CN110476448B - 用于大规模物联网设备的基于组的上下文和安全性 - Google Patents
用于大规模物联网设备的基于组的上下文和安全性 Download PDFInfo
- Publication number
- CN110476448B CN110476448B CN201880022945.XA CN201880022945A CN110476448B CN 110476448 B CN110476448 B CN 110476448B CN 201880022945 A CN201880022945 A CN 201880022945A CN 110476448 B CN110476448 B CN 110476448B
- Authority
- CN
- China
- Prior art keywords
- group
- iot
- context
- message
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 389
- 238000012545 processing Methods 0.000 claims abstract description 28
- 238000004891 communication Methods 0.000 claims description 82
- 230000006870 function Effects 0.000 claims description 75
- 230000004044 response Effects 0.000 claims description 75
- 230000005540 biological transmission Effects 0.000 claims description 58
- 238000007726 management method Methods 0.000 claims description 43
- 238000003860 storage Methods 0.000 claims description 34
- 238000004422 calculation algorithm Methods 0.000 claims description 11
- 238000012986 modification Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 6
- 238000013523 data management Methods 0.000 claims description 3
- 230000011664 signaling Effects 0.000 abstract description 46
- 230000001413 cellular effect Effects 0.000 abstract description 8
- 230000007704 transition Effects 0.000 abstract description 8
- 230000008569 process Effects 0.000 description 139
- 238000010586 diagram Methods 0.000 description 42
- 238000012546 transfer Methods 0.000 description 24
- 230000007246 mechanism Effects 0.000 description 17
- 239000000463 material Substances 0.000 description 10
- 238000013459 approach Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 9
- 238000002360 preparation method Methods 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 238000006243 chemical reaction Methods 0.000 description 6
- 230000007774 longterm Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 5
- 238000005457 optimization Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000010276 construction Methods 0.000 description 4
- 238000009795 derivation Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 238000013468 resource allocation Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000012937 correction Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 238000012384 transportation and delivery Methods 0.000 description 3
- 101100368725 Bacillus subtilis (strain 168) tagF gene Proteins 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000010267 cellular communication Effects 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 230000006837 decompression Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- IBIKHMZPHNKTHM-RDTXWAMCSA-N merck compound 25 Chemical compound C1C[C@@H](C(O)=O)[C@H](O)CN1C(C1=C(F)C=CC=C11)=NN1C(=O)C1=C(Cl)C=CC=C1C1CC1 IBIKHMZPHNKTHM-RDTXWAMCSA-N 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- OCKGFTQIICXDQW-ZEQRLZLVSA-N 5-[(1r)-1-hydroxy-2-[4-[(2r)-2-hydroxy-2-(4-methyl-1-oxo-3h-2-benzofuran-5-yl)ethyl]piperazin-1-yl]ethyl]-4-methyl-3h-2-benzofuran-1-one Chemical compound C1=C2C(=O)OCC2=C(C)C([C@@H](O)CN2CCN(CC2)C[C@H](O)C2=CC=C3C(=O)OCC3=C2C)=C1 OCKGFTQIICXDQW-ZEQRLZLVSA-N 0.000 description 1
- 101150119040 Nsmf gene Proteins 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 238000004873 anchoring Methods 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000005670 electromagnetic radiation Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000017525 heat dissipation Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000010363 phase shift Effects 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
- H04W4/08—User group management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/76—Group identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/27—Transitions between radio resource control [RRC] states
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/10—Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/13—Cell handover without a predetermined boundary, e.g. virtual cells
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了用于对与当前的蜂窝网络和下一代5G系统兼容的大规模物联网(M‑IoT)设备进行高效的基于组的处理的系统和方法。示例允许减少(无线)接入网(R)AN与核心网(CN)之间的源自用于IoT设备从IDLE转变为CONNECTED模式的不必要的信令业务的开销,尤其是当发送小数据分组时。另外,或在其他实施例中,对于基于组的M‑IoT提供了移动性解决方案。
Description
相关申请
本申请是2017年4月17日提交的美国临时专利申请No.62/486,197、2017年10月2日提交的美国临时专利申请No.62/566,731和2017年11月17日提交的美国临时专利申请No.62/588,033的非临时申请,它们均通过引用整体合并于此。
技术领域
本申请总体上涉及无线通信系统,并且更具体地涉及组通信。
背景技术
无线移动通信技术使用各种标准和协议在基站与无线移动设备之间传输数据。无线通信系统标准和协议可以包括:第三代合作伙伴项目(3GPP)长期演进(LTE);电气和电子工程师协会(IEEE)802.16标准,业界通常称为全球微波接入互操作性(WiMAX);和用于无线局域网(WLAN)的IEEE 802.11标准,业界通常称为Wi-Fi;和MulteFire联盟开发的MulteFire标准。在LTE系统中的3GPP无线接入网(RAN)中,基站可以包括RAN节点(例如,演进通用陆地无线接入网(E-UTRAN)节点B(通常也表示为演进节点B、增强节点B、eNodeB或eNB))和/或E-UTRAN中的无线电网络控制器(RNC),它们与无线通信设备(称为用户设备(UE))通信,并且在MulteFire系统中可以包括MF-AP。在第五代(5G)无线RAN中,RAN节点可以包括5G节点、新空口(NR)节点或g节点B(gNB)。下面讨论5G系统的附加细节。
发明内容
根据本申请的一方面,提供了一种在通信网络中用于第一网络实体处理一组通信设备的基于组的上下文和安全性的装置,所述装置包括:存储器接口,用于:向存储器设备发送或从存储器设备接收与用户平面路由配置文件和组安全性上下文对应的信息;和处理器,用于:为服务创建与该组通信设备对应的组上下文,其中,所述组上下文包括所述用户平面路由配置文件和所述组安全性上下文;基于该组通信设备的服务订阅,确定该组通信设备要用于所述服务的网络切片;以及生成消息,以将所述组上下文传递到第二网络实体,以用于存储并用于对为了通过所述通信网络进行分组传输而从空闲或不活动模式返回到连接模式的一个或多个通信设备进行认证。
根据本申请的另一方面,提供了一种用于认证服务器功能AUSF在移动网络中提供组安全性控制的方法,所述方法包括:通过用于完整性的第一安全性密钥(KNASint)和用于机密性的第二安全性密钥(KNASenc)验证物联网IoT设备;响应于从所述IoT设备接收到的第二消息,将第一消息发送到组授权方GA,以用于管理用于所述IoT设备组登记,其中,所述第一消息包括第一令牌(TK1),以用于所述IoT设备连同包括nonce、用户设备UE安全性能力和标识符的会话信息一起传递第三秘密密钥(k),并且其中,所述GA使用第二令牌(TK2),以连同所述会话信息一起传递所述第三安全性密钥(k)和随机种子数。
附图说明
图1是示出附着过程的信号流程图。
图2是示出服务请求过程的信号流程图。
图3是根据本文描述的某些实施例的用于下一代系统或5G系统的参考系统架构的框图。
图4是示出遗留EPC与某些公开的实施例之间的一些差异的示例系统架构和表格的框图。
图5是示出根据某些实施例的组上下文创建和无连接用户平面传输的信号流程图。
图6是示出根据某些实施例的用于保护大规模IOT服务的高层次安全控制过程的信号流程图。
图7是示出根据一个实施例的示例密钥层级结构的框图。
图8是示出根据一个实施例的示例密钥层级结构的框图。
图9是示出根据一个实施例的协议消息细节和组登记过程的某些操作的图示。
图10A是示出根据一个实施例的用于基于组的上下文和安全性的高层次处理的流程图。
图10B是示出根据另一实施例的用于基于组的上下文和安全性的高层次处理的流程图。
图11是通信系统的非漫游参考架构的框图。
图12是示出根据一个实施例的基于组的上下文和安全性处理的信号流程图。
图13是示出了由某些实施例生成的组密钥层级结构的框图。
图14是示出根据一个实施例的用于组服务建立的处理的信号流程图。
图15是示出了根据一个实施例的IoT-UE发起的组登记过程的信号流程图。
图16是示出附着和认证过程的信号流程图。
图17是示出根据一个实施例的用于IoT-UE从IDLE/INACTIVE模式进入CONNECTED模式的信令开销低的UP数据传输的示例的信号流程图。
图18是示出根据某些实施例的被修改为处理组上下文和安全性上下文的AMF/UPF内切换过程的信号流程图。
图19是示出根据某些实施例的被修改为处理组上下文和安全性上下文的具有或不具有AMF/UPF改变的NG-RAN节点间基于N2的切换的准备阶段的信号流程图。
图20是示出根据某些实施例的被修改为处理组上下文和安全性上下文的具有或不具有AMF/UPF改变的NG-RAN节点间基于N2的切换的执行阶段的信号流程图。
图21示出了根据一些实施例的网络的系统的架构。
图22示出了根据一些实施例的设备的示例组件。
图23示出了根据一些实施例的基带电路的示例接口。
图24是根据一些实施例的控制平面协议栈的图示。
图25是根据一些实施例的用户平面协议栈的图示。
图26示出了根据一些实施例的核心网的组件。
图27是示出根据一些示例实施例的能够从机器可读或计算机可读介质读取指令并执行本文讨论的任何一种或多种方法的组件的框图。
图28是示出根据一个实施例的示例组密钥管理处理的框图。
具体实施方式
以下详细描述参考附图。可以在不同附图中使用相同的附图标记来识别相同或相似的要素。在以下描述中,出于解释而非限制的目的,阐述了诸如特定结构、架构、接口、技术等的具体细节,以便提供对各种实施例的各个方面的透彻理解。然而,对于受益于本公开的本领域技术人员显而易见的是,各种实施例的各个方面可以在脱离这些具体细节的其他示例中实施。在某些情况下,省略对公知设备、电路和方法的描述,以免不必要的细节掩盖对各种实施例的描述。出于本文件的目的,短语“A或B”表示(A)、(B)或(A和B)。
在遗留3GPP演进分组系统(EPS)和3GPP 5G系统(5GS)中,典型地在通用分组无线电服务(GPRS)隧穿协议(GTP)隧道上执行来自(无线)接入网(R)AN和核心网(CN)处的用户平面功能的用户设备(UE)用户平面数据传输。该连接通常也称为分组数据网络(PDN)连接。在EPS中,该隧道建立在eNB、服务网关(S-GW)与PDN网关(P-GW)之间。类似地,在5G系统中,GTP隧道建立在服务于UE的gNB与所选择的用户平面功能(UPF)之间。
该隧道是按UE建立的,并且是关于常规UE(例如,智能电话)而定制的机制,在没有特定服务质量(QoS)参数的情况下请求服务。4G和5G系统的目标之一就是对于大规模物联网(M-IoT)(例如,蜂窝网络所服务的大型智能电力计量部署)的支持。IoT设备生成的业务典型地是不频繁的,具有小的数据,并且处于节点。作为示例,考虑周期性地发送测量报告的电力智能仪表。此外,在不活动时段期间,IoT设备切换到IDLE模式,以用于节能。
在蜂窝网络中添加M-IoT支持带来新的可扩展性问题,这进而对网络可用性造成威胁。当服务于大群体的IoT设备(在本文中也称为IoT UE)时,分配以维护用户平面连接性的上下文以及用于建立该上下文的控制平面信令生成可扩展性限制和所谓的“信令风暴”(后者归因于大量信令交换)。在M-IoT的上下文中,例如,可能因IoT UE尝试建立用于用户平面传输的PDN连接而引起信令风暴。当IoT UE设备从IDLE/INACTIVE模式返回CONNECTED模式时,也可能因服务请求或跟踪区域更新过程而引起信令风暴。
作为示例,对于EPS系统,关于图1和图2示出该问题(注意,5G系统共享相同设计问题)。图1是示出附着过程的信号流程图。见例如3GPP技术规范(TS)23.401章节5.3.2(为了简明,移除进程1-11)。图1示出UE 110、eNB 112、MME 114(示为新MME)或共站的MME/服务GPRS支持节点(SGSN)116(示为旧MME/SGSN)、S-GW 117、P-GW 118、策略和计费规则功能(PCRF)120和归属用户服务器(HSS)122之间的信令。具体地说,在MME 114、S-GW 117和P-GW118之间交换若干创建会话请求/响应消息,以在初始附着请求期间建立GTP隧道以用于每个UE的用户平面数据传输。
只要UE处于CONNECTED模式下,UE的PDN上下文就保留在(R)AN层级。也就是说,当UE转变到IDLE模式时,(R)AN(例如,服务eNB 112)驱出UE的上下文。为了重建立PDN连接,UE110(例如IoT UE)使用服务请求过程。例如,图2是示出服务请求过程的信号流程图。见例如3GPP TS 23.401章节5.3.4。作为所示进程的一部分,服务eNB 112创建与MME 114的S1连接,使得获取存储GTP隧道信息和安全性参数的UE的上下文。
在仅需要不频繁的分组传输的IoT服务(例如,水/电表或人体健康表)的情况下,这种信令开销可能极大地是不必要的,并且可能导致网络资源消耗。大规模IoT部署中的蜂窝连接性的所预测的广泛采用可能加剧该问题。此外,即使当设备处于IDLE模式下(添加用于设备的新INACTIVE状态)时允许(R)AN层级处的UE的PDN上下文保持将仅部分解决上述问题。虽然当IoT设备进入CONNECTED模式时将不活动的UE的上下文保持在(R)AN处势必缓解信令风暴,但单独GTP隧道建立所生成的信令风暴仍未解决。
与本文公开的实施例(例如,EPS中的MME-到-HSS、或5GS中的AMF-AUSF/UDM)相比,用于解决这些问题的多数遗留方法具有不同目标,即,保护不同的链路。此外,许多现有方法是不切实际的,因为它们并不与EPS认证和密钥协议(AKA)协议后向兼容,可能使用非标准和/或重量级加密(例如,基于身份的加密、基于配对的加密),和/或尝试聚合来自UE的认证响应(仅对非常静态和同步的组和/或具有时延的折中起作用)。
因此,本文的特定实施例可以按组高效地服务于大型IoT设备,而不生成压制性的信令开销,并且不危及IoT设备的安全性。本文公开的一些实施例可应用于5GS和EPS。
本公开的其余部分组织为三个主要部分:A.关于用于M-IoT设备的基于组的上下文和安全性的示例实施例;B.关于用于M-IoT设备的基于组的上下文和安全性的附加或替选实施例;和C.关于用于M-IoT的基于组的安全性的移动性支持。
A.关于用于M-IoT设备的基于组的上下文和安全性的示例实施例
根据某些实施例,核心网(CN)和RAN节点为特定IoT服务组管理共享的组上下文。共享的组上下文包括用户平面路由配置文件和组安全性上下文二者。用户平面路由配置文件共享于分配有IPv4地址池内的互联网协议版本4(IPv4)地址、互联网协议版本6(IPv6)前缀或公共网络切片的IoT设备之间。也就是说,网络经由公共用户平面路由策略发送IP/非IP分组。组安全性参数存储组密钥和有关安全性参数。当开始传输IP分组和/或非IP分组时,单个IoT设备进行组登记过程,存储对应安全性参数,并且应用安全性参数。
可以经由IP地址分配策略(例如,所分配的IPv6前缀或IPv4地址池)或经由网络切片分配关联核心网切片和RAN切片。
当IoT设备从空闲不活动模式返回到连接模式以用于用户平面分组传输时,RAN节点使用共享的组上下文以对IoT设备进行认证,并且实施所存储的路由策略以转发用户平面分组。在RAN节点与核心网之间并不交换信令消息。
所指定的组安全性机制使用与遗留EPS密钥层级结构兼容的对称密钥方法。
一些实施例可以具有以下优点中的一个或多个:核心网切片和RAN切片可以经由IP地址分配策略(例如,所分配的IPv6前缀或IPv4地址池)或经由网络切片分配得以关联,这样在核心网和RAN处提供统一的机制,并且仍然在每个切片上留有灵活性,以在核心网和RAN上配置独立的策略;RAN节点仅存储包括用于IoT设备组安全性参数和路由策略的共享的组上下文。控制平面-用户平面功能(CP-UPF)中的RAN节点和一个或多个数据网关无需保持单独设备上下文以用于存储不频繁的分组传输的路由策略(例如,在当关于所传送的IP分组从应用服务器接收移动端接的确认消息的情况的情况下,这样可以是有益的);组上下文机制减少用于每个单独IoT设备的安全性参数的存储空间以及还有当IoT设备从空闲返回连接模式时用于获取用于每个单独IoT设备的安全性参数的信令开销。所指定的组安全性机制使用对称密钥方法,其与遗留EPS密钥层级结构是兼容的,是轻型实施例,并且适合于低端IoT设备(例如,对称密钥方法可以避免重型的并且可能依赖于公钥基础结构(PKI)的非对称密钥方法的缺点);轻型安全性控制机制适合于具有有限计算能力的约束IoT设备;和/或共享的组上下文可以避免生成压制性的信令开销,并且同时不危及IoT设备的安全性。
图3是根据本文描述的某些实施例的用于下一代系统(NGS)或5G系统的参考系统架构300的框图。见例如3GPP TS 23.501。然而,如所提及的,本文描述的实施例可以可适用于NGS(5GS)和EPS二者。所示的架构300包括核心网控制平面功能(CN-CPF)310、核心网用户平面功能(CN-UPF)312、通用数据管理(UDM)314功能、(R)AN节点316、数据网络(DN)318和UE320(其可以是IoT设备或UE IoT)。还示出对应接口N1、N2、N3、N4、N6、N8和N11。
CN-UPF 310包括接入和移动性管理功能(AMF)322和会话管理功能(SMF)324。AMF322用于注册/连接/安全性上下文管理等,并且向(R)AN 316提供路由策略。SMF 324用于确定用于UE 320(例如,IoT设备)请求的服务的路由策略,并且用于在一个或多个受影响的数据网关(DGW)上配置/重配置路由策略。
CN-UPF 312可以包括一个或多个DGW(未示出)。CN-UPF 312将向SMF 324提供网络负载信息,在受影响的DGW处配置路由策略,并且将业务分组转发到路由策略中所配置的下一DGW或DN 318。
UDM 314用作订阅库并且存储设备/服务订阅信息。
(R)AN 316建立并且保持组上下文,识别从UE 320发送的用户平面业务,实施在CN-CPF 310中由AMF 322和/或SMF 324提供的路由策略,并且在层2消息中分配用于UE 320的无线资源。
如果得到授权,则作为IoT设备的UE 320向(R)AN节点发送控制平面信令消息/用户平面分组业务。
图4是示出遗留EPC与特定公开实施例之间的一些差异的示例系统架构400和表401的框图。在所示示例中,使用基于EPS的架构,其中,与图3所示的NGS/5GS架构300相比,MME 410对应于CN-CPF 310中的AMF 322,eNB 412对应于(R)AN 316,并且S-GW/P-GW 414对应于CN-UPF 312。还示出UE(1)416至UE(n)418。在网络附着操作中,第一进程420包括对于每个设备(例如,UE(1)…UE(n))在UE与MME 410之间的EPS AKA和非接入层(NAS)。所公开的实施例加入附加组登记进程422,其将UE登记到组并且将组上下文保持在eNB412处。
在遗留EPC系统中,网络附着操作还包括对于每个设备(例如UE(1)…UE(n))在MME410与S-GW/P-GW 414之间的GTP隧道建立进程424。然而,在本文公开的某些实施例中,GTP隧道建立进程424包括对于组在MME 410与S-GW/P-GW 414之间的单个GTP隧道建立。因此,在所公开的实施例中,对于组共享GTP隧道(对于各设备在MME410与S-GW/P-GW 414之间的信令得以节省或消除,以减少开销)。
在从空闲到连接模式的转变中,遗留EPC系统包括eNB与MME410之间的获取安全性上下文进程426,其在本文公开的某些实施例中被跳过。因此,在某些实施例中,用于获取安全性上下文的eNB 412与MME410之间的信令得以节省或消除。
此外,当在遗留EPC系统中从空闲转变为连接模式时,用户平面(UP)通信428产生在UE(例如,UE(1)……E(n))与eNB 412之间。在本文所描述的某些实施例中,通过从组安全性上下文导出的密钥执行UE(例如,UE(1)……E(n))与eNB 412之间的用户平面通信428。从组密钥导出各密钥。
此外,当在遗留EPC系统中从空闲转变为连接模式时,用户平面从eNB 412隧穿(430)到P-GW。然而,在本文公开的某些实施例中,用户平面经由组隧道从eNB 412隧穿(430)到S-GW/P-GW 414。
如下所述,某些实施例提供用于提供高效且安全的IoT服务的三种解决方案。第一解决方案为有关M-IoT服务创建组,第二解决方案提供无连接用户平面传输,并且第三解决方案提供组安全性控制。在这些实施例中,组上下文可以包括以下中的一个或多个:1)无连接用户平面路由上下文,其使得所有用户业务能够在共享隧道内被路由,并且因此减少用于用户平面的信令开销;和/或2)组安全性上下文,其建立对于组内的成员用于保护空中传输的密钥,并且将该安全性上下文保留在RAN处以减少用于控制平面的信令开销。解决方案可以应用在IoT服务或UE/RAN/CN能力的不同使用情况下。例如,可以单独地或一起地使用无连接用户平面路由上下文,以实现关于信令开销的最大减少。
在示例实施例中,组上下文包括无连接用户平面路由上下文和组安全性上下文二者。也就是说,这三种解决方案可以应用于要求在用户平面业务传输之后进入空闲/不活动模式的IoT设备和RAN/CN切片能够进行用户平面和控制平面信令优化二者的IoT服务。
在另一示例实施例中,组上下文仅包含无连接用户平面传输上下文。第二解决方案可以应用于要求在用户平面业务传输之后执行去附着过程的IoT设备或CN/RAN切片二者仅能够进行用户平面信令优化机制的IoT服务。在此情况下,RAN节点可以对于所有IoT设备存储单独安全性上下文和无连接用户平面传输上下文。在此情况下,仅完成CN信令优化。
在另一示例实施例中,组上下文仅包含组共享上下文。也就是说,第三解决方案可以应用于要求在用户平面业务传输之后进入不活动状态的IoT设备或RAN/CN切片仅能够进行组共享安全性机制的IoT服务。在此情况下,RAN节点可以存储用于每个IoT设备的单独用户平面传输上下文以及用于认证IoT服务的组成员资格的组共享上下文。
A(1)组上下文创建
第一解决方案引入用于关于IoT服务授权的IoT设备组的组上下文,其中,组上下文包括用户平面路由配置文件和组安全性上下文。用户平面路由配置文件包括RAN节点与UPF中的DGW之间的分组转发/接收路径,例如,UPF中的DGW的IP地址/端口或服务网关(SGW)地址和隧道端点标识符(TEID)由SMF确定,并且被配置在UPF中的一个或多个DGW处。在解决方案2中描述细节。在某些实施例中,标识符用于识别组上下文中指示的用户平面路由路径。组安全性上下文包括配对式对称密钥和有关安全性参数。在解决方案3中描述细节。
在某些实施例中,网络在以下两个选项中生成用于IoT服务的组上下文:
A(1)(a)选项1
当应用服务器向网络发送组服务请求时,网络关于组服务授权并且认证应用服务器。网络对于授权的IoT服务创建用于IoT设备组的组上下文。在本文“章节B.用于M-IoT设备的基于组的上下文和安全性的附加或替选实施例”中提供选项1的更多细节。
A(1)(b)选项2
当第一IoT设备注册到网络并且不存在所存储的组上下文时,网络将关于授权的IoT服务创建用于IoT设备组的组上下文。
网络将组上下文发送到RAN节点,并且RAN节点存储组上下文,以用于认证关于分组传输从空闲/不活动模式返回到连接模式的IoT设备。同时,RAN节点基于组上下文中的所存储的用户平面路由配置文件转发从IoT设备接收到的分组。也就是说,朝向应用服务器经由相同路由策略路由同一组内的IoT设备发送的分组。
A(2)无连接用户平面传输
基于IoT设备的服务订阅,网络确定关于所订阅的IoT服务容纳IoT设备组的网络切片。服务订阅可以包括默认的应用服务器地址、服务位置信息等。例如,网络可以确定IoT设备位于同一服务区域(例如,RAN节点覆盖)中并且具有公共服务应用服务器的IoT组。
此外,可以通过网络切片标识符(ID)、IPv6前缀或与IPv4地址池关联的ID识别网络切片。取决于IoT设备的能力,网络可以为IOT设备分配IPv4地址池内的IPv4地址、IPv6前缀或网络切片ID。
对于有基于IP的服务的能力的IoT设备,无需IoT设备处的改变。如果分配IPv4地址,则IoT设备将所分配的IPv4地址用作待发送的IP分组中的源IP地址。如果分配IPv6地址,则IoT设备相应地自动配置其IPv6地址,并且将IPv6地址用作待发送的IP分组中的源IP地址。
对于有在用户平面上的非IP分组传输的能力的IoT设备,IoT设备被配置为通过网络切片ID或组标识符标记非IP分组。
IoT设备将IP分组或非IP分组发送到RAN节点,并且RAN节点基于源IP地址识别IP分组,或基于所标记的网络切片ID或组标识符识别非IP分组。因此,可以基于组上下文中的所存储的路由配置文件转发IP分组或非IP分组。也就是说,RAN收发器应用要么基于GTP隧道的要么基于非GTP隧道的相同用户平面分组转发路径,以将接收到的IoT设备组发送的IP分组或非IP分组转发到应用服务器。
图5是示出根据某些实施例的组上下文创建和无连接用户平面传输的信号流程图。所示实施例示出IoT设备510、RAN节点512、CN-CPF AMF/SMF 514、UDM 516、CN-DGW 518和DN IoT应用(App)服务器520之间的交互。进程包括:IoT设备510向CN-CPF AMF/SMF 514发送附着请求522,CN-CPF AMF/SMF 514通过使用UDM 516执行设备/服务认证524进行响应。在认证设备和/或服务之后,CN-CPF AMF/SMF514基于设备的服务订阅确定(526)用于服务的网络切片,分配(528)IP地址和/或网络切片ID,并且通过路由策略和组安全性参数生成(530)用于设备组的组上下文。CN-CPF AMF/SMF 514与CN-UPF DGW 518进行通信,以配置(532)用于组上下文的用户平面路由策略。CN-CPF AMF/SMF 514将一个初始上下文建立(组上下文)发送到RAN 512,RAN 512进而将附着接受消息536发送到IoT设备510。附着接受消息536可以包括网络切片ID、IP地址和/或安全性参数。
RAN节点512存储(538)包括用户平面路由策略和组安全性上下文的组上下文。IoT设备510存储(540)安全性参数。在IoT设备510进入(542)连接模式并且将IP或非IP分组发送到RAN节点512时,RAN节点512执行(544)认证检查并且基于所存储的组上下文将分组转发到CN-UPF DGW 518。CN-UPF DGW 518基于相同路由策略将IP分组转发(546)到DN IoT应用服务器520。
A(3)组安全性控制
图6是示出根据某些实施例的用于使得大规模IOT服务安全的高级安全性控制过程600的信号流程图。所示的高级安全性控制过程600包括用于将(UE 610表示的)IoT设备作为组进行处理的四个阶段。在图6中,认证服务器功能(AUSF)是用于在IoT设备与组授权方(GA)之间构建信任关系的信任锚点,其中,AUSF可以随CN-CPF驻留在核心网中(一起示出为CN-CPF/AUSF 614),并且GA管理IoT设备组并且可以驻留在RAN节点中(一起示出为RAN/GA 612)。还示出CN-UPF 616。
阶段1包括网络配置,其包括经由AKA和安全性模式控制(SMC)618的信任构建。具体地说,阶段1包括:通过运行EPS-AKA(EPS中的AKA)和NAS-SMC(经由NAS的SMC信令)在控制平面上在IoT设备与AUSF以及GA和CN-CPF/AUSF之间执行相互认证。该阶段为以下阶段准备信任假设,因为它使AUSF能够成为关于IoT设备和GA的信任锚点。
阶段2包括组登记,其中,通过来自CN-CPF/AUSF的协助,IoT设备登记到GA管理的组中。阶段2在不牺牲安全性保护的情况下提供信令优化。在该阶段中,假设AUSF为锚点,但某些实施例不限于此条件。如果假设AUSF,则CN-CPF联系AUSF,以用于正确处理安全性控制。CN-CPF可以直接执行组登记过程。细节描述如下。
阶段3包括用户平面(UP)通信。可以基于(阶段2中启用的)组安全性上下文保护UE与RAN节点之间的UP通信,而通过互联网协议安全性(IPsec)保护GA与CN-UPF之间的UP通信。
阶段4包括组管理,其中,本地组维护由GA管理(例如,密钥刷新、成员资格撤销等)。
以下详细描述阶段中的每一个。
A(3)(a)阶段1-信任构建
IoT设备、GA和CN-CPF/AUSF具有用于唯一地识别彼此的各自标识符。为了与用于约束IoT设备的当前EPS密钥层级结构兼容并且提供不危及安全性保护的信令优化,通过EPS-AKA和NAS-SMC过程进行某些实施例中的信任构建。
CN-CPF/AUSF使用组身份信息以触发与IoT设备和GA的信任构建过程。可以通过用于识别组成员的以下三个选项在IoT设备附着过程期间执行阶段1。在第一选项中,IoT设备在对CN-CPF中的AMF的附着请求消息中指示其组身份。在第二选项中,基于IoT设备身份,CN-CPF中的AMF可以检查来自UDM的服务订阅。服务订阅向AMF指示用于IoT设备的组身份。在第三选项中,基于IoT设备身份,CN-CPF/AUSF可以能够参照对应IoT设备组。例如,IoT设备身份已经嵌入组身份信息。对于第一和第二选项,CN-CPF中的AMF向AUSF指示组身份。然后,AUSF生成关于IoT设备的用于完整性的安全性密钥(KNASint)和用于机密性的安全性密钥(KNASenc)以及关于GA的用于完整性的安全性密钥(KGAint)和用于机密性的安全性密钥(KGAenc)。
在信任构建之后,IoT设备可以从附着接受消息获得KNASint和KNASenc,并且GA可以从初始上下文建立请求消息获得安全性密钥KGAint和KGAenc。IoT设备和GA都存储这两个密钥。
A(3)(b)阶段2——组登记
为了允许IoT设备组共享相同安全性组上下文,通过使用对称密钥和对称密码运算,组登记过程使得具有真实性和机密性保证的登记成为可能。
组登记过程包括四个消息交换,如图6所示:IoT设备(UE 610)向CN-CPF/AUSF 614发送登记请求620,指示其意图加入由GA(RAN/GA612)管理的组;CN-CPF/AUSF 614验证该请求,然后向GA(RAN/GA612)发送请求验证622;GA(RAN/GA 612)通过发送登记接受并且作为回应而接收登记确认(示出为接受和ACK 624)向IoT设备(UE 610)批准组成员资格。
在某些实施例中,为组登记提供三层相互信任关系,包括:对应于组登记请求620,第一层处于IoT设备与CN-CPF/AUSF之间,具有对称加密密钥KNASenc和对称完整性密钥KNASint;对应于请求验证622,第二层处于GA与CN-CPF/AUSF之间,具有对称加密密钥KGASenc和对称完整性密钥KGASint;以及对应于接受和ACK624,第三层处于IoT设备与GA之间。
例如,组登记过程可以是新NAS过程或服务请求/扩展服务请求过程。在阶段1中成功完成附着过程后,当其激活IoT服务时,IoT设备发起组登记过程。
又例如,可以将组登记过程与附着过程合并。UE与AUSF之间的第一消息(组登记请求620消息)可以是下文讨论的具有没有认证码“tag1”的信息元素的附着请求消息。GA与AUSF之间的第二消息(请求验证622消息)可以是初始上下文建立请求消息或具有附着接受的下行链路NAS传送消息,其中,消息包括令牌TK1和令牌TK2。GA与UE之间的第三消息(接受和确认624的组登记接受消息部分)可以是RRC连接重配置消息或RRC直接传送,其中,消息包括令牌TK1和令牌TK3。UE与GA之间的第四消息(接受和ACK 624的组登记确认消息部分)可以是RRC连接重配置完成消息或具有附着完成消息的直接传送消息,其中,信息元素包括tag4或(N1、N2、CUE、idUE、idGA)。
图7是示出根据一个实施例的GA管理Kgrp和CUEi的示例密钥层级结构的框图。
图8是示出根据一个实施例的存储在UE和GA处的示例密钥层级结构的框图。虚线示出用于所生成的包括Kgrp、KCTRL(KUP)的密钥(K)的安全性保护机制。存在用于安全性保护机制的两个选项。如虚线710所示,第一选项使用来自NAS的KNASenc和KNASint以保护Kgrp/KCTRL(KUP)的传递。如虚线712所示,第二选项使用来自AKA的KASME以保护Kgrp/KCTRL(KUP)的传递的传递。接入层(AS)提供eNB密钥KeNB。
组登记过程包括UE、GA与CN-CPF/AUSF之间的四个消息交换。图9是示出根据一个实施例的组登记过程900的协议消息细节和特定操作的示图。组登记过程900处于UE 910(例如IoT UE)、GA/RAN 912与CN-AUSF 914(例如CN-CPF/AUSF)之间。表1列出图9所示的组登记过程中使用的符号和对应描述。
表1
在图9所示的组登记过程900中,在GA/RAN 912处通过CN-AUSF914提供的q种子生成Kgrp、KCTRL(KUP)。替代地,Kgrp、KCTRL(KUP)可以在CN-AUSF 914处生成,并且传递到GA/RAN912。例如,可以基于GA/RAN 912或CN-AUSF 914处的刷新定时器使用对应密钥刷新机制,其中,GA/RAN 912和/或CN-AUSF 914可以相应地提供刷新定时器。
图9所示的组登记过程900包括:从UE 910到CN-AUSF 914的第一消息916、从CN-AUSF 914到GA/RAN 912的第二消息918、从GA/RAN920到UE 910的第三消息920和从UE 910到GA/RAN 922的第四消息922。下面讨论消息细节:
A(3)(b)(i)第消息:UE到CN/AUSF{N1IIUE_secIIidUEII idGA IItag1}
第一消息916是从UE 910到CN-AUSF 914的组登记请求。第一消息916发起新组登记会话。为了在第一消息916中生成参数,UE 910进行以下操作(其中,RAND是伪随机数或随机串):
UE:N1←RAND
UE:tag1←MACKNASint(N1 II UE_sec II idUE II idGA)
为了发起新协议会话,UE 910生成新随机nonce N1以防止重放攻击并且唯一地标识新协议会话。UE 910在第一消息916中包括其安全性能力UE_sec,以在随后消息交换中促进密码算法协商。UE 910还通过提供所意向的GA/RAN 912的标识符idGA指定其想要加入哪个组。还显式地包括UE的标识符idUE,以防止错绑定攻击。最后,为了保证第一消息916的完整性并且防止消息修改,通过UE 910与CN-AUSF 914之间共享的对称密钥KNASint计算消息认证码tag1。
在某些实施例中,可以每当必要时发起组登记过程900。可选地,可以连同NAS过程一起调度组登记过程900。在此情况下,可以通过添加N1和idGA随NAS服务请求消息捎带第一消息916。
A(3)(b)(ii)第二消息:CN/AUSF到GA/RAN{TK1 II TK2}
第二消息918是从CN-AUSF 914到GA/RAN 912的请求验证消息。由于UE 910和GA/RAN 912此时不信任彼此,因此CN-AUSF 914验证UE的请求并且促进UE 910与GA/RAN 912之间的相互认证。
在接收到第一消息916时,CN-AUSF 914执行以下操作以构造第二消息918:
CN-AUSF:通过KNASint验证tag1
CN-AUSF:N2←RAND
CN-AUSF:k←RAND
CN-AUSF:种子←RAND
CN-AUSF:α←ENCKNASenc(k)
CN-AUSF:tag2←MACKNASint(N1 II N2 II UE_sec II idUE II idGA IIα)
CN-AUSF:TK1←(N1 II N2 II UE_sec II idUE II idGA IIαII tag2)
CN-AUSF:β←ENCGAenc(k II seed)
CN-AUSF:tag3←MACKGAint(N1 II N2 II UE_sec II idUE II idGA IIβ)
CN-AUSF:TK2←(N1 II N2 II UE_sec II idUE II idGA IIβII tag3)
在从UE 910接收到第一消息916时,CN-AUSF 914通过KNASint验证第一消息916。如果tag1是正确的,则CN-AUSF 914继续生成贡献于协议会话的新nonce N2、将用于导出组主密钥的随机数种子和用于启用UE 910与GA/RAN 912之间的相互信任的随机临时密钥k。对于UE 910生成令牌TK1,以连同会话信息(即,nonce、UE安全性能力、标识符)一起传递秘密密钥k。在TK1内,k由KNASenc加密,以保护机密性。会话信息的完整性由KNASint保护。对于GA/RAN 912生成另一令牌TK2,以连同会话信息一起发送秘密密钥k和种子。在TK2内,k和种子由KGAenc加密,以保护机密性,并且会话信息的完整性由KGAint保护。CN-AUSF 914在第二消息918中将这两个令牌发送到GA/RAN 912,GA/RAN912然后将TK1转发到UE 910。
A(3)(b)(iii)第三消息:GA/RAN到UE{TK1 II TK3}
第三消息920是从GA/RAN 912到UE 910的登记接受。在检查第二消息918之后,GA/RAN 912将第三消息920发送到UE 910,以传递包括用于UE 910的成员资格密钥和有关安全性参数的组上下文。
在GA/RAN 912接收到第二消息918之后,执行以下操作以构造第三消息920:
GA/RAN:通过KGAenc和KGAint解析TK2
GA/RAN:Kgrp←KDF(种子,idGA II Cgrp II AlgTypegrp)
GA/RAN:KCTRL←KDF(Kgrp,idUE II idGA II CUE II AlgTypeUE II AlgIDUE)
GA/RAN:TK3←(N1 II N2 II UE_sec II CUE II idUE II idGA II AlgIDUE II{KCTRL})k
在从CN-AUSF 914接收到第二消息918时,GA/RAN 912通过KGAenc和KGAint解析TK2,并且提取k和种子。种子用于导出组主密钥Kgrp,据此将导出成员资格密钥。AlgTypegrp是指示Kgrp是组主密钥的标识符。通过调节AlgTypegrp的参数,可以关于不同用途生成不同密钥,例如,KCTRL_INC用于控制平面完整性保护,KCTRL_ENC用于控制平面加密保护,并且KUP用于用户平面加密保护。在本文中,关于生成KCTRL抽象细节并且提供示例。GA/RAN 912连同其他信息一起使用Kgrp,以导出用于UE910的成员资格密钥KCTRL。此时,GA/RAN 912还可以遵从与通过指示密钥用于用户平面使用的AlgTypeUP(而非AlgTypeUE)导出KCTRL相同的方法导出用户平面密钥KUP。生成令牌TK3,以通过使用密钥k认证的加密连同安全性上下文一起保护KCTRL(和KUP)。GA/RAN 912在第三消息920中向UE 910发送TK1和TK3。
A(3)(b)(iv)第四消息:UE到GA/RAN{tag4}
第四消息922是从UE 910到GA/RAN 912的登记确认,以确认组登记进程的成功。
在接收到第三消息920时,UE 910执行以下操作以构造第四消息922:
UE:通过KNASenc和KNASint解析TK1并且提取秘密密钥k
UE:通过k解析TK3并且提取KCTRL
UE:tag4←MACKCTRL(N1 II N2 II CUE II idUE II idGA)
在接收到第三消息920时,UE 910通过KNASenc和KNASenc解析TK1并且提取秘密密钥k,其然后用于解析TK3以提取成员资格密钥KCTRL。为了向GA/RAN 912通知UE 910已经成功接收KCTRL并且确认会话上下文的正确性,UE 910使用KCTRL以计算其安全性上下文(即,nonce、标识符和计数器)上的消息认证码tag4。tag4作为第四消息922发送到GA/RAN 912。
A(3)(b)(v)GA/RAN处的操作:通过密钥KCTRL验证tag4
通过以下输出成功推断组登记过程900:UE 910与GA/RAN 912之间关于密钥KCTRL(和KUP)的协议;GA/RAN912每组和安全性上下文(Cgrp、CUE、idGA、idUE、AlgTypeUE、AlgIDUE)存储Kgrp;UE 910存储密钥KCTRL和安全性上下文(CUE,idGA,idUE,AlgIDUE)。
A(3)(c)阶段3——UP通信
当IoT设备(例如UE或IoT UE)进入用于用户平面数据传输的连接模式时,IoT设备将KCTRL用于控制平面完整性保护,并且可选地将KUP通常用于用户平面数据分组加密。例如,用户平面通信可以执行如下:IoT设备可以向RAN节点发送应用KCTRL的L2信令消息(例如,RRC请求消息),以用于在开始传输用户平面业务之前认证信令完整性。当RAN节点接收到L2信令消息时,基于所存储的组安全性上下文,RAN节点通过KCTRL检查信令消息完整性;如果在组登记过程期间提供用户平面加密密钥KUP,则IoT设备可以在L2消息中捎带由KUP加密的用户平面业务,或在后随用户平面消息中发送用户平面业务;以及如果组安全性检查通过,则RAN节点根据所存储的组上下文中的路由策略上下文转发接收到的用户平面分组。
在另一实施例中,IoT设备可以发送应用KCTRL的L3信令消息。例如,IoT设备可以将包括服务请求的NAS消息发送到AMF。在这些实施例中,RAN节点可以不转发NAS消息。而是,RAN节点在开始传输用户平面业务之前认证信令完整性。
在另一实施例中,IoT设备可以直接发送由KUP加密的用户平面业务。如果组安全性检查通过,则RAN节点根据所存储的组上下文中的路由策略上下文转发接收到的用户平面分组。
A(3)(d)阶段4——组管理
在某些实施例中,GA(例如GA/RAN)负责维护组安全性上下文并且处理事件(例如,新成员登记、成员资格撤销和密钥刷新)。基于IoT服务特性,可以应用不同的组安全性更新策略。例如,组安全性更新策略可以是有效性/更新定时器、IOT设备的有效数量和/或IP分组的有效数量。当满足更新策略的准则时,GA可以刷新组的主密钥以及每个成员的控制/用户平面密钥。
在一个实施例中,当GA刷新组的主密钥时,它可以当IoT设备联系GA时逐渐刷新每个成员的控制/用户平面密钥。因此,在所有组成员都得到组的刷新的主密钥之前,GA可以保持组的多个主密钥。
在另一实施例中,GA可以广播关于组的主密钥的组管理的系统信息。IoT设备可以在时间段内联系GA,否则,其可能必须再次执行组登记过程(例如,发送指示IoT服务的组登记的服务请求)。
如果组成员UE离开组或被检测为有危害,则GA可以立即撤销该UE的成员资格及其对应密钥。
A(4)高层次流程
图10A是示出根据一个实施例的用于基于组的上下文和安全性的高层次进程1000的流程图。进程1000包括:与核心网交换(1010)或使得交换信令,以识别用于多个UE的共享的组上下文,其中,共享的组上下文包括用户平面路由配置文件和组安全性上下文。进程1000还包括:使用共享的组上下文认证(1020)或使得认证多个UE中的UE。
图10B是示出根据另一实施例的用于基于组的上下文和安全性的高层次处理1050的流程图。处理1050包括:响应于从UE之一的应用服务器注册接收到组服务请求中的至少一个,创建(1060)或使得创建用于多个UE(用户设备)的共享的组上下文。进程1050还包括:将关于共享的组上下文的信息发送(1070)或使得发送到接入节点以用于UE认证。
A(5)附加示例
示例1A可以包括移动网络中进行组安全性控制的方法和装置,用于使第一网络实体(AUSF):通过用于完整性的第一安全性密钥(KNASint)和用于机密性的第二安全性密钥(KNASenc)验证第一设备,并响应于从第一设备接收到的第二消息,将第一消息发送到用于管理第一设备的组登记的第二网络实体(GA);第一消息可以包括:第一令牌(TK1),用于第一设备传送第三秘密密钥(k)和会话信息,会话信息包括所有nonce、UE安全性能力、标识符;第二令牌(TK2),用于第二网络实体(GA)传送第三秘密密钥(k)和种子号以及会话信息。
示例2A可以包括示例1A或本文一些其他示例的方法,对于第一令牌,第三安全性密钥(k)由第一安全性密钥(KNASenc)加密以保护机密性,并且会话信息的完整性由KNASint保护。
示例3A可以包括示例1A或本文一些其他示例的方法,对于第二令牌,第三安全性密钥(k)和种子号由第四安全性密钥(KGAenc)加密以保护机密性,并且会话信息的完整性由第五安全性密钥(KGAint)保护,其中,第四安全性密钥和第五安全性密钥由第一网络实体(AUSF)生成,作为第一设备与第二网络实体(GA)之间的信任锚。
示例4A可以包括示例1A或本文一些其他示例的方法,其中,当第一网络实体(AUSF)接收到第一消息时,第一网络实体(AUSF)进行以下步骤:首先验证带有第一安全性密钥(KNASint)的第二消息。如果验证通过,则第一网络实体将继续生成第二新nonce(N2)、随机种子数和作为第一安全性密钥的随机临时密钥(k),随机临时密钥实现第一设备(IoT设备)与第二网络实体(GA)之间的相互信任。
示例5A可以包括示例1A(UE-AUSF)或本文一些其他示例的方法,其中,如果第一网络实体成功验证了第一设备,则第一消息是对第一设备发送的第二消息的响应,其中,第二消息可以包括以下信息:用于第二消息认证的第一标签值(TAG1)、用于防止重放攻击并唯一识别该新协议会话的第一新随机nonce(N1)、用于促进消息交换的加密算法协商的第一设备的安全性能力(UE_sec)、用于防止错绑定攻击的组标识符(idGA)及其身份。
示例6A可以包括示例5A或本文一些其他示例的方法,其中,为了确保第二消息的完整性并防止消息修改,用第一安全性密钥(KNASint)计算第一标签值,第一安全性密钥是设备与第一网络实体(AUSF)之间共享的对称完整性密钥。UE:tag1←MACKNASint(N1 II UE_secII idUE II idGA)。
示例7A可以包括示例6A或本文一些其他示例的方法,其中,第二网络实体评估第一设备的组成员资格,并且如果确认了第一设备的成员资格,则发送第三消息以用于接受第一设备的组登记,其中,第三消息包括第一令牌(TK1)、第三令牌(TK3),其中,第三令牌由第一安全性密钥(k)加密。
示例8A可以包括示例7A或本文一些其他示例的方法,其中,第三令牌包括以下信息:新随机nonce(N1)、新随机nonce(N2)、第一设备的安全性能力(UE_sec)、组标识符(idGA)、设备标识符(idUE)、第一设备的计数(CUE)、设备的算法类型(AlgIDUE)和控制平面密钥(KCTRL)。即,TK3←(N1 II N2 II UE_sec II CUE II idUE II idGA II AlgIDUE II{KCTRL})k。
示例9A可以包括示例8A或本文一些其他示例的方法,其中,第三令牌可以附加地包括以下信息:用户平面密钥(KUP)。即,TK3←(N1 II N2 II UE_sec II CUE II idUE IIidGA II AlgIDUE II{KCTRL}II{KUP})k。
示例10A可以包括示例8A或本文一些其他示例的方法,其中,控制平面成员资格密钥(KCTRL)由第二网络实体(GA)通过组主密钥(Kgrp)为第一设备生成,其中,组主密钥是从KDF计算的(种子值1,idGA II Cgrp II AlgTypegrp),其中,AlgTypegrp是用于该组的算法类型,而Cgrp是该组的消息计数。即,Kgrp←KDF(种子,idGA II Cgrp II AlgTypegrp)。
示例11A可以包括示例9A或本文一些其他示例的方法,其中,控制平面密钥(KUP)由第二网络实体(GA)通过组主密钥(Kgrp)为第一设备生成,其中,组主密钥是从KDF计算的(种子值2,idGA II Cgrp II AlgTypegrp),其中,idGA是组标识符,AlgTypegrp是用于该组的算法类型,而Cgrp是该组的消息计数。即,Kgrp←KDF(种子,idGA II Cgrp II AlgTypegrp)。
示例12A可以包括示例3A或本文一些其他示例的方法,其中,如果第一设备成功认证了第二网络实体,则第一设备发送包括第五令牌的第四消息以确认第二网络实体,以用于接收第三消息,其中,第五令牌包括以下信息:MACKCTRL(Nl II N2 II CUE II idUE IIidGA)、新随机nonce(N1)、新随机nonce(N2)、第一设备的消息计数(CUE)、组标识符(idGA)、设备标识符(idUE)。
示例13A可以包括示例12A或本文一些其他示例的方法,当接收到第三消息时,第一设备用第一安全性密钥和第二安全性密钥(KNASenc和KNASint)解析第一令牌(TK1),并提取第三密钥(k),然后将其用于解析第三令牌,以提取控制平面成员资格密钥(KCTRL)。
示例14A可以包括处理移动网络中的一组设备的方法和装置,用于使第一网络实体(AMF):为该组设备创建组上下文,其中,组上下文包括用户平面路由配置文件和组安全性上下文。
示例15A可以包括示例14A或本文一些其他示例的方法,其中,用户平面路由配置文件包含以下信息中的至少一个:RAN节点与UPF中的DGW之间的分组转发/接收路径,其中,UPF中的DGW的IP地址/端口或SGW地址和TEID(隧道端点ID)由SMF确定,并配置在UPF中的一个或多个DGW处。
示例16A可以包括示例14A或本文一些其他示例的方法,其中,组安全性上下文包含成对的对称密钥和相关的安全性参数。
示例17A可以包括示例14A或本文一些其他示例的方法,其中,当应用服务器向网络发送组服务请求时,第一网络实体可以为服务生成组上下文,网络针对组服务授权并认证应用服务器。
示例18A可以包括示例14A或本文一些其他示例的方法,其中,当第一设备向网络注册并且没有存储的组上下文时,第一网络实体可以为服务生成组上下文,网络为授权的服务创建用于一组设备的组上下文。
示例19A可以包括示例14A或本文一些其他示例的方法,其中,第一网络实体将组上下文发送到第二网络实体(RAN节点),并且第二网络实体存储组上下文,以用于认证为了分组传输从空闲/非活动模式返回到连接模式的第一设备,并基于组上下文中存储的用户平面路由配置文件转发从第一设备接收到的分组。
示例20A可以包括管理移动网络中用于服务的一组设备的网络切片的方法和装置,用于使第一网络实体(AMF):基于设备的服务订阅来确定用于服务的网络切片,并向第二网络实体(RAN节点)发送第一消息,其中,服务订阅可以包含以下信息中的至少一个:默认应用服务器地址、服务位置信息;第一消息包括用于该组设备的组上下文。
示例21A可以包括示例20A或本文一些其他示例的方法,其中,网络切片可以由网络切片ID、IPv6前缀或与IPv4地址池关联的ID来识别,其中,取决于设备的能力,第一网络实体可以将IPv4地址池中的IPv4地址、IPv6前缀或网络切片ID分配给IoT设备。
示例22A可以包括示例21A或本文一些其他示例的方法,其中,如果将IPv4地址分配给第一设备,则第一设备使用分配的IPv4地址作为要发送的IP分组中的源IP地址。如果分配了IPv6前缀地址,则第一设备相应地自动配置其IPv6地址,并使用IPv6地址作为要发送的IP分组中的源IP地址。
示例23A可以包括示例21A或本文一些其他示例的方法,其中,对于能够通过用户平面进行非IP分组传输的IoT设备,第一设备在发送用户平面分组时需要用网络切片ID或组标识符标记非IP分组。
示例24A可以包括示例22A或23A或本文一些其他示例的方法,其中,设备向第二网络实体发送IP分组或非IP分组,并且第二网络实体可以基于源IP地址来识别IP分组,或者基于所标记的网络切片ID或组标识符来识别非IP分组,并相应地基于组上下文中存储的路由配置文件转发IP分组或非IP分组。
示例25A可以包括示例24A或本文一些其他示例的方法,其中,用户平面路由配置文件包含以下信息中的至少一个:RAN节点与UPF中的DGW之间的分组转发/接收路径,其中,UPF中的DGW的IP地址/端口或SGW地址和TEID(隧道端点ID)由SMF确定,并配置在UPF中的一个或多个DGW处。
示例26A可以包括示例24A或本文一些其他示例的方法,其中,组安全性上下文包含成对的对称密钥和相关的安全性参数。
示例27A可以包括示例24A或本文一些其他示例的方法,其中,当应用服务器向网络发送组服务请求时,第一网络实体可以为服务生成组上下文,网络针对组服务授权并认证应用服务器。
示例28A可以包括示例24A或本文一些其他示例的方法,其中,当第一设备注册到网络并且没有存储的组上下文时,第一网络实体可以为服务生成组上下文,网络为授权的服务创建用于一组设备的组上下文。
示例29A可以包括示例24A或本文一些其他示例的方法,其中,第一网络实体将组上下文发送到第二网络实体(RAN节点),并且第二网络实体存储组上下文,以用于认证为了分组传输而从空闲/非活动模式返回到连接模式的第一设备,并基于组上下文中存储的用户平面路由配置文件转发从第一设备接收到的分组。
示例30A可以包括管理移动网络中用于服务的一组设备的网络切片的方法和装置,用于使第一网络实体(AMF):基于设备的服务订阅来确定用于服务的网络切片,并将第一消息发送到第二网络实体(RAN节点),其中,服务订阅可以包含以下信息中的至少一个:默认应用服务器地址、服务位置信息;第一消息包括用于该组设备的组上下文。
示例31A可以包括示例30A或本文一些其他示例的方法,其中,网络切片可以由网络切片ID、IPv6前缀或与IPv4地址池关联的ID来识别,其中,取决于设备的能力,第一网络实体可以将IPv4地址池内的IPv4地址、IPv6前缀或网络切片ID分配给IoT设备。
示例32A可以包括示例31A或本文一些其他示例的方法,其中,如果将IPv4地址分配给第一设备,则第一设备使用分配的IPv4地址作为要发送的IP分组中的源IP地址。如果分配了IPv6前缀地址,则第一设备相应地自动配置其IPv6地址,并使用IPv6地址作为要发送的IP分组中的源IP地址。
示例33A可以包括示例31A或本文一些其他示例的方法,其中,对于能够通过用户平面进行非IP分组传输的IoT设备,第一设备在发送用户平面分组时需要用网络切片ID或组标识符标记非IP分组。
示例34A可以包括示例32A或本文一些其他示例的方法,其中,设备向第二网络实体发送IP分组或非IP分组,并且第二网络实体可以基于源IP地址来识别IP分组,或者基于所标记的网络切片ID或组标识符来识别非IP分组,并相应地基于组上下文中存储的路由配置文件转发IP分组或非IP分组。
示例35A可以包括示例33A或本文一些其他示例的方法,其中,设备向第二网络实体发送IP分组或非IP分组,并且第二网络实体可以基于源IP来识别IP分组,或者基于所标记的网络切片ID或组标识符来识别非IP分组,并相应地基于组上下文中存储的路由配置文件转发IP分组或非IP分组。
示例36A是一种方法,包括:与核心网交换或使得交换信令,以识别用于多个UE(用户设备)的共享的组上下文;其中,共享的组上下文包括用户平面路由配置文件和组安全性上下文;以及使用共享的组上下文对多个UE中的UE进行认证或使得进行认证。
示例37A可以包括示例36A和/或本文一些其他示例的主题,其中,响应于UE接收到的终止空闲/非活动模式的指示,对UE进行认证。
示例38A可以包括示例36A-37A中任一项和/或本文一些其他示例的主题,其中,使用共享的组上下文来认证UE,而不与核心网交换信令消息。
示例39A可以包括示例36A-38A中任一项和/或本文一些其他示例的主题,其中,组安全性上下文存储组密钥和一个或多个安全性参数。
示例40A可以包括示例36A-39A中任一项和/或本文一些其他示例的主题,其中,该方法全部或部分地由接入节点或其一部分来执行。
示例41A是一种方法,包括:响应于从应用服务器接收到组服务请求或UE之一注册中的至少一个,为多个UE(用户设备)创建或使得创建共享的组上下文;将关于共享的组上下文的信息发送或使得发送到接入节点,以用于UE认证。
示例42A可以包括示例41A和/或本文一些其他示例的主题,针对组服务,对应用服务器进行或使得进行授权和认证。
示例43A可以包括示例41A-42A中任一项和/或本文一些其他示例的主题,其中,共享的组上下文包括用户平面路由配置文件和组安全性上下文。
示例44A可以包括示例41A-43A中任一项和/或本文一些其他示例的主题,经由公共用户平面路由策略发送或使得发送去往多个UE的分组。
示例45A可以包括示例41A-44A中任一项和/或本文一些其他示例的主题,其中,该方法全部或部分地由核心网组件或其一部分执行。
示例46A是一种装置,用于:从核心网接收关于用于多个UE(用户设备)的共享的组上下文的信息;响应于接收到UE改变功率状态的指示,使用该信息来认证多个UE中的UE。
示例47A可以包括示例46A和/或本文一些其他示例的主题,其中,共享的组上下文包括用户平面路由配置文件和组安全性上下文。
示例48A可以包括示例46A-47A中任一项和/或本文一些其他示例的主题,其中,UE改变功率状态的指示包括UE终止空闲或不活动状态的指示。
示例49A可以包括示例46A-48A中任一项和/或本文一些其他示例的主题,其中,组安全性上下文存储组密钥和一个或多个安全性参数。
示例50A可以包括示例46A-49A中任一项和/或本文一些其他示例的主题,其中,该装置是接入节点或其一部分。
示例51A是一种装置,用于:识别用于多个UE(用户设备)的共享的组上下文;以及向用于多个UE的接入节点提供关于共享的组上下文的信息,以使得接入节点能够执行UE认证。
示例52A可以包括示例51A和/或本文一些其他示例的主题,其中,响应于从应用服务器接收到组服务请求或UE之一注册中的至少一个,创建共享的组上下文。
示例53A可以包括示例51A-52A中任一项和/或本文一些其他示例的主题,该装置针对组服务授权和认证应用服务器。
示例54A可以包括示例51A-53A中任一项和/或本文一些其他示例的主题,其中,共享的组上下文包括用户平面路由配置文件和组安全性上下文。
示例55A可以包括示例51A-54A中任一项和/或本文一些其他示例的主题,其中,该装置是核心网组件或其一部分。
示例56A可以包括要由接入节点接收的信号,其中,该信号包括关于用于多个UE(用户设备)的共享的组上下文的信息。
示例57A可以包括要由核心网接收的信号,其中,该信号包括组服务请求,用于为多个UE(用户设备)发起共享的组上下文的创建。
示例58A可以包括一种装置,包括用于执行示例1A-57A中任一项描述的或与之相关的方法,或者本文所述的任何其他方法或过程的一个或多个要素的模块。
示例59A可以包括一种或多种非瞬时性计算机可读介质,包括指令,指令在由电子设备的一个或多个处理器执行时,使电子设备执行示例1A-57A中任一项描述的或与之相关的方法,或者本文所述的任何其他方法或过程的一个或多个要素。
示例60A可以包括一种装置,包括用于执行示例1A-57A中任一项描述的或与之相关的方法,或者本文所述的任何其他方法或过程的一个或多个要素的逻辑、模块或电路。
示例61A可以包括如示例1A-57A中任一项描述的或与之相关的方法、技术或过程,或者其部分或一部分。
示例62A可以包括一种装置,包括:一个或多个处理器;和一种或多种计算机可读介质,包括指令,指令在由一个或多个处理器执行时使一个或多个处理器执行示例1A-57A中任一项描述的或与之相关的方法、技术或过程,或者其部分或一部分。
示例63A可以包括示例1A-57A中任一项描述的或与之相关的信号,或者其部分或一部分。
示例64A可以包括如本文所示和所述的无线网络中的信号。
示例65A可以包括如本文所示和所述的在无线网络中进行通信的方法。
示例66A可以包括如本文所示和所述的用于提供无线通信的系统。
示例67A可以包括如本文所示和所述的用于提供无线通信的设备。
B.关于用于M-IoT设备的基于组的上下文和安全性的附加或替选
实施例
除了上述实施例之外,或在其他实施例中,在应用服务器与AUSF/UDM之间还提供可分级性并且支持动态组服务协商。可以基于特定服务对IoT-UE进行分组。CN和(R)AN管理用于特定IoT-UE服务组的共享的组上下文。该上下文包括用户平面数据/路由上下文和安全性上下文。假设CN与RAN之间的信任关联,其转换为它们之间的机密性和完整性受保护的通信通道。
在(R)AN和CN的数据平面(EPS中的S-GW/P-GW或5GS中的UPF)处分配用户平面路由上下文。网络使用公共用户平面路由策略发送分组。
在某些实施例中,每个组在AUSF/UDM(EPS中的负责(resp)HSS)处具有CN处的唯一安全性上下文。该上下文至少具有ID、唯一对称主密钥和组安全性策略。与组服务应用(GSA)协商AUSF/UDM(EPS中的resp.HSS)处的组安全性细节。
IoT-UE单独运行组登记过程以获得必要的加密材料,并且变为得以授权以使用组上下文以发送IP/非IP分组。通过该过程,每个AMF(EPS中的resp.MME)关于包括从组主密钥所导出的密钥的组对于与AMF(EPS中的resp.MME)关联的IoT-UE构建并且保持安全性上下文。AMF还保持多个(R)AN上下文,管理IoT-UE的每个(R)AN节点一个。
在某些实施例中,所指定的组安全性机制使用与EPS中相同的对称密钥方法。所生成的密钥层级结构链接到通过AKA协议获得的现有EPS和5GS密钥层级结构。可以因此在组登记之前执行AKA过程。
(R)AN上下文包括从AMF的组密钥(EPS中的resp.MME)导出的并且唯一地链接到组的加密对称密钥以及有关安全性参数。
当IoT-UE从CONNECTED模式转变为IDLE/INACTIVE模式时,gNB(EPS中的resp.eNB)不丢弃用于IoT-UE的组的上下文。当IoT-UE设备从IDLE/INACTIVE模式返回到用于用户平面分组传输的CONNECTED模式时,gNB(EPS中的resp.eNB):使用共享组安全性上下文以认证IoT-UE;并且使用路由上下文以强制所存储的路由策略转发用户平面分组。
在(R)AN节点与CN之间不交换信令消息。因此,该方案有助于减少信令风暴。
所公开的实施例提供以下优点中的一个或多个:共享的组上下文(路由和安全性)允许避免在CN处生成压制性的信令开销,同时每IoT-UE上下文建立保持相同的常规安全性等级。所指定的组安全性机制采用对称密钥方法,其与当前EPS和5GS密钥层级结构兼容,并且是轻型的,因此适合于低端IoT设备;使用对称密钥方法可以避免重型的并且典型地依赖于公钥基础结构(PKI)的非对称密钥方法的缺点;无需CN中的服务(R)AN节点与用户平面网关二者保持单独IoT-UE上下文以用于存储路由分组策略,这在例如IoT-UE需要关于所传递的IP分组从应用服务器接收移动端接的确认消息的情况下是有益的;该实施例适用于EPS和5GS设计二者;和/或组构造提供强大的框架,以使运营商能够以更具可分级的方式管理IoT有关服务(即,组的益处可以超越路由和安全性上下文管理,并且可以用于管理QoS策略、计费等)。
B(1)示例系统架构
该部分以及本文其他部分中描述的实施例可以应用于EPS和5GS系统。然而,接下来的是,5GS架构用作示例。在3GPP TS 23.501中,例如,5G系统架构可以如图11所示,图11描绘具有控制平面内的基于服务的接口(例如Nnef、Nnrf、Npcf、Nudm、Naf、Nausf、Namf、Nsmf、N1、N2、N3、N4、N6)的非漫游参考架构1100。5G网络架构1100包括例如网络开放功能(NEF)1102、网络存储库功能(NRF)1104、策略控制功能(PCF)1106、UDM 1108、应用功能(AF)1110、AUSF 1112、AMF 1114和SMF 1116。还示出UE 1118、(R)AN 1120、UPF 1122和DN 1124。在某些实施例中,AMF 1114是核心网控制器,(R)AN 1120提供3GPP接入,并且非3GPP接入可以通过例如WLAN接入点(AP)得以提供。
本文描述的实施例可以关于高效且安全的IoT-UE服务提供而提供解决方案。应用服务器(APS)经由NEF 1102或PCF 1106朝向控制平面实体(AMF 1114)发送服务请求。在AUSF/UDM进行的APS认证和授权之后,AMF 1114可以根据服务请求创建组上下文。通过存储在AMF1114处的组上下文,网络可以处理用于IoT-UE的组登记和安全性控制。接下来,AMF1114和AUSF/UDM验证从IoT-UE发送的请求以登记到APS所请求的组中。如果授权验证成功,则AMF 1114向SMF 1116通知建立组UP上下文。IoT-UE可以然后以高效且安全的方式发送数据业务,其中,NB/5G-CN可以使用组上下文以认证组中所登记的IoT-UE,并且然后(通过所选择的UPF)经由组UP传输路径发送数据业务。最后,基于用于密钥刷新的服务策略执行组管理。
图12是示出根据一个实施例的基于组的上下文和安全性进程1200的信号流程图。图12示出IoT-UE 1201(例如,图11所示的UE 1118)、gNB 1202(例如,图11所示的(R)AN1120)、AMF 1114、AUSF/UDM1203(例如,图11所示的AUSF 1112和/或UDM 1108)、SMF 1116、UPF1122和APS 1204之间的交互。所示的进程1200包括四个组件,即:组服务建立过程1210(组件1)、组登记和安全性控制过程1220(组件2)、高效IoT-UE UP建立过程1230(组件3)和组安全性管理过程1240(组件4)。组服务建立过程1210包括组登记/安全性凭证建立阶段1222和组UP上下文建立阶段1224,如下面详细讨论的那样。
组服务建立过程1210允许APS 1204与移动网络运营商(MNO)之间的与组有关的参数的协商。组服务建立过程1210终止于:创建充当该示例实施例中的组密钥层级结构的根的(潜在地长期)组密钥,并且潜在地预先分配用于整个组的用户平面上下文和资源。在某些实施例中,用于组的附加密钥材料是可选的,并且作为替选,eNB/gNB足以保持除了(由4G/5G定义的)常规UE上下文之外的UE所属的组的ID。在此情况下,基于UE是否作为关联组ID进行来自eNB/gNB的关于是根据常规4G/5G管道还是基于组的IoT一个处理UE的状态转变的判断。因此,在此情况下没有密钥材料从过程导出,仅服务注册于HSS/AUSF处。在这些实施例中,凭证建立阶段是可选的,并且eNB/gNB仅在常规UE的上下文内部保持UE所属的组的ID。
组登记和安全性控制过程1220允许将IoT-UE 1201登记到组中。组登记和安全性控制过程1220被配置为:(i)授权IoT-UE 1201用于组使用;(ii)建立待由组中登记的IoT-UE共享的用于数据传输的基于组的用户平面上下文;和/和(iii)在IoT-UE和gNB二者处创建组上下文和必要的密钥材料。当在执行组服务建立过程1210期间并未完成时,组登记和安全性控制过程1220在CN处创建基于组的用户平面上下文。
借助使用组登记和安全性控制过程1220建立的密钥和安全性上下文,当IoT-UE从IDLE/INACTIVE状态转变为CONNECTED状态时,无连接用户平面数据传输过程1230允许使用基于组的UP数据传输会话高效地传输数据业务。
组安全性管理过程1240允许架构中的不同层级处受管理的密钥刷新。
B(2)密钥层级结构和记号
图13是示出由本文某些实施例生成的组密钥层级结构1301的框图。组密钥层级结构1301与在可扩展的认证协议(EAP)-AKA过程期间生成的密钥平行示出于图13的右手侧,其已经适用于来自EPS-AKA的新5GS架构并且在右边示出为5G-AKA密钥层级结构1302。扩展组密钥层级结构1301,以支持用于组中IoT-UE的组认证。以下章节提供关于密钥生成和用法的细节。
参照图12所示的进程1200,在组服务建立过程1210(组件1)期间建立密钥此外,当基于不同选项在组件1或组件2中选择受影响的AMF时,可以生成密钥/>密钥由AMF 1114分发给目标gNB。不同的组安全性密钥要么在组件1期间主动地要么在组件2期间被动地(即,在gNB下的组成员进行的首次登记尝试时)分发给属于同一组的一个或多个gNB。密钥/>在组件2期间由启用组的gNB生成。该密钥可以视为用于IoT-UE的组的成员资格密钥。
注意,如图13中的1310所指示的那样,的生成取决于在主认证期间建立的kgNB。这样将主认证隐式地绑定到组登记。
表2列出在图12-图17中描述的实施例中使用的记号和对应描述。
表2
通过示例的方式,图28是示出根据一个实施例的组密钥管理进程的框图。在该示例中,静态组可以基于存储在HSS/UDM中的订阅,而动态组可以基于来自应用服务器的组服务请求。组可以映射到例如服务(例如,智能仪表监控)、消费者、用于服务管理(例如,计费)的单位、特定地理/服务区域、具有类似业务特性和公共QoS、公共安全性上下文(例如,用于导出单独密钥的组密钥)和/或公共数据平面路由策略(例如,单个PDU会话)的许多IoT设备。
B(3)组件1:组服务建立
在图12所示的组服务建立过程1210中,APS 1204通过与AUSF/UDM 1203进行认证建立组服务。例如,图11所示的UDM 1108生成具有加密材料的有关记录,并且在图11所示的AUSF 1112处分配组安全性上下文。AUSF/UDM 1203向APS 1204确认服务建立。此外,基于从APS 1204发送的服务请求,网络可以经由SMF 1116创建一个或多个AMF处的组安全性上下文以及1122UPF处的组安全性上下文。
图14是示出根据一个实施例的用于组服务建立的进程1400的信号流程图。参考图12,AUSF/UDM 1203、APS 1204、AMF 1114、SMF 1116和UPF 1122参与进程1400。进程1400开始于:APS 1204朝向AUSF/UDM1203生成AUSF/UDM服务请求消息1410。AUSF/UDM服务请求消息1410至少指定服务ID、一个或多个组ID()、用于组的地理上下文信息和APS凭证。服务ID是APS 1204关于所请求的服务订阅的标识符。APS ID是应用服务器标识符。组ID对应于与服务ID关联的已订阅组。APS凭证取决于APS 1204与AUSF/UDM 1203之间使用的认证的类型,并且可以是例如数字证书或使用共享秘密计算的消息认证码(MAC)。要使用的认证机制的选取交由MNO。
可以考虑用于idgrp的至少两个替选。在第一替选中,idgrp是用于组的长期固定ID。故此,可以假设idgrp是IoT-UE已知的(例如,预先安装在IoT-UE的SIM卡中)。在第二替选中,idgrp是短期标识符,并且因此IoT-UE并非预先知道。
在某些实施例中,提供地理位置信息以指示组的所请求的服务区域。
在应用服务器认证进程1412中,AUSF/UDM 1203根据APS 1204与MNO之间协定的认证方法使用APS的凭证认证APS 1204。
在组记录生成进程1414中,在成功认证APS 1204之后,AUSF/UDM1203创建并且存储与服务ID和APS ID关联的新组记录。新组记录至少包括:组ID();APS ID;组主密钥();和所允许的地理位置。基于APS1204预先协定的密钥导出算法生成
AUSF/UDM 1203确认创建用于给定组的给定上下文和通过生成AUSF/UDM服务响应消息1416所指定的服务。
在由APS 1204处理AUSF/UDM服务响应消息1416时,网络已经关于图13所示的组密钥层级结构1301的第一层经由APS 1204与AUSF/UDM 1203之间的协商创建组密钥。
为了在AUSF/UDM 1203与AMF 1114之间建立第二层组密钥,存在至少两个选项。如图14所示,在第一选项(选项1)中,AUSF/UDM1203发起AMF和UP组上下文创建进程1418。在第二选项(选项2)中,AMF发起AMF组上下文创建进程1512作为组件2的一部分,如图15所示。在选项2下,当网络从AMF注册的第一IoT-UE接收到组登记请求时,在AMF处生成密钥。下面关于图15讨论选项2。
返回图14的选项1,在AMF和UP组上下文创建进程1418中,AUSF/UDM 1203可以对于/针对(例如全部)可应用AMF关于(例如所有)注册的组主动地创建并且传递AMF组凭证。为此,AMF和UP组上下文创建进程1418包括以下操作。在AMF选择进程1420中,AUSF/UDM1203选择可应用AMF。选择准则可以由MNO定义,并且可以例如基于目标组成员的地理位置。在AMF组安全性密钥创建进程1422中,对于每个选取的具有标识符idAMF的AMF,AUSF/UDM1203计算其中,SQN是用于密钥版本控制的序列号,并且满足与EPS-AKA所使用的要求类似的要求,并且RAND是比特长度LRAND的可选随机串。在组件4中提供何时可以使用RAND的示例。
AUSF/UDM然后将具有每AMF生成的组凭证的AMF组安全性密钥传递消息1424发送到一个或多个AMF(例如,包括图12所示的AMF1114)。在某些实施例中,AMF组安全性密钥传递消息1424受加密并且受完整性保护。
在AMF组上下文分配进程1426中,AMF创建至少包括idgrp和的组上下文。
在SMF选择进程1428中,AMF可以预先分配用于一个或多个组的组UP会话和上下文。对于每个所选择的组,AMF选择将管理用户平面会话的SMF 1116。
然后,AMF将SMF组会话分配请求消息1430发送到所选择的SMF。
在组会话分配和UPF选择进程1432中,在接收到SMF组会话分配请求消息1430之后,SMF为该组分配会话。SMF 1116还通过向UPF1122发送UPF会话建立请求消息1434在UPF1122处建立用户平面路由配置文件组,UPF 1122执行组会话UP参数分配进程1436并向SMF1116返回UPF会话建立响应1438。
SMF 1116通过SMF组会话分配响应1440向AMF 1114进行回复,以确认完成AMF和UP组上下文创建进程1418。
类似地,在EPS中,MME可以选择合适的S-GW,并且预先分配用于所选择的S-GW的组UP上下文。
B(4)组件2:组登记和安全性控制
在图12所示的组登记和安全性控制过程1220中,网络将IoT设备(IoT-UE 1201)认证为组成员,生成用于IoT-UE 1201的加密材料,在核心网处(在AMF 1114和UPF 1122二者处)更新/生成组上下文,并且执行组安全性维护。组登记和安全性检查集中在AMF 1114和AUSF/UDM 1203处。
在图12所示的组登记/安全性凭证建立阶段1222中,IoT-UE 1201在附着的gNB1202之下登记到组中。该阶段关于UP和CP完整性和机密性在IoT-UE 1201与gNB 1202之间建立一对共享密钥。在图12所示的组UP上下文建立阶段1224中,AMF 1114在UPF 1122处创建组安全性上下文和UP上下文。以下分离地描述这两个阶段。
在某些实施例中,组登记和安全性控制过程1220假设:IoT-UE 1201已成功完成与网络的注册过程(例如,EPS中的附着过程/5GS中的注册请求过程)而无需关于UP传输会话在5GS中的EPS/PDU会话中建立PDN连接,并且与AMF 1114、IoT-UE 1201和gNB 1202协商安全性参数和能力;例如,可以使用IPSec经由网络域安全性实现任何gNB与AMF(EPS中的resp.eNB和MME)之间的信任关联,这样允许二者之间的安全(机密和完整性保护)通信;并且例如在当前EPS中在IoT-UE1201与其所注册的AMF 1114(EPS中的resp.MME)之间存在信任关联(作为注册的结果),可以使用EPS-AKA协议经由相互认证执行该操作。此外,或在其他实施例中,假设IoT-UE 1201与其所注册的AMF 1114之间的信任关系由共享对称密钥kASME表达,据此,两个密钥是所导出的kNASint和kNASenc,分别用于控制平面消息完整性和机密性保护。
B(4)(a)组登记/安全性凭证建立阶段
在图12所示的组登记/安全性凭证建立阶段1222中,IoT-UE 1201登记到组中。该阶段基于组件1的结果(其中,借助两个信任等级以在实体之间建立组等级信任)和图15所示的进程。图15是示出根据一个实施例的IoT-UE发起的组登记进程1500的信号流程图。参考图12,IoT-UE 1201、gNB 1202、AMF 1114和AUSF/UDM 1203参与进程。
进程1500开始于:IoT-UE 1201生成比特长度为LN的随机nonce N1,并且向其通过gNB 1202连接到的AMF 1114发出IoT-UE组登记请求1510。IoT-UE组登记请求1510携带N1和IoT-UE 1201请求注册到的组的唯一标识符idgrp。在替选实施例中,如果组是每IoT-UE唯一的,或CN在HSS/UDM处的订阅中存储组信息(例如,组ID),则可以省略idgrp。示例用于关于组件1中描述的idgrp的第二替选中所描述的短期组ID(idgrp是短期标识符,并且因此IoT-UE预先并不知道)。
如上所述,在AUSF/UDM 1203与AMF 1114之间存在用于建立第二层组密钥的两个选项。在图1中的AMF和UP组上下文创建进程1418中示出第一选项(选项1)。在第二选项(选项2)下,AMF 1114发起图15所示的AMF组上下文创建进程1512。选项2的AMF组上下文创建进程1512允许AMF 1114创建用于IoT-UE 1201的包括组安全性上下文和组UP上下文的组上下文。在AMF组上下文创建进程1512下,一旦接收到来自IoT-UE 1201的IoT-UE组登记请求1510,AMF 1114就检查是否其已经为组idgrp存储安全性上下文。如果否,则AMF 1114通过AMF组凭证创建请求1514向AUSF/UDM 1203请求创建组凭证。
然后,AUSF/UDM 1203执行图14所示的组件1的凭证生成子进程1450,其包括AMF选择进程1420、AMF组安全性密钥创建进程1422、AMF组安全性密钥传递消息1424和AMF组上下文分配进程1426。在凭证生成子进程1450的结束时,AMF 1114具有从由AUSF/UDM 1203保持的组主密钥导出的对称密钥/>
然后,AMF 1114执行图14所示的建立UP上下文子进程1460,其包括SMF选择进程1428、SMF组会话分配请求消息1430、组会话分配和UPF选择进程1432、UPF会话建立请求消息1434、组会话UP参数分配进程1436、UPF会话建立响应1438和SMF会话会话分配响应1440。结果是建立用于组的UP上下文。
作为条件性进程,AMF 1114检查用于gNB 1202的组上下文是否已经存在。如果否,则AMF 1114继续进行eNB组上下文创建进程1516,其包括gNB组凭证生成进程1518和本地gNB组上下文分配进程1520。gNB组上下文至少包括idgNB和CgNB,其中,CgNB是用于密钥刷新和版本控制的计数器,idgNB是gNB的唯一身份,/> 是用于gNB 1202的组密钥。CgNB确保关于此密钥的新鲜性,确保随后密钥将不等于先前密钥。AMF 1202通过分别使用kN2enc和kN2int受完整性和机密性保护的(R)AN组上下文建立请求消息1522将/>传递到gNB 1202。在(R)AN组上下文分配进程1523中,gNB 1202通过存储创建本地组上下文。gNB 1202然后通过组上下文建立响应消息1524响应于AMF 1114。
在每IoT-UE令牌生成进程1526中,AMF 1114生成比特长度为LN的随机nonce N2,并且在gNB 1202与AMF 1114之间的安全信道上交换的AM-IoT-UE组登记请求1528中向gNB1202发送N1、N2、idgrp和idUE。在某些实施例中,如果执行eNB组上下文创建进程1516,则可以在AMF IoT-UE组登记请求1528中发送到gNB 1202。这允许跳过(R)AN组上下文建立请求消息1522,并且组上下文建立响应消息1524稍后捎带到AMF IoT-UE组登记响应消息1538中。在此情况下,在AMF IoT-UE组登记请求1528之后执行(R)AN组上下文分配进程1523。
在IoT-UE组上下文分配和凭证生成进程1530中,gNB 1202为IoT-UE 1201建立组上下文,其至少包括idUE、AlgId、AlgUse和其中:idUE是IoT-UE的唯一标识符;CUE是用于密钥刷新和版本控制的计数器;AlgID和AlgUse识别将用于IoT-UE 1201与gNB 1202之间交换的控制平面和用户平面消息的完整性和机密性保护的算法,其中,假设这些参数是在设备的初始设备注册阶段期间协商的(回顾假设该阶段是在组登记之前执行的);以及
注意,在密钥导出中包括IoT-UE常规注册和AKA期间所导出的。这样有效地:(1)防止潜在中间人攻击;(2)仅在已经成功完成IoT-UE1201的单独认证后隐式地“强制”组建立;(3)引入主认证与组登记之间的绑定。
然后,gNB 1202将(R)AN IoT-UE组登记请求消息1532发送到IoT-UE 1201,其使用RRC密钥(kRRCenc、kRRCint)受加密并受完整性保护。(R)AN IoT-UE组登记请求消息1532携带N1、N2、idUE、AlgId和AlgUse。
在IoT-UE组上下文进程1534中,IoT-UE 1201构建存储idgrp、AlgId、AlgUse和的本地上下文。在某些实施例中,AlgIdInt和AlgIdEnc二者匹配在注册期间协商的参数。IoT-UE1201从/>导出分别用于控制和数据平面的完整性保护和加密的两个密钥/>和
IoT-UE 1201使用采用(用于计算响应消息上的MAC的)新生成的密钥受完整性保护的(R)AN IoT-UE组登记响应消息1536向gNB1202确认组登记。
在从IoT-UE 1201接收到(R)AN IoT-UE组登记响应消息1536之后,gNB 1202通过发送包括idUE和CUE的AMF IoT-UE组登记响应消息1538确认关于IoT-UE 1201的组登记的成功。通过受完整性和机密性受保护的信道发送AMF IoT-UE组登记响应消息1538。
B(4)(b)组UP上下文建立阶段
当尚未分配上下文时,图12所示的组UP上下文建立阶段1224与图14所示的建立UP上下文子进程1460相似。AMF 1114选择将管理用于组的用户平面会话的SMF 1116,并且发送SMF组会话分配请求消息。在接收到该消息之后,SMF 1116分配用于组的会话,并且在UPF1122处配置用于组的用户平面路由配置文件(见组会话分配和UPF选择进程1432、UPF会话建立请求消息1434和组会话UP参数分配进程1436)。然后,SMF 1116通过SMF组会话分配响应回复AMF 1114,以确认完成过程(见SMF组会话分配响应1440)。类似地,在EPS中,MME可能已经选择合适的S-GW,并且为其预先分配组UP上下文。
B(4)(c)将组件2嵌入网络注册过程中
本文描述的某些实施例对于在移动蜂窝网络架构中采用是足够通用的。为了支持基于3GPP的网络,EPS架构中良好建立的附着过程用作示例。在通信开销方面,通过将待在功能与实体之间交换的数据嵌入到现有设备-网络注册过程中,采用是可实现的。
图16是示出EPS中的附着和认证过程的信号流程图。注意,在4G-LTE中,MME承担AMF和SMF二者的角色,HSS承担AUSF/UDM的角色,eNB是gNB的逻辑等同实体,S-GW执行UPF,充当用于IoT-UE的UP数据网关,PDN-GW充当将用户连接到数据网络的UPF。
在某些实施例中,消息“1.附着请求”、消息“5a.认证/安全性”、消息“17.初始上下文建立请求或具有附着接受的下行链路NAS传送”、消息“18.RRC连接重配置或RRC直接传送”、消息“19.RRC连接重配置完成”和消息“20.初始上下文建立响应”是可以映射组件2的消息和步骤的消息,添加到所交换的现有消息中,如下。
图15中的IoT-UE组登记请求1510可以捎带到图16中的消息“1.附着请求”中。图15所示的AMF组上下文创建进程1512(如果执行)可以映射到图16中的消息“5a.认证/安全性”中。
如果执行图15所示的eNB组上下文创建进程1516:则可以如图16所示在消息“16.创建会话响应”与消息“17.初始上下文建立请求或具有“附着接受”的下行链路NAS传送”之间交换gNB组凭证生成进程1518、本地gNB组上下文分配进程1520和图15的每IoT-UE令牌生成进程1526;图15所示的(R)AN组上下文建立请求消息1522和AMF IoT-UE组登记请求1528可以捎带到如图16所示消息“17.初始上下文建立请求或具有附着接受的下行链路NAS传送”中;可以在图16中的消息“17.初始上下文建立请求或具有附着接受的下行链路NAS传送”与消息“18.RRC连接重配置或RRC直接传送”之间执行图15中的(R)AN组上下文分配进程1523和IoT-UE组上下文分配和凭证生成进程1530。并且图15中的组上下文建立响应消息1524和AMF IoT-UE组登记响应消息1538可以捎带到图16中的消息“20.初始上下文建立响应”中。
图15中的(R)AN IoT-UE组登记请求消息1532可以捎带到图16中的消息“18.RRC连接重配置或RRC直接传送”中。可以在图16中的消息“18.RRC连接重配置或RRC直接传送”与消息“19.RRC连接重配置完成”之间执行图15中的IoT-UE组上下文进程1534。图15中的(R)AN IoT-UE组登记响应消息1536可以捎带到图16中的消息“19.RRC连接重配置完成”中。
B(5)组件3:高效和安全的IoT-UE
UP数据传输
当已经执行组件1和2二者时,即:在以下操作之后,图12(组件3)所示的高效IoT-UE UP建立过程1230适用:(i)在AUSF/UDM 1203处已经建立组信息;(ii)IoT-UE 1201已经登记到组中,并且因此图13中的每IoT-UE密钥已经得以导出并且分发。
为了满足IoT-UE不频繁数据传输特性,组件3提供用于IoT-UE、(R)AN和5G-CN的机制以高效地建立UP连接,而无需联系5G-CN(导致低效性和潜在信令风暴)。回顾:本公开中解决的问题是减少需要UP连接以执行数据传输的多个IoT-UE生成的开销。
图17是示出根据一个实施例的用于从IDLE/INACTIVE模式进入CONNECTED模式的IoT-UE 1201的具有低信令开销的UP数据传输的示例的信号流程图。图17示出图12所示的IoT-UE 1201、gNB 1202、AMF 1114、AUSF/UDM 1203、SMF 1116、UPF 1122和APS 1204之间的交互。图17还示出图12所示的组服务建立过程1210(组件1)以及组登记和安全性控制过程1220(组件2)。
当IoT-UE 1201具有待发送的数据时,IoT-UE 1201从IDLE/INACTIVE模式进入(1710)连接管理(CM)CONNECTED模式,并且从其所存储的UE上下文(包括idgrp、AlgId、AlgUse和)取得其本地组上下文。在不存在组凭证建立的替选实施例中,gNB的UE上下文中不包含/>
然后,IoT-UE 1201将用于(R)AN IoT-UE分组UP传输的RRC请求消息1712或服务请求NAS消息发送到gNB 1202。消息1712可选地使用RRC等级安全性受加密,并且携带idgrp、idUE、N3和tag1,其中,N3是长度LN的随机nonce,并且如果关于从IDLE/INACTIVE返回的IoT-UE1201发送服务请求NAS消息,则IoT-UE 1201在RRC消息1710中指示(R)AN IoT-UE组UP传输。在不存在组凭证建立的替选实施例中,UE使用kgNB以产生标签,或如已经指示的那样发送NAS服务请求。
一旦接收到消息1712,基于idgrp和idUE,gNB 1202就通过获取IoT-UE的包括idUE、CUE、idAlgInt、idAlgEnc以及组的路由上下文信息的组上下文执行IoT-UE组上下文和获取认证进程1714。此外,gNB 1202通过使用从导出的/>验证tag1来认证IoT-UE 1202。如果接收到具有用于(R)AN IoT-UE组UP传输的指示的服务请求NAS消息,则gNB 1202不将NAS消息转发到AMF 1114。在不存在组凭证建立的替选实施例中,gNB使用kgNB以验证所发送的消息上的UE的标签。
gNB 1202通过发送RRC响应消息1716(例如(R)AN IoT-UE组UP响应)确认关于IoT-UE 1201的成功认证。
在IoT-UE UP数据传输1718中,IoT-UE 1201根据所存储的用于组的UP上下文朝向(组的)UPF 1122通过gNB 1202发送UP数据。
UPF 1122在执行组件1或组件2期间通过根据组上下文的路由策略路由IoT-UE所生成的业务而基于组上下文进程1720执行IoT-UE UP数据转发,如以上关于图14和图15所描述的那样。
在某些实施例中,可以随UP数据分组捎带请求消息1712中的服务请求。如果不存在要在IoT-UE 1201上发送的其他UP数据分组,例如,所捎带的数据分组或服务请求消息指示传输的结束,则响应消息1716指示所捎带的UP数据分组传输的成功,并且可以跳过IoT-UE UP数据传输1718。gNB 1202可以将IoT-UE 1201发送回到IDLE模式。
B(6)组件4:用于安全性密钥刷新的组安全性管理
在某些实施例中,组件4:用于安全性密钥刷新的组安全性管理是可选的(例如,仅在不使用组凭证的情况下执行它)。在图12所示的组安全性管理过程1240中,在架构中的不同层级(例如,从IoT-UE 1201上至AMF 1114)管理安全性上下文。密钥刷新策略可以交由MNO。一个实施例包括:刷新其中,通过以下方式触发IoT-UE密钥刷新:/>或/>的密钥更新;以及处于gNB 1202本地的密钥刷新策略。也就是说,每个gNB可以关于每个IoT-UE的密钥保持计数器CUE。每个gNB保持跟踪使用/>的次数,并且在(由MNO或应用策略定义的)特定阈值数量上,通过增加的计数器重生成/>
一个实施例包括:刷新其中,通过/>的密钥更新刷新gNB的密钥。根据IoT-UE组服务的特征,可以应用不同组安全性更新策略。例如,组安全性更新策略可以是有效性/更新定时器、在同一gNB下登记的IoT-UE的有效数量、IP分组的有效数量等。当满足更新策略的准则时,gNB应该刷新其密钥/>
在某些实施例中,至少存在用于刷新的两个选项。在第一选项中,gNB可以在成员IoT-UE联系gNB(例如,以用于用户平面数据传输)的第一时间刷新该成员IoT-UE的密钥/>因此,gNB可以在所有组成员得到新的刷新的组密钥之前保持若干过去的组密钥。在第二选项中,gNB可以在SIB(系统信息块)中广播关于组管理的安全性策略信息。在此情况下,IoT-UE可以能够在时间段内将其密钥用于gNB,否则,它可能必须再次执行组登记过程,例如,发送指示IoT服务的组登记的服务请求。
在某些实施例中,如果组成员IoT-UE离开组或被检测为有危害性,则gNB可以立即撤销UE的成员资格及其对应密钥。
一个实施例包括:刷新其中,AMF基于有效性时段、基于对IoT-UE的业务或数量的统计或作为密钥泄漏的结果而周期性地刷新其组密钥。在某些实施例中,/>的刷新施加所有/>的刷新,这类似于/>刷新,可以通过向在AMF侧处具有活动状态的每一gNB广播密钥刷新事件得以执行,或在每一gNB与AMF的第一随后通信时通知。在AUSF/UDM刷新/>的情况下,密钥刷新也可以是按需的。
一个实施例包括:刷新其中,组的主密钥可以可选地是长期密钥(类似于存储在UE的SIM卡内部的EPS-AKA中的密钥k),或有规则地刷新。在第一种情况下,AUSF/UDM通过在密钥层级结构中引入足够的熵来使用RAND字段以创建/>在第二种情况下,例如,在使用密钥导出算法创建/>的情况下,可以省略RAND。在某些实施例中,交由MNO配置更新/>并且因此配置整个密钥层级结构的频率。
B(7)附加示例
示例1B可以包括一种方法,包含:应用服务器(APS)经由NEF向AUSF/UDM生成AUSF/UDM服务请求消息,以用于组服务建立,其中,该消息指定以下信息中的至少一个:服务ID、一个或多个组ID(idgrp)、用于该组的地理上下文信息和APS凭证,其中,服务ID是APS为请求的服务订阅的标识符;APS ID是应用服务器标识符;组ID是与服务ID关联的订阅组;APS凭证取决于APS与AUSF/UDM之间使用的认证类型。
示例2B可以包括示例1B或本文一些其他示例的方法,其中,APS凭证可以是数字证书或使用共享密钥计算的消息认证码(MAC)。
示例3B可以包括示例2B或本文一些其他示例的方法,其中,组ID(idgrp)是用于组的长期固定ID,并且配置在IoT-UE处。
示例4B可以包括示例2B或本文一些其他示例的方法,其中,组ID(idgrp)是短期标识符,并且IoT-UE事先不知道。
示例5B可以包括示例3B或示例4B或本文一些其他其他示例的方法,其中,在接收到请求消息之后,AUSF/UDM根据APS与MNO之间商定的认证方法,使用APS的凭据对APS进行认证。
示例6B可以包括示例4B或本文一些其他示例的方法,其中,在成功认证APS后,AUSF/UDM创建并存储与服务ID和APS ID关联的新组记录,其中,该记录包含以下信息中的至少一个:组ID(idgrp)、APSID、组主密钥和允许的地理位置;/>是基于与APS事先商定的密钥导出算法生成的。
示例7B可以包括示例6B或本文一些其他示例的方法,其中,AUSF/UDM发送服务响应消息,以确认APS成功创建了用于组的给定上下文和指定的服务。
示例8B可以包括示例1B或本文一些其他示例的方法,其中,该方法使AUSF/UDM计算每个AMF生成的组凭证 其中,SQN是用于密钥版本控制的序列号,而RAND是比特长度为LRAND的可选随机串。
示例9B可以包括示例8B或本文一些其他示例的方法,其中,AUSF/UDM存储组记录。
示例10B可以包括示例9B或本文一些其他示例的方法,其中,AUSF/UDM为所有注册的组主动创建AMF组凭证,并通过基于MNO配置、目标组成员的地理位置选择可应用的AMF来向所有可应用的AMF传送AMF组凭证,并且发送AMF组安全密钥传送消息,其中,该消息包括每个AMF生成的组凭证,并且该消息应当进行加密并进行完整性保护。
示例11B可以包括示例9B或本文一些其他示例的方法,其中,在网络从第一IoT-UE注册的AMF接收到组登记请求的同时,当AUSF/UDM从AMF接收到请求时,AUSF/UDM生成每AMF生成的组凭证。
示例12B可以包括示例11B和12B或本文一些其他示例的方法,其中,AMF创建至少由idgrp和组成的组上下文。
示例13B可以包括示例10B和11B或本文一些其他示例的方法,其中,AMF选择合适的SMF,并且向所选择的SMF发送SMF组会话分配请求消息,其中,SMF通过为组配置用户平面路由配置文件并为一个或多个组存储组UP上下文而在UPF处预先建立组UP会话,并且管理用户平面会话。
示例14B可以包括示例13B或本文一些其他示例的方法,其中,SMF用SMF组会话分配响应回复AMF,以确认过程完成。
示例15B可以包括示例1B或本文一些其他示例的方法,其中,IoT-UE生成比特长度为LN的随机nonce N1,并经由gNB将IoT-UE组登记请求发送到AMF,其中,消息包括N1以及它请求登记的组的唯一标识符idgrp。
示例16B可以包括示例15B或本文一些其他示例的方法,其中,一旦从IoT-UE接收到请求,AMF就检查它是否已经存储了用于组idgrp的安全性上下文,并且如果没有为该组存储上下文,则通过AMF组请求凭证创建请求消息请求创建组凭证。
示例17B可以包括示例16B或本文一些其他示例的方法,其中,存储在AMF处的上下文包括从由AUSF/UDM持有的组主密钥导出的对称密钥/>
示例18B可以包括示例17B或本文一些其他示例的方法,其中,AMF继续于eNB组上下文创建,其中,gNB组上下文至少包含idgNB和CgNB,其中,CgNB是用于密钥刷新和版本控制的计数器,idgNB是gNB的唯一身份,/>是用于gNB的组密钥;CgNB确保此密钥的刷新。
示例19B可以包括示例18B或本文一些其他示例的方法,其中,AMF通过(R)AN组上下文建立请求消息将传送到gNB,该消息分别使用kN2enc和kN2int进行完整性和机密性保护。
示例20B可以包括示例19B或本文一些其他示例的方法,其中,gNB创建存储的本地组上下文,并用组上下文建立响应消息响应AMF。
示例21B可以包括示例20B或本文一些其他示例的方法,其中,AMF生成比特长度为LN的随机nonce N2,并在AMF IoT-UE组登记请求中向gNB发送N1、N2、idgrp和idUE。
示例22B包含示例21B的方法,其中,gNB为IoT-UE建立组上下文,其至少包含idUE、cUE、AlgId、AlgUse和其中,idUE是IoT-UE的唯一标识符;cUE是用于密钥刷新和版本控制的计数器;AlgId和AlgUse识别将用于IoT-UE与gNB之间交换的所有控制平面和用户平面消息的完整性和机密性保护的算法;/>
示例23B包含示例22B的方法,其中,gNB向IoT-UE发送(R)AN IoT-UE组登记请求消息,其使用RCC密钥(kRCCenc,kRCCint)进行加密和完整性保护,其中,该消息携带:N1、N2、idUE、AlgId和AlgUse。
示例24B包含示例23B的方法,其中,IoT-UE构建存储idgrp、AlgId、AlgUse和的本地上下文,其中,AlgIdInt和AlgIdEnc均应当与注册期间协商的参数匹配。
示例25B包含示例24B的方法,基于其中,IoT-UE导出分别用于对控制和数据平面进行完整性保护和加密的两个密钥/>和/>
示例26B包含示例25B的方法,其中,IoT-UE使用(R)AN IoT-UE组登记响应消息向gNB确认组登记,该消息使用新生成的密钥进行完整性保护,该密钥要用于计算响应消息上的MAC。
示例27B包含示例26B的方法,其中,gNB通过发送包含idUE和cUE的AMF IoT-UE组登记响应消息来确认IoT-UE的组登记成功,其中,该消息受完整性和机密性保护。
示例28B可以包括一种装置,包括用于执行示例1B-27B中任一项描述的或与之相关的方法,或者本文所述的任何其他方法或过程的一个或多个要素的模块。
示例29B可以包括一种或多种非瞬时性计算机可读介质,包括指令,指令在由电子设备的一个或多个处理器执行时,使电子设备执行示例1B-27B中任一项描述的或与之相关的方法,或者本文所述的任何其他方法或过程的一个或多个要素。
示例30B可以包括一种装置,包括用于执行示例1B-27B中任一项描述的或与之相关的方法,或者本文所述的任何其他方法或过程的一个或多个要素的逻辑、模块或电路。
示例31B可以包括如示例1B-27B中任一项描述的或与之相关的方法、技术或过程,或者其部分或一部分。
示例32B可以包括一种装置,包括:一个或多个处理器;和一种或多种计算机可读介质,包括指令,指令当由一个或多个处理器执行时,使一个或多个处理器执行如示例1B-27B中任一项描述的或与之相关的方法、技术或过程,或者其部分。
示例33B可以包括如示例1B-27B中任一项描述的或与之相关的信号,或者其部分或一部分。
示例34B可以包括如本文所示和所述的无线网络中的信号。
示例35B可以包括如本文所示和所述的在无线网络中进行通信的方法。
示例36B可以包括如本文所示和所述的用于提供无线通信的系统。
示例37B可以包括如本文所示和所述的用于提供无线通信的设备。
C.针对M-IoT的基于组的安全性的移动性支持
以上各节的实施例提供了用于对与当前EPS蜂窝网络和下一代5GS兼容的M-IoT设备的进行高效的基于组的处理的解决方案。所公开的实施例减少了(R)AN与核心网之间的源自IoT设备从IDLE模式转换为CONNECTED模式的不必要的信令业务的开销,尤其是在发送小数据分组时。
对于某些IoT服务,例如财产跟踪,系统可以支持移动性。因此,在本节中,所公开的实施例提供了在越区切换过程期间处理对IoT设备的组重登记。特别地,实施例提供用于在5GS中在M-IoT设备的不同越区切换场景中处理组上下文和安全性上下文的解决方案。例如,某些实施例允许对执行基于Xn或N2的越区切换过程的IoT-UE的组登记/重建立。
以下过程可以用于使用Xn或N2参考点将IoT-UE从源NG-RAN节点(例如,gNB)越区切换到目标NG-RAN节点。这可以因例如新的无线电状况、负载平衡或因特定服务而被触发。考虑到组上下文处理,存在五种越区切换情况:NG-RAN节点内;具有Xn接口的NG-RAN节点间;AMF内、SMF内、没有Xn接口的NG-RAN节点内;AMF内、SMF内、没有Xn接口的NG-RAN节点间;以及AMF间、SMF间和内、没有Xn接口的NG-RAN节点间。
取决于NG-RAN节点之间的Xn接口的存在性、AMF的改变以及SMF的改变,这五种越区切换情况可以被分类为三种解决方案。当IoT设备越区切换到目标gNB时,越区切换过程可以为组UL UP上下文和组安全性上下文选择对应的组上下文处理解决方案,如下所述。
对于AMF内和具有Xn接口的NG-RAN内/间越区切换:IoT-UE在同一AMF域内从源gNB移动到目标gNB,并且源gNB与目标gNB之间存在Xn接口。
对于不具有Xn接口的NG-RAN内/间越区切换(N2切换):IoT-UE从源gNB移动到目标gNB,无论是否有AMF的改变。
对于涉及SMF和UPF改变的越区切换:根据IoT-UE的位置,源AMF(在情况1中)或目标AMF(在情况2中)可以选择不同的SMF,从而得到不同的UL UP组上下文以用于在UPF处转发数据分组。
某些实施例提供了用于进行组登记过程连同越区切换过程的解决方案。这是基于以下假设:IoT-UE已经登记到一个组,并且需要执行越区切换。
在第一越区切换实施例(解决方案1)中,当存在Xn接口时,基于Xn的越区切换过程执行源gNB与目标gNB之间的组重登记。此外,如果需要,解决方案1允许AMF为目标gNB创建/更新组凭证。
在第二越区切换实施例(解决方案2)中,统一的N2越区切换过程用于处理IoT-UE越区切换以及目标gNB处的组登记的任何越区切换场景。
下面详细讨论这两种解决方案。
C(1)解决方案1:同一AMF内的两个gNB之间的基于Xn的越区切换
图18是示出根据某些实施例的被修改为处理组上下文和安全性上下文的AMF/UPF内越区切换过程1800的信号流程图。在该示例中,UE1810经历从源gNB 1812向目标gNB1814的越区切换,而对应的AMF1816或UPF 1818没有改变。越区切换过程1800的附加细节(不处理组上下文或安全性上下文)可以在例如TS 38.300中找到。
在某些实施例中,在越区切换过程1800期间,UE 1810(例如,IoT-UE)、目标gNB1814和核心网执行如图12和图15所示的组件2(组登记和安全性控制)以将UE 1810登记到目标gNB 1814管理的本地组。如图15中的eNB组上下文创建处理1516中所示,如果目标gNB不存在,则登记过程建立组上下文。
对于图18中的gNB间越区切换(即,从源gNB 1812向目标gNB1814),信令过程至少包括以下基本示出的组件。源gNB 1812发起越区切换,并通过Xn接口将越区切换请求消息1820发送到目标gNB 1814。如果UE 1810在源gNB 1812处被登记为组成员,则越区切换请求消息1820包括UE 1810的组ID和组成员安全性上下文。
在准入控制处理1822中,目标gNB 1814检查由组ID识别的对应组上下文,并对该组执行准入控制。如果在从源gNB 1812接收到的组成员安全性上下文中没有所需的信息,则目标gNB 1814向AMF 1816发起N2请求消息,其中,N2请求消息指示UE 1810的组ID。AMF1816为UE 1810触发组登记过程(如图15中的eNB组上下文创建处理1516和每IoT-UE令牌生成处理1526中那样)。AMF 1816修改UE 1810的控制平面和用户平面上下文。在一些实施例中,AMF 1816还检查是否需要改变SMF。如果是,则AMF 1816执行组件1的图14中所示的建立UP上下文子处理1460。AMF 1816将N2响应消息发送到目标gNB 1814(如图15所示的AMFIoT-UE组登记请求1528中那样)。
如在图15中的IoT-UE组上下文分配和凭证生成处理1530中那样,目标gNB 1814生成用于UE 1810的组成员凭证,并将UE 1810的组成员上下文添加到组上下文中。目标gNB1814向源gNB 1812发送越区切换请求确认消息1824,其中,该消息包括使用RRC加密密钥的安全性参数。当接收到越区切换请求确认消息1824时,源gNB 1812从组上下文中移除移动了的UE 1810的组成员信息。
图18中所示的Uu越区切换触发处理1826被修改为包括来自图15的以下处理。
除了发送(R)AN IoT-UE组登记请求消息1532之外,源gNB 1812还向UE 1810发送越区切换命令。越区切换命令包括RRC配置和加密的安全性参数(例如,UE 1810的组成员资格密钥)。如IoT-UE组上下文处理1534中那样,UE 1810生成组安全性密钥。如(R)AN IoT-UE组登记响应消息1536中那样,UE将RRC连接移动到目标gNB 1814并回复越区切换完成消息。
C(2)解决方案2:带有/不带有AMF的两个gNB之间的基于N2的越区切换
图19是示出根据某些实施例的被修改为处理组上下文和安全性上下文的具有或不具有AMF/UPF改变的NG-RAN节点间基于N2的越区切换的准备阶段的信号流程图。类似地,图20是示出根据某些实施例的被修改为处理组上下文和安全性上下文的具有或不具有AMF/UPF改变的NG-RAN节点间基于N2的越区切换的执行阶段的信号流程图。在图19和20的示例中,在以下两种场景下,UE 1910(例如,IoT-UE)经历源gNB(示为S-NG-RAN 1912)和目标gNB(示为T-NG-RAN 1914)之间的切换:(1)源gNB与目标gNB之间存在Xn接口,并且AMF(示为S-AMF 1916)保持不变;(2)源gNB与目标gNB之间不存在Xn接口,和/或选择新的AMF(示为T-AMF 1918)为UE 1910服务。
在任一情况下,即基于Xn或N2的越区切换,源gNB在相同或不同AMF或具有/不具有Xn接口的情况下发起两个gNB之间的NG-RAN节点间基于N2的越区切换。即,如果源gNB确定为组ID识别的组中登记的UE 1910发起越区切换,则它激活基于N2的越区切换,无论源gNB与目标gNB之间是否存在Xn接口以及AMF是相同的还是改变了。
源gNB在越区切换过程中为UE 1910发起组登记,并添加以下内容。
C(2)(a)准备阶段
参照用于越区切换准备阶段的图19,源gNB向AMF发送需要越区切换消息1930。需要越区切换消息1930包括UE 1910的组ID、目标gNB ID以及UE 1910的位置。如果没有AMF改变,则源AMF跳过向目标AMF发送前向重定位请求1932。基于需要越区切换消息1930中的信息,源AMF(S-AMF 1916)可以选择新的SMF(示为SMF 1922)和UPF的对应改变(从S-UPF 1924到T-UPF 1920)。这在从PDU越区切换请求1933到PDU越区切换响应1939的处理中示出。
在PDU越区切换响应监督处理1940,越区切换请求消息1942和越区切换请求确认消息1944中,AMF通过执行以下图15的处理来为UE1910执行组登记:每IoT-UE令牌生成处理1526;对于向目标gNB的越区切换请求消息,(R)AN组上下文建立请求消息1522与AMF IoT-UE组登记请求1528结合;以及对于目标gNB创建RAN组上下文(如果它不存在)并创建IoT-UE组上下文和凭证生成,(R)AN组上下文分配处理1523与IoT-UE组上下文分配和凭证生成处理1530结合。另外,对于越区切换响应消息,目标gNB可以发送受目标gNB的RRC加密密钥保护的IoT-UE令牌信息。
C(2)(b)执行阶段
参照用于越区切换执行阶段的图20,AMF向源gNB发送越区切换命令2010,其中,源gNB可以提供受目标gNB的RRC加密密钥保护的IoT-UE令牌信息。源gNB向UE 1910发送越区切换命令消息2012,并且UE 1910用越区切换确认消息2014进行确认,这可以被映射到图15中的以下步骤:源gNB使用(R)AN IoT-UE组登记请求消息1532,在越区切换命令2010中将IoT-UE令牌信息转发给UE 1910;UE 1910使用IoT-UE组上下文处理1534生成IoT-UE组上下文;UE 1910在(R)AN IoT-UE组登记响应消息1536中向目标gNB返回越区切换确认消息2012。
如图20所示,源AMF向源gNB发送UE上下文释放命令2020。源gNB从由组ID识别的组上下文中删除UE 1910的UE上下文并且移除UE 1910的组成员上下文。然后,源gNB向源AMF发送UE上下文释放命令完成消息2022。
C(3)附加示例
示例1C可以包括用于将IoT-UE的连接越区切换到第二RAN节点的第一无线接入网(RAN)节点(例如,gNB),第一RAN节点具有用于以下操作的电路:如果IoT-UE已经登记为组ID所识别的组中的组成员,则生成越区切换请求,以包含IoT-UE的组ID和组成员安全性上下文;以及通过第一RAN节点与第二RAN节点之间的Xn接口,向第二RAN节点发送越区切换请求消息。
示例2C可以包括示例1C或本文一些其他示例的第一RAN节点,其中,电路还用于:向IoT-UE发送越区切换命令,其中,越区切换命令包括:发起IoT-UE组注册的指示;RRC配置;或加密的安全性参数,包括IoT-UE的组成员资格密钥。
示例3C可以包括示例2C或本文一些其他示例的第一RAN节点,其中,电路还用于:在接收到越区切换请求Ack消息后,从组上下文中移除移动了的UE的组成员信息。
示例4C可以包括用于处理IoT-UE的连接从第一RAN节点的越区切换的第二RAN节点,第二RAN节点具有用于以下操作的电路:如果IoT-UE已经注册为组ID识别的组中的组成员,则检查越区切换请求消息中所包括的组ID识别的所存储的组上下文,所述越区切换请求消息还包括IoT-UE的组成员安全性上下文;对该组执行准入控制;如果在从第一RAN节点接收到的组成员安全性上下文中没有所需的信息,则向第一核心网控制平面功能AMF发起N2请求消息,其中,N2请求消息指示IoT-UE的组ID。
示例5C可以包括示例4C或本文一些其他示例的第二RAN节点,其中,电路还用于:为IoT UE生成组成员凭证;将IoT-UE的组成员上下文添加到组中上下文中;向第一RAN节点发送越区切换请求Ack消息,其中,该消息包含使用RRC加密密钥的安全性参数。
示例6C可以包括用于促进从第一RAN节点向第二RAN节点的越区切换的第一核心网控制平面功能,第一核心网控制平面功能具有用于以下操作的电路:为IoT-UE触发组登记过程,包括RAN节点上下文生成/更新和IoT-UE令牌生成;为IoT-UE修改控制平面和用户平面上下文;以及检查是否需要改变第二核心网控制平面功能(例如,SMF)。
示例7C可以包括示例6C或本文一些其他示例的第一核心网控制平面功能,其中,电路还用于:将SMF组会话分配请求发送到第二核心网控制平面功能,以用于UPF会话建立;以及将N2响应消息发送到第二RAN节点,其中,N2响应消息包括用于AMF IoT组登记的信息元素。
示例8C可以包括执行从第一RAN节点向第二RAN节点的越区切换操作的IoT-UE,IoT-UE具有用于以下操作的电路:生成组安全性密钥;建立与第二RAN节点的RRC连接;以及用越区切换完成消息向第二RAN节点回复。
示例9C可以包括用于处理包括准备阶段和执行阶段的IoT-UE越区切换过程的第一RAN节点,第一无线接入网(RAN)节点具有用于以下操作的电路:确定为组ID识别的组中登记了的IoT-UE发起越区切换过程,而不管第一RAN节点与第二RAN节点之间是否存在Xn接口以及AMF是相同的还是改变了;通过第一RAN与第一核心网功能AMF之间的N2接口激活越区切换;将需要越区切换消息发送到AMF,其中,该消息包括:IoT-UE的组ID;目标gNB-ID;或IoT-UE的位置。
示例10C可以包括示例9C或本文一些其他示例的第一RAN节点,其中,为了执行准备阶段,电路用于:在越区切换过程中为IoT-UE发起组登记;以及将需要越区切换消息发送到AMF,该消息包含IoT-UE的组ID、目标gNB-ID、IoT-UE的位置。
示例11C可以包括示例9C或本文一些其他示例的第一RAN节点,其中,电路还用于:将越区切换命令发送到IoT-UE;其中,越区切换命令包括受第二RAN节点的RRC加密密钥保护的IoT-UE令牌信息。
示例12C可以包括示例9C或本文一些其他示例的第一RAN节点,其中,电路还用于:删除IoT设备的UE上下文,并从组ID识别的组上下文中移除IoT-UE的组成员上下文。
示例13C可以包括用于促进第一RAN节点与第二RAN节点之间的IoT-UE越区切换过程的AMF,AMF具有用于以下操作的电路:选择第二核心网功能SMF和第三核心网功能UPF,其中,SMF和UPF被改变了。
示例14C可以包括示例13C或本文一些其他示例的AMF,其中,为了执行用于IoT-UE的组登记,电路用于:生成IoT-UE令牌;向第二RAN节点发送越区切换请求消息,其中,该消息包含RAN组上下文建立消息和AMF IoT-UE组登记请求消息中的信息元素。
示例15C可以包括示例13C或本文一些其他示例的AMF,其中,电路还用于:将越区切换命令发送到第一RAN节点,越区切换命令包括受第二RAN节点的RRC加密密钥保护的IoT-UE令牌信息。
示例16C可以包括用于处理IoT-UE的连接从第一RAN节点的越区切换的第二RAN节点,第二RAN节点具有用于以下操作的电路:创建RAN组上下文(如果不存在);创建IoT-UE组上下文和凭证生成;以及将越区切换响应消息发送到AMF,其中,该消息包含受第二RAN节点的RRC加密密钥保护的IoT-UE令牌信息。
示例17C可以包括示例16C或本文一些其他示例的第二RAN节点,其中,电路还用于将N2消息发送到第二AMF,并且第二AMF将UE上下文释放命令发送到第一RAN节点。
示例18C可以包括具有用于以下操作的电路的IoT-UE:生成IoT-UE组上下文;通过越区切换确认消息向第二RAN节点进行确认。
示例19C可以包括操作第一无线接入(RAN)节点以将IoT-UE的连接越区切换到第二RAN节点的方法,该方法包括:如果IoT-UE已经登记为组ID识别的组中的组成员,则生成越区切换请求消息以包括组ID和IoT-UE的组成员安全性上下文;通过第一RAN节点与第二RAN节点之间的Xn接口,将越区切换请求消息发送到第二RAN节点。
示例20C可以包括示例19C或本文一些其他示例的方法,其中,该方法还包括:将越区切换命令发送到IoT-UE,其中,越区切换命令包括:用于发起IoT-UE组登记的指示;RRC配置;或加密的安全性参数,包括IoT-UE的组成员资格密钥。
示例21C可以包括示例19C或本文一些其他示例的方法,其中,该方法还包括:在接收到越区切换请求Ack消息后,从组上下文中移除移动了的UE的组成员信息。
示例22C可以包括操作第二RAN节点以处理从IoT-UE的连接从第一RAN节点的越区切换的方法,该方法包括:如果IoT-UE已经登记为组ID识别的组中的组成员,则检查越区切换请求消息中所包括的组ID识别的所存储的组上下文,该消息还包括IoT-UE的组成员安全性上下文;对该组执行准入控制;以及如果在从第一RAN节点接收到的组成员安全性上下文中没有所需的信息,则向第一核心网控制平面功能AMF发起N2请求消息,其中,N2请求消息指示IoT-UE的组ID。
示例23C可以包括示例22C或本文一些其他示例的方法,其中,该方法还包括:为IoT UE生成组成员凭证;将IoT-UE的组成员上下文添加到组上下文中;以及将越区切换请求Ack消息发送到第一RAN节点,其中,该消息包含使用RRC加密密钥的安全性参数。
示例24C可以包括操作第一核心网控制平面功能以促进从第一RAN节点向第二RAN节点的越区切换的方法,该方法包括:为IoT-UE触发组登记过程,包括RAN节点上下文生成/更新和IoT-UE令牌生成;为IoT-UE修改控制平面和用户平面上下文;以及检查是否需要改变第二核心网控制平面功能(例如,SMF)。
示例25C可以包括示例24C或本文一些其他示例的方法,其中,该方法还包括:将SMF组会话分配请求发送到第二核心网控制平面功能,以用于UPF会话建立;以及将N2响应消息发送到第二RAN节点,其中,N2响应消息包括用于AMF IoT组登记的信息元素。
示例26C可以包括一种操作IoT-UE以执行从第一RAN节点向第二RAN节点的越区切换操作的方法,该方法包括:生成组安全密钥;建立与第二RAN节点的RRC连接;以及用越区切换完成消息回复第二RAN节点。
示例27C可以包括一种操作第一RAN节点以处理包括准备阶段和执行阶段的IoT-UE越区切换过程的方法,该方法包括:确定为组ID识别的组中登记了的IoT-UE发起越区切换过程,而不管第一RAN节点与第二RAN节点之间是否存在Xn接口以及AMF是相同的还是改变了;通过第一RAN节点与第一核心网功能AMF之间的N2接口激活越区切换;将需要越区切换消息发送到AMF,该消息包括:IoT-UE的组ID;目标gNB-ID;或IoT-UE的位置。
示例28C可以包括示例27C或本文一些其他示例的方法,其中,为了执行准备阶段,该方法包括:在越区切换过程中为IoT-UE发起组登记;以及将需要越区切换消息发送到AMF,该消息包含IoT-UE的组ID、目标gNB-ID、IoT-UE的位置。
示例29C可以包括示例27C或本文一些其他示例的方法,还包括:将越区切换命令发送到IoT-UE;其中,越区切换命令包括受第二RAN节点的RRC加密密钥保护的IoT-UE令牌信息。
示例30C可以包括示例27C或本文一些其他示例的方法,其中,该方法还包括:删除IoT设备的UE上下文,并从组ID识别的组上下文中移除IoT-UE的组成员上下文。
示例31C可以包括操作AMF以促进第一RAN节点与第二RAN节点之间的IoT-UE越区切换过程的方法,该方法包括:选择第二核心网功能SMF和第三核心网功能UPF,其中,SMF和UPF已改变。
示例32C可以包括示例31C或本文一些其他示例的方法,其中,为了执行用于IoT-UE的组登记,方法包括:生成IoT-UE令牌;向第二RAN节点发送越区切换请求消息,其中,该消息包含RAN组上下文建立消息和AMF IoT-UE组登记请求消息中的信息元素。
示例33C可以包括示例1C、31C、3C或本文一些其他示例的方法,其中,该方法还包括:将越区切换命令发送到第一RAN节点,越区切换命令包括受第二RAN节点的RRC加密密钥保护的IoT-UE令牌信息。
示例34C可以包括操作第二RAN节点以处理IoT-UE的连接从第一RAN节点的越区切换的方法,该方法包括:创建RAN组上下文(如果不存在);创建IoT-UE组上下文和凭证生成;以及将越区切换响应消息发送到AMF,其中,该消息包含受第二RAN节点的RRC加密密钥保护的IoT-UE令牌信息。
示例35C可以包括示例34C或本文一些其他示例的方法,其中,该方法还包括:将N2消息发送到第二AMF,并且第二AMF将UE上下文释放命令发送到第一RAN节点。
示例36C可以包括一种操作IoT-UE的方法,该方法包括:生成IoT-UE组上下文;以及用越区切换确认消息向第二RAN节点进行确认。
示例37C可以包括一种装置,包括用于执行示例19C-36C中任一项描述的或与之相关的方法,或者本文所述的任何其他方法或过程的一个或多个要素的模块。
示例38C可以包括一种或多种非瞬时性计算机可读介质,包括指令,指令在由电子设备的一个或多个处理器执行时,使电子设备执行示例19C-36C中任一项描述的或与之相关的方法,或者本文所述的任何其他方法或过程的一个或多个要素。
示例39C可以包括一种装置,包括用于示例19C-36C中任一项描述的或与之相关的方法,或者本文所述的任何其他方法或过程的一个或多个要素的逻辑、模块或电路。
示例40C可以包括示例19C-36C中任一项描述的或与之相关的方法、技术或过程,或者其部分或一部分。
示例41C可以包括一种装置,包括:一个或多个处理器;和一种或多种计算机可读介质,包括指令,指令在由一个或多个处理器执行时使一个或多个处理器执行示例19C-36C中任一项描述的或与之相关的方法、技术或过程,或者其部分。
示例42C可以包括示例19C-36C中任一项描述的或与之相关的方法、技术或过程,或者其部分或一部分。
示例43C可以包括如本文所示和所述的无线网络中的信号。
示例44C可以包括如本文所示和所述的在无线网络中进行通信的方法。
示例45C可以包括如本文所示和所述的用于提供无线通信的系统。
示例46C可以包括如本文所示和所述的用于提供无线通信的设备。
D.示例装置、设备和系统
图21示出了根据一些实施例的网络的系统2100的架构。系统2100被示为包括用户设备(UE)2101和UE 2102。UE 2101和2102被示为智能电话(例如,可连接到一个或多个蜂窝网络的手持触摸屏移动计算设备),但是也可以包括任何移动或非移动计算设备,例如个人数据助理(PDA)、寻呼机、膝上型计算机、台式计算机、无线手持设备或包括无线通信接口的任何计算设备。
在一些实施例中,UE 2101和2102中的任一个可以包括物联网(IoT)UE,其可以包括针对利用短期UE连接的低功率IoT应用所设计的网络接入层。IoT UE可以利用诸如机器到机器(M2M)或机器类型通信(MTC)的技术,以经由公共陆地移动网络(PLMN)、邻近服务(ProSe)或设备到设备(D2D)通信、传感器网络或IoT网络与MTC服务器或设备交换数据。M2M或MTC数据交换可以是机器发起的数据交换。IoT网络描述了用短期连接互连IoT UE(其可以包括(在互联网基础设施内)唯一可识别的嵌入式计算设备)。IoT UE可以执行后台应用(例如,保活消息、状态更新等),以促进IoT网络的连接。
UE 2101和2102可以被配置为与无线接入网(RAN)2110连接(例如,以通信方式耦合)。RAN 2110可以是例如演进通用移动通信系统(UMTS)陆地无线接入网(E-UTRAN)、NextGen RAN(NG RAN)或某些其他类型的RAN。UE 2101和2102分别利用连接2103和2104,每个连接包括物理通信接口或层(下面进一步详细讨论);在该示例中,连接2103和2104被示为用于实现通信耦合的空中接口,并且可以符合蜂窝通信协议,例如全球移动通信系统(GSM)协议、码分多址(CDMA)网络协议、即按即说(PTT)协议、蜂窝上PTT(POC)协议、通用移动通信系统(UMTS)协议、3GPP长期演进(LTE)协议、第五代(5G)协议、新空口(NR)协议等。
在该实施例中,UE 2101和2102还可以经由ProSe接口2105直接交换通信数据。ProSe接口2105可以替换地称为侧链路接口,其包括一个或多个逻辑信道,包括但不限于物理侧链路控制信道(PSCCH)、物理侧链路共享信道(PSSCH)、物理侧链路发现信道(PSDCH)和物理侧链路广播信道(PSBCH)。
UE 2102被示为经配置以经由连接2107接入接入点(AP)2106。连接2107可以包括本地无线连接,例如符合任何IEEE 802.11协议的连接,其中,AP 2106将包括无线保真路由器。在该示例中,AP 2106被示为连接到互联网而不连接到无线系统的核心网(下面进一步详细描述)。
RAN 2110可以包括启用连接2103和2104的一个或多个接入节点。这些接入节点(AN)可以称为基站(BS)、NodeB、演进NodeB(eNB)、下一代NodeB(gNB)、RAN节点等,并且可以包括在地理区域(例如,小区)内提供覆盖的地面站(例如,陆地接入点)或卫星站。RAN 2110可以包括用于提供宏小区的一个或多个RAN节点(例如,宏RAN节点2111)以及用于提供毫微微小区或微微小区(例如,与宏小区相比具有更小的覆盖区域、更小的用户容量或更高的带宽的小区)的一个或多个RAN节点(例如,低功率(LP)RAN节点2112)。
RAN节点2111和2112中的任一个可以端接空中接口协议,并且可以是用于UE 2101和2102的第一接触点。在一些实施例中,RAN节点2111和2112中的任一个可以履行RAN 2110的各种逻辑功能,包括但不限于无线电网络控制器(RNC)功能,例如无线承载管理、上行链路和下行链路动态无线资源管理和数据分组调度以及移动性管理。
根据一些实施例,UE 2101和2102可以被配置为:根据各种通信技术(例如但不限于正交频分多址(OFDMA)通信技术(例如,用于下行链路通信)或单载波频分多址(SC-FDMA)通信技术(例如,用于上行链路和ProSe或侧链路通信)),在多载波通信信道上使用正交频分复用(OFDM)通信信号彼此或与RAN节点2111和2112中的任一个进行通信,但实施例的范围不限于此。OFDM信号可以包括多个正交子载波。
在一些实施例中,下行链路资源网格可以用于从RAN节点2111和2112中的任一个到UE 2101和2102的下行链路传输,而上行链路传输可以利用类似的技术。网格可以是称为资源网格或时频资源网格的时频网格,其为下行链路中每个时隙中的物理资源。这种时频平面表示对于OFDM系统来说是常见做法,这使得无线电资源分配是直观的。资源网格的每列和每行分别对应于一个OFDM符号和一个OFDM子载波。资源网格在时域中的持续时间对应于无线帧中的一个时隙。资源网格中的最小时频单元称为资源元素。每个资源网格包括多个资源块,其描述了某些物理信道到资源元素的映射。每个资源块包括资源元素的集合;在频域中,这可以表示当前能够被分配的最小资源量。存在若干不同的使用这种资源块传送的物理下行链路信道。
物理下行链路共享信道(PDSCH)可以将用户数据和更高层信令携带到UE 2101和2102。物理下行链路控制信道(PDCCH)可以携带关于与PDSCH信道有关的传输格式和资源分配的信息等。它还可以向UE2101和2102通知与上行链路共享信道有关的传输格式、资源分配和H-ARQ(混合自动重传请求)信息。通常,可以基于从UE 2101和2102中的任一个反馈的信道质量信息,在RAN节点2111和2112中的任一个处执行下行链路调度(将控制信道资源块和共享信道资源块分派给小区内的UE 2101和2102)。可以在用于(例如,分派给)UE 2101和2102中的每一个的PDCCH上发送下行链路资源分派信息。
PDCCH可以使用控制信道元素(CCE)来传送控制信息。在被映射到资源元素之前,PDCCH复值符号可以首先被组织成四元组,然后可以使用子块交织器进行排列,以用于速率匹配。可以使用这些CCE中的一个或多个来发送每个PDCCH,其中,每个CCE可以对应于九组称为资源元素组(REG)的四个物理资源元素。可以将四个正交相移键控(QPSK)符号映射到每个REG。可以使用一个或多个CCE来发送PDCCH,这取决于下行链路控制信息(DCI)的大小和信道状况。在LTE中可以定义具有不同数量的CCE的四种或更多种不同的PDCCH格式(例如,聚合等级,L=1、2、4或8)。
一些实施例对于控制信道信息可以使用作为上述概念的扩展的概念进行资源分配。例如,一些实施例可以利用增强物理下行链路控制信道(EPDCCH),其使用PDSCH资源进行控制信息传输。可以使用一个或多个增强控制信道元素(ECCE)来发送EPDCCH。与上面类似,每个ECCE可以对应于九组称为增强资源元素组(EREG)的四个物理资源元素。在某些情况下,ECCE可以具有其他数量的EREG。
RAN 2110被示为经由S1接口2113以通信方式耦合到核心网(CN)2120。在实施例中,CN 2120可以是演进分组核心(EPC)网络、下一代分组核心(NPC)网络或某些其他类型的CN。在该实施例中,S1接口2113被分成两部分:S1-U接口2114,其携带RAN节点2111和2112与服务网关(S-GW)2122之间的业务数据;以及S1移动性管理实体(MME)接口2115,其为RAN节点2111和2112与MME 2121之间的信令接口。
在该实施例中,CN 2120包括MME 2121、S-GW 2122、分组数据网络(PDN)网关(P-GW)2123和归属订户服务器(HSS)2124。MME2121在功能上可以类似于遗留服务通用分组无线服务(GPRS)支持节点(SGSN)的控制平面。MME 2121可以管理接入中的移动性方面,例如网关选择和跟踪区域列表管理。HSS 2124可以包括用于网络用户的数据库,包括用于支持网络实体处理通信会话的订阅相关信息。CN 2120可以包括一个或若干HSS 2124,这取决于移动订户的数量、设备的容量、网络的组织等。例如,HSS 2124可以提供对路由/漫游、认证、授权、命名/地址解析、位置依赖性等的支持。
S-GW 2122可以端接去往RAN 2110的S1接口2113,并且在RAN2110与CN 2120之间路由数据分组。此外,S-GW 2122可以是用于RAN节点间切换的本地移动性锚点,并且还可以提供用于3GPP间移动性的锚定。其他责任可以包括法定拦截、计费和某种策略实施。
P-GW 2123可以端接去往PDN的SGi接口。P-GW 2123可以经由互联网协议(IP)接口2125,在CN 2120(例如,EPC网络)与外部网络(例如,包括应用服务器2130(替换地称为应用功能(AF))的网络)之间路由数据分组。通常,应用服务器2130可以是向核心网提供使用IP承载资源的应用(例如,UMTS分组服务(PS)域、LTE PS数据服务等)的元件。在该实施例中,P-GW 2123被示为经由IP通信接口2125以通信方式耦合到应用服务器2130。应用服务器2130还可以被配置为:经由CN 2120支持用于UE 2101和2102的一种或多种通信服务(例如,互联网协议上的语音(VoIP)会话、PTT会话、组通信会话、社交网络服务等)。
P-GW 2123还可以是用于策略实施和计费数据收集的节点。策略和计费规则功能(PCRF)2126是CN 2120的策略和计费控制元件。在非漫游场景中,在归属公共陆地移动网络(HPLMN)中可以存在与UE的互联网协议连接接入网(IP-CAN)会话关联的单个PCRF。在业务脱离本地的漫游场景中,可以存在与UE的IP-CAN会话关联的两个PCRF:HPLMN内的归属PCRF(H-PCRF)和受访公共陆地移动网络(VPLMN)中的受访PCRF(V-PCRF)。PCRF 2126可以经由P-GW 2123以通信方式耦合到应用服务器2130。应用服务器2130可以用信号通知PCRF 2126以指示新的服务流,并选择适当的服务质量(QoS)和计费参数。PCRF2126可以用适当的业务流模板(TFT)和QoS类标识符(QCI)将该规则配给到策略和计费执行功能(PCEF)(未示出)中,这使得按应用服务器2130所指定的那样开始QoS和计费。
图22示出了根据一些实施例的设备2200的示例组件。在一些实施例中,设备2200可以包括应用电路2202、基带电路2204、射频(RF)电路2206、前端模块(FEM)电路2208、一个或多个天线2210以及电源管理电路(PMC)2212,至少如所示那样耦合在一起。所示的设备2200的组件可以包括在UE或RAN节点中。在一些实施例中,设备2200可以包括更少的元件(例如,RAN节点可以不利用应用电路2202,改为包括处理器/控制器以处理从EPC接收的IP数据)。在一些实施例中,设备2200可以包括附加元件,例如存储器/存储、显示器、相机、传感器或输入/输出(I/O)接口。在其他实施例中,下面描述的组件可以包括在多于一个设备中(例如,对于云RAN(C-RAN)实现方式,所述电路可以分开地包括在多于一个设备中)。
应用电路2202可以包括一个或多个应用处理器。例如,应用电路2202可以包括例如但不限于一个或多个单核或多核处理器的电路。处理器可以包括通用处理器和专用处理器(例如,图形处理器、应用处理器等)的任何组合。处理器可以与存储器/存储耦合或者可以包括它们,并且可以被配置为:执行存储在存储器/存储中的指令,以使得各种应用或操作系统能够在设备2200上运行。在一些实施例中,应用电路2202的处理器可以处理从EPC接收的IP数据分组。
基带电路2204可以包括例如但不限于一个或多个单核或多核处理器的电路。基带电路2204可以包括一个或多个基带处理器或控制逻辑,以处理从RF电路2206的接收信号路径接收的基带信号,并生成用于RF电路2206的发送信号路径的基带信号。基带电路2204可以与应用电路2202接口,用于生成和处理基带信号,并控制RF电路2206的操作。例如,在一些实施例中,基带电路2204可以包括第三代(3G)基带处理器2204A、第四代(4G)基带处理器2204B、第五代(5G)基带处理器2204C或用于其他现有代、开发中的代或未来开发的代(例如,第二代(2G)、第六代(6G)等)的其他基带处理器2204D。基带电路2204(例如,基带处理器2204A-D中的一个或多个)可以处理使得经由RF电路2206与一个或多个无线电网络进行通信成为可能的各种无线电控制功能。在其他实施例中,基带处理器2204A-D的一些或全部功能可以包括在存储于存储器2204G中并经由中央处理单元(CPU)2204E执行的模块中。无线电控制功能可以包括但不限于信号调制/解调、编码/解码、无线电频移等。在一些实施例中,基带电路2204的调制/解调电路可以包括快速傅里叶变换(FFT)、预编码或星座映射/解映射功能。在一些实施例中,基带电路2204的编码/解码电路可以包括卷积、咬尾卷积、turbo、维特比或低密度奇偶校验(LDPC)编码器/解码器功能。调制/解调和编码器/解码器功能的实施例不限于这些示例,并且在其他实施例中可以包括其他合适的功能。
在一些实施例中,基带电路2204可以包括一个或多个音频数字信号处理器(DSP)2204F。音频DSP 2204F可以包括用于压缩/解压缩和回声消除的元件,并且在其他实施例中可以包括其他合适的处理元件。在一些实施例中,基带电路的组件可以合适地组合在单个芯片、单个芯片组中,或者设置在同一电路板上。在一些实施例中,基带电路2204和应用电路2202的一些或所有构成组件可以一起实现在例如片上系统(SOC)上。
在一些实施例中,基带电路2204可以提供与一种或多种无线电技术兼容的通信。例如,在一些实施例中,基带电路2204可以支持与演进通用陆地无线接入网(EUTRAN)或其他无线城域网(WMAN)、无线局域网(WLAN)或无线个域网(WPAN)的通信。基带电路2204被配置为支持多于一种无线协议的无线电通信的实施例可以被称为多模基带电路。
RF电路2206可以使得通过非固体介质使用调制的电磁辐射来与无线网络的通信成为可能。在各种实施例中,RF电路2206可以包括开关、滤波器、放大器等,以促进与无线网络的通信。RF电路2206可以包括接收信号路径,其可以包括用于下变频从FEM电路2208接收的RF信号并向基带电路2204提供基带信号的电路。RF电路2206还可以包括发送信号路径,其可以包括用于上变频基带电路2204提供的基带信号并将RF输出信号提供给FEM电路2208以用于传输的电路。
在一些实施例中,RF电路2206的接收信号路径可以包括混频器电路2206A、放大器电路2206B和滤波器电路2206C。在一些实施例中,RF电路2206的发送信号路径可以包括滤波器电路2206C和混频器电路2206A。RF电路2206还可以包括综合器电路2206D,用于合成由接收信号路径和发送信号路径的混频器电路2206A使用的频率。在一些实施例中,接收信号路径的混频器电路2206A可以被配置为:基于综合器电路2206D提供的合成频率对从FEM电路2208接收的RF信号进行下变频。放大器电路2206B可以被配置为放大下变频后的信号,并且滤波器电路2206C可以是低通滤波器(LPF)或带通滤波器(BPF),被配置为:从下变频后的信号中去除不想要的信号,以生成输出基带信号。可以将输出基带信号提供给基带电路2204,以用于进一步处理。在一些实施例中,输出基带信号可以是零频率基带信号,但这并非要求。在一些实施例中,接收信号路径的混频器电路2206A可以包括无源混频器,但是实施例的范围不限于此。
在一些实施例中,发送信号路径的混频器电路2206A可以被配置为:基于综合器电路2206D提供的合成频率对输入基带信号进行上变频,以生成用于FEM电路2208的RF输出信号。基带信号可以由基带电路2204提供,并且可以由滤波器电路2206C滤波。
在一些实施例中,接收信号路径的混频器电路2206A和发送信号路径的混频器电路2206A可以包括两个或更多个混频器,并且可以分别被布置用于正交下变频和上变频。在一些实施例中,接收信号路径的混频器电路2206A和发送信号路径的混频器电路2206A可以包括两个或更多个混频器,并且可以被布置用于镜像抑制(例如,Hartley镜像抑制)。在一些实施例中,接收信号路径的混频器电路2206A和发送信号路径的混频器电路2206A可以被分别布置用于直接下变频和直接上变频。在一些实施例中,接收信号路径的混频器电路2206A和发送信号路径的混频器电路2206A可以被配置用于超外差操作。
在一些实施例中,输出基带信号和输入基带信号可以是模拟基带信号,但是实施例的范围不限于此。在一些替换实施例中,输出基带信号和输入基带信号可以是数字基带信号。在这些替换实施例中,RF电路2206可以包括模数转换器(ADC)和数模转换器(DAC)电路,并且基带电路2204可以包括数字基带接口,以与RF电路2206通信。
在一些双模实施例中,可以提供单独的无线电IC电路,以用于处理每个频谱的信号,但是实施例的范围不限于此。
在一些实施例中,综合器电路2206D可以是小数N综合器或小数N/N+1综合器,但是实施例的范围不限于此,因为其他类型的频率综合器可以是合适的。例如,综合器电路2206D可以是Δ-Σ综合器、倍频器或包括具有分频器的锁相环的综合器。
综合器电路2206D可以被配置为:基于频率输入和除法器控制输入来合成输出频率以供RF电路2206的混频器电路2206A使用。在一些实施例中,综合器电路2206D可以是小数N/N+1综合器。
在一些实施例中,频率输入可以由压控振荡器(VCO)提供,但这并非要求。除法器控制输入可以由基带电路2204或应用电路2202(例如,应用处理器)根据期望的输出频率来提供。在一些实施例中,可以基于由应用电路2202指示的信道,从查找表确定除法器控制输入(例如,N)。
RF电路2206的综合器电路2206D可以包括除法器、延迟锁相环(DLL)、复用器和相位累加器。在一些实施例中,除法器可以是双模除法器(DMD),并且相位累加器可以是数字相位累加器(DPA)。在一些实施例中,DMD可以被配置为:将输入信号除以N或N+1(例如,基于进位),以提供小数除法比率。在一些示例实施例中,DLL可以包括一组级联的可调谐的延迟元件、相位检测器、电荷泵和D型触发器。在这些实施例中,延迟元件可以被配置为将VCO周期分解为Nd个相等的相位分组,其中,Nd是延迟线中的延迟元件的数量。以此方式,DLL提供负反馈,以帮助确保通过延迟线的总延迟是一个VCO周期。
在一些实施例中,综合器电路2206D可以被配置为生成载波频率作为输出频率,而在其他实施例中,输出频率可以是载波频率的倍数(例如,载波频率的两倍、载波频率的四倍),并与正交发生器和除法器电路结合使用,以在载波频率下生成相对于彼此具有多个不同相位的多个信号。在一些实施例中,输出频率可以是LO频率(fLO)。在一些实施例中,RF电路2206可以包括IQ/极坐标转换器。
FEM电路2208可以包括接收信号路径,其可以包括被配置为对从一个或多个天线2210接收的RF信号进行操作,放大接收的信号并将接收的信号的放大版本提供给RF电路2206以用于进一步处理的电路。FEM电路2208还可以包括发送信号路径,其可以包括被配置为放大由RF电路2206提供的用于发送的信号以用于由一个或多个天线2210中的一个或多个发送的电路。在各种实施例中,通过发送信号路径或接收信号路径的放大可以仅在RF电路2206中完成,仅在FEM电路2208中完成,或者在RF电路2206和FEM电路2208两者中完成。
在一些实施例中,FEM电路2208可以包括TX/RX切换器,以在发送模式与接收模式操作之间切换。FEM电路2208可以包括接收信号路径和发送信号路径。FEM电路2208的接收信号路径可以包括LNA,用于放大接收的RF信号,并将放大的接收RF信号作为输出提供(例如,给RF电路2206)。FEM电路2208的发送信号路径可以包括:功率放大器(PA),用于放大(例如,由RF电路2206提供的)输入RF信号;以及一个或多个滤波器,用于生成RF信号,以用于(例如,由一个或多个天线2210中的一个或多个进行)后续发送。
在一些实施例中,PMC 2212可以管理提供给基带电路2204的功率。特别地,PMC2212可以控制电源选择、电压缩放、电池充电或DC-DC转换。当设备2200能够由电池供电时,例如当设备2200被包括在UE中时,常常可以包括PMC 2212。PMC 2212可以提高功率转换效率,同时提供期望的实现尺寸和散热特性。
图22示出了PMC 2212仅与基带电路2204耦合。然而,在其他实施例中,PMC 2212可以附加地或替换地与其他组件耦合,例如但不限于应用电路2202、RF电路2206或FEM 2208,并且为其他组件执行类似的电源管理操作。
在一些实施例中,PMC 2212可以控制设备2200的各种省电机构,或者为其一部分。例如,如果设备2200处于RRC_Connected状态(其中,它仍然连接到RAN节点,因为它预期不久之后将接收业务),则它可以在一不活动时段之后进入称为不连续接收模式(DRX)的状态。在该状态期间,设备2200可以下电达短暂的时间间隔,从而节省电力。
如果在延长的时间段内没有数据业务活动,则设备2200可以转换到RRC_Idle状态(其中,它与网络断开连接,并且不执行诸如信道质量反馈、切换等操作)。设备2200进入非常低功率的状态,并且它执行寻呼,其中它再次周期性地唤醒以侦听网络,然后再次下电。设备2200在该状态下不可以接收数据,为了接收数据,它可以转换回RRC_Connected状态。
附加省电模式可以允许设备对网络不可用达比寻呼间隔长的时段(范围从几秒到几小时)。在此时间期间,设备完全不可达网络并且可以完全下电。在此时间期间发送的任何数据都会产生大的延迟,并且假设该延迟是可接受的。
应用电路2202的处理器和基带电路2204的处理器可以用于执行协议栈的一个或多个实例的元素。例如,基带电路2204的处理器(单独地或组合地)可以用于执行层3、层2或层1功能,而应用电路2202的处理器可以利用从这些层接收的数据(例如,分组数据),并进一步执行层4层功能(例如,传输通信协议(TCP)和用户数据报协议(UDP)层)。如本文所提到的,层3可以包括无线资源控制(RRC)层,下面将进一步详细描述。如本文所提到的,层2可以包括介质接入控制(MAC)层、无线链路控制(RLC)层和分组数据汇聚协议(PDCP)层,下面将进一步详细描述。如本文所提到的,层1可以包括UE/RAN节点的物理(PHY)层,下面将进一步详细描述。
图23示出了根据一些实施例的基带电路的示例接口。如上所讨论的,图22的基带电路2204可以包括处理器2204A-2204E和由所述处理器使用的存储器2204G。处理器2204A-2204E中的每一个可以分别包括存储器接口2304A-2304E,以向/从存储器2204G发送/接收数据。
基带电路2204还可以包括用于以通信方式耦合到其他电路/设备的一个或多个接口,例如存储器接口2312(例如,用于向/从基带电路2204外部的存储器发送/接收数据的接口)、应用电路接口2314(例如,用于向/从图22的应用电路2202发送/接收数据的接口)、RF电路接口2316(例如,用于向/从图22的RF电路2206发送/接收数据的接口)、无线硬件连接接口2318(例如,用于向/从近场通信(NFC)组件、组件(例如,/>)、组件和其他通信组件发送/接收数据的接口)和电源管理接口2320(例如,用于向/从PMC 2212发送/接收功率或控制信号的接口)。
图24是根据一些实施例的控制平面协议栈的图示。在该实施例中,控制平面2400被示为UE 2101(或替换地,UE 2102)、RAN节点2111(或替换地,RAN节点2112)与MME 2121之间的通信协议栈。
PHY层2401可以通过一个或多个空中接口发送或接收由MAC层2402使用的信息。PHY层2401还可以执行链路适配或自适应调制和编码(AMC)、功率控制、小区搜索(例如,用于初始同步和切换目的)以及由诸如RRC层2405的更高层使用的其他测量。PHY层2401可以仍然进一步执行对传输信道的检错、传输信道的前向纠错(FEC)编码/解码、物理信道的调制/解调、交织、速率匹配、映射到物理信道、以及多输入多输出(MIMO)天线处理。
MAC层2402可以执行逻辑信道与传输信道之间的映射,将来自一个或多个逻辑信道的MAC服务数据单元(SDU)复用到传输块(TB)以经由传输信道传递到PHY,将MAC SDU从经由传输信道自PHY传递的传输块(TB)解复用到一个或多个逻辑信道,将MAC SDU复用到TB,调度信息上报,通过混合自动重传请求(HARQ)进行纠错,以及逻辑信道优先级排序。
RLC层2403可以以多种操作模式操作,包括:透明模式(TM)、非确认模式(UM)和确认模式(AM)。RLC层2403可以执行上层协议数据单元(PDU)的传送,通过自动重传请求(ARQ)进行纠错以用于AM数据传送,以及对RLC SDU进行串接、分段和重组以用于UM和AM数据传送。RLC层2403还可以执行RLC数据PDU的重分段以用于AM数据传送,对RLC数据PDU重排序以用于UM和AM数据传送,检测重复数据以用于UM和AM数据传送,丢弃RLC SDU以用于UM和AM数据传送,检测协议错误以用于AM数据传送,并执行RLC重建。
PDCP层2404可以执行IP数据的头压缩和解压缩,维护PDCP序列号(SN),在重建较低层时执行上层PDU的顺序传递,在重建较低层时为映射在RLC AM上的无线承载消除较低层SDU的重复,加密和解密控制平面数据,执行控制平面数据的完整性保护和完整性验证,控制基于定时器的数据丢弃,以及执行安全操作(例如,加密、解密、完整性保护、完整性验证等)。
RRC层2405的主要服务和功能可以包括系统信息的广播(例如,包括在与非接入层(NAS)相关的主信息块(MIB)或系统信息块(SIB)中),与接入层(AS)相关的系统信息的广播,UE与E-UTRAN之间的RRC连接的寻呼、建立、维护和释放(例如,RRC连接寻呼、RRC连接建立、RRC连接修改和RRC连接释放),点对点无线承载的建立、配置、维护和释放,安全功能(包括密钥管理),异无线接入技术(RAT)移动性和UE测量上报的测量配置。所述MIB和SIB可以包括一个或多个信息元素(IE),每个信息元素可以包括单独的数据字段或数据结构。
UE 2101和RAN节点2111可以利用Uu接口(例如,LTE-Uu接口),以经由协议栈(包括PHY层2401、MAC层2402、RLC层2403、PDCP层2404以及RRC层2405)来交换控制平面数据。
在所示的实施例中,非接入层(NAS)协议2406形成UE 2101与MME 2121之间的控制平面的最高层。NAS协议2406支持UE 2101的移动性和会话管理过程,以建立和维护UE 2101与P-GW 2123之间的IP连接。
S1应用协议(S1-AP)层2415可以支持S1接口的功能,并且包括基本过程(EP)。EP是RAN节点2111与CN 2120之间的交互的单元。S1-AP层服务可以包括两个组:UE关联服务和非UE关联服务。这些服务执行以下功能,包括但不限于:E-UTRAN无线接入承载(E-RAB)管理、UE能力指示、移动性、NAS信令传输、RAN信息管理(RIM)和配置传送。
流控制传输协议(SCTP)层(替换地称为流控制传输协议/互联网协议(SCTP/IP)层)2414可以部分地基于IP层2413支持的IP协议确保RAN节点2111与MME 2121之间的信令消息的可靠传送。L2层2412和L1层2411可以指代由RAN节点和MME用于交换信息的通信链路(例如,有线或无线)。
RAN节点2111和MME 2121可以利用S1-MME接口经由协议栈来交换控制平面数据,包括L1层2411、L2层2412、IP层2413、SCTP层2414和S1-AP层2415。
图25是根据一些实施例的用户平面协议栈的图示。在该实施例中,用户平面2500被示为UE 2101(或替换地,UE 2102)、RAN节点2111(或替换地,RAN节点2112)、S-GW 2122和P-GW 2123之间的通信协议栈。用户平面2500可以利用至少一些与控制平面2400相同的协议层。例如,UE 2101和RAN节点2111可以利用Uu接口(例如,LTE-Uu接口),以经由协议栈来交换用户平面数据,包括PHY层2401、MAC层2402、RLC层2403、PDCP层2404。
用于用户平面(GTP-U)层2504的通用分组无线服务(GPRS)隧道协议可以用于在GPRS核心网内以及在无线接入网与核心网之间携带用户数据。例如,所传输的用户数据可以是IPv4、IPv6或PPP格式中的任一种格式的分组。UDP和IP安全(UDP/IP)层2503可以提供用于数据完整性的校验和、用于在源和目的地处寻址不同功能的端口号、以及对选定数据流的加密和认证。RAN节点2111和S-GW 2122可以利用S1-U接口,以经由协议栈来交换用户平面数据,包括L1层2411、L2层2412、UDP/IP层2503和GTP-U层2504。S-GW 2122和P-GW 2123可以利用S5/S8a接口,以经由协议栈来交换用户平面数据,包括L1层2411、L2层2412、UDP/IP层2503和GTP-U层2504。如上面关于图24所讨论的那样,NAS协议支持UE 2101的移动性和会话管理过程,以建立和维护UE 2101和P-GW 2123之间的IP连接。
图26示出了根据一些实施例的核心网的组件。CN 2120的组件可以实现在一个物理节点中,或者实现在分开的物理节点中,包括用于从机器可读或计算机可读介质(例如,非瞬时性机器可读存储介质)读取和执行指令的组件。在一些实施例中,网络功能虚拟化(NFV)用于经由存储在一个或多个计算机可读存储介质中的可执行指令虚拟化任何或所有上述网络节点功能(下面进一步详细描述)。CN 2120的逻辑实例化可以被称为网络切片2601。CN 2120的一部分的逻辑实例化可以被称为网络子切片2602(例如,网络子切片2602被示为包括PGW 2123和PCRF 2126)。
NFV架构和基础设施可以用于将一个或多个网络功能虚拟化(否则由专用硬件执行)到包括行业标准服务器硬件、存储硬件或交换机的组合的物理资源上。换句话说,NFV系统可以用于执行一个或多个EPC组件/功能的虚拟或可重配置的实现。
图27是示出根据一些示例实施例的能够从机器可读或计算机可读介质(例如,非瞬时性机器可读存储介质)中读取指令并执行本文讨论的任何一种或多种方法的组件的框图。具体地,图27示出了硬件资源2700的图形表示,包括一个或多个处理器(或处理器核)2710、一个或多个存储器/存储设备2720以及一个或多个通信资源2730,其中的每一个可以经由总线2740以通信方式耦合。对于利用了节点虚拟化(例如,NFV)的实施例,可以执行管理程序2702,从而为一个或多个网络切片/子切片提供执行环境,以利用硬件资源2700。
处理器2710(例如,中央处理单元(CPU)、精简指令集计算(RISC)处理器、复杂指令集计算(CISC)处理器、图形处理单元(GPU)、数字信号处理器(DSP),例如基带处理器、专用集成电路(ASIC)、射频集成电路(RFIC)、另一处理器或其任何合适的组合)可以包括例如处理器2712和处理器2714。
存储器/存储设备2720可以包括主存储器、磁盘存储器或其任何合适的组合。存储器/存储设备2720可以包括但不限于任何类型的易失性或非易失性存储器,例如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、固态存储等。
通信资源2730可以包括互连或网络接口组件或其他合适的设备,以经由网络2708与一个或多个外围设备2704或者一个或多个数据库2706通信。例如,通信资源2730可以包括有线通信组件(例如,用于经由通用串行总线(USB)耦合)、蜂窝通信组件、NFC组件、组件(例如,/>)、/>组件和其他通信组件。
指令2750可以包括软件、程序、应用、小应用程序、app或用于使至少任一处理器2710执行本文所讨论的任何一种或多种方法的其他可执行代码。指令2750可以完全或部分地驻留在处理器2710(例如,在处理器的高速缓存内)、存储器/存储设备2720或其任何合适的组合中的至少一个内。此外,指令2750的任何部分可以从外围设备2704或数据库2706的任何组合传送到硬件资源2700。因此,处理器2710的存储器、存储器/存储设备2720、外围设备2704和数据库2706是计算机可读和机器可读介质的示例。
本文描述的系统和方法的实施例和实现方式可以包括各种操作,这些操作可以体现在将由计算机系统执行的机器可执行指令中。计算机系统可以包括一个或多个通用或专用计算机(或其他电子设备)。计算机系统可以包括包含用于执行操作的特定逻辑的硬件组件,或者可以包括硬件、软件和/或固件的组合。
计算机系统和计算机系统中的计算机可以经由网络连接。适合于本文所述的配置和/或使用的网络包括一个或多个局域网、广域网、城域网和/或互联网或IP网络,例如万维网、专用互联网、安全互联网、增值网络、虚拟专用网络、Extranet、Intranet,或者甚至是通过媒体的物理传输与其他机器进行通信的独立机器。特别地,合适的网络可以由两个或更多个其他网络的部分或整体形成,包括使用不同硬件和网络通信技术的网络。
一种合适的网络包括服务器和一个或多个客户端;其他合适的网络可以包括服务器、客户端和/或对等节点的其他组合,并且给定的计算机系统可以既充当客户端又充当服务器。每个网络包括至少两个计算机或计算机系统,例如服务器和/或客户端。计算机系统可以包括工作站、膝上型计算机、可断开连接的移动计算机、服务器、大型机、集群、所谓的“网络计算机”或“瘦客户机”、平板电脑、智能电话、个人数字助理或其他手持式计算设备、“智能”消费电子设备或电器、医疗设备或其组合。
合适的网络可以包括通信或联网软件,例如可从 和其他供应商获得的软件,并且可以在双绞线、同轴电缆或光纤缆线、电话线、无线电波、卫星、微波中继、调制的AC电力线、物理介质传输和/或本领域技术人员已知的其他数据传输“线”上,使用TCP/IP、SPX、IPX和其他协议进行操作。网络可以涵盖较小的网络和/或可以通过网关或类似机制连接到其他网络。
各种技术或其某些方面或部分可以采取体现在有形介质(例如,软盘、CD-ROM、硬盘驱动器,磁卡或光卡、固态存储器设备、非瞬时性计算机可读存储介质或任何其他机器可读存储介质)中的程序代码(即,指令)的形式,其中,当将程序代码加载到机器(例如,计算机)中并由其执行时,该机器成为用于实践各种技术的装置。在可编程计算机上执行程序代码的情况下,计算设备可以包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备和至少一个输出设备。易失性和非易失性存储器和/或存储元件可以是RAM、EPROM,闪存驱动器、光驱、磁性硬盘驱动器或其他用于存储电子数据的介质。eNB(或其他基站)和UE(或其他移动站)还可以包括收发机组件、计数器组件、处理组件和/或时钟组件或定时器组件。可以实现或利用本文描述的各种技术的一个或多个程序可以使用应用程序编程接口(API)、可重用控件等。这样的程序可以以高级过程或面向对象的编程语言来实现,以与计算机系统进行通信。然而,如果期望,可以以汇编或机器语言来实现程序。在任何情况下,语言都可以是编译语言或解释语言,并且可以与硬件实现方式组合。
每个计算机系统包括一个或多个处理器和/或存储器;计算机系统还可以包括各种输入设备和/或输出设备。处理器可以包括通用设备,例如或其他“现成的”微处理器。处理器可以包括专用处理设备,例如ASIC、SoC、SiP、FPGA、PAL、PLA、FPLA、PLD或其他定制或可编程设备。存储器可以包括静态RAM、动态RAM、闪存、一个或多个触发器、ROM、CD-ROM、DVD、磁盘、磁带或磁性、光学或其他计算机存储介质。输入设备可以包括键盘、鼠标、触摸屏、光笔、平板电脑、麦克风、传感器或其他带有随附固件和/或软件的硬件。输出设备可以包括监视器或其他显示器、打印机、语音或文本合成器、开关、信号线或其他带有随附固件和/或软件的硬件。
应当理解,本说明书中描述的许多功能单元可以被实现为一个或多个组件,这是用于更特别地强调其实现方式独立性的术语。例如,组件可以被实现为包括定制超大规模集成(VLSI)电路或门阵列的硬件电路、或者诸如逻辑芯片、晶体管或其他分立组件的现成半导体。组件也可以在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑器件等可编程硬件设备中实现。
组件也可以在软件中实现,以由各种类型的处理器执行。所识别的可执行代码的组件可以例如包括计算机指令的一个或多个物理或逻辑块,其可以例如被组织为对象、过程或功能。然而,所识别的组件的可执行文件不必在物理上位于一起,而是可以包括存储在不同位置的不同指令,当这些指令在逻辑上结合在一起时,构成该组件并实现该组件的所述目的。
实际上,可执行代码的组件可以是单个指令或许多指令,并且甚至可以分布在若干不同的代码段上,在不同程序之间以及跨若干存储设备。类似地,操作数据可以被标识并在本文中示出在组件内,并且可以以任何合适的形式体现并组织在任何合适类型的数据结构内。操作数据可以被收集为单个数据集,或者可以分布在不同位置上,包括在不同存储设备上,并且可以至少部分地仅作为电子信号而存在于系统或网络上。组件可以是无源的或有源的,包括可操作以执行期望功能的代理。
所描述的实施例的若干方面将被示为软件模块或组件。如本文所使用的,软件模块或组件可以包括位于存储设备内的任何类型的计算机指令或计算机可执行代码。软件模块可以例如包括计算机指令的一个或多个物理或逻辑块,其可以被组织为执行一个或多个任务或实现特定数据类型的例程、程序、对象、组件、数据结构等。应当理解,代替软件或除软件之外,可以以硬件和/或固件来实现软件模块。本文描述的一个或多个功能模块可以被分离成子模块和/或被组合成单个或更少数量的模块。
在某些实施例中,特定软件模块可以包括存储在存储器设备的不同位置、不同存储器设备或不同计算机中的不同指令,它们一起实现模块的所描述的功能。实际上,模块可以包括单个指令或许多指令,并且可以分布在若干不同的代码段上,在不同程序之间以及跨若干存储器设备。一些实施例可以在分布式计算环境中实践,其中,任务由通过通信网络链接的远端处理设备来执行。在分布式计算环境中,软件模块可以位于本地和/或远端存储器存储设备中。另外,在数据库记录中绑定或呈现在一起的数据可以驻留在同一存储器设备中,也可以驻留在若干存储器设备上,并且可以跨网络在数据库中的记录字段中链接在一起。
在整个说明书中对“示例”的引用意味着,结合该示例描述的特定特征、结构或特性包括在至少一个实施例中。因此,在整个说明书中各处出现的短语“在示例中”并不一定都指同一实施例。
如本文使用的,为了方便,可以在公共列表中呈现多个项目、结构要素、组成要素和/或材料。然而,这些列表应被解释为如同列表中的每个成员都被单独识别为单独且唯一的成员。因此,在没有相反指示的情况下,这样的列表中的单个成员都不应当仅基于它出现在公共组中而被解释为事实上等同于同一列表中的任何其他成员。另外,本文中可以参考各种实施例和示例以及其各种组件的替代。应当理解,这样的实施例、示例和替代不应被理解为实际上彼此等同,而应被认为是单独且自主的表示。
此外,在一个或多个实施例中,可以以任何合适的方式来组合所描述的特征、结构或特性。在下面的描述中,提供了许多具体细节,例如材料、频率、尺寸、长度、宽度、形状等的示例,以提供对实施例的透彻理解。然而,本领域技术人员将认识到,可以在没有一个或多个特定细节的情况下,或者利用其他方法、组件、材料等来实践实施例。在其他情况下,没有详细示出和描述公知的结构、材料或操作,以免掩盖实施例的各方面。
应当认识到,本文描述的系统包括特定实施例的描述。这些实施例可以组合成单个系统,部分组合成其他系统,拆分成多个系统,或者以其他方式划分或组合。另外,可以想到,可以在另一实施例中使用一个实施例的参数/属性/方面/等。为了清楚起见,仅在一个或多个实施例中描述了参数/属性/方面/等,并且认识到,这些参数/属性/方面/等可以与另一实施例的参数/属性/等组合,或者被其替代,除非在此特别声明。
尽管为了清楚的目的已经详细地描述了前述内容,但是将显而易见的是,可以在不脱离其原理的情况下进行某些改变和修改。应当注意,存在许多实现本文所述的过程和装置的替代方式。因此,本实施例应被认为是说明性的而不是限制性的,并且描述不限于本文给出的细节,而是可以在所附权利要求的范围和等同范围内进行修改。
E.附加示例
示例1是一种在通信网络中用于第一网络实体处理一组通信设备的基于组的上下文和安全性的装置。所述装置包括:存储器接口和处理器。所述存储器接口用于:向存储器设备发送或从存储器设备接收与用户平面路由配置文件和组安全性上下文对应的信息。所述处理器用于:为服务创建与该组通信设备对应的组上下文,其中,所述组上下文包括所述用户平面路由配置文件和所述组安全性上下文;基于该组通信设备的服务订阅,确定该组通信设备要用于所述服务的网络切片;以及生成消息,以将所述组上下文传递到第二网络实体,以用于存储并用于对为了通过所述通信网络进行分组传输而从空闲或不活动模式返回到连接模式的一个或多个通信设备进行认证。
示例2是示例1所述的装置,其中,所述第一网络实体包括接入和移动性管理功能,所述第二网络实体包括无线接入网(RAN)节点,并且该组通信设备包括物联网(IoT)用户设备(UE),其中,所述用户平面路由配置文件包括以下信息中的至少一个:所述RAN节点与核心网的用户平面功能(UPF)中的数据网关(DGW)之间的分组转发和接收路径。
示例3是示例2所述的装置,其中,所述UPF中的DGW的互联网协议(IP)地址/端口、或服务网关(SGW)地址和隧道端点标识符(TEID)由会话管理功能(SMF)确定并且被配置在所述UPF中的一个或多个DGW处。
示例4是示例3的所述的装置,其中,所述处理器通过网络切片标识符(ID)、IPv6前缀或与IPv4地址池关联的ID识别所述网络切片,并且其中,所述第一网络实体基于该组中的IoT UE的能力,将IPv4地址池内的IPv4地址、IPv6前缀或网络切片ID分配给所述IoT UE。
示例5是示例4所述的装置,其中,如果所述处理器将IPv4地址分配给所述IoT UE,则所述IoT UE使用所分配的IPv4地址作为待发送的IP分组中的源IP地址,并且其中,如果所述处理器将IPv6前缀地址分配给所述IoT UE,则所述IoT UE相应地自动配置其IPv6地址,并且使用所述IPv6地址作为待发送的IP分组中的源IP地址。
示例6是示例4所述的装置,其中,当所述IoT UE能够进行用户平面上的非IP分组传输时,所述IoT UE在发送所述用户平面分组时用所述网络切片ID或组标识符标记所述非IP分组,所述组标识符用于识别对应的所存储的组上下文。
示例7是示例5或示例6所述的装置,其中,所述IoT UE向所述第二网络实体发送IP分组或非IP分组,并且所述第二网络实体基于所述源IP地址识别IP分组或基于所标记的网络切片ID或组标识符识别非IP分组,并且相应地基于所述组上下文中的所存储的路由配置文件转发IP分组或非IP分组。
示例8是示例1所述的装置,其中,所述组安全性上下文包括成对的对称密钥和有关的安全性参数。
示例9是示例1-6中任一项所述的装置,其中,当所述第一网络实体处没有存储组上下文时,响应于第一设备注册到所述网络,所述第一网络实体生成用于所述服务的组上下文。
示例10是示例1-6中任一项所述的装置,其中,响应于应用服务器将组服务请求发送到所述网络,并且所述网络已经关于所述组服务对所述应用服务器进行授权和认证,所述第一网络实体生成用于所述服务的组上下文。
示例11是示例3所述的装置,其中,所述第一网络实体的处理器还被配置为:处理来自IoT UE的组登记请求,其中,所述组登记请求包括比特长度为N的第一随机nonce(N1)和与所述IoT UE请求登记到的组对应的唯一组标识符;确定所述第一网络实体是否已经包括针对所述唯一组标识符的所存储的安全性上下文;以及响应于确定所述第一网络实体不包括所存储的安全性上下文,生成接入和移动性管理功能(AMF)组凭证创建请求消息,以请求创建组凭证。
示例12是示例11所述的装置,其中,所述存储器接口还用于:向所述存储器设备发送或从所述存储器设备接收AMF上下文信息,所述AMF上下文信息包括从认证服务器功能(AUSF)和/或统一数据管理(UDM)所持有的组主密钥导出的AMF对称密钥。
示例13是示例12所述的装置,其中,所述第一网络实体的处理器执行下一代节点B(gNB)组上下文创建,其中,gNB组上下文至少包括gNB组密钥、gNB标识符和用于所述gNB组密钥的密钥刷新和版本控制的计数器。
示例14是示例13所述的装置,其中,所述处理器还被配置为:生成无线接入网或接入网((R)AN)组上下文建立请求消息,以将所述gNB组密钥传递到所述gNB,其中,所述(R)AN组上下文建立请求消息使用完整性密钥和机密性密钥进行了完整性和机密性保护;以及处理来自所述gNB的组上下文建立响应消息。
示例15是示例14所述的装置,其中,所述第一网络实体的处理器还被配置为:生成比特长度为N的第二随机nonce N2;以及向所述gNB生成AMF IoT-UE组登记请求,所述AMFIoT-UE组登记请求包括所述第一随机nonce N1、所述第二随机nonce N2、所述唯一组标识符和UE标识符。
示例16是1-6中任一项所述的装置,其中,所述第一网络实体的处理器还被配置为:处理来自第三网络实体的N2请求消息,所述N2请求消息包括用于从所述第二网络实体向所述第三网络实体的越区切换的与物联网(IoT)用户设备(UE)对应的唯一组标识符;响应于所述N2请求消息,为所述IoT UE触发组登记过程,包括上下文生成和/或更新以及IoT-UE令牌生成;为所述IoT UE修改控制平面上下文和用户平面上下文;以及确定会话管理功能(SMF)针对所述越区切换是否要改变。
示例17是示例16所述的装置,其中,所述第一网络实体的处理器还被配置为:向所述SMF生成对用户平面功能(UPF)会话建立的SMF组会话分配请求;以及向所述第三网络实体生成N2响应消息,其中,所述N2响应消息包括用于AMF IoT组登记的信息元素。
示例18是示例1-6中任一项所述的装置,其中,所述第一网络实体的处理器还被配置为:处理来自所述第二网络实体的越区切换消息,其中,所述越区切换消息包括以下中的至少一个:用于从所述第二网络实体向目标网络实体的越区切换的与物联网(IoT)用户设备(UE)对应的唯一组标识符、所述目标网络实体的标识符和IoT UE的位置;选择用于所述越区切换的会话管理功能(SMF)和用户平面功能(UPF);为所述IoT UE执行组登记,所述组登记包括:生成IoT UE令牌;以及向所述目标网络实体生成越区切换请求消息,其中,所述越区切换请求消息包括RAN组建立消息和AMF IoT-UE组登记请求消息中的信息元素;以及响应于来自所述目标网络实体的越区切换响应消息,向所述第二网络实体生成越区切换命令,其中,所述越区切换命令包括受所述目标网络实体的无线资源控制(RRC)加密密钥保护的IoT UE令牌信息。
示例19是一种计算机可读存储介质,其上存储有计算机可读指令,所述计算机可读指令当被执行时命令认证服务器功能(AUSF)的处理器在移动网络中提供组安全性控制,所述计算机可读指令用于:通过用于完整性的第一安全性密钥(KNASint)和用于机密性的第二安全性密钥(KNASenc)验证物联网(IoT)设备;响应于从所述IoT设备接收到的第二消息,将第一消息发送到组授权方(GA),以用于管理用于所述IoT设备组登记,其中,所述第一消息包括第一令牌(TK1),以用于所述IoT设备连同包括nonce、用户设备(UE)安全性能力和标识符的会话信息一起传递第三秘密密钥(k),并且其中,所述GA使用第二令牌(TK2),以连同所述会话信息一起传递所述第三秘密密钥(k)和种子数。
示例20是示例19所述的计算机可读存储介质,其中,对于所述第一令牌(TK1),所述第三安全性密钥(k)由用于机密性的所述第二安全性密钥(KNASenc)加密以保护机密性,并且所述会话信息的完整性由用于完整性的所述第一安全性密钥(KNASint)保护。
示例21是示例19所述的计算机可读存储介质,其中,对于所述第二令牌,所述第三安全性密钥(k)和所述种子数由第四安全性密钥(KGAenc)加密以保护机密性,并且所述会话信息的完整性由第五安全性密钥(KGAint)保护,其中,所述第四安全性密钥和所述第五安全性密钥由作为所述IoT设备与所述GA之间的信任锚点的AUSF生成。
示例22是示例19所述的计算机可读存储介质,其中,当所述AUSF接收到所述第二消息时,所述计算机可读指令还用于:通过用于完整性的所述第一安全性密钥(KNASint)验证所述第二消息;在确定验证通过后,生成第二新nonce(N2)、所述随机种子数和随机临时密钥,所述随机临时密钥作为启用所述IoT设备与所述GA之间的相互信任的所述第一安全性密钥。
示例23是示例19所述的计算机可读存储介质,其中,如果所述AUSF成功验证所述IoT设备,则所述第一消息是对所述IoT设备所发送的所述第二消息的响应,其中,所述第二消息可以包括以下信息:用于所述第二消息认证的第一标签值(TAG1)、用于防止重放攻击并唯一地识别新协议会话的第一新随机nonce(N1)、所述IoT设备的用于促进用于消息交换的密码算法协商的安全性能力、组标识符和用于防止错绑定攻击的身份。
示例24是示例23所述的计算机可读存储介质,其中,为了确保所述第二消息的完整性并且防止消息修改,用所述第一安全性密钥(KNASint)计算所述第一标签值,所述第一安全性密钥是所述设备与所述AUSF之间共享的对称完整性密钥,并且其中,所述GA评估所述第一设备组成员资格,并且如果所述第一设备的成员资格得到确认,则发送用于接受所述第一设备的组登记的第三消息,所述第三消息包括所述第一令牌(TK1)和第三令牌(TK3),所述第三令牌(TK3)由所述第一安全性密钥(k)加密。
本领域技术人员将理解,在不脱离本发明的基本原理的情况下,可以对上述实施例的细节做出许多改变。因此,本发明的范围应当仅有随附的权利要求来确定。
Claims (24)
1.一种在通信网络中用于第一网络实体处理一组通信设备的基于组的上下文和安全性的装置,所述装置包括:
存储器接口,用于:向存储器设备发送或从存储器设备接收与用户平面路由配置文件和组安全性上下文对应的信息;和
处理器,用于:
为服务创建与该组通信设备对应的组上下文,其中,所述组上下文包括所述用户平面路由配置文件和所述组安全性上下文;
基于该组通信设备的服务订阅,确定该组通信设备要用于所述服务的网络切片;以及
生成消息,以将所述组上下文传递到第二网络实体,以用于存储并用于对为了通过所述通信网络进行分组传输而从空闲或不活动模式返回到连接模式的一个或多个通信设备进行认证。
2.如权利要求1所述的装置,其中,所述第一网络实体包括接入和移动性管理功能,所述第二网络实体包括无线接入网RAN节点,并且该组通信设备包括物联网IoT用户设备UE,
其中,所述用户平面路由配置文件包括以下信息中的至少一个:所述RAN节点与核心网的用户平面功能UPF中的数据网关DGW之间的分组转发和接收路径。
3.如权利要求2所述的装置,其中,所述UPF中的DGW的互联网协议IP地址/端口、或服务网关SGW地址和隧道端点标识符TEID由会话管理功能SMF确定并且被配置在所述UPF中的一个或多个DGW处。
4.如权利要求3的所述的装置,其中,所述处理器通过网络切片标识符ID、IPv6前缀或与IPv4地址池关联的ID识别所述网络切片,并且
其中,所述第一网络实体基于该组中的IoT UE的能力,将IPv4地址池内的IPv4地址、IPv6前缀或网络切片ID分配给所述IoT UE。
5.如权利要求4所述的装置,其中,如果所述处理器将IPv4地址分配给所述IoT UE,则所述IoT UE使用所分配的IPv4地址作为待发送的IP分组中的源IP地址,并且
其中,如果所述处理器将IPv6前缀地址分配给所述IoT UE,则所述IoT UE相应地自动配置其IPv6地址,并且使用所述IPv6地址作为待发送的IP分组中的源IP地址。
6.如权利要求4所述的装置,其中,当所述IoT UE能够进行用户平面上的非IP分组传输时,所述IoT UE在发送所述用户平面分组时用所述网络切片ID或组标识符标记所述非IP分组,所述组标识符用于识别对应的所存储的组上下文。
7.如权利要求5或6所述的装置,其中,所述IoT UE向所述第二网络实体发送IP分组或非IP分组,并且
所述第二网络实体基于源IP地址识别IP分组或基于所标记的网络切片ID或组标识符识别非IP分组,并且相应地基于所述组上下文中的所存储的路由配置文件转发IP分组或非IP分组。
8.如权利要求1所述的装置,其中,所述组安全性上下文包括成对的对称密钥和有关的安全性参数。
9.如权利要求1-6中任一项所述的装置,其中,当所述第一网络实体处没有存储组上下文时,响应于第一设备注册到所述网络,所述第一网络实体生成用于所述服务的组上下文。
10.如权利要求1-6中任一项所述的装置,其中,响应于应用服务器将组服务请求发送到所述网络,并且所述网络已经关于所述组服务对所述应用服务器进行授权和认证,所述第一网络实体生成用于所述服务的组上下文。
11.如权利要求3所述的装置,其中,所述第一网络实体的处理器还被配置为:
处理来自IoT UE的组登记请求,其中,所述组登记请求包括比特长度为N的第一随机nonce(N1)和与所述IoT UE请求登记到的组对应的唯一组标识符;
确定所述第一网络实体是否已经包括针对所述唯一组标识符的所存储的安全性上下文;以及
响应于确定所述第一网络实体不包括所存储的安全性上下文,生成接入和移动性管理功能AMF组凭证创建请求消息,以请求创建组凭证。
12.如权利要求11所述的装置,其中,所述存储器接口还用于:
向所述存储器设备发送或从所述存储器设备接收AMF上下文信息,所述AMF上下文信息包括从认证服务器功能AUSF和/或统一数据管理UDM所持有的组主密钥导出的AMF对称密钥。
13.如权利要求12所述的装置,其中,所述第一网络实体的处理器执行下一代节点B即gNB组上下文创建,其中,gNB组上下文至少包括gNB组密钥、gNB标识符和用于所述gNB组密钥的密钥刷新和版本控制的计数器。
14.如权利要求13所述的装置,其中,所述处理器还被配置为:
生成无线接入网或接入网(R)AN组上下文建立请求消息,以将所述gNB组密钥传递到所述gNB,其中,所述(R)AN组上下文建立请求消息使用完整性密钥和机密性密钥进行了完整性和机密性保护;以及
处理来自所述gNB的组上下文建立响应消息。
15.如权利要求14所述的装置,其中,所述第一网络实体的处理器还被配置为:
生成比特长度为N的第二随机nonce N2;以及
向所述gNB生成AMF IoT-UE组登记请求,所述AMF IoT-UE组登记请求包括所述第一随机nonce(N1)、所述第二随机nonce N2、所述唯一组标识符和UE标识符。
16.如权利要求1-6中任一项所述的装置,其中,所述第一网络实体的处理器还被配置为:
处理来自第三网络实体的N2请求消息,所述N2请求消息包括用于从所述第二网络实体向所述第三网络实体的越区切换的与物联网IoT用户设备UE对应的唯一组标识符;
响应于所述N2请求消息,为所述IoT UE触发组登记过程,包括上下文生成和/或更新以及IoT-UE令牌生成;
为所述IoT UE修改控制平面上下文和用户平面上下文;以及
确定会话管理功能SMF针对所述越区切换是否要改变。
17.如权利要求16所述的装置,其中,所述第一网络实体的处理器还被配置为:
向所述SMF生成对用户平面功能UPF会话建立的SMF组会话分配请求;以及
向所述第三网络实体生成N2响应消息,其中,所述N2响应消息包括用于AMF IoT组登记的信息元素。
18.如权利要求1-6中任一项所述的装置,其中,所述第一网络实体的处理器还被配置为:
处理来自所述第二网络实体的越区切换消息,其中,所述越区切换消息包括以下中的至少一个:用于从所述第二网络实体向目标网络实体的越区切换的与物联网IoT用户设备UE对应的唯一组标识符、所述目标网络实体的标识符和IoT UE的位置;
选择用于所述越区切换的会话管理功能SMF和用户平面功能UPF;
为所述IoT UE执行组登记,所述组登记包括:
生成IoT UE令牌;以及
向所述目标网络实体生成越区切换请求消息,其中,所述越区切换请求消息包括RAN组建立消息和AMF IoT-UE组登记请求消息中的信息元素;以及
响应于来自所述目标网络实体的越区切换响应消息,向所述第二网络实体生成越区切换命令,其中,所述越区切换命令包括受所述目标网络实体的无线资源控制RRC加密密钥保护的IoT UE令牌信息。
19.一种用于认证服务器功能AUSF在移动网络中提供组安全性控制的方法,所述方法包括:
通过用于完整性的第一安全性密钥(KNASint)和用于机密性的第二安全性密钥(KNASenc)验证物联网IoT设备;
响应于从所述IoT设备接收到的第二消息,将第一消息发送到组授权方GA,以用于管理用于所述IoT设备组登记,
其中,所述第一消息包括第一令牌(TK1),以用于所述IoT设备连同包括nonce、用户设备UE安全性能力和标识符的会话信息一起传递第三安全性密钥(k),并且
其中,所述GA使用第二令牌(TK2),以连同所述会话信息一起传递所述第三安全性密钥(k)和随机种子数。
20.如权利要求19所述的方法,其中,对于所述第一令牌(TK1),所述第三安全性密钥(k)由用于机密性的所述第二安全性密钥(KNASenc)加密以保护机密性,并且所述会话信息的完整性由用于完整性的所述第一安全性密钥(KNASint)保护。
21.如权利要求19所述的方法,其中,对于所述第二令牌,所述第三安全性密钥(k)和所述种子数由第四安全性密钥(KGAenc)加密以保护机密性,并且所述会话信息的完整性由第五安全性密钥(KGAint)保护,
其中,所述第四安全性密钥和所述第五安全性密钥由作为所述IoT设备与所述GA之间的信任锚点的AUSF生成。
22.如权利要求19所述的方法,其中,当所述AUSF接收到所述第二消息时,所述方法还包括:
通过用于完整性的所述第一安全性密钥(KNASint)验证所述第二消息;
在确定验证通过后,生成第二新nonce(N2)、所述随机种子数和随机临时密钥,所述随机临时密钥作为启用所述IoT设备与所述GA之间的相互信任的所述第一安全性密钥。
23.如权利要求19所述的方法,其中,如果所述AUSF成功验证所述IoT设备,则所述第一消息是对所述IoT设备所发送的所述第二消息的响应,
其中,所述第二消息包括以下信息:用于所述第二消息认证的第一标签值(TAG1)、用于防止重放攻击并唯一地识别新协议会话的第一新随机nonce(N1)、所述IoT设备的用于促进用于消息交换的密码算法协商的安全性能力、组标识符和用于防止错绑定攻击的身份。
24.如权利要求23所述的方法,其中,为了确保所述第二消息的完整性并且防止消息修改,用所述第一安全性密钥(KNASint)计算所述第一标签值,所述第一安全性密钥是所述IoT设备与所述AUSF之间共享的对称完整性密钥,并且
其中,所述GA评估第一设备的组成员资格,并且如果所述第一设备的成员资格得到确认,则发送用于接受所述第一设备的组登记的第三消息,所述第三消息包括所述第一令牌(TK1)和第三令牌(TK3),所述第三令牌(TK3)由所述第一安全性密钥(k)加密。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762486197P | 2017-04-17 | 2017-04-17 | |
| US62/486,197 | 2017-04-17 | ||
| US201762566731P | 2017-10-02 | 2017-10-02 | |
| US62/566,731 | 2017-10-02 | ||
| US201762588033P | 2017-11-17 | 2017-11-17 | |
| US62/588,033 | 2017-11-17 | ||
| PCT/US2018/027768 WO2018194971A1 (en) | 2017-04-17 | 2018-04-16 | Group based context and security for massive internet of things devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110476448A CN110476448A (zh) | 2019-11-19 |
| CN110476448B true CN110476448B (zh) | 2023-10-10 |
Family
ID=62200513
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880022945.XA Active CN110476448B (zh) | 2017-04-17 | 2018-04-16 | 用于大规模物联网设备的基于组的上下文和安全性 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11452001B2 (zh) |
| EP (1) | EP3613231B1 (zh) |
| CN (1) | CN110476448B (zh) |
| WO (1) | WO2018194971A1 (zh) |
Families Citing this family (86)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017218775A1 (en) * | 2016-06-15 | 2017-12-21 | Intel Corporation | Services provisioning for internet-of-things devices in cellular networks |
| MX2018015703A (es) * | 2016-07-04 | 2019-05-27 | Ericsson Telefon Ab L M | Metodo de suministro eficiente y aparatos para datos pequeños poco frecuentes. |
| KR102293669B1 (ko) * | 2017-05-08 | 2021-08-25 | 삼성전자 주식회사 | 5g 셀룰러망의 세션 연속성 지원 방안 |
| CN116866905A (zh) * | 2017-09-27 | 2023-10-10 | 日本电气株式会社 | 通信终端和通信终端的方法 |
| US10805983B2 (en) * | 2017-10-17 | 2020-10-13 | Ofinno, Llc | Control plane data transmission |
| KR102371810B1 (ko) * | 2017-10-20 | 2022-03-10 | 삼성전자주식회사 | 다중 무선 접속 기술(Multi-Radio Access Technology)을 지원하는 무선 접속 시스템에서 단말이 데이터를 송수신하기 위한 방법 및 장치. |
| CN113473391B (zh) * | 2017-10-30 | 2022-10-25 | 华为技术有限公司 | 会话建立方法、设备及系统 |
| US10791431B2 (en) | 2017-11-27 | 2020-09-29 | Cisco Technology, Inc. | Methods and apparatus for establishing a group session in a mobile network for subscribers associated with a group |
| US10433177B2 (en) * | 2017-12-01 | 2019-10-01 | At&T Intellectual Property I, L.P. | Adaptive pairing of a radio access network slice to a core network slice based on device information or service information |
| CN108234642B (zh) * | 2017-12-29 | 2021-01-26 | 中国银联股份有限公司 | 一种用户追踪方法、服务器和用户端 |
| US11252628B2 (en) * | 2018-01-09 | 2022-02-15 | Htc Corporation | Device and method for handling new radio capabilities |
| US11758457B2 (en) * | 2018-01-12 | 2023-09-12 | Sony Group Corporation | Relocation of multi-user edge applications |
| WO2019153367A1 (zh) * | 2018-02-12 | 2019-08-15 | Oppo广东移动通信有限公司 | 无线通信的方法、终端设备和网络设备 |
| WO2019165629A1 (zh) * | 2018-03-01 | 2019-09-06 | 华为技术有限公司 | 会话管理方法及装置、通信系统 |
| CN110234112B (zh) * | 2018-03-05 | 2020-12-04 | 华为技术有限公司 | 消息处理方法、系统及用户面功能设备 |
| CN110417633B (zh) * | 2018-04-28 | 2020-09-11 | 华为技术有限公司 | 一种通信方法及设备 |
| KR102425582B1 (ko) * | 2018-05-11 | 2022-07-26 | 삼성전자주식회사 | 무선통신 시스템에서 정보 보호 방법 및 장치 |
| WO2020011344A1 (en) * | 2018-07-11 | 2020-01-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Configuration of a group of wireless devices |
| KR20200038808A (ko) * | 2018-10-04 | 2020-04-14 | 삼성전자주식회사 | 무선 통신 시스템에서 그룹 통신을 제공하는 방법 및 장치 |
| US10863556B2 (en) * | 2018-10-11 | 2020-12-08 | Verizon Patent And Licensing Inc. | Method and system for network slice identification and selection |
| US11218298B2 (en) * | 2018-10-11 | 2022-01-04 | Ademco Inc. | Secured communication between a host device and a client device |
| CN111328455B (zh) * | 2018-10-17 | 2023-06-23 | 联发科技(新加坡)私人有限公司 | 移动性更新时的用户设备密钥推导方法及用户设备 |
| WO2020087286A1 (zh) * | 2018-10-30 | 2020-05-07 | 华为技术有限公司 | 一种密钥生成方法、设备及系统 |
| CN113016202B (zh) * | 2018-11-02 | 2024-10-18 | 苹果公司 | 用于基站的装置、方法和计算机可读存储介质 |
| EP3874857A1 (en) | 2018-11-02 | 2021-09-08 | Nokia Solutions and Networks Oy | Methods and apparatuses for network slice minimum and maximum resource quotas |
| WO2020090764A1 (en) * | 2018-11-02 | 2020-05-07 | Nec Corporation | SECURITY PROCEDURE FOR UE's IN 5GLAN GROUP COMMUNICATION |
| US11843600B2 (en) * | 2018-11-05 | 2023-12-12 | Microsoft Technology Licensing, Llc | Subnet-based device allocation with geofenced attestation |
| CN112956253B (zh) * | 2018-11-06 | 2022-10-04 | 中兴通讯股份有限公司 | 用于将用户设备附着到网络切片的方法和装置 |
| EP3654683A1 (en) * | 2018-11-13 | 2020-05-20 | Thales Dis France SA | A method for sharing a security context with a plurality of connected devices belonging to a group |
| CN111277543B (zh) * | 2018-12-04 | 2022-08-26 | 华为技术有限公司 | 信息同步方法、认证方法及装置 |
| US11991544B2 (en) * | 2019-01-08 | 2024-05-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for correlating network data analytics information |
| US20220060901A1 (en) * | 2019-01-11 | 2022-02-24 | Nec Corporation | Source base station, ue, method in wireless communication system |
| US11343653B2 (en) * | 2019-01-15 | 2022-05-24 | Ofinno, Llc | Session establishment to join a group communication |
| EP3912376A1 (en) * | 2019-01-18 | 2021-11-24 | Lenovo (Singapore) Pte. Ltd. | Key refresh for small-data traffic |
| US20220124488A1 (en) * | 2019-01-21 | 2022-04-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Securing the User Plane Path for a Group Communication Session based on a Security Policy Common to All Devices in the Group |
| CN111479335A (zh) * | 2019-01-24 | 2020-07-31 | 华为技术有限公司 | 一种数据传输的方法和通信装置 |
| JP7273523B2 (ja) * | 2019-01-25 | 2023-05-15 | 株式会社東芝 | 通信制御装置および通信制御システム |
| WO2020155138A1 (en) * | 2019-02-02 | 2020-08-06 | Qualcomm Incorporated | Techniques for encrypting groupcast wireless communications |
| US11924701B2 (en) * | 2019-03-11 | 2024-03-05 | Lg Electronics Inc | Support of energy efficient operation |
| CN113647077B (zh) * | 2019-03-29 | 2023-07-04 | 瑞典爱立信有限公司 | 启用基于服务的接口的归属订户服务选择 |
| US11832341B2 (en) | 2019-05-03 | 2023-11-28 | Ofinno, Llc | Group communication service request |
| EP3954092A1 (en) * | 2019-05-06 | 2022-02-16 | Huawei Technologies Co., Ltd. | Network nodes for handling non-fulfilment of qos requirments |
| CN114513789B (zh) | 2019-05-31 | 2023-09-01 | 荣耀终端有限公司 | 获取安全上下文的通信系统和方法 |
| EP3987417A1 (en) * | 2019-06-24 | 2022-04-27 | Nokia Technologies Oy | Apparatuses and methods relating to authorisation of network functions |
| WO2021008522A1 (en) * | 2019-07-16 | 2021-01-21 | FG Innovation Company Limited | Method of handover procedure and related device |
| CN110381451B (zh) * | 2019-07-18 | 2022-02-11 | 中国联合网络通信集团有限公司 | 移动网络建立群组通信的方法、装置及系统 |
| CN112291820B (zh) * | 2019-07-25 | 2022-07-29 | 华为技术有限公司 | 切换的方法和装置 |
| CN112448875B (zh) * | 2019-08-28 | 2023-10-20 | 华为技术有限公司 | 通信处理方法、通信处理装置以及系统 |
| US11540119B2 (en) * | 2020-02-06 | 2022-12-27 | Wiliot, LTD. | System and method for providing secure and reliable communication over a low-energy wireless communication protocol |
| GB202001959D0 (en) * | 2020-02-13 | 2020-04-01 | Nokia Technologies Oy | Apparatus, method, and computer program |
| EP3890365B1 (en) * | 2020-03-30 | 2023-12-13 | Nokia Technologies Oy | Apparatus, method, and computer program |
| CN113498060B (zh) * | 2020-04-07 | 2023-02-17 | 大唐移动通信设备有限公司 | 一种控制网络切片认证的方法、装置、设备及存储介质 |
| US11418955B2 (en) * | 2020-05-15 | 2022-08-16 | Secureg | System and methods for transit path security assured network slices |
| US11356421B2 (en) | 2020-06-04 | 2022-06-07 | Verizon Patent And Licensing Inc. | Application and network slice security profile mapping for secure tunneling |
| CN114205822B (zh) * | 2020-08-31 | 2023-11-03 | 华为技术有限公司 | 一种IoT设备及其授权方法 |
| CN112491825B (zh) * | 2020-11-13 | 2021-11-09 | 常熟理工学院 | 一种安全的物联网系统实现方法 |
| CN112492580B (zh) * | 2020-11-25 | 2023-08-18 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
| US11886315B2 (en) | 2020-12-10 | 2024-01-30 | Amazon Technologies, Inc. | Managing computing capacity in radio-based networks |
| US11601348B2 (en) | 2020-12-10 | 2023-03-07 | Amazon Technologies, Inc. | Managing radio-based private networks |
| US11310733B1 (en) * | 2020-12-10 | 2022-04-19 | Amazon Technologies, Inc. | On-demand application-driven network slicing |
| US11627472B2 (en) | 2020-12-10 | 2023-04-11 | Amazon Technologies, Inc. | Automated deployment of radio-based networks |
| US11729091B2 (en) | 2020-12-10 | 2023-08-15 | Amazon Technologies, Inc. | Highly available data-processing network functions for radio-based networks |
| CN112698786A (zh) * | 2020-12-25 | 2021-04-23 | 朗坤智慧科技股份有限公司 | 基于5g网络的高频振动数据采集与存储方法及装置 |
| CN112469042B (zh) * | 2021-01-28 | 2021-05-25 | 北京树米网络科技有限公司 | 一种对绑定的设备、模组、用户识别模块进行锁定的系统 |
| CN112875519A (zh) * | 2021-02-03 | 2021-06-01 | 山西一建集团有限公司 | 一种基于5g的塔式起重机远程管控系统及其方法 |
| US11711727B1 (en) | 2021-03-16 | 2023-07-25 | Amazon Technologies, Inc. | Provisioning radio-based networks on demand |
| US11895508B1 (en) | 2021-03-18 | 2024-02-06 | Amazon Technologies, Inc. | Demand-based allocation of ephemeral radio-based network resources |
| US11838273B2 (en) | 2021-03-29 | 2023-12-05 | Amazon Technologies, Inc. | Extending cloud-based virtual private networks to radio-based networks |
| US11743953B2 (en) | 2021-05-26 | 2023-08-29 | Amazon Technologies, Inc. | Distributed user plane functions for radio-based networks |
| US11627465B2 (en) | 2021-06-10 | 2023-04-11 | Cisco Technology, Inc. | Token-based access for internet-of-things devices in wireless wide area networks |
| US11546769B1 (en) * | 2021-06-30 | 2023-01-03 | Fortinet, Inc. | NGFW (next generation firewall) security inspection over multiple sessions of message session relay protocol (MSRP) on a data communication network |
| US11706614B2 (en) * | 2021-07-16 | 2023-07-18 | Cisco Technology, Inc. | Direct SMF control plane with gNB |
| WO2023001386A1 (en) * | 2021-07-23 | 2023-01-26 | Huawei Technologies Co., Ltd. | Method and device for dynamic network function set |
| US11902260B2 (en) * | 2021-08-02 | 2024-02-13 | Cisco Technology, Inc. | Securing control/user plane traffic |
| CN113810512B (zh) * | 2021-08-11 | 2023-06-30 | 天翼物联科技有限公司 | 物联网终端接入系统、方法、装置及存储介质 |
| CN118369956A (zh) * | 2021-12-20 | 2024-07-19 | 联想(北京)有限公司 | 支持用户设备(ue)状态预测的方法及装置 |
| US11838331B2 (en) * | 2021-12-22 | 2023-12-05 | Avaya Management L.P. | Endpoint control over a text channel of a real-time communication session |
| WO2023129485A2 (en) * | 2021-12-31 | 2023-07-06 | Ofinno, Llc | Session establishment for cellular wireless devices |
| US11985501B2 (en) | 2022-01-12 | 2024-05-14 | T-Mobile Innovations Llc | Third generation partnership project (3GPP) service delivery to non-3GPP user devices over 3GPP N1 links |
| US20230246823A1 (en) * | 2022-02-02 | 2023-08-03 | Qualcomm Incorporated | Lower layer security for groupcast communication |
| US12075245B2 (en) | 2022-03-09 | 2024-08-27 | T-Mobile Innovations Llc | Wireless network slice access based on encrypted slice certificates that indicate slice characteristics |
| WO2024000597A1 (en) * | 2022-07-01 | 2024-01-04 | Zte Corporation | Method, device and computer program product for wireless communication |
| CN118265032A (zh) * | 2022-12-27 | 2024-06-28 | 华为技术有限公司 | 通信方法和通信装置 |
| KR20240128502A (ko) * | 2023-02-17 | 2024-08-26 | 삼성전자주식회사 | 통신 시스템에서 어플리케이션 관련 정책의 업데이트 방법 및 장치 |
| CN118590863A (zh) * | 2023-03-01 | 2024-09-03 | 华为技术有限公司 | 一种跨域通信方法及通信设备 |
| CN118612735A (zh) * | 2024-08-05 | 2024-09-06 | 深圳市芯科云科技有限公司 | 一种基于通信协议适配的智能手表数据快速传输方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101843126A (zh) * | 2007-10-29 | 2010-09-22 | 诺基亚公司 | 用于认证上下文转移的系统和方法 |
| CN103581837A (zh) * | 2012-08-08 | 2014-02-12 | 成都鼎桥通信技术有限公司 | 资源配置方法、资源删除方法及设备 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7464265B2 (en) * | 2002-05-03 | 2008-12-09 | Microsoft Corporation | Methods for iteratively deriving security keys for communications sessions |
| EP1826979A1 (en) * | 2006-02-27 | 2007-08-29 | BRITISH TELECOMMUNICATIONS public limited company | A system and method for establishing a secure group of entities in a computer network |
| US9729314B2 (en) | 2010-06-01 | 2017-08-08 | Samsung Electronics Co., Ltd. | Method and system of securing group communication in a machine-to-machine communication environment |
| US20130046821A1 (en) * | 2011-08-15 | 2013-02-21 | Renasas Mobile Corporation | Advanced Machine-To-Machine Communications |
| US8917668B1 (en) * | 2013-06-06 | 2014-12-23 | Blackberry Limited | System and method for energy saving in a wireless system |
| US10325259B1 (en) * | 2014-03-29 | 2019-06-18 | Acceptto Corporation | Dynamic authorization with adaptive levels of assurance |
| US9787645B2 (en) * | 2014-05-22 | 2017-10-10 | AVG Netherlands B.V. | User privacy protection method and system |
| US10136284B2 (en) * | 2014-07-07 | 2018-11-20 | Convida Wireless, Llc | Coordinated grouping for machine type communications group based services |
| WO2017218775A1 (en) * | 2016-06-15 | 2017-12-21 | Intel Corporation | Services provisioning for internet-of-things devices in cellular networks |
| EP3498035B1 (en) * | 2016-08-10 | 2023-12-13 | InterDigital Patent Holdings, Inc. | Light connectivity and autonomous mobility |
| US10887295B2 (en) * | 2016-10-26 | 2021-01-05 | Futurewei Technologies, Inc. | System and method for massive IoT group authentication |
| US10225879B2 (en) * | 2017-01-26 | 2019-03-05 | Htc Corporation | Device and method of handling a user equipment access stratum context |
-
2018
- 2018-04-16 US US16/480,267 patent/US11452001B2/en active Active
- 2018-04-16 WO PCT/US2018/027768 patent/WO2018194971A1/en unknown
- 2018-04-16 EP EP18725949.4A patent/EP3613231B1/en active Active
- 2018-04-16 CN CN201880022945.XA patent/CN110476448B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101843126A (zh) * | 2007-10-29 | 2010-09-22 | 诺基亚公司 | 用于认证上下文转移的系统和方法 |
| CN103581837A (zh) * | 2012-08-08 | 2014-02-12 | 成都鼎桥通信技术有限公司 | 资源配置方法、资源删除方法及设备 |
Non-Patent Citations (3)
| Title |
|---|
| R3-171149 Inactive Mode in NG RAN;Ericsson;《3GPP tsg_ran\WG3_Iu》;20170325;全文 * |
| TS23.502 NF services support by AMF-system procedures;HUAWEI ET AL;《3GPP tsg_sa\WG2_Arch》;20170403;全文 * |
| 物联网环境下基于上下文感知的智能交互模型;李敏等;《西南交通大学学报》;20161215(第06期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190387401A1 (en) | 2019-12-19 |
| CN110476448A (zh) | 2019-11-19 |
| WO2018194971A1 (en) | 2018-10-25 |
| US11452001B2 (en) | 2022-09-20 |
| EP3613231B1 (en) | 2022-10-12 |
| EP3613231A1 (en) | 2020-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110476448B (zh) | 用于大规模物联网设备的基于组的上下文和安全性 | |
| US11877355B2 (en) | Efficient and reliable data transfer in 5G systems | |
| CN110291803B (zh) | 蜂窝网络中的隐私保护和可扩展认证协议认证和授权 | |
| US10271191B2 (en) | Procedures to provision and attach a cellular internet of things device to a cloud service provider | |
| CN112567699B (zh) | 用于通信的装置、用于用户装备的方法以及存储介质 | |
| US20210058748A1 (en) | Systems and methods for group based services provisioning | |
| US20190349765A1 (en) | Fake gnb/enb detection using identity-based authentication and encryption | |
| EP3473027B1 (en) | Services provisioning for internet-of-things devices in cellular networks | |
| CN109804592B (zh) | 用于无线电资源管理测量的配置的装置及计算机可读介质 | |
| EP3454477A1 (en) | Interference measurements in new radio systems | |
| US11502805B2 (en) | Resource mapping schemes for channel state information reporting on new radio physical uplink control channel | |
| US20220330022A1 (en) | Ue onboarding and provisioning using one way authentication | |
| CN111165031B (zh) | 在载波聚合或双连接下针对缩短的传输时间间隔的定时提前调节延迟 | |
| KR20210054007A (ko) | 정책 및 제어 기능에 의한 사용자 장비로의 v2x 정책 및 파라미터 프로비저닝 | |
| US20210153027A1 (en) | Multefire Architecture Supporting Access Classes and Barring |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200310 Address after: California, USA Applicant after: Apple Inc. Address before: California, USA Applicant before: INTEL Corp. |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |