CN116803052A - 用于akma的路由指示符检索 - Google Patents
用于akma的路由指示符检索 Download PDFInfo
- Publication number
- CN116803052A CN116803052A CN202180091607.3A CN202180091607A CN116803052A CN 116803052 A CN116803052 A CN 116803052A CN 202180091607 A CN202180091607 A CN 202180091607A CN 116803052 A CN116803052 A CN 116803052A
- Authority
- CN
- China
- Prior art keywords
- identifier
- authentication
- network
- ausf
- communication network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 230
- 238000004891 communication Methods 0.000 claims abstract description 179
- 230000004044 response Effects 0.000 claims abstract description 61
- 238000012545 processing Methods 0.000 claims description 146
- 238000007726 management method Methods 0.000 claims description 64
- 238000004590 computer program Methods 0.000 claims description 27
- 238000013523 data management Methods 0.000 claims description 27
- 230000006870 function Effects 0.000 description 154
- 230000008569 process Effects 0.000 description 34
- 230000015654 memory Effects 0.000 description 27
- 230000008901 benefit Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 12
- 239000000463 material Substances 0.000 description 12
- 238000005259 measurement Methods 0.000 description 12
- 230000011664 signaling Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 230000003993 interaction Effects 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 8
- 230000010267 cellular communication Effects 0.000 description 7
- 210000004027 cell Anatomy 0.000 description 6
- 230000001413 cellular effect Effects 0.000 description 6
- 238000003491 array Methods 0.000 description 5
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 5
- 238000010295 mobile communication Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000002123 temporal effect Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 210000001956 EPC Anatomy 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 238000000638 solvent extraction Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 101150119040 Nsmf gene Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004873 anchoring Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 210000004271 bone marrow stromal cell Anatomy 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000779 smoke Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
提供了一种用于通信网络的认证服务器功能AUSF的方法。该方法包括发送第二认证请求,该第二认证请求包含与用户设备UE相关联的第一标识符或与该UE相关联的第二标识符,接收对该第二认证请求的响应,以及当该响应包含用于应用的认证和密钥管理AKMA指示符时:基于该响应中包含的第一字段来确定第一安全性密钥标识符。
Description
技术领域
本申请大体上涉及无线通信网络领域,并且更具体地涉及用于在通信网络中的用户设备(UE)和应用功能(AF)之间的安全通信的改进技术。
背景技术
目前,第五代(“5G”)蜂窝系统,也称为新无线电(NR),正在第三代合作伙伴计划(3GPP)中进行标准化。NR被开发用于最大的灵活性,以支持多种实质上不同的用例。除了典型的移动宽带使用用例以外,还有机器类型通信(MTC)、超低延迟关键通信(URLCC)、侧链路设备到设备(D2D)和其他几种使用用例。
3GPP安全工作组SA3在3GPP TS 33.501(v15.11.0)中指定了5G系统(5GS)的版本15(Rel-15)的安全性相关特征。特别地,5GS包括许多需要引入新的安全性机制的新特征(例如,与早期的4G/LTE系统相比)。例如,5GS将非3GPP接入(例如,经由无线LAN)与3GPP接入(例如,NR和/或LTE)无缝集成在一起。因此,在5GS中,用户设备(UE,例如,无线设备)可以独立于底层无线电接入技术(RAT)来访问服务。
3GPP Rel-16引入了一种名为用于应用的认证和密钥管理(AKMA)的新特征,该特征基于5G中的3GPP用户凭证,包括物联网(IoT)用例。更具体地,AKMA利用用户的认证和密钥协议(AKA)凭证来自举在UE和应用功能(AF)之间的安全性,这允许UE与应用服务器安全地交换数据。AKMA架构可以被认为是Rel-15中为5GC指定的通用自举架构(GBA)的演进,并且在3GPP TS 33.535(v.16.2.0)中被进一步规定。
如在3GPP TS 33.535(v.16.2.0)中进一步定义的,网络和UE导出KAKMA密钥和相关联的A-KID,以及KAF密钥。KAF用于支持在UE和应用功能(AF)之间通信的安全性,A-KID是用于导出KAF的根密钥(即,KAKMA)的AKMA密钥标识符。更具体地,A-KID包括AKMA临时UE标识符(A-TID)和与UE的归属网络(HPLMN)相关的路由信息。
订阅隐藏标识符(SUCI)在5G网络中用于隐藏和/或维护用户的订阅永久标识符(SUPI)的隐私。SUCI由各种字段组成,包括由用户的归属网络运营商分配并在UE中的USIM中提供的路由指示符。当与包含在SUCI中的归属网络标识符耦合时,路由指示符促进将信令路由到归属网络中可以为用户/订户服务的网络功能(NF)。
路由指示符对于生成A-KID也是必要的。然而,可能存在各种场景,其中需要在UE认证期间生成A-KID的NF不具有UE的路由指示符,从而导致不期望的AKMA过程的失败。
发明内容
因此,本公开的示例性实施例解决了与在5G(或更一般地,通信)网络中为UE生成安全性密钥相关联的这些和其他难题、问题和/或困难,从而促进了诸如AKMA之类的安全性特征的有利部署。
根据第一方面,提供了一种由通信网络的认证服务器功能AUSF执行的方法。该方法可以包括发送第二认证请求,该第二认证请求包含与用户设备UE相关联的第一标识符或与该UE相关联的第二标识符,接收对该第二认证请求的响应,以及当该响应包含用于应用的认证和密钥管理AKMA指示符时:基于该响应中包括的第一字段(RID)来确定第一安全性密钥标识符。
根据一些实施例,该方法进一步包括导出用于所述UE的锚定密钥,并且向用于应用的认证和密钥管理的锚定功能AAnF发送包括所述锚定密钥和所述第一安全性密钥标识符的消息。在一些实施例中,该消息可以进一步包括所述第二标识符。
在一些实施例中,所述第二认证请求被发送到通信网络的统一数据管理功能UDM,并且从该UDM接收对所述第二认证请求的所述响应。
在一些实施例中,所述第一字段对应于所述第一标识符的字段。
在一些实施例中,该方法进一步包括向所述UDM发送包含所述第一标识符或所述第二标识符的所述第二认证请求,并且响应于所述第二认证请求从所述UDM接收包含所述第一字段的响应,其中,所述响应包含所述AKMA指示符和所述第一字段。
在一些实施例中,所述第一标识符是订阅隐藏标识符SUCI。
在一些实施例中,所述第二标识符是订阅永久标识符SUPI。
在一些实施例中,所述第一字段是与所述UE的归属网络相关联的路由指示符RID。
在一些实施例中,所述第一安全性密钥标识符是用于应用的认证和密钥管理AKMA密钥标识符A-KID。
根据第二方面,提供了一种由通信网络的统一数据管理功能UDM执行的方法。该方法可以包括从通信网络的认证服务器功能AUSF接收针对用户设备UE的认证请求,该认证请求包含与所述UE相关联的第一标识符或与该UE相关联的第二标识符,获取第一字段,以及响应于该认证请求,向AUSF发送用于应用的认证和密钥管理AKMA指示符和所述第一字段。
在一些实施例中,该方法进一步包括确定AKMA指示符是否应被包含在对所述认证请求的所述响应中,并且响应于所述AKMA指示符应被包括的确定,响应于该认证请求向所述AUSF发送AKMA指示符和所述第一字段。
在一些实施例中,该方法进一步包括,当所述认证请求包含所述第一标识符时,存储包含在所述第一标识符中的所述第一字段。
在一些实施例中,获取所述第一字段包括以下方式中的一种:从UE订阅数据或从所述UE先前的成功认证中检索所述第一字段的存储版本,或者对所述第二标识符执行去隐藏操作以生成包括所述第一字段的所述第一标识符。
在一些实施例中,所述第二标识符是订阅永久标识符SUPI。
在一些实施例中,所述第一标识符是订阅隐藏标识符SUCI。
在一些实施例中,所述第一字段是与所述UE的归属网络相关联的路由指示符RID。
根据第三方面,提供了一种由通信网络的用于应用的认证和密钥管理的锚定功能AAnF执行的方法。该方法可以包括从所述通信网络的认证服务器功能AUSF接收用户设备UE的锚定密钥和基于与所述UE相关联的第一标识符的第一字段的第一安全性密钥标识符,以及将所述锚定密钥与所述第一安全性密钥标识符相关联地存储。该方法可以进一步包括从与所述通信网络相关联的应用功能AF接收对与所述AF和所述UE之间的应用会话相关联的安全性密钥的请求,其中,该请求包含与所述UE相关联的第三安全性密钥标识符,并且基于确定该第三安全性密钥标识符对应于所存储的第一安全性密钥标识符,来基于与所接收的第三安全性密钥标识符相关联地存储的所述锚定密钥导出与所述应用会话相关联的所述安全性密钥。
在一些实施例中,该方法进一步包括将导出的安全性密钥发送到所述AF。
在一些实施例中,所述第二标识符是订阅永久标识符SUPI。
在一些实施例中,所述第一标识符是订阅隐藏标识符SUCI。
在一些实施例中,所述第一字段是与所述UE的归属网络相关联的路由指示符RID。
在一些实施例中,所述第一安全性密钥标识符是用于应用的认证和密钥管理AKMA密钥标识符A-KID。
根据第四方面,提供了一种通信网络的认证服务器功能AUSF。所述AUSF包括接口电路和处理电路,所述接口电路被配置为与用户设备UE通信,并且与所述通信网络的用于应用的认证和密钥管理的锚定功能AAnF和统一数据管理功能UDM通信,所述处理电路可操作地耦合到所述接口电路,由此所述处理电路和接口电路被配置为执行与第一方面的任何方法相对应的操作。
提供了一种通信网络的认证服务器功能AUSF。所述AUSF被配置为执行与所述第一方面的任何方法相对应的操作。
提供了一种存储计算机可执行指令的非暂时性计算机可读介质,该指令在由与通信网络的认证服务器功能AUSF相关联的处理电路执行时,将该AUSF配置为执行与所述第一方面的任何方法相对应的操作。
提供了一种计算机程序,该计算机程序包括指令,当所述程序由计算机执行时,所述指令使所述计算机执行所述第一方面的任何方法的步骤。
提供了一种包括计算机可执行指令的计算机程序产品,该指令在由与通信网络的认证服务器功能AUSF相关联的处理电路执行时,将该AUSF配置为执行与所述第一方面的任何方法相对应的操作。
根据第五方面,提供了通信网络的统一数据管理功能UDM。所述UDM包括被配置为与所述通信网络的认证服务器功能AUSF通信的接口电路,以及可操作地耦合到所述接口电路的处理电路,由此所述处理电路和所述接口电路被配置为执行与所述第二方面的任何方法相对应的操作。
提供了通信网络的统一数据管理功能UDM。所述UDM被配置为执行与所述第二方面的任何方法相对应的操作。
提供了一种存储计算机可执行指令的非暂时性计算机可读介质,当由与通信网络的统一数据管理功能UDM相关联的处理电路执行时,所述指令将所述UDM配置为执行与所述第二方面的任何方法相对应的操作。
提供了一种计算机程序,该计算机程序包括指令,当所述程序由计算机执行时,所述指令使所述计算机执行所述第二方面的任何方法的步骤。
一种包括计算机可执行指令的计算机程序产品,当由与通信网络的统一数据管理功能UDM相关联的处理电路执行时,所述指令将所述UDM配置为执行与所述第二方面的任何方法相对应的操作。
根据第六方面,提供了一种通信网络的用于应用的认证和密钥管理的锚定功能AAnF。所述AAnF包括被配置为与所述通信网络的用户设备UE和认证服务器功能AUSF通信的接口电路,以及可操作地耦合到所述接口电路的处理电路,由此所述处理电路和所述接口电路被配置为执行与所述第三方面的任何方法相对应的操作。
提供了一种通信网络中的用于应用的认证和密钥管理的锚定功能AAnF。所述AAnF被配置为执行与所述第三方面的任何方法相对应的操作。
提供了一种存储计算机可执行指令的非暂时性计算机可读介质,当由与通信网络中的用于应用的认证和密钥管理的锚定功能AAnF相关联的处理电路执行时,所述指令将所述AAnF配置为执行与所述第三方面的任何方法相对应的操作。
提供了一种计算机程序,该计算机程序包括指令,当所述程序由计算机执行时,所述指令使所述计算机执行所述第三方面的任何方法的步骤。
提供了一种包括计算机可执行指令的计算机程序产品,当由与通信网络中的用于应用的认证和密钥管理的锚定功能AAnF相关联的处理电路执行时,所述指令将所述AAnF配置为执行与所述第三方面的各实施例的任何方法相对应的操作。
一些实施例包括用于通信网络(例如,5GC)的认证服务器功能(AUSF)的示例性方法(例如,过程)。
这些示例性方法可以包括从用户设备(UE)接收认证请求,所述认证请求包含与所述UE相关联的第一标识符或与所述UE相关联的第二标识符。当所述认证请求包含所述第二标识符时,这些示例性方法还可以包括以下项中的一个:基于从所述通信网络的统一数据管理功能(UDM)获取的所述第一标识符的第一字段来确定第一安全性密钥标识符;或者确定不基于所述第一标识符的第一字段的第二安全性密钥标识符,并将包含在所述第一标识符中的所述第一字段发送到所述UDM。
在一些实施例中,当所述认证请求包含所述第一标识符时,这些示例性方法还可以包括框1230-1240的操作,其中所述AUSF可以基于在所述第一标识符中包含的第一字段来确定所述第一安全性密钥标识符,并将在所述第一标识符中包含的所述第一字段发送到所述UDM。
在一些实施例中,所述第二标识符可以是5G全局唯一临时标识符(5G-GUTI),所述第一标识符可以是订阅隐藏标识符(SUCI),并且所述第一字段可以是与所述UE的归属网络相关联的路由指示符(RID)。在这样的各实施例中,所述第一安全性密钥标识符可以是用于应用的认证和密钥管理(AKMA)密钥标识符(A-KID),并且所述第二安全性密钥标识符可以是AKMA临时UE标识符(A-TID)。
在一些实施例中,基于从所述UDM获取的所述第一字段来确定所述第一安全性密钥标识符可以包括:基于第二标识符来确定与所述UE相关联的第三标识符;向所述UDM发送包含所述第三标识符的认证请求;以及响应于所述认证请求从所述UDM接收所述第一字段。在这些实施例中的一些实施例中,所述认证请求可以包括对所述第一字段的明确请求。在这些实施例中的一些实施例中,所述第三标识符可以是订阅永久标识符(SUPI)。
在一些实施例中,这些示例性方法还可以包括导出所述UE的锚定密钥(KAKMA),以及向所述通信网络的用于应用的认证和密钥管理(AAnF)发送包括所述锚定密钥(KAKMA)和所确定的安全性密钥标识符的消息。在一些实施例中,所述消息还可以包含对所包含的安全性密钥标识符是所述第一安全性密钥标识符还是所述第二安全性密钥标识符的指示(例如,密钥标识符类型指示符)。
在一些实施例中,确定所述第二安全性密钥标识符可以进一步基于与所述UE相关联的所述第一标识符的所述第一字段对于所述AUSF不可用的确定。
其他实施例包括用于通信网络(例如,5GC)的统一数据管理功能(UDM)的示例性方法(例如,过程)。
这些示例性方法可以包括从所述通信网络的AUSF接收针对UE的认证请求,所述认证请求包含与所述UE相关联的第一标识符或与所述UE相关联的第二标识符。当所述认证请求包含所述第二标识符时,这些示例性方法还可以包括获取所述第一标识符的第一字段,以及响应于所述认证请求向所述AUSF发送所述第一字段。当所述认证请求包含所述第一标识符时,这些示例性方法还可以包括存储在所述第一标识符中包含的所述第一字段。
在一些实施例中,获取所述第一字段可以包括以下方式中的一种:从UE订阅数据或从所述UE先前的成功认证中检索所述第一字段的存储版本,或者对所述第二标识符执行去隐藏操作以生成包括所述第一字段的所述第一标识符。
在一些实施例中,向所述AUSF发送所述第一字段可以响应于以下项中的一个:包括在所述认证请求中的对所述第一字段的明确请求;或者在对所述认证请求的所述响应中包含AKMA指示符。
在一些实施例中,所述第二标识符可以是5G全局唯一临时标识符(5G-GUTI),所述第一标识符可以是订阅隐藏标识符(SUCI),并且所述第一字段可以是与所述UE的归属网络相关联的路由指示符(RID)。
其他实施例包括通信网络(例如,5GC)的用于应用的认证和密钥管理的锚定功能(AAnF)的示例性方法(例如,过程)。
这些示例性方法可以包括从所述通信网络的认证服务器功能(AUSF)接收用于用户设备(UE)的锚定密钥(KAKMA)以及以下安全性密钥标识符中的一个:
·基于与所述UE相关联的第一标识符的第一字段的第一安全性密钥标识符;或
·不基于所述第一字段的第二安全性密钥标识符。
这些示例性方法还可以包括与接收到的安全性密钥标识符相关联地存储所述锚定密钥(KAKMA)。这些示例性方法还可以包括从与所述通信网络相关联的应用功能(AF)接收对与所述AF和所述UE之间的应用会话相关联的安全性密钥(KAF)的请求。所述请求可以包含与所述UE相关联的第三安全性密钥标识符。这些示例性方法还可以包括,基于确定所述第三安全性密钥标识符对应于所存储的安全性密钥标识符,来基于与所接收的安全性密钥标识符相关联地存储的所述锚定密钥(KAKMA)导出与所述应用会话相关联的所述安全性密钥(KAF)。在一些实施例中,这些示例性方法还可以包括向所述AF发送所述导出的安全性密钥(KAF)。
在一些实施例中,所述第二标识符可以是订阅永久标识符(SUPI),所述第一标识符可以是订阅隐藏标识符(SUCI),并且所述第一字段可以是与所述UE的归属网络相关联的路由指示符(RID)。在这样的各实施例中,所述第一安全性密钥标识符可以是用于应用的认证和密钥管理(AKMA)密钥标识符(A-KID),并且所述第二安全性密钥标识符可以是AKMA临时UE标识符(A-TID)。
在一些实施例中,当所述锚定密钥(KAKMA)与所述第二安全性密钥标识符相关联地存储时,确定所述第三安全性密钥标识符对应于所述存储的安全向密钥标识符可以包括:从所述接收到的第三安全性关键字标识符确定第四安全性密钥标识符;并且确定所述第四安全性密钥标识符和所述第二安全性密钥标识符之间的匹配。在一些实施例中,所述第三安全性密钥标识符可以是用于应用的认证和密钥管理(AKMA)密钥标识符(A-KID),并且所述第四安全性密钥标识符可以是AKMA临时UE标识符(A-TID)。
其他实施例包括AUSF、UDM和AAnF(或托管其的网络节点),其被配置为执行与本文所述的任何所述示例性方法相对应的操作。其他实施例包括存储计算机可执行指令的非暂时性计算机可读介质,当由处理电路执行这些指令时,所述指令将这些AUSF、UDM和AAnF配置为执行与本文所述的任何所述示例性方法相对应的操作。
本公开的这些和其他目的、特征和优点将在阅读下面的详细描述并参考下面简要描述的附图后变得显而易见。
附图说明
图1-2图示了示例性5G网络架构的各个方面;
图3示出了5G网络中安全性密钥的示例性层次结构;
图4示出了5G网络中使用的订阅隐藏标识符(SUCI)的各个字段;
图5-6示出了示例性安全性密钥生成过程的信号流程图;
图7示出了用于发起用户设备(UE)认证和选择认证方法的示例性过程的信号流程图;
图8-11示出了根据本公开的各种实施例的各种示例性安全性密钥生成过程的信号流程图;
图12A和12B图示了根据本公开的各种示例性实施例的通信网络的认证服务器功能(AUSF)的示例性方法(例如,过程);
图13A和13B图示出了根据本公开的各种示例性实施例的用于通信网络的统一数据管理功能(UDM)的示例性方法(例如,过程);
图14图示出了根据本公开的各种示例性实施例的通信网络的用于应用的认证和密钥管理的锚定功能(AAnF)的示例性方法(例如,过程);
图15图示出了根据本公开的各种示例性实施例的无线网络;
图16示出了根据本文描述的各个方面的UE的示例性实施例;
图17是图示出可用于实现本文所述网络节点或NF的各种实施例的示例性虚拟化环境的框图;
图18-19是根据本公开的各种示例性实施例的各种示例通信系统和/或网络的框图;以及
图20-23是根据本公开的各种示例性实施例的用于发送和/或接收用户数据的示例性方法(例如,过程)的流程图。
具体实施方式
现在将参考附图更全面地描述上面简要概括的示例性实施例。这些描述是通过示例的方式提供的,以向本领域技术人员解释主题,而不应被解释为将主题的范围仅限于本文所述的各实施例。更具体地,以下提供了各示例,其说明了根据上述优点的各种实施例的操作。
通常,本文使用的所有术语应根据其在相关技术领域中的普通含义来解释,除非明确给出不同含义和/或从其使用的上下文中暗示不同含义。除非明确说明,否则对一个/一/该元件、装置、部件、模块、步骤等的所有引用都应被公开解释为指的是元件、装置、部件、模块、步骤等的至少一个实例。本文公开的任何方法和/或过程的步骤不必以公开的确切顺序执行,除非一个步骤被明确描述为在另一个步骤之后或之前和/或其中暗示一个步骤必须在另一个步骤之后或之前。在适当的情况下,本文公开的任何实施例的任何特征可以应用于任何其他实施例。同样地,任何实施例的任何优点可以适用于任何其他实施例,反之亦然。所公开的各实施例的其他目的、特征和优点将从以下描述中显而易见。
此外,在下面给出的整个描述中使用了以下术语:
·无线电接入节点:如本文所用,“无线电接入节点”(或等同地“无线电网络节点”、“无线电接入网络节点”或“RAN节点”)可以是在蜂窝通信网络的无线电接入网络(RAN)中操作以无线发送和/或接收信号的任何节点。无线电接入节点的一些示例包括但不限于基站(例如,3GPP第五代(5G)NR网络中的新无线电(NR)基站(gNB)或3GPPLTE网络中的增强型或演进型节点B(eNB))、基站分布式部件(例如,CU和DU)、高功率或宏基站、低功率基站(例如,微型、微微型、毫微微型或家庭基站等)、集成接入回程(IAB)节点(或其部件,诸如MT或DU)、传输点、远程无线电单元(RRU或RRH)和中继节点。
·核心网络节点:如本文所用,“核心网络节点”是核心网络中的任何类型的节点。核心网络节点的一些示例包括例如移动性管理性实体(MME)、服务网关(SGW)、分组数据网络网关(P-GW)等。核心网络节点还可以是实现特定核心网络功能(NF),诸如接入和移动性管理功能(AMF)、会话管理功能(AMF)、用户面功能(UPF),服务能力开放功能(SCEF)等的节点。
·无线设备:如本文所用,“无线设备”(或简称“WD”)是通过与网络节点和/或其他无线设备无线通信来接入(即由其服务)蜂窝通信网络的任何类型的设备。无线通信可以涉及使用电磁波、无线电波、红外波和/或适合于通过空气传送信息的其他类型的信号来发射和/或接收无线信号。除非另有说明,否则术语“无线设备”在本文中与“用户设备”(或简称“UE”)可互换使用。无线设备的一些示例包括但不限于智能电话、移动电话、蜂窝电话、IP语音(VoIP)电话、无线本地环路电话、台式计算机、个人数字助理(PDA)、无线相机、游戏控制台或设备、音乐存储设备、播放设备、可穿戴设备、无线端点、移动站、平板电脑、笔记本电脑,膝上型嵌入式设备(LEE)、膝上型车载设备(LME)、智能设备、无线客户设备(CPE)、移动型通信(MTC)设备、物联网(IoT)设备、车载无线终端设备、移动终端(MT)等。
·无线电节点:如本文所用,“无线电节点”可以是“无线电接入节点”(或等效术语)或“无线设备”。
·网络节点:如本文所用,“网络节点”是作为蜂窝通信网络的无线电接入网络(例如,无线电接入节点或等效术语)或核心网络(例如,上文所讨论的核心网络节点)的一部分的任何节点。在功能上,网络节点是能够、经配置、经布置和/或可操作地与无线设备和/或与蜂窝通信网络中的其他网络节点或设备直接或间接通信、以实现和/或提供对无线设备的无线接入、和/或执行蜂窝通信网络中的其他功能(例如,管理)的设备。
·节点:如本文所用,术语“节点”(没有任何前缀)可以是能够在无线网络(包括RAN和/或核心网络)中或与无线网络一起操作的任何类型的节点,包括无线电接入节点(或等效术语)、核心网络节点或无线设备。
·服务:如本文所用,术语“服务”通常是指与一个或多个应用相关联的一组数据,这些数据将经由带有某些特定交付要求的网络传输,为了使所述应用成功,这些特定交付要求需要被满足。
·部件:如本文所用,术语“部件”通常指服务交付所需的任何部件。部件的示例是RAN(例如,E-UTRAN、NG-RAN,或其部分,诸如eNB、gNB、基站(BS)等)、CN(例如,EPC、5GC,或其部分,包括RAN和CN实体之间的所有类型的链路),以及带有诸如计算、存储等相关资源的云基础设施。通常,每个部件都可以具有“管理器”,该管理器是可以收集关于资源利用率的历史信息以及提供关于与该部件相关联的资源的当前和预测的未来可用性的信息的实体(例如,RAN管理器)。
需注意,本文给出的描述集中在3GPP蜂窝通信系统上,因此,通常使用3GPP术语或类似于3GPP术语的术语。然而,本文公开的概念不限于3GPP系统。其他无线系统,包括但不限于宽带码分多址(WCDMA)、全球微波接入互通(WiMax)、超移动宽带(UMB)和全球移动通信系统(GSM),也可以从本文所述的概念、原理中受益。
此外,本文描述的由无线设备或网络节点执行的功能和/或操作可以分布在多个无线设备和/或网络节点上。此外,尽管本文使用了术语“蜂窝”,但应当理解,可以使用波束(特别是关于5G NR)代替蜂窝,因此,本文描述的概念等同地适用于蜂窝和波束。
在高的层次上,5G系统(5GS)由接入网(AN)和核心网(CN)组成。AN例如经由诸如下面描述的gNB或ng-eNB之类的基站向UE提供到CN的连接性。CN包括各种网络功能(NF),它们提供广泛的不同功能,诸如会话管理、连接管理、计费、认证等。
UE和5G网络(AN和CN)之间的通信链路可以分为两个不同的组织层。UE通过非接入层(NAS)与CN通信,并且通过接入层(AS)与AN通信。所有的NAS通信都经由NAS协议在UE和AMF之间进行。通过NAS协议(用于NAS)和PDCP(用于AS)来提供这些层上的通信的安全性。
图1图示了示例性5G网络架构的高层次视图,包括下一代RAN(NG-RAN)199和5G核心(5GC)198。NG-RAN 199可以包括经由一个或多个NG接口连接到5GC的一个或多个gNodeB(gNB),诸如分别经由接口102、152连接的gNB 100、150。更具体地,gNB 100、150可以经由各自的NG-C接口连接到5GC 198中的一个或多个接入和移动性管理功能(AMF)。类似地,gNB100、150可以经由各自的NG-U接口连接到5GC 198中的一个或多个用户面功能(UPF)。如下面更详细描述的那样,各种其他网络功能(NF)可以被包括在5GC 198中。
此外,gNB可以经由一个或多个Xn接口相互连接,诸如gNB 100和150之间的Xn接口140。用于NG-RAN的无线电技术通常被称为“新无线电”(NR)。关于到UE的NR接口,每个gNB可以支持频分双工(FDD)、时分双工(TDD)或它们的组合。每个gNB可以服务于包括一个以上蜂窝的地理覆盖区域,并且在一些用例中,还可以使用各种定向波束来提供各个蜂窝中的覆盖。
NG-RAN 199被分层为无线电网络层(RNL)和传输网络层(TNL)。NG-RAN架构,即NG-RAN逻辑节点及其之间的接口,被定义为RNL的一部分。对于每个NG-RAN接口(NG,Xn,F1),指定了相关的TNL协议和功能。TNL为用户面传输和信令传输提供服务。在一些示例性配置中,每个gNB连接到3GPP TS 23.501(v15.5.0)中定义的“AMF区域”内的所有5GC节点。如果支持NG-RAN接口TNL上对CP和UP数据的安全性保护,则应采用NDS/IP(3GPP TS 33.401(v15.8.0)。
图1中所示的NG RAN逻辑节点(并在3GPP TS 38.401(v15.6.0)和3GPP TR 38.801(v14.0.0)中进行了描述)包括中央单元(CU或gNB-CU)和一个或多个分布式单元(DU或gNB-DU)。例如,gNB 100包括gNB-CU 110以及gNB-DU 120和130。CU(例如,gNB-CU 110)是托管更高层协议并执行各种gNB功能(诸如控制DU的操作)的逻辑节点。DU(例如,gNB-DU 120、130)是托管较低层协议的去中心化逻辑节点,并且根据功能划分选项,可以包括gNB功能的各种子集。因此,CU和DU中的每个可以包括执行它们各自的功能所需的各种电路,包括处理电路、收发器电路(例如,用于通信)和电源电路。
gNB-CU通过各自的F1逻辑接口,诸如图1中所示的接口122和132,连接到一个或多个gNB-DU。然而,gNB-DU可以仅连接到单个gNB-CU。gNB-CU和连接的一个或多个gNB-DU仅作为gNB对于其他gNB和5GC可见。换句话说,F1接口在gNB-CU之外是不可见的。
5GS(例如,在5GC中)的另一个变化是,在早期代网络中发现的传统对等接口和协议被基于服务的架构(SBA)修改和/或取代,其中网络功能(NF)向一个或多个服务消费者提供一个或多个服务。例如,这可以通过超文本传输协议/表示状态传输(HTTP/REST)应用程序编程接口(API)来实现。一般来说,各种服务都是独立的功能,可以在不影响其他服务的情况下以独立的方式进行更改和修改。这种SBA模型还采用了NF的模块化、可重用性和自包含等原则,这可以使部署能够利用最新的虚拟化和软件技术。
5GC中的服务可以是无状态的,从而使得业务逻辑和数据上下文是分离的。例如,服务可以将其上下文外部存储在专有数据库中。这可以促进各种云基础设施特征,如自动缩放或自动修复。此外,5GC服务可以由各种“服务操作”组成,这些操作是整体服务功能的更细粒度划分。服务消费者和生产者之间的交互可以是“请求/响应”或“订阅/通知”类型。
图2示出了带有基于服务的接口和控制面(CP)内的各种3GPP定义的NF的示例性非漫游5G参考架构。其中包括以下NF,具有为与本公开最相关的NF提供的额外的细节:
·应用功能(AF,带Naf接口)与5GC交互,以向网络运营商提供信息,并订阅运营商网络中发生的某些事件。AF提供应用,在其中为该应用交付服务的层(即传输层)与已请求服务的层(即信令层)不同,根据与网络协商的内容来控制流资源。AF(经由N5接口)向PCF传送动态会话信息,包括传输层要传送的媒体的描述。
·策略控制功能(PCF,带Npcf接口)经由N7参考点通过向SMF提供PCC规则(例如,关于在PCC控制下的每个服务数据流的处理),来支持统一的策略框架以支配网络行为。PCF提供策略控制决策和基于流的计费控制,包括服务数据流检测、选通、QoS和针对SMF的基于流的计费(信用管理除外)。PCF从AF接收会话和媒体相关信息,并向AF通知业务(或用户)面事件。
·用户面功能(UPF)——支持基于从SMF接收到的规则处理用户面业务,包括数据包检查和不同的强制执行动作(例如,事件检测和报告)。
UPF经由N3参考点与RAN(例如,NG-RNA)通信,经由N4参考点而与SMF(下面讨论)通信,以及经由N6参考点与外部分组数据网络(PDN)通信。N9参考点用于两个UPF之间的通信。
·会话管理功能(SMF,带Nsmf接口)与解耦的业务(或用户)面交互,包括创建、更新和删除协议数据单元(PDU)会话,以及管理带有用户面功能(UPF)的会话上下文,例如用于事件报告。例如,SMF执行数据流检测(基于PCC规则中包含的过滤器定义)、在线和离线计费交互以及策略强制执行。
·计费功能(CHF,带Nchf接口)负责融合在线计费和离线计费功能。它提供配额管理(用于在线计费)、重新授权触发器、评级条件等,并收到来自SMF的关于使用报告的通知。配额管理涉及为服务授予特定数量的单位(例如,字节、秒)。CHF还与计费系统进行交互。
·接入和移动性管理功能(AMF,带有Namf接口)终止RAN CP接口,并处理UE的所有移动性和连接管理(类似于EPC中的MME)。AMF经由N1参考点与UE通信并且经由N2参考点与RAN(例如NG-RAN)通信。AMF可以与持有被访问网络的根(或锚定)密钥的安全性锚定功能(SEAF,未示出)位于同一位置。
·带有Nnef接口的网络开放功能(NEF)——通过向AF安全地开放3GPP NF提供的网络能力和事件,并通过为AF提供安全地向3GPP网络提供信息的方式,充当进入运营商网络的入口。例如,NEF提供允许AF为各种UE提供特定订阅数据(例如,预期的UE行为)的服务。
·带有Nnrf接口的网络存储库功能(NRF)——提供服务注册和发现,使NF能够识别从其他NF可用的适当服务。
·带有NSSF接口的网络切片选择功能(NSSF)——“网络切片”是5G网络的逻辑分区,其提供特定的网络能力和特性,例如支持特定服务。网络切片实例是提供网络切片的能力和特性的NF实例和所需网络资源(例如,计算、存储、通信)的集合。NSSF使得其他NF(例如,AMF)能够识别适合于UE的期望服务的网络切片实例。
·带有Nausf接口的认证服务器功能(AUSF)——驻扎在用户的归属网络(HPLMN),它执行用户认证并计算用于各种目的安全性密钥材料。
·带有Nnwdaf接口的网络数据分析功能(NWDAF)——在网络切片实例级别上向其他NF提供网络分析信息(例如,过去事件的统计信息和/或预测信息)。
·带有Nmmf接口的位置管理功能(LMF)——支持与UE位置确定相关的各种功能,包括对UE的位置确定和获取以下任何一项:DL位置测量或来自UE的位置估计;来自NG RAN的UL位置测量;以及来自NG RAN的非UE相关联的辅助数据。
统一数据管理(UDM)功能支持生成3GPP认证凭证、用户标识处理、基于订阅数据的接入授权以及其他与订户相关的功能。为了提供这一功能,UDM使用存储在5GC统一数据存储库(UDR)中的订阅数据(包括认证数据)。除了UDM之外,UDR还支持PCF对策略数据的存储和检索,以及NEF对应用数据的存储和检索。
UDM可以包括认证凭证存储库和处理功能(ARPF),或者与其处于同一位置,该认证凭证存储库和处理功能存储订户的长期安全性凭证。UDM还可以包括在不同订户标识符之间映射的订阅标识符去隐藏功能(SIDF),或者与其处于同一位置。
NRF允许每个NF发现其他NF提供的服务,数据存储功能(DSF)允许每个NF存储其上下文。此外,NEF向5GC内外的AF提供对5GC的能力和事件的开放。例如,NEF提供允许AF为各种UE提供特定订阅数据(例如,预期的UE行为)的服务。
如上所述,3GPP Rel-16引入了一种新的AKMA特征,该特征基于5G中的3GPP用户凭证,包括IoT用例。更具体地,AKMA利用用户的AKA凭证来自在举UE和AF之间的安全性,这允许UE与应用服务器安全地交换数据。AKMA架构可以被认为是Rel-15中为5GC指定并且在3GPP TS 33.535(v.16.2.0)中进一步指定的通用自举架构(GBA)的演进。
除了图2所示和上文所述的NEF、AUSF和AF之外,AKMA还利用锚定功能进行对应用的认证和密钥管理(AAnF)。该功能如图2所示带有Naanf接口。通常,AAnF与AUSF交互,并维护UE AKMA上下文以用于后续的自举请求,例如由应用功能请求的。在高的层次上,AAnF类似于为Rel-15 GBA定义的自举服务器功能(BSF)。
通常,AKMA重用5G主认证过程的结果,该过程用于在网络注册期间对UE进行认证(也称为“隐式自举”)。在该过程中,AUSF负责秘钥材料的生成和存储。特别是,AKMA中的密钥层次结构包括以下内容,如图3进一步所示:
·KAUSF:根密钥,主认证过程的输出,并存储在UE(即,移动设备,ME,部分)和AUSF中。此外,如3GPP TS 33.501(v15.11.0)中所定义的,AUSF可以报告结果和生成KAUSF作为在UDM中的主认证结果的输出的特定AUSF实例。
·KAKMA:由ME和AUSF从KAUSF导出的锚定密钥,并由AAnF用于进一步生成AKMA密钥材料。密钥标识符A-KID是KAKMA的AKMA密钥标识符。A-KID包括AKMA临时UE标识符(A-TID)和与UE的归属网络(HPLMN)相关的路由信息。
·KAF:由ME和AAnF从KAKMA导出并由UE和应用使用以安全地交换应用数据的应用密钥。
当UE想要使用AKMA时,它构造KAF和A-KID,并将A-KID发送到AF,AF可以位于运营商的网络内或网络外。当AF位于运营商的网络外部时或者当AF直接位于运营商的网络内部时,AF通过经由NEF将A-KID发送到AAnF来向AAnF请求与A-KID相关联的KAF。在运营商网络对AF进行认证之后,AAnF可能经由NEF向AF发送对应的KAF。由此,共享的密钥材料KAF在UE和AF中可用,以支持它们之间的通信的安全性。
A-KID采用IETF RFC 7542条款2.2中规定的NAI格式,即username@realm。用户名部分包括路由指示符(RID)和AKMA临时UE标识符(A-TID),域名部分包括归属网络标识符。A-TID从KAUSF导出。例如,A-KID="A-TID"."RID"@homenetworkrealm。
RID是5G网络中用于隐藏和/或维护用户订阅永久标识符(SUPI)隐私的订阅隐藏标识符(SUCI)的组成部分。图4示出了SUCI的各个字段。RID可以是1-4位数字,具体取决于实现方式。当与包含在SUCI中的归属网络标识符耦合时,RID促进将信令路由到归属网络中可以为用户/订户服务的网络功能(NF)。
除了由归属网络操作预先提供之外,当UE在网络中注册时,UE/USIM中的路由指示符还可以由归属网络中的UDM实例动态更新(例如,经由控制信令)。这促进归属网络中NF实例的灵活能力划分和路由规划。
图5示出了用于KAKMA生成的示例性过程的信号流程图。尽管图5中所示的一些操作被赋予了数字标签,但这些标签是为了促进解释,并不意味着这些操作的任何严格的时间顺序,除非另有特别说明。此外,图5中所示的一些操作可以是可选的。
在操作1中,在主认证过程期间,AUSF与UDM交互,以使用Nudm_UEAuthentication_Get请求服务操作来获取认证信息,例如订阅凭证(例如,AKA认证向量)和认证方法。在操作2的Nudm_UEAuthentication_Get响应中,UDM还可以向AUSF指示是否需要为UE生成AKMA锚定密钥。如果AUSF从UDM接收到AKMA指示(AKMA-Ind),则在主认证过程成功完成之后,AUSF存储KAUSF并从KAUSF生成KAKMA(操作3a)和A-KID(操作3b)。同样,UE也在发起与AKMA AF的通信之前从KAUSF生成KAKMA(操作3a)和A-KID(操作3b)。
在操作4中,在生成AKMA密钥材料之后,AUSF使用Naanf_AKMA_KeyRegister请求服务操作,将生成的A-KID和KAKMA与UE的SUPI一起发送到AAnF。AAnF存储由AUSF发送的该信息,并通过Naanf_AKMA_KeyRegister响应服务操作进行响应。
图6示出了用于KAF生成的示例性过程的信号流程图。尽管图6中所示的一些操作被赋予了数字标签,但这些标签是为了促进解释,并不意味着操作的任何严格的时间顺序,除非另有特别说明。
UE和AAnF之间的主认证是用于生成KAF以及如上所述UE从KAUSF生成KAKMA和A-KID的示例性过程的先决条件。在操作1中,UE向AF发送包含A-KID的应用建立请求。UE可以在发送消息之前或之后导出KAF。
在操作2中,如果AF不具有与接收到的A-KID相关联的活动上下文,则AF发现并选择能够处理来自UE的请求的AAnF(例如,基于A-KID中的路由指示符)。AF向AAnF发送Naanf_AKMA_ApplicationKey_Get请求,包含接收到的A-KID和AF标识符(AF_ID)。AF ID由AF的完全有资格的域名(FQDN)和Ua*安全性协议标识符组成,该标识符标识AF将与UE一起使用的安全性协议。在接收到该请求时,AAnF检查其是否能够基于所配置的本地策略或者基于由NRF使用AF ID提供的授权信息或策略来向AF提供服务。如果不成功,AAnF应拒绝该请求,过程终止。AAnF基于由A-KID标识的UE特定的KAKMA的存在来验证订户是否被授权使用AKMA。如果KAKMA存在于AAnF中,则AAnF继续操作3;否则,AAnF跳过操作3并使用错误响应执行操作4。
在操作3中,如果AAnF还没有必要的KAF,则AAnF从KAKMA导出AF密钥(KAF)。在3GPP TS38.535(v17.0.0)附录A.4中描述了密钥推导过程。在操作4中,AAnF向AF发送Naanf_AKMA_ApplicationKey_Get响应,包括KAF和KAF的到期时间。在操作5中,AF向UE发送应用会话建立响应。如果在操作4中接收到的信息指示AKMA密钥请求失败,则AF通过包括失败原因来拒绝应用会话建立。之后,UE可以触发向AKMA AF的带有最新A-KID的新应用会话建立请求。
AMF/SEAF可以在与UE建立信令连接的任何过程期间发起与UE的认证。图7示出了用于发起UE认证和选择认证方法的示例性过程的信号流程图。尽管图7中所示的一些操作被赋予了数字标签,但这些标签是为了促进解释,并不意味着操作的任何严格的时间顺序,除非另有特别说明。
最初,UE通过N1接口向AMF发送消息。这通常显示为“N1消息”,但在一些实例中可以是注册请求。在该消息中,UE包含SUCI或5G全局唯一临时标识符(5G-GUTI)。5G-GUTI由AMF指定,并包含公共陆地移动网络(PLMN)标识符、AMF ID和临时移动用户标识符(TMSI)。5G-GUTI是临时指定的,而不是永久固定给任何特定的订户或UE。例如,AMF可以在各种条件下的任何时间向UE重新指定新的5G-GUTI。
随后,当AMF/SEAF具有有效的5G-GUTI并由此重新认证UE时,AMF/SEAF在对AUSF的认证请求(即,Nausf_UEAuthentication_Authenticate)中包含对应的SUPI。否则,AUSF会在认证请求中包含SUCI。因此,在初始和/或后续认证过程中涉及的不同AUSF实例可以获取也可以不获取UE的SUCI和其中包含的路由指示符。
AUSF将认证请求转发给UDM(包括位于同一位置的ARPF/SIDF)。当在认证请求中提供SUCI时,SIDF执行SUCI到SUPI去隐藏,并将SUCI映射到SUPI。UDM还选择认证方法并将SUPI发送回AUSF以供进一步使用(未示出)。
如上文简要提出,当在UE的主认证中使用SUPI而不是SUCI时,AUSF可能无法获取包含在SUCI中的路由指示符(RID)。一个示例性场景是当AMF选择与基于来自UE的SUCI执行认证过程的AUSF实例(例如,AUSF1)不同的AUSF实例(例如,AUSF2)时。另一示例性场景是当存储在AUSF1中的UE的认证上下文(例如,包含路由指示符)在初始认证之后被清除、删除和/或移除时。
由于RID是生成AKMA密钥材料(例如,A-KID)的强制性属性,因此在这些实例中,AKMA密钥生成过程将失败。这可能会导致各种难题、问题和/或困难。例如,在没有AKMA密钥材料的情况下,网络随后不能生成AF用于与UE进行应用会话的应用密钥。这是非常不可取的。
本公开的各实施例通过提供新颖、灵活和有效的技术来解决这些和其他难题、问题和/或困难,以促进从UDM检索路由指示符,UDM是可信赖的并且是在归属网络(HPLMN)控制下的。这些实施例的益处包括对路由指示符的检索和使用的归属网络的控制,以及以这种方式获取的路由指示符的可信度。其他实施例促进生成和使用没有路由指示符的A-KID(例如,仅A-TID)的AUSF/AAnF。在所有用例中,高层次的益处是生成将由AF用于与UE的应用会话的应用密钥所需的AKMA密钥材料的可用性。
图8示出了根据本公开的一些实施例的示例性密钥生成过程的信号流程图。图8中的许多操作与图5中所示的操作基本相似。
一般而言,AUSF将在主认证期间接收包含第一或第二标识符的认证请求。第一标识符可以是例如SUCI,第二标识符可以是例如SUPI。如上参考图7所述,SUCI或SUPI可以从AMF或SEAF接收。
在操作1中,AUSF可以执行向UDM的第二认证请求,其包含第一标识符或第二标识符,并且可选地包括对第一字段的显式请求。第一字段可以对应于第一标识符的第一字段。在一些示例中,第一字段是RID。在一个示例性实施例中,在操作1中,AUSF可以执行Nudm_UEAuthentication_Get请求服务操作,该请求服务操作可以包括对RID的请求。这在RID还不可用于AUSF的情况下可能是有益的。针对RID的请求是可选的。这在图8中示为一个可选的信息元素。
UDM可以确定是否将要在响应中向AUSF返回AKMA指示符。AKMA指示符可以向AUSF指示将要生成AKMA密钥材料。如果AKMA指示符将被包含在响应中,则UDM还可以包含第一字段,在该示例中,第一字段是RID。这在操作2中进行了说明。UDM可以从以下其中一个中检索第一字段:
·UE的订阅数据;
·从第二标识符到第一标识符的去隐藏过程,例如通过SUCI到SUPI去隐藏过程;或
·先前存储的成功认证结果(下面将更详细地讨论的)。
因此,在操作2中,AUSF可以接收来自UDM的对第二认证请求的响应,该响应可以包含AKMA指示符和第一字段。
在一个实施例中,接收响应包括操作2的Nudm_UEAuthentication_Get响应,在操作1中,UDM可以根据AUSF的显式请求包含RID。可替代地,当响应还包含AKMA Ind时,UDM可以决定包含RID。在这些示例中的一些示例中,当Nudm_UEAuthentication_Get响应包含UE的SUPI而不是SUCI时,UDM可以包含RID。在一些示例中,UDM可以根据由UDM执行的AKMA指示符应当被包含在响应中的确定来返回RID。
在接收到包含RID的响应之后,AUSF可以导出用于UE的锚定密钥(KAKMA)(操作3a)。此外,AUSF可以基于接收到的第一字段,例如RID,生成第一安全性密钥标识符,例如A-KID。(操作3b)。
AUSF还可以向用于应用的认证和密钥管理的锚定功能AAnF发送包含锚定密钥(KAKMA)和第一安全性密钥标识符的消息。AAnF可以被包括在通信网络中。在一些示例中,消息进一步包含第二标识符。如上所述,在其他示例中,第二标识符是SUPI。在一个具体示例中,在操作4中,在生成AKMA密钥材料之后,AUSF使用Naanf_AKMA_KeyRegister请求服务操作,将生成的A-KID和KAKMA与UE的SUPI一起发送到AAnF。AAnF存储由AUSF发送的该信息,并通过Naanf_AKMA_KeyRegister响应服务操作进行响应。
图9示出了根据本公开的其他实施例的示例性密钥生成过程的信号流程图。尽管图9中所示的一些操作被赋予了数字标签,但这些标签是为了促进解释,并不意味着操作的任何严格的时间顺序,除非另有特别说明。
操作0(可以被视为先决条件或前提条件),UE和AUSF使用可扩展认证协议(EAP)方法或5G-AKA相关方法执行认证过程,如图5所示。当UE在操作0中提供SUCI时,AUSF在操作1中将SUCI的路由指示符部分包含在到UDM的Nudm_UEAuthentication_ResultConfirmation请求中。UDM存储包含路由指示符的UE的认证状态(操作2),并对AUSF作出响应(操作3)。在操作4中,UDM基于所存储的UE认证状态来授权后续的认证过程(例如,通过AMF)。
其他实施例包括用于在带有或不带有对于AUSF的路由指示符的可用性的情况下在主认证之后导出AKMA密钥材料的过程。图10示出了根据这些实施例的示例性密钥生成过程的信号流程图。图10中的许多操作与图5和图8中所示的操作基本相似。
在操作3b中,在步骤2中接收到AKMA指示符和第一字段之后,AUSF可以基于该第一字段生成第一安全性密钥标识符。如果第一字段不可用,则AUSF可以生成不基于第一字段的第二安全性密钥标识符。在操作4中,AUSF可以在给AAnF的消息中包含第一或第二安全性密钥标识符。可选地,AUSF还可以通过包括安全密钥标识符类型来指示两个安全性密钥标识符中的哪一个被包含在消息中。
下面是上述方法的一个更具体的示例。在操作3b中,当AUSF已经接收到AKMA指示符并且UE的RID可用时,AUSF生成A-KID。当RID不可用时,AUSF可以改为从KAUSF生成AKMA临时UE标识符(A-TID)。在操作4中,AUSF将生成的A-KID或A-TID包含在给AAnF的消息中。可选地,AUSF还可以例如通过AKMA密钥ID类型来指示两个标识符中的哪一个被包含在消息中。
图11示出了根据这些实施例的用于KAF生成的示例性过程的信号流程图。由于图11中的许多操作与图6中所示的操作基本相似,因此下面只描述了不同之处。在该过程中,假设AUSF以上述方式向AAnF提供A-TID。
在操作3a中,在从AF接收到A-KID时,AAnF导出与接收到的A-KID相对应的A-TID。在操作3b中,AAnF基于导出的A-TID来搜索AKMA密钥材料。例如,AAnF可以查找在导出的A-TID和先前由AUSF提供的A-TID之间的匹配。在找到匹配的A-TID之后,AAnF检索相关联的KAKMA并使用它来导出KAF(操作3c)。
可以参考图12-14进一步说明上述实施例,图12-14分别描绘了用于AUSF、AAnF和UDM的示例性方法(例如,过程)。换句话说,以下描述的操作的各种特征对应于上述各种实施例。图12-14所示的示例性方法可以协同使用(例如,彼此和/或与本文所述的其他过程一起),以提供本文所述问题的益处、优点和/或解决方案。尽管示例性方法在图12-14中以特定顺序的特定框进行了说明,但与所述框相对应的操作可以按与所示不同的顺序执行,并且可以组合和/或划分为具有与所示功能不同的功能的操作。可选的框和/或操作由虚线指示。
特别地,图12A和图12B图示出了根据本公开的各种示例性实施例的用于通信网络中的认证服务器功能(AUSF)的示例性方法(例如,过程)。图12A和12B中所示的示例性方法可以通过AAnF来执行,如本文参考其他图所述。可选方法步骤如图12A和12B中的虚线所示。
示例性方法可以包括框1210的操作,其中AUSF可以从用户设备(UE)接收认证请求,该认证请求包含与该UE相关联的第一标识符或与该UE相关联的第二标识符。该示例性方法还可以包括框1220或框1250的操作。在框1220中,AUSF可以基于从通信网络的统一数据管理功能(UDM)获取的第一字段来确定第一安全性密钥标识符,该第一字段可以包含在第一标识符中或者对应于第一标识符。在框1250中,AUSF可以确定第二安全性密钥标识符,该第二安全性密钥标识符不基于第一标识符的第一字段。该方法可以进一步包括向UDM发送1240第一字段。
在一些实施例中,当认证请求包含第一标识符时,示例性方法还可以包括框1230-1240的操作,其中AUSF可以基于第一字段来确定1230第一安全性密钥标识符,第一字段可以被认为包含在第一标识符中或对应于第一标识符的第一字段,并且向UDM发送1240包含在第一标识符中的第一字段。
在一些实施例中,第二标识符可以是从5G全局唯一临时标识符(5G-GUTI)生成的或与5G-GUTI相对应的SUPI(参见图7),第一标识符可以是订阅隐藏标识符(SUCI),第一字段可以是与UE的归属网络相关联的路由指示符(RID)。在这样的各实施例中,所述第一安全性密钥标识符可以是用于应用的认证和密钥管理(AKMA)密钥标识符(A-KID),并且所述第二安全性密钥标识符可以是AKMA临时UE标识符(A-TID)。
在一些实施例中,基于从UDM获取的第一字段确定第一安全性密钥标识符(例如,在框1220中)可以包括子框1221-1223的操作,其中AUSF可以从AMF或SEAF接收基于与UE相关联的第三标识符确定的第二标识符;向所述UDM发送包含所述第三标识符的认证请求;并且响应于所述认证请求从所述UDM接收所述第一字段。在这些实施例中的一些实施例中,所述认证请求可以包括对所述第一字段的明确请求。在这些实施例中的一些实施例中,所述第三标识符可以是订阅永久标识符(SUPI)。
在一些实施例中,示例性方法还可以包括框1260-1270的操作,其中AUSF可以用于UE的锚定密钥(KAKMA),并且向通信网络的AAnF发送包含锚定密钥(KAKMA)和所确定的安全性密钥标识符的消息。在一些实施例中,所述消息还可以包含对所包含的安全性密钥标识符是所述第一安全性密钥标识符还是所述第二安全性密钥标识符的指示(例如,密钥标识符类型指示符)。
在一些实施例中,确定所述第二安全性密钥标识符(例如,在框1220中)可以进一步基于与所述UE相关联的所述第一标识符的所述第一字段对于所述AUSF不可用的确定。
图12B包括与上面参考图12A描述的方法大致相同的步骤,省略了可选步骤1221、1240和1250。然而,这些步骤也可以有益地被包括在图12B所示的方法中。图12B进一步包括从UDM接收AKMA指示符以响应于认证请求的步骤1224。例如,图8中也说明了该步骤的一个示例。
此外,图13A和13B图示出了根据本公开的各种示例性实施例的用于通信网络的统一数据管理功能(UDM)的示例性方法(例如,过程)。图13A和13B所示的示例性方法可以由UDM执行,如本文参考其他图所述。图13A的示例性方法可以包括框1310的操作,其中UDM可以从通信网络的AUSF接收针对UE的认证请求,该认证请求包含与该UE相关联的第一标识符或与该UE相关联的第二标识符。当所述认证请求包含第二标识符时,示例性方法还可以包括框1320的操作,其中UDM可以获取第一标识符的第一字段或与第一标识符的字段相对应的第一字段,并响应于该认证请求将第一字段发送到AUSF。通过“对应字段”,可以意味着第一字段包含与第一标识符的数据字段相对应的数据字段,即所述字段具有相同的值。在一些示例中,如以下参考UDM可以如何获取第一字段所描述的,UDM可以从先前存储的接收到的第一标识符的字段中获取第一字段。当认证请求包含第一标识符时,示例性方法还可以包括框1330的操作,其中UDM可以存储在第一标识符中包含的第一字段。
在一些实施例中,获取第一字段(例如,在框1320中)可以包括子框1321或子框1322的操作。在子框1321中,UDM可以从UE订阅数据或从UE的先前成功认证中检索第一字段的存储版本。在子框1322中,UDM可以对第二标识符执行去隐藏操作,以生成包含第一字段的第一标识符。
在一些实施例中,向所述AUSF发送所述第一字段(例如,在框1320中)可以响应于以下项中的一个:包括在所述认证请求中的对所述第一字段的明确请求;或者在对所述认证请求的所述响应中包含AKMA指示符。
在一些实施例中,所述第二标识符可以是订阅永久标识符(SUPI),所述第一标识符可以是订阅隐藏标识符(SUCI),并且所述第一字段可以是与所述UE的归属网络相关联的路由指示符(RID)。如上所述,SUPI可以对应于5G全局唯一临时标识符(5G-GUTI),或者基于5G全局惟一临时标识符(5G-GUTI)来确定。
图13B的示例性方法可以包括框1310的操作,其中UDM可以从通信网络的AUSF接收针对UE的认证请求,该认证请求包含与该UE相关联的第一标识符或与该UE相关联的第二标识符。该方法可以进一步包括确定1315是否应当在对认证请求的响应中包含AKMA指示符。该步骤的一个示例也如图8所示。当所述响应应包含AKMA指示符时,该方法可以进一步包括获取1320第一字段,并响应于认证请求将该第一字段发送到AUSF。获取1320可以包括从UE订阅数据或从UE的先前成功认证中检索1321第一字段的存储版本。该方法可替代地包括对第二标识符执行1322去隐藏操作以生成包含第一字段的第一标识符。
此外,图14图示出了根据本公开的各种示例性实施例的通信网络中的用于应用的认证和密钥管理的锚定功能(AAnF)的示例性方法(例如,过程)。图14所示的示例性方法可以通过AAnF来执行,如本文参考其他图所述。
示例性方法可以包括框1410的操作,其中AAnF可以从通信网络的认证服务器功能(AUSF)接收用于用户设备(UE)的锚定密钥(KAKMA)以及以下安全性密钥标识符中的一个:
·基于与所述UE相关联的第一标识符的第一字段的第一安全性密钥标识符;或
·不基于该第一字段的第二安全性密钥标识符。
示例性方法还可以包括框1420的操作,其中AAnF可以存储与接收到的安全性密钥标识符相关联的锚定密钥(KAKMA)。该示例性方法还可以包括框1430的操作,其中AAnF可以从与通信网络相关联的应用功能(AF)接收对与AF和UE之间的应用会话相关联的安全性密钥(KAF)的请求,其中该请求包含与该UE相关联的第三安全性密钥标识符。示例性方法还可以包括框1440的操作,其中,AAnF可以基于确定该第三安全性密钥标识符对应于所存储的安全性密钥标识符,来基于与所接收的安全性密钥标识符相关联地存储的锚定密钥(KAKMA)导出与该应用会话相关联的安全性密钥(KAF)。在一些实施例中,示例性方法还可以包括框1450的操作,其中AAnF可以向AF发送所导出的安全性密钥(KAF)。
在一些实施例中,所述第二标识符可以是订阅永久标识符(SUPI),所述第一标识符可以是订阅隐藏标识符(SUCI),并且所述第一字段可以是与所述UE的归属网络相关联的路由指示符(RID)。在这样的各实施例中,所述第一安全性密钥标识符可以是用于应用的认证和密钥管理(AKMA)密钥标识符(A-KID),并且所述第二安全性密钥标识符可以是AKMA临时UE标识符(A-TID)。
在一些实施例中,当锚定密钥(KAKMA)与第二安全性密钥标识符相关联地存储时,确定第三安全性密钥标识符对应于存储的安全性密钥标识符(例如,在框1440中)可以包括子框1441-1442的操作。在子框1441中,AAnF可以根据接收到的第三安全性密钥标识符来确定第四安全性密钥标识符。在子框1442中,AAnF可以确定在第四安全性密钥标识符和第二安全性密钥标识符之间的匹配。在一些实施例中,所述第三安全性密钥标识符可以是用于应用的认证和密钥管理(AKMA)密钥标识符(A-KID),并且所述第四安全性密钥标识符可以是AKMA临时UE标识符(A-TID)。
尽管本文描述的主题可以使用任何合适的部件在任何合适类型的系统中实现,但是本文公开的各实施例是关于无线网络描述的,诸如图15中所示的示例无线网络。为简单起见,图15的无线网络仅描绘了网络1506、网络节点1560和1560b以及WD 1510、1510b和1510c。在实践中,无线网络可以进一步包括适合支持无线设备之间或无线设备与另一通信设备(诸如陆线电话、服务提供商或任何其他网络节点或终端设备)之间的通信的任何附加元件。在图示的部件中,网络节点1560和无线设备(WD)1510被额外详细地描绘。无线网络可以向一个或多个无线设备提供通信和其他类型的服务,以促进无线设备接入和/或使用由或经由无线网络提供的服务。
无线网络可以包括任何类型的通信、电信、数据、蜂窝和/或无线电网络或其他类似类型的系统和/或与其接口。在一些实施例中,无线网络可以被配置为根据特定标准或其他类型的预定义规则或过程来操作。因此,无线网络的特定实施例可以实现通信标准,诸如全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)和/或其他合适的2G、3G、4G或5G标准;无线局域网(WLAN)标准,诸如IEEE 802.11标准;和/或任何其他适当的无线通信标准,诸如全球微波接入互操作性(WiMax)、蓝牙、Z-Wave和/或ZigBee标准。
网络1506可以包括一个或多个回程网络、核心网络、IP网络、公共交换电话网络(PSTN)、分组数据网络、光网络、广域网(WAN)、局域网(LAN)、无线局域网(WLAN)、有线网络、无线网络、城域网和其他网络,以实现设备之间的通信。
网络节点1560和WD 1510包括以下更详细描述的各种部件。这些部件一起工作以提供网络节点和/或无线设备功能,诸如在无线网络中提供无线连接。在不同的各实施例中,无线网络可以包括任意数量的有线或无线网络、网络节点、基站、控制器、无线设备、中继站和/或可以经由有线或无线连接促进或参与数据和/或信号通信的任何其他部件或系统。
网络节点的示例包括但不限于接入点(AP)(例如,无线电接入点)、基站(BS)(例如,无线电基站、Node B、演进型Node B(eNB)和NR NodeB(gNB))。基站可以基于它们提供的覆盖量(或者换言之,它们的发射功率电平)进行分类,然后也可以被称为毫微微基站、微微基站、微基站或宏基站。基站可以是中继节点或控制中继的中继施主节点。网络节点还可包括分布式无线电基站的一个或多个(或全部)部分,诸如集中式数字单元和/或远程无线电单元(RRU),有时称为远程无线电头端(RRH)。这种远程无线电单元可以或可以不与天线集成为天线集成无线电。分布式无线电基站的部分也可以称为分布式天线系统(DAS)中的节点。
网络节点的进一步示例包括多标准无线电(MSR)设备(诸如MSR BS)、网络控制器(诸如无线电网络控制器(RNC)或基站控制器(BSC))、基站收发器(BTS)、传输点、传输节点、多蜂窝/多播协调实体(MCE)、核心网络节点(例如,MSC、MME)、O&M节点、OSS节点、SON节点、定位节点(例如,E-SMLC)和/或MDT。作为另一示例,网络节点可以是如下更详细描述的虚拟网络节点。然而,更一般地,网络节点可以表示能够、经配置、经布置和/或可操作以启用和/或提供无线设备对无线网络的接入或者向已接入无线网络的无线设备提供某种服务的任何合适的设备(或设备组)。
在图15中,网络节点1560包括处理电路1570、设备可读介质1580、接口1590、辅助设备1584、电源1586、电源电路1587和天线1562。尽管图15的示例无线网络中图示的网络节点1560可以表示包括图示的硬件部件组合的设备,但是其他实施例可以包括具有不同部件组合的网络节点。应当理解,网络节点包括执行本文公开的任务、特征、功能和方法和/或过程所需的硬件和/或软件的任何合适的组合。此外,虽然网络节点1560的部件被描绘为位于较大框内或嵌套在多个框内的单个框,但实际上,网络节点可包括构成单个图示部件的多个不同物理部件(例如,设备可读介质1580可以包括多个单独的硬盘驱动器以及多个RAM模块)。
类似地,网络节点1560可由多个物理上分离的部件(例如,NodeB部件和RNC部件,或BTS部件和BSC部件等)组成,每个部件可具有其各自的部件。在网络节点1560包括多个单独的部件(例如,BTS和BSC部件)的某些场景中,一个或多个分开的部件可以在几个网络节点之间共享。例如,单个RNC可以控制多个NodeB。在这种场景中,每个唯一的NodeB和RNC对在某些实例中可以被视为单个分开的网络节点。在一些实施例中,网络节点1560可以被配置为支持多个无线电接入技术(RAT)。在这样的各实施例中,一些部件可以被复制(例如,用于不同RAT的单独的设备可读介质1580),而一些部件可以被重用(例如,相同的天线1562可以由RAT共享)。网络节点1560还可以包括多组的用于集成到网络节点1560中的不同无线技术(诸如例如,GSM、WCDMA、LTE、NR、WiFi或蓝牙无线技术)的各种图示部件。这些无线技术可以集成到网络节点1560内的相同或不同芯片或芯片组和其他部件中。
处理电路1570可以被配置为执行本文描述的由网络节点提供的任何确定、计算或类似操作(例如,某些获取操作)。由处理电路1570执行的这些操作可以包括处理由处理电路1570获取的信息,例如通过将获取的信息转换为其他信息、将获取的信息或转换的信息与存储在网络节点中的信息进行比较,和/或基于获取的信息或转换的信息执行一个或多个操作,并且作为做出确定的所述处理的结果。
处理电路1570可以包括微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列中的一个或多个的组合或任何其他合适的计算设备、资源或可操作以单独或结合其他网络节点1560部件(例如,设备可读介质1580)提供网络节点1560的各种功能的硬件、软件和/或编码逻辑的组合。这样的功能可以包括本文讨论的各种无线特征、功能或益处中的任何一个。
例如,处理电路1570可以执行存储在设备可读介质1580或处理电路1570内的存储器中的指令。在一些实施例中,处理电路1570可以包括片上系统(SOC)。作为更具体的示例,存储在介质1580中的指令(也称为计算机程序产品)可以包括当由处理电路1570执行时可以将网络节点1560配置为执行与本文所述的各种示例性方法(例如,过程)相对应的操作的指令。
在一些实施例中,处理电路1570可以包括射频()收发器电路1572和基带处理电路1574中的一个或多个。在一些实施例中,射频(RF)收发器电路1572和基带处理电路1574可以在单独的芯片(或芯片组)、板或单元上,诸如在无线电单元和数字单元上。在替代实施例中,部分或全部RF收发器电路1572和基带处理电路1574可以在同一芯片或芯片组、板或单元上。
在某些实施例中,本文描述为由网络节点、基站、eNB或其他此类网络设备提供的一些或全部功能可以由处理电路1570通过执行存储在设备可读介质1580或处理电路1570内的存储器上的指令来执行。在替代实施例中,一些或全部功能可由处理电路1570提供,而无需执行存储在单独或离散设备可读介质(诸如以硬连线方式)上的指令。在那些实施例中的任何一个中,无论是否执行存储在设备可读存储介质上的指令,处理电路1570都可以被配置为执行所述的功能。这种功能提供的益处不限于单独的处理电路1570或网络节点1560的其他部件,而是由网络节点1560作为一个整体和/或最终用户和无线网络普遍享有的益处。
设备可读介质1580可以包括任何形式的易失性或非易失性计算机可读存储器,包括但不限于永久存储、固态存储器、远程安装的存储器、磁介质、光学介质、随机存取存储器(RAM)、只读存储器(ROM)、大容量存储介质(例如,硬盘)、可移动存储介质(例如,闪存驱动器、光盘(CD)或数字视频光盘(DVD))和/或任何其他易失性或非易失性、非暂时性设备可读和/或计算机可执行存储器设备,其存储可由处理电路1570使用的信息、数据和/或指令。设备可读介质1580可以存储任何合适的指令、数据或信息,包括计算机程序、软件,包括逻辑、规则、代码、表格等中的一项或多项的应用和/或能够由处理电路1570执行并且由网络节点1560使用的其他指令。设备可读介质1580可用于存储由处理电路1570进行的任何计算和/或经由接口1590接收到的任何数据。在一些实施例中,处理电路1570和设备可读介质1580可以被认为是集成的。
接口1590用于网络节点1560、网络1506和/或WD 1510之间的信令和/或数据的有线或无线通信。如图所示,接口1590包括一个或多个端口/一个或多个终端1594以例如通过有线连接向网络1506发射数据和从网络1506接收数据。接口1590还包括无线电前端电路1592,无线电前端电路1592可以耦合到天线1562或在某些实施例中耦合到天线1562的一部分。无线电前端电路1592包括滤波器1598和放大器1596。无线电前端电路1592可以连接到天线1562和处理电路1570。无线电前端电路可以被配置为调节在天线1562和处理电路1570之间通信的信号。无线电前端电路1592可以接收要经由无线连接发射到其他网络节点或WD的数字数据。无线电前端电路1592可以使用滤波器1598和/或放大器1596的组合将数字数据转换成具有适当信道和带宽参数的无线电信号。然后可以经由天线1562发射无线电信号。类似地,当接收数据时,天线1562可以收集无线电信号,然后由无线电前端电路1592将其转换成数字数据。所述数字数据可以被传递到处理电路1570。在其他实施例中,所述接口可以包括不同的部件和/或部件的不同组合。
在某些替代实施例中,网络节点1560可以不包括单独的无线电前端电路1592,相反,处理电路1570可以包括无线电前端电路并且可以在没有单独的无线电前端电路1592的情况下连接到天线1562。类似地,在一些实施例中,所有或一些RF收发器电路1572可以被认为是接口1590的一部分。在其他实施例中,接口1590可以包括一个或多个端口或终端1594、无线电前端电路1592和RF收发器电路1572以作为无线电单元(未示出)的一部分,并且接口1590可以与基带处理电路1574通信,基带处理电路1574是数字单元(未示出)的一部分。
天线1562可以包括被配置为发射和/或接收无线信号的一个或多个天线或天线阵列。天线1562可以耦合到无线电前端电路1590并且可以是能够无线发射和接收数据和/或信号的任何类型的天线。在一些实施例中,天线1562可以包括一个或多个全向、扇形或平板天线,该天线可操作以在例如2GHz至66GHz之间发送/接收无线电信号。全向天线可用于在任何方向发射/接收无线电信号,扇形天线可用于从特定区域内的设备发射/接收无线电信号,平板天线可以是用于以相对直线的方式发射/接收无线电信号的视线天线。在某些实例中,使用不止一根天线可称为MIMO。在某些实施例中,天线1562可以与网络节点1560分离并且可以通过接口或端口连接到网络节点1560。
天线1562、接口1590和/或处理电路1570可以被配置为执行本文描述为由网络节点执行的任何接收操作和/或某些获取操作。可以从无线设备、另一个网络节点和/或任何其他网络设备接收任何信息、数据和/或信号。类似地,天线1562、接口1590和/或处理电路1570可以被配置为执行本文描述为由网络节点执行的任何发射操作。任何信息、数据和/或信号都可以发射到无线设备、另一个网络节点和/或任何其他网络设备。
电源电路1587可以包括或耦合到电源管理电路并且可以被配置为向网络节点1560的部件提供用于执行本文描述的功能的电源。电源电路1587可以从电源1586接收电力。电源1586和/或电源电路1587可以被配置为以适合各个部件的形式(例如,以每个各个部件所需的电压和电流电平)向网络节点1560的各个部件提供电力。电源1586可以包含在电源电路1587和/或网络节点1560中或在其外部。例如,网络节点1560可以经由输入电路或接口诸如电缆连接到外部电源(例如,电源插座),由此外部电源向电源电路1587供电。作为进一步的示例,电源1586可以包括电池或电池组形式的电源,该电源连接到或集成在电源电路1587中。如果外部电源出现故障,则电池可以提供备用电源。也可以使用其他类型的电源,诸如光伏设备。
网络节点1560的替代实施例可以包括除了图15中所示的部件之外的附加部件,这些部件可以负责提供网络节点功能的某些方面,包括本文描述的任何功能和/或支持本文描述的主题所必需的任何功能。例如,网络节点1560可以包括用户接口设备以允许和/或促进将信息输入到网络节点1560中并允许和/或促进从网络节点1560输出信息。这可以允许和/或促进用户对网络节点1560执行诊断、维护、修理和其他管理功能。
此外,本文描述的各种网络功能(NF,例如,UDM、AAnF、AUSF等)可以与网络节点1560的不同变体一起实现和/或由网络节点1560的不同变体托管,包括上面描述的那些变体。
在一些实施例中,无线设备(WD,例如WD 1510)可以被配置为在没有直接人类交互的情况下发送和/或接收信息。例如,WD可以被设计为当由内部或外部事件触发时,或者响应于来自网络的请求,按照预定时间表将信息传输到网络。WD的示例包括但不限于智能电话、移动电话、蜂窝电话、IP语音(VoIP)电话、无线本地环路电话、台式计算机、个人数字助理(PDA)、无线相机、游戏控制台或设备、音乐存储设备、播放设备、可穿戴设备、无线端点、移动站、平板电脑、笔记本电脑、笔记本嵌入式设备(LEE)、笔记本电脑设备(LME)、智能设备、无线客户设备(CPE)、移动型通信(MTC)设备、物联网(IoT)设备、车载无线终端设备等。
WD可以支持设备到设备(D2D)通信,例如通过实现用于侧链通信、车辆对车辆(V2V)、车辆对基础设施(V2I)、车辆对一切(V2X)的3GPP标准,并且在这种用例中可以被称为D2D通信设备。作为又一个具体示例,在物联网(IoT)场景中,WD可以表示执行监测和/或测量并将这种监测和/或者测量的结果发送到另一个WD和/或网络节点的机器或其他设备。在该用例中,WD可以是机器对机器(M2M)设备,其在3GPP上下文中可以被称为MTC设备。作为一个特定示例,WD可以是实现3GPP窄带物联网(NB-IoT)标准的UE。此类机器或设备的特定示例是传感器、计量设备(诸如功率计)、工业机械或家用或个人电器(例如冰箱、电视等)、个人可穿戴设备(例如手表、健身跟踪器等)。在其他场景中,WD可以表示能够监测和/或报告其运行状态或与其运行相关联的其他功能的车辆或其他设备。如上所述的WD可以表示无线连接的端点,在该用例中,该设备可以被称为无线终端。此外,如上所述的WD可以是移动的,在该用例中,它也可以被称为移动设备或移动终端。
如图所示,无线设备1510包括天线1511、接口1514、处理电路1520、设备可读介质1530、用户接口设备1532、辅助设备1534、电源1536和电源电路1537。WD 1510可以包括用于由WD 1510支持的不同无线技术(诸如例如,GSM、WCDMA、LTE、NR、WiFi、WiMAX或蓝牙无线技术,仅举几个例子)的多组一个或多个所示部件。这些无线技术可以与WD 1510内的其他部件集成到相同或不同的芯片或芯片组中。
天线1511可以包括被配置为发射和/或接收无线信号并连接到接口1514的一个或多个天线或天线阵列。在某些替代实施例中,天线1511可以与WD 1510分离并且可通过接口或端口连接到WD 1510。天线1511、接口1514和/或处理电路1520可以被配置为执行本文描述的由WD执行的任何接收或发射操作。可以从网络节点和/或另一WD接收任何信息、数据和/或信号。在一些实施例中,无线电前端电路和/或天线1511可以被认为是接口。
如图所示,接口1514包括无线电前端电路1512和天线1511。无线电前端电路1512包括一个或多个滤波器1518和放大器1516。无线电前端电路1514连接到天线1511和处理电路1520并且可以被配置为调节在天线1511和处理电路1520之间通信的信号。无线电前端电路1512可以耦合到天线1511或它的一部分。在一些实施例中,WD 1510可以不包括单独的无线电前端电路1512;相反,处理电路1520可以包括无线电前端电路并且可以连接到天线1511。类似地,在一些实施例中,一些或全部RF收发器电路1522可以被认为是接口1514的一部分。无线电前端电路1512可以接收要经由无线连接发射到其他网络节点或WD的数字数据。无线电前端电路1512可以使用滤波器1518和/或放大器1516的组合将数字数据转换成具有适当信道和带宽参数的无线电信号。然后可以经由天线1511发射无线电信号。类似地,当接收数据时,天线1511可以收集无线电信号,然后由无线电前端电路1512将其转换成数字数据。所述数字数据可以被传递到处理电路1520。在其他实施例中,所述接口可以包括不同的部件和/或部件的不同组合。
处理电路1520可以包括微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列中的一个或多个的组合或任何其他合适的计算设备、资源或可操作以单独或结合其他WD 1510部件诸如设备可读介质1530提供WD 1510功能的硬件、软件和/或编码逻辑的组合。这样的功能可以包括提供本文讨论的各种无线特征或益处中的任何一个。
例如,处理电路1520可以执行存储在设备可读介质1530或处理电路1520内的存储器中的指令以提供本文公开的功能。更具体地,存储在介质1530中的指令(也称为计算机程序产品)可以包括当由处理器1520执行时可以将无线设备1510配置为执行与本文所述的各种示例性方法(例如,过程)相对应的操作的指令。
如图所示,处理电路1520包括RF收发器电路1522、基带处理电路1524和应用处理电路1526中的一个或多个。在其他实施例中,处理电路可以包括不同的部件和/或部件的不同组合。在某些实施例中,WD 1510的处理电路1520可以包括SOC。在一些实施例中,RF收发器电路1522、基带处理电路1524和应用处理电路1526可以在单独的芯片或芯片组上。在替代实施例中,部分或全部基带处理电路1524和应用处理电路1526可以组合成一个芯片或芯片组,并且RF收发器电路1522可以在单独的芯片或芯片组上。在另外的替代实施例中,部分或全部RF收发器电路1522和基带处理电路1524可以在同一芯片或芯片组上,并且应用处理电路1526可以在单独的芯片或芯片组上。在其他替代实施例中,部分或全部RF收发器电路1522、基带处理电路1524和应用处理电路1526可以组合在同一芯片或芯片组中。在一些实施例中,RF收发器电路1522可以是接口1514的一部分。RF收发器电路1522可以调节用于处理电路1520的RF信号。
在某些实施例中,本文描述的由WD执行的一些或全部功能可以由执行存储在设备可读介质1530上的指令的处理电路1520提供,在某些实施例中,设备可读介质1530可以是计算机可读存储介质。在替代实施例中,一些或全部功能可由处理电路1520提供,而无需执行存储在单独或离散设备可读存储介质(诸如以硬连线方式)上的指令。在那些特定实施例中的任何一个中,无论是否执行存储在设备可读存储介质上的指令,处理电路1520都可以被配置为执行所述的功能。这种功能提供的益处不限于单独的处理电路1520或WD 1510的其他部件,而是由WD 1510作为一个整体和/或最终用户和无线网络普遍享有的益处。
处理电路1520可以被配置为执行本文描述为由WD执行的任何确定、计算或类似操作(例如,某些获取操作)。由处理电路1520执行的这些操作可以包括处理由处理电路1520获取的信息,例如通过将获取的信息转换为其他信息、将获取的信息或转换的信息与由WD1510存储的信息进行比较,和/或基于获取的信息或转换的信息执行一个或多个操作,并且作为做出确定的所述处理的结果。
设备可读介质1530可操作为存储计算机程序、软件,包括逻辑、规则、代码、表格等中的一项或多项的应用和/或能够由处理电路1520执行的其他指令。设备可读介质1530可以包括计算机存储器(例如,随机存取存储器(RAM)或只读存储器(ROM))、大容量存储介质(例如,硬盘)、可移动存储介质(例如,光盘(CD)或数字视频光盘(DVD)),和/或任何其他易失性或非易失性、非暂时性设备可读和/或存储可由处理电路1520使用的信息、数据和/或指令的计算机可执行存储设备。在一些实施例中,处理电路1520和设备可读介质1530可以被认为是集成的。
用户接口设备1532可以包括允许和/或促进人类用户与WD 1510交互的部件。这种交互可以是多种形式,诸如视觉、听觉、触觉等。用户接口设备1532可操作为向用户产生输出并允许和/或促进用户向WD 1510提供输入。交互的类型可以根据安装在WD 1510中的用户接口设备1532的类型而变化。例如,如果WD 1510是智能手机,则交互可经由触摸屏;如果WD 1510是智能电表,则交互可通过提供使用情况(例如,使用的加仑数)的屏幕或提供声音警报(例如,如果检测到烟雾)的扬声器进行。用户接口设备1532可以包括输入接口、设备和电路,以及输出接口、设备和电路。用户接口设备1532被配置为允许和/或促进将信息输入到WD 1510中并且连接到处理电路1520以允许和/或促进处理电路1520处理输入信息。用户接口设备1532可以包括例如麦克风、接近度或其他传感器、键/按钮、触摸显示器、一个或多个相机、USB端口或其他输入电路。用户接口设备1532还被配置为允许和/或促进从WD 1510输出信息,并允许和/或促进处理电路1520从WD 1510输出信息。用户接口设备1532可以包括例如扬声器、显示器、振动电路、USB端口、耳机接口或其他输出电路。使用用户接口设备1532的一个或多个输入和输出接口,WD 1510可以与最终用户和/或无线网络通信并允许和/或促进他们从本文描述的功能中受益。
辅助设备1534可操作为提供WD通常不会执行的更具体的功能。这可以包括用于为各种目的进行测量的专用传感器、用于附加类型通信诸如有线通信等的接口。辅助设备1534的部件的包括和类型可以根据实施例和/或场景而变化。
在一些实施例中,电源1536可以是电池或电池组的形式。也可以使用其他类型的电源,诸如外部电源(例如,电源插座)、光伏设备或动力电池。WD 1510可以进一步包括电源电路1537,以用于将来自电源1536的电力输送到WD 1510的各个部分,这些部分需要来自电源1536的电力来执行本文描述或指示的任何功能。在某些实施例中,电源电路1537可以包括电源管理电路。电源电路1537可以附加地或替代地操作为从外部电源接收电力;在该用例中,WD 1510可以经由输入电路或接口(诸如电力电缆)连接到外部电源(诸如电源插座)。在某些实施例中,电源电路1537还可操作为从外部电源向电源136输送电力。例如,这可以用于为电源1536充电。电源电路1537可以对来自电源1536的电力执行任何转换或其他修改,以使其适合于供应给WD 1510的各个部件。
图16图示了根据本文描述的各个方面的UE的一个实施例。如本文所用,用户设备或UE在拥有和/或操作相关设备的人类用户的意义上可能不一定具有用户。取而代之,UE可以表示旨在出售给人类用户或由人类用户操作但可能不或最初可能不与特定人类用户(例如,智能洒水器控制器)相关联的设备。可替代地,UE可以表示不打算出售给最终用户或由最终用户操作但可以与用户相关联或为了用户的利益而操作的设备(例如,智能电表)。UE1600可以是由第三代合作伙伴计划(3GPP)标识的任何UE,包括NB-IoT UE、机器类型通信(MTC)UE和/或增强型MTC(eMTC)UE。如图16所示,UE 1600是配置用于根据第三代合作伙伴计划(3GPP)颁布的一个或多个通信标准(诸如3GPP的GSM、UMTS、LTE和/或5G标准)进行通信的WD的一个示例。如前所述,术语WD和UE可以互换使用。因此,尽管图16是UE,但本文讨论的部件同样适用于WD,反之亦然。
在图16中,UE 1600包括处理电路1601,处理电路1001可操作地耦合到输入/输出接口1605、射频(RF)接口1609、网络连接接口1611、包括随机存取存储器(RAM)1617、只读存储器(ROM)1619以及存储介质1621等的存储器1615、通信子系统1631、电源1633和/或任何其他部件,或其任何组合。存储介质1621包括操作系统1623、应用程序1625和数据1627。在其他实施例中,存储介质1621可以包括其他类似类型的信息。某些UE可以使用图16中所示的所有部件,或者仅使用这些部件的子集。部件之间的集成水平可以从一个UE到另一个UE不同。此外,某些UE可能包含部件的多个实例,诸如多个处理器、存储器、收发器、发射器、接收器等。
在图16中,处理电路1601可以被配置为处理计算机指令和数据。处理电路1601可以被配置为实现任何顺序状态机,该状态机可操作为执行作为机器可读计算机程序存储在存储器中的机器指令,诸如一个或多个硬件实现的状态机(例如,在离散逻辑、FPGA、ASIC等中);可编程逻辑以及适当的固件;一个或多个存储程序、通用处理器,诸如微处理器或数字信号处理器(DSP),以及适当的软件;或以上的任何组合。例如,处理电路1601可以包括两个中央处理单元(CPU)。数据可以是适合计算机使用的形式的信息。
在所描绘的各实施例中,输入/输出接口1605可以被配置为向输入设备、输出设备或输入和输出设备提供通信接口。UE 1600可以被配置为经由输入/输出接口1605使用输出设备。输出设备可以使用与输入设备相同类型的接口端口。例如,USB端口可用于向UE 1600提供输入和从UE 1600提供输出。输出设备可以是扬声器、声卡、视频卡、显示器、监视器、打印机、致动器、发射器、智能卡、另一输出设备或其任意组合。UE 1600可以被配置为经由输入/输出接口1605使用输入设备以允许和/或促进用户将信息捕获到UE 1600中。输入设备可以包括触敏或存在敏感显示器、相机(例如,数码相机、数码摄像机、网络相机等)、麦克风、传感器、鼠标、轨迹球、方向板、触控板、滚轮、智能卡等。存在敏感显示器可以包括电容式或电阻式触摸传感器以感测来自用户的输入。传感器可以是例如加速度计、陀螺仪、倾斜传感器、力传感器、磁力计、光学传感器、接近传感器、另一个类似传感器或其任何组合。例如,输入设备可以是加速度计、磁力计、数码相机、麦克风和光学传感器。
在图16中,RF接口1609可以被配置为向诸如发射器、接收器和天线的RF部件提供通信接口。网络连接接口1611可以被配置为提供到网络1643a的通信接口。网络1643a可以包括有线和/或无线网络,诸如局域网(LAN)、广域网(WAN)、计算机网络、无线网络、电信网络、另一种类似网络或其任何组合。例如,网络1643a可以包括Wi-Fi网络。网络连接接口1611可以被配置为包括接收器和发射器接口,该接口用于根据一种或多种通信协议,诸如以太网、TCP/IP、SONET、ATM等通过通信网络与一个或多个其他设备通信。网络连接接口1611可以实现适合于通信网络链路(例如,光、电等)的接收器和发射器功能。发射器和接收器功能可以共享电路部件、软件或固件,或者可替代地可以分开实现。
RAM 1617可以被配置为经由总线1602接口到处理电路1601以在诸如操作系统、应用程序和设备驱动器的软件程序的执行期间提供数据或计算机指令的存储或高速缓存。ROM 1619可以被配置为向处理电路1601提供计算机指令或数据。例如,ROM 1619可以被配置为存储用于基本系统功能,诸如基本输入和输出(I/O)、启动或从键盘接收键击的不变低级系统代码或数据,这些代码或数据存储在非易失性存储器中。存储介质1621可以被配置为包括存储器,诸如RAM、ROM、可编程只读存储器(PROM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)、磁盘、光盘、软盘、硬盘、可移动磁带或闪存驱动器。
在一个示例中,存储介质1621可以被配置为包括操作系统1623、应用程序1625,诸如网络浏览器应用、小程序或小配件引擎或另一应用,以及数据文件1627。存储介质1621可以存储供UE 1600使用的各种不同的操作系统中的任一种或操作系统的组合。例如,应用程序1625可以包括可执行程序指令(也被称为计算机程序产品),当由处理器1601执行时,该程序指令可将UE 1600配置为执行与本文所述的各种示例性方法(例如,程序)相对应的操作。
存储介质1621可以被配置为包括多个物理驱动单元,诸如独立磁盘冗余阵列(RAID)、软盘驱动器、闪存、USB闪存驱动器、外部硬盘驱动器、拇指驱动器、笔式驱动器、钥匙驱动器、高密度数字多功能光盘(HD-DVD)光盘驱动器、内置硬盘驱动器、蓝光光驱、全息数字数据存储(HDDS)光盘驱动器、外置迷你双列直插内存模块(DIMM)、同步动态随机存取存储器(SDRAM)、外部微-DIMM SDRAM、智能卡存储器(诸如用户身份模块或可移动用户身份(SIM/RUIM)模块、其他存储器或其任何组合。存储介质1621可以允许和/或促进UE 1600访问存储在暂时或非暂时性存储介质上的计算机可执行指令、应用程序等,以卸载数据或上传数据。制品,诸如利用通信系统的制品,可以有形地实施在存储介质1621中,该存储介质1621可以包括设备可读介质。
在图16中,处理电路1601可以被配置为使用通信子系统1631与网络1643b通信。网络1643a和网络1643b可以是相同的一个或多个网络或不同的一个或多个网络。通信子系统1631可以被配置为包括一个或多个用于与网络1643b通信的收发器。例如,通信子系统1631可以被配置为包括一个或多个收发器,该收发器用于与能够根据一种或多种通信协议,诸如IEEE 802.16、CDMA、WCDMA、GSM、LTE、UTRAN、WiMax等进行无线通信的另一设备,诸如另一个WD、UE或无线电接入网络(RAN)的基站,的一个或多个远程收发器进行通信。每个收发器可以包括发射器1633和/或接收器1635以分别实现适合于RAN链路的发射器或接收器功能(例如,频率分配等)。此外,每个收发器的发射器1633和接收器1635可以共享电路部件、软件或固件,或者可替代地可以分开实现。
在所示实施例中,通信子系统1631的通信功能可以包括数据通信、语音通信、多媒体通信、短距离通信如蓝牙、近场通信、基于位置的通信如使用全球定位系统(GPS)来确定位置、另一个类似的通信功能或其任何组合。例如,通信子系统1631可以包括蜂窝通信、Wi-Fi通信、蓝牙通信和GPS通信。网络1643b可以包括有线和/或无线网络,诸如局域网(LAN)、广域网(WAN)、计算机网络、无线网络、电信网络、另一种类似网络或其任何组合。例如,网络1643b可以是蜂窝网络、Wi-Fi网络和/或近场网络。电源1613可以被配置为向UE 1600的部件提供交流(AC)或直流(DC)电力。
本文描述的特征、益处和/或功能可以在UE 1600的部件中的一个中实现或跨UE1600的多个部件划分。此外,本文描述的特征、益处和/或功能可以以硬件、软件或固件的任何组合来实现。在一个示例中,通信子系统1631可以被配置为包括本文描述的任何部件。此外,处理电路1601可以被配置为通过总线1602与任何这样的部件通信。在另一个示例中,任何此类部件可以由存储在存储器中的程序指令表示,当由处理电路1601执行时,这些程序指令执行本文描述的对应功能。在另一个示例中,任何此类部件的功能可以在处理电路1601和通信子系统1631之间划分。在另一个示例中,任何这样的部件的非计算密集型功能可以在软件或固件中实现并且计算密集型功能可以在硬件中实现。
图17是图示其中可以虚拟化由一些实施例实现的功能的虚拟化环境1700的示意框图。在本上下文中,虚拟化意味着创建装置或设备的虚拟版本,其可以包括虚拟化硬件平台、存储设备和网络资源。如本文所用,虚拟化可应用于节点(例如,虚拟化基站或虚拟化无线电接入节点)或应用于设备(例如,UE、无线设备或任何其他类型的通信设备)或其部件,并且涉及一种实现方式,其中至少一部分功能被实现为一个或多个虚拟部件(例如,经由在一个或多个网络中的一个或多个物理处理节点上执行的一个或多个应用、部件、功能、虚拟机或容器)。
在一些实施例中,本文描述的一些或所有功能可以被实现为由在由硬件节点1730中的一个或多个托管的一个或多个虚拟环境1700中实现的一个或多个虚拟机执行的虚拟部件。此外,在虚拟节点不是无线电接入节点或不需要无线电连接性(例如,核心网络节点)的各实施例中,则网络节点可以被完全虚拟化。
这些功能可以由一个或多个应用1720(可替代地称为软件实例、虚拟设备、网络功能、虚拟节点、虚拟网络功能等)来实现,应用1720可操作为实现本文公开的一些实施例的一些特征、功能和/或益处。应用1720在虚拟化环境1700中运行,该虚拟化环境1700提供包括处理电路1760和存储器1790的硬件1730。存储器1790包含可由处理电路1760执行的指令1795,由此应用1720可操作为提供本文公开的特征、益处和/或功能中的一个或多个。
虚拟化环境1700包括通用或专用网络硬件设备(或节点)1730,网络硬件设备1730包括一组一个或多个处理器或处理电路1760,处理器或处理电路1760可以是商用现货(COTS)处理器、专用专用集成电路(ASIC)或任何其他类型的处理电路,包括数字或模拟硬件部件或专用处理器。每个硬件设备可以包括存储器1790-1,存储器1790-1可以是用于临时存储由处理电路1760执行的指令1795或软件的非持久性存储器。例如,指令1795可以包括程序指令(也称为计算机程序产品),该程序指令在由处理电路1760执行时可以将硬件节点1720配置为执行与本文所述的各种示例性方法(例如,程序)相对应的操作。这样的操作也可以归因于由硬件节点1730托管的一个或多个虚拟节点1720。
每个硬件设备可以包括一个或多个网络接口控制器(NIC)1770,也称为网络接口卡,NIC 1770包括物理网络接口1780。每个硬件设备还可以包括其中存储有可由处理电路1760执行的软件1795和/或指令的非暂时性、持久性、机器可读存储介质1790-2。软件1795可包括任何类型的软件,包括用于实例化一个或多个虚拟化层1750(也称为管理程序)的软件、执行虚拟机1740的软件以及允许其执行与本文描述的一些实施例相关的功能、特征和/或益处的软件。
虚拟机1740包括虚拟处理、虚拟存储器、虚拟网络或接口和虚拟存储装置,并且可以由对应的虚拟化层1750或管理程序运行。虚拟设备1720的实例的不同实施例可以在一个或多个虚拟机1740上实现,并且这些实现方式可以以不同的方式进行。
在操作期间,处理电路1760执行软件1795以实例化管理程序或虚拟化层1750,管理程序或虚拟化层1750有时可被称为虚拟机监视器(VMM)。虚拟化层1750可以呈现虚拟操作平台,该虚拟操作平台对于虚拟机1740而言看起来像网络硬件。
如图17所示,硬件1730可以是带有通用或特定部件的独立网络节点。硬件1730可以包括天线17225并且可以经由虚拟化来实现一些功能。可替代地,硬件1730可以是更大的硬件集群的一部分(例如诸如在数据中心或客户端设备(CPE)中),其中许多硬件节点一起工作并经由管理和编排(MANO)17100进行管理,其中,许多其他硬件节点监督应用1720的生命周期管理。
硬件虚拟化在某些上下文中称为网络功能虚拟化(NFV)。NFV可用于将许多网络设备类型整合到行业标准的大容量服务器硬件、物理交换机和物理存储装置上,这些设备可以位于数据中心和客户端设备中。
在NFV的上下文中,虚拟机1740可以是运行程序的物理机的软件实现方式,就好像它们在物理的、非虚拟化的机器上执行一样。每个虚拟机1740,以及执行该虚拟机的硬件1730的那部分,无论是专用于该虚拟机的硬件和/或由该虚拟机与其他虚拟机1740共享的硬件,都形成单独的虚拟网络元件(VNE)。
仍然在NFV的上下文中,虚拟网络功能(VNF)负责处理在硬件网络基础设施1730之上的一个或多个虚拟机1740中运行并对应于图17中的应用1720的特定网络功能。
在一些实施例中,每个都包括一个或多个发射器17220和一个或多个接收器17210的一个或多个无线电单元17200可以耦合到一个或多个天线17225。无线电单元17200可以经由一个或多个适当的网络接口直接与硬件节点1730通信并且可以与虚拟部件结合使用以提供带有无线电能力的虚拟节点,诸如无线电接入节点或基站。以这种方式布置的节点还可以与一个或多个UE通信,诸如本文其他地方所描述的。
在一些实施例中,可以经由控制系统17230执行一些信令,该控制系统可替代地用于硬件节点1730和无线电单元17200之间的通信。
此外,本文所描述的各种网络功能(NF,例如,UDM、AAnF、AUSF等)可以用硬件1730的不同变体来实现和/或由硬件1730(包括上述那些变体)的不同变体托管。
参考图18,根据一个实施例,通信系统包括电信网络1810,诸如3GPP型蜂窝网络,其包括接入网络1811,诸如无线电接入网络,以及核心网络1814。接入网络1811包括多个基站1812a、1812b、1812c,诸如NB、eNB、gNB或其他类型的无线接入点,每个基站定义对应的覆盖区域1813a、1813b、1813c。每个基站1812a、1812b、1812c可通过有线或无线连接1815连接到核心网络1814。位于覆盖区域1813c中的第一UE 1891被配置为无线连接到对应的基站1812c或被其寻呼。位于覆盖区域1813a中的第二UE 1892可无线连接到对应的基站1812a。虽然在该示例中示出了多个UE 1891、1892,但是所公开的各实施例同样适用于唯一UE处于覆盖范围中或唯一UE连接到对应基站1812的情况。
电信网络1810本身连接到主机计算机1830,主机计算机1830可以实施在独立服务器、云实现的服务器、分布式服务器的硬件和/或软件中或作为服务器群中的处理资源。主机计算机1830可以在服务提供商的所有权或控制之下或者可以由服务提供商或代表服务提供商操作。电信网络1810和主机计算机1830之间的连接1821和1822可以直接从核心网络1814延伸到主机计算机1830或可以经由可选的中间网络1820延伸。中间网络1820可以是公共、私有或托管网络中的一种或不止一种的组合;中间网络1820,如果有的话,可以是骨干网或互联网;特别地,中间网络1820可以包括两个或更多个子网络(未示出)。
图18的通信系统作为一个整体实现了在连接的UE 1891、1892和主机计算机1830之间的连接性。连接性可以被描述为过顶(OTT)连接1850。主机计算机1830和连接的UE1891、1892被配置为使用接入网络1811、核心网络1814、任何中间网络1820和可能的进一步基础设施(未示出)作为中介,经由OTT连接1850传送数据和/或信令。OTT连接1850在OTT连接1850所经过的参与通信设备不知道上行链路和下行链路通信的路由的意义上可以是透明的。例如,基站1812可能不会或不需要被告知带有源自主机计算机1830的数据的传入下行链路通信的过去路由要被转发(例如,切换)到连接的UE 1891。类似地,基站1812不需要知道源自UE 1891的传出上行链路通信到主机计算机1830的未来路由。
现在将参考图19描述根据一个实施例的在前面段落中讨论的UE、基站和主机计算机的示例实现方式。在通信系统1900中,主机计算机1910包括硬件1915,硬件1915包括通信接口1916,该通信接口1916被配置为建立和维持与通信系统1900的不同通信设备的接口的有线或无线连接。主机计算机1910进一步包括处理电路1918,该处理电路可以具有存储和/或处理能力。特别地,处理电路1918可以包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列或这些的适于执行指令的组合(未示出)。主机计算机1910进一步包括软件1911,软件1911存储在主机计算机1910中或可由主机计算机1910访问并且可由处理电路1918执行。软件1911包括主机应用1912。主机应用1912可操作为向远程用户,诸如经由在UE1930和主机计算机1910处终止的OTT连接1950连接的UE 1930提供服务。在向远程用户提供服务时,主机应用1912可以提供使用OTT连接1950发射的用户数据。
通信系统1900进一步包括在电信系统中提供的基站1920,并且包括使其能够与主机计算机1910和UE 1930进行通信的硬件1925。硬件1925可以包括用于建立和维持与通信系统1900的不同通信设备的接口的有线或无线连接的通信接口1926,以及用于建立和维持至少与位于由基站1920服务的覆盖范围(图19中未示出)中的UE 1930的无线连接1970的无线电接口1927。通信接口1926可以被配置为促进连接1960到主机计算机1910。连接1960可以是直接的,或者它可以通过电信系统的核心网络(图19中未示出)和/或通过电信系统外部的一个或多个中间网络。在所示实施例中,基站1920的硬件1925还可以包括处理电路1928,处理电路1928可以包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列或这些的适于执行指令的组合(未示出)。
基站1920还包括内部存储的或经由外部连接可接入的软件1921。例如,软件1921可以包括程序指令(也称为计算机程序产品),该程序指令在由处理电路1928执行时可以将基站1920配置为执行与本文所述的各种示例性方法(例如,过程)相对应的操作。
通信系统1900还可以包括已经提到的UE 1930,其硬件1935可以包括无线电接口1937,该无线电接口1937被配置为建立并维持与服务于UE 1930当前所在的覆盖区域的基站的无线连接1970。UE 1930的硬件1935还可以包括处理电路1938,处理电路1938可以包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列或这些的适于执行指令的组合(未示出)。
UE 1930还包括软件1931,软件1931存储在UE 1930中或可由UE 1930访问并且可由处理电路1938执行。软件1931包括客户端应用1932。客户端应用1932可操作为在主机计算机1910的支持下经由UE 1930向人类或非人类用户提供服务。在主机计算机1910中,执行主机应用1912可以经由终止于UE 1930和主机计算机1910的OTT连接1950与执行客户端应用1932通信。在向用户提供服务时,客户端应用1932可以从主机应用1912接收请求数据并响应于请求数据提供用户数据。OTT连接1950可以传送请求数据和用户数据两者。客户端应用1932可以与用户交互以生成它提供的用户数据。软件1931还可以包括程序指令(也称为计算机程序产品),该程序指令在由处理电路1938执行时可以将UE 1930配置为执行与本文所述的各种方法(例如,过程)相对应的操作。
作为一个示例,图19中所示的主机计算机1910、基站1920和UE 1930可以分别与图18的主机计算机1830、基站1812a、1812b、1812c中的一个和UE 1891、1892中的一个相似或相同。也就是说,这些实体的内部工作原理可以如图19所示,独立的周围的网络拓扑可以如图18所示。
在图19中,已抽象地绘制OTT连接1950以说明主机计算机1910与UE 1930之间经由基站1920的通信,而未明确提及任何中间设备以及经由这些设备的消息的精确路由。网络基础设施可以确定路由,它可以被配置为对UE 1930或对操作主机计算机1910的服务提供商或两者隐藏。当OTT连接1950处于活跃状态时,网络基础设施可以进一步做出决定,通过它动态地改变路由(例如,基于负载平衡考虑或网络的重新配置)。
UE 1930和基站1920之间的无线连接1970根据本公开通篇描述的各实施例的教导。各种实施例中的一个或多个改善使用OTT连接1950提供给UE 1930的OTT服务的性能,其中无线连接1970形成最后一段。更准确地说,本文公开的示例性实施例可以提高网络监测数据流的端到端服务质量(QoS)的灵活性,包括与用户设备(UE)和另一实体(诸如5G网络外部的OTT数据应用或服务)之间的数据会话相关联的数据流的对应无线电承载。这些和其他优势可以促进5G/NR解决方案的更及时设计、实施和部署。此外,这样的各实施例可以促进对数据会话QoS的灵活和及时的控制,这可以导致5G/NR所设想的容量、吞吐量、延迟等的改进,并且对OTT服务的增长很重要。
可以为了监测数据速率、延迟和一个或多个实施例对其改进的其他网络运行方面的目的而提供测量过程。响应于测量结果的变化,可以进一步存在用于重新配置主机计算机1910和UE 1930之间的OTT连接1950的可选网络功能。用于重新配置OTT连接1950的测量过程和/或网络功能可以在主机计算机1910的软件1911和硬件1915中或在UE 1930的软件1931和硬件1935中或两者中实现。在各实施例中,传感器(未示出)可以部署在OTT连接1950通过的通信设备中或与其相关联;传感器可以通过提供上面例示的监测量的值或提供其他物理量的值来参与测量过程,软件1911、1931可以根据这些值计算或估计监测量。OTT连接1950的重新配置可以包括消息格式、重传设置、首选路由等;重新配置不需要影响基站1920,并且它可能是基站1920未知或察觉不到的。这样的过程和功能在本领域中是已知的和已实践的。在某些实施例中,测量可以涉及促进主机计算机1910对吞吐量、传播时间、延迟等的测量的专有UE信令。测量可以在软件1911和1931使用OTT连接1950发送消息,特别是在空或“伪”消息的情况下实现,同时它监测传播时间、误差等。
图20是图示根据一个实施例的在通信系统中实现的示例性方法和/或过程的流程图。该通信系统包括主机计算机、基站和UE,在一些示例性实施例中,它们可以是参考本文中的其他附图描述的那些。为简化本公开,本部分将仅包括对图20的附图参考。在步骤2010中,主机计算机提供用户数据。在步骤2010的子步骤2011(可以是可选的)中,主机计算机通过执行主机应用来提供用户数据。在步骤2020中,主机计算机发起向UE的承载用户数据的传输。在步骤2030(可以是可选的)中,根据本公开通篇描述的各实施例的教导,基站向UE发送在主机计算机发起的传输中承载的用户数据。在步骤2040(也可以是可选的)中,UE执行与由主机计算机执行的主机应用相关联的客户端应用。
图21是图示根据一个实施例的在通信系统中实现的示例性方法和/或过程的流程图。通信系统包括主机计算机、基站和UE,它们可以是参考图12和13描述的那些。为简化本公开,本部分将仅包括对图21的附图参考。在该方法的步骤2110中,主机计算机提供用户数据。在可选的子步骤(未示出)中,主机计算机通过执行主机应用来提供用户数据。在步骤2120中,主机计算机发起向UE的承载用户数据的传输。根据本公开通篇描述的各实施例的教导,传输可以经由基站进行。在步骤2130(可以是可选的)中,UE接收传输中承载的用户数据。
图22是图示根据一个实施例的在通信系统中实现的示例性方法和/或过程的流程图。通信系统包括主机计算机、基站和UE,它们可以是参考图12和13描述的那些。为简化本公开,本部分将仅包括对图22的附图参考。在步骤2210(可以是可选的)中,UE接收由主机计算机提供的输入数据。附加地或可替代地,在步骤2220中,UE提供用户数据。在步骤2220的子步骤2221(可以是可选的)中,UE通过执行客户端应用来提供用户数据。在步骤2210的子步骤2211(可以是可选的)中,UE执行客户端应用,该客户端应用响应于接收到由主机计算机提供的输入数据而提供用户数据。在提供用户数据时,执行的客户端应用可以进一步考虑从用户接收到的用户输入。不管提供用户数据的具体方式如何,UE在子步骤2230(可以是可选的)中发起用户数据到主机计算机的传输。在该方法的步骤2240中,根据本公开通篇描述的各实施例的教导,主机计算机接收从UE发送的用户数据。
图23是图示根据一个实施例的一种在通信系统中实现的示例性方法和/或过程的流程图。通信系统包括主机计算机、基站和UE,它们可以是参考图12和13描述的那些。为简化本公开,本部分将仅包括对图23的附图参考。在步骤2310(可以是可选的)中,根据本公开通篇描述的各实施例的教导,基站从UE接收用户数据。在步骤2320(可以是可选的)中,基站发起将接收到的用户数据到主机计算机的传输。在步骤2330(可以是可选的)中,主机计算机接收基站发起的传输中承载的用户数据。
如本文所描述的,设备和/或装置可以由半导体芯片、芯片组或包括这样的芯片或芯片组的(硬件)模块表示;然而,这并不排除设备或装置的功能不是由硬件实现而是实现为软件模块(诸如计算机程序或包括用于在处理器上执行或运行的可执行软件代码部分的计算机程序产品)的可能性。此外,设备或装置的功能可以通过硬件和软件的任何组合来实现。设备或装置也可以被视为多个设备和/或装置的组合,无论是在功能上相互协作还是彼此独立。此外,只要设备或装置的功能得以保留,设备和装置就可以在整个系统中以分布式方式实现。这样的和类似的原理被认为是技术人员已知的。
此外,本文描述的由无线设备或网络节点执行的功能可以分布在多个无线设备和/或网络节点上。换句话说,可以设想本文描述的网络节点和无线设备的功能不限于单个物理设备的性能,并且实际上可以分布在多个物理设备中。
除非另有定义,否则本文使用的所有术语(包括技术术语和科学术语)具有与本公开所属领域的普通技术人员通常理解的含义相同的含义。将进一步理解,本文中使用的术语应被解释为具有与其在本说明书和相关领域的上下文中的含义一致的含义,并且不应被解释为理想化或过于正式的含义,除非本文明确地如此定义。
此外,本公开中使用的某些术语,包括说明书、附图及其示例性实施例,可以在某些实例中同义使用,包括但不限于例如数据和信息。应当理解,虽然这些术语和/或可以彼此同义的其他术语在本文中可以同义使用,但是可以存在这样的词可以不打算同义使用的实例。此外,就现有技术知识在上文中未通过引用明确并入的程度而言,其全部明确地并入本文。引用的所有出版物通过引用整体并入本文。
以上仅说明了本公开的原理。鉴于本文的教导,对所描述的各实施例的各种修改和变更对于本领域技术人员来说将是显而易见的。因此应当理解,本领域技术人员将能够设计出多种系统、布置和过程,尽管本文没有明确地示出或描述,但是实施了本公开的原理并且因此可以落入本公开的精神和范围内。如本领域普通技术人员应当理解的,各种示例性实施例可以彼此一起使用,以及与其互换使用。
本文描述的技术和装置的各示例实施例还包括但不限于以下列举的各实施例:
A1.一种用于通信网络的认证服务器功能(AUSF)的方法,所述方法包括:
从用户设备(UE)接收认证请求,所述认证请求包含与所述UE相关联的第一标识符或与所述UE相关联的第二标识符;以及
当所述认证请求包含所述第二标识符时,确定以下安全性密钥标识符中的一个:
基于从所述通信网络的统一数据管理功能(UDM)获取的所述第一标识符的第一字段的第一安全性密钥标识符;或
不基于所述第一标识符的第一字段的第二安全性密钥标识符。
A2.根据实施例A1所述的方法,进一步包括当所述认证请求包含所述第一标识符时执行以下操作:
基于包含在所述第一标识符中的第一字段来确定所述第一安全性密钥标识符;并且
向所述UDM发送包含在所述第一标识符中的所述第一字段。
A3.根据实施例A1-A2中任一项所述的方法,其中:
所述第二标识符是5G全局唯一临时标识符(5G-GUTI);
所述第一标识符是订阅隐藏标识符(SUCI);
所述第一字段是与所述UE的归属网络相关联的路由指示符(RID);
所述第一安全性密钥标识符是用于应用的认证和密钥管理(AKMA)密钥标识符(A-KID);以及
所述第二安全性密钥标识符是AKMA临时UE标识符(A-TID)。
A4.根据实施例A1-A3中任一项所述的方法,其中,基于从所述UDM获取的所述第一字段来确定所述第一安全性密钥标识符包括:
基于所述第二标识符来确定与所述UE相关联的第三标识符;
向所述UDM发送包含所述第三标识符的认证请求;以及
响应于所述认证请求从所述UDM接收所述第一字段。
A5.根据实施例A4所述的方法,其中,所述认证请求包括对所述第一字段的明确请求。
A6.根据实施例A4-A5中任一项所述的方法,其中,所述第三标识符是订阅永久标识符(SUPI)。
A7.根据实施例A1-A7中任一项所述的方法,进一步包括:
导出用于所述UE的锚定密钥(KAKMA);并且
向用于所述通信网络的应用的认证和密钥管理的锚定功能(AAnF)发送包含所述锚定密钥(KAKMA)和所确定的安全性密钥标识符的消息。
A8.根据实施例A7所述的方法,其中,所述消息包含对所包含的安全性密钥标识符是所述第一安全性密钥标识符还是所述第二安全性密钥标识符的指示。
A9.根据实施例A1-A8中任一项所述的方法,其中,确定所述第二安全性密钥标识符进一步基于与所述UE相关联的所述第一标识符的所述第一字段对于所述AUSF不可用的确定。
B1.一种用于通信网络的统一数据管理功能(UDM)的方法,所述方法包括:
从所述通信网络的认证服务器功能(AUSF)接收针对用户设备(UE)的认证请求,所述认证请求包含与所述UE相关联的第一标识符或与所述UE相关联的第二标识符;
当所述认证请求包含所述第二标识符时,获取所述第一标识符的第一字段,并响应于所述认证请求向所述AUSF发送所述第一字段;以及
当所述认证请求包含所述第一标识符时,存储在所述第一标识符中包含的所述第一字段。
B2.根据实施例B1所述的方法,其中,获取所述第一字段包括以下步骤中的一个:
从UE订阅数据或从所述UE的先前成功认证中检索所述第一字段的存储版本;或
对所述第二标识符执行去隐藏操作以生成包含所述第一字段的所述第一标识符。
B3.根据实施例B1-B2中任一项所述的方法,其中,向所述AUSF发送所述第一字段是响应于以下项中的一个:
包括在所述认证请求中的对所述第一字段的明确请求;或
在对所述认证请求的所述响应中包含用于应用的认证和密钥管理(AKMA)指示符。
B4.根据实施例B1-B3中任一项所述的方法,其中:
所述第二标识符是订阅永久标识符(SUPI);
所述第一标识符是订阅隐藏标识符(SUCI);以及
所述第一字段是与所述UE的归属网络相关联的路由指示符(RID)。
C1.一种用于通信网络的应用的认证和密钥管理的锚定功能(AAnF)的方法,所述方法包括:
从所述通信网络的认证服务器功能(AUSF)接收用于用户设备(UE)的锚定密钥(KAKMA)以及以下安全性密钥标识符中的一个:
基于与所述UE相关联的第一标识符的第一字段的第一安全性密钥标识符;或
不基于所述第一字段的第二安全性密钥标识符;
将所述锚定密钥(KAKMA)与所接收的安全性密钥标识符相关联地存储;
从与所述通信网络相关联的应用功能(AF)接收对与所述AF和所述UE之间的应用会话相关联的安全性密钥(KAF)的请求,其中,所述请求包含与所述UE相关联的第三安全性密钥标识符;以及
基于确定所述第三安全性密钥标识符对应于所存储的安全性密钥标识符,来基于与所接收的安全性密钥标识符相关联地存储的所述锚定密钥(KAKMA)导出与所述应用会话相关联的所述安全性密钥(KAF)。
C2.根据实施例C1所述的方法,进一步包括向所述AF发送所述导出的安全性密钥(KAF)。
C3.根据实施例C1-C2中任一项所述的方法,其中:
所述第二标识符是订阅永久标识符(SUPI);
所述第一标识符是订阅隐藏标识符(SUCI);
所述第一字段是与所述UE的归属网络相关联的路由指示符(RID);
所述第一安全性密钥标识符是用于应用的认证和密钥管理(AKMA)密钥标识符(A-KID);以及
所述第二安全性密钥标识符是AKMA临时UE标识符(A-TID)。
C4.根据实施例C1-C3中任一项所述的方法,其中,当所述锚定密钥(KAKMA)与所述第二安全性密钥标识符相关联地存储时,确定所述第三安全性密钥标识符对应于所存储的安全性密钥标识符进一步包括:
从所述接收到的第三安全性密钥标识符中确定第四安全性密钥标识符;以及
确定在所述第四安全性密钥标识符和所述第二安全性密钥标识符之间的匹配。
C5.根据实施例C4所述的方法,其中:
所述第三安全性密钥标识符是用于应用的认证和密钥管理(AKMA)密钥标识符(A-KID);以及
所述第四安全性密钥标识符是AKMA临时UE标识符(A-TID)。D1.一种通信网络的认证服务器功能(AUSF),所述AUSF包括:
接口电路,所述接口电路被配置为与用户设备(UE)以及所述通信网络的用于应用的认证和密钥管理的锚定功能(AAnF)和统一数据管理功能(UDM)进行通信;以及
处理电路,所述处理电路可操作地耦合到所述接口电路,由此所述处理电路和所述接口电路被配置为执行与实施例A1-A9的任何所述方法相对应的操作。
D2.一种通信网络的认证服务器功能(AUSF),所述AUSF被配置为执行与实施例A1-A9的任何所述方法相对应的操作。
D3.一种存储计算机可执行指令的非暂时性计算机可读介质,当所述计算机可执行命令由与通信网络的认证服务器功能(AUSF)相关联的处理电路执行时,将所述AUSF配置为执行与实施例A1-A9的任何所述方法相对应的操作。
D4.一种计算机程序产品,包括计算机可执行指令,当由与通信网络的认证服务器功能(AUSF)相关联的处理电路执行时,所述计算机可执行指令将所述AUSF配置为执行与实施例A1-A9的任何所述方法相对应的操作。
E1.一种通信网络的统一数据管理功能(UDM),所述UDM包括:
接口电路,所述接口电路被配置为与所述通信网络的认证服务器功能(AUSF)通信;以及
可操作地耦合到所述接口电路的处理电路,由此所述处理电路和接口电路被配置为执行与实施例B1-B4的任何所述方法相对应的操作。
E2.一种通信网络的统一数据管理功能(UDM),所述UDM被配置为执行与实施例B1-B4的任何所述方法相对应的操作。
E3.一种存储计算机可执行指令的非暂时性计算机可读介质,当由与通信网络的统一数据管理功能(UDM)相关联的处理电路执行时,所述指令将所述UDM配置为执行与实施例B1-B4的任何所述方法相对应的操作。
E4.一种包括计算机可执行指令的计算机程序产品,当由与通信网络的统一数据管理功能(UDM)相关联的处理电路执行时,所述指令将所述UDM配置为执行与实施例B1-B4的任何所述方法相对应的操作。
F1.一种通信网络的用于应用的认证和密钥管理的锚定功能(AAnF),所述AAnF包括:
接口电路,所述接口电路被配置为与用户设备(UE)以及与所述通信网络的认证服务器功能(AUSF)进行通信;以及
可操作地耦合到所述接口电路的处理电路,由此所述处理电路和接口电路被配置为执行与实施例C1-C5的任何所述方法相对应的操作。
F2.一种通信网络中的用于应用的认证和密钥管理的锚定功能(AAnF),所述AAnF被配置为执行与实施例C1-C5的任何所述方法相对应的操作。
F3.一种存储计算机可执行指令的非暂时性计算机可读介质,当由与通信网络中的用于应用的认证和密钥管理的锚定功能(AAnF)相关联的处理电路执行时,所述指令将所述AAnF配置为执行与实施例C1-C5的任何所述方法相对应的操作。
F4.一种包括计算机可执行指令的计算机程序产品,当由与通信网络中的用于应用的认证和密钥管理的锚定功能(AAnF)相关联的处理电路执行时,所述指令将所述AAnF配置为执行与实施例C1-C5的任何所述方法相对应的操作。
Claims (31)
1.一种由通信网络的认证服务器功能AUSF执行的方法,所述方法包括:
发送包含与用户设备UE相关联的第一标识符或与所述UE相关联的第二标识符的第二认证请求;
接收对所述第二认证请求的响应;以及
当所述响应包含用于应用的认证和密钥管理AKMA指示符时:基于所述响应中包含的第一字段来确定第一安全性密钥标识符。
2.根据权利要求1所述的方法,进一步包括:
导出用于所述UE的锚定密钥;并且
向用于应用的认证和密钥管理的锚定功能AAnF发送包含所述锚定密钥和所述第一安全性密钥标识符的消息。
3.根据权利要求2所述的方法,其中,所述消息进一步包含所述第二标识符。
4.根据前述权利要求中任一项所述的方法,其中,所述第二认证请求被发送到所述通信网络的统一数据管理功能UDM,并且其中,从所述UDM接收对所述第二认证请求的所述响应。
5.根据前述权利要求中任一项所述的方法,其中,所述第一字段对应于所述第一标识符的字段。
6.根据前述权利要求中任一项所述的方法,进一步包括:
向所述UDM发送包含所述第一标识符或所述第二标识符的所述第二认证请求;以及
响应于所述第二认证请求从所述UDM接收包含所述第一字段的所述响应;
其中,所述响应包含所述AKMA指示符和所述第一字段。
7.根据前述权利要求中任一项所述的方法,其中,以下项中的至少一项:
所述第一标识是订阅隐藏标识符SUCI;
所述第二标识是订阅永久标识符SUPI;
所述第一字段是与所述UE的归属网络相关联的路由指示符RID;以及
所述第一安全性密钥标识符是用于应用的认证和密钥管理AKMA密钥标识符A-KID。
8.一种由通信网络的统一数据管理功能UDM执行的方法,所述方法包括:
从所述通信网络的认证服务器功能AUSF接收针对用户设备UE的认证请求,所述认证请求包含与所述UE相关联的第一标识符或与所述UE相关联的第二标识符;
获取第一字段;以及
响应于所述认证请求,向所述AUSF发送用于应用的认证和密钥管理AKMA指示符(AKMAInd)以及所述第一字段。
9.根据权利要求8所述的方法,进一步包括:
确定是否应当将AKMA指示符包含在对所述认证请求的所述响应中;并且
响应于应当包含所述AKMA指示符的确定,响应于所述认证请求向所述AUSF发送AKMA指示符和所述第一字段。
10.根据权利要求8至9中任一项所述的方法,进一步包括:
当所述认证请求包含所述第一标识符时,存储在所述第一标识符中包含的所述第一字段。
11.根据权利要求8至10中任一项所述的方法,其中,获取所述第一字段包括以下步骤中的一个:
从UE订阅数据或从所述UE的先前成功认证中检索所述第一字段的存储版本;或
对所述第二标识符执行去隐藏操作以生成包含所述第一字段的所述第一标识符。
12.根据权利要求8至11中任一项所述的方法,其中:
所述第二标识是订阅永久标识符SUPI;
所述第一标识符是订阅隐藏标识符SUCI;以及
所述第一字段是与所述UE的归属网络相关联的路由指示符RID。
13.一种由通信网络的用于应用的认证和密钥管理的锚定功能AAnF执行的方法,所述方法包括:
从所述通信网络的认证服务器功能AUSF接收用户设备UE的锚定密钥和基于与所述UE相关联的第一标识符的第一字段的第一安全性密钥标识符;
将所述锚定密钥与所述第一安全性密钥标识符相关联地存储;
从与所述通信网络相关联的应用功能AF接收对与所述AF和所述UE之间的应用会话相关联的安全性密钥的请求,其中,所述请求包含与所述UE相关联的第三安全性密钥标识符;以及
基于确定所述第三安全性密钥标识符对应于所述存储的安全性密钥标识符,来基于与所接收的安全性密钥标识符相关联地存储的所述锚定密钥导出与所述应用会话相关联的所述性密钥。
14.根据权利要求13所述的方法,进一步包括向所述AF发送所述导出的安全性密钥。
15.根据权利要求13至14中任一项所述的方法,其中:
所述第二标识是订阅永久标识符SUPI;
所述第一标识是订阅隐藏标识符SUCI;
所述第一字段是与所述UE的归属网络相关联的路由指示符RID;以及
所述第一安全性密钥标识符是用于应用的认证和密钥管理AKMA密钥标识符A-KID。
16.一种通信网络的认证服务器功能AUSF,所述AUSF包括:
接口电路,所述接口电路被配置为与用户设备UE以及所述通信网络的用于应用的认证和密钥管理的锚定功能AAnF和统一数据管理功能UDM进行通信;以及
可操作地耦合到所述接口电路的处理电路,由此所述处理电路和所述接口电路被配置为执行与根据权利要求1至7的方法中的任何一个方法相对应的操作。
17.一种通信网络的认证服务器功能AUSF,所述AUSF被配置为执行与根据权利要求1至7的方法中的任何一个方法相对应的操作。
18.一种存储计算机可执行指令的非暂时性计算机可读介质,当所述计算机可执行命令由与通信网络的认证服务器功能AUSF相关联的处理电路执行时,将所述AUSF配置为执行与根据权利要求1至7的方法中的任何一个任何方法相对应的操作。
19.一种包括指令的计算机程序,当所述程序由计算机执行时,所述指令使所述计算机执行根据权利要求1至7的方法中的任何一个的方法的所述步骤。
20.一种包括计算机可执行指令的计算机程序产品,当由与通信网络的认证服务器功能AUSF相关联的处理电路执行时,所述计算机可执行指令将所述AUSF配置为执行与根据权利要求1至7的方法中的任何一个方法相对应的操作。
21.一种通信网络的统一数据管理功能UDM,所述UDM包括:
接口电路,所述接口电路被配置为与所述通信网络的认证服务器功能AUSF通信;以及
可操作地耦合到所述接口电路的处理电路,由此所述处理电路和接口电路被配置为执行与根据权利要求8至12的方法中的任何一个方法相对应的操作。
22.一种通信网络的统一数据管理功能UDM,所述UDM被配置为执行与根据权利要求8至12方法中的任何一个方法相对应的操作。
23.一种存储计算机可执行指令的非暂时性计算机可读介质,当由与通信网络的统一数据管理功能UDM相关联的处理电路执行时,所述指令将所述UDM配置为执行与根据权利要求8至12的方法中的任何一个方法相对应的操作。
24.一种包括指令的计算机程序,当所述程序由计算机执行时,所述指令使所述计算机执行根据权利要求8至12的方法中的任何一个方法的步骤。
25.一种包括计算机可执行指令的计算机程序产品,当由与通信网络的统一数据管理功能UDM相关联的处理电路执行时,所述指令将所述UDM配置为执行与权利要求8至12中的任何所述方法相对应的操作。
26.一种通信网络的用于应用的认证和密钥管理的锚定功能AAnF,所述AAnF包括:
接口电路,所述接口电路被配置为与所述通信网络的用户设备UE以及认证服务器功能AUSF进行通信;以及
可操作地耦合到所述接口电路的处理电路,由此所述处理电路和接口电路被配置为执行与根据权利要求13至15的方法中的任何一个方法相对应的操作。
27.一种通信网络中的用于应用的认证和密钥管理的锚定功能AAnF,所述AAnF被配置为执行与根据实施例13至15的方法中的任何一个方法相对应的操作。
28.一种存储计算机可执行指令的非暂时性计算机可读介质,当由与通信网络中用于应用的认证和密钥管理的锚定功能AAnF相关联的处理电路执行时,所述指令将所述AAnF配置为执行与根据实施例13至15的方法中的任何一个方法相对应的操作。
29.一种包括指令的计算机程序,当所述程序由计算机执行时,所述指令使所述计算机执行根据权利要求13至15的方法中的任何一个方法的步骤。
30.一种包括指令的计算机程序,当所述程序由计算机执行时,所述指令使所述计算机执行根据权利要求13至15的方法中的任何一个方法的步骤。
31.一种包括计算机可执行指令的计算机程序产品,当由与通信网络中的用于应用的认证和密钥管理的锚定功能AAnF相关联的处理电路执行时,所述指令将所述AAnF配置为执行与根据实施例13至15的方法中的任何一个方法相对应的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410183408.0A CN117979288A (zh) | 2021-01-22 | 2021-11-11 | 用于akma的路由指示符检索 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNPCT/CN2021/073180 | 2021-01-22 | ||
CN2021073180 | 2021-01-22 | ||
PCT/EP2021/081371 WO2022156933A1 (en) | 2021-01-22 | 2021-11-11 | Routing indicator retrival for akma |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410183408.0A Division CN117979288A (zh) | 2021-01-22 | 2021-11-11 | 用于akma的路由指示符检索 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116803052A true CN116803052A (zh) | 2023-09-22 |
Family
ID=78709430
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410183408.0A Pending CN117979288A (zh) | 2021-01-22 | 2021-11-11 | 用于akma的路由指示符检索 |
CN202180091607.3A Pending CN116803052A (zh) | 2021-01-22 | 2021-11-11 | 用于akma的路由指示符检索 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410183408.0A Pending CN117979288A (zh) | 2021-01-22 | 2021-11-11 | 用于akma的路由指示符检索 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20240080664A1 (zh) |
EP (1) | EP4282124A1 (zh) |
JP (1) | JP2024509042A (zh) |
CN (2) | CN117979288A (zh) |
BR (1) | BR112023014579A2 (zh) |
WO (1) | WO2022156933A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20220138632A (ko) * | 2021-04-06 | 2022-10-13 | 삼성전자주식회사 | 무선 통신 시스템에서 임시 단말 식별자를 설정하는 방법 및 장치 |
CN116600289B (zh) * | 2023-07-17 | 2023-09-29 | 中国电信股份有限公司 | 应用密钥获取方法、装置、通信设备、存储介质 |
-
2021
- 2021-11-11 CN CN202410183408.0A patent/CN117979288A/zh active Pending
- 2021-11-11 BR BR112023014579A patent/BR112023014579A2/pt unknown
- 2021-11-11 US US18/273,870 patent/US20240080664A1/en active Pending
- 2021-11-11 CN CN202180091607.3A patent/CN116803052A/zh active Pending
- 2021-11-11 EP EP21810978.3A patent/EP4282124A1/en active Pending
- 2021-11-11 JP JP2023543350A patent/JP2024509042A/ja active Pending
- 2021-11-11 WO PCT/EP2021/081371 patent/WO2022156933A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
EP4282124A1 (en) | 2023-11-29 |
US20240080664A1 (en) | 2024-03-07 |
BR112023014579A2 (pt) | 2023-09-26 |
WO2022156933A1 (en) | 2022-07-28 |
CN117979288A (zh) | 2024-05-03 |
JP2024509042A (ja) | 2024-02-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11671952B2 (en) | Frequency or radio access technology (RAT) selection based on slice availability | |
CN113396610B (zh) | 用于归属路由漫游的pdu会话建立时的辅助授权 | |
JP7455217B2 (ja) | 認証および鍵管理における認証サーバー機能の選択 | |
JP7569409B2 (ja) | アプリケーション機能とコアネットワークとの間でネゴシエーションされたバックグラウンドデータ伝送ポリシを更新する方法、ポリシ制御機能、およびアプリケーション機能 | |
WO2021227833A1 (en) | Method and apparatus for providing edge service | |
JP7464683B2 (ja) | 5gにおける複数の認証手続のハンドリング | |
US20230232356A1 (en) | Storage of network slice authorization status | |
US20240064510A1 (en) | User equipment (ue) identifier request | |
CN113519175A (zh) | 针对固定网络住宅网关的认证决定 | |
WO2021209379A1 (en) | Authentication server function (ausf) push of authentication and key management (akma) material | |
US20240080664A1 (en) | Routing indicator retrival for akma | |
CN113455030B (zh) | 5g核心网络(5gc)中的组数据管理 | |
US20240137765A1 (en) | Authentication and Authorization of Servers and Clients in Edge Computing | |
US20240073691A1 (en) | Indication of Provisioning Protocol for Credentials to Access a Non-Public Network | |
KR20230161497A (ko) | 네트워크 슬라이스 리스트를 통한 네트워크 슬라이스 격리 | |
US20240196355A1 (en) | Recovery from Errors during Network Slice Specific Authentication and Authorization (NSSAA) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |