщения NAS.In another embodiment, the UE configuration parameter update is encapsulated in a secure packet in the container of the first NAS message.

В другом варианте осуществления обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS UE.In another embodiment, the UE configuration parameter update is holistically secured using the UE's NAS security context.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет в контейнере первого сообщения NAS, и защищенный пакет целостно защищен с применением контекста безопасности NAS UE.In another embodiment, the UE configuration parameter update is encapsulated in a secure packet in the first NAS message container, and the secure packet is securely secured using the UE's NAS security context.

В другом варианте осуществления первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на UE во время процедуры регистрации NAS.In another embodiment, the first NAS message contains a NAS registration confirmation message sent to the UE during the NAS registration procedure.

В другом варианте осуществления, когда сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, процессор дополнительно выполнен с возможностью предписывания UE отправить второе сообщение NAS элементу AMF с контейнером, содержащим подтверждение UE от UE о том, что обновление параметра конфигурации UE было принято. Второе сообщение NAS может содержать сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.In another embodiment, when the NAS registration confirmation message contains a UE confirmation indicator, the processor is further configured to cause the UE to send a second NAS message to the AMF element with a container containing a UE confirmation from the UE that the UE configuration parameter update has been received. The second NAS message may comprise an NAS registration in progress message or an uplink NAS transport message.

В другом варианте осуществления первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS.In another embodiment, the first NAS message contains a downlink NAS transport message of the NAS transport procedure performed after the NAS registration procedure.

В другом варианте осуществления, когда транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, процессор дополнительно выполнен с возможностью предписывания UE отправить транспортное сообщение NAS восходящей линии связи элементу AMF с контейнером, содержащим подтверждение UE от UE о том, что обновление параметра конфигурации UE было принято.In another embodiment, when the downlink NAS transport message contains a UE confirmation indicator, the processor is further configured to cause the UE to send an uplink NAS transport message to the AMF element with a container containing a UE confirmation from the UE that the UE configuration parameter update was received.

В другом варианте осуществления, когда первое сообщение NAS содержит индикатор повторной регистрации, процессор дополнительно выполнен с возможностью предписывания UE инициировать процедуру регистрации NAS для повторной регистрации с применением обновленных параметров конфигурации UE.In another embodiment, when the first NAS message contains a re-registration indicator, the processor is further configured to direct the UE to initiate a NAS registration procedure to re-register using the updated UE configuration parameters.

Другой вариант осуществления содержит элемент AMF, который содержит средство для приема сообщения плоскости управления от элемента UDM, содержащее обновление параметра конфигурации UE для UE. Указанное обновление параметра конфигурации UE безопасно защищено в соответствии с механизмом защиты. Элемент AMF дополнительно содержит средство для вставки обновления параметра конфигурации UE, которое безопасно защищено, в контейнер первого сообщения NAS, и средство для отправки первого сообщения NAS на UE с контейнером, содержащим обновление параметра конфигурации UE, которое безопасно защищено.Another embodiment comprises an AMF element that contains means for receiving a control plane message from a UDM element containing an update of a UE configuration parameter for the UE. The specified update of the UE configuration parameter is securely protected according to the protection mechanism. The AMF element further comprises means for inserting the UE configuration parameter update that is securely protected into the first NAS message container, and means for sending the first NAS message to the UE with the container containing the UE configuration parameter update that is securely protected.

Другой вариант осуществления содержит UE, которое содержит средство для хранения параметров конфигурации UE для UE. UE дополнительно содержит средство для приема первого сообщения NAS от элемента AMF, содержащего контейнер, который содержит обновление параметра конфигурации UE для UE, которое безопасно защищено в соответствии с механизмом защиты, средство для выполнения проверки безопасности для проверки обновления параметра конфигурации UE и средство для обновления одного или большего количества из параметров конфигурации UE на основе обновления параметра конфигурации UE, когда обновление параметра конфигурации UE проверено.Another embodiment includes a UE that contains means for storing UE configuration parameters for the UE. The UE further comprises means for receiving a first NAS message from an AMF element containing a container that contains a UE configuration parameter update for the UE that is securely protected according to the protection mechanism, means for performing a security check for checking the update of the UE configuration parameter, and means for updating one or more of the UE configuration parameters based on the UE configuration parameter update when the UE configuration parameter update is verified.

Приведенная выше сущность изобретения дает общее представление о некоторых аспектах данного описания изобретения. Эта сущность изобретения не является подробным обзором описания изобретения. Она не предназначена ни для идентификации ключевых или критических элементов описания изобретения, ни для очерчивания какого-либо объема конкретных вариантов осуществления описания изобретения или любого объема формулы изобретения. Ее единственная цель состоит в том, чтобы представить некоторые концепции описания изобретения в упрощенной форме в качестве вводной части к более подробному описанию, изложенному ниже.The above summary of the invention gives an overview of some aspects of this description of the invention. This summary of the invention is not a detailed overview of the description of the invention. It is intended neither to identify key or critical elements of the specification nor to delineate any scope of specific embodiments of the specification or any scope of the claims. Its sole purpose is to present some of the concepts of the description of the invention in a simplified form as an introduction to the more detailed description below.

Краткое описание графических материаловBrief description of graphic materials

Некоторые варианты осуществления данного изобретения теперь будут описаны исключительно в качестве примера со ссылкой на сопроводительные графические материалы. Один и тот же ссылочный номер представляет один и тот же элемент или один и тот же тип элемента на всех графических материалах.Some embodiments of the present invention will now be described solely by way of example with reference to the accompanying drawings. The same reference number represents the same element or the same type of element in all drawings.

Фиг. 1 иллюстрирует мобильную сеть в иллюстративном варианте осуществления.Fig. 1 illustrates a mobile network in an exemplary embodiment.

Фиг. 2 иллюстрирует сеть с усовершенствованным пакетным ядром (Evolved Packet Core - EPC).Fig. 2 illustrates an Evolved Packet Core (EPC) network.

Фиг. 3 иллюстрирует нероуминговую архитектуру сети следующего поколения.Fig. 3 illustrates a non-roaming next generation network architecture.

Фиг. 4 иллюстрирует роуминговую архитектуру сети следующего поколения.Fig. 4 illustrates the next generation network roaming architecture.

Фиг. 5 иллюстрирует стек протоколов радиосвязи.Fig. 5 illustrates the radio protocol stack.

Фиг. 6 представляет собой блок-схему UE в иллюстративном варианте осуществления.Fig. 6 is a block diagram of a UE in an exemplary embodiment.

Фиг. 7 представляет собой функциональную модель для UE в иллюстративном варианте осуществления.Fig. 7 is a functional model for a UE in an exemplary embodiment.

Фиг. 8 представляет собой блок-схему элемента AMF в иллюстративном варианте осуществления.Fig. 8 is a block diagram of an AMF element in an exemplary embodiment.

Фиг. 9 представляет собой блок-схему элемента UDM в иллюстративном варианте осуществления.Fig. 9 is a block diagram of a UDM element in an exemplary embodiment.

Фиг. 10 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры обновления в элементе UDM в иллюстративном варианте осуществления.Fig. 10 is a flowchart illustrating a method for performing an update procedure on a UDM element in an exemplary embodiment.

Фиг. 11 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры обновления в элементе AMF в иллюстративном варианте осуществления.Fig. 11 is a flowchart illustrating a method for performing an update procedure in an AMF element in an exemplary embodiment.

Фиг. 12 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры обновления в UE в иллюстративном варианте осуществления.Fig. 12 is a flowchart illustrating a method for performing an update procedure in a UE in an exemplary embodiment.

Фиг. 13 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления.Fig. 13 is a message diagram illustrating an update procedure during registration in an exemplary embodiment.

Фиг. 14 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления.Fig. 14 is a message diagram illustrating an update procedure after registration in an exemplary embodiment.

Фиг. 15 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления.Fig. 15 is a message diagram illustrating an update procedure during registration in an exemplary embodiment.

Фиг. 16 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления.Fig. 16 is a message diagram illustrating an update procedure after registration in an exemplary embodiment.

Фиг. 17 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления.Fig. 17 is a message diagram illustrating an update procedure during registration in an exemplary embodiment.

Фиг. 18 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления.Fig. 18 is a message diagram illustrating the update procedure after registration in the exemplary embodiment.

Описание вариантов осуществленияDescription of Embodiments

Указанные фигуры и нижеследующее описание иллюстрируют конкретные представленные в качестве примера варианты осуществления. Таким образом, будет принято во внимание, что специалисты в данной области техники смогут разработать различные устройства, которые, хотя явно не описаны или показаны в данном документе, воплощают принципы вариантов осуществления и включены в объем вариантов осуществления. Кроме того, любые описанные в данном документе примеры предназначены для помощи в понимании принципов вариантов осуществления и должны толковаться как не ограничивающие такие конкретно перечисленные примеры и условия. В результате концепция (идеи) изобретения не ограничивается конкретными вариантами осуществления или примерами, описанными ниже, но формулой изобретения и ее эквивалентами.These figures and the following description illustrate specific exemplary embodiments. Thus, it will be appreciated that those skilled in the art will be able to develop various devices that, although not expressly described or shown herein, embody the principles of the embodiments and are included within the scope of the embodiments. In addition, any examples described herein are intended to assist in understanding the principles of the embodiments and should be construed as not limiting such specifically listed examples and conditions. As a result, the concept (ideas) of the invention is not limited to the specific embodiments or examples described below, but by the claims and their equivalents.

Фиг. 1 иллюстрирует мобильную сеть 100 в иллюстративном варианте осуществления. Мобильная сеть 100 (также называемая сотовой сетью) представляет собой тип сети, в которой последняя линия связи является беспроводной, и предоставляет речевые услуги и/или услуги передачи данных совокупности устройств. Мобильная сеть 100 может быть сетью третьего поколения (Third Generation - 3G), четвертого поколения (Fourth Generation - 4G) и/или сетью следующего поколения (например, пятого поколения (5G)).Fig. 1 illustrates a mobile network 100 in an exemplary embodiment. The mobile network 100 (also referred to as a cellular network) is a type of network in which the last link is wireless and provides voice and/or data services to a plurality of devices. Mobile network 100 may be a third generation network (Third Generation - 3G), fourth generation (Fourth Generation - 4G) and/or a next generation network (eg, fifth generation (5G)).

Мобильная сеть 100 проиллюстрирована как предоставляющая услуги связи для UE 110 (вместе с другими UE, которые не показаны). UE 110 могут быть задействованы для речевых услуг, услуг передачи данных, межмашинных услуг (Machine-to-Machine - M2M) или услуг связи машинного типа (Machine Type Communication - MTC), услуг Интернета вещей (Internet of Things - IoT) и/или других услуг. UE 110 может быть устройством конечного пользователя, таким как мобильный телефон (например, смартфон), планшет или PDA, компьютер с адаптером мобильной широкополосной связи и т.д.Mobile network 100 is illustrated as providing communications services to UE 110 (along with other UEs not shown). UE 110 may be used for voice services, data services, Machine-to-Machine (M2M) or Machine Type Communication (MTC) services, Internet of Things (IoT) services, and/or other services. UE 110 may be an end user device such as a mobile phone (eg, smartphone), a tablet or PDA, a computer with a mobile broadband adapter, and so on.

Мобильная сеть 100 содержит одну или большее количество сетей 120 с радиодоступом (RAN), которые обмениваются данными с UE 110 через радиоинтерфейс 122. RAN 120 может поддерживать доступ к сети усовершенствованного универсального наземного радиодоступа (Evolved-UMTS Terrestrial Radio Access Network - E-UTRAN), доступ к беспроводной локальной сети (Wireless Local Area Network - WLAN), фиксированный доступ, спутниковый радиодоступ, новые технологии радиодоступа (Radio Access Technologies - RAT) и т.д. В качестве примера, RAN 120 может содержать E-UTRAN или RAN следующего поколения (Next Generation RAN - NG-RAN), которая содержит одну или большее количество базовых станций 124, рассредоточенных по географической области. Базовая станция 124 может содержать объект, который применяет технологию радиосвязи для связи с UE в лицензированном спектре и сопряжения UE с опорной сетью. Базовые станции 124 в E-UTRAN называются усовершенствованными узлами B (Evolved-NodeBs - eNodeB). Базовые станции 124 в NG-RAN называются как gNodeB (базовые станции NR) и/или ng-eNodeB (базовые станции LTE, поддерживающие опорную сеть 5G). В качестве другого примера RAN 120 может содержать WLAN, которая содержит одну или большее количество точек 125 беспроводного доступа (Wireless Access Points - WAP). WLAN представляет собой сеть, в которой UE может подключаться к локальной сети (Local Area Network - LAN) через беспроводное (радио) соединение. WAP 125 представляет собой узел, который применяет технологию радиосвязи для связи с UE в нелицензированном спектре и обеспечивает доступ UE к опорной сети. Одним из примеров WAP 125 является точка доступа Wi-Fi, которая работает в радиодиапазонах 2,4 ГГц или 5 ГГц. Используемый в данном документе термин «базовая станция» может относиться к eNodeB, gNodeB, ng-eNodeB, WAP и т.д.Mobile network 100 comprises one or more radio access networks (RANs) 120 that communicate with UE 110 via air interface 122. RAN 120 may support access to an Evolved-UMTS Terrestrial Radio Access Network (E-UTRAN) , access to a wireless local area network (Wireless Local Area Network - WLAN), fixed access, satellite radio access, new radio access technologies (Radio Access Technologies - RAT), etc. By way of example, RAN 120 may comprise an E-UTRAN or a Next Generation RAN (NG-RAN) that contains one or more base stations 124 dispersed over a geographic area. Base station 124 may include an entity that uses radio technology to communicate with UEs in the licensed spectrum and interface the UE with a core network. Base stations 124 in E-UTRAN are referred to as evolved Node Bs (Evolved-NodeBs - eNodeB). Base stations 124 in NG-RAN are referred to as gNodeB (NR base stations) and/or ng-eNodeB (LTE base stations supporting 5G core network). As another example, RAN 120 may contain a WLAN that contains one or more points 125 wireless access (Wireless Access Points - WAP). WLAN is a network in which a UE can connect to a Local Area Network (LAN) via a wireless (radio) connection. The WAP 125 is a node that uses a radio technology to communicate with a UE in the unlicensed spectrum and provides the UE with access to the core network. One example of a WAP 125 is a Wi-Fi access point that operates on the 2.4 GHz or 5 GHz radio bands. As used herein, the term "base station" may refer to eNodeB, gNodeB, ng-eNodeB, WAP, etc.

UE 110 имеют возможность подключения к соте 126 RAN 120 для доступа к опорной сети 130. Таким образом, RAN 120 представляет собой радиоинтерфейс между UE 110 и базовой сетью 130. Опорная сеть 130 является центральной частью мобильной сети 100, которая предоставляет различные услуги клиентам, подключенным с помощью RAN 120. Одним из примеров опорной сети 130 является сеть с усовершенствованным пакетным ядром (EPC), предложенная 3GPP для LTE. Другим примером опорной сети 130 является опорная сеть 5G, предложенная 3GPP. Опорная сеть 130 содержит сетевые элементы 132, которые могут содержать серверы, устройства, аппараты или оборудование (включая аппаратное обеспечение), которые предоставляют услуги для UE 110. Сетевые элементы 132 в сети EPC могут содержать объект управления мобильностью (MME), обслуживающий шлюз (Serving Gateway - S-GW), шлюз сети пакетной передачи данных (Packet Data Network Gateway - P-GW) и т.д. Сетевые элементы 132 в сети 5G могут содержать функцию управления доступом и мобильностью (AMF), функцию управления сеансом (Session Management Function - SMF), функцию управления политиками (Policy Control Function - PCF), функцию приложения (Application Function - AF), функцию плоскости пользователя (User Plane Function - UPF), и т.д.UE 110 have the ability to connect to cell 126 of RAN 120 to access core network 130. Thus, RAN 120 is the air interface between UE 110 and core network 130. Core network 130 is the central part of mobile network 100, which provides various services to clients connected with RAN 120. One example of core network 130 is the Evolved Packet Core (EPC) network proposed by 3GPP for LTE. Another example of a core network 130 is a 5G core network proposed by 3GPP. The core network 130 includes network elements 132, which may include servers, devices, apparatuses, or equipment (including hardware) that provide services to UE 110. The network elements 132 in the EPC network may contain a Mobility Management Entity (MME) Gateway - S-GW), Packet Data Network Gateway - P-GW, etc. The network elements 132 in a 5G network may comprise an Access and Mobility Management Function (AMF), a Session Management Function (SMF), a Policy Control Function (PCF), an Application Function (AF), a Plane user (User Plane Function - UPF), etc.

Фиг. 2 иллюстрирует сеть 200 с усовершенствованным пакетным ядром (EPC), которая является опорной сетью для LTE. Сеть 200 EPC содержит объект 214 управления мобильностью (MME), обслуживающий шлюз (S-GW) 215, шлюз 216 сети пакетной передачи данных (P-GW), домашний абонентский сервер (Home Subscriber Server - HSS) 217, а также функцию 218 политики и правил тарификации (Policy and Charging Rules Function - PCRF), но может содержать другие не показанные элементы, такие как серверы приложений подсистемы мультимедиа IP (IP Multimedia Subsystem - IMS). В сети 200 EPC данные пользователя (также называемые «плоскостью пользователя») и сигнализация (также называемая «плоскостью управления») разделены. MME 214 обрабатывает плоскость управления в сети 200 EPC. Например, MME 214 обрабатывает сигнализацию, относящуюся к мобильности и безопасности для доступа E-UTRAN. MME 214 отвечает за отслеживание и поисковый вызов UE 110 в режиме ожидания. S-GW 215 и P-GW 216 обрабатывают плоскость пользователя. S-GW 215 и P-GW 216 транспортируют трафик данных между UE 110 и внешними сетями 240 передачи данных (DN или сеть пакетной передачи данных (Packet Data Network - PDN)). S-GW 215 является точкой межсоединения между радиостороной и сетью 200 EPC и обслуживает UE 110 путем маршрутизации входящих и исходящих IP-пакетов. S-GW 215 также является точкой привязки для мобильности внутри LTE (то есть в случае хендовера между eNodeB) и между LTE и другими доступами от 3GPP. P-GW 216 является точкой межсоединения между сетью 200 EPC и внешними сетями 240 передачи данных (то есть точкой входа или выхода для сети 240 передачи данных) и маршрутизирует пакеты в сеть 240 передачи данных и из нее. HSS 217 представляет собой базу данных, в которой хранится информация, относящаяся к пользователям и относящаяся к подписчикам. PCRF 218 обеспечивает решение для управления политикой и тарификацией (Policy and Charging Control - PCC) в сети EPC 200 и является узлом или объектом сети 200 EPC, который формулирует правила PCC для услуг, запрашиваемых конечным пользователем.Fig. 2 illustrates an Evolved Packet Core (EPC) network 200, which is the core network for LTE. The EPC network 200 includes a mobility management entity (MME) 214, a serving gateway (S-GW) 215, a packet data network (P-GW) gateway 216, a Home Subscriber Server (HSS) 217, and a policy function 218 and charging rules (Policy and Charging Rules Function - PCRF), but may contain other elements not shown, such as IP Multimedia Subsystem (IMS) application servers. In the EPC network 200, user data (also referred to as "user plane") and signaling (also referred to as "control plane") are separated. The MME 214 handles the control plane in the EPC network 200. For example, MME 214 handles signaling related to mobility and security for E-UTRAN access. MME 214 is responsible for tracking and paging UE 110 in idle mode. S-GW 215 and P-GW 216 handle the user plane. S-GW 215 and P-GW 216 transport data traffic between UE 110 and external data networks 240 (DN or Packet Data Network (PDN)). The S-GW 215 is the interconnection point between the radio side and the EPC network 200 and serves the UE 110 by routing incoming and outgoing IP packets. S-GW 215 is also the anchor point for intra-LTE mobility (ie in case of handover between eNodeB) and between LTE and other accesses from 3GPP. The P-GW 216 is the interconnection point between the EPC network 200 and the external data networks 240 (ie, the entry or exit point for the data network 240) and routes packets to and from the data network 240 . HSS 217 is a database that stores information related to users and related to subscribers. The PCRF 218 provides a Policy and Charging Control (PCC) solution in the EPC 200 network and is a node or entity in the EPC network 200 that formulates PCC rules for services requested by an end user.

MME 214 подсоединяется к RAN 120 (т.е. eNodeB) через интерфейс S1-MME, а S-GW 215 подсоединяется к RAN 120 через интерфейс S1-U. MME 214 подсоединяется к S-GW 215 через интерфейс S11, и подсоединяется к HSS 217 через интерфейс S6a. PCRF 218 подсоединяется к P-GW 216 через интерфейс Gx, который обеспечивает передачу политики и правил тарификации от PCRF 218 к функции принудительного установления политики и тарификации (Policy and Charging Enforcement Function - PCEF) в P-GW 216. PCRF 218 подсоединяется к S-GW 215 через интерфейс Gxx, а S-GW 215 подсоединяется к P-GW 216 через интерфейс S5.MME 214 is connected to RAN 120 (ie eNodeB) via S1-MME interface, and S-GW 215 is connected to RAN 120 via S1-U interface. MME 214 connects to S-GW 215 via S11 interface, and connects to HSS 217 via S6a interface. The PCRF 218 is connected to the P-GW 216 via a Gx interface, which allows the transfer of policy and charging rules from the PCRF 218 to the Policy and Charging Enforcement Function (PCEF) in the P-GW 216. The PCRF 218 is connected to the S- GW 215 via Gxx interface and S-GW 215 is connected to P-GW 216 via S5 interface.

Фиг. 3 иллюстрирует нероуминговую архитектуру 300 сети следующего поколения. Архитектура на фиг. 3 является представлением опорной точки, как дополнительно описано в документе 3GPP TS 23.501 (v15.3.0), который полностью включен в данный документ посредством ссылки. Архитектура 300 состоит из сетевых функций (Network Function - NF) для опорной сети, а сетевые функции для плоскости управления отделены от плоскости пользователя. Плоскость управления опорной сети содержит функцию 310 сервера аутентификации (Authentication Server Function - AUSF), управление 312 едиными данными (UDM), функцию 313 выбора сетевого сегмента (Network Slice Selection Function - NSSF), функцию 314 управления доступом и мобильностью (AMF), функцию 316 управления сеансом (Session Management Function - SMF), функцию 318 управления политикой (PCF) и функцию 320 приложения (AF). Плоскость пользователя опорной сети содержит одну или большее количество функций 324 плоскости пользователя (UPF), которые обмениваются данными с сетью 240 передачи данных. UE 110 может получить доступ к плоскости управления и плоскости пользователя опорной сети через (R)AN 120.Fig. 3 illustrates a non-roaming next generation network architecture 300. The architecture in Fig. 3 is a reference point representation as further described in 3GPP TS 23.501 (v15.3.0), which is incorporated herein by reference in its entirety. Architecture 300 consists of network functions (Network Function - NF) for the core network, and the network functions for the control plane are separated from the user plane. The backbone control plane contains an Authentication Server Function (AUSF) function 310, a single data management (UDM) 312, a Network Slice Selection Function (NSSF) 313, an access and mobility management (AMF) function 314, a 316 session management (Session Management Function - SMF), function 318 policy management (PCF) and function 320 applications (AF). The backbone user plane contains one or more user plane functions (UPFs) 324 that communicate with the data network 240 . UE 110 may access the control plane and user plane of the core network via the (R)AN 120.

AUSF 310 выполнена с возможностью поддержки аутентификации UE 110. UDM 312 выполнено с возможностью хранения данных/информации подписки для UE 110. UDM 312 может хранить три типа данных пользователя: подписку, политику и контекст, связанный с сеансом (например, местоположение UE). AMF 314 выполнена с возможностью обеспечения аутентификации на основе UE, авторизации, управления мобильностью и т.д. SMF 316 выполнена с возможностью обеспечения следующих функций: управление сеансом (session management - SM), выделение и управление адреса Интернет протокола (Internet Protocol - IP) UE, выбор и управление UPF, завершение интерфейсов к PCF 318, часть управления принудительным установлением политик и качества обслуживания (Quality of Service - QoS), полицейский перехват, завершение SM частей сообщений NAS, уведомление о данных нисходящей линии связи (Downlink Data Notification - DNN), функция роуминга, обработка локального принудительного применения для применения QoS для соглашений об уровне обслуживания (Service Level Agreement - SLA), сбор данных о тарификации и интерфейс тарификации, и т.д. Если UE 110 имеет несколько сеансов, разные SMF могут быть выделены каждому сеансу, чтобы управлять ими индивидуально и, возможно, обеспечивать разные функции для каждого сеанса. PCF 318 выполнена с возможностью поддержки инфраструктуры единой политики для управления поведением сети и предоставления правил политики для функций плоскости управления для принудительного установления QoS, тарификации, управления доступом, маршрутизации трафика и т.д. AF 320 предоставляет информацию о потоке пакетов в PCF 318. PCF 318 выполнена с возможностью определения на основе указанной информации правил политики в отношении мобильности и управления сеансом, чтобы AMF 314 и SMF 316 работали должным образом.AUSF 310 is configured to support authentication of UE 110. UDM 312 is configured to store subscription data/information for UE 110. UDM 312 may store three types of user data: subscription, policy, and session-related context (eg, UE location). AMF 314 is configured to provide UE-based authentication, authorization, mobility management, and so on. The SMF 316 is configured to provide the following functions: session management (SM), UE Internet Protocol (IP) address allocation and management, UPF selection and management, termination of interfaces to the PCF 318, policy enforcement and quality control part Quality of Service (QoS), police interception, SM termination of NAS message parts, Downlink Data Notification (DNN), roaming function, local enforcement processing for applying QoS for Service Level Agreements Agreement - SLA), billing data collection and billing interface, etc. If UE 110 has multiple sessions, different SMFs may be allocated to each session to manage them individually and possibly provide different functionality for each session. The PCF 318 is configured to support a unified policy framework for managing network behavior and providing policy rules for control plane functions for QoS enforcement, billing, access control, traffic routing, and so on. AF 320 provides packet flow information to PCF 318. PCF 318 is configured to determine mobility and session control policy rules based on said information so that AMF 314 and SMF 316 work properly.

UPF 324 поддерживает различные операции и функции плоскости пользователя, такие как маршрутизация и пересылка пакетов, обработка трафика (например, принудительное установление QoS), точка привязки для мобильности Intra-RAT/Inter-RAT (если применимо), проверка пакетов и принудительное установление правил политики, полицейский перехват (сбор UP), учет трафика и отчетность и т.д. Сеть 240 передачи данных не является частью опорной сети и обеспечивает доступ в Интернет, услуги оператора, услуги 3-их лиц и т.д. Например, Международный союз электросвязи (International Telecommunication Union - ITU) классифицировал услуги мобильной сети 5G по трем категориям: расширенная мобильная широкополосная связь (Enhanced Mobile Broadband - eMBB), сверхнадежная связь с малой задержкой (Ultra-reliable and Low-Latency Communications - uRLLC) и массовая связь машинного типа (Massive Machine Type Communications - mMTC) или массовый Интернет вещей (Massive Internet of Things - MIoT). eMBB фокусируется на услугах, требующих высокой пропускной способности, таких как HD-видео, виртуальная реальность (Virtual Reality - VR) и дополненная реальность (Augmented Reality - AR). uRLLC фокусируется на услугах, чувствительных к задержкам, таких как автоматизированное вождение и удаленное управление. mMTC и MIoT фокусируются на услугах, которые содержат высокие требования к плотности подключения, таких как умный город и умное сельское хозяйство. Сеть 240 передачи данных может быть выполнена с возможностью предоставления этих и других услуг.UPF 324 supports various user plane operations and functions such as packet routing and forwarding, traffic processing (e.g., QoS enforcement), Intra-RAT/Inter-RAT mobility anchor point (if applicable), packet inspection, and policy enforcement. , police interception (UP collection), traffic accounting and reporting, etc. The data network 240 is not part of the core network and provides Internet access, operator services, third party services, and so on. For example, the International Telecommunication Union (ITU) has classified 5G mobile network services into three categories: Enhanced Mobile Broadband (eMBB), Ultra-reliable and Low-Latency Communications (uRLLC) and Massive Machine Type Communications (mMTC) or Massive Internet of Things (MIoT). eMBB focuses on high bandwidth services such as HD video, Virtual Reality (VR) and Augmented Reality (AR). uRLLC focuses on delay-sensitive services such as automated driving and remote control. mMTC and MIoT focus on services that have high connectivity requirements such as smart city and smart agriculture. Communication network 240 may be configured to provide these and other services.

Архитектура 300 содержит следующие опорные точки. Опорная точка N1 реализована между UE 110 и AMF 314. Опорная точка N2 реализована между (R)AN 120 и AMF 314. Опорная точка N3 реализована между (R)AN 120 и UPF 324. Опорная точка N4 реализована между SMF 316 и UPF 324. Опорная точка N5 реализована между PCF 318 и AF 320. Опорная точка N6 реализована между UPF 324 и сетью 240 передачи данных. Опорная точка N7 реализована между SMF 316 и PCF 318. Опорная точка N8 реализована между UDM 312 и AMF 314. Опорная точка N9 реализована между двумя UPF 324. Опорная точка N10 реализована между UDM 312 и SMF 316. Опорная точка N11 реализована между AMF 314 и SMF 316. Опорная точка N12 реализована между AMF 314 и AUSF 310. Опорная точка N13 реализована между UDM 312 и AUSF 310. Опорная точка N14 реализована между двумя AMF. Опорная точка N15 реализована между PCF 318 и AMF 314 в случае нероумингового сценария. Опорная точка N22 реализована между NSSF 313 и AMF 314.Architecture 300 contains the following reference points. The N1 reference point is implemented between UE 110 and AMF 314. The N2 reference point is implemented between (R)AN 120 and AMF 314. The N3 reference point is implemented between (R)AN 120 and UPF 324. The N4 reference point is implemented between SMF 316 and UPF 324. Reference point N5 is implemented between PCF 318 and AF 320. Reference point N6 is implemented between UPF 324 and data network 240. Reference point N7 implemented between SMF 316 and PCF 318. Reference point N8 implemented between UDM 312 and AMF 314. Reference point N9 implemented between two UPF 324. Reference point N10 implemented between UDM 312 and SMF 316. Reference point N11 implemented between AMF 314 and SMF 316. Reference point N12 is implemented between AMF 314 and AUSF 310. Reference point N13 is implemented between UDM 312 and AUSF 310. Reference point N14 is implemented between two AMFs. Reference point N15 is implemented between PCF 318 and AMF 314 in case of non-roaming scenario. Reference point N22 implemented between NSSF 313 and AMF 314.

Фиг. 4 иллюстрирует роуминговую архитектуру 400 сети следующего поколения. Архитектура на фиг. 4 является сценарием локального прорыва в представлении опорной точки, как дополнительно описано в 3GPP TS 23.501 (v15.3.0). В сценарии роуминга показаны гостевая сеть опорной наземной сети мобильной связи общего пользования (Visited Public Land Mobile Network - VPLMN) 402 и домашняя PLMN (HPLMN) 404. HPLMN 404 идентифицирует PLMN, в которой хранится профиль мобильного абонента. VPLMN представляет собой PLMN, по которой мобильный абонент перешел в роуминг при выходе из своей HPLMN. Пользователи, переходящие в роуминг в другие сети, будут принимать информацию о подписке от HPLMN 404. В сценарии локального прорыва PCF 318 (hPCF), UDM 312 и AUSF 310 находятся в HPLMN 404 для UE 110. Другие сетевые функции, содержащие посещаемый PCF (visited PCF - vPCF) 418, находятся в VPLMN 402.Fig. 4 illustrates a next generation network roaming architecture 400. The architecture in Fig. 4 is a local breakout scenario in the reference point representation, as further described in 3GPP TS 23.501 (v15.3.0). The roaming scenario shows a Visited Public Land Mobile Network (VPLMN) 402 and a Home PLMN (HPLMN) 404. The HPLMN 404 identifies the PLMN that stores the mobile subscriber profile. The VPLMN is the PLMN on which the mobile subscriber roamed when leaving his HPLMN. Users roaming to other networks will receive subscription information from HPLMN 404. In a local breakthrough scenario, PCF 318 (hPCF), UDM 312 and AUSF 310 are in HPLMN 404 for UE 110. Other network functions containing visited PCF (visited PCF - vPCF) 418 are in VPLMN 402.

Фиг. 5 иллюстрирует стек 500 протоколов радиосвязи, например, для радиоинтерфейса 122. Как описано в данном документе, плоскость 512 пользователя содержит набор протоколов, применяемых для передачи фактических данных пользователя через сеть, а плоскость 514 управления содержит протоколы, применяемые для управления и установления пользовательских соединений и каналов в сети. Для плоскости 512 пользователя и плоскости 514 управления стек 500 протоколов радиосвязи содержит физический (PHY) уровень 501, уровень 502 управления доступом к среде передачи (Medium Access Control - MAC), уровень 503 управления линией радиосвязи (Radio Link Control - RLC) и уровень 504 протокола конвергенции пакетных данных (Packet Data Convergence Protocol - PDCP). Плоскость 514 управления дополнительно содержит уровень 505 управления радиоресурсами (Radio Resource Control - RRC) и уровень 506 слоя без доступа (NAS).Fig. 5 illustrates a radio protocol stack 500, for example, for air interface 122. As described herein, user plane 512 contains a set of protocols used to transfer actual user data over a network, and control plane 514 contains protocols used to manage and establish user connections and channels on the network. For the user plane 512 and the control plane 514, the radio protocol stack 500 comprises a physical (PHY) layer 501, a Medium Access Control (MAC) layer 502, a Radio Link Control (RLC) layer 503, and a layer 504 Packet Data Convergence Protocol (PDCP). The control plane 514 further comprises a Radio Resource Control (RRC) layer 505 and a Non-Access Layer (NAS) layer 506.

Физический уровень 501 переносит всю информацию из транспортных каналов MAC по радиоинтерфейсу. Данные и сообщения сигнализации переносятся по физическим каналам между различными уровнями физического уровня 501. Физические каналы делятся на физические каналы данных и физические каналы управления. Физические каналы данных могут включать в себя физический совместно используемый канал нисходящей линии связи (Physical Downlink Shared Channel - PDSCH), физический канал широковещательной передачи (Physical Broadcast Channel - PBCH), физический многоадресный канал (PMCH), физический совместно используемый канал восходящей линии связи (Physical Uplink Shared Channel - PUSCH) и физический канал произвольного доступа (Physical Random Access Channel - PRACH). Физические каналы управления могут включать в себя физический канал индикатора управления форматом (Physical Control Format Indicator Channel - PCFICH), физический канал индикатора гибридного ARQ (PHICH), физический канал управления нисходящей линией связи (Physical Downlink Control Channel - PDCCH) и физический канал управления восходящей линией связи (Physical Uplink Control Channel - PUCCH).The physical layer 501 carries all information from the MAC transport channels over the air interface. Data and signaling messages are carried over physical channels between different layers of the physical layer 501. Physical channels are divided into physical data channels and physical control channels. The physical data channels may include a Physical Downlink Shared Channel (PDSCH), a Physical Broadcast Channel (PBCH), a Physical Multicast Channel (PMCH), a Physical Uplink Shared Channel ( Physical Uplink Shared Channel - PUSCH) and physical random access channel (Physical Random Access Channel - PRACH). The physical control channels may include a Physical Control Format Indicator Channel (PCFICH), a Physical Hybrid ARQ Indicator Channel (PHICH), a Physical Downlink Control Channel (PDCCH), and a Physical Uplink Control Channel. communication line (Physical Uplink Control Channel - PUCCH).

Уровень 502 MAC отвечает за отображение между логическими каналами и транспортными каналами, мультиплексирование блоков служебных данных (Service Data Unit - SDU) MAC из одного или разных логических каналов в транспортные блоки (transport block - TB), которые будут доставлены на физический уровень по транспортным каналам, демультиплексирование SDU MAC из одного или разных логических каналов из транспортных блоков, доставленных с физического уровня по транспортным каналам, сообщение информации о планировании, исправление ошибок с помощью гибридного автоматического запроса на повторение (Hybrid Automatic Repeat Request - HARQ), обработка приоритетов между UE посредством динамического планирования, обработка приоритетов между логическими каналами одного UE и приоритизация логических каналов. Уровень 503 RLC отвечает за передачу блоков протокольных данных (Protocol Data Unit - PDU) верхнего уровня, исправление ошибок посредством ARQ и конкатенацию, сегментацию и повторную сборку SDU RLC. Уровень 503 RLC также отвечает за повторную сегментацию данных PDU RLC, переупорядочение данных PDU RLC, обнаружение дублирования, сброс SDU RLC, повторное установление RLC и обнаружение ошибок протокола. Уровень 504 PDCP отвечает за сжатие заголовка и декомпрессию IP-данных, передачу данных (плоскость пользователя или плоскость управления), поддержание порядковых номеров (Sequence Number - SN) PDCP, последовательную доставку PDU верхнего уровня при повторном установлении нижних уровней, дублированное устранение SDU нижнего уровня при повторном установлении нижних уровней для радиоканалов, отображенных в режиме подтверждения (Acknowledged Mode - AM) RLC, шифрование и дешифрование данных плоскости пользователя и данных плоскости управления, защита целостности и проверка целостности данных плоскости управления, отбрасывание на основе таймера, дублирование отбрасывания и т.д. Уровень 505 RRC отвечает за широковещательную передачу системной информации, относящейся к NAS, широковещательную передачу системной информации, относящейся к слою доступа (AS), поисковый вызов, установление, поддержание и освобождение соединения RRC между UE и RAN, функции безопасности, включающие управление ключами, установление, конфигурацию, поддержание и освобождение двухточечных радиоканалов (Radio Bearer - RB). Уровень 506 NAS представляет наивысший слой плоскости 514 управления между UE и опорной сетью (например, MME/AMF) и поддерживает мобильность UE и процедуры управления сеансом для установления и поддержания IP-соединения между UE и опорной сетью.MAC layer 502 is responsible for mapping between logical channels and transport channels, multiplexing MAC service data units (SDU) from one or different logical channels into transport blocks (transport block - TB) that will be delivered to the physical layer over transport channels , demultiplexing MAC SDUs from one or different logical channels from transport blocks delivered from the physical layer over transport channels, reporting scheduling information, error correction with Hybrid Automatic Repeat Request (HARQ), processing priorities between UEs by dynamic scheduling, priority processing between logical channels of the same UE, and logical channel prioritization. Layer 503 RLC is responsible for the transmission of blocks of protocol data (Protocol Data Unit - PDU) of the upper layer, error correction through ARQ and concatenation, segmentation and reassembly of the RLC SDU. The RLC layer 503 is also responsible for RLC PDU data resegmentation, RLC PDU data reordering, duplication detection, RLC SDU reset, RLC reestablishment, and protocol error detection. PDCP layer 504 is responsible for header compression and IP data decompression, data transfer (user plane or control plane), maintenance of PDCP sequence numbers (Sequence Number - SN), sequential delivery of upper layer PDUs during lower layer re-establishment, redundant elimination of lower layer SDUs when restoring lower levels for radio bearers mapped in RLC Acknowledged Mode (AM), encryption and decryption of user plane data and control plane data, integrity protection and control plane data integrity checking, timer-based drop, drop duplicate, etc. d. The RRC layer 505 is responsible for broadcasting NAS-related system information, broadcasting access layer (AS)-related system information, paging, establishing, maintaining, and releasing an RRC connection between UE and RAN, security functions including key management, establishing , configuration, maintenance and release of point-to-point radio channels (Radio Bearer - RB). The NAS layer 506 represents the highest layer of the control plane 514 between the UE and the core network (eg, MME/AMF) and supports UE mobility and session management procedures for establishing and maintaining an IP connection between the UE and the core network.

Каждое UE 110, принимающее услуги из мобильной сети, обеспечивается параметрами конфигурации. Домашняя сеть (то есть HPLMN) может захотеть обновить один или большее количество из параметров конфигурации в UE. В предшествующих мобильных сетях обновление параметров конфигурации выполнялось с помощью механизма беспроводной связи (Over-The-Air - OTA). Механизм OTA требовал развертывания специализированного сетевого элемента, называемого шлюзом OTA. Когда обновление параметров конфигурации было выполнено, внутренняя система оператора сети отправляла сервисные запросы на шлюз OTA. Для отправки запроса услуги на UE были указаны разные «каналы» OTA, такие как услуги передачи коротких сообщений (Short Message Services - SMS), неструктурированные дополнительные служебные данные (Unstructured Supplementary Service Data - USSD), протокол передачи гипертекста (HyperText Transfer Protocol - HTTP) и т.д. Шлюз OTA отображал указанные запросы услуги в «каналы» OTA для запросов услуги, которые должны быть отправлены в UE. Например, когда использовался канал SMS, шлюз OTA инкапсулировал обновленные параметры конфигурации в одно или большее количество сообщений SMS. Затем шлюз OTA отправлял сообщения SMS в центр SMS (SMS Center - SMSC), который передавал сообщения SMS в UE. Желательно предоставить собственное решение плоскости управления, которое сетевой оператор может применять для обновления параметров конфигурации UE без необходимости развертывания специализированного сетевого элемента, такого как шлюз OTA. Также желательно предоставить решение, в котором параметры конфигурации UE безопасно защищены.Each UE 110 receiving services from a mobile network is provided with configuration parameters. The home network (ie HPLMN) may want to update one or more of the configuration parameters at the UE. In previous mobile networks, configuration parameter updates were performed using an over-the-air (OTA) mechanism. The OTA mechanism required the deployment of a specialized network element called an OTA gateway. When the configuration parameter update was completed, the network operator's internal system sent service requests to the OTA gateway. Different OTA "channels" have been specified for sending the service request to the UE, such as Short Message Services (SMS), Unstructured Supplementary Service Data (USSD), HyperText Transfer Protocol (HTTP). ) etc. The OTA gateway mapped said service requests to OTA "channels" for service requests to be sent to the UE. For example, when an SMS channel was used, the OTA gateway encapsulated the updated configuration settings in one or more SMS messages. The OTA gateway then sent the SMS messages to the SMS Center (SMSC), which forwarded the SMS messages to the UE. It is desirable to provide a native control plane solution that a network operator can use to update UE configuration parameters without the need to deploy a dedicated network element such as an OTA gateway. It is also desirable to provide a solution in which the configuration parameters of the UE are securely protected.

В вариантах осуществления, описанных в данном документе, сеть прозрачно отправляет безопасно защищенное обновление параметра конфигурации UE в UE через сообщение NAS плоскости управления. Например, обновление параметра конфигурации UE может быть безопасно защищено с применением защищенного пакета, с применением ключа защиты целостности контекста безопасности NAS или обоих. При приеме обновления параметра конфигурации UE в сообщении NAS, UE может обновить свои параметры конфигурации UE. Предлагаемое в данном документе решение описано применительно к сети следующего поколения (например, 5G), но аналогичные решения могут быть обеспечены в сетях более ранних или более поздних поколений. Более подробная информация о вариантах осуществления предоставлена ниже.In the embodiments described herein, the network transparently sends a securely secure UE configuration parameter update to the UE via a control plane NAS message. For example, an update of a UE configuration parameter may be securely protected using a secure packet, using a NAS security context integrity protection key, or both. Upon receiving the UE configuration parameter update in the NAS message, the UE may update its UE configuration parameters. The solution proposed in this document is described in relation to a next generation network (eg, 5G), but similar solutions can be provided in networks of earlier or later generations. More detailed information about the embodiments is provided below.

Фиг. 6 представляет собой блок-схему UE 110 в иллюстративном варианте осуществления. UE 110 содержит компонент 602 радиоинтерфейса, один или большее количество процессоров 604, запоминающее устройство 606, компонент 608 пользовательского интерфейса и батарею 610. Компонент 602 радиоинтерфейса представляет собой аппаратный компонент, который представляет локальные радиоресурсы UE 110, такие как RF-блок 620 (например, приемопередатчик) и одна или большее количество антенн 622, применяемых для беспроводной связи с базовой станцией (например, базовой станцией 124) через радио или «эфирные» сигналы. Процессор 604 представляет собой внутреннюю схему, логику, аппаратное обеспечение, программное обеспечение и т.д., которые обеспечивают функции UE 110. Процессор 604 может быть выполнен с возможностью исполнения инструкций 640 для программного обеспечения, которые загружаются в запоминающее устройство 606. Процессор 604 может содержать набор из одного или большего количества процессоров или может содержать многопроцессорное ядро, в зависимости от конкретной реализации. Процессор 604 может реализовывать одно или большее количество приложений 630. Эти приложения 630 могут получать доступ к данным нисходящей линии связи (downlink - DL) через RAN 120 и опорную сеть 130, а также могут генерировать данные восходящей линии связи (uplink - UL) для передачи в пункт назначения через RAN 120 и опорную сеть 130. Запоминающее устройство 606 является машиночитаемым носителем для хранения данных, инструкций 640, приложений и т.д. и доступна процессору 604. Запоминающее устройство 606 представляет собой аппаратное устройство хранения данных, способное хранить информацию на временной основе и/или постоянной основе. Запоминающее устройство 606 может содержать оперативную память (Random-Access Memory - RAM) или любое другое энергозависимое или энергонезависимое устройство хранения данных. Компонент 608 пользовательского интерфейса представляет собой аппаратный компонент для взаимодействия с конечным пользователем. Например, компонент 608 пользовательского интерфейса может включать в себя дисплей 650, экран, сенсорный экран и т.п. (например, жидкокристаллический дисплей (Liquid Crystal Display - LCD), светодиодный (Light Emitting Diode - LED) дисплей и т.д.). Компонент 608 пользовательского интерфейса может включать в себя клавиатуру или клавишную панель 652, устройство слежения (например, трекбол или трекпад), динамик, микрофон и т.д.Fig. 6 is a block diagram of UE 110 in an exemplary embodiment. UE 110 includes an air interface component 602, one or more processors 604, a memory 606, a user interface component 608, and a battery 610. Air interface component 602 is a hardware component that represents the local radio resources of UE 110, such as an RF unit 620 (e.g., transceiver) and one or more antennas 622 used for wireless communication with a base station (eg, base station 124) via radio or "over the air" signals. Processor 604 is the internal circuitry, logic, hardware, software, etc. that provides the functions of UE 110. Processor 604 may be configured to execute software instructions 640 that are loaded into memory 606. Processor 604 may contain a set of one or more processors, or may contain a multiprocessor core, depending on the specific implementation. Processor 604 may implement one or more applications 630. These applications 630 may access downlink (DL) data via RAN 120 and core network 130, and may also generate uplink (UL) data for transmission. to the destination via RAN 120 and backbone 130. Memory 606 is a computer-readable medium for storing data, instructions 640, applications, and so on. and is available to processor 604. Memory 606 is a hardware storage device capable of storing information on a temporary and/or permanent basis. The storage device 606 may include random-access memory (RAM) or any other volatile or non-volatile storage device. Component 608 user interface is a hardware component for interaction with the end user. For example, the user interface component 608 may include a display 650, a screen, a touch screen, and the like. (for example, liquid crystal display (Liquid Crystal Display - LCD), LED (Light Emitting Diode - LED) display, etc.). The user interface component 608 may include a keyboard or keypad 652, a tracking device (eg, a trackball or trackpad), a speaker, a microphone, and so on.

UE 110 также содержит универсальную карту с интегральной схемой (Universal Integrated Circuit Card - UICC) 660, которая является аппаратным устройством, которое обеспечивает функции безопасности и целостности для UE 110. Хотя это не показано на фиг. 6, UICC 660 может содержать процессор (то есть центральный процессор (Central Processing Unit - CPU)), запоминающее устройство (например, постоянное запоминающее устройство (Read-Only Memory - ROM), RAM, электрически стираемое программируемое постоянное запоминающее устройство (Electrically Erasable Programmable Read-Only Memory - EEPROM)) и схемы ввода/вывода (Input/Output - I/O). UICC 660 может содержать или хранить универсальный модуль идентификации абонента (USIM) 662, который хранит информацию, такую как международный идентификатор мобильного абонента (International Mobile Subscriber Identity - IMSI), информацию безопасности аутентификации и шифрования, а также другую информацию о конфигурации домашнего оператора.UE 110 also includes a Universal Integrated Circuit Card (UICC) 660, which is a hardware device that provides security and integrity functions to UE 110. Although not shown in FIG. 6, the UICC 660 may include a processor (i.e., a Central Processing Unit (CPU)), a storage device (i.e., Read-Only Memory (ROM), RAM, an Electrically Erasable Programmable Read-Only Memory - EEPROM)) and input / output circuits (Input / Output - I / O). The UICC 660 may contain or store a Universal Subscriber Identity Module (USIM) 662 that stores information such as International Mobile Subscriber Identity (IMSI), authentication and encryption security information, and other home operator configuration information.

UICC 660 и/или запоминающее устройство 606 могут хранить информацию домашнего оператора, которая используется для конфигурирования UE 110, которая упоминается в данном документе как параметры 664 конфигурации UE. Один или большее количество из параметров 664 конфигурации UE могут использоваться исключительно UICC 660, а один или большее количество из параметров 664 конфигурации UE могут использоваться процессором 604. Параметры 664 конфигурации UE могут включать в себя индикатор маршрутизации, идентификатор домашней сети (например, идентификатор PLMN и информацию MCC/MNC), идентификатор схемы защиты домашней сети, идентификатор открытого ключа домашней сети, открытые сертификаты домашней сети, информацию о выборе сети (например, управляемый оператором селектор PLMN со списком технологий доступа) и/или другую информацию. Параметры 664 конфигурации UE могут представлять данные, предварительно предоставленные оператором сети, или данные, предоставленные сетью, например, посредством процедуры обновления, как описано ниже. UE 110 может содержать различные другие компоненты, специально не проиллюстрированные на фиг. 6.UICC 660 and/or memory 606 may store home operator information that is used to configure UE 110, referred to herein as UE configuration parameters 664. One or more of the UE configuration parameters 664 may be used exclusively by the UICC 660, and one or more of the UE configuration parameters 664 may be used by the processor 604. The UE configuration parameters 664 may include a routing indicator, a home network identifier (eg, a PLMN identifier, and MCC/MNC information), home network security scheme ID, home network public key ID, home network public certificates, network selection information (eg, operator controlled PLMN selector with access technology list) and/or other information. The UE configuration parameters 664 may represent data previously provided by the network operator or data provided by the network, for example, through an update procedure as described below. UE 110 may include various other components not specifically illustrated in FIG. 6.

Фиг. 7 представляет собой функциональную модель для UE 110 в иллюстративном варианте осуществления. UE 110 может быть подразделено на домены, такие как оборудование мобильной связи (Mobile Equipment - ME) 702 и USIM 662. Как описано выше, функции для USIM 662 могут выполняться процессором и запоминающим устройством на UICC 660. Функции для ME 702 могут выполняться процессором 604 и запоминающим устройством 606. ME 702 выполняет радиопередачу и содержит приложения. USIM 662 содержит данные и процедуры, которые однозначно и надежно идентифицируют себя. Эти функции обычно встроены в автономную смарт-карту, такую как UICC 660. Как указано выше, один или большее количество из параметров 664 конфигурации UE могут храниться исключительно в USIM 662 для использования или обработки в UICC 660, а один или большее количество из параметров 664 конфигурации UE могут храниться исключительно в ME 702 для использования или обработки в ME 702.Fig. 7 is a functional model for UE 110 in an exemplary embodiment. UE 110 may be subdivided into domains such as Mobile Equipment (ME) 702 and USIM 662. As described above, functions for USIM 662 may be performed by a processor and storage device at UICC 660. Functions for ME 702 may be performed by processor 604 and storage device 606. ME 702 performs radio transmission and contains applications. USIM 662 contains data and procedures that uniquely and securely identify themselves. These functions are typically built into a stand-alone smart card such as a UICC 660. As noted above, one or more of the UE configuration parameters 664 may be stored exclusively in the USIM 662 for use or processing by the UICC 660, and one or more of the UE configuration parameters 664 UE configurations may be stored exclusively in the ME 702 for use or processing in the ME 702.

Фиг. 8 представляет собой блок-схему элемента 314 AMF в иллюстративном варианте осуществления. Как описано выше, элемент 314 AMF выполнен с возможностью обеспечения аутентификации, авторизации, управления мобильностью т.д. на основе UE. В этом варианте осуществления элемент 314 AMF содержит следующие подсистемы: компонент 802 сетевого интерфейса и менеджер 804 обновлений, которые работают на одной или большем количестве платформ. Компонент 802 сетевого интерфейса может содержать схему, логику, аппаратное обеспечение, средство и т.д., выполненные с возможностью обмена сообщениями плоскости управления или сигнализацией с другими сетевыми элементами и/или UE (например, через RAN 120). Компонент 802 сетевого интерфейса может работать с применением множества протоколов (включая протокол NAS) или опорных точек. Менеджер 804 обновлений может содержать схему, логику, аппаратное обеспечение, средства и т.д., выполненные с возможностью обработки обновлений для параметров конфигурации UE на UE. Одна или большее количество из подсистем элемента 314 AMF могут быть реализованы на аппаратной платформе, состоящей из аналоговых и/или цифровых схем. Одна или большее количество из подсистем элемента 314 AMF могут быть реализованы в процессоре 830, который выполняет инструкции, хранящиеся в запоминающем устройстве 832. Процессор 830 содержит интегральную аппаратную схему, выполненную с возможностью выполнения инструкций, а запоминающее устройство 832 является машиночитаемым носителем долговременного хранения информации для данных, инструкций, приложений и т.д. и доступно процессору 830. Элемент 314 AMF может содержать различные другие компоненты, специально не проиллюстрированные на фиг. 8.Fig. 8 is a block diagram of an AMF element 314 in an exemplary embodiment. As described above, the AMF element 314 is configured to provide authentication, authorization, mobility management, and so on. based on UE. In this embodiment, the AMF element 314 contains the following subsystems: a network interface component 802 and an update manager 804 that run on one or more platforms. Network interface component 802 may include circuitry, logic, hardware, facility, etc., configured to exchange control plane messages or signaling with other network elements and/or UEs (eg, via RAN 120). The network interface component 802 may operate using a variety of protocols (including the NAS protocol) or reference points. The update manager 804 may contain circuitry, logic, hardware, means, etc., configured to handle updates to UE configuration parameters on the UE. One or more of the subsystems of AMF element 314 may be implemented on a hardware platform consisting of analog and/or digital circuitry. One or more of the subsystems of AMF element 314 may be implemented in a processor 830 that executes instructions stored in memory 832. Processor 830 includes an integrated hardware circuit configured to execute the instructions, and memory 832 is a machine-readable, non-volatile storage medium for data, instructions, applications, etc. and available to processor 830. AMF element 314 may include various other components not specifically illustrated in FIG. eight.

Фиг. 9 представляет собой блок-схему элемента 312 UDM в иллюстративном варианте осуществления. Как описано выше, элемент 312 UDM выполнен с возможностью хранения данных подписки на доступ и мобильность для UE. В этом варианте осуществления элемент 312 UDM содержит следующие подсистемы: компонент 902 сетевого интерфейса, репозиторий 904 данных подписчика и менеджер 906 обновлений, которые работают на одной или большем количестве платформ. Компонент 902 сетевого интерфейса может содержать схему, логику, аппаратное обеспечение, средство и т.д., выполненные с возможностью обмена сообщениями уровня управления или сигнализацией с другими сетевыми элементами. Компонент 902 сетевого интерфейса может работать с применением множества протоколов или опорных точек. Репозиторий 904 данных подписчика может содержать схему, логику, аппаратное обеспечение, средство и т.д., выполненные с возможностью хранения данных подписки на доступ и мобильность. Менеджер 906 обновлений может содержать схему, логику, аппаратное обеспечение, средства и т.д., выполненные с возможностью обработки обновлений для параметров конфигурации UE на UE. Одна или большее количество из подсистем элемента 312 UDM могут быть реализованы на аппаратной платформе, состоящей из аналоговых и/или цифровых схем. Одна или большее количество из подсистем элемента 312 UDM могут быть реализованы в процессоре 930, который выполняет инструкции, хранящиеся в запоминающем устройстве 932. Элемент 312 UDM может содержать различные другие компоненты, специально не проиллюстрированные на фиг. 9.Fig. 9 is a block diagram of a UDM element 312 in an exemplary embodiment. As described above, UDM element 312 is configured to store access and mobility subscription data for the UE. In this embodiment, the UDM element 312 contains the following subsystems: a network interface component 902, a subscriber data repository 904, and an update manager 906 that run on one or more platforms. The network interface component 902 may include circuitry, logic, hardware, facility, etc. configured to exchange control plane messages or signaling with other network elements. The network interface component 902 may operate using multiple protocols or reference points. Subscriber data repository 904 may contain circuitry, logic, hardware, facility, etc. configured to store access and mobility subscription data. The update manager 906 may include circuitry, logic, hardware, means, etc., configured to handle updates to UE configuration parameters on the UE. One or more of the subsystems of UDM element 312 may be implemented on a hardware platform consisting of analog and/or digital circuitry. One or more of the subsystems of UDM element 312 may be implemented in a processor 930 that executes instructions stored in memory 932. UDM element 312 may include various other components not specifically illustrated in FIG. 9.

Процедура обновления может выполняться или вызываться, когда UE регистрируется в сети или после того, как UE регистрируется в сети. Фиг. 10-12 иллюстрируют общую процедуру обновления, выполняемую элементом 312 UDM, элементом 314 AMF и UE 110. Дополнительные подробности процедуры обновления описаны в примерах схем сообщений ниже. Следовательно, предоставленные в данном документе схемы последовательности операций могут быть дополнены процедурами обновления, описанными в связи со схемами сообщений.The update procedure may be performed or called when the UE registers with the network or after the UE registers with the network. Fig. 10-12 illustrate the general update procedure performed by UDM element 312, AMF element 314, and UE 110. Additional details of the update procedure are described in the message map examples below. Therefore, the flowcharts provided herein may be supplemented by the update procedures described in connection with the message schemas.

Фиг. 10 представляет собой схему последовательности операций, иллюстрирующую способ 1000 выполнения процедуры обновления в элементе 312 UDM в иллюстративном варианте осуществления. Этапы способа 1000 будут описаны со ссылкой на элемент 312 UDM на фиг. 9, но специалисты в данной области техники поймут, что способ 1000 может выполняться в других элементах сети или устройствах. Кроме того, описанные в данном документе этапы схем последовательности операций не являются исчерпывающими и могут включать в себя другие этапы, которые не показаны, и этапы могут выполняться в альтернативном порядке.Fig. 10 is a flowchart illustrating a method 1000 for performing an update procedure in UDM element 312 in an exemplary embodiment. The steps of method 1000 will be described with reference to UDM element 312 in FIG. 9, but those skilled in the art will appreciate that method 1000 may be performed in other network elements or devices. In addition, the steps of the flow charts described herein are not exhaustive and may include other steps not shown, and the steps may be performed in an alternative order.

Для этого варианта осуществления можно предположить, что UE 110 регистрируется в сети через процедуру регистрации NAS или уже зарегистрировано в сети. Менеджер 906 обновлений элемента 312 UDM инициирует процедуру обновления для обновления одного или большего количества из параметров 664 конфигурации UE в UE 110 (этап 1002). Например, менеджер 906 обновлений может обрабатывать информацию конфигурации UE, хранящуюся в репозитории 904 данных подписчика, и определять, требуется или желательно обновление параметров 664 конфигурации UE. Менеджер 906 обновлений собирает обновление параметра конфигурации UE для UE 110 (этап 1004). Обновление параметра конфигурации UE содержит информацию, команду, инструкцию и т.д., используемую для выполнения обновления параметров 664 конфигурации UE в UE 110. Например, обновление параметра конфигурации UE может содержать один или большее количество обновленных параметров конфигурации UE для UE 110 как часть данных подписки на доступ и мобильность.For this embodiment, it can be assumed that the UE 110 registers with the network through the NAS registration procedure or is already registered with the network. Update manager 906 of UDM element 312 initiates an update procedure to update one or more of the UE configuration parameters 664 at UE 110 (block 1002). For example, the update manager 906 may process the UE configuration information stored in the subscriber data repository 904 and determine whether an update of the UE configuration parameters 664 is required or desirable. The update manager 906 collects the UE configuration parameter update for UE 110 (block 1004). A UE configuration parameter update contains information, a command, an instruction, etc. used to perform a UE configuration parameter update 664 at UE 110. For example, a UE configuration parameter update may contain one or more updated UE configuration parameters for UE 110 as part of the data. access and mobility subscriptions.

Менеджер 906 обновлений применяет защиту безопасности к обновлению параметра конфигурации UE (этап 1006) в соответствии с одним или большим количеством механизмов защиты. В одном варианте осуществления механизм защиты может быть защищенный пакет. Таким образом, менеджер 906 обновлений может настраивать или инкапсулировать обновление параметра конфигурации UE в защищенный пакет для применения защиты безопасности (необязательный этап 1008). Как правило, защищенный пакет содержит сообщения приложения, к которым были применены определенные механизмы. Сообщения приложений представляют собой команды или данные, которыми обмениваются сетевой элемент и UICC. Отправитель добавляет заголовок безопасности (заголовок команды) к сообщению приложения, а затем применяет запрошенную безопасность к части заголовка команды и всему сообщению приложения. Результирующая структура называется (защищенным) командным пакетом, который содержит защищенные данные в качестве полезных данных. Менеджер 906 обновлений может получить доступ к локальной библиотеке защищенных пакетов или удаленной библиотеке защищенных пакетов для конфигурирования или инкапсуляции обновления параметра конфигурации UE в защищенный пакет. В другом варианте осуществления механизм защиты может быть защитой целостности. Таким образом, менеджер 906 обновлений может применять защиту целостности в обновлении параметра конфигурации UE с использованием контекста безопасности NAS для UE 110 (необязательный этап 1010). Безопасность NAS используется для безопасной доставки сообщений сигнализации NAS между UE 110 и элементом 314 AMF в плоскости управления с использованием ключей безопасности NAS. Контекст безопасности NAS представляет собой набор ключей безопасности NAS и параметров, используемых для защиты сообщений NAS. Ключи безопасности NAS генерируются, когда UE 110 аутентифицируется в сети. Таким образом, после аутентификации менеджер 906 обновлений может применять защиту целостности в обновлении параметра конфигурации UE с использованием ключа защиты целостности контекста безопасности NAS. В еще одном варианте осуществления менеджер 906 обновлений может использовать как защищенный пакет, так и контекст безопасности NAS для защиты обновления параметра конфигурации UE (необязательный этап 1012). Менеджер 906 обновлений может затем вставить или иным образом включить безопасно защищенное обновление параметра конфигурации UE в сообщение плоскости управления (этап 1014).The update manager 906 applies security protection to the UE configuration parameter update (block 1006) in accordance with one or more protection mechanisms. In one embodiment, the protection mechanism may be a protected packet. Thus, the update manager 906 may customize or encapsulate the UE configuration parameter update in a secure package to apply security protection (optional step 1008). Typically, a protected packet contains application messages to which certain mechanisms have been applied. Application messages are commands or data exchanged between the network element and the UICC. The sender adds a security header (command header) to the application message and then applies the requested security to the command header part and the entire application message. The resulting structure is called a (protected) command packet, which contains the protected data as payload. The update manager 906 can access a local secure package library or a remote secure package library to configure or encapsulate a UE configuration parameter update in a secure package. In another embodiment, the protection mechanism may be an integrity protection. Thus, update manager 906 may apply integrity protection in updating a UE configuration parameter using the NAS security context for UE 110 (optional step 1010). NAS security is used to securely deliver NAS signaling messages between UE 110 and AMF element 314 in the control plane using NAS security keys. The NAS security context is a set of NAS security keys and settings used to secure NAS messages. NAS security keys are generated when UE 110 authenticates to the network. Thus, after authentication, the update manager 906 can apply integrity protection in updating the UE configuration parameter using the integrity protection key of the NAS security context. In yet another embodiment, the update manager 906 may use both a secure packet and a NAS security context to secure an update of a UE configuration parameter (optional step 1012). The update manager 906 may then insert or otherwise include the securely protected update of the UE configuration parameter in the control plane message (block 1014).

Менеджер 906 обновлений также может вставлять или иным образом включать индикатор подтверждения UE в сообщение плоскости управления (необязательный этап 1016). Индикатор подтверждения UE может быть включен, когда домашняя сеть требует подтверждения от UE 110 об успешной проверке безопасности обновления параметра конфигурации UE. Менеджер 906 обновлений также может вставлять или иным образом включать индикатор повторной регистрации в сообщение плоскости управления (необязательный этап 1016). Индикатор повторной регистрации может быть включен, когда домашняя сеть хочет, чтобы UE 110 повторно регистрировалось в сети с обновленными параметрами конфигурации UE. Менеджер 906 обновлений затем отправляет сообщение плоскости управления элементу 314 AMF, которое содержит безопасно защищенное обновление параметра конфигурации UE (этап 1018) и индикатор подтверждения UE и/или индикатор повторной регистрации (если запрошен), через компонент 902 сетевого интерфейса.The update manager 906 may also embed or otherwise include a UE acknowledgment indicator in the control plane message (optional step 1016). The UE confirmation indicator may be turned on when the home network requires confirmation from the UE 110 that the UE configuration parameter update security check was successful. The update manager 906 may also embed or otherwise include a re-registration indicator in the control plane message (optional step 1016). The re-registration indicator may be turned on when the home network wants UE 110 to re-register with the network with updated UE configuration parameters. The update manager 906 then sends a control plane message to the AMF element 314 that contains the securely secure update of the UE configuration parameter (block 1018) and the UE confirmation indicator and/or re-registration indicator (if requested) via the network interface component 902.

Фиг. 11 представляет собой схему последовательности операций, иллюстрирующую способ 1100 выполнения процедуры обновления в элементе 314 AMF в иллюстративном варианте осуществления. Этапы способа 1100 будут описаны со ссылкой на элемент 314 AMF на фиг. 8, но специалисты в данной области техники поймут, что способ 1100 может выполняться в других сетевых элементах или устройствах.Fig. 11 is a flowchart illustrating a method 1100 for performing an update procedure in AMF element 314 in an exemplary embodiment. The steps of method 1100 will be described with reference to AMF element 314 in FIG. 8, but those skilled in the art will appreciate that method 1100 may be performed in other network elements or devices.

Менеджер 804 обновлений элемента 314 AMF принимает сообщение плоскости управления от элемента 312 UDM, которое содержит безопасно защищенное обновление параметра конфигурации UE (этап 1102) через компонент 802 сетевого интерфейса. Менеджер 804 обновлений вставляет безопасно защищенное обновление параметра конфигурации UE в контейнер сообщения NAS (этап 1104). Передача безопасно защищенного обновления параметра конфигурации UE рассматривается «прозрачной» для элемента 314 AMF. Таким образом, менеджер 804 обновлений запрограммирован для пересылки безопасно защищенного обновления параметра конфигурации UE без модификации или изменения обновления параметра конфигурации UE. Менеджер 804 обновлений может поэтому вставить безопасно защищенное обновление параметра конфигурации UE, принятое в сообщении плоскости управления от элемента 312 UDM, в «прозрачный» контейнер, который предназначен для обновления параметра конфигурации UE. Один из примеров такого прозрачного контейнера более подробно описан ниже.Update manager 804 of AMF element 314 receives a control plane message from UDM element 312 that contains a securely secure update of the UE configuration parameter (block 1102) via network interface component 802. The update manager 804 inserts the securely protected UE configuration parameter update into the NAS message container (block 1104). The transmission of a securely secure UE configuration parameter update is considered "transparent" to AMF element 314. Thus, the update manager 804 is programmed to send a securely protected update of the configuration parameter to the UE without modifying or changing the update of the configuration parameter of the UE. The update manager 804 may therefore insert the securely secure UE configuration parameter update received in the control plane message from UDM element 312 into a "transparent" container that is dedicated to updating the UE configuration parameter. One example of such a transparent container is described in more detail below.

Тип сообщения NAS, используемого элементом 314 AMF для транспортировки безопасно защищенного обновления параметра конфигурации UE, может зависеть от выполняемой процедуры NAS. Например, когда выполняется процедура регистрации NAS, сообщение NAS может содержать сообщение с подтверждением регистрации NAS. Когда выполняется процедура транспортировки NAS, сообщение NAS может содержать транспортное сообщение NAS DL. Затем менеджер 804 обновлений отправляет сообщение NAS на UE 110 (этап 1106) через компонент 802 сетевого интерфейса.The type of NAS message used by AMF element 314 to transport a securely protected update of a UE configuration parameter may depend on the NAS procedure being performed. For example, when the NAS registration procedure is performed, the NAS message may contain a NAS registration confirmation message. When the NAS transport procedure is performed, the NAS message may contain a DL NAS transport message. The update manager 804 then sends a NAS message to the UE 110 (step 1106) via the network interface component 802.

Фиг. 12 представляет собой схему последовательности операций, иллюстрирующую способ 1200 выполнения процедуры обновления в UE 110 в иллюстративном варианте осуществления. Этапы способа 1200 будут описаны со ссылкой на UE 110 на фиг. 6-7, но специалисты в данной области техники поймут, что способ 1200 может выполняться в других устройствах.Fig. 12 is a flowchart illustrating a method 1200 for performing an update procedure at UE 110 in an exemplary embodiment. The steps of method 1200 will be described with reference to UE 110 in FIG. 6-7, but those skilled in the art will appreciate that method 1200 may be performed in other devices.

UE 110 (например, через ME 702) принимает сообщение NAS от элемента 314 AMF (этап 1202). ME 702 или USIM 662 выполняет проверку безопасности, чтобы убедиться, что безопасно защищенное обновление параметра конфигурации UE, включенное в контейнер сообщения NAS, предоставляется домашней сетью (то есть HPLMN) для UE 110 (этап 1204). Например, ME 702 или USIM 662 может вычислить контрольную сумму, чтобы определить, совпадает ли принятое безопасно защищенное обновление параметра конфигурации UE с безопасно защищенным обновлением параметра конфигурации UE, отправленным элементом 312 UDM. Когда проверка безопасности не успешна, ME 702 или USIM 662 отбрасывает безопасно защищенное обновление параметра конфигурации UE (этап 1206). Когда проверка безопасности успешна, ME 702 или USIM 662 обновляет один или большее количество параметров 664 конфигурации UE, предоставленных в UE 110, на основе обновления параметра конфигурации UE (этап 1208). Как описано выше, обновление параметра конфигурации UE может быть инкапсулировано в защищенный пакет. В этом сценарии USIM 662 выполнен с возможностью декодирования или распаковки обновления параметра конфигурации UE из защищенного пакета с применением библиотеки защищенных пакетов. Затем USIM 662 обновляет один или большее количество из параметров 664 конфигурации UE локально для USIM 662 на основе обновления параметра конфигурации UE.UE 110 (eg, via ME 702) receives a NAS message from AMF element 314 (block 1202). The ME 702 or USIM 662 performs a security check to ensure that the securely secure UE configuration parameter update included in the NAS message container is provided by the home network (ie HPLMN) to the UE 110 (block 1204). For example, ME 702 or USIM 662 may compute a checksum to determine if the received securely secure UE configuration parameter update matches the securely secure UE configuration parameter update sent by UDM element 312. When the security check is not successful, the ME 702 or USIM 662 discards the securely secure UE configuration parameter update (block 1206). When the security check is successful, ME 702 or USIM 662 updates one or more UE configuration parameters 664 provided to UE 110 based on the UE configuration parameter update (block 1208). As described above, the UE configuration parameter update may be encapsulated in a secure packet. In this scenario, the USIM 662 is configured to decode or decompress the UE configuration parameter update from the secure package using the secure package library. The USIM 662 then updates one or more of the UE configuration parameters 664 locally to the USIM 662 based on the UE configuration parameter update.

Когда сообщение NAS содержит индикатор подтверждения UE, ME 702 или USIM 662 отправляет сообщение NAS элементу 314 AMF с контейнером, содержащим подтверждение UE (необязательный этап 1210). Передача подтверждения UE рассматривается «прозрачной» для элемента 314 AMF. Таким образом, ME 702 или USIM 662 запрограммированы для вставки подтверждения UE в «прозрачный» контейнер, который предназначен для подтверждения UE. Один из примеров такого прозрачного контейнера более подробно описан ниже.When the NAS message contains a UE acknowledgment indicator, ME 702 or USIM 662 sends a NAS message to AMF element 314 with a container containing the UE acknowledgment (optional step 1210). The transmission of the UE acknowledgment is considered "transparent" to AMF element 314. Thus, the ME 702 or USIM 662 is programmed to insert the UE acknowledgment into a "transparent" container that is intended for the UE acknowledgment. One example of such a transparent container is described in more detail below.

Тип сообщения NAS может зависеть от выполняемой процедуры NAS. Например, когда выполняется процедура регистрации NAS, сообщение NAS может содержать сообщение с подтверждением регистрации NAS или транспортное сообщение NAS UL. Когда выполняется процедура транспортировки NAS, сообщение NAS может содержать транспортное сообщение NAS UL.The type of NAS message may depend on the NAS procedure being executed. For example, when the NAS registration procedure is performed, the NAS message may contain a NAS registration confirmation message or a NAS UL transport message. When the NAS transport procedure is performed, the NAS message may contain a NAS UL transport message.

На фиг. 11, менеджер 804 обновлений элемента 314 AMF принимает сообщение NAS от UE 110 с контейнером, содержащим подтверждение UE (необязательный этап 1108), через компонент 802 сетевого интерфейса. Затем менеджер 804 обновлений отправляет сообщение плоскости управления элементу 312 UDM с подтверждением UE (необязательный этап 1110) через компонент 802 сетевого интерфейса. На фиг. 10, менеджер 906 обновлений элемента 312 UDM принимает сообщение плоскости управления с подтверждением UE от элемента 314 AMF (необязательный этап 1020) через компонент 902 сетевого интерфейса. Затем менеджер обновлений 906 проверяет, что подтверждение UE предоставлено посредством UE 110 (необязательный этап 1022).In FIG. 11, update manager 804 of AMF element 314 receives a NAS message from UE 110 with a container containing a UE acknowledgment (optional step 1108) via network interface component 802. The update manager 804 then sends a control plane message to the UDM element 312 with an acknowledgment to the UE (optional step 1110) via the network interface component 802. In FIG. 10, update manager 906 of UDM element 312 receives a UE acknowledgment control plane message from AMF element 314 (optional step 1020) via network interface component 902. The update manager 906 then checks that the UE acknowledgment has been provided by the UE 110 (optional step 1022).

На фиг. 12, когда сообщение NAS от элемента 314 AMF содержит индикатор повторной регистрации, UE 110 (например, через ME 702) инициирует процедуру регистрации NAS для повторной регистрации с использованием обновленных параметров конфигурации UE (необязательный этап 1212). После этого процедура обновления может завершиться.In FIG. 12, when the NAS message from AMF element 314 contains a re-registration indicator, UE 110 (eg, via ME 702) initiates a NAS registration procedure to re-register using the updated UE configuration parameters (optional step 1212). After that, the update procedure may be completed.

Ниже представлены примеры выполнения процедуры обновления в дополнительных вариантах осуществления.The following are examples of performing the update procedure in additional embodiments.

Пример 1: Процедура обновления во время регистрации с применением защищенного пакетаExample 1: Update procedure during registration using secure package

Фиг. 13 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 находится в режиме ожидания (например, RRC_ОЖИДАНИЕ). UE 110 инициирует процедуру регистрации NAS, отправляя запрос регистрации NAS элементу 314 AMF (S1). В ответ на запрос регистрации NAS (типа «начальный») элемент 314 AMF может инициировать процедуру аутентификации (S2) для аутентификации UE 110. Для процедуры аутентификации элемент 314 AMF может взаимодействовать с элементом 310 AUSF и элементом 312 UDM. Например, элемент 314 AMF может отправить аутентификационный запрос (то есть Nausf_UEAuthentication_Authenticate Request) элементу 310 AUSF. В ответ на прием аутентификационного запроса элемент 310 AUSF может отправить аутентификационный запрос (т.е. запрос Nudm_UEAuthentication_Get Request) элементу 312 UDM. Элемент 312 UDM содержит функции, связанные с функцией репозитория и обработки аутентификационных учетных данных (Authentication Credential Repository and Processing Function - ARPF), которая выбирает способ аутентификации и вычисляет аутентификационные данные и ключевые материалы (например, маркеры) для элемента 310 AUSF (при необходимости). Элемент 312 UDM может отправить аутентификационный ответ (то есть Nudm_UEAuthentication_Get Response) элементу 310 AUSF, который содержит аутентификационный вектор (authentication vector - AV) и другую информацию. Затем элемент 310 AUSF может отправить аутентификационный ответ (то есть Nuasf_UEAuthentication_Authenticate Response) элементу 314 AMF, который содержит AV и другую информацию. Элемент 314 AMF выполнен с возможностью выполнения процедуры аутентификации с помощью UE 110 с применением информации, предоставленной UDM/AUSF. Например, элемент 314 AMF может отправить аутентификационный запрос на UE 110 вместе с аутентификационным маркером от AV, и UE 110 пытается проверить аутентификационный маркер. В случае успеха UE 110 вычисляет ответный маркер и отправляет аутентификационный ответ с ответным маркером, который принимается элементом 314 AMF. Элемент 314 AMF может форматировать или генерировать другой аутентификационный запрос (то есть Nausf_UEAuthentication_Authenticate Request) и вставлять ответный маркер от UE 110 в аутентификационный запрос вместе с другой информацией. Затем элемент 314 AMF может отправить аутентификационный запрос элементу 310 AUSF. Элемент 310 AUSF может проверить, совпадает ли ответный маркер от UE 110 с ожидаемым ответным маркером, и отправить аутентификационный ответ (то есть Nausf_UEAuthentication_Authenticate Response) элементу 314 AMF, индицирующий успех/неудачу аутентификации.Fig. 13 is a message diagram illustrating an update procedure during registration in an exemplary embodiment. In this embodiment, UE 110 is in an idle mode (eg, RRC_IDLE). UE 110 initiates the NAS registration procedure by sending a NAS registration request to AMF element 314 (S1). In response to a NAS registration request (of type "initial"), AMF element 314 may initiate an authentication procedure (S2) to authenticate UE 110. For the authentication procedure, AMF element 314 may interact with AUSF element 310 and UDM element 312. For example, AMF element 314 may send an authentication request (ie, Nausf_UEAuthentication_Authenticate Request) to AUSF element 310. In response to receiving the authentication request, the AUSF element 310 may send an authentication request (ie, a Nudm_UEAuthentication_Get Request) to the UDM element 312. Element 312 UDM contains functions associated with the function of the repository and processing authentication credentials (Authentication Credential Repository and Processing Function - ARPF), which selects an authentication method and calculates authentication data and key materials (for example, tokens) for element 310 AUSF (if necessary) . UDM element 312 may send an authentication response (ie Nudm_UEAuthentication_Get Response) to AUSF element 310 that contains an authentication vector (AV) and other information. The AUSF element 310 may then send an authentication response (ie Nuasf_UEAuthentication_Authenticate Response) to the AMF element 314 which contains the AV and other information. The AMF element 314 is configured to perform an authentication procedure with the UE 110 using the information provided by the UDM/AUSF. For example, AMF element 314 may send an authentication request to UE 110 along with an authentication token from the AV, and UE 110 tries to verify the authentication token. If successful, UE 110 computes a response token and sends an authentication response with a response token, which is received by AMF element 314. AMF element 314 may format or generate another authentication request (ie, Nausf_UEAuthentication_Authenticate Request) and insert a response token from UE 110 into the authentication request along with other information. The AMF element 314 may then send an authentication request to the AUSF element 310. AUSF element 310 may check if the response token from UE 110 matches the expected response token and send an authentication response (ie, Nausf_UEAuthentication_Authenticate Response) to AMF element 314 indicating authentication success/failure.

После аутентификации, элемент 314 AMF может инициировать процедуру безопасности NAS, чтобы установить контекст безопасности NAS (S3). В рамках процедуры безопасности NAS элемент 314 AMF выбирает алгоритм безопасности NAS (или несколько алгоритмов) для шифрования и защиты целостности. Затем элемент 314 AMF отправляет сообщение с командой режима безопасности на UE 110, которое индицирует алгоритм(ы) безопасности NAS, ngKSI и другую информацию. UE 110 применяет ngKSI и алгоритм безопасности NAS для определения соответствующих ключей для защиты последующих сообщений NAS. Таким образом, между UE 110 и элементом 314 AMF устанавливается контекст безопасности NAS. Затем 110 UE отправляет сообщение о выполнении режима безопасности элементу 314 AMF.Upon authentication, AMF element 314 may initiate a NAS security procedure to establish a NAS security context (S3). As part of the NAS security procedure, AMF element 314 selects the NAS security algorithm (or multiple algorithms) for encryption and integrity protection. AMF element 314 then sends a security mode command message to UE 110 that indicates the NAS security algorithm(s), ngKSI, and other information. UE 110 uses ngKSI and the NAS security algorithm to determine the appropriate keys to secure subsequent NAS messages. Thus, a NAS security context is established between UE 110 and AMF element 314 . UE 110 then sends a security mode completion message to AMF element 314 .

В качестве дополнительной части процедуры регистрации NAS элемент 314 AMF отправляет запрос данных подписки (например, Nudm_SDM_Get message) элементу 312 UDM HPLMN, чтобы получить данные подписки на доступ и мобильность для UE 110, среди другой информации (S4). Когда информация о подписке пользователя индицирует инициирование обновления параметра конфигурации UE (например, обновление ID маршрутизации), элемент 312 UDM инициирует процедуру обновления. Элемент 312 UDM собирает обновление параметра конфигурации UE, которое содержит один или большее количество обновленных параметров конфигурации UE. Затем элемент 312 UDM применяет защиту безопасности к обновлению параметра конфигурации UE, обращаясь к библиотеке защищенных пакетов, чтобы инкапсулировать обновление параметра конфигурации UE в защищенный пакет. Пример защищенных пакетов и структуры защищенных пакетов раскрыт в 3GPP TS 131.115 (v.9.0.0), который включен посредством ссылки, как если бы он был полностью включен в данный документ. Затем элемент 312 UDM отправляет ответ данных подписки (например, Nudm_SDM_Get response) элементу 314 AMF (S5), который содержит защищенный пакет. Элемент 312 UDM также может содержать индикатор подтверждения UE и/или индикатор повторной регистрации в ответе данных подписки.As an additional part of the NAS registration procedure, AMF element 314 sends a subscription data request (eg, Nudm_SDM_Get message) to HPLMN UDM element 312 to obtain access and mobility subscription data for UE 110, among other information (S4). When the user's subscription information indicates the initiation of a UE configuration parameter update (eg, a routing ID update), the UDM element 312 initiates an update procedure. UDM element 312 collects a UE configuration parameter update that contains one or more updated UE configuration parameters. UDM element 312 then applies security protection to the UE configuration parameter update by referring to the secure package library to encapsulate the UE configuration parameter update in a secure package. An example of secure packets and the structure of secure packets is disclosed in 3GPP TS 131.115 (v.9.0.0), which is incorporated by reference as if it were incorporated herein in its entirety. UDM element 312 then sends a subscription data response (eg, Nudm_SDM_Get response) to AMF element 314 (S5) that contains the secure packet. UDM element 312 may also include a UE confirmation indicator and/or a re-registration indicator in the subscription data response.

В качестве еще одной части процедуры регистрации элемент 314 AMF может также отправить сообщение подписки (например, Nudm_SDM_Subscribe) элементу 312 UDM, чтобы подписаться на уведомление об изменениях для параметров конфигурации UE (не показано на фиг. 13).As another part of the registration procedure, AMF element 314 may also send a subscribe message (eg, Nudm_SDM_Subscribe) to UDM element 312 to subscribe to a change notification for UE configuration parameters (not shown in FIG. 13).

Элемент 314 AMF выполнен с возможностью прозрачной отправки защищенного пакета на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует сообщение с подтверждением регистрации NAS и вставляет защищенный пакет в контейнер сообщения с подтверждением регистрации NAS. Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или индикатор повторной регистрации (если применимо) в контейнер сообщения с подтверждением регистрации NAS. Затем элемент 314 AMF отправляет сообщение с подтверждением регистрации NAS на UE 110 (S6).The AMF element 314 is configured to transparently send a secure packet to UE 110 as part of the update procedure. Thus, the AMF element 314 formats or generates the NAS Registration Confirmation message and inserts the secure packet into the container of the NAS Registration Confirmation message. AMF element 314 may also insert a UE acknowledgment indicator and/or a re-registration indicator (if applicable) into the container of the NAS registration acknowledgment message. Then, AMF element 314 sends a NAS registration confirmation message to UE 110 (S6).

В этом варианте осуществления контейнер сообщения с подтверждением регистрации NAS предназначен для обновления параметра конфигурации UE. Таблица 1 иллюстрирует пример содержимого сообщения для сообщения с подтверждением регистрации NAS.In this embodiment, the NAS registration confirmation message container is for updating the configuration parameter of the UE. Table 1 illustrates an example message content for a NAS registration confirmation message.

Таблица 1:Table 1:

IEIIEI Информационный элементInformation element Тип/СсылкаType/Reference ПрисутствиеPresence ФорматFormat ДлинаLength Дискриминатор расширенного протоколаExtended protocol discriminator Дискриминатор расширенного протоколаExtended protocol discriminator MM VV 1one Тип заголовка безопасностиSecurity header type Тип заголовка безопасностиSecurity header type MM VV 1/21/2 Резервный полуоктетReserved semi-octet Резервный полуоктетReserved semi-octet MM VV 1/21/2 Идентификация сообщения с подтверждением регистрацииRegistration confirmation message identification Тип сообщенияMessage type MM VV 1one xxxx Контейнер обновления параметра конфигурации UEUE Configuration Parameter Update Container Контейнер обновления параметра конфигурации UEUE Configuration Parameter Update Container OO TLV-ETLV-E 20-204820-2048

В этом примере сообщение с подтверждением регистрации NAS содержит вновь определенный информационный элемент (IE) контейнера обновления параметра конфигурации UE. Дополнительное описание протокола NAS можно найти в 3GPP TS 24.301 (v15.4.0), который полностью включен в данный документ посредством ссылки. Таблица 2 является примером IE контейнера обновления параметра конфигурации UE. Этот контейнер считается прозрачным, поскольку элемент 314 AMF вставляет защищенный пакет в контейнер без изменения защищенного пакета.In this example, the NAS registration confirmation message contains a newly defined information element (IE) of the UE configuration parameter update container. Additional description of the NAS protocol can be found in 3GPP TS 24.301 (v15.4.0), which is incorporated herein by reference in its entirety. Table 2 is an example of a UE configuration parameter update container IE. This container is considered transparent because the AMF element 314 inserts the secure package into the container without modifying the secure package.

Таблица 2:Table 2:

8 7 6 5 4 3 2 18 7 6 5 4 3 2 1 IEI контейнера обновления параметра конфигурации UEUE Configuration Parameter Update Container IEI октет 1octet 1 Длина содержимого контейнера обновления параметра конфигурации UEUE Configuration Parameter Update Container Content Length октет 2 октет 3octet 2 octet 3 Заголовок обновления параметра конфигурации UEUE configuration parameter update header октет 4octet 4 Защищенный пакет [обновление параметра конфигурации UE]Secure Packet [UE Configuration Parameter Update] октет 5-2048*octet 5-2048*

Таблица 3 иллюстрирует пример заголовка обновления параметра конфигурации UE для IE контейнера обновления параметра конфигурации UE.Table 3 illustrates an example of a UE configuration setting update header for a UE configuration setting update container IE.

Таблица 3:Table 3:

Figure 00000001
Figure 00000001

В заголовке бит RRR может использоваться как индикатор повторной регистрации. Бит ACK UE может использоваться как индикатор подтверждения UE. Бит типа данных может использоваться, чтобы индицировать, используется ли контейнер в сообщении NAS, отправляемом из сети на UE (например, значение = 0), или в сообщении NAS, отправляемом от UE в сеть (например, значение = 1).In the header, the RRR bit may be used as a re-registration indicator. The UE ACK bit may be used as a UE acknowledgment indicator. The data type bit may be used to indicate whether the container is used in a NAS message sent from the network to the UE (eg, value = 0) or in a NAS message sent from the UE to the network (eg, value = 1).

При приеме сообщения с подтверждением регистрации NAS, ME 702 может вести себя так, как если бы принято сообщение SMS с идентификатором протокола, установленным на «загрузка данных SIM», схемой кодирования данных, установленной на «сообщение класса 2», и полезными данными SMS в качестве защищенного пакета. ME 702 маршрутизирует или загружает защищенный пакет в USIM 662 (S7). USIM 662 выполняет проверку безопасности, чтобы убедиться, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, USIM 662 отбрасывает обновление параметра конфигурации UE и продолжает процедуру регистрации. Если проверка безопасности прошла успешно, USIM 662 распаковывает обновление параметра конфигурации UE из защищенного пакета, используя библиотеку защищенных пакетов. После проверки целостности защищенного пакета/защиты от повтора USIM 662 обновляет один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE.When receiving a NAS registration confirmation message, the ME 702 may behave as if an SMS message is received with the protocol identifier set to "download SIM data", the data encoding scheme set to "message class 2", and the SMS payload in as a secure package. ME 702 routes or downloads the secure packet to USIM 662 (S7). The USIM 662 performs a security check to verify that the secure packet was sent by the UDM element 312 of the home network. If the security check is not successful, the USIM 662 discards the UE configuration parameter update and continues with the registration procedure. If the security check is successful, the USIM 662 unpacks the UE configuration parameter update from the secure package using the secure package library. After checking the integrity of the secure packet/replay protection, the USIM 662 updates one or more of the UE configuration parameters 664 based on the update of the UE configuration parameter.

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, USIM 662 может отправить подтверждение UE на ME 702 (S8). ME 702 форматирует или генерирует другое сообщение NAS для передачи подтверждения UE элементу 314 AMF. В примере, показанном на фиг. 13, ME 702 форматирует сообщение о выполнении регистрации NAS и вставляет подтверждение UE в контейнер сообщения о выполнении регистрации NAS. Контейнер сообщения о выполнении регистрации NAS предназначен для подтверждения UE. Таблица 4 иллюстрирует пример содержимого сообщения для сообщения о выполнении регистрации NAS.If the network has requested an acknowledgment from UE 110 and the security check is successful, USIM 662 may send a acknowledgment to the UE to ME 702 (S8). ME 702 formats or generates another NAS message to send a UE acknowledgment to AMF element 314 . In the example shown in FIG. 13, the ME 702 formats the NAS registration progress message and inserts the UE confirmation into the NAS registration progress message container. The NAS registration progress message container is for acknowledgment by the UE. Table 4 illustrates an example message content for a NAS registration progress message.

Таблица 4:Table 4:

IEIIEI Информационный элементInformation element Тип/СсылкаType/Reference ПрисутствиеPresence ФорматFormat ДлинаLength Дискриминатор расширенного протоколаExtended protocol discriminator Дискриминатор расширенного протоколаExtended protocol discriminator MM VV 1one Тип заголовка безопасностиSecurity header type Тип заголовка безопасностиSecurity header type MM VV 1/21/2 Резервный полуоктетReserved semi-octet Резервный полуоктетReserved semi-octet MM VV 1/21/2 Идентификация сообщения с подтверждением регистрацииRegistration confirmation message identification Тип сообщенияMessage type MM VV 1one xxxx Контейнер подтверждения UEUE Acknowledgment Container Контейнер подтверждения UEUE Acknowledgment Container OO TLV-ETLV-E 20-204820-2048

В этом примере сообщение о выполнении регистрации NAS содержит вновь определенный IE контейнера подтверждения UE. Таблица 5 является примером IE контейнера подтверждения UE.In this example, the NAS registration progress message contains a newly defined UE confirmation container IE. Table 5 is an example of a UE acknowledgment container IE.

Таблица 5:Table 5:

8 7 6 5 4 3 2 18 7 6 5 4 3 2 1 IEI контейнера подтверждения UEUE Acknowledgment Container IEI октет 1octet 1 Длина содержимого контейнера подтверждения UEUE Acknowledgment Container Content Length октет 2 октет 3octet 2 octet 3 Заголовок подтверждения UEUE Acknowledgment Header октет 4octet 4 Подтверждение UEUE confirmation октет 5-20octet 5-20

Таблица 6 иллюстрирует пример заголовка подтверждения UE.Table 6 illustrates an example UE acknowledgment header.

Таблица 6:Table 6:

Figure 00000002
Figure 00000002

В другом примере USIM 662 может применять защиту безопасности к подтверждению UE путем доступа к библиотеке защищенных пакетов, чтобы инкапсулировать подтверждение UE в защищенный пакет. Поэтому ME 702 может вставить защищенный пакет в IE контейнера подтверждения UE.In another example, USIM 662 may apply security protection to the UE's assertion by accessing a secure packet library to encapsulate the UE's assertion in a secure packet. Therefore, the ME 702 may insert the secure packet into the UE's acknowledgment container IE.

Затем ME 702 отправляет сообщение о выполнении регистрации NAS элементу 314 AMF с контейнером, содержащим подтверждение UE (S9). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с подтверждением UE (S10). Затем элемент 312 UDM может проверить, что подтверждение UE предоставлено посредством UE 110.The ME 702 then sends a NAS registration done message to the AMF element 314 with a container containing the UE confirmation (S9). The AMF element 314 sends an information message (eg, Nudm_SDM_Info message) to the UDM element 312 with an acknowledgment to the UE (S10). UDM element 312 may then check that the UE acknowledgment has been provided by UE 110.

В альтернативном варианте, показанном на фиг. 13, ME 702 может использовать другой тип сообщения NAS для отправки подтверждения UE элементу 314 AMF. В этой альтернативе ME 702 форматирует транспортное сообщение NAS UL и вставляет подтверждение UE в контейнер транспортного сообщения NAS UL. Значение типа контейнера полезных данных может быть предназначено для подтверждения UE в IE контейнера полезных данных транспортного сообщения NAS UL. Затем ME 702 отправляет транспортное сообщение NAS UL элементу 314 AMF с контейнером, содержащим подтверждение UE (S9a). Элемент 314 AMF в свою очередь отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с подтверждением UE (S10a).In an alternative embodiment, shown in FIG. 13, ME 702 may use another type of NAS message to send a UE acknowledgment to AMF element 314. In this alternative, the ME 702 formats the NAS UL transport message and inserts the UE acknowledgment into the NAS UL transport message container. The value of the payload container type may be for acknowledging the UE in the payload container IE of the NAS UL transport message. The ME 702 then sends the NAS UL transport message to the AMF element 314 with a container containing the UE acknowledgment (S9a). The AMF element 314 in turn sends an information message (eg, Nudm_SDM_Info message) to the UDM element 312 with a UE confirmation (S10a).

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS (S11) с использованием обновленных параметров конфигурации UE.If the network has indicated that UE 110 needs re-registration and the security check is successful, then UE 110 de-registers and re-initiates a new NAS registration procedure (S11) using the updated UE configuration parameters.

Пример 2: Процедура обновления после регистрации с применением защищенного пакетаExample 2: Post-registration update procedure using secure package

Фиг. 14 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 уже зарегистрировано в сети и находится в подсоединенном режиме (то есть RRC-ПОДСОЕДИНЕНО). В какой-то момент после регистрации элемент 312 UDM может принять инструкцию или обработать локальные политики, чтобы определить, что параметры конфигурации UE в UE 110 необходимо обновить. Таким образом, элемент 312 UDM инициирует процедуру обновления и собирает обновление параметра конфигурации UE. Затем элемент 312 UDM применяет защиту безопасности к обновлению параметра конфигурации UE, обращаясь к библиотеке защищенных пакетов, чтобы инкапсулировать обновление параметра конфигурации UE в защищенный пакет. Затем элемент 312 UDM отправляет уведомление об обновлении (например, Nudm_SDM_UpdateNotification) элементу 314 AMF (S1), которое содержит защищенный пакет. Элемент 312 UDM также может содержать индикатор подтверждения UE и/или индикатор повторной регистрации в уведомлении об обновлении.Fig. 14 is a message diagram illustrating an update procedure after registration in an exemplary embodiment. In this embodiment, UE 110 is already registered with the network and is in connected mode (ie, RRC-CONNECTED). At some point after registration, UDM element 312 may receive an instruction or process local policies to determine that the UE configuration settings at UE 110 need to be updated. Thus, the UDM element 312 initiates the update procedure and collects the UE configuration parameter update. UDM element 312 then applies security protection to the UE configuration parameter update by referring to the secure package library to encapsulate the UE configuration parameter update in a secure package. UDM element 312 then sends an update notification (eg, Nudm_SDM_UpdateNotification) to AMF (S1) element 314 that contains the secure packet. UDM element 312 may also include a UE confirmation indicator and/or a re-registration indicator in the update notification.

Элемент 314 AMF выполнен с возможностью прозрачной отправки защищенного пакета на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует транспортное сообщение NAS нисходящей линии связи (DL) и вставляет защищенный пакет в контейнер транспортного сообщения NAS DL. Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или индикатор повторной регистрации (если применимо) в контейнер транспортного сообщения NAS DL. В этом варианте осуществления контейнер транспортного сообщения NAS DL предназначен для обновления параметра конфигурации UE. Элемент 314 AMF может установить IE типа контейнера полезных данных в «контейнер параметров конфигурации UE» и установить IE контейнера полезных данных в защищенный пакет. Затем элемент 314 AMF отправляет транспортное сообщение NAS DL на UE 110 (S2).The AMF element 314 is configured to transparently send a secure packet to UE 110 as part of the update procedure. Thus, AMF element 314 formats or generates a downlink (DL) NAS transport message and inserts a secure packet into a DL NAS transport message container. AMF element 314 may also insert a UE acknowledgment indicator and/or a re-registration indicator (if applicable) into the NAS DL transport message container. In this embodiment, the NAS DL transport message container is for updating the configuration parameter of the UE. The AMF element 314 may set the payload container type IE to the "UE Configuration Settings Container" and set the payload container IE to the secure packet. Then, AMF element 314 sends a NAS DL transport message to UE 110 (S2).

При приеме транспортного сообщения NAS DL, ME 702 может вести себя так, как если бы принято сообщение SMS с идентификатором протокола, установленным на «загрузка данных SIM», схемой кодирования данных, установленной на «сообщение класса 2», и полезными данными SMS в качестве защищенного пакета. ME 702 маршрутизирует или загружает защищенный пакет в USIM 662 (S3). USIM 662 выполняет проверку безопасности, чтобы убедиться, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, USIM 662 отбрасывает обновление параметра конфигурации UE. Если проверка безопасности прошла успешно, USIM 662 распаковывает обновление параметра конфигурации UE из защищенного пакета, используя библиотеку защищенных пакетов. После проверки целостности защищенного пакета/защиты от повтора USIM 662 обновляет один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE.When receiving a NAS DL transport message, the ME 702 may behave as if an SMS message is received with the protocol identifier set to "download SIM data", the data encoding scheme set to "message class 2", and the SMS payload as protected package. ME 702 routes or downloads the secure packet to USIM 662 (S3). The USIM 662 performs a security check to verify that the secure packet was sent by the UDM element 312 of the home network. If the security check is not successful, the USIM 662 discards the UE configuration parameter update. If the security check is successful, the USIM 662 unpacks the UE configuration parameter update from the secure package using the secure package library. After checking the integrity of the secure packet/replay protection, the USIM 662 updates one or more of the UE configuration parameters 664 based on the update of the UE configuration parameter.

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, USIM 662 может отправить подтверждение UE на ME 702 (S4). ME 702 форматирует или генерирует транспортное сообщение NAS UL и вставляет подтверждение UE в контейнер транспортного сообщения NAS UL. Контейнер транспортного сообщения NAS UL предназначен для подтверждения UE. Затем ME 702 отправляет транспортное сообщение NAS UL элементу 314 AMF с контейнером, содержащим подтверждение UE (S5). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с подтверждением UE (S6). Затем элемент 312 UDM может проверить, что подтверждение UE предоставлено посредством UE 110.If the network has requested an acknowledgment from UE 110 and the security check is successful, USIM 662 may send a UE acknowledgment to ME 702 (S4). The ME 702 formats or generates the NAS UL transport message and inserts the UE acknowledgment into the NAS UL transport message container. The NAS UL transport message container is for acknowledgment by the UE. The ME 702 then sends the NAS UL transport message to the AMF element 314 with a container containing the UE acknowledgment (S5). The AMF element 314 sends an information message (eg, Nudm_SDM_Info message) to the UDM element 312 with an acknowledgment to the UE (S6). UDM element 312 may then check that the UE acknowledgment has been provided by UE 110.

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS с использованием обновленных параметров конфигурации UE (не показано).If the network has indicated that UE 110 needs re-registration and the security check is successful, then UE 110 de-registers and re-initiates a new NAS registration procedure using the updated UE configuration parameters (not shown).

Пример 3: Процедура обновления во время регистрации с применением ключа безопасностиExample 3: Update procedure during registration using a security key

Фиг. 15 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 инициирует процедуру регистрации NAS, отправляя запрос регистрации NAS элементу 314 AMF (S1). В ответ на запрос регистрации NAS (типа «начальный») элемент 314 AMF может инициировать процедуру аутентификации (S2) для аутентификации UE 110. Когда UE 110 аутентифицируется в сети, элемент 314 AMF может инициировать процедуру безопасности NAS, чтобы установить контекст безопасности NAS (S3). Когда UE 110 аутентифицировано и установлен контекст безопасности NAS, элемент 314 AMF отправляет запрос данных подписки (например, Nudm_SDM_Get message) элементу 312 UDM HPLMN, чтобы получить данные подписки на доступ и мобильность для UE 110, среди другой информации (S4). Когда информация о подписке пользователя индицирует инициирование обновления параметра конфигурации UE (например, обновление ID маршрутизации), элемент 312 UDM инициирует процедуру обновления. Элемент 312 UDM собирает обновление параметра конфигурации UE и применяет защиту целостности к обновлению параметра конфигурации UE, используя контекст безопасности NAS для UE 110. Для этого элемент 312 UDM отправляет запрос защиты (например, Nausf_ParameterProtectionRequest) элементу 310 AUSF с обновлением параметра конфигурации UE (S5). Элемент 310 AUSF идентифицирует счетчик NAS (составленный из порядкового номера NAS) и вычисляет информацию защиты целостности на основе контекста безопасности NAS для UE 110, такого как код аутентификации сообщения (Message Authentication Code - MAC) AUSF для обновления параметра конфигурации UE и счетчика NAS. Элемент 310 AUSF также может вычислять ожидаемый MAC от UE 110 (X-UE-MAC). Затем элемент 310 AUSF отправляет ответ о защите (например, Nausf_ParameterProtectionResponse) с информацией о защите целостности (то есть AUSF-MAC, счетчик NAS и X-UE-MAC) элементу 312 UDM (S6). Затем элемент 312 UDM отправляет ответ данных подписки (например, Nudm_SDM_Get response) элементу 314 AMF (S7), который содержит обновление параметра конфигурации UE и информацию о защите целостности (то есть, AUSF-MAC и счетчик NAS). Элемент 312 UDM также может содержать индикатор подтверждения UE и/или индикатор повторной регистрации в ответе данных подписки.Fig. 15 is a message diagram illustrating an update procedure during registration in an exemplary embodiment. In this embodiment, UE 110 initiates a NAS registration procedure by sending a NAS registration request to AMF element 314 (S1). In response to a NAS registration request (of type "initial"), AMF element 314 may initiate an authentication procedure (S2) to authenticate UE 110. When UE 110 authenticates to the network, AMF element 314 may initiate a NAS security procedure to establish a NAS security context (S3 ). When UE 110 is authenticated and a NAS security context is established, AMF element 314 sends a subscription data request (eg, Nudm_SDM_Get message) to HPLMN UDM element 312 to obtain access and mobility subscription data for UE 110, among other information (S4). When the user's subscription information indicates the initiation of a UE configuration parameter update (eg, a routing ID update), the UDM element 312 initiates an update procedure. UDM element 312 collects the UE configuration parameter update and applies integrity protection to the UE configuration parameter update using the NAS security context for UE 110. To do this, UDM element 312 sends a protection request (e.g., Nausf_ParameterProtectionRequest) to AUSF element 310 with update UE configuration parameter (S5) . The AUSF element 310 identifies the NAS counter (composed of the NAS sequence number) and calculates integrity protection information based on the NAS security context for the UE 110, such as the AUSF Message Authentication Code (MAC) to update the UE configuration parameter and the NAS counter. AUSF element 310 may also calculate an expected MAC from UE 110 (X-UE-MAC). AUSF element 310 then sends a protection response (eg, Nausf_ParameterProtectionResponse) with integrity protection information (ie, AUSF-MAC, NAS counter, and X-UE-MAC) to UDM element 312 (S6). UDM element 312 then sends a subscription data response (eg, Nudm_SDM_Get response) to AMF element 314 (S7), which contains the UE configuration parameter update and integrity protection information (i.e., AUSF-MAC and NAS counter). UDM element 312 may also include a UE confirmation indicator and/or a re-registration indicator in the subscription data response.

Элемент 314 AMF выполнен с возможностью прозрачной отправки обновления параметра конфигурации UE на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует сообщение с подтверждением регистрации NAS и вставляет обновление параметра конфигурации UE в контейнер сообщения с подтверждением регистрации NAS вместе с информацией о защите целостности (например, AUSF-MAC и счетчиком NAS). Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или индикатор повторной регистрации (если применимо) в контейнер сообщения с подтверждением регистрации NAS. Затем элемент 314 AMF отправляет сообщение с подтверждением регистрации NAS на UE 110 (S8).The AMF element 314 is configured to transparently send a UE configuration parameter update to the UE 110 as part of the update procedure. Thus, the AMF element 314 formats or generates the NAS Registration Confirm message and inserts the UE configuration parameter update into the NAS Registration Confirm message container along with integrity protection information (eg, AUSF-MAC and NAS counter). AMF element 314 may also insert a UE acknowledgment indicator and/or a re-registration indicator (if applicable) into the container of the NAS registration acknowledgment message. Then, AMF element 314 sends a NAS registration confirmation message to UE 110 (S8).

В этом примере сообщение с подтверждением регистрации NAS содержит вновь определенный IE контейнера обновления параметра конфигурации UE. Таблица 7 является примером IE контейнера обновления параметра конфигурации UE.In this example, the NAS registration confirmation message contains a newly defined UE configuration parameter update container IE. Table 7 is an example of a UE configuration parameter update container IE.

Таблица 7:Table 7:

8 7 6 5 4 3 2 18 7 6 5 4 3 2 1 IEI контейнера обновления параметра конфигурации UEUE Configuration Parameter Update Container IEI октет 1octet 1 Длина содержимого контейнера обновления параметра конфигурации UEUE Configuration Parameter Update Container Content Length октет 2 октет 3octet 2 octet 3 Заголовок обновления параметра конфигурации UEUE configuration parameter update header октет 4octet 4 AUSF-MACAUSF-MAC октет 5-20octet 5-20 счетчик NASNAS counter октет 21-22octet 21-22 обновление параметра конфигурации UEUE configuration parameter update октет 23*-2048*octet 23*-2048*


Этот контейнер считается прозрачным, поскольку элемент 314 AMF вставляет обновление параметра конфигурации UE в контейнер без изменения обновления параметра конфигурации UE. Как описано в Примере 1, бит ACK UE заголовка обновления параметра конфигурации UE может использоваться для индикации того, что сеть запросила подтверждение от UE, а бит RRR может использоваться для индикации того, что сеть запросила повторную регистрацию.
This container is considered transparent because the AMF element 314 inserts the UE configuration parameter update into the container without changing the UE configuration parameter update. As described in Example 1, the UE ACK bit of the UE Configuration Parameter Update header may be used to indicate that the network has requested an acknowledgment from the UE, and the RRR bit may be used to indicate that the network has requested re-registration.

В ответ на прием сообщения с подтверждением регистрации NAS, ME 702 UE 110 выполняет проверку безопасности, чтобы проверить, что обновление параметра конфигурации UE было отправлено элементом 312 UDM домашней сети. Например, ME 702 вычисляет UE-MAC для обновления параметра конфигурации UE и счетчика NAS и сравнивает UE-MAC с AUSF-MAC. Если указанные MAC совпадают, то проверяется, что обновление параметра конфигурации UE будет из домашней сети, и проверка безопасности успешна. Если проверка безопасности не успешна, ME 702 отбрасывает обновление параметра конфигурации UE и продолжает процедуру регистрации. Если проверка безопасности успешна, то ME 702 и/или USIM 662 обновляют один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE.In response to receiving the NAS registration confirmation message, the ME 702 of the UE 110 performs a security check to verify that the UE configuration parameter update has been sent by the home network UDM element 312 . For example, ME 702 calculates the UE-MAC to update the UE configuration parameter and the NAS counter and compares the UE-MAC with the AUSF-MAC. If the indicated MACs match, then it is checked that the UE configuration parameter update will be from the home network, and the security check is successful. If the security check is not successful, the ME 702 discards the UE configuration parameter update and continues with the registration procedure. If the security check is successful, then the ME 702 and/or USIM 662 update one or more of the UE configuration parameters 664 based on the UE configuration parameter update.

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, то ME 702 форматирует сообщение о выполнении регистрации NAS и вставляет UE-MAC в контейнер сообщения о выполнении регистрации NAS. Контейнер сообщения о выполнении регистрации NAS предназначен для подтверждения UE. В этом примере сообщение о выполнении регистрации NAS содержит вновь определенный IE контейнера подтверждения UE. Таблица 8 является примером IE контейнера подтверждения UE.If the network has requested confirmation from the UE 110 and the security check is successful, then the ME 702 formats the NAS registration done message and inserts the UE-MAC into the NAS registration done message container. The NAS registration progress message container is for acknowledgment by the UE. In this example, the NAS registration progress message contains a newly defined UE confirmation container IE. Table 8 is an example of a UE acknowledgment container IE.

Таблица 8:Table 8:

8 7 6 5 4 3 2 18 7 6 5 4 3 2 1 IEI контейнера обновления параметра конфигурации UEUE Configuration Parameter Update Container IEI октет 1octet 1 Длина содержимого контейнера обновления параметра конфигурации UEUE Configuration Parameter Update Container Content Length октет 2 октет 3octet 2 octet 3 Заголовок обновления параметра конфигурации UEUE configuration parameter update header октет 4octet 4 UE-MACUE MAC октет 5-20octet 5-20


Затем ME 702 отправляет сообщение о выполнении регистрации NAS элементу 314 AMF с контейнером, содержащим UE-MAC (S9). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с UE-MAC (S10). Элемент 312 UDM может затем сравнить UE-MAC, вычисленный посредством UE 110, с X-UE-MAC, вычисленный посредством элемента 310 AUSF, чтобы проверить, что подтверждение UE предоставлено посредством UE 110.
The ME 702 then sends a NAS registration done message to the AMF element 314 with the container containing the UE-MAC (S9). The AMF element 314 sends an information message (eg, Nudm_SDM_Info message) to the UDM element 312 with the UE-MAC (S10). UDM element 312 may then compare the UE-MAC calculated by UE 110 with the X-UE-MAC calculated by AUSF element 310 to verify that the UE acknowledgment has been provided by UE 110.

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS с использованием обновленных параметров конфигурации UE (не показано).If the network has indicated that UE 110 needs re-registration and the security check is successful, then UE 110 de-registers and re-initiates a new NAS registration procedure using the updated UE configuration parameters (not shown).

Пример 4: Процедура обновления после регистрации с применением ключа безопасностиExample 4: Update procedure after registration using a security key

Фиг. 16 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 уже зарегистрировано в сети и находится в подсоединенном режиме. В какой-то момент после регистрации элемент 312 UDM может принять инструкцию или обработать локальные политики, чтобы определить, что параметры конфигурации UE в UE 110 необходимо обновить. Таким образом, элемент 312 UDM инициирует процедуру обновления и собирает обновление параметра конфигурации UE. Элемент 312 UDM также применяет защиту целостности к обновлению параметра конфигурации UE, используя контекст безопасности NAS для UE 110. Для этого элемент 312 UDM отправляет запрос защиты (например, Nausf_ParameterProtectionRequest) элементу 310 AUSF с обновлением параметра конфигурации UE (S1). Элемент 310 AUSF идентифицирует счетчик NAS и вычисляет информацию защиты целостности на основе контекста безопасности NAS для UE 110, такого как AUSF-MAC для обновления параметра конфигурации UE и счетчика NAS. Элемент 310 AUSF также может вычислять ожидаемый MAC от UE 110 (X-UE-MAC). Затем элемент 310 AUSF отправляет ответ о защите (например, Nausf_ParameterProtectionResponse) с информацией о защите целостности (то есть AUSF-MAC, счетчик NAS и X-UE-MAC) элементу 312 UDM (S2). Затем элемент 312 UDM отправляет уведомление об обновлении (например, Nudm_SDM_UpdateNotification) элементу 314 AMF (S3), который содержит обновление параметра конфигурации UE и информацию о защите целостности (то есть, AUSF-MAC и счетчик NAS). Элемент 312 UDM также может содержать индикатор подтверждения UE и/или индикатор повторной регистрации в уведомлении об обновлении.Fig. 16 is a message diagram illustrating the update procedure after registration in the exemplary embodiment. In this embodiment, UE 110 is already registered with the network and is in connected mode. At some point after registration, UDM element 312 may receive an instruction or process local policies to determine that the UE configuration settings at UE 110 need to be updated. Thus, the UDM element 312 initiates the update procedure and collects the UE configuration parameter update. UDM element 312 also applies integrity protection to the UE configuration parameter update using the NAS security context for UE 110. To do this, UDM element 312 sends a protection request (eg, Nausf_ParameterProtectionRequest) to AUSF element 310 with the UE configuration parameter update (S1). The AUSF element 310 identifies the NAS counter and calculates integrity protection information based on the NAS security context for the UE 110, such as AUSF-MAC to update the UE configuration parameter and the NAS counter. AUSF element 310 may also calculate an expected MAC from UE 110 (X-UE-MAC). AUSF element 310 then sends a protection response (eg, Nausf_ParameterProtectionResponse) with integrity protection information (ie, AUSF-MAC, NAS counter, and X-UE-MAC) to UDM element 312 (S2). UDM element 312 then sends an update notification (eg, Nudm_SDM_UpdateNotification) to AMF (S3) element 314, which contains the UE configuration parameter update and integrity protection information (ie, AUSF-MAC and NAS counter). UDM element 312 may also include a UE confirmation indicator and/or a re-registration indicator in the update notification.

Элемент 314 AMF выполнен с возможностью прозрачной отправки обновления параметра конфигурации UE на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует транспортное сообщение NAS DL и вставляет обновление параметра конфигурации UE в контейнер транспортного сообщения NAS DL вместе с информацией о целостности (например, AUSF-MAC и счетчиком NAS). Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или индикатор повторной регистрации (если применимо) в контейнер транспортного сообщения NAS DL. В этом варианте осуществления контейнер транспортного сообщения NAS DL предназначен для обновления параметра конфигурации UE. Затем элемент 314 AMF отправляет транспортное сообщение NAS DL на UE 110 (S4).The AMF element 314 is configured to transparently send a UE configuration parameter update to the UE 110 as part of the update procedure. Thus, AMF element 314 formats or generates the NAS DL transport message and inserts the UE configuration parameter update into the NAS DL transport message container along with integrity information (eg, AUSF-MAC and NAS counter). AMF element 314 may also insert a UE acknowledgment indicator and/or a re-registration indicator (if applicable) into the NAS DL transport message container. In this embodiment, the NAS DL transport message container is for updating the configuration parameter of the UE. Then, AMF element 314 sends a NAS DL transport message to UE 110 (S4).

В ответ на прием транспортного сообщения NAS DL, ME 702 UE 110 выполняет проверку безопасности, чтобы проверить, что обновление параметра конфигурации UE было отправлено элементом 312 UDM домашней сети. Если проверка безопасности не успешна, ME 702 отбрасывает обновление параметра конфигурации UE. Если проверка безопасности успешна, то ME 702 и/или USIM 662 обновляют один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE.In response to receiving the NAS DL transport message, the UE 110 ME 702 performs a security check to verify that the UE configuration parameter update has been sent by the home network UDM element 312 . If the security check is not successful, the ME 702 discards the UE configuration parameter update. If the security check is successful, then the ME 702 and/or USIM 662 update one or more of the UE configuration parameters 664 based on the UE configuration parameter update.

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, то ME 702 форматирует транспортное сообщение NAS UL и вставляет UE-MAC в контейнер транспортного сообщения NAS UL. Контейнер транспортного сообщения NAS UL предназначен для подтверждения UE. Затем ME 702 отправляет транспортное сообщение NAS UL элементу 314 AMF с контейнером, содержащим UE-MAC (S5). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с UE-MAC (S6). Элемент 312 UDM может затем сравнить UE-MAC, вычисленный посредством UE 110, с X-UE-MAC, вычисленный посредством элемента 310 AUSF, чтобы проверить, что подтверждение UE предоставлено посредством UE 110.If the network has requested confirmation from UE 110 and the security check is successful, then ME 702 formats the NAS UL transport message and inserts the UE-MAC into the NAS UL transport message container. The NAS UL transport message container is for acknowledgment by the UE. The ME 702 then sends the NAS UL transport message to the AMF element 314 with the container containing the UE-MAC (S5). The AMF element 314 sends an information message (eg, Nudm_SDM_Info message) to the UDM element 312 with the UE-MAC (S6). UDM element 312 may then compare the UE-MAC calculated by UE 110 with the X-UE-MAC calculated by AUSF element 310 to verify that the UE acknowledgment has been provided by UE 110.

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS с использованием обновленных параметров конфигурации UE (не показано).If the network has indicated that UE 110 needs re-registration and the security check is successful, then UE 110 de-registers and re-initiates a new NAS registration procedure using the updated UE configuration parameters (not shown).

Пример 5: Процедура обновления во время регистрации с применением защищенного пакета и ключа безопасностиExample 5: Update procedure during registration using secure package and security key

Фиг. 17 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 инициирует процедуру регистрации NAS, отправляя запрос регистрации NAS элементу 314 AMF (S1). В ответ на запрос регистрации NAS (типа «начальный») элемент 314 AMF может инициировать процедуру аутентификации (S2) для аутентификации UE 110. После аутентификации UE 110, элемент 314 AMF может инициировать процедуру безопасности NAS, чтобы установить контекст безопасности NAS (S3). Когда UE 110 аутентифицировано и установлен контекст безопасности NAS, элемент 314 AMF отправляет запрос данных подписки (например, Nudm_SDM_Get message) элементу 312 UDM HPLMN, чтобы получить данные подписки на доступ и мобильность для UE 110, среди другой информации (S4). Когда информация о подписке пользователя индицирует инициирование обновления параметра конфигурации UE (например, обновление ID маршрутизации), элемент 312 UDM инициирует процедуру обновления. Элемент 312 UDM собирает обновление параметра конфигурации UE, которое содержит один или большее количество обновленных параметров конфигурации UE. Затем элемент 312 UDM применяет защиту безопасности к обновлению параметра конфигурации UE, обращаясь к библиотеке защищенных пакетов, чтобы инкапсулировать обновление параметра конфигурации UE в защищенный пакет.Fig. 17 is a message diagram illustrating an update procedure during registration in an exemplary embodiment. In this embodiment, UE 110 initiates a NAS registration procedure by sending a NAS registration request to AMF element 314 (S1). In response to a NAS registration request (of type "initial"), AMF element 314 may initiate an authentication procedure (S2) to authenticate UE 110. After UE 110 is authenticated, AMF element 314 may initiate a NAS security procedure to establish a NAS security context (S3). When UE 110 is authenticated and a NAS security context is established, AMF element 314 sends a subscription data request (eg, Nudm_SDM_Get message) to HPLMN UDM element 312 to obtain access and mobility subscription data for UE 110, among other information (S4). When the user's subscription information indicates the initiation of a UE configuration parameter update (eg, a routing ID update), the UDM element 312 initiates an update procedure. UDM element 312 collects a UE configuration parameter update that contains one or more updated UE configuration parameters. UDM element 312 then applies security protection to the UE configuration parameter update by referring to the secure package library to encapsulate the UE configuration parameter update in a secure package.

Элемент 312 UDM также применяет защиту целостности к защищенному пакету, используя контекст безопасности NAS для UE 110. Для этого элемент 312 UDM отправляет запрос защиты (например, Nausf_ParameterProtectionRequest) элементу 310 AUSF с защищенным пакетом (S5). Элемент 310 AUSF идентифицирует счетчик NAS и вычисляет информацию защиты целостности на основе контекста безопасности NAS для UE 110, такого как AUSF-MAC для защищенного пакета и счетчика NAS. Элемент 310 AUSF также может вычислять ожидаемый MAC от UE 110 (X-UE-MAC). Затем элемент 310 AUSF отправляет ответ о защите (например, Nausf_ParameterProtectionResponse) с информацией о защите целостности (то есть AUSF-MAC, счетчик NAS и X-UE-MAC) элементу 312 UDM (S6). Затем элемент 312 UDM отправляет ответ данных подписки (например, Nudm_SDM_Get response) элементу 314 AMF (S7), который содержит защищенный пакет и информацию о защите целостности (то есть, AUSF-MAC и счетчик NAS). Элемент 312 UDM также может содержать индикатор подтверждения UE и/или запрос повторной регистрации в ответе данных подписки.UDM element 312 also applies integrity protection to the secure packet using the NAS security context for UE 110. To do this, UDM element 312 sends a protection request (eg, Nausf_ParameterProtectionRequest) to AUSF element 310 with secure packet (S5). The AUSF element 310 identifies the NAS counter and calculates integrity protection information based on the NAS security context for UE 110, such as the AUSF-MAC for the secure packet and the NAS counter. AUSF element 310 may also calculate an expected MAC from UE 110 (X-UE-MAC). AUSF element 310 then sends a protection response (eg, Nausf_ParameterProtectionResponse) with integrity protection information (ie, AUSF-MAC, NAS counter, and X-UE-MAC) to UDM element 312 (S6). UDM element 312 then sends a subscription data response (eg, Nudm_SDM_Get response) to AMF element 314 (S7) that contains the secure packet and integrity protection information (ie, AUSF-MAC and NAS counter). UDM element 312 may also include a UE confirmation indicator and/or a re-registration request in the subscription data response.

Элемент 314 AMF выполнен с возможностью прозрачной отправки защищенного пакета на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует сообщение с подтверждением регистрации NAS и вставляет защищенный пакет в контейнер сообщения с подтверждением регистрации NAS. Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или запрос повторной регистрации (если применимо) в контейнер сообщения с подтверждением регистрации NAS вместе с AUSF-MAC и счетчиком NAS. В этом примере сообщение с подтверждением регистрации NAS содержит вновь определенный IE контейнера обновления параметра конфигурации UE. Таблица 9 является примером IE контейнера обновления параметра конфигурации UE.The AMF element 314 is configured to transparently send a secure packet to UE 110 as part of the update procedure. Thus, the AMF element 314 formats or generates the NAS Registration Confirmation message and inserts the secure packet into the container of the NAS Registration Confirmation message. AMF element 314 may also insert a UE confirmation indicator and/or a re-registration request (if applicable) in a NAS registration confirmation message container along with the AUSF-MAC and the NAS counter. In this example, the NAS registration confirmation message contains a newly defined UE configuration parameter update container IE. Table 9 is an example of a UE configuration parameter update container IE.

Таблица 9:Table 9:

8 7 6 5 4 3 2 18 7 6 5 4 3 2 1 IEI контейнера обновления параметра конфигурации UEUE Configuration Parameter Update Container IEI октет 1octet 1 Длина содержимого контейнера обновления параметра конфигурации UEUE Configuration Parameter Update Container Content Length октет 2 октет 3octet 2 octet 3 Заголовок обновления параметра конфигурации UEUE configuration parameter update header октет 4octet 4 AUSF-MACAUSF-MAC октет 5-20octet 5-20 счетчик NASNAS counter октет 21-22octet 21-22 Защищенный пакет [обновление параметра конфигурации UE]Secure Packet [UE Configuration Parameter Update] октет 23*-2048*octet 23*-2048*


Этот контейнер считается прозрачным, поскольку элемент 314 AMF вставляет защищенный пакет в контейнер без изменения защищенного пакета. Затем элемент 314 AMF отправляет сообщение с подтверждением регистрации NAS на UE 110 (S8). В ответ на прием сообщения с подтверждением регистрации NAS, ME 702 UE 110 выполняет проверку безопасности, чтобы проверить, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, ME 702 отбрасывает защищенный пакет и продолжает процедуру регистрации. Если проверка безопасности прошла успешно, то ME 702 маршрутизирует или загружает защищенный пакет в USIM 662 (S9). USIM 662 также выполняет проверку безопасности, чтобы проверить, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, USIM 662 отбрасывает обновление параметра конфигурации UE. Если проверка безопасности прошла успешно, USIM 662 распаковывает обновление параметра конфигурации UE из защищенного пакета, используя библиотеку защищенных пакетов. Затем USIM 662 обновляет один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE.
This container is considered transparent because the AMF element 314 inserts the secure package into the container without modifying the secure package. Then, AMF element 314 sends a NAS registration confirmation message to UE 110 (S8). In response to receiving the NAS registration confirmation message, the UE 110 ME 702 performs a security check to verify that the secure packet was sent by the home network UDM element 312 . If the security check fails, the ME 702 discards the secure packet and continues with the registration procedure. If the security check is successful, then the ME 702 routes or downloads the secure packet to the USIM 662 (S9). The USIM 662 also performs a security check to verify that the secure packet was sent by the UDM element 312 of the home network. If the security check is not successful, the USIM 662 discards the UE configuration parameter update. If the security check is successful, the USIM 662 unpacks the UE configuration parameter update from the secure package using the secure package library. The USIM 662 then updates one or more of the UE configuration parameters 664 based on the UE configuration parameter update.

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, то ME 702 форматирует сообщение о выполнении регистрации NAS и вставляет UE-MAC в контейнер сообщения о выполнении регистрации NAS. Затем ME 702 отправляет сообщение о выполнении регистрации NAS элементу 314 AMF (S11). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с UE-MAC (S10). Элемент 312 UDM может затем сравнить UE-MAC, вычисленный посредством UE 110, с X-UE-MAC, вычисленный посредством элемента 310 AUSF, чтобы проверить, что подтверждение UE предоставлено посредством UE 110.If the network has requested confirmation from the UE 110 and the security check is successful, then the ME 702 formats the NAS registration done message and inserts the UE-MAC into the NAS registration done message container. The ME 702 then sends a NAS registration done message to the AMF element 314 (S11). The AMF element 314 sends an information message (eg, Nudm_SDM_Info message) to the UDM element 312 with the UE-MAC (S10). UDM element 312 may then compare the UE-MAC calculated by UE 110 with the X-UE-MAC calculated by AUSF element 310 to verify that the UE acknowledgment has been provided by UE 110.

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS с использованием обновленных параметров конфигурации UE (не показано).If the network has indicated that UE 110 needs re-registration and the security check is successful, then UE 110 de-registers and re-initiates a new NAS registration procedure using the updated UE configuration parameters (not shown).

Пример 6: Процедура обновления после регистрации с применением защищенного пакета и ключа безопасностиExample 6: Update procedure after registration using a secure package and a security key

Фиг. 18 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 уже зарегистрировано в сети и находится в подсоединенном режиме. В какой-то момент после регистрации элемент 312 UDM может принять инструкцию или обработать локальные политики, чтобы определить, что параметры конфигурации UE в UE 110 необходимо обновить. Таким образом, элемент 312 UDM инициирует процедуру обновления и собирает обновление параметра конфигурации UE. Затем элемент 312 UDM применяет защиту безопасности к обновлению параметра конфигурации UE, обращаясь к библиотеке защищенных пакетов, чтобы инкапсулировать обновление параметра конфигурации UE в защищенный пакет.Fig. 18 is a message diagram illustrating an update procedure after registration in an exemplary embodiment. In this embodiment, UE 110 is already registered with the network and is in connected mode. At some point after registration, UDM element 312 may receive an instruction or process local policies to determine that the UE configuration settings at UE 110 need to be updated. Thus, the UDM element 312 initiates the update procedure and collects the UE configuration parameter update. UDM element 312 then applies security protection to the UE configuration parameter update by referring to the secure package library to encapsulate the UE configuration parameter update in a secure package.

Элемент 312 UDM также применяет защиту целостности к защищенному пакету, используя контекст безопасности NAS для UE 110. Для этого элемент 312 UDM отправляет запрос защиты (например, Nausf_ParameterProtectionRequest) элементу 310 AUSF с защищенным пакетом (S1). Элемент 310 AUSF идентифицирует счетчик NAS и вычисляет информацию защиты целостности на основе контекста безопасности NAS для UE 110, такого как AUSF-MAC для защищенного пакета и счетчика NAS. Элемент 310 AUSF также может вычислять ожидаемый MAC от UE 110 (X-UE-MAC). Затем элемент 310 AUSF отправляет ответ о защите (например, Nausf_ParameterProtectionResponse) с информацией о защите целостности (то есть AUSF-MAC, счетчик NAS и X-UE-MAC) элементу 312 UDM (S2). Затем элемент 312 UDM отправляет уведомление об обновлении (например, Nudm_SDM_UpdateNotification) элементу 314 AMF (S3), который содержит защищенный пакет и информацию о защите целостности (то есть, AUSF-MAC и счетчик NAS). Элемент 312 UDM также может содержать индикатор подтверждения UE и/или запрос повторной регистрации в уведомлении об обновлении.UDM element 312 also applies integrity protection to the secure packet using the NAS security context for UE 110. To do this, UDM element 312 sends a protection request (eg, Nausf_ParameterProtectionRequest) to AUSF element 310 with secure packet (S1). The AUSF element 310 identifies the NAS counter and calculates integrity protection information based on the NAS security context for UE 110, such as the AUSF-MAC for the secure packet and the NAS counter. AUSF element 310 may also calculate an expected MAC from UE 110 (X-UE-MAC). AUSF element 310 then sends a protection response (eg, Nausf_ParameterProtectionResponse) with integrity protection information (ie, AUSF-MAC, NAS counter, and X-UE-MAC) to UDM element 312 (S2). UDM element 312 then sends an update notification (eg, Nudm_SDM_UpdateNotification) to AMF (S3) element 314 that contains the secure packet and integrity protection information (ie, AUSF-MAC and NAS counter). UDM element 312 may also include a UE confirmation indicator and/or a re-registration request in the update notification.

Элемент 314 AMF выполнен с возможностью прозрачной отправки защищенного пакета на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует транспортное сообщение NAS DL и вставляет защищенный пакет в контейнер транспортного сообщения NAS DL. Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или индикатор повторной регистрации (если применимо) в контейнер транспортного сообщения NAS DL вместе с AUSF-MAC и счетчиком NAS. Затем элемент 314 AMF отправляет транспортное сообщение NAS DL на UE 110 (S4).The AMF element 314 is configured to transparently send a secure packet to UE 110 as part of the update procedure. Thus, the AMF element 314 formats or generates the NAS DL transport message and inserts the secure packet into the NAS DL transport message container. AMF element 314 may also insert a UE acknowledgment indicator and/or a re-registration indicator (if applicable) into the DL NAS transport message container along with the AUSF-MAC and the NAS counter. Then, AMF element 314 sends a NAS DL transport message to UE 110 (S4).

В ответ на прием транспортного сообщения NAS DL, ME 702 UE 110 выполняет проверку безопасности, чтобы проверить, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, ME 702 отбрасывает защищенный пакет. Если проверка безопасности прошла успешно, то ME 702 маршрутизирует или загружает защищенный пакет в USIM 662 (S5). USIM 662 также выполняет проверку безопасности, чтобы проверить, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, USIM 662 отбрасывает обновление параметра конфигурации UE. Если проверка безопасности прошла успешно, USIM 662 распаковывает обновление параметра конфигурации UE из защищенного пакета, используя библиотеку защищенных пакетов. Затем USIM 662 обновляет один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE. USIM 662 также отправляет подтверждение UE на ME 702 (S6).In response to receiving the NAS DL transport message, the UE 110 ME 702 performs a security check to verify that the secure packet was sent by the home network UDM element 312 . If the security check fails, the ME 702 discards the secure packet. If the security check is successful, then the ME 702 routes or downloads the secure packet to the USIM 662 (S5). The USIM 662 also performs a security check to verify that the secure packet was sent by the UDM element 312 of the home network. If the security check is not successful, the USIM 662 discards the UE configuration parameter update. If the security check is successful, the USIM 662 unpacks the UE configuration parameter update from the secure package using the secure package library. The USIM 662 then updates one or more of the UE configuration parameters 664 based on the UE configuration parameter update. USIM 662 also sends a UE acknowledgment to ME 702 (S6).

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, то ME 702 форматирует транспортное сообщение NAS UL и вставляет UE-MAC в контейнер транспортного сообщения NAS UL. Затем ME 702 отправляет транспортное сообщение NAS UL элементу 314 AMF (S7). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с UE-MAC (S8). Элемент 312 UDM может затем сравнить UE-MAC, вычисленный посредством UE 110, с X-UE-MAC, вычисленный посредством элемента 310 AUSF, чтобы проверить, что подтверждение UE предоставлено посредством UE 110.If the network has requested confirmation from UE 110 and the security check is successful, then ME 702 formats the NAS UL transport message and inserts the UE-MAC into the NAS UL transport message container. The ME 702 then sends the NAS UL transport message to the AMF element 314 (S7). The AMF element 314 sends an information message (eg, Nudm_SDM_Info message) to the UDM element 312 with the UE-MAC (S8). UDM element 312 may then compare the UE-MAC calculated by UE 110 with the X-UE-MAC calculated by AUSF element 310 to verify that the UE acknowledgment has been provided by UE 110.

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS с использованием обновленных параметров конфигурации UE (не показано).If the network has indicated that UE 110 needs re-registration and the security check is successful, then UE 110 de-registers and re-initiates a new NAS registration procedure using the updated UE configuration parameters (not shown).

Любой из различных элементов или модулей, показанных на фигурах или описанных в данном документе, может быть реализован как аппаратное обеспечение, программное обеспечение, встроенное программное обеспечение или некоторая их комбинация. Например, элемент может быть реализован как специализированное аппаратное обеспечение. Специализированные аппаратные элементы могут называться «процессорами», «контроллерами» или некоторой подобной терминологией. Когда они предоставляются процессором, функции могут предоставляться одним специализированным процессором, одним совместно используемым процессором или совокупностью отдельных процессоров, некоторые из которых могут использоваться совместно. Более того, явное применение термина «процессор» или «контроллер» не должно толковаться как относящееся исключительно к аппаратному обеспечению, способному выполнять программное обеспечение, и может неявно включать, без ограничения, аппаратное обеспечение процессора цифровых сигналов (digital signal processor - DSP), сетевой процессор, специализированную интегральную схему (application specific integrated circuit - ASIC) или другую схему, программируемую на месте вентильную матрицу (field programmable gate array - FPGA), постоянное запоминающее устройство (ROM) для хранения программного обеспечения, оперативное запоминающее устройство (RAM), энергонезависимое запоминающее устройство, логику или какой-либо другой физический аппаратный компонент или модуль.Any of the various elements or modules shown in the figures or described herein may be implemented as hardware, software, firmware, or some combination thereof. For example, the element may be implemented as dedicated hardware. Specialized hardware elements may be called "processors", "controllers", or some similar terminology. When provided by a processor, the functions may be provided by a single dedicated processor, a single shared processor, or a collection of individual processors, some of which may be shared. Moreover, the explicit use of the term "processor" or "controller" shall not be construed as referring solely to hardware capable of executing the software, and may implicitly include, without limitation, digital signal processor (DSP) hardware, network processor, application specific integrated circuit (ASIC) or other circuit, field programmable gate array (FPGA), read-only memory (ROM) for software storage, random access memory (RAM), non-volatile storage device, logic, or some other physical hardware component or module.

Кроме того, элемент может быть реализован как инструкции, выполняемые процессором или компьютером для выполнения функций этого элемента. Некоторыми примерами инструкций являются программное обеспечение, код программы и встроенное программное обеспечение. Инструкции являются работоспособными, когда они выполняются процессором, чтобы указать процессору на выполнение функций элемента. Инструкции могут храниться на устройствах хранения данных, которые могут быть прочитаны процессором. Некоторыми примерами устройств хранения данных являются цифровые или твердотельные запоминающие устройства, магнитные носители данных, такие как магнитные диски и магнитные ленты, жесткие диски или оптически считываемые носители цифровых данных.In addition, an element may be implemented as instructions executable by a processor or computer to perform the functions of the element. Some examples of instructions are software, program code, and firmware. Instructions are operable when they are executed by the processor to instruct the processor to perform the functions of an element. The instructions may be stored on data storage devices that can be read by the processor. Some examples of storage devices are digital or solid state storage devices, magnetic storage media such as magnetic disks and magnetic tapes, hard drives or optically readable digital storage media.

Используемый в этой заявке термин «схема» может относиться к одному или большему количеству, или всем из следующего:As used in this application, the term "scheme" may refer to one or more or all of the following:

(a) реализации схем только на аппаратном уровне (например, реализации только на аналоговых и/или цифровых схемах);(a) implementations of circuits only in hardware (eg, implementations only in analog and/or digital circuits);

(b) комбинации аппаратных схем и программного обеспечения, такие как (если применимо):(b) combinations of hardware circuits and software, such as (if applicable):

(i) комбинация аналоговой и/или цифровой аппаратной схемы (схем) с программным обеспечением/встроенным программным обеспечением; и(i) a combination of analog and/or digital hardware circuit(s) with software/firmware; and

(ii) любые части аппаратного процессора(ов) с программным обеспечением (включая процессор(ы) цифровых сигналов), программным обеспечением и запоминающим устройством(ами), которые работают вместе, чтобы предписывать аппарату, такому как мобильный телефон или сервер, выполнять различные функции; и(ii) any parts of a hardware processor(s) with software (including digital signal processor(s), software, and storage device(s) that work together to cause a device, such as a mobile phone or a server, to perform various functions ; and

(c) аппаратная(ые) схема(ы) и/или процессор(ы), такие как микропроцессор(ы) или часть микропроцессора(ов), которые требуют программного обеспечения (например, встроенного программного обеспечения) для работы, но указанное программное обеспечение может отсутствовать когда это не нужно для работы.(c) hardware(s) circuit(s) and/or processor(s), such as a microprocessor(s) or part of a microprocessor(s), that require software (such as firmware) to operate, but said software may be absent when it is not needed for work.

Это определение «схемы» применимо ко всем применениям этого термина в данной заявке, в том числе в любых пунктах формулы изобретения. В качестве дополнительного примера, используемый в этой заявке термин «схема» также охватывает реализацию просто аппаратной схемы или процессора (или нескольких процессоров) или части аппаратной схемы или процессора и ее (или их) сопутствующего программного обеспечения и/или встроенного программного обеспечения. Термин «схема» также охватывает, например, и если применимо к конкретному элементу формулы изобретения, интегральную схему основной полосы частот или интегральную схему процессора для мобильного устройства или аналогичную интегральную схему в сервере, устройстве сотовой сети или другом вычислительном или сетевом устройстве.This definition of "scheme" applies to all uses of the term in this application, including in any claims. As a further example, as used in this application, the term "circuit" also encompasses the implementation of simply a hardware circuit or processor (or multiple processors) or a portion of a hardware circuit or processor and its (or their) associated software and/or firmware. The term "circuitry" also encompasses, for example, and when applicable to a particular claim element, a baseband or processor integrated circuit for a mobile device or a similar integrated circuit in a server, cellular network device, or other computing or network device.

Хотя в данном документе были описаны конкретные варианты осуществления, объем раскрытия не ограничивается этими конкретными вариантами осуществления. Объем настоящего раскрытия определяется нижеследующей формулой изобретения и любыми ее эквивалентами.While specific embodiments have been described herein, the scope of the disclosure is not limited to those specific embodiments. The scope of the present disclosure is defined by the following claims and any equivalents thereof.

Claims (139)

1. Оборудование пользователя (UE), содержащее:1. User Equipment (UE), comprising: универсальный модуль идентификации абонента (USIM);universal subscriber identification module (USIM); по меньшей мере один процессор; иat least one processor; and по меньшей мере одно запоминающее устройство, содержащее код компьютерной программы;at least one storage device containing computer program code; при этом USIM хранит параметры конфигурации UE для указанного UE, причем указанное по меньшей мере одно запоминающее устройство и указанный код компьютерной программы выполнены с возможностью, с помощью указанного по меньшей мере одного процессора, предписывания указанному UE по меньшей мере:wherein the USIM stores UE configuration parameters for said UE, wherein said at least one storage device and said computer program code are configured, by means of said at least one processor, to instruct said UE at least: принять от элемента функции управления доступом и мобильностью (AMF) первое сообщение слоя без доступа (NAS), содержащее контейнер, который содержит обновление параметра конфигурации UE для указанного UE, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет;receive from an access and mobility management function (AMF) element a first non-access layer (NAS) message containing a container that contains a UE configuration parameter update for said UE, said UE configuration parameter update containing a UE parameter encapsulated in a secure packet; выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE; иperform a first security check to verify said UE configuration parameter update; and направить указанный защищенный пакет в указанный USIM, если указанная первая проверка безопасности успешна, при этом указанный USIM выполнен с возможностью выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и, если указанная вторая проверка безопасности успешна, обновить один или большее количество из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете.forward the specified secure packet to the specified USIM if the specified first security check is successful, wherein the specified USIM is configured to perform a second security check to verify the specified secure packet, and if the specified second security check is successful, update one or more of the specified configuration parameters UE in the specified USIM based on the specified UE parameter encapsulated in the specified secure packet. 2. UE по п. 1, отличающееся тем, что указанный параметр UE, инкапсулированный в указанном защищенном пакете, представляет собой параметр индикатора маршрутизации.2. The UE of claim 1, wherein said UE parameter encapsulated in said secure packet is a routing indicator parameter. 3. UE по п. 1, отличающееся тем, что указанная первая проверка безопасности проверяет целостность указанного обновления параметра конфигурации UE с применением контекста безопасности NAS указанного UE.3. The UE of claim 1, wherein said first security check verifies the integrity of said UE configuration parameter update using said UE's NAS security context. 4. UE по п. 1, отличающееся тем, что указанный USIM хранится на универсальной карте с интегральной схемой (UICC) внутри указанного UE.4. The UE of claim 1, wherein said USIM is stored on a universal integrated circuit card (UICC) within said UE. 5. UE по п. 1, отличающееся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.5. The UE of claim 1, wherein said first NAS message contains a NAS registration confirmation message sent to said UE during the NAS registration procedure. 6. UE по п. 5, отличающееся тем, что:6. UE according to claim 5, characterized in that: когда указанное сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, указанный процессор дополнительно выполнен с возможностью предписывания указанному UE отправлять второе сообщение NAS указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято,when said NAS registration confirmation message contains a UE confirmation indicator, said processor is further configured to cause said UE to send a second NAS message to said AMF element with a container containing a UE confirmation from said UE that said UE configuration parameter update has been received, при этом указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.wherein said second NAS message contains an NAS registration in progress message or an uplink NAS transport message. 7. UE по п. 1, отличающееся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS.7. The UE of claim 1, wherein said first NAS message contains a downlink NAS transport message of the NAS transport procedure. 8. UE по п. 7, отличающееся тем, что, когда указанное транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, указанный процессор дополнительно выполнен с возможностью:8. The UE of claim 7, wherein when said downlink NAS transport message contains a UE acknowledgment indicator, said processor is further configured to: предписывания указанному UE отправлять транспортное сообщение NAS восходящей линии связи указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято.causing said UE to send an uplink NAS transport message to said AMF element with a container containing a UE confirmation from said UE that said UE configuration parameter update has been received. 9. UE по п. 1, отличающееся тем, что, когда указанное первое сообщение NAS содержит индикатор повторной регистрации, указанный процессор дополнительно выполнен с возможностью:9. The UE of claim 1, wherein when said first NAS message contains a re-registration indicator, said processor is further configured to: предписывания указанному UE инициировать процедуру регистрации NAS для повторной регистрации с применением указанных обновленных параметров конфигурации UE.causing said UE to initiate a NAS registration procedure to re-register using said updated UE configuration parameters. 10. Способ для безопасных обновлений параметров конфигурации, обеспеченных в оборудовании пользователя (UE), включающий в себя:10. A method for securely updating configuration parameters provided in a user equipment (UE), including: прием на указанном UE от элемента функции управления доступом и мобильностью (AMF) первого сообщения слоя без доступа (NAS), содержащего контейнер, который содержит обновление параметра конфигурации UE для указанного UE, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет;receiving at said UE, from an Access Mobility Management Function (AMF) element, a first non-access stratum (NAS) message containing a container that contains a UE configuration parameter update for a specified UE, said UE configuration parameter update containing a UE parameter encapsulated in a secure packet ; выполнение первой проверки безопасности для проверки указанного обновления параметра конфигурации UE; иperforming a first security check to verify said UE configuration parameter update; and направление указанного защищенного пакета в универсальный модуль идентификации абонента (USIM), выполненный с возможностью связи с указанным UE, если указанная первая проверка безопасности успешна, при этом указанный USIM выполнен с возможностью выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и, если указанная вторая проверка безопасности успешна, обновить один или большее количество из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете.forwarding said secure packet to a universal subscriber identity module (USIM) capable of communicating with said UE if said first security check is successful, wherein said USIM is configured to perform a second security check to verify said secure packet, and if said second security check is successful, update one or more of the specified UE configuration parameters in the specified USIM based on the specified UE parameter encapsulated in the specified secure packet. 11. Способ по п. 10, отличающийся тем, что указанный параметр UE, инкапсулированный в указанном защищенном пакете, представляет собой параметр индикатора маршрутизации.11. The method of claim 10, wherein said UE parameter encapsulated in said secure packet is a routing indicator parameter. 12. Способ по п. 10, отличающийся тем, что указанная первая проверка безопасности проверяет целостность указанного обновления параметра конфигурации UE с применением контекста безопасности NAS указанного UE.12. The method of claim 10, wherein said first security check verifies the integrity of said UE configuration parameter update using said UE's NAS security context. 13. Способ по п. 10, отличающийся тем, что указанный USIM хранится на универсальной карте с интегральной схемой (UICC) внутри указанного UE.13. The method of claim 10, wherein said USIM is stored on a universal integrated circuit card (UICC) within said UE. 14. Способ по п. 10, отличающийся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.14. The method of claim 10, wherein said first NAS message comprises a NAS registration confirmation message sent to said UE during the NAS registration procedure. 15. Способ по п. 14, отличающийся тем, что, когда указанное сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, указанный способ дополнительно включает в себя:15. The method of claim 14, wherein when said NAS registration confirmation message contains a UE confirmation indicator, said method further includes: предписывание указанному UE отправить второе сообщение NAS указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято, при этом указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.causing said UE to send a second NAS message to said AMF element with a container containing a UE acknowledgment from said UE that said UE configuration parameter update has been received, said second NAS message containing a NAS Registration Progress Message or an uplink NAS Transport Message . 16. Способ по п. 10, отличающийся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS.16. The method of claim 10, wherein said first NAS message comprises a downlink NAS transport message of the NAS transport procedure. 17. Способ по п. 16, отличающийся тем, что, когда указанное транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, указанный способ дополнительно включает в себя:17. The method of claim 16, wherein when said downlink NAS transport message contains a UE acknowledgment indicator, said method further includes: предписывание указанному UE отправить транспортное сообщение NAS восходящей линии связи указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято.causing said UE to send an uplink NAS transport message to said AMF element with a container containing a UE confirmation from said UE that said UE configuration parameter update has been received. 18. Способ по п. 10, отличающийся тем, что, когда указанное первое сообщение NAS содержит индикатор повторной регистрации, указанный способ дополнительно включает в себя:18. The method of claim 10, wherein when said first NAS message contains a re-registration indicator, said method further includes: предписывание указанному UE инициировать процедуру регистрации NAS для повторной регистрации с применением указанных обновленных параметров конфигурации UE.causing said UE to initiate a NAS registration procedure to re-register using said updated UE configuration parameters. 19. Элемент функции управления доступом и мобильностью (AMF), содержащий:19. Access and mobility management function (AMF) element, containing: по меньшей мере один процессор; иat least one processor; and по меньшей мере одно запоминающее устройство, содержащее код компьютерной программы, причем указанное по меньшей мере одно запоминающее устройство и указанный код компьютерной программы выполнены с возможностью, с помощью указанного по меньшей мере одного процессора, предписывания указанному элементу AMF по меньшей мере:at least one storage device containing computer program code, wherein said at least one storage device and said computer program code are configured, using said at least one processor, to prescribe to said AMF element at least: сгенерировать первое сообщение слоя без доступа (NAS), содержащее контейнер, который содержит обновление параметра конфигурации оборудования пользователя (UE) для указанного UE, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет; иgenerating a first Non-Access Layer (NAS) message containing a container that contains a user equipment (UE) configuration parameter update for said UE, said UE configuration parameter update containing a UE parameter encapsulated in a secure packet; and передать указанное первое сообщение NAS на UE, при этом указанное первое сообщение NAS выполнено с возможностью (i) предписывания указанному UE выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE, (ii) предписывания указанному UE направить указанный защищенный пакет в универсальный модуль идентификации абонента (USIM), выполненный с возможностью связи с указанным UE, если указанная первая проверка безопасности успешна, (iii) предписывания указанному USIM выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и (iv) обновления одного или большего количества из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете, если указанная вторая проверка безопасности успешна.transmit said first NAS message to the UE, wherein said first NAS message is configured to (i) cause said UE to perform a first security check to verify said UE configuration parameter update, (ii) cause said UE to forward said secure packet to the universal subscriber identity module (USIM) configured to communicate with said UE if said first security check is successful, (iii) causing said USIM to perform a second security check to verify said secure packet, and (iv) updating one or more of said UE configuration parameters in the specified USIM based on the specified UE parameter encapsulated in the specified secure packet, if the specified second security check is successful. 20. Элемент AMF по п. 19, отличающийся тем, что указанный параметр UE, инкапсулированный в указанном защищенном пакете, представляет собой параметр индикатора маршрутизации.20. The AMF element of claim 19, wherein said UE parameter encapsulated in said secure packet is a routing indicator parameter. 21. Элемент AMF по п. 19, отличающийся тем, что указанная первая проверка безопасности выполнена с возможностью проверки целостности указанного обновления параметра конфигурации UE с применением контекста безопасности NAS указанного UE.21. The AMF element of claim 19, wherein said first security check is configured to check the integrity of said UE configuration parameter update using said UE's NAS security context. 22. Элемент AMF по п. 19, отличающийся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.22. The AMF element of claim 19, wherein said first NAS message contains the NAS registration confirmation message sent to the designated UE during the NAS registration procedure. 23. Элемент AMF по п. 22, отличающийся тем, что, когда указанное сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, указанное сообщение с подтверждением регистрации NAS дополнительно выполнено с возможностью предписывания указанному UE отправить второе сообщение NAS указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято,23. The AMF element of claim 22, wherein when said NAS registration confirmation message contains a UE confirmation indicator, said NAS registration confirmation message is further configured to cause said UE to send a second NAS message to said AMF element with a container containing a UE confirmation from said UE that said UE configuration parameter update has been received, при этом указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.wherein said second NAS message contains an NAS registration in progress message or an uplink NAS transport message. 24. Элемент AMF по п. 19, отличающийся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS.24. The AMF element of claim 19, wherein said first NAS message contains an NAS transport procedure downlink transport message of the NAS transport procedure. 25. Элемент AMF по п. 24, отличающийся тем, что, когда указанное транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, указанное первое сообщение NAS дополнительно выполнено с возможностью предписывания указанному UE отправить транспортное сообщение NAS восходящей линии связи указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято.25. The AMF element of claim 24, wherein when said downlink NAS transport message contains a UE acknowledgment indicator, said first NAS message is further configured to cause said UE to send an uplink NAS transport message to said containerized AMF element. containing a UE confirmation from said UE that said UE configuration parameter update has been received. 26. Элемент AMF по п. 19, отличающийся тем, что когда указанное первое сообщение NAS содержит индикатор повторной регистрации, указанное первое сообщение NAS дополнительно выполнено с возможностью предписывания указанному UE инициировать процедуру регистрации NAS для повторной регистрации с применением указанных обновленных параметров конфигурации UE.26. The AMF element of claim 19, wherein when said first NAS message contains a re-registration indicator, said first NAS message is further configured to cause said UE to initiate a NAS registration procedure to re-register using said updated UE configuration parameters. 27. Элемент AMF по п. 19, отличающийся тем, что указанное по меньшей мере одно запоминающее устройство и указанный код компьютерной программы выполнены с возможностью, с помощью указанного по меньшей мере одного процессора, предписывания указанному элементу AMF по меньшей мере:27. The AMF element according to claim 19, characterized in that said at least one storage device and said computer program code are configured, using said at least one processor, to prescribe to said AMF element at least: принять сообщение плоскости управления от элемента управления едиными данными (UDM), содержащее указанное обновление параметра конфигурации UE для указанного UE; иreceive a control plane message from a unified data control (UDM) containing a specified update of the UE configuration parameter for the specified UE; and вставить указанное обновление параметра конфигурации UE в указанный контейнер указанного первого сообщения NAS.insert the specified UE configuration parameter update into the specified container of the specified first NAS message. 28. Элемент AMF по п. 27, отличающийся тем, что указанное по меньшей мере одно запоминающее устройство и указанный код компьютерной программы выполнены с возможностью, с помощью указанного по меньшей мере одного процессора, предписывания указанному элементу AMF по меньшей мере:28. The AMF element according to claim 27, characterized in that said at least one storage device and said computer program code are configured, using said at least one processor, to prescribe to said AMF element at least: принять указанное второе сообщение NAS от указанного UE во время указанной процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что указанное обновление параметра конфигурации UE было принято; иreceive said second NAS message from said UE during said NAS registration procedure with a container containing a UE confirmation that said UE configuration parameter update has been received; and отправить другое сообщение плоскости управления указанному элементу UDM с указанным подтверждением UE, при этом указанное второе сообщение NAS, принятое от указанного UE, содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.send another control plane message to the specified UDM element with the specified acknowledgment by the UE, wherein the specified second NAS message received from the specified UE contains an NAS registration progress message or an uplink NAS transport message. 29. Способ для безопасных обновлений параметров конфигурации, обеспеченных в оборудовании пользователя (UE), включающий в себя:29. A method for securely updating configuration parameters provided in a user equipment (UE), including: генерирование первого сообщения слоя без доступа (NAS), содержащего контейнер, который содержит обновление параметра конфигурации UE для указанного UE, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет; иgenerating a first Non-Access Layer (NAS) message containing a container that contains a UE configuration parameter update for said UE, said UE configuration parameter update containing a UE parameter encapsulated in a secure packet; and передачу указанного первого сообщения NAS на UE, при этом указанное первое сообщение NAS выполнено с возможностью (i) предписывания указанному UE выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE, (ii) предписывания указанному UE направить указанный защищенный пакет в универсальный модуль идентификации абонента (USIM), выполненный с возможностью связи с указанным UE, если указанная первая проверка безопасности успешна, (iii) предписывания указанному USIM выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и (iv) обновления одного или большего количества из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете, если указанная вторая проверка безопасности успешна.transmitting said first NAS message to the UE, said first NAS message being configured to (i) cause said UE to perform a first security check to verify said UE configuration parameter update, (ii) cause said UE to forward said secure packet to the universal subscriber identity module (USIM) configured to communicate with said UE if said first security check is successful, (iii) causing said USIM to perform a second security check to verify said secure packet, and (iv) updating one or more of said UE configuration parameters in the specified USIM based on the specified UE parameter encapsulated in the specified secure packet, if the specified second security check is successful. 30. Способ по п. 29, отличающийся тем, что указанный параметр UE, инкапсулированный в указанном защищенном пакете, представляет собой параметр индикатора маршрутизации.30. The method of claim 29, wherein said UE parameter encapsulated in said secure packet is a routing indicator parameter. 31. Способ по п. 29, отличающийся тем, что указанная первая проверка безопасности проверяет целостность указанного обновления параметра конфигурации UE с применением контекста безопасности NAS указанного UE.31. The method of claim 29, wherein said first security check verifies the integrity of said UE configuration parameter update using said UE's NAS security context. 32. Способ по п. 29, отличающийся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.32. The method of claim 29, wherein said first NAS message comprises a NAS registration confirmation message sent to said UE during the NAS registration procedure. 33. Способ по п. 32, отличающийся тем, что, когда указанное сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, указанный способ дополнительно включает в себя:33. The method of claim 32, wherein when said NAS registration confirmation message contains a UE confirmation indicator, said method further includes: предписывание указанному UE отправить второе сообщение NAS указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято, при этом указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.causing said UE to send a second NAS message to said AMF element with a container containing a UE acknowledgment from said UE that said UE configuration parameter update has been received, said second NAS message containing a NAS Registration Progress Message or an uplink NAS Transport Message . 34. Способ по п. 29, отличающийся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS.34. The method of claim 29, wherein said first NAS message comprises a downlink NAS transport message of the NAS transport procedure. 35. Способ по п. 34, отличающийся тем, что, когда указанное транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, указанный способ дополнительно включает в себя:35. The method of claim 34, wherein when said downlink NAS transport message comprises a UE acknowledgment indicator, said method further includes: предписывание указанному UE отправить транспортное сообщение NAS восходящей линии связи указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято.causing said UE to send an uplink NAS transport message to said AMF element with a container containing a UE confirmation from said UE that said UE configuration parameter update has been received. 36. Способ по п. 29, отличающийся тем, что, когда указанное первое сообщение NAS содержит индикатор повторной регистрации, указанный способ дополнительно включает в себя:36. The method of claim 29, wherein when said first NAS message contains a re-registration indicator, said method further includes: предписывание указанному UE инициировать процедуру регистрации NAS для повторной регистрации с применением указанных обновленных параметров конфигурации UE.causing said UE to initiate a NAS registration procedure to re-register using said updated UE configuration parameters. 37. Способ по п. 29, дополнительно включающий в себя:37. The method of claim 29, further comprising: прием сообщения плоскости управления от элемента управления едиными данными (UDM), содержащего указанное обновление параметра конфигурации UE для указанного UE; иreceiving a control plane message from a unified data control (UDM) containing said update of a UE configuration parameter for said UE; and вставку указанного обновления параметра конфигурации UE в указанный контейнер указанного первого сообщения NAS.inserting said UE configuration parameter update into said container of said first NAS message. 38. Способ по п. 37, дополнительно включающий в себя:38. The method of claim 37, further comprising: прием указанного второго сообщения NAS от указанного UE во время указанной процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что указанное обновление параметра конфигурации UE было принято; иreceiving said second NAS message from said UE during said NAS registration procedure with a container containing a UE confirmation that said UE configuration parameter update has been received; and отправку другого сообщения плоскости управления указанному элементу UDM с указанным подтверждением UE, при этом указанное второе сообщение NAS, принятое от указанного UE, содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.sending another control plane message to said UDM with said UE acknowledgment, said second NAS message received from said UE containing an NAS Registration Progress Message or an uplink NAS Transport Message. 39. Элемент функции управления доступом и мобильностью (AMF) мобильной сети, содержащий:39. Element of the access and mobility management function (AMF) of the mobile network, containing: по меньшей мере один процессор; иat least one processor; and по меньшей мере одно запоминающее устройство, содержащее код компьютерной программы, выполняемый указанным процессором, причем указанный процессор выполнен с возможностью предписывания указанному элементу AMF:at least one storage device containing computer program code executable by said processor, said processor being configured to assign to said AMF element: принять сообщение плоскости управления от элемента управления едиными данными (UDM), содержащего обновление параметра конфигурации оборудования пользователя (UE) для указанного UE, причем указанное обновление параметра конфигурации UE безопасно защищено в соответствии с механизмом защиты;receive a control plane message from a unified data control (UDM) containing a user equipment (UE) configuration parameter update for said UE, said UE configuration parameter update being securely protected by a security mechanism; вставить указанное обновление параметра конфигурации UE, которое безопасно защищено, в контейнер первого сообщения слоя без доступа (NAS), при этом указанный контейнер предназначен для обновления параметра конфигурации UE; иinsert said UE configuration parameter update, which is securely protected, into a Non-Access Layer (NAS) first message container, said container for updating the UE configuration parameter; and отправить указанное первое сообщение NAS на указанное UE с контейнером, содержащим указанное обновление параметра конфигурации UE, которое безопасно защищено, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет,send said first NAS message to said UE with a container containing said UE configuration parameter update that is securely protected, said UE configuration parameter update containing the UE parameter encapsulated in a secure packet, при этом указанное первое сообщение NAS выполнено с возможностью предписывания указанному UE:wherein said first NAS message is configured to instruct said UE: выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE;perform a first security check to verify said UE configuration parameter update; направить указанный защищенный пакет в универсальный модуль идентификации абонента (USIM) указанного UE, если указанная первая проверка безопасности успешна, иforward the specified secure packet to the universal subscriber identity module (USIM) of the specified UE if the specified first security check is successful, and после приема указанного защищенного пакета в USIM указанного UE предписать указанному USIM выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и, если указанная вторая проверка безопасности успешна, предписать указанному USIM обновить один или большее количество из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете.upon receiving said secure packet at the USIM of said UE, cause said USIM to perform a second security check to verify said secure packet, and if said second security check is successful, cause said USIM to update one or more of said UE configuration parameters in said USIM based on said parameter of the UE encapsulated in the specified secure packet. 40. Элемент AMF по п. 39, отличающийся тем, что указанное обновление параметра конфигурации UE инкапсулируется в защищенный пакет в соответствии с механизмом защиты.40. The AMF element of claim 39, wherein said UE configuration parameter update is encapsulated in a secure packet in accordance with a security mechanism. 41. Элемент AMF по п. 39, отличающийся тем, что указанное обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS указанного UE в соответствии с механизмом защиты.41. The AMF element of claim 39, wherein said UE configuration parameter update is integrally secured using said UE's NAS security context in accordance with the security mechanism. 42. Элемент AMF по п. 39, отличающийся тем, что указанное обновление параметра конфигурации UE инкапсулируется в защищенный пакет, и указанный защищенный пакет целостно защищен с применением контекста безопасности NAS указанного UE в соответствии с механизмом защиты.42. The AMF element of claim 39, wherein said UE configuration parameter update is encapsulated in a secure packet, and said secure packet is integrally secured using said UE's NAS security context according to the security mechanism. 43. Элемент AMF по п. 39, отличающийся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.43. The AMF element of claim 39, wherein said first NAS message contains the NAS registration confirmation message sent to the designated UE during the NAS registration procedure. 44. Элемент AMF по п. 43, отличающийся тем, что указанный процессор дополнительно выполнен с возможностью предписывания указанному элементу AMF:44. The AMF element according to claim 43, characterized in that said processor is further configured to prescribe to said AMF element: принять второе сообщение NAS от указанного UE во время процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что указанное обновление параметра конфигурации UE было принято; иreceive a second NAS message from said UE during a NAS registration procedure with a container containing a UE confirmation that said UE configuration parameter update has been received; and отправить другое сообщение плоскости управления указанному элементу UDM с подтверждением UE, причем указанное второе сообщение NAS, принятое от указанного UE, содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.send another control plane message to said UDM with an acknowledgment by the UE, wherein said second NAS message received from said UE contains an NAS registration progress message or an uplink NAS transport message. 45. Элемент AMF по п. 39, отличающийся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS.45. The AMF element of claim 39, wherein said first NAS message contains a downlink NAS transport message of the NAS transport procedure performed after the NAS registration procedure. 46. Элемент AMF по п. 45, отличающийся тем, что указанный процессор дополнительно выполнен с возможностью предписывания указанному элементу AMF:46. The AMF element according to claim 45, characterized in that said processor is further configured to prescribe to said AMF element: принять второе сообщение NAS от указанного UE с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято; иreceive a second NAS message from said UE with a container containing a UE confirmation from said UE that said UE configuration parameter update has been received; and отправить другое сообщение плоскости управления указанному элементу UDM с подтверждением UE, причем указанное второе сообщение NAS содержит транспортное сообщение NAS восходящей линии связи.send another control plane message to said UDM with UE acknowledgment, said second NAS message containing an uplink NAS transport message. 47. Способ выполнения процедуры обновления для обновления параметров конфигурации оборудования пользователя (UE), обеспеченных в UE, включающий в себя:47. A method for performing an update procedure for updating user equipment (UE) configuration parameters provided in a UE, including: прием сообщения плоскости управления в элементе функции управления доступом и мобильностью (AMF) от элемента управления едиными данными (UDM), который содержит обновление параметра конфигурации UE для указанного UE, причем указанное обновление параметра конфигурации UE безопасно защищено в соответствии с механизмом защиты;receiving a control plane message in an access and mobility control function (AMF) element from a unified data control (UDM) element that contains a UE configuration parameter update for said UE, said UE configuration parameter update being securely protected by a security mechanism; вставку в указанном элементе AMF указанного обновления параметра конфигурации UE, которое безопасно защищено, в контейнер первого сообщения слоя без доступа (NAS), при этом указанный контейнер предназначен для указанного обновления параметра конфигурации UE; иinserting, in said AMF element, said UE configuration parameter update that is securely protected into a Non-Access Layer (NAS) first message container, said container for said UE configuration parameter update; and отправку указанного первого сообщения NAS от указанного элемента AMF на указанное UE с контейнером, содержащим указанное обновление параметра конфигурации UE, которое безопасно защищено, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет,sending said first NAS message from said AMF element to said UE with a container containing said UE configuration parameter update that is securely protected, said UE configuration parameter update containing the UE parameter encapsulated in a secure packet, при этом указанное первое сообщение NAS выполнено с возможностью предписывания указанному UE:wherein said first NAS message is configured to instruct said UE: выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE;perform a first security check to verify said UE configuration parameter update; направить указанный защищенный пакет в универсальный модуль идентификации абонента (USIM) указанного UE, если указанная первая проверка безопасности успешна, иforward the specified secure packet to the universal subscriber identity module (USIM) of the specified UE if the specified first security check is successful, and после приема указанного защищенного пакета в USIM указанного UE предписать указанному USIM выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и, если указанная вторая проверка безопасности успешна, предписать указанному USIM обновить один или большее количество из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете.upon receiving said secure packet at the USIM of said UE, cause said USIM to perform a second security check to verify said secure packet, and if said second security check is successful, cause said USIM to update one or more of said UE configuration parameters in said USIM based on said parameter of the UE encapsulated in the specified secure packet. 48. Способ по п. 47, отличающийся тем, что указанное обновление параметра конфигурации UE инкапсулируют в защищенный пакет в соответствии с механизмом защиты.48. The method of claim 47, wherein said UE configuration parameter update is encapsulated in a secure packet in accordance with a security mechanism. 49. Способ по п. 47, отличающийся тем, что указанное обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS указанного UE в соответствии с механизмом защиты.49. The method of claim 47, wherein said UE configuration parameter update is integrally secured using said UE's NAS security context in accordance with the security mechanism. 50. Способ по п. 47, отличающийся тем, что указанное обновление параметра конфигурации UE инкапсулируют в защищенный пакет, и указанный защищенный пакет целостно защищен с применением контекста безопасности NAS указанного UE в соответствии с механизмом защиты.50. The method of claim 47, wherein said UE configuration parameter update is encapsulated in a secure packet, and said secure packet is integrally secured using said UE's NAS security context in accordance with the security mechanism. 51. Способ по п. 47, отличающийся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное от указанного элемента AMF на указанное UE во время процедуры регистрации NAS.51. The method of claim 47, wherein said first NAS message comprises an NAS registration confirmation message sent from said AMF element to said UE during a NAS registration procedure. 52. Способ по п. 51, дополнительно включающий в себя:52. The method of claim 51, further comprising: прием второго сообщения NAS в указанном элементе AMF от указанного UE во время процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что указанное обновление параметра конфигурации UE было принято; иreceiving a second NAS message in said AMF element from said UE during a NAS registration procedure with a container containing a confirmation to the UE that said UE configuration parameter update has been received; and отправку другого сообщения плоскости управления от указанного элемента AMF указанному элементу UDM с подтверждением UE, причем указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.sending another control plane message from said AMF element to said UDM with UE acknowledgment, said second NAS message containing an NAS Registration Progress Message or an uplink NAS Transport Message. 53. Способ по п. 47, отличающийся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS.53. The method of claim 47, wherein said first NAS message comprises a downlink NAS transport message of the NAS transport procedure performed after the NAS registration procedure. 54. Способ по п. 53, дополнительно включающий в себя:54. The method of claim 53, further comprising: прием второго сообщения NAS в указанном элементе AMF от указанного UE с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято; иreceiving a second NAS message in said AMF element from said UE with a container containing a UE confirmation from said UE that said UE configuration parameter update has been received; and отправку другого сообщения плоскости управления от указанного элемента AMF указанному элементу UDM с подтверждением UE, причем указанное второе сообщение NAS содержит транспортное сообщение NAS восходящей линии связи.sending another control plane message from said AMF element to said UDM with UE acknowledgment, said second NAS message comprising an uplink NAS transport message. 55. Способ по п. 47, дополнительно включающий в себя:55. The method of claim 47, further comprising: прием указанного первого сообщения NAS в указанном UE от указанного элемента AMF, содержащего указанный контейнер, который содержит обновление параметра конфигурации UE для указанного UE, которое безопасно защищено;receiving said first NAS message at said UE from said AMF element containing said container that contains a UE configuration parameter update for said UE that is securely protected; выполнение проверки безопасности в указанном UE для проверки указанного обновления параметра конфигурации UE; иperforming a security check on said UE to check said UE configuration parameter update; and обновление в указанном UE одного или большего количества параметров конфигурации UE на основе указанного обновления параметра конфигурации UE, когда указанное обновление параметра конфигурации UE проверено.updating at said UE one or more UE configuration parameters based on said UE configuration parameter update when said UE configuration parameter update is verified. 56. Способ по п. 55, дополнительно включающий в себя:56. The method of claim 55, further comprising: инициирование процедуры регистрации NAS в указанном UE для повторной регистрации с применением указанных обновленных параметров конфигурации UE, когда указанное первое сообщение NAS содержит индикатор повторной регистрации.initiating a NAS registration procedure at said UE to re-register using said updated UE configuration parameters when said first NAS message contains a re-registration indicator. 57. Оборудование пользователя (UE), содержащее:57. User equipment (UE), containing: универсальную карту с интегральной схемой (UICC), в которой размещается универсальный модуль идентификации абонента (USIM);a universal integrated circuit card (UICC) that houses a universal subscriber identity module (USIM); по меньшей мере один процессор; иat least one processor; and по меньшей мере одно запоминающее устройство, содержащее код компьютерной программы, исполняемый процессором, причем по меньшей мере одно из указанной UICC и указанного запоминающего устройства хранит параметры конфигурации UE для указанного UE, при этом указанный процессор выполнен с возможностью предписывания указанному UE:at least one storage device containing computer program code executable by the processor, wherein at least one of said UICC and said storage device stores UE configuration parameters for said UE, said processor being configured to instruct said UE: принять первое сообщение слоя без доступа (NAS) от элемента функции управления доступом и мобильностью (AMF), содержащего контейнер, который содержит обновление параметра конфигурации UE для указанного UE, которое безопасно защищено в соответствии с механизмом защиты, причем указанный контейнер предназначен для указанного обновления параметра конфигурации UE;receive a first Non-Access Layer (NAS) message from an Access Mobility Function (AMF) element containing a container that contains a UE configuration parameter update for a specified UE that is securely protected according to a security mechanism, said container being for a specified parameter update UE configurations; при этом указанный процессор выполнен с возможностью предписывания указанному UE:wherein said processor is configured to instruct said UE: выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE; иperform a first security check to verify said UE configuration parameter update; and направить указанный контейнер в указанную UICC, если указанная первая проверка безопасности успешна,forward the specified container to the specified UICC if the specified first security check is successful, при этом указанная UICC выполнена с возможностью предписывания указанному USIM:wherein said UICC is configured to prescribe to said USIM: после приема указанного защищенного пакета в указанной UICC указанного UE выполнить вторую проверку безопасности для проверки указанного контейнера и, если указанная вторая проверка безопасности успешна, обновить один или большее количество параметров конфигурации UE на основе указанного обновления параметра конфигурации UE.after receiving said secure packet at said UICC of said UE, perform a second security check to check said container, and if said second security check is successful, update one or more UE configuration parameters based on said UE configuration parameter update. 58. UE по п. 57, отличающееся тем, что указанное обновление параметра конфигурации UE инкапсулируется в защищенный пакет в указанном контейнере указанного первого сообщения NAS.58. The UE of claim 57, wherein said UE configuration parameter update is encapsulated in a secure packet in said container of said first NAS message. 59. UE по п. 57, отличающееся тем, что указанное обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS указанного UE.59. The UE of claim 57, wherein said UE configuration parameter update is integrally secured using said UE's NAS security context. 60. UE по п. 57, отличающееся тем, что указанное обновление параметра конфигурации UE инкапсулируется в защищенный пакет в указанном контейнере указанного первого сообщения NAS, и указанный защищенный пакет целостно защищен с применением контекста безопасности NAS указанного UE.60. The UE of claim 57, wherein said UE configuration parameter update is encapsulated in a secure packet in said container of said first NAS message, and said secure packet is integrally secured using said UE's NAS security context. 61. UE по п. 57, отличающееся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.61. The UE of claim 57, wherein said first NAS message contains a NAS registration confirmation message sent to said UE during the NAS registration procedure. 62. UE по п. 61, отличающееся тем, что, когда указанное сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, указанный процессор дополнительно выполнен с возможностью предписывания указанному UE отправить второе сообщение NAS указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято;62. The UE of claim 61, wherein when said NAS registration confirmation message contains a UE confirmation indicator, said processor is further configured to cause said UE to send a second NAS message to said AMF element with a container containing a UE confirmation from said UE. that said UE configuration parameter update has been received; причем указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.wherein said second NAS message contains an NAS registration in progress message or an uplink NAS transport message. 63. UE по п. 57, отличающееся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS.63. The UE of claim 57, wherein said first NAS message contains a downlink NAS transport message of the NAS transport procedure performed after the NAS registration procedure. 64. UE по п. 63, отличающееся тем, что:64. UE according to claim 63, characterized in that: когда указанное транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, указанный процессор дополнительно выполнен с возможностью предписывания указанному UE отправить транспортное сообщение NAS восходящей линии связи указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято.when said downlink NAS transport message contains a UE confirmation indicator, said processor is further configured to cause said UE to send an uplink NAS transport message to said AMF element with a container containing a UE confirmation from said UE that said UE configuration parameter update was taken. 65. UE по п. 57, отличающееся тем, что, когда указанное первое сообщение NAS содержит индикатор повторной регистрации, указанный процессор дополнительно выполнен с возможностью предписывания указанному UE инициировать процедуру регистрации NAS для повторной регистрации с применением указанных обновленных параметров конфигурации UE.65. The UE of claim 57, wherein when said first NAS message contains a re-registration indicator, said processor is further configured to cause said UE to initiate a NAS registration procedure to re-register using said updated UE configuration parameters.
RU2021112741A 2018-10-06 2019-10-04 Systems and method for safe updates of configuration parameters provided in user equipment RU2783383C1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US62/742,341 2018-10-06

Publications (2)

Publication Number Publication Date
RU2783383C1 true RU2783383C1 (en) 2022-11-11
RU2021112741A RU2021112741A (en) 2022-11-14

Family

ID=

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018097601A1 (en) * 2016-11-27 2018-05-31 엘지전자(주) De-registration method in wireless communication system and device therefor
RU2656339C2 (en) * 2014-01-28 2018-06-05 Хуавей Текнолоджиз Ко., Лтд. Method of configuration of the radio bearer, base station and system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2656339C2 (en) * 2014-01-28 2018-06-05 Хуавей Текнолоджиз Ко., Лтд. Method of configuration of the radio bearer, base station and system
WO2018097601A1 (en) * 2016-11-27 2018-05-31 엘지전자(주) De-registration method in wireless communication system and device therefor

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Ericsson, "New solution: Protected UE configuration update commands", 3GPP TSG SA WG3 (Security) Meeting #90, 22nd - 26th January 2018, Gothenburg, Sweden, S3-180374. Intel, "Interim conclusion for Key issue #6", SA WG2 Meeting #128, 2 - 6 July 2018, Vilnius, Lithuania, S2-187214. Ericsson, "5G network selection - discussion on issue in solution for providing list of preferred PLMN/access technology combinations after registration", 3GPP TSG-CT WG1 Meeting #109, Montreal (Canada), 26 February - 2 March 2018, C1-181126. *

Similar Documents

Publication Publication Date Title
KR102369596B1 (en) Systems and methods for secure protection of NAS messages
US11937077B2 (en) Systems and method for secure updates of configuration parameters provisioned in user equipment
US20230345355A1 (en) Multimedia Priority Service for Wireless Devices
US9730056B2 (en) System, method, and apparatus for facilitating selection of a serving node
EP3726890A1 (en) Method for controlling access to network in wireless communication system and apparatus therefor
US11792761B2 (en) Session management function registration and deregistration
RU2783383C1 (en) Systems and method for safe updates of configuration parameters provided in user equipment
RU2772709C1 (en) Systems and a method for protecting the security of nas messages
US20230292121A1 (en) System and method for security protection of nas messages
JP2024073446A (en) SYSTEM AND METHOD FOR SECURING NAS MESSAGES - Patent application
WO2023012759A1 (en) Registration to a network slice subject to admission control
WO2023170652A1 (en) Service management in wireless networks