CN117917107A - 保障应用通信安全 - Google Patents

Abstract

在用于同步内容呈现的系统和方法的实施方案中，用户装备(UE)可以生成新鲜度参数，基于第一会话密钥和该新鲜度参数来生成唯一会话密钥，以及在将使得网络设备的网络应用功能(NAF)能够生成该唯一会话密钥的配置中将该新鲜度参数发送到该NAF。该网络设备可以接收该新鲜度参数，从密钥服务器功能(KSF)接收该第一会话密钥，并且基于该新鲜度参数和该第一会话密钥来生成该唯一会话密钥。该UE和该网络设备随后能够使用该唯一会话密钥进行安全通信，而无需在两个设备之间交换该唯一会话密钥。

Description

保障应用通信安全

相关申请

本申请要求于2021年9月17日提交的名称为“Securing ApplicationCommunication”的美国临时申请63/245,692号的优先权的权益，该临时申请的全部内容据此出于所有目的以引用方式并入。

技术领域

背景技术

第五代(5G)新空口(NR)和其他通信技术使得能够与诸如无线设备的用户装备(UE)进行超可靠低时延通信。针对这类通信系统的一个应用是向UE提供多种服务。在一些情况下，可以使用边缘计算架构来递送这类服务。边缘计算架构使得能够从相对接近UE定位的网络设备或元件(诸如服务器)提供服务，这可以减少端到端时延并且减少通信网络上的资源需求和消耗。一些应用和服务可以采用或者可以要求通信安全来提供一个或多个功能。

发明内容

各个方面包括由UE的处理器执行的用于保障通信安全的方法。一些方面可以包括：生成新鲜度(freshness)参数；基于第一会话密钥和新鲜度参数来生成唯一会话密钥；在将使得网络应用功能(NAF)能够生成唯一会话密钥的配置中将新鲜度参数发送到NAF；以及使用唯一会话密钥与NAF通信。

在一些方面，该新鲜度参数可以由UE的安全引导客户端生成，并且UE的应用客户端可以使用唯一会话密钥与NAF通信。在一些方面，UE的安全引导客户端可以包括通用引导架构(GBA)客户端或应用的认证和密钥管理(AKMA)客户端中的一者。在一些方面，新鲜度参数可以与UE的特定应用相关联。在一些方面，唯一会话密钥可以与UE的特定应用相关联，并且第一会话密钥可以与UE相关联。在这类方面，特定应用可以包括应用的特定实例化。

在一些方面，新鲜度参数可以包括随机值。在一些方面，新鲜度参数可以包括递增的随机数值。在一些方面，在将使得NAF能够生成唯一会话密钥的配置中将新鲜度参数发送到NAF可以包括：在网络服务请求消息中将新鲜度参数发送到NAF。

进一步的各方面包括一种具有处理器的UE，该处理器被配置成执行以上概述的方法中的任何方法的一个或多个操作。进一步的各方面包括供在UE中使用的处理设备，该处理设备被配置有处理器可执行指令以执行以上概述的方法中的任何方法的操作。进一步的各方面包括一种其上存储有处理器可执行指令的非暂态处理器可读存储介质，该处理器可执行指令被配置成使UE的处理器执行以上概述的方法中的任何方法的操作。进一步的各方面包括一种UE，该UE具有用于执行以上概述的方法中的任何方法的功能的部件。进一步的各方面包括一种供在UE中使用的片上系统，该片上系统包括被配置成执行以上概述的方法中的任何方法的一个或多个操作的处理器。

各个方面包括由网络设备的处理器执行的用于保障通信安全的方法。一些方面可以包括：由NAF从UE接收新鲜度参数；从密钥服务器功能(KSF)接收第一会话密钥；基于新鲜度参数和第一会话密钥来生成唯一会话密钥；以及使用唯一会话密钥与UE通信。

在一些方面，新鲜度参数可以与UE的特定应用相关联。在一些方面，新鲜度参数可以包括随机值。在一些方面，其中新鲜度参数可以包括递增的随机数值。

在一些方面，唯一会话密钥可以与UE的特定应用相关联，并且第一会话密钥可以与UE相关联。在这类方面，特定应用可以包括应用的特定实例化。一些方面可以包括向UE发送开始安全通信的请求。在一些方面，由NAF从UE接收新鲜度参数可以包括：在网络服务请求消息中接收新鲜度参数。

进一步的各方面包括一种具有处理器的网络设备，该处理器被配置成执行以上概述的方法中的任何方法的一个或多个操作。进一步的各方面包括供在网络设备中使用的处理设备，该处理设备被配置有处理器可执行指令以执行以上概述的方法中的任何方法的操作。进一步的各方面包括一种其上存储有处理器可执行指令的非暂态处理器可读存储介质，该处理器可执行指令被配置成使网络设备的处理器执行以上概述的方法中的任何方法的操作。进一步的各方面包括一种网络设备，该网络设备具有用于执行以上概述的方法中的任何方法的功能的部件。进一步的各方面包括一种供在网络设备中使用的片上系统，并且该片上系统包括被配置成执行以上概述的方法中的任何方法的一个或多个操作的处理器。

附图说明

并入本文并构成本说明书的一部分的附图例示了示例性实施方案，并且与上面给出的一般描述和下面给出的详细描述一起用于解释各种实施方案的特征。

图1A是例示适用于实现各种实施方案中的任何实施方案的示例通信系统的系统框图。

图1B是例示适用于与各种实施方案一起使用的示例边缘计算系统的系统框图。

图2是例示适用于实现各个实施方案中的任何实施方案的示例计算和无线调制解调器系统的组件框图。

图3是例示适用于实现各个实施方案中的任何实施方案的包括用于无线通信中的用户面和控制面的无线电协议栈的软件架构的组件框图。

图4A和图4B是例示根据各种实施方案的被配置成用于改善针对初始接入的覆盖的系统的组件框图。

图5A是例示适用于与各种实施方案一起使用的用于引导应用安全的示例系统的框图。

图5B是例示根据各种实施方案的在用于保障通信安全的方法500b期间在a与网络设备之间交换的通信的消息流程图。

图6是例示根据各种实施方案的由UE的处理器执行的用于保障通信安全的方法的过程流程图。

图7是例示根据各种实施方案的由网络设备的处理器执行的用于保障通信安全的方法的过程流程图。

图8是适用于与各种实施方案一起使用的网络设备的组件框图。

图9是适用于与各种实施方案一起使用的UE的组件框图。

具体实施方式

将参照附图详细描述各个实施方案。在可能之处，相同参考标号将贯穿附图用于指代相同或类似部分。对特定示例和具体实施的参考是出于例示性目的，并且不旨在限制权利要求的范围。

在各种实施方案中，为了保障用户装备(UE)与网络设备或元件(诸如服务器)之间的通信安全，在UE内执行的密钥生成实体可以被配置成生成新鲜度参数，UE使用该新鲜度参数来生成用于在诸如安全引导操作的通信协议中使用的唯一会话密钥。UE将新鲜度参数发送到网络设备作为引导操作的一部分，并且网络随后使用新鲜度参数来生成相同唯一会话密钥以用于在该通信协议中使用。UE和网络设备随后使用所生成的唯一会话密钥来保障针对特定应用或服务的通信安全。在一些具体实施中，UE和网络设备可以生成用于不同应用或服务的唯一会话密钥。以此方式，UE(例如边缘应用)和网络设备(例如边缘服务器)可以使用用于每个应用的通信的唯一会话密钥来保障针对多个应用的通信安全(保护、加密针对多个应用的通信)。各种实施方案可以在以下各项中使用或者用作以下各项的一部分：通用引导架构(GBA)、应用的认证和密钥管理(AKMA)以及其他合适的安全架构和协议。为清楚起见，本文中可以参考特定安全架构或协议来描述一些示例，但这并不旨在作为对所描述的概念中的任何概念的限制。

术语“用户装备”和“UE”在本文中用于指以下各项中的任一项或全部：端点或用户设备，包括无线设备、无线路由器设备、无线电器、蜂窝电话、智能电话、便携式计算设备、个人或移动多媒体播放器、膝上型计算机、平板计算机、智能本、超级本、掌上计算机、无线电子邮件接收器、启用因特网的多媒体蜂窝电话、医疗设备和装备、生物传感器/设备、可穿戴设备(包括智能手表、智能服装、智能眼镜、智能腕带、智能首饰(例如智能戒指、智能手环))、娱乐设备(例如无线游戏控制器、音乐和视频播放器、卫星无线电等等)、启用无线网络的物联网(IoT)设备(包括智能仪表/传感器、工业制造装备、供家庭或企业使用的大型和小型机器和电器)、自主和半自主交通工具内的无线通信元件、附加或并入到各种移动平台中的UE、全球定位系统设备以及包括存储器、无线通信组件和可编程处理器的类似电子设备。

术语“片上系统”(SOC)在本文中用于指包含集成在单个基板上的多个资源或处理器的单个集成电路(IC)芯片。单个SOC可能包含用于数字、模拟、混合信号和射频功能的电路。单个SOC还可包括任何数量的通用或专用处理器(数字信号处理器、调制解调器处理器、视频处理器等)、存储器块(诸如ROM、RAM、闪存等)、以及资源(诸如定时器、电压调节器、振荡器等)。各SOC还可包括用于控制集成资源和处理器、以及用于控制外围设备的软件。

术语“系统级封装”(SIP)在本文中可被用于指包含多个资源、计算单元、两个或更多个IC芯片上的核或处理器、基板或SOC的单个模块或封装。例如，SIP可以包括单个基板，多个IC芯片或半导体模片以垂直配置堆叠在该基板上。类似地，SIP可以包括一个或多个多芯片模块(MCM)，在这些模块上多个IC或半导体模片被封装到统一基板中。SIP还可包括经由高速通信电路耦合在一起并紧邻地封装在一起(诸如在单个主板上或在单个无线设备中)的多个独立的SOC。SOC的邻近性促成高速通信以及存储器和资源的共享。

如本文中所使用的，术语“网络”、“系统”、“无线网络”、“蜂窝网络”和“无线通信网络”可以可互换地指与无线设备和/或无线设备上的订阅相关联的运营商的无线网络的一部分或全部。本文所描述的技术可被用于各种无线通信网络，诸如码分多址(CDMA)、时分多址(TDMA)、FDMA、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)以及其他网络。一般而言，任何数量个无线网络可以被部署在给定地理区域中。每个无线网络可支持至少一个无线电接入技术，其可在一个或多个频率或频率范围上操作。例如，CDMA网络可实施通用地面无线电接入(UTRA)(包括宽带码分多址(WCDMA)标准)、CDMA2000(包括IS-2000、IS-95和/或IS-856标准)等。在另一个示例中，TDMA网络可实施GSM演进的GSM增强型数据速率(EDGE)。在另一个示例中，OFDMA网络可实施演进UTRA(E-UTRA)(包括LTE标准)、电气电子工程师协会(IEEE)802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、等。可参考使用LTE标准的无线网络，并且因此术语“演进通用地面无线电接入”、“E-UTRAN”和“eNodeB”在本文中也可互换地用于指称无线网络。然而，此类引述仅仅作为示例来提供，并且不旨在排除使用其他通信标准的无线网络。例如，虽然在本文中讨论了各种第三代(3G)系统、第四代(4G)系统和第五代(5G)系统，但是那些系统仅仅作为示例被引述，并且在各种示例中可以用未来各代系统(例如，第六代(6G)或更高代系统)来替代。

由5G NR和其他合适的通信技术实现的超可靠低时延通信使得能够向UE提供多种服务。在一些情况下，可以至少部分地使用边缘计算架构来提供这类服务，该边缘计算架构使得能够从相对接近UE定位的网络设备或元件(诸如服务器)提供服务。从边缘设备提供服务可以减少端到端时延并且减少通信网络上的资源需求和消耗。

一些应用和服务可以采用或者可以要求通信安全来提供一个或多个功能。例如，通用引导架构(GBA)可以提供使用诸如3GPP认证和密钥协商(AKA)的协议来配置UE与网络设备之间的共享秘密的机制。作为另一示例，应用的认证和密钥管理(AKMA)可以在UE与网络设备之间采用类似操作(例如执行应用功能(AF))。在常规方法中，UE和网络设备共享用于由所有服务和应用进行的所有通信的单个共享秘密。

各种实施方案包括用于保障UE与网络设备之间的通信安全的方法以及被配置成执行该方法的计算设备，该网络设备为应用或服务提供个性化通信安全。在一些实施方案中，UE可以诸如通过UE的安全引导客户端(例如GBA客户端)来生成新鲜度参数。使用第一会话密钥(例如与网络设备共享的根密钥)和新鲜度参数，UE可以生成唯一会话密钥。在各种具体实施中，新鲜度参数可以与在UE上执行或者向UE提供的特定应用相关联。例如，UE可以具有在UE的处理器上执行的与相同边缘服务器通信的若干不同边缘应用。作为示例，多个同时边缘应用可以包括导航应用、媒体(例如音乐)流应用以及增强现实应用，这些应用中的每一者应具有不同的唯一密钥。在各种实施方案中，这些不同应用中的每一者可以被指派通过UE和边缘服务器两者与第一会话密钥组合的唯一新鲜度参数，从而为每个应用提供唯一会话密钥而不会改变用于UE与边缘服务器之间的通信的第一会话密钥。

在一些具体实施中，新鲜度参数可以包括随机值。在一些具体实施中，新鲜度参数可以包括递增值，诸如每当(例如针对新应用或应用的新实例化)需要新的唯一会话密钥时可递增的计数器的值。在一些实施方案中，递增值可以用作随机数值(例如递增的随机数值)。

在各种实施方案中，UE可以在将使得网络应用功能(NAF)能够生成唯一会话密钥的配置中将新鲜度参数发送到网络设备的NAF(例如GBA中的NAF、AKMA中的应用功能或另一合适的功能)。在一些实施方案中，UE可以将新鲜度参数作为网络服务请求消息(例如应用请求消息)的一部分来发送。在各种实施方案中，NAF可以执行与由UE使用的算法相同的算法，以使用从UE接收到的新鲜度参数生成相同的唯一会话密钥(即，与由UE生成的唯一会话密钥相同的唯一会话密钥)。在一些实施方案中，NAF可以从在网络设备上执行的密钥服务器功能(KSF)(诸如引导服务器功能(BSF)、AKMA功能或另一合适的功能)接收(或者可以请求并响应于该请求而接收)第一会话密钥(即，与由UE使用的第一会话密钥相同的会话密钥)。使用新鲜度参数和第一会话密钥，NAF可以生成唯一会话密钥。UE和NAF随后可以使用唯一会话密钥进行通信，而不交换唯一会话密钥。在各种实施方案中，UE和NAF可以针对UE的每个应用或服务生成唯一会话密钥(或者由网络设备提供给UE)。

在一些实施方案中，UE可以从NAF接收开始安全通信的请求。在一些实施方案中，开始安全通信的请求可以包括NAF的域名(例如完全合格域名(FQDN))以及诸如针对NAF与UE之间的接口(诸如Ua接口)的安全协议标识符。在一些实施方案中，UE可以基于NAF的域名和安全协议标识符来导出(生成、计算)第一会话密钥。在一些实施方案中，响应于开始从NAF接收到的安全通信的请求，UE可以生成新鲜度参数并且将新鲜度参数发送到网络设备(例如发送到NAF)。例如，UE(例如GBA客户端、AKMA客户端或另一合适的客户端)可以生成新鲜度参数并且将新鲜度参数传递给NAF。UE还可以使用新鲜度参数和第一会话密钥来生成唯一会话密钥。在一些实施方案中，第一会话密钥可以与UE相关联。例如，诸如Ks_NAF、Ks_int_NAF或Ks_ext_NAF的会话密钥可以是用于GBA中的会话密钥。在一些实施方案中，新鲜度参数可以与UE的特定应用(或服务)相关联。在一些实施方案中，新鲜度参数可以与UE的应用(或服务)的特定实例化相关联。此外，NAF可以从UE接收新鲜度参数并且从KSF接收第一会话密钥的版本，并且NAF可以使用新鲜度参数和第一会话密钥生成唯一会话密钥的其自身版本。

在各种实施方案中，UE可以在UE与NAF之间交换的消息的现有字段中包括新鲜度参数。以此方式，可以在不改变消息或消息交换的协议或架构的情况下实现各种实施方案。例如，对于采用Digest AKA协议的设备和网络，新鲜度参数可以包括在“cnonce”字段中。作为另一示例，对于采用传输层安全(TLS)的设备和网络，新鲜度参数可以包括在ClientHello消息或另一合适的消息的现有字段中。在各种实施方案中，新鲜度参数的长度可以被配置成配合在现有字段和/或消息内。在各种实施方案中，UE可以以与其他加密密钥或会话密钥类似的安全级别以及/或者在类似安全的存储器部分中生成新鲜度参数，并且UE和网络设备可以处置该新鲜度参数。

各种实施方案使得UE和网络设备能够针对UE的每个应用或服务生成唯一密钥，而无需交换私有或安全信息，诸如私有密钥。因此，各种实施方案通过提高UE与网络设备之间的通信的安全来改善UE、网络设备和通信系统的操作。

图1A是例示示例通信系统100的系统框图。通信系统100可以是5G新空口(NR)网络、或任何其他合适的网络(诸如长期演进(LTE)网络)。虽然图1A例示了5G网络，但是后代网络可包括相同或类似的元件。因此，以下描述中对5G网络和5G网络元件的引述是为了例示性目的，而不旨在限制。

通信系统100可包括异构网络架构，该异构网络架构包括核心网140和各种UE(在图1中被例示为UE 120a-120e)。通信系统100可以包括边缘网络142，以经由一个或多个网络设备142a在移动设备附近提供网络计算资源、应用和/或服务。通信系统100还可包括数个基站(被例示为BS110a、BS110b、BS110c和BS110d)以及其他网络实体。基站是与UE进行通信的实体，并且也可被称为Node B、LTE演进型nodeB(eNodeB或eNB)、接入点(AP)、无线电头端、发射接收点(TRP)、新空口基站(NR BS)、5G NodeB(NB)、下一代NodeB(gNodeB或gNB)等等。每个基站可为特定地理区域提供通信覆盖。在3GPP中，术语“小区”可指基站的覆盖区域、服务该覆盖区域的基站子系统或它们的组合，这取决于使用该术语的上下文。核心网140可以是任何类型的核心网，诸如LTE核心网(例如，演进型分组核心(EPC)网)、5G核心网等。

基站110a至110d可以为宏小区、微微小区、毫微微小区、另一类型的小区或它们的组合提供通信覆盖。宏小区可覆盖相对较大的地理区域(例如，半径为数千米)，并且可允许由具有服务订阅的UE不受限制地接入。微微小区可以覆盖相对较小的地理区域，并且可以允许具有服务订阅的UE的不受限制地接入。毫微微小区可以覆盖相对较小的地理区域(例如，住宅)，并且可允许由与该毫微微小区相关联的UE(例如，封闭订户组(CSG)中的UE)受限制地接入。用于宏小区的基站可被称为宏BS。用于微微小区的基站可被称为微微BS。用于毫微微小区的基站可被称为毫微微BS或家庭BS。在图1中例示的示例中，基站110a可以是用于宏小区102a的宏BS，基站110b可以是用于微微小区102b的微微BS，并且基站110c可以是用于毫微微小区102c的毫微微BS。基站110a至110d可支持一个或多个(例如，三个)小区。术语“eNB”、“基站”、“NR BS”、“gNB”、“TRP”、“AP”、“node B”、“5G NB”和“小区”可以在本文中互换地使用。

在一些示例中，小区可以不是驻定的，并且该小区的地理区域可根据移动基站的位置而移动。在一些示例中，基站110a至110d可通过各种类型的回程接口(诸如直接物理连接、虚拟网络、或它们的组合)使用任何合适的传输网络来彼此互连以及互连至通信系统100中的一个或多个其他基站或网络节点(未例示)。

基站110a至110d可以在有线或无线通信链路126上与核心网140进行通信。UE120a-120e可以在无线通信链路122上与基站110a-110d进行通信。

有线通信链路126可使用各种有线网络(诸如以太网、TV电缆、电话、光纤、以及其他形式的物理网络连接)，这些有线网络可使用一个或多个有线通信协议，诸如以太网、点对点协议、高水平数据链路控制(HDLC)、高级数据通信控制协议(ADCCP)、以及传输控制协议/网际协议(TCP/IP)。

通信系统100还可包括中继站(诸如中继BS110d)。中继站是能接收来自上游站(例如，基站或UE)的数据的传输并向下游站(例如，UE或基站)发送该数据的传输的实体。中继站也可以是能为其他UE中继传输的无线设备(例如，UE)。在图1中所例示的示例中，中继站110d可与宏基站110a和UE 120d进行通信以便促成基站110a与UE 120d之间的通信。中继站也可被称为中继基站、中继基站、中继等。

通信系统100可以是包括不同类型的基站(例如，宏基站、微微基站、毫微微基站、中继基站等)的异构网络。这些不同类型的基站可具有不同发射功率电平、不同覆盖区域和对通信系统100中的干扰的不同影响。例如，宏基站可具有高发射功率电平(例如，5瓦至40瓦)，而微微基站、毫微微基站和中继基站可具有较低发射功率电平(例如，0.1瓦至2瓦)。

网络控制器130可耦合到基站集合并且可提供对这些基站的协调和控制。网络控制器130可经由回程来与基站进行通信。基站还可例如经由无线或有线回程直接或间接地彼此通信。

UE 120a、120b、120c可分散遍及通信系统100，并且每个UE可以是驻定或移动的。UE还可被称为接入终端、终端、移动站、订户单元、站、无线设备等。

宏基站110a可在有线或无线通信链路126上与通信网络140进行通信。UE 120a、120b、120c可以在无线通信链路122上与基站110a-110d进行通信。

无线通信链路122和124可包括多个载波信号、频率、或频带，其中每一者可包括多个逻辑信道。无线通信链路122和124可利用一种或多种无线电接入技术(RAT)。可在无线通信链路中使用的RAT的示例包括：3GPP LTE、3G、4G、5G(诸如NR)、GSM、码分多址(CDMA)、宽带码分多址(WCDMA)、微波接入全球互通(WiMAX)、时分多址(TDMA)和其他移动电话通信技术蜂窝RAT。可在通信系统100内的各种无线通信链路中的一者或多者中使用的RAT的其他示例包括中程协议(诸如Wi-Fi、LTE-U、LTE-直连、LAA、MuLTEfire)和相对短程RAT(诸如ZigBee、蓝牙和蓝牙低能量(LE))。

特定无线网络(例如，LTE)在下行链路上使用正交频分复用(OFDM)，在上行链路上使用单载波频分复用(SC-FDM)。OFDM和SC-FDM将系统带宽划分成多个(K个)正交子载波，这些子载波也常被称为频调、频槽等。每个子载波可用数据来调制。通常，调制符号在频域中使用OFDM发送，在时域中使用SC-FDM发送。相邻子载波之间的间隔可以是固定的，子载波的总数量(K)可以取决于系统带宽。例如，子载波的间隔可以是15kHz，而最小资源分配(被称为“资源块”)可以是12个子载波(或180kHz)。因此，对于1.25兆赫兹(MHz)、2.5MHz、5MHz、10MHz或20MHz的系统带宽，标称快速傅里叶变换(FFT)大小可以分别等于128、256、512、1024或2048。系统带宽还可被划分成子带。例如，子带可以覆盖1.08MHz(即，6个资源块)，并且对于1.25MHz、2.5MHz、5MHz、10MHz或20MHz的系统带宽，可以分别存在1、2、4、8或16个子带。

虽然一些具体实施的描述可使用与LTE技术相关联的术语和示例，但是一些具体实施可适用于其他无线通信系统(诸如新空口(NR)或5G网络)。NR可在上行链路(UL)和下行链路(DL)上利用具有循环前缀(CP)的OFDM，并且包括对使用时分双工(TDD)的半双工操作的支持。可以支持100MHz的单个分量载波带宽。NR资源块可在0.1毫秒(ms)历时上跨越具有75kHz的子载波带宽的12个子载波。每个无线电帧可包括具有10ms的长度的50个子帧。因此，每个子帧可具有0.2ms的长度。每个子帧可指示用于数据传输的链路方向(即，DL或UL)，并且每个子帧的链路方向可被动态地切换。每个子帧可包括DL/UL数据以及DL/UL控制数据。波束形成可以被支持并且波束方向可以被动态地配置。还可支持具有预编码的多输入多输出(MIMO)传输。DL中的MIMO配置可支持最多至8个发射天线，具有最多至8个流并且每UE最多至2个流的多层DL传输。可以支持具有每UE多达2个流的多层传输。

可使用至多达八个服务小区来支持多个小区的聚集。另选地，NR可支持除基于OFDM的空中接口之外的不同空中接口。

一些UE可被认为是机器类型通信(MTC)UE、或者演进型或增强型机器类型通信(eMTC)UE。MTC和eMTC UE包括例如机器人、无人机、远程设备、传感器、仪表、监测器、位置标签等，其可与基站、另一设备(例如，远程设备)或某个其他实体通信。无线计算设备可例如经由有线或无线通信链路来为网络(例如，广域网(诸如因特网)或蜂窝网络)提供连通性或提供至该网络的连通性。一些UE可被认为是物联网(IoT)设备，或可被实现为NB-IoT(窄带物联网)设备。UE 120a-120e可被包括在外壳的内部，该外壳容纳UE 120a-120e的组件，诸如处理器组件、存储器组件、类似的组件、或它们的组合。

一般而言，在给定的地理区域中可部署任何数量的通信系统和任何数量的无线网络。每个通信系统和无线网络可支持特定的无线电接入技术(RAT)，并且可在一个或多个频率上操作。RAT也可被称为无线电技术、空中接口等。频率也可被称为载波、频率信道等。每个频率可在给定的地理区域中支持单个RAT，以便避免不同RAT的通信系统之间的干扰。在一些情形中，可部署4G/LTE和/或5G/NR RAT网络。例如，5G非独立(NSA)网络可在5GNSA网络的4G/LTE RAN侧使用4G/LTE RAT，并同时在5G NSA网络的5G/NR RAN侧使用5G/NR RAT。4G/LTE RAN和5G/NR RAN两者可彼此连接并连接到5G NSA网络中的4G/LTE核心网(例如，演进型分组核心(EPC)网)。其他示例网络配置可包括5G独立(SA)网络，在5G SA网络中5G/NRRAN连接到5G核心网。

在一些具体实施中，两个或更多个UE(例如，被例示为UE 120a和UE 120e)可使用一个或多个侧链路信道来直接通信(例如，不使用基站110a-d作为中介来彼此通信)。例如，UE 120a-120e可使用对等(P2P)通信、设备到设备(D2D)通信、车联万物(V2X)协议(其可包括车辆到车辆(V2V)协议、车辆到基础设施(V2I)协议或类似协议)、网状网络、或类似网络或它们的组合进行通信。在该情形中，UE 120a-120e可执行调度操作、资源选择操作、以及在本文他处描述为如由基站110a-110d执行的其他操作。

图1B是例示适用于与各种实施方案一起使用的示例边缘计算系统150的系统框图。在一些实施方案中，边缘计算系统150可以包括边缘网络142以及被配置成经由3GPP核心网160进行通信的UE 170(例如UE 120a至120e)。边缘数据网络152可以包括与边缘配置服务器158通信的边缘应用服务器154和一个或多个边缘使能器服务器156。边缘应用服务器154、边缘使能器服务器156和边缘配置服务器158的示例包括网络设备142a。UE 170可以包括与一个或多个边缘使能器客户端174通信的应用客户端172。边缘计算系统150的元件中的每个元件可以通过边缘接口(例如EDGE-1、EDGE-2、……、EDGE-9)进行通信。

边缘应用服务器154和应用客户端172各自可以被配置成处理计算任务，并且可以经由3GPP核心网160传送应用数据业务(即，与计算任务、应用、服务等相关的数据)。边缘使能器服务器156可以被配置成维护并(例如向诸如UE 170的设备)通告由边缘应用服务器154提供的应用。边缘配置服务器158可以被配置成管理一个或多个边缘数据网络152内以及该一个或多个边缘数据网络之间的通信。

边缘应用服务器154可以经由EDGE-3接口向边缘使能器服务器156提供关于该边缘应用服务器的应用和它们的能力的信息。边缘使能器服务器156可以经由EDGE-6接口向边缘配置服务器158提供关于边缘数据网络152的信息。边缘应用服务器154和边缘使能器服务器156可以分别经由EDGE-7接口和EDGE-2接口与3GPP核心网160通信。

在一些实施方案中，边缘使能器客户端174可以经由EDGE-1接口从边缘使能器服务器156(以及/或者经由EDGE-4接口从边缘配置服务器158)获得关于可用边缘数据网络152的信息。在一些实施方案中，边缘使能器客户端174可以经由EDGE-4接口获得关于边缘应用服务器154的信息，诸如可用应用和它们的能力。在一些实施方案中，边缘使能器客户端174、边缘使能器服务器156和边缘配置服务器158可以经由它们相应的边缘接口来采用发现和提供规程。

应用客户端172可以经由EDGE-5接口与边缘使能器客户端174通信。在一些实施方案中，边缘使能器客户端174可以经由EDGE-4接口从边缘配置服务器158获得关于可用边缘数据网络152的信息，并且可以经由EDGE-1接口来协调边缘应用服务器154与边缘使能器服务器156的使用。边缘使能器服务器156可以经由EDGE-9接口彼此协调。

图2是例示适于实现各个实施方案中的任何实施方案的示例性计算和无线调制解调器系统200的组件框图。各个实施方案可在数个单处理器和多处理器计算机系统(包括片上系统(SOC)或系统级封装(SIP))上实现。

参照图1A至图2，所例示的示例计算系统200(其在一些实施方案中可以是SIP)包括耦合至时钟206、电压调节器208、以及无线收发器266的两个SOC 202、204，该无线收发器266被配置成经由天线(未示出)向UE(诸如基站110a)发送无线通信/从该UE接收通信。在一些具体实施中，第一SOC 202可作为UE的中央处理单元(CPU)来操作，其通过执行由软件应用程序的指令指定的算术、逻辑、控制和输入/输出(I/O)操作来执行这些指令。在一些具体实施中，第二SOC 204可以作为专用处理单元来操作。例如，第二SOC 204可以作为负责管理大容量、高速度(诸如5Gbps等)或超高频短波长(诸如28GHz毫米波频谱等)通信的专用5G处理单元来操作。

第一SOC 202可包括数字信号处理器(DSP)210、调制解调器处理器212、图形处理器214、应用处理器216、连接至这些处理器中的一者或多者的一个或多个协处理器218(诸如矢量协处理器)、存储器220、定制电路222、系统组件和资源224、互连/总线模块226、一个或多个温度传感器230、热管理单元232和热功率包络(TPE)组件234。第二SOC 204可以包括5G调制解调器处理器252、电源管理单元254、互连/总线模块264、多个毫米波收发器256、存储器258和各种附加处理器260，诸如应用处理器、分组处理器等。

每个处理器210、212、214、216、218、252、260可包括一个或多个核心，并且每个处理器/核心可独立于其他处理器/核心执行操作。例如，第一SOC 202可以包括执行第一类型的操作系统(诸如FreeBSD、LINUX、OS X等)的处理器以及执行第二类型的操作系统(诸如MICROSOFT WINDOWS 10)的处理器。此外，处理器210、212、214、216、218、252、260中的任一者或全部可以被包括作为处理器集群架构的一部分(诸如同步处理器集群架构、异步或异构处理器集群架构等)。

第一SOC 202和第二SOC 204可包括各种系统组件、资源和定制电路，以用于管理传感器数据、模数转换、无线数据传输，以及用于执行其他专门操作，诸如解码数据分组和处理编码的音频和视频信号以在网络浏览器中渲染。例如，第一SOC 202的系统组件和资源224可包括功率放大器、电压调节器、振荡器、锁相环、外围桥接器、数据控制器、存储器控制器、系统控制器、接入端口、定时器、以及被用来支持在UE上运行的处理器和软件客户端的其他类似组件。系统组件和资源224或定制电路222还可包括用于与外围设备(诸如相机、电子显示器、无线通信设备、外部存储器芯片等)对接的电路。

第一SOC 202和第二SOC 204可经由互连/总线模块250进行通信。各种处理器210、212、214、216、218可经由互连/总线模块226互连到一个或多个存储器元件220、系统组件和资源224和定制电路222以及热管理单元232。类似地，处理器252可经由互连/总线模块264互连到功率管理单元254、毫米波收发器256、存储器258和各种附加处理器260。互连/总线模块226、250、264可以包括可重配置逻辑门的阵列或者实现总线架构(诸如CoreConnect、AMBA等)。通信可由高级互连提供，诸如高性能片上网络(NoC)。

第一SOC 202或第二SOC 204可进一步包括用于与该SOC外部的资源(诸如时钟206和电压调节器208)通信的输入/输出模块(未例示)。SOC外部的资源(诸如时钟206、电压调节器208)可以由内部SOC处理器/核心中的两个或更多个内部SOC处理器/核心共享。

除了以上讨论的示例SIP 200之外，一些具体实施还可在各种各样的计算系统中实现，这些计算系统可包括单个处理器、多个处理器、多核处理器或它们的任何组合。

图3是例示适用于实现各个实施方案中的任何实施方案的包括用于无线通信中的用户面和控制面的无线电协议栈的软件架构300的组件框图。参考图1A至图3，UE 320可以实现软件架构300以有助于UE 320(例如UE 120a至120e、200)与通信系统(例如100)的网络设备350(例如边缘网络142中的网络设备142a)之间的通信。在各种实施方案中，软件架构300中的层可与网络设备350的软件中的对应层形成逻辑连接。软件架构300可被分布在一个或多个处理器(例如，处理器212、214、216、218、252、260)之间。虽然关于一个无线电协议栈进行了例示，但是在多SIM(订户身份模块)UE中，软件架构300可包括多个协议栈，每个协议栈可与不同的SIM相关联(例如，在双SIM无线通信设备中，两个协议栈分别与两个SIM相关联)。虽然以下参照LTE通信层进行了描述，但是软件架构300可支持用于无线通信的各种标准和协议中的任何一种，和/或可包括支持无线通信的各种标准和协议中的任何一种的附加协议栈。

软件架构300可包括非接入层(NAS)302和接入层(AS)304。NAS 302可包括支持分组滤波、安全管理、移动性控制、会话管理、以及UE的SIM(诸如SIM 204)与其核心网140之间的业务和信令的功能和协议。AS 304可包括支持SIM(诸如SIM 204)与所支持的接入网的实体(诸如基站)之间的通信的功能和协议。具体而言，AS 304可包括至少三层(层1、层2和层3)，每一层可包含各种子层。

在用户面和控制面中，AS 304的层1(L1)可以是物理层(PHY)306，其可监督经由无线收发器(例如，266)来实现空中接口上的传输或接收的功能。这种物理层306功能的示例可包括循环冗余校验(CRC)附件、译码块、加扰和解扰、调制和解调、信号测量、MIMO等。物理层可包括各种逻辑信道，包括物理下行链路控制信道(PDCCH)和物理下行链路共享信道(PDSCH)。

在用户面和控制面中，AS 304的层2(L2)可负责物理层306上UE 320与网络设备350之间的链路。在一些具体实施中，层2可以包括媒体接入控制(MAC)子层308、无线电链路控制(RLC)子层310、分组数据汇聚协议(PDCP)312子层以及服务数据适配协议(SDAP)317子层，这些子层中的每个子层形成终接于网络设备350的逻辑连接。

在控制面中，AS 304的层3(L3)可包括无线电资源控制(RRC)子层3。虽然未示出，但是软件架构300可包括附加层3子层、以及层3之上的各种上层。在一些具体实施中，RRC子层313可提供包括广播系统信息、寻呼、以及在UE 320与网络设备350之间建立和释放RRC信令连接的功能。

在各种实施方案中，SDAP子层317可提供服务质量(QoS)流与数据无线电承载(DRB)之间的映射。在一些具体实施中，PDCP子层312可提供包括不同无线电承载与逻辑信道之间的复用、序列号添加、切换数据处置、完整性保护、暗码化和报头压缩的上行链路功能。在下行链路中，PDCP子层312可提供包括数据分组的按序传递、重复数据分组检测、完整性验证、解密、以及报头解压缩的功能。

在上行链路中，RLC子层310可提供上层数据分组的分段和级联、丢失数据分组的重传、以及自动重传请求(ARQ)。而在下行链路中，RLC子层310功能可包括数据分组的重排序以补偿乱序接收、上层数据分组的重新组装、以及ARQ。

在上行链路中，MAC子层308可提供包括逻辑和传输信道之间的复用、随机接入规程、逻辑信道优先级、以及混合ARQ(HARQ)操作的功能。在下行链路中，MAC层功能可包括小区内的信道映射、解复用、非连续接收(DRX)以及HARQ操作。

虽然软件架构300可提供通过物理介质来发射数据的功能，但是软件架构300可进一步包括至少一个主机层314以向UE 320中的各个应用提供数据传输服务。在一些具体实施中，由该至少一个主机层314提供的因应用而异的功能可提供软件架构与通用处理器206之间的接口。

在其他具体实施中，软件架构300可包括提供主机层功能的一个或多个较高逻辑层(诸如传输、会话、表示、应用等)。例如，在一些具体实施中，软件架构300可包括网络层(诸如网际协议(IP)层)，其中逻辑连接终接于分组数据网络(PDN)网关(PGW)。在一些具体实施中，软件架构300可包括应用层，其中逻辑连接终接于另一设备(诸如终端用户设备、服务器等)。在一些具体实施中，软件架构300可在AS 304中进一步包括物理层306与通信硬件(诸如一个或多个射频(RF)收发器)之间的硬件接口316。

图4A和图4B是例示根据各种实施方案的被配置用于改善针对初始接入的覆盖的系统400的组件框图。参考图1A至图4B，系统400可以包括UE 402(例如120a至120e、170、320)和网络设备404(例如142a、154、156、158、350)。在一些实施方案中，UE 402和网络设备404可以交换无线通信以便建立无线通信链路(例如122)。

UE 402和网络设备404可以包括耦合到电子存储装置426、430和无线收发器(例如266)的一个或多个处理器428、432。在UE 402和网络设备404中，无线收发器266可以被配置成接收在传输中发送的消息，并且将这种消息传递给处理器428、432进行处理。类似地，处理器428、432可以被配置成将用于传输的消息发送到无线收发器266以进行传输。

参考UE 402，处理器432可以由机器可读指令434来配置。机器可读指令406可包括一个或多个指令模块。指令模块可以包括计算机程序模块。指令模块可以包括新鲜度参数模块436、唯一会话密钥模块438、TX/RX模块440和/或其他指令模块中的一者或多者。

新鲜度参数模块436可以被配置成生成新鲜度参数。在一些实施方案中，新鲜度参数模块436可以在UE 402的安全引导客户端(诸如GBA客户端)内执行。在一些实施方案中，新鲜度参数模块436使用随机数生成器来生成用作新鲜度参数的随机数。在一些实施方案中，新鲜度参数模块436使用计数器来生成用作新鲜度参数的随机数值。

唯一会话密钥模块438可以被配置成基于第一会话密钥和新鲜度参数来生成唯一会话密钥。在一些实施方案中，新鲜度参数可以与UE 402的特定应用相关联。在一些实施方案中，第一会话密钥可以与UE 402相关联。在一些实施方案中，唯一会话密钥可以与UE 402的特定应用相关联。

TX/RX模块440可以被配置成使得能够例如经由无线收发器266与网络设备404通信。

TX/RX模块440可以被配置成在将使得网络设备404的NAF能够生成唯一会话密钥的配置中(例如经由无线收发器266)将新鲜度参数发送到该NAF。TX/RX模块440可以被配置成使用唯一会话密钥与网络设备404通信。TX/RX模块440可以被配置成从NAF接收开始安全通信的请求，该请求包括NAF的域名和安全协议标识符。

参考网络设备404，处理器428可以由机器可读指令406来配置。机器可读指令406可包括一个或多个指令模块。指令模块可以包括计算机程序模块。指令模块可以包括新鲜度参数模块408、唯一会话密钥模块410、发射/接收(TX/RX)模块412和/或其他指令模块中的一者或多者。

新鲜度参数模块408可以被配置成从UE 402接收新鲜度参数。

唯一会话密钥模块410可以被配置成从网络设备404的KSF接收第一会话密钥。唯一会话密钥模块410可以被配置成基于新鲜度参数和第一会话密钥来生成唯一会话密钥。

TX/RX模块412可以被配置成使用唯一会话密钥(例如经由无线收发器266)与UE402通信。TX/RX模块412可以被配置成向UE 402发送开始安全通信的请求，该请求包括NAF的域名和安全协议标识符。

在一些实施方案中，UE 402和网络设备404可以经由一个或多个无线通信链路(例如无线通信链路122)操作性地链接。将了解，这并非旨在是限制性的，并且本公开的范围包括其中UE 402和网络设备404可以经由某个其他通信介质操作性地链接的实施方案。

电子存储装置426、430可包括电子地存储信息的非暂态存储介质。电子存储装置426、430的电子存储介质可以包括与UE 402和网络设备404集成地提供的(即，基本上不可移除的)系统存储装置以及/或者经由例如端口(例如通用串行总线(USB)端口、火线端口等)或驱动器(例如磁盘驱动器等)可移除地连接到UE 402和网络设备404的可移除存储装置中的一者或两者。电子存储装置426、430可以包括以下一者或多者：光学可读存储介质(例如，光盘等)、磁可读存储介质(例如，磁带、磁硬盘驱动器、软盘驱动器等)、基于电荷的存储介质(例如，EEPROM、RAM等)、固态存储介质(例如，闪存驱动器等)和/或其他电子可读存储介质。电子存储装置426、430可以包括一个或多个虚拟存储资源(例如云存储、虚拟专用网络和/或其他虚拟存储资源)。电子存储装置426、430可以存储软件算法、由处理器428、432确定的信息、从UE 402和网络设备404接收到的信息或者使得UE 402和网络设备404能够如本文中所描述那样起作用的其他信息。

处理器428、432可以被配置成在UE 402和网络设备404中提供信息处理能力。由此，处理器428、432可包括数字处理器、模拟处理器、设计成处理信息的数字电路、设计成处理信息的模拟电路、状态机和/或用于电子地处理信息的其他机构中的一者或多者。虽然处理器428、432被例示为单个实体，但是这仅仅是出于例示目的。在一些实施方案中，处理器428、432可包括多个处理单元和/或处理器核心。处理单元可以物理地位于同一设备内，或者处理器428、432可以表示协作运行的多个设备的处理功能性。处理器428、432可以被配置成通过以下各项来执行模块408至412和模块436至440和/或其他模块：软件；硬件；固件；软件、硬件和/或固件的某种组合；以及/或者用于配置处理器428、432上的处理能力的其他机构。如本文所用，术语“模块”可以指代执行归因于该模块的功能性的任何组件或组件集合。这可包括在执行处理器可读指令期间的一个或多个物理处理器、处理器可读指令、电路、硬件、存储介质、或任何其他组件。

下文描述的对由不同模块408至412和模块436至440提供的功能性的描述是出于例示性目的而不旨在是限制性的，因为模块408至412和模块436至440中的任一者可以提供比所描述的功能性更多或更少的功能性。例如，模块408至412和模块436至440中的一者或多者可以被消除，并且其功能性中的一些或全部功能性可以由其他模块408至412和模块436至440提供。作为另一示例，处理器428、432可以被配置成执行一个或多个附加模块，该一个或多个附加模块可以执行以下归属于模块408至412和模块436至440中的一者的功能性中的一些或全部功能性。

图5A是例示适用于与各种实施方案一起使用的用于引导应用安全的示例系统500a的框图。参考图1A至图5A，系统500a可以包括UE 502、NAF 504、密钥服务器功能(KSF)506、归属订户服务器(HSS)508和订户定位器功能(SLF)510。

在各种实施方案中，UE 502和KSF 506可以执行认证操作以认证UE 202。在一些实施方案中，KSF 506与UE 502之间的协商可以经由Ub接口来执行认证操作，并且可以采用诸如AKA的协议。UE 502可以经由Ua接口与NAF 504通信。在各种实施方案中，UE 502和NAF504可以没有先前的安全关联。UE 502可以生成第一会话密钥，例如Ks_NAF。NAF 504可以经由Zn接口从KSF 506接收第一会话密钥(例如Ks_NAF)。

HSS 508可以充当可存储针对UE 502的用户认证凭证(诸如用户安全设置(USS)(例如GBA用户安全设置(GUSS)))的数据库或其他合适的数据存储。在一些实施方案中，HSS508可以将用户认证凭证映射到私有身份，诸如IP多媒体私有身份(IMPI)。HSS 508可以经由Zh接口将此信息和其他信息传送到KSF 506。SLF 510可以存储并提供用于对存储关于UE502(即，关于特定UE)的信息的HSS 508进行标识的信息。KSF 506和SLF 510可以通过Dz接口来通信。

图5B是例示根据各种实施方案的在用于保障通信安全的方法500b期间可在UE与网络设备之间交换的通信的消息流程图。参考图1A至图5B，在一些实施方案中，UE 520(例如120a至120e、170、320、404、502)和网络设备526(例如142a、154、156、158、350、402)可以通过无线通信网络进行通信，上文参考图1A和图1B描述了该无线通信网络的各方面。UE520可以包括GBA客户端522和应用客户端420。网络设备526可以包括NAF 528和KSF 530。

NAF 528可以向GBA客户端522可选地发送请求消息532。消息532可以包括开始安全通信的请求，该请求包括NAF的域名(例如FQDN)和安全协议标识符(例如Ua安全协议标识符)。在一些实施方案中，安全协议标识符可以使得能够针对不同协议生成不同密钥。在一些实施方案中，每个密钥可限于一次使用。在一些实施方案中，NAF的域名可以使得密钥对于NAF 528是唯一的。

在操作534中，GBA客户端522可以生成新鲜度参数。在一些实施方案中，新鲜度参数可以是或者包括诸如使用随机数生成算法生成的随机数或伪随机数。在一些实施方案中，新鲜度参数可以是或者包括递增值，诸如每当(例如针对新应用或应用的新实例化)需要新的唯一会话密钥时递增的计数器值。在一些实施方案中，递增值可以用作随机数值(例如递增的随机数值)。

在操作536中，GBA客户端522可以基于第一会话密钥(例如Ks_NAF)和新鲜度参数来生成唯一会话密钥(其可以称为Ks_NAF_unique)。GBA客户端522可以在消息538中将新鲜度参数发送到应用客户端524。

应用客户端524可以在消息540中将新鲜度参数发送到NAF 528。在一些实施方案中，消息540可以包括网络服务请求消息(例如应用请求消息)。在一些实施方案中，网络服务请求消息可以包括引导事务标识符(B-TID)。在一些实施方案中，B-TID可以充当第一会话密钥(例如Ks_NAF)的标识符。

NAF 528可以在消息542中将B-TID发送到KSF 530。在一些实施方案中，消息542还可以包括NAF标识符。在一些实施方案中，消息542可以包括认证请求消息。

KSF 530可以在消息544中将第一会话密钥(例如Ks_NAF)的版本发送到NAF 528。在一些实施方案中，消息544还可以包括(例如来自与UE相关联的用户简档的)与UE相关联的应用特定标识符。在一些实施方案中，消息544可以包括认证应答消息。

如上文所指出，在各种实施方案中，UE 520(例如GBA客户端522和网络设备526(例如NAF 520)可以在UE 520与网络设备526之间的消息的现有字段中包括新鲜度参数，以使得能够在不改变消息或消息交换的协议或架构的情况下实现各种实施方案。例如，对于采用Digest AKA协议的设备，新鲜度参数可以包括在“cnonce”字段中。作为另一示例，对于采用传输层安全(TLS)的设备，新鲜度参数可以包括在ClientHello消息或另一合适的消息的现有字段中。在一些实施方案中，新鲜度参数的长度可以被配置成配合在这种现有字段和/或消息内。在各种实施方案中，GBA客户端522可以以与其他加密密钥或会话密钥类似的安全级别以及/或者在类似安全的存储器部分中生成新鲜度参数。在各种实施方案中，GBA客户端522和NAF528可以在相应设备的安全存储器中处置、使用、处理并且/或者存储新鲜度参数和/或唯一会话密钥。

在操作546中，NAF 528可以基于从KSF 530接收到的第一会话密钥以及从UE 520接收到的新鲜度参数来生成唯一会话密钥。因此，在操作546中，NAF能够确定并使用与由UE生成的唯一会话密钥相同的唯一会话密钥，而无需交换任何私有密钥或者可用于破解由唯一会话密钥提供的加密安全的信息，因为新鲜度参数仅被使用一次来生成在每个通信会话中改变的唯一会话密钥。

在操作548中，NAF 528可以将所生成的唯一会话密钥存储在NAF 528的(或网络设备526的)存储器中以用于在通信会话期间使用。

NAF 528可以(例如响应于消息540，例如应用请求消息)将响应消息550发送到应用客户端524。在一些实施方案中，消息550可以包括应用应答消息。

UE 520(例如应用客户端524)和网络设备526(例如NAF 528)可以使用唯一会话密钥来执行安全通信552。如上文所指出，唯一会话密钥对于UE 520的一个应用或服务可以是唯一的。

图6是例示根据各种实施方案的可由UE的处理器执行的用于保护与网络元件的通信的方法600的过程流程图。参考图1A至图6，方法600的操作可以由UE(例如120a至120e、170、320、404、502、520)的处理器(诸如处理器210、212、214、216、218、252、260、432)来执行。

在可选框602中，处理器可以从网络设备的网络应用功能(NAF)接收开始安全通信的请求。在一些实施方案中，该请求可以包括NAF的域名和安全协议标识符。用于执行可选框602的操作的部件可以包括处理器210、212、214、216、218、252、260、432、无线收发器266、TX/RX模块440和GBA客户端522。

在框604中，处理器可以生成新鲜度参数。在一些实施方案中，新鲜度参数可以由在该处理器中或者在该UE的另一处理器中(例如在安全处理域中)执行的安全引导客户端来生成。在一些实施方案中，新鲜度参数可以与在UE中执行的特定应用或应用的特定实例化(例如第一实例化、第二实例化等)相关联。在一些实施方案中，新鲜度参数可以是或者包括随机值。在一些实施方案中，新鲜度参数可以包括或者包括递增的随机数值。用于执行框604的操作的部件可以包括处理器210、212、214、216、218、252、260、432、新鲜度参数模块436和/或GBA客户端522。

在框606中，处理器可以基于第一会话密钥和新鲜度参数来生成唯一会话密钥。例如，处理器可以将第一会话密钥(例如Ks_NAF)和新鲜度参数应用于密钥生成算法以生成唯一会话密钥(例如Ks_NAF_unique)。在一些实施方案中，唯一会话密钥可以与UE的特定应用相关联，并且第一会话密钥可以与UE相关联。在一些实施方案中，特定应用可以是或者可以包括应用的特定实例化(例如第一实例化、第二实例化等)。用于执行框606的操作的部件可以包括处理器210、212、214、216、218、252、260、432、唯一会话密钥模块438和GBA客户端522。

在框608中，处理器可以在将使得NAF能够生成唯一会话密钥的配置中将新鲜度参数发送到NAF(例如504、528)。在一些实施方案中，处理器可以在网络服务请求消息(例如应用请求消息)中将新鲜度参数发送到NAF。用于执行框608的操作的部件可以包括处理器210、212、214、216、218、252、260、432、无线收发器266、TX/RX模块440和应用客户端524。

在框610中，处理器可以使用唯一会话密钥与NAF通信(例如以对发送到NAF的消息进行加密并且对从NAF接收到的消息进行解密)。在一些实施方案中，在处理器中执行的应用客户端可以执行与NAF的通信。用于执行框610的操作的部件可以包括处理器210、212、214、216、218、252、260、432、无线收发器266、TX/RX模块440和应用客户端524。

图7是例示根据各种实施方案的可由网络设备的处理器执行的用于保护与UE的通信的方法700的过程流程图。参考图1A至图7，方法700的操作可以由网络设备(例如142a、154、156、158、350、404、526)的处理器(诸如处理器210、212、214、216、218、252、260、432)来执行。

在可选框702中，处理器可以将开始安全通信的请求发送到UE。在一些实施方案中，该请求可以包括NAF的域名和安全协议标识符。用于执行可选框702的操作的部件可以包括处理器210、212、214、216、218、252、260、432、无线收发器266、TX/RX模块440和NAF528。

在框704中，NAF可以从UE接收新鲜度参数。在一些实施方案中，新鲜度参数可以与UE的特定应用相关联。在一些实施方案中，特定应用可以是或者可以包括应用的特定实例化(例如第一实例化、第二实例化等)。在一些实施方案中，新鲜度参数可以是或者包括随机值。在一些实施方案中，新鲜度参数可以是或者包括递增的随机数值。用于执行框704的操作的部件可以包括处理器210、212、214、216、218、252、260、432、无线收发器266、新鲜度参数模块408和NAF 528。

在框706中，处理器可以从密钥服务器功能(KSF)接收第一会话密钥。在一些实施方案中，第一会话密钥可以与UE相关联，例如Ks_NAF会话密钥。用于执行框706的操作的部件可以包括处理器210、212、214、216、218、252、260、432、唯一会话密钥模块410、NAF 528和KSF 506、530。

在框708中，处理器可以基于新鲜度参数和第一会话密钥来生成唯一会话密钥。例如，处理器可以将新鲜度参数和第一会话密钥(例如Ks_NAF)应用于与UE在方法600的框606中所使用的密钥生成算法相同的密钥生成算法以生成唯一会话密钥(例如Ks_NAF_unique)，并且因此生成与UE所生成的唯一会话密钥相同的唯一会话密钥。在一些实施方案中，唯一会话密钥可以与UE的特定应用相关联，并且第一会话密钥与UE相关联。在一些实施方案中，特定应用可以是应用的特定实例化(例如第一实例化、第二实例化等)。用于执行框706的操作的部件可以包括处理器210、212、214、216、218、252、260、432、唯一会话密钥模块410、NAF 528。

在框710中，处理器可以使用唯一会话密钥与UE通信，以对发送到UE的消息进行加密并且对从UE接收到的消息进行解密。用于执行框710的操作的部件可以包括处理器210、212、214、216、218、252、260、432、无线收发器266、TX/RX模块440和NAF 528。

图8是适用于与各种实施方案一起使用的网络设备800的组件框图。这类网络设备(例如网络设备142a、154、156、158、350、404、526)可以至少包括图8中例示的组件。参考图1A至图8，网络设备800通常可以包括耦合到易失性存储器802和大容量非易失性存储器(诸如磁盘驱动器808)的处理器801。网络设备800还可以包括耦合到处理器801的外围存储器访问设备806，诸如软盘驱动器、压缩光盘(CD)或数字视频盘(DVD)驱动器。网络设备800还可以包括耦合到处理器801以用于建立与网络(诸如因特网或者耦合到其他系统计算机和服务器的局域网)的数据连接的网络接入端口804(或接口)。网络设备800可以包括用于发送和接收电磁辐射的一个或多个天线807，该一个或多个天线可以连接到无线通信链路。网络设备800可以包括用于耦合到外围设备、外部存储器或其他设备的附加接入端口，诸如USB、火线、雷电(Thunderbolt)等。

图9是适用于与各种实施方案一起使用的UE 900的组件框图。参考图1A至图9，各种实施方案可以在多种UE 900(例如UE 120a至120e、170、320、402、502、520)上实现，该UE的示例在图9中以智能电话的形式来例示。UE 900可以包括：耦合到第二SOC 204(例如具有5G能力的SOC)的第一SOC 202(例如SOC-CPU)。第一SOC 202和第二SOC 204可以耦合到内部存储器916、显示器912和扬声器914。此外，UE 900可以包括用于发送和接收电磁辐射的天线904，该天线可以连接到无线收发器266，该无线收发器耦合到第一SOC 202和/或第二SOC204中的一个或多个处理器。UE 900可以包括用于接收用户输入的菜单选择按钮或摇杆开关920。

UE 900可以包括声音编码/解码(CODEC)电路910，该声音编码/解码电路将从话筒接收到的声音数字化成适用于无线传输的数据分组，并且对所接收到的声音数据分组进行解码以生成提供给扬声器以生成声音的模拟信号。第一SOC 202和第二SOC 204中的处理器、无线收发器266和CODEC 910中的一者或多者可以包括数字信号处理器(DSP)电路(未单独示出)。

网络设备800和UE 900的处理器可以是可由软件指令(应用)配置成执行包括下文描述的一些具体实施的功能的多种功能的任何可编程微处理器、微型计算机或者一个或多个多处理器芯片。在一些UE中，可提供多个处理器(诸如SOC 204内专用于无线通信功能的一个处理器以及SOC 202内专用于运行其他应用的一个处理器)。软件应用可以存储在存储器802、916中，随后被访问并被加载到处理器中。处理器可包括足以存储应用软件指令的内部存储器。

如在本申请中使用的，术语“组件”、“模块”、“系统”等旨在包括与计算机相关的实体，诸如但不限于硬件、固件、硬件和软件的组合、软件或正在执行的软件，它们被配置为执行特定的操作或功能。例如，组件可以是但不限于在处理器上运行的进程、处理器、对象、可执行件、执行的线程、程序、或计算机。作为例示，在UE上运行的应用和该UE这两者可被称为组件。一个或多个组件可驻留在进程或执行的线程内，并且组件可局部化在一个处理器或核心上或分布在两个或更多个处理器或核心之间。此外，这些组件可从其上存储有各种指令或数据结构的各种非暂态计算机可读介质来执行。各组件可通过本地和/或远程进程、功能或规程调用、电子信号、数据分组、存储器读/写、以及其他已知的网络、计算机、处理器或与进程相关的通信方法体系来进行通信。

数个不同的蜂窝和移动通信服务和标准可用并在未来被构想，它们全部可实现且获益于各个实施方案。这类服务和标准包括例如第三代合作伙伴项目(3GPP)、长期演进(LTE)系统、第三代无线移动通信技术(3G)、第四代无线移动通信技术(4G)、第五代无线移动通信技术(5G)以及后一代3GPP技术、全球移动通信系统(GSM)、通用移动电信系统(UMTS)、3GSM、通用分组无线电服务(GPRS)、码分多址(CDMA)系统(例如cdmaOne、CDMA1020TM)、GSM演进的增强型数据速率(EDGE)、高级移动电话系统(AMPS)、数字AMPS(IS-136/TDMA)、演进数据最优化(EV-DO)、数字增强型无绳电信(DECT)、微波接入全球互通(WiMAX)、无线局域网(WLAN)、Wi-Fi保护接入I和II(WPA、WPA2)以及集成数字增强型网络(iDEN)。这些技术中的每一项都涉及，例如，语音、数据、信令和/或内容消息的传输和接收。应当理解，对与个别电信标准或技术相关的术语和/或技术细节的任何引用仅用于例示性目的，并不旨在将权利要求的范围限制在特定的通信系统或技术，除非在权利要求语言中进行了特别陈述。

所例示和描述的各种实施方案是仅作为例示权利要求所述的各种特征的示例来提供的。然而，针对任何给定实施方案所示出和描述的特征不必限于相关联的实施方案，并且可以与所示出和描述的其他实施方案一起使用或组合。此外，权利要求书不旨在限于任何一个示例实施方案。例如，本文中描述的方法和操作中的一者或多者可以替代方法和操作中的一个或多个操作或者与该一个或多个操作进行组合。

在以下段落中描述了具体实施实施例。尽管以下具体实施实施例中的一些具体实施实施例是根据示例方法来描述的，但另外的示例具体实施可以包括：在以下段落中讨论的由UE或网络设备实现的示例方法，该UE或网络设备包括处理器，该处理器被配置有处理器可执行指令以执行以下具体实施实施例的方法的操作；在以下段落中讨论的由UE或网络设备实现的示例方法，该UE或网络设备包括用于执行以下具体实施实施例的方法的功能的部件；并且在以下段落中讨论的实施例方法可以实现为其上存储有处理器可执行指令的非暂态处理器可读存储介质，该处理器可执行指令被配置成使得UE或网络设备的处理器执行以下具体实施实施例的方法的操作。

示例1.一种由用户装备(UE)的处理器执行的保障通信安全的方法，包括：生成新鲜度参数；基于第一会话密钥和所述新鲜度参数来生成唯一会话密钥；在将使得网络应用功能(NAF)能够生成所述唯一会话密钥的配置中将所述新鲜度参数发送到所述NAF；以及使用所述唯一会话密钥与所述NAF通信。

示例2.根据示例1所述的方法，其中所述新鲜度参数由在所述处理器中执行的安全引导客户端生成，并且其中在所述处理器中执行的应用客户端使用所述唯一会话密钥与所述NAF通信包括：使用所述唯一会话密钥与所述NAF通信。

示例3.根据示例2所述的方法，其中所述UE的所述安全引导客户端包括通用引导架构(GBA)客户端或应用的认证和密钥管理(AKMA)客户端中的一者。

示例4.根据示例1至3中任一项所述的方法，其中所述新鲜度参数与所述UE的特定应用相关联。

示例5.根据示例1至4中任一项所述的方法，其中所述唯一会话密钥与所述UE的特定应用相关联，并且所述第一会话密钥与所述UE相关联。

示例6.根据示例5所述的方法，其中所述特定应用包括所述应用的特定实例化。

示例7.根据示例1至6中任一项所述的方法，还包括从所述NAF接收开始安全通信的请求。

示例8.根据示例1至7中任一项所述的方法，其中所述新鲜度参数包括随机值。

示例9.根据示例1至8中任一项所述的方法，其中所述新鲜度参数包括递增的随机数值。

示例10.根据示例1至9中任一项所述的方法，其中在将使得所述NAF能够生成所述唯一会话密钥的配置中将所述新鲜度参数发送到所述NAF包括：在网络服务请求消息中将所述新鲜度参数发送到所述NAF。

示例11.一种由设备的处理器执行的保障通信安全的方法，包括：由网络应用功能(NAF)从用户装备(UE)接收新鲜度参数；从密钥服务器功能(KSF)接收第一会话密钥；基于所述新鲜度参数和所述第一会话密钥来生成唯一会话密钥；以及使用所述唯一会话密钥与所述UE通信。

示例12.根据示例11所述的方法，其中所述新鲜度参数由所述UE的安全引导客户端生成；并且UED的应用客户端使用所述唯一会话密钥与所述NAF通信。

示例13.根据示例12所述的方法，其中所述UE的所述安全引导客户端包括通用引导架构(GBA)客户端或应用的认证和密钥管理(AKMA)客户端中的一者。

示例14.根据示例11至13中任一项所述的方法，其中所述新鲜度参数与所述UE的特定应用相关联。

示例15.根据示例11至14中任一项所述的方法，其中所述唯一会话密钥与所述UE的特定应用相关联，并且所述第一会话密钥与所述UE相关联。

示例16.根据示例11至15中任一项所述的方法，其中所述特定应用包括所述应用的特定实例化。

示例17.根据示例11至16中任一项所述的方法，其中所述新鲜度参数包括随机值。

示例18.根据示例11至17中任一项所述的方法，其中所述新鲜度参数包括递增的随机数值。

示例19.根据示例11至18中任一项所述的方法，还包括向所述UE发送开始安全通信的请求。

示例20.根据示例11至19中任一项所述的方法，其中由所述NAF从所述UE接收所述新鲜度参数包括：在网络服务请求消息中接收所述新鲜度参数。

前述方法描述和过程流程图仅作为例示性示例而提供，且并非旨在要求或暗示各个实施方案的操作必须按所给出的顺序来执行。如本领域技术人员将意识到的，可以任何顺序来执行前述实施方案中的操作的顺序。诸如“此后”、“然后”、“下一”等的词语不旨在限制操作的顺序；这些词语用于引导读者阅读对方法的描述。进一步，对单数形式的权利要求元素的任何引述(例如使用冠词“一”、“一个”或“该”的引述)不应解释为将该元素限制为单数。

结合本文中所公开的实施方案来描述的各种例示性逻辑框、模块、组件、电路、和算法操作可被实现为电子硬件、计算机软件、或这两者的组合。为了清楚地例示硬件和软件的这种可互换性，各种例示性组件、块、模块、电路和操作已在上文中根据它们的功能进行了一般性描述。将这种功能性实施为硬件还是软件取决于特定的应用和对整个系统提出的设计约束条件。技术人员可针对每种特定应用以不同方式来实现所描述的功能性，但此类实施方案决策不应被解读为致使脱离权利要求的范围。

用于实现结合本文中公开的实施方案描述的各种例示性逻辑部件、逻辑框、模块、以及电路的硬件可用设计成执行本文中描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑器件、分立的门或晶体管逻辑部件、分立的硬件组件、或它们的任何组合来实现或执行。通用处理器可以是微处理器，但在替代方案中，处理器可以是任何常规处理器、控制器、微控制器或状态机。处理器也可以实现为接收器智能对象的组合，例如，DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP核心，或任何其他这样的配置。另选地，一些操作或方法可以由特定于给定功能的电路来执行。

在一个或多个实施方案中，所描述的功能可在硬件、软件、固件或它们的任何组合中实现。如果以软件实现，则功能可以作为一个或多个指令或代码存储在非暂态计算机可读存储介质或非暂态处理器可读存储介质上。本文中公开的方法或算法的操作可在处理器可执行软件模块或处理器可执行指令中体现，该处理器可执行软件模块或处理器可执行指令可驻留在非暂态计算机可读或处理器可读存储介质上。非暂态计算机可读或处理器可读存储介质可以是可由计算机或处理器访问的任何存储介质。举例说明而不限制，此类非暂态计算机可读或处理器可读存储介质可以包括RAM、ROM、EEPROM、FLASH存储器、CD-ROM或其他光盘存储、磁盘存储或其他磁性存储智能对象，或任何其他可用于以指令或数据结构的形式存储所需程序代码并可由计算机访问的介质。如本文中所用的磁盘和光盘包括压缩光盘(CD)、激光盘、光盘、数字通用光盘(DVD)、软盘和蓝光盘，其中磁盘通常磁性复制数据，而光盘用激光光学复制数据。以上的组合也被包括在非暂态计算机可读介质和处理器可读介质的范围内。此外，方法或算法的操作可以作为代码和/或指令的一个或任何组合或集合驻留在非暂态处理器可读存储介质和/或计算机可读存储介质上，其可以并入计算机程序产品。

提供对所公开的实施方案的以上描述以使任何本领域技术人员能够实施或使用权利要求。对于本领域技术人员来说，对这些实施方案的各种修改将是显而易见的，并且在不脱离权利要求的范围的情况下，可以将本文所定义的总体原理应用于其它实施方案。由此，本公开并非旨在限制于本文中示出的实施方案，而是应被授予与以下权利要求和本文中公开的原理和新颖特征一致的最广义的范围。

Claims (34)

1.一种用户装备(UE)，包括：

处理器，所述处理器被配置有处理器可执行指令以：

生成新鲜度参数；

基于第一会话密钥和所述新鲜度参数来生成唯一会话密钥；

在将使得网络应用功能(NAF)能够生成所述唯一会话密钥的配置中将所述新鲜度参数发送到所述NAF；以及

使用所述唯一会话密钥与所述NAF通信。

2.根据权利要求1所述的UE，其中：

所述新鲜度参数由在所述处理器中执行的安全引导客户端生成；并且

在所述处理器中执行的应用客户端使用所述唯一会话密钥与所述NAF通信。

3.根据权利要求2所述的UE，其中所述UE的所述安全引导客户端包括通用引导架构(GBA)客户端或应用的认证和密钥管理(AKMA)客户端中的一者。

4.根据权利要求1所述的UE，其中所述新鲜度参数与所述UE的特定应用相关联。

5.根据权利要求1所述的UE，其中所述处理器被进一步配置有处理器可执行指令，使得所述唯一会话密钥与所述UE的特定应用相关联，并且所述第一会话密钥与所述UE相关联。

6.根据权利要求5所述的UE，其中所述处理器被进一步配置有处理器可执行指令，使得所述特定应用包括所述应用的特定实例化。

7.根据权利要求1所述的UE，其中所述处理器被进一步配置有处理器可执行指令，使得所述新鲜度参数包括随机值。

8.根据权利要求1所述的UE，其中所述处理器被进一步配置有处理器可执行指令，使得所述新鲜度参数包括递增的随机数值。

9.根据权利要求1所述的UE，其中所述处理器被进一步配置有处理器可执行指令以在网络服务请求消息中将所述新鲜度参数发送到所述NAF。

10.一种由用户装备(UE)的处理器执行的保障通信安全的方法，包括：

生成新鲜度参数；

基于第一会话密钥和所述新鲜度参数来生成唯一会话密钥；

在将使得网络应用功能(NAF)能够生成所述唯一会话密钥的配置中将所述新鲜度参数发送到所述NAF；以及

使用所述唯一会话密钥与所述NAF通信。

11.根据权利要求10所述的方法，其中：

所述新鲜度参数由所述UE的安全引导客户端生成；并且

所述UE的应用客户端使用所述唯一会话密钥与所述NAF通信。

12.根据权利要求11所述的方法，其中所述UE的所述安全引导客户端包括通用引导架构(GBA)客户端或应用的认证和密钥管理(AKMA)客户端中的一者。

13.根据权利要求10所述的方法，其中所述新鲜度参数与所述UE的特定应用相关联。

14.根据权利要求10所述的方法，其中所述唯一会话密钥与所述UE的特定应用相关联，并且所述第一会话密钥与所述UE相关联。

15.根据权利要求14所述的方法，其中所述特定应用包括所述应用的特定实例化。

16.根据权利要求11所述的方法，其中所述新鲜度参数包括随机值。

17.根据权利要求11所述的方法，其中所述新鲜度参数包括递增的随机数值。

18.根据权利要求11所述的方法，其中在将使得所述NAF能够生成所述唯一会话密钥的配置中将所述新鲜度参数发送到所述NAF包括：在网络服务请求消息中将所述新鲜度参数发送到所述NAF。

19.一种网络设备，包括：

处理器，所述处理器被配置有处理器可执行指令以：

在网络应用功能(NAF)处从用户装备(UE)接收新鲜度参数；

从密钥服务器功能接收第一会话密钥；

基于所述新鲜度参数和所述第一会话密钥来生成唯一会话密钥；以及

使用所述唯一会话密钥与所述UE通信。

20.根据权利要求19所述的网络设备，其中所述新鲜度参数与所述UE的特定应用相关联。

21.根据权利要求19所述的网络设备，其中所述新鲜度参数包括随机值。

22.根据权利要求19所述的网络设备，其中所述新鲜度参数包括递增的随机数值。

23.根据权利要求19所述的网络设备，其中所述唯一会话密钥与所述UE的特定应用相关联，并且所述第一会话密钥与所述UE相关联。

24.根据权利要求23所述的网络设备，其中所述特定应用包括所述应用的特定实例化。

25.根据权利要求19所述的网络设备，其中所述处理器被进一步配置有处理器可执行指令以向所述UE发送开始安全通信的请求。

26.根据权利要求19所述的网络设备，其中所述处理器被进一步配置有处理器可执行指令以在网络服务请求消息中接收所述新鲜度参数。

27.一种由设备的处理器执行的保障通信安全的方法，包括：

由网络应用功能(NAF)从用户装备(UE)接收新鲜度参数；

从密钥服务器功能接收第一会话密钥；

基于所述新鲜度参数和所述第一会话密钥来生成唯一会话密钥；以及

使用所述唯一会话密钥与所述UE通信。

28.根据权利要求27所述的方法，其中所述新鲜度参数与所述UE的特定应用相关联。

29.根据权利要求27所述的方法，其中所述新鲜度参数包括随机值。

30.根据权利要求27所述的方法，其中所述新鲜度参数包括递增的随机数值。

31.根据权利要求27所述的方法，其中所述唯一会话密钥与所述UE的特定应用相关联，并且所述第一会话密钥与所述UE相关联。

32.根据权利要求31所述的方法，其中所述特定应用包括所述应用的特定实例化。

33.根据权利要求27所述的方法，还包括向所述UE发送开始安全通信的请求。

34.根据权利要求27所述的方法，其中在所述NAF处从所述UE接收所述新鲜度参数包括：在网络服务请求消息中接收所述新鲜度参数。