BR112020000870A2 - método de transmissão de dados, dispositivo e sistema relacionados ao mesmo - Google Patents

Abstract

A presente invenção refere-se a um método de transmissão de dados, e dispositivo e sistema relacionados ao mesmo. O método compreende: um dispositivo da primeira rede de acesso recebendo um pacote de dados (por exemplo, dados específicos ("small data") transmitidos pelo equipamento do usuário (por exemplo, um dispositivo da Internet-das-Coisas (IoT)), o pacote de dados compreendendo um primeiro cookie e dados brutos; o dispositivo da primeira rede de acesso verificando o primeiro cookie para obter um resultado da verificação; e o dispositivo da primeira rede de acesso processando os dados brutos baseado no resultado da verificação. A modalidade da presente invenção pode aliviar a carga em um lado da rede quando uma grande quantidade de equipamentos de usuário precisa se comunicar, assim aumentando a eficiência da transmissão de dados.

Description

Relatório Descritivo da Patente de Invenção para "MÉTODO DE TRANSMISSÃO DE DADOS, DISPOSITIVO E SISTEMA RELACIONADOS AO MESMO".

CAMPO TÉCNICO

[001] A presente invenção refere-se ao campo de tecnologias de comunicações e em particular, com um método de transmissão de dados, com um dispositivo relacionado e com um sistema relacionado.

ANTECEDENTES

[002] Com o rápido desenvolvimento da Internet móvel, uma quantidade crescente de dispositivos da internet das coisas (Internet das Coisas, IoT) nas indústrias verticais precisam acessar uma rede de comunicações operada por um operador. Diferente de um dispositivo móvel convencional, os dispositivos IoT são caracterizados por uma grande quantidade, e um dispositivo IoT envia dados específicos (small data) esporádicos durante a maior parte do tempo em um ciclo de vida.

[003] Em uma rede de comunicações atual (por exemplo, uma rede célula), o equipamento do usuário normalmente acessa a rede por verificar uma identidade e uma chave simétrica que estão incluídas em um cartão de módulo de identidade universal de assinante (módulo de identidade universal de assinante, USIM). Uma maneira de autenticação do equipamento do usuário principalmente inclui um protocolo de autenticação EPS-AKA (sistema de pacote evoluído – acordo de autenticação e chave).

[004] Quando o equipamento do usuário precisa transmitir dados, normalmente o equipamento do usuário primeiro executa autenticação de rede com um lado da rede, estabelece uma conexão de comunicação após a autenticação, e então envia os dados para o lado da rede. Então, para a Internet das coisas, dezenas de milhares de requerimentos de conexão de comunicação de dispositivos IoT ocasionam uma enorme carga de comunicação no lado da rede. Em uma solução de autenticação que é baseada em uma chave simétrica USIM, devido a uma cadeia de autenticação ser relativamente longa e a eficiência da autenticação ser baixa, a eficiência da transmissão de dados é altamente reduzida. Isto também se torna um obstáculo que restringe a aplicação em larga escala e um aumento da quantidade de usuário da Internet das coisas.

SUMÁRIO

[005] Modalidades da presente divulgação divulgam um método de transmissão de dados, um dispositivo relacionado e um sistema relacionado, para reduzir a carga sobre um lado da rede quando uma grande quantidade de equipamentos de usuário precisa executar comunicação, desse modo aumentando a eficiência da transmissão de dados.

[006] De acordo com um primeiro aspecto, uma modalidade da presente invenção proporciona um método de transmissão de dados. O método inclui: receber, por um dispositivo da primeira rede de acesso, um pacote de dados enviado pelo equipamento do usuário, em que o pacote de dados inclui um primeiro cookie e dados brutos; verificar, pelo dispositivo da primeira rede de acesso, o primeiro cookie, para obter um resultado de verificação; e processar, pelo dispositivo da primeira rede de acesso, os dados brutos baseado no resultado da verificação.

[007] Em uma modalidade específica, o primeiro cookie inclui um tempo de expiração T, e se for assumido que uma rede de acesso verifica o primeiro cookie em um tempo T0, a verificação, pelo dispositivo da primeira rede de acesso, do primeiro cookie, para obter um resultado de verificação inclui: se T0 < T – TX, o resultado da verificação é que o primeiro cookie é válido; se T – TX < T0 < T + TX, o resultado da verificação é que o primeiro cookie está para expirar; ou se T0 > T + TX, o resultado da verificação é que o primeiro cookie é inválido, em que TX é um valor de tempo preestabelecido.

[008] De forma correspondente, se o resultado da verificação for que o primeiro cookie é válido, o dispositivo da primeira rede de acesso decritptografa os dados brutos, e envia os dados brutos decriptografados para um dispositivo da rede principal; se o resultado da verificação for que o primeiro cookie está para expirar, o dispositivo da primeira rede de acesso executa re-autenticação rápida com o equipamento do usuário, para atualizar o primeiro cookie no equipamento do usuário, e envia os dados brutos decriptografados para um dispositivo da rede principal; ou se o resultado da verificação for que o primeiro cookie é inválido, o dispositivo da primeira rede de acesso executa autenticação bidirecional com o equipamento do usuário, para provar que uma identidade do equipamento do usuário é válida, e então reconfigura um novo cookie para o equipamento do usuário.

[009] Nesta modalidade da presente invenção, o dispositivo da primeira rede de acesso gera o primeiro cookie, e envia o primeiro cookie para o equipamento do usuário. Um processo de geração específico inclui: executar, pela primeira rede de acesso, autenticação bidirecional com o equipamento do usuário; e após a autenticação ter êxito, gerar, pelo dispositivo da rede de acesso, o primeiro cookie baseado em um identificador do equipamento do usuário.

[0010] Em uma modalidade específica, o primeiro cookie ainda inclui um tipo do primeiro cookie, em que o tipo do primeiro cookie é utilizado para indicar que o primeiro cookie é gerado por um dispositivo da rede de acesso ou por um dispositivo da rede principal; e quando o tipo do primeiro cookie indica que o primeiro cookie é verificado pelo dispositivo da rede de acesso, o dispositivo da primeira rede de acesso verifica o primeiro cookie.

[0011] Em uma modalidade específica, o primeiro cookie ainda inclui: um ID do primeiro cookie e um primeiro código de autenticação de mensagem MAC, em que o primeiro MAC = HMAC(ID do primeiro cookie || tempo de expiração || tipo do primeiro cookie || chave do primeiro cookie), em que a chave do primeiro cookie é uma chave derivada pelo dispositivo da rede de acesso, e a chave do primeiro cookie = KDF(ID do primeiro cookie, tempo de expiração, tipo do primeiro cookie, K); e HMAC é um código de autenticação de mensagem baseado em hash relacionado com a chave, KDF é uma função de derivação de chave, e K é uma chave mestre preestabelecida pelo dispositivo da primeira rede de acesso. Após receber o pacote de dados, o dispositivo da primeira rede de acesso identifica o primeiro cookie baseado no ID do primeiro cookie, e executa uma verificação de integridade em relação ao primeiro cookie baseado no primeiro MAC.

[0012] Em uma modalidade possível, o primeiro cookie ainda inclui: o identificador do equipamento do usuário criptografado e um contador de re-autenticação rápida criptografado; e o primeiro MAC é especificamente: primeiro MAC = HMAC(ID do primeiro cookie || tempo de expiração || tipo do primeiro cookie || En(identificador do equipamento do usuário, K) || En(contador de re-autenticação rápida, K), chave do primeiro cookie), em que En é uma função de criptografia.

[0013] Nesta modalidade da presente invenção, quando o cookie está para expirar, o dispositivo da primeira rede de acesso executa a re-autenticação rápida com o equipamento do usuário, para atualizar o cookie no equipamento do usuário. Um processo inclui: gerar, pelo dispositivo da primeira rede de acesso, um segundo cookie; e enviar, pelo dispositivo da primeira rede de acesso, uma primeira mensagem para o equipamento do usuário, para atualizar o primeiro cookie e a chave do primeiro cookie no equipamento do usuário, em que a primeira mensagem inclui o segundo cookie, uma chave do segundo cookie, e um ID do segundo cookie, e a chave do segundo cookie é uma chave derivada pelo dispositivo da primeira rede de acesso baseado na chave mestre preestabelecida. Durante implementação específica, a primeira mensagem é uma mensagem de re-autenticação rápida, e a mensagem de re-autenticação rápida inclui um campo AT_IV, um campo AT_ENCR_DATA, e um campo AT_NEXT_REAUTH_ID criptografado, em que o campo AT_IV transporta a chave do segundo cookie e/ou o segundo cookie, o campo AT_ENCR_DATA transporta o segundo cookie e/ou a chave do segundo cookie, e o campo AT_NEXT_REAUTH_ID criptografado transporta o ID do segundo cookie.

[0014] Em uma modalidade possível, o primeiro cookie ainda inclui um identificador do dispositivo da primeira rede de acesso RAN ID, e o RAN ID é utilizado para indicar um ID de um dispositivo da rede de acesso que gera o primeiro cookie. Após o dispositivo da primeira rede de acesso receber o pacote de dados enviado pelo equipamento do usuário, o dispositivo da primeira rede de acesso verifica se o RAN ID é um ID do dispositivo da primeira rede de acesso, e os seguintes casos estão incluídos:

[0015] Caso 1: Se o RAN ID for o ID do dispositivo da primeira rede de acesso, o dispositivo da primeira rede de acesso verifica o primeiro cookie.

[0016] Caso 2: Se o RAN ID não for o ID da rede de acesso, o dispositivo da primeira rede de acesso envia o primeiro cookie para um dispositivo da segunda rede de acesso indicado pelo RAN ID, e o dispositivo da primeira rede de acesso recebe a informação do primeiro cookie realimentada pelo dispositivo da segunda rede de acesso baseado no primeiro cookie, em que a informação do primeiro cookie é armazenada no dispositivo da segunda rede de acesso, e a informação do primeiro cookie inclui o ID do primeiro cookie, a chave do primeiro cookie, e o identificador do equipamento do usuário. Especificamente, o dispositivo da primeira rede de acesso verifica o primeiro cookie baseado na informação do primeiro cookie. Em uma modalidade possível, o dispositivo da primeira rede de acesso ainda gera um terceiro cookie e uma chave do terceiro cookie baseado no identificador do equipamento do usuário, e envia o terceiro cookie e a chave do terceiro cookie para o equipamento do usuário, de modo que o equipamento do usuário atualiza o primeiro cookie e a chave do primeiro cookie por utilizar o terceiro cookie e a chave do terceiro cookie, em que um RAN ID no terceiro cookie indica o ID do dispositivo da primeira rede de acesso.

[0017] Em uma modalidade específica, que o dispositivo da primeira rede de acesso envia o primeiro cookie para um dispositivo da segunda rede de acesso indicado pelo RAM ID inclui dois casos:

[0018] Caso 1: Se existir uma interface X2 entre o dispositivo da primeira rede de acesso e o dispositivo da segunda rede de acesso, o dispositivo da primeira rede de acesso envia, por utilizar a interface X2, o primeiro cookie para o dispositivo da segunda rede de acesso indicado pelo RAN ID.

[0019] Caso 2: S não existir interface X2 entre o dispositivo da primeira rede de acesso e o dispositivo da segunda rede de acesso, o dispositivo da primeira rede de acesso envia, por utilizar o dispositivo da rede principal, o primeiro cookie para o dispositivo da segunda rede de acesso indicado pelo RAN ID.

[0020] Em um cenário de aplicação possível, quando o RAN ID não é o ID da rede de acesso, após enviar o pacote de dados para um dispositivo da terceira rede de acesso indicado pelo RAN ID, o dispositivo da primeira rede de acesso recebe os dados brutos decriptografados realimentados pelo dispositivo da terceira rede de acesso e envia os dados brutos decriptografados para uma rede principal. Em adição, o dispositivo da primeira rede de acesso pode ainda receber uma chave realimentada pelo dispositivo da terceira rede de acesso, em que a chave é gerada pelo dispositivo da terceira rede de acesso baseado na chave do primeiro cookie e no ID da primeira rede de acesso. O dispositivo da primeira rede de acesso gera um quarto cookie e uma chave do quarto cookie baseado no identificador do equipamento do usuário, onde um RAN ID no quarto cookie indica o ID do dispositivo da primeira rede de acesso. Então, o dispositivo da rede de acesso envia o quarto cookie e a chave do quarto cookie criptografada por utilizar a chave do equipamento do usuário, de modo que o equipamento do usuário atualiza o primeiro cookie e a chave do primeiro cookie por utilizar o quarto cookie e a chave do quarto cookie.

[0021] Nesta modalidade da presente invenção, o identificador do equipamento do usuário pode ser uma identidade internacional de assinante móvel (Identidade Internacional de Assinante Móvel, IMSI), ou pode ser uma identidade internacional de equipamento móvel (Identidade Internacional de Equipamento Móvel, IMEI), um endereço de controle de acesso à mídia (Controle de Acesso à Mídia, MAC), um endereço de protocolo Internet (Protocolo Internet, IP), um número de telefone móvel, uma identidade privada multimídia IP (Identidade Privada Multimídia IP, IMPU), uma identidade temporária de assinante móvel (Identidade Temporária de Assinante Móvel, TMSI), uma identidade pública de multimídia IP (Identidade Pública de Multimídia IP, IMPU), uma identidade temporária de UE globalmente única (Identidade Temporária de UE Globalmente Única, GUTI), dentre outras.

[0022] Nesta modalidade da presente invenção, o pacote de dados especificamente inclui o primeiro cookie, os dados brutos criptografados pela utilização da chave do primeiro cookie, e um segundo MAC.

[0023] Nesta modalidade da presente invenção, o equipamento do usuário pode ser um dispositivo da Internet das coisas (IoT), e o pacote de dados podem ser dados específicos.

[0024] De acordo com um segundo aspecto, uma modalidade da presente invenção proporciona outro método de transmissão de dados. O método inclui: receber, por um dispositivo da rede principal, um pacote de dados enviado pelo equipamento do usuário, em que o pacote de dados inclui um primeiro cookie e dados brutos criptografados, pelo dispositivo da rede principal, o primeiro cookie, para obter um resultado de verificação; e processar, pelo dispositivo da rede principal, os dados brutos baseado no resultado da verificação.

[0025] Em uma modalidade específica, o primeiro cookie inclui um tipo do primeiro cookie, e o tipo do primeiro cookie é utilizado para indicar que o primeiro cookie é verificado por um dispositivo da rede de acesso ou por um dispositivo da rede principal. Quando o tipo do primeiro cookie indica que o primeiro cookie é verificado pelo dispositivo da rede principal, o dispositivo da rede principal recebe, por utilizar o dispositivo da rede de acesso, o pacote de dados enviado pelo equipamento do usuário.

[0026] Em uma modalidade específica, o primeiro cookie inclui um tempo de expiração T, e uma rede de acesso verifica o primeiro cookie em um tempo T0, em que

[0027] se T0 < T – TX, o resultado da verificação é que o primeiro cookie é válido;

[0028] se T – TX < T0 < T + TX, o resultado da verificação é que o primeiro cookie está para expirar; ou

[0029] se T0 > T + TX, o resultado da verificação é que o primeiro cookie é inválido, em que

[0030] TX é um valor de tempo preestabelecido. De forma correspondente, se o resultado da verificação for que o primeiro cookie é válido, o dispositivo da rede principal decriptografa os dados brutos, e envia os dados brutos decriptografados para um servidor alvo. Se o resultado da verificação for que o primeiro cookie está para expirar, o dispositivo da rede principal executa re-autenticação rápida com o equipamento do usuário, para atualizar o primeiro cookie no equipamento do usuário, e envia os dados brutos decriptografados para um servidor alvo.

[0031] Especificamente, antes de o dispositivo da rede principal receber o pacote de dados enviado pelo equipamento do usuário, o dispositivo da rede principal gera o primeiro cookie, e envia o primeiro cookie para o equipamento do usuário.

[0032] Um processo para gerar o primeiro cookie pelo dispositivo da rede principal pode incluir: executar, pelo dispositivo da rede principal, autenticação bidirecional com o equipamento do usuário; e após a autenticação ter êxito, gerar, pelo dispositivo da rede principal, o primeiro cookie baseado em um identificador do equipamento do usuário.

[0033] Em uma modalidade específica, o primeiro cookie ainda inclui: um ID do primeiro cookie e um primeiro código de autenticação de mensagem MAC, em que o primeiro MAC = HMAC(ID do primeiro cookie || tempo de expiração || tipo do primeiro cookie || chave do primeiro cookie), em que a chave do primeiro cookie é uma chave derivada pelo dispositivo da rede principal, e a chave do primeiro cookie = KDF(ID do primeiro cookie, tempo de expiração, tipo do primeiro cookie, K), e HMAC é um código de autenticação de mensagem baseado em hash relacionado com a chave, KDF é uma função de derivação de chave, e K é uma chave mestre preestabelecida pelo dispositivo da rede principal. O dispositivo da rede principal identifica o primeiro cookie baseado no ID do primeiro cookie, e executa verificação de integridade em relação ao primeiro cookie baseado no primeiro MAC.

[0034] Em uma modalidade específica, o primeiro cookie ainda inclui: o identificador do equipamento do usuário criptografado e um contador de re-autenticação rápida criptografado; e o primeiro MAC é especificamente: primeiro MAC = HMAC (ID do primeiro cookie || tempo de expiração || tipo do primeiro cookie || En(identificador do equipamento do usuário, K) || En(contador de re-autenticação rápida, K), chave do primeiro cookie), em que En é uma função de criptografia.

[0035] Quando o cookie está para expirar, o dispositivo da rede principal executa re-autenticação rápida com o equipamento do usuário, para atualizar o cookie no equipamento do usuário, em que a re-autenticação rápida inclui: gerar, pelo dispositivo da rede principal, um segundo cookie; e enviar, pelo dispositivo da rede principal, uma primeira mensagem para o equipamento do usuário, para atualizar o primeiro cookie e a chave do primeiro cookie no equipamento do usuário, em que a primeira mensagem inclui o segundo cookie, a chave do segundo cookie, e um ID do segundo cookie, e a chave do segundo cookie é uma chave derivada pelo dispositivo da rede principal baseado na chave mestre preestabelecida.

[0036] Em uma modalidade específica, a primeira mensagem é uma mensagem de re-autenticação rápida, e a mensagem de re- autenticação rápida especificamente inclui um campo AT_IV, um campo AT_ENCR_DATA, e um campo AT_NEXT_REAUTH_ID criptografado, em que o campo AT_IV transporta a chave do segundo cookie e/ o segundo cookie, o campo AT_ENCR_DATA transporta o segundo cookie e/ou a chave do segundo cookie, e o campo AT_NEXT_REAUTH_ID criptografado transporta o ID do segundo cookie.

[0037] Em uma modalidade específica, o pacote de dados inclui o primeiro cookie, dados brutos criptografados pela utilização da chave do primeiro cookie, e um segundo MAC.

[0038] Em uma modalidade específica, o equipamento do usuário é um dispositivo da Internet das coisas IoT, e o pacote de dados são dados específicos small data.

[0039] De acordo com um terceiro aspecto, uma modalidade da presente invenção proporciona um método de transmissão de dados. O método é descrito a partir de um lado do equipamento do usuário, e inclui: receber, pelo equipamento do usuário, um primeiro cookie e uma chave do primeiro cookie que são enviados por um dispositivo de rede; gerar, pelo equipamento do usuário, um pacote de dados baseado no primeiro cookie e na chave do primeiro cookie, em que o pacote de dados inclui o primeiro cookie e dados brutos criptografados pela utilização da chave do primeiro cookie; e enviar, pelo equipamento do usuário, o pacote de dados para o dispositivo de rede.

[0040] Em uma modalidade específica, o primeiro cookie inclui um tempo de expiração T, e uma rede de acesso verifica o primeiro cookie em um tempo T0, em que

[0041] se T0 < T – TX, o resultado da verificação é que o primeiro cookie é válido;

[0042] se T – TX < T0 < T + TX, o resultado da verificação é que o primeiro cookie está para expirar; ou

[0043] se T0 > T + TX, o resultado da verificação é que o primeiro cookie é inválido, em que TX é um valor de tempo preestabelecido.

[0044] Quando T está para expirar, o equipamento do usuário recebe uma primeira mensagem enviada pelo dispositivo de rede, em que a primeira mensagem inclui um segundo cookie, uma chave do segundo cookie, e um ID do segundo cookie, e a chave do segundo cookie é uma chave derivada por um dispositivo da primeira rede de acesso baseado em uma chave mestre preestabelecida. O equipamento do usuário atualiza o primeiro cookie e a chave do primeiro cookie por utilizar o segundo cookie e a chave do segundo cookie.

[0045] Em uma modalidade específica, o dispositivo de rede é um dispositivo da rede de acesso ou um dispositivo da rede principal, o equipamento do usuário é um dispositivo da Internet das coisas IoT, e o pacote de dados são dados específicos small data.

[0046] De acordo com um quarto aspecto, uma modalidade da presente invenção proporciona um dispositivo da rede de acesso. O dispositivo da rede de acesso inclui: um processador, uma memória, um transmissor, e um receptor, para implementar funções do dispositivo da rede de acesso de acordo com o primeiro aspecto.

[0047] De acordo com um quinto aspecto, uma modalidade da presente invenção proporciona outro dispositivo da rede de acesso. O dispositivo da rede de acesso inclui: um módulo de recepção, um módulo de autenticação, e um módulo de envio, para implementar funções do dispositivo da rede de acesso de acordo com o primeiro aspecto.

[0048] De acordo com um sexto aspecto, uma modalidade da presente invenção proporciona um dispositivo da rede principal. O dispositivo da rede principal inclui: um processador, uma memória, um transmissor, e um receptor, para implementar funções do dispositivo da rede principal de acordo com o segundo aspecto.

[0049] De acordo com um sétimo aspecto, uma modalidade da presente invenção proporciona outro dispositivo da rede principal. O dispositivo da rede principal inclui: um módulo de recepção, um módulo de autenticação, e um módulo de envio, para implementar funções do dispositivo da rede principal de acordo com o segundo aspecto.

[0050] De acordo com um oitavo aspecto, uma modalidade da presente invenção proporciona equipamento do usuário. O equipamento do usuário inclui: um processador, uma memória, um transmissor, e um receptor, para implementar funções do equipamento do usuário de acordo com o terceiro aspecto.

[0051] De acordo com um novo aspecto, uma modalidade da presente invenção proporciona outro equipamento do usuário. O equipamento do usuário inclui: um módulo de recepção, um módulo de dados, e um módulo de envio, para implementar funções do equipamento do usuário de acordo com o terceiro aspecto.

[0052] De acordo com um décimo aspecto, uma modalidade da presente invenção proporciona um sistema de comunicações. O sistema de comunicações inclui: o dispositivo da rede de acesso de acordo com o quarto aspecto ou com o quinto aspecto ou o dispositivo da rede principal de acordo com o sexto aspecto ou com o sétimo aspecto, e o equipamento do usuário de acordo com o oitavo aspecto ou com o nono aspecto.

[0053] De acordo com um décimo primeiro aspecto, uma modalidade da presente invenção proporciona um meio de armazenamento não volátil legível armazenando uma instrução de computador. O meio de armazenamento não volátil legível inclui a instrução de computador, em que

[0054] a instrução de computador é executada para implementar o método de acordo com o primeiro aspecto; ou

[0055] a instrução de computador é executada para implementar o método de acordo com o segundo aspecto; ou

[0056] a instrução de computador é executada para implementar o método de acordo com o terceiro aspecto das reivindicações.

[0057] De acordo com um décimo segundo aspecto, uma modalidade da presente invenção proporciona um produto de programa de computador. Quando o produto de programa de computador é executado em um computador, o produto de programa de computador é executado para implementar o método descrito no primeiro aspecto, ou é executado para implementar o método descrito no segundo aspecto, ou é executado para implementar o método descrito no terceiro aspecto.

[0058] Após a implementação das modalidades da presente invenção, quando o equipamento do usuário tal como o dispositivo IoT acessa uma rede pela primeira vez, o equipamento do usuário executa autenticação com a rede para verificar uma identidade, e obtém um cookie emitido pelo lado da rede (o dispositivo da rede de acesso ou o dispositivo da rede principal). Então, quando o equipamento do usuário possui um requerimento para transmitir dados (por exemplo, dados pequenos), o equipamento do usuário diretamente envia o pacote de dados transportando o cookie para o lado da rede, e não precisa executar autenticação e estabelecer uma conexão de rede novamente. O lado da rede verifica a validade da identidade do equipamento do usuário por verificar o cookie. Após a verificação em relação ao cookie ter êxito, o lado da rede diretamente processa a transmissão dos dados. A implementação das modalidades da presente invenção pode reduzir a carga no lado da rede quando uma grande quantidade de equipamentos de usuário precisa executar comunicação, desse modo aumentando a eficiência da transmissão de dados.

BREVE DESCRIÇÃO DOS DESENHOS

[0059] A FIGURA 1 é um diagrama esquemático de uma arquitetura de comunicações de acordo com uma modalidade da presente invenção;

[0060] A FIGURA 2 até a FIGURA 5 são diagramas esquemáticos de vários formatos de pacote de dados de acordo com modalidades da presente invenção;

[0061] A FIGURA 6 é um fluxograma esquemático de um método de transmissão de dados de acordo com uma modalidade da presente invenção;

[0062] A FIGURA 7 é um fluxograma esquemático de um método de re-autenticação rápida de acordo com uma modalidade da presente invenção;

[0063] A FIGURA 8 é um diagrama esquemático de uma mensagem de re-autenticação rápida de acordo com uma modalidade da presente invenção;

[0064] A FIGURA 9 é um fluxograma esquemático de outro método de transmissão de dados de acordo com uma modalidade da presente invenção;

[0065] A FIGURA 10 é um fluxograma esquemático de outro método de transmissão de dados de acordo com uma modalidade da presente invenção;

[0066] A FIGURA 11 é um fluxograma esquemático de outro método de transmissão de dados de acordo com uma modalidade da presente invenção;

[0067] A FIGURA 12 é um fluxograma esquemático de outro método de transmissão de dados de acordo com uma modalidade da presente invenção;

[0068] A FIGURA13 é um diagrama estrutural esquemático de um dispositivo de hardware de acordo com uma modalidade da presente invenção;

[0069] A FIGURA 14 é um diagrama estrutural esquemático de um dispositivo da rede de acesso de acordo com uma modalidade da presente invenção;

[0070] A FIGURA 15 é um diagrama estrutural esquemático de um dispositivo da rede principal de acordo com uma modalidade da presente invenção; e

[0071] A FIGURA 16 é um diagrama estrutural esquemático do equipamento do usuário de acordo com uma modalidade da presente invenção.

DESCRIÇÃO DE MODALIDADES

[0072] Para facilidade de entendimento das soluções, uma arquitetura de rede junto a qual soluções nas modalidades deste pedido são aplicadas é primeiro descrita com referência a um desenho acompanhante relacionado pela utilização de um exemplo. Uma arquitetura de rede de comunicações proporcionada nas modalidades da presente invenção inclui o equipamento do usuário, uma rede de acesso, e uma rede principal. Referindo-se à FIGURA 1, podem existir vários dispositivos na rede de acesso (dispositivo da rede de acesso de forma abreviada, tal como um dispositivo da rede de acesso 121 ou um dispositivo da rede de acesso 122 na FIGURA 1). Cada dispositivo da rede de acesso pode estabelecer uma conexão de comunicação com um ou mais equipamentos do usuário (por exemplo, equipamento do usuário 111, equipamento do usuário 112, e equipamento do usuário 113 na FIGURA 1), para executar comunicação de uplink ou comunicação de downlink. Diferentes dispositivos da rede de acesso separadamente estabelecem uma conexão de comunicação com a rede principal 130, e diferentes dispositivos da rede de acesso também possuem uma conexão de comunicação entre uns e outros (por exemplo, o dispositivo da rede de acesso 121 e o dispositivo da rede de acesso 122 são conectados pela utilização de uma interface X2 na FIGURA 1). A rede principal 130 pode estabelecer uma conexão de comunicação com uma rede externa 140. A rede 140 é, por exemplo, uma rede de dados (Data Net, DN), e a rede 140 pode incluir um servidor de aplicativo 141. Detalhes são descritos a seguir.

[0073] O equipamento do usuário (Equipamento do Usuário, UE) é uma entidade lógica. O UE pode ser um dispositivo da Internet das coisas (Internet das Coisas, IoT), ou pode ser um dispositivo terminal (Equipamento Terminal) ou um dispositivo de comunicações (Dispositivo de Comunicações) em um cenário de aplicação específico. Por exemplo, o dispositivo IoT pode ser um sensor, um medidor de eletricidade inteligente (por exemplo, o equipamento do usuário 113 na FIGURA 1), um hidrômetro inteligente, um ar condicionado inteligente, uma bicicleta inteligente (por exemplo, o equipamento do usuário 111 na FIGURA 1), ou um automóvel autônomo, e o dispositivo terminal pode ser um smartphone (por exemplo, o equipamento do usuário 112 na FIGURA 1), um relógio inteligente, ou uma tablet inteligente. O dispositivo de comunicações pode ser um servidor, um dispositivo de interconexão de redes (Dispositivo de Interconexão de Redes, GW), um controlador, dentre outros.

[0074] A rede de acesso (rede de acesso, NA) também pode ser referida como rede de rádio acesso (Rede de Rádio Acesso, RAN) em uma aplicação específica, e a RAN inclui um dispositivo da rede de acesso, e é responsável por acesso pelo equipamento do usuário. A RAN pode ser uma estação base (tal como um NB, uma eNB, ou um gNB), um ponto de acesso com fidelidade sem uso de fios (Fidelidade Sem Uso de Fios, Wi-Fi), um ponto de acesso Bluetooth, dentre outros.

[0075] A rede principal (rede principal, CN) inclui um dispositivo da rede principal, e a CN, como uma rede portadora, proporciona uma interface com uma rede externa (por exemplo, a DN), e proporciona serviços tais como conexão de comunicação, autenticação, gerenciamento, e controle de política para o UE.

[0076] A arquitetura da rede de comunicações pode suportar comunicação sem mobilidade e comunicação com mobilidade do UE.

[0077] Por exemplo, em um cenário de aplicação específica, o UE é o medidor de eletricidade inteligente 113. Devido ao medidor de eletricidade inteligente 113 ser normalmente disposto em uma localização fixa, o medidor de eletricidade inteligente não possui mobilidade. Quando o medidor de eletricidade inteligente 113 precisa se comunicar com o servidor de aplicativo 141 na rede 140, o medidor de eletricidade inteligente 112 pode primeiro estabelecer uma conexão de comunicação com o dispositivo da rede de acesso 122, e então acessar o servidor de aplicativo 141 por utilizar a rede principal 130, para implementar a comunicação.

[0078] Para outro exemplo, em outro cenário de aplicação específico, o UE é a bicicleta inteligente 111. Devido a uma localização da bicicleta inteligente 111 alterar quando a bicicleta inteligente 111 se move, a bicicleta inteligente 111 possui mobilidade. Quando a bicicleta inteligente 111 precisa se comunicar com o servidor de aplicativo 141 na rede 140, se a bicicleta inteligente 111 estiver localizada em uma célula de comunicações do dispositivo da rede de acesso 122, a bicicleta inteligente 111 primeiro estabelece uma conexão de comunicação com o dispositivo da rede de acesso 122, e então acessa o servidor de aplicativo 141 por utilizar a rede principal 130. Após a bicicleta inteligente 111 se mover para uma célula de comunicações do dispositivo da rede de acesso 121, a bicicleta inteligente 111 troca para estabelecer uma conexão de comunicação com o dispositivo da rede de acesso 121, e então acessa o servidor de aplicativo 141 por utilizar a rede principal 130.

[0079] Na técnica anterior, quando o UE possui um requerimento de comunicação, o UE primeiro precisa executar autenticação da rede com um lado da rede, e pode estabelecer uma conexão de comunicação com o dispositivo da rede de acesso somente quando a autenticação tem êxito, e então envia dados para a rede. Se uma quantidade de UEs aumenta, uma grande quantidade de vezes de autenticação da rede precisa ser executada para estabelecer uma grande quantidade de conexões de rede. Por exemplo, para a Internet das coisas (Internet das Coisas, IoT, uma quantidade de dispositivos IoT é grande, e um dispositivo IoT normalmente descontinuamente executa transmissão de dados com a rede. Por consequência, a autenticação da rede e o estabelecimento da conexão de rede precisam ser executados para cada transmissão de dados. Se defrontando com autenticação de rede e conexões de rede de uma grande quantidade de dispositivos IoT, o lado da rede precisa suportar uma maior carga de comunicação, e a eficiência da transmissão de dados é muito baixa. Para solucionar uma desvantagem na transmissão de dados na técnica anterior, a presente invenção proporciona uma solução de transmissão de dados, para reduzir a carga no lado da rede quando uma grande quantidade de UEs precisam executar comunicação, desse modo aumentando a eficiência da transmissão de dados.

[0080] Para implementar as soluções técnicas nas modalidades da presente invenção, um pacote de dados em transmissão de comunicação precisa ser re-designado. O dito a seguir primeiro descreve vários formatos de pacote de dados nas modalidades da presente invenção. Faça referência à FIGURA 2 a Figura 5. Um pacote de dados nas modalidades da presente invenção inclui um cookie, dados brutos (os quais podem ser criptografados ou não criptografados), e um código de autenticação de mensagem (Código de Autenticação de Mensagem, MAC). O cookie nas modalidades da presente invenção é uma pequena quantidade de informação que é gerada por um dispositivo da rede (um dispositivo da rede de acesso ou um dispositivo da rede principal), pode ser armazenado no UE, e é utilizado para autenticar a validade de uma identidade do UE. Nas modalidades da presente invenção, o pacote de dados pode ser designado em diferentes formatos baseado nos diferentes cookies. O dito a seguir descreve vários formatos de pacote de dados.

[0081] (1) Um primeiro tipo de pacote de dados

[0082] Referindo-se à FIGURA 2, o primeiro tipo de pacote de dados inclui um cookie, En(dados brutos, chave do cookie), e um primeiro MAC.

[0083] En(dados brutos, chave do cookie) indica dados brutos criptografados pela utilização de uma chave do cookie, e En é uma função de criptografia.

[0084] O primeiro MAC é utilizado para executar proteção de integridade em relação aos dados.

[0085] O cookie é utilizado como uma credencial para autenticar validade de identidade do UE. Especificamente, o cookie pode incluir um ID do cookie, um tempo de expiração, um tipo do cookie, e um segundo MAC.

[0086] O ID do cookie é um identificador de identificação do cookie, e pode ainda ser utilizado como um identificador de re- autenticação rápida (re-autenticação rápida) nas modalidades da presente invenção.

[0087] O tempo de expiração (tempo de expiração) é utilizado para indicar um período de validade do cookie.

[0088] O tipo (tipo) do cookie indica se o cookie é gerado por um dispositivo da rede de acesso ou por um dispositivo da rede principal.

[0089] O segundo MAC é utilizado para executar proteção de integridade em relação ao cookie, e mais especificamente pode ser: secundo MAC = HMAC (ID do cookie || tempo de expiração || tipo, Ki). HMAC é um código de autenticação de mensagem baseado em hash relacionado com a chave, e Ki é uma chave do cookie. Nas modalidades da presente invenção, a chave do cookie é uma chave derivada para o UE baseado em uma chave mestre (chave mestre) no dispositivo da rede. Um método de derivação específico é: Ki = KDF (ID do cookie, tempo de expiração, tipo, K). K indica a chave mestre (chave mestre), e KDF é uma função de derivação de chave.

[0090] Para o primeiro tipo de pacote de dados, para implementar que um lado da rede completa a autenticação em relação à validade da identidade do UE baseado no cookie no pacote de dados nas modalidades da presente invenção, o lado da rede precisa armazenar um contexto do UE, para ser específico, armazenar informação de cookie associada com o ID do cookie. A informação do cookie inclui um identificador do UE (UE ID), a chave mestre, e um contador utilizado para re-autenticação rápida (F-counter). O UE ID pode ser uma identidade internacional de assinante móvel (Identidade Internacional de Assinante Móvel, IMSI). Após receber o primeiro tipo de pacote de dados, o lado da rede pode ainda derivar a chave do cookie baseado em Ki = KDF (ID do cookie, tempo de expiração, tipo, K).

[0091] (2) Um segundo tipo de pacote de dados

[0092] Referindo-se à FIGURA 3, o segundo tipo de pacote de dados inclui um cookie, En (dados brutos, chave do cookie), e um primeiro MAC.

[0093] En (dados brutos, chave do cookie) indica dados brutos criptografados pela utilização de uma chave do cookie, e En é uma função de criptografia.

[0094] O primeiro MAC é utilizado para executar proteção de integridade em relação aos dados.

[0095] O cookie é utilizado como uma credencial para autenticar validade de identidade do UE. Especificamente, o cookie inclui um ID do cookie, um tempo de expiração, um tipo do cookie, En(UE ID, chave mestre), En(contador, chave mestre), e um segundo MAC.

[0096] O ID do cookie é um identificador de autenticação do cookie, e pode ser ainda utilizado como um identificador de re- autenticação rápida (re-autenticação rápida) nas modalidades da presente invenção.

[0097] O tempo de expiração (tempo de expiração) é utilizado para indicar um período de validade do cookie.

[0098] O tipo de cookie (tipo) indica se o cookie é gerado por um dispositivo da rede de acesso ou por um dispositivo da rede principal.

[0099] En (UE ID, chave mestre) indica um identificador do UE (UE ID) criptografado pela utilização de uma chave mestre, e o UE ID pode ser, por exemplo, uma IMSI.

[00100] En (F-counter, chave mestre) indica um contador utilizado para re-autenticação rápida (F-counter) que é criptografado pela utilização da chave mestre.

[00101] O segundo MAC é utilizado para executa proteção de integridade em relação ao cookie, e pode especificamente ser: segundo MAC = HMAC(ID do cookie) || tempo de expiração || tipo || En(UE ID, K) || En(F-counter, K), Ki). HMAC é um código de autenticação de mensagem baseado em hash relacionado com a chave, Ki é uma chave do cookie, e especificamente, Ki = KDF (ID do cookie, tempo de expiração, tipo, K). K indica a chave mestre (chave mestre), e HDF é uma função de derivação de chave.

[00102] Para o segundo tipo de pacote de dados, para implementar que um lado da rede completa a autenticação em relação à validade da identidade do UE baseado no cookie no pacote de dados nas modalidades da presente invenção, o lado da rede somente precisa armazenar a chave mestre, e não precisa armazenar um contexto do UE (ou seja, informação do cookie armazenada é a chave mestre). Em adição, após receber o segundo tipo de pacote de dados, o lado da rede pode ainda derivar a chave do cookie baseado em Ki = KDF (ID do cookie, tempo de expiração, tipo, K).

[00103] Por comparar o primeiro tipo de pacote de dados com o segundo tipo de pacote de dados, pode ser visto que, comparado com o segundo tipo de pacote de dados, o primeiro tipo de pacote de dados possui um menor volume de dados, desse modo reduzindo a carga de comunicação. Comparado com o primeiro tipo de pacote de dados, o segundo tipo de pacote de dados possui um menor volume de armazenamento no lado da rede, desse modo reduzindo a pressão de armazenando no lado da rede.

[00104] (3) Um terceiro tipo de pacote de dados

[00105] Referindo-se à FIGURA4, o terceiro tipo de pacote de dados inclui um cookie, En (dados brutos, chave do cookie), e um primeiro MAC.

[00106] En (dados brutos, chave do cookie) índica dados brutos criptografados pela utilização de uma chave do cookie, e En é uma função de criptografia.

[00107] O primeiro MAC é utilizado para executar proteção de integridade em relação aos dados.

[00108] O cookie é utilizado como uma credencial para autenticar validade de identidade do UE. Especificamente, o cookie pode incluir um ID do cookie, um tempo de expiração, um tipo do cookie, um RAN ID, e um segundo MAC.

[00109] O ID do cookie é um identificador de identificação do cookie, e pode ser ainda utilizado como um identificador de re- autenticação rápida (re-autenticação rápida) nas modalidades da presente invenção.

[00110] O tempo de expiração (tempo de expiração) é utilizado para indicar um período de validade do cookie.

[00111] O tipo (tipo) do cookie indica se o cookie é gerado por um dispositivo da rede de acesso ou por um dispositivo da rede principal.

[00112] O RAN ID indica um identificador de um dispositivo da rede de acesso que gera o cookie.

[00113] O segundo MAC é utilizado para executar proteção de integridade em relação ao cookie, e pode especificamente ser: MAC = HMAC (ID do cookie || tempo de expiração || tipo || RAN ID, Ki). HMAC é um código de autenticação de mensagem baseado em hash relacionado com a chave, e Ki é uma chave do cookie. Especificamente, Ki = KDF (ID do cookie, tempo de expiração, tipo, RAN ID, K). K indica uma chave mestre (chave mestre), e KDF é uma função de derivação de chave.

[00114] Para o terceiro tipo de pacote de dados, para implementar que um lado da rede completa autenticação em relação à validade de identidade do UE baseado no cookie no pacote de dados nas modalidades da presente invenção, o lado da rede precisa armazenar um contexto do UE, para ser específico, armazenar informação de cookie associada com o ID do cookie. A informação de cookie inclui um identificador do UE (UE ID), a chave mestre (chave mestre), e um contador utilizado para re-autenticação rápida (F-counter), e o UE ID pode ser uma IMSI. Após receber o terceiro tipo de pacote de dados, o lado da rede pode ainda derivar a chave do cookie baseado em KI = KDF(ID do cookie, tempo de expiração, tipo, RAN ID, K).

[00115] (4) Um quarto tipo de pacote de dados

[00116] Referindo-se à FIGURA 5, o quarto tipo de pacote de dados inclui um cookie, En(dados brutos, chave do cookie), e um primeiro MAC.

[00117] En(dados brutos, chave do cookie) indica dados brutos criptografados pela utilização de uma chave do cookie, e En é uma função de criptografia.

[00118] O primeiro MAC é utilizado para executar proteção de integridade em relação aos dados.

[00119] O cookie é utilizado como uma credencial para autenticar validade de identidade do UE. Especificamente, o cookie inclui um ID do cookie, um tempo de expiração, um tipo de cookie, um RAN ID, En(UE ID, chave mestre), En(contador, chave mestre), e um segundo MAC.

[00120] O ID do cookie é um identificador de identificação do cookie, e pode ser ainda utilizado como um identificador de re- autenticação rápida (re-autenticação rápida) nas modalidades da presente invenção.

[00121] O tempo de expiração (tempo de expiração) é utilizado para indicar um período de validade do cookie.

[00122] O tipo (tipo) de cookie indica se o cookie é gerado por um dispositivo da rede de acesso ou por um dispositivo da rede principal.

[00123] O RAN ID indica um identificador de um dispositivo da rede de acesso que gera o cookie.

[00124] En(UE ID, chave mestre) indica um identificador de UE (UE ID) criptografado pela utilização de uma chave mestre, e o UE ID pode ser, por exemplo, uma IMSI.

[00125] En(F-counter, chave mestre) indica um contador utilizado para re-autenticação rápida (F-counter) que é criptografado pela utilização da chave mestre.

[00126] O segundo MAC é utilizado para executar proteção de integridade em relação ao cookie, e pode especificamente ser: MAC = HMAC(ID do cookie || tempo de expiração || tipo || RAN ID || En(UE ID), K) || En(F-counter, K), Ki). HMAC é um código de autenticação de mensagem baseado em hash relacionado com a chave, Ki é uma chave do cookie, e especificamente, Ki + KDF (ID do cookie, tempo de expiração, tipo, RAN ID, K).

[00127] Para o quarto tipo de pacote de dados, para implementar que um lado da rede completa autenticação em relação à validade de identidade do UE baseado no cookie no pacote de dados nas modalidades da presente invenção, o lado da rede somente precisa armazenar uma chave mestre, e não precisa armazenar um contexto do UE (ou seja, informação do cookie armazenada é a chave mestre). Em adição, após receber o quarto tipo de pacote de dados, o lado da rede pode ainda derivar a chave do cookie baseado em Ki = KDF (ID do cookie, tempo de expiração, tipo, RAN ID, K).

[00128] Comparado com o primeiro tipo de pacote de dados e com o segundo tipo de pacote de dados, o RAN ID é adicionado para o cookie do terceiro tipo de pacote de dados e do quarto tipo de pacote de dados. Em outras palavras, o terceiro tipo de pacote de dados e o quarto tipo de pacote de dados podem ser aplicados para um cenário de comunicação com mobilidade, e o primeiro tipo de pacote de dados e o segundo tipo de pacote de dados podem ser aplicados para um cenário de comunicação que não é de mobilidade.

[00129] Em adição, por comparar o terceiro tipo de pacote de dados com o quarto tipo de pacote de dados, pode ser visto que, comparador com o quarto tipo de pacote de dados, o terceiro tipo de pacote de dados possui um menor volume de dados, desse modo reduzindo a carga de comunicação. Comparado com o terceiro tipo de pacote de dados, o quarto tipo de pacote de dados possui um menor volume de armazenamento no lado da rede, desse modo reduzindo a pressão de armazenamento no lado da rede.

[00130] Baseado na arquitetura de comunicações precedente e nos pacotes de dados re-projetados, o dito a seguir descreve um método de transmissão de dados proporcionado nesta modalidade.

[00131] Referindo-se à FIGURA 6, uma modalidade da presente invenção proporciona um método de transmissão de dados, incluindo,

mas não limitado às seguintes etapas.

[00132] 1. Equipamento do usuário executa autenticação bidirecional com um dispositivo de rede.

[00133] Após a verificação ter êxito, o dispositivo de rede determina que uma identidade do UE é autêntica e válida. Nesta modalidade da presente invenção, o dispositivo de rede é um dispositivo da rede de acesso ou um dispositivo da rede principal (por exemplo, um dispositivo da rede de acesso ou um dispositivo da rede principal em uma rede celular).

[00134] 2. O dispositivo de rede gera um cookie.

[00135] Especificamente, um dispositivo de rede pode gerar o cookie para o equipamento do usuário baseada em um identificador do equipamento do usuário (UE ID). O UE ID é utilizado para representar a identidade do UE. Por exemplo, o UE ID pode ser um ou mais dentre uma identidade internacional de assinante móvel (Identidade Internacional de Assinante Móvel, IMSI), uma identidade internacional de equipamento móvel (Identidade Internacional de Equipamento Móvel, IMEI), um endereço de controle de acesso à mídia (Controle de Acesso à Mídia, MAC), um endereço de protocolo Internet (Protocolo Internet, IP), um número de telefone móvel, uma identidade privada de multimídia IP (Identidade Privada de Multimídia IP, IMPI), uma identidade temporária de assinante móvel (Identidade Temporária de Assinante Móvel, TMSI), uma identidade pública de multimídia IP (Identidade Pública de Multimídia IP, IMPU), uma identidade temporária de UE globalmente única (Identidade Temporária de UE Globalmente Única, GUTI), dentre outros.

[00136] 3. O dispositivo de rede envia o cookie para o equipamento do usuário.

[00137] De forma correspondente, após obter o cookie enviado pelo dispositivo de rede, o UE salva o cookie junto a um armazenamento local.

[00138] Deve ser observado que, as etapas 1, 2, e 3 precedentes são utilizadas para explicar que um lado da rede configura um cookie correspondente para o UE após a identidade do UE ser determinada como válida. Em outras palavras, durante a aplicação desta modalidade da presente invenção, as etapas precedentes 1, 2 e 3 precisam ser executadas somente quando a autenticação de identidade em relação ao UE é executada pela primeira vez ou a subsequente transmissão de dados falha e a autenticação bidirecional precisa ser novamente executada.

[00139] Quando o UE tiver completado a configuração do cookie, se o UE precisar executar transmissão de dados com o lado da rede, as etapas seguintes 4 a 6 (incluindo 6a, 6b e 6c) podem ser diretamente executadas. Detalhes são descritos a seguir.

[00140] 4. O equipamento do usuário envia um pacote de dados para o dispositivo de rede.

[00141] Em uma modalidade específica da presente invenção, o pacote de dados são dados específicos (small data).

[00142] Quando o UE possui um requerimento para enviar dados específicos, o UE diretamente envia os dados específicos para o dispositivo de rede. Os dados específicos transportam o cookie. Para um formato dos dados específicos, faça referência às descrições nas modalidades da FIGURA 2 a FIGURA 5. Detalhes não são novamente descritos neste documento.

[00143] 5. O dispositivo de rede verifica o cookie.

[00144] Após receber o pacote de dados, o lado da rede verifica um tipo de cookie do cookie no pacote de dados, para ser específico, verifica se o tipo de cookie indica o dispositivo da rede de acesso ou o dispositivo da rede principal, para determinar se o pacote de dados é processado pelo dispositivo da rede de acesso ou pelo dispositivo da rede principal. O dispositivo da rede de acesso ou o dispositivo da rede principal determinado então verifica o cookie no pacote de dados baseado na informação de cookie pré-armazenada no armazenamento local.

[00145] Em uma modalidade específica da presente invenção, após receber o pacote de dados, o lado da rede verifica a informação de cookie armazenada, e executa uma verificação de integridade em relação ao cookie baseado em um segundo MAC do cookie no pacote de dados. Se a verificação de integridade tiver êxito, o lado da rede continua a verificar se existe uma correspondência entre o ID do cookie no pacote de dados e o identificador do UE; e então, verifica um tempo de expiração (T de forma abreviada) no cookie. É assumido que o lado da rede verifica o cookie em um tempo T0, e então:

[00146] se T0 < T – TX, um resultado da verificação é que o cookie é válido;

[00147] se T – TX < T0 < T + TX, um resultado da verificação é que o cookie está para expirar; e

[00148] se T0 > T + TX, um resultado da verificação é que o cookie é inválido, em que

[00149] TX é um valor de tempo preestabelecido, por exemplo, um valor de TX pode ser 20 s, 10 min., 1 hora, ou outro valor preestabelecido definido pelo usuário.

[00150] Se o resultado da verificação é que o cookie é completo e válido, a verificação em relação ao cookie teve êxito, e a etapa 6a é subsequentemente executada. Se o resultado da verificação for que o cookie está para espirar, a etapa 6b é subsequentemente executada. Se o resultado da verificação for que o cookie é inválido, isto indica que a verificação em relação ao cookie falhou, e a etapa 6c é subsequentemente executada.

[00151] 6a. O dispositivo de rede envia uma mensagem de reconhecimento (Ack) para o equipamento do usuário e envia os dados brutos para uma rede.

[00152] Por outro lado, o dispositivo da rede de acesso ou o dispositivo da rede principal determinado envia o Ack para o UE, para notificar o UE que os dados são recebidos com êxito. Por outro lado, se os dados brutos no pacote de dados estiverem em um estado criptografado, o dispositivo da rede de acesso ou dispositivo da rede principal determinado decriptografa os dados brutos baseado na informação de cookie localmente armazenada, e envia os dados brutos decriptografados para uma rede externa (por exemplo, para um servidor de aplicativo na rede).

[00153] 6b. O dispositivo de rede executa re-autenticação rápida com o equipamento do usuário.

[00154] Especificamente, o dispositivo da rede de acesso ou o dispositivo da rede principal determinado executa re-autenticação rápida com o UE baseado no ID do cookie e em uma chave do cookie. Após a re-autenticação rápida, o UE obtém e armazena um cookie válido atualizado e uma nova chave do cookie, para evitar expiração do cookie armazenado pelo UE.

[00155] Para os dados brutos no pacote de dados, em uma modalidade específica, o dispositivo de rede envia os dados brutos descompactados para a rede externa. Em outra modalidade específica, o dispositivo de rede pode descartar o pacote de dados, e após a re-autenticação rápida, o UE pode gerar um novo pacote de dados pela utilização do novo cookie, e o novo cookie, e os dados brutos, e então envia novamente o novo pacote de dados para o lado da rede.

[00156] 6c. O dispositivo de rede e o equipamento do usuário executam de novo as etapas 1, 2 e 3.

[00157] Quando o resultado da verificação é que o cookie é inválido, o dispositivo de rede pode descartar o pacote de dados. Em adição, o dispositivo de rede precisa executar novamente a autenticação bidirecional com o UE, para determinar novamente se a identidade do UE é autentica e válida. Se a autenticação tiver êxito, o dispositivo de rede gera novamente um novo cookie para o UE, e envia o novo cookie para o UE. O UE armazena o novo cookie. Pode ser entendido que subsequentemente, o UE pode gerar um novo pacote de dados por utilizar o novo cookie, uma nova chave de cookie, e os dados brutos, e então envia novamente o novo pacote de dados para o lado da rede.

[00158] Pode ser aprendido que, após a implementação desta modalidade da presente invenção, quando o equipamento do usuário tal como um dispositivo IoT acessa a rede pela primeira vez, o equipamento do usuário executa autenticação com a rede para verificar a identidade, e obtém o cookie emitido pelo lado da rede (o dispositivo da rede de acesso ou o dispositivo da rede principal). Então, quando o equipamento do usuário possui um requerimento para transmitir dados (por exemplo, dados específicos ("small data"), o equipamento do usuário diretamente envia o pacote de dados transportando o cookie para o lado da rede, e não precisa executa autenticação e estabelecer uma conexão de rede novamente. O lado da rede verifica a validade da identidade do equipamento do usuário por verificar o cookie. Após a verificação em relação ao cookie ter êxito, o lado da rede diretamente processa a transmissão dos dados. A implementação desta modalidade da presente invenção pode reduzir a carga no lado da rede quando uma grande quantidade de equipamentos de usuário precisa executar comunicação, desse modo aumentando a eficiência da transmissão de dados.

[00159] O dito a seguir descreve em detalhes a re-autenticação rápida (re-autenticação rápida) utilizada nesta modalidade da presente invenção. Quando o lado da rede recebe o pacote de dados enviado pelo UE, detecta que o cookie no pacote de dados está para expirar, e ainda detecta, baseado em um contador de re-autenticação rápida, que o ID do cookie do cookie suporta a re-autenticação rápida, o dispositivo de rede executa a re-autenticação rápida com o equipamento do usuário. Referindo-se à FIGURA 7, um processo de re-autenticação rápida inclui, mas não está limitado às seguintes etapas.

[00160] 1. O dispositivo de rede envia uma mensagem de re- autenticação rápida (mensagem de re-autenticação rápida) para o equipamento do usuário, em que a mensagem de re-autenticação rápida inclui um novo cookie e uma nova chave de cookie, e pode ainda incluir um novo ID de cookie.

[00161] Referindo-se à FIGURA8, durante implementação específica, a mensagem de re-autenticação rápida especificamente inclui:

[00162] (1) um campo AT_IV;

[00163] (2) um campo AT_ENCR_DATA;

[00164] (3) um campo AT_COUNTER criptografado;

[00165] (4) um campo AT_NONCE_S criptografado; e

[00166] (5) um campo AT_NEXT_REAUTH_ID criptografado.

[00167] O campo AT_IV pode incluir a nova chave de cookie e/ou o novo cookie. O campo AT_ENCR_DATA pode incluir o novo cookie e/ou a nova chave de cookie. O campo AT_NEXT_REAUTH_ID criptografado pode incluir o novo ID de cookie.

[00168] O campo AT_COUNTER criptografado pode indicar um contador de re-autenticação rápida criptografado, e é utilizado para especificar uma quantidade de vezes de re-autenticação rápida e o tempo atual da re-autenticação rápida. O AT_NONCE_S criptografado indica um valor de única vez de número aleatório criptografado gerado por um servidor, e é utilizado para impedir um ataque de repetição (Ataques de Repetição). Um AT_MAC é utilizado para executar proteção de integridade em relação a toda a mensagem de re- autenticação rápida.

[00169] 2. O equipamento do usuário armazena o novo cookie e a nova chave de cookie.

[00170] Após receber a mensagem de re-autenticação rápida, o equipamento do usuário executa uma verificação de integridade baseado no AT_MAC, e verifica o contador de re-autenticação rápida. Após a verificação ter êxito, o equipamento do usuário salva o novo cookie e a nova chave de cookie junto a um armazenamento local.

[00171] 3. O equipamento do usuário envia uma resposta de re- autenticação rápida para o dispositivo de rede.

[00172] O UE envia a resposta de re-autenticação rápida para o dispositivo de rede. Durante implementação específica, a resposta de re-autenticação rápida pode incluir o campo AT_IV, o campo AT_ENCR_DATA, o campo AT_COUNTER criptografado (cujo valor é o mesmo que um valor do AT_COUNTER na mensagem de re- autenticação rápida), e o campo AT_MAC.

[00173] 4. O dispositivo de rede verifica a resposta de re- autenticação rápida.

[00174] Em uma modalidade específica, após receber a resposta de autenticação rápida, o lado da rede pode executar uma verificação de integridade baseado no AT_MAC.

[00175] 5. O dispositivo de rede envia um resultado da re- autenticação rápida para o equipamento do usuário.

[00176] Após a verificação na etapa 4 ter êxito, o dispositivo de rede envia o resultado da re-autenticação rápida para o equipamento do usuário, para notificar o equipamento do usuário que a re- autenticação rápida desta vez tem êxito.

[00177] Pode ser aprendido que, após a implementação desta modalidade da presente invenção, em um processo de transmissão de dados entre o equipamento do usuário e o lado da rede, se o cookie estiver para expirar, o lado da rede executa re-autenticação rápida com o equipamento do usuário, desse modo rapidamente atualizando o cookie no equipamento do usuário, e assegurando que transmissão de dados subsequente possa ser executada com êxito. A implementação desta modalidade da presente invenção ajuda a reduzir a carga no lado da rede quando uma grande quantidade de equipamentos de usuário precisa executar comunicação, deste modo aumentando a eficiência da transmissão de dados.

[00178] Referindo-se à FIGURA 9, uma modalidade da presente invenção proporciona outro método de transmissão de dados, incluindo, mas não limitado às etapas seguintes.

[00179] 1. O UE executa autenticação bidirecional com uma RAN, e se a verificação tiver êxito, é determinado que uma identidade do UE é autêntica e válida.

[00180] 2. A RAN gera um cookie.

[00181] A RAN gera o cookie para o UE baseada na informação relacionada do UE, e especificamente, gera o cookie para o UE baseada em um UE ID.

[00182] 3. A RAN envia o cookie para o UE, e de forma correspondente, após obter o cookie enviado pela RAN, o UE salva o cookie em um armazenamento local.

[00183] Deve ser observado que, as etapas precedentes 1,2, e 3 são utilizadas para explicar que um lado da rede configura um cookie correspondente para o UE após a identidade do UE ser determinada como válida. Em outras palavras, durante a aplicação desta modalidade da presente invenção, as etapas precedentes 1, 2 e 3 precisam ser executadas somente quando a autenticação de identidade em relação ao UE é executada pela primeira vez ou transmissão de dados subsequente falha e a autenticação bidirecional precisa ser executada novamente.

[00184] Quando o UE tiver completado a configuração do cookie, se o UE precisar executar transmissão de dados com o lado da rede, as etapas seguintes 4 a 6 (incluindo 6a, 6b, e 6c) podem ser diretamente executadas. Detalhes são descritos a seguir.

[00185] 4. O UE envia um pacote de dados para a RAN.

[00186] Em uma modalidade específica da presente invenção, o pacote de dados pode incluir dados específicos (small data).

[00187] Quando o UE tiver um requerimento para enviar dados específicos, o UE diretamente envia os dados específicos para a RAN. Os dados específicos transportam o cookie. Para um formato dos dados específicos, faça referência à descrição nas modalidades da FIGURA 2 e da FIGURA 3. Detalhes não são novamente descritos aqui.

[00188] 5. A RAN verifica o cookie.

[00189] Após receber o pacote de dados, a RAN verifica um tipo de cookie do cookie no pacote de dados, e determina que o pacote de dados é processado por um dispositivo da rede de acesso. A RAN então verifica o cookie no pacote de dados baseada na informação do cookie pré-armazenada no armazenamento local. Para um processo de verificação específico, faça referência à descrição na etapa 5 na modalidade da FIGURA 6. Detalhes não são novamente descritos aqui.

[00190] Se um resultado da verificação for que o cookie está completo e válido, isto indica que a verificação em relação ao cookie teve êxito, e a etapa 6a é subsequentemente executada. Se um resultado da verificação for que o cookie está para expirar, a etapa 6b é subsequentemente executada. Se um resultado da verificação for que o cookie é inválido, isto índia que a verificação em relação ao cookie não teve êxito, e a etapa 6c é subsequentemente executada.

[00191] 6a. A RAN envia dados brutos para uma CN, e a CN envia os dados brutos para uma rede externa,

[00192] A RAN executa uma verificação de integridade baseada em um primeiro MAC no pacote de dados. Após a verificação ter êxito, a RAN decriptografa os dados brutos.

[00193] Por exemplo, se os dados brutos no pacote de dados estiverem criptografados pela utilização de uma chave do cookie, a RAN deriva a chave do cookie (Ki de forma abreviada) baseada no cookie recebido e em uma chave mestre (K de forma abreviada). Um método de derivação específico é: Ki = KDF(ID do cookie, tempo de expiração, tipo do cookie, K). Então, a RAN decriptografa os dados brutos.

[00194] A RAN envia os dados decriptografados para a rede principal CN, e a CN encaminha os dados para a rede externa. Em um cenário de aplicação específico, se o UE for um dispositivo IoT, e o dispositivo IoT precisar se comunicar com uma plataforma de dispositivos IoT, a CN encaminha os dados para a plataforma IoT. Então, a plataforma IoT envia uma mensagem de reconhecimento (Ack) para a CN, para indicar, para a CN, que os dados foram recebidos. A CN envia uma mensagem de reconhecimento (Ack) para a RAN, para indicar, para a RAN, que os dados são recebidos. A RAN ainda envia uma mensagem de reconhecimento (Ack) para o dispositivo IoT, para indicar, para o dispositivo IoT, que os dados são recebidos.

[00195] 6b. A RAN executa re-autenticação rápida com o UE.

[00196] A RAN pode executar a re-autenticação rápida com o UE baseada em um ID do cookie e em uma chave do cookie. Para um processo detalhado, faça referência às descrições nas modalidades da

FIGURA 7 e da FIGURA 8. Detalhes não são novamente descritos aqui.

[00197] Para os dados brutos no pacote de dados, em uma modalidade específica, a RAN envia dados brutos descompactados para a CN / rede externa. Em outra modalidade específica, a RAN pode descartar o pacote de dados, e após a re-autenticação rápida, o UE pode gerar um novo pacote de dados por utilizar um novo cookie, uma nova chave de cookie, e os dados brutos, e então, enviar novamente o novo pacote de dados para a RAN.

[00198] 6c. A RAN e o UE executam novamente as etapas 1, 2 e 3.

[00199] Faça referência à descrição na etapa 6c na modalidade da FIGURA 6. Detalhes não são novamente descritos aqui.

[00200] A modalidade precedente da FIGURA 9 pode ser aplicada para um cenário de comunicação sem mobilidade. Após a implementação desta modalidade da presente invenção, quando o UE, tal como o dispositivo IoT, acessa a rede pela primeira vez, após executar autenticação com o lado da rede para verificar a identidade, o UE obtém um cookie emitido pela RAN. Então, quando o UE tiver um requerimento para transmitir dados (por exemplo, dados específicos), o UE diretamente envia o pacote de dados transportando o cookie para a RAN, e não precisa executar autenticação e estabelecer uma conexão de rede novamente. A RAN verifica a validade da identidade do UE por verificar o cookie. Após a verificação em relação ao cookie ter êxito, a RAN diretamente processa transmissão subsequente dos dados, para completar a comunicação de dados. A implementação desta modalidade da presente invenção pode reduzir a carga no lado da rede quando uma grande quantidade de UEs precisa executar comunicação, desse modo aumentando a eficiência da transmissão de dados.

[00201] Referindo-se à FIGURA 10, uma modalidade da presente invenção proporciona outro método de transmissão de dados, incluindo, mas não limitado às etapas seguintes.

[00202] 1. O UE executa autenticação bidirecional com uma primeira RAN, e se a verificação tiver êxito, é determinado que uma identidade do UE é autentica e válida.

[00203] 2. A primeira RAN gera um cookie.

[00204] Especificamente, a primeira RAN pode gerar o cookie para o UE baseada em um UE ID.

[00205] 3. A primeira RAN envia o cookie para o UE. Após obter o cookie, o UE salva o cookie junto a um armazenamento local.

[00206] Deve ser observado que as etapas precedentes 1, 2 e 3 são utilizadas para explicar que um lado da rede configurada um cookie correspondente para o UE após a identidade do UE ser determinada como válida. Em outras palavras, durante a aplicação desta modalidade da presente invenção, as etapas precedentes 1, 2 e 3 precisam ser executadas somente quando a autenticação de identidade do UE é executada pela primeira vez ou a transmissão de dados subsequente falha e a autenticação bidirecional precisa ser novamente executada.

[00207] Quando o UE tiver completado a configuração do cookie, se o UE precisar executar transmissão de dados com o lado da rede, as etapas seguintes 4 a 9 (incluindo 9a, 9b e 9c) podem ser diretamente executadas. Detalhes são descritos a seguir.

[00208] 4. O UE envia um pacote de dados para uma segunda RAN.

[00209] Em um cenário de aplicação específico, o UE pode precisar trocar a comunicação atual a partir da primeira RAN para a segunda RAN.

[00210] Por exemplo, quando uma localização do UE se move a partir de uma célula de comunicação da primeira RAN para uma célula de comunicação da segunda RAN, a comunicação atual precisa ser trocada da primeira RAN para a segunda RAN.

[00211] Para outro exemplo, quando a carga de comunicação da primeira RAN é excessivamente pesada, o UE pode precisar trocar, de acordo com uma regra preestabelecida, a comunicação atual para a segunda RAN com a carga de comunicação de rede normal para executar a transmissão de dados.

[00212] Quando o UE tiver um requerimento para enviar um pacote de dados (por exemplo, dados específicos), o UE diretamente envia o pacote de dados para a segunda RAN. O pacote de dados transporta o cookie. Para um formato do pacote de dados, faça referência às descrições nas modalidades da FIGURA 4 e da FIGURA 5. Detalhes não são novamente descritos aqui.

[00213] 5. A segunda RAN verifica um RAN ID incluído no cookie.

[00214] Após receber o pacote de dados, a segunda RAN verifica um tipo do cookie no cookie, e determina que o tipo do cookie indica um dispositivo da rede de acesso. Então, a segunda RAN verifica o RAN ID incluído no cookie, e descobre que o RAN ID não é um ID da segunda RAN, mas é um ID da primeira RAN (a saber, um primeiro RAN ID). A segunda RAN determina se existe uma interface X2 entre a segunda RAN e a primeira RAN. Se existir uma interface X2, a etapa 6a é subsequentemente executada. Se não existir uma interface X2, a etapa 6b é executada.

[00215] 6a. A segunda RAN envia o cookie para a primeira RAN por utilizar a interface X2.

[00216] Especificamente, a segunda RAN extrai o cookie a partir do pacote de dados, e envia o cookie para a primeira RAN por utilizar a interface X2.

[00217] 6b. A segunda RAN envia o cookie para a primeira RAN por utilizar uma rede principal.

[00218] Especificamente, a segunda RAN extrai o cookie a partir do pacote de dados e envia o cookie para a CN, e a CN envia o cookie para a primeira RAN baseada no RAN ID no cookie.

[00219] 7. A primeira RAN envia uma chave do cookie e a informação do cookie para a segunda RAN.

[00220] Após receber o cookie, a primeira RAN envia a chave do cookie e a informação do cookie armazenada para a segunda RAN.

[00221] 8. A segunda RAN verifica o cookie.

[00222] A segunda RAN verifica o cookie por utilizar a informação do cookie obtida a partir da primeira RAN. Para um processo de verificação específico, faça referência à descrição na etapa 5 na modalidade da FIGURA 6. Detalhes não são novamente descritos aqui.

[00223] Se um resultado da verificação for que o cookie está completo e válido, isto indica que a verificação em relação ao cookie teve êxito, e a etapa 9a é subsequentemente executada. Se um resultado da verificação for que o cookie está para expirar, a etapa 9b é subsequentemente executada. Se um resultado da verificação for que o cookie é invalido, isto indica que a verificação em relação ao cookie não teve êxito, e a etapa 9c é subsequentemente executada.

[00224] 9a. A segunda RAN decriptografa os dados brutos baseada na informação do cookie e envia os dados brutos decriptografados para a CN, e a CN envia os dados brutos para uma rede.

[00225] Faça referência à descrição na etapa 6a na modalidade da FIGURA 9. Detalhes não são novamente descritos aqui.

[00226] 9b. A segunda RAN executa re-autenticação rápida com o UE.

[00227] A segunda RAM pode executar a re-autenticação rápida com o UE baseada em um ID do cookie e na chave do cookie. Para um processo detalhado, faça referência às descrições nas modalidades da FIGURA 7 e da FIGURA 8. Detalhes não são novamente descritos aqui.

[00228] 9c. A segunda RAN e o UE de forma similar executam as etapas 1, 2 e 3.

[00229] De forma similar, faça referência à descrição na etapa 6c na modalidade da FIGURA 6. Detalhes não são novamente descritos aqui.

[00230] A modalidade da FIGURA 10 pode ser aplicada para um cenário de comunicação com mobilidade. Deve ser observado que, para a modalidade da FIGURA 10, em uma implementação possível, devido à segunda RAN já armazenar a informação do cookie obtida a partir da primeira RAN, se subsequentemente o UE ainda enviar o pacote de dados para a segunda RAN, a transmissão de dados entre o UE e a segunda RAN pode ser considerada como comunicação sem mobilidade. Para um processo de transmissão de dados específico, faça referência à descrição na modalidade da FIGURA 9.

[00231] Após a implementação desta modalidade da presente invenção, quando o UE, tal como um dispositivo IoT, acessa a rede pela primeira vez, após executar autenticação com o lado da rede para verificar a identidade, o UE obtém o cookie emitido pela primeira RAN. Então, quando o UE possui um requerimento para transmitir dados (por exemplo, dados específicos), o UE diretamente envia o pacote de dados transportando o cookie para a segunda RAN, e não precisa executar autenticação e estabelecer uma conexão de rede novamente. A segunda RAN determina, baseada no RAN ID no cookie, que o UE executa troca de comunicação com RAN. A segunda RAN obtém a informação do cookie a partir da primeira RAN, e verifica o cookie baseada na informação do cookie, para verificar a validade da identidade do UE. Após a verificação em relação ao cookie ter êxito, a segunda RAN diretamente processa a transmissão subsequente dos dados, para completar a comunicação de dados. A implementação desta modalidade da presente invenção pode reduzir a carga no lado da rede quando uma grande quantidade de UEs precisa executar comunicação, deste modo aumentando a eficiência da transmissão de dados.

[00232] Referindo-se à FIGURA 11, uma modalidade proporciona um método de transmissão de dados, incluindo, mas não limitado as etapas seguintes.

[00233] 1. O UE executa autenticação bidirecional com a primeira RAN, e se a verificação tiver êxito, é determinado que uma identidade do UE é autêntica e válida.

[00234] 2. A primeira RAN gera um primeiro cookie.

[00235] Especificamente, a primeira RAN pode gerar o primeiro cookie para o UE baseada em um UE ID.

[00236] 3. A primeira RAN envia o primeiro cookie para o UE. Após obter o primeiro cookie, o UE salva o primeiro cookie junto a um armazenamento local.

[00237] Deve ser observado que, as etapas precedentes 1, 2 e 3 são utilizadas para explicar que um lado da rede configurada um cookie correspondente para o UE após a identidade do UE ser determinada como válida. Em outras palavras, durante a aplicação desta modalidade da presente invenção, as etapas precedentes 1, 2 e 3 precisam ser executadas somente quando a autenticação de identidade em relação ao UE é executada pela primeira vez ou a transmissão de dados subsequente falha e a autenticação bidirecional precisa ser novamente executada.

[00238] Quando o UE tiver completado a configuração do primeiro cookie, se o UE precisar executar transmissão de dados com o lado da rede, a etapas seguintes 4 a 8 (incluindo 8a, 8b e 8c) podem ser diretamente executadas. Detalhes são descritos a seguir.

[00239] 4. O UE envia um pacote de dados para uma segunda RAN.

[00240] Em um cenário de aplicação específico, o UE pode precisar trocar a comunicação atual da primeira RAN para a segunda RAN. Quando o UE possui um requerimento para enviar um pacote de dados (por exemplo, dados específicos), o UE diretamente envia o pacote de dados para a segunda RAN. O pacote de dados transporta o cookie. Para um formato do pacote de dados, faça referência às descrições nas modalidades da FIGURA 4 e da FIGURA 5. Detalhes não são novamente descritos aqui.

[00241] 5. A segunda RAN verifica um RAN ID do primeiro cookie.

[00242] Após receber o pacote de dados, a segunda RAN verifica um tipo do cookie no primeiro cookie, e determina que o tipo do cookie indica um dispositivo da rede de acesso. Então, a segunda RAN verifica o RAN ID incluído no cookie, e descobre que o RAN ID não é um ID da segunda RAN, mas é um ID da primeira RAN (a saber, um primeiro ID RAN). A segunda RAN determina se existe uma interface X2 entre a segunda RAN e a primeira RAN. Se existir uma interface X2, a etapa 6a é subsequentemente executada. Se não existir uma interface X2, a etapa 6b é executada.

[00243] 6a. A segunda RAN envia o pacote de dados para a primeira RAN por utilizar a interface X2.

[00244] 6b. A segunda RAN envia o pacote de dados para a primeira RAN por utilizar uma rede principal.

[00245] Especificamente, a segunda RAN envia o pacote de dados para a CN, e a CN verifica o RAN ID no primeiro cookie no pacote de dados, e encaminha o pacote de dados para a primeira RAN.

[00246] 7. A primeira RAN verifica o primeiro cookie no pacote de dados.

[00247] A primeira RAN verifica o primeiro cookie no pacote de dados por utilizar a informação do cookie armazenada. Para um processo de verificação específico, faça referência à descrição na etapa 5 na modalidade da FIGURA6. Detalhes não são novamente descritos aqui.

[00248] Se um resultado da verificação for que o primeiro cookie está completo e é válido, isto indica que a verificação em relação ao cookie teve êxito, e a primeira RAN verifica um primeiro MAC no pacote de dados e decriptografa os dados brutos. Em uma modalidade possível, a primeira RAN ainda deriva uma nova chave (nova chave) por utilizar a chave do primeiro cookie (Ki de forma abreviada) do primeiro cookie e um ID da segunda RAN (a saber, um segundo RAN ID). Especificamente, nova chave = KDF(Ki, segundo RAN ID), e a etapa 8a é subsequentemente executada.

[00249] Se um resultado da verificação for que o primeiro cookie está para expirar, a etapa 8b é subsequentemente executada.

[00250] Se um resultado da verificação for que o cookie é inválido, isto índica que a verificação em relação ao cookie falhou, e a etapa 8c é subsequentemente executada.

[00251] 8a. A primeira RAN envia a nova chave e os dados brutos decriptografados para a segunda RAN, e a segunda RAN envia os dados brutos decriptografados para a CN. A CN encaminha os dados para um servidor de aplicativo em uma rede externa (em que, por exemplo, quando o UE é um dispositivo IoT, o servidor de aplicativo pode ser uma plataforma IoT). O servidor de aplicativo envia uma mensagem de reconhecimento (Ack) para a CN, para indicar que os dados são recebidos. A CN envia uma mensagem de reconhecimento (Ack) para a segunda RAN, para indicar que os dados são recebidos. A segunda RAN envia uma mensagem de reconhecimento (Ack) para o UE, para indicar que os dados são recebidos.

[00252] Deve ser observado que, em uma modalidade possível da presente invenção, a etapa 8a pode ainda ser: a primeira RAN envia os dados brutos decriptografados para a CN / servidor de aplicativo, e envia a nova chave para a segunda RAN.

[00253] 8b. A primeira RAN envia a informação do cookie do primeiro cookie para a segunda RAN, e a segunda RAN executa re- autenticação rápida com o UE.

[00254] Especificamente, a segunda RAN pode executar a re- autenticação rápida com o UE baseada na informação do cookie. Para um processo detalhado, faça referência às descrições nas modalidades da FIGURA 7 e da FIGURA 8. Detalhes não são novamente descritos aqui.

[00255] 8c. A segunda RAN e o UE de forma similar executam as etapas 1, 2 e 3.

[00256] De forma similar, faça referência à descrição na etapa 6c na modalidade da FIGURA 6. Detalhes não são novamente descritos aqui.

[00257] Durante a implementação específica da presente invenção, subsequentemente, a modalidade da FIGURA 11 pode ainda incluir as etapas 9 a 11, e um objetivo das etapas 9 a 11 é: a segunda RAN gera um segundo cookie, e configura o segundo cookie para o UE. Detalhes são descritos a seguir.

[00258] 9. A segunda RAN gera um segundo cookie e uma chave do segundo cookie.

[00259] Detalhes são como a seguir. A segunda RAN gera o segundo cookie e a chave do segundo cookie baseada no UE ID.

[00260] 10. A segunda RAN envia o segundo cookie e a chave do segundo cookie para o UE.

[00261] Em uma modalidade possível, a segunda RAN criptografa a chave do segundo cookie pela utilização da nova chave (nova chave) obtida a partir da primeira RAN. A criptografia da chave do segundo cookie é especificamente: En(chave do segundo cookie, nova chave). Então, a segunda RAN diretamente envia o segundo cookie e a chave do segundo cookie criptografada para o UE.

[00262] Em outra modalidade possível, a segunda RAN criptografa a chave do segundo cookie por utilizar a nova chave obtida a partir da primeira RAN, e então envia, para o UE, o RAN ID da segunda RAN (a Saber, o segundo RAN ID), o segundo cookie, a chave do segundo cookie criptografada, e a mensagem de reconhecimento (Ack) obtida a partir da CN na etapa 8a precedente desta modalidade.

[00263] Em adição, para um lado da segunda RAN, a segunda RAN armazena a informação do cookie correspondendo ao segundo cookie.

[00264] 11. O UE armazena o segundo cookie e a chave do segundo cookie.

[00265] Especificamente, o UE deriva a nova chave (nova chave) por utilizar o segundo RAN_ID recebido e o primeiro cookie original armazenado localmente, e um processo de derivação específico é: nova chave = KDF(chave do primeiro cookie, segundo RAN_ID). Então, o UE obtém a chave do segundo cookie através de decriptografia por utilizar a nova chave. O UE armazena o segundo cookie a chave do segundo cookie. Pode ser entendido que, quando o UE possui um requerimento de transmissão de dados subsequente, o UE gera um pacote de dados baseado no segundo cookie e na chave do segundo cookie.

[00266] A modalidade da FIGURA 11 pode ser aplicada para um cenário de comunicação com mobilidade. Deve ser observado que, para a modalidade da FIGURA 10, em uma implementação possível (como descrito nas etapas 9 a 11), se a segunda RAN configurar o segundo cookie para o UE, a transmissão de dados entre o UE e a segunda RAN pode ser considerada como comunicação sem mobilidade se subsequentemente o UE ainda enviar o pacote de dados para a segunda RAN. Para um processo de transmissão de dados específico, faça referência à descrição na modalidade da FIGURA 9.

[00267] Após a implementação desta modalidade da presente invenção, quando o UE, tal como o dispositivo IoT, acessa a rede pela primeira vez, após executar autenticação com o lado da rede para verificar a identidade, o UE obtém o primeiro cookie emitido pela primeira RAN. Então, quando o UE possui um requerimento para transmitir dados (por exemplo, dados específicos), o UE diretamente envia o pacote de dados transportando o primeiro cookie para a segunda RAN, e não precisa executar autenticação e estabelecer uma conexão de rede novamente. A segunda RAN determina, baseada no RAN ID no primeiro cookie, que o UE executa troca de comunicação com RAN, e envia o pacote de dados para a primeira RAN. A primeira RAN verifica o cookie baseada na informação do cookie, para verificar a validade da identidade do UE. A segunda RAN obtém os dados brutos decriptografados a partir da primeira RAN, e envia os dados brutos decriptografados para a CN, para completar a comunicação de dados. A implementação desta modalidade da presente invenção pode reduzir a carga no lado da rede quando uma grande quantidade de UEs precisa executar comunicação, desse modo aumentando a eficiência da transmissão de dados.

[00268] Referindo-se à FIGURA 12, uma modalidade da presente invenção proporciona outro método de transmissão de dados, incluindo, mas não limitado às etapas seguintes.

[00269] 1. O UE executa autenticação bidirecional com uma CN, e se a verificar tiver êxito, é determinado que uma identidade do UE é autêntica e válida.

[00270] 2. A CN gera um cookie.

[00271] A CN gera o cookie para o UE baseada na informação relacionada do UE, e especificamente, gera o cookie para o UE baseada em um UE ID.

[00272] 3. A CN envia o cookie para o UE. De forma correspondente, após obter o cookie enviado pela CN, o UE salva o cookie junto a um armazenamento local.

[00273] Deve ser observado que as etapas precedentes 1, 2 e 3 são utilizadas para explicar que um lado da rede configurada um cookie correspondente para o UE após a identidade do UE ser determinada como válida. Em outras palavras, durante a aplicação desta modalidade da presente invenção, as etapas precedentes 1, 2 e 3 precisam ser executadas somente quando a autenticação de identidade em relação ao UE é executada pela primeira vez ou a transmissão de dados subsequente falha e a autenticação bidirecional precisa ser novamente executada.

[00274] Quando o UE tiver completado a configuração do cookie, se o UE precisa executar transmissão de dados com o lado da rede, as etapas seguintes 4 a 6 (incluindo 6a, 6b e 6c) podem ser diretamente executadas. Detalhes são descritos a seguir.

[00275] 4. O UE envia um pacote de dados para a RAN, e a RAN encaminha o pacote de dados para a CN.

[00276] Em uma modalidade específica da presente invenção, o pacote de dados pode incluir dados específicos. Os dados específicos transportam o cookie. Para um formato dos dados específicos, faça referência às descrições nas modalidades da FIGURA 2 e da FIGURA3. Detalhes não são novamente descritos aqui.

[00277] Quando o UE possui um requerimento para enviar dados específicos, o UE diretamente envia os dados específicos para a RAN. Após receber os dados específicos, a RAN primeiro verifica um tipo do cookie nos dados específicos, determina que o tipo de cookie indica um dispositivo da rede principal, e então a RAN envia os dados específicos para a CN.

[00278] 5. A CN verifica o cookie.

[00279] Após receber o pacote de dados (por exemplo, dados específicos), a CN verifica um tipo do cookie do cookie no pacote de dados, e determina que o pacote de dados é processado pelo dispositivo da rede principal. A CN então verifica o cookie no pacote de dados baseada na informação do cookie pré-armazenada no armazenamento local. Para um processo de verificação específico, faça referência à descrição na etapa 5 na modalidade da FIGURA 6. Detalhes não são novamente descritos aqui.

[00280] Se um resultado da verificação for que o cookie está completo e válido, isto indica que a verificação em relação ao cookie teve êxito, e a etapa 6a é subsequentemente executada. Se um resultado da verificação for que o cookie está para expirar, a etapa 6b é subsequentemente executada. Se um resultado da verificação for que o cookie é inválido, isto indica que a verificação em relação ao cookie não revê êxito, e a etapa 6c é subsequentemente executada.

[00281] 6a. A CN envia dados brutos para uma rede externa.

[00282] Especificamente, a CN executa uma verificação de integridade baseada em um primeiro MAC no pacote de dados, e após a verificar ter êxito, a CN decriptografa os dados brutos.

[00283] Por exemplo, se os dados brutos no pacote de dados forem criptografados pela utilização de uma chave do cookie, a CN deriva a chave do cookie (Ki de forma abreviada) baseada no cookie recebido e em uma chave mestre armazenada (K de forma abreviada). Um método de derivação específico é: Ki = KDF (ID do cookie, tempo de expiração, tipo do cookie, K), e então, a CN decriptografa os dados brutos.

[00284] A CN envia os dados brutos para uma rede externa. Em um cenário de aplicação específico, se o UE for um dispositivo IoT, a CN encaminha os dados para uma plataforma IoT. Então, a plataforma IoT envia uma mensagem de reconhecimento (Ack) para a CN, para indicar, para a CN que os dados são recebidos. A CN envia uma mensagem de reconhecimento (Ack) para a RAM, para indicar, para a RAN, que os dados são recebidos. A RAN ainda envia uma mensagem de reconhecimento (Ack) para o dispositivo IoT, para indicar, para o dispositivo IoT, que os dados são recebidos.

[00285] 6b. A CN executa re-autenticação rápida com o UE.

[00286] A CN pode executar a re-autenticação rápida com o UE Baseada em um ID do cookie e em uma chave do cookie. Para um processo detalhado, faça referência às descrições nas modalidades da FIGURA 7 e da FIGURA 8. Detalhes não são novamente descritos aqui.

[00287] Para os dados brutos no pacote de dados, em uma modalidade específica, a CN envia os dados brutos descompactados para a rede externa. Em outra modalidade específica, a CN pode descartar o pacote de dados, e após a re-autenticação rápida, o UE pode gerar um novo pacote de dados por utilizar um novo cookie, uma nova chave do cookie, e os dados brutos, e então enviar novamente o novo pacote de dados para a CN.

[00288] 6c.A CN e o UE executam novamente as etapas 1, 2 e 3.

[00289] Faça referência à descrição na etapa 6c na modalidade da FIGURA 6. Detalhes não são novamente descritos aqui.

[00290] A modalidade precedente da FIGURA 12 pode ser aplicada para um cenário de comunicação sem mobilidade. Após a implementação desta modalidade da presente invenção, quando o UE, tal como o dispositivo IoT, acessa a rede pela primeira vez, após executar autenticação com o lado da rede para verificar a identidade, o UE obtém o cookie emitido pela CN. Então, quando o UE tiver um requerimento para transmitir dados (por exemplo, dados específicos),

o UE diretamente envia o pacote de dados transportando o cookie para a CN, e não precisa executar autenticação e estabelecer uma nova conexão novamente. A CN verifica a validade da identidade do UE por verificar o cookie. Após a verificação em relação ao cookie ter êxito, a CN diretamente processa transmissão subsequente dos dados, para completar a comunicação de dados. A implementação desta modalidade da presente invenção pode reduzir a carga no lado da rede quando uma grande quantidade de UEs precisa executar comunicação, desse modo aumentando a eficiência da transmissão de dados.

[00291] O dito anteriormente descreve o método nas modalidades da presente invenção e o dito a seguir descreve um dispositivo relacionado nas modalidades da presente invenção.

[00292] Referindo-se à FIGURA 13, uma modalidade da presente invenção proporciona um dispositivo de hardware 1300. O dispositivo de hardware 1300 inclui um processador 1301, uma memória 1302, um transmissor 1303, e um receptor 1304. O processador 1301, a memória 1302, o transmissor 1303, e o receptor 1304 são conectados uns com os outros (por exemplo, conectados uns com os outros pela utilização de um barramento).

[00293] A memória 1302 inclui, mas não está limitada a uma memória de acesso aleatório (Memória de Acesso Aleatório, RAM), uma memória somente para leitura (Memória Somente para Leitura, ROM), uma memória somente para leitura programável que pode ser apagada (Memória Somente Para Leitura Programável que pode ser Apagada, EPROM), ou um disco compacto memória somente para leitura (Disco Compacto Memória Somente para Leitura, CD-ROM). A memória 1302 é configurada para armazenar código de programa relacionado e dados (tal como informação de cookie em um lado da rede).

[00294] O receptor 1304 é configurado para receber os dados. O transmissor 1303 é configurado para transmitir os dados.

[00295] O processador 1301 pode ser uma ou mais unidades centrais de processamento (Unidade Central de Processamento, CPU). Quando o processador 1301 é uma CPU, a CPU pode ser uma CPU de núcleo único ou uma CPU multinúcleo.

[00296] O processador 1301 é configurado para ler o código de programa armazenado na memória 1302, para implementar uma função do dispositivo de rede na modalidade da FIGURA 6.

[00297] Quando o dispositivo de hardware 1300 é um dispositivo da rede de acesso, o código de programa armazenado na memória 1302 é especificamente utilizado para implementar uma função da RAN na modalidade da FIGURA 9, da FIGURA 10, ou da FIGURA 11. Detalhes são como a seguir:

[00298] a memória é configurada para armazenar informação do primeiro cookie;

[00299] o receptor é configurado para receber um pacote de dados enviado pelo equipamento do usuário, em que o pacote de dados inclui um primeiro cookie e dados brutos; e

[00300] o processador é configurado para verificar o primeiro cookie baseado na informação do cookie armazenada, para obter um resultado de verificação, e é ainda configurado para processar os dados brutos baseado no resultado da verificação.

[00301] Em uma modalidade específica da presente invenção, o primeiro cookie inclui um tempo de expiração T, e uma rede de acesso verifica o primeiro cookie em um tempo T0; e

[00302] que o processador é configurado para verificar o primeiro cookie, para obter um resultado da verificação inclui:

[00303] se T0 M T – TX, o resultado da verificação é que o primeiro cookie é válido;

[00304] se T – TX < T0 < T + TX, o resultado da verificação é que o primeiro cookie está para expirar; ou

[00305] se T0 > T + TX, o resultado da verificação é que o primeiro cookie é inválido, em que

[00306] TX é um valor de tempo preestabelecido.

[00307] De forma correspondente, se o resultado da verificação for que o primeiro cookie é válido, o processador é configurado para decriptografar os dados brutos, e o transmissor é configurado para enviar os dados brutos decriptografados para um dispositivo da rede principal.

[00308] Se o resultado da verificação for que o primeiro cookie está para expirar, o processador é configurado para executar re- autenticação rápida com o equipamento do usuário, para atualizar o primeiro cookie no equipamento do usuário, e o transmissor é configurado para enviar os dados brutos decriptografados para um dispositivo da rede principal.

[00309] Em uma modalidade específica, antes de o receptor receber o pacote de dados enviado pelo equipamento do usuário, o seguinte está incluído:

[00310] o processador executar autenticação bidirecional com o equipamento do usuário; e após a autenticação ter êxito, o processador gera o primeiro cookie baseado em um identificador do equipamento do usuário.

[00311] Em uma modalidade específica, o primeiro cookie ainda inclui um tipo do primeiro cookie, e o tipo do primeiro cookie é utilizado para indicar que o primeiro cookie é gerado por um dispositivo da rede de acesso ou por um dispositivo da rede principal.

[00312] Especificamente, que o processador é configurado para verificar o primeiro cookie baseado na informação do primeiro cookie inclui:

[00313] quando o tipo do primeiro cookie indica que o primeiro cookie é verificado pelo dispositivo da rede de acesso, o processador é configurado para verificar o primeiro cookie baseado na informação do primeiro cookie.

[00314] Em uma modalidade específica, o primeiro cookie ainda inclui: um ID do primeiro cookie e um primeiro código de autenticação de mensagem MAC, em que

[00315] primeiro MC = HMAC(ID do primeiro cookie || tempo de expiração || tipo do primeiro cookie || chave do primeiro cookie), em que

[00316] a chave do primeiro cookie é uma chave derivada pelo processador;

[00317] chave do primeiro cookie = KDF(ID do primeiro cookie, tempo de expiração, tipo do primeiro cookie, K); e

[00318] HMAC é um código de autenticação de mensagem baseado em hash relacionado com a chave, KDF é uma função de derivação de chave, e K é uma chave mestre preestabelecida pelo dispositivo da primeira rede de acesso; e

[00319] O processador é configurado para: identificar o primeiro cookie baseado no ID do primeiro cookie, e executar uma verificação de integridade em relação ao primeiro cookie baseado no primeiro MAC.

[00320] Em uma modalidade possível, o primeiro cookie ainda inclui: o identificador do equipamento do usuário criptografado e um contador de re-autenticação rápida criptografado, em que

[00321] o primeiro MAC especificamente é:

[00322] primeiro MAC =HMAC(ID do primeiro cookie || tempo de expiração || tipo do primeiro cookie || En(identificador do equipamento do usuário,K) || En(contador de re-autenticação rápida, K), chave do primeiro cookie), em que En é uma função de criptografia.

[00323] Em uma modalidade específica, quando o cookie está para expirar, o processador executa re-autenticação rápida com o equipamento do usuário, para atualizar o cookie no equipamento do usuário, e um processo de verificação inclui:

[00324] gerar, pelo processador, um segundo cookie; e enviar, pelo transmissor, uma primeira mensagem para o equipamento do usuário, para atualizar o primeiro cookie e a chave do primeiro cookie no equipamento do usuário. A primeira mensagem inclui o segundo cookie, uma chave do segundo cookie, e um ID do segundo cookie, e a chave do segundo cookie é uma chave derivada pelo processador baseado na chave mestre preestabelecida.

[00325] A primeira mensagem é uma mensagem de re-autenticação rápida, e a mensagem de re-autenticação rápida pode incluir:

[00326] (1) um campo AT_IV, em que o campo AT_IV transporta a chave do segundo cookie e/ou o segundo cookie;

[00327] (2) um campo AT_ENCR_DATA, em que o campo AT_ENCR_DATA transporta o segundo cookie e/ou a chave do segundo cookie;

[00328] (3) um campo AT_NEXT_REAUTH_ID criptografado, em que o campo AT_NEXT_REAUTH_ID transporta o ID do segundo cookie;

[00329] (4) um campo AT_COUNTER criptografado, em que o campo AT_COUNTER criptografado pode indicar o contador de re- autenticação rápida criptografado;

[00330] (5) um campo AT_NONCE_S criptografado, em que AT_NONCE_S criptografado indica um valor de utilização única de número aleatório criptografado gerado por um servidor; e

[00331] (6) um campo AT_NEXT_REAUTH_ID criptografado, em que AT_MAC é utilizado para executar proteção de integridade em relação a toda a mensagem de re-autenticação rápida.

[00332] Em uma modalidade possível, o primeiro cookie ainda inclui um identificador do dispositivo da primeira rede de acesso RAN ID, e o RAN ID é utilizado para indicar um ID de um dispositivo da rede de acesso que gera o primeiro cookie.

[00333] Após o receptor receber o pacote de dados enviado pelo equipamento do usuário, o dito a seguir está ainda incluído: o processador verifica se o RAN ID é um ID do dispositivo da primeira rede de acesso; e

[00334] que o processador verificar o primeiro cookie é especificamente: quando o RAN ID é o ID do dispositivo da primeira rede de acesso, o processador verifica o primeiro cookie.

[00335] Em uma modalidade específica, antes de o processador verificar o primeiro cookie, o dito a seguir está ainda incluído:

[00336] quando o RAN ID não é o ID da rede de acesso, o transmissor envia o primeiro cookie para um dispositivo da segunda rede de acesso indicado pelo RAN ID; e o receptor recebe informação de segundo cookie realimentada pelo dispositivo da segunda rede de acesso baseado no primeiro cookie, em que a informação de segundo cookie é armazenada no dispositivo da segunda rede de acesso, e a informação do segundo cookie inclui o ID do primeiro cookie, a chave do primeiro cookie, e o identificador do equipamento do usuário; e que o processador verifica o primeiro cookie inclui: o processador verifica o primeiro cookie baseado na informação do segundo cookie.

[00337] Que o transmissor envia o primeiro cookie para um dispositivo da segunda rede de acesso indicado pelo RAN ID inclui dois casos:

[00338] Caso 1: se existir uma interface X2 entre o dispositivo da primeira rede de acesso e o dispositivo da segunda rede de acesso, o transmissor envia, por utilizar a interface X2, o primeiro cookie para o dispositivo da segunda rede de acesso indicado pelo RAN ID.

[00339] Caso 2: Se não existir interface X2 entre o dispositivo da primeira rede de acesso e o dispositivo da segunda rede de acesso, o transmissor envia, por utilizar o dispositivo da rede principal, o primeiro cookie para o dispositivo da segunda rede de acesso indicado pelo RAN ID.

[00340] Em uma modalidade possível, quando o RAN ID não é o ID da rede de acesso, o transmissor é configurado para enviar o pacote de dados para um dispositivo da terceira rede de acesso indicado pelo RAN ID. O receptor é configurado para receber os dados brutos decriptografados realimentados pelo dispositivo da terceira rede de acesso; e o transmissor é configurado para enviar os dados brutos decriptografados para uma rede principal.

[00341] Em uma modalidade específica, o receptor é ainda configurado para receber uma chave realimentada pelo dispositivo da terceira rede de acesso, em que a chave é gerada pelo dispositivo da terceira rede de aceso baseado na chave do primeiro cookie a no ID da primeira rede de acesso; o processador é configurado para gerar um terceiro cookie e uma chave do terceiro cookie baseado no identificador do equipamento do usuário. Um RAN ID no terceiro cookie indica o ID do dispositivo da primeira rede de acesso.

[00342] O transmissor é configurado para enviar o terceiro cookie e a chave do terceiro cookie criptografada pela utilização da chave do equipamento do usuário, de modo que o equipamento do usuário atualiza o primeiro cookie e a chave do primeiro cookie pela utilização do terceiro cookie e da chave do terceiro cookie.

[00343] Deve ser observado que, quando o dispositivo de hardware 1300 é um dispositivo da rede de acesso, para aspectos técnicos relacionados do processador 1301, da memória 1302, do transmissor 1303, e do receptor 1304, faça referência ao conteúdo relacionado da primeira RAN e da segunda RAN nas modalidades da FIGURA 9 a

FIGURA 11. Detalhes não são novamente descritos aqui.

[00344] Quando o dispositivo de hardware 1300 é um dispositivo da rede principal, o código de programa armazenado na memória 1302 é especificamente utilizado para implementar uma função da CN na modalidade da FIGURA 12. Detalhes são como a seguir:

[00345] a memória é configurada para armazenar informação do primeiro cookie;

[00346] o receptor é configurado para receber um pacote de dados enviado pelo equipamento do usuário, em que o pacote de dados inclui um primeiro cookie e dados brutos criptografados;

[00347] o processador é configurado para verificar o primeiro cookie baseado na informação de cookie armazenada, para obter um resultado da verificação; e

[00348] o processador é ainda configurado para processar os dados brutos baseados no resultado da verificação.

[00349] Em uma modalidade específica, o primeiro cookie inclui um tempo de expiração T, e uma rede de acesso verifica o primeiro cookie em um tempo T0, em que

[00350] se T0 < T – TX, o resultado da verificação é que o primeiro cookie é válido;

[00351] se T – TX < T0 < T + TX, o resultado da verificação é que o primeiro cookie está para espirar; ou

[00352] se T0 > T + TX, o resultado da verificação é que o primeiro cookie é inválido, em que

[00353] TX é um valor de tempo preestabelecido.

[00354] De forma correspondente, se o resultado da verificação for que o primeiro cookie é inválido, o processador decriptografa os dados brutos, e o transmissor envia os dados brutos decriptografados para um servidor alvo.

[00355] Se o resultado da verificação for que o primeiro cookie está para expirar, o processador executa re-autenticação rápida com o equipamento do usuário, para atualizar o primeiro cookie no equipamento do usuário, e o transmissor envia os dados brutos decriptografados para um servidor alvo.

[00356] Em uma modalidade específica, antes de o receptor receber o pacote de dados enviado pelo equipamento do usuário, o dito a seguir está incluído: o processador executa autenticação bidirecional com o equipamento do usuário; e após a autenticação ter êxito, o processador gera o primeiro cookie baseado em um identificador do equipamento do usuário.

[00357] Em uma modalidade específica, o primeiro cookie inclui: o identificador do equipamento do usuário criptografado, um contador de re-autenticação rápida criptografado, um tipo do cookie, um ID do primeiro cookie, e um código de autenticação de mensagem MAC, em que

[00358] MAC = HMAC(ID do primeiro cookie || tempo de expiração || tipo do cookie || En(identificador do equipamento do usuário, K) || En(contador de re-autenticação rápida, K), chave do primeiro cookie), em que En é uma função de criptografia.

[00359] Especificamente, o receptor é configurado para receber o pacote de dados baseado no tipo do primeiro cookie, e o processador é configurado para: identificar o primeiro cookie baseado no ID do primeiro cookie, e executar uma verificação de integridade em relação ao primeiro cookie baseado no MAC.

[00360] Em uma modalidade específica, quando o cookie está para expirar, o processador executa re-autenticação rápida com o equipamento do usuário, e um processo de autenticação inclui: gerar, pelo processador, um segundo cookie; enviar, pelo transmissor, uma primeira mensagem para o equipamento do usuário, para atualizar o primeiro cookie e a chave do primeiro cookie no equipamento do usuário. A primeira mensagem inclui o segundo cookie, uma chave do segundo cookie, e um ID do segundo cookie, e a chave do segundo cookie é uma chave derivada pelo processador baseado em uma chave mestre preestabelecida.

[00361] A primeira mensagem é uma mensagem de re-autenticação rápida, e a mensagem de re-autenticação rápida pode incluir:

[00362] (1) um campo AT_IV, em que o campo AT_IV transporta a chave do segundo cookie e/ou o segundo cookie;

[00363] (2) um campo AT_ENCR_DATA, em que o campo AT_ENCR_DATA transporta o segundo cookie e/ou a chave do segundo cookie;

[00364] (3) um campo AT_NEXT_REAUTH_ID criptografado, em que o campo AT_NEXT_REAUTH_ID criptografado transporta o ID do segundo cookie;

[00365] (4) um campo AT_COUNTER criptografado, em que AT_COUNTER criptografado pode indicar o contador de re- autenticação rápida criptografado;

[00366] (5) um campo AT_NONCE_S criptografado, em que AT_NONCE_S criptografado indica um valor de utilização única de número aleatório criptografado gerado por um servidor; e

[00367] (6) um campo AT_NEXT_REAUTH_ID criptografado, em que o AT_MAC é utilizado para executar proteção de integridade em relação a toda a mensagem de re-autenticação rápida.

[00368] Deve ser observado que, quando o dispositivo de hardware 1300 é o dispositivo da rede principal, para aspectos técnicos relacionados do processador 1301, da memória 1302, do transmissor 1301, e do receptor 1304, faça referência ao conteúdo relacionado da CN na modalidade da FIGURA 12. Detalhes não são novamente descritos aqui.

[00369] Quando o dispositivo de hardware 1300 é equipamento do usuário, o código de programa armazenado na memória 1302 é especificamente utilizado para implementar uma função do UE nas modalidades da FIGURA 9 a FIGURA 12. Detalhes são como a seguir:

[00370] o receptor 1304 recebe um primeiro cookie e uma chave do primeiro cookie que são enviados por um dispositivo de rede;

[00371] a memória 1302 armazena o primeiro cookie e a chave do primeiro cookie;

[00372] o processador 1301 gera um pacote de dados baseado no primeiro cookie e na chave do primeiro cookie, em que o pacote de dados inclui o primeiro cookie e dados brutos criptografados pela utilização da chave do primeiro cookie; e

[00373] o transmissor 1303 envia o pacote de dados para o dispositivo de rede.

[00374] Em uma modalidade específica, o primeiro cookie inclui um tempo de expiração T, e uma rede de acesso verifica o primeiro cookie em um tempo T0, em que

[00375] se T0 < T – TX, um resultado da verificação é que o primeiro cookie é válido;

[00376] se T – TX < T0 < T + TX, um resultado da verificação é que o primeiro cookie está para expirar; ou

[00377] se T0 > T + TX, um resultado da verificação é que o primeiro cookie é inválido, em que TX é um valor de tempo preestabelecido.

[00378] Quando T está para expirar, o equipamento do usuário recebe uma primeira mensagem enviada pelo dispositivo de rede. A primeira mensagem inclui um segundo cookie, uma chave do segundo cookie, e um ID do segundo cookie, e a chave do segundo cookie é uma chave derivada por um dispositivo da primeira rede de acesso baseado em uma chave mestre preestabelecida. O equipamento do usuário atualiza o primeiro cookie e a chave do primeiro cookie por utilizar o segundo cookie e a chave do segundo cookie.

[00379] Em uma modalidade específica, o dispositivo de rede é um dispositivo da rede de acesso ou um dispositivo da rede principal, o equipamento do usuário é um dispositivo da Internet das coisas IoT, e o pacote de dados são dados específicos small data.

[00380] Deve ser observado que, quando o dispositivo de hardware 1300 é o equipamento do usuário, para aspectos técnicos relacionados do processador 1301, da memória 1302, do transmissor 1301, e do receptor 1304, faça referência ao conteúdo relacionado do UE nas modalidades da FIGURA 9 a FIGURA 12. Detalhes não são novamente descritos aqui.

[00381] Baseado no mesmo conceito da invenção, uma modalidade da presente invenção ainda proporciona um dispositivo de rede de acesso 1400. Como apresentado na FIGURA 14, o dispositivo da rede de acesso 1400 pode incluir: um módulo de recepção 1401, um módulo de autenticação 1402, e um módulo de envio 1403.

[00382] O módulo de recepção 1401 é configurado para receber um pacote de dados enviado pelo equipamento do usuário. O pacote de dados inclui um primeiro cookie e dados brutos.

[00383] O módulo de autenticação 1402 é configurado para: verificar o primeiro cookie, para obter um resultado da verificação; e processar os dados brutos baseado no resultado da verificação.

[00384] O módulo de envio 1403 é configurado para enviar o pacote de dados para um dispositivo da rede principal / uma rede externa ou para outro dispositivo de rede de acesso.

[00385] Deve ser observado que as descrições detalhadas da RAN nas modalidades da FIGURA 9 a FIGURA 11 permitem aos versados na técnica claramente conhecer um método de implementação de cada módulo de função incluído no dispositivo da rede de acesso

1400. Portanto, por brevidade do relatório descritivo, detalhes não são novamente descritos aqui.

[00386] Baseado em um mesmo conceito da invenção, uma modalidade da presente invenção ainda proporciona um dispositivo da rede principal 1500. Como apresentado na FIGURA 15, o dispositivo da rede principal 1500 pode incluir: um módulo de recepção 1501, um módulo de autenticação 1502, e um módulo de envio 1503.

[00387] O módulo de recepção 1501 é configurado para receber um pacote de dados enviados pelo equipamento do usuário, em que o pacote de dados inclui um primeiro cookie e dados brutos.

[00388] O módulo de autenticação 1502 é configurado para verificar o primeiro cookie, para obter um resultado da verificação, e é configurado para processar os dados brutos baseado no resultado da verificação.

[00389] O módulo de envio 1503 é configurado para enviar o pacote de dados para uma rede externa / servidor de aplicativo.

[00390] Deve ser observado que através de uma descrição detalhada da CN na modalidade da FIGURA 12, os versados na técnica podem claramente conhecer um método de implementação de cada módulo de função incluído no dispositivo da rede principal 1500. Portanto, por brevidade do relatório descritivo, detalhes não são novamente descritos aqui.

[00391] Baseado em um mesmo conceito da invenção, uma modalidade da presente invenção ainda proporciona o equipamento do usuário 1600. Como apresentado na FIGURA 16, o equipamento do usuário 1600 pode incluir: um módulo de recepção 1601, um módulo de dados 1602, e um módulo de envio 1603.

[00392] O módulo de recepção 1601 é configurado para receber um primeiro cookie e uma chave do primeiro cookie que são enviados por um dispositivo de rede.

[00393] O módulo de dados 1602 é configurado para gerar um pacote de dados baseado no primeiro cookie e na chave do primeiro cookie. O pacote de dados inclui o primeiro cookie e dados brutos criptografados pela utilização da chave do primeiro cookie.

[00394] O módulo de envio 1603 é configurado para enviar o pacote de dados para o dispositivo de rede. O dispositivo de rede é um dispositivo da rede de acesso ou um dispositivo da rede principal.

[00395] Deve ser observado que as descrições detalhadas do UE nas modalidades da FIGURA 9 a FIGURA 12 permitem aos versados na técnica claramente conhecer um método de implementação de cada módulo de função incluído no equipamento do usuário 1600. Portanto, por brevidade do relatório descritivo, detalhes não são novamente descritos aqui.

[00396] Todas ou algumas modalidades precedentes podem ser implementadas por software, hardware, firmware, ou por qualquer combinação dos mesmos. Quando software é utilizado para implementar as modalidades, as modalidades podem ser implementadas completamente ou parcialmente em uma forma de um produto de programa de computador. O produto de programa de computador inclui uma ou mais instruções de computador. Quando as instruções de programa de computador são carregadas e executadas em um computador, todos ou uma parte dos procedimentos ou funções são gerados de acordo com as modalidades da presente invenção. O computador pode ser um computador de propósito geral, um computador dedicado, uma rede de computadores, ou outro aparelho programável. As instruções de computador podem ser armazenadas em um meio de armazenamento legível por computador ou podem ser transmitidas a partir de um meio de armazenamento legível por computador para outro meio de armazenamento legível por computador. Por exemplo, as instruções de computador podem ser transmitidas a partir de um site da Rede, computador, servidor, ou centro de dados para outro site da rede, computador, servidor, ou centro de dados de uma maneira com uso de fios (por exemplo, um cabo coaxial, um cabo de fibra óptica, ou uma linha digital de assinante) ou sem uso de fios (por exemplo, infravermelho ou micro- ondas). O meio de armazenamento legível por computador pode ser qualquer meio utilizável acessível por um computador, ou um dispositivo de armazenamento de dados, tal como um servidor ou um centro de dados, integrando uma ou mais mídias utilizáveis. O meio utilizável pode ser um meio magnético (por exemplo, um disco flexível, um disco rígido, ou uma fita magnética), um meio ótico (por exemplo, um DVD), um meio semicondutor (por exemplo, uma unidade de estado sólido), dentre outros.

[00397] Nas modalidades precedentes, as descrições em cada modalidade possuem respectivos focos. Para uma parte que não é descrita em detalhes em uma modalidade, faça referência às descrições relacionadas em outras modalidades.

[00398] As descrições precedentes são meramente implementações específicas da presente invenção, mas não são pretendidas para limitar o escopo de proteção da presente invenção. Qualquer variação ou substituição prontamente apresentada pelos versados na técnica dentro do escopo técnico divulgado na presente invenção devem se situar dentro do escopo de proteção da presente invenção. Portanto, o escopo de proteção da presente invenção deve estar sujeito ao escopo de proteção das reivindicações.

Claims (20)

REIVINDICAÇÕES

1. Método de transmissão de dados, caracterizado pelo fato de que compreende: receber, por um dispositivo da primeira rede de acesso, um pacote de dados enviado pelo equipamento do usuário, em que o pacote de dados compreende um primeiro cookie e dados brutos; verificar, pelo dispositivo da primeira rede de acesso, o primeiro cookie, para obter um resultado da verificação; e processar, pelo dispositivo da primeira rede de acesso, os dados brutos baseado no resultado da verificação.

2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o primeiro cookie compreende um tempo de expiração T, e uma rede de acesso verifica o primeiro cookie em um tempo T0; e a verificação, pelo dispositivo da primeira rede de acesso, do primeiro cookie, para obter um resultado da verificação compreende: se T0 < T – TX, o resultado da verificação é que o primeiro cookie é válido; se T – TX < T0 < T + TX, o resultado da verificação é que o primeiro cookie está para expirar; ou se T0 > T + TX, o resultado da verificação é que o primeiro cookie é inválido, em que TX é um valor de tempo preestabelecido.

3. Método, de acordo com a reivindicação 2, caracterizado pelo fato de que o processamento, pelo dispositivo da primeira rede de acesso, dos dados brutos baseado no resultado da verificação compreende: se o resultado da verificação for que o primeiro cookie é válido, decriptografar, pelo dispositivo da primeira rede de acesso, os dados brutos, e enviar os dados brutos decriptografados para um dispositivo da rede principal.

4. Método, de acordo com qualquer uma das reivindicações 1 a 3, caracterizado pelo fato de que, antes de receber, por um dispositivo da primeira rede de acesso, um pacote de dados enviado pelo equipamento do usuário, o método ainda compreende: executar, pelo dispositivo da primeira rede de acesso, autenticação bidirecional com o equipamento do usuário; e após a autenticação ter êxito, gerar, pelo dispositivo da rede de acesso, o primeiro cookie baseado em um identificador do equipamento do usuário.

5. Método, de acordo com qualquer uma das reivindicações 1 a 4, caracterizado pelo fato de que o primeiro cookie é utilizado para indicar que o primeiro cookie é gerado por um dispositivo da rede de acesso ou por um dispositivo da rede principal; e quando o tipo do primeiro cookie indica que o primeiro cookie é verificado pelo dispositivo da rede de acesso, verificar, pelo dispositivo da primeira rede de acesso, o primeiro cookie.

6. Método, de acordo com a reivindicação 5, caracterizado pelo fato de que o primeiro cookie ainda compreende: um ID do primeiro cookie e um primeiro código de autenticação de mensagem MAC, em que primeiro MAC = HMAC (ID do primeiro cookie || tempo de expiração || tipo do primeiro cookie || chave do primeiro cookie), em que a chave do primeiro cookie é uma chave derivada pelo dispositivo da rede de acesso, e a chave do primeiro cookie = KDF (ID do primeiro cookie, tempo de expiração, tipo do primeiro cookie, K); e HMAC é um código de autenticação de mensagem baseado em hash relacionado com a chave, KDF é uma função de derivação de chave, e K é uma chave mestre preestabelecida pelo dispositivo da primeira rede de acesso; e o dispositivo da primeira rede de acesso identifica o primeiro cookie baseado no ID do primeiro cookie, e executa uma verificação de integridade em relação ao primeiro cookie baseado no primeiro MAC.

7. Método de transmissão de dados, caracterizado pelo fato de que compreende: receber, por um dispositivo da rede principal, um pacote de dados enviado pelo equipamento do usuário, em que o pacote de dados inclui um primeiro cookie e dados brutos; verificar, pelo dispositivo da rede principal, o primeiro cookie, para obter um resultado da verificação; e processar, pelo dispositivo da rede principal, os dados brutos baseado no resultado da verificação.

8. Método, de acordo com a reivindicação 7, caracterizado pelo fato de que o primeiro cookie compreende um tempo de expiração T, e uma rede de acesso verifica o primeiro cookie em um tempo T0; e a verificação, pelo dispositivo da rede principal, do primeiro cookie, para obter um resultado da verificação compreende: se T0 < T – TX, o resultado da verificação é que o primeiro cookie é válido; se T – TX < T0 < T + TX, o resultado da verificação é que o primeiro cookie está para expirar; ou se T0 > T + TX, o resultado da verificação é que o primeiro cookie é inválido, em que TX é um valor de tempo preestabelecido.

9. Método, de acordo com a reivindicação 8, caracterizado pelo fato de que o processamento, pelo dispositivo da rede principal, dos dados brutos baseado no resultado da verificação compreende:

se o resultado da verificação for que o primeiro cookie é válido, decriptografar, pelo dispositivo da rede principal, os dados brutos, e enviar os dados brutos decriptografados para um servidor alvo; ou se o resultado da verificação for que o primeiro cookie está para expirar, executar, pelo dispositivo da rede principal, re- autenticação rápida com o equipamento do usuário, para atualizar o primeiro cookie no equipamento do usuário, e enviar, pelo dispositivo da rede principal, os dados brutos decriptografados para um servidor alvo.

10. Método, de acordo com qualquer uma das reivindicações 7 a 9, caracterizado pelo fato de que, antes da recepção, por um dispositivo da rede principal, de um pacote de dados enviado pelo equipamento do usuário, o método ainda compreende: executar, pelo dispositivo da rede principal, autenticação bidirecional com o equipamento do usuário; e após a autenticação ter êxito, gerar, pelo dispositivo da rede principal, o primeiro cookie baseado em um identificador do equipamento do usuário.

11. Dispositivo da rede de acesso, caracterizado pelo fato de que compreende: um transmissor, um receptor, uma memória, e um processador acoplado com a memória, em que o transmissor, o receptor, a memória, e o processador são conectados pela utilização de um barramento ou de outra maneira; a memória é configurada para armazenar informação do primeiro cookie; o receptor é configurado para receber um pacote de dados enviado pelo equipamento do usuário, em que o pacote de dados compreende um primeiro cookie e dados brutos; e o processador é configurado para verificar o primeiro cookie baseado na informação do cookie armazenada, para obter um resultado da verificação, e é ainda configurado para processar os dados brutos baseado no resultado da verificação.

12. Dispositivo da rede de acesso, de acordo com a reivindicação 11, caracterizado pelo fato de que o primeiro cookie compreende um tempo de expiração T, e uma rede de acesso verifica o primeiro cookie em um tempo T0; e que o processador é configurado para verificar o primeiro cookie, para obter um resultado da verificação compreende: se T0 < T – TX, o resultado da verificação é que o primeiro cookie é válido; se T – TX < T0 < T + TX, o resultado da verificação é que o primeiro cookie está para expirar; ou se T0 > T + TX, o resultado da verificação é que o primeiro cookie é inválido, em que TX é um valor de tempo preestabelecido.

13. Dispositivo da rede de acesso, de acordo com a reivindicação 12, caracterizado pelo fato de que o processador é configurado para processar os dados brutos baseado no resultado da verificação, compreendendo: se o resultado da verificação for que o primeiro cookie é válido, o processador é configurado para decriptografar os dados brutos, e o transmissor é configurado para enviar os dados brutos decriptografados para um dispositivo da rede principal; ou se o resultado da verificação for que o primeiro cookie está para expirar, o processador é configurado para executar re- autenticação rápida com o equipamento do usuário, para atualizar o primeiro cookie no equipamento do usuário, e o transmissor é configurado para enviar os dados brutos decriptografados para um dispositivo da rede principal.

14. Dispositivo da rede de acesso, de acordo com qualquer uma das reivindicações 11 a 13, caracterizado pelo fato de que o processador é configurado para executar autenticação bidirecional com o equipamento do usuário; após a autenticação ter êxito, gerar o primeiro cookie baseado em um identificador do equipamento do usuário.

15. Dispositivo da rede de acesso, de acordo com qualquer uma das reivindicações 11 a 14, caracterizado pelo fato de o primeiro cookie ainda compreende um tipo do primeiro cookie, e o tipo do primeiro cookie é utilizado para indicar que o primeiro cookie é gerado por um dispositivo da rede de acesso ou por um dispositivo da rede principal; e que o processador é configurado para verificar o primeiro cookie baseado na informação do primeiro cookie compreende: quando o tipo do primeiro cookie indica que o primeiro cookie é verificado pelo dispositivo da rede de acesso, o processador é configurado para verificar o primeiro cookie baseado na informação do primeiro cookie.

16. Dispositivo da rede de acesso, de acordo com a reivindicação 15, caracterizado pelo fato de o primeiro cookie ainda compreende: um ID do primeiro cookie e um primeiro código de autenticação de mensagem MAC, em que primeiro MAC = HMAC(ID do primeiro cookie || tempo de expiração || tipo do primeiro cookie || chave do primeiro cookie), em que a chave do primeiro cookie é uma chave derivada pelo processador, e a chave do primeiro cookie = KDF(ID do primeiro cookie, tempo de expiração, K); e HMAC é um código de autenticação de mensagem baseado em hash relacionado com a chave, KDF é uma função de derivação de chave, e K é uma chave mestre preestabelecida pelo dispositivo da primeira rede de acesso; e o processador é configurado para: identificar o primeiro cookie baseado no ID do primeiro cookie, e executar uma verificação de integridade em relação ao primeiro cookie baseado no primeiro MAC.

17. Dispositivo da rede principal, caracterizado pelo fato de que compreende: um transmissor, um receptor, uma memória, e um processador acoplado com a memória, em que o transmissor, o receptor, a memória, e o processador são conectados pela utilização de um barramento ou de outra maneira; a memória é configurada para armazenar informação do primeiro cookie; o receptor é configurado para receber um pacote de dados enviado pelo equipamento do usuário, em que o pacote de dados inclui um primeiro cookie e dados brutos criptografados; o processador é configurado para verificar o primeiro cookie baseado na informação de cookie armazenada, para obter um resultado da verificação; e o processador é ainda configurado para processar os dados brutos baseados no resultado da verificação.

18. Dispositivo da rede principal, de acordo com a reivindicação 17, caracterizado pelo fato de que o primeiro cookie compreende um tempo de expiração T, e uma rede de acesso verifica o primeiro cookie em um tempo T0; e que o processador verifica o primeiro cookie, para obter um resultado da verificação compreende: se T0 < T – TX, o resultado da verificação é que o primeiro cookie é válido; se T – TX < T0 < T + TX, o resultado da verificação é que o primeiro cookie está para expirar; ou se T0 > T + TX, o resultado da verificação é que o primeiro cookie é inválido, em que TX é um valor de tempo preestabelecido.

19. Dispositivo da rede principal, de acordo com a reivindicação 18, caracterizado pelo fato de que o processador ao processar os dados brutos baseado no resultado da verificação compreende: se o resultado da verificação for que o primeiro cookie é válido, o processador decriptografa os dados brutos, e o transmissor envia os dados brutos decriptografados para um servidor alvo; ou se o resultado da verificação for que o primeiro cookie está para expirar, o processador executa re-autenticação rápida com o equipamento do usuário, para atualizar o primeiro cookie no equipamento do usuário, e o transmissor envia os dados brutos decriptografados para um servidor alvo.

20. Dispositivo da rede principal, de acordo com qualquer uma das reivindicações 17 a 19, caracterizado pelo fato de que, antes de o receptor receber o pacote de dados enviado pelo equipamento do usuário, compreende o seguinte: o processador executa autenticação bidirecional com o equipamento do usuário; e após a autenticação ter êxito, o processador gera o primeiro cookie baseado em um identificador do equipamento do usuário.