CN118202621A - 无线通信网络中针对基于邻近的服务的认证 - Google Patents
无线通信网络中针对基于邻近的服务的认证 Download PDFInfo
- Publication number
- CN118202621A CN118202621A CN202280073985.3A CN202280073985A CN118202621A CN 118202621 A CN118202621 A CN 118202621A CN 202280073985 A CN202280073985 A CN 202280073985A CN 118202621 A CN118202621 A CN 118202621A
- Authority
- CN
- China
- Prior art keywords
- communication device
- network
- key
- relay
- prose
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 554
- 238000000034 method Methods 0.000 claims abstract description 203
- 239000013598 vector Substances 0.000 claims abstract description 119
- 239000000463 material Substances 0.000 claims abstract description 105
- 238000012545 processing Methods 0.000 claims description 93
- 230000015654 memory Effects 0.000 claims description 54
- 230000004044 response Effects 0.000 claims description 53
- 238000003860 storage Methods 0.000 claims description 36
- 238000004590 computer program Methods 0.000 claims description 20
- 238000013523 data management Methods 0.000 claims description 19
- 230000003287 optical effect Effects 0.000 claims description 11
- 230000008569 process Effects 0.000 abstract description 40
- 230000006870 function Effects 0.000 description 39
- 238000010586 diagram Methods 0.000 description 18
- 230000005540 biological transmission Effects 0.000 description 13
- 238000007726 management method Methods 0.000 description 10
- 238000005259 measurement Methods 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 9
- 238000009795 derivation Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- 230000005641 tunneling Effects 0.000 description 3
- 241001465754 Metazoa Species 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000003416 augmentation Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000004378 air conditioning Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 239000000779 smoke Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000007921 spray Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
- 238000004846 x-ray emission Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种远程通信设备经由中继通信设备执行与归属通信网络的认证过程,以针对基于邻近的服务ProSe向归属通信网络认证远程通信设备。执行认证过程包括导出认证向量中包括的一个或多个密钥。远程通信设备直接从认证向量中包括的一个或多个密钥生成用于ProSe的锚密钥。远程通信设备使用从锚密钥导出的安全密钥材料来保护远程通信设备和中继通信设备之间的ProSe直接通信。
Description
技术领域
本申请总体上涉及一种无线通信网络,更具体地涉及这种网络中针对基于邻近的服务(ProSe)的认证。
背景技术
基于邻近的服务(ProSe)是一种使彼此邻近的通信设备能够直接(即,经由不经过任何网络节点的路径)通信的服务。因此,ProSe直接通信是邻近通信设备之间经由不经过任何网络节点的路径通过用户面传输的通信。
ProSe可以用于扩展通信网络的覆盖范围,例如用于公共安全服务和/或商业服务。在这方面,通信网络的覆盖范围内的所谓的中继通信设备可以中继该通信网络与该通信网络的覆盖范围外的所谓的远程通信设备之间的业务。中继通信设备在这样做时有效地将通信网络的覆盖范围扩展到远程通信设备。
然而,扩展现有认证和安全框架来处理这种ProSe中继用例将威胁现有框架和/或使现有框架复杂化。事实上,以这种方式扩展现有框架将需要生成用于远程通信设备的主认证的安全密钥,并且因此将对网络侧和设备侧的密钥处理产生负面影响。例如,在5G网络中,这将需要根据现有框架来生成用于远程通信设备的主认证的归属网络根密钥Kausf,然后从该归属网络根密钥导出用于ProSe的锚密钥。这将因此影响到归属网络根密钥的处理,并且产生对同样基于归属网络根密钥的其他特征(例如,用户设备(UE)参数更新(UPU)、对最佳路由的支持(SOR)、和/或对应用的认证和密钥管理(AKMA))的依赖性。
发明内容
本文的一些实施例针对ProSe来认证远程通信设备,该认证与远程通信设备的主认证独立和/或分离。本文的这些和其他实施例可以直接从认证向量中包括的一个或多个密钥生成用于ProSe的锚密钥,例如,而不是从诸如Kausf之类的归属网络根密钥生成用于ProSe的锚密钥。备选地或附加地,本文的一些实施例有效地将用于ProSe的锚密钥缓存在服务网络中,以有效地重用锚密钥。本文的一些实施例从而实现ProSe中继,同时最小化对现有认证和安全框架的影响。
更具体地,本文的实施例包括由远程通信设备执行的方法。该方法包括:经由中继通信设备执行与归属通信网络的认证过程,以针对基于邻近的服务ProSe向归属通信网络认证远程通信设备。在这种情况下,执行认证过程包括导出认证向量中包括的一个或多个密钥。该方法还包括:直接从认证向量中包括的一个或多个密钥生成用于ProSe的锚密钥,并且使用从锚密钥导出的安全密钥材料来保护远程通信设备和中继通信设备之间的ProSe直接通信。
在一些实施例中,认证向量专用于ProSe,和/或认证向量中包括的一个或多个密钥被绑定到ProSe。
在一些实施例中,导出认证向量中包括的一个或多个密钥包括:根据中继通信设备的服务通信网络的标识和/或中继服务码来导出一个或多个密钥。
在一些实施例中,认证向量中包括的一个或多个密钥包括加密密钥和完整性密钥。
在一些实施例中,该方法还包括从锚密钥和从中继通信设备接收到的新鲜度参数和/或由远程通信设备生成的新鲜度参数导出安全密钥材料。
在一些实施例中,锚密钥是用于远程通信设备和中继通信设备之间的PC5接口的PC5锚密钥Kpc5。
在一些实施例中,作为用于建立远程通信设备和中继通信设备之间的连接的连接建立过程的一部分,执行认证过程。在这些实施例中的一个或多个实施例中,该方法还包括:生成标识锚密钥、标识安全密钥材料、或临时标识远程通信设备的标识,并且在释放该连接之后,作为用于建立远程通信设备和相同或不同中继通信设备之间的新连接的后续连接建立过程的一部分,向该相同或不同中继通信设备发送该标识。该方法还包括:基于该标识,重用锚密钥或安全密钥材料来重新认证远程通信设备和/或保护通过新连接的ProSe直接通信。在这些实施例的一个或多个实施例中,该方法还包括:避免作为认证过程的一部分和/或作为连接建立过程的一部分生成归属网络根密钥。在这些实施例的一个或多个实施例中,归属网络根密钥是密钥KAUSF。
在一些实施例中,用于针对ProSe向归属通信网络认证远程通信设备的认证过程与用于远程通信设备向归属通信网络的主认证的主认证过程独立和/或分离。
在一些实施例中,该方法还包括:经由远程通信设备和中继通信设备之间的ProSe直接通信向归属通信网络发送业务和/或从归属通信网络接收业务。
在一些实施例中,中继通信设备是层3UE到网络中继。
本文的其他实施例包括由被配置为在远程通信设备的归属通信网络中使用的归属网络节点执行的方法。该方法包括:接收针对基于邻近的服务ProSe向归属通信网络认证远程通信设备的请求;基于针对远程通信设备获得的认证向量,执行用于根据该请求来认证远程通信设备的认证过程;直接从认证向量中包括的一个或多个密钥生成用于ProSe的锚密钥;以及响应于该请求,发送锚密钥。
在一些实施例中,认证向量专用于ProSe,和/或认证向量中包括的一个或多个密钥被绑定到ProSe。
在一些实施例中,认证向量中包括的一个或多个密钥是基于从其接收到该请求的服务通信网络的标识和/或中继服务码的。
在一些实施例中,认证向量中包括的一个或多个密钥包括加密密钥和完整性密钥。
在一些实施例中,锚密钥是用于PC5接口的PC5锚密钥Kpc5。
在一些实施例中,作为用于建立远程通信设备和中继通信设备之间的ProSe连接的连接建立过程的一部分,执行认证过程。在这些实施例的一个或多个实施例中,该方法还包括生成标识锚密钥的标识。在这种情况下,响应还包括该标识。在这些实施例的一个或多个实施例中,该方法还包括:避免作为认证过程的一部分和/或作为连接建立过程的一部分生成归属网络根密钥。在这些实施例的一个或多个实施例中,归属网络根密钥是密钥KAUSF。
在一些实施例中,用于针对ProSe向归属通信网络认证远程通信设备的认证过程与用于远程通信设备向归属通信网络的主认证的主认证过程独立和/或分离。
在一些实施例中,该方法还包括通过以下方式获得认证向量:向归属通信网络中的订阅数据管理节点发送对认证向量的请求;以及响应于所发送的请求,从订阅数据管理节点接收认证向量。在这些实施例的一个或多个实施例中,所发送的请求指示以下项中的一项或多项:与远程通信设备相关联的标识、中继服务码、或从其接收到该请求的服务通信网络的服务网络名称。
在一些实施例中,从中继通信设备的服务通信网络中的服务网络节点接收该请求,作为远程通信设备和归属通信网络之间的中继业务的一部分,该中继通信设备将执行与远程通信设备的ProSe直接通信。在这些实施例的一个或多个实施例中,中继通信设备是层3UE到网络中继。
在一些实施例中,该请求包括远程通信设备的订阅隐藏标识符。在这种情况下,该方法还包括请求对订阅隐藏标识符的解隐藏以便获得远程通信设备的订阅永久标识符,并且响应还包括该订阅永久标识符。
本文的其他实施例包括由被配置为在中继通信设备的服务通信网络中使用的服务网络节点执行的方法。该方法包括:从中继通信设备接收请求安全密钥材料的密钥材料请求,通过安全密钥材料来保护中继通信设备和远程通信设备之间的基于邻近的服务ProSe直接通信;以及响应于密钥材料请求,向远程通信设备的归属通信网络中的归属网络节点发送认证请求,该认证请求请求针对ProSe来认证远程通信设备。该方法还包括:响应于该认证请求,接收锚密钥;从锚密钥生成安全密钥材料;以及响应于密钥材料请求,向中继通信设备发送安全密钥材料。
在一些实施例中,该认证请求请求针对ProSe对远程通信设备进行ProSe特定认证。
在一些实施例中,直接从认证向量中包括的一个或多个密钥导出锚密钥,基于该认证向量,针对ProSe来认证远程通信设备。在这些实施例的一个或多个实施例中,认证向量专用于ProSe,和/或认证向量中包括的一个或多个密钥被绑定到ProSe。在这些实施例的一个或多个实施例中,认证向量中包括的一个或多个密钥是基于服务通信网络的标识和/或中继服务码的。在这些实施例的一个或多个实施例中,认证向量中包括的一个或多个密钥包括加密密钥和完整性密钥。
在一些实施例中,锚密钥是用于远程通信设备和中继通信设备之间的PC5接口的PC5锚密钥Kpc5。
在一些实施例中,中继通信设备是层3UE到网络中继。
在一些实施例中,生成安全密钥材料包括:生成新鲜度参数,并且从锚密钥和新鲜度参数导出安全密钥材料。在这些实施例的一个或多个实施例中,该方法还包括向中继通信设备发送新鲜度参数。
在一些实施例中,该方法还包括:将锚密钥存储在服务网络节点本地的本地存储设备中。在这些实施例中的一个或多个实施例中,该方法还包括:在向中继通信设备发送安全密钥材料之后,接收请求安全密钥材料的后续密钥材料请求,通过该安全密钥材料来保护远程通信设备和相同或不同中继通信设备之间的ProSe直接通信;以及响应于后续密钥材料请求,从本地存储设备取回锚密钥。该方法还包括:从锚密钥导出新安全密钥材料;以及响应于后续密钥材料请求,发送新安全密钥材料。在这些实施例中的一个或多个中,该方法还包括:生成标识锚密钥、标识安全密钥材料、或临时标识远程通信设备的标识,并且与该标识相关联地将锚密钥存储在本地存储设备中。在这种情况下,后续密钥材料请求包括该标识,并且使用后续密钥材料请求中包括的该标识从本地存储设备取回锚密钥。
在一些实施例中,该方法还包括:生成标识锚密钥、标识安全密钥材料、或临时标识远程通信设备的标识,并且与该标识相关联地将锚密钥存储在本地存储设备中。在这些实施例的一个或多个实施例中,存储锚密钥包括:将锚密钥存储在中继通信设备的上下文或远程通信设备的ProSe特定上下文中。
本文的其他实施例包括由被配置为在远程通信设备的归属通信网络中使用的订阅数据管理节点执行的方法。该方法包括:从归属通信网络中的归属网络节点接收对认证向量的请求,基于该认证向量,针对基于邻近的服务ProSe向归属通信网络认证远程通信设备;生成所请求的认证向量;以及响应于该请求,向归属网络节点发送认证向量。
在一些实施例中,该请求指示一个或多个参数。在这种情况下,生成认证向量包括:基于该一个或多个参数来生成认证向量,并且该一个或多个参数包括以下项中的一项或多项:与远程通信设备相关联的标识;中继服务码;或者服务于中继通信设备的服务通信网络的服务网络名称,作为远程通信设备和归属通信网络之间的中继业务的一部分,该中继通信设备将执行与远程通信设备的ProSe直接通信。
在一些实施例中,该方法还包括:指派特定于ProSe的认证向量的序列号。
在一些实施例中,认证向量专用于ProSe,和/或认证向量中包括的一个或多个密钥被绑定到ProSe。
在一些实施例中,认证向量中包括的一个或多个密钥是基于服务于中继通信设备的服务通信网络的标识和/或中继服务码的,作为远程通信设备和归属通信网络之间的中继业务的一部分,该中继通信设备将执行与远程通信设备的ProSe直接通信。
本文的其他实施例包括对应的装置、计算机程序、以及这些计算机程序的载体。
附图说明
图1是根据一些实施例的用于ProSe中继的中继通信设备和远程通信设备的框图。
图2是根据一些实施例的用于ProSe中继的呼叫流程图。
图3A和图3B是根据一些实施例的用于对ProSe中继的认证和保护的呼叫流程图。
图4是根据一些实施例的由远程通信设备执行的方法的逻辑流程图。
图5是根据一些实施例的由归属网络节点执行的方法的逻辑流程图。
图6是根据一些实施例的由服务网络节点执行的方法的逻辑流程图。
图7是根据一些实施例的由订阅数据管理节点执行的方法的逻辑流程图。
图8是根据一些实施例的远程通信设备的框图。
图9是根据一些实施例的网络节点的框图。
图10是根据一些实施例的通信系统的框图。
图11是根据一些实施例的用户设备的框图。
图12是根据一些实施例的网络节点的框图。
图13是根据一些实施例的主机的框图。
图14是根据一些实施例的虚拟化环境的框图。
图15是根据一些实施例的主机通过部分无线连接经由网络节点与UE进行通信的框图。
具体实施方式
图1示出了用于针对基于邻近的服务(ProSe)认证远程通信设备12R以及用于保护远程通信设备12R和中继通信设备12Y之间的ProSe直接通信11的一个或多个实施例。在这方面,通信设备12R、12Y彼此邻近,例如在彼此的通信范围内。ProSe是一种使得彼此邻近的通信设备12R、12Y能够直接(即,经由不经过任何网络节点的路径)通信的服务。因此,ProSe直接通信11是通信设备12R、12Y之间经由不经过任何网络节点的路径通过用户面传输的通信。
如图1所示的ProSe直接通信11用于ProSe中继,以扩展通信网络覆盖范围,例如用于公共安全服务和/或商业服务。在这方面,远程通信设备12R在网络覆盖范围之外,例如,在远程通信设备的归属通信网络10H的覆盖范围之外以及在与归属通信网络10H可能具有漫游协议的任何拜访网络的覆盖范围之外。然而,中继通信设备12Y在服务通信网络10S的覆盖范围内,该服务通信网络10S可以与归属通信网络10H相同或者可以是与归属通信网络10H具有漫游协议的拜访网络。中继通信设备12Y相应地在远程通信设备12R与远程通信设备的归属网络10H之间中继业务,以有效地将通信网络覆盖范围扩展到远程通信设备12R。即,中继通信设备12Y经由ProSe直接通信11向远程通信设备12R发送业务和/或从远程通信设备12R接收业务,并且经由其与服务通信网络10S的通信接口向归属通信网络10H发送业务和/或从归属通信网络10H接收业务。作为一个示例,中继通信设备12Y可以是如本文所描述的层3UE到网络中继。
在任何情况下,远程通信设备12R可以例如在发现中继通信设备12Y之后发起建立与中继通信设备12Y的连接。作为建立这种连接的一部分,如图所示的中继通信设备12Y向服务通信网络10S中服务于中继通信设备12Y的服务网络节点14S(例如,实现接入和移动性功能AMF)发送密钥材料请求16。密钥材料请求16请求安全密钥材料,通过该安全密钥材料来保护中继通信设备12Y和远程通信设备12R之间的ProSe直接通信11。
响应于密钥材料请求16,服务网络节点14S向远程通信设备的归属通信网络10H中的归属网络节点14H(例如,实现认证服务器功能AUSF)发送认证请求18。认证请求18请求针对ProSe来认证远程通信设备12R,例如,其中,所请求的认证可以是ProSe特定认证和/或与远程通信设备12R的主认证分离或独立。
根据一些实施例的认证请求18触发远程通信设备12R和归属通信网络10H之间的认证过程20,用于针对ProSe来认证远程通信设备12R。在一些实施例中,认证过程20是特定于ProSe的,和/或与主认证过程分离或独立。无论如何,认证过程20可以使得能够向归属通信网络10H认证远程通信设备12R,并且可选地还能够向远程通信设备12R认证归属通信网络10H。认证过程20还可以提供可以在后续安全过程中使用的密钥材料。
具体地,如图所示的针对ProSe认证远程通信设备12R是基于认证向量22的,例如,其中,认证向量22对于在认证过程20的单次运行中使用是有效的,以便防止其重用。认证向量22包括一个或多个密钥22K,例如加密密钥和/或完整性密钥。在一些实施例中,认证向量22还包括随机数22N、预期的响应22X、和/或认证令牌22T。在基于3GPP网络的实施例中,例如,随机数22N可以是RAND,预期的响应22X可以是XRES,和/或认证令牌22T可以是AUTN。
在一些实施例中,认证向量22是通用的,以便不特定于任何特定服务或用途,例如,认证向量22可用于主认证或ProSe认证。在这种情况下,密钥22K可以包括被表示为CK的加密密钥和被表示为IK的完整性密钥。相比之下,在其他实施例中,认证向量22专用于ProSe,和/或密钥22K被绑定到ProSe。在这种情况下,ProSe特定认证向量22可以是通用认证向量(未示出)的变换版本,例如,由此通用认证向量被变换为特定于ProSe。在一些实施例中,例如,可以根据中继服务码和/或服务通信网络10S的标识导出密钥22。在一个实施例中,然后密钥22可以包括被表示为CK'的加密密钥和被表示为IK'的完整性密钥。
在任何情况下,在一些实施例中,来自服务网络节点14S的认证请求18触发归属网络节点14H向归属通信网络10H中的订阅数据管理节点14M发送认证向量(AV)请求24。AV请求24请求认证向量22,基于该认证向量22,针对ProSe向归属通信网络10H认证远程通信设备12R。在一些实施例中,AV请求24指示一个或多个参数,例如与远程通信设备12R相关联的标识、中继服务码和/或服务通信网络10S的服务网络名称。
订阅数据管理节点14M例如基于AV请求24中的参数,响应于AV请求24来生成认证向量22。然后,订阅数据管理节点14M响应于请求24而向归属网络节点14H发送AV 22。
归属网络节点14H基于AV 22来执行认证过程20。例如,在一个实施例中,作为认证过程20的一部分,归属网络节点14H向远程通信设备12R发送随机数22N和认证令牌22T。远程通信设备12R根据随机数22N、认证令牌22T和共享密钥生成响应(未示出),并且发送回该响应。如果所返回的响应与认证向量22中的预期响应22X相对应(例如,相匹配),则针对ProSe认证了远程通信设备12。作为认证过程20的一部分或在认证过程20之后,远程通信设备12R本身也例如根据随机数22N和/或认证令牌22T导出认证向量22中的密钥22K。
作为认证过程20的结果或与认证过程20相关联,远程通信设备12R和归属网络节点14H两者被配备有认证向量22中包括的密钥22K。远程通信设备12R和归属网络节点14均从认证向量22中包括的密钥22K单独地生成用于ProSe的锚密钥26。用于ProSe的锚密钥26是在以下意义上的锚密钥:可以从锚密钥26导出用于多于一个安全上下文的密钥材料,而不需要认证过程20的另一次运行。在一个实施例中,例如,当通信设备12R、12Y通过PC5接口直接通信时,锚密钥26可以被称为PC5锚密钥Kpc5。
值得注意的是,根据本文的一些实施例,远程通信设备12R和归属网络节点14均直接从认证向量22中包括的密钥22K生成用于ProSe的锚密钥26。在一个实施例中,直接从密钥22K生成锚密钥26意味着锚密钥26在密钥分级结构中直接从密钥22K下降,在锚密钥26和密钥22K之间没有任何介入密钥。因此,不是直接从密钥22K生成归属网络根密钥(例如,Kausf)然后直接从归属网络根密钥生成锚密钥26以便仅间接地从密钥22K生成锚密钥26,而是远程通信设备12R和归属网络节点14H均直接从认证向量22中的密钥22K生成锚密钥26。这因此可能意味着远程通信设备12R和归属网络节点14H都不需要生成这种归属网络根密钥(例如,Kausf)作为用于ProSe的认证过程18的一部分。实际上,在一些实施例中,远程通信设备12R和归属网络节点14H均避免生成归属网络根密钥作为认证过程20的一部分和/或作为通信设备12R、12Y之间的连接建立过程的一部分。一些实施例由此有利地最小化ProSe中继对归属网络根密钥的处理的影响,和/或避免产生ProSe对也基于归属网络根密钥的其他特征(例如,用户设备(UE)参数更新(UPU)、对最佳路由的支持(SOR)、和/或对应用的认证和密钥管理(AKMA))的依赖性。
在已经以这种方式生成锚密钥26之后,归属网络节点14H在对认证请求18的响应30中发送锚密钥26。服务网络节点14S相应地接收响应30中的锚密钥26。然后,服务网络节点14S使用锚密钥26来生成由密钥材料请求16请求的安全密钥材料。在这方面,服务网络节点14S从锚密钥26生成安全密钥材料32。在通信设备12R、12Y通过PC5接口直接通信的一个实施例中,安全密钥材料32可以被称为PC5通信密钥材料(Kpc5-com)。无论如何,在一些实施例中,例如通过在服务网络节点14S处生成新鲜度参数并且还从所生成的新鲜度参数生成安全密钥材料32,服务网络节点14S还从一个或多个新鲜度参数生成安全密钥材料32。作为一个示例,这种新鲜度参数可以是例如Kpc5-com新鲜度参数形式的随机数。在任何情况下,然后服务网络节点14S在对密钥材料请求16的响应30中向中继通信设备12Y发送安全密钥材料32。
因此,远程通信设备12R单独地从锚密钥26生成安全密钥材料32。尽管未示出,但例如服务网络节点12S还可以向中继通信设备12Y发送新鲜度参数,该中继通信设备12Y进而向远程通信设备12R发送新鲜度参数。然后,远程通信设备12R可以从锚密钥26和所接收到的新鲜度参数生成安全密钥材料32。
通过上述方式,然后,远程通信设备12R和中继通信设备12Y两者获得用于保护ProSe直接通信11的安全密钥材料32。因此,远程通信设备12R和中继通信设备12Y使用从锚密钥26导出的安全密钥材料32来保护ProSe直接通信11。通过以这种方式保护ProSe直接通信11,远程通信设备12R可以有利地经由ProSe直接通信11向归属通信网络10H发送业务和/或从归属通信网络10H接收业务。
备选地或附加地,本文的一些实施例有效地将用于ProSe的锚密钥26缓存在服务网络节点14S中,例如以有效地重用锚密钥26。在一些实施例中,例如,服务网络节点14S将锚密钥26存储在例如服务网络节点14S本地的本地存储设备中。例如,服务网络节点12S可以将锚密钥26存储在中继通信设备12Y的上下文中或远程通信设备12R的ProSe特定上下文中。无论如何,在一些实施例中,服务网络节点14S可以生成标识锚密钥26、标识安全密钥材料32、或临时标识远程通信设备12R的标识。在这种情况下,服务网络节点14S可以与该标识相关联地存储锚密钥26(例如,将其存储在本地存储设备中),例如用于稍后使用该标识进行取回。
例如,在向中继通信设备12Y发送安全密钥材料32之后,服务网络节点14S可以接收请求安全密钥材料的后续密钥材料请求(未示出),通过该安全密钥材料来保护远程通信设备12R和相同或不同中继通信设备之间的ProSe直接通信。在已经有效地缓存远程通信设备12R的锚密钥26之后,服务网络节点14S可以重用锚密钥26来生成所请求的安全密钥材料。在这方面,响应于后续密钥材料请求,服务网络节点14S可以(从本地存储设备)取回锚密钥26,从锚密钥26导出新安全密钥材料,并且响应于后续密钥材料请求而发送新安全密钥材料。事实上,在一些实施例中,后续密钥材料请求包括该标识,在这种情况下,服务网络节点14S使用后续密钥材料请求中包括的标识从本地存储设备取回锚密钥26。
本文的一些实施例适用于以下5G上下文:其中,远程通信设备12R被例示为远程用户设备(UE),中继通信设备12Y被例示为层3UE到网络中继,服务网络节点14S被例示为服务于层3UE到网络中继的AMF,归属网络节点14H被例示为用于远程UE的AUSF,ProSe直接通信11被例示为通过通信设备12R、12Y之间的PC5接口发生,锚密钥26被例示为PC5锚密钥Kpc5,并且认证向量22中的密钥22K被例示为加密密钥CK和完整性密钥IK或者经变换的加密密钥CK'和经变换的完整性密钥IK'。
5G ProSe中的层3UE到网络中继
一些实施例适用于如TS23.304v17.0.0中所描述的5GS中的层3UE到网络中继。5GProSe层3UE到网络中继向网络注册(如果尚未注册的话)。5G ProSe层3UE到网络中继建立协议数据单元(PDU)会话或修改现有PDU会话,以便向5G ProSe层3远程UE提供中继业务。支持5G ProSe层3UE到网络中继的PDU会话应仅用于5G ProSe层3远程UE中继业务。
服务于5G ProSe层3UE到网络中继的公共陆地移动网络(PLMN)和5G ProSe层3远程UE所注册的PLMN可以是相同的PLMN或两个不同的PLMN。
图2示出了根据一些实施例的在没有N3IWF的情况下经由5GProSe层3UE到网络中继的5G ProSe通信。
1.针对5G ProSe层3UE到网络中继(步骤1a)和5G ProSe层3远程UE(步骤1b)执行服务授权和提供(provisioning)。
2.5G ProSe层3UE到网络中继可以建立用于中继的PDU会话。在IPv6的情况下,5GProSe层3UE到网络中继经由TS23.501v中定义的前缀委托功能从网络获得IPv6前缀。17.2.0.
注释1:在与5G ProSe层3远程UE建立连接之前,5G ProSe层3UE到网络中继可以针对它支持的任何中继服务码建立PDU会话。
3.5G ProSe层3远程UE执行对5G ProSe层3UE到网络中继的发现。作为发现过程的一部分,5G ProSe层3远程UE了解5G ProSe层3UE到网络中继提供的连接服务。
4.5G ProSe层3远程UE选择5G ProSe层3UE到网络中继,并且建立用于单播模式通信的连接。如果不存在与中继服务码相关联的PDU会话或者需要用于中继的新PDU会话,则5G ProSe层3UE到网络中继在完成PC5连接建立之前发起用于中继的新PDU会话建立过程。
5G ProSe层3UE到网络中继确定用于中继的PDU会话类型。
根据用于中继的PDU会话类型,5G ProSe层3UE到网络中继
在对应层执行中继功能,如下所示:
-当IP类型PDU会话用于PC5参考点上的IP业务时,5G ProSe层3UE到网络中继充当IP路由器。对于IPv4,5G ProSe层3UE到网络中继在指派给5G ProSe层3远程UE的IPv4地址与指派给用于中继业务的PDU会话的IPv4地址之间执行IPv4 NAT。
-当以太网类型PDU会话用于PC5参考点上的以太网业务时,5GProSe层3UE到网络中继充当以太网交换机。
-当非结构化类型PDU会话用于PC5参考点上的非结构化业务时,5G ProSe层3UE到网络中继基于PC5链路标识符和PDU会话ID之间的映射以及PC5层2链路的PFI与PDU会话的QFI之间的映射来执行业务中继。当针对5G ProSe层3远程UE建立非结构化类型PDU会话时创建这些映射。
-当IP类型PDU会话用于PC5参考点上的以太网或非结构化业务时,5G ProSe层3UE到网络中继使用IP隧穿。对于这种IP隧穿,5G ProSe层3UE到网络中继在本地为5G ProSe层3远程UE指派IP地址/前缀,并且在Uu参考点上使用它来封装和解封装5G ProSe层3远程UE的上行链路和下行链路业务。Uu参考点上的隧穿业务作为以太网或非结构化业务在PC5参考点上传输。
5.对于IP PDU会话类型和PC5参考点上的IP业务,为5G ProSe层3远程UE分配IPv6前缀或IPv4地址(包括NAT情况)。
6.5G ProSe层3远程UE可以使用层2链路修改过程向5G ProSe层3UE到网络中继提供PC5 QoS规则。5G ProSe层3UE到网络中继基于所接收到的PC5 QoS规则来生成在Uu接口上使用的分组过滤器,并且可以执行UE请求的PDU会话修改以设置新的QoS流或将业务绑定到现有QoS流。
从这一点,上行链路中继和下行链路中继可以开始。对于下行链路业务转发,使用PC5 QoS规则将下行链路分组映射到PC5 QoS流。对于上行链路业务转发,使用5G QoS规则将上行链路分组映射到Uu QoS流。
7.5G ProSe层3UE到网络中继应针对与该中继相关联的PDU会话向SMF发送远程UE报告(远程用户ID、远程UE信息)消息。远程用户ID是在步骤4中成功连接的5G ProSe层3远程UE用户的标识(经由用户信息提供)。使用远程UE信息来帮助识别5GC中的5G ProSe层3远程UE。对于IP PDU会话类型,远程UE信息是远程UE IP信息。对于以太网PDU会话类型,远程UE信息是由5G ProSe层3UE到网络中继检测到的远程UE MAC地址。对于非结构化PDU会话类型,不包括远程UE信息。SMF将远程用户ID和相关远程UE信息存储在与该中继相关联的该PDU会话的5G ProSe层3UE到网络中继的SM上下文中。
远程UE报告是与PDU会话ID一起发送给AMF继而又传送给SMF的N1 SM NAS消息。
5G ProSe中的层3UE到网络中继的安全性
一些实施例保护PC5通信以支持符合5GS TR 33.847v0.8.0的层3UE到网络中继。提出了两种类别的解决方案,一种类别是基于用户面(UP)的解决方案,另一种类别是基于控制面(CP)的解决方案。
对于基于CP的解决方案,为了PC5链路安全性,使用从主认证导出的密钥来导出PC5密钥。基于在网络的帮助下导出和分发的共享密钥来建立UE到网络中继和远程UE之间的通信的安全性。根凭证在远程UE和网络中进行配置。共享密钥由远程UE和网络单独地从根凭证中导出。共享密钥由AMF分发给UE到网络中继。AUSF导出用于PC5密钥导出的PC5锚密钥。
在一些实施例中,对远程UE/中继的授权基于主认证并且使用如TS23.304(v.17.0.0)第5.1.4节中定义的基于PCF的服务授权和提供(provisioning)。支持在PC5链路建立期间执行主认证。
现有网络实体(AMF、AUSF、UDM)用于针对UE到网络中继通信使用的密钥导出和密钥的分发。基于在网络的帮助下导出和分发的共享密钥来建立UE到网络中继和远程UE之间的通信的安全性。根凭证在远程UE和网络中进行配置。共享密钥由远程UE和网络单独地从根凭证中导出。共享密钥由AMF分发给UE到网络中继。AUSF导出用于PC5密钥导出的PC5锚密钥。
本文的一些实施例解决了该上下文中的某些挑战。目前还不清楚Kausf是否是被生成用于在PC5链路建立期间执行的远程UE认证以及被用作PC5锚密钥的根密钥。显然,如果在PC5链路建立期间执行的远程UE认证将导致Kausf生成,则将对网络侧和UE侧的Kausf密钥处理以及对基于Kausf的其他特征(例如,UPU/SOR、AKMA)的依赖性带来潜在附加影响。
本公开的某些方面及其实施例可以提供针对这些挑战或其他挑战的解决方案。期望用于Prose的目标CP解决方案应与UE的主认证和对3GPP接入的密钥分级处理松散地耦合。
因此,建议:
--在PC5链路建立期间执行的UE认证与3GPP接入的UE主认证无关,并且不需要生成Kausf。
--AUSF基于针对在PC5链路建立期间执行的UE认证取回的认证向量来导出PC5锚密钥(Kpc5;也被称为PRUK(ProSe中继用户密钥))。
--Kpc5和Kpc5密钥ID由AUSF来生成,并且在AMF中进行传送和管理;备选地,不生成Kpc5密钥ID,但由AMF生成临时ID,以将其与从AUSF接收到的Kpc5链接。
某些实施例可以提供以下技术优点中的一个或多个。
1.对UE主认证的Kausf处理不受对Prose业务的认证的影响
2.Kpc5本地存储在中继AMF中,以实现基于Kpc5进行快速其他密钥导出
3.Kpc5 ID由AMF维护,以实现基于Kpc5 ID从远程UE进行快速重新认证
图3A和图3B示出了根据一些实施例的ProSe中继的一个示例。
用斜体标记的文本被认为是针对现有基于CP的解决方案的新内容。
参考图3A和图3B,基于UE认证的UE到网络中继安全流程被描述如下:
1.远程UE生成用于一对一通信的新鲜度参数Nonce_1,并且向中继UE发送直接通信请求。除了一对一的通信参数之外,该消息还可以包含以下参数:
-远程UE想要访问的中继服务码。
-Kpc5密钥ID(如果远程UE已经具有Kpc5的话)
-SUCI(如果远程UE尚未具有有效的Kpc5密钥ID)。
注释1:Kpc5和Kpc5密钥ID分别相当于TS 33.303v16.0.0中的PRUK和PRUK ID。
2.中继UE向其服务AMF发送NAS中继密钥请求。该消息包括从远程UE接收到的参数,即Kpc5密钥ID和/或SUCI、中继服务码和Nonce_1。
3.中继UE的AMF根据中继服务码来检查该中继UE是否被授权成为中继UE。中继业务授权信息被存储在中继UE的UDM中。
/>
注释3:Kpc5-com相当于TS 33.303中的KD。
14.中继UE的AMF向中继UE发送Kpc5-com、Kpc5-com新鲜度。
15.中继UE向远程UE发送直接安全模式命令。除了一对一的通信参数之外,该消息还包括Kpc5-com新鲜度参数。
16.远程UE使用Kpc5、Kpc5-com新鲜度参数、Nonce_1、中继服务码等来生成PC5通信密钥材料Kpc5-com。
17.远程UE向中继UE发送直接安全模式完成消息。
18.在远程UE和中继UE之间建立PC5通信安全。
备选地,在其他实施例中,图3A和图3B可以被修改如下:
步骤1至4,代替Kpc5密钥ID,使用远程UE的临时UE标识(例如,Pr-GUTI(ProseGUTI))
步骤9,远程UE和AUSF不生成Kpc5密钥ID
步骤10,AUSF不发送Kpc5密钥ID
步骤11,代替存储Kpc5密钥ID,AMF生成用于UE的Pr-GUTI。
步骤14至15,将Pr-GUTI发送给远程UE,并且将其存储。
备选地,在其他实施例中,图3A和图3B可以被修改如下:
步骤1至4,替代Kpc5密钥ID,使用Kpc5-com密钥ID
步骤9,远程UE和AUSF不生成Kpc5密钥ID
步骤10至11,AUSF不向AMF发送Kpc5密钥ID
步骤13,AMF附加地生成Kpc-com密钥ID,并且存储密钥材料(Kpc5密钥、SUPI、Kpc5-com、Kpc5-com密钥ID)
步骤16,UE附加地生成Kpc-com密钥ID,并且存储密钥材料。
备选地,在其他实施例中,图3A和图3B可以被修改如下:
步骤11,替代将远程UE的Kpc5密钥材料存储在中继UE上下文中,中继UE的AMF创建用于ProSe服务的UE上下文,并且将远程UE的Kpc5密钥材料存储在该上下文中;AMF可以使用第6.1节中的Kpc5密钥ID或第6.2节中的pr-GUTI或第6.3节中的Kpc-com密钥ID来标识远程UE的该UE上下文。
在一些实施例中,对远程UE的5G-GUTI处理与UE的上下文处理(由其服务AMF拥有,例如,移动性处理、注册处理等)紧密相关。根据一些实施例,远程UE的服务AMF不应受到L3U2N中继的UE上下文处理或5G-GUTI处理的影响。因此,在L3 U2N解决方案中,中继AMF不需要指派/维护/刷新远程UE的5G-GUTI。
本文的一些实施例可以被描述为解决UE到网络中继的安全性的关键问题。具体地,U2N中继授权和安全的解决方案可以被分为基于用户面(UP)或控制面(CP)的解决方案。基于UP的解决方案使用与AF的UP连接(PKMF),而基于CP的解决方案使用主认证来进行PC5密钥建立。L3 U2N中继支持控制面解决方案和用户面解决方案两者。
在一些实施例中,以下文本被视为UE到网络中继解决方案的结论。对于控制面解决方案,得出以下结论:
对于PC5链路安全性,使用从主认证导出的密钥(例如,sol#1、#10、#15、#30)来导出PC5密钥。基于在网络的帮助下导出和分发的共享密钥来建立UE到网络中继和远程UE之间的通信的安全性。在远程UE和网络中进行配置根凭证。共享密钥由远程UE和网络单独地从根凭证中导出。共享密钥由AMF分发给UE到网络中继。
AUSF基于从UDM取回的用于在PC5链路建立期间执行的远程UE认证的认证向量来导出用于PC5密钥推导的PC5锚密钥(例如,sol#1、sol#15、sol#30、sol#39)。
本文的一些实施例可以备选地或附加地被描述为解决UE到网络中继场景中的授权的关键问题。在这方面,支持在远程UE的PC5链路建立期间与3GPP接入的UE主认证独立地执行UE认证。在一些实施例中,远程UE的服务AMF不应受到远程UE的5G-GUTI和UE上下文处理的影响。中继AMF不需要指派/维护/刷新远程UE的5G-GUTI。
本文的一些实施例可以备选地或附加地被描述为解决UE到网络中继通信的5G邻近服务中的密钥管理的关键问题。在一些实施例中,现有网络实体(AMF、AUSF、UDM)用于UE到网络中继通信的密钥推导和密钥分发。基于在网络的帮助下导出和分发的共享密钥来建立UE到网络中继和远程UE之间的通信的安全性。根凭证在远程UE和网络中进行配置。共享密钥由远程UE和网络单独地从根凭证中导出。共享密钥由AMF分发给UE到网络中继。在一些实施例中,AUSF基于从UDM中取回的用于在PC5链路建立期间执行的远程UE认证的认证向量来导出用于PC5密钥推导的PC5锚密钥。
鉴于本文的修改和变化,图4描绘了根据一些实施例的由远程通信设备12R执行的方法。该方法包括:经由中继通信设备12Y执行与归属通信网络10H的认证过程20,以针对基于邻近的服务ProSe向归属通信网络10H认证远程通信设备12R(框100)。在这种情况下,执行认证过程20包括导出认证向量22中包括的一个或多个密钥22K。该方法还包括:直接从认证向量22中包括的一个或多个密钥22K生成用于ProSe的锚密钥26(框110),并且使用从锚密钥26导出安全密钥材料32来保护远程通信设备12R和中继通信设备12Y之间的ProSe直接通信11(框120)。
在一些实施例中,认证向量22专用于ProSe,和/或认证向量22中包括的一个或多个密钥22K被绑定到ProSe。
在一些实施例中,导出认证向量22中包括的一个或多个密钥22K包括:根据中继通信设备12R的服务通信网络10S的标识和/或中继服务码来导出一个或多个密钥22K。
在一些实施例中,认证向量22中包括的一个或多个密钥22K包括加密密钥和完整性密钥。
在一些实施例中,该方法还包括从锚密钥26和从中继通信设备12Y接收到的新鲜度参数和/或由远程通信设备12R生成的新鲜度参数导出安全密钥材料32(框115)。
在一些实施例中,锚密钥26是用于远程通信设备12R和中继通信设备12Y之间的PC5接口的PC5锚密钥Kpc5。
在一些实施例中,作为用于建立远程通信设备12R和中继通信设备12Y之间的连接的连接建立过程的一部分,执行认证过程20。在这些实施例的一个或多个实施例中,该方法还包括:生成标识锚密钥26、标识安全密钥材料32、或临时标识远程通信设备12R的标识,并且在释放该连接之后,作为用于建立远程通信设备12R和相同或不同中继通信设备之间的新连接的后续连接建立过程的一部分,向该相同或不同中继通信设备发送该标识。该方法还包括:基于该标识,重用锚密钥26或安全密钥材料32来重新认证远程通信设备12R和/或保护通过新连接的ProSe直接通信。在这些实施例的一个或多个实施例中,该方法还包括:避免作为认证过程20的一部分和/或作为连接建立过程的一部分生成归属网络根密钥。在这些实施例的一个或多个实施例中,归属网络根密钥是密钥KAUSF。
在一些实施例中,用于针对ProSe向归属通信网络10H认证远程通信设备12R的认证过程20与用于远程通信设备12R向归属通信网络10H的主认证的主认证过程独立和/或分离。
在一些实施例中,该方法还包括经由远程通信设备12R和中继通信设备12Y之间的ProSe直接通信11向归属通信网络10H发送业务和/或从归属通信网络10H接收业务(框130)。
在一些实施例中,中继通信设备是层3UE到网络中继。
图5描绘了由被配置为在远程通信设备12R的归属通信网络10H中使用的归属网络节点14H执行的方法。该方法包括接收针对基于邻近的服务ProSe向归属通信网络10H认证远程通信设备12R的请求18(框200)。该方法还包括:基于针对远程通信设备12R获得的认证向量22,执行根据请求18来认证远程通信设备12R的认证过程20(框210)。该方法还包括:直接从认证向量22中包括的一个或多个密钥22K生成用于ProSe的锚密钥26(框220),并且在对请求18的响应28中发送锚密钥26(框230)。
在一些实施例中,认证向量22专用于ProSe,和/或认证向量22中包括的一个或多个密钥22K被绑定到ProSe。
在一些实施例中,认证向量22中包括的一个或多个密钥22K是根据中继服务码和/或从其接收到请求18的服务通信网络10S的标识得到的。
在一些实施例中,认证向量22中包括的一个或多个密钥22K包括加密密钥和完整性密钥。
在一些实施例中,锚密钥26是用于PC5接口的PC5锚密钥Kpc5。
在一些实施例中,作为用于建立远程通信设备12R和中继通信设备12Y之间的ProSe连接的连接建立过程的一部分,执行认证过程20。在这些实施例的一个或多个实施例中,该方法还包括生成标识锚密钥26的标识。在这种情况下,该响应还包括该标识。在这些实施例的一个或多个实施例中,该方法还包括:避免作为认证过程20的一部分和/或作为连接建立过程的一部分生成归属网络根密钥。在这些实施例的一个或多个实施例中,归属网络根密钥是密钥KAUSF。
在一些实施例中,用于针对ProSe向归属通信网络10H认证远程通信设备12R的认证过程20与用于远程通信设备12R向归属通信网络10H的主认证的主认证过程独立和/或分离。
在一些实施例中,该方法还包括通过以下方式获得认证向量22:向归属通信网络10H中的订阅数据管理节点14M发送对认证向量22的请求24,并且响应于所发送的请求24而从订阅数据管理节点14M接收认证向量22(框205)。在这些实施例的一个或多个实施例中,所发送的请求24指示以下项中的一项或多项:与远程通信设备12R相关联的标识、中继服务码、或从其接收到请求18的服务通信网络10S的服务网络名称。
在一些实施例中,从中继通信设备12Y的服务通信网络10S中的服务网络节点14S接收请求18,作为远程通信设备12R和归属通信网络10H之间的中继业务的一部分,该中继通信设备12Y将执行与远程通信设备12R的ProSe直接通信11。
在一个或多个实施例中,中继通信设备12Y是层3UE到网络中继。
在一些实施例中,请求18包括远程通信设备12R的订阅隐藏标识符。在这种情况下,该方法还包括:请求对订阅隐藏标识符的解隐藏以便获得远程通信设备12R的订阅永久标识符,并且响应30还包括订阅永久标识符。
图6示出了由被配置为在中继通信设备12R的服务通信网络10S中使用的服务网络节点14S执行的方法。该方法包括:从中继通信设备12R接收请求安全密钥材料32的密钥材料请求16,通过该安全密钥材料32来保护中继通信设备12Y和远程通信设备12R之间的基于邻近的服务ProSe直接通信11(框300)。该方法还包括:响应于密钥材料请求16,向远程通信设备12R的归属通信网络10H中的归属网络节点14H发送认证请求18,该认证请求18请求针对ProSe认证远程通信设备12R(框310)。该方法还包括:在对认证请求18的响应28中,接收用于ProSe的锚密钥26(框320);从锚密钥26生成安全密钥材料32(框330);以及在对密钥材料请求16的响应30中,向中继通信设备12Y发送安全密钥材料32(框340)。
在一些实施例中,认证请求18请求针对ProSe对远程通信设备12R进行ProSe特定认证。
在一些实施例中,直接从认证向量22中包括的一个或多个密钥22K导出锚密钥26,基于该认证向量22,针对ProSe认证远程通信设备12R。在这些实施例的一个或多个实施例中,认证向量22专用于ProSe,和/或认证向量22中包括的一个或多个密钥22K被绑定到ProSe。在这些实施例的一个或多个实施例中,认证向量22中包括的一个或多个密钥22K是根据中继服务码和/或服务通信网络10S的标识得到的。在这些实施例的一个或多个实施例中,认证向量22中包括的一个或多个密钥22K包括加密密钥和完整性密钥。
在一些实施例中,锚密钥26是用于远程通信设备12R和中继通信设备12Y之间的PC5接口的PC5锚密钥Kpc5。
在一些实施例中,中继通信设备12Y是层3UE到网络中继。
在一些实施例中,生成安全密钥材料32包括:生成新鲜度参数,并且从锚密钥26和新鲜度参数导出安全密钥材料32。在这些实施例的一个或多个实施例中,该方法还包括向中继通信设备12Y发送新鲜度参数。
在一些实施例中,该方法还包括将锚密钥26存储在例如服务网络节点14S本地的本地存储设备中(框350)。在这些实施例中的一个或多个实施例中,该方法还包括:在向中继通信设备12Y发送安全密钥材料32之后,接收请求安全密钥材料的后续密钥材料请求,通过该安全密钥材料来保护远程通信设备12R和相同或不同中继通信设备之间的ProSe直接通信;以及响应于后续密钥材料请求,从本地存储设备取回锚密钥26。该方法还包括:从锚密钥26导出新安全密钥材料,并且在对后续密钥材料请求的响应中发送新安全密钥材料。在这些实施例的一个或多个实施例中,该方法还包括:生成标识锚密钥26、标识安全密钥材料32、或临时标识远程通信设备12R的标识,并且与该标识相关联地将锚密钥26存储在本地存储设备中。在这种情况下,后续密钥材料请求包括该标识,并且使用后续密钥材料请求中包括的标识从本地存储设备取回锚密钥26。
在一些实施例中,该方法还包括:生成标识锚密钥26、标识安全密钥材料32、或临时标识远程通信设备12R的标识,并且与该标识相关联地将锚密钥26存储在本地存储设备中。在这些实施例的一个或多个实施例中,存储锚密钥26包括:将锚密钥存储在中继通信设备12Y的上下文或远程通信设备12R的ProSe特定上下文中。
图7示出了由被配置为在远程通信设备12R的归属通信网络10H中使用的订阅数据管理节点14M执行的方法。该方法包括:从归属通信网络10H中的归属网络节点14H接收对认证向量22的请求24,基于该认证向量22,针对基于邻近的服务ProSe向归属通信网络10H认证远程通信设备12R(框400)。该方法还包括:生成所请求的认证向量22(框410),并且在对请求24的响应中,向归属网络节点14H发送认证向量22(框420)。
在一些实施例中,请求24指示一个或多个参数。在这种情况下,生成认证向量22包括:基于一个或多个参数来生成认证向量22。在一些实施例中,该一个或多个参数包括以下项中的一项或多项:与远程通信设备12R相关联的标识、中继服务码、服务于中继通信设备12Y的服务通信网络12S的服务网络名称,作为远程通信设备12R与归属通信网络10H之间的中继业务的一部分,该中继通信设备12Y将执行与远程通信设备12R的ProSe直接通信。
在一些实施例中,该方法还包括:指派特定于ProSe的认证向量22的序列号。
在一些实施例中,认证向量22专用于ProSe,和/或认证向量22中包括的一个或多个密钥22K被绑定到ProSe。
在一些实施例中,认证向量22中包括的一个或多个密钥22K是根据中继服务码和/或服务于中继通信设备12Y的服务通信网络21S的标识得到的,作为远程通信设备12R和归属通信网络10H之间的中继业务的一部分,该中继通信设备12Y将执行与远程通信设备12R的ProSe直接通信。
本文的实施例还包括对应的装置。本文的实施例例如包括远程通信设备12R,其被配置为执行上面针对远程通信设备12R描述的任何实施例的任何步骤。
实施例还包括远程通信设备12R,该远程通信设备12R包括处理电路和电源电路。处理电路被配置为执行上面针对远程通信设备12R描述的任何实施例的任何步骤。电源电路被配置为向远程通信设备12R供应电力。
实施例还包括远程通信设备12R,该远程通信设备12R包括处理电路。处理电路被配置为执行上面针对远程通信设备12R描述的任何实施例的任何步骤。在一些实施例中,远程通信设备12R还包括通信电路。
实施例还包括远程通信设备12R,该远程通信设备12R包括处理电路和存储器。存储器包含可由处理电路执行的指令,由此远程通信设备12R被配置为执行上面针对远程通信设备12R描述的任何实施例的任何步骤。
实施例还包括用户设备(UE)。UE包括被配置为发送和接收无线信号的天线。UE还包括无线电前端电路,该无线电前端电路连接到天线和处理电路并且被配置为调节在天线与处理电路之间通信的信号。处理电路被配置为执行上面针对无线通信设备12R描述的任何实施例的任何步骤。在一些实施例中,UE还包括输入接口,该输入接口连接到处理电路并被配置为允许将信息输入到UE中以由处理电路处理。UE可以包括输出接口,该输出接口连接到处理电路并且被配置为从UE输出已经由处理电路处理的信息。UE还可以包括电池,该电池连接到处理电路并且被配置为向UE供应电力。
本文的实施例还包括网络节点,其被配置为执行上面针对归属网络节点14H、服务网络节点14S或订阅数据管理节点14M描述的任何实施例的任何步骤。
实施例还包括网络节点,该网络节点包括处理电路和电源电路。处理电路被配置为执行上面针对归属网络节点14H、服务网络节点14S或订阅数据管理节点14M描述的任何实施例的任何步骤。电源电路被配置为向网络节点供应电力。
实施例还包括网络节点,该网络节点包括处理电路。处理电路被配置为执行上面针对归属网络节点14H、服务网络节点14S或订阅数据管理节点14M描述的任何实施例的任何步骤。在一些实施例中,网络节点还包括通信电路。
实施例还包括网络节点,该网络节点包括处理电路和存储器。存储器包含可由处理电路执行的指令,由此网络节点被配置为执行上面针对归属网络节点14H、服务网络节点14S或订阅数据管理节点14M描述的任何实施例的任何步骤。
更具体地,上述装置可以通过实现任何功能装置、模块、单元或电路来执行本文的方法和任何其他处理。例如,在一个实施例中,该装置包括被配置为执行方法图中所示的步骤的相应电路或电路系统。在这方面,电路或电路系统可以包括专用于执行某些功能处理的电路和/或与存储器结合的一个或多个微处理器。例如,电路可以包括一个或多个微处理器或微控制器以及其他数字硬件,该其他数字硬件可以包括数字信号处理器(DSP)、专用数字逻辑等。处理电路可以被配置为执行存储在存储器中的程序代码,该存储器可以包括一个或多个类型的存储器,例如只读存储器(ROM)、随机存取存储器、高速缓冲存储器、闪存设备、光存储设备等。在若干个实施例中,存储器中存储的程序代码可以包括用于执行一个或多个电信和/或数据通信协议的程序指令以及用于执行本文描述的一种或多种技术的指令。在采用存储器的实施例中,存储器存储程序代码,该程序代码当由一个或多个处理器执行时执行本文描述的技术。
例如,图8示出了根据一个或多个实施例实现的中继通信设备12R。如图所示,中继通信设备12R包括处理电路510和通信电路520。通信电路520(例如,无线电电路)被配置为例如经由任何通信技术向一个或多个其他节点发送信息和/或从一个或多个其他节点接收信息。这种通信可以经由在中继通信设备12R内部或外部的一个或多个天线发生。处理电路510被配置为例如通过执行存储在存储器530中的指令来执行例如图4中的上述处理。在这方面,处理电路510可以实现某些功能装置、单元或模块。
图9示出了根据一个或多个实施例而实现的网络节点600。网络节点600可以是或者可以例示归属网络节点14H、服务网络节点14S或者订阅数据管理节点14M。如图所示,网络节点600包括处理电路610和通信电路620。通信电路620被配置为例如经由任何通信技术向一个或多个其他节点发送信息和/或从一个或多个其他节点接收信息。处理电路610被配置为例如通过执行存储器630中存储的指令来执行上面例如在图5、图6或图7中描述的处理。在这方面,处理电路610可以实现某些功能装置、单元或模块。
本领域技术人员还将理解,本文的实施例还包括对应的计算机程序。
计算机程序包括指令,该指令当在装置的至少一个处理器上执行时使该装置执行上述任何相应处理。在这方面,计算机程序可以包括与上述装置或单元相对应的一个或多个代码模块。
实施例还包括包含这种计算机程序的载体。载体可以包括电信号、光信号、无线电信号或计算机可读存储介质中的一种。
在这方面,本文的实施例还包括非暂时性的计算机可读(存储或记录)介质上存储的计算机程序产品,且该计算机程序产品包括指令,当由装置的处理器执行该指令时,使该装置如上文所述地执行。
实施例还包括计算机程序产品,该计算机程序产品包括程序代码部分,当该计算机程序产品由计算设备执行时,该程序代码部分执行本文中任何实施例的步骤。该计算机程序产品可以存储在计算机可读记录介质上。
图10示出了根据一些实施例的通信系统1000的示例。
在该示例中,通信系统1000包括:电信网络1002,包括诸如无线电接入网(RAN)之类的接入网1004;以及核心网1006,包括一个或多个核心网节点1008。接入网1004包括一个或多个接入网节点,例如网络节点1010a和1010b(其中的一个或多个通常可以被称为网络节点1010)、或任何其他类似的第三代合作伙伴计划(3GPP)接入节点或非3GPP接入点。网络节点1010促进用户设备(UE)的直接或间接连接,例如通过一个或多个无线连接将UE1012a、1012b、1012c和1012d(其中的一个或多个通常可以被称为UE 1012)连接到核心网1006。
通过无线连接的示例无线通信包括:使用电磁波、无线电波、红外波和/或适合于传送信息的其他类型的信号而不使用导线、线缆或其他材料导体来发送和/或接收无线信号。此外,在不同的实施例中,通信系统1000可以包括任何数量的有线或无线网络、网络节点、UE和/或可以促进或参与数据和/或信号的通信(无论是经由有线连接的还是经由无线连接的通信)的任何其他组件或系统。通信系统1000可以包括任何类型的通信、电信、数据、蜂窝、无线电网络和/或其他类似类型的系统,和/或与任何类型的通信、电信、数据、蜂窝、无线电网络和/或其他类似类型的系统接口连接。
UE 1012可以是各种各样的通信设备中的任何一种,包括被布置、被配置和/或可操作以与网络节点1010和其他通信设备进行无线通信的无线设备。类似地,网络节点1010被布置、能够、被配置和/或可操作以直接或间接地与UE 1012和/或与电信网络1002中的其他网络节点或设备通信,以实现和/或提供网络接入(例如,无线网络接入)和/或以执行电信网络1002中的其他功能(例如,管理)。
在所描绘的示例中,核心网1006将网络节点1010连接到一个或多个主机(例如,主机1016)。这些连接可以是直接连接或经由一个或多个中间网络或设备的间接连接。在其他示例中,网络节点可以直接耦接到主机。核心网1006包括与硬件和软件组件一起构成的一个或多个核心网节点(例如,核心网节点1008)。这些组件的特征可以基本上类似于关于UE、网络节点和/或主机所描述的特征,使得其描述通常可适用于核心网节点1008的对应组件。示例核心网节点包括以下项中的一项或多项的功能:移动交换中心(MSC)、移动性管理实体(MME)、归属订户服务器(HSS)、接入和移动性管理功能(AMF)、会话管理功能(SMF)、认证服务器功能(AUSF)、订阅标识符解隐藏功能(SIDF)、统一数据管理(UDM)、安全边缘保护代理(SEPP)、网络开放功能(NEF)和/或用户面功能(UPF)。
主机1016可以由除了接入网1004和/或电信网络1002的运营商或提供商之外的服务提供商拥有或在其控制之下,并且可以由服务提供商操作或代表服务提供商操作。主机1016可以托管多种应用以提供一种或多种服务。这种应用的示例包括实时和预先录制的音频/视频内容、数据收集服务(例如,取回并编译关于由多个UE检测到的各种环境条件的数据)、分析功能、社交媒体、用于控制远程设备或以其他方式与远程设备交互的功能、用于警报和监测中心的功能、或由服务器执行的任何其他这种功能。
作为整体,图10的通信系统1000实现UE、网络节点和主机之间的连接。在这个意义上,通信系统可以被配置为根据诸如特定标准之类的预定义规则或过程来操作,该特定标准包括但不限于:全球移动通信系统(GSM);通用移动电信系统(UMTS);长期演进(LTE)和/或其他合适的2G、3G、4G、5G标准、或任何可适用的未来一代标准(例如,6G);无线局域网(WLAN)标准,例如电气和电子工程师协会(IEEE)802.11标准(WiFi);和/或任何其他适当的无线通信标准,例如全球微波接入互操作性(WiMax)、蓝牙、Z-Wave、近场通信(NFC)ZigBee、LiFi、和/或诸如LoRa和Sigfox之类的任何低功耗广域网(LPWAN)标准。
在一些示例中,电信网络1002是实现3GPP标准化特征的蜂窝网络。此外,电信网络1002可以支持网络切片以向连接到电信网络1002的不同设备提供不同的逻辑网络。例如,电信网络1002可以向一些UE提供超可靠低时延通信(URLLC)服务,同时向其他UE提供增强型移动宽带(eMBB)服务,和/或向又另外的UE提供大规模机器类型通信(mMTC)/大规模IoT服务。
在一些示例中,UE 1012被配置为在没有直接人类交互的情况下发送和/或接收信息。例如,UE可以被设计为:当被内部或外部事件触发时或者响应于来自接入网1004的请求,按照预定时间表向接入网1004发送信息。另外,UE可以被配置为在单RAT模式或多RAT模式或多标准模式下操作。例如,UE可以利用Wi-Fi、NR(新无线电)和LTE中的任何一种或组合来操作,即,被配置用于多无线电双连接(MR-DC),例如E-UTRAN(演进型UMTS陆地无线电接入网)新无线电-双连接(EN-DC)。
在该示例中,集线器1014与接入网1004通信以促进一个或多个UE(例如,UE 1012c和/或1012d)与网络节点(例如,网络节点1010b)之间的间接通信。在一些示例中,集线器1014可以是控制器、路由器、内容源和分析器、或本文描述的关于UE的任何其他通信设备。例如,集线器1014可以是使得UE能够访问核心网1006的宽带路由器。作为另一示例,集线器1014可以是向UE中的一个或多个致动器发送命令或指令的控制器。命令或指令可以从UE、网络节点1010接收,或者通过集线器1014中的可执行代码、脚本、过程或其他指令来接收。作为另一示例,集线器1014可以是充当UE数据的临时存储设备的数据收集器,并且在一些实施例中,可以执行数据的分析或其他处理。作为另一示例,集线器1014可以是内容源。例如,对于作为VR耳机、显示器、扬声器或其他媒体递送设备的UE,集线器1014可以经由网络节点取回VR资产、视频、音频或与感知信息相关的其他媒体或数据,然后集线器1014在执行本地处理之后和/或在添加附加本地内容之后直接将其提供给UE。在又另一示例中,集线器1014充当UE的代理服务器或协调器,特别是如果UE中的一个或多个是低能量IoT设备的话。
集线器1014可以具有与网络节点1010b的持续/持久或间歇性连接。集线器1014还可以允许集线器1014与UE(例如,UE 1012c和/或1012d)之间以及集线器1014与核心网1006之间的不同通信方案和/或调度。在其他示例中,集线器1014经由有线连接而连接到核心网1006和/或一个或多个UE。此外,集线器1014可以被配置为通过接入网1004连接到M2M服务提供商,和/或通过直接连接而连接到另一UE。在一些场景中,UE可以与网络节点1010建立无线连接,同时仍然经由有线或无线连接通过集线器1014进行连接。在一些实施例中,集线器1014可以是专用集线器——即,其主要功能是将通信从网络节点1010b路由到UE/将通信从UE路由到网络节点1010b的集线器。在其他实施例中,集线器1014可以是非专用集线器——即,能够操作以在UE和网络节点1010b之间路由通信但另外能够作为某些数据通道的通信起点和/或终点操作的设备。
图11示出了根据一些实施例的UE 1100。如本文所使用的,UE是指能够、被配置、被布置和/或可操作以与网络节点和/或其他UE进行无线通信的设备。UE的示例包括但不限于智能电话、移动电话、蜂窝电话、IP语音(VoIP)电话、无线本地环路电话、台式计算机、个人数字助理(PDA)、无线相机、游戏机或设备、音乐存储设备、回放设备、可穿戴终端设备、无线端点、移动台、平板计算机、膝上型计算机、膝上型嵌入式设备(LEE)、膝上型-安装设备(LME)、智能设备、无线客户端设备(CPE)、车辆安装或车辆嵌入/集成的无线设备等。其他示例包括由第三代合作伙伴计划(3GPP)识别的任何UE,包括窄带物联网(NB-IoT)UE、机器类型通信(MTC)UE和/或增强型MTC(eMTC)UE。
UE可以例如通过实现用于侧链路通信的3GPP标准、专用短距离通信(DSRC)、车辆到车辆(V2V)、车辆到基础设施(V2I)、或车到万物(V2X)来支持设备到设备(D2D)通信。在其他示例中,UE可以不必具有人类用户意义上的用户,该人类用户拥有和/或操作相关设备。作为替代,UE可以表示意在向人类用户销售或由人类用户操作但可能不或最初可能不与特定人类用户相关联的设备(例如,智能喷水控制器)。备选地,UE可以表示不意在向终端用户销售或由终端用户操作但可以与用户的利益相关联或针对用户的利益操作的设备(例如,智能功率计)。
UE 1100包括处理电路1102,其经由总线1104可操作地耦接到输入/输出接口1106、电源1108、存储器1110、通信接口1112、和/或任何其他组件或其任何组合。某些UE可以利用图11所示的组件的全部或子集。组件之间的集成水平可以从一个UE到另一UE而变化。此外,某些UE可以包含组件的多个实例,例如多个处理器、存储器、收发机、发射机、接收机等。
处理电路1102被配置为处理指令和数据,并且可以被配置为实现可操作以执行作为机器可读计算机程序存储在存储器1110中的指令的任何顺序状态机。处理电路1102可以被实现为:一个或多个硬件实现的状态机(例如,以离散逻辑、现场可编程门阵列(FPGA)、专用集成电路(ASIC)等来实现);可编程逻辑连同适当的固件;一个或多个存储的计算机程序、通用处理器(例如,微处理器或数字信号处理器(DSP))连同适当的软件;或上述项的任何组合。例如,处理电路1102可以包括多个中央处理单元(CPU)。
在该示例中,输入/输出接口1106可以被配置为向输入设备、输出设备、或者一个或多个输入和/或输出设备提供一个或多个接口。输出设备的示例包括扬声器、声卡、视频卡、显示器、监视器、打印机、致动器、发射机、智能卡、另一输出设备或其任何组合。输入设备可以允许用户将信息捕获到UE 1100中。输入设备的示例包括触敏或存在敏感显示器、相机(例如,数码相机、数码摄像机、网络相机等)、麦克风、传感器、鼠标、轨迹球、方向键盘、触控板、滚轮、智能卡等。存在敏感显示器可以包括电容式或电阻式触摸传感器以感测来自用户的输入。传感器可以是例如加速计、陀螺仪、倾斜传感器、力传感器、磁力计、光学传感器、接近传感器、生物特征传感器等或其任何组合。输出设备可以使用与输入设备相同类型的接口端口。例如,通用串行总线(USB)端口可以用于提供输入设备和输出设备。
在一些实施例中,电源1108被构造为电池或电池组。可以使用其他类型的电源,例如外部电源(例如,电源插座)、光伏器件或电池。电源1108还可以包括电源电路,用于经由输入电路或诸如电力线缆之类的接口将电力从电源1108本身和/或外部电源输送到UE1100的各个部分。输送电力可以例如用于电源1108的充电。电源电路可以对来自电源1108的电力执行任何格式化、转换或其他修改,以使电力适合于向其供应电力的UE 1100的相应组件。
存储器1110可以是或者被配置为包括存储器,例如随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、磁盘、光盘、硬盘、可移除磁带、闪存驱动器等。在一个示例中,存储器1110包括一个或多个应用程序1114,例如操作系统、网络浏览器应用、小部件、小工具引擎、或其他应用、以及对应的数据1116。存储器1110可以存储由UE 1100使用的各种操作系统中的任何一种或操作系统的组合。
存储器1110可以被配置为包括多个物理驱动单元,如独立磁盘冗余阵列(RAID)、闪存、USB闪存驱动器、外部硬盘驱动器、拇指驱动器、笔式驱动器、钥匙驱动器、高密度数字多功能光盘(HD-DVD)光盘驱动器、内置硬盘驱动器、蓝光光盘驱动器、全息数字数据存储(HDDS)光盘驱动器、外置迷你双列直插式存储器模块(DIMM)、同步动态随机存取存储器(SDRAM)、外部微DIMM SDRAM、智能卡存储器(例如,通用集成电路卡(UICC)形式的防篡改模块,包括一个或多个订户标识模块(SIM),例如USIM和/或ISIM)、其他存储器或其任何组合。UICC可以例如是嵌入式UICC(eUICC)、集成UICC(iUICC)或通常被称为“SIM卡”的可移除UICC。存储器1110可以允许UE 1100访问存储在暂时性或非暂时性存储介质上的指令、应用程序等,以卸载数据或上传数据。诸如利用通信系统的制品之类的制品可以有形地体现为存储器1110或体现在存储器1110中,该存储器1110可以是或者包括设备可读存储介质。
处理电路1102可以被配置为使用通信接口1112与接入网或其他网络通信。通信接口1112可以包括一个或多个通信子系统,并且可以包括天线1122或者通信地耦接到天线1122。通信接口1112可以包括用于通信(例如,通过与能够无线通信的另一设备(例如,另一UE或接入网中的网络节点)的一个或多个远程收发机通信)的一个或多个收发机。每个收发机可以包括适合于提供网络通信(例如,光、电、频率分配等)的发射机1118和/或接收机1120。此外,发射机1118和接收机1120可以耦接到一个或多个天线(例如,天线1122),并且可以共享电路组件、软件或固件,或者备选地单独实现。
在所示的实施例中,通信接口1112的通信功能可以包括蜂窝通信、Wi-Fi通信、LPWAN通信、数据通信、语音通信、多媒体通信、诸如蓝牙之类的短距离通信、近场通信、基于位置的通信(例如,使用全球定位系统(GPS)来确定位置)、另一类通信功能或其任何组合。可以根据诸如以下项之类的一种或多种通信协议和/或标准来实现通信:IEEE 802.11、码分多址(CDMA)、宽带码分多址(WCDMA)、GSM、LTE、新无线电(NR)、UMTS、WiMax、以太网、传输控制协议/互联网协议(TCP/IP)、同步光网络(SONET)、异步传输模式(ATM)、QUIC、超文本传输协议(HTTP)等。
无论传感器的类型如何,UE都可以经由与网络节点的无线连接,通过其通信接口1112来提供由其传感器捕获的数据的输出。由UE的传感器捕获的数据可以通过与网络节点的无线连接,经由另一UE来传送。输出可以是周期性的(例如,如果它报告所感测的温度,则每15分钟一次)、随机的(例如,以平衡来自若干个传感器的报告的负载)、响应于触发事件(例如,当检测到湿度时,发送警报)、响应于请求(例如,用户发起的请求)、或连续流(例如,患者的实时视频馈送)。
作为另一示例,UE包括与被配置为经由无线连接从网络节点接收无线输入的通信接口相关的致动器、电机或开关。响应于所接收到的无线输入,致动器、电机或开关的状态可以改变。例如,UE可以包括电机,该电机根据所接收到的输入来调整飞行中的无人机的控制表面或旋翼,或者根据所接收到的输入来调整执行医疗过程的机械臂。
当UE处于物联网(IoT)设备的形式时,UE可以是在一个或多个应用领域中使用的设备,这些领域包括但不限于城市可穿戴技术、扩展的工业应用和医疗保健。这种IoT设备的非限制性示例是以下设备或嵌入以下设备中的设备:联网冰箱或冰柜、电视、联网照明设备、电表、机器人吸尘器、语音控制智能扬声器、家庭安全相机、运动探测器、恒温器、烟雾探测器、门窗传感器、洪水/湿度传感器、电子门锁、联网门铃、空调系统(如热泵)、自动驾驶车辆、监测系统、天气监测设备、车辆停车监测设备、电动汽车充电站、智能手表、健身追踪器、用于增强现实(AR)或虚拟现实(VR)的头戴式显示器、用于触觉增强或感官增强的可穿戴设备、洒水器、动物跟踪或物品跟踪设备、用于监测植物或动物的传感器、工业机器人、无人驾驶飞行器(UAV)、以及任何种类的医疗设备(如心率监视器或遥控手术机器人)。除了如关于图11所示的UE 1100描述的其他组件之外,IoT设备形式的UE还包括取决于IoT设备的预期应用的电路和/或软件。
作为又另一特定示例,在IoT场景中,UE可以表示执行监测和/或测量并将这种监测和/或测量的结果发送给另一UE和/或网络节点的机器或其他设备。在这种情况下,该UE可以是M2M设备,该M2M设备在3GPP上下文中可以被称为MTC设备。作为一个特定示例,该UE可以实现3GPP NB-IoT标准。在其他场景中,UE可以表示能够监测和/或报告其操作状态或与其操作相关联的其他功能的载具(例如,汽车、公共汽车、卡车、轮船和飞机)或其他设备。
实际上,对于单个用例,可以一起使用任何数量的UE。例如,第一UE可以是无人机或集成在无人机中,并且向第二UE提供无人机的速度信息(通过速度传感器获得),该第二UE是操作无人机的遥控器。当用户从遥控器做出改变时,第一UE可以调整无人机上的油门(例如,通过控制致动器)来增加或降低无人机的速度。第一UE和/或第二UE还可以包括上述功能中的多于一个的功能。例如,UE可以包括传感器和致动器,并且处理速度传感器和致动器两者的数据通信。
图12示出了根据一些实施例的网络节点1200。如本文所使用的,网络节点是指能够、被配置、被布置和/或可操作以与UE和/或与电信网络中的其他网络节点或设备直接或间接通信的设备。网络节点的示例包括但不限于接入点(AP)(例如,无线电接入点)、基站(BS)(例如,无线电基站、NodeB、演进NodeB(eNB)和NR NodeB(gNB))。
基站可以基于它们提供的覆盖量(或者换言之,它们的发射功率水平)来分类,因此,取决于所提供的覆盖量,可以将基站称为毫微微基站、微微基站、微基站或宏基站。基站可以是中继节点或控制中继的中继施主节点。网络节点还可以包括分布式无线电基站的一个或多个(或者所有)部分,例如集中式数字单元和/或远程无线电单元(RRU),有时被称为远程无线电头端(RRH)。这些远程无线电单元可以与天线集成为集成了天线的无线电,或可以不与天线集成为集成了天线的无线电。分布式无线电基站的部分也可以被称为分布式天线系统(DAS)中的节点。
网络节点的其他示例包括多发送点(多TRP)5G接入节点、多标准无线电(MSR)设备(例如,MSR BS)、网络控制器(例如,无线电网络控制器(RNC)或基站控制器(BSC))、基站收发信台(BTS)、发送点、发送节点、多小区/多播协调实体(MCE)、操作和维护(O&M)节点、操作支持系统(OSS)节点、自组织网络(SON)节点、定位节点(例如,演进的服务移动位置中心(E-SMLC))和/或最小化路测(MDT)。
网络节点1200包括处理电路1202、存储器1204、通信接口1206和电源1208。网络节点1200可以由多个物理上分离的组件(例如,NodeB组件和RNC组件、或BTS组件和BSC组件等)组成,这些组件可以具有其自己的相应组件。在网络节点1200包括多个单独的组件(例如,BTS和BSC组件)的某些场景中,可以在若干网络节点之间共享一个或多个单独的组件。例如,单个RNC可以控制多个NodeB。在这种场景中,每个唯一的NodeB和RNC对在一些情况下可以被认为是单个单独的网络节点。在一些实施例中,网络节点1200可以被配置为支持多个无线电接入技术(RAT)。在这种实施例中,一些组件可以被复制(例如,针对不同RAT的单独存储器1204),并且一些组件可以被重用(例如,可以由不同的RAT共享相同的天线1210)。网络节点1200还可以包括集成到网络节点1200中的用于不同无线技术(例如,GSM、WCDMA、LTE、NR、WiFi、Zigbee、Z-wave、LoRaWAN、射频识别(RFID)或蓝牙无线技术)的多组各种所示组件。这些无线技术可以被集成到网络节点1200内的相同或不同芯片或芯片组和其他组件中。
处理电路1202可以包括以下中的一项或多项的组合:微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列、或任何其他合适的计算设备、资源、或者硬件、软件和/或编码逻辑的组合,其可操作以单独地或与其他网络节点1200组件(例如,存储器1204)结合来提供网络节点1200功能。
在一些实施例中,处理电路1202包括片上系统(SOC)。在一些实施例中,处理电路1202包括射频(RF)收发机电路1212和基带处理电路1214中的一个或多个。在一些实施例中,射频(RF)收发机电路1212和基带处理电路1214可以在单独的芯片(或者芯片组)、板或单元(例如,无线电单元和数字单元)上。在备选实施例中,RF收发机电路1212和基带处理电路1214的部分或全部可以在相同芯片或芯片组、板或单元组上。
存储器1204可以包括任何形式的易失性或非易失性计算机可读存储器,包括但不限于永久存储设备、固态存储器、远程安装存储器、磁介质、光学介质、随机存取存储器(RAM)、只读存储器(ROM)、大容量存储介质(例如,硬盘)、可移除存储介质(例如,闪存驱动器、光盘(CD)或数字视频盘(DVD))和/或任何其他易失性存储器或非易失性、非暂时性设备可读和/或计算机可执行存储器设备,其存储可由处理电路1202使用的信息、数据和/或指令。存储器1204可以存储任何合适的指令、数据或信息,包括计算机程序、软件、包括逻辑、规则、代码、表中的一种或多种在内的应用、和/或能够由处理电路1202执行并由网络节点1200使用的其他指令。存储器1204可以用于存储由处理电路1202进行的任何计算和/或经由通信接口1206接收到的任何数据。在一些实施例中,处理电路1202和存储器1204集成在一起。
通信接口1206用于网络节点、接入网和/或UE之间的信令和/或数据的有线或无线通信。如图所示,通信接口1206包括端口/端子1216,用于例如通过有线连接向网络发送数据和从网络接收数据。通信接口1206还包括无线电前端电路1218,其可以耦接到天线1210,或者在某些实施例中耦接到天线1210的一部分。无线电前端电路1218包括滤波器1220和放大器1222。无线电前端电路1218可以连接到天线1210和处理电路1202。无线电前端电路可以被配置为调节在天线1210和处理电路1202之间传送的信号。无线电前端电路1218可以接收要经由无线连接向其他网络节点或UE发送的数字数据。无线电前端电路1218可以使用滤波器1220和/或放大器1222的组合将数字数据转换为具有适当信道和带宽参数的无线电信号。然后可以经由天线1210发送无线电信号。类似地,当接收到数据时,天线1210可以收集无线电信号,然后无线电前端电路1218将其转换为数字数据。数字数据可以被传递给处理电路1202。在其他实施例中,通信接口可以包括不同的组件和/或组件的不同组合。
在某些备选实施例中,网络节点1200不包括单独的无线电前端电路1218,相反,处理电路1202包括无线电前端电路并且连接到天线1210。类似地,在一些实施例中,全部或一些RF收发机电路1212是通信接口1206的一部分。在又另一实施例中,通信接口1206包括作为无线电单元(未示出)的一部分的一个或多个端口或端子1216、无线电前端电路1218和RF收发机电路1212,并且通信接口1206与基带处理电路1214通信,该基带处理电路1414是数字单元(未示出)的一部分。
天线1210可以包括被配置为发送和/或接收无线信号的一个或多个天线或天线阵列。天线1210可以耦接到无线电前端电路1218,并且可以是能够无线地发送和接收数据和/或信号的任何类型的天线。在某些实施例中,天线1210与网络节点1200分离,并且可通过接口或端口连接到网络节点1200。
天线1210、通信接口1206和/或处理电路1202可以被配置为执行本文描述的由网络节点执行的任何接收操作和/或某些获得操作。可以从UE、另一网络节点和/或任何其他网络设备接收任何信息、数据和/或信号。类似地,天线1210、通信接口1206和/或处理电路1202可以被配置为执行本文描述的由网络节点执行的任何发送操作。任何信息、数据和/或信号可以被发送给UE、另一网络节点和/或任何其他网络设备。
电源1208以适合于各种组件的形式(例如,在每个相应组件所需的电压和电流电平下)向网络节点1200的各种组件提供电力。电源1208还可以包括电力管理电路或耦接到电力管理电路,以向网络节点1200的组件供应用于执行本文描述的功能的电力。例如,网络节点1200可以经由输入电路或接口(例如,线缆)连接到外部电源(例如,电网、电源插座),由此外部电源向电源1208的电源电路供应电力。作为另外的示例,电源1208可以包括电池或电池组形式的电源,其连接到电源电路或集成在电源电路中。如果外部电源发生故障,则电池可以提供备用电力。
网络节点1200的实施例可以包括超出图12所示的组件的附加组件,用于提供网络节点的功能(包括本文描述的任何功能和/或支持本文描述的主题所需的任何功能)的某些方面。例如,网络节点1200可以包括用户接口设备,以允许将信息输入到网络节点1200中并允许从网络节点1200输出信息。这可以允许用户针对网络节点1200执行诊断、维护、修复和其他管理功能。
图13是根据本文描述的各个方面的主机1300的框图,该主机1300可以是图10的主机1016的实施例。如本文所使用的,主机1300可以是或者包括硬件和/或软件(包括独立服务器、刀片服务器、云实现的服务器、分布式服务器、虚拟机、容器、或服务器群中的处理资源)的各种组合。主机1300可以向一个或多个UE提供一个或多个服务。
主机1300包括处理电路1302,其经由总线1304可操作地耦接到输入/输出接口1306、网络接口1308、电源1310和存储器1312。其他组件可以被包括在其他实施例中。这些组件的特征可以基本上类似于关于先前附图(例如,图11和图12)的设备所描述的特征,使得其描述通常可适用于主机1300的对应组件。
存储器1312可以包括一个或多个计算机程序,其包括数据1316和一个或多个主机应用程序1314,该数据1316可以包括用户数据,例如由UE针对主机1300生成的数据、或由主机1300针对UE生成的数据。主机1300的实施例可以仅利用所示组件的子集或全部。主机应用程序1314可以在基于容器的架构中实现,并且可以提供对视频编解码器(例如,通用视频编码(VVC)、高效视频编码(HEVC)、高级视频编码(AVC)、MPEG、VP9)和音频编解码器(例如,FLAC、高级音频编码(AAC)、MPEG、G.711)的支持,包括针对多种不同类别、类型或实现的UE(例如,手机、台式计算机、可穿戴显示系统、抬头式显示系统)的转码。主机应用程序1314还可以提供用户认证和许可检查,并且可以周期性地向中央节点(例如,核心网中的设备或核心网的边缘上的设备)报告健康状况、路由和内容可用性。因此,主机1300可以为UE选择和/或指示用于过顶服务的不同主机。主机应用程序1314可以支持各种协议,例如HTTP实况流式传输(HLS)协议、实时消息发送协议(RTMP)、实时流式传输协议(RTSP)、HTTP上的动态自适应流式传输(MPEG-DASH)等。
图14是示出了虚拟化环境1400的框图,其中可以虚拟化由一些实施例实现的功能。在本上下文中,虚拟化意味着创建可以包括虚拟化硬件平台、存储设备和网络资源的装置或设备的虚拟版本。如本文所使用的,虚拟化可以应用于本文描述的任何设备或其组件,并且涉及其中功能的至少一部分被实现为一个或多个虚拟组件的实现。本文描述的一些或全部功能可以被实现为由一个或多个虚拟机(VM)执行的虚拟组件,该虚拟机(VM)在由硬件节点(例如,作为网络节点、UE、核心网节点或主机操作的硬件计算设备)中的一个或多个所托管的一个或多个虚拟环境1400中实现。此外,在虚拟节点不需要无线电连接的实施例(例如,核心网节点或主机)中,则节点可以被完全虚拟化。
应用1402(其可以备选地被称为软件实例、虚拟应用、网络功能、虚拟节点、虚拟网络功能等)在虚拟化环境Q400中运行以实现本文公开的一些实施例的一些特征、功能和/或益处。
硬件1404包括处理电路、存储可由硬件处理电路执行的软件和/或指令的存储器、和/或本文描述的其他硬件设备(例如,网络接口、输入/输出接口等)。软件可以由处理电路来执行,以实例化一个或多个虚拟化层1406(也被称为管理程序或虚拟机监视器(VMM)),提供VM 1408a和1408b(其中的一个或多个通常可以被称为VM 1408)),和/或执行与本文描述的一些实施例相关地描述的任何功能、特征和/或益处。虚拟化层1406可以向VM 1408呈现虚拟操作平台,其看起来像网络硬件。
VM 1408包括虚拟处理、虚拟存储器、虚拟网络或接口、以及虚拟存储,并且可以由对应的虚拟化层1406运行。可以在一个或多个VM 1408上实现虚拟设备1402的实例的不同实施例,并且可以以不同方式做出这些实现。在一些上下文中,硬件的虚拟化被称为网络功能虚拟化(NFV)。NFV可以用于将众多网络设备类型统一到可以位于数据中心和客户住宅设备中的工业标准高容量服务器硬件、物理交换机和物理存储上。
在NFV的上下文中,VM 1408可以是物理机器的软件实现,其运行程序就像在物理的、非虚拟化的机器上执行一样。每个VM 1408以及硬件1404的执行该VM的那部分(无论其是专用于该VM的硬件和/或由该VM与其他VM共享的硬件)形成单独的虚拟网络元件。仍然在NFV的上下文下,虚拟网络功能负责处理在硬件1404之上的一个或多个VM 1408中运行并且对应于应用1402的特定网络功能。
硬件1404可以在具有通用或特定组件的独立网络节点中实现。硬件1404可以经由虚拟化来实现一些功能。备选地,硬件1404可以是更大的硬件集群的一部分(例如,在数据中心或CPE中),其中许多硬件节点一起工作并且通过管理和协调1410来管理,该协调1410尤其监督应用1402的生命周期管理。在一些实施例中,硬件1404耦接到一个或多个无线电单元,每个无线电单元包括可以耦接到一个或多个天线的一个或多个发射机和一个或多个接收机。无线电单元可以经由一个或多个适当的网络接口直接与其他硬件节点通信,并且可以与虚拟组件结合使用以向虚拟节点(例如,无线电接入节点或基站)提供无线电能力。在一些实施例中,可以通过使用控制系统1412来提供一些信令,该控制系统1412可以备选地用于硬件节点和无线电单元之间的通信。
图15示出了根据一些实施例的主机1502通过部分无线连接经由网络节点1504与UE 1506通信的通信图。现在将参考图15描述前面段落中讨论的UE(例如,图10的UE 1012a和/或图11的UE 1100)、网络节点(例如,图10的网络节点1010a和/或图12的网络节点1200)和主机(例如,图10的主机1016和/或图13的主机1300)的根据各种实施例的示例实现。
与主机1300类似,主机1502的实施例包括硬件,例如通信接口、处理电路和存储器。主机1502还包括软件,该软件存储在主机1502中或者可由主机1502访问并且可由处理电路执行。该软件包括主机应用,该主机应用可操作以向远程用户提供服务,例如UE 1506经由在UE 1506和主机1502之间延伸的过顶(OTT)连接1550进行连接。在向远程用户提供服务时,主机应用可以提供使用OTT连接1550所发送的用户数据。
网络节点1504包括使其能够与主机1502和UE 1506进行通信的硬件。连接1560可以是直接连接或通过核心网(如图10的核心网1006)和/或一个或多个其他中间网络(例如,一个或多个公共、私有或托管网络)的连接。例如,中间网络可以是骨干网或互联网。
UE 1506包括硬件和软件,该软件存储在UE 1506中或者可由UE 1506访问并且可由UE的处理电路执行。该软件包括客户端应用(例如,网页浏览器或运营商特定“应用”),其可操作以在主机1502的支持下,经由UE 1506向人类或非人类用户提供服务。在主机1502中,正在执行的主机应用可以经由OTT连接1550与正在执行的客户端应用通信,该OTT连接1550端接于UE 1506和主机1502。在向用户提供服务时,UE的客户端应用可以从主机的主机应用接收请求数据,并且响应于该请求数据来提供用户数据。OTT连接1550可以发送请求数据和用户数据两者。UE的客户端应用可以与用户交互,以生成通过OTT连接1550提供给主机应用的用户数据。
OTT连接1550可以经由主机1502和网络节点1504之间的连接1560以及经由网络节点1504和UE 1506之间的无线连接1570延伸,以提供主机1502和UE 1506之间的连接。可以通过其提供OTT连接1550的连接1560和无线连接1570已经被抽象地绘制以示出主机1502和UE 1506之间经由网络节点1504的通信,而没有明确地涉及任何中间设备和经由这些设备对消息的精确路由。
作为经由OTT连接1550发送数据的示例,在步骤1508中,主机1502提供用户数据,这可以通过执行主机应用来执行。在一些实施例中,用户数据与特定人类用户相关联,该特定人类用户与UE 1506交互。在其他实施例中,用户数据与UE 1506相关联,该UE 1506与主机1502共享数据而无需明确的人工交互。在步骤1510中,主机1502发起至UE 1506的传输,该传输携带用户数据。主机1502可以响应于由UE 1506发送的请求而发起传输。该请求可以由与UE 1506的人类交互或者由在UE 1506上执行的客户端应用的操作来引起。根据本公开的全文所描述的实施例的教导,该传输可以经由网络节点1504传递。因此,在步骤1512中,根据贯穿本公开所描述的实施例的教导,网络节点1504向UE 1506发送在主机1502发起的传输中携带的用户数据。在步骤1514中,UE 1506接收该传输中携带的用户数据,这可以由在UE 1506上执行的客户端应用来执行,该客户端应用与由主机1502执行的主机应用相关联。
在一些示例中,UE 1506执行客户端应用,该客户端应用向主机1502提供用户数据。作为对从主机1502接收到的数据的反应或响应,可以提供用户数据。因此,在步骤1516中,UE 1506可以提供用户数据,这可以通过执行客户端应用来执行。在提供用户数据时,客户端应用还可以考虑经由UE 1506的输入/输出接口从用户接收到的用户输入。不论提供用户数据的具体方式如何,在步骤1518中,UE 1506都经由网络节点1504向主机1502发起用户数据的传输。在步骤1520中,根据贯穿本公开所描述的实施例的教导,网络节点1504从UE1506接收用户数据,并且发起向主机1502发送所接收到的用户数据。在步骤1522中,主机1502接收由UE 1506发起的传输中携带的用户数据。
各种实施例中的一个或多个实施例改进了使用OTT连接1550提供给UE 1506的OTT服务的性能,在该OTT连接1550中,无线连接1570形成最后的部分。
在示例场景中,主机1502可以收集并分析工厂状态信息。作为另一示例,主机1502可以处理可能已经从UE取回的音频和视频数据以用于创建映射。作为另一示例,主机1502可以收集并分析实时数据以帮助控制车辆拥堵(例如,控制交通灯)。作为另一示例,主机1502可以存储由UE上传的监测视频。作为另一示例,主机1502可以存储或控制对诸如视频、音频、VR或AR之类的媒体内容的访问,该媒体内容可以向UE广播、多播或单播。作为其他示例,主机1502可以用于能源定价、非时间关键电力负载的远程控制以平衡发电需求、定位服务、呈现服务(例如,根据从远程设备收集的数据来编译图表等)、或收集、检索、存储、分析和/或发送数据的任何其他功能。
在一些示例中,可以提供测量过程以用于监测数据速率、时延和作为一个或多个实施例的改善对象的其他因素。还可以存在可选的网络功能,用于响应于测量结果的变化而重新配置主机1502和UE 1506之间的OTT连接1550。测量过程和/或用于重新配置OTT连接的网络功能可以在主机1502和/或UE 1506的软件和硬件中实现。在一些实施例中,传感器(未示出)可以部署在OTT连接1550所经过的其他设备中,或者与该其他设备相关联;传感器可以通过提供上文例举的监控量的值或者提供软件可以从中计算或估计监控量的其他物理量的值,来参与测量过程。OTT连接1550的重新配置可以包括消息格式、重传设置、优选路由等;重新配置不需要直接改变网络节点1504的操作。这种过程和功能可以是本领域已知的和实践的。在某些实施例中,测量可以涉及专有UE信令,该专有UE信令促进主机1502对吞吐量、传播时间、时延等的测量。测量可以通过以下方式来实现:软件使用OTT连接1550来发送消息(特别是空消息或“虚拟”消息),同时监测传播时间、错误等。
尽管本文描述的计算设备(例如,UE、网络节点、主机)可以包括所示的硬件组件的组合,但其他实施例可以包括具有不同组件组合的计算设备。应当理解,这些计算设备可以包括执行本文公开的任务、特征、功能和方法所需的硬件和/或软件的任何合适的组合。本文描述的确定、计算、获得或类似操作可以由处理电路来执行,该处理电路可以通过例如以下方式来处理信息:将所获得的信息转换为其他信息、将所获得的信息或所转换的信息与网络节点中存储的信息进行比较、和/或基于所获得的信息或所转换的信息来执行一个或多个操作、以及根据所述处理的结果来做出确定。此外,虽然组件被描绘为位于较大框内或嵌套在多个框内的单个框,但实际上,计算设备可以包括构成单个所示组件的多个不同物理组件,并且功能可以在单独的组件之间进行划分。例如,通信接口可以被配置为包括本文描述的任何组件,和/或组件的功能可以在处理电路和通信接口之间进行划分。在另一示例中,任何这种组件的非计算密集型功能可以用软件或固件实现,并且计算密集型功能可以用硬件实现。
在某些实施例中,本文描述的一些或全部功能可以由执行存储在存储器中的指令的处理电路来提供,该存储器在某些实施例中可以是非暂时性计算机可读存储介质形式的计算机程序产品。在备选实施例中,一些或全部功能可以例如以硬连线方式由处理电路来提供,而不执行存储在单独或分立的设备可读存储介质上的指令。在这些特定实施例中的任一实施例中,无论是否执行存储在非暂时性计算机可读存储介质上的指令,处理电路都可以被配置为执行所描述的功能。由这种功能提供的益处不限于单独的处理电路或限于计算设备的其他组件,而是整体由计算设备享有和/或通常由最终用户和无线网络享有。
Claims (57)
1.一种由远程通信设备执行的方法,所述方法包括:
经由中继通信设备执行与归属通信网络的认证过程,以针对基于邻近的服务ProSe向所述归属通信网络认证所述远程通信设备,其中,执行所述认证过程包括导出认证向量中包括的一个或多个密钥;
直接从所述认证向量中包括的所述一个或多个密钥生成用于所述ProSe的锚密钥;以及
使用从所述锚密钥导出的安全密钥材料来保护所述远程通信设备和所述中继通信设备之间的ProSe直接通信。
2.根据权利要求1所述的方法,其中,所述认证向量专用于所述ProSe,和/或所述认证向量中包括的所述一个或多个密钥被绑定到所述ProSe。
3.根据权利要求1至2中任一项所述的方法,其中,导出所述认证向量中包括的所述一个或多个密钥包括:根据中继服务码和/或所述中继通信设备的服务通信网络的标识导出所述一个或多个密钥。
4.根据权利要求1至3中任一项所述的方法,其中,所述认证向量中包括的所述一个或多个密钥包括加密密钥和完整性密钥。
5.根据权利要求1至4中任一项所述的方法,还包括:从以下项导出安全密钥材料:
所述锚密钥;以及
从所述中继通信设备接收到的新鲜度参数和/或由所述远程通信设备生成的新鲜度参数。
6.根据权利要求1至5中任一项所述的方法,其中,所述锚密钥是用于所述远程通信设备和所述中继通信设备之间的PC5接口的PC5锚密钥Kpc5。
7.根据权利要求1至6中任一项所述的方法,其中,所述认证过程是作为用于建立所述远程通信设备和所述中继通信设备之间的连接的连接建立过程的一部分来执行的。
8.根据权利要求7所述的方法,还包括:
生成标识所述锚密钥、标识所述安全密钥材料、或临时标识所述远程通信设备的标识;以及
在释放所述连接之后,作为用于建立所述远程通信设备和相同或不同中继通信设备之间的新连接的后续连接建立过程的一部分,向所述相同或不同中继通信设备发送所述标识;以及
基于所述标识,重用所述锚密钥或所述安全密钥材料来重新认证所述远程通信设备和/或保护通过所述新连接的ProSe直接通信。
9.根据权利要求7至8中任一项所述的方法,还包括:避免作为所述认证过程的一部分和/或作为所述连接建立过程的一部分生成归属网络根密钥。
10.根据权利要求9所述的方法,其中,所述归属网络根密钥是密钥KAUSF。
11.根据权利要求1至10中任一项所述的方法,其中,用于针对所述ProSe向所述归属通信网络认证所述远程通信设备的认证过程与用于所述远程通信设备向所述归属通信网络的主认证的主认证过程独立和/或分离。
12.根据权利要求1至11中任一项所述的方法,还包括:经由所述远程通信设备和所述中继通信设备之间的ProSe直接通信向所述归属通信网络发送业务和/或从所述归属通信网络接收业务。
13.根据权利要求1至12中任一项所述的方法,其中,所述中继通信设备是层3UE到网络中继。
14.一种由被配置为在远程通信设备的归属通信网络中使用的归属网络节点执行的方法,所述方法包括:
接收针对基于邻近的服务ProSe向所述归属通信网络认证所述远程通信设备的请求;
基于针对所述远程通信设备获得的认证向量,根据所述请求执行用于认证所述远程通信设备的认证过程;
直接从所述认证向量中包括的一个或多个密钥生成用于所述ProSe的锚密钥;以及
响应于所述请求,发送所述锚密钥。
15.根据权利要求14所述的方法,其中,所述认证向量专用于所述ProSe,和/或所述认证向量中包括的所述一个或多个密钥被绑定到所述ProSe。
16.根据权利要求14至15中任一项所述的方法,其中,所述认证向量中包括的所述一个或多个密钥是基于中继服务码和/或服务通信网络的标识的,所述请求是从所述服务通信网络接收的。
17.根据权利要求14至17中任一项所述的方法,其中,所述认证向量中包括的所述一个或多个密钥包括加密密钥和完整性密钥。
18.根据权利要求14至17中任一项所述的方法,其中,所述锚密钥是用于PC5接口的PC5锚密钥Kpc5。
19.根据权利要求14至18中任一项所述的方法,其中,所述认证过程是作为用于建立所述远程通信设备和所述中继通信设备之间的ProSe连接的连接建立过程的一部分来执行的。
20.根据实施例19所述的方法,还包括:生成标识所述锚密钥的标识,其中,所述响应还包括所述标识。
21.根据权利要求19至20中任一项所述的方法,还包括:避免作为所述认证过程的一部分和/或作为所述连接建立过程的一部分生成归属网络根密钥。
22.根据权利要求21所述的方法,其中,所述归属网络根密钥是密钥KAUSF。
23.根据权利要求14至22中任一项所述的方法,其中,用于针对所述ProSe向所述归属通信网络认证所述远程通信设备的认证过程与用于所述远程通信设备向所述归属通信网络的主认证的主认证过程独立和/或分离。
24.根据权利要求14至22中任一项所述的方法,还包括:通过以下方式获得所述认证向量:
向所述归属通信网络中的订阅数据管理节点发送对所述认证向量的请求;以及
响应于所发送的请求,从所述订阅数据管理节点接收所述认证向量。
25.根据权利要求24所述的方法,其中,所发送的请求指示以下项中的一项或多项:
与所述远程通信设备相关联的标识;
中继服务码;或者
从其接收到所述请求的服务通信网络的服务网络名称。
26.根据权利要求14至25中任一项所述的方法,其中,所述请求是从中继通信设备的服务通信网络中的服务网络节点接收的,作为在所述远程通信设备和所述归属通信网络之间中继业务的一部分,所述中继通信设备将执行与所述远程通信设备的ProSe直接通信。
27.根据权利要求26所述的方法,其中,所述中继通信设备是层3UE到网络中继。
28.根据权利要求14至27中任一项所述的方法,其中,所述请求包括所述远程通信设备的订阅隐藏标识符,其中,所述方法还包括请求对所述订阅隐藏标识符的解隐藏以便获得所述远程通信设备的订阅永久标识符,并且其中,所述响应还包括所述订阅永久标识符。
29.一种由被配置为在中继通信设备的服务通信网络中使用的服务网络节点执行的方法,所述方法包括:
从所述中继通信设备接收请求安全密钥材料的密钥材料请求,通过所述安全密钥材料来保护所述中继通信设备和所述远程通信设备之间的基于邻近的服务ProSe直接通信;
响应于所述密钥材料请求,向所述远程通信设备的归属通信网络中的归属网络节点发送认证请求,所述认证请求请求针对所述ProSe来认证所述远程通信设备;以及
响应于所述认证请求,接收用于所述ProSe的锚密钥;
从所述锚密钥生成所述安全密钥材料;以及
响应于所述密钥材料请求,向所述中继通信设备发送所述安全密钥材料。
30.根据权利要求29所述的方法,其中,所述认证请求请求针对所述ProSe对所述远程通信设备进行ProSe特定认证。
31.根据权利要求29至30中任一项所述的方法,其中,所述锚密钥是直接从认证向量中包括的一个或多个密钥导出的,所述远程通信设备是基于所述认证向量来针对所述ProSe认证的。
32.根据权利要求31所述的方法,其中,所述认证向量专用于所述ProSe,和/或所述认证向量中包括的所述一个或多个密钥被绑定到所述ProSe。
33.根据权利要求31至32中任一项所述的方法,其中,所述认证向量中包括的所述一个或多个密钥是基于中继服务码和/或所述服务通信网络的标识的。
34.根据权利要求31至33中任一项所述的方法,其中,所述认证向量中包括的所述一个或多个密钥包括加密密钥和完整性密钥。
35.根据权利要求29至34中任一项所述的方法,其中,所述锚密钥是用于所述远程通信设备和所述中继通信设备之间的PC5接口的PC5锚密钥Kpc5。
36.根据权利要求29至35中任一项所述的方法,其中,所述中继通信设备是层3UE到网络中继。
37.根据权利要求29至36中任一项所述的方法,其中,生成所述安全密钥材料包括:生成新鲜度参数,并且从所述锚密钥和所述新鲜度参数导出所述安全密钥材料。
38.根据权利要求37所述的方法,还包括:向所述中继通信设备发送所述新鲜度参数。
39.根据权利要求29至38中任一项所述的方法,还包括:将所述锚密钥存储在所述服务网络节点本地的本地存储设备中。
40.根据权利要求39所述的方法,还包括:
在向所述中继通信设备发送所述安全密钥材料之后,接收后续密钥材料请求,所述后续密钥材料请求请求保护所述远程通信设备和相同或不同中继通信设备之间的ProSe直接通信的安全密钥材料;
响应于所述后续密钥材料请求,从所述本地存储设备取回所述锚密钥;
从所述锚密钥导出新安全密钥材料;以及
响应于所述后续密钥材料请求,发送所述新安全密钥材料。
41.根据权利要求40所述的方法,还包括:
生成标识所述锚密钥、标识所述安全密钥材料、或临时标识所述远程通信设备的标识;以及
将所述锚密钥与所述标识相关联地存储在所述本地存储设备中;
其中,所述后续密钥材料请求包括所述标识,并且
其中,所述锚密钥是使用所述后续密钥材料请求中包括的所述标识从所述本地存储设备取回的。
42.根据权利要求29至41中任一项所述的方法,还包括:
生成标识所述锚密钥、标识所述安全密钥材料、或临时标识所述远程通信设备的标识;以及
将所述锚密钥与所述标识相关联地存储在所述本地存储设备中。
43.根据权利要求41至42中任一项所述的方法,其中,存储所述锚密钥包括:将所述锚密钥存储在所述中继通信设备的上下文或所述远程通信设备的ProSe特定上下文中。
44.一种由被配置为在远程通信设备的归属通信网络中使用的订阅数据管理节点执行的方法,所述方法包括:
从所述归属通信网络中的归属网络节点接收对认证向量的请求,所述远程通信设备是基于所述认证向量来针对基于邻近的服务ProSe向所述归属通信网络认证的;
生成所请求的认证向量;以及
响应于所述请求,向所述归属网络节点发送所述认证向量。
45.根据权利要求44所述的方法,其中,所述请求指示一个或多个参数,其中,生成所述认证向量包括:基于所述一个或多个参数来生成所述认证向量,其中,所述一个或多个参数包括以下项中的一项或多项:
与所述远程通信设备相关联的标识;
中继服务码;或者
服务于中继通信设备的服务通信网络的服务网络名称,作为在所述远程通信设备和所述归属通信网络之间中继业务的一部分,所述中继通信设备将执行与所述远程通信设备的ProSe直接通信。
46.根据权利要求44至45中任一项所述的方法,还包括:指派所述认证向量的特定于所述ProSe的序列号。
47.根据权利要求44至46中任一项所述的方法,其中,所述认证向量专用于所述ProSe,和/或所述认证向量中包括的一个或多个密钥被绑定到所述ProSe。
48.根据权利要求44至47中任一项所述的方法,其中,所述认证向量中包括的一个或多个密钥是基于中继服务码和/或服务于中继通信设备的服务通信网络的标识的,作为在所述远程通信设备和所述归属通信网络之间中继业务的一部分,所述中继通信设备将执行与所述远程通信设备的ProSe直接通信。
49.一种远程通信设备,包括:
处理电路和存储器,所述存储器包含能够由所述处理电路执行的指令,由此所述远程通信设备被配置为执行根据权利要求1至13中任一项所述的步骤中的任何步骤。
50.一种用户设备UE,包括:
天线,被配置为发送和接收无线信号;
无线电前端电路,连接到所述天线和处理电路,并且被配置为调节在所述天线和所述处理电路之间传送的信号;
所述处理电路,被配置为执行根据权利要求1至13中任一项所述的步骤中的任何步骤;
输入接口,连接到所述处理电路,并且被配置为允许将信息输入到所述UE中以被所述处理电路处理;
输出接口,连接到所述处理电路,并且被配置为从所述UE输出已经被所述处理电路处理的信息;以及
电池,连接到所述处理电路,并且被配置为向所述UE供应电力。
51.一种包括指令的计算机程序,所述指令当由远程通信设备的至少一个处理器执行时,使所述远程通信设备执行根据权利要求1至13中任一项所述的步骤。
52.一种包含根据权利要求55所述的计算机程序的载体,其中,所述载体是电信号、光信号、无线电信号或计算机可读存储介质之一。
53.一种网络节点,包括:
处理电路和存储器,所述存储器包含能够由所述处理电路执行的指令,由此所述网络节点被配置为执行根据权利要求14至48中任一项所述的步骤中的任何步骤。
54.根据权利要求53所述的网络节点,其中,所述网络节点是基站。
55.一种包括指令的计算机程序,所述指令当由网络节点的至少一个处理器执行时,使所述网络节点执行根据权利要求14至48中任一项所述的步骤。
56.根据权利要求55所述的计算机程序,其中,所述网络节点是基站。
57.一种包含根据权利要求55至56中任一项所述的计算机程序的载体,其中,所述载体是电信号、光信号、无线电信号或计算机可读存储介质之一。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNPCT/CN2021/129365 | 2021-11-08 | ||
CN2021129365 | 2021-11-08 | ||
PCT/EP2022/078915 WO2023078666A1 (en) | 2021-11-08 | 2022-10-18 | Authentication for a proximity-based service in a wireless communication network |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118202621A true CN118202621A (zh) | 2024-06-14 |
Family
ID=84357889
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280073985.3A Pending CN118202621A (zh) | 2021-11-08 | 2022-10-18 | 无线通信网络中针对基于邻近的服务的认证 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN118202621A (zh) |
WO (1) | WO2023078666A1 (zh) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104769982B (zh) * | 2013-10-23 | 2019-05-03 | 华为技术有限公司 | 用户设备之间进行安全通信的方法及装置 |
KR102094216B1 (ko) * | 2013-11-04 | 2020-03-27 | 삼성전자 주식회사 | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 |
US10939288B2 (en) * | 2018-01-14 | 2021-03-02 | Qualcomm Incorporated | Cellular unicast link establishment for vehicle-to-vehicle (V2V) communication |
-
2022
- 2022-10-18 CN CN202280073985.3A patent/CN118202621A/zh active Pending
- 2022-10-18 WO PCT/EP2022/078915 patent/WO2023078666A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2023078666A1 (en) | 2023-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN117796127A (zh) | 随机接入划分与随机接入报告 | |
CN118575494A (zh) | 经由ue参数更新upu过程的路由指示符更新 | |
WO2023058009A1 (en) | Disaster roaming indication for session and policy | |
CN117957866A (zh) | 用外部认证服务器认证无线通信设备 | |
WO2022255930A1 (en) | Methods and apparatus supporting dynamic ethernet vlan configuration in a fifth generation system | |
CN118202621A (zh) | 无线通信网络中针对基于邻近的服务的认证 | |
US20240276217A1 (en) | Application-specific gpsi retrieval | |
US20240259921A1 (en) | Signalling Approaches for Disaster PLMNS | |
US20230039795A1 (en) | Identifying a user equipment, ue, for subsequent network reestablishment after a radio link failure during an initial network establishment attempt | |
WO2024175369A1 (en) | Secondary authentication for remote user equipment | |
WO2024033272A1 (en) | Cag extension for mobile iab-node | |
CN118575492A (zh) | 5g核心网(5gc)中的服务特定授权移除 | |
EP4427399A1 (en) | Using identifier and locator separation to simplify application network service requests | |
CN118542003A (zh) | 无线通信设备进行业务中继的安全性 | |
CN118451687A (zh) | 边缘使能器客户端(eec)的基于类型的认证 | |
WO2023079342A1 (en) | Using identifier and locator separation to simplify application network service requests | |
CN117597895A (zh) | 用于通信网络的确定性网络实体 | |
KR20240005819A (ko) | 메시징 프레임워크 없는 데이터 수집 코디네이션 기능(dccf) 데이터 액세스 인가 | |
EP4385228A1 (en) | Akma key diversity for multiple applications in ue | |
WO2024144446A1 (en) | Control plane optimization during amf change | |
WO2024171066A1 (en) | Methods, apparatus and computer-readable media for enabling an application function to utilize resources of a resource owner | |
WO2024038340A1 (en) | Relay connections in a communication network | |
WO2023244155A1 (en) | Handling of tracking/ran area change of mobile iab node | |
CN117296377A (zh) | Nr sdt的小区重选期间的安全性参数更新 | |
CN118525575A (zh) | 位置信息提供 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |