TWI730212B - 用於通信期管理授權符記的方法及裝置 - Google Patents

用於通信期管理授權符記的方法及裝置 Download PDF

Info

Publication number
TWI730212B
TWI730212B TW107100299A TW107100299A TWI730212B TW I730212 B TWI730212 B TW I730212B TW 107100299 A TW107100299 A TW 107100299A TW 107100299 A TW107100299 A TW 107100299A TW I730212 B TWI730212 B TW I730212B
Authority
TW
Taiwan
Prior art keywords
communication period
key
smf
network
communication
Prior art date
Application number
TW107100299A
Other languages
English (en)
Other versions
TW201832515A (zh
Inventor
李秀凡
愛德利恩愛德華 伊史考特
艾納德 帕拉尼古德
Original Assignee
美商高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商高通公司 filed Critical 美商高通公司
Publication of TW201832515A publication Critical patent/TW201832515A/zh
Application granted granted Critical
Publication of TWI730212B publication Critical patent/TWI730212B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)

Abstract

描述了經由下列操作來提供通信期管理授權符記的技術:接收通信期請求訊息以針對與使用者設備(UE)相關聯的邏輯資料網路建立協定資料單元(PDU)通信期,通信期請求訊息可包括一或多個通信期參數;驗證UE被授權針對邏輯資料網路建立PDU通信期;接收與PDU通信期相關聯的金鑰;基於所接收的金鑰和通信期參數來產生授權符記;及將包括所產生的授權符記的通信期回應訊息傳輸給UE。

Description

用於通信期管理授權符記的方法及裝置
本專利申請案主張Lee等人於2017年10月13日提出申請的標題為「SESSION MANAGEMENT AUTHORIZATION TOKEN」的美國專利申請案第15/783,260號和Lee等人於2017年2月3日提出申請的標題為「SESSION MANAGEMENT AUTHORIZATION TOKEN」的美國臨時專利申請案第62/454,685號的優先權,其中每個專利被轉讓給本案的受讓人。
大體而言,下文係關於無線通訊,且更特別地係關於通信期管理授權符記。
無線通訊系統廣泛被部署以提供各種類型的通訊內容,例如語音、視訊、封包資料、訊息傳遞、廣播等。該等系統能夠經由共享可用系統資源(例如時間、頻率和功率)來支援與多個使用者的通訊。此種多工存取系統的實例包括分碼多工存取(CDMA)系統、分時多工存取(TDMA)系統、分頻多工存取(FDMA)系統和正交分頻多工存取(OFDMA)系統(例如長期進化(LTE)系統或新無線電(NR)系統)。無線多工存取通訊系統可包括多個基地站或存取網路節點,其各同時支援對多個通訊設備的通訊,通訊設備亦可另外的被稱為使用者設備(UE)。
無線多工存取通訊系統可包括多個網路存取設備,多個網路存取設備各同時支援對多個通訊設備的通訊,通訊設備另外的被稱為UE。在LTE或改進的LTE(LTE-A)網路中,網路存取設備可採取基地站的形式,其中一或多個基地站的集合定義進化型節點B(eNB)。在下一代NR系統、毫米波(mmW)或5G網路中,網路存取設備可採取智慧無線電頭(或無線電頭(RH))或存取節點控制器(ANC)的形式,其中與ANC通訊的智慧無線電頭的集合定義下一代節點B(eNB)。網路存取設備可與在下行鏈路通道(例如對於從網路存取設備到UE的傳輸)和上行鏈路通道(例如對於從UE到網路存取設備的傳輸)上的UE集合通訊。
UE可請求網路設備建立與由網路設備提供的訂閱有關的通信期。在諸如LTE或LTE-A的一些無線通訊系統中,行動性管理實體(MME)可處理認證、授權和通信期管理。作為結果,MME可執行與建立通信期有關的行動性管理功能和通信期管理功能。MME可負責UE試圖建立的通信期建立。然而在下一代、NR、mmW或5G網路中,認證、授權和通信期管理可能不被單個網路設備(亦即MME)支援或處理。
所述技術係關於支援通信期管理的改良的方法、系統、設備或裝置。使用者設備(UE)可為邏輯資料網路建立協定資料單元(PDU)通信期。邏輯資料網路亦可被稱為網路切片。在一些態樣中,在為UE建立PDU通信期之前,與PDU通信期有關的網路切片可能需要授權。在諸如LTE或LTE-A的無線通訊系統中,MME可為請求建立通信期的UE處理行動性管理和通信期管理兩者。相反,在下一代、NR、mmW或5G網路中,行動性管理和通信期管理功能可至少在邏輯上與MME分離並位於不同的位置處。在下一代、NR、mmW或5G網路中,通信期管理可由通信期管理功能(SMF)執行,SMF可以是與存取和行動性管理功能(AMF)在邏輯上分離的功能。
描述用於無線通訊的方法。該方法可包括以下步驟:接收通信期請求訊息以針對與UE相關聯的邏輯資料網路建立PDU通信期,通信期請求訊息包括通信期參數;驗證UE被授權針對邏輯資料網路建立PDU通信期;至少部分地基於該驗證來接收與PDU通信期相關聯的金鑰;至少部分地基於所接收的金鑰和通信期參數來產生授權符記;及將包括所產生的授權符記的通信期回應訊息傳輸到UE。
描述用於無線通訊的裝置。該裝置可包括:用於接收通信期請求訊息以針對與UE相關聯的邏輯資料網路建立PDU通信期的構件,通信期請求訊息包括通信期參數;用於驗證UE被授權針對邏輯資料網路建立PDU通信期的構件;用於至少部分地基於該驗證來接收與PDU通信期相關聯的金鑰的構件;用於至少部分地基於所接收的金鑰和通信期參數來產生授權符記的構件;及用於將包括所產生的授權符記的通信期回應訊息傳輸到UE的構件。
描述用於無線通訊的另一裝置。該裝置可包括處理器、與處理器進行電子通訊的記憶體和儲存在記憶體中的指令。指令可操作來使處理器執行以下操作:接收通信期請求訊息以針對與UE相關聯的邏輯資料網路建立PDU通信期,通信期請求訊息包括通信期參數;驗證UE被授權針對邏輯資料網路建立PDU通信期;至少部分地基於該驗證來接收與PDU通信期相關聯的金鑰;至少部分地基於所接收的金鑰和通信期參數來產生授權符記;及將包括所產生的授權符記的通信期回應訊息傳輸到UE。
描述用於無線通訊的非暫時性電腦可讀取媒體。非暫時性電腦可讀取媒體可包括指令,該等指令可操作來使處理器執行以下操作:接收通信期請求訊息以針對與UE相關聯的邏輯資料網路建立PDU通信期,通信期請求訊息包括通信期參數;驗證UE被授權針對邏輯資料網路建立PDU通信期;至少部分地基於該驗證來接收與PDU通信期相關聯的金鑰;至少部分地基於所接收的金鑰和通信期參數來產生授權符記;及將包括所產生的授權符記的通信期回應訊息傳輸到UE。
在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,接收金鑰包括:從安全錨功能(SEAF)接收金鑰,其中SEAF可以是維持至少部分地基於UE到網路的成功認證而匯出的認證錨金鑰的網路功能。在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,接收金鑰包括:至少部分地基於可擴展認證協定(EAP)來從協力廠商認證、授權和計費(AAA)伺服器接收金鑰。
前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於傳輸包括UE的識別符(ID)和邏輯資料網路的ID的金鑰請求訊息的過程、特徵、構件或指令。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於回應於金鑰請求訊息而接收金鑰回應訊息的過程、特徵、構件或指令,金鑰回應訊息包括通信期管理功能(SMF)金鑰。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於從SEAF接收金鑰回應訊息的過程、特徵、構件或指令。
前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於接收在金鑰回應訊息中的SMF金鑰的過程、特徵、構件或指令,其中SMF金鑰可至少部分地基於與SEAF相關聯的SEAF金鑰而匯出。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於至少部分地基於SEAF金鑰來對通信期回應訊息進行完整性保護的過程、特徵、構件或指令。在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,通信期參數包括安全演算法、服務品質(QoS)或其組合中的至少一者。
前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於得到由UE請求的通信期參數的過程、特徵、構件或指令。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於至少部分地基於UE訂閱簡介、邏輯資料網路策略、協力廠商授權或其任何組合來決定通信期參數的過程、特徵、構件或指令。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於至少部分地基於該決定來決定針對PDU通信期的通信期策略的過程、特徵、構件或指令。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於將通信期回應訊息中的通信期策略傳輸到UE的過程、特徵、構件或指令。
在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,通信期請求訊息包括邏輯網路ID、UE ID或其組合中的至少一者。
前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於至少部分地基於訊息授權代碼(MAC)功能來產生授權符記的過程、特徵、構件或指令,其中SMF金鑰和通信期參數可以是到MAC功能的輸入。在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,通信期請求訊息可以是至少部分地基於UE和AMF之間的共享金鑰而受到完整性保護的通信期請求訊息。
前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於經由UE和SMF之間的通信期管理(SM)非存取層(NAS)連接並經由SMF和AAA伺服器之間的SM NAS連接,來傳遞UE和AAA伺服器之間的認證訊息交換的過程、特徵、構件或指令。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於從AAA伺服器接收UE是否可被授權來回應於認證訊息交換而針對邏輯資料網路建立PDU通信期的指示的過程、特徵、構件或指令。
在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,接收金鑰回應訊息可至少部分地基於UE可被授權來建立PDU通信期的指示。在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,SMF金鑰可由AAA伺服器匯出。
前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於至少部分地基於指示UE可被授權來建立PDU通信期的認證協定來從協力廠商伺服器接收主通信期金鑰的過程、特徵、構件或指令。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於至少部分地基於主通信期金鑰來匯出SMF金鑰的過程、特徵、構件或指令。
前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於將SM NAS安全模式命令傳輸到UE的過程、特徵、構件或指令,其中SM NAS安全模式命令包括選擇的安全演算法、PDU通信期的通信期策略或其組合中的至少一者。
在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,產生授權符記可至少部分地基於選擇的安全演算法、PDU通信期的通信期策略或其組合中的至少一者的雜湊。在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,通信期請求訊息可在SMF處接收。在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,所產生的授權符記包括關於針對邏輯資料網路的PDU通信期是否可被SMF授權的指示。
在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,SMF可位於服務網路或歸屬網路處。在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,服務網路包括探訪公共陸地行動網路(VPLMN)。在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,歸屬網路包括歸屬公共陸地行動網路(HPLMN)。在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,邏輯資料網路可與網路切片相關聯。
前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於從UE接收通信期回應認可訊息以及至少部分地基於通信期回應認可訊息來驗證UE的過程、特徵、構件或指令。
描述無線通訊的方法。該方法可包括以下步驟:傳輸通信期請求訊息以針對邏輯資料網路建立PDU通信期,通信期請求訊息包括通信期參數;及接收包括至少部分地基於SMF金鑰和通信期參數的授權符記的通信期回應訊息。
描述用於無線通訊的裝置。該裝置可包括用於傳輸通信期請求訊息以針對邏輯資料網路建立PDU通信期的構件,通信期請求訊息包括通信期參數;及用於接收包括至少部分地基於SMF金鑰和通信期參數的授權符記的通信期回應訊息的構件。
描述用於無線通訊的另一裝置。該裝置可包括處理器、與處理器進行電子通訊的記憶體和儲存在記憶體中的指令。指令可以是可操作的以使處理器執行以下操作:傳輸通信期請求訊息以針對邏輯資料網路建立PDU通信期,通信期請求訊息包括通信期參數;及接收包括至少部分地基於SMF金鑰和通信期參數的授權符記的通信期回應訊息。
描述用於無線通訊的非暫時性電腦可讀取媒體。非暫時性電腦可讀取媒體可包括指令,該等指令可操作以使處理器執行以下操作:傳輸通信期請求訊息以針對邏輯資料網路建立PDU通信期,通信期請求訊息包括通信期參數;及接收包括至少部分地基於SMF金鑰和通信期參數的授權符記的通信期回應訊息。
前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於至少部分地基於從由SEAF維持的認證錨金鑰匯出的SMF金鑰來對通信期請求訊息進行完整性保護的過程、特徵、構件或指令。在前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例中,通信期請求訊息包括安全演算法、QoS或其組合中的至少一者。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於接收PDU通信期的通信期策略的過程、特徵、構件或指令,通信期策略可與邏輯網路ID、UE ID或其組合中的至少一者相關聯。
前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於接收SM NAS安全模式命令的過程、特徵、構件或指令,其中SM NAS安全模式命令包括選擇的安全演算法、PDU通信期的通信期策略或其組合中的至少一者。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於至少部分地基於所傳輸的通信期請求訊息來驗證SM NAS安全模式命令的過程、特徵、構件或指令。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於至少部分地基於該驗證來傳輸SM NAS安全模式完成訊息的過程、特徵、構件或指令。前述的方法、裝置和非暫時性電腦可讀取媒體的一些實例亦可包括用於產生通信期回應認可訊息並將通信期回應認可訊息傳輸到SMF的過程、特徵、構件或指令。
使用者設備(UE)可針對邏輯資料網路建立協定資料單元(PDU)通信期。邏輯資料網路亦可被稱為網路切片。在一些態樣中,與PDU通信期有關的網路切片可能在針對UE建立PDU通信期之前需要授權。行動性管理實體(MME)在一些實例中可處理對請求建立通信期的UE的行動性管理和通信期管理兩者。在下一代、NR、mmW或5G網路中,行動性管理和通信期管理功能可與MME分離並位於不同的位置處。在下一代、NR、mmW或5G網路中,通信期管理可由通信期管理功能(SMF)執行,與存取和行動性功能(AMF)比較,通信期管理功能可以是在邏輯上單獨的功能。與SMF比較,AMF亦可位於不同的安全域中。例如,AMF可位於更靠近在服務網路中的UE(或無線電存取網路(RAN))處,而SMF可位於網路中的更深處。在該態樣中,AMF可以在網路中的較不安全的位置處。作為結果,AMF可能更易於被危害並執行免授權的行為。例如,被危害的AMF可修改由UE請求的通信期資訊。此外,AMF可修改由SMF授權的通信期資訊。在一些實例中,AMF可以是探訪公共陸地行動網路(VPLMN)的一部分。或者,SMF可以是歸屬公共陸地行動網路(HPLMN)的一部分。
SMF可在一些態樣中與策略控制功能(PCF)介面連接,策略控制功能可包括關於與網路切片及/或UE相關聯的一或多個服務的訂閱資訊。SMF亦可與協力廠商認證、授權和計費(AAA)伺服器(例如,其可授權被啟動的零級通信期)介面連接。SMF在一些實例中可基於UE的訂閱來授權對網路切片的PDU通信期。AMF可為一或多個網路切片(亦即邏輯資料網路)服務。網路切片PDU通信期建立在一些態樣中可基於AMF不可存取的服務或網路切片訂閱資訊由SMF授權。在一些實例中,SMF可基於僅對UE和SMF已知的安全金鑰來匯出授權符記,以保護資訊(例如資料封包、配置資訊、訂閱資訊、UE和SMF之間的信號傳遞等)免於在AMF處被危害(例如被AMF改變、解密或注入)。
在一些實例中,每個網路切片可與基於UE的訂閱的不同通信期授權策略相關聯。例如,UE可請求建立對eMBB切片、物聯網路(IoT)切片或關鍵任務切片的訂閱。AMF可基於一或多個訂閱要求(例如安全需要,例如加密和完整性保護演算法以及安全終止點)在與每個訂閱相關聯的PDU通信期上應用不同的通信期授權策略。或者,每個切片可與基於實施通信期策略的協力廠商AAA伺服器的額外認證或授權的不同通信期授權策略有關。
最初在無線通訊系統的上下文中描述了本案內容的態樣。接著描述用於通信期管理授權符記的示例性無線設備(例如UE或網路實體)、系統和過程流程。本案內容的態樣進一步由與通信期管理授權符記有關的裝置圖、系統圖和流程圖圖示並參考與通信期管理授權符記有關的裝置圖、系統圖和流程圖來描述。
1 圖示根據本案內容的態樣的支援通信期管理授權符記的用於無線通訊的無線通訊系統100的實例。無線通訊系統100包括網路設備105、UE 115和核心網路130。在一些實例中,無線通訊系統100可以是第5代(5G)/新無線電(NR)或長期進化(LTE)(或改進的LTE)網路。在一些態樣中,無線通訊系統100可支援增強型寬頻通訊、超可靠(亦即關鍵任務)通訊、低時延通訊和與低成本和低複雜度設備的通訊。
無線通訊系統100可支援產生針對與UE 115相關聯的通信期管理的授權符記的無線設備105。網路設備105可從UE 115接收通信期請求訊息以針對邏輯資料網路建立通信期。通信期請求訊息可包括一或多個通信期參數。在一些態樣中,網路設備105可驗證UE 115被授權針對邏輯資料網路建立通信期。網路設備105亦可回應於驗證UE 115來接收與通信期相關聯的金鑰。在一些實例中,網路設備105可基於所接收的金鑰和在通信期請求訊息中從UE 115接收的至少一個通信期參數來產生授權符記。網路設備105可向UE 115傳輸通信期回應訊息。通信期回應訊息可包括所產生的授權符記。經由驗證授權符記,UE 115能夠被確保網路設備105被授權服務UE 115。
網路設備105可經由一或多個基地站天線與UE 115無線地通訊。每個網路設備105可為相應的地理覆蓋區域110提供通訊覆蓋。在無線通訊系統100中所示的通訊鏈路125可包括從UE 115到網路設備105的上行鏈路(UL)傳輸或從網路設備105到UE 115的下行鏈路(DL)傳輸。可根據各種技術在上行鏈路通道或下行鏈路上多工控制資訊和資料。可例如使用分時多工(TDM)技術、分頻多工(FDM)技術或混合TDM-FDM技術在下行鏈路通道上多工控制資訊和資料。在一些實例中,在下行鏈路通道的傳輸時間間隔(TTI)期間傳輸的控制資訊可以用級聯的方式分佈在不同的控制區之間(例如在共用控制區和一或多個UE特定的控制區之間)。
UE 115可被配置為將通信期請求訊息傳輸到網路設備105,以針對邏輯資料網路建立通信期。在一些實例中,UE 115可被配置為從網路設備105接收通信期回應訊息。通信期回應訊息可包括基於金鑰和通信期參數的授權符記。UE 115亦可被配置為使用從與UE 115相關聯的認證錨金鑰匯出的金鑰(例如SMF金鑰)來對通信期請求訊息進行完整性保護。
UE 115可遍及無線通訊系統100分散,且每個UE 115可以是靜止的或行動的。UE 115亦可被稱為行動站、用戶站、行動單元、用戶單元、無線單元、遠端單元、行動設備、無線設備、無線通訊設備、遠端設備、行動用戶站、存取終端、行動終端、無線終端、遠端終端機、手機、使用者代理、行動服務客戶端、客戶端或某個其他適當的術語。UE 115亦可以是蜂巢式電話、個人數位助理(PDA)、無線數據機、無線通訊設備、手持設備、平板電腦、膝上型電腦、無線電話、個人電子設備、手持設備、個人電腦、無線區域迴路(WLL)站、IoT設備、萬物網路(IoE)設備、機器型通訊(MTC)設備、器具、汽車等。
在一些態樣中,UE 115亦能夠與其他UE直接通訊(例如使用同級間(P2P)或設備到設備(D2D)協定)。利用D2D通訊的UE 115的群組中的一或多個UE可以在細胞的地理覆蓋區域110內。在此種群組中的其他UE 115可以在細胞的地理覆蓋區域110之外或以其他方式不能從網路設備105接收傳輸。在一些態樣中,經由D2D通訊進行通訊的UE 115的群組可利用一對多(1:M)系統,因為每個UE 115傳輸到群組之每一者其他UE 115。在一些態樣中,網路設備105促進資源的排程以用於D2D通訊。在其他態樣中,獨立於網路設備而執行D2D通訊。
諸如MTC或IoT設備的一些UE 115可以是低成本或低複雜度設備,並可提供在機器之間的自動化通訊,亦即機器到機器(M2M)通訊。M2M或MTC可以指允許設備與彼此或基地站通訊而沒有人類幹預的資料通訊技術。例如,M2M或MTC可以指來自設備的通訊,設備整合感測器或儀錶以量測或擷取資訊並將該資訊中繼給中央伺服器或應用程式,而中央伺服器或應用程式能夠利用資訊或將資訊呈遞給與程式或應用程式互動的人。一些UE 115可被設計成收集資訊或實現機器的自動化行為。MTC設備的應用的實例包括智慧計量、庫存監測、水位監測、設備監測、健康監測、野生生物監測、天氣和地理事件監測、艦隊管理和追蹤、遠端安全感測、實體存取控制和基於交易的商業計費。
在一些態樣中,MTC設備可使用半雙工(單向)通訊以減小的峰值速率操作。MTC設備亦可被配置為當不參與主動通訊時進入功率節省「深睡眠」模式。在一些態樣中,MTC或IoT設備可被設計成支援關鍵任務功能,且無線通訊系統可被配置為為該等功能提供超可靠通訊。
網路設備105可與核心網路130並與彼此通訊。例如,網路設備105可經由回載鏈路132(例如S1等)與核心網路130介面連接。網路設備105可經由回載鏈路134(例如X2等)直接或間接地(例如經由核心網路130)與彼此通訊。網路設備105可執行無線電配置和排程以用於與UE 115通訊,或可在基地站控制器(未圖示)的控制下操作。在一些實例中,網路設備105可以是巨集細胞、小型細胞、熱點等。網路設備105亦可被稱為進化型節點B(eNB) 105。
網路設備105可由S1介面連接到核心網路130。核心網路可以是進化型封包核心(EPC),其可包括至少一個MME、至少一個S-GW和至少一個P-GW。MME可以是處理UE 115和EPC之間的信號傳遞的控制節點。所有使用者IP封包可經由S-GW被傳送,S-GW本身可連接到P-GW。P-GW可提供IP位址分配以及其他功能。P-GW可連接到網路服務供應商IP服務。服務供應商IP服務可包括網際網路、網內網路、IP多媒體子系統(IMS)和封包交換(PS)串流服務(PSS)。
核心網路130可提供使用者認證、存取授權、追蹤、網際網路協定(IP)連接性和其他存取、路由或行動性功能。諸如網路設備105的至少一些網路設備可包括子元件,例如存取網路設備,其可以是存取節點控制器(ANC)的實例。每個存取網路設備可經由多個其他存取網路傳輸實體與多個UE通訊,其中每個存取網路傳輸實體可以是智慧無線電頭或傳輸/接收點(TRP)的實例。在一些配置中,每個存取網路設備或網路設備105的各種功能可以跨越各種網路設備(例如無線電頭和存取網路控制器)分佈或合併到單個網路設備(例如網路設備105)內。
無線通訊系統100可在使用從700 MHz到2600 MHz(2.6 GHz)的頻帶的超高頻率(UHF)頻率區中操作,儘管在無線通訊系統100的一些態樣中可使用高達4 GHz的頻率。該區亦可被稱為分米頻帶,因為波長在長度上位於從大約一分米到一米的範圍。UHF波可主要經由視線來傳播,並可被建築物和環境特徵阻擋。然而,波可充分穿透牆壁以向位於室內的UE 115提供服務。與使用頻譜的高頻(HF)或特高頻(VHF)部分的較小頻率(和較長的波)的傳輸相比,UHF波的傳輸以較小的天線和較短的範圍(例如小於100 km)為特徵。在一些態樣中,無線通訊系統100亦可利用頻譜的極高頻(EHF)部分(例如從30 GHz到300 GHz)。該區亦可被稱為毫米頻帶,因為波長在長度上範位於從大約1毫米到一釐米的範圍。因此,EHF天線可以比UHF天線甚至更小和更緊密地間隔開。在一些態樣中,此情形可促進UE 115內的天線陣列的使用(例如對於定向波束成形)。然而,與UHF傳輸相比,EHF傳輸可能受制於甚至更大的大氣衰減和更短的範圍。
因此,無線通訊系統100可支援UE 115和網路設備105之間的毫米波(mmW)通訊。在mmW或EHF頻帶中操作的設備可具有多個天線以允許波束成形。亦即,網路設備105可使用多個天線或天線陣列來進行波束成形操作以用於與UE 115的定向通訊。波束成形(其亦可被稱為空間濾波或定向傳輸)是可在傳輸器(例如UE 115)處使用以將整體天線波束成形及/或控制在目標接收器(例如UE 115)的方向上的信號處理技術。該技術可經由以如下方式組合天線陣列中的元件來實現:在特定角度下的所傳輸的信號經歷建設性干擾,而其他信號經歷破壞性干擾。
多輸入多輸出(MIMO)無線系統使用傳輸器(例如基地站)和接收器(例如UE)之間的傳輸方案,其中傳輸器和接收器兩者皆配備有多個天線。無線通訊系統100的一些部分可使用波束成形。例如,網路設備105可具有天線陣列,其具有網路設備105可用於在網路設備105與UE 115的通訊中進行波束成形的多行和多列天線埠。信號可在不同的方向上傳輸多次(例如,每次傳輸可以不同地進行波束成形)。mmW接收器(例如UE 115)可嘗試多個波束(例如天線子陣列),同時接收同步信號。
在一些態樣中,網路設備105或UE 115的天線可位於可支援波束成形或MIMO操作的一或多個天線陣列內。一或多個基地站天線或天線陣列可被共置在諸如天線塔的天線組合體處。在一些態樣中,與網路設備105相關聯的天線或天線陣列可位於不同的地理位置上。網路設備105可多次使用天線或天線陣列以進行波束成形操作以用於與UE 115的定向通訊。
在一些態樣中,無線通訊系統100可以是根據分層協定堆疊操作的基於封包的網路。在使用者平面中,在承載或封包資料彙聚協定(PDCP)層處的通訊可以是基於IP的。無線電鏈路控制(RLC)層可在一些態樣中執行封包分段和重組以在邏輯通道上通訊。媒體存取控制(MAC)層可執行邏輯通道到傳輸通道的優先順序處理和多工。MAC層亦可使用混合ARQ(HARQ)來提供在MAC層處的重傳以提高鏈路效率。在控制平面中,無線電資源控制(RRC)協定層可提供在UE 115和支援使用者平面資料的無線電承載的網路設備105或核心網路130之間的RRC連接的建立、配置和維護。在實體(PHY)層處,傳輸通道可映射到實體通道。
可以用基本時間單元的倍數(其可以是Ts =1/30,720,000秒的取樣週期)表達LTE或NR中的時間間隔。可根據10 ms長度的無線電訊框(Tf =307200Ts )來組織時間資源,無線電訊框可由範圍從0到1023的系統訊框號(SFN)識別。每個訊框可包括從0到9編號的10個1 ms子訊框。子訊框可進一步劃分成兩個0.5 ms時槽,其中每個時槽包含6或7個調制符號週期(取決於在每個符號前加入的循環字首的長度)。不包括循環字首,每個符號包含2048個取樣週期。在一些態樣中,子訊框可以是亦被稱為TTI的最小排程單元。在其他態樣中,TTI可以比子訊框短,或可以動態地選擇(例如在短TTI短脈衝中或在使用短TTI的選擇的分量載波中)。
資源元素可由一個符號週期和一個次載波(例如15 KHz頻率範圍)組成。資源區塊可包含頻域中的12個連續的次載波,且對於每個OFDM符號中的正常循環字首而言,包含時域(1個時槽)中的7個連續OFDM符號或84個資源元素。由每個資源元素攜帶的位元的數量可取決於調制方案(可在每個符號週期期間選擇的符號的配置)。因此,UE接收的資源區塊越多且調制方案越高,資料速率可能就越高。
無線通訊系統100可支援在多個細胞或載波上的操作,該特徵是可被稱為載波聚合(CA)或多載波操作的特徵。載波亦可被稱為分量載波(CC)、層、通道等。術語「載波」、「分量載波」、「細胞」和「通道」可在本文可互換地使用。UE 115可配置有多個下行鏈路CC和一或多個上行鏈路CC以用於載波聚合。載波聚合可與FDD和TDD分量載波兩者一起使用。
在一些態樣中,無線通訊系統100可利用增強型分量載波(eCC)。eCC可以由一或多個特徵表徵,該等特徵包括:較寬的頻寬、較短的符號持續時間、較短的傳輸時間間隔(TTI)和修改的控制通道配置。在一些態樣中,eCC可與載波聚合配置或雙連接配置相關聯(例如當多個服務細胞具有次優或非理想回載鏈路時)。eCC亦可被配置為在免授權頻譜或共享頻譜(其中多於一個服務供應商被允許使用頻譜)中使用。由寬頻寬表徵的eCC可包括可由不能夠監測整個頻寬或優選使用有限頻寬(例如以節省功率)的UE 115利用的一或多個分段。
在一些態樣中,eCC可利用與其他CC不同的符號持續時間,其可包括與另一CC的符號持續時間相比,使用減小的符號持續時間。較短的符號持續時間可與增加的次載波間距相關聯。在eCC中的TTI可由一或多個符號組成。在一些態樣中,TTI持續時間(亦即在TTI中的符號的數量)可以是可變的。在一些態樣中,eCC可利用與其他CC不同的符號持續時間,其可包括與另一CC的符號持續時間相比,使用減小的符號持續時間。較短的符號持續時間與增加的次載波間距相關聯。利用eCC的諸如UE 115或網路設備105的設備可在減小的符號持續時間(例如16.67微秒)傳輸寬頻信號(例如20、40、60、80 MHz等)。eCC中的TTI可由一或多個符號組成。在一些態樣中,TTI持續時間(亦即在TTI中的符號的數量)可以是可變的。
在一些態樣中,無線通訊系統100可利用經授權和免授權射頻頻譜頻帶。例如,無線通訊系統100可在諸如5 Ghz工業、科學和醫學(ISM)頻帶的免授權頻帶中使用LTE授權輔助存取(LTE-LAA)或LTE免授權(LTEU)無線電存取技術或NR技術。當在免授權射頻頻譜頻帶中操作時,諸如網路設備105和UE 115的無線設備可使用先聽後講(LBT)程序來確保通道在傳輸資料之前是清空的。在一些態樣中,結合在經授權頻帶中操作的分量載波(CC),在免授權頻帶中的操作可基於載波聚合(CA)配置。在免授權頻譜中的操作可包括下行鏈路傳輸、上行鏈路傳輸或兩者。在免授權頻譜中的雙工可基於分頻雙工(FDD)、分時雙工(TDD)或兩者的組合。
2 圖示根據本案內容的態樣的支援通信期管理授權符記的用於無線通訊的無線通訊系統200的實例。無線通訊系統200可包括UE 115,UE 115可以是如在本文參考圖1所示的UE 115的實例。無線通訊系統200亦可包括AMF元件205、安全錨功能(SEAF)元件210、認證伺服器功能/認證證書倉庫和處理功能(AUSF/ARPF)元件215、RAN元件220、邏輯資料網路群組(亦即網路切片)225和PCF元件245。
在一些實例中,邏輯資料網路群組225可包括第一邏輯資料網路225-a、第二邏輯資料網路225-b和第三邏輯資料網路225-c。邏輯資料網路群組225可此外包括SMF元件230和使用者平面功能(UPF)元件235。在無線通訊系統200中所示的通訊鏈路260可包括從UE 115到一或多個網路實體(例如AMF元件205、SEAF元件210、AUSF/ARPF元件215、RAN元件220、邏輯資料網路群組225和PCF元件245)的上行鏈路(UL)傳輸或從一或多個網路實體(例如AMF元件205、SEAF元件210、AUSF/ARPF元件215、RAN元件220、邏輯資料網路群組225和PCF元件245)到UE 115的下行鏈路(DL)傳輸。
UE 115可傳輸通信期請求訊息以建立與邏輯資料網路群組225的一或多個邏輯資料網路的通信期。在一些實例中,通信期可以是與一或多個邏輯資料網路225的PDU通信期。在一些態樣中,UE 115和SMF元件230可建立通信期管理(SM)非存取層(NAS)安全連接,且UE 115可經由所建立的SM NAS安全連接來傳輸通信期請求訊息。UE 115可此外對通信期請求訊息進行完整性保護。在一些實例中,SMF元件230可基於從網路的SEAF元件210得到的SMF金鑰(亦即與SMF相關聯的資料網路通信期金鑰或切片金鑰)來驗證受到完整性保護的通信期請求訊息。SEAF元件210可保持認證錨金鑰,亦即SEAF金鑰,並匯出SMF元件230(或資料網路或切片)的SMF金鑰。例如,UE 115可匯出SMF金鑰以使用SEAF金鑰(亦即與UE 115相關聯的認證錨金鑰)來保護通信期請求訊息。SEAF金鑰在一些態樣中可能對於AMF元件205是不可用的。
SEAF元件210亦可基於SMF元件230的位置來匯出SMF金鑰。此外,SEAF元件210可基於SMF元件230的位置、邏輯資料網路類型或(例如與第一邏輯資料網路225-a、第二邏輯資料網路225-b及/或第三邏輯資料網路225-c中的至少一個相關聯的)ID來匯出SMF金鑰。在一些態樣中,SMF元件230可位於VPLMN或HPLMN的至少一者中。
經由通訊鏈路260與UPF元件235通訊的SMF元件230,以及PCF元件245和AUSF/ARPF元件215可驗證UE 115被授權針對相應的邏輯資料網路(例如來自邏輯資料網路群組225的至少一個邏輯資料網路切片)建立PDU通信期。在一些實例中,SMF元件230可將受到完整性保護的通信期回應訊息傳輸到UE 115。受到完整性保護的通信期回應訊息可在一些實例中由UE 115驗證。SMF元件230可從SEAF元件210得到SMF金鑰。SEAF元件210可維持基於UE 115的驗證(亦即認證)而匯出的SEAF金鑰。SEAF金鑰可在一些實例中在UE 115處匯出。
在一些實例中,SMF元件230可得到通信期參數或由UE 115請求的服務的指示(例如建立對eMBB切片、IoT切片或關鍵任務切片的訂閱)。SMF元件230可基於UE 115訂閱簡介、邏輯資料網路策略、協力廠商授權或其任何組合來決定通信期參數。PCF元件245可儲存UE 115訂閱簡介。作為結果,PCF元件245可以向SMF元件230提供與資料網路或服務通信期相關聯的UE 115訂閱簡介。在一些態樣中,SMF元件230可基於UE 115的訂閱簡介、邏輯資料網路策略、協力廠商授權或其任何組合中的至少一者來決定所請求的通信期的通信期策略。SMF元件230可將通信期回應訊息中的通信期策略傳輸到UE 115。
SMF元件230亦可將金鑰請求訊息傳輸到SEAF元件210。金鑰請求訊息可包括UE 115的ID和至少一個邏輯資料網路225的ID。SEAF元件210可將金鑰請求訊息傳輸到AUSF/ARPF元件215。AUSF/ARPF元件215可認證UE 115。AUSF/ARPF元件215可回應於金鑰請求訊息和UE 115的認證而將金鑰回應訊息傳輸到SEAF元件210。金鑰回應訊息可包括SEAF金鑰。AUSF/ARPF元件215可匯出SEAF金鑰。在一些實例中,可基於SEAF金鑰來匯出SMF金鑰。在一些實例中,UE 115可基於SEAF金鑰來獨立地匯出SEAF金鑰和SMF金鑰。
SMF元件230可使用SMF金鑰來產生授權符記。在一些實例中,SMF元件230可基於通信期請求參數來產生授權符記。通信期請求參數可被傳輸且是通信期請求訊息的一部分。通信期請求參數可包括安全演算法、QoS、邏輯資料網路ID等。SMF元件230可使用MAC產生函數(例如HMAC-SHA-256/512、HMAC-SHA-3、CMAC、GMAC)來產生授權符記。SMF金鑰和一或多個通信期參數可以是到MAC產生函數的輸入。或者,在一些態樣中,到MAC產生函數的輸入參數可以是無安全性的指示,亦即到MAC產生函數的輸入參數將僅僅是SMF金鑰和文字字串,例如「無安全性」。在一些實例中,文字字串可以是空的。
SMF元件230可此外基於SMF金鑰和一或多個額外的通信期參數來產生授權符記。例如,SMF元件230可基於SMF金鑰、通信期請求參數、邏輯資料網路ID、SMF ID、通信期計數器、通信期管理訊息計數器、至少一個所選擇的安全演算法的雜湊、至少一個通信期請求參數的雜湊、PDU通信期的通信期策略或其組合來產生授權符記。在一些態樣中,通信期計數器可與UE 115自從加入網路以來已經請求的通信期的數量相關聯。
在一些態樣中,SEAF元件210可監測並追蹤UE 115自從加入網路以來已經請求的通信期的數量。通信期管理訊息計數器可以是防止在由UE 115傳輸的通信期請求訊息(亦即通信期建立請求訊息)上的重放攻擊或在由SMF元件230傳輸的通信期回應訊息(亦即通信期建立回應訊息)上的重放攻擊或該兩者的計數器。SMF元件230可經由AMF元件205將包括所產生的授權符記的通信期回應訊息傳輸到UE 115。
圖3A和圖3B圖示根據本案內容的態樣的支援通信期管理授權符記的過程流程300的實例。 3A 圖示根據本案內容的態樣的支援設備到網路的註冊的過程流程300-a的實例。與過程流程300-a相關聯的設備可包括UE 115,其可以是如在本文參考圖1所述的UE 115的實例。過程流程300-a亦可包括AMF元件205-a、SMF元件305、SEAF元件210-a和AUSF/ARPF元件215-a,上述多個元件可以是如在本文參考圖2所述的AMF元件、SMF元件、UPF元件、SEAF元件和AUSF/ARPF元件的實例。
在310,UE 115可將附著請求訊息傳輸到AMF元件205-a。附著請求訊息可以是初始NAS訊息。在一些實例中,附著請求訊息可包括UE識別符(ID)、訂閱者使用者永久ID、UE網路能力或其任何組合。
在315,AMF元件205-a可接收附著請求訊息並將金鑰請求訊息傳輸到SEAF元件210-a。在一些實例中,AMF元件205-a可接收UE識別符ID、訂閱者使用者永久ID、UE網路能力或其任何組合,並在金鑰請求訊息中傳輸該資訊。SEAF元件210-a可在邏輯上位於HPLMN或VPLMN中。在一些態樣中,SEAF元件210-a可在邏輯上位於與SMF元件305相同的網路中。
在320,SEAF元件210-a可將金鑰請求訊息傳輸到AUSF/ARPF元件215-a。在325,AUSF/ARPF元件215-a可執行與UE 115的相互認證。在330,回應於相互認證,AUSF/ARPF元件215-a可將金鑰回應訊息傳輸到SEAF元件210-a。在一些實例中,金鑰回應訊息包括SEAF金鑰。SEAF金鑰可以是UE特定的。此外,可基於UE 115的認證(亦即相互認證)來匯出SEAF金鑰。
在335,SEAF元件210-a可將金鑰回應訊息傳輸到AMF元件205-a。在一些實例中,金鑰回應訊息可以由SEAF元件210-a進行完整性保護。例如,SEAF元件210-a可產生AMF加密金鑰並傳輸具有包括SEAF金鑰的金鑰回應訊息的AMF加密金鑰。
在340,AMF元件205-a和UE 115可執行NAS安全模式命令(SMC)。在一些實例中,NAS SMC可建立AMF金鑰(或NAS金鑰)以用於UE 115和AMF元件205-a之間的NAS信號傳遞訊息的安全傳遞。在一些實例中,NAS信號傳遞訊息可以在控制平面中。在一些態樣中,NAS SMC可包括選擇的安全演算法、PDU通信期的通信期策略或其組合中的至少一者。在一些態樣中,UE 115和SMF元件305可建立SM NAS安全連接,且UE 115可經由所建立的SM NAS安全連接來傳輸通信期請求訊息。在345,AMF元件205-a可將附著接受訊息傳輸到UE 115。在350,UE 115可將附著完成訊息傳輸到AMF元件205-a。
3B 圖示根據本案內容的態樣的支援通信期管理授權符記的過程流程300-b的實例。過程流程300-b可包括UE 115,其可以是如在本文關於圖1和圖3A所述的UE 115的實例。過程流程300-b亦可包括AMF元件205-a、SMF元件305、SEAF元件210-a、AUSF/ARPF元件215-a和PCF元件245-a,上述元件可以是如在本文關於圖2到圖3A所述的AMF元件、SMF元件、UPF元件、SEAF元件、AUSF/ARPF元件的實例。
在360,UE 115可將服務通信期請求訊息傳輸到AMF元件205-a。在一些實例中,服務通信期請求訊息可以針對與UE 115相關聯的邏輯資料網路(亦即網路切片)建立PDU通信期。在一些態樣中,服務通信期請求訊息可包括一或多個通信期參數。一或多個通信期參數可包括由UE 115選擇的一或多個安全演算法、由UE 115支援的安全演算法集合、QoS等。此外,服務通信期請求訊息可包括邏輯網路ID或UE ID或該兩者。在一些實例中,UE 115可基於UE 115和AMF元件205-a之間的共享金鑰(例如使用SEAF金鑰和切片(或服務)ID匯出的SMF金鑰)來對服務通信期請求訊息進行完整性保護。
在360-a,UE 115可將服務通信期請求訊息傳輸到SMF元件305。在365,SMF元件305可回應於接收到服務通信期請求訊息,經由將服務通信期請求訊息傳輸到PCF元件245-a來促進訂閱檢查。PCF元件245-a可基於訂閱檢查來將指示傳輸到SMF元件305。該指示可識別UE是否被授權建立PDU通信期。
在370,SMF元件305可執行策略決定。為了執行策略決定,SMF元件305可得到由UE 115請求的一或多個通信期參數。在得到通信期參數之後,SMF元件305可基於UE 115的訂閱簡介、邏輯資料網路策略、協力廠商授權或其任何組合來決定通信期參數。作為結果,SMF元件305可決定服務通信期請求訊息的通信期策略。
在375,SMF元件305可將金鑰請求訊息傳輸到SEAF元件210-a。在375-a,SEAF元件210-a可將金鑰請求訊息傳輸到AUSF/ARPF元件215-a。AUSF/ARPF元件215-a可維持基於UE 115的成功認證(例如在365)而匯出的認證錨金鑰。在380,AUSF/ARPF元件215-a可將金鑰回應訊息傳輸到SEAF元件210-a。SEAF元件210-a匯出SMF金鑰並將包括SMF金鑰的金鑰回應訊息傳輸到SMF元件305。SEAF元件210-a可控制SMF元件305是否被授權經由將SMF金鑰嚴格地發送到經授權的SMF元件305來服務UE 115。
在385,SMF元件305可產生授權符記。在一些態樣中,SMF元件305可基於訊息認證碼(MAC)函數來產生授權符記。SMF金鑰和一或多個通信期參數可以是到MAC函數的輸入。在390,SMF元件305可將服務通信期回應訊息傳輸到AMF元件205-a。在390-a,AMF元件205-a可將服務通信期回應訊息傳輸到UE 115。服務通信期回應訊息可包括所產生的授權符記。在390-b,UE 115可驗證授權符記要被確保SMF元件305被授權服務UE 115。在395-a,UE 115可將通信期回應認可訊息傳輸到SMF元件305。在395-b,SMF元件305可驗證從UE 115接收的通信期回應認可訊息。通信期回應認可訊息可指示包括授權符記的通信期回應訊息的接收。
4 圖示根據本案內容的態樣的支援通信期管理授權符記的用於無線通訊的無線通訊系統400的實例。無線通訊系統400可包括UE 115,其可以是如在本文關於圖1所述的UE 115的實例。無線通訊系統400亦可包括AMF元件405、SEAF元件410、AUSF/ARPF元件415、RAN元件420、邏輯資料網路(亦即網路切片)群組425和協力廠商AAA元件445。
在一些實例中,邏輯資料網路群組425可包括第一邏輯資料網路425-a、第二邏輯資料網路425-b和第三邏輯資料網路425-c。邏輯資料網路群組425可此外包括SMF元件430和UPF元件435。在無線通訊系統400中所示的通訊鏈路460可包括從UE 115到一或多個網路實體(例如AMF元件405、SEAF元件410、AUSF/ARPF元件415、RAN元件420、邏輯資料網路群組425和協力廠商AAA元件445)的上行鏈路(UL)傳輸或從一或多個網路實體(例如AMF元件405、SEAF元件410、AUSF/ARPF元件415、RAN元件420、邏輯資料網路群組425和協力廠商AAA元件445)到UE 115的下行鏈路(DL)傳輸。
在一些實例中,用於無線通訊的無線通訊系統400基於輔助認證來支援通信期管理授權符記。UE 115可傳輸通信期請求訊息以建立與邏輯資料網路群組425的一或多個邏輯資料網路的通信期。通信期可以是與一或多個邏輯資料網路425的PDU通信期。在一些態樣中,UE 115和SMF元件430可建立SM NAS安全連接,且UE 115可經由所建立的SM NAS安全連接來傳輸通信期請求訊息。通信期請求訊息可包括所支援的安全演算法和通信期要求的列表。
UE 115可此外對通信期請求訊息進行完整性保護。在一些實例中,SMF元件430可基於從SEAF元件410得到的金鑰(亦即SMF金鑰)來驗證受到完整性保護的通信期請求訊息。例如,UE 115可匯出金鑰以使用SEAF金鑰(亦即與UE 115相關聯的認證錨金鑰)來保護通信期請求訊息。SMF金鑰在一些態樣中可能對於AMF元件405是不可用的。SEAF元件410亦可基於SMF元件430的資訊來匯出SMF金鑰。此外,SEAF元件410可基於SMF元件430的位置、邏輯資料網路類型或(例如與第一邏輯資料網路425-a、第二邏輯資料網路425-b及/或第三邏輯資料網路425-c中的至少一個相關聯的)ID來匯出SMF金鑰。在一些態樣中,SMF元件430可位於VPLMN或HPLMN中的至少一者中。
經由通訊鏈路460與UPF元件435通訊的SMF元件430,以及協力廠商AAA元件445和AUSF/ARPF元件215可驗證UE 115被授權針對對應的邏輯資料網路(例如來自邏輯資料網路群組425的至少一個邏輯資料網路切片)建立PDU通信期。在一些實例中,SMF元件430可將受到完整性保護的通信期回應訊息傳輸到UE 115。受到完整性保護的通信期回應訊息可在一些實例中僅由UE 115驗證。SMF元件430可從SEAF元件410得到SMF金鑰。
SEAF元件410可維持基於UE 115的驗證(亦即認證)經由協力廠商AAA元件445而匯出的SEAF金鑰。SEAF金鑰可在一些實例中在UE 115處被匯出。在一些實例中,SMF元件430可直接與協力廠商AAA元件445介面連接。作為結果,可基於由協力廠商AAA元件445發送的金鑰來匯出SMF金鑰。或者,SMF元件430可與SEAF元件410介面連接,且SEAF元件410可與協力廠商AAA元件445介面連接。在該態樣中,基於由協力廠商AAA元件發送到SEAF元件410的金鑰來匯出SEAF金鑰。隨後基於SMF元件430從SEAF元件410得到的SEAF金鑰來匯出SMF金鑰。在一些實例中,SMF元件430直接與協力廠商AAA元件445介面連接。作為結果,可基於由協力廠商AAA元件445發送的金鑰來匯出SMF金鑰。或者,SMF元件430可與SEAF元件410介面連接,且SEAF元件410可與協力廠商AAA元件445介面連接。在該態樣中,基於由協力廠商AAA元件發送到SEAF元件410的金鑰來匯出SEAF金鑰。隨後基於SMF元件430從SEAF元件410得到的SEAF金鑰來匯出SMF金鑰。
在一些實例中,SMF元件430可得到通信期參數或由UE 115請求的服務的指示(例如建立對eMBB切片、IoT切片或關鍵任務切片的訂閱)。SMF元件430可基於UE 115的訂閱簡介、邏輯資料網路策略、協力廠商授權或其任何組合來決定通信期參數。協力廠商AAA元件445可儲存UE 115的訂閱簡介。作為結果,協力廠商AAA元件445可以向SMF元件430提供UE 115的訂閱簡介。在一些態樣中,協力廠商AAA元件445可以向SMF元件430提供UE 115的服務授權資訊。在一些態樣中,SMF元件430可基於UE 115的訂閱簡介、邏輯資料網路策略、協力廠商授權或其任何組合中的至少一者來決定針對所請求的通信期的通信期策略。SMF元件430可在通信期回應訊息中將通信期策略傳輸到UE 115。
SMF元件430亦可將金鑰請求訊息傳輸到SEAF元件410。金鑰請求訊息可包括UE 115的ID和至少一個邏輯資料網路425的ID。AUSF/ARPF元件415可認證UE 115。AUSF/ARPF元件415可回應於金鑰請求訊息和UE 115的認證而傳輸金鑰回應訊息。金鑰回應訊息可包括SMF金鑰。在一些實例中,可基於與UE 115相關聯的SEAF金鑰來匯出SMF金鑰。
SMF元件430可決定UE 115和協力廠商AAA元件445之間的輔助認證是否對批准PDU通信期是需要的。可基於UE 115、SMF元件430和協力廠商AAA元件445之間交換的認證訊息來執行輔助認證。此外,可基於UE 115、SMF元件430、SEAF元件410和協力廠商AAA元件445之間交換的認證訊息來執行輔助認證。
SMF元件430可傳遞UE 115和協力廠商AAA元件445之間的認證訊息交換。在一些實例中,可經由UE 115和SMF元件430之間的SM NAS連接並經由SMF元件430和協力廠商AAA元件445之間的SM NAS連接來傳遞認證訊息交換。在一些實例中,SMF元件430可從協力廠商AAA元件445接收UE 115被授權針對邏輯資料網路建立PDU通信期的指示。協力廠商AAA元件445亦可匯出SMF金鑰並將包括SMF金鑰的金鑰回應訊息傳輸到SMF元件430。在一些實例中,協力廠商AAA元件445可基於驗證UE被授權建立PDU通信期來傳輸金鑰回應訊息。在一些實例中,可基於可擴展認證協定(EAP)來傳輸SMF金鑰。協力廠商AAA元件445亦可基於成功的EAP認證來將主通信期金鑰傳輸到SMF元件430。SMF元件430可使用主通信期金鑰來匯出SMF金鑰。或者,SMF元件430可使用所接收的主通信期金鑰作為SMF金鑰。協力廠商AAA元件445可在金鑰回應訊息中將主通信期金鑰傳輸到SMF元件430。
在一些態樣中,SMF元件430可將SM NAS安全模式命令傳輸到UE 115。SM NAS安全模式命令可包括由SMF元件430進行的選擇的安全演算法和可選地由SMF元件430決定的服務策略。SM NAS安全模式命令亦可包括所支援的演算法和由UE 115提供的通信期要求(亦即UE 115在通信期請求訊息中已經傳輸的重放,以使UE 115確認SMF元件430在通信期請求訊息中接收的通信期參數,並因此防止打壓(bidding down)攻擊)。在一些實例,可在SM NAS安全模式命令中由SMF元件430將所支援的演算法和通信期要求的雜湊提供到UE 115。UE 115可驗證所支援的演算法和通信期要求的所接收的雜湊。例如,UE 115可將傳輸到SMF元件430的通信期參數儲存在通信期請求訊息中。SMF元件可使用所儲存的通信期參數以回應於從SMF元件430接收到SM NAS安全模式命令來計算雜湊。SM NAS安全模式命令可包括UE 115的ID和與SEAF元件410相關聯的SMF金鑰匯出參數。UE 115可基於從SMF元件430接收的匯出參數來匯出SMF金鑰。在匯出SMF金鑰之後,UE 115可驗證SM NAS安全模式命令。若SM NAS安全模式命令驗證是成功的,則UE 115可將SM NAS安全模式完成訊息傳輸到SMF元件430。
SMF元件430可使用SMF金鑰來產生授權符記。在一些實例中,SMF元件430可基於通信期請求參數來產生授權符記。通信期請求參數可被傳輸且是通信期請求訊息的部分。通信期請求參數可包括安全演算法、QoS、邏輯資料網路ID等。SMF元件430可使用MAC產生函數(例如HMAC-SHA-256/512、HMAC-SHA-3、CMAC、GMAC)來產生授權符記。SMF金鑰和一或多個通信期參數可以是到MAC產生函數的輸入。或者,在一些態樣中,到MAC產生函數的輸入參數可以是無安全性的指示,亦即到MAC產生函數的輸入參數將僅僅是SMF金鑰。
SMF元件430可此外基於SMF金鑰和一或多個額外的通信期參數來產生授權符記。例如,SMF元件430可基於SMF金鑰、通信期請求參數、邏輯資料網路ID、SMF ID、通信期計數器、通信期管理訊息計數器、所選擇的安全演算法、PDU通信期的通信期策略或其組合中的至少一者的雜湊來產生授權符記。在一些態樣中,通信期計數器可與UE 115自從加入網路以來已經請求的通信期的數量相關聯。例如,SEAF元件410可監測並追蹤UE 115自從加入網路以來已經請求的通信期的數量。通信期管理訊息計數器可以是防止在AMF元件405上的重放攻擊的計數器。SMF元件430可經由AMF元件405將包括所產生的授權符記的通信期回應訊息傳輸到UE 115。
圖5A和圖5B圖示根據本案內容的態樣的支援通信期管理授權符記的過程流程500的實例。 5A 圖示根據本案內容的態樣的支援設備到網路的註冊的過程流程500-a的實例。過程流程500-a的網路設備可包括UE 115,其可以是如在本文參考圖1所述的UE 115的實例。過程流程500-a亦可包括AMF元件405-a、SMF元件505、SEAF元件410-a和AUSF/ARPF元件415-a,上述元件可以是如在本文參考圖2到圖4所述的AMF元件、SMF元件、UPF元件、SEAF元件和AUSF/ARPF元件的實例。
在510,UE 115可將附著請求訊息傳輸到AMF元件405-a。附著請求訊息可以是RRC訊息內的初始NAS訊息。在一些實例中,附著請求訊息可包括UE識別符(ID)、訂閱者使用者永久ID、UE網路能力或其任何組合。
在515,AMF元件405-a可接收附著請求訊息並將金鑰請求訊息傳輸到SEAF元件410-a。在一些實例中,AMF元件405-a可接收UE識別符ID、訂閱者使用者永久ID、UE網路能力或其任何組合,並在金鑰請求訊息中傳輸該資訊。SEAF元件410-a可在邏輯上位於HPLMN或VPLMN中。在一些態樣中,SEAF元件410-a可在邏輯上位於與SMF元件505相同的網路中。
在520,SEAF元件410-a可將金鑰請求訊息傳輸到AUSF/ARPF元件415-a。在525,AUSF/ARPF元件415-a可執行與UE 115的相互認證。在530,回應於相互認證,AUSF/ARPF元件415-a可將金鑰回應訊息傳輸到SEAF元件410-a。在一些實例中,金鑰回應訊息包括SEAF金鑰。SEAF金鑰可以是UE特定的。此外,可基於UE 115的認證(亦即相互認證)來匯出SEAF金鑰。
在535,SEAF元件410-a可將金鑰回應訊息傳輸到AMF元件405-a。在一些實例中,金鑰回應訊息可以由SEAF元件410-a進行完整性保護。例如,SEAF元件410-a可產生AMF加密金鑰並傳輸具有包括SEAF金鑰的金鑰回應訊息的AMF加密金鑰。
在540,AMF元件405-a和UE 115可執行NAS SMC。在一些實例中,NAS SMC可提供UE 115和AMF元件405-a之間的NAS信號傳遞訊息的安全傳遞。在一些實例中,NAS信號傳遞訊息可以在控制平面中。在一些態樣中,NAS SMC可包括選擇的安全演算法、PDU通信期的通信期策略或其組合中的至少一者。在545,AMF元件405-a可將附著接受訊息傳輸到UE 115。在550,UE 115可將附著完成訊息傳輸到AMF元件405-a。
5B 圖示根據本案內容的態樣的支援通信期管理授權符記的過程流程500-b的實例。過程流程500-b可包括UE 115,其可以是如在本文關於圖1和圖5A所述的UE 115的實例。過程流程500-b亦可包括AMF元件405-a、SMF元件505、SEAF元件410-a、AUSF/ARPF元件415-a和協力廠商AAA元件445-a,上述元件可以是如在本文關於圖2到圖5A所述的AMF元件、SMF元件、UPF元件、SEAF元件和AUSF/ARPF元件的實例。
在560,UE 115可將服務通信期請求訊息傳輸到AMF元件405-a。在一些實例中,服務通信期請求訊息可以是要針對與UE 115相關聯的邏輯資料網路(亦即網路切片)建立PDU通信期。在一些態樣中,服務通信期請求訊息可包括一或多個通信期參數。一或多個通信期參數可包括安全演算法、QoS等。此外,服務通信期請求訊息可包括邏輯網路ID或UE ID或該兩者。在一些實例中,UE 115可基於UE 115和AMF元件405-a之間的共享金鑰(例如SEAF金鑰)來對服務通信期請求訊息進行完整性保護。
在560-a,AMF 405-a可將服務通信期請求訊息傳輸到SMF元件505。在565,SMF元件505可回應於接收到服務通信期請求訊息而執行策略決定。為了執行策略決定,SMF元件505可得到由UE 115請求的一或多個通信期參數。在得到通信期參數之後,SMF元件505可基於UE 115的訂閱簡介、邏輯資料網路策略、協力廠商授權或其任何組合來決定通信期參數。作為結果,SMF元件505可決定服務通信期請求訊息的通信期策略。通信期策略決定可能需要UE 115和與服務通信期請求訊息(或資料網路存取)相關聯的協力廠商AAA元件445-a之間的輔助(EAP)認證。
在570,SMF元件505可傳遞在UE 115和協力廠商AAA元件445-a之間的認證訊息交換。在一些實例中,可經由在UE 115和SMF元件505之間的SM NAS連接並經由在SMF元件505和協力廠商AAA元件445-a之間的SM NAS連接來傳遞認證訊息交換。在一些實例中,SMF元件505可從協力廠商AAA元件445-a接收UE 115被授權針對邏輯資料網路建立PDU通信期的指示。
在575,協力廠商AAA元件445-a可匯出SMF金鑰並將包括SMF金鑰的金鑰回應訊息傳輸到SMF元件505。協力廠商AAA元件445-a可控制SMF元件505是否被授權經由將SMF金鑰嚴格地發送到經授權的SMF元件505來服務UE 115。在一些實例中,協力廠商AAA元件445-a可基於驗證UE被授權建立PDU通信期來傳輸金鑰回應訊息。在一些實例中,可基於可擴展認證協定(EAP)程序來傳輸SMF金鑰。
在580,SMF元件505可產生授權符記。在一些態樣中,SMF元件505可基於訊息認證碼(MAC)函數來產生授權符記。SMF金鑰和一或多個通信期參數可以是到MAC函數的輸入。在585,SMF元件505可將服務通信期回應訊息傳輸到AMF元件405-a。在585-a,AMF元件405-a可將服務通信期回應訊息傳輸到UE 115。服務通信期回應訊息可包括所產生的授權符記。在585-b,UE 115可驗證授權符記要被確保SMF元件505被授權服務UE 115。在590-a,UE 115可將通信期回應認可訊息傳輸到SMF元件505。在590-b,SMF元件可驗證從UE接收的包括驗證UE 115的通信期回應認可訊息。通信期回應認可訊息可指示包括授權符記的通信期回應訊息的接收。
6 圖示根據本案內容的各個態樣的支援通信期管理授權符記的無線設備605的方塊圖600。無線設備605可以是如關於圖1所述的網路設備105的態樣的實例。無線設備605可包括接收器610、網路設備通信期授權管理器615和傳輸器620。無線設備605亦可包括處理器。該等元件之每一者元件可與彼此通訊(例如經由一或多個匯流排)。
接收器610可接收資訊,例如封包、使用者資料或與各種資訊通道(例如控制通道、資料通道和與通信期管理授權符記有關的資訊等)相關聯的控制資訊。資訊可傳遞到設備的其他元件。接收器610可以是關於圖9所述的收發機935的態樣的實例。
無線設備605可包括網路設備通信期授權管理器615。網路設備通信期授權管理器615及/或至少一些其各種子元件可在硬體、由處理器執行的軟體、韌體或其任何組合中實現。若在由處理器執行的軟體中實現,則網路設備通信期授權管理器615及/或至少一些其各種子元件的功能可由被設計成執行在本案內容中所述的功能的通用處理器、數位信號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或其他可程式設計邏輯設備、個別閘門或電晶體邏輯、個別硬體元件或其任何組合執行。
網路設備通信期授權管理器615及/或至少一些其各種子元件可實體地位於各種位置處,包括是分散式的,使得功能的部分在不同的實體位置處由一或多個實體設備實現。在一些實例中,網路設備通信期授權管理器615及/或至少一些其各種子元件可以是根據本案內容的各種態樣的單獨和不同的元件。在其他實例中,網路設備通信期授權管理器615及/或至少一些其各種子元件可與一或多個其他硬體元件組合,硬體元件包括但不限於根據本案內容的各種態樣的I/O元件、收發機、網路伺服器、另一計算設備、在本案內容中所述的一或多個其他元件或其組合。
網路設備通信期授權管理器615可接收通信期請求訊息以針對與UE相關聯的邏輯資料網路建立PDU通信期,通信期請求訊息可包括一或多個通信期參數。網路設備通信期授權管理器615可驗證UE被授權針對邏輯資料網路建立PDU通信期,基於該驗證來接收與PDU通信期相關聯的金鑰,基於所接收的金鑰和通信期參數來產生授權符記,並將包括所產生的授權符記的通信期回應訊息傳輸到UE。
傳輸器620可傳輸由設備的其他元件產生的信號。在一些實例中,傳輸器620可與接收器610共置在收發機模組中。例如,傳輸器620可以是關於圖9所述的收發機935的態樣的實例。傳輸器620可包括單個天線,或傳輸器620可包括天線集合。
7 圖示根據本案內容的各個態樣的支援通信期管理授權符記的無線設備705的方塊圖700。無線設備705可以是如關於圖1和圖6所述的無線設備605或網路設備105的態樣的實例。無線設備705可包括接收器710、網路設備通信期授權管理器715和傳輸器720。無線設備705亦可包括處理器。該等元件之每一者元件可與彼此通訊(例如經由一或多個匯流排)。
接收器710可接收資訊,例如封包、使用者資料或與各種資訊通道(例如控制通道、資料通道和與通信期管理授權符記有關的資訊等)相關聯的控制資訊。資訊可傳遞到設備的其他元件。接收器710可以是關於圖9所述的收發機935的態樣的實例。
網路設備通信期授權管理器715可以是關於圖6所述的網路設備通信期授權管理器615的態樣的實例。網路設備通信期授權管理器715亦可包括通信期請求元件725、驗證元件730和符記產生元件735。
通信期請求元件725可接收通信期請求訊息以針對與UE相關聯的邏輯資料網路建立PDU通信期,通信期請求訊息可包括一或多個通信期參數。通信期請求元件725可將包括所產生的授權符記的通信期回應訊息傳輸到UE,並基於通信期請求訊息的驗證來接收與PDU通信期相關聯的金鑰。在一些態樣中,邏輯資料網路與網路切片相關聯。在一些態樣中,接收金鑰包括從SEAF接收金鑰,其中SEAF是維持基於UE對網路的成功認證而匯出的認證錨金鑰的網路功能。在一些態樣中,接收金鑰包括基於EAP來從協力廠商AAA伺服器接收金鑰。在一些態樣中,通信期參數包括安全演算法、QoS或其組合中的至少一者。在一些態樣中,通信期請求訊息是基於UE和AMF之間的共享金鑰的受到完整性保護的通信期請求訊息。在一些態樣中,在SMF處接收通信期請求訊息。在一些態樣中,SMF位於服務網路或歸屬網路處。在一些態樣中,服務網路包括VPLMN。在一些態樣中,歸屬網路包括HPLMN。在一些態樣中,通信期請求訊息包括邏輯網路ID、UE ID或其組合中的至少一者。
驗證元件730可驗證UE被授權針對邏輯資料網路建立PDU通信期。符記產生元件735可基於所接收的金鑰和通信期參數來產生授權符記,並基於MAC函數來產生授權符記。SMF金鑰和通信期參數可以是到MAC函數的輸入。在一些態樣中,產生授權符記基於選擇的安全演算法、PDU通信期的通信期策略或其組合中的至少一者的雜湊。在一些態樣中,所產生的授權符記包括關於邏輯資料網路的PDU通信期是否被SMF授權的指示。
傳輸器720可傳輸由設備的其他元件產生的信號。在一些實例中,傳輸器720可與接收器710在收發機模組中共置。例如,傳輸器720可以是關於圖9所述的收發機935的態樣的實例。傳輸器720可包括單個天線,或傳輸器720可包括天線集合。
8 圖示根據本案內容的各個態樣的支援通信期管理授權符記的網路設備通信期授權管理器815的方塊圖800。網路設備通信期授權管理器815可以是關於圖6、圖7和圖9所述的網路設備通信期授權管理器615、網路設備通信期授權管理器715或網路設備通信期授權管理器915的態樣的實例。網路設備通信期授權管理器815可包括通信期請求元件820、驗證元件825、符記產生元件830、金鑰請求元件835、通信期參數元件840、通信期策略元件845和認證訊息交換元件850。該等模組之每一者模組可直接或間接地(例如經由一或多個匯流排)與彼此通訊。
通信期請求元件820可接收通信期請求訊息以針對與UE相關聯的邏輯資料網路建立PDU通信期。通信期請求訊息可包括一或多個通信期參數。通信期請求元件820可將包括所產生的授權符記的通信期回應訊息傳輸到UE。在一些態樣中,通信期請求元件820可基於所傳輸的通信期請求訊息的驗證來接收與PDU通信期相關聯的金鑰。在一些態樣中,邏輯資料網路與網路切片相關聯。在一些態樣中,接收金鑰包括從SEAF接收金鑰。SEAF可以是維持基於UE對網路的成功認證而匯出的認證錨金鑰的網路功能。此外,通信期請求元件820可基於EAP來從協力廠商AAA伺服器來接收金鑰。在一些態樣中,通信期參數包括安全演算法、QoS或其組合中的至少一者。在一些態樣中,通信期請求訊息是基於在UE和AMF之間的共享金鑰的受到完整性保護的通信期請求訊息。在一些態樣中,在SMF處接收通信期請求訊息。在一些態樣中,SMF位於服務網路或歸屬網路處。在一些態樣中,服務網路包括VPLMN。在一些態樣中,歸屬網路包括HPLMN。在一些態樣中,通信期請求訊息包括邏輯網路ID、UE ID或其組合中的至少一者。
驗證元件825可驗證UE被授權針對邏輯資料網路建立PDU通信期。符記產生元件830可基於所接收的金鑰和通信期參數來產生授權符記。或者,符記產生元件830可基於MAC函數來產生授權符記,其中SMF金鑰和一或多個通信期參數是到MAC函數的輸入。在一些態樣中,所產生的授權符記基於選擇的安全演算法、PDU通信期的通信期策略或其組合中的至少一者的雜湊。在一些態樣中,所產生的授權符記包括關於邏輯資料網路的PDU通信期是否被SMF授權的指示。
金鑰請求元件835可傳輸包括UE的ID和邏輯資料網路的ID的金鑰請求訊息。金鑰請求元件835可回應於金鑰請求訊息而接收金鑰回應訊息。金鑰回應訊息可包括SMF金鑰。此外,金鑰請求元件835可接收來自SEAF的金鑰回應訊息並接收在金鑰回應訊息中的SMF金鑰。可基於與SEAF相關聯的SEAF金鑰來匯出SMF金鑰。在一些實例中,金鑰請求元件835可基於SEAF金鑰來對通信期回應訊息進行完整性保護。
通信期參數元件840可得到由UE請求的通信期參數,並基於UE訂閱簡介、邏輯資料網路策略、協力廠商授權或其任何組合來決定通信期參數。通信期策略元件845可基於該決定來決定PDU通信期的通信期策略,並將通信期回應訊息中的通信期策略傳輸到UE。
認證訊息交換元件850可經由在UE和SMF之間的SM NAS連接並經由在SMF和AAA伺服器之間的SM NAS連接來在UE和AAA伺服器之間傳遞認證訊息交換。認證訊息交換元件850可回應於認證訊息交換而從AAA伺服器接收UE是否被授權針對邏輯資料網路建立PDU通信期的指示。在一些態樣中,認證訊息交換元件850可基於指示UE被授權建立PDU通信期的認證協定來從協力廠商伺服器接收主通信期金鑰,基於主通信期金鑰來匯出SMF金鑰,並將SM NAS安全模式命令傳輸到UE。SM NAS安全模式命令可包括選擇的安全演算法、PDU通信期的通信期策略或其組合中的至少一者。在一些態樣中,接收金鑰回應訊息基於UE被授權建立PDU通信期的指示。在一些態樣中,SMF金鑰由AAA伺服器匯出。認證訊息交換元件850可從UE接收通信期回應認可訊息;並基於通信期回應認可訊息來驗證UE。
9 圖示根據本案內容的各個態樣的包括支援通信期管理授權符記的設備905的系統900的圖。設備905可以是如上文例如參考圖1、圖6和圖7之下列元件的實例或可以包括下列元件:無線設備605、無線設備705或網路設備105的元件。設備905可包括用於雙向語音和資料通訊的元件,包括用於傳輸和接收通訊的元件,包括網路設備通信期授權管理器915、處理器920、記憶體925、軟體930、收發機935和I/O控制器940。該等元件可經由一或多個匯流排(例如匯流排910)進行電子通訊。
處理器920可包括智慧硬體設備(例如通用處理器、DSP、中央處理單元(CPU)、微控制器、ASIC、FPGA、可程式設計邏輯設備、個別閘門或電晶體邏輯元件、個別硬體元件或其任何組合)。在一些態樣中,處理器920可被配置為使用記憶體控制器來操作記憶體陣列。在其他態樣中,記憶體控制器可整合到處理器920內。處理器920可被配置為執行儲存在記憶體中的電腦可讀取指令以執行各種功能(例如支援通信期管理授權符記的功能或任務)。
記憶體925可包括隨機存取記憶體(RAM)和唯讀記憶體(ROM)。記憶體925可儲存包括指令的電腦可讀取、電腦可執行軟體930,指令當被執行時使處理器執行本文所述的各種功能。在一些態樣中,記憶體925可除了別的以外亦包含基本輸入/輸出系統(BIOS),其可控制基本硬體及/或軟體操作,例如與周邊元件或設備的互動。軟體930可包括實現本案內容的態樣的代碼,包括支援通信期管理授權符記的代碼。軟體930可儲存在諸如系統記憶體或其他記憶體的非暫時性電腦可讀取媒體中。在一些態樣中,軟體930可以不由處理器直接可執行,但可使電腦(例如當被編譯和執行時)執行本文所述的功能。
收發機935可經由如前述的一或多個天線、有線或無線鏈路雙向地通訊。例如,收發機935可代表無線收發機,並可與另一無線收發機雙向地通訊。收發機935亦可包括數據機以調制封包並向天線提供經調制的封包以用於傳輸,並解調從天線接收的封包。
I/O控制器940可管理設備905的輸入和輸出信號。I/O控制器940亦可管理未整合到設備905內的周邊設備。在一些態樣中,I/O控制器940可代表到外部周邊設備的實體連接或埠。在一些態樣中,I/O控制器940可利用作業系統,例如iOS®、ANDROID®、MS-DOS®、MS-WINDOWS®、OS/2®、UNIX®、LINUX®或另一已知的作業系統。在其他態樣中,I/O控制器940可代表以下各項或與以下各項互動:數據機、鍵盤、滑鼠、觸控式螢幕或類似設備。在一些態樣中,I/O控制器940可被實現為處理器的一部分。在一些態樣中,使用者可經由I/O控制器940或經由被I/O控制器940控制的硬體元件來與設備905互動。
10 圖示根據本案內容的各個態樣的支援通信期管理授權符記的無線設備1005的方塊圖1000。無線設備1005可以是如參考圖1所述的UE 115的態樣的實例。無線設備1005可包括接收器1010、UE通信期授權管理器1015和傳輸器1020。無線設備1005亦可包括處理器。該等元件之每一者元件可(例如經由一或多個匯流排)與彼此進行通訊。
接收器1010可接收資訊,例如封包、使用者資料或與各種資訊通道(例如控制通道、資料通道和與通信期管理授權符記有關的資訊等)相關聯的控制資訊。資訊可傳遞到設備的其他元件。接收器1010可以是關於圖13所述的收發機1335的態樣的實例。
無線設備1005可包括UE通信期授權管理器1015。UE通信期授權管理器1015及/或至少一些其各種子元件可在硬體、由處理器執行的軟體、韌體或其任何組合中實現。若在由處理器執行的軟體中實現,則UE通信期授權管理器1015及/或至少一些其各種子元件的功能可由被設計成執行在本案內容中所述的功能的通用處理器、DSP、ASIC、FPGA或其他可程式設計邏輯設備、個別閘門或電晶體邏輯、個別硬體元件或其任何組合執行。
UE通信期授權管理器1015及/或至少一些其各種子元件可實體地位於各種位置處,包括是分散式的使得功能的部分在不同的實體位置處由一或多個實體設備實現。在一些實例中,UE通信期授權管理器1015及/或至少一些其各種子元件可以是根據本案內容的各種態樣的單獨和不同的元件。在其他實例中,UE通信期授權管理器1015及/或至少一些其各種子元件可與一或多個其他硬體元件組合,硬體元件包括但不限於根據本案內容的各種態樣的I/O元件、收發機、網路伺服器、另一計算設備、在本案內容中所述的一或多個其他元件或其組合。
UE通信期授權管理器1015可傳輸通信期請求訊息以針對邏輯資料網路建立PDU通信期。在一些實例中,通信期請求訊息可包括一或多個通信期參數。UE通信期授權管理器1015可接收包括基於SMF金鑰和一或多個通信期參數的授權符記的通信期回應訊息。
傳輸器1020可傳輸由設備的其他元件產生的信號。在一些實例中,傳輸器1020可與接收器1010在收發機模組中共置。例如,傳輸器1020可以是關於圖13所述的收發機1335的態樣的實例。傳輸器1020可包括單個天線,或傳輸器1020可包括天線集合。
11 圖示根據本案內容的各個態樣的支援通信期管理授權符記的無線設備1105的方塊圖1100。無線設備1105可以是如參考圖1和圖13所述的網路設備105或UE 115的態樣的實例。無線設備1105可包括接收器1110、UE通信期授權管理器1115和傳輸器1120。無線設備1105亦可包括處理器。該等元件之每一者元件可(例如經由一或多個匯流排)與彼此進行通訊。
接收器1110可接收資訊,例如封包、使用者資料或與各種資訊通道(例如控制通道、資料通道和與通信期管理授權符記有關的資訊等)相關聯的控制資訊。資訊可傳遞到設備的其他元件。接收器1110可以是關於圖13所述的收發機1335的態樣的實例。
UE通信期授權管理器1115可以是關於圖10所述的UE通信期授權管理器1015的態樣的實例。UE通信期授權管理器1115亦可包括通信期請求元件1125和通信期回應元件1130。通信期請求元件1125可傳輸通信期請求訊息以針對邏輯資料網路建立PDU通信期。在一些實例中,通信期請求訊息可包括一或多個通信期參數。通信期請求元件1125可基於從由SEAF維持的認證錨金鑰匯出的SMF金鑰來對通信期請求訊息進行完整性保護。在一些態樣中,通信期請求訊息包括安全演算法、QoS或其組合中的至少一者。通信期回應元件1130可接收包括基於SMF金鑰和通信期參數的授權符記的通信期回應訊息。
傳輸器1120可傳輸由設備的其他元件產生的信號。在一些實例中,傳輸器1120可與接收器1110共置在收發機模組中。例如,傳輸器1120可以是關於圖13所述的收發機1335的態樣的實例。傳輸器1120可包括單個天線,或傳輸器1120可包括天線集合。
12 圖示根據本案內容的各個態樣的支援通信期管理授權符記的UE通信期授權管理器1215的方塊圖1200。UE通信期授權管理器1215可以是關於圖10和圖11所述的UE通信期授權管理器1215的態樣的實例。UE通信期授權管理器1215可包括通信期請求元件1220、通信期回應元件1225、通信期策略元件1230、安全模式元件1235和驗證元件1240。該等模組之每一者模組可直接或間接地(例如經由一或多個匯流排)與彼此通訊。
通信期請求元件1220可傳輸通信期請求訊息以針對邏輯資料網路建立PDU通信期。在一些實例中,通信期請求訊息可包括一或多個通信期參數。通信期請求元件1220亦可基於從由SEAF維持的認證錨金鑰匯出的SMF金鑰來對通信期請求訊息進行完整性保護。在一些態樣中,通信期請求訊息包括安全演算法、QoS或其組合中的至少一者。
通信期回應元件1225可接收包括基於SMF金鑰和一或多個通信期參數的授權符記的通信期回應訊息。通信期策略元件1230可接收PDU通信期的通信期策略。在一些態樣中,通信期策略與邏輯網路ID、UE ID或其組合中的至少一者相關聯。通信期回應元件1225可產生通信期回應認可訊息;並將通信期回應認可訊息傳輸到SMF。通信期回應認可訊息可指示包括授權符記的通信期回應訊息的接收。
安全模式元件1235可接收SM NAS安全模式命令。SM NAS安全模式命令可包括選擇的安全演算法、PDU通信期的通信期策略或其組合中的至少一者。安全模式元件1235可基於所傳輸的通信期請求訊息的驗證來傳輸SM NAS安全模式完成訊息。驗證元件1240可基於所傳輸的通信期請求訊息來驗證SM NAS安全模式命令。
13 圖示根據本案內容的各種態樣的包括支援通信期管理授權符記的設備1305的系統1300的圖。設備1305可以是例如參考圖1如前述的UE 115的元件的實例或可以包括例如參考圖1如前述的UE 115的元件。設備1305可包括用於雙向語音和資料通訊的元件,該等元件包括用於傳輸和接收通訊的元件,包括UE通信期授權管理器1315、處理器1320、記憶體1325、軟體1330、收發機1335、天線1340和I/O控制器1345。該等元件可經由一或多個匯流排(例如匯流排1310)進行電子通訊。設備1305可與一或多個網路設備105無線地通訊。
處理器1320可包括智慧硬體設備(例如通用處理器、DSP、CPU、微控制器、ASIC、FPGA、可程式設計邏輯設備、個別閘門或電晶體邏輯元件、個別硬體元件或其任何組合)。在一些態樣中,處理器1320可被配置為使用記憶體控制器來操作記憶體陣列。在其他態樣中,記憶體控制器可整合到處理器1320內。處理器1320可被配置為執行儲存在記憶體中的電腦可讀取指令以執行各種功能(例如支援通信期管理授權符記的功能或任務)。
記憶體1325可包括RAM和ROM。記憶體1325可儲存包括指令的電腦可讀取、電腦可執行軟體1330,指令當被執行時使處理器執行本文所述的各種功能。在一些態樣中,記憶體1325可除了別的以外亦包含BIOS,其可控制基本硬體及/或軟體操作,例如與周邊元件或設備的互動。
軟體1330可包括實現本案內容的態樣的代碼,包括支援通信期管理授權符記的代碼。軟體1330可儲存在諸如系統記憶體或其他記憶體的非暫時性電腦可讀取媒體中。在一些態樣中,軟體1330可以不由處理器直接可執行,但可使電腦(例如當被編譯和執行時)執行本文所述的功能。
收發機1335可經由如前述的一或多個天線、有線或無線鏈路雙向地通訊。例如,收發機1335可代表無線收發機,並可與另一無線收發機雙向地通訊。收發機1335亦可包括數據機以調制封包並向天線提供經調制的封包用於傳輸,並解調從天線接收的封包。在一些態樣中,無線設備可包括單個天線1340。然而在一些態樣中,設備可具有多於一個天線1340,其能夠同時傳輸或接收多個無線傳輸。
I/O控制器1345可管理針對設備1305的輸入和輸出信號。I/O控制器1345亦可管理未整合到設備1305內的周邊設備。在一些態樣中,I/O控制器1345可代表到外部周邊設備的實體連接或埠。在一些態樣中,I/O控制器1345可利用作業系統,例如iOS®、ANDROID®、MS-DOS®、MS-WINDOWS®、OS/2®、UNIX®、LINUX®或另一已知的作業系統。在其他態樣中,I/O控制器1345可代表以下各項或與以下各項互動:數據機、鍵盤、滑鼠、觸控式螢幕或類似設備。在一些態樣中,I/O控制器1345可被實現為處理器的一部分。在一些態樣中,使用者可經由I/O控制器1345或經由被I/O控制器1345控制的硬體元件來與設備1305互動。
14 圖示說明根據本案內容的各個態樣的用於通信期管理授權符記的方法1400的流程圖。方法1400的操作可由如本文所述的網路設備105或其元件實現。例如,方法1400的操作可由如關於圖6到圖9所述的網路設備通信期授權管理器執行。在一些實例中,網路設備105可執行代碼集合以控制設備的功能元件來執行下文所述的功能。此外,網路設備105可使用專用硬體來執行下文所述的功能的態樣。
在方塊1405,網路設備105可接收通信期請求訊息以針對與UE相關聯的邏輯資料網路建立PDU通信期,通信期請求訊息可包括一或多個通信期參數。方塊1405的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1405的操作的態樣可由如關於圖7到圖8所述的通信期請求元件執行。
在方塊1410,網路設備105可驗證UE被授權針對邏輯資料網路建立PDU通信期。方塊1410的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1410的操作的態樣可由如關於圖7到圖8所述的驗證元件執行。
在方塊1415,網路設備105可基於該驗證來接收與PDU通信期相關聯的金鑰。方塊1415的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1415的操作的態樣可由如關於圖7到圖8所述的通信期請求元件執行。
在方塊1420,網路設備105可基於所接收的金鑰和通信期參數來產生授權符記。方塊1420的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1420的操作的態樣可由如關於圖7到圖8所述的符記產生元件執行。
在方塊1425,網路設備105可將包括所產生的授權符記的通信期回應訊息傳輸到UE。方塊1425的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1425的操作的態樣可由如關於圖7到圖8所述的通信期請求元件執行。
15 圖示說明根據本案內容的各個態樣的用於通信期管理授權符記的方法1500的流程圖。方法1500的操作可由如本文所述的網路設備105或其元件實現。例如,方法1500的操作可由如關於圖6到圖9所述的網路設備通信期授權管理器執行。在一些實例中,網路設備105可執行代碼集合以控制設備的功能元件來執行下文所述的功能。此外,網路設備105可使用專用硬體來執行下文所述的功能的態樣。
在方塊1505,網路設備105可得到由UE請求的通信期參數。方塊1505的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1505的操作的態樣可由如關於圖8所述的通信期參數元件執行。
在方塊1510,網路設備105可基於UE訂閱簡介、邏輯資料網路策略、協力廠商授權或其任何組合來決定一或多個通信期參數。方塊1510的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1510的操作的態樣可由如關於圖8所述的通信期參數元件執行。
在方塊1515,網路設備105可基於該決定來決定PDU通信期的通信期策略。方塊1515的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1515的操作的態樣可由如關於圖8所述的通信期策略元件執行。
在方塊1520,網路設備105可在通信期回應訊息中將通信期策略傳輸到UE。方塊1520的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1520的操作的態樣可由如關於圖8所述的通信期策略元件執行。
16 圖示說明根據本案內容的各個態樣的用於通信期管理授權符記的方法1600的流程圖。方法1600的操作可由如本文所述的網路設備105或其元件實現。例如,方法1600的操作可由如關於圖6到圖9所述的網路設備通信期授權管理器執行。在一些實例中,網路設備105可執行代碼集合以控制設備的功能元件來執行下文所述的功能。此外,網路設備105可使用專用硬體來執行下文所述的功能的態樣。
在方塊1605,網路設備105可接收通信期請求訊息以針對與UE相關聯的邏輯資料網路建立PDU通信期,通信期請求訊息可包括一或多個通信期參數。方塊1605的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1605的操作的態樣可由如關於圖7到圖8所述的通信期請求元件執行。
在方塊1610,網路設備105可驗證UE被授權針對邏輯資料網路建立PDU通信期。方塊1610的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1610的操作的態樣可由如關於圖7到圖8所述的驗證元件執行。
在方塊1615,網路設備105可決定是否執行UE和AAA伺服器之間的輔助認證以從AAA伺服器得到通信期請求訊息的授權。該決定可基於通信期策略等。方塊1615的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1615的操作的態樣可由如關於圖8所述的認證訊息交換元件執行。
在方塊1620,網路設備105可經由在UE和SMF之間的SM NAS連接並經由在SMF和AAA伺服器之間的SM NAS連接來在UE和AAA伺服器之間傳遞認證訊息交換。方塊1620的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1620的操作的態樣可由如關於圖8所述的認證訊息交換元件執行。
在方塊1625,網路設備105可從AAA伺服器接收UE(或UE是否)回應於認證訊息交換而被授權針對邏輯資料網路建立PDU通信期的指示。方塊1625的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1625的操作的態樣可由如關於圖8所述的認證訊息交換元件執行。
在方塊1630,網路設備105可基於該驗證來接收與PDU通信期相關聯的金鑰。方塊1630的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1630的操作的態樣可由如關於圖7到圖8所述的通信期請求元件執行。
在方塊1635,網路設備105可基於所接收的金鑰和一或多個通信期參數來產生授權符記。方塊1635的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1635的操作的態樣可由如關於圖7到圖8所述的符記產生元件執行。
在方塊1640,網路設備105可將包括所產生的授權符記的通信期回應訊息傳輸到UE。方塊1640的操作可根據關於圖6到圖9所述的方法來執行。在某些實例中,方塊1640的操作的態樣可由如關於圖7到圖8所述的通信期請求元件執行。
17 圖示說明根據本案內容的各個態樣的用於通信期管理授權符記的方法1700的流程圖。方法1700的操作可由如本文所述的UE 115或其元件實現。例如,方法1700的操作可由如關於圖10到圖13所述的UE通信期授權管理器執行。在一些實例中,UE 115可執行代碼集合以控制設備的功能元件來執行下文所述的功能。此外,UE 115可使用專用硬體來執行下文所述的功能的態樣。
在方塊1705,UE 115可傳輸通信期請求訊息以針對邏輯資料網路建立PDU通信期,通信期請求訊息可包括一或多個通信期參數。方塊1705的操作可根據關於圖10到圖13所述的方法來執行。在某些實例中,方塊1705的操作的態樣可由如關於圖11到圖12所述的通信期請求元件執行。
在方塊1710,UE 115可接收通信期回應訊息,其可包括基於SMF金鑰和一或多個通信期參數的授權符記。方塊1710的操作可根據關於圖10到圖13所述的方法來執行。在某些實例中,方塊1710的操作的態樣可由如關於圖11到圖12所述的通信期回應元件執行。
在方塊1715,UE 115可驗證授權符記。方塊1715的操作可根據關於圖10到圖13所述的方法來執行。在某些實例中,方塊1715的操作的態樣可由如關於圖11到圖12所述的驗證元件執行。
18 圖示說明根據本案內容的各個態樣的用於通信期管理授權符記的方法1800的流程圖。方法1800的操作可由如本文所述的UE 115或其元件實現。例如,方法1800的操作可由如關於圖10到圖13所述的UE通信期授權管理器執行。在一些實例中,UE 115可執行代碼集合以控制設備的功能元件來執行下文所述的功能。此外,UE 115可使用專用硬體來執行下文所述的功能的態樣。
在方塊1805,UE 115可基於從由SEAF維持的認證錨金鑰匯出的SMF金鑰來對通信期請求訊息進行完整性保護。方塊1805的操作可根據關於圖10到圖13所述的方法來執行。在某些實例中,方塊1805的操作的態樣可由如關於圖11到圖12所述的通信期請求元件執行。
在方塊1810,UE 115可傳輸受到完整性保護的通信期請求訊息以針對邏輯資料網路建立PDU通信期。在一些實例中,通信期請求訊息可包括一或多個通信期參數。方塊1810的操作可根據關於圖10到圖13所述的方法來執行。在某些實例中,方塊1810的操作的態樣可由如關於圖11到圖12所述的通信期請求元件執行。
在方塊1815,UE 115可接收通信期回應訊息,其可包括基於SMF金鑰和一或多個通信期參數的授權符記。方塊1815的操作可根據關於圖10到圖13所述的方法來執行。在某些實例中,方塊1815的操作的態樣可由如關於圖11到圖12所述的通信期回應元件執行。
在方塊1820,UE 115可驗證授權符記。方塊1820的操作可根據關於圖10到圖13所述的方法來執行。在某些實例中,方塊1820的操作的態樣可由如關於圖11到圖12所述的驗證元件執行。
應注意,前述的方法描述可能的實現,以及操作和操作可重新佈置或以另外方式被修改,以及其他實現是可能的。此外,來自兩個或更多個方法的態樣可組合。
本文所述的技術可用於各種無線通訊系統,例如分碼多工存取(CDMA)、分時多工存取(TDMA)、分頻多工存取(FDMA)、正交分頻多工存取(OFDMA)、單載波分頻多工存取(SC-FDMA)和其他系統。術語「系統」和「網路」常常可互換地使用。分碼多工存取(CDMA)系統可實現諸如CDMA 2000、通用陸地無線電存取(UTRA)等的無線電技術。CDMA 2000涵蓋IS-2000、IS-95和IS-856標準。IS-2000版本可通常被稱為CDMA 2000 1X、1X等。IS-856(TIA-856)通常被稱為CDMA 2000 1xEV-DO、高速率封包資料(HRPD)等。UTRA包括寬頻CDMA(WCDMA)和CDMA的其他變體。分時多工存取(TDMA)系統可實現諸如行動通訊全球系統(GSM)的無線電技術。
正交分頻多工存取(OFDMA)系統可實現諸如超行動寬頻(UMB)、進化型UTRA(E-UTRA)、電氣和電子工程師協會(IEEE)802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、快閃OFDM等的無線電技術。UTRA和E-UTRA是通用行動電信系統(UMTS)的部分。3GPP長期進化(LTE)和改進的LTE(LTE-A)是使用E-UTRA的通用行動電信系統(UMTS)的版本。UTRA、E-UTRA、UMTS、LTE、LTE-A、NR和行動通訊全球系統(GSM)在來自被稱為「第三代合作夥伴計畫(3GPP)」的組織的文件中被描述。CDMA 2000和UMB在來自被稱為「第三代合作夥伴計畫2(3GPP2)」的組織的文件中被描述。本文所述的技術可用於上文提到的系統和無線電技術以及其他系統和無線電技術。儘管可為了實例的目的而描述LTE和NR系統的態樣且LTE或NR術語可在很多描述中被使用,本文所述的技術在LTE或NR應用之外可應用。
在LTE/LTE-A網路(包括在本文所述的該等網路)中,術語進化型節點B(eNB)通常可用於描述基地站。本文所述的無線通訊系統可包括異構LTE/LTE-A或NR網路,因為不同類型的進化型節點B(eNB)提供對各種地理區的覆蓋。例如,每個eNB、gNB或基地站可提供對巨集細胞、小型細胞或其他類型的細胞的通訊覆蓋。術語「細胞」可用於描述基地站、與基地站相關聯的載波或分量載波或載波或基地站的覆蓋區域(例如扇區等),取決於上下文。
基地站可包括或可由熟習此項技術者稱為基地站收發機、無線電基地站、存取點、無線電收發機、節點B、進化型節點B(eNB)、下一代節點B(gNB)、家庭節點B、家庭進化型節點B或某個其他適當的術語。基地站的地理覆蓋區域可劃分成扇區,其僅構成覆蓋區域的一部分。本文所述的無線通訊系統可包括不同類型的基地站(例如巨集細胞或小型細胞基地站)。本文所述的UE能夠與各種類型的基地站和包括巨集eNBs、小型細胞eNBs、gNB、中繼基地站等的網路設備通訊。對於不同的技術,可以有重疊的地理覆蓋區域。
巨集細胞通常覆蓋相對大的地理區域(例如半徑幾公里),並可允許由具有與網路提供者的服務訂閱的UE無限制地存取。與巨集細胞比較,小型細胞是低功率基地站,其可在與巨集細胞相同或不同的(例如經授權、免授權等)頻帶中操作。根據各種實例,小型細胞可包括微微細胞、毫微微細胞和微細胞。微微細胞例如可覆蓋小的地理區域,並可允許由具有與網路提供者的服務訂閱的UE無限制地存取。毫微微細胞亦可覆蓋小的地理區域(例如家庭),並可提供由具有與毫微微細胞的關聯的UE(例如在封閉用戶群組(CSG)中的UE、在家裡的使用者的UE等)受限制地存取。巨集細胞的eNB可被稱為巨集eNB。小型細胞的eNB可被稱為小型細胞eNB、微微eNB、毫微微eNB或家庭eNB。eNB可支援一或多個(例如兩個、三個、四個等)細胞(例如分量載波)。
本文所述的無線通訊系統可支援同步或非同步操作。對於同步操作,基地站可具有類似的訊框時序,且來自不同基地站的傳輸可大致在時間上對準。對於非同步操作,基地站可具有不同的訊框時序,且來自不同基地站的傳輸可以不在時間上對準。本文所述的技術可用於同步或非同步操作。
本文所述的下行鏈路傳輸亦可被稱為前向鏈路傳輸,而上行鏈路傳輸亦可被稱為反向鏈路傳輸。本文所述的每個通訊鏈路——包括例如圖1和圖2的無線通訊系統100和200——可包括一或多個載波,其中每個載波可以是由多個次載波構成的信號(例如不同頻率的波形信號)。
在本文結合附圖闡述的本描述說明示例性配置,且並不代表可被實現或在請求項的範疇內的所有實例。在本文使用的術語「示例性」意指「用作示例、實例或說明」,而不是「較佳的」或「相對於其他實例是有利的」。為了提供對所述技術的理解的目的,具體實施方式包括具體細節。然而該等技術可在沒有該等具體細節的情況下被實踐。在一些實例中,公知的結構和設備在方塊圖形式中圖示,以便避免使所述實例的概念模糊。
在附圖中,相似的元件或特徵可具有相同的元件符號。此外,可經由在元件符號後跟隨虛線和區分開相似元件的第二標記來區分開相同類型的各種元件。若在說明書中僅僅使用第一元件符號,則該描述可適用於具有相同的第一元件符號的相似元件中的任一個而不考慮第二元件符號。
可使用各種不同的技術和手段中的任一種來表示本文所述的資訊和信號。例如,在遍及上文的描述中可被提到的資料、指令、命令、資訊、信號、位元、符號和碼片可由電壓、電流、電磁波、磁場或粒子、光場或粒子或其任何組合表示。
可利用被設計成執行本文所述的功能的通用處理器、DSP、ASIC、FPGA或其他可程式設計邏輯設備、個別閘門或電晶體邏輯、個別硬體元件或其任何組合來實現或執行在本文結合本案內容所述的各種說明性方塊和模組。通用處理器可以是微處理器,但可選地,處理器可以是任何習知處理器、控制器、微控制器或狀態機。處理器亦可被實現為計算設備的組合(例如DSP和微處理器的組合、多個微處理器、結合DSP核心的一或多個微處理器或任何其他此種配置)。
本文所述的功能可在硬體、由處理器執行的軟體、韌體或其任何組合中實現。若在由處理器執行的軟體中實現,則功能可儲存在電腦可讀取媒體上或作為在電腦可讀取媒體上的一或多個指令或代碼被傳輸。其他實例和實現在本案內容和所附請求項的範疇內。例如,由於軟體的性質,能夠使用由處理器執行的軟體、硬體、韌體、硬佈線或該等項中的任一項的組合來實現前述的功能。實現功能的特徵亦可實體地位於各種位置處,包括是分散式的使得功能的部分在不同的實體位置處實現。此外,如在本文(包括在請求項中)使用的,如在專案列表中使用的「或」(例如,以諸如「…中的至少一個」或「…中的一或多個」的短語開始的專案列表)指示包括性列表,使得例如A、B或C中的至少一個的列表意指A或B或C或AB或AC或BC或ABC(亦即A和B和C)。此外,如在本文使用的,短語「基於」不應被解釋為條件的封閉集合。例如,被描述為「基於條件A」的示例性操作可基於條件A和條件B兩者,而不偏離本案內容的範疇。換言之,如在本文使用的,短語「基於」應以與短語「至少部分地基於」相同的方式被解釋。
電腦可讀取媒體包括非暫時性電腦儲存媒體和通訊媒體,通訊媒體包括促進將電腦程式從一個地方傳輸到另一地方的任何媒體。非暫時性儲存媒體可以是能夠由通用或專用電腦存取的任何可用媒體。作為實例而不是限制,非暫時性電腦可讀取媒體可包括RAM、ROM、電子可抹除可程式設計唯讀記憶體(EEPROM)、壓縮光碟(CD)ROM或其他光碟儲存、磁碟儲存或其他磁儲存設備或能夠用於攜帶或儲存以指令或資料結構的形式的期望程式碼構件並能夠由通用或專用電腦或通用或專用處理器存取的任何其他非暫時性媒體。此外,任何連接被適當地稱為電腦可讀取媒體。例如,若使用同軸電纜、光纖電纜、雙絞線、數位用戶線路(DSL)或諸如紅外線、無線電和微波的無線技術從網站、伺服器或其他遠端源傳輸軟體,則同軸電纜、光纖電纜、雙絞線、數位用戶線路(DSL)或諸如紅外線、無線電和微波的無線技術被包括在媒體的定義中。如在本文使用的磁碟和光碟包括CD、鐳射光碟、光碟、數位多功能光碟(DVD)、軟碟和藍光光碟,其中磁碟通常磁性地再現資料,而光碟用鐳射光學地再現資料。上述項的組合亦被包括在電腦可讀取媒體的範疇內。
本文的描述被提供來使熟習此項技術者能夠製造或使用本案內容。本案內容的各種修改對熟習此項技術者將是顯而易見的,且在本文定義的一般原理可應用於其他變形而不偏離本案內容的範疇。因此,本案內容不限於本文所述的實例和設計,但應符合與本文揭示的原理和新穎特徵一致的最寬範疇。
100‧‧‧無線通訊系統105‧‧‧網路設備110‧‧‧地理覆蓋區域115‧‧‧UE125‧‧‧通訊鏈路130‧‧‧核心網路132‧‧‧回載鏈路134‧‧‧回載鏈路200‧‧‧無線通訊系統205‧‧‧AMF元件205-a‧‧‧AMF元件210‧‧‧安全錨功能(SEAF)元件210-a‧‧‧SEAF元件215‧‧‧認證伺服器功能/認證證書倉庫和處理功能(AUSF/ARPF)元件215-a‧‧‧AUSF/ARPF元件220‧‧‧RAN元件225‧‧‧邏輯資料網路群組225-a‧‧‧第一邏輯資料網路225-b‧‧‧第二邏輯資料網路225-c‧‧‧第三邏輯資料網路230‧‧‧SMF元件235‧‧‧使用者平面功能(UPF)元件245‧‧‧PCF元件245-a‧‧‧PCF元件260‧‧‧通訊鏈路300-a‧‧‧過程流程300-b‧‧‧過程流程305‧‧‧SMF元件310‧‧‧步驟315‧‧‧步驟320‧‧‧步驟325‧‧‧步驟330‧‧‧步驟335‧‧‧步驟340‧‧‧步驟345‧‧‧步驟350‧‧‧步驟360‧‧‧步驟360-a‧‧‧步驟365‧‧‧步驟370‧‧‧步驟375‧‧‧步驟375-a‧‧‧步驟380‧‧‧步驟385‧‧‧步驟390‧‧‧步驟390-a‧‧‧步驟390-b‧‧‧步驟395-a‧‧‧步驟395-b‧‧‧步驟400‧‧‧無線通訊系統405‧‧‧AMF元件405-a‧‧‧AMF元件410‧‧‧SEAF元件410-a‧‧‧SEAF元件415‧‧‧AUSF/ARPF元件415-a‧‧‧AUSF/ARPF元件420‧‧‧RAN元件425‧‧‧邏輯資料網路群組425-a‧‧‧第一邏輯資料網路425-b‧‧‧第二邏輯資料網路425-c‧‧‧第三邏輯資料網路430‧‧‧SMF元件435‧‧‧UPF元件445‧‧‧協力廠商AAA元件445-a‧‧‧協力廠商AAA元件460‧‧‧通訊鏈路500-a‧‧‧過程流程500-b‧‧‧過程流程505‧‧‧SMF元件510‧‧‧步驟515‧‧‧步驟520‧‧‧步驟525‧‧‧步驟530‧‧‧步驟535‧‧‧步驟540‧‧‧步驟545‧‧‧步驟550‧‧‧步驟560‧‧‧步驟560-a‧‧‧步驟565‧‧‧步驟570‧‧‧步驟575‧‧‧步驟580‧‧‧步驟585‧‧‧步驟585-a‧‧‧步驟585-b‧‧‧步驟590-a‧‧‧步驟590-b‧‧‧步驟600‧‧‧方塊圖605‧‧‧無線設備610‧‧‧接收器615‧‧‧網路設備通信期授權管理器620‧‧‧傳輸器700‧‧‧方塊圖705‧‧‧無線設備710‧‧‧接收器715‧‧‧網路設備通信期授權管理器720‧‧‧傳輸器725‧‧‧通信期請求元件730‧‧‧驗證元件735‧‧‧符記產生元件800‧‧‧方塊圖815‧‧‧網路設備通信期授權管理器820‧‧‧通信期請求元件825‧‧‧驗證元件830‧‧‧符記產生元件835‧‧‧金鑰請求元件840‧‧‧通信期參數元件845‧‧‧通信期策略元件850‧‧‧認證訊息交換元件900‧‧‧系統905‧‧‧設備910‧‧‧匯流排915‧‧‧網路設備通信期授權管理器920‧‧‧處理器925‧‧‧記憶體930‧‧‧軟體935‧‧‧收發機940‧‧‧I/O控制器1000‧‧‧方塊圖1005‧‧‧無線設備1010‧‧‧接收器1015‧‧‧UE通信期授權管理器1020‧‧‧傳輸器1100‧‧‧方塊圖1105‧‧‧無線設備1110‧‧‧接收器1115‧‧‧UE通信期授權管理器1120‧‧‧傳輸器1125‧‧‧通信期請求元件1130‧‧‧通信期回應元件1200‧‧‧方塊圖1215‧‧‧UE通信期授權管理器1220‧‧‧通信期請求元件1225‧‧‧通信期回應元件1230‧‧‧通信期策略元件1235‧‧‧安全模式元件1240‧‧‧驗證元件1300‧‧‧系統1305‧‧‧設備1310‧‧‧匯流排1315‧‧‧UE通信期授權管理器1320‧‧‧處理器1325‧‧‧記憶體1330‧‧‧軟體1335‧‧‧收發機1340‧‧‧天線1345‧‧‧I/O控制器1400‧‧‧方法1405‧‧‧方塊1410‧‧‧方塊1415‧‧‧方塊1420‧‧‧方塊1425‧‧‧方塊1500‧‧‧方法1505‧‧‧方塊1510‧‧‧方塊1515‧‧‧方塊1520‧‧‧方塊1600‧‧‧方法1605‧‧‧方塊1610‧‧‧方塊1615‧‧‧方塊1620‧‧‧方塊1625‧‧‧方塊1630‧‧‧方塊1635‧‧‧方塊1640‧‧‧方塊1700‧‧‧方法1705‧‧‧方塊1710‧‧‧方塊1715‧‧‧方塊1800‧‧‧方法1805‧‧‧方塊1810‧‧‧方塊1815‧‧‧方塊1820‧‧‧方塊
圖1圖示根據本案內容的態樣的支援通信期管理授權符記的用於無線通訊的無線通訊系統的實例。
圖2圖示根據本案內容的態樣的支援通信期管理授權符記的用於無線通訊的無線通訊系統的實例。
圖3A和圖3B圖示根據本案內容的態樣的支援通信期管理授權符記的過程流程的實例。
圖4圖示根據本案內容的態樣的支援通信期管理授權符記的用於無線通訊的無線通訊系統的實例。
圖5A和圖5B圖示根據本案內容的態樣的支援通信期管理授權符記的過程流程的實例。
圖6到圖8圖示根據本案內容的態樣的支援通信期管理授權符記的設備的方塊圖。
圖9圖示根據本案內容的態樣的包括支援通信期管理授權符記的網路設備的系統的方塊圖。
圖10到圖12圖示根據本案內容的態樣的支援通信期管理授權符記的設備的方塊圖。
圖13圖示根據本案內容的態樣的包括支援通信期管理授權符記的UE的系統的方塊圖。
圖14到圖18圖示根據本案內容的態樣的通信期管理授權符記的方法。
國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無
國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無
115:UE
200:無線通訊系統
205:AMF元件
205-a:AMF元件
210:安全錨功能(SEAF)元件
210-a:SEAF元件
215:認證伺服器功能/認證證書倉庫和處理功能(AUSF/ARPF)元件
220:RAN元件
225:邏輯資料網路群組
225-a:第一邏輯資料網路
225-b:第二邏輯資料網路
225-c:第三邏輯資料網路
230:SMF元件
235:使用者平面功能(UPF)元件
245:PCF元件
260:通訊鏈路

Claims (29)

  1. 一種用於無線通訊的方法,包括以下步驟:接收一通信期請求訊息以針對與一使用者設備(UE)相關聯的包括一或多個網路切片的一邏輯資料網路建立一協定資料單元(PDU)通信期,該通信期請求訊息包括通信期參數,該等通信期參數包括與該一或多個網路切片相關聯的網路切片資訊;經由該UE和一通信期管理功能(SMF)之間的一通信期管理(SM)非存取層(NAS)連接並經由該SMF和一認證、授權和計費(AAA)伺服器之間的一SM NAS連接來傳遞該UE和該協力廠商AAA伺服器之間的認證訊息交換;至少部分地基於該認證訊息交換來驗證該UE被授權針對該邏輯資料網路建立該PDU通信期;至少部分地基於該驗證來接收與該PDU通信期相關聯的一金鑰;至少部分地基於所接收的該金鑰和該網路切片資訊來產生一授權符記;及將包括所產生的該授權符記的一通信期回應訊息傳輸給該UE。
  2. 如請求項1之方法,其中接收該金鑰之步驟包括以下步驟:從一安全錨功能(SEAF)接收一SMF 金鑰,其中該SEAF是維持至少部分地基於該UE到一網路的一成功認證而匯出的一認證錨金鑰的一網路功能。
  3. 如請求項2之方法,其中接收該金鑰之步驟包括以下步驟:接收該SMF金鑰,其中該SMF金鑰是至少部分地基於與該SEAF相關聯的一SEAF金鑰而匯出的;及至少部分地基於該SMF金鑰來對該通信期回應訊息進行完整性保護。
  4. 如請求項1之方法,其中接收該金鑰之步驟包括以下步驟:至少部分地基於一可擴展認證協定(EAP)來從該協力廠商AAA伺服器接收該金鑰。
  5. 如請求項1之方法,亦包括以下步驟:傳輸包括該UE的一識別符(ID)和該邏輯資料網路的一識別符(ID)的一金鑰請求訊息;及接收回應於該金鑰請求訊息的一金鑰回應訊息,該金鑰回應訊息包括一通信期管理功能(SMF)金鑰。
  6. 如請求項1之方法,其中該等通信期參數包括一安全演算法或一服務品質(QoS)中的一或多者。
  7. 如請求項1之方法,亦包括以下步驟:得到由該UE請求的該等通信期參數;至少部分地基於一UE訂閱簡介、一邏輯資料網路 策略、一協力廠商授權或其任何組合來決定該等通信期參數;至少部分地基於該UE訂閱簡介、該邏輯資料網路策略、或該協力廠商授權中的一或多者來決定針對該PDU通信期的一通信期策略;及將該通信期回應訊息中的該通信期策略傳輸給該UE。
  8. 如請求項1之方法,其中該通信期請求訊息包括一邏輯網路識別符(ID)或一UE識別符(ID)中的一或多者。
  9. 如請求項1之方法,其中產生該授權符記之步驟亦包括以下步驟:至少部分地基於一訊息授權代碼(MAC)函數來產生該授權符記,其中一通信期管理功能(SMF)金鑰和該等通信期參數是對該MAC函數的輸入。
  10. 如請求項1之方法,其中該通信期請求訊息是至少部分地基於該UE與一存取和行動管理功能(AMF)之間的一共享金鑰的受到完整性保護的一通信期請求訊息。
  11. 如請求項1之方法,亦包括以下步驟:從該協力廠商AAA伺服器接收關於該UE是否被授權來回應於該認證訊息交換而針對該邏輯資料網路 建立該PDU通信期的一指示;及至少部分地基於關於該UE被授權來建立該PDU通信期的該指示來接收回應於一金鑰請求訊息的一金鑰回應訊息,該金鑰回應訊息包括一SMF金鑰。
  12. 如請求項11之方法,其中該SMF金鑰是由該協力廠商AAA伺服器匯出的。
  13. 如請求項11之方法,亦包括以下步驟:至少部分地基於該UE被授權來建立該PDU通信期的該指示來從該協力廠商AAA伺服器接收一主通信期金鑰;及至少部分地基於該主通信期金鑰來匯出該SMF金鑰。
  14. 如請求項11之方法,其中經由該SM NAS連接來傳遞該UE和該協力廠商AAA伺服器之間的該認證訊息交換之步驟亦包括以下步驟:將一SM NAS安全模式命令傳輸給該UE,其中該SM NAS安全模式命令包括一選擇的安全演算法或針對該PDU通信期的一通信期策略中的一或多者。
  15. 如請求項1之方法,其中產生該授權符記是至少部分地基於以下各項的:一選擇的安全演算法或針對該PDU通信期的一通信期策略中的一或多者的一雜湊。
  16. 如請求項1之方法,其中該通信期請求訊息在一通信期管理功能(SMF)處接收的。
  17. 如請求項16之方法,其中所產生的該授權符記包括關於針對該邏輯資料網路的該PDU通信期是否被該SMF授權的一指示。
  18. 如請求項1之方法,亦包括以下步驟:從該UE接收一通信期回應認可訊息;及至少部分地基於該通信期回應認可訊息來驗證該UE。
  19. 一種用於在一使用者設備(UE)處進行無線通訊的方法,包括以下步驟:傳輸一通信期請求訊息以針對包括一或多個網路切片的一邏輯資料網路建立一協定資料單元(PDU)通信期,該通信期請求訊息包括通信期參數,該等通信期參數包括與該一或多個網路切片相關聯的網路切片資訊;接收一通信期管理(SM)非存取層(NAS)安全模式命令,其中該SM NAS安全模式命令包括一選擇的安全演算法或針對該PDU通信期的一通信期策略中的一或多者;至少部分地基於該通信期請求訊息來驗證該SM NAS安全模式命令; 至少部分地基於驗證該SM NAS安全模式命令來傳輸一SM NAS安全模式完成訊息;及接收包括至少部分地基於一通信期管理功能(SMF)金鑰和該網路切片資訊的一授權符記的一通信期回應訊息。
  20. 如請求項19之方法,亦包括以下步驟:至少部分地基於從由一安全錨功能(SEAF)維持的一認證錨金鑰匯出的該SMF金鑰來對該通信期請求訊息進行完整性保護。
  21. 如請求項19之方法,其中該通信期請求訊息包括一安全演算法或一服務品質(QoS)中的一或多者。
  22. 如請求項19之方法,亦包括以下步驟:接收針對該PDU通信期的一通信期策略,其中該通信期策略與一邏輯網路識別符(ID)或一使用者設備(UE)識別符(ID)中的一或多者相關聯。
  23. 如請求項19之方法,其中接收該通信期回應訊息之步驟亦包括以下步驟:產生一通信期回應認可訊息;將該通信期回應認可訊息傳輸給一SMF;及驗證該授權符記。
  24. 一種在一系統中的用於無線通訊的裝置, 包括:一處理器;與該處理器進行電子通訊的記憶體;及指令,其儲存在該記憶體中並且當由該處理器執行時可操作以使該裝置執行以下操作:接收一通信期請求訊息以針對與一使用者設備(UE)相關聯的包括一或多個網路切片的一邏輯資料網路建立一協定資料單元(PDU)通信期,該通信期請求訊息包括通信期參數,該等通信期參數包括與該一或多個網路切片相關聯的網路切片資訊;經由該UE和一通信期管理功能(SMF)之間的一通信期管理(SM)非存取層(NAS)連接並經由該SMF和一認證、授權和計費(AAA)伺服器之間的一SM NAS連接來傳遞該UE和該協力廠商AAA伺服器之間的認證訊息交換;至少部分地基於該認證訊息交換來驗證該UE被授權針對該邏輯資料網路建立該PDU通信期;至少部分地基於該驗證來接收與該PDU通信期相關聯的一金鑰;至少部分地基於所接收的該金鑰和該網路切片資訊來產生一授權符記;及將包括所產生的該授權符記的一通信期回應訊息傳 輸給該UE。
  25. 如請求項24之裝置,其中接收該金鑰的該等指令亦由該處理器可執行以執行以下操作:從一安全錨功能(SEAF)接收一SMF金鑰,其中該SEAF是維持至少部分地基於該UE到一網路的一成功認證而匯出的一認證錨金鑰的一網路功能。
  26. 如請求項25之裝置,其中該等指令亦由該處理器可執行以執行以下操作:接收該SMF金鑰,其中該SMF金鑰是至少部分地基於與該SEAF相關聯的一SEAF金鑰而匯出的;及至少部分地基於該SMF金鑰來對該通信期回應訊息進行完整性保護。
  27. 如請求項24之裝置,其中接收該金鑰的該等指令亦由該處理器可執行以執行以下操作:至少部分地基於一可擴展認證協定(EAP)來從該協力廠商AAA伺服器接收該金鑰。
  28. 一種在一系統中的用於無線通訊的裝置,包括:一處理器;與該處理器進行電子通訊的記憶體;及指令,其儲存在該記憶體中並且當由該處理器執行時可操作以使該裝置執行以下操作: 傳輸一通信期請求訊息以針對包括一或多個網路切片的一邏輯資料網路建立一協定資料單元(PDU)通信期,該通信期請求訊息包括通信期參數,該等通信期參數包括與該一或多個網路切片相關聯的網路切片資訊;接收一通信期管理(SM)非存取層(NAS)安全模式命令,其中該SM NAS安全模式命令包括一選擇的安全演算法或針對該PDU通信期的一通信期策略中的一或多者;至少部分地基於該通信期請求訊息來驗證該SM NAS安全模式命令;至少部分地基於驗證該SM NAS安全模式命令來傳輸一SM NAS安全模式完成訊息;及接收包括至少部分地基於一通信期管理功能(SMF)金鑰和該網路切片資訊的一授權符記的一通信期回應訊息。
  29. 如請求項28之裝置,其中該等指令亦由該處理器可執行以執行以下操作:至少部分地基於從由一安全錨功能(SEAF)維持的一認證錨金鑰匯出的一SMF金鑰來對該通信期請求訊息進行完整性保護。
TW107100299A 2017-02-03 2018-01-04 用於通信期管理授權符記的方法及裝置 TWI730212B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201762454685P 2017-02-03 2017-02-03
US62/454,685 2017-02-03
US15/783,260 US10841084B2 (en) 2017-02-03 2017-10-13 Session management authorization token
US15/783,260 2017-10-13

Publications (2)

Publication Number Publication Date
TW201832515A TW201832515A (zh) 2018-09-01
TWI730212B true TWI730212B (zh) 2021-06-11

Family

ID=63037435

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107100299A TWI730212B (zh) 2017-02-03 2018-01-04 用於通信期管理授權符記的方法及裝置

Country Status (5)

Country Link
US (1) US10841084B2 (zh)
EP (1) EP3577929A1 (zh)
CN (1) CN110291804B (zh)
TW (1) TWI730212B (zh)
WO (1) WO2018144200A1 (zh)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10517021B2 (en) 2016-06-30 2019-12-24 Evolve Cellular Inc. Long term evolution-primary WiFi (LTE-PW)
RU2744323C2 (ru) 2017-01-30 2021-03-05 Телефонактиеболагет Лм Эрикссон (Пабл) Способы для защиты целостности данных пользовательской плоскости
PL3596953T3 (pl) * 2017-03-17 2023-10-09 Telefonaktiebolaget Lm Ericsson (Publ) Rozwiązanie dotyczące bezpieczeństwa włączania i wyłączania zabezpieczeń dla danych up pomiędzy ue a ran w 5g
CN113645665A (zh) * 2017-03-20 2021-11-12 中兴通讯股份有限公司 网络切片服务功能
US10225355B2 (en) * 2017-04-04 2019-03-05 Facebook, Inc. Methods and systems for abuse detection of zero-rated data
WO2019007525A1 (en) * 2017-07-06 2019-01-10 Telefonaktiebolaget Lm Ericsson (Publ) USER DATA TRANSPORTED ON A STRATE OF NON-ACCESS
EP3565371A4 (en) * 2017-07-20 2020-03-25 Huawei International Pte. Ltd. SESSION PROCESSING METHOD AND DEVICE
CN109428853B (zh) * 2017-08-21 2021-06-29 华为技术有限公司 一种通信方法和相关设备
CN111713122B (zh) * 2018-02-15 2024-02-06 瑞典爱立信有限公司 用于提高数据传输安全性的方法、用户设备和网络节点
US10819689B2 (en) * 2018-05-03 2020-10-27 Honeywell International Inc. Systems and methods for encrypted vehicle data service exchanges
US10477390B1 (en) * 2018-09-27 2019-11-12 Palo Alto Networks, Inc. Service-based security per user location in mobile networks
US10574670B1 (en) 2018-09-27 2020-02-25 Palo Alto Networks, Inc. Multi-access distributed edge security in mobile networks
US10944796B2 (en) 2018-09-27 2021-03-09 Palo Alto Networks, Inc. Network slice-based security in mobile networks
US10462653B1 (en) 2018-09-27 2019-10-29 Palo Alto Networks, Inc. Service-based security per data network name in mobile networks
US10531305B1 (en) * 2018-09-27 2020-01-07 Palo Alto Networks, Inc. Service-based security per subscription and/or equipment identifiers in mobile networks
US11160123B2 (en) * 2018-10-06 2021-10-26 Mediatek Inc. 5G session management handling on PSI mismatch
WO2020145064A1 (en) * 2019-01-11 2020-07-16 Nec Corporation A method and a device for enabling key re-usage in a communication network
WO2020150701A1 (en) * 2019-01-18 2020-07-23 Apple Inc. Evolved packet core (epc) solution for restricted local operator services (rlos) access using device authentication
CN111669750B (zh) * 2019-03-07 2021-08-03 华为技术有限公司 一种pdu会话二次验证的方法及装置
WO2020183236A1 (en) * 2019-03-08 2020-09-17 Lenovo (Singapore) Pte. Ltd. Security mode integrity verification
JP2020167509A (ja) * 2019-03-29 2020-10-08 コベルコ建機株式会社 情報処理システム、情報処理方法、およびプログラム
CN113615246A (zh) * 2019-08-05 2021-11-05 Oppo广东移动通信有限公司 一种会话验证方法、电子设备及存储介质
US11601805B2 (en) 2019-08-26 2023-03-07 Qualcomm Incorporated 5G broadcast/multicast security
KR20210027976A (ko) * 2019-09-03 2021-03-11 삼성전자주식회사 이동통신망에서 멀티캐스트 및 브로드캐스트 서비스를 제공하기 위한 방법 및 장치
US10785652B1 (en) * 2019-09-11 2020-09-22 Cisco Technology, Inc. Secure remote access to a 5G private network through a private network slice
JP7453388B2 (ja) * 2020-01-16 2024-03-19 中興通訊股▲ふん▼有限公司 サービスアプリケーションとの暗号化された通信のための通信ネットワーク内のアンカキー生成および管理のための方法、デバイス、ならびにシステム
CN111259356B (zh) * 2020-02-17 2022-09-02 北京百度网讯科技有限公司 授权方法、辅助授权组件、管理服务器和计算机可读介质
KR20230044246A (ko) * 2020-07-20 2023-04-03 삼성전자주식회사 무선 통신 시스템에서 보안 통신을 설정하는 방법 및 시스템
CN112512043A (zh) * 2020-10-22 2021-03-16 中兴通讯股份有限公司 一种会话请求方法、装置、终端及存储介质
CN114697259A (zh) * 2020-12-31 2022-07-01 华为技术有限公司 避免环路的方法及装置
EP4367867A1 (en) * 2021-07-05 2024-05-15 Telefonaktiebolaget LM Ericsson (publ) Authorization of a user equipment to access a resource
US11706614B2 (en) 2021-07-16 2023-07-18 Cisco Technology, Inc. Direct SMF control plane with gNB

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150067328A1 (en) * 2013-08-30 2015-03-05 Verizon Patent And Licensing Inc. Authenticating a user device to access services based on a device id
US20160127896A1 (en) * 2014-11-03 2016-05-05 Qualcomm Incorporated Apparatuses and methods for wireless communication

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2166724A1 (en) * 2008-09-23 2010-03-24 Panasonic Corporation Optimization of handovers to untrusted non-3GPP networks
JP5865992B2 (ja) * 2011-03-23 2016-02-17 インターデイジタル パテント ホールディングス インコーポレイテッド ネットワーク通信をセキュアにするためのシステムおよび方法
US9276928B2 (en) * 2013-06-15 2016-03-01 Microsoft Corporation Sending session tokens through passive clients
EP2961212B1 (en) * 2014-06-23 2020-09-09 Samsung Electronics Co., Ltd Method and apparatus for providing a sponsored data service to a user
EP3281434B1 (en) * 2015-04-08 2020-02-12 Telefonaktiebolaget LM Ericsson (publ) Method, apparatus, and system for providing encryption or integrity protection in a wireless network
US9882894B2 (en) * 2015-12-15 2018-01-30 Verizon Patent And Licensing Inc. Secure authentication service

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150067328A1 (en) * 2013-08-30 2015-03-05 Verizon Patent And Licensing Inc. Authenticating a user device to access services based on a device id
US20160127896A1 (en) * 2014-11-03 2016-05-05 Qualcomm Incorporated Apparatuses and methods for wireless communication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;Study on the security aspects of the next generation system (Release 14)" ,3GPP TR 33.899 V0.6.0, 25 Nov.,2016. [https://www.3gpp.org/ftp//Specs/archive/33_series/33.899/] *

Also Published As

Publication number Publication date
US20180227302A1 (en) 2018-08-09
CN110291804B (zh) 2023-02-17
TW201832515A (zh) 2018-09-01
EP3577929A1 (en) 2019-12-11
CN110291804A (zh) 2019-09-27
US10841084B2 (en) 2020-11-17
WO2018144200A1 (en) 2018-08-09

Similar Documents

Publication Publication Date Title
TWI730212B (zh) 用於通信期管理授權符記的方法及裝置
KR102517869B1 (ko) 핸드오버를 위한 보안 키 유도
TWI746789B (zh) 用於低等待時間無線通訊的資源管理
US10757572B2 (en) Identity based signature in system information protection
TWI696400B (zh) 用於上行鏈路拆分承載通訊的功率餘量報告
US10757754B2 (en) Techniques for securing PDCP control PDU
US11528137B2 (en) Identity-based encryption of a message associated with a connection procedure
TW201838465A (zh) 共用射頻頻譜中的部分子訊框傳輸技術
TW201844015A (zh) 對共享通道的免准許許可控制
US20230078345A1 (en) Secure multiparty computation for internet of things communications
TW202029812A (zh) 具有到期時間的資料傳輸
EP3959915A1 (en) Detection of system information modification using access stratum security mode command
TW202038566A (zh) 對利用中央單元/分散式單元功能拆分的早期資料傳輸的支援
US20200356694A1 (en) Architecture for device ownership, data provenance, governance and trade
WO2020227283A1 (en) Data provenance
WO2020227289A1 (en) Aggregate data provenance
TWI833949B (zh) 使用存取層級安全模式命令之系統資訊修改之偵測