CN107736047B - 用于蜂窝物联网的网络安全架构 - Google Patents

Abstract

在方面中，支持客户端设备的网络包括实现网络功能的一个或多个网络节点。这样的网络功能使得客户端设备能够在客户端设备不处于连接模式时应用安全上下文来与该网络进行通信。客户端设备获得与第一网络节点处实现的用户平面网络功能单元共享的用户平面密钥，和/或与第二网络节点处实现的控制平面网络功能单元共享的控制平面密钥。客户端设备利用用户平面密钥来保护数据分组，或者利用控制平面密钥来保护控制分组。该数据分组包括用于指示第一网络节点的第一目的地信息以及控制分组包括用于指示第二网络节点的第二目的地信息。客户端设备发送该数据分组或者控制分组。

Description

用于蜂窝物联网的网络安全架构

相关申请的交叉引用

本专利申请要求享受于2015年7月12日在美国专利商标局提交的临时申请第62/191,459号和于2016年5月20日在美国专利商标局提交的非临时申请第15/160,326号的优先权，其全部内容通过引用的方式被并入本文。

技术领域

概括地说，本公开内容涉及通信，并且更具体地，但不唯一地涉及物联网(IoT)网络架构。

背景技术

电子设备收集、处理和交换数据的能力正在持续地增长。此外，正向越来越多的这些电子设备提供网络连接。这样的能力和特征正在使得许多电子设备能够演进成物联网(IoT)设备。随着这些类型的电子设备的数量持续快速地增长，网络可能不具有足够地支持这些电子设备的资源。

例如，在IoT环境中，网络(例如，LTE网络)可能需要支持大量(例如，数十亿)的IoT设备(例如，以减少数据传送模式或者低功耗模式附着到网络的客户端设备)。因为由网络出于IoT目的分配的资源的量可能是受限的，因此网络可能不能够维持用于这些类型的设备的所有上下文。被用于客户端设备的用户平面数据传输的上下文，可以减少客户端设备为了与网络进行通信而要执行的信令的量。鉴于这些情况，网络接入节点通常在客户端设备进入空闲模式时去除(例如，删除)该客户端设备上下文，在客户端设备进入连接模式(其还被称为活动模式)时建立新的客户端设备上下文。就信令消息而言，这种空闲模式到连接模式的转换涉及客户端设备的大量开销。此外，这样的空闲模式到连接模式的转换，可能造成客户端设备在较长的时段期间保持唤醒，并且因此可能增加客户端设备的功耗。

发明内容

下列内容提出了对本公开内容的一些方面的简单化的概括，以提供对这样的方面的基本的理解。该概括不是对本公开内容的所有预期特征的广泛的概述，并且既不旨在标识本公开内容的所有方面的关键的或者重要的要素，也不旨在描绘本公开内容的任意或者全部方面的范围。其唯一目的是用简化的形式提出本公开内容的一些方面的各种概念，作为对稍后提出的更详细的描述的序言。

在方面中，提供了一种用于网络中的客户端设备的方法。该客户端设备可以向网络进行注册，至少获得与第一网络节点处实现的用户平面网络功能单元共享的用户平面密钥或者与第二网络节点处实现的控制平面网络功能单元共享的控制平面密钥，利用用户平面密钥来保护数据分组，或者利用控制平面密钥来保护控制分组，以及发送该数据分组或者控制分组。在方面中，该数据分组包括用于指示将在第一网络节点处处理该数据分组的第一目的地信息，第一目的地信息使得网络接入节点能够将该数据分组转发给第一网络节点，并且所述控制分组包括用于指示将在第二网络节点处处理该控制分组的第二目的地信息，第二目的地信息使得所述网络接入节点能够将该控制分组转发给第二网络节点。在方面中，客户端设备可以从网络接收分组，确定所接收的分组是包括数据还是包括控制信息，以及基于该确定，利用用户平面密钥或者控制平面密钥对所接收的分组进行解码。在方面中，客户端设备可以通过利用用户平面密钥或者控制平面密钥，对所接收的分组进行解密和验证，来对所接收的分组进行解码。在方面中，客户端设备可以通过下列操作来对所接收的分组进行验证：基于所接收的分组和用户平面密钥或者控制平面密钥二者之一，通过应用消息认证码生成算法，来确定第一消息认证码，以及将第一消息认证码和与所接收的分组相关联的第二消息认证码进行比较。在方面中，客户端设备可以获得用户平面安全上下文或者控制平面安全上下文中的至少一个，其中用户平面安全上下文指示针对客户端设备的关于用户平面的网络状态信息，控制平面安全上下文指示针对客户端设备的关于控制平面的网络状态信息。在方面中，客户端设备可以基于用户平面密钥推导第一加密密钥和第一完整性密钥，来获得用户平面安全上下文，并且可以基于控制平面密钥推导第二加密密钥和第二完整性密钥，来获得控制平面安全上下文。在方面中，用户平面安全上下文或者控制平面安全上下文不包括接入层安全保护。在方面中，用户平面网络功能单元标识符或者控制平面网络功能单元标识符被包括在所接收的分组的报头中，并且其中，该客户端设备是在减少数据传送模式下注册的。在方面中，数据分组是基于用户平面密钥来进行加密或者完整性保护的，或者是基于用户平面密钥既进行加密又进行完整性保护的，并且其中，控制分组是基于控制平面密钥来进行加密或者完整性保护的，或者是基于控制平面密钥既进行加密又进行完整性保护的。在方面中，客户端设备可以通过下列操作向网络进行注册：发送对于附着到网络的请求，以及从网络接收响应于该请求的、与认证过程相关联的消息。在这样的方面中，用户平面密钥或者控制平面密钥是基于该消息获得的，并且所述附着请求指示客户端设备将在减少数据传送模式下附着。

在方面中，提供了一种客户端设备。该客户端设备可以包括：用于向网络进行注册的单元，用于至少获得与第一网络节点处实现的用户平面网络功能单元共享的用户平面密钥或者与第二网络节点处实现的控制平面网络功能单元共享的控制平面密钥的单元，用于利用用户平面密钥来保护数据分组，或者利用控制平面密钥来保护控制分组的单元，以及用于发送该数据分组或者控制分组的单元。该数据分组可以包括用于指示将在第一网络节点处处理该数据分组的第一目的地信息，第一目的地信息使得网络接入节点能够将该数据分组转发给第一网络节点，并且所述控制分组可以包括用于指示将在第二网络节点处处理该控制分组的第二目的地信息，第二目的地信息使得所述网络接入节点能够将该控制分组转发给第二网络节点。在方面中，客户端设备可以包括：用于从网络接收分组的单元，用于确定所接收的分组是包括数据还是包括控制信息的单元，以及用于基于该确定，利用用户平面密钥或者控制平面密钥对所接收的分组进行解码的单元。在方面中，用于对所接收的分组进行解码的单元被配置为利用用户平面密钥或者控制平面密钥，对所接收的分组进行解密和验证。在方面中，用于对所接收的分组进行验证的单元可以被配置为：基于所接收的分组和用户平面密钥或者控制平面密钥二者之一，通过应用消息认证码生成算法，来确定第一消息认证码，以及将第一消息认证码和与所接收的分组相关联的第二消息认证码进行比较。在方面中，客户端设备还可以包括：用于获得用户平面安全上下文或者控制平面安全上下文中的至少一个的单元，其中用户平面安全上下文指示针对客户端设备的关于用户平面的网络状态信息，控制平面安全上下文指示针对客户端设备的关于控制平面的网络状态信息。在方面中，用于获得用户平面安全上下文的单元可以被配置为基于用户平面密钥来推导第一加密密钥和第一完整性密钥，并且其中，获得控制平面安全上下文包括基于控制平面密钥来推导第二加密密钥和第二完整性密钥。在方面中，用户平面安全上下文或者控制平面安全上下文不包括接入层安全保护。在方面中，用户平面网络功能单元标识符或者控制平面网络功能单元标识符被包括在所接收的分组的报头中，并且其中，该客户端设备是在减少数据传送模式下注册的。在方面中，数据分组是基于用户平面密钥来进行加密或者完整性保护的，或者是基于用户平面密钥既进行加密又进行完整性保护的，并且其中，控制分组是基于控制平面密钥来进行加密或者完整性保护的，或者是基于控制平面密钥既进行加密又进行完整性保护的。在方面中，用于向网络进行注册的单元可以被配置为：发送对于附着到网络的请求，以及从网络接收响应于该请求的、与认证过程相关联的消息。在这样的方面中，用户平面密钥或者控制平面密钥是基于该消息获得的，并且其中，所述附着请求指示该客户端设备将在减少数据传送模式下附着。

在方面中，提供了一种用于网络接入节点的方法。该网络接入节点可以：从客户端设备接收第一分组，基于客户端设备的网络附着模式来确定下一跳网络节点，以及当网络附着模式是减少数据传送模式时，在无需对从该客户端设备接收的第一分组进行验证的情况下，将第一分组转发给下一跳网络节点。在方面中，该网络接入节点可以从网络节点接收第二分组，以及当客户端设备的网络附着模式是减少数据传送模式时，在无需对第二分组进行保护的情况下，将从该网络节点接收的第二分组转发给客户端设备。在方面中，该网络接入节点可以从客户端设备接收对于附着到网络的具有网络附着模式的指示的请求，其中，该网络附着模式是减少数据传送模式。在方面中，对下一跳网络节点的确定是基于网络接入节点处的预先配置的信息的，或者是基于被包括在第一分组中的目的地信息的，其中，网络附着模式是减少数据传送模式。在方面中，所述目的地信息包括网络功能单元标识符，其中所述网络功能单元标识符实现对网络节点(其实现网络功能)的标识。在方面中，该网络功能单元标识符与第一网络节点处实现的控制平面网络功能单元相关联，或者与第二网络节点处实现的用户平面网络功能单元相关联。在方面中，该网络接入节点可以向第一分组添加与客户端设备相关联的临时标识符，其中，第一分组是数据分组或者控制分组，并且可以存储该临时标识符。在方面中，该临时标识符是小区无线网络临时标识符(C-RNTI)，并且其中，该临时标识符被存储达预先确定的时段。在方面中，该网络接入节点可以根据第二分组中的临时标识符来识别客户端设备，其中，第二分组是数据分组或者控制分组。在方面中，在转发第二分组之前，网络接入节点可以从第二分组中去除该临时标识符。

在方面中，提供了一种网络接入节点。该网络接入节点可以包括：用于从客户端设备接收第一分组的单元，用于基于客户端设备的网络附着模式来确定下一跳网络节点的单元，以及用于当网络附着模式是减少数据传送模式时，在无需对从该客户端设备接收的第一分组进行验证的情况下，将第一分组转发给下一跳网络节点的单元。在方面中，该网络接入节点还可以包括：用于从网络节点接收第二分组的单元，以及用于当客户端设备的网络附着模式是减少数据传送模式时，在无需对第二分组进行保护的情况下，将从该网络节点接收的第二分组转发给客户端设备的单元。在方面中，该网络接入节点还可以包括：用于从客户端设备接收对于附着到网络的具有网络附着模式的指示的请求的单元，其中，该网络附着模式是减少数据传送模式。在方面中，对下一跳网络节点的确定是基于网络接入节点处的预先配置的信息的，或者是基于被包括在第一分组中的目的地信息的，其中，网络附着模式是减少数据传送模式。在方面中，所述目的地信息包括网络功能单元标识符，其中所述网络功能单元标识符实现对网络节点(其实现网络功能)的标识。在方面中，该网络功能单元标识符与第一网络节点处实现的控制平面网络功能单元相关联，或者与第二网络节点处实现的用户平面网络功能单元相关联。在方面中，该网络接入节点可以包括：用于向第一分组添加与客户端设备相关联的临时标识符的单元，其中，第一分组是数据分组或者控制分组，以及用于存储该临时标识符的单元。在方面中，该临时标识符是小区无线网络临时标识符(C-RNTI)，并且其中，该临时标识符被存储达预先确定的时段。在方面中，该网络接入节点还可以包括：用于根据第二分组中的临时标识符来识别客户端设备的单元，其中，第二分组是数据分组或者控制分组。在方面中，该网络接入节点还可以包括：用于在转发第二分组之前，从第二分组中去除该临时标识符的单元。

在方面中，提供了一种用于第一网络节点的方法。第一网络节点可以在第一网络节点处实现的控制平面网络功能单元处，建立用于客户端设备的安全上下文，在第一网络节点处实现的控制平面网络功能单元处，获得用于第二网络节点处实现的用户平面网络功能单元的用户平面密钥，以及从第一网络节点处实现的控制平面网络功能单元，向第二网络节点处实现的用户平面网络功能单元传送用户平面密钥。在方面中，第一网络节点可以通过执行与客户端设备的相互认证过程，来建立用于客户端设备的安全上下文。在方面中，第一网络节点可以通过根据在相互认证过程期间建立的会话凭证推导用户平面密钥，来获得用户平面密钥。在方面中，第一网络节点可以在第一网络节点处实现的控制平面网络功能单元处，获得用于控制平面网络功能单元的控制平面密钥。

在方面中，提供了第一网络节点。第一网络节点可以包括：用于在第一网络节点处实现的控制平面网络功能单元处，建立用于客户端设备的安全上下文的单元，用于在第一网络节点处实现的控制平面网络功能单元处，获得用于在第二网络节点处实现的用户平面网络功能单元的用户平面密钥的单元，以及用于从在第一网络节点处实现的控制平面网络功能单元，向在第二网络节点处实现的用户平面网络功能单元传送用户平面密钥的单元。在方面中，用于建立用于客户端设备的安全上下文的单元可以被配置为执行与客户端设备的相互认证过程。在方面中，用于获得用户平面密钥的单元可以被配置为根据在相互认证过程期间建立的会话凭证来推导用户平面密钥。在方面中，第一网络节点还可以包括：用于在第一网络节点处实现的控制平面网络功能单元处，获得用于控制平面网络功能单元的控制平面密钥的单元。

在方面中，提供了一种用于网络节点的方法。该网络节点可以在该网络节点处实现的用户平面网络功能单元处，获得用于客户端设备的安全上下文。该网络节点可以在该网络节点处实现的用户平面网络功能单元处，确定将至少被用于对来自客户端设备的数据分组进行解密或者验证的密钥，在该网络节点处实现的用户平面网络功能单元处，从客户端设备接收数据分组，以及在该网络节点处实现的用户平面网络功能单元处，基于该密钥，对来自该客户端设备的数据分组进行解密和验证。在方面中，该网络节点可以通过从该网络节点的控制平面网络功能单元接收安全上下文，来获得安全上下文。在方面中，该网络节点可以在该网络节点处实现的用户平面网络功能单元处，从应用服务器或者网关接收针对客户端设备的数据分组。该网络节点可以在该网络节点处实现的用户平面网络功能单元处，确定与客户端设备相关联的至少一个密钥，以及在该网络节点处实现的用户平面网络功能单元处，使用所述至少一个密钥来对针对客户端设备的数据分组进行保护。在方面中，该网络节点可以从该网络节点处实现的用户平面网络功能单元，向下一跳网络节点发送针对该客户端设备的数据分组。在方面中，该网络节点可以通过对针对客户端设备的数据分组进行加密或者完整性保护，或者对针对客户端设备的数据分组既进行加密又进行完整性保护，来对针对该客户端设备的数据分组进行保护。

在方面中，提供了一种网络节点。该网络节点可以包括：用于在该网络节点处实现的用户平面网络功能单元处，获得用于客户端设备的安全上下文的单元，用于在该网络节点处实现的用户平面网络功能单元处，确定将至少被用于对来自客户端设备的数据分组进行解密或者验证的密钥的单元，用于在该网络节点处实现的用户平面网络功能单元处，从客户端设备接收数据分组的单元，以及用于在该网络节点处实现的用户平面网络功能单元处，基于该密钥，对来自该客户端设备的数据分组进行解密和验证的单元。在方面中，用于获得安全上下文的单元可以被配置为从该网络节点的控制平面网络功能单元接收安全上下文。在方面中，网络节点还可以包括：用于在该网络节点处实现的用户平面网络功能单元处，从应用服务器或者网关接收针对客户端设备的数据分组的单元，用于在该网络节点处实现的用户平面网络功能单元处，确定与客户端设备相关联的至少一个密钥的单元，以及用于在该网络节点处实现的用户平面网络功能单元处，使用所述至少一个密钥来对针对客户端设备的数据分组进行保护的单元。在方面中，该网络节点还可以包括：用于从该网络节点处实现的用户平面网络功能单元，向下一跳网络节点发送针对该客户端设备的数据分组的单元。在方面中，用于对针对客户端设备的数据分组进行保护的单元可以被配置为对针对该客户端设备的数据分组进行加密或者完整性保护，或者对针对该客户端设备的数据分组既进行加密又进行完整性保护。

在对下面的具体实施方式进行评论时，本公开内容的这些和其它方面将变得更彻底地理解。在结合附图对下面的本公开内容的特定实现方式的描述进行评论时，本公开内容的其它方面、特征和实现方式对于本领域的普通技术人员来说将变得显而易见。虽然可以相对于下面的某些实现方式和附图讨论本公开内容的特征，但是本公开内容的所有实现方式可以包括本文讨论的优势特征中的一个或多个。换句话说，虽然将一种或多种实现方式讨论为具有某些优势特征，但是根据本文讨论的本公开内容的各种实现方式，还可以使用这样的特征中的一个或多个。用类似的方式，虽然下文将某些实现方式讨论为设备、系统或者方法实现方式，但是应当理解的是，这样的实现方式可以用各种设备、系统和方法来实现。

附图说明

图1是根据本公开内容的各个方面的物联网(IoT)网络架构的框图。

图2是示出了根据本公开内容的各个方面的用于IoT网络架构的密钥体系的图。

图3是示出了根据本公开内容的各个方面的用于在IoT网络架构中对上下文进行加密的密钥体系的图。

图4是示出了在网络中的各个实体处维持的客户端设备的示例性网络状态的图。

图5是示出了根据本公开内容的各个方面的IoT网络架构中的客户端设备的初始附着过程的框图。

图6是根据本公开内容的各个方面的IoT网络架构中的客户端设备的示例性附着过程的信号流程图。

图7是示出了根据本公开内容的各个方面的由IoT网络架构中的客户端设备发起的数据传输的框图。

图8是示出了根据本公开内容的各个方面的由IoT网络架构中的客户端设备发起的示例性数据传输的信号流程图。

图9是根据本公开内容的各个方面的示例性客户端设备在IoT网络架构中终止数据传输的信号流程图。

图10是示出了根据本公开内容的各个方面的用于IoT数据传输的控制平面协议栈的图。

图11是示出了根据本公开内容的各个方面的用于IoT数据传输的用户平面协议栈的图。

图12是根据本公开内容的各个方面的用于IoT网络架构中的传输的分组格式的图。

图13是根据本公开内容的各个方面的用于IoT网络架构中的传输的分组格式的图。

图14是根据本公开内容的各个方面的IoT网络架构中的跟踪区域更新(TAU)过程的信号流程图。

图15是根据本公开内容的一个或多个方面的被配置为在IoT网络架构中进行通信的装置的图示。

图16是示出了根据本公开内容的各个方面的用于在IoT网络架构中进行通信的装置的方法的流程图。

图17是根据本公开内容的一个或多个方面的被配置为在IoT网络架构中进行通信的装置的图示。

图18(其包括图18A和图18B)是示出了根据本公开内容的各个方面的用于在IoT网络架构中进行通信的装置的方法的流程图。

图19是根据本公开内容的一个或多个方面的被配置为在IoT网络架构中进行通信的装置的图示。

图20是示出了根据本公开内容的各个方面的用于在IoT网络架构中进行通信的装置的方法的流程图。

图21是示出了根据本公开内容的各个方面的用于在IoT网络架构中进行通信的装置的方法的流程图。

图22是示出了根据本公开内容的各个方面的用于在IoT网络架构中进行通信的装置的方法的流程图。

具体实施方式

下文结合附图阐述的具体实施方式，旨在作为对各种配置的描述，而不旨在表示在其中可以实践本文描述的概念的唯一配置。具体实施方式包括出于提供对各种概念的透彻理解的具体细节。但是，对于本领域的技术人员来说显而易见的是，可以在没有这些具体细节的情况下实践这些概念。在一些实例中，为了避免使这些概念难理解，以框图形式示出公知的结构和组件。

在诸如长期演进(LTE)网络之类的网络中，用户平面安全在网络接入节点(例如，演进型节点B、基站或者网络接入点)处终止。照此，网络接入节点应当具有用于客户端设备(其还被称为物联网(IoT)设备)的上下文，以便进行用户平面数据传输。例如，客户端设备可以是蜂窝电话(例如，智能电话)、个人计算机(例如，膝上型计算机)、游戏设备或者被配置为与网络进行通信的任何其它适当的设备。用于客户端设备的上下文可以包括与该客户端设备相关联的网络状态信息，例如，客户端设备安全上下文和/或演进型通用移动电信系统(UMTS)陆地无线接入网(E-UTRAN)无线接入承载(eRAB)(例如，无线承载和S1承载)。用于客户端设备的上下文可以减少该客户端设备为了与网络进行通信而要执行的信令的量。

如上所述，网络(例如，LTE网络)可能需要支持大量(例如，数十亿)的物联网(IoT)设备。例如，IoT设备可以是作为IoT设备附着到网络的客户端设备(例如，该客户端设备可以在IoT设备模式下操作)、以低功耗模式附着的客户端设备、或者出于减少客户端设备与网络之间的数据传送的目的附着的客户端设备。在方面中，减少的数据传送模式可以涉及不频繁的小数据(例如，单个分组或者几个分组)传输或者短的数据突发。因此，在本公开内容中，本文使用的术语客户端设备还指代IoT设备。客户端设备例如可以是蜂窝电话(例如，智能电话)、个人计算机(例如，膝上型计算机)、游戏设备、汽车、电器或者被配置为与网络进行通信的任何其它适当的设备。在一些方面中，客户端设备可以被称为用户设备(UE)或者接入终端(AT)。在一些方面中，如本文指代的客户端设备可以是移动设备或者静态设备。

因为由网络出于IoT目的分配的资源的量(例如，IoT网络功能单元和其它与IoT有关的设备)可能是受限的，因此网络功能单元可能不能够维持用于所有客户端设备的上下文。此外，IoT设备可能频繁地是不活动的。例如，客户端设备可能每10分钟或者更长时间唤醒一次，向服务器发送业务，并且立即地进入休眠模式。

鉴于这些情况，网络接入节点通常在客户端设备进入空闲模式时去除(例如，删除)该客户端设备上下文，并且在客户端设备进入连接模式(其还被称为活动模式)时建立新的客户端设备上下文。就信令消息而言，这种空闲模式到连接模式的转换涉及客户端设备的大量开销。此外，这样的空闲模式到连接模式的转换，可能造成客户端设备在较长的时段期间保持唤醒，并且因此可能增加客户端设备的功耗。

从上层的角度来看，本文公开的方面包括用于客户端设备的网络架构，以实现超低客户端设备功耗、每小区大量的设备和/或小的频谱。引入专用网络功能单元以实现独立的部署，并且去除可扩展性/互通要求。安全被锚定在网络设备处实现的IoT网络功能单元(其还被称为IoT功能单元(IoTF))处。IoT网络功能单元可以允许该架构实现客户端设备的高效数据传输。根据各个方面，该架构可以允许在网络接入节点(例如，eNB、基站、网络接入点)处不维持用于去往或者来自客户端设备的数据传送的安全上下文。

为了避免影响客户端设备的正常分组数据网络(PDN)连接/业务，专用核心网资源被分配用于小量的数据传送。网络可以分配专用物理(PHY)层资源用于接入控制，以同样限制小量的数据业务。客户端设备上下文可以被用于小量的数据传送，以当客户端设备处于空闲模式时，消除IoTF处的客户端设备的半持久上下文。

在方面中，IoTF可以包括控制平面IoTF(IoTF-C)和用户平面IoTF(IoTF-U)。在一些方面中，可以在单个IoTF中实现这样的IoTF-C和IoTF-U。在其它方面中，可以将这样的IoTF-C和IoTF-U实现为单独的IoTF。在本公开内容的方面中，IoTF-C可以具有类似于移动性管理实体(MME)的功能单元。在本公开内容的方面中，IoTF-U可以是用于用户平面数据业务的移动性和安全锚点。在本公开内容的方面中，IoTF-U可以具有类似于服务网关(S-GW)和/或网络接入节点(例如，演进型节点B(eNB)、基站或者网络接入点)的功能单元。

为了允许网络功能单元(例如，IoTF-C、IoTF-U)对用于客户端设备的资源使用进行优化，所公开的IoT网络架构的各个方面可以实现下面的设计方案协议：其中，用于客户端设备的上下文被携带在分组(例如，IP分组)中，并且IoTF(例如，包括IoTF-C和IoTF-U的IoTF)机会性地生成用于该客户端设备的上下文。这使得网络功能单元能够针对客户端设备维持最小的甚至不维持网络状态信息，并且维持最小的甚至不维持信令开销。应当理解的是，所公开的IoT网络架构和被包括在其中的功能单元可以被用于任何类型的小量的数据传送。例如，客户端设备(例如，智能电话)可以具有标称模式，其中其建立连接并且传送数据，而且使用如本文公开的过程，以利用客户端设备上下文来传送数据。

IoT网络架构

图1是根据本公开内容的各个方面的IoT网络架构100的框图。如图1中示出的，IoT网络架构100包括客户端设备102(其还被称为IoT设备)、网络接入节点104、网络设备105、服务网络110和归属用户服务器(HSS)/认证、授权和计费(AAA)服务器112。在一个方面中，网络接入节点104可以是eNB、基站或者网络接入点。在一个方面中，网络设备105可以包括被配置为实现IoTF的一个或多个处理电路和/或其它适当的硬件。在本公开内容的一个方面中，IoTF可以包括控制平面IoT功能单元(IoTF-C)106和用户平面IoT功能单元(IoTF-U)108。例如，IoTF-C 106可以被实现在第一网络节点107处，并且IoTF-U 108可以被实现在第二网络节点109处。根据本文公开的各个方面，术语“节点”可以表示被包括在网络设备105中的物理实体，例如，处理电路、设备、服务器或者网络实体。因此，例如，网络节点可以被称为网络节点设备。

在一个方面中，IoTF-C 106和IoTF-U 108可以被实现在同一个硬件平台(例如，一个或多个处理电路和其它相关联的硬件组件(例如，存储器))处。在这样的方面中，例如，IoTF-C 106可以被实现在硬件平台(例如，网络设备105)上提供的第一虚拟机(例如，第一操作系统)处，并且IoTF-U108可以被实现在该硬件平台上提供的第二虚拟机(例如，第二操作系统)处。

如图1中示出的，IoTF-C 106经由第一S1连接116，与网络接入节点104相通信，并且IoTF-U 108经由第二S1连接114，与网络接入节点104相通信。在本公开内容的方面中，服务网络110可以包括被配置为提供各种类型的服务的多个实体、功能单元、网关和/或服务器。例如，服务网络110可以包括短消息实体(SME)118、机器类型通信互通功能单元(MTC-IWF)120、IoT服务器122和/或分组数据网络(PDN)网关(P-GW)124。应当理解的是，图1中公开的服务网络110充当一个示例，而在其它方面中，与图1中公开的那些相比，服务网络110可以包括不同类型的实体、功能单元和/或服务器。

在本公开内容的方面中，在网络设备105处实现的IoTF可以提供控制平面和用户平面功能。在本公开内容的方面中，IoTF-C 106处理用于客户端设备的控制平面信令(例如，携带控制信息的分组，在本文被称为“控制分组”)。例如，IoTF-C 106可以执行针对客户端设备的移动性和会话管理，执行与客户端设备的认证和密钥协商(其还被称为AKA过程)，和/或可以生成用于客户端设备的安全上下文。在本公开内容的方面中，IoTF-C106可以推导用于与客户端设备102相关联的控制平面业务的控制平面(CP)密钥126，推导用于与客户端设备102相关联的用户平面业务的用户平面(UP)密钥128，和/或推导上下文密钥130以生成用于客户端设备102的加密的客户端设备上下文和/或加密的网络可达性上下文。在本公开内容的方面中，IoTF-C 106可以向IoTF-U 108提供用户平面密钥128和/或上下文密钥130中的至少一个上下文秘钥。因此，在一些方面中，IoTF-U108可以包括由IoTF-C 106提供的用户平面密钥128和/或上下文密钥131。

在本公开内容的方面中，IoTF-U 108可以处理用于客户端设备的用户平面业务。例如，IoTF-U 108可以推导加密密钥和完整性密钥(例如，使用UP密钥128的带有关联数据的认证加密(AEAD)密码)，运行中生成客户端设备上下文(其还被称为IoT设备上下文)，对由客户端设备发送的上行链路(UL)分组进行认证和解密，并且将这些上行链路分组转发给PDN或者P-GW(例如，P-GW 124)，对用于连接的客户端设备的下行链路(DL)分组进行加密和认证，并且将这些下行链路分组转发给下一跳网络接入节点(例如，eNB)，和/或对于寻呼期间用于空闲客户端设备的下行链路分组进行缓存。在本公开内容的方面中，IoTF-U 108可以充当数据业务的移动性和安全锚点。

用于IoT网络的示例性密钥体系

图2是示出了根据本公开内容的各个方面的用于IoT网络架构(例如，IoT网络架构100)的密钥体系200的图。在图2中，密钥K_IoT 202可以是被永久地存储在客户端设备(例如，客户端设备102)的通用移动电信系统(UMTS)用户识别模块(USIM)和网络的认证中心(AuC)中的秘密密钥。完整性密钥(IK)和加密密钥(CK)(其被示作图2中的IK、CK 204)是在AKA过程期间，在AuC和USIM中推导出的一对密钥。参考图1，在AKA过程期间，IoTF-C 106可以从HSS/AAA服务器112接收认证向量(AV)，所述AV包含来自接入安全管理实体(ASME)的密钥(在图2中被示作密钥K_ASME 206)。IoTF-C 106可以根据密钥K_ASME 206推导控制平面密钥(K_CP)208和用户平面密钥(K_UP)214。IoTF-C 106可以向IoTF-U108提供密钥K_UP 214。IoTF-C106可以根据密钥K_CP 208推导加密密钥K_IoT-CPenc 210和完整性保护密钥K_IoT-CPint 212。IoTF-U 108可以根据密钥K_UP214推导加密密钥K_IoT-UPenc 216和完整性保护密钥K_IoT-UPint 218。

图3是示出了根据本公开内容的各个方面的用于在IoT网络架构(例如，IoT网络架构100)中对上下文进行加密的密钥体系300的图。在本公开内容的方面中，参考图1，IoTF-C106可以基于用于客户端设备的上下文密钥K_CDC-IoTF 302，随机地生成用于客户端设备(例如，客户端设备102)的控制平面客户端设备上下文加密密钥(K_CDC-IoTF-C)304和用户平面客户端设备上下文加密密钥(K_CDC-IoTF-U)306。在本公开内容的方面中，参考图1，IoTF-C 106可以基于上下文密钥K_NRC-IoTF 308，随机地生成用于控制平面的网络可达性上下文(NRC)加密密钥(K_NRC-IoTF-C)310。IoTF-C 106还可以基于上下文密钥K_NRC-IoTF 308，随机地生成用于用户平面的网络可达性上下文(NRC)加密密钥(K_NRC-IoTF-U)312。在一个方面中，密钥K_NRC-IoTF-C310和密钥K_NRC-IoTF-U 312可以是针对应用服务或者P-GW(例如，P-GW 124)而生成的。

客户端设备的示例性网络状态

在无线通信系统(例如，LTE网络)中，为客户端设备规定用于移动性管理(例如，演进型分组系统移动性管理(EMM))的网络状态。这样的网络状态实现网络中的客户端设备与其它实体之间的高效通信。在本公开内容的方面中，客户端设备(例如，图1中的客户端设备102)可以处于注销状态或者注册状态。

例如，当客户端设备处于注销状态时，可以将用于该客户端设备的上下文存储在HSS中。网络不保持用于该客户端设备的有效位置或者路由信息，故该客户端设备是不可达的。

作为另一示例，客户端设备可以通过向网络进行成功的注册来进入注册状态。在本公开内容的方面中，客户端设备可以通过与网络执行附着过程，来执行这样的注册。在注册状态下，客户端设备具有至少一个活动的PDN连接。客户端设备还具有演进型分组系统(EPS)安全上下文建立。应当注意到的是，注销状态和注册状态假定客户端设备具有用于该网络的凭证(例如，在HSS中存在可用的订制)。

无线通信网络(例如，LTE网络)还可以包括为客户端设备规定的用于演进型分组系统连接管理(ECM)的网络状态。因此，处于注册状态的客户端设备(例如，图1中的客户端设备102)可以处于诸如空闲状态或者连接状态之类的两种状态(其还被称为注册状态的子状态)之一。在空闲状态下，在客户端设备与其它网络实体之间不存在非接入层(NAS)信令连接。此外，客户端设备可以执行小区选择/重新选择和公共陆地移动网络(PLMN)选择。在无线接入网(例如，网络接入节点)中可能不存在用于该客户端设备的上下文。此外，可能不存在S1-MME并且不存在S1-U连接用于空闲状态下的客户端设备。

在连接状态下，在MME中知道具有服务接入网标识符(例如，eNB标识符(ID)、基站ID或者网络接入点ID)的精度的客户端设备的位置。客户端设备的移动性是由切换过程来处理的。此外，在客户端设备与MME之间存在信令连接。该信令连接可以由两部分组成：无线资源控制(RRC)连接和S1-MME连接。

图4是示出了在网络400中的各个实体处维持的客户端设备的示例性网络状态的图。如图4中示出的，网络400包括客户端设备402、网络接入节点404和演进型分组核心(EPC)406。如图4中进一步示出的，EPC 406包括归属用户服务器(HSS)412、移动性管理实体(MME)408和分组数据网络网关(P-GW)/服务网关(S-GW)410。在本公开内容的方面中，网络400可以是4G网络。在其它方面中，网络400可以是3G网络、LTE网络、5G网络或者其它适当的网络。

例如，参考图4，当客户端设备402处于连接状态时，网络接入节点404可以维持用于客户端设备402的上下文414(其还被称为网络状态信息)。当客户端设备402处于连接状态时，MME 408可以维持用于客户端设备402的上下文416，以及当客户端设备402处于空闲状态时，维持用于客户端设备402的上下文418。当客户端设备402处于连接状态时，P-GW/S-GW 410可以维持用于客户端设备402的上下文426，以及当客户端设备402处于空闲状态时，维持用于客户端设备402的上下文428。当客户端设备402处于连接状态时，HSS 412可以维持用于客户端设备402的上下文420，当客户端设备402处于空闲状态时，维持用于客户端设备402的上下文422，以及当客户端设备402处于注销状态时，维持用于客户端设备402的上下文424。在本公开内容的方面中，如果网络400被实现为3G网络，则当客户端设备402处于空闲状态时，P-GW/S-GW 410可以不维持用于客户端设备402的上下文。

在本公开内容的方面中，可以为诸如图1中的IoTF-C 106和IoTF-U 108之类的网络功能单元生成加密的客户端设备上下文，以实现用于客户端设备的上下文(其还被称为客户端设备上下文)的机会性重建。例如，在维持针对该客户端设备的最小网络状态信息，甚至不维持网络状态信息时，加密的客户端设备上下文可以使得网络实体能够重建客户端设备上下文。因此，加密的客户端设备上下文可以使得网络实体能够在无需存储或者缓存任何网络状态信息的情况下，重建客户端设备上下文。应当注意到的是，在潜在地存在不频繁地发送业务的数十亿的客户端设备的情况下，不期望网络功能单元(例如，MME 408、P-GW/S-GW 410)维持用于客户端设备的上下文(其包括安全上下文)。此外，加密的客户端设备上下文可以消除切换期间或者从空闲模式到连接模式的转换期间，网络接入节点(例如，eNB、基站或者网络接入点)处的信令开销。由于可以避免与MME/控制器的通信，所以使用加密的客户端设备上下文可以大量地减少或者消除信令开销。

用户平面加密的客户端设备上下文

在本公开内容的方面中，可以为客户端设备生成用户平面(UP)加密的客户端设备上下文。例如，参考图1，可以在IoTF-U 108处使用用户平面加密的客户端设备上下文，来进行上行链路(UL)数据传输。在本公开内容的方面中，用户平面加密的客户端设备上下文可以包括：承载ID、演进型分组系统(EPS)承载服务质量(QoS)、用于用户平面通用分组无线服务(GPRS)隧道协议(GTP-U)的S5隧道端点标识符(TEID)、IoTF-U108将UL数据转发到的P-GW互联网协议(IP)地址(或者等同信息)、和/或安全上下文(例如，选择的加密算法和用户平面(UP)密钥128)。在其它方面中，用户平面加密的客户端设备上下文可以包括：可以由网络为了向该客户端设备提供服务需要的其它参数、值、设置或者特征。在一个示例中，UP密钥128可以是密钥K_UP 214，根据该密钥K_UP 214，可以推导出密钥K_IoT-UPenc 216和密钥K_IoT-UPint218。可以通过使用IoTF-U 108的秘密密钥(例如，图3中示出的密钥K_CDC-IoTF-U 306)，对用于客户端设备的用户平面上下文进行加密，来生成该用户平面加密的客户端设备上下文。在本公开内容的方面中，IoTF-U 108的秘密密钥(例如，密钥K_CDC-IoTF-U 306)可以是由IoTF-C106供应的。该用户平面加密的客户端设备上下文可以是由具有该秘密密钥(例如，密钥K_CDC-IoTF-U 306)的IoTF解密的。因此，用户平面加密的客户端设备上下文可以是由生成该用户平面加密的客户端设备上下文的IoTF解密的。

控制平面加密的客户端设备上下文

可以通过对用于控制消息(例如，控制分组或者包括控制分组的消息)的控制平面客户端设备上下文进行加密，来生成控制平面(CP)加密的客户端设备上下文。在方面中，控制平面加密的客户端设备上下文可以包括：客户端设备标识符、客户端设备安全上下文(例如，诸如密钥K_IoT(K_ASME等同物)、密钥K_IoT-CPenc 210、密钥K_IoT-CPint 212之类的控制平面密钥)、客户端设备安全能力(例如，演进型分组系统加密算法(EEA)、演进型分组系统完整性算法(EIA))和/或下一跳(S5/S8)配置信息。例如，下一跳配置信息可以包括IoT服务器地址、P-GW地址和/或TEID。例如，参考图1，可以利用IoTF-C 106的秘密密钥(例如，图3中示出的密钥K_CDC-IoTF-C 304)，对用于控制消息的控制平面客户端设备上下文进行加密。该控制平面加密的客户端设备上下文可以是由具有该秘密密钥(例如，密钥K_CDC-IoTF-C 304)的IoTF解密的。因此，加密的客户端设备上下文可以是由生成该控制平面加密的客户端设备上下文的IoTF解密的。

加密的网络可达性上下文

可以(例如，由IoTF)对用于客户端设备的网络可达性上下文(NRC)进行加密，以生成加密的网络可达性上下文，用于至该客户端设备的下行链路(DL)传输。该加密的网络可达性上下文使得IoTF(例如，IoTF-C 106、IoTF-U 108)能够在客户端设备变成空闲时，去除客户端设备上下文。例如，参考图1，可以将该加密的网络可达性上下文提供给期望与客户端设备102进行通信的IoT服务器122或者P-GW 124。因此，在该示例中，IoT网络架构100不需要维持针对该客户端设备102的网络状态信息，或者可以减少针对该客户端设备102维持的网络状态信息的量。当IoT服务器122或者P-GW 124向客户端设备102发送DL数据分组时，其可以提供该加密的网络可达性上下文，以允许IoT网络架构100中的一个或多个节点或者实体(例如，网络接入节点104)重新构建该网络可达性上下文。

加密的网络可达性上下文可以包括下列特征中的一个或多个特征。在本公开内容的方面中，加密的网络可达性上下文可以通过包括以下各项来提供移动性特征：用于取回客户端设备102的网络侧网络状态信息的标识符、用于确定在哪儿对客户端设备102进行寻呼的跟踪区域ID(TAI)列表或者等同物、以及定时信息(例如，用于确定何时对客户端设备102进行寻呼)。在本公开内容的方面中，加密的网络可达性上下文可以实现上下文再定位过程，例如，跟踪区域更新(TAU)和可选地获得新的加密的网络可达性上下文和ID。在本公开内容的方面中，加密的网络可达性上下文可以包括延伸到安全之外的信息，并且可以指示如何对安全上下文进行管理。

在本公开内容的方面中，IoTF-C 106向服务网络110中的一个或多个实体(例如，IoT服务器122或者P-GW 124)提供信息(例如，TAI列表)。然后，服务网络110中的这样的一个或多个实体可以向IoT网络架构100中的其它实体发送该加密的网络可达性上下文，以重新建立用于该客户端设备102的上下文。该加密的网络可达性上下文可以被实现用于网络发起的业务。但是，在涉及客户端设备发起的业务或者网络发起的业务的一些方面中，IoTF105可以维持非常有限的用于客户端设备102的网络状态信息，甚至不维持用于客户端设备102的网络状态信息。在本公开内容的方面中，IoTF-C 106可以依据至少TAI列表来提供客户端设备102的位置，其中该TAI列表可以是网络可达性上下文的一部分。

初始附着过程

图5是示出了根据本公开内容的各个方面的IoT网络架构500中的客户端设备的初始附着过程的框图。在一些方面中，如本文描述的附着过程还被称为网络附着过程或者注册过程。

如图5中示出的，IoT网络架构500包括客户端设备502(其还被称为IoT设备)、网络接入节点504(例如，eNB、基站、网络接入点)、网络设备505、服务网络510和归属用户服务器(HSS)/认证、授权和计费(AAA)服务器512。在一个方面中，网络设备505可以包括被配置为实现IoTF的一个或多个处理电路和/或其它适当的硬件。例如，IoTF可以包括控制平面IoT功能单元(IoTF-C)506和用户平面IoT功能单元(IoTF-U)508。在这样的方面中，IoTF-C 506可以被实现在第一网络节点507处，以及IoTF-U508可以被实现在第二网络节点509处。在一个方面中，IoTF-C 506和IoTF-U 508可以被实现在同一个硬件平台处，使得IoTF-C 506和IoTF-U 508均表示架构500中的独立的节点。在这样的方面中，例如，IoTF-C 506可以被实现在硬件平台(例如，网络设备505)上提供的第一虚拟机(例如，第一操作系统)处，以及IoTF-U 508可以被实现在该硬件平台上提供的第二虚拟机(例如，第二操作系统)处。

如图5中示出的，IoTF-C 506经由第一S1连接516，与网络接入节点504相通信，以及IoTF-U 508经由第二S1连接514，与网络接入节点504相通信。在本公开内容的方面中，服务网络510可以包括被配置为提供各种类型的服务的多个实体、功能单元、网关和/或服务器。例如，服务网络510可以包括短消息实体(SME)518、机器类型通信互通功能单元(MTC-IWF)520、IoT服务器522和/或分组数据网络(PDN)网关(P-GW)524。应当理解的是，图5中公开的服务网络510充当一个示例，而在其它方面中，与图5中公开的那些相比，服务网络510可以包括不同类型的实体、功能单元和/或服务器。

如图5中示出的，客户端设备502可以向网络发送附着请求532，其中所述附着请求532可以是由网络接入节点504接收的。在本公开内容的方面中，附着请求532可以指示客户端设备502要作为IoT设备附着(例如，或者指示执行小量(减少的)数据传送的请求，或者指示该客户端设备正在低功耗模式下操作)，并且可以指示应当从其取回认证信息的归属域(例如，HPLMN ID或者完全限定域名(FQDN))。网络接入节点504可以将该请求转发给其所属于的IoTF-C 506。

IoTF-C 506可以根据由客户端设备502提供的归属域信息来确定HSS/AAA服务器512的地址，并且可以向HSS/AAA服务器512发送针对该客户端设备502的认证信息的请求534。IoTF-C 506可以从HSS/AAA服务器512接收该认证信息535。

IoTF-C 506可以执行与客户端设备502的相互认证(例如，AKA过程)。在AKA过程期间，IoTF-C 506可以通过认证信息535，从HSS/AAA服务器512接收AV。例如，这些AV可以包含来自接入安全管理实体(ASME)的密钥(在图2中被示作密钥K_ASME 206)。例如，IoTF-C 506可以通过信号536，向客户端设备502提供密钥K_ASME 206。当AKA过程被完成时，IoTF-C 506和客户端设备502可以根据密钥K_ASME 206或者根据密钥K_IoT202，推导诸如密钥K_CP 208、密钥K_IoT-CPenc 210和/或密钥K_IoT-CPint 212之类的CP密钥526，并且可以推导诸如密钥K_UP 214、密钥K_IoT-UPenc 216和/或密钥K_IoT-UPint 218之类的UP密钥528。在一些方面中，IoTF-C 506可以经由消息538，向IoTF-U 508传送密钥K_UP 214和用户平面加密和完整性保护密钥，例如，密钥K_IoT-UPenc 216和密钥K_IoT-UPint 218。

在本公开内容的方面中，IoTF-C 506可以通过使用上下文密钥530对客户端设备上下文进行加密，来生成用于客户端设备502的一个或多个加密的客户端设备上下文。然后，IoTF-C 506可以向客户端设备502发送所述一个或多个加密的客户端设备上下文。例如，IoTF-C 506可以生成用于控制平面的加密的客户端设备上下文和用于用户平面的加密的客户端设备上下文。在这样的示例中，上下文密钥530可以包括：用于生成用于控制平面的加密的客户端设备上下文的第一上下文密钥(例如，密钥K_CDC-IoTF-C304)，以及用于生成用于用户平面的加密的客户端设备上下文的第二上下文密钥(例如，密钥K_CDC-IoTF-U 306)。在本公开内容的方面中，IoTF-C 506可以向IoTF-U 508提供上下文密钥530中的一个或多个上下文秘钥。例如，IoTF-C 506可以经由消息538，向IoTF-U 508发送用于生成用于用户平面的加密的客户端设备上下文的第二上下文密钥(例如，密钥K_CDC-IoTF-U 306)。因此，在一些方面中，IoTF-U 508可以包括由IoTF-C 506提供的上下文密钥531。

在本公开内容的方面中，IoTF-C 506可以使用上下文密钥530对网络可达性上下文进行加密，来生成一个或多个加密的网络可达性上下文，以便向客户端设备502发送下行链路(DL)业务。然后，IoTF-C 506可以向诸如IoT服务器522或者P-GW 524之类的网络实体发送所述一个或多个加密的网络可达性上下文。本文详细地讨论了用于生成一个或多个加密的网络可达性上下文的示例性方法。IoTF-C 506可以经由消息538，向IoTF-U508发送密钥K_UP 214、用户平面加密和完整性保护密钥(例如，密钥K_IoT-UPenc216和密钥K_IoT-UPint 218)、以及用于用户平面的网络可达性上下文(NRC)加密密钥(例如，密钥K_NRC-IoTF-U 312)。因此，在一些方面中，IoTF-U 508可以包括由IoTF-C 506提供的上下文密钥531(例如，密钥K_NRC-IoTF-U 312)。

图6是根据本公开内容的各个方面的IoT网络架构(例如，IoT网络架构100、500)中的客户端设备的示例性附着过程的信号流程图600。如图6中示出的，信号流程图600包括客户端设备602(其还被称为IoT设备)、网络接入节点604(例如，eNB、基站或者网络接入点)、在网络节点605处实现的IoTF-C 606、在网络节点607处实现的IoTF-U 608、服务网络609和归属用户服务器(HSS)610。如图6中示出的，客户端设备602可以向网络接入节点604发送请求612(例如，RRC连接请求)，以便与网络进行通信。客户端设备602可以接收RRC连接建立消息614，所述RRC连接建立消息614可以包括信令无线承载(SRB)配置(例如，用于通过专用控制信道(DCCH)发送NAS消息的SRB1配置)。客户端设备602可以向网络接入节点604发送RRC连接建立完成消息616。例如，RRC连接建立完成消息616可以指示附着请求。网络接入节点604可以向IoTF-C 606发送初始客户端设备消息618。IoTF-C 606可以根据由客户端设备602提供的归属域信息来确定HSS服务器610的地址，并且可以与HSS 610进行通信621。例如，IoTF-C 606可以向HSS服务器610发送针对客户端设备602的认证信息的请求，并且可以从HSS服务器610接收该认证信息。

如图6中示出的，IoTF-C 606可以执行与客户端设备602的相互认证，例如，AKA过程620。当AKA过程620被完成时，IoTF-C 606和客户端设备602可以根据密钥K_ASME 206或者根据密钥K_IoT 202，推导诸如密钥K_IoT-CPenc 210和/或密钥K_IoT-CPint 212之类的控制平面密钥。IoTF-C 606和客户端设备602还可以根据密钥K_ASME 206或者根据密钥K_IoT 202，推导诸如密钥K_IoT-UPenc 216和/或密钥K_IoT-UPint 218之类的用户平面密钥。在本公开内容的方面中，IoTF-C 606可以通过使用密钥K_CDC-IoTF-C 304对用于客户端设备602的控制平面上下文进行加密，来生成控制平面加密的客户端设备上下文，和/或可以通过使用密钥K_CDC-IoTF-U 306对用于客户端设备602的用户平面上下文进行加密，来生成用户平面加密的客户端设备上下文。IoTF-C606可以经由消息622，向IoTF-U 608传送一个或多个密钥(例如，诸如密钥K_IoT-UPenc 216和/或密钥K_IoT-UPint 218和/或密钥K_CDC-IoTF-U 306之类的用户平面密钥)。

IoTF-C 606可以向客户端设备602发送具有加密的客户端设备上下文(例如，控制平面加密的客户端设备上下文和/或用户平面加密的客户端设备上下文)的初始上下文建立请求消息624。因此，加密的客户端设备上下文可以包括与IoTF的IoTF-C 606和/或IoTF-U 608相关联的客户端设备上下文，其中该客户端设备上下文可以被用于客户端设备602的上行链路数据传输。在本公开内容的方面中，加密密钥仅仅对于IoTF已知(例如，可以由IoTF的IoTF-C 606和/或IoTF-U 608唯一地取回客户端设备安全上下文)。因此，在这样的方面中，加密密钥可以是K_CDC-IoTF-U 306，所述K_CDC-IoTF-U306对于IoTF 606之外的网络实体(例如，网络接入节点604或者客户端设备602)可以是未知的。在本公开内容的方面中，每个加密的客户端设备上下文与一个数据无线承载(DRB)相对应。

在本公开内容的方面中，IoTF-C 606可以向服务网络609发送包括加密的网络可达性上下文的消息625。在本公开内容的方面中，IoTF-C 606可以通过使用密钥K_NRC-IoTF-C310对用于客户端设备602的控制平面上下文进行加密，来生成控制平面(CP)加密的网络可达性上下文，和/或可以通过使用密钥K_NRC-IoTF-U 312对用于客户端设备602的用户平面上下文进行加密，来生成用户平面(UP)加密的网络可达性上下文。因此，在一个示例中，IoTF-C606可以向服务网络609发送包括加密的网络可达性上下文(例如，CP加密的网络可达性上下文和/或UP加密的网络可达性上下文)的消息625。因此，该加密的网络可达性上下文可以包括与IoTF的IoTF-C 606和/或IoTF-U 608相关联的客户端设备上下文(例如，网络状态信息)，其中这样的客户端设备上下文可以被用于从网络(例如，从服务网络609中的实体)到客户端设备602的下行链路(DL)数据传输。在本公开内容的方面中，该加密密钥仅仅对于IoTF是已知的(例如，可以由IoTF的IoTF-C606和/或IoTF-U 608唯一地取回)。在本公开内容的方面中，IoTF-C 608可以向网络实体(例如，服务网络609中的IoT服务器或者P-GW)分配加密的网络可达性上下文。

网络接入节点604可以向客户端设备602发送RRC连接重新配置消息626。在本公开内容的方面中，RRC连接重新配置消息626可以包括加密的客户端设备上下文。客户端设备602可以向网络接入节点604发送RRC连接重新配置完成消息628。客户端设备602可以向网络接入节点604发送包括数据分组(例如，UL数据分组)的第一消息630。网络接入节点604可以经由第二消息632，将该数据分组转发给服务网络609。服务网络609可以向客户端设备602发送包括数据分组(例如，DL数据分组)的第三消息634。例如，并且如图6中示出的，第三消息634可以是由IoTF-U 608和网络接入节点604转发给客户端设备602的。然后，客户端设备602可以转换636到空闲模式。网络接入节点604、IoTF-C 606和IoTF-U 608可以继续进行以去除638该客户端设备上下文。

IoT UL数据传送

图7是示出了根据本公开内容的各个方面的由IoT网络架构700中的客户端设备发起的数据传输的框图。如图7中示出的，IoT网络架构700包括客户端设备702(其还被称为IoT设备)、网络接入节点704(例如，eNB、基站、网络接入点)、网络设备705、服务网络710和归属用户服务器(HSS)/认证、授权和计费(AAA)服务器712。在一个方面中，网络设备705可以包括被配置为实现IoTF的一个或多个处理电路和/或其它适当的硬件。例如，IoTF可以包括控制平面IoT功能单元(IoTF-C)706和用户平面IoT功能单元(IoTF-U)708。在这样的方面中，IoTF-C 706可以被实现在网络节点707处，以及IoTF-U 708可以被实现在网络节点709处。在一个方面中，IoTF-C 706和IoTF-U 708可以被实现在同一个硬件平台处，使得IoTF-C706和IoTF-U 708均表示架构700中的独立的节点。在这样的方面中，例如，IoTF-C 706可以被实现在硬件平台(例如，网络设备705)上提供的第一虚拟机(例如，第一操作系统)处，以及IoTF-U 708可以被实现在该硬件平台上提供的第二虚拟机(例如，第二操作系统)处。

在本公开内容的方面中，服务网络710可以包括被配置为提供各种类型的服务的多个实体、功能单元、网关和/或服务器。例如，服务网络710可以包括短消息实体(SME)718、机器类型通信互通功能单元(MTC-IWF)720、IoT服务器722和/或分组数据网络(PDN)网关(P-GW)724。应当理解的是，图7中公开的服务网络710充当一个示例，而在其它方面中，与图7中公开的那些相比，服务网络710可以包括不同类型的实体、功能单元和/或服务器。

在图7的方面中，IoTF-C 706可能已经生成用于控制平面的加密的客户端设备上下文和用于用户平面的加密的客户端设备上下文。在这样的方面中，上下文密钥730可以包括：用于生成用于控制平面的加密的客户端设备上下文的第一上下文密钥(例如，密钥K_CDC-IoTF-C 304)和用于生成用于用户平面的加密的客户端设备上下文的第二上下文密钥(例如，密钥K_CDC-IoTF-U 306)。例如，IoTF-C 706可能已经向IoTF-U 708发送用于生成用于用户平面的加密的客户端设备上下文的第二上下文密钥(例如，密钥K_CDC-IoTF-U 306)。因此，在这样的示例中，如图7中示出的，IoTF-U 708可以包括由IoTF-C 706提供的上下文密钥731。在图7的该方面中，客户端设备702以先前讨论的方式，已经推导出CP密钥726和UP密钥728。

在图7的该方面中，IoTF-C 706可能已经生成用于控制平面的加密的网络可达性上下文和用于用户平面的加密的网络可达性上下文。在这样的方面中，上下文密钥730可以包括：用于生成用于控制平面的加密的网络可达性上下文的第一上下文密钥(例如，密钥K_NRC-IoTF-C 310)和用于生成用于用户平面的加密的网络可达性上下文的第二上下文密钥(例如，密钥K_NRC-IoTF-U 312)。例如，IoTF-C 706可能已经向IoTF-U 708发送用于生成用于用户平面的加密的网络可达性上下文的第二上下文密钥(例如，密钥K_NRC-IoTF-U 312)。因此，如图7中示出的，在这样的示例中，IoTF-U 708可以包括由IoTF-C 706提供的上下文密钥731。

如图7中示出的，客户端设备702可以向网络接入节点704发送第一消息732，其中所述第一消息732包括数据分组和由IoTF-C 706提供的加密的客户端设备上下文。第一消息732中的数据分组可以是基于用户平面(UP)密钥728来进行加密和完整性保护的。网络接入节点704可以根据数据分组中的IoTF-U标识符来确定IoTF-U 708的地址，并且可以经由第二消息734将该数据分组转发给IoTF-U 708。在方面中，网络接入节点704可以在无需对分组进行验证的情况下，将该数据分组转发给由客户端设备702指示的下一跳节点(例如，IoTF-U 708)。IoTF-U 708可以对加密的客户端设备上下文进行验证，并且可以使用上下文密钥731(例如，用于生成用于用户平面的加密的客户端设备上下文的密钥K_CDC-IoTF-U 306)对该加密的客户端设备上下文进行解密。IoTF-U 708可以基于解密后的信息来重新构建客户端设备上下文。然后，IoTF-U 708可以利用加密和完整性密钥(例如，UP密钥728)，对该数据分组进行解密和验证。在本公开内容的方面中，IoTF-U 708可以基于客户端设备702的上下文(例如，网络状态信息)来生成加密的网络可达性上下文。IoTF-U 708可以利用加密的网络可达性上下文，经由第三消息736，将数据分组转发给下一跳(例如，IoT服务器722或者P-GW 724)。在本公开内容的方面中，紧跟着附着过程的客户端设备702的初始数据传送，可以不携带加密的客户端设备上下文。

图8是示出了根据本公开内容的各个方面的由IoT网络架构(例如，IoT网络架构700)中的客户端设备发起的示例性数据传输的信号流程图800。如图8中示出的，信号流程图800包括客户端设备802(其还被称为IoT设备)、网络接入节点804(例如，eNB、基站或者网络接入点)、在网络节点805处实现的IoTF-U 806和服务网络808。客户端设备802可以向网络接入节点804发送数据传送请求消息810，所述数据传送请求消息810包括加密的客户端设备上下文和数据分组(例如，UL数据分组)。该数据分组可以是基于先前讨论的用户平面密钥(例如，密钥K_IoT-UPenc 216和/或密钥K_IoT-UPint218)来进行加密和完整性保护的。在方面中，数据传送请求消息810可以是由客户端设备802在不与网络接入节点804建立RRC连接的情况下发送的。在接收到数据传送请求消息810时，网络接入节点804可以为客户端设备802分配812临时标识符(TID)，用于潜在的下行链路(DL)业务。例如，该TID可以是小区无线网络临时标识符(C-RNTI)。网络接入节点804可以确定被包括在数据分组的报头中的IoTF-U标识符。本文参考图12讨论包括这样的报头的数据分组的示例性格式。网络接入节点804可以确定IoTF-U 806的IP地址，并且可以经由第一消息814，将数据分组转发给IoTF-U 806。例如，作为操作和维护(OAM)过程的一部分，网络接入节点804可以被配置有一组IoTF-U标识符和相应的IP地址，或者替代地，网络接入节点804可以基于IoTF-U ID，使用域名系统(DNS)查询来确定IoTF-U 806的IP地址。在本公开内容的方面中，并且如图8中示出的，网络接入节点804可以将TID和加密的客户端设备上下文连同数据分组一起包括在第一消息814中。在本公开内容的方面中，TID被存储在网络接入节点804处达预先规定的时间间隔。在这样的方面中，网络接入节点804可以用第一消息814，将TID到期时间连同TID一起发送给IoTF-U 806。IoTF-U 806可以对加密的客户端设备上下文进行解密，并且可以重新构建816客户端设备上下文(例如，S5承载)。在方面中，然后，IoTF-U 806可以利用加密和完整性密钥(例如，UP密钥728)，对数据分组进行解密和验证。

IoTF-U 806可以经由第二消息818，将数据分组转发给服务网络808(例如，服务网络808中的P-GW或者服务网络808中的其它实体)。响应于该上行链路数据(例如，第二消息818中的UL数据分组)，IoTF-U 806可以经由第三消息820，从服务网络808(例如，服务网络808中的P-GW或者服务网络808中的相应的实体)接收数据分组(例如，DL数据分组)。IoTF-U806可以确定与客户端设备802相关联的一个或多个密钥(例如，用户平面密钥728)。例如，IoTF-U 806可以利用与客户端设备802相关联的密钥K_IoT-UPenc 216和/或密钥K_IoT-UPint 218，对针对该客户端设备的数据分组进行加密和完整性保护。IoTF-U 806可以用第四消息822，向网络接入节点804发送所接收的数据分组与TID。网络接入节点804可以使用TID来识别客户端设备802，并且可以用第五消息824向客户端设备802发送数据分组。客户端设备802可以基于预先配置的定时器，转换826到空闲模式。网络接入节点804和IoTF-U 806可以继续进行以去除828客户端设备上下文，所述客户端设备上下文是根据加密的客户端设备上下文在运行中生成的。

客户端设备终止的数据传送

图9是根据本公开内容的各个方面的在IoT网络架构(例如，IoT网络架构100)中，示例性客户端设备终止数据传输的信号流程图900。如图9中示出的，信号流程图900包括客户端设备902(其还被称为IoT设备)、网络接入节点904(例如，eNB、基站、网络接入点)、在网络节点905处实现的IoTF-C 906和在网络节点907处实现的IoTF-U 908、P-GW 910和IoT服务器912。

IoT服务器912可以向P-GW 910发送包括DL数据分组、全球IoTF标识符(GIOTFI)和加密的网络可达性上下文(NRC)的下行链路(DL)消息914。P-GW 910可以基于GIOTFI来定位IoTF-U 908，并且可以用转发消息916，将DL数据分组转发给IoTF-U 908。在本公开内容的方面中，IoTF-U 908可以对该加密的网络可达性上下文进行验证。如图9中示出的，IoTF-U908可以重新构建917用于客户端设备902的上下文。例如，IoTF-U908可以通过使用被存储在IoTF-U 908处的上下文密钥(例如，密钥K_NRC-IoTF-U 312)对加密的网络可达性上下文进行解密，来重新构建用于客户端设备902的上下文。

IoTF-U 908可以向IoTF-C 906发送DL数据通知消息918。在本公开内容的方面中，如果DL数据分组足够小以至于能够被携带在寻呼消息中，则DL数据通知消息918可以包括该DL数据分组。IoTF-C 906可以向一个或多个网络接入节点(例如，网络接入节点904)发送寻呼消息920。然后，网络接入节点904可以通过发送寻呼消息922，来寻呼客户端设备902。

客户端设备902可以向IoTF-U 908发送包括UL数据分组的RRC连接请求消息924。在本公开内容的方面中，由客户端设备902发送的UL数据分组可以是空的。网络接入节点904可以为客户端设备902分配926临时标识符(TID)，用于潜在的下行链路(DL)业务。例如，该TID可以是小区无线网络临时标识符(C-RNTI)。然后，网络接入节点904可以用转发消息928，将UL数据分组与TID和加密的客户端设备上下文转发给IoTF-U908。IoTF-U 908可以存储930TID和网络接入节点904的ID。

IoTF-U 908可以向IoTF-C 906发送客户端设备响应通知消息932。在本公开内容的方面中，如果IoTF-U 908不能够将DL数据分组包括在DL数据通知消息918中，则IoTF-U908可以向客户端设备902发送包括DL数据分组和客户端设备902的TID的消息934。网络接入节点904可以用转发消息936，将该DL数据分组转发给客户端设备902。然后，客户端设备902可以转换938到空闲模式。网络接入节点904和IoTF-C 906可以去除940该客户端设备上下文。

控制平面协议栈

图10是示出了根据本公开内容的各个方面的用于IoT数据传输的控制平面协议栈1000的图。如图10中示出的，协议栈1000可以包括客户端设备协议栈1002(其还被称为IoT设备协议栈)、网络接入节点协议栈1004、在网络节点1005处实现的IoTF协议栈1006、以及服务网络协议栈1008。例如，网络接入节点协议栈1004可以在eNB、基站或者网络接入点中实现。作为另一示例，服务网络协议栈1008可以在P-GW中实现。如图10中示出的，客户端设备协议栈1002可以包括物理(PHY)层1010、介质访问控制(MAC)层1012、无线链路控制(RLC)层1014、分组数据汇聚协议(PDCP)层1016和控制(Ctrl)层1020。如图10中进一步示出的，客户端设备协议栈1002可以实现上下文协议层1018，用于传送控制平面加密的客户端设备上下文(在图10中被缩写为“CDC_CP”)。上下文协议层1018还可以实现用于指示加密的客户端设备上下文的存在的IoTF ID(IID)和/或安全报头(在图10中被缩写为“Sec”)的通信。

如图10中示出的，网络接入节点协议栈1004可以包括PHY层1022、MAC层1024、RLC层1026和PDCP层1028，它们分别与客户端设备协议栈1002的PHY层1010、MAC层1012、RLC层1014和PDCP层1016相连接。网络接入节点协议栈1004还可以包括以太网层1030、MAC层1032、互联网协议(IP)层1034、用户数据报协议(UDP)层1036和控制平面GPRS隧道协议(GTP-C)层1038。

如图10中示出的，IoTF协议栈1006可以包括以太网层1040、MAC层1042、IP层1044、UDP层1046、GTP-C层1048和控制(Ctrl)层1052。如图10中进一步示出的，IoTF协议栈1006可以实现上下文协议层1050，用于传送控制平面加密的客户端设备上下文(在图10中被缩写为“CDC_CP”)。上下文协议层1050还可以实现用于指示加密的客户端设备上下文的存在的IoTF ID(IID)和/或安全报头(在图10中被缩写为“Sec”)的通信。如图10中示出的，客户端设备协议栈1002的上下文协议层1018与IoTF协议栈1006的上下文协议层1050相通信。在方面中，可以根据参考图12描述的示例性分组格式，将加密的客户端设备上下文携带在UP消息之外的分组报头中。如图10中进一步示出的，IoTF协议栈1006还可以实现上下文协议层1049，用于传送控制平面加密的网络可达性上下文(在图10中被缩写为“NRC_CP”)。上下文协议层1049还可以实现用于指示加密的网络可达性上下文的存在的IoTF ID(IID)和/或安全报头(在图10中被缩写为“Sec”)的通信。

服务网络协议栈1008可以包括IP层1054、UDP层1056、GTP-C层1058和Ctrl层1062，它们分别与IoTF协议栈1006的IP层1044、UDP层1046、GTP-C层1048和Ctrl层1052相连接。如图10中进一步示出的，服务网络协议栈1008可以实现上下文协议层1059，用于传送控制平面加密的网络可达性上下文(在图10中被缩写为“NRC_CP”)。上下文协议层1059还可以实现用于指示加密的网络可达性上下文的存在的IoTF ID(IID)和/或安全报头(在图10中被缩写为“Sec”)的通信。如图10中示出的，服务网络协议栈1008的上下文协议层1059与IoTF协议栈1006的上下文协议层1049相通信。在本公开内容的方面中，可以根据参考图13描述的示例性分组格式，将加密的网络可达性上下文携带在用户平面消息之外的分组报头中。在本公开内容的方面中，如果将网络架构实现为GSM EDGE无线接入网(GERAN)，则可以使用与IP协议1066不同的协议。在本公开内容的方面中，可以省略由区域1064和1068指示的GTP-C和UDP协议。

用户平面协议栈

图11是示出了根据本公开内容的各个方面的用于IoT数据传输的用户平面协议栈1100的图。如图11中示出的，协议栈1100可以包括客户端设备协议栈1102(其还被称为IoT设备协议栈)、网络接入节点协议栈1104、在网络节点1105处实现的IoTF协议栈1106、以及服务网络协议栈1108。例如，网络接入节点协议栈1104可以在eNB、基站或者网络接入点中实现。作为另一示例，服务网络协议栈1108可以在P-GW中实现。如图11中示出的，客户端设备协议栈1102可以包括物理(PHY)层1110、介质访问控制(MAC)层1112、无线链路控制(RLC)层1114、分组数据汇聚协议(PDCP)层1116和用户平面(UP)层1120。如图11中进一步示出的，客户端设备协议栈1102可以实现上下文协议层1118，用于传送用户平面加密的客户端设备上下文(在图11中被缩写为“CDC_UP”)。上下文协议层1118还可以实现用于指示加密的客户端设备上下文的存在的IoTF ID(IID)和/或安全报头(在图101中被缩写为“Sec”)的通信。

如图11中示出的，网络接入节点协议栈1104可以包括PHY层1122、MAC层1124、RLC层1126和PDCP层1128，它们分别与客户端设备协议栈1102的PHY层1110、MAC层1112、RLC层1114和PDCP层1116相连接。网络接入节点协议栈1104还可以包括以太网层1130、MAC层1132、互联网协议(IP)层1134、用户数据报协议(UDP)层1136和用户平面GPRS隧道协议(GTP-U)层1138。

如图11中示出的，IoTF协议栈1106可以包括以太网层1140、MAC层1142、IP层1144、UDP层1146和GTP-U层1148。如图11中进一步示出的，IoTF协议栈1106可以实现上下文协议层1150，用于传送用户平面加密的客户端设备上下文(在图11中被缩写为“CDC_UP”)。上下文协议层1150还可以实现用于指示加密的客户端设备上下文的IoTF ID(IID)和/或安全报头(在图11中被缩写为“Sec”)的通信。如图11中示出的，客户端设备协议栈1102的上下文协议层1118与IoTF协议栈1106的上下文协议层1150相通信。在方面中，可以根据参考图12描述的示例性分组格式，将用户平面加密的客户端设备上下文携带在UP消息之外的分组报头中。如图11中进一步示出的，IoTF协议栈1106还可以实现上下文协议层1149，用于传送用户平面加密的网络可达性上下文(在图11中被缩写为“NRC_UP”)。上下文协议层1149还可以实现用于指示加密的网络可达性上下文的存在的IoTF ID(IID)和/或安全报头(在图11中被缩写为“Sec”)的通信。

服务网络协议栈1108可以包括IP层1154、UDP层1156、GTP-U层1158和UP层1162，它们分别与IoTF协议栈1106的IP层1144、UDP层1146、GTP-U层1148和UP层1152相连接。服务网络协议栈1108可以实现上下文协议层1159，用于传送用户平面加密的网络可达性上下文(在图11中被缩写为“NRC_UP”)。如图11中示出的，服务网络协议栈1108的上下文协议层1159与IoTF协议栈1106的上下文协议层1149相通信。在本公开内容的方面中，可以根据参考图11描述的示例性分组格式，将用户平面加密的网络可达性上下文携带在UP消息之外的分组报头中。在本公开内容的方面中，如果将网络架构实现为GSM EDGE无线接入网(GERAN)，则可以使用与IP协议1166不同的协议。在本公开内容的方面中，可以省略由区域1164和1168指示的GTP-U和UDP协议。在本公开内容的方面中，如果IP协议被用于UP消息传送，则可以在IP选项字段(IPv4)或者IP扩展报头(IPv6)中携带用户平面加密的网络可达性上下文。

IoT分组格式

图12是根据本公开内容的各个方面的用于IoT网络架构中的传输的分组格式1200的图。参考图12，网络接入节点(例如，eNB、基站或者网络接入点)可以使用临时标识符(TID)字段1202，来本地地识别客户端设备(其还被称为IoT设备)。例如，由网络接入节点为用于识别客户端设备的TID字段1202分配的值，可以是C-RNTI或者等同值。在本公开内容的方面中，IoTF ID(IID)字段1204可以包括全球唯一临时标识符(GUTI)。例如，该GUTI可以包括与IoTF相关联的标识符和与该客户端设备相关联的标识符(例如，诸如移动性管理实体(MME)临时移动用户标识(M-TMSI)之类的临时标识符)。例如，网络接入节点可以使用GUTI来识别IoTF，以及IoTF可以使用GUTI来识别客户端设备。在另一方面中，IID字段1204可以包括全球IoTF标识符(GIOTFI)和与客户端设备相关联的标识符(例如，诸如M-TMSI之类的临时标识符)。例如，GIOTFI可以是用于IoTF的全球唯一移动性管理实体标识符(GUMMEI)的等同物。在本公开内容的方面中，为了客户端设备的隐私，可以对M-TMSI进行加密。应当注意到的是，使用IoTF IP地址可能泄露网络拓扑。

安全报头字段1206可以指示加密的客户端设备上下文、控制平面(CP)/用户平面(UP)指示、序号、时间戳值和/或随机值的存在。例如，时间戳值可以是基于时间和计数器的，其中该时间是网络接入节点时间或者IoTF时间。客户端设备上下文字段1208可以包括加密的客户端设备上下文。应当注意到的是，如果使用时间戳而不是序号来进行加密，则IoTF可能不需要维持任何客户端设备网络状态。在方面中，随机值可以是基于随机数和计数器的。该随机值可以是由网络接入节点生成的、或者是由客户端设备生成的、或者是通过其组合来生成的。针对每个分组，可以对计数器递增某个值(例如，一)。如果使用随机值而不是序号来进行加密，则客户端设备可以基于安全上下文中的加密密钥和随机数来生成新的加密密钥。如果使用随机值而不是序号来进行完整性保护，则客户端设备可以基于安全上下文中的完整性保护密钥和随机数来生成新的完整性保护密钥，并且可以使用该新的完整性保护密钥来保护消息。有效载荷字段1210可以包括数据或者控制信息(例如，数据分组或者控制分组)。

消息认证码(MAC)字段1212可以被用于完整性保护。例如，MAC字段1212可以包括由发送设备或者实体生成的消息认证码。然后，接收设备或者实体可以使用MAC字段1212中的消息认证码来验证该消息的完整性尚未受到损害(例如，该消息的内容尚未被改变或者被操纵)。在一个方面中，可以在发送设备或者实体处通过应用消息认证码生成算法(例如，AEAD密码)，来生成MAC字段1212中的消息认证码，其中将消息(例如，分组)和用户平面密钥或者控制平面密钥用作该消息认证码生成算法的输入。该消息认证码生成算法的输出可以是被包括在MAC字段1212中的消息认证码。接收设备或者实体可以通过向所接收的消息应用消息认证码生成算法(例如，AEAD密码)，对该消息的完整性进行验证。例如，可以将所接收的消息(例如，分组)和用户平面密钥或者控制平面密钥用作该消息认证码生成算法的输入。然后，接收设备或者实体可以将该消息认证码生成算法的输出与被包括在MAC字段1212中的消息认证码进行比较。在这样的示例中，当该消息认证码生成算法的输出与被包括在MAC字段1212中的消息认证码相匹配时，接收设备或者实体可以确定已经对该消息进行了成功地验证。

图13是根据本公开内容的各个方面的用于IoT网络架构中的传输的分组格式1300的图。参考图13，网络接入节点(例如，eNB、基站或者网络接入点)可以使用临时标识符(TID)字段1302，来本地地识别客户端设备(其还被称为IoT设备)。例如，由网络接入节点为用于识别客户端设备的TID字段1302分配的值，可以是C-RNTI或者等同值。在本公开内容的方面中，IoTF ID(IID)字段1304可以包括全球唯一临时标识符(GUTI)或者全球IoTF标识符(GIOTFI)。例如，网络接入节点可以使用GUTI来识别IoTF，以及IoTF可以使用GUTI来识别客户端设备。例如，该GIOTFI可以是用于IoTF的全球唯一移动性管理实体标识符(GUMMEI)的等同物。在本公开内容的方面中，为了客户端设备的隐私，可以对移动性管理实体(MME)临时移动用户标识(M-TMSI)进行加密。应当注意到的是，使用IoTF IP地址可能泄露网络拓扑。安全报头字段1306可以指示加密的网络可达性上下文、CP/UP指示、序号和/或时间戳值的存在。例如，时间戳值可以是基于时间和计数器的，其中该时间是网络接入节点时间或者IoTF时间。网络可达性上下文字段1308可以包括加密的网络可达性上下文。有效载荷字段1310可以包括数据或者控制信息(例如，数据分组或者控制分组)。消息认证码(MAC)字段1312可以被用于完整性保护(例如，可以使用AEAD密码)。应当注意到的是，如果使用时间戳而不是序号来进行加密，则IoTF可能不需要维护客户端设备的任何网络状态信息。

加密的客户端设备上下文设计方案和生成

在本公开内容的方面中，该加密的客户端设备上下文可以包含在AKA过程期间建立的客户端设备上下文。例如，该客户端设备上下文可以包括安全上下文、承载ID、演进型分组系统(EPS)承载服务质量(QoS)和S5-TEID、和/或网络为了向客户端设备提供服务可能需要的其它服务、参数、值、设置或者特征。

在一些方面中，除了客户端设备上下文之外，该加密的客户端设备上下文可以包括一个或多个信息项。例如，该加密的客户端设备上下文可以包括由IoTF-C 106设置的(或者在客户端设备上下文中指示的)到期时间，其限制该加密的客户端设备上下文的使用期(例如，以防止永久性的再使用)。作为另一示例，该加密的客户端设备上下文可以具有密钥索引，所述密钥索引标识被用于生成该加密的客户端设备上下文的密钥。

在一些方面中，该加密的客户端设备上下文可以是使用仅仅对于网络中的实体已知的秘密密钥生成的，并且因此可能不被客户端设备解译和/或修改。例如，该加密的客户端设备上下文可以是通过使用IoTF-U(例如，IoTF-U 108)的秘密密钥对客户端设备上下文进行加密生成的。在一些方面中，该加密的客户端设备上下文可以是利用IoTF-U(例如，IoTF-U 108)的秘密密钥来进行完整性保护的，并且因此可以不被客户端设备操纵/修改。

在方面中，当成功完成认证和上下文(例如，承载)建立时，IoTF-C(例如，IoTF-C106)可以将该加密的客户端设备上下文提供给客户端设备(例如，客户端设备102)。在方面中，客户端设备可以将该加密的客户端设备上下文包括在一个或多个用户平面分组(例如，UL数据分组)中，以使得IoTF-U(例如，IoTF-U 108)能够在运行时重新构建该客户端设备上下文。例如，如果客户端设备需要按顺序排列地发送多个分组，则客户端设备可以将该加密的客户端设备上下文包括在第一分组中，而无需将该加密的客户端设备上下文包括在后续的分组中。在一些方面中，该加密的客户端设备上下文可以是特定于客户端设备的，并且因此向一客户端设备发出的加密的客户端设备上下文可以不被任何其它客户端设备使用。

a)控制平面加密的客户端设备上下文

在本公开内容的方面中，IoTF(例如，图1中的IoTF-C 106)可以通过将一个或多个信息项连接在一起，来生成加密的客户端设备上下文。例如，控制平面(CP)加密的客户端设备上下文(CDC_CP)可以是基于表达式KeyID||Enc_K_CDC-IoTF-C(CDC_CP)||MAC生成的。在本公开内容的方面中，密钥K_CDC-IoTF-C(例如，图3中的密钥K_CDC-IoTF-C 304)可以与密钥K_CDC-IoTF(例如，图3中的密钥K_CDC-IoTF 302)相同，或者是根据密钥K_CDC-IoTF推导出的。KeyID项可以表示密钥索引(其被用于生成加密的客户端设备上下文)。

CDC_CP项可以表示控制平面客户端设备上下文。例如，控制平面客户端设备上下文可以包括客户端设备标识符、客户端设备安全上下文(例如，诸如密钥K_IoT(K_ASME等同物)、密钥K_IoT-CPenc 210、密钥K_IoT-CPint 212之类的控制平面密钥)、客户端设备安全能力(例如，演进型分组系统加密算法(EEA)、演进型分组系统完整性算法(EIA))和/或下一跳(S5/S8)配置信息。例如，下一跳配置信息可以包括IoT服务器地址、P-GW地址和/或TEID。MAC项可以指示加密模式和/或消息认证码生成算法(其还被称为MAC算法)，其可以是由移动网络运营商(MNO)选择的并且配置给IoTF的。因此，Enc_K_CDC-IoTF-C(CDC_CP)项可以表示使用密钥K_CDC-IoTF-C，关于控制平面客户端设备上下文执行的加密操作的结果。

b)用户平面加密的客户端设备上下文

作为另一示例，用户平面(UP)加密的客户端设备上下文(CDC_UP)可以是基于表达式KeyID||Enc_K_CDC-IoTF-U(CDC_UP)||MAC生成的。CDC_UP项可以表示用户平面客户端设备上下文。例如，用户平面客户端设备上下文可以包括客户端设备标识符、承载ID、演进型分组系统(EPS)承载服务质量(QoS)、用于用户平面通用分组无线服务(GPRS)隧道协议(GTP-U)的S5隧道端点标识符(TEID)、IoTF-U 108将UL数据转发到的P-GW互联网协议(IP)地址(或者等同信息)、客户端设备安全上下文(例如，选择的加密算法和用户平面密钥(例如，密钥K_IoT-UPenc 216、密钥K_IoT-UPint218))、客户端设备安全能力(例如，演进型分组系统加密算法(EEA)、演进型分组系统完整性算法(EIA))和/或下一跳(S5/S8)配置信息。例如，下一跳配置信息可以包括IoT服务器地址、P-GW地址和/或TEID。因此，Enc_K_CDC-IoTF-U(CDC_UP)项可以表示使用密钥K_CDC-IoTF-U，关于用户平面客户端设备上下文上执行的加密操作的结果。在本公开内容的方面中，该加密的客户端设备上下文可能仅仅被该客户端设备所附着/关联到的IoTF(例如，IoTF-C 106和/或IoTF-U 108)解密。在本公开内容的方面中，可以在对客户端设备上下文进行加密之前，对其进行压缩。

该加密的客户端设备上下文可以具有一个或多个特性。例如，加密的客户端设备上下文可以包含与特定的客户端设备相关联的网络状态信息，并且因此可能不能传送到其它客户端设备。IoTF-C/U(例如，IoTF-C 106和/或IoTF-U 108)可以不维持客户端设备的上下文(例如，网络状态信息)。因此，这样的IoTF-C/U可以使用其自己的秘密密钥，根据加密的客户端设备上下文来恢复出客户端设备上下文，并且因此，IoTF-C/U可能不需要存储任何另外的信息来恢复客户端设备上下文。在某些情况下(例如，演进型分组系统连接管理(ECM)空闲或者紧接在小量数据传送之后)，IoTF-C/U可以去除客户端设备上下文，并且在必要的时候(例如，用于数据传送)对其进行恢复。

客户端设备可以存储由IoTF-C提供的加密的客户端设备上下文，用于快速UL数据传送/快速控制平面消息传送。客户端设备可以在发送一个或多个数据分组之后，紧接着进入休眠模式。由于可能不存在IoTF-U为了重新构建客户端设备上下文的消息交换开销，因此小量数据分组的传输不会经历延迟。在本公开内容的方面中，当客户端设备处于空闲模式时，可以不使用控制平面消息来用于用户平面数据传输。

加密的网络可达性上下文设计方案和生成

a)控制平面加密的网络可达性上下文

在本公开内容的方面中，加密的网络可达性上下文可以是通过将一个或多个信息项连接在一起生成的。例如，控制平面(CP)加密的网络可达性上下文可以是基于表达式KeyID||Enc_K_NRC-IoTF-C(CDC_CP)||MAC生成的。在本公开内容的方面中，密钥K_NRC-IoTF-C(例如，图3中的密钥K_NRC-IoTF-C 310)可以与密钥K_NRC-IoTF(例如，图3中的密钥K_NRC-IoTF 308)相同，或者可以是根据密钥K_NRC-IoTF推导出的。KeyID项可以表示密钥索引(其被用于生成网络可达性上下文)。CDC_CP项可以表示控制平面客户端设备上下文。例如，控制平面客户端设备上下文可以包括客户端设备标识符、客户端设备安全上下文(例如，诸如密钥K_IoT 202(K_ASME等同物)、密钥K_IoT-CPenc 210、密钥K_IoT-CPint 212之类的控制平面密钥)、客户端设备安全能力(例如，演进型分组系统加密算法(EEA)、演进型分组系统完整性算法(EIA))和/或下一跳(S5/S8)配置信息。例如，下一跳配置信息可以包括IoT服务器地址、P-GW地址和/或TEID。MAC项可以指示加密模式和/或消息认证码生成算法(其还被称为MAC算法)，其可以是由移动网络运营商(MNO)选择的并且配置给IoTF的。因此，Enc_K_NRC-IoTF-C(CDC_CP)项可以表示使用密钥K_NRC-IoTF-C(例如，图3中的密钥K_NRC-IoTF-C 310)，关于控制平面客户端设备上下文执行的加密操作的结果。

b)用户平面加密的网络可达性上下文

作为另一示例，用户平面(UP)加密的网络可达性上下文可以是基于表达式KeyID||Enc_K_NRC-IoTF-U(CDC_UP)||MAC生成的。CDC_UP项可以表示用户平面客户端设备上下文。例如，用户平面客户端设备上下文可以包括客户端设备标识符、承载ID、演进型分组系统(EPS)承载服务质量(QoS)、用于用户平面通用分组无线服务(GPRS)隧道协议(GTP-U)的S5隧道端点标识符(TEID)、IoTF-U 108将UL数据转发到的P-GW互联网协议(IP)地址(或者等同信息)、客户端设备安全上下文(例如，选择的加密算法和用户平面密钥(例如，密钥K_IoT-UPenc 216、密钥K_IoT-UPint 218))、客户端设备安全能力(例如，演进型分组系统加密算法(EEA)、演进型分组系统完整性算法(EIA))和/或下一跳(S5/S8)配置信息。例如，下一跳配置信息可以包括IoT服务器地址、P-GW地址和/或TEID。因此，Enc_K_NRC-IoTF-U(CDC_UP)项可以表示使用密钥K_NRC-IoTF-U(例如，图3中的密钥K_NRC-IoTF-U312)，关于用户平面客户端设备上下文执行的加密操作的结果。在本公开内容的方面中，该加密的网络可达性上下文可以仅仅被该客户端设备所附着/关联到的IoTF(例如，IoTF-C 106和/或IoTF-U 108)解密。在本公开内容的方面中，可以在加密之前，对网络可达性上下文进行压缩。

该加密的网络可达性上下文可以具有一个或多个特性。例如，加密的网络可达性上下文可以包含与特定的客户端设备相关联的网络状态信息，并且因此可能不能传送到其它客户端设备。IoTF-C/U(例如，IoTF-C 106和/或IoTF-U 108)可以不维持客户端设备的上下文(例如，网络状态信息)。因此，这样的IoTF-C/U可以通过使用其自己的秘密密钥对加密的网络可达性上下文进行解密来重新构建用于客户端设备的网络可达性上下文，并且因此，IoTF-C/U不需要存储任何另外的信息来恢复网络可达性上下文。在某些情况下(例如，演进型分组系统连接管理(ECM)空闲或者紧接在小量数据传送之后)，IoTF-C/U可以去除用于客户端设备的网络可达性上下文，并且在必要的时候(例如，用于数据传送)对其进行恢复。

跟踪区域更新过程

当客户端设备在空闲模式期间进入新的跟踪区域时，客户端设备可以执行跟踪区域更新(TAU)过程。TAU消息可以包括当前跟踪区域ID(TAI)和源IoTF-C的GIOTFI或者等同物(例如，全球唯一移动管理实体标识符(GUMMEI))。目标IoTF-C可以更新客户端设备的位置和针对一个或多个网络实体(例如，P-GW)的移动性锚点(例如，IoTF-U ID)，以及加密的网络可达性上下文。在本公开内容的方面中，该加密的网络可达性上下文可以使得IoTF-U能够对下行链路分组进行验证。在本公开内容的方面中，应用服务器(例如，IoT服务器)和/或P-GW可以向IoTF-U/C(其通过GIOTFI来识别)发送下行链路(DL)分组与该加密的网络可达性上下文。

图14是根据本公开内容的各个方面的IoT网络架构(例如，IoT网络架构100)中的TAU过程的信号流程图1400。如图14中示出的，信号流程图1400包括客户端设备1402(其还被称为IoT设备)、网络接入节点1404(例如，eNB、基站、网络接入点)、在目标网络设备1405处实现的目标IoTF-C 1406、在源网络设备1407处实现的源IoTF-C 1408、P-GW 1410和IoT服务器1412(其还被称为应用服务器)。客户端设备1402可以向网络接入节点1404发送数据传送请求消息1414，所述数据传送请求消息1414包括加密的客户端设备上下文(例如，控制平面(CP)加密的客户端设备上下文)和TAU请求。在本公开内容的方面中，客户端设备1402可以在无需建立RRC连接的情况下，发送数据传送请求消息1414。在接收到该数据传送请求消息1414时，网络接入节点1404可以为客户端设备1402分配1416临时标识符(TID)，用于潜在的下行链路(DL)业务。网络接入节点1404还可以确定被包括在TAU请求中的目标IoTF-C标识符。然后，网络接入节点1404可以确定目标IoTF-C 1406的IP地址，并且可以向目标IoTF-C 1406发送消息1418，其中该消息1418包括与客户端设备1402相关联的TID、加密的客户端设备上下文和TAU请求。目标IoTF-C 1406可以向源IoTF-C 1408发送消息1420，其中该消息1420包括针对客户端设备上下文和加密的客户端设备上下文的请求。

源IoTF-C 1408可以对加密的客户端设备上下文进行验证，并且可以向目标IoTF-C 1406发送包括客户端设备上下文的消息1422。目标IoTF-C1406可以存储1424用于客户端设备的TID和用于网络接入节点1404的ID，并且可以基于所接收的客户端设备上下文来生成1424新的GUTI、新的用于客户端设备1402的加密的网络可达性上下文、以及新的用于客户端设备1402的加密的客户端设备上下文。在方面中，目标IoTF-C 1406可以生成用户平面(UP)密钥和上下文生成密钥，并且可以将这些密钥提供给IoTF-U。

目标IoTF-C 1406可以向IoT服务器1412(或者P-GW 1410)发送消息1426，其中该消息1426包括跟踪区域ID(TAI)、目标IoTF-C 1406的ID(例如，GIOTFI)和新的加密的网络可达性上下文。目标IoTF-C 1406可以向客户端设备1402发送消息1428，其中该消息1428包括TID、新的GUTI、新的加密的客户端设备上下文和TAU响应。网络接入节点1404可以基于该TID，用消息1430向客户端设备1402(例如，向使用该TID识别的客户端设备1402)转发该新的GUTI、新的客户端设备上下文和TAU响应。

本文描述的方面提供了具有新的专用网络功能单元的架构，所述新的专用网络功能单元实现独立的部署，并且避免可扩展性/互通要求。本文公开的方面可以使得网络接入节点(例如，基站)能够在无需存储或者维持用于客户端设备的安全上下文的情况下，向客户端设备传送数据或者从客户端设备传送数据，从而避免在网络实体(例如，网络接入节点或者其它网络实体)处消耗大量的资源。可以将安全特征锚定在新的网络功能单元(被称为IoT功能单元(IoTF))处。为了避免影响正常的客户端设备的PDN连接/业务，为IoT数据传送分配专用资源。加密的客户端设备上下文和加密的网络可达性上下文可以被用于数据传送，以当该客户端设备处于空闲状态时，消除IoTF处的该客户端设备的半持久的上下文。因此，网络节点(例如，MME/S-GW)不需要维持大量的客户端设备(其中所述大量的客户端设备不频繁地发送业务)的网络状态信息(即，上下文)。客户端设备可以在不耗尽宝贵的核心网资源的情况下，使用有成本效益的数据传送。

因此，本文描述的方面可以减少前述的用于客户端设备(例如，操作为IoT设备的客户端设备，例如，在减少数据传送模式或者低功耗模式下操作的客户端设备)的开销。例如，客户端设备可以向用户平面网络功能单元(例如，IoTF-U)发送业务，其中控制平面网络功能单元(例如，IoTF-C)向该用户平面网络功能单元供应客户端设备安全上下文。照此，网络接入节点(例如，eNB、基站或者网络接入点)可以将业务(例如，来自客户端设备的分组)转发给由该客户端设备指示的下一跳节点(例如，IoTF-U)，而无需对该分组进行验证。

IoTF-C可以与客户端设备执行认证和密钥协商，并且建立用于控制平面的客户端设备安全上下文。例如，该客户端设备安全上下文可以包括被用于控制平面信令保护(例如，加密和完整性保护)的控制平面密钥。此外，IoTF-C可以推导用于用户平面分组保护(例如，加密和完整性保护)的用户平面密钥，并且可以向IoTF-U提供该用户平面密钥。

客户端设备可以推导与IoTF-C相同的控制平面和用户平面密钥。因此，客户端设备可以使用控制平面密钥或者用户平面密钥来发送分组，这取决于在无需建立连接的情况下客户端设备是在与控制平面IoTF进行通信，还是在与用户平面IoTF进行通信(例如，客户端设备可以作出确定，因此可以应用不同的安全密钥或者上下文)。

第一示例性装置(例如，客户端设备)和其上的方法

图15是根据本公开内容的一个或多个方面(例如，与下文描述的图16的方法有关的方面)的被配置为与基于IoT网络架构的网络进行通信的装置1500的图示。在方面中，装置1500可以是客户端设备(例如，IoT设备)。装置1500包括通信接口(例如，至少一个收发机)1502、存储介质1504、用户界面1506、存储器设备1508和处理电路1510。

这些组件可以经由信令总线或者其它适当的组件被耦合至彼此和/或彼此相电子通信地放置，其中所述信令总线或者其它适当的组件通常由图15中的连接线来表示。该信令总线可以包括任意数量的相互连接的总线和桥接器，这取决于处理电路1510的具体应用和整体设计约束。该信令总线将各种电路链接在一起，使得通信接口1502、存储介质1504、用户界面1506和存储器设备1508中的每个被耦合到处理电路1510和/或与处理电路1510相电子通信。该信令总线还可以链接诸如定时源、外围设备、电压调节器和功率管理电路之类的各种其它电路(未示出)，其中所述各种其它电路在本领域中是公知的，并且因此将不再进一步地描述。

通信接口1502可以适于促进装置1500的无线通信。例如，通信接口1502可以包括：适于促进关于网络中的一个或多个通信设备的双向的信息通信的电路和/或代码(例如，指令)。通信接口1502可以被耦合到一副或多副天线1512，用于无线通信系统内的无线通信。通信接口1502可以被配置有一个或多个单独的接收机和/或发射机，以及一个或多个收发机。在所示出的示例中，通信接口1502包括发射机1514和接收机1516。

存储器设备1508可以表示一个或多个存储器设备。如指示的，存储器设备1508可以维持与网络有关的信息/连同由装置1500使用的其它信息。在一些实现方式中，存储器设备1508和存储介质1504被实现为公共存储器组件。存储器设备1508还可以被用于存储由处理电路1510或者装置1500的某个其它组件操纵的数据。

存储介质1504可以表示一个或多个计算机可读的、机器可读的和/或处理器可读的设备，用于存储诸如处理器可执行代码或者指令(例如，软件、固件)之类的代码、电子数据、数据库或者其它数字信息。存储介质1504还可以被用于存储在执行代码时由处理电路1510操纵的数据。存储介质1504可以是能够由通用或者专用处理器存取的任何可用的介质，其包括便携的或者固定的存储设备、光存储设备、以及能够存储、装有或者携带代码的各种其它介质。

通过示例而非限制的方式，存储介质1504可以包括磁存储设备(例如，硬盘、软盘、磁带)、光盘(例如，压缩光盘(CD)或者数字多功能光盘(DVD))、智能卡、闪存设备(例如，卡、棒或者键驱动)、随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、寄存器、可移动盘、以及用于存储可以由计算机存取和读取的代码的任何其它适当的介质。存储介质1504可以被体现在制品(例如，计算机程序产品)中。举例而言，计算机程序产品可以包括封装材料中的计算机可读介质。鉴于上述内容，在一些实现方式中，存储介质1504可以是非暂时性的(例如，有形的)存储介质。

存储介质1504可以被耦合到处理电路1510，使得处理电路1510可以从存储介质1504读取信息，以及向存储介质1504写入信息。也就是说，存储介质1504可以被耦合到处理电路1510，使得存储介质1504至少可被处理电路1510存取，其包括至少一个存储介质是处理电路1510的组成部分的示例和/或至少一个存储介质与处理电路1510相分离的示例(例如，驻留在装置1500中、在装置1500之外、分布在多个实体之中等等)。

由存储介质1504存储的代码和/或指令，当被处理电路1510执行时，使得处理电路1510执行本文描述的各种功能和/或过程操作中的一个或多个。例如，存储介质1504可以包括被配置用于进行下列各项的操作：调节处理电路1510的一个或多个硬件模块处的操作，以及利用它们各自的通信协议，利用通信接口1502进行无线通信。

处理电路1510通常适于进行处理，其包括对被存储在存储介质1504上的这样的代码/指令的执行。如本文使用的，无论被称为软件、固件、中间件、微代码、硬件描述语言还是其它术语，术语“代码”或者“指令”应当被广义地解释为包括但不限于：程序编制、指令、指令集、数据、代码、代码段、程序代码、程序、子程序、软件模块、应用、软件应用、软件包、例程、子例程、对象、可执行文件、执行的线程、过程、函数等等。

处理电路1510被布置为获得、处理和/或发送数据，控制数据存取和存储，发出命令，以及控制其它期望的操作。在至少一个示例中，处理电路1510可以包括：被配置为实现由适当的介质提供的期望的代码的电路。例如，处理电路1510可以被实现为一个或多个处理器、一个或多个控制器、和/或被配置为执行可执行代码的其它结构。处理电路1510的示例可以包括被设计为执行本文描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其它可编程逻辑组件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意组合。通用处理器可以包括微处理器、以及任何常规的处理器、控制器、微控制器或者状态机。处理电路1510还可以被实现为计算组件的组合，例如，DSP和微处理器的组合、多个微处理器、结合DSP内核的一个或多个微处理器、ASIC和微处理器、或者任何其它数量的不同的配置。处理电路1510的这些示例是出于说明的目的的，并且还预期在本公开内容的范围之内的其它适当的配置。

根据本公开内容的一个或多个方面，处理电路1510可以适于执行本文描述的装置中的任何或者所有装置的特征、过程、函数、操作和/或例程中的任何或者所有特征、过程、函数、操作和/或例程。如本文使用的，与处理电路1510有关的术语“适于”可以指代：处理电路1510通过被配置、被使用、被实现和/或被编程中的一种或多种，根据本文描述的各种特征来执行特定的过程、函数、操作和/或例程。

根据装置1500的至少一个示例，处理电路1510可以包括下列各项中的一项或多项：适于执行本文描述的特征、过程、函数、操作和/或例程(例如，关于图16描述的特征、过程、函数、操作和/或例程)中的任何或者所有的特征、过程、函数、操作和/或例程的发送电路/模块1520、接收电路/模块1522、安全上下文获得电路/模块1524、密钥获得电路/模块1526、数据分组保护电路/模块1528、分组确定电路/模块1530、分组解码电路/模块1532和/或网络注册电路/模块1534。

发送电路/模块1520可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1504上的发送指令1540)：发送对于附着到网络的请求和/或发送数据分组或者控制分组。例如，在一个方面中，该数据分组可以是已经利用用户平面密钥保护的数据分组，并且该控制分组可以是已经利用控制平面密钥保护的控制分组。

接收电路/模块1522可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1504上的接收指令1542)：从网络接收与认证过程相关联的消息，以及从网络接收分组。

安全上下文获得电路/模块1524可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1504上的安全上下文获得指令1544)：获得用户平面安全上下文或者控制平面安全上下文中的至少一个，其中该用户平面安全上下文指示针对该客户端设备的关于用户平面的网络状态信息，该控制平面安全上下文指示针对该客户端设备的关于控制平面的网络状态信息。

密钥获得电路/模块1526可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1504上的密钥获得指令1504)：至少获得与第一网络节点处实现的用户平面网络功能单元共享的用户平面密钥或者与第二网络节点处实现的控制平面网络功能单元共享的控制平面密钥。

数据分组保护电路/模块1528可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1504上的数据分组保护指令1548)：利用用户平面密钥来保护数据分组，或者利用控制平面密钥来保护控制分组。在方面中，该数据分组包括用于指示将在第一网络节点处处理该数据分组的第一目的地信息，第一目的地信息使得网络接入节点能够将该数据分组转发给第一网络节点。在方面中，该控制分组包括用于指示将在第二网络节点处处理该控制分组的第二目的地信息，第二目的地信息使得网络接入节点能够将该控制分组转发给第二网络节点。

分组确定电路/模块1530可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1504上的分组确定指令1550)：确定所接收的分组是包括数据还是包括控制信息。

分组解码电路/模块1532可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1504上的分组解码指令1552)：利用用户平面密钥或者控制平面密钥，对所接收的分组进行解码。

网络注册电路/模块1534可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1504上的网络注册指令1554)：作为物联网设备，向网络进行注册。

如上面提及的，由存储介质1504存储的指令，当被处理电路1510执行时，使得处理电路1510执行本文描述的各种功能和/或过程操作中的一个或多个。例如，存储介质1504可以包括下列各项中的一项或多项：发送指令1540、接收指令1542、安全上下文获得指令1544、密钥获得指令1546、数据分组保护指令1548、分组确定指令1550、分组解码指令1552和/或网络注册指令1554。

图16是示出了根据本公开内容的各个方面的用于与网络进行通信的方法的流程图1600。该方法可以由诸如客户端设备(例如，客户端设备102、502、702或者装置1500)之类的装置来执行。应当理解的是，由图16中的虚线指示的操作表示可选的操作。

客户端设备向网络进行注册1602。在方面中，客户端设备可以通过下列操作来向网络进行注册：发送对于附着到网络的请求；以及从网络接收响应于该请求的、与认证过程相关联的消息。在方面中，该附着请求可以提供一个或多个指示，诸如例如，该客户端设备将作为物联网设备附着，该客户端设备将在减少数据传送模式下附着，和/或该客户端设备将在低功耗模式下附着。

客户端设备获得用户平面安全上下文或者控制平面安全上下文中的至少一个1604，其中该用户平面安全上下文指示针对该客户端设备的关于用户平面的网络状态信息，该控制平面安全上下文指示针对该客户端设备的关于控制平面的网络状态信息。在一个示例中，客户端设备可以通过基于用户平面密钥来推导第一加密密钥和第一完整性密钥，来获得用户平面安全上下文。在另一示例中，客户端设备可以通过基于控制平面密钥来推导第二加密密钥和第二完整性密钥，来获得控制平面安全上下文。在方面中，用户平面安全上下文或者控制平面安全上下文不包括接入层安全保护。

客户端设备至少获得与第一网络节点处实现的用户平面网络功能单元共享的用户平面密钥或者与第二网络节点处实现的控制平面网络功能单元共享的控制平面密钥1606。例如，客户端设备可以基于与认证过程相关联的消息，来获得用户平面密钥或者控制平面密钥。

客户端设备利用用户平面密钥来保护数据分组，或者利用控制平面密钥来保护控制分组1608。在一个示例中，该数据分组可以是基于该用户平面密钥来进行加密或者完整性保护的，或者是基于该用户平面密钥来既进行加密又进行完整性保护的。在另一示例中，该控制分组是基于控制平面密钥来进行加密或者完整性保护的，或者是基于控制平面密钥来既进行加密又进行完整性保护的。

在方面中，该数据分组包括用于指示将在第一网络节点处处理该数据分组的第一目的地信息，第一目的地信息使得网络接入节点能够将该数据分组转发给第一网络节点。在方面中，该控制分组包括用于指示将在第二网络节点处处理该控制分组的第二目的地信息，第二目的地信息使得网络接入节点能够将该控制分组转发给第二网络节点。

该装置发送数据分组或者控制分组1610。该装置从网络接收分组1612。在方面中，在一种或多种情况下，用户平面物联网功能标识符(IID)或者控制平面物联网功能标识符(IID)被包括在所接收的分组的报头中。例如，所述一种或多种情况可以包括：当该客户端设备作为物联网设备来注册到网络时，当客户端设备在低功耗模式下操作时，或者当客户端设备被配置为传送减少数量的数据时。

客户端设备确定所接收的分组是包括数据还是包括控制信息1614。客户端设备基于该确定，利用用户平面密钥或者控制平面密钥，对所接收的分组进行解码1616。在方面中，客户端设备通过利用用户平面密钥或者控制平面密钥，对所接收的分组进行解密和验证，来对所接收的分组进行解码。在方面中，客户端设备通过确定第一消息认证码(MAC)并且将第一MAC和与所接收的分组相关联的第二MAC进行比较，对所接收的分组进行验证。例如，第一MAC可以是通过基于所接收的分组来应用消息认证码生成算法，并且使用用户平面密钥或者控制平面密钥来确定的。

第二示例性装置(例如，网络接入节点)和其上的方法

图17是根据本公开内容的一个或多个方面(例如，与下文描述的图18的方法有关的方面)的被配置为与基于IoT网络架构的网络进行通信的装置1700的图示。在方面中，装置1700可以是网络接入节点(例如，eNB、基站或者网络接入点)。装置1700包括通信接口(例如，至少一个收发机)1702、网络通信接口1703、存储介质1704、用户界面1706、存储器设备1708和处理电路1710。

这些组件可以经由信令总线或者其它适当的组件被耦合至彼此和/或彼此相电子通信地被放置，其中所述信令总线或者其它适当的组件通常由图17中的连接线来表示。该信令总线可以包括任意数量的相互连接的总线和桥接器，这取决于处理电路1710的具体应用和整体设计约束。该信令总线将各种电路链接在一起，使得通信接口1702、网络通信接口1703、存储介质1704、用户界面1706和存储器设备1708中的每个被耦合到处理电路1710和/或与处理电路1710相电子通信。该信令总线还可以链接诸如定时源、外围设备、电压调节器和功率管理电路之类的各种其它电路(未示出)，其中所述各种其它电路在本领域中是公知的，并且因此将不再进一步地描述。

通信接口1702可以适于促进装置1700的无线通信。例如，通信接口1702可以包括：适于促进关于网络中的一个或多个客户端设备的双向的信息通信的电路和/或代码(例如，指令)。通信接口1702可以被耦合到一副或多副天线1712，用于无线通信系统内的无线通信。通信接口1702可以被配置有一个或多个单独的接收机和/或发射机，以及一个或多个收发机。在所示出的示例中，通信接口1702包括发射机1714和接收机1716。

网络通信接口1703可以适于促进装置1700的通信。例如，网络通信接口1703可以包括：适于促进关于网络中的一个或多个网络实体的双向的信息通信的电路和/或代码(例如，指令)。网络通信接口1703可以被配置有一个或多个单独的接收机和/或发射机，以及一个或多个收发机。

存储器设备1708可以表示一个或多个存储器设备。如指示的，存储器设备1708可以维持与网络有关的信息/连同由装置1700使用的其它信息。在一些实现方式中，存储器设备1708和存储介质1704被实现为公共存储器组件。存储器设备1708还可以被用于存储由处理电路1710或者装置1700的某个其它组件操纵的数据。

存储介质1704可以表示一个或多个计算机可读的、机器可读的和/或处理器可读的设备，用于存储诸如处理器可执行代码或者指令(例如，软件、固件)之类的代码、电子数据、数据库或者其它数字信息。存储介质1704还可以被用于存储在执行代码时由处理电路1710操纵的数据。存储介质1704可以是能够由通用或者专用处理器存取的任何可用的介质，其包括便携的或者固定的存储设备、光存储设备、以及能够存储、装有或者携带代码的各种其它介质。

通过示例而非限制的方式，存储介质1704可以包括磁存储设备(例如，硬盘、软盘、磁带)、光盘(例如，压缩光盘(CD)或者数字多功能光盘(DVD))、智能卡、闪存设备(例如，卡、棒或者键驱动)、随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、寄存器、可移动盘、以及用于存储可以由计算机存取和读取的代码的任何其它适当的介质。存储介质1704可以被体现在制品(例如，计算机程序产品)中。举例而言，计算机程序产品可以包括封装材料中的计算机可读介质。鉴于上述内容，在一些实现方式中，存储介质1704可以是非暂时性的(例如，有形的)存储介质。

存储介质1704可以被耦合到处理电路1710，使得处理电路1710可以从存储介质1704读取信息，以及向存储介质1704写入信息。也就是说，存储介质1704可以被耦合到处理电路1710，使得存储介质1704至少可被处理电路1710存取，其包括至少一个存储介质是处理电路1710的组成部分的示例和/或至少一个存储介质与处理电路1710相分离的示例(例如，驻留在装置1700中、在装置1700之外、分布在多个实体之中等等)。

由存储介质1704存储的代码和/或指令，当被处理电路1710执行时，使得处理电路1710执行本文描述的各种功能和/或过程操作中的一个或多个。例如，存储介质1704可以包括被配置用于进行下列各项的操作：调节处理电路1710的一个或多个硬件模块处的操作，以及利用它们各自的通信协议，利用通信接口1702进行无线通信和利用网络通信接口1703进行网络通信。

处理电路1710通常适于进行处理，其包括对被存储在存储介质1704上的这样的代码/指令的执行。如本文使用的，无论被称为软件、固件、中间件、微代码、硬件描述语言还是其它术语，术语“代码”或者“指令”应当被广义地解释为包括但不限于：程序编制、指令、指令集、数据、代码、代码段、程序代码、程序、子程序、软件模块、应用、软件应用、软件包、例程、子例程、对象、可执行文件、执行的线程、过程、函数等等。

处理电路1710被布置为获得、处理和/或发送数据，控制数据存取和存储，发出命令，以及控制其它期望的操作。在至少一个示例中，处理电路1710可以包括：被配置为实现由适当的介质提供的期望的代码的电路。例如，处理电路1710可以被实现为一个或多个处理器、一个或多个控制器、和/或被配置为执行可执行代码的其它结构。处理电路1710的示例可以包括被设计为执行本文描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其它可编程逻辑组件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意组合。通用处理器可以包括微处理器，以及任何常规的处理器、控制器、微控制器或者状态机。处理电路1710还可以被实现为计算组件的组合，例如，DSP和微处理器的组合、多个微处理器、结合DSP内核的一个或多个微处理器，ASIC和微处理器、或者任何其它数量的不同的配置。处理电路1710的这些示例是出于说明的目的的，并且还预期在本公开内容的范围之内的其它适当的配置。

根据本公开内容的一个或多个方面，处理电路1710可以适于执行本文描述的装置中的任何或者所有装置的特征、过程、函数、操作和/或例程中的任何或者所有特征、过程、函数、操作和/或例程。如本文使用的，与处理电路1710有关的术语“适于”可以指代：处理电路1710通过被配置、被使用、被实现和/或被编程中的一种或多种，根据本文描述的各种特征来执行特定的过程、函数、操作和/或例程。

根据装置1700的至少一个示例，处理电路1710可以包括下列各项中的一项或多项：适于执行本文描述的特征、过程、函数、操作和/或例程(例如，关于图18描述的特征、过程、函数、操作和/或例程)中的任何或者所有特征、过程、函数、操作和/或例程的接收电路/模块1720、数据分组转发电路/模块1722、临时标识符添加电路/模块1724、存储电路/模块1726、下一跳确定电路/模块1728、客户端设备识别电路/模块1730和临时标识符去除电路/模块1732。

接收电路/模块1720可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1704上的接收指令1740)：从客户端设备接收对于附着到网络的具有网络附着模式的指示的请求，其中该网络附着模式是减少数据传送模式或者低功耗模式，从客户端设备接收第一分组，以及从网络节点接收第二分组。

分组转发电路/模块1722可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1704上的分组转发指令1742)：将第一分组转发给下一跳网络节点，以及将从网络节点接收的第二分组转发给该客户端设备。

临时标识符添加电路/模块1724可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1704上的临时标识符添加指令1744)：向第一分组添加与该客户端设备相关联的临时标识符。在方面中，第一分组是数据分组或者控制分组。在方面中，该临时标识符是小区无线网络临时标识符(C-RNTI)。

存储电路/模块1726可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1704上的存储指令1746)：存储临时标识符。在方面中，该临时标识符被存储达预先确定的时段。

下一跳确定电路/模块1728可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1704上的下一跳确定指令1748)：基于该客户端设备的网络附着模式来确定下一跳网络节点。在方面中，下一跳网络节点的确定是基于该网络接入节点处的预先配置的信息的，或者当该客户端设备的网络附着模式是减少数据传送模式或者低功耗模式时，是基于被包括在第一分组中的目的地信息的。在方面中，该目的地信息包括网络功能标识符，其中所述网络功能标识符用于实现对网络节点或者网络设备(其实现网络功能)的标识。在方面中，该网络功能标识符与第一网络节点处实现的控制平面网络功能相关联，或者与第二网络节点处实现的用户平面网络功能相关联。

客户端设备识别电路/模块1730可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1704上的客户端设备识别指令1750)：根据第二分组中的临时标识符来识别客户端设备。在方面中，该第二分组是数据分组或者控制分组。

临时标识符去除电路/模块1732可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1704上的临时标识符去除指令1752)：在转发第二分组之前，从第二分组中去除所述临时标识符。

如上面提及的，由存储介质1704存储的指令，当被处理电路1710执行时，使得处理电路1710执行本文描述的各种功能和/或过程操作中的一个或多个。例如，存储介质1704可以包括下列各项中的一项或多项：接收指令1740、分组转发指令1742、临时标识符添加指令1744、存储指令1746、下一跳确定指令1748、客户端设备识别指令1750和临时标识符去除指令1752。

图18(其包括图18A和图18B)是示出了根据本公开内容的各个方面的用于在IoT网络架构中进行通信的方法的流程图1800。该方法可以由诸如网络接入节点(例如，图1的网络接入节点104或者图17的装置1700)之类的装置来执行。应当理解的是，由图18中的虚线指示的操作表示可选的操作。

参考图18A，网络接入节点从客户端设备接收对于附着到网络的具有网络附着模式的指示的请求，其中该网络附着模式是减少数据传送模式1802。在其它方面中，该网络附着模式可以是物联网(IoT)设备模式或者低功耗模式。网络接入节点从客户端设备接收第一分组1804。例如，第一分组可以是数据分组或者控制分组。

第一网络节点向第一分组添加与该客户端设备相关联的临时标识符1806。在本公开内容的方面中，该临时标识符是小区无线网络临时标识符(C-RNTI)。网络接入节点存储该临时标识符1808。在本公开内容的方面中，该临时标识符被存储达预先确定的时段。

网络接入节点基于该客户端设备的网络附着模式来确定下一跳网络节点1810。在本公开内容的方面中，下一跳网络节点的确定被预先配置在该网络接入节点处。在本公开内容的方面中，当该客户端设备的网络附着模式是IoT设备模式、减少数据传送模式、或者低功耗模式时，下一跳网络节点可以是基于被包括在第一分组中的目的地信息来确定的。例如，该目的地信息可以包括网络功能标识符，其中所述网络功能标识符实现对网络节点(其实现网络功能)的标识。在方面中，该网络功能标识符与第一网络节点处实现的控制平面网络功能单元相关联，或者与第二网络节点处实现的用户平面网络功能单元相关联。

当网络附着模式是减少数据传送模式时，网络接入节点在无需对从客户端设备接收的第一分组进行验证的情况下，将第一分组转发给下一跳网络节点1812。

参考图18B，网络接入节点从网络节点接收第二分组1814。例如，第二分组可以是数据分组或者控制分组。网络接入节点根据第二分组中的临时标识符来识别客户端设备1816。网络接入节点在转发第二分组之前，从第二分组中去除所述临时标识符1818。当该客户端设备的网络附着模式是减少数据传送模式时，网络接入节点在无需对第二分组进行保护的情况下，将从网络节点接收的第二分组转发给该客户端设备1820。

第三示例性装置(例如，网络设备)和其上的方法

图19是根据本公开内容的一个或多个方面(例如，与下文描述的图20-22的方法有关的方面)的装置1900的图示。在方面中，装置1900可以是实现物联网(IoT)功能单元的网络设备(例如，网络设备105、505)。例如，IoT功能单元可以包括如先前讨论的控制平面IoT功能单元(例如，IoTF-C 106、506、706、606、906、1406)和/或用户平面IoT功能单元(例如，IoTF-U 108、508、608、708、806、908)。在一些方面中，装置1900可以是实现IoT功能单元的网络节点，例如，实现图1中的IoTF-C 106的网络节点107、或者实现图1中的IoTF-U 108的网络节点109。装置1900包括网络通信接口(例如，至少一个收发机)1902、存储介质1904、用户界面1906、存储器设备1908和处理电路1910。

这些组件可以经由信令总线或者其它适当的组件被耦合至彼此和/或彼此相电子通信地被放置，其中所述信令总线或者其它适当的组件通常由图19中的连接线来表示。该信令总线可以包括任意数量的相互连接的总线和桥接器，这取决于处理电路1910的具体应用和整体设计约束。该信令总线将各种电路链接在一起，使得网络通信接口1902、存储介质1904、用户界面1906和存储器设备1908中的每个被耦合到处理电路1910和/或与处理电路1910相电子通信。该信令总线还可以链接诸如定时源、外围设备、电压调节器和功率管理电路之类的各种其它电路(未示出)，其中所述各种其它电路在本领域中是公知的，并且因此将不再进一步地描述。

网络通信接口1902可以适于促进装置1900的通信。例如，网络通信接口1902可以包括：适于促进关于网络中的一个或多个网络实体的双向的信息通信的电路和/或代码(例如，指令)。网络通信接口1902可以被配置有一个或多个单独的接收机和/或发射机，以及一个或多个收发机。

存储器设备1908可以表示一个或多个存储器设备。如指示的，存储器设备1908可以维持与网络有关的信息连同由装置1900使用的其它信息。在一些实现方式中，存储器设备1908和存储介质1904被实现为公共存储器组件。存储器设备1908还可以被用于存储由处理电路1910或者装置1900的某个其它组件操纵的数据。

存储介质1904可以表示一个或多个计算机可读的、机器可读的和/或处理器可读的设备，用于存储诸如处理器可执行代码或者指令(例如，软件、固件)之类的代码、电子数据、数据库或者其它数字信息。存储介质1904还可以被用于存储在执行代码时由处理电路1910操纵的数据。存储介质1904可以是能够由通用或者专用处理器存取的任何可用的介质，其包括便携的或者固定的存储设备、光存储设备、以及能够存储、装有或者携带代码的各种其它介质。

通过示例而非限制的方式，存储介质1904可以包括磁存储设备(例如，硬盘、软盘、磁带)、光盘(例如，压缩光盘(CD)或者数字多功能光盘(DVD))、智能卡、闪存设备(例如，卡、棒或者键驱动)、随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、寄存器、可移动盘、以及用于存储可以由计算机存取和读取的代码的任何其它适当的介质。存储介质1904可以被体现在制品(例如，计算机程序产品)中。举例而言，计算机程序产品可以包括封装材料中的计算机可读介质。鉴于上述内容，在一些实现方式中，存储介质1904可以是非暂时性的(例如，有形的)存储介质。

存储介质1904可以被耦合到处理电路1910，使得处理电路1910可以从存储介质1904读取信息，以及向存储介质1904写入信息。也就是说，存储介质1904可以被耦合到处理电路1910，使得存储介质1904至少可被处理电路1910存取，其包括至少一个存储介质是处理电路1910的组成部分的示例和/或至少一个存储介质与处理电路1910相分离的示例(例如，驻留在装置1900中、在装置1900之外、分布在多个实体之中等等)。

由存储介质1904存储的代码和/或指令，当被处理电路1910执行时，使得处理电路1910执行本文描述的各种功能和/或过程操作中的一个或多个。例如，存储介质1904可以包括被配置用于进行下列各项的操作：调节处理电路1910的一个或多个硬件模块的操作，以及利用它们各自的通信协议，利用网络通信接口1902进行通信。

处理电路1910通常适于进行处理，其包括对被存储在存储介质1904上的这样的代码/指令的执行。如本文使用的，无论被称为软件、固件、中间件、微代码、硬件描述语言还是其它术语，术语“代码”或者“指令”应当被广义地解释为包括但不限于：程序编制、指令、指令集、数据、代码、代码段、程序代码、程序、子程序、软件模块、应用、软件应用、软件包、例程、子例程、对象、可执行文件、执行的线程、过程、函数等等。

处理电路1910被布置为获得、处理和/或发送数据，控制数据存取和存储，发出命令，以及控制其它期望的操作。在至少一个示例中，处理电路1910可以包括：被配置为实现由适当的介质提供的期望的代码的电路。例如，处理电路1910可以被实现为一个或多个处理器、一个或多个控制器、和/或被配置为执行可执行代码的其它结构。处理电路1910的示例可以包括被设计为执行本文描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其它可编程逻辑组件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意组合。通用处理器可以包括微处理器，以及任何常规的处理器、控制器、微控制器或者状态机。处理电路1910还可以被实现为计算组件的组合，例如，DSP和微处理器的组合、多个微处理器、结合DSP内核的一个或多个微处理器，ASIC和微处理器、或者任何其它数量的不同的配置。处理电路1910的这些示例是出于说明的目的的，并且还预期在本公开内容的范围之内的其它适当的配置。

根据本公开内容的一个或多个方面，处理电路1910可以适于执行本文描述的装置中的任何或者所有装置的特征、过程、函数、操作和/或例程中的任何或者所有特征、过程、函数、操作和/或例程。如本文使用的，与处理电路1910有关的术语“适于”可以指代：处理电路1910通过被配置、被使用、被实现和/或被编程中的一种或多种，根据本文描述的各种特征来执行特定的过程、函数、操作和/或例程。

根据装置1900的至少一个示例，处理电路1910可以包括下列各项中的一项或多项：适于执行本文描述的特征、过程、函数、操作和/或例程(例如，关于图20-22描述的特征、过程、函数、操作和/或例程)中的任何或者所有特征、过程、函数、操作和/或例程的安全上下文建立电路/模块1920、控制平面密钥和用户平面密钥获得电路/模块1922、密钥传送电路/模块1924、安全上下文获得电路/模块1926、用户平面密钥确定电路/模块1928、分组接收电路/模块1930、分组解密和认证电路/模块1932、分组保护电路/模块1934和分组发送电路/模块1936。

安全上下文建立电路/模块1920可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1904上的安全上下文建立指令1940)：在第一网络节点处实现的控制平面网络功能单元处，建立用于客户端设备的安全上下文。

控制平面密钥和用户平面密钥获得电路/模块1922可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1904上的控制平面密钥和用户平面密钥生成获得1942)：在第一网络节点处实现的控制平面网络功能单元处，获得用于控制平面网络功能单元的控制平面密钥，和/或在第一网络节点处实现的控制平面网络功能单元处，获得用于第二网络节点处实现的用户平面网络功能单元的用户平面密钥。

密钥传送电路/模块1924可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1904上的密钥传送指令1944)：从第一网络节点处实现的控制平面网络功能单元，向第二网络节点处实现的用户平面网络功能单元传送用户平面密钥。

安全上下文获得电路/模块1926可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1904上的安全上下文获得指令1946)：在所述网络节点处实现的用户平面网络功能单元处，获得用于客户端设备的安全上下文。

用户平面密钥确定电路/模块1928可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1904上的用户平面密钥确定指令1948)：在所述网络节点处实现的用户平面网络功能单元处，确定要至少被用于对来自所述客户端设备的数据分组进行解密或者验证的密钥，和/或在所述网络节点处实现的用户平面网络功能单元处，确定与所述客户端设备相关联的至少一个密钥。

分组接收电路/模块1930可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1904上的分组接收指令1950)：在所述网络节点处实现的用户平面网络功能单元处，从所述客户端设备接收数据分组，和/或在所述网络节点处实现的用户平面网络功能单元处，从应用服务器或者网关接收针对所述客户端设备的数据分组。

分组解密和认证电路/模块1932可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1904上的分组解密和认证指令1952)：在所述网络节点处实现的用户平面网络功能单元处，基于所述密钥，对来自所述客户端设备的数据分组进行解密和验证。

分组保护电路/模块1934可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1904上的分组保护指令1954)：在所述网络节点处实现的用户平面网络功能单元处，使用所述至少一个密钥，对针对所述客户端设备的数据分组进行保护。

分组发送电路/模块1936可以包括适于执行与例如下列有关的若干功能的电路和/或指令(例如，被存储在存储介质1904上的分组发送指令1956)：从所述网络节点处实现的用户平面网络功能单元处，向下一跳网络节点发送针对所述客户端设备的数据分组。

如上面提及的，由存储介质1904存储的指令，当被处理电路1910执行时，使得处理电路1910执行本文描述的各种功能和/或过程操作中的一个或多个。例如，存储介质1904可以包括下列各项中的一项或多项：安全上下文建立指令1940、控制平面密钥和用户平面密钥获得指令1942、密钥传送指令1944、安全上下文获得指令1946、用户平面密钥确定指令1948、分组接收指令1950、分组解密和认证指令1952、分组保护指令1954和分组发送指令1956。

图20是示出了根据本公开内容的各个方面的用于在IoT网络架构中进行通信的方法的流程图2000。该方法可以由诸如第一网络节点之类的装置来执行。例如，第一网络节点(例如，网络节点707)可以实现控制平面网络功能单元(例如，IoTF-C 706)。第一网络节点在该网络节点处实现的控制平面网络功能单元处，建立用于客户端设备的安全上下文2002。在方面中，第一网络节点通过与客户端设备执行相互认证过程，来建立用于客户端设备的安全上下文。

第一网络节点在该第一网络节点处实现的控制平面网络功能单元处，获得用于控制平面网络功能单元的控制平面密钥2004。第一网络节点在该第一网络节点处实现的控制平面网络功能单元处，获得用于第二网络节点处实现的用户平面网络功能单元的用户平面密钥2006。在方面中，第一网络节点通过根据在相互认证过程期间建立的会话凭证推导用户平面密钥，来获得用户平面密钥。第一网络节点从该第一网络节点处实现的控制平面网络功能单元，向第二网络节点处实现的用户平面网络功能单元传送该用户平面密钥2008。

图21是示出了根据本公开内容的各个方面的用于在IoT网络架构中进行通信的方法的流程图2100。该方法可以由诸如网络节点之类的装置来执行。例如，该网络节点(例如，网络节点707)可以实现用户平面网络功能单元(例如，IoTF-U 708)。该网络节点在该网络节点处实现的用户平面网络功能单元处，获得用于客户端设备的安全上下文2102。在方面中，该网络节点通过从该网络节点的控制平面网络功能单元接收安全上下文，来获得该安全上下文。该网络节点在该网络节点处实现的用户平面网络功能单元处，确定要至少被用于对来自客户端设备的数据分组进行解密或者验证的密钥2104。该网络节点在该网络节点的用户平面网络功能单元处，从客户端设备接收数据分组2106。该网络节点在该网络节点处实现的用户平面网络功能单元处，基于所述密钥，对来自客户端设备的数据分组进行解密和验证2108。

图22是示出了根据本公开内容的各个方面的用于在IoT网络架构中进行通信的方法的流程图2200。该方法可以由诸如网络节点之类的装置来执行。例如，该网络节点(例如，网络节点707)可以实现用户平面网络功能单元(例如，IoTF-U 708)。

该网络节点在该网络节点处实现的用户平面网络功能单元处，获得用于客户端设备的安全上下文2202。该网络节点在该网络节点处实现的用户平面网络功能单元处，从应用服务器或者网关接收针对客户端设备的数据分组2204。该网络节点在该网络节点处实现的用户平面网络功能单元处，确定与该客户端设备相关联的至少一个密钥2206。该网络节点在该网络节点处实现的用户平面网络功能单元处，使用所述至少一个密钥，对针对该客户端设备的数据分组进行保护2208。该网络节点从该网络节点处实现的用户平面网络功能单元，向下一跳网络节点发送针对该客户端设备的数据分组2210。

附图中示出的组件、步骤、特征和/或功能中的一个或多个可以被重新排列和/或组合成单个组件、步骤、特征或者功能，或者被体现在若干组件、步骤或者功能中。在不背离本文公开的新颖性特征的情况下，还可以添加另外的单元、组件、步骤和/或功能。附图中示出的装置、设备和/或组件可以被配置为执行本文描述的方法、特征或者步骤中的一个或多个。本文描述的新颖性算法还可以被高效地实现在软件中和/或被嵌入到硬件中。

应当理解的是，公开的方法中的步骤的特定的顺序或者层次是对示例性过程的说明。应当理解的是，基于设计偏好，可以重新排列方法中的步骤的特定的顺序或者层次。所附方法权利要求以作为例子的顺序呈现各个步骤的要素，并不意指被限定到呈现的特定的顺序或者层次，除非其中明确地记载。在不背离本公开内容的情况下，还可以添加或者不利用另外的单元、组件、步骤和/或功能单元。

虽然已经相对于某些实现方式和附图讨论了本公开内容的特征，但是本公开内容的所有实现方式可以包括本文讨论的有利特征中的一个或多个。换句话说，虽然已经将一种或多种实现方式讨论为具有某些有利特征，但是根据本文讨论的各种实现方式中的任何实现方式，还可以使用这样的特征中的一个或多个特征。以类似的方式，虽然本文将示例性的实现方式讨论为设备、系统或者方法实现方式，但是应当理解的是，这样的示例性实现方式可以被实现在各种设备、系统和方法中。

此外，应当注意到的是，至少一些实现方式已经被描述为过程，所述过程被描绘为流程图、流程示意图、结构图或者框图。尽管流程图可以将操作描述为顺序的过程，但是操作中的很多操作可以并行地或者同时地执行。此外，可以重新排列操作的顺序。当其操作被完成时，过程也就终止了。在一些方面中，过程可以与方法、函数、程序(procedure)、子例程、子程序等相对应。当过程与函数相对应时，其终止与该函数到调用函数或者主函数的返回相对应。本文描述的各种方法中的一种或多种方法可以部分地或者全部地通过程序编制(例如，指令和/或数据)来实现，其中所述程序编制可以被存储在机器可读的、计算机可读的和/或处理器可读的存储介质中，并且被一个或多个处理器、机器和/或设备执行。

本领域的技术人员还应当意识到的是，结合本文公开的实现方式描述的各种说明性的逻辑框、模块、电路和算法步骤可以被实现为硬件、软件、固件、中间件、微代码或者其任意组合。为了清楚地说明这种可互换性，上面已经对各种说明性的组件、框、模块、电路和步骤围绕其功能进行了总体描述。至于这样的功能是被实现为硬件还是软件，取决于特定的应用和被施加到整个系统上的设计约束。

在本公开内容中，使用词语“示例性”来意指“充当示例、实例或者说明”。本文作为“示例性”描述的任何实现方式或者方面不必然地被解释为优选的或者比本公开内容的其它方面具有优势。同样地，术语“方面”并不要求本公开内容的所有方面包括所讨论的特征、优点或者操作的模式。本文使用术语“耦合的”来指代两个物体之间的直接地或者间接地耦合。例如，如果物体A物理地接触物体B，并且物体B接触物体C，则物体A和C仍然可以被视为被耦合至彼此——即使它们不直接物理地接触彼此。例如，即使第一管芯从未与第二管芯直接物理地接触，第一管芯也可以被耦合到封装中的第二管芯。术语“电路”和“电路系统”被广义地使用，并且旨在包括电子设备和导体的硬件实现方式(当所述电子设备和导体被连接和配置时，实现本公开内容中描述的功能的性能，而不受限于电子电路的类型)以及信息和指令的软件实现方式(当所述信息和指令被处理器执行时，实现本公开内容中描述的功能的性能)二者。

如本文使用的，术语“确定”涵盖各种各样的动作。例如，“确定”可以包括计算、运算、处理、推导、研究、查找(例如，在表格、数据库或者另一数据结构中查找)、查明等等。此外，“确定”可以包括接收(例如，接收信息)、存取(例如，存取存储器中的数据)等等。此外，“确定”可以包括解决、选择、挑选、建立等等。如本文使用的，术语“获得”可以包括一个或多个动作，其包括但不限于：接收、生成、确定或者其任意组合。

提供先前的描述，以使得本领域的任何技术人员能够实践本文描述的各个方面。对于本领域的技术人员来说，对这些方面的各种修改将是显而易见的，并且本文定义的一般性原理可以被应用于其它方面。因此，权利要求不旨在被限定到本文示出的方面，而是要被授予与权利要求所表达的内容相一致的全部范围，其中，除非特别如此说明，否则用单数形式对要素的提及并不旨在意指“一个和仅仅一个”，而是“一个或多个”。除非另外特别说明，否则术语“一些”指代一个或多个。涉及项目的列表“中的至少一个”的短语指代这些项目的任意组合，其包括单个成员。举例而言，“a、b或c中的至少一个”旨在涵盖：a；b；c；a和b；a和c；b和c；a、b和c。对贯穿本公开内容描述的各个方面的要素的所有结构的和功能的等价物通过引用方式被明确地并入本文，并且旨在由权利要求所包含，所述所有结构的和功能的等价物对于本领域的普通技术人员来说是已知的或者稍后将要已知的。此外，本文公开的任何内容都不旨在要奉献给公众，不管这样的公开内容是否被明确地记载在权利要求中。不应当根据美国专利法第112条第6款来解释任何权利要求的要素，除非该要素是使用“用于……的单元”的短语来明确地记载的，或者在方法权利要求的情况下，该要素是使用“用于……的步骤”的短语记载的。

因此，在不背离本公开内容的范围的情况下，可以在不同的示例和实现方式中实现与本文描述的以及在附图中示出的示例相关联的各种特征。因此，虽然已经描述并且在附图中示出了某些特定的构造和排列，但是这样的实现方式仅仅是说明性的，并不限制本公开内容的范围，由于对于本领域的普通技术人员来说，对所描述的实现方式的各种其它添加和修改以及从其中删除是显而易见的。因此，本公开内容的范围仅仅是由所附权利要求书的字面语言及法律等同物来确定的。

Claims (15)

1.一种用于网络中的客户端设备的方法，包括：

向所述网络进行注册；

至少获得与第一网络节点处实现的用户平面网络功能单元共享的用户平面密钥或者与第二网络节点处实现的控制平面网络功能单元共享的控制平面密钥；

利用所述用户平面密钥来保护数据分组，或者利用所述控制平面密钥来保护控制分组，其中，所述数据分组包括用于指示将在所述第一网络节点处处理所述数据分组的第一目的地信息，所述第一目的地信息使得网络接入节点能够将所述数据分组转发给所述第一网络节点，并且其中，所述控制分组包括用于指示将在所述第二网络节点处处理所述控制分组的第二目的地信息，所述第二目的地信息使得所述网络接入节点能够将所述控制分组转发给所述第二网络节点；

向所述网络发送所保护的数据分组或者所保护的控制分组；以及

向所述网络发送加密的客户端设备上下文，

其中，所述加密的客户端设备上下文至少包括所述用户平面密钥或所述控制平面密钥，并且能够在所述网络处为所述客户端设备重建至少安全上下文，所述安全上下文能够在所述网络处对所保护的数据分组或者所保护的控制分组进行解密和/或验证。

2.根据权利要求1所述的方法，还包括：

从所述网络接收分组；

确定所接收的分组是包括数据还是包括控制信息；以及

基于所述确定，利用所述用户平面密钥或者所述控制平面密钥对所接收的分组进行解码。

3.根据权利要求2所述的方法，其中，对所接收的分组进行解码包括：

利用所述用户平面密钥或者所述控制平面密钥，对所接收的分组进行解密和验证。

4.根据权利要求3所述的方法，其中，对所接收的分组进行验证包括：

基于所接收的分组和所述用户平面密钥或者所述控制平面密钥二者之一，通过应用消息认证码生成算法，来确定第一消息认证码；以及

将所述第一消息认证码和与所接收的分组相关联的第二消息认证码进行比较。

5.根据权利要求1所述的方法，还包括：

获得用户平面安全上下文或者控制平面安全上下文中的至少一个，其中，所述用户平面安全上下文指示针对所述客户端设备的关于用户平面的网络状态信息，所述控制平面安全上下文指示针对所述客户端设备的关于控制平面的网络状态信息。

6.根据权利要求5所述的方法，其中，获得所述用户平面安全上下文包括：基于所述用户平面密钥来推导第一加密密钥和第一完整性密钥，并且其中，获得所述控制平面安全上下文包括：基于所述控制平面密钥来推导第二加密密钥和第二完整性密钥。

7.根据权利要求5所述的方法，其中，所述用户平面安全上下文或者所述控制平面安全上下文不包括接入层安全保护。

8.根据权利要求2所述的方法，其中，用户平面网络功能单元标识符或者控制平面网络功能单元标识符被包括在所接收的分组的报头中，并且其中，所述客户端设备被注册在减少数据传送模式下。

9.根据权利要求1所述的方法，其中，所述数据分组是基于所述用户平面密钥来进行加密或者完整性保护的，或者是基于所述用户平面密钥来既进行加密又进行完整性保护的，并且其中，所述控制分组是基于所述控制平面密钥来进行加密或者完整性保护的，或者是基于所述控制平面密钥既进行加密又进行完整性保护的。

10.根据权利要求1所述的方法，其中，所述向所述网络进行注册包括：

发送对于附着到所述网络的请求；以及

从所述网络接收响应于所述请求的、与认证过程相关联的消息，

其中，所述用户平面密钥或者所述控制平面密钥是基于所述消息来获得的，并且其中，所述附着请求指示所述客户端设备要在减少数据传送模式下附着。

11.一种客户端设备，包括：

通信电路，其被配置为与一个或多个网络实体进行通信；以及

处理电路，其被耦合到所述通信电路，所述处理电路被配置为：

向网络进行注册；

至少获得与第一网络节点处实现的用户平面网络功能单元共享的用户平面密钥或者与第二网络节点处实现的控制平面网络功能单元共享的控制平面密钥；

利用所述用户平面密钥来保护数据分组，或者利用所述控制平面密钥来保护控制分组，其中，所述数据分组包括用于指示将在所述第一网络节点处处理所述数据分组的第一目的地信息，所述第一目的地信息使得网络接入节点能够将所述数据分组转发给所述第一网络节点，并且其中，所述控制分组包括用于指示将在所述第二网络节点处处理所述控制分组的第二目的地信息，所述第二目的地信息使得所述网络接入节点能够将所述控制分组转发给所述第二网络节点；

向所述网络发送所保护的数据分组或者所保护的控制分组；以及

向所述网络发送加密的客户端设备上下文，

其中，所述加密的客户端设备上下文至少包括所述用户平面密钥或所述控制平面密钥，并且能够在所述网络处为所述客户端设备重建至少安全上下文，所述安全上下文能够在所述网络处对所保护的数据分组或者所保护的控制分组进行解密和/或验证。

12.根据权利要求11所述的客户端设备，其中，所述处理电路还被配置为：

从所述网络接收分组；

确定所接收的分组是包括数据还是包括控制信息；以及

基于所述确定，利用所述用户平面密钥或者所述控制平面密钥对所接收的分组进行解码。

13.根据权利要求12所述的客户端设备，其中，被配置为对所接收的分组进行解码的所述处理电路还被配置为：

利用所述用户平面密钥或者所述控制平面密钥，对所接收的分组进行解密和验证。

14.根据权利要求13所述的客户端设备，其中，被配置为对所接收的分组进行验证的所述处理电路还被配置为：

基于所接收的分组和所述用户平面密钥或者所述控制平面密钥二者之一，通过应用消息认证码生成算法，来确定第一消息认证码；

将所述第一消息认证码和与所接收的分组相关联的第二消息认证码进行比较。

15.根据权利要求11所述的客户端设备，其中，所述处理电路还被配置为：

获得用户平面安全上下文或者控制平面安全上下文中的至少一个，其中，所述用户平面安全上下文指示针对所述客户端设备的关于用户平面的网络状态信息，所述控制平面安全上下文指示针对所述客户端设备的关于控制平面的网络状态信息。

Images