CN113490205B - 针对具有简化移动性过程的网络架构和安全的方法和装置 - Google Patents
针对具有简化移动性过程的网络架构和安全的方法和装置 Download PDFInfo
- Publication number
- CN113490205B CN113490205B CN202110652840.6A CN202110652840A CN113490205B CN 113490205 B CN113490205 B CN 113490205B CN 202110652840 A CN202110652840 A CN 202110652840A CN 113490205 B CN113490205 B CN 113490205B
- Authority
- CN
- China
- Prior art keywords
- network
- client device
- iotf
- context
- access node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 139
- 230000005540 biological transmission Effects 0.000 claims abstract description 76
- 238000012545 processing Methods 0.000 claims description 101
- 238000004891 communication Methods 0.000 claims description 75
- 230000008569 process Effects 0.000 claims description 37
- 230000004044 response Effects 0.000 abstract description 34
- 230000006870 function Effects 0.000 description 139
- 238000010586 diagram Methods 0.000 description 39
- 230000011664 signaling Effects 0.000 description 21
- 238000013461 design Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 6
- 230000007704 transition Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 5
- 230000005641 tunneling Effects 0.000 description 5
- 239000013256 coordination polymer Substances 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 239000005022 packaging material Substances 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 108091005487 SCARB1 Proteins 0.000 description 1
- 102100037118 Scavenger receptor class B member 1 Human genes 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W52/00—Power management, e.g. TPC [Transmission Power Control], power saving or power classes
- H04W52/02—Power saving arrangements
- H04W52/0209—Power saving arrangements in terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/32—Reselection being triggered by specific parameters by location or mobility data, e.g. speed data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Databases & Information Systems (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明关于针对具有简化移动性过程的网络架构和安全的方法和装置。在一方面,支持多个客户端设备的网络包括生成针对客户端设备的上下文的网络设备。客户端设备上下文可以包括使得网络能够与客户端设备通信的客户端设备的网络状态信息。客户端设备可以从服务网络的第一服务区域的网络设备获得包括第一客户端设备上下文的信息。客户端设备可以进入由第二网络设备服务的网络的第二服务区域。客户端设备可以用包括客户端设备上下文的信息在不同的服务区域中发送分组,而不是与网络执行服务区域更新过程。响应于传输,客户端设备可以接收包括与不同网络设备相关联的信息的服务重新定位消息。
Description
本申请是申请日为2016年06月10日,发明名称为“针对具有简化移动性过程的网络架构和安全的方法和装置”,申请号为201680040727.X的专利申请的分案申请。
相关申请的交叉引用
本申请要求于2015年7月12日在美国专利和商标局提交的临时申请No.62/191,460和于2016年5月20日在美国专利和商标局提交的非临时申请No.15/160,282的优先权,其全部内容以引用的方式并入本文中。
技术领域
概括地说,本公开内容的各方面涉及通信,更具体地但不排他地,涉及具有简化的移动性过程的物联网(IoT)网络架构。
背景技术
在传统的无线通信网络(例如,长期演进(LTE)网络)中,客户端设备(也被称为物联网(IoT)设备)可以通过选择小区并且在网络上注册附着到网络。例如,客户端设备可以是蜂窝电话(例如,智能电话)、个人计算机(例如,膝上型计算机)、游戏设备或被配置为与网络通信的任何其它合适的设备。由网络实现移动性管理,以便跟踪客户端设备在网络中的位置,并能够查找和寻呼客户端设备。例如,网络可以定义多个跟踪区域(在一些方面被称为“服务区域”),其中,每个跟踪区域包括一组小区。因此,网络可以通过客户端设备所在的当前跟踪区域来确定客户端设备的位置。
在进入新的跟踪区域时,客户端设备执行跟踪区域更新(TAU)操作,使得网络获知客户端设备的位置(例如,新的跟踪区域)。在TAU操作完成之后,客户端设备可以开始向网络发送数据分组。这些单独的操作(例如,TAU操作和随后的数据分组传输)可能增加客户端设备从空闲模式切换到连接模式(例如,唤醒)所需的时间段,这可能增加客户端设备电源(例如,电池)的功耗。因此,需要改进网络和移动性管理过程。
发明内容
以下呈现本公开内容的一些方面的简要概述以提供对这些方面的基本理解。本概述不是对本公开内容的所有预期方面的广泛综述,既不旨在标识本公开内容的所有方面的关键或重要因素,也不是描述本公开内容的任何或全部方面的范围。其唯一目的是以简化形式呈现本公开内容的一些方面的各种概念,作为稍后呈现的更详细描述的序言。
在一个方面,提供了一种用于客户端设备的方法。客户端设备可以获得包括在服务网络的第一服务区域的第一网络设备处生成的第一客户端设备上下文的信息,第一客户端设备上下文包括与客户端设备相关联的第一网络状态信息。客户端设备可以进入第二网络设备所服务的网络的第二服务区域,在第二服务区域内发送数据和所获得的信息,并接收响应于传输的服务重新定位消息,服务重新定位消息包括与第二网络设备相关联的信息。在一方面,基于跟踪区域标识符将第一服务区域或第二服务区域识别为跟踪区域。在一方面,客户端设备可以在进入第二服务区域时阻止执行与网络的服务区域更新过程。在一方面,第一客户端设备上下文在第一网络设备处基于仅为第一网络设备所知的秘密密钥被加密。在一方面,服务重新定位消息包括与第二网络设备相关联的第二客户端设备上下文,其中,第二客户端设备上下文包括与客户端设备相关联的第二网络状态信息。在一方面,第二客户端设备上下文在第二网络设备处基于仅为第二网络设备所知的秘密密钥被加密。在一方面,客户端设备可以存储第二客户端设备上下文。在一方面,客户端设备可以建立与第一网络设备的网络连接。在一方面,服务重新定位消息包括与第二网络设备相关联的标识符。在一方面,标识符是全局唯一临时标识符。在一方面,客户端设备可以存储全局唯一临时标识符。在一方面,上下文在网络上被移除。在一方面,服务重新定位消息是服务区更新接受消息。在一方面,客户端设备可以利用与第一网络设备共享的至少一个密钥来对数据进行加密和完整性保护。在一方面,客户端设备以减少的数据传输模式或低功耗模式附着到网络。
在一方面,提供了一种客户端设备。客户端设备可以包括用于获得包括在服务网络的第一服务区域的第一网络设备处生成的第一客户端设备上下文的信息的单元,第一客户端设备上下文包括与客户端设备相关联的第一网络状态信息。客户端设备还可以包括用于进入第二网络设备所服务的网络的第二服务区域的单元,用于在第二服务区域内发送数据和所获得的信息的单元,以及用于接收响应于传输的服务重新定位消息的单元,服务重新定位消息包括与第二网络设备相关联的信息。在一方面,基于跟踪区域标识符将第一服务区域或第二服务区域识别为跟踪区域。在一方面,客户端设备还可以包括用于在进入第二服务区域时阻止执行与网络的服务区域更新过程的单元。在一方面,第一客户端设备上下文在第一网络设备处基于仅为第一网络设备所知的密钥被加密。在一方面,服务重新定位消息包括与第二网络设备相关联的第二客户端设备上下文,其中,第二客户端设备上下文包括与客户端设备相关联的第二网络状态信息。在一方面,第二客户端设备上下文在第二网络设备处基于仅为第二网络设备所知的秘密密钥被加密。在一方面,客户端设备还可以包括用于存储第二客户端设备上下文的单元。在一方面,客户端设备可以包括用于建立与第一网络设备的网络连接的单元。在一方面,服务重新定位消息包括与第二网络设备相关联的标识符。在一方面,标识符是全局唯一临时标识符。在一方面,客户端设备还可以包括用于存储全局唯一临时标识符的单元。在一方面,上下文在网络上被移除。在一方面,服务重新定位消息是服务区域更新接受消息。在一方面,客户端设备还可以包括用于利用与第一网络设备共享的至少一个密钥来对数据进行加密和完整性保护的单元。在一方面,客户端设备可以以减少的数据传输模式或低功耗模式附着到网络。
在一方面,提供了一种用于被配置为服务网络的第一服务区域的第一网络设备的方法。第一网络设备可以从已经从第二服务区域进入第一服务区域的客户端设备接收旨在用于被配置为服务第二服务区域的第二网络设备的数据分组。第一网络设备可以向第二网络设备发送数据分组和重新定位请求,并且向客户端设备发送服务重新定位消息,服务重新定位消息包括与第一网络设备相关联的信息。在一方面,目标网络功能在第一网络设备处实现,并且源网络功能在第二网络设备处实现。在一方面,第一网络设备可以从第二网络设备接收重新定位响应,从重新定位响应获得第一客户端设备上下文,并且基于接收到的重新定位响应来生成第二客户端设备上下文,其中,与第一网络设备相关联的信息包括第二客户端设备上下文。在一方面,第一网络设备可以基于仅为第一网络设备所知的秘密密钥来加密第二客户端设备上下文。在一方面,基于第一客户端设备上下文来生成第二客户端设备上下文。在一方面,第一网络设备可以通过生成全局唯一临时标识符并生成至少包括加密密钥、完整性密钥或者算法的安全上下文来生成第二客户端设备上下文。在一方面,与第一网络设备相关联的信息包括全局唯一临时标识符。在一方面,利用在客户端设备和第二网络设备之间共享的至少一个密钥来对从客户端设备接收的数据分组进行加密和完整性保护。在一方面,对服务重新定位消息进行完整性保护。
在一方面,提供了一种被配置为服务网络的第一服务区域的第一网络设备。第一网络设备可以包括用于从已经从第二服务区域进入第一服务区域的客户端设备接收旨在用于被配置为服务第二服务区域的第二网络设备(例如源IoTF)的数据分组的单元,用于向第二网络设备发送数据分组和重新定位请求的单元,及用于向客户端设备发送服务重新定位消息的单元,服务重新定位消息包括与第一网络设备相关联的信息。在一方面,目标网络功能在第一网络设备处实现,并且源网络功能在第二网络设备处实现。第一网络设备还可以包括用于从第二网络设备接收重新定位响应的单元,用于从重新定位响应获得第一客户端设备上下文的单元,以及用于基于接收到的重新定位响应来生成第二客户端设备上下文的单元,其中,与第一网络设备相关联的信息包括第二客户端设备上下文。第一网络设备还可以包括用于基于仅为第一网络设备所知的秘密密钥来加密第二客户端设备上下文的单元。在一方面,基于第一客户端设备上下文来生成第二客户端设备上下文。在一方面,用于生成第二客户端设备上下文的单元可以被配置为生成全局唯一临时标识符,并生成至少包括加密密钥、完整性密钥或者算法的安全上下文。在一方面,与第一网络设备相关联的信息包括全局唯一临时标识符。在一方面,利用在客户端设备和第二网络设备之间共享的至少一个密钥来对从客户端设备接收的数据分组进行加密和完整性保护。在一方面,对服务重新定位消息进行完整性保护。
在一方面,提供了一种用于被配置为服务网络的第一服务区域的第一网络设备的方法。第一网络设备可以从被配置为服务第二服务区域的第二网络设备接收数据分组,其中,数据分组是由已经从第一服务区域进入第二服务区域的客户端设备生成的。第一网络设备可以从第二网络设备接收重新定位请求,向网络实体发送数据分组,并向第二网络设备发送重新定位响应消息,重新定位响应消息包括客户端设备上下文,其中,客户端设备上下文包括与客户端设备相关联的网络状态信息。在一方面,源网络功能在第一网络设备处实现,并且目标网络功能在第二网络设备处实现。在一方面,第一网络设备可以解密和验证数据分组。
在一方面,提供了一种被配置为服务网络的第一服务区域的第一网络设备。第一网络设备可以包括用于从被配置为服务第二服务区域的第二网络设备(例如,目标IoTF)接收数据分组的单元,其中,数据分组是由已经从第一服务区域进入第二服务区域的客户端设备生成的。第一网络设备还可以包括用于从第二网络设备接收重新定位请求的单元,用于向网络实体(例如网关)发送数据分组的单元,以及用于向第二网络设备发送重新定位响应消息的单元,重新定位响应消息包括客户端设备上下文,其中,客户端设备上下文包括与客户端设备相关联的网络状态信息。在一方面,源网络功能在第一网络设备处实现,并且目标网络功能在第二网络设备处实现。在一方面,第一网络设备还可以包括用于解密和验证数据分组的单元。
在一方面,提供了一种用于网络接入节点的方法。网络接入节点可以从客户端设备接收数据分组,并将数据分组转发到在第一网络设备处实现的第一网络功能,其中,第一网络功能与网络接入节点相关联,并且被配置为当客户端设备处于减少的数据传输模式时,处理针对客户端设备的用户平面业务或控制平面业务中的至少一者。在一方面,与网络接入节点相关联的第一网络功能不同于数据分组中指示的第二网络功能,第二网络功能在第二网络设备处实现。在一方面,网络接入节点可以从与网络接入节点相关联的第一网络功能接收控制消息,识别控制消息中的临时标识符,临时标识符与客户端设备相关联,从控制消息中移除临时标识符,并向客户端设备发送包括控制消息的服务重新定位消息。在一方面,控制消息包括与在第一网络设备处实现的第一网络功能相关联的信息。在一方面,控制消息包括在第一网络设备处实现的第一网络功能处生成的客户端设备上下文,并且其中,客户端设备上下文包括与客户端设备相关联的网络状态信息。在一方面,客户端设备上下文由在第一网络设备处实现的第一网络功能来加密。
在一方面,提供了一种网络接入节点。网络接入节点可以包括用于从客户端设备接收数据分组的单元,以及用于将数据分组转发到在第一网络设备处实现的第一网络功能的单元,其中,第一网络功能与网络接入节点相关联,并且被配置为当客户端设备处于减少的数据传输模式时,处理针对客户端设备的用户平面业务或控制平面业务中的至少一者。在一方面,与网络接入节点相关联的第一网络功能不同于数据分组中指示的第二网络功能,第二网络功能在第二网络设备处实现。在一方面,网络接入节点还可以包括用于从与网络接入节点相关联的第一网络功能接收控制消息的单元,用于识别控制消息中的临时标识符的单元,临时标识符与客户端设备相关联,用于从控制消息中移除临时标识符的单元,以及用于向客户端设备发送包括控制消息的服务重新定位消息的单元。在一方面,控制消息包括与在第一网络设备处实现的第一网络功能相关联的信息。在一方面,控制消息包括在第一网络设备处实现的第一网络功能处生成的客户端设备上下文,并且其中,客户端设备上下文包括与客户端设备相关联的网络状态信息。在一方面,客户端设备上下文由在第一网络设备处实现的第一网络功能来加密。
在阅读下面的具体实施方式之后,将更充分地理解本公开内容的这些和其它方面。在结合附图阅读本公开内容的具体实施方式的以下描述后,本公开内容的其它方面、特征和实施方式对于本领域普通技术人员将变得显而易见。尽管可以相对于下面的某些实施方式和附图来讨论本公开内容的特征,但是本公开内容的所有实施方式能够包括本文讨论的有利特征中的一个或多个。换句话说,尽管可以将一个或多个实施方式讨论为具有某些有利的特征,但是根据本文所讨论的本公开内容的各种实施方式也可以使用这些特征中的一个或多个。以类似的方式,虽然可以将某些实现方式在下面讨论为设备、系统或方法实施方式,但是应当理解,可以在各种设备、系统和方法中实现这样的实施方式。
附图说明
图1是根据本公开内容的各个方面的物联网(IoT)网络架构的方块图。
图2是示出根据本公开内容的各个方面的用于IoT网络架构的密钥层次结构的图。
图3是示出根据本公开内容的各个方面的用于在IoT网络架构中加密客户端设备上下文的密钥层次结构的图。
图4是示出在网络中的各个实体处维护的客户端设备的示例性网络状态的图。
图5是示出根据本公开内容的各个方面的由IoT网络架构中的客户端设备进行的初始附着过程的方块图。
图6是根据本公开内容的各个方面的由IoT网络架构中的客户端设备进行的示例性附着过程的信号流程图。
图7是示出根据本公开内容的各个方面的由IoT网络架构中的客户端设备发起的数据传输的方块图。
图8是示出根据本公开内容的各个方面的由IoT网络架构中的客户端设备发起的示例性数据传输的信号流程图。
图9是根据本公开内容的各个方面的在IoT网络架构中的示例性客户端设备终止的数据传输的信号流程图。
图10是示出根据本公开内容的各个方面的用于IoT数据传输的控制平面协议栈的图。
图11是示出根据本公开内容的各个方面的用于IoT数据传输的用户平面协议栈的图。
图12是根据本公开内容的各个方面的用于IoT网络架构中的传输的分组格式的图。
图13是根据本公开内容的各个方面的用于IoT网络架构中的传输的分组格式的图。
图14是根据本公开内容的各个方面的实施用于在IoT网络架构中的切换的第一方法的IoTF重新定位过程的信号流程图。
图15是根据本公开内容的各个方面的实施用于IoT网络架构中的切换的第二方法的IoTF重新定位过程的信号流程图。
图16是根据本公开内容的一个或多个方面的被配置为在IoT网络架构中进行通信的装置的图示。
图17是示出根据本公开内容的各个方面的用于与网络进行通信的装置的方法的流程图。
图18是根据本公开内容的各个方面的被配置为支持与IoT网络架构中的通信有关的操作的装置的图示。
图19是示出根据本公开内容的各个方面的用于针对在IoT网络架构中进行通信的装置的方法的流程图。
图20是根据本公开内容的各个方面的被配置为支持与IoT网络架构中的通信相关的操作的装置的图示。
图21是示出根据本公开内容的各个方面的用于在IoT网络架构中进行通信的装置的方法的流程图。
图22是示出根据本公开内容的各个方面的用于针对在IoT网络架构中进行通信的装置的方法的流程图。
具体实施方式
以下结合附图阐述的具体实施方式旨在作为对各种配置的描述,并非旨在表示可以实践本文所描述的概念的唯一配置。具体实施方式包括用于提供对各种概念透彻理解的具体细节。然而,对于本领域技术人员显而易见的是,可以在没有这些具体细节的情况下实践这些概念。在一些情况下,以方块图形式示出公知的结构和组件,以避免使得这样的概念模糊。
网络(例如,LTE网络)可能需要支持大量(例如数十亿)的物联网(IoT)设备。例如,IoT设备可以是作为IoT设备附着到网络的客户端设备(也称为IoT设备模式),或者是为了减少客户端设备和网络之间的数据传输而附着到网络的客户端设备。在一方面,减少的数据传输模式可以涉及不频繁的小数据(例如,单个分组或少量分组)传输或短的数据突发。因此,在本公开内容中,如本文使用的术语“客户端设备”也指IoT设备。客户端设备例如可以是蜂窝电话(例如,智能电话)、个人计算机(例如膝上型接收机)、游戏设备、汽车、电器,或者被配置为与网络通信的任何其它合适的设备。在一些方面,客户端设备可以称为用户设备(UE)或接入终端(AT)。在一些方面,本文所指的客户端设备可以是移动设备或静态设备。
由于为了IoT目的而由网络分配的诸如IoT网络功能和其它IoT相关设备的资源的量可能是有限的,因此在网络处实现的网络功能可能不能维持针对不频繁活动的客户端设备的所有上下文(例如,与客户端设备相关联的网络状态信息)。例如,客户端设备可以每10分钟或更长时间唤醒,向服务器发送业务(例如,发送数据),并立即进入睡眠模式。作为另一示例,当意外事件发生时,客户端设备可以向服务器发送警报。此外,客户端设备可能具有有限的资源(例如,存储器、处理器、电池),并且可能不适合处理复杂的协议栈和/或信令过程。
本文公开的方面包括从上层角度来看,用于针对实现超低客户端设备功耗、每小区大量设备和/或小范围的客户端设备的IoT网络架构。引入专用网络功能,以实现独立部署,并消除可扩展性/互通性要求。安全性锚定在网络设备处实现的IoT网络功能(也称为IoT功能(IoTF))上。根据各个方面,该架构可以允许无需针对去往或来自客户端设备的数据传输而在网络接入节点(例如,eNB、基站、网络接入点)处维持安全上下文。
为了避免影响客户端设备的正常分组数据网络(PDN)连接/业务,分配专用核心网络资源用于小数据传输。网络可以为接入控制分配专用物理(PHY)层资源,以还限制小数据业务。当客户端设备处于空闲状态时,客户端设备上下文可以用于小数据传输以消除IoTF处的客户端设备的半持久性上下文。为了实现客户端设备的高效数据传输,所公开的网络架构可以包括在网络设备处实现的IoTF。
在一方面,IoTF可以包括控制平面IoTF(IoTF-C)和用户平面IoTF(IoTF-U)。在一些方面,这种IoTF-C和IoTF-U可以在单个IoTF中实现。在其它方面,这种IoTF-C和IoTF-U可以实现为单独的IoTF。在本公开内容的一方面,IoTF-C可以具有与移动性管理实体(MME)类似的功能。在本公开内容的一方面,IoTF-U可以是用于用户平面数据业务的移动性和安全性锚点。在本公开内容的一方面,IoTF-U可以具有与服务网关(S-GW)和/或网络接入节点(例如,演进型节点B(eNB)、基站或网络接入点)类似的功能。
为了允许网络功能(例如,IoTF-C、IoTF-U)优化针对客户端设备的资源使用,所公开的IoT网络架构的各个方面可以实现设计协议,其中,客户端设备的上下文承载在分组(例如,IP分组)中,并且IoTF(例如,包括IoTF-C和IoTF-U的IoTF)以机会性方式为客户端设备创建上下文。这使得网络功能能够维持客户端设备的最小到无的网络状态信息和最小到无的信令开销。应该理解,所公开的IoT网络架构和其中包括的功能可以用于任何类型的小数据传输。例如,客户端设备(例如,智能电话)可以具有标称模式,在标称模式下,其建立连接并传输数据,而且还使用本文公开的过程来使用客户端设备上下文来传输数据。
IoT网络架构
图1是根据本公开内容的各个方面的IoT网络架构100的方块图。如图1所示,IoT网络架构100包括客户端设备102(也称为IoT设备)、网络接入节点104、网络设备105、服务网络110和归属用户服务器(HSS)/认证、授权和计费(AAA)服务器112。在一个方面,网络接入节点104可以是eNB、基站或网络接入点。在一个方面,网络设备105可以包括被配置为实现IoTF的一个或多个处理电路和/或其它适合的硬件。在本公开内容的一个方面,IoTF可以包括控制平面IoT功能(IoTF-C)106和用户平面IoT功能(IoTF-U)108。例如,IoTF-C 106可以在第一网络节点107处实现并且IoTF-U 108可以在第二网络节点109处实现。根据本文公开的各个方面,术语“节点”可以表示物理实体,例如包括在网络设备105中的处理电路、设备、服务器或者网络实体。因此,例如,网络节点可以称为网络节点设备。
在一个方面,IoTF-C 106和IoTF-U 108可以在相同的硬件平台(例如,一个或多个处理电路和其它相关联的硬件组件,例如存储器)上实现。在这样的方面,例如,IoTF-C 106可以在硬件平台(例如,网络设备105)上提供的第一虚拟机(例如,第一操作系统)处实现,并且IoTF-U108可以在硬件平台上提供的第二虚拟机(例如,第二操作系统)处实现。
如图1所示,IoTF-C 106经由第一S1连接116与网络接入节点104进行通信,并且IoTF-U108经由第二S1连接114与网络接入节点104进行通信。在本公开内容的一方面,服务网络110可以包括被配置为提供各种类型的服务的多个实体、功能、网关和/或服务器。例如,服务网络110可以包括短消息实体(SME)118、机器类型通信交互工作功能(MTC-IWF)120、IoT服务器122和/或分组数据网络(PDN)网关(P-GW)124。应当理解,图1中公开的服务网络用作一个示例,并且在其它方面,服务网络110可以包括与图1中公开的那些不同类型的实体、功能和/或服务器。
在本公开内容的一方面,在网络设备105处实现的IoTF可以提供控制平面和用户平面功能。在本公开内容的一方面,IoTF-C 106处理用于客户端设备的控制平面信令(例如,携带控制信息的分组,在本文称为“控制分组”)。例如,IoTF-C 106可以为客户端设备执行移动性和会话管理,与客户端设备执行认证和密钥协商(也称为AKA过程),和/或可以为客户端设备创建安全上下文。在本公开内容的一方面,IoTF-C 106可以导出用于与客户端设备102相关联的控制平面业务的控制平面(CP)密钥126,用于与客户端设备102相关联的用户平面业务的用户平面(UP)密钥128和/或用于为客户端设备102生成加密的客户端设备上下文和/或加密的网络可达性上下文的上下文密钥130。在本公开内容的一方面,IoTF-C106可以向IoTF-U 108提供用户平面密钥128和/或上下文密钥130中的至少一个上下文密钥。因此,在一些方面,IoTF-U 108可以包括由IoTF-C 106提供的用户平面密钥128和/或上下文密钥131。
在本公开内容的一方面,IoTF-U 108可以处理客户端设备的用户平面业务。例如,IoTF-U 108可以导出加密密钥和完整性密钥(例如,利用使用UP密钥128的关联数据(AEAD)密码的经认证的加密),即时创建客户端设备上下文(也称为IoT设备上下文),认证和解密由客户端设备发送的上行链路(UL)分组并且将上行链路分组转发到PDN或P-GW(例如,P-GW124),加密和认证用于连接的客户端设备的下行链路(DL)分组并且将下行链路分组转发到下一跳网络接入节点(例如,eNB),和/或在寻呼期间缓存用于空闲客户端设备的下行链路分组。在本公开内容的一方面,IoTF-U 108可以用作针对数据业务的移动性和安全性锚点。
IoT网络的示例性密钥层次结构
图2是示出根据本公开内容的各个方面的用于IoT网络架构(例如,IoT网络架构100)的密钥层次结构200的图。在图2中,密钥KIOT 202可以是永久存储在客户端设备(例如,客户端设备102)的通用移动电信系统(UMTS)用户身份模块(USIM)和网络的认证中心(AuC)中的秘密密钥。完整性密钥(IK)和密码密钥(CK)(在图2中示出为IK,CK 204)是在AKA过程期间在AuC和USIM中导出的一对密钥。参考图1,在AKA过程期间,IoTF-C 106可以从接入安全管理实体(ASME)接收来自HSS/AAA服务器112的包含密钥(在图2中示出为密钥KASME 206)的认证向量(AV)。IoTF-C 106可以从密钥KASME 206中导出控制平面密钥(KCP)208和用户平面密钥(KUP)214。IoTF-C 106可以将密钥KUP 214提供给IoTF-U 108。IoTF-C 106可以从密钥KCP 208导出加密密钥KIOT-CPenc 210和完整性保护密钥KIOT-CPint 212。IoTF-U 108可以从密钥KUP 214导出加密密钥KIoT-UPenc 216和完整性保护密钥KIoT-UPint 218。
图3是示出根据本公开内容的各个方面的用于在IoT网络架构(例如IoT网络架构100)中加密上下文的密钥层次结构300的图。在本公开内容的一方面,参考图1,IoTF-C 106可以基于用于客户端设备的上下文密钥KCDC-IoTF 302为客户端设备(例如客户端设备102)随机生成控制平面客户端设备上下文加密密钥(KCDC-IoTF-C)304和用户平面客户端设备上下文加密密钥(KCDC-IoTF-U)306。在本公开内容的一方面,参考图1,IoTF-C 106可以基于上下文密钥KNRC-IoTF 308为控制平面随机生成网络可达性上下文(NRC)加密密钥(KNRC-IoTF-C)310。IoTF-C 106还可以基于上下文密钥KNRC-IoTF 308为用户平面随机生成网络可达性上下文(NRC)加密密钥(KNRC-IoTF-U)312。例如,可以为应用服务或P-GW(例如,P-GW 124)生成密钥KNRC-IoTF-C 310和密钥KNRC-IoTF-U 312。
客户端设备的示例性网络状态
在无线通信系统(例如,LTE网络)中,为客户端设备定义了用于移动性管理(例如,演进型分组系统移动性管理(EMM))的网络状态。这种网络状态实现了客户端设备与网络中其它实体之间的有效通信。在本公开内容的一方面,客户端设备(例如,图1中的客户端设备102)可以处于注销状态或注册状态。
例如,当客户端设备处于注销状态时,用于客户端设备的上下文可以存储在HSS中。网络没有为客户端设备保持有效的位置或路由信息,并且客户端设备不可达。
作为另一示例,客户端设备可以通过在网络上的成功注册来进入注册状态。在本公开内容的一方面,客户端设备可以通过执行与网络的附着过程来执行这种注册。在注册状态下,客户端设备具有至少有一个活动的PDN连接。客户端设备还具有建立的演进型分组系统(EPS)安全上下文。应该注意的是,注销和注册状态假定客户端设备具有用于网络的证书(例如,HSS中有可用的订阅)。
无线通信网络(例如,LTE网络)还可以包括为客户端设备定义的用于演进型分组系统连接管理(ECM)的网络状态。因此,处于注册状态的客户端设备(例如,图1中的客户端设备102)可以处于诸如空闲状态或连接状态的两种状态之一(也称为注册状态的子状态)。在空闲状态下,客户端设备与其它网络实体之间不存在非接入层(NAS)信令连接。在空闲状态下,客户端设备可以执行小区选择/重选和公共陆地移动网络(PLMN)选择。当客户端设备处于空闲状态时,对于无线接入网络(例如网络接入节点)中的客户端设备,可以没有上下文。此外,对于处于空闲状态的客户端设备,可以没有S1-MME和S1-U连接。
在连接状态中,客户端设备的位置在MME中以服务接入网络标识符(例如,eNB标识符(ID)、基站ID或网络接入点ID)的准确性是已知的。客户端设备的移动性由切换过程处理。在连接模式下,客户端设备与MME之间存在信令连接。信令连接可以由两部分组成:无线资源控制(RRC)连接和S1-MME连接。
图4是示出在网络400中的各个实体处维护的客户端设备的示例性网络状态的图。如图4所示,网络400包括客户端设备402、网络接入节点404和演进型分组核心(EPC)406。如图4进一步所示,EPC 406包括归属用户服务器(HSS)412、移动性管理实体(MME)408和分组数据网络网关(P-GW)/服务网关(S-GW)410。在本公开内容的一方面,网络400可以是4G网络。在其它方面,网络400可以是3G网络、LTE网络、5G网络或其它适当的网络。
例如,参考图4,当客户端设备402处于连接状态时,网络接入节点404可以维护针对客户端设备402的上下文414(也称为网络状态信息)。当客户端设备402处于连接状态时,MME 408可以维护针对客户端设备402的上下文416,并且当客户端设备402处于空闲状态时,MME 408可以维护针对客户端设备402的上下文418。当客户端设备402处于连接状态时,P-GW/S-GW 410可以维护针对客户端设备402的上下文426,并且当客户端设备402处于空闲状态时,P-GW/S-GW 410可以维护客户端设备402的上下文428。当客户端设备402处于连接状态时,HSS 412可以维护客户端设备402的上下文420,当客户端设备402处于空闲状态时,HSS 412可以维护针对客户端设备402的上下文422,并且当客户端设备402处于注销状态时,HSS 412可以维护针对客户端设备402的上下文424。在本公开内容的一方面,如果网络400被实现为3G网络,则当客户端设备402处于空闲状态时,P-GW/S-GW410可能不维护针对客户端设备402的上下文。
在本公开内容的一方面,可以为网络功能(诸如图1中的IoTF-C 106和IoTF-U108)生成加密的客户端设备上下文,以实现针对客户端设备的上下文(也称为客户端设备上下文)的机会性重构。例如,加密的客户端设备上下文可以使得网络实体能够重构客户端设备上下文,同时维护针对客户端设备的最少至无的网络状态信息。因此,加密的客户端设备上下文可以使网络实体能够重构客户端设备上下文,而无需存储或高速缓存任何网络状态信息。应该注意的是,在潜在存在不频繁地发送业务的数十亿个客户端设备情况下,不希望网络功能(例如,MME 408、P-GW/S-GW 410)维护针对客户端设备的上下文(包括安全上下文)。而且,加密的客户端设备上下文可以在切换期间或从空闲模式转换到连接模式期间消除网络接入节点(例如,eNB、基站或网络接入点)处的信令开销。由于可以避免与MME/控制器的通信,加密的客户端设备上下文可以用于显著减少或消除信令开销。
用户平面加密的客户端设备上下文
在本公开内容的一方面,可以为客户端设备生成用户平面(UP)加密的客户端设备上下文。例如,参考图1,在IoTF-U 108处,用户平面加密的客户端设备上下文可以用于上行链路(UL)数据传输。在本公开内容的一方面,用户平面加密的客户端设备上下文可以包括承载ID、演进型分组系统(EPS)承载服务质量(QoS)、用于用户平面通用分组无线业务(GPRS)隧道协议(GTP-U)的S5隧道端点标识符(TEID)、IoTF-U 108向其转发UL数据的P-GW互联网协议(IP)地址(或等同信息)、安全上下文(例如,选择的加密算法和用户平面(UP)密钥128)。在其它方面,用户平面加密的客户端设备上下文可以包括网络可能需要用来向客户端设备提供服务的其它参数、值、设置或特征。在一个示例中,UP密钥128可以是密钥KUP214,从其中可以导出密钥KIoT-UPenc 216和密钥KIoT-UPint 218。UP加密的客户端设备上下文可以通过使用IoTF-U 108的秘密密钥(诸如图3中所示的密钥KCDC-IoTF-U 306)来加密针对客户端设备的UP上下文来生成。在本公开内容的一方面,IoTF-U 108的秘密密钥(诸如密钥KCDC-IoTF-U 306)可以由IoTF-C 106提供。用户平面加密的客户端设备上下文可以由具有秘密密钥(例如,密钥KCDC-IoTF-U 306)的IoTF解密。因此,用户平面加密的客户端设备上下文可以由生成用户平面加密的客户端设备上下文的IoTF解密。
控制平面加密的客户端设备上下文
可以通过对用于控制消息(例如,控制分组或包括控制分组的消息)的控制平面客户端设备上下文进行加密来生成控制平面(CP)加密的客户端设备上下文。在一方面,控制平面加密的客户端设备上下文可以包括客户端设备标识符、客户端设备安全上下文(例如,控制平面密钥,例如密钥KIoT(等同于KASME)、密钥KIoT-CPenc 210、密钥KIoT-CPint 212)、客户端设备安全能力(例如,演进型分组系统加密算法(EEA)、演进型分组系统完整性算法(EIA))和/或下一跳(S5/S8)配置信息)。例如,下一跳配置信息可以包括IoT服务器地址、P-GW地址和/或TEID。例如,参考图1,用于控制消息的控制平面客户端设备上下文可以利用IoTF-C106的秘密密钥(诸如图3所示的密钥KCDC-IoTF-C 304)加密。控制平面加密的客户端设备上下文可以由具有秘密密钥(例如,密钥KCDC-IoTF-C 304)的IoTF解密。因此,加密的客户端设备上下文可以由生成控制平面加密的客户端设备上下文的IoTF解密。
加密网络可达性上下文
可以加密(例如,由IoTF)针对客户端设备的网络可达性上下文(NRC)以生成到客户端设备的用于下行链路(DL)传输的加密的网络可达性上下文。当客户端设备变为空闲时,加密的网络可达性上下文使得IoTF(例如,IoTF-C 106,IoTF-U 108)能够移除客户端设备上下文。例如,参考图1,可以将加密的网络可达性上下文提供给期望与客户端设备102通信的IoT服务器122或P-GW 124。因此,在该示例中,IoT网络架构100不需要维护针对客户端设备102的网络状态信息,或者可以减少针对客户端设备102维护的网络状态信息的量。当IoT服务器122或P-GW124向客户端设备102发送DL数据分组时,其可以提供加密的网络可达性上下文以允许IoT网络架构100中的一个或多个节点或实体(例如,网络接入节点104)重构网络可达性上下文。
加密的网络可达性上下文可以包括以下特征中的一个或多个。在本公开内容的一方面,加密的网络可达性上下文可以通过包括用于提取客户端设备102的网络侧网络状态信息的标识符、用于确定在何处寻呼客户端设备102的服务区域标识符列表(例如,跟踪区域ID(TAI)列表)或等同物,以及时序信息(例如,用于确定何时寻呼客户端设备102)来提供移动性特征。在本公开内容的一方面,加密的网络可达性上下文可以实现诸如服务区域更新(例如,跟踪区域更新(TAU))并且可选地获得新的加密的网络可达性上下文和ID的上下文重新定位过程。在本公开内容的一方面,加密的网络可达性上下文可以包括安全性之外的信息,并且可以指示如何管理安全性上下文。
在本公开内容的一方面,IoTF-C 106向服务网络110中的一个或多个实体(例如,IoT服务器122或P-GW 124)提供信息(例如,TAI列表)。然后,服务网络110中的这种一个或多个实体可以将加密的网络可达性上下文发送给IoT网络架构100中的其它实体以重建针对客户端设备102的上下文。可以实现加密的网络可达性上下文以用于网络发起的业务。然而,在涉及客户端设备发起的业务或网络发起的业务的一些方面,在网络设备105处实现的IoTF可以维护非常有限至无的针对客户端设备102的网络状态信息。在本公开内容的一方面,IoTF-C 106可以根据至少一TAI列表来提供客户端设备102的位置,该TAI列表可以是网络可达性上下文的一部分。
初始附着过程
图5是示出根据本公开内容的各个方面的由IoT网络架构500中的客户端设备进行的初始附着过程的方块图。在一些方面,如本文所描述的附着过程也称为网络附着过程或注册过程。
如图5所示,IoT网络架构500包括客户端设备502(也称为IoT设备)、网络接入节点504(例如,eNB、基站、网络接入点)、网络设备505、服务网络510和归属用户服务器(HSS)/认证、授权和计费(AAA)服务器512。在一个方面,网络设备505可以包括被配置为实现IoTF的一个或多个处理电路和/或其它适合的硬件。例如,IoTF可以包括控制平面IoT功能(IoTF-C)506和用户平面IoT功能(IoTF-U)508。在这种方面,IoTF-C 506可以在第一网络节点507处实现,并且IoTF-U 508可以在第二网络节点509处实现。在一个方面,IoTF-C 506和IoTF-U 508可以在相同的硬件平台处实现,使得IoTF-C 506和IoTF-U 508各自表示架构500中的独立节点。在这种方面,例如,IoTF-C 506可以在硬件平台(例如网络设备505)上提供的第一虚拟机(例如,第一操作系统)处实现,并且IoTF-U 508可以在硬件平台上提供的第二虚拟机(例如,第二操作系统)处实现。
如图5所示,IoTF-C 506经由第一S1连接516与网络接入节点504进行通信,并且IoTF-U 508经由第二S1连接514与网络接入节点504进行通信。在本公开内容的一方面,服务网络510可以包括被配置为提供各种类型的服务的多个实体、功能、网关和/或服务器。例如,服务网络510可以包括短消息实体(SME)518、机器类型通信交互工作功能(MTC-IWF)520、IoT服务器522和/或分组数据网络(PDN)网关(P-GW)524。应该理解的是,图5中公开的服务网络510用作一个示例,并且在其它方面,服务网络510可以包括与图5中公开的那些类型不同的实体、功能和/或服务器。
如图5所示,客户端设备502可以向网络发送可以由网络接入节点504接收的附着请求532。在本公开内容的一方面,附着请求532可以指示客户端设备502将作为IoT设备附着(例如,或者指示执行减少的数据传输的请求,或者指示客户端设备正在以低功耗模式操作)并且可以指示应该从中提取到认证信息的归属域(例如,HPLMN ID或者完全合格的域名(FQDN))。网络接入节点504可以将该请求转发给其属于的IoTF-C506。
IoTF-C 506可以从由客户端设备502提供的归属域信息来确定HSS/AAA服务器512的地址,并且可以将针对用于客户端设备502的认证信息的请求534发送到HSS/AAA服务器512。IoTF-C 506可以从HSS/AAA服务器512接收认证信息535。
IoTF-C 506可以与客户端设备502执行相互认证(例如,AKA过程)。在AKA过程期间,IoTF-C 506可以通过认证信息535从HSS/AAA服务器512接收AV。例如,AV可以包含来自接入安全管理实体(ASME)的密钥(在图2中示为密钥KASME 206)。例如,IoTF-C 506可以通过信号536向客户端设备502提供密钥KASME 206。当AKA过程完成时,IoTF-C 506和客户端设备502可以从密钥KASME 206或者从密钥KIoT 202导出诸如密钥KCP 208的CP密钥526、密钥KIoT-CPenc 210和/或密钥KIoT-CPint 212,并且可以导出诸如密钥KUP 214的UP密钥528、密钥KIoT-UPenc 216和/或密钥KIoT-UPint 218。在一些方面,IoTF-C 506可以经由消息538向IoTF-U508传送密钥KUP 214和用户平面加密和完整性保护密钥,例如密钥KIoT-UPenc 216和密钥KIoT-UPint 218。
在本公开内容的一方面,IoTF-C 506可以通过使用上下文密钥530来加密客户端设备上下文来生成用于客户端设备502的一个或多个加密的客户端设备上下文。然后,IoTF-C 506可以将一个或多个加密的客户端设备上下文发送到客户端设备502。例如,IoTF-C 506可以为控制平面生成加密的客户端设备上下文并为用户平面生成加密的客户端设备上下文。在这样的示例中,上下文密钥530可以包括用于为控制平面生成加密的客户端设备上下文的第一上下文密钥(例如,密钥KCDC-IoTF-C 304)和用于为用户平面生成加密的客户端设备上下文的第二上下文密钥(例如,密钥KCDC-IoTF-U306)。在本公开内容的一方面,IoTF-C 506可以将一个或多个上下文密钥530提供给IoTF-U 508。例如,IoTF-C 506可以经由消息538向IoTF-U 508发送用于为用户平面生成加密的客户端设备上下文的第二上下文密钥(例如,密钥KCDC-IoTF-U 306)。因此,在一些方面,IoTF-U 508可以包括由IoTF-C 506提供的上下文密钥531。
在本公开内容的一方面,IoTF-C 506可以使用上下文密钥530来加密网络可达性上下文而生成用于向客户端设备502发送下行链路(DL)业务的一个或多个加密的网络可达性上下文。IoTF-C 506然后可以将一个或多个加密的网络可达性上下文发送到诸如IoT服务器522或P-GW 524的网络实体。本文详细讨论了用于生成一个或多个加密的网络可达性上下文的示例性方法。IoTF-C 506可以经由消息538向IoTF-U 508发送密钥KUP 214、用户平面加密和完整性保护密钥(例如,密钥KIoT-UPenc 216和密钥KIoT-UPint218)以及针对用户平面的网络可达性上下文(NRC)加密密钥(例如,密钥KNRC-IoTF-U 312)。因此,在一些方面,IoTF-U508可以包括由IoTF-C 506提供的上下文密钥531(例如,密钥KNRC-IoTF-U 312)。
图6是根据本公开内容的各个方面的由IoT网络架构(例如,IoT网络架构100、500)中的客户端设备进行的示例性附着过程的信号流程图600。如图6所示,信号流程图600包括客户端设备602(也被称为IoT设备)、网络接入节点604(例如,eNB、基站或网络接入点)、在网络节点605处实现的IoTF-C 606、在网络节点607处实现的IoTF-U 608、服务网络609和归属用户服务器(HSS)610。如图6所示,客户端设备602可以向网络接入节点604发送请求612(例如,RRC连接请求)以便与网络进行通信。客户端设备602可以接收RRC连接建立消息614,其可以包括信令无线承载(SRB)配置(例如,用于通过专用控制信道(DCCH)发送NAS消息的SRB1配置)。客户端设备602可以向网络接入节点604发送RRC连接建立完成消息616。例如,RRC连接建立完成消息616可以指示附着请求。网络接入节点604可以向IoTF-C 606发送初始客户端设备消息618。IoTF-C 606可以根据客户端设备602提供的归属域信息来确定HSS服务器610的地址,并且可以与HSS 610进行通信621。例如,IoTF-C 606可以将针对客户端设备602的认证信息的请求发送到HSS服务器610,并且可以从HSS服务器610接收认证信息。
如图6所示,IoTF-C 606可以与客户端设备602执行诸如AKA过程620的相互认证。当AKA过程620完成时,IoTF-C 606和客户端设备602可以从密钥KASME 206或密钥KIoT 202导出控制平面密钥,例如密钥KIoT-CPenc210和/或密钥KIoT-CPint 212。IoTF-C 606和客户端设备602还可以从密钥KASME 206或者从密钥KIoT 202导出用户平面密钥,例如密钥KIoT-UPenc 216和/或密钥KIoT-UPint 218。在本公开内容的一方面,IoTF-C 606可以通过使用密钥KCDC-IoTF-C304对针对客户端设备602的控制平面上下文进行加密来生成控制平面加密的客户端设备上下文和/或可以通过使用密钥KCDC-IoTF-U 306对针对客户端设备602的用户平面上下文进行加密来生成用户平面加密的客户端设备上下文。IoTF-C 606可以经由消息622向IoTF-U608传送一个或多个密钥(例如,用户平面密钥,例如密钥KIoT-UPenc 216和/或密钥KIoT- UPint218和/或密钥KCDC-IoTF-U 306)。
IoTF-C 606可以向客户端设备602发送具有加密的客户端设备上下文(例如,控制平面加密的客户端设备上下文和/或用户平面加密的客户端设备上下文)的初始上下文建立请求消息624。因此,加密的客户端设备上下文可以包括与IoTF的IoTF-C 606和/或IoTF-U 608相关联的客户端设备上下文,其中,客户端设备上下文可以由客户端设备602用于上行链路数据传输。在本公开内容的一方面,加密密钥仅为IoTF所知(例如,客户端设备安全上下文可以由IoTF的IoTF-C 606和/或IoTF-U 608专有地提取)。因此,在这样的方面,加密密钥可以是可能为IoTF 606之外的网络实体(诸如网络接入节点604或客户端设备602)所不知道的KCDC-IoTF-U 306。在本公开内容的一方面,每个加密的客户端设备上下文对应于一个数据无线承载(DRB)。
在本公开内容的一方面,IoTF-C 606可以向服务网络609发送包括加密的网络可达性上下文的消息625。在本公开内容的一方面,IoTF-C 606可以通过使用密钥KNRC-IoTF-C310对针对客户端设备602的控制平面上下文进行加密来生成控制平面(CP)加密的网络可达性上下文和/或可以通过使用密钥KNRC-IoTF-U 312对针对客户端设备602的用户平面上下文进行加密来为客户端设备602生成用户平面(UP)加密的网络可达性上下文。因此,在一个示例中,IoTF-C 606可以将包括加密的网络可达性上下文(例如,CP加密的网络可达性上下文和/或UP加密的网络可达性上下文)的消息625发送给服务网络609。因此,加密的网络可达性上下文可以包括与IoTF的IoTF-C 606和/或IoTF-U 608相关联的客户端设备上下文(例如,网络状态信息),其中,这种客户端设备上下文可以用于从网络(例如,从服务网络609中的实体)到客户端设备602的下行链路(DL)数据传输。在本公开内容的一方面,加密密钥仅为IoTF所知(例如,可以由IoTF的IoTF-C 606和/或IoTF-U 608独有地提取)。在本公开内容的一方面,IoTF-C 608可以将加密的网络可达性上下文分配给网络实体,诸如服务网络609中的IoT服务器或P-GW。
网络接入节点604可以向客户端设备602发送RRC连接重新配置消息626。在本公开内容的一方面,RRC连接重新配置消息626可以包括加密的客户端设备上下文。客户端设备602可以向网络接入节点604发送RRC连接重新配置完成消息628。客户端设备602可以向网络接入节点604发送包括数据分组(例如,UL数据分组)的第一消息630。网络接入节点604可以经由第二消息632将数据分组转发到服务网络609。服务网络609可以向客户端设备602发送包括数据分组(例如,DL数据分组)的第三消息634。例如,并且如图6所示,第三消息634可以由IoTF-U 608和网络接入节点604转发到客户端设备602。客户端设备602然后可以转换636到空闲模式。网络接入节点604、IoTF-C 606和IoTF-U 608可以继续进行以去除638客户端设备上下文。
IoT UL数据传输
图7是示出根据本公开内容的各个方面的由IoT网络架构700中的客户端设备发起的数据传输的方块图。如图7所示,IoT网络架构700包括客户端设备702(也称为IoT设备)、网络接入节点704(例如,eNB、基站、网络接入点)、网络设备705、服务网络710和归属用户服务器(HSS)/认证、授权和计费(AAA)服务器712。在一个方面,网络设备705可以包括被配置为实现IoTF的一个或多个处理电路和/或其它适当的硬件。例如,IoTF可以包括控制平面IoT功能(IoTF-C)706和用户平面IoT功能(IoTF-U)708。在这样的方面,IoTF-C 706可以在网络节点707处实现并且IoTF-U 708可以在网络节点709处实现。在一个方面,IoTF-C 706和IoTF-U 708可以在相同的硬件平台处实现,使得IoTF-C 706和IoTF-U 708各自代表架构700中的独立节点。在这样的方面,例如,IoTF-C 706可以在硬件平台(例如网络设备705)上提供的第一虚拟机(例如,第一操作系统)上实现并且IoTF-U 708可以在硬件平台上提供的第二虚拟机(例如,第二操作系统)上实现。
在本公开内容的一方面,服务网络710可以包括被配置为提供各种类型的服务的多个实体、功能、网关和/或服务器。例如,服务网络710可以包括短消息实体(SME)718、机器类型通信交互工作功能(MTC-IWF)720、IoT服务器722和/或分组数据网络(PDN)网关(P-GW)724。应该理解的是,图7中公开的服务网络710用作一个示例,并且在其它方面,服务网络710可以包括与图7中公开的那些类型不同的实体、功能和/或服务器。
在图7的方面,IoTF-C 706可以已经生成针对控制平面的加密的客户端设备上下文和针对用户平面的加密的客户端设备上下文。在这样的方面,上下文密钥730可以包括用于生成针对控制平面的加密的客户端设备上下文的第一上下文密钥(例如,密钥KCDC-IoTF-C304)和用于生成针对用户平面的加密的客户端设备上下文的第二上下文密钥(例如,密钥KCDC-IoTF-U306)。例如,IoTF-C 706可以已经将用于生成针对用户平面的加密的客户端设备上下文的第二上下文密钥(例如,密钥KCDC-IoTF-U 306)发送到IoTF-U 708。因此,在这样的示例中,IoTF-U 708可以包括由IoTF-C 706提供的上下文密钥731,如图7所示。在图7的方面,客户端设备702已经以先前讨论的方式导出CP密钥726和UP密钥728。
在图7的方面,IoTF-C 706可以已经生成用于控制平面的加密的网络可达性上下文和用于用户平面的加密的网络可达性上下文。在这样的方面,上下文密钥730可以包括用于生成针对控制平面的加密的网络可达性上下文的第一上下文密钥(例如,密钥KNRC-IoTF-C310)以及用于生成针对用户平面的加密的网络可达性上下文的第二上下文密钥(例如,密钥KNRC-IoTF-U312)。例如,IoTF-C 706可以已经将用于生成针对用户平面的加密的网络可达性上下文的第二上下文密钥(例如,密钥KNRC-IoTF-U 312)发送到IoTF-U 708。因此,在这样的示例中,IoTF-U 708可以包括由IoTF-C 706提供的上下文密钥731,如图7所示。
如图7所示,客户端设备702可以向网络接入节点704发送包括由IoTF-C 706提供的数据分组和加密的客户端设备上下文的第一消息732。网络接入节点704可以根据数据分组中的IoTF-U标识符确定IoTF-U 708的地址,并且可以经由第二消息734将数据分组转发到IoTF-U 708。在一方面,网络接入节点704可以将数据分组转发到由客户端设备702指示的下一跳节点(例如,IoTF-U 708)而无需验证分组。IoTF-U 708可以验证加密的客户端设备上下文并可使用上下文密钥731(例如,用于生成用户平面的加密的客户端设备上下文的密钥KCDC-IoTF-U 306)来解密加密的客户端设备上下文。然后,IoTF-U 708可以基于解密的信息来重构客户端设备上下文。然后,IoTF-U 708可以利用加密和完整性密钥(例如,UP密钥728)来解密和验证数据分组。在本公开内容的一方面,IoTF-U 708可以基于客户端设备702的上下文(例如,网络状态信息)来生成加密的网络可达性上下文。IoTF-U 708可以经由第三消息736将数据分组转发到具有加密的网络可达性上下文的下一跳(例如,IoT服务器722或P-GW 724)。在本公开内容的一方面,客户端设备702在紧接着附着过程之后的初始数据传输可以不携带加密的客户端设备上下文。
图8是示出根据本公开内容的各个方面的由IoT网络架构(例如,IoT网络架构700)中的客户端设备发起的示例性数据传输的信号流程图800。如图8所示,信号流程图800包括客户端设备802(也被称为IoT设备)、网络接入节点804(例如,eNB、基站或网络接入点)、在网络节点805处实现的IoTF-U 806和服务网络808。客户端设备802可以向网络接入节点804发送包括加密的客户端设备上下文和数据分组(例如,UL数据分组)的数据传输请求消息810。在一方面,数据传输请求消息810可以由客户端设备802发送而无需建立与网络接入节点804的RRC连接。网络接入节点804在接收到数据传输请求消息810时可以为客户端设备802分配812临时标识符(TID)以用于潜在的下行链路(DL)业务。例如,TID可以是小区无线网络临时标识符(C-RNTI)。网络接入节点804可以确定包括在数据分组的报头中的IoTF-U标识符。本文参考图12讨论了包括这种报头的数据分组的示例性格式。网络接入节点804可以确定IoTF-U 806的IP地址,并且可以经由第一消息814将数据分组转发到IoTF-U 806。例如,作为操作和维护(OAM)过程的一部分,网络接入节点804可以被配置有一组IoTF-U标识符和对应的IP地址,或者可替换地,网络接入节点804可以使用基于IoTF-U ID的域名系统(DNS)查询来确定IoTF-U 806的IP地址。在本公开内容的一方面,并且如图8所示,网络接入节点804可以在第一消息814中包括TID和加密的客户端设备上下文以及数据分组。在本公开内容的一方面,在预定时间间隔中将TID存储在网络接入节点804。在这样的方面,网络接入节点804可以在第一消息814中将TID到期时间连同TID一起发送给IoTF-U 806。IoTF-U806可以对加密的客户端设备上下文进行解密并且可以重构816客户端设备上下文(例如S5承载)。在一方面,IoTF-U 806可以利用加密和完整性密钥(例如,UP密钥728)来解密和验证数据分组。
IoTF-U 806可以经由第二消息818将数据分组转发到服务网络808(例如,服务网络808中的P-GW或服务网络808中的其它实体)。响应于上行链路数据(例如,第二消息818中的UL数据分组),IoTF-U 806可以经由第三消息820从服务网络808(例如,服务网络808中的P-GW或服务网络808中的相应实体)接收数据分组(例如,DL数据分组)。IoTF-U 806可以在第四消息822中利用TID将接收到的数据分组发送到网络接入节点804。网络接入节点804可以使用TID识别客户端设备802并且可以在第五消息824中向客户端设备802发送数据分组。客户端设备802可以基于预先配置的定时器转换826到空闲模式。网络接入节点804和IoTF-U 806可以继续进行以从加密的客户端设备上下文中移除828即时创建的客户端设备上下文。
客户端设备终止的数据传输
图9是根据本公开内容的各个方面的在IoT网络架构(例如,IoT网络架构100)中的示例性客户端设备终止的数据传输的信号流程图900。如图9所示,信号流程图900包括客户端设备902(也称为IoT设备)、网络接入节点904(例如,eNB、基站、网络接入点)、在网络节点905处实现的IoTF-C 906和在网络节点907处实现的IoTF-U 908、P-GW 910和IoT服务器912。IoT服务器912可以将包括DL数据分组、全局IoTF标识符(GIOTFI)和加密的网络可达性上下文(NRC)的下行链路(DL)消息914发送给P-GW 910。P-GW 910可以基于GIOTFI定位IoTF-U 908,并且可以在转发消息916中将DL数据分组转发给IoTF-U 908。在本公开内容的一方面,IoTF-U 908可以验证加密的网络可达性上下文。如图9所示,IoTF-U 908可以重构917客户端设备902的上下文。例如,IoTF-U 908可以通过使用存储在IoTF-U 908中的上下文密钥(例如,密钥KNRC-IoTF-U 312)解密加密的网络可达性上下文来重构客户端设备902的上下文。IoTF-U 908可以向IoTF-C 906发送DL数据通知消息918。在本公开内容的一方面,如果DL数据分组小得足以在寻呼消息中携带,则DL数据通知消息918可以包括DL数据分组。IoTF-C 906可以将寻呼消息920发送到一个或多个网络接入节点(例如,网络接入节点904)。网络接入节点904然后可以通过发送寻呼消息922来寻呼客户端设备902。客户端设备902可以向IoTF-U 908发送包括UL数据分组的RRC连接请求消息924。在本公开内容的一方面,由客户端设备902发送的UL数据分组可以是空的。网络接入节点904可以为客户端设备902分配926临时标识符(TID)以用于潜在的下行链路(DL)业务。例如,TID可以是小区无线网络临时标识符(C-RNTI)。网络接入节点904然后可以在转发消息928中将具有TID和加密的客户端设备上下文的UL数据分组转发到IoTF-U 908。IoTF-U 908可以存储930网络接入节点904的TID和ID。IoTF-U 908可以将客户端设备响应通知消息932发送到IoTF-C 906。在本公开内容的一方面,IoTF-U 908可以向客户端设备902发送消息934,消息934包括DL数据分组和客户端设备902的TID,如果IoTF-U 908不能在DL数据通知消息918中包括DL数据分组。网络接入节点904可以在转发消息936中将DL数据分组转发到客户端设备902。客户端设备902然后可以转换938到空闲模式。网络接入节点904和IoTF-C 906可以移除940客户端设备上下文。
控制平面协议栈
图10是示出根据本公开内容的各个方面的用于IoT数据传输的控制平面协议栈1000的图。如图10所示,协议栈1000可以包括客户端设备协议栈1002(也被称为IoT设备协议栈)、网络接入节点协议栈1004、在网络节点1005处实现的IoTF协议栈1006以及服务网络协议栈1008。例如,网络接入节点协议栈1004可以在eNB、基站或网络接入点中实现。作为另一示例,服务网络协议栈1008可以在P-GW中实现。如图10所示,客户端设备协议栈1002可以包括物理(PHY)层1010、介质访问控制(MAC)层1012、无线链路控制(RLC)层1014、分组数据汇聚协议(PDCP)层1016以及控制(Ctrl)层1020。如图10进一步所示,客户端设备协议栈1002可以实现用于传输控制平面加密的客户端设备上下文(在图10中缩写为“CDCCP”)的上下文协议层1018。上下文协议层1018可以进一步实现IoTF ID(IID)和/或安全报头(在图10中缩写为“Sec”)的通信,其指示存在加密的客户端设备上下文。
如图10所示,网络接入节点协议栈1004可以包括PHY层1022、MAC层1024、RLC层1026和PDCP层1028,其分别与客户端设备协议栈1002的PHY层1010、MAC层1012、RLC层1014以及PDCP层1016接口连接。网络接入节点协议栈1004还可以包括以太网层1030、MAC层1032、互联网协议(IP)层1034、用户数据报协议(UDP)层1036和控制平面GPRS隧道协议(GTP-C)层1038。
如图10所示,IoTF协议栈1006可以包括以太网层1040、MAC层1042、IP层1044、UDP层1046、GTP-C层1048和控制(Ctrl)层1052。如图10进一步所示,IoTF协议栈1006可以实现用于传输控制平面加密的客户端设备上下文(在图10中缩写为“CDCCP”)的上下文协议层1050。上下文协议层1050还可以实现IoTF ID(IID)和/或安全报头(在图10中缩写为“Sec”)的通信,其指示存在加密的客户端设备上下文。如图10所示,客户端设备协议栈1002的上下文协议层1018与IoTF协议栈1006的上下文协议层1050进行通信。在一方面,根据关于图12描述的示例性IoT分组格式,加密的客户端设备上下文可以被携带在UP消息之外的分组报头中。如图10进一步所示,IoTF协议栈1006还可以实现用于传输控制平面加密的网络可达性上下文(在图10中缩写为“NRCCP”)的上下文协议层1049。上下文协议层1049还可以实现IoTF ID(IID)和/或安全报头(在图10中缩写为“Sec”)的通信,其指示存在加密的网络可达性上下文。
服务网络协议栈1008可以包括IP层1054、UDP层1056、GTP-C层1058和Ctrl层1062,它们分别与IoTF协议栈1006的IP层1044、UDP层1046、GTP-C层1048和Ctrl层1052接口连接。如图10进一步所示,服务网络协议栈1008可以实现用于传输控制平面加密的网络可达性上下文(在图10中缩写为“NRCCP”)的上下文协议层1059。上下文协议层1059还可以实现IoTFID(IID)和/或安全报头(在图10中缩写为“Sec”)的通信,其指示存在加密的网络可达性上下文。如图10所示,服务网络协议栈1008的上下文协议层1059与IoTF协议栈1006的上下文协议层1049进行通信。在本公开内容的一方面,根据关于图13描述的示例性IoT分组格式,加密的网络可达性上下文可以被携带在用户平面消息之外的分组报头中。在本公开内容的一方面,如果网络架构被实现为GSM EDGE无线接入网络(GERAN),则可以使用不同于IP协议1066的协议。在本公开内容的一方面,可以省略由区域1064和1068指示的GTP-C和UDP协议。
用户平面协议栈
图11是示出根据本公开内容的各个方面的用于IoT数据传输的用户平面协议栈1100的图。如图11所示,协议栈1100可以包括客户端设备协议栈1102(也称为IoT设备协议栈)、网络接入节点协议栈1104、在网络节点1105处实现的IoTF协议栈1106以及服务网络协议栈1108。例如,网络接入节点协议栈1104可以在eNB、基站或网络接入点中实现。作为另一示例,服务网络协议栈1108可以在P-GW中实现。如图11所示,客户端设备协议栈1102可以包括物理(PHY)层1110、介质访问控制(MAC)层1112、无线链路控制(RLC)层1114、分组数据汇聚协议(PDCP)层1116以及用户平面(UP)层1120。如图11进一步所示,客户端设备协议栈1102可以实现用于传输用户平面加密的客户端设备上下文(在图11中缩写为“CDCUP”)的上下文协议层1118。上下文协议层1118还可以实现IoTF ID(IID)和/或安全报头(在图11中缩写为“Sec”)的通信,其指示存在加密的客户端设备上下文。
如图11所示,网络接入节点协议栈1104可以包括PHY层1122、MAC层1124、RLC层1126和PDCP层1128,它们分别与客户端设备协议栈1102的PHY层1110、MAC层1112、RLC层1114和PDCP层1116接口连接。网络接入节点协议栈1104还可以包括以太网层1130、MAC层1132、互联网协议(IP)层1134、用户数据报协议(UDP)层1136以及用户平面GPRS隧道协议(GTP-U)层1138。
如图11所示,IoTF协议栈1106可以包括以太网层1140、MAC层1142、IP层1144、UDP层1146和GTP-U层1148。如图11进一步所示,IoTF协议栈1106可以实现用于发送用户平面加密的客户端设备上下文(在图11中缩写为“CDCUP”)的上下文协议层1150。上下文协议层1150可以进一步实现IoTF ID(IID)和/或安全报头(在图11中缩写为“Sec”)的通信,其指示存在加密的客户端设备上下文。如图11所示,客户端设备协议栈1102的上下文协议层1118与IoTF协议栈1106的上下文协议层1150进行通信。在一方面,根据关于图12所描述的示例性IoT分组格式,用户平面加密的客户端设备上下文可以被携带在UP消息之外的分组报头中。如图11进一步所示,IoTF协议栈1106还可以实现用于传输用户平面加密的网络可达性上下文(在图11中缩写为“NRCUP”)的上下文协议层1149。上下文协议层1149还可以实现IoTF ID(IID)和/或安全报头(在图11中缩写为“Sec”)的通信,其指示存在加密的网络可达性上下文。
服务网络协议栈1108可以包括IP层1154、UDP层1156、GTP-U层1158和UP层1162,它们分别与IoTF协议栈1106的IP层1144、UDP层1146、GTP-U层1148和UP层1152接口连接。服务网络协议栈1108可以实现用于传输用户平面加密的网络可达性上下文(在图11中缩写为“NRCUP”)的上下文协议层1159。如图11所示,服务网络协议栈1108的上下文协议层1159与IoTF协议栈1106的上下文协议层1149进行通信。在本公开内容的一方面,根据关于图11描述的示例性IoT分组格式,用户平面加密的网络可达性上下文可以被携带在UP消息之外的分组报头中。在本公开内容的一方面,如果网络架构被实现为GSM EDGE无线接入网络(GERAN),则可以使用不同于IP协议1166的协议。在本公开内容的一方面,可以省略由区域1164和1168指示的GTP-U和UDP协议。在本公开内容的一方面,如果IP协议用于UP消息传递,则可以在IP选项字段(IPv4)或IP扩展报头(IPv6)中携带用户平面加密的网络可达性上下文。
IoT数据分组格式
图12是根据本公开内容的各个方面的用于IoT网络架构中的传输的分组格式1200的图。参考图12,网络接入节点(例如,eNB、基站或网络接入点)可以使用临时标识符(TID)字段1202来本地识别客户端设备(也称为IoT设备)。例如,由网络接入节点向TID字段1202分配的用于识别客户端设备的值可以是C-RNTI或等效值。在本公开内容的一方面,IoTF ID(IID)字段1204可以包括全局唯一临时标识符(GUTI)。例如,GUTI可以包括与IoTF相关联的标识符和与客户端设备相关联的标识符(例如临时标识符,诸如移动性管理实体(MME)临时移动用户身份(M-TMSI))。例如,网络接入节点可以使用GUTI来识别IoTF,并且IoTF可以使用GUTI来识别客户端设备。在另一方面,IID字段1204可以包括全局IoTF标识符(GIOTFI)和与客户端设备相关联的标识符(例如,临时标识符,诸如M-TMSI)。例如,GIOTFI可以是用于IoTF的全局唯一移动性管理实体标识符(GUMMEI)的等同物。在本公开内容的一方面,可以加密M-TMSI以用于客户端设备隐私。应该注意的是,使用IoTF IP地址可能会公开网络拓扑。
安全报头字段1206可以指示存在加密的客户端设备上下文、控制平面(CP)/用户平面(UP)指示、序列号、时间戳值和/或随机值。例如,时间戳值可以基于时间和计数器,其中,时间是网络接入节点时间或IoTF时间。客户端设备上下文字段1208可以包括加密的客户端设备上下文。应该注意的是,如果将时间戳用于加密而不是序列号,那么IoTF可能不需要维护任何客户端设备的网络状态。随机值可以基于随机数和计数器。随机值由网络接入节点或由客户端设备或其组合生成。对于每个分组,计数器可以递增一定的值(例如,一)。如果将随机值用于加密而不是序列号,则客户端设备可以基于安全上下文中的加密密钥和随机数生成新的加密密钥。如果将随机值用于完整性保护而不是序列号,则客户端设备可以基于安全上下文中的完整性保护密钥和随机数生成新的完整性保护密钥,并且可以使用新的完整性保护密钥来保护消息。有效载荷字段1210可以包括数据或控制信息(例如,数据分组或控制分组)。
消息认证码(MAC)字段1212可以用于完整性保护。例如,MAC字段1212可以包括由发送设备或实体生成的消息认证码。MAC字段1212中的消息认证码然后可以由接收设备或实体用来验证消息的完整性没有受到损害(例如,消息的内容没有被改变或被操纵)。在一个方面,MAC字段1212中的消息认证码可以通过应用消息认证码生成算法(例如,AEAD密码)在发送设备或实体处生成,其中,消息(例如,分组)和用户平面密钥或控制平面密钥被用作消息认证码生成算法的输入。消息认证码生成算法的输出可以是包含在MAC字段1212中的消息认证码。接收设备或实体可以通过将消息认证码生成算法(例如,AEAD密码)应用于消息来验证接收到的消息的完整性。例如,接收的消息(例如,分组)和用户平面密钥或控制平面密钥可以用作消息认证码生成算法的输入。接收设备或实体然后可以将消息认证码生成算法的输出与包含在MAC字段1212中的消息认证码进行比较。在这样的示例中,当消息认证码生成算法的输出与包含在MAC字段1212中的消息认证码匹配时,接收设备或实体可以确定已经成功验证该消息。
图13是根据本公开内容的各个方面的用于IoT网络架构中的传输的分组格式1300的图。参考图13,网络接入节点(例如,eNB、基站或网络接入点)可以使用临时标识符(TID)字段1302来本地识别客户端设备(也称为IoT设备)。例如,由网络接入节点向TID字段1302分配的用于识别客户端设备的值可以是C-RNTI或等效值。在本公开内容的一方面,IoTF ID(IID)字段1304可以包括全局唯一临时标识符(GUTI)或全局IoTF标识符(GIOTFI)。例如,网络接入节点可以使用GUTI来识别IoTF,并且IoTF可以使用GUTI来识别客户端设备。例如,GIOTFI可以是用于IoTF的全局唯一移动性管理实体标识符(GUMMEI)的等同物。在本公开内容的一方面,可以加密移动性管理实体(MME)临时移动用户身份(M-TMSI)以用于客户端设备隐私。应该注意的是,使用IoTF IP地址可能会公开网络拓扑。
安全报头字段1306可以指示存在加密的网络可达性上下文、CP/UP指示、序列号、时间戳值和/或随机值。例如,时间戳值可以基于时间和计数器,其中,时间是网络接入节点时间或IoTF时间。网络可达性上下文字段1308可以包括加密的网络可达性上下文。有效载荷字段1310可以包括数据或控制信息(例如,数据分组或控制分组)。消息认证码(MAC)字段1312可以用于完整性保护(例如,可以使用AEAD密码)。应该注意的是,如果将时间戳用于加密而不是序列号,则IoTF可能不需要维护客户端设备的任何网络状态信息。在一方面,随机值可以基于随机数和计数器。随机值可以由网络接入节点或由客户端设备或其组合生成。对于每个分组,计数器可以递增一定的值(例如,一)。如果将随机值用于加密而不是序列号,则客户端设备可以基于安全上下文中的加密密钥和随机数生成新的加密密钥。如果将随机值用于完整性保护而不是序列号,则客户端设备可以基于安全上下文中的完整性保护密钥和随机数生成新的完整性保护密钥,并且可以使用新的完整性保护密钥来保护消息。
加密的客户端设备上下文设计和生成
在本公开内容的一方面,加密的客户端设备上下文可以包括在AKA过程期间建立的客户端设备上下文。例如,客户端设备上下文可以包括安全上下文、承载ID、演进型分组系统(EPS)承载服务质量(QoS)和S5-TEID,和/或网络向客户端设备提供服务所需的其它服务、参数、值、设置或特征。
在一些方面,除了客户端设备上下文之外,加密的客户端设备上下文可以包括一个或多个信息项。例如,加密的客户端设备上下文可以包括由IoTF-C106设置的(或者在客户端设备上下文中指示的)到期时间,其限制了加密的客户端设备上下文的寿命(例如,以防止永久重用)。作为另一示例,加密的客户端设备上下文可以具有识别用于生成加密的客户端设备上下文的密钥的密钥索引。
在一些方面,加密的客户端设备上下文可以使用仅为网络中的实体所知的秘密密钥生成,并且因此可以不被客户端设备解释和/或修改。例如,可以通过使用IoTF-U(例如,IoTF-U 108)的秘密密钥来加密客户端设备上下文来生成加密的客户端设备上下文。在一些方面,加密的客户端设备上下文可以利用IoTF-U(例如,IoTF-U108)的秘密密钥来进行完整性保护,因此可以不被客户端设备操纵/修改。
在一方面,在认证和上下文(例如承载)设置成功完成时,可以由IoTF-C(例如,IoTF-C106)将加密的客户端设备上下文提供给客户端设备(例如,客户端设备102)。在一方面,客户端设备可以将加密的客户端设备上下文包括在一个或多个用户平面分组(例如,UL数据分组)中,以使得IoTF-U(例如,IoTF-U 108)能够即时重构客户端设备上下文。例如,如果客户端设备需要串行发送多个分组,则客户端设备可以将加密的客户端设备上下文包括在第一分组中,而不在后续分组中包括加密的客户端设备上下文。在一些方面,加密的客户端设备上下文可以是客户端设备特定的,并且因此,发布给客户端设备的加密的客户端设备上下文可以不被任何其它客户端设备使用。
a)控制平面加密的客户端设备上下文
在本公开内容的一方面,IoTF(例如,图1中的IoTF-C 106)可以通过级联一个或多个信息项来生成加密的客户端设备上下文。例如,可以基于表达式KeyID||Enc_KCDC-IoTF-C(CDCCP)||MAC,来生成控制平面(CP)加密的客户端设备上下文(CDCCP)。在本公开内容的一方面,密钥KCDC-IoTF-C(例如,图3中的密钥KCDC-IoTF-C 304)可以与密钥KCDC-IoTF(例如,图3中的密钥KCDC-IoTF 302)相同或者从密钥KCDC-IoTF导出。术语KeyID可以表示密钥索引(用于生成加密的客户端设备上下文)。术语CDCCP可以表示控制平面客户端设备上下文。例如,控制平面客户端设备上下文可以包括客户端设备标识符、客户端设备安全上下文(例如,控制平面密钥,诸如密钥KIoT(等同于KASME)、密钥KIoT-CPenc 210、密钥KIoT-CPint 212)、客户端设备安全能力(例如,演进型分组系统加密算法(EEA)、演进型分组系统完整性算法(EIA))和/或下一跳(S5/S8)配置信息。例如,下一跳配置信息可以包括IoT服务器地址、P-GW地址和/或TEID。术语MAC可以指示可以由移动网络运营商(MNO)选择并且被配置给IoTF的加密模式和/或消息认证码生成算法(也被称为MAC算法)。因此,术语Enc_KCDC-IoTF-C(CDCCP)可以表示使用密钥KCDC-IoTF-C对控制平面客户端设备上下文执行的加密操作的结果。
b)用户平面加密的客户端设备上下文
作为另一示例,可以基于表达式KeyID||Enc_KCDC-IoTF-U(CDCUP)||MAC生成用户平面(UP)加密的客户端设备上下文(CDCUP)。术语CDCUP可以表示用户平面客户端设备上下文。例如,用户平面客户端设备上下文可以包括客户端设备标识符、承载ID、演进型分组系统(EPS)承载服务质量(QoS)、用于用户平面通用分组无线服务(GPRS)隧道协议(GTP-U)的S5隧道端点标识符(TEID)、IoTF-U 108向其转发UL数据的P-GW互联网协议(IP)地址(或等同信息)、客户端设备安全上下文(例如,选择的加密算法和用户平面密钥,例如密钥KIoT-UPenc216、密钥KIoT-UPint 218)、客户端设备安全能力(例如,演进型分组系统加密算法(EEA)、演进型分组系统完整性算法(EIA))和/或下一跳(S5/S8)配置信息。例如,下一跳配置信息可以包括IoT服务器地址、P-GW地址和/或TEID。因此,术语Enc_KCDC-IoTF-U(CDCUP)可以表示使用密钥KCDC-IoTF-U对用户平面客户端设备上下文执行的加密操作的结果。在本公开内容的一方面,加密的客户端设备上下文仅可以由客户端设备所附着/关联的IoTF(例如,IoTF-C 106和/或IoTF-U 108)解密。在本公开内容的一方面,客户端设备上下文可以在加密之前被压缩。
加密的客户端设备上下文可以具有一个或多个特性。例如,加密的客户端设备上下文可以包含与特定客户端设备相关联的网络状态信息,并且因此可能不能发送到其它客户端设备。IoTF-C/U(例如,IoTF-C106和/或IoTF-U 108)不保持客户端设备的上下文(例如,网络状态信息)。因此,这样的IoTF-C/U可以使用其自己的秘密密钥从加密的客户端设备上下文恢复客户端设备上下文,并且因此IoTF-C/U不需要存储任何附加信息来恢复客户端设备上下文。IoTF-C/U可以在特定条件下(例如,演进型分组系统连接管理(ECM)-空闲或紧接在小数据传输之后)移除客户端设备上下文,并且在必要时恢复它(例如,用于数据传输)。
客户端设备可以存储由IoTF-C提供的加密的客户端设备上下文以用于快速UL数据传输/快速控制平面消息传输。客户端设备可以在紧接着发送一个或多个数据分组后进入睡眠模式。由于可以不存在用于IoTF-U重构客户端设备上下文的消息交换开销,小数据分组的传输不会经受延迟。在本公开内容的一方面,当客户端设备处于空闲模式时,没有控制平面消息可以用于用户平面数据传输。
加密的网络可达性上下文设计和生成
a)控制平面加密的网络可达性上下文
在本公开内容的一方面,可以通过级联一个或多个信息项来生成加密的网络可达性上下文。例如,可以基于表达式KeyID||Enc_KNRC-IoTF-C(CDCCP)||MAC生成控制平面(CP)加密的网络可达性上下文。在本公开内容的一方面,密钥KNRC-IoTF-C(例如,图3中的密钥KNRC-IoTF-C 310)可以与密钥KNRC-IoTF(例如,图3中的密钥KNRC-IoTF 308)相同或者从密钥KNRC-IoTF导出。术语KeyID可以表示密钥索引(用于生成网络可达性上下文)。术语CDCCP可以表示控制平面客户端设备上下文。例如,控制平面客户端设备上下文可以包括客户端设备标识符、客户端设备安全上下文(例如,控制平面密钥,诸如密钥KIoT(等同于KASME)、密钥KIoT-CPenc 210、密钥KIoT-CPint 212)、客户端设备安全能力(例如,演进型分组系统加密算法(EEA)、演进型分组系统完整性算法(EIA))和/或下一跳(S5/S8)配置信息。例如,下一跳配置信息可以包括IoT服务器地址、P-GW地址和/或TEID。术语MAC可以指示可以由移动网络运营商(MNO)选择并且被配置给IoTF的加密模式和/或消息认证码生成算法(也被称为MAC算法)。因此,术语Enc_KNRC-IoTF-C(CDCCP)可以表示使用密钥KNRC-IoTF-C对控制平面客户端设备上下文执行的加密操作的结果(例如,图3中的密钥KNRC-IoTF-C 310)。
b)用户平面加密的网络可达性上下文
作为另一示例,可以基于表达式KeyID||Enc_KNRC-IoTF-U(CDCUP)||MAC生成用户平面(UP)加密的网络可达性上下文。术语CDCUP可以表示用户平面客户端设备上下文。例如,用户平面客户端设备上下文可以包括客户端设备标识符、承载ID、演进型分组系统(EPS)承载服务质量(QoS)、用于用户平面通用分组无线服务(GPRS)隧道协议(GTP-U)的S5隧道端点标识符(TEID)、IoTF-U 108向其转发UL数据的P-GW互联网协议(IP)地址(或等同信息)、客户端设备安全上下文(例如,选择的加密算法和用户平面密钥,例如密钥KIoT-UPenc 216、密钥KIoT-UPint 218)、客户端设备安全能力(例如,演进型分组系统加密算法(EEA)、演进型分组系统完整性算法(EIA))和/或下一跳(S5/S8)配置信息。例如,下一跳配置信息可以包括IoT服务器地址、P-GW地址和/或TEID。因此,术语Enc_KNRC-IoTF-U(CDCUP)可以表示使用密钥KNRC-IoTF-U(例如,图3中的密钥KNRC-IoTF-U 312)对用户平面客户端设备上下文执行的加密操作的结果。在本公开内容的一方面,加密的网络可达性上下文仅可以由客户端设备所附着/关联的IoTF(例如,IoTF-C 106和/或IoTF-U 108)解密。在本公开内容的一方面,网络可达性上下文可以在加密之前被压缩。
加密的网络可达性上下文可以具有一个或多个特性。例如,加密的网络可达性上下文可以包含与特定客户端设备相关联的网络状态信息,并且因此可能不能发送到其它客户端设备。IoTF-C/U(例如,IoTF-C106和/或IoTF-U 108)不保持客户端设备的上下文(例如,网络状态信息)。因此,这样的IoTF-C/U可以通过使用其自己的秘密密钥对加密的网络可达性上下文进行解密来重构客户端设备的网络可达性上下文,并因此IoTF-C/U不需要存储任何附加信息来恢复网络可达性上下文。IoTF-C/U可以在特定条件下(例如,演进型分组系统连接管理(ECM)-空闲或紧接在小数据传输之后)移除客户端设备的网络可达性上下文,并且在必要时恢复它(例如,用于数据传输)。
流动性过程
网络可以定义多个服务区域以保持跟踪客户端设备(例如,客户端设备102)的位置。在一些方面,这样的服务区域可以称为跟踪区域。例如,每个服务区域可以包括一组小区。
在本公开内容的一方面,网络的第一服务区域中的客户端设备可以与服务第一服务区域的源IoTF建立网络连接。客户端设备可以获得包括在源IoTF针对客户端设备生成的第一客户端设备上下文的信息。例如,第一客户端设备上下文可以包括与客户端设备相关联的第一网络状态信息。在本公开内容的一方面,从源IoTF获得的信息中的第一客户端设备上下文可以由源IoTF加密。在这样的方面,所获得的信息可以用作客户端设备能够用来与网络进行通信的令牌。
当客户端设备离开第一服务区域并进入目标IoTF服务的网络的第二服务区域(也称为新的服务区域)时,网络可以执行IoTF重新定位过程。在本公开内容的一方面,如本文详细描述的,当客户端设备向网络发送数据(例如,UL传输)时,或者响应于服务区域更新请求(例如,跟踪区域更新(TAU)请求),可以执行这种IoTF重新定位过程。例如,IoTF重新定位过程可以实现从源IoTF到目标IoTF的服务切换。
在一个方面,如下面关于图14所述,网络可以实施用于切换的第一方法。例如,在第一方法中,目标IoTF将从客户端设备接收的UL数据分组路由到源IoTF。源IoTF随后验证(例如,使用完整性密钥)UL数据分组的完整性。
在另一方面,如下面关于图15所述,网络可以实施用于切换的第二方法。例如,在第二方法中,目标IoTF阻止将从客户端设备接收的UL数据分组路由到源IoTF,并从源IoTF请求客户端设备的上下文。目标IoTF验证(例如,使用完整性密钥)UL数据分组的完整性,并且如果验证成功,则将UL数据分组路由到源IoTF。
图14是根据本公开内容的各个方面的实施用于在IoT网络架构中的切换的第一方法的示例性IoTF重新定位过程的信号流程图1400。如图14所示,信号流程图1400包括客户端设备1402(也被称为IoT设备)、网络接入节点1404(例如,eNB、基站或网络接入点)、在目标网络设备1405处实现的目标IoTF 1406、在源网络设备1407处实现的源IoTF 1408以及P-GW 1410。在本公开内容的一方面,目标IoTF 1406可以包括控制平面目标IoTF(目标IoTF-C)和用户平面目标IoTF(目标IoTF-U)。在本公开内容的一方面,源IoTF 1408可以包括控制平面源IoTF(源IoTF-C)和用户平面源IoTF(源IoTF-U)。
当客户端设备1402进入新的服务区域时,客户端设备1402可以向网络发送数据传输请求消息1412。在本公开内容的一方面,数据传输请求消息1412可以包括预先从源IoTF获得的数据分组(例如,UL数据分组)和信息(例如,加密的第一客户端设备上下文)。例如,如图14所示,客户端设备1402可以将加密的第一客户端设备上下文包括在数据传输请求消息1412中。在本公开内容的一方面,数据传输请求消息1412可以由客户端设备1402在无需与网络建立无线资源控制(RRC)连接的情况下发送。
网络接入节点1404在接收到数据传输请求消息1412时可以为客户端设备1402分配1414临时标识符(TID)以用于潜在的下行链路(DL)业务。网络接入节点1404可以进一步确定包括在数据传输请求消息1412中接收的数据分组的报头中的目标IoTF标识符。然后,网络接入节点1404可以确定目标IoTF 1406的IP地址,并且可以在转发消息1416中向目标IoTF 1406(例如,目标IoTF 1406的目标IoTF-U)转发数据分组(如果目标IoTF-U 1406与源IoTF 1408没有关联)。在本公开内容的一方面,转发消息1416可以进一步包括TID和/或加密的第一客户端设备上下文。
目标IoTF 1406(例如,目标IoTF 1406的目标IoTF-U)可以在消息1418中将数据分组和重新定位请求发送到源IoTF 1408(例如,源IoTF 1408的源IoTF-U)。在本公开内容的一方面,消息1418可以进一步包括加密的第一客户端设备上下文。
在本公开内容的一方面,目标IoTF 1406(例如,目标IoTF 1406的目标IoTF-C)可以从源IoTF 1408(例如,源IoTF 1408的源IoTF-C)请求客户端设备上下文。源IoTF 1408(例如,源IoTF 1408的源IoTF-U)可以验证加密的第一客户端设备上下文并且可以在消息1420中利用IoTF重新定位指示(例如,服务从源IoTF切换到目标IoTF的指示)将数据分组转发到P-GW 1410。在本公开内容的一方面,IoTF重新定位指示可以通过将目标IoTF 1406(例如,目标IoTF 1406的目标IoTF-U)的全局IoTF标识符(GIOTFI)提供给P-GW 1410来实现。
源IoTF 1408(例如,源IoTF 1408的源IoTF-C)可以向目标IoTF 1406(例如,目标IoTF 1406的目标IoTF-C)发送重新定位响应消息1424。在本公开内容的一方面,重新定位响应消息1424可以包括第一客户端设备上下文。
目标IoTF 1406可以存储1426TID和网络接入节点1404的标识符。目标IoTF 1406(例如,目标IoTF 1406的目标IoTF-C)可以生成1428新的全局唯一临时标识符GUTI)、控制平面和用户平面密钥以及客户端设备1402的第二客户端设备上下文(例如,加密的第二客户端设备上下文)。例如,目标IoTF 1406可以基于第一客户端设备上下文生成第二客户端设备上下文。在本公开内容的一方面,目标IoTF 1406可以为客户端设备1402生成安全上下文并且可以将安全上下文包括在第二客户端设备上下文中。例如,安全上下文可以包括加密密钥、完整性密钥和/或算法。在本公开内容的一方面,目标IoTF 1406(例如,目标IoTF1406的目标IoTF-C)可以使用目标IoTF 1406外部的网络实体(例如,客户端设备1402、网络接入节点1404或其它IoT功能)未知的秘密密钥(例如,上下文密钥130)来加密第二客户端设备上下文。
目标IoTF 1406(例如,目标IoTF 1406的目标IoTF-C)可以发送更新P-GW 1410处的移动性锚点的移动性更新消息1430。例如,移动性更新消息1430可以包括目标IoTF 1406的GIOTFI。
目标IoTF 1406(例如,目标IoTF 1406的目标IoTF-C)可以经由网络接入节点1404向客户端设备1402发送服务重新定位消息1432(也被称为控制消息)。在本公开内容的一方面,服务重新定位消息包括与目标IoTF 1406相关联的信息。在本公开内容的一方面,服务重新定位消息1432可以包括客户端设备1402的TID、GUTI、加密的第二客户端设备上下文和/或切换的指示。在从目标IoTF 1406接收到服务重新定位消息1432之后,网络接入节点1404可以识别包括在服务重新定位消息1432中的与客户端设备1402对应的TID,并且可以移除TID。网络接入节点1404可以基于客户端设备1402的TID向客户端设备1402发送服务重新定位消息1434。在本公开内容的一方面,服务重新定位消息1434可以包括新的GUTI和加密的第二客户端设备上下文。
P-GW 1410可以向目标IoTF 1406发送包括数据分组(例如,DL数据分组)的消息1436。例如,消息1436中的DL数据分组可以旨在用于客户端设备1402。目标IoTF 1406可以将包括客户端设备1402的TID和数据分组的消息1438发送到网络接入节点1404。网络接入节点1404可以在转发消息1440中将DL数据分组转发到客户端设备1402。客户端设备1402可以转换1442到空闲模式。网络接入节点1404和目标IoTF 1406可以移除1444客户端设备上下文。
图15是根据本公开内容的各个方面的实施用于IoT网络架构中的切换的第二方法的IoTF重新定位过程的信号流程图1500。如图15所示,信号流程图1500包括客户端设备1502(也被称为IoT设备)、网络接入节点1504(例如,eNB、基站或网络接入点)、在目标网络设备1505处实现的目标IoTF 1506、以及在源网络设备1507处实现的源IoTF 1508、源IoTF1508以及P-GW 1510。在本公开内容的一方面,目标IoTF 1506可以包括控制平面目标IoTF(目标IoTF-C)和用户平面目标IoTF(目标IoTF-U)。在本公开内容的一方面,源IoTF 1508可以包括控制平面源IoTF(源IoTF-C)和用户平面源IoTF(源IoTF-U)。
当客户端设备1502进入新的服务区域时,客户端设备1502可以向网络发送数据传输请求消息1512。在本公开内容的一方面,数据传输请求消息1512可以包括预先从源IoTF获得的数据分组(例如,UL数据分组)和信息(例如,加密的第一客户端设备上下文)。例如,如图15所示,客户端设备1502可以将加密的第一客户端设备上下文包括在数据传输请求消息1512中。在本公开内容的一方面,数据传输请求消息1512可以由客户端设备1502在无需与网络建立无线资源控制(RRC)连接的情况下发送。
网络接入节点1504在接收到数据传输请求消息1512时,可以为客户端设备1502分配1514临时标识符(TID)以用于潜在的下行链路(DL)业务。网络接入节点1504可以进一步确定包括在数据传输请求消息1512中接收的数据分组的报头中的目标IoTF标识符。然后,网络接入节点1504可以确定目标IoTF 1506的IP地址,并且可以在转发消息1516中向目标IoTF 1506(例如,目标IoTF 1506的目标IoTF-U)转发数据分组(如果目标IoTF 1506与源IoTF 1508没有关联)。在本公开内容的一方面,转发消息1516可以包括TID和/或加密的第一客户端设备上下文。
在一方面,目标IoTF 1506的目标IoTF-U可以将针对客户端设备上下文的请求发送到目标IoTF 1506的目标IoTF-C。然后,目标IoTF 1506的目标IoTF-C可以将请求客户端设备上下文的消息发送到源IoTF 1508的源IoTF-C,其中,消息包括加密的第一客户端设备上下文。例如,目标IoTF 1506(例如,目标IoTF 1506的目标IoTF-C)可以向源IoTF 1508(例如,源IoTF 1508的源IoTF-C)发送消息1518,其中,消息包括重新定位请求和加密的第一客户端设备上下文。在本公开内容的一方面,重新定位请求可以用作对客户端设备上下文的请求。
源IoTF 1508(例如,源IoTF 1508的源IoTF-C)可以验证加密的第一客户端设备上下文,并且可以向目标IoTF 1506(例如,目标IoTF 1506的目标IoTF-C)发送重新定位响应消息1520。在本公开内容的一方面,重新定位响应消息1520可以包括第一客户端设备上下文。
目标IoTF 1506可以存储1522TID和网络接入节点1504的标识符。目标IoTF 1506(例如,目标IoTF 1506的目标IoTF-C)可以生成1524新的全局唯一临时标识符GUTI)、控制平面和用户平面密钥以及客户端设备1502的第二客户端设备上下文。例如,目标IoTF 1506(例如,目标IoTF 1506的目标IoTF-C)可以基于第一客户端设备上下文生成第二客户端设备上下文。在本公开内容的一方面,目标IoTF 1506(例如,目标IoTF 1506的目标IoTF-C)可以为客户端设备1502生成安全上下文并且可以将安全上下文包括在第二客户端设备上下文中。例如,安全上下文可以包括加密密钥、完整性密钥和/或算法。在本公开内容的一方面,目标IoTF 1506(例如,目标IoTF 1506的目标IoTF-C)可以使用目标IoTF 1506外部的网络实体(例如,客户端设备1502、网络接入节点1504或其它IoT功能)未知的秘密密钥(例如,上下文密钥130)来加密第二客户端设备上下文。
目标IoTF 1506的目标IoTF-C可以向目标IoT 1506的目标IoTF-U发送请求,其中,该请求用于转发具有IoTF重新定位的指示的数据分组。目标IoTF 1506(例如,目标IoT1506的目标IoTF-U)可以发送更新P-GW 1510处的移动性锚点的移动性更新消息1526。例如,移动性更新消息1526可以包括来自客户端设备1502的数据分组和目标IoTF 1506的GIOTFI。
目标IoTF 1506(例如,目标IoTF 1506的目标IoTF-C)可以经由网络接入节点1504向客户端设备1502发送服务重新定位消息1532(也被称为控制消息)。在本公开内容的一方面,服务重新定位消息包括与目标IoTF 1506相关联的信息。在本公开内容的一方面,服务重新定位消息1532可以包括客户端设备1502的TID、GUTI、加密的第二客户端设备上下文和/或切换的指示。
在从目标IoTF 1506接收到服务重新定位消息1532之后,网络接入节点1504可以识别包括在服务重新定位消息1528中的与客户端设备1502对应的TID,并且可以移除客户端设备1502的TID。网络接入节点1504可以基于客户端设备1502的TID向客户端设备1502发送服务重新定位消息1530。在本公开内容的一方面,服务重新定位消息1530可以包括新的GUTI和加密的第二客户端设备上下文。
P-GW 1510可以向目标IoTF 1506发送包括数据分组(例如,DL数据分组)的消息1532。例如,消息1532中的DL数据分组可以旨在用于客户端设备1502。目标IoTF 1506可以将包括客户端设备1502的TID和DL数据分组的消息1534发送到网络接入节点1504。网络接入节点1504可以在转发消息1536中将DL数据分组转发到客户端设备1502。客户端设备1502可以转换1538到空闲模式。网络接入节点1504和目标IoTF 1506可以移除1540客户端设备上下文。
本文公开的各方面提供了具有新的专用网络功能的干净的平板设计,这些新的专用网络功能使得能够独立部署并且消除可扩展性/互通性要求。在本公开内容的一方面,安全架构可以被配置为使得无需为了去往或来自客户端设备的数据传输而在网络接入节点处实现安全上下文。安全特征可以锚定在新的网络功能(称为IoT功能(IoTF))上。专用资源分配给IoT数据传输,以避免影响正常的客户端设备的PDN连接/业务。在一些方面,加密的客户端设备上下文可以用于在空闲状态期间的数据传输(例如,来自客户端设备的UL数据传输)以消除IoTF处的客户端设备的半持久性上下文。在其它方面,当客户端设备处于空闲状态时,加密的网络可达性上下文可以用于数据传输以消除IoTF处的客户端设备的半持久性上下文。MME/S-GW不应保持不频繁发送业务的客户端设备的大量状态(即,上下文)。客户端设备可以在不耗费昂贵的核心网资源的情况下实现有成本效益的数据发送。
因此,根据本文公开的各方面,当客户端设备离开网络的一个服务区域并进入另一服务区域(例如,新的服务区域)时,其可以开始向网络发送数据(例如,UL数据分组)而不首先执行单独的服务区域更新过程(例如,TAU过程)。因此,客户端设备可以在新的服务区域中发送数据,就好像它仍然附着到先前的服务区域的网络功能(例如,IoTF)。网络可以识别客户端设备的服务区域已经改变到新的服务区域,并且可以响应于来自客户端设备的数据传输来执行服务区域更新过程(例如,TAU过程)。如果由于客户端设备从一个服务区域移动到另一个服务区域而应该执行IoTF重新定位过程,则网络可以执行IoTF重新定位过程。在本公开内容的一方面,可响应于来自客户端设备的数据传输或服务区域更新请求(例如,TAU请求)来执行IoTF重新定位过程。
关于其的第一示例性装置和方法
图16是根据本公开内容的一个或多个方面(例如,与下面描述的与图17的方法有关的方面)的被配置为基于IoT网络架构与网络进行通信的装置1600的图示。在一方面,装置1600可以是客户端设备(也被称为IoT设备)。装置1600包括通信接口(例如,至少一个收发机)1602、存储介质1604、用户接口1606、存储器设备1608和处理电路1610。
这些组件能够经由由图16中的连接线总体表示的信令总线或其它适当的组件彼此耦合和/或放置为彼此电通信。信令总线可以包括任何数量的互连总线和桥接器,这取决于处理电路1610的具体应用和总体设计约束。信令总线将各种电路连接在一起,使得通信接口1602、存储介质1604、用户接口1606和存储器设备1608中的每一个耦合到处理电路1610和/或与处理电路1610电通信。信令总线还可以链接本领域公知的各种其它电路(未示出),例如定时源、外围设备、稳压器和电源管理电路,因此将不再进行描述。
通信接口1602可以适于促进装置1600的无线通信。例如,通信接口1602可以包括电路和/或代码(例如指令),其适于促进相对于网络中的一个或多个通信设备的双向信息通信。通信接口1602可以耦合到一个或多个天线1612以用于无线通信系统内的无线通信。通信接口1602能够配置有一个或多个独立的接收机和/或发射机,以及一个或多个收发机。在所示示例中,通信接口1602包括发射机1614和接收机1616。
存储器设备1608可以表示一个或多个存储器设备。如所指示的,存储器设备1608可以保持与网络相关的信息/以及由装置1600使用的其它信息。在一些实施方式中,存储器设备1608和存储介质1604被实现为公共存储器组件。存储设备1608还可以用于存储由处理电路1610或装置1600的一些其它组件操纵的数据。
存储介质1604可以表示用于存储代码的一个或多个计算机可读、机器可读和/或处理器可读设备,所述代码例如是处理器可执行代码或指令(例如,软件、固件)、电子数据、数据库或其它数字信息。存储介质1604也可以用于存储执行代码时处理电路1610操纵的数据。存储介质1604可以是能够被通用或专用处理器存取的任何可用介质,包括便携式或固定存储设备、光存储设备以及能够存储、包含或携带代码的各种其它介质。
作为示例而非限制,存储介质1604可以包括磁存储设备(例如,硬盘、软盘、磁条)、光盘(例如,压缩光盘(CD)或数字多功能光盘(DVD))、智能卡、闪存设备(例如,卡、棒或键驱动器)、随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、寄存器、可移动磁盘以及用于存储可由计算机存取和读取的代码的任何其它合适的介质。存储介质1604可以体现在制造品(例如,计算机程序产品)中。作为示例,计算机程序产品可以包括封装材料中的计算机可读介质。鉴于以上,在一些实施方式中,存储介质1604可以是非暂时性(例如,实体)存储介质。
存储介质1604可以耦合到处理电路1610,使得处理电路1610能够从存储介质1604读取信息并将信息写入到存储介质1604。即,存储介质1604能够耦合到处理电路1610,使得存储介质1604至少可由处理电路1610存取,包括其中至少一个存储介质整合到处理电路1610的示例和/或其中至少一个存储介质与处理电路1610分离的示例(例如驻留在装置1600内,在装置1600外,跨越多个实体分布等)。
存储介质1604存储的代码和/或指令在由处理电路1610执行时使处理电路1610执行本文描述的各种功能和/或处理操作中的一个或多个。例如,存储介质1604可以包括被配置用于调节处理电路1610的一个或多个硬件块处的操作的操作,以及使用它们各自的通信协议将通信接口1602用于无线通信的操作。
处理电路1610通常适于处理,包括执行存储在存储介质1604上的这种代码/指令。如本文所使用的,术语“代码”或“指令”应被广义地解释为包括但不限于编程、指令、指令集、数据、代码、代码段、程序代码、程序、子程序、软件模块、应用程序、软件应用程序、软件包、例程、子例程、对象、可执行程序、执行的线程、过程、功能等等,无论是被称为软件、固件、中间件、微代码、硬件描述语言还是其它术语。
处理电路1610被布置成获得、处理和/或发送数据,控制数据访问和存储,发布命令以及控制其它期望的操作。在至少一个示例中,处理电路1610可以包括被配置为实现由适当的介质提供的期望代码的电路。例如,处理电路1610可以实施为一个或多个处理器、一个或多个控制器和/或被配置为执行可执行代码的其它结构。处理电路1610的示例可以包括通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑组件、分立门或晶体管逻辑、分立硬件组件或设计为执行本文所述功能的其任何组合。通用处理器可以包括微处理器,以及任何常规处理器、控制器、微控制器或状态机。处理电路1610还可以实现为计算组件的组合,诸如DSP和微处理器的组合、多个微处理器、一个或多个微处理器与DSP内核的结合、ASIC和微处理器,或者任何其它数量的不同配置。处理电路1610的这些示例是用于说明的,并且还可以设想在本公开内容的范围内的其它合适的配置。
根据本公开内容的一个或多个方面,处理电路1610可以适于执行用于本文中所描述的装置中的任意一个装置或全部装置的特征、过程、功能、操作和/或例程中的任意一个或全部。如本文所使用的,关于处理电路1610的术语“适于”可以指处理电路1610是被配置、被采用、被实施和/或被编程为执行根据本文描述的各种特征的特定过程、功能、操作和/或例程中的一个或多个。
根据装置1600的至少一个示例,处理电路1610可以包括网络连接建立电路/模块1620、客户端设备上下文获得电路/模块1622、服务区域进入电路/模块1624、服务区域更新阻止电路/模块1626、发送电路/模块1628、接收电路/模块1630、存储电路/模块1632以及加密和完整性保护电路/模块1634中的一个或多个,其适于执行任何本文描述的特征、过程、功能、操作和/或例程中的任意一个或全部(例如关于图17描述的特征、过程、功能、操作和/或例程)。
网络连接建立电路/模块1620可以包括适于执行与例如建立与第一网络设备的网络连接有关的几个功能的电路和/或指令(例如,存储在存储介质1604上的网络连接建立指令1640)。
客户端设备上下文获得电路/模块1622可以包括适于执行与例如获得包括在服务网络的第一服务区域的第一网络设备处生成的第一客户端设备上下文的信息有关的几个功能的电路和/或指令(例如存储在存储介质1604上的客户端设备上下文获得指令1642),所述第一客户端设备上下文包括与客户端设备相关联的第一网络状态信息。
服务区域进入电路/模块1624可以包括适于执行与例如进入由第二网络设备服务的网络的第二服务区域有关的几个功能的电路和/或指令(例如,存储在存储介质1604上的服务区域进入指令1644)。
服务区域更新阻止电路/模块1626可以包括适于执行与例如阻止执行在进入第二服务区域时与网络执行服务区域更新过程(例如,跟踪区域更新(TAU)过程)有关的几个功能的电路和/或指令(例如,存储在存储介质1604上的服务区域更新阻止指令1646)。在一方面,基于跟踪区域标识符将第一服务区域或第二服务区域识别为跟踪区域。
发送电路/模块1628可以包括适于执行与例如在第二服务区域中发送数据和获得的信息有关的几个功能的电路和/或指令(例如,存储在存储介质1604上的发送指令1648)。
接收电路/模块1630可以包括适于执行与例如响应于传输而接收服务重新定位消息有关的几个功能的电路和/或指令(例如,存储在存储介质1604上的接收指令1650),所述服务重新定位消息包括与第二网络设备相关联的信息。
存储电路/模块1632可以包括适于执行与例如存储第二客户端设备上下文和/或存储GUTI有关的几个功能的存储电路和/或指令(例如,存储在存储介质1604上的存储指令1652)。
加密和完整性保护电路/模块1634可以包括适于执行与例如利用与第一网络设备共享的至少一个密钥对数据进行加密和完整性保护有关的几个功能的电路和/或指令(例如,存储在存储介质1604上的加密和完整性保护指令1654)。
如上所述,由存储介质1604存储的指令在由处理电路1610执行时使处理电路1610执行本文描述的各种功能和/或处理操作中的一个或多个。例如,存储介质1604可以包括网络连接建立指令1640、客户端设备上下文获得指令1642、服务区域进入指令1644、服务区域更新阻止指令1646、发送指令1648、接收指令1650、存储指令1652,以及加密和完整性保护指令1654中的一个或多个。
图17是示出根据本公开内容的各个方面的用于与网络进行通信的方法的流程图1700。该方法可以由诸如客户端设备(例如,客户端设备102、502或设备1600)的装置来执行。应该理解的是,图17中用虚线指示的操作代表可选操作。
客户端设备可以与第一网络设备建立网络连接1702。例如,客户端设备可以作为物联网(IoT)设备附着到网络。客户端设备可以获得包括在服务网络的第一服务区域的第一网络设备处生成的第一客户端设备上下文的信息,第一客户端设备上下文包括与客户端设备相关联的第一网络状态信息。在本公开内容的一方面,第一网络设备可以是第一物联网功能(IoTF)。在本公开内容的一方面,第一客户端设备上下文可以基于仅为第一网络设备所知的秘密密钥在第一网络设备处被加密。即,秘密密钥对于第一网络设备之外的客户端设备和网络实可以是未知的。在本公开内容的一方面,不在网络上保持上下文。
客户端设备可以进入由第二网络设备服务的网络的第二服务区域。在本公开内容的一方面,第二网络设备可以是第二物联网功能(IoTF)。客户端设备可以在进入第二服务区域时阻止执行与网络的服务区域更新过程(例如,跟踪区域更新(TAU)过程)1708。客户端设备可以利用与第一网络设备共享的至少一个密钥对数据进行加密和完整性保护1710。客户端设备可以在第二服务区域中发送数据和所获得的信息1712。客户端设备可以响应于传输而接收服务重新定位消息,服务重新定位消息包括与第二网络设备相关联的信息1714。因此,应当理解,网络可以基于从客户端设备发送的所获得的信息来确定客户端设备的位置(例如,第二服务区域),尽管客户端设备已经在进入第二服务区域时阻止执行服务区域更新过程。结果,客户端设备可以在离开第一服务区域之后继续在第二服务区域中(例如,由第二网络设备)从网络接收服务,同时避免与执行服务区域更新过程相关联的延迟。
在本公开内容的一方面,服务重新定位消息是服务区域更新接受消息(例如,跟踪区域更新(TAU)接受消息)。在本公开内容的一方面,服务重新定位消息包括与第二网络设备相关联的第二客户端设备上下文,其中,第二客户端设备上下文包括与客户端设备相关联的第二网络状态信息。在本公开内容的一方面,服务重新定位消息包括与第二网络设备相关联的标识符。例如,标识符可以是全局唯一临时标识符(GUTI)。在本公开内容的一方面,基于第二网络设备外的网络实体未知的秘密密钥,在第二网络设备处对第二客户端设备上下文进行加密。
客户端设备可以存储第二客户端设备上下文1716。客户端设备可以存储GUTI1718。
关于其的第二示例性装置及其方法
图18是根据本公开内容的一个或多个方面(例如,与下面描述的图19的方法有关的方面)的装置1800的图示。例如,装置1800可以是网络接入节点(例如,eNB、基站或网络接入点)。装置1800包括通信接口(例如,至少一个收发机)1802、网络通信接口1803、存储介质1804、用户接口1806、存储器设备1808和处理电路1810。
这些组件能够经由由图18中的连接线总体表示的信令总线或其它适当的组件彼此耦合和/或放置为彼此电通信。信令总线可以包括任何数量的互连总线和桥接器,这取决于处理电路1810的具体应用和总体设计约束。信令总线将各种电路连接在一起,使得通信接口1802、网络通信接口1803、存储介质1804,用户接口1806和存储器设备1808中的每一个耦合到处理电路1810和/或与处理电路1810电通信。信令总线可以还连接本领域公知的各种其它电路(未示出),例如定时源、外围设备、稳压器和电源管理电路,因此将不再进行描述。
通信接口1802可以适于促进装置1800的无线通信。例如,通信接口1802可以包括电路和/或代码(例如指令),其适于促进相对于网络中的一个或多个通信设备的双向信息通信。通信接口1802可以耦合到一个或多个天线1812以用于无线通信系统内的无线通信。通信接口1802能够配置有一个或多个独立的接收机和/或发射机,以及一个或多个收发机。在所示示例中,通信接口1802包括发射机1814和接收机1816。
网络通信接口1803可以适于促进装置1800的通信。例如,网络通信接口1803可以包括电路和/或代码(例如,指令),其适于促进相对于网络中的一个或多个网络实体的双向信息通信。网络通信接口1803可以配置有一个或多个独立的接收机和/或发射机,以及一个或多个收发机。
存储器设备1808可以表示一个或多个存储器设备。如所指示的,存储器设备1808可以保持与网络相关的信息/以及由装置1800使用的其它信息。在一些实施方式中,存储器设备1808和存储介质1804被实现为公共存储器组件。存储设备1808还可以用于存储由处理电路1810或装置1800的一些其它组件操纵的数据。
存储介质1804可以表示用于存储代码的一个或多个计算机可读、机器可读和/或处理器可读设备,代码例如是处理器可执行代码或指令(例如,软件、固件)、电子数据、数据库或其它数字信息。存储介质1804也可以用于存储执行代码时处理电路1810操纵的数据。存储介质1804可以是能够被通用或专用处理器存取的任何可用介质,包括便携式或固定存储设备、光存储设备以及能够存储、包含或携带代码的各种其它介质。
作为示例而非限制,存储介质1804可以包括磁存储设备(例如,硬盘、软盘、磁条)、光盘(例如,压缩光盘(CD)或数字多功能光盘(DVD))、智能卡、闪存设备(例如,卡、棒或键驱动器)、随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、寄存器、可移动磁盘以及用于存储可由计算机存取和读取的代码的任何其它合适的介质。存储介质1804可以体现在制造品(例如,计算机程序产品)中。作为示例,计算机程序产品可以包括封装材料中的计算机可读介质。鉴于以上,在一些实施方式中,存储介质1804可以是非暂时性(例如,实体)存储介质。
存储介质1804可以耦合到处理电路1810,使得处理电路1810能够从存储介质1804读取信息并将信息写入到存储介质1804。即,存储介质1804能够耦合到处理电路1810,使得存储介质1804至少可由处理电路1810存取,包括其中至少一个存储介质整合到处理电路1810的示例和/或其中至少一个存储介质与处理电路1810分离的示例(例如驻留在装置1800内,在设备1800外,跨越多个实体分布等)。
存储介质1804存储的代码和/或指令在由处理电路1810执行时使处理电路1810执行本文描述的各种功能和/或处理操作中的一个或多个。例如,存储介质1804可以包括被配置用于调节处理电路1810的一个或多个硬件块处的操作的操作,以及使用它们各自的通信协议将通信接口1802用于无线通信和将网络通信接口1803用于网络通信的操作。
处理电路1810通常适于处理,包括执行存储在存储介质1804上的这种代码/指令。如本文所使用的,术语“代码”或“指令”应被广义地解释为包括但不限于编程、指令、指令集、数据、代码、代码段、程序代码、程序、子程序、软件模块、应用程序、软件应用程序、软件包、例程、子例程、对象、可执行程序、执行的线程、过程、功能等等,无论是被称为软件、固件、中间件、微代码、硬件描述语言还是其它。
处理电路1810被布置成获得、处理和/或发送数据,控制数据访问和存储,发布命令以及控制其它期望的操作。在至少一个示例中,处理电路1810可以包括被配置为实现由适当的介质提供的期望代码的电路。例如,处理电路1810可以实施为一个或多个处理器、一个或多个控制器和/或被配置为执行可执行代码的其它结构。处理电路1810的示例可以包括通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑组件、分立门或晶体管逻辑、分立硬件组件或设计为执行本文所述功能的其任何组合。通用处理器可以包括微处理器,以及任何常规处理器、控制器、微控制器或状态机。处理电路1810还可以实现为计算组件的组合,诸如DSP和微处理器的组合、多个微处理器、一个或多个微处理器与DSP内核的结合、ASIC和微处理器,或者任何其它数量的不同配置。处理电路1810的这些示例是用于说明的,并且还可以设想在本公开内容的范围内的其它合适的配置。
根据本公开内容的一个或多个方面,处理电路1810可以适于执行用于本文中所描述的装置中的任意一个或全部装置的特征、过程、功能、操作和/或例程中的任意一个或全部。如本文所使用的,关于处理电路1810的术语“适于”可以指处理电路1810是被配置、被采用、被实施和/或被编程为执行根据本文描述的各种特征的特定过程、功能、操作和/或例程中的一个或多个。
根据装置1800的至少一个示例,处理电路1810可以包括接收电路/模块1820、数据分组转发电路/模块1822、临时标识符识别电路/模块1824、临时标识符移除电路/模块1826以及发送电路/模块1828中的一个或多个,其适于执行任何本文描述的特征、过程、功能、操作和/或例程中的任意一个或全部(例如关于图19描述的特征、过程、功能、操作和/或例程)。
接收电路/模块1820可以包括适合于执行与例如从客户端设备接收数据分组以及从与装置1800(例如,网络接入节点)相关联的第一网络功能接收控制消息有关的几个功能的电路和/或指令(例如,存储在存储介质1804上的接收指令1830)。
数据分组转发电路/模块1822可以包括适于执行与例如将数据分组转发到在第一网络设备处实现的第一网络功能有关的几个功能的电路和/或指令(例如存储在存储介质1804上的数据分组转发指令1832)。在一方面,第一网络功能与装置1800(例如网络接入节点)相关联,并且被配置为当客户端设备处于减少的数据传输模式时处理客户端设备的用户平面业务或控制平面业务中的至少一个。例如,第一网络功能可以是目标IoTF 1406或目标IoTF 1506。
临时标识符识别电路/模块1824可以包括适于执行与例如识别控制消息中的临时标识符有关的几个功能的电路和/或指令(例如存储在存储介质1804上的临时标识符识别1834),临时标识符与客户端设备相关联。
临时标识符移除电路/模块1826可以包括适于执行与例如从控制消息移除临时标识符有关的几个功能的电路和/或指令(例如,存储在存储介质1804上的临时标识符移除指令1836)。
发送电路/模块1828可以包括适于执行与例如向客户端设备发送包括控制消息的服务重新定位消息有关的几个功能的电路和/或指令(例如,存储在存储介质1804上的发送指令1838)。
如上所述,由存储介质1804存储的指令在由处理电路1810执行时使处理电路1810执行本文描述的各种功能和/或处理操作中的一个或多个。例如,存储介质1804可以包括接收指令1830、数据分组转发指令1832、临时标识符移除指令1836和发送指令1838中的一个或多个。
图19是示出根据本公开内容的各个方面的用于在IoT网络架构中进行通信的方法的流程图1900。该方法可以由诸如网络接入节点(例如,图1的网络接入节点104、图14的网络接入节点1404、图15的网络接入节点1504或者图18的装置1800)的装置执行。
网络接入节点可以从客户端设备接收数据分组1902。网络接入节点可以将数据分组转发到在第一网络设备处实现的第一网络功能1904。在一方面,第一网络功能与网络接入节点相关联,并且被配置为当客户端设备处于减少的数据传输模式时处理客户端设备的用户平面业务或控制平面业务中的至少一个。例如,第一网络功能可以是目标IoTF 1406或目标IoTF 1506。
在本公开内容的一方面,与网络接入节点相关联的第一网络功能不同于数据分组中指示的第二网络功能。例如,第二网络功能可以是源IoTF 1408或源IoTF 1508。网络接入节点可以从与网络接入节点相关联的第一网络功能接收控制消息1906。在本公开内容的一方面,控制消息包括与第一网络功能相关联的信息。在本公开内容的一方面,控制消息包括在第一网络功能处生成的客户端设备上下文,其中,客户端设备上下文包括与客户端设备相关联的网络状态信息。网络接入节点可以识别控制消息中的临时标识符,临时标识符与客户端设备相关联1908。网络接入节点可以从控制消息中移除临时标识符1910。网络接入节点可以向客户端设备发送包括控制消息的服务重新定位消息1912。
关于其的第三示例性装置和方法
图20是根据本公开内容的一个或多个方面(例如,与下面描述的图21和22的方法有关的方面)的装置2000的图示。例如,装置2000可以是实现物联网(IoT)功能(例如,目标IoTF 1406、源IoTF 1408、目标IoTF 1506或源IoTF 1508)的网络设备(例如,网络设备105、505)。例如,如前所述,IoT功能可以包括控制平面IoT功能(例如,IoTF-C106、506、706、906)和/或用户平面IoT功能(例如,IoTF-U 108、508、708、806、908)。装置2000包括网络通信接口(例如,至少一个收发机)2002、存储介质2004、用户接口2006、存储器设备2008和处理电路2010。
这些组件能够经由由图20中的连接线总体表示的信令总线或其它适当的组件彼此耦合和/或放置为彼此电通信。信令总线可以包括任何数量的互连总线和桥接器,这取决于处理电路2010的具体应用和总体设计约束。信令总线将各种电路连接在一起,使得网络通信接口2002、存储介质2004、用户接口2006和存储器设备2008中的每一个耦合到处理电路2010和/或与处理电路2010电通信。信令总线还可以连接本领域公知的各种其它电路(未示出),例如定时源、外围设备、稳压器和电源管理电路,因此将不再进行描述。
网络通信接口2002可以适于促进装置2000的通信。例如,网络通信接口2002可以包括电路和/或代码(例如,指令),其适于促进相对于网络中的一个或多个网络实体的双向信息通信。网络通信接口2002能够配置有一个或多个独立的接收机和/或发射机,以及一个或多个收发机。
存储器设备2008可以表示一个或多个存储器设备。如所指示的,存储器设备2008可以保持与网络相关的信息/以及由装置2000使用的其它信息。在一些实施方式中,存储器设备2008和存储介质2004被实现为公共存储器组件。存储设备2008还可以用于存储由处理电路2010或装置2000的一些其它组件操纵的数据。
存储介质2004可以表示用于存储代码的一个或多个计算机可读、机器可读和/或处理器可读设备,代码例如是处理器可执行代码或指令(例如,软件、固件)、电子数据、数据库或其它数字信息。存储介质2004也可以用于存储执行代码时处理电路2010操纵的数据。存储介质2004可以是能够被通用或专用处理器存取的任何可用介质,包括便携式或固定存储设备、光存储设备以及能够存储、包含或携带代码的各种其它介质。
作为示例而非限制,存储介质2004可以包括磁存储设备(例如,硬盘、软盘、磁条)、光盘(例如,压缩光盘(CD)或数字多功能光盘(DVD))、智能卡、闪存设备(例如,卡、棒或键驱动器)、随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、寄存器、可移动磁盘以及用于存储可由计算机存取和读取的代码的任何其它合适的介质。存储介质2004可以体现在制造品(例如,计算机程序产品)中。作为示例,计算机程序产品可以包括封装材料中的计算机可读介质。鉴于以上,在一些实施方式中,存储介质2004可以是非暂时性(例如,实体)存储介质。
存储介质2004可以耦合到处理电路2010,使得处理电路2010能够从存储介质2004读取信息并将信息写入到存储介质2004。即,存储介质2004能够耦合到处理电路2010,使得存储介质2004至少可由处理电路2010存取,包括其中至少一个存储介质整合到处理电路2010的示例和/或其中至少一个存储介质与处理电路2010分离的示例(例如驻留在装置2000内,在设备2000外,跨越多个实体分布等)。
存储介质2004存储的代码和/或指令在由处理电路2010执行时使处理电路2010执行本文描述的各种功能和/或处理操作中的一个或多个。例如,存储介质2004可以包括被配置用于调节处理电路2010的一个或多个硬件块处的操作的操作,以及利用它们各自的通信协议将网络通信接口2002用于无线通信的操作。
处理电路2010通常适于处理,包括执行存储在存储介质2004上的这种代码/指令。如本文所使用的,术语“代码”或“指令”应被广义地解释为包括但不限于编程、指令、指令集、数据、代码、代码段、程序代码、程序、子程序、软件模块、应用程序、软件应用程序、软件包、例程、子例程、对象、可执行程序、执行的线程、过程、功能等等,无论是被称为软件、固件、中间件、微代码、硬件描述语言还是其它术语。
处理电路2010被布置成获得、处理和/或发送数据,控制数据访问和存储,发布命令以及控制其它期望的操作。在至少一个示例中,处理电路2010可以包括被配置为实现由适当的介质提供的期望代码的电路。例如,处理电路2010可以实施为一个或多个处理器、一个或多个控制器和/或被配置为执行可执行代码的其它结构。处理电路2010的示例可以包括通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑组件、分立门或晶体管逻辑、分立硬件组件或设计为执行本文所述功能的其任何组合。通用处理器可以包括微处理器,以及任何常规处理器、控制器、微控制器或状态机。处理电路2010还可以实现为计算组件的组合,诸如DSP和微处理器的组合、多个微处理器、一个或多个微处理器与DSP内核的结合、ASIC和微处理器,或者任何其它数量的不同配置。处理电路2010的这些示例是用于说明的,并且还可以设想在本公开内容的范围内的其它合适的配置。
根据本公开内容的一个或多个方面,处理电路2010可以适于执行用于本文中所描述的装置中的任意一个或全部装置的特征、过程、功能、操作和/或例程中的任意一个或全部。如本文所使用的,关于处理电路2010的术语“适于”可以指处理电路2010是被配置、被采用、被实施和/或被编程为执行根据本文描述的各种特征的特定过程、功能、操作和/或例程中的一个或多个。
根据装置2000的至少一个示例,处理电路2010可以包括接收电路/模块2020、发送电路/模块2022、客户端设备上下文获得电路/模块2024、客户端设备上下文生成电路/模块2026、客户端设备上下文加密电路/模块2028以及解密和验证电路/模块2030中的一个或多个,其适于执行本文描述的特征、过程、功能、操作和/或例程中的任意一个或全部(例如关于图21和22描述的特征、过程、功能、操作和/或例程)。
在本公开内容的一方面,装置2000可以是被配置为服务网络的第一服务区域的第一网络设备。例如,该装置可以是与源IoT功能通信的目标IoT功能。在这样的示例中,接收电路/模块2020可以包括适于执行与例如从自第二服务区域已经进入第一服务区域的客户端设备接收旨在用于被配置为服务第二服务区域的第二网络设备的数据分组以及从第二网络设备接收重新定位响应有关的几个功能的电路和/或指令(例如,存储在存储介质2004上的接收指令2040)。例如,从客户端设备接收的数据分组可以用在客户端设备和第二网络设备之间共享的至少一个密钥来进行加密和完整性保护。例如,可以对服务重新定位消息进行完整性保护。
发送电路/模块2022可以包括适于执行与例如将数据分组和重新定位请求发送到第二网络设备以及发送服务重新定位消息有关的几个功能的电路和/或指令(例如,存储在存储介质2004上的发送指令2042),服务重新定位消息包括与第一网络设备相关联的信息。
客户端设备上下文获得电路/模块2024可以包括适于执行与例如从重新定位响应获得第一客户端设备上下文有关的几个功能的电路和/或指令(例如存储在存储介质2004上的客户端设备上下文获得2044)。
客户端设备上下文生成电路/模块2026可以包括适于执行与例如基于所接收的重新定位响应来生成第二客户端设备上下文有关的几个功能的电路和/或指令(例如,存储在存储介质2004上的客户端设备上下文生成2046),其中,与第一网络设备相关联的信息包括第二客户端设备上下文。在本公开内容的一方面,生成第二客户端设备上下文包括生成全局唯一临时标识符(GUTI)并且生成至少包括加密密钥、完整性密钥或者算法的安全上下文。在本公开内容的一方面,基于第一客户端设备上下文来生成第二客户端设备上下文。例如,与第一网络设备相关联的信息可以包括GUTI。
客户端设备上下文加密电路/模块2028可以包括适于执行与例如基于第一网络设备之外的网络实体未知的秘密密钥对第二客户端设备上下文进行加密有关的几个功能的电路和/或指令(例如存储在存储介质2004上的客户端设备上下文加密2048)。
在本公开内容的一方面,装置2000可以是被配置为服务网络的第一服务区域的第一网络设备。例如,该装置可以是与目标IoT功能通信的源IoT功能。在这样的示例中,接收电路/模块2020可以包括适于执行与例如从被配置为服务第二服务区域的第二网络设备接收数据分组有关的几个功能的电路和/或指令(例如,存储在存储介质2004上的接收指令2040),其中,数据分组由从第一服务区域已经进入第二服务区域的客户端设备生成,以及从第二网络设备接收重新定位请求。
发送电路/模块2022可以包括适于执行与例如将数据分组发送到网络实体(例如,P-GW)以及将重新定位响应消息发送到第二网络设备有关的几个功能的电路和/或指令(例如,存储在存储介质2004上的发送指令2042),重新定位响应消息包括客户端设备上下文,其中,客户端设备上下文包括与所述客户端设备相关联的网络状态信息。
解密和验证电路/模块2030可以包括适于执行与例如解密和验证数据分组有关的几个功能的电路和/或指令(例如,存储在存储介质2004上的发送指令2050)。
如上所述,由存储介质2004存储的指令在由处理电路2010执行时使处理电路2010执行本文描述的各种功能和/或处理操作中的一个或多个。例如,存储介质2004可以包括接收指令2040、发送指令2042、客户端设备上下文获得指令2044、客户端设备上下文生成指令2046、客户端设备上下文加密指令2048以及解密和验证指令2050中的一个或多个。
图21是示出根据本公开内容的各个方面的用于在IoT网络架构中进行通信的方法的流程图2100。该方法可以由诸如实现目标IoT功能的第一网络设备的装置来执行。
装置可以从自第二服务区域已经进入第一服务区域的客户端设备接收旨在用于被配置为服务第二服务区域的第二网络设备的数据分组2102。例如,第二网络设备可以实现源IoT功能。
在本公开内容的一方面,从客户端设备接收的数据分组用在客户端设备和第二网络设备之间共享的至少一个密钥来进行加密和完整性保护。该装置可以将数据分组和重新定位请求发送到第二网络设备2104。
该装置可以从第二网络设备接收重定位响应2106。在本公开内容的一方面,对服务重新定位消息进行完整性保护。该装置从重新定位响应获得第一客户端设备上下文2108。
该装置可以基于接收到的重新定位响应来生成第二客户端设备上下文,其中,与第一网络设备相关联的信息包括第二客户端设备上下文2110。在本公开内容的一方面,基于第一客户端设备上下文生成第二客户端设备上下文。在本公开内容的一方面,为了生成第二客户端设备上下文,该装置可以生成全局唯一临时标识符(GUTI)。该装置还可以生成至少包括加密密钥、完整性密钥或算法的安全上下文。在本公开内容的一方面,与第一网络设备相关联的信息包括GUTI。
该装置可以基于仅为第一网络设备所知的秘密密钥来加密第二客户端设备上下文2112。即,秘密密钥对于第一网络设备之外的网络实体可以是未知的。该装置可以向客户端设备发送服务重新定位消息,该服务重新定位消息包括与第一网络设备相关联的信息2114。
图22是示出根据本公开内容的各个方面的用于在IoT网络架构中进行通信的方法的流程图2200。该方法可以由诸如第一网络设备的装置来执行。例如,第一网络设备可以是源IoT功能。
该装置可以从被配置为服务第二服务区域的第二网络设备接收数据分组,其中,该数据分组由已经从第一服务区域进入第二服务区域的客户端设备生成2202。例如,第二网络设备可以是目标IoT功能。该装置可以从第二网络设备接收重新定位请求2204。
装置可以对数据分组进行解密和验证(例如,基于完整性密钥来验证数据分组的完整性)2206。该装置可以将数据分组发送到网络实体(例如,第三网络设备)2208。例如,网络实体可以是网络节点(例如,P-GW)。该装置可以向第二网络设备发送重新定位响应消息,重新定位响应消息包括客户端设备上下文,其中,客户端设备上下文包括与客户端设备相关联的网络状态信息2210。
附图中所示的组件、步骤、特征和/或功能中的一个或多个可以重新排列和/或组合成单个组件、步骤、特征或功能或者以多个组件、步骤或功能来体现。在不脱离本文公开的新颖特征的情况下,还可以添加附加元件、组件、步骤和/或功能。附图中所示的装置、设备和/或组件可以被配置为执行本文中描述的方法、特征或步骤中的一个或多个。本文描述的新颖算法也可以用软件来有效地实现和/或嵌入硬件。
应当理解,所公开的方法中的步骤的具体顺序或层次是示例性过程的说明。基于设计偏好,可以理解的是,可以重新排列方法中的步骤的具体顺序或层次。所附方法权利要求以示例性顺序呈现了各个步骤的元素,并且不意味着限于所呈现的具体顺序或层次,除非本文特别加以指出。也可以在不脱离本公开内容的情况下添加或不利用另外的元件、组件、步骤和/或功能。
虽然已经相对于某些实施方式和附图讨论了本公开内容的特征,但是本公开内容的所有实施方式能够包括本文讨论的有利特征中的一个或多个。换言之,尽管可能已经将一个或多个实施方式讨论为具有某些有利特征,但是根据本文讨论的各种实施方式中的任意一个也可以使用这样的特征中的一个或多个。以类似的方式,虽然在本文中可能已经将示例性实施方式讨论为设备、系统或方法实施方式,但是应当理解,可以在各种设备、系统和方法中实施这样的示例性实施方式。
另外,应注意的是,将至少一些实施方式描述为被描绘为流程图、程序框图、结构图或方块图的过程。尽管流程图可以将操作描述为顺序过程,但是能够并行或同时执行许多操作。另外,操作的顺序可以重新排列。操作完成后,过程终止。在一些方面,过程可以对应于方法、功能、过程、子历程、子程序等。当过程对应于功能时,其终止对应于将功能返回到调用功能或主功能。本文描述的各种方法中的一个或多个可以通过可以存储在机器可读、计算机可读和/或处理器可读存储介质中的并且由一个或多个处理器、机器和/或设备执行的编程(例如,指令和/或数据)来部分地或完全地实现。
本领域的技术人员将进一步认识到,结合本文公开的实施方式描述的各种说明性的逻辑块、模块、电路和算法步骤可以实现为硬件、软件、固件、中间件、微代码或它们的任何组合。为了清楚地说明这种可互换性,上面已经根据其功能一般地描述了各种说明性的组件、块、模块、电路和步骤。这样的功能是以硬件还是软件来实现取决于施加在整个系统上的特定应用和设计约束。
在本公开内容中,使用词语“示例性”来表示“用作示例、实例或说明”。本文描述为“示例性”的任何实施方式或方面不一定被解释为优选的或优于本公开内容的其它方面。同样,术语“方面”不要求本公开内容的所有方面都包括所讨论的特征、优点或操作模式。术语“耦合”在本文中用于指代两个对象之间的直接或间接耦合。例如,如果对象A物理接触对象B,并且对象B接触对象C,则对象A和C仍然可以被视为彼此耦合-即使它们彼此不直接物理接触。例如,即使第一管芯从未直接物理上与第二管芯接触,第一管芯也可以在封装中耦合到第二管芯。术语“电路”和“电子电路”被广泛地使用,并且旨在包括电气设备和导体的硬件实施方式,所述硬件实施方式在连接和配置时能够执行本公开内容中描述的功能,而没有关于电子电路类型的限制,以及信息和指令的软件实施方式,所述信息和指令的软件实施方式在由处理器执行时能够执行本公开内容中描述的功能。
如本文所使用的,术语“确定”包含各种各样的操作。例如,“确定”可以包括计算、运算、处理、导出、调查、查找(例如在表、数据库或其它数据结构中查找)、查明等。此外,“确定”可以包括接收(例如,接收信息)、访问(例如,访问存储器中的数据)等。此外,“确定”可以包括求解、选择、选取、建立等。如本文所使用的,术语“获得”可以包括一个或多个操作,包括但不限于接收、生成、确定或其任何组合。
提供前述描述以使本领域任何技术人员能够实践本文所述的各个方面。对于这些方面的各种修改对于本领域技术人员将是显而易见的,并且本文定义的一般原理可以应用于其它方面。因此,权利要求不旨在限于本文所示的方面,而是被赋予与文字权利要求一致的全部范围,其中对单数形式的要素的引用并不意味着“一个且仅有一个”,除非具体如此表述,而是“一个或多个”。除非另有特别说明,术语“一些”是指一个或多个。提及项目列表中的“至少一个”的短语是指这些项目的任何组合,包括单个成员。示例性地,“a、b或c中的至少一个”旨在覆盖:a;b;c;a和b;a和c;b和c;及a、b和c。本领域普通技术人员已知或以后获知的本公开内容全文中所述的各个方面的要素的所有结构和功能等同物通过引用明确地并入本文,并且旨在被权利要求所涵盖。此外,无论这些公开内容是否在权利要求中被明确地表述,本文中公开的任何内容都不旨在贡献给公众。没有任何权利要求要素应根据35U.S.C.§112第六段的规定来解释,除非使用短语“用于…的单元”明确地记载该要素,或者在方法权利要求的情况下,使用短语“用于…的步骤”来记载该要素。
因此,在不脱离本公开内容的范围的情况下,可以以不同的示例和实施方式来实现与本文所描述的以及附图中所示出的示例相关联的各种特征。因此,尽管已经在附图中描述和示出了某些特定的构造和布置,但是这样的实施方式仅仅是说明性的而不是限制本公开内容的范围,因为对所描述的实施方式的各种其它添加和修改以及删除对于本领域的普通技术人员都是显而易见的。因此,本公开内容的范围仅由随后的权利要求的字面语言和法律等同变换来确定。
Claims (20)
1.一种用于网络接入节点的方法,包括:
从客户端设备接收数据分组;
将所述数据分组转发到在第一网络设备处实现的第一网络功能,其中,所述第一网络功能与所述网络接入节点相关联,并且被配置为当所述客户端设备处于减少的数据传输模式时,处理针对所述客户端设备的用户平面业务或控制平面业务中的至少一者;
从与所述网络接入节点相关联的所述第一网络功能接收控制消息;
识别所述控制消息中的临时标识符,所述临时标识符与所述客户端设备相关联;
从所述控制消息中移除所述临时标识符;以及
向所述客户端设备发送包括所述控制消息的服务重新定位消息。
2.根据权利要求1所述的方法,其中,与所述网络接入节点相关联的所述第一网络功能不同于所述数据分组中指示的第二网络功能,所述第二网络功能在第二网络设备处实现。
3.根据权利要求1所述的方法,其中,所述控制消息包括与在所述第一网络设备处实现的所述第一网络功能相关联的信息。
4.根据权利要求1所述的方法,其中,所述控制消息包括在所述第一网络设备处实现的所述第一网络功能处生成的客户端设备上下文,并且其中,所述客户端设备上下文包括与所述客户端设备相关联的网络状态信息。
5.根据权利要求4所述的方法,其中,所述客户端设备上下文由在所述第一网络设备处实现的所述第一网络功能来加密。
6.一种网络接入节点,包括:
无线通信电路,其被配置为与客户端设备进行通信;以及
处理电路,其耦合到所述无线通信电路,所述处理电路被配置为:
从客户端设备接收数据分组;
将所述数据分组转发到在第一网络设备处实现的第一网络功能,其中,所述第一网络功能与所述网络接入节点相关联,并且被配置为当所述客户端设备处于减少的数据传输模式时,处理针对所述客户端设备的用户平面业务或控制平面业务中的至少一者;
从与所述网络接入节点相关联的所述第一网络功能接收控制消息;
识别所述控制消息中的临时标识符,所述临时标识符与所述客户端设备相关联;
从所述控制消息中移除所述临时标识符;以及
向所述客户端设备发送包括所述控制消息的服务重新定位消息。
7.根据权利要求6所述的网络接入节点,其中,与所述网络接入节点相关联的所述第一网络功能不同于所述数据分组中指示的第二网络功能,所述第二网络功能在第二网络设备处实现。
8.根据权利要求6所述的网络接入节点,其中,所述控制消息包括与在所述第一网络设备处实现的所述第一网络功能相关联的信息。
9.根据权利要求6所述的网络接入节点,其中,所述控制消息包括在所述第一网络设备处实现的所述第一网络功能处生成的客户端设备上下文,并且其中,所述客户端设备上下文包括与所述客户端设备相关联的网络状态信息。
10.根据权利要求9所述的网络接入节点,其中,所述客户端设备上下文由在所述第一网络设备处实现的所述第一网络功能来加密。
11.一种其上存储有指令的非暂时性处理器可读存储介质,所述指令在由至少一个处理电路执行时使得所述至少一个处理电路:
从客户端设备接收数据分组;
将所述数据分组转发到在第一网络设备处实现的第一网络功能,其中,所述第一网络功能与网络接入节点相关联,并且被配置为当所述客户端设备处于减少的数据传输模式时,处理针对所述客户端设备的用户平面业务或控制平面业务中的至少一者;
从与所述网络接入节点相关联的所述第一网络功能接收控制消息;
识别所述控制消息中的临时标识符,所述临时标识符与所述客户端设备相关联;
从所述控制消息中移除所述临时标识符;以及
向所述客户端设备发送包括所述控制消息的服务重新定位消息。
12.根据权利要求11所述的非暂时性处理器可读存储介质,其中,与所述网络接入节点相关联的所述第一网络功能不同于所述数据分组中指示的第二网络功能,所述第二网络功能在第二网络设备处实现。
13.根据权利要求11所述的非暂时性处理器可读存储介质,其中,所述控制消息包括与在所述第一网络设备处实现的所述第一网络功能相关联的信息。
14.根据权利要求11所述的非暂时性处理器可读存储介质,其中,所述控制消息包括在所述第一网络设备处实现的所述第一网络功能处生成的客户端设备上下文,并且其中,所述客户端设备上下文包括与所述客户端设备相关联的网络状态信息。
15.根据权利要求14所述的非暂时性处理器可读存储介质,其中,所述客户端设备上下文由在所述第一网络设备处实现的所述第一网络功能来加密。
16.一种装置,包括:
用于从客户端设备接收数据分组的单元;
用于将所述数据分组转发到在第一网络设备处实现的第一网络功能的单元,其中,所述第一网络功能与网络接入节点相关联,并且被配置为当所述客户端设备处于减少的数据传输模式时,处理针对所述客户端设备的用户平面业务或控制平面业务中的至少一者;
用于从与所述网络接入节点相关联的所述第一网络功能接收控制消息的单元;
用于识别所述控制消息中的临时标识符的单元,所述临时标识符与所述客户端设备相关联;
用于从所述控制消息中移除所述临时标识符的单元;以及
用于向所述客户端设备发送包括所述控制消息的服务重新定位消息的单元。
17.根据权利要求16所述的装置,其中,与所述网络接入节点相关联的所述第一网络功能不同于所述数据分组中指示的第二网络功能,所述第二网络功能在第二网络设备处实现。
18.根据权利要求16所述的装置,其中,所述控制消息包括与在所述第一网络设备处实现的所述第一网络功能相关联的信息。
19.根据权利要求16所述的装置,其中,所述控制消息包括在所述第一网络设备处实现的所述第一网络功能处生成的客户端设备上下文,并且其中,所述客户端设备上下文包括与所述客户端设备相关联的网络状态信息。
20.根据权利要求19所述的装置,其中,所述客户端设备上下文由在所述第一网络设备处实现的所述第一网络功能来加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110652840.6A CN113490205B (zh) | 2015-07-12 | 2016-06-10 | 针对具有简化移动性过程的网络架构和安全的方法和装置 |
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562191460P | 2015-07-12 | 2015-07-12 | |
| US62/191,460 | 2015-07-12 | ||
| US15/160,282 US10637834B2 (en) | 2015-07-12 | 2016-05-20 | Network architecture and security with simplified mobility procedure |
| US15/160,282 | 2016-05-20 | ||
| CN202110652840.6A CN113490205B (zh) | 2015-07-12 | 2016-06-10 | 针对具有简化移动性过程的网络架构和安全的方法和装置 |
| CN201680040727.XA CN107852600B (zh) | 2015-07-12 | 2016-06-10 | 针对具有简化移动性过程的网络架构和安全的方法和装置 |
| PCT/US2016/037066 WO2017011113A1 (en) | 2015-07-12 | 2016-06-10 | Network architecture and security with simplified mobility procedure |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680040727.XA Division CN107852600B (zh) | 2015-07-12 | 2016-06-10 | 针对具有简化移动性过程的网络架构和安全的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113490205A CN113490205A (zh) | 2021-10-08 |
| CN113490205B true CN113490205B (zh) | 2024-05-14 |
Family
ID=57731498
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110652840.6A Active CN113490205B (zh) | 2015-07-12 | 2016-06-10 | 针对具有简化移动性过程的网络架构和安全的方法和装置 |
| CN201680040727.XA Active CN107852600B (zh) | 2015-07-12 | 2016-06-10 | 针对具有简化移动性过程的网络架构和安全的方法和装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680040727.XA Active CN107852600B (zh) | 2015-07-12 | 2016-06-10 | 针对具有简化移动性过程的网络架构和安全的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10637834B2 (zh) |
| EP (2) | EP3320709B1 (zh) |
| CN (2) | CN113490205B (zh) |
| WO (1) | WO2017011113A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10637834B2 (en) | 2015-07-12 | 2020-04-28 | Qualcomm Incorporated | Network architecture and security with simplified mobility procedure |
| WO2018182759A1 (en) * | 2017-03-30 | 2018-10-04 | Intel IP Corporation | Security for paging messages |
| WO2018176425A1 (zh) | 2017-03-31 | 2018-10-04 | 华为技术有限公司 | 一种通信方法及设备 |
| US10893568B2 (en) | 2017-08-18 | 2021-01-12 | Huawei Technologies Co., Ltd. | Location and context management in a RAN INACTIVE mode |
| US10512005B2 (en) * | 2017-09-29 | 2019-12-17 | Nokia Technologies Oy | Security in intersystem mobility |
| WO2019071582A1 (en) * | 2017-10-13 | 2019-04-18 | Telefonaktiebolaget Lm Ericsson (Publ) | TRANSFERRING MULTIPLE RESOURCES BETWEEN NETWORK FUNCTIONS |
| JP6822377B2 (ja) * | 2017-10-26 | 2021-01-27 | オムロン株式会社 | 管制方法、管制装置及び管制プログラム |
| US10771450B2 (en) * | 2018-01-12 | 2020-09-08 | Blackberry Limited | Method and system for securely provisioning a remote device |
| KR20200113227A (ko) * | 2018-01-30 | 2020-10-06 | 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 | Ue 식별자를 할당하는 방법, 네트워크 기기, ue 및 컴퓨터 저장 매체 |
| CN110366268A (zh) * | 2018-04-08 | 2019-10-22 | 慧与发展有限责任合伙企业 | 创建备用无线服务 |
| CN110971532B (zh) * | 2018-09-30 | 2023-07-21 | 阿里巴巴集团控股有限公司 | 一种网络资源管理方法、装置及设备 |
| WO2020104448A1 (en) * | 2018-11-19 | 2020-05-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods providing network service restoration context and related service instance sets and storage resource nodes |
| WO2020193445A1 (en) * | 2019-03-28 | 2020-10-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Transferring monitoring event information during a mobility procedure |
| CN112118606B (zh) * | 2019-06-21 | 2022-04-29 | 华为技术有限公司 | 实现业务连续的方法、相关装置及系统 |
| US11190594B2 (en) * | 2020-03-24 | 2021-11-30 | Kiomars Anvari | Frame structure used by an IoT device of an object navigation and protection system (NPS) |
| US11470071B2 (en) * | 2020-04-20 | 2022-10-11 | Vmware, Inc. | Authentication for logical overlay network traffic |
| CN112218249B (zh) * | 2020-11-17 | 2022-06-24 | 深圳开立生物医疗科技股份有限公司 | 数据传输方法、数据传输装置、数据下载方法及相关设备 |
| US11391599B1 (en) * | 2021-05-02 | 2022-07-19 | Kiomars Anvari | Simple time of day acquisition technique for a navigation and protection system used by an object |
| US11386775B1 (en) * | 2021-07-04 | 2022-07-12 | Kiomars Anvari | Structure of an object control system (OCS) for navigation of moving objects |
| US20230036680A1 (en) * | 2021-08-02 | 2023-02-02 | Zeronorth, Inc. | Application security posture identifier |
| US11538336B1 (en) * | 2021-11-02 | 2022-12-27 | Kiomars Anvari | Object control system to control navigation of a moving vehicle when exiting a road or a freeway |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104081841A (zh) * | 2011-10-04 | 2014-10-01 | 诺基亚通信公司 | 用于单无线电语音呼叫连续性切换的最小接入转移控制功能需求 |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2006309464B2 (en) * | 2005-10-31 | 2009-10-29 | Lg Electronics Inc. | Method for processing control information in a wireless mobile communication system |
| KR100785785B1 (ko) * | 2005-12-08 | 2007-12-13 | 한국전자통신연구원 | 고속 단말 이동성을 지원하는 이동단말의 이더넷 데이터송수신 방법 및 시스템 |
| US7864731B2 (en) * | 2006-01-04 | 2011-01-04 | Nokia Corporation | Secure distributed handover signaling |
| JP4869870B2 (ja) * | 2006-10-31 | 2012-02-08 | 株式会社エヌ・ティ・ティ・ドコモ | アクセスゲートウェイ装置及びトラッキング・エリア識別子通知方法 |
| WO2008082193A1 (en) * | 2007-01-04 | 2008-07-10 | Lg Electronics Inc. | Tracking area choice |
| KR100901988B1 (ko) * | 2007-07-03 | 2009-06-08 | 한국전자통신연구원 | 핸드오버 수행 방법 및 이를 이용한 네트워크 시스템 |
| DK2255560T3 (en) * | 2008-03-28 | 2016-06-06 | ERICSSON TELEFON AB L M (publ) | Identification of a manipulated or defect base station during a handover |
| US8145195B2 (en) * | 2008-04-14 | 2012-03-27 | Nokia Corporation | Mobility related control signalling authentication in mobile communications system |
| US9706395B2 (en) * | 2008-04-28 | 2017-07-11 | Nokia Technologies Oy | Intersystem mobility security context handling between different radio access networks |
| JPWO2010052918A1 (ja) * | 2008-11-07 | 2012-04-05 | パナソニック株式会社 | ハンドオーバ制御システム、ユーザ端末、シグナリング中継装置並びにセッション制御装置 |
| KR101761419B1 (ko) * | 2010-01-13 | 2017-07-26 | 엘지전자 주식회사 | 단말의 위치 정보 갱신 방법 및 장치 |
| EP2553977B1 (en) * | 2010-04-01 | 2017-03-08 | Telefonaktiebolaget LM Ericsson (publ) | User equipment, radio base station and methods therein for determining mobility trigger |
| US8615241B2 (en) * | 2010-04-09 | 2013-12-24 | Qualcomm Incorporated | Methods and apparatus for facilitating robust forward handover in long term evolution (LTE) communication systems |
| US9264954B2 (en) * | 2010-04-28 | 2016-02-16 | Qualcomm Incorporated | Neighbor relation information management |
| WO2011142624A2 (en) | 2010-05-14 | 2011-11-17 | Lg Electronics Inc. | The method and apparatus for performing handover procedure in wireless communication system |
| CN102510569A (zh) | 2010-12-14 | 2012-06-20 | 美商威睿电通公司 | 通信方法及其通信装置 |
| US8537751B2 (en) * | 2011-02-01 | 2013-09-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Minimizing tracking area updates in heterogeneous radio access network |
| US8489093B2 (en) * | 2011-04-07 | 2013-07-16 | Novatel Wireless, Inc. | Systems and methods for facilitating efficient vertical handoffs in a wireless communication system |
| CN103703823B (zh) * | 2011-04-29 | 2017-09-08 | 瑞典爱立信有限公司 | 移动终止呼叫改进 |
| CN102918918A (zh) * | 2011-06-03 | 2013-02-06 | 华为技术有限公司 | 业务恢复的处理方法及移动管理网元 |
| WO2012175664A2 (en) | 2011-06-22 | 2012-12-27 | Nec Europe Ltd. | Energy awareness in mobile communication user equipment and networks, including optimizations based on state compression |
| CN102904971B (zh) | 2011-07-26 | 2015-11-25 | 华为终端有限公司 | 获取目的ip地址的方法及装置 |
| US8892109B2 (en) * | 2012-05-02 | 2014-11-18 | Alcatel Lucent | Method and apparatus of dynamic spectrum sharing in cellular networks |
| US8687556B2 (en) * | 2011-11-18 | 2014-04-01 | Cisco Technology, Inc. | Method for correlating connection information with mobile device identity |
| WO2013116980A1 (en) * | 2012-02-06 | 2013-08-15 | Alcatel-Lucent Shanghai Bell Co., Ltd. | An apparatus and a method for a mobile relay station transceiver and a base station for a mobile communication system |
| CN103298023A (zh) * | 2012-02-23 | 2013-09-11 | 普天信息技术研究院有限公司 | 一种检测终端心跳的方法和装置 |
| KR101428854B1 (ko) * | 2012-09-05 | 2014-08-14 | 주식회사 팬택 | 통신망 천이 방지 장치 및 방법 |
| WO2014109797A1 (en) * | 2013-01-14 | 2014-07-17 | Intel IP Corporation | Energy-harvesting devices in wireless networks |
| US9055399B1 (en) * | 2013-02-06 | 2015-06-09 | Sprint Spectrum L.P. | Systems and methods of tracking area adjustment |
| US10015293B2 (en) | 2013-02-08 | 2018-07-03 | Iot Holdings, Inc. | Method and apparatus for incorporating an internet of things (IoT) service interface protocol layer in a node |
| CN104105219B (zh) * | 2013-04-01 | 2017-09-01 | 电信科学技术研究院 | 一种数据传输方法及装置 |
| WO2015018074A1 (en) | 2013-08-09 | 2015-02-12 | Nokia Solutions And Networks Oy | Methods and apparatus |
| US20150146519A1 (en) * | 2013-11-22 | 2015-05-28 | General Dynamics Broadband Inc. | Apparatus and Methods for Supporting Control Plane Data |
| GB201400302D0 (en) * | 2014-01-08 | 2014-02-26 | Vodafone Ip Licensing Ltd | Telecommunications network |
| US20170041841A1 (en) | 2014-02-28 | 2017-02-09 | Nokia Solutions And Networks Oy | Techniques for rach (random access channel)-less synchronized handover for wireless networks |
| US9961130B2 (en) * | 2014-04-24 | 2018-05-01 | A10 Networks, Inc. | Distributed high availability processing methods for service sessions |
| US9590962B2 (en) * | 2014-07-07 | 2017-03-07 | Alcatel-Lucent Usa Inc. | Using cookies to identify security contexts for connectionless service |
| JP6393398B2 (ja) * | 2014-07-07 | 2018-09-19 | コンヴィーダ ワイヤレス, エルエルシー | マシンタイプ通信グループベースサービスのための調整されたグループ化 |
| WO2016073384A1 (en) * | 2014-11-03 | 2016-05-12 | Parallel Wireless, Inc. | Improved tracking area planning |
| US9832797B2 (en) * | 2015-06-29 | 2017-11-28 | At&T Intellectual Property I, L.P. | Mobility network function consolidation |
| US10637834B2 (en) | 2015-07-12 | 2020-04-28 | Qualcomm Incorporated | Network architecture and security with simplified mobility procedure |
| KR102452940B1 (ko) * | 2015-09-24 | 2022-10-11 | 삼성전자 주식회사 | 무선 통신 시스템에서 이동성 향상을 위한 방법 및 장치 |
-
2016
- 2016-05-20 US US15/160,282 patent/US10637834B2/en active Active
- 2016-06-10 EP EP16730994.7A patent/EP3320709B1/en active Active
- 2016-06-10 CN CN202110652840.6A patent/CN113490205B/zh active Active
- 2016-06-10 EP EP22196378.8A patent/EP4124086A1/en active Pending
- 2016-06-10 WO PCT/US2016/037066 patent/WO2017011113A1/en active Application Filing
- 2016-06-10 CN CN201680040727.XA patent/CN107852600B/zh active Active
-
2020
- 2020-03-20 US US16/825,963 patent/US11716615B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104081841A (zh) * | 2011-10-04 | 2014-10-01 | 诺基亚通信公司 | 用于单无线电语音呼叫连续性切换的最小接入转移控制功能需求 |
Non-Patent Citations (4)
| Title |
|---|
| (Release 12).《3GPP TR 33.868 V1.0.0》.2014,第14、76、84-85页. * |
| 3GPP.3rd Generation Partnership Project * |
| Security aspects of Machine-Type and other mobile data applications Communications enhancements * |
| Technical Specification Group Services and System Aspects * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200220850A1 (en) | 2020-07-09 |
| US11716615B2 (en) | 2023-08-01 |
| US20170012947A1 (en) | 2017-01-12 |
| EP4124086A1 (en) | 2023-01-25 |
| EP3320709B1 (en) | 2023-03-01 |
| CN107852600B (zh) | 2021-09-14 |
| WO2017011113A1 (en) | 2017-01-19 |
| US10637834B2 (en) | 2020-04-28 |
| CN107852600A (zh) | 2018-03-27 |
| EP3320709A1 (en) | 2018-05-16 |
| CN113490205A (zh) | 2021-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11716615B2 (en) | Network architecture and security with simplified mobility procedure | |
| US11329969B2 (en) | Network security architecture | |
| US11172357B2 (en) | Network architecture and security with encrypted client device contexts | |
| US10097995B2 (en) | Network architecture and security with encrypted network reachability contexts | |
| US12010107B2 (en) | Network security architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |