JP2018528647A - ネットワークセキュリティアーキテクチャ - Google Patents

ネットワークセキュリティアーキテクチャ Download PDF

Info

Publication number
JP2018528647A
JP2018528647A JP2018500695A JP2018500695A JP2018528647A JP 2018528647 A JP2018528647 A JP 2018528647A JP 2018500695 A JP2018500695 A JP 2018500695A JP 2018500695 A JP2018500695 A JP 2018500695A JP 2018528647 A JP2018528647 A JP 2018528647A
Authority
JP
Japan
Prior art keywords
network
client device
packet
key
user plane
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018500695A
Other languages
English (en)
Other versions
JP6882255B2 (ja
JP2018528647A5 (ja
Inventor
ス・ボム・イ
ギャヴィン・バーナード・ホーン
アナンド・パラニガウンダー
Original Assignee
クアルコム,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クアルコム,インコーポレイテッド filed Critical クアルコム,インコーポレイテッド
Publication of JP2018528647A publication Critical patent/JP2018528647A/ja
Publication of JP2018528647A5 publication Critical patent/JP2018528647A5/ja
Priority to JP2021078681A priority Critical patent/JP7246430B2/ja
Application granted granted Critical
Publication of JP6882255B2 publication Critical patent/JP6882255B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ある態様では、クライアントデバイスをサポートするネットワークは、ネットワーク機能を実装する1つまたは複数のネットワークノードを含む。そのようなネットワーク機能は、クライアントデバイスが接続モードにないときにクライアントデバイスがネットワークとの通信にセキュリティコンテキストを適用することを可能にする。クライアントデバイスは、第1のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と共有されるユーザプレーン鍵、および/または第2のネットワークノードにおいて実装される制御プレーンネットワーク機能と共有される制御プレーン鍵を取得する。クライアントデバイスは、ユーザプレーン鍵を用いてデータパケットを保護し、制御プレーン鍵を用いて制御パケットを保護する。データパケットは第1のネットワークノードを示す第1の宛先情報を含み、制御パケットは第2のネットワークノードを示す第2の宛先情報を含む。クライアントデバイスはデータパケットまたは制御パケットを送信する。

Description

関連出願の相互参照
本特許出願は、2015年7月12日に米国特許商標庁に出願された仮出願第62/191,459号、および2016年5月20日に米国特許商標庁に出願された非仮出願第15/160,326号に対する優先権を主張し、これらの出願の内容全体が、参照により本明細書に組み込まれる。
本開示の態様は全般に、通信に関し、より具体的には、限定はしないが、モノのインターネット(IoT:Internet of Things)ネットワークアーキテクチャに関する。
電子デバイスがデータを収集し、処理し、交換する能力は成長し続けている。その上、ますます多くのこれらの電子デバイスがネットワーク接続性を与えられている。そのような能力および機能は、多くの電子デバイスがモノのインターネット(IoT)デバイスへと進化することを可能にしている。これらのタイプの電子デバイスの数が急速に増え続けているので、ネットワークはこれらの電子デバイスを適切にサポートするためのリソースを有しないことがある。
たとえば、IoT環境において、ネットワーク(たとえば、LTEネットワーク)は、多数の(たとえば、数十億個の)IoTデバイス(たとえば、減らされたデータ移送モードまたは低電力消費モードでネットワークに接続するクライアントデバイス)をサポートする必要があり得る。IoTの目的でネットワークにより割り振られるリソースの量は限られていることがあるので、ネットワークはこれらのタイプのデバイスのすべてのコンテキストを維持することが可能ではないことがある。クライアントデバイスのためのユーザプレーンデータ送信に使用されるコンテキストは、ネットワークと通信するためにクライアントデバイスによって実行されるべきシグナリングの量を減らし得る。これらの状況に照らして、ネットワークアクセスノードは通常、クライアントデバイスがアイドルモードに入るときはクライアントデバイスコンテキストを除去(たとえば、削除)し、クライアントデバイスが接続モード(アクティブモードとも呼ばれる)に入るときは新しいクライアントデバイスコンテキストを確立する。このアイドルモードから接続モードへの移行は、シグナリングメッセージに関してクライアントデバイスに対するかなりのオーバーヘッドを伴う。その上、そのようなアイドルモードから接続モードへの移行は、クライアントデバイスを長期間アウェイク状態にとどまらせ得るので、クライアントデバイスの電力消費を増やし得る。
以下では、本開示のいくつかの態様の基本的な理解をもたらすように、そのような態様の簡略化された概要を提示する。この概要は、本開示のすべての企図された特徴の広範な概要ではなく、本開示のすべての態様の主要な要素または重要な要素を特定するものでもなく、本開示のいずれかまたはすべての態様の範囲を定めるものでもない。その唯一の目的は、後で提示されるより詳細な説明の前置きとして、本開示のいくつかの態様の様々な概念を簡略化された形態で提示することである。
ある態様では、ネットワークにおけるクライアントデバイスのための方法が提供される。クライアントデバイスは、ネットワークに登録し、第1のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と共有されるユーザプレーン鍵または第2のネットワークノードにおいて実装される制御プレーンネットワーク機能と共有される制御プレーン鍵を少なくとも取得し、ユーザプレーン鍵を用いてデータパケットを、または制御プレーン鍵を用いて制御パケットを保護し、データパケットまたは制御パケットを送信し得る。ある態様では、データパケットは、データパケットが第1のネットワークノードにおいて処理されるべきであることを示す第1の宛先情報を含み、第1の宛先情報は、ネットワークアクセスノードがデータパケットを第1のネットワークノードに転送することを可能にし、制御パケットは、制御パケットが第2のネットワークノードにおいて処理されるべきであることを示す第2の宛先情報を含み、第2の宛先情報は、ネットワークアクセスノードが制御パケットを第2のネットワークノードに転送することを可能にする。ある態様では、クライアントデバイスは、ネットワークからパケットを受信し、受信されたパケットがデータを含むか制御情報を含むかを決定し、この決定に基づいて、ユーザプレーン鍵または制御プレーン鍵を用いて受信されたパケットを復号し得る。ある態様では、クライアントデバイスは、ユーザプレーン鍵または制御プレーン鍵を用いて受信されたパケットを復号し検証することによって、受信されたパケットを復号し得る。ある態様では、クライアントデバイスは、受信されたパケットとユーザプレーン鍵または制御プレーン鍵のいずれかとに基づいてメッセージ認証符号生成アルゴリズムを適用することで第1のメッセージ認証符号を決定し、第1のメッセージ認証符号を受信されたパケットと関連付けられる第2のメッセージ認証符号と比較することによって、受信されたパケットを検証し得る。ある態様では、クライアントデバイスは、ユーザプレーンに関してクライアントデバイスのネットワーク状態情報を示すユーザプレーンセキュリティコンテキスト、または制御プレーンに関してクライアントデバイスのネットワーク状態情報を示す制御プレーンセキュリティコンテキストのうちの少なくとも1つを取得し得る。ある態様では、クライアントデバイスは、ユーザプレーン鍵に基づいて第1の暗号鍵および第1の完全性鍵を導出することによってユーザプレーンセキュリティコンテキストを取得することができ、制御プレーン鍵に基づいて第2の暗号鍵および第2の完全性鍵を導出することによって制御プレーンセキュリティコンテキストを取得することができる。ある態様では、ユーザプレーンセキュリティコンテキストまたは制御プレーンセキュリティコンテキストは、アクセス層セキュリティ保護を含まない。ある態様では、ユーザプレーンネットワーク機能識別子または制御プレーンネットワーク機能識別子は受信されたパケットのヘッダに含まれ、クライアントデバイスは減らされたデータ移送モードにおいて登録される。ある態様では、データパケットは、ユーザプレーン鍵に基づいて、暗号化もしくは完全性保護され、または暗号化と完全性保護の両方が行われ、制御パケットは、制御プレーン鍵に基づいて、暗号化もしくは完全性保護され、または暗号化と完全性保護の両方が行われる。ある態様では、クライアントデバイスは、ネットワークに接続するための要求を送信し、ネットワークから、その要求に応答した認証手順と関連付けられるメッセージを受信することによって、ネットワークに登録し得る。そのような態様では、ユーザプレーン鍵または制御プレーン鍵はそのメッセージに基づいて取得され、接続要求は、クライアントデバイスが減らされたデータ移送モードで接続すべきであることを示す。
ある態様では、クライアントデバイスが提供される。クライアントデバイスは、ネットワークに登録するための手段と、第1のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と共有されるユーザプレーン鍵または第2のネットワークノードにおいて実装される制御プレーンネットワーク機能と共有される制御プレーン鍵を少なくとも取得するための手段と、ユーザプレーン鍵を用いてデータパケットを、または制御プレーン鍵を用いて制御パケットを保護するための手段と、データパケットまたは制御パケットを送信するための手段とを含み得る。データパケットは、データパケットが第1のネットワークノードにおいて処理されるべきであることを示す第1の宛先情報を含むことがあり、第1の宛先情報は、ネットワークアクセスノードがデータパケットを第1のネットワークノードに転送することを可能にし、制御パケットは、制御パケットが第2のネットワークノードにおいて処理されるべきであることを示す第2の宛先情報を含むことがあり、第2の宛先情報は、ネットワークアクセスノードが制御パケットを第2のネットワークノードに転送することを可能にする。ある態様では、クライアントデバイスは、ネットワークからパケットを受信するための手段と、受信されたパケットがデータを含むか制御情報を含むかを決定するための手段と、この決定に基づいて、ユーザプレーン鍵または制御プレーン鍵を用いて受信されたパケットを復号するための手段とを含み得る。ある態様では、受信されたパケットを復号するための手段は、ユーザプレーン鍵または制御プレーン鍵を用いて受信されたパケットを復号し検証するように構成される。ある態様では、受信されたパケットを検証するための手段は、受信されたパケットとユーザプレーン鍵または制御プレーン鍵のいずれかとに基づいてメッセージ認証符号生成アルゴリズムを適用することで第1のメッセージ認証符号を決定し、第1のメッセージ認証符号を受信されたパケットと関連付けられる第2のメッセージ認証符号と比較するように構成され得る。ある態様では、クライアントデバイスはさらに、ユーザプレーンに関してクライアントデバイスのネットワーク状態情報を示すユーザプレーンセキュリティコンテキスト、または制御プレーンに関してクライアントデバイスのネットワーク状態情報を示す制御プレーンセキュリティコンテキストのうちの少なくとも1つを取得するための手段を含み得る。ある態様では、ユーザプレーンセキュリティを取得するための手段は、ユーザプレーン鍵に基づいて第1の暗号鍵および第1の完全性鍵を導出するように構成されることがあり、制御プレーンセキュリティコンテキストを取得することは、制御プレーン鍵に基づいて第2の暗号鍵および第2の完全性鍵を導出することを備える。ある態様では、ユーザプレーンセキュリティコンテキストまたは制御プレーンセキュリティコンテキストは、アクセス層セキュリティ保護を含まない。ある態様では、ユーザプレーンネットワーク機能識別子または制御プレーンネットワーク機能識別子は受信されたパケットのヘッダに含まれ、クライアントデバイスは減らされたデータ移送モードにおいて登録される。ある態様では、データパケットは、ユーザプレーン鍵に基づいて、暗号化もしくは完全性保護され、または暗号化と完全性保護の両方が行われ、制御パケットは、制御プレーン鍵に基づいて、暗号化もしくは完全性保護され、または暗号化と完全性保護の両方が行われる。ある態様では、ネットワークに登録するための手段は、ネットワークに接続するための要求を送信し、ネットワークから、その要求に応答した認証手順と関連付けられるメッセージを受信するように構成され得る。そのような態様では、ユーザプレーン鍵または制御プレーン鍵はそのメッセージに基づいて取得され、接続要求は、クライアントデバイスが減らされたデータ移送モードで接続すべきであることを示す。
ある態様では、ネットワークアクセスノードのための方法が提供される。ネットワークアクセスノードは、クライアントデバイスから第1のパケットを受信し、クライアントデバイスのネットワーク接続モードに基づいて次のホップのネットワークノードを決定し、ネットワーク接続モードが減らされたデータ移送モードであるときに、クライアントデバイスから受信された第1のパケットを検証することなく第1のパケットを次のホップのネットワークノードに転送し得る。ある態様では、ネットワークアクセスノードは、ネットワークノードから第2のパケットを受信し、クライアントデバイスのネットワーク接続モードが減らされたデータ移送モードであるとき、ネットワークノードから受信された第2のパケットを、保護することなくクライアントデバイスに転送し得る。ある態様では、ネットワークアクセスノードは、クライアントデバイスから、ネットワーク接続モードを示すものとともにネットワークに接続するための要求を受信することができ、ネットワーク接続モードは減らされたデータ移送モードである。ある態様では、次のホップのネットワークノードの決定は、ネットワークアクセスノードにおける事前に構成された情報に基づき、または第1のパケットに含まれる宛先情報に基づき、ネットワーク接続モードは減らされたデータ移送モードである。ある態様では、宛先情報は、ネットワーク機能を実装するネットワークノードの識別を可能にするネットワーク機能識別子を含む。ある態様では、ネットワーク機能識別子は、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能または第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と関連付けられる。ある態様では、ネットワークアクセスノードは、クライアントデバイスと関連付けられる一時識別子を第1のパケットに追加することができ、第1のパケットがデータパケットまたは制御パケットであり、一時識別子を記憶することができる。ある態様では、一時識別子はセル無線ネットワーク一時識別子(C-RNTI)であり、一時識別子は所定の期間記憶される。ある態様では、ネットワークアクセスノードは、第2のパケットの中の一時識別子からクライアントデバイスを識別することができ、第2のパケットはデータパケットまたは制御パケットである。ある態様では、ネットワークアクセスノードは、第2のパケットを転送する前に第2のパケットから一時識別子を除去し得る。
ある態様では、ネットワークアクセスノードが提供される。ネットワークアクセスノードは、クライアントデバイスから第1のパケットを受信するための手段と、クライアントデバイスのネットワーク接続モードに基づいて次のホップのネットワークノードを決定するための手段と、ネットワーク接続モードが減らされたデータ移送モードであるときに、クライアントデバイスから受信された第1のパケットを検証することなく第1のパケットを次のホップのネットワークノードに転送するための手段とを含み得る。ある態様では、ネットワークアクセスノードはさらに、ネットワークノードから第2のパケットを受信するための手段と、クライアントデバイスのネットワーク接続モードが減らされたデータ移送モードであるとき、ネットワークノードから受信された第2のパケットを、保護することなくクライアントデバイスに転送するための手段とを含み得る。ある態様では、ネットワークアクセスノードはさらに、クライアントデバイスから、ネットワーク接続モードを示すものとともにネットワークに接続するための要求を受信するための手段を含むことがあり、ネットワーク接続モードは減らされたデータ移送モードである。ある態様では、次のホップのネットワークノードの決定は、ネットワークアクセスノードにおける事前に構成された情報に基づき、または第1のパケットに含まれる宛先情報に基づき、ネットワーク接続モードは減らされたデータ移送モードである。ある態様では、宛先情報は、ネットワーク機能を実装するネットワークノードの識別を可能にするネットワーク機能識別子を含む。ある態様では、ネットワーク機能識別子は、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能または第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と関連付けられる。ある態様では、ネットワークアクセスノードは、クライアントデバイスと関連付けられる一時識別子を第1のパケットに追加するための手段であって、第1のパケットがデータパケットまたは制御パケットである、手段と、一時識別子を記憶するための手段とを含み得る。ある態様では、一時識別子はセル無線ネットワーク一時識別子(C-RNTI)であり、一時識別子は所定の期間記憶される。ある態様では、ネットワークアクセスノードはさらに、第2のパケットの中の一時識別子からクライアントデバイスを識別するための手段を含むことがあり、第2のパケットはデータパケットまたは制御パケットである。ある態様では、ネットワークアクセスノードはさらに、第2のパケットを転送する前に第2のパケットから一時識別子を除去するための手段を含み得る。
ある態様では、第1のネットワークノードのための方法が提供される。第1のネットワークノードは、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、クライアントデバイスのセキュリティコンテキストを確立し、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能のためのユーザプレーン鍵を取得し、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能から、第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能にユーザプレーン鍵を移送し得る。ある態様では、第1のネットワークノードは、クライアントデバイスとの相互認証手順を実行することによって、クライアントデバイスのセキュリティコンテキストを確立し得る。ある態様では、第1のネットワークノードは、相互認証手順の間に確立されるセッション証明書からユーザプレーン鍵を導出することによって、ユーザプレーン鍵を取得し得る。ある態様では、第1のネットワークノードは、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、制御プレーンネットワーク機能のための制御プレーン鍵を取得し得る。
ある態様では、第1のネットワークノードが提供される。第1のネットワークノードは、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、クライアントデバイスのセキュリティコンテキストを確立するための手段と、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能のためのユーザプレーン鍵を取得するための手段と、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能から、第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能にユーザプレーン鍵を移送するための手段とを含み得る。ある態様では、クライアントデバイスのセキュリティコンテキストを確立するための手段は、クライアントデバイスとの相互認証手順を実行するように構成され得る。ある態様では、ユーザプレーン鍵を取得するための手段は、相互認証手順の間に確立されるセッション証明書からユーザプレーン鍵を導出するように構成され得る。ある態様では、第1のネットワークノードはさらに、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、制御プレーンネットワーク機能のための制御プレーン鍵を取得するための手段を含み得る。
ある態様では、ネットワークノードのための方法が提供される。ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスのセキュリティコンテキストを取得し得る。ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスからのデータパケットの復号または検証のために少なくとも使用されるべき鍵を決定し、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスからデータパケットを受信し、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、鍵に基づいてクライアントデバイスからのデータパケットを復号し検証し得る。ある態様では、ネットワークノードは、ネットワークノードの制御プレーンネットワーク機能からセキュリティコンテキストを受信することによって、セキュリティコンテキストを取得し得る。ある態様では、ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、アプリケーションサーバまたはゲートウェイからクライアントデバイスのためのデータパケットを受信し得る。ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスと関連付けられる少なくとも1つの鍵を決定することができ、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、少なくとも1つの鍵を使用してクライアントデバイスのためのデータパケットを保護することができる。ある態様では、ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能から、クライアントデバイスのためのデータパケットを次のホップのネットワークノードに送信し得る。ある態様では、ネットワークノードは、クライアントデバイスのために、データパケットを暗号化もしくは完全性保護することによって、または、データパケットの暗号化と完全性保護の両方を行うことによって、クライアントデバイスのためのデータパケットを保護し得る。
ある態様では、ネットワークノードが提供される。ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスのセキュリティコンテキストを取得するための手段と、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスからのデータパケットの復号または検証のために少なくとも使用されるべき鍵を決定するための手段と、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスからデータパケットを受信するための手段と、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、鍵に基づいてクライアントデバイスからのデータパケットを復号し検証するための手段とを含み得る。ある態様では、セキュリティコンテキストを取得するための手段は、ネットワークノードの制御プレーンネットワーク機能からセキュリティコンテキストを受信するように構成され得る。ある態様では、ネットワークノードはさらに、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、アプリケーションサーバまたはゲートウェイからクライアントデバイスのためのデータパケットを受信するための手段と、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスと関連付けられる少なくとも1つの鍵を決定するための手段と、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、少なくとも1つの鍵を使用してクライアントデバイスのためのデータパケットを保護するための手段とを含み得る。ある態様では、ネットワークノードはさらに、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能から、クライアントデバイスのためのデータパケットを次のホップのネットワークノードに送信するための手段を含み得る。ある態様では、クライアントデバイスのためのデータパケットを保護するための手段は、クライアントデバイスのために、データパケットを暗号化もしくは完全性保護し、または、データパケットの暗号化と完全性保護の両方を行うように構成され得る。
本開示のこれらの態様および他の態様は、以下の詳細な説明を検討することにより、より完全に理解されるであろう。本開示の他の態様、特徴、および実装形態は、添付の図とともに本開示の特定の実装形態の以下の説明を検討すれば、当業者に明らかになろう。本開示の特徴が以下のいくつかの実装形態および図に対して論じられ得るが、本開示のすべての実装形態が、本明細書において説明される有利な特徴のうちの1つまたは複数を含み得る。言い換えれば、1つまたは複数の実装形態が、いくつかの有利な特徴を有するものとして論じられ得るが、そのような特徴のうちの1つまたは複数はまた、本明細書において説明される本開示の様々な実装形態に従って使用され得る。同様に、いくつかの実装形態が、デバイス、システム、または方法の実装形態として以下で論じられ得るが、そのような実装形態が様々なデバイス、システム、および方法で実装され得ることを理解されたい。
本開示の様々な態様による、モノのインターネット(IoT)ネットワークアーキテクチャのブロック図である。 本開示の様々な態様による、IoTネットワークアーキテクチャの鍵階層を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるコンテキストを暗号化するための鍵階層を示す図である。 ネットワークの中の様々なエンティティにおいて維持されるクライアントデバイスの例示的なネットワーク状態を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるクライアントデバイスによる初期接続手順を示すブロック図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるクライアントデバイスによる例示的な接続手順の信号フロー図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるクライアントデバイスによって開始されるデータ送信を示すブロック図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるクライアントデバイスによって開始される例示的なデータ送信を示す信号フロー図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおける例示的なクライアントデバイスで終端するデータ送信の信号フロー図である。 本開示の様々な態様による、IoTデータ送信のための制御プレーンプロトコルスタックを示す図である。 本開示の様々な態様による、IoTデータ送信のためのユーザプレーンプロトコルスタックを示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおける送信のためのパケットフォーマットの図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおける送信のためのパケットフォーマットの図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるトラッキングエリア更新(TAU)手順の信号フロー図である。 本開示の1つまたは複数の態様による、IoTネットワークアーキテクチャにおいて通信するように構成される装置の図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための装置のための方法を示すフローチャートである。 本開示の1つまたは複数の態様による、IoTネットワークアーキテクチャにおいて通信するように構成される装置の図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための装置のための方法を示すフローチャートである。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための装置のための方法を示すフローチャートである。 本開示の1つまたは複数の態様による、IoTネットワークアーキテクチャにおいて通信するように構成される装置の図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための装置のための方法を示すフローチャートである。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための装置のための方法を示すフローチャートである。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための装置のための方法を示すフローチャートである。
添付の図面に関して以下に記載される詳細な説明は、様々な構成の説明として意図されており、本明細書において説明される概念が実践され得る唯一の構成を表すことは意図されていない。詳細な説明は、様々な概念の十分な理解を提供するために、具体的な詳細を含む。しかしながら、これらの概念がこれらの具体的な詳細なしに実践され得ることは、当業者に明らかであろう。いくつかの例では、よく知られている構造および構成要素は、そのような概念を不明瞭にすることを避けるために、ブロック図の形式で示されている。
ロングタームエボリューション(LTE)ネットワークなどのネットワークにおいて、ユーザプレーンセキュリティはネットワークアクセスノード(たとえば、eNodeB、基地局、またはネットワークアクセスポイント)において終端する。したがって、ネットワークアクセスノードは、ユーザプレーンデータ送信のためにクライアントデバイス(モノのインターネット(IoT)デバイスとも呼ばれる)のコンテキストを有するべきである。たとえば、クライアントデバイスは、携帯電話(たとえば、スマートフォン)、パーソナルコンピュータ(たとえば、ラップトップコンピュータ)、ゲームデバイス、またはネットワークと通信するように構成される任意の他の適切なデバイスであり得る。クライアントデバイスのコンテキストは、クライアントデバイスセキュリティコンテキストなどのクライアントデバイスと関連付けられるネットワーク状態情報、および/または、発展型Universal Mobile Telecommunications System(UMTS)地上波無線アクセスネットワーク(E-UTRAN)無線アクセスベアラ(eRAB)(たとえば、無線ベアラおよびS1ベアラ)を含み得る。クライアントデバイスのコンテキストは、ネットワークと通信するためにクライアントデバイスによって実行されるべきシグナリングの量を減らし得る。
上で論じられたように、ネットワーク(たとえば、LTEネットワーク)は多数の(たとえば、数十億個の)モノのインターネット(IoT)デバイスをサポートする必要があり得る。たとえば、IoTデバイスは、IoTデバイスとしてネットワークに接続する(たとえば、IoTデバイスモードで動作し得る)、低電力消費モードで接続する、またはクライアントデバイスとネットワークとの間の減らされたデータ移送の目的で接続する、クライアントデバイスであり得る。ある態様では、減らされたデータ移送モードは、頻繁ではない少量のデータ(たとえば、単一のパケットまたは数個のパケット)の送信または短いデータのバーストを伴い得る。したがって、本開示では、本明細書において使用されるクライアントデバイスという用語は、IoTデバイスも指す。たとえば、クライアントデバイスは、携帯電話(たとえば、スマートフォン)、パーソナルコンピュータ(たとえば、ラップトップ)、ゲームデバイス、自動車、家電機器、またはネットワークと通信するように構成される任意の他の適切なデバイスであり得る。いくつかの態様では、クライアントデバイスは、ユーザ機器(UE)またはアクセス端末(AT)と呼ばれ得る。いくつかの態様では、本明細書において言及されるクライアントデバイスは、モバイルデバイスまたは固定デバイスであり得る。
IoTネットワーク機能および他のIoT関連の機器などの、IoTの目的でネットワークにより割り振られるリソースの量は限られていることがあるので、ネットワーク機能はすべてのクライアントデバイスのコンテキストを維持することが可能ではないことがある。その上、IoTデバイスは頻繁にはアクティブにならないことがある。たとえば、クライアントデバイスは、10分またはそれより長い時間ごとに起動し、トラフィックをサーバに送信し、直ちにスリープモードに入り得る。
これらの状況に照らして、ネットワークアクセスノードは通常、クライアントデバイスがアイドルモードに入るときはクライアントデバイスコンテキストを除去(たとえば、削除)し、クライアントデバイスが接続モード(アクティブモードとも呼ばれる)に入るときは新しいクライアントデバイスコンテキストを確立する。このアイドルモードから接続モードへの移行は、シグナリングメッセージに関してクライアントデバイスに対するかなりのオーバーヘッドを伴う。その上、そのようなアイドルモードから接続モードへの移行は、クライアントデバイスを長期間アウェイク状態にとどまらせ得るので、クライアントデバイスの電力消費を増やし得る。
本明細書において開示される態様は、より上層の観点から、クライアントデバイスの超低消費電力、セルごとの多数のデバイス、および/または小さいスペクトルを達成するための、クライアントデバイスのネットワークアーキテクチャを含む。独立した展開を可能にし、スケーラビリティ/相互機能の要件をなくすために、専用のネットワーク機能が導入される。セキュリティは、ネットワークデバイスにおいて実装されるIoTネットワーク機能(IoT機能(IoTF)とも呼ばれる)においてアンカーされる。IoTネットワーク機能は、クライアントデバイスのための効率的なデータ送信をアーキテクチャが達成することを可能にし得る。様々な態様によれば、アーキテクチャは、クライアントデバイスからの、またはクライアントデバイスへのデータ移送のために、ネットワークアクセスノード(たとえば、eNB、基地局、ネットワークアクセスポイント)において維持されるべきセキュリティコンテキストを許容しないことがある。
クライアントデバイスの通常のパケットデータネットワーク(PDN)接続/トラフィックに影響するのを避けるために、少量のデータ移送のために専用のコアネットワークリソースが割り振られる。ネットワークは、少量のデータトラフィックも制限するために、アクセス制御に専用の物理(PHY)層リソースを割り振ることがある。クライアントデバイスコンテキストは、クライアントデバイスがアイドル状態にあるときにIoTFにおけるクライアントデバイスの準永続的なコンテキストを削除するために、少量のデータ移送のために使用され得る。
ある態様では、IoTFは、制御プレーンIoTF(IoTF-C)およびユーザプレーンIoTF(IoTF-U)を含み得る。いくつかの態様では、そのようなIoTF-CおよびIoTF-Uは単一のIoTFにおいて実装され得る。他の態様では、そのようなIoTF-CおよびIoTF-Uは別個のIoTFとして実装され得る。本開示のある態様では、IoTF-Cは、モビリティ管理エンティティ(MME)と同様の機能を有し得る。本開示のある態様では、IoTF-Uは、ユーザプレーンデータトラフィックのためのモビリティおよびセキュリティのアンカーであり得る。本開示のある態様では、IoTF-Uは、サービングゲートウェイ(S-GW)および/またはネットワークアクセスノード(たとえば、発展型ノードB(eNB)、基地局、またはネットワークアクセスポイント)と同様の機能を有し得る。
ネットワーク機能(たとえば、IoTF-C、IoTF-U)がクライアントデバイスのリソース使用を最適化することを可能にするために、開示されるIoTネットワークアーキテクチャの様々な態様は、クライアントデバイスのためのコンテキストがパケット(たとえば、IPパケット)において搬送されIoTF(たとえば、IoTF-CおよびIoTF-Uを含むIoTF)がクライアントデバイスのためのコンテキストを機会主義的に作成する、設計プロトコルを実装し得る。これにより、ネットワーク機能は、クライアントデバイスのためのネットワーク状態情報を最小限維持すること、またはまったく維持しないことが可能になり、シグナリングオーバーヘッドを最小限にし、またはまったくなくすことが可能になる。開示されるIoTネットワークアーキテクチャおよび本明細書に含まれる機能は、任意のタイプの少量のデータ移送のために使用され得ることを理解されたい。たとえば、クライアントデバイス(たとえば、スマートフォン)は、接続を確立しデータを移送するノミナルモードを有し得るが、クライアントデバイスコンテキストを使用してデータを移送するための本明細書において開示されるような手順も使用する。
IoTネットワークアーキテクチャ
図1は、本開示の様々な態様による、IoTネットワークアーキテクチャ100のブロック図である。図1に示されるように、IoTネットワークアーキテクチャ100は、クライアントデバイス102(IoTデバイスとも呼ばれる)、ネットワークアクセスノード104、ネットワークデバイス105、サービスネットワーク110、およびホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバ112を含む。一態様では、ネットワークアクセスノード104は、eNB、基地局、またはネットワークアクセスポイントであり得る。一態様では、ネットワークデバイス105は、IoTFを実装するように構成される1つまたは複数の処理回路および/または他の適切なハードウェアを含み得る。本開示の一態様では、IoTFは、制御プレーンIoT機能(IoTF-C)106およびユーザプレーンIoT機能(IoTF-U)108を含み得る。たとえば、IoTF-C106は第1のネットワークノード107において実装されることがあり、IoTF-U108は第2のネットワークノード109において実装されることがある。本明細書において開示される様々な態様によれば、「ノード」という用語は、処理回路、デバイス、サーバ、またはネットワークエンティティなどの、ネットワークデバイス105に含まれる物理エンティティを表し得る。したがって、たとえば、ネットワークノードはネットワークノードデバイスと呼ばれ得る。
一態様では、IoTF-C106およびIoTF-U108は、同じハードウェアプラットフォーム(たとえば、1つまたは複数の処理回路およびメモリなどの他の関連するハードウェア構成要素)において実装され得る。そのような態様では、たとえば、IoTF-C106はハードウェアプラットフォーム(たとえば、ネットワークデバイス105)上で提供される第1の仮想機械(たとえば、第1のオペレーティングシステム)において実装されることがあり、IoTF-U108はハードウェアプラットフォーム上で提供される第2の仮想機械(たとえば、第2のオペレーティングシステム)において実装されることがある。
図1に示されるように、IoTF-C106は、第1のS1接続116を介してネットワークアクセスノード104と通信しており、IoTF-U108は、第2のS1接続114を介してネットワークアクセスノード104と通信している。本開示のある態様では、サービスネットワーク110は、様々なタイプのサービスを提供するように構成される、いくつかのエンティティ、機能、ゲートウェイ、および/またはサービスを含み得る。たとえば、サービスネットワーク110は、ショートメッセージエンティティ(SME)118、マシン型通信インターワーキング機能(MTC-IWF:machine type communication interworking function)120、IoTサーバ122、および/またはパケットデータネットワーク(PDN)ゲートウェイ(P-GW)124を含み得る。図1において開示されるサービスネットワーク110は一例として機能し、他の態様では、サービスネットワーク110は、図1において開示されたものとは異なるタイプのエンティティ、機能、および/またはサーバを含み得ることを理解されたい。
本開示のある態様では、ネットワークデバイス105において実装されるIoTFは、制御プレーンおよびユーザプレーンの機能を提供し得る。本開示のある態様では、IoTF-C106は、クライアントデバイスのための制御プレーンシグナリング(たとえば、制御情報を搬送するパケット、本明細書では「制御パケット」と呼ばれる)を扱う。たとえば、IoTF-C106は、クライアントデバイスのためのモビリティおよびセッションの管理を実行し、クライアントデバイスとの認証および鍵共有(AKA手順とも呼ばれる)を実行することができ、かつ/または、クライアントデバイスのセキュリティコンテキストを作成することができる。本開示のある態様では、IoTF-C106は、クライアントデバイス102と関連付けられる制御プレーントラフィックのための制御プレーン(CP)鍵126、クライアントデバイス102と関連付けられるユーザプレーントラフィックのためのユーザプレーン(UP)鍵128、ならびに/または、クライアントデバイス102の暗号化されたクライアントデバイスコンテキストおよび/もしくは暗号化されたネットワーク到達可能性コンテキストを生成するためのコンテキスト鍵130を導出し得る。本開示のある態様では、IoTF-C106は、ユーザプレーン鍵128、および/またはコンテキスト鍵130の少なくとも1つを、IoTF-U108に提供し得る。したがって、いくつかの態様では、IoTF-U108は、IoTF-C106によって提供されるユーザプレーン鍵128および/またはコンテキスト鍵131を含み得る。
本開示のある態様では、IoTF-U108は、クライアントデバイスのためのユーザプレーントラフィックを扱い得る。たとえば、IoTF-U108は、暗号鍵および完全性鍵(たとえば、UP鍵128を使用するAuthenticated Encryption with Associated Data(AEAD)暗号)を導出し、オンザフライでクライアントデバイスコンテキスト(IoTデバイスコンテキストとも呼ばれる)を作成し、クライアントデバイスにより送信されるアップリンク(UL)パケットを認証および復号してPDNまたはP-GW(たとえば、P-GW124)にアップリンクパケットを転送し、接続されたクライアントデバイスのためのダウンリンク(DL)パケットを暗号化および認証してダウンリンクパケットを次のホップのネットワークアクセスノード(たとえば、eNB)に転送し、かつ/または、ページングの間にアイドル状態のクライアントデバイスのためのダウンリンクパケットをバッファリングすることができる。本開示のある態様では、IoTF-U108は、データトラフィックのためのモビリティおよびセキュリティのアンカーとして機能し得る。
IoTネットワークのための例示的な鍵階層
図2は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100)の鍵階層200を示す図である。図2では、鍵KIOT202は、クライアントデバイス(たとえば、クライアントデバイス102)のUniversal Mobile Telecommunications System(UMTS)加入者識別モジュール(USIM)およびネットワークの認証センター(AuC)において永続的に記憶される秘密鍵であり得る。完全性鍵(IK)および暗号鍵(CK)(図2においてIK、CK204として示されている)は、AKA手順の間にAuCおよびUSIMにおいて導出される一対の鍵である。図1を参照すると、AKA手順の間、IoTF-C106は、HSS/AAAサーバ112から認証ベクトル(AV)を受信することができ、認証ベクトルはアクセスセキュリティ管理エンティティ(ASME)からの鍵(KASME206として図2に示されている)を含む。IoTF-C106は、鍵KASME206から制御プレーン鍵(KCP)208およびユーザプレーン鍵(KUP)214を導出することができる。IoTF-C106は、鍵KUP214をIoTF-U108に提供することができる。IoTF-C106は、鍵KCP208から暗号鍵KIoT-CPenc210および完全性保護鍵KIoT-CPint212を導出することができる。IoTF-U108は、鍵KUP214から暗号鍵KIoT-UPenc216および完全性保護鍵KIoT-UPint218を導出することができる。
図3は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100)においてコンテキストを暗号化するための鍵階層300を示す図である。本開示のある態様では、図1を参照すると、IoTF-C106は、クライアントデバイスのコンテキスト鍵KCDC-IoTF302に基づいて、クライアントデバイス(たとえば、クライアントデバイス102)の制御プレーンクライアントデバイスコンテキスト暗号鍵(KCDC-IoTF-C)304およびユーザプレーンクライアントデバイスコンテキスト暗号鍵(KCDC-IoTF-U)306をランダムに生成することができる。本開示のある態様では、図1を参照すると、IoTF-C106は、コンテキスト鍵KNRC-IoTF308に基づいて制御プレーンのためのネットワーク到達可能性コンテキスト(NRC)暗号鍵(KNRC-IoTF-C)310をランダムに生成し得る。IoTF-C106はさらに、コンテキスト鍵KNRC-IoTF308に基づいてユーザプレーンのためのネットワーク到達可能性コンテキスト(NRC)暗号鍵(KNRC-IoTF-U)312をランダムに生成し得る。一態様では、鍵KNRC-IoTF-C310および鍵KNRC-IoTF-U312は、アプリケーションサーバまたはP-GW(たとえば、P-GW124)のために生成され得る。
クライアントデバイスの例示的なネットワーク状態
ワイヤレス通信システム(たとえば、LTEネットワーク)において、ネットワーク状態は、モビリティ管理(たとえば、発展型パケットシステムモビリティ管理(EMM))のためにクライアントデバイスに対して定義される。そのようなネットワーク状態は、クライアントデバイスとネットワークの中の他のエンティティとの間の効率的な通信を可能にする。本開示のある態様では、クライアントデバイス(たとえば、図1のクライアントデバイス102)は、未登録状態または登録状態にあり得る。
たとえば、クライアントデバイスが未登録状態にあるとき、クライアントデバイスのコンテキストはHSSに記憶され得る。ネットワークはクライアントデバイスについて有効な位置情報またはルーティング情報を保持せず、クライアントデバイスは到達可能ではない。
別の例として、クライアントデバイスは、ネットワークへの登録の成功により登録状態に入り得る。本開示のある態様では、クライアントデバイスは、ネットワークとの接続手順を実行することにより、そのような登録を実行し得る。登録状態において、クライアントデバイスは少なくとも1つの有効なPDN接続を有する。クライアントデバイスはまた、発展型パケットシステム(EPS:Evolved Packet System)セキュリティコンテキストのセットアップを有する。未登録状態および登録状態は、クライアントデバイスがネットワークのための証明書(たとえば、HSSの中に利用可能な署名がある)を有することを仮定していることに留意されたい。
ワイヤレス通信ネットワーク(たとえば、LTEネットワーク)はさらに、発展型パケットシステム接続管理(ECM:Evolved Packet System Connection Management)のためにクライアントデバイスに対して定義されるネットワーク状態を含み得る。したがって、登録状態にあるクライアントデバイス(たとえば、図1のクライアントデバイス102)は、アイドル状態または接続状態などの、2つの状態(登録状態の副状態とも呼ばれる)のうちの1つにあり得る。アイドル状態において、非アクセス層(NAS)シグナリング接続が、クライアントデバイスと他のネットワークエンティティとの間に存在する。加えて、クライアントデバイスは、セルの選択/再選択および公衆交換電話網(PLMN)の選択を実行することができる。無線アクセスネットワーク(たとえば、ネットワークアクセスノード)の中のクライアントデバイスに対してコンテキストがないことがある。その上、アイドル状態のクライアントデバイスに対して、S1-MME接続およびS1-U接続がないことがある。
接続状態において、クライアントデバイスの位置は、サービングアクセスネットワーク識別子(たとえば、eNB識別子(ID)、基地局ID、またはネットワークアクセスポイントID)の精度で、MMEにおいて知られている。クライアントデバイスのモビリティは、ハンドオーバー手順によって扱われる。その上、クライアントデバイスとMMEとの間にシグナリング接続が存在する。シグナリング接続は、無線リソース制御(RRC)接続およびS1-MME接続という2つの部分からなり得る。
図4は、ネットワーク400の中の様々なエンティティによって維持されるクライアントデバイスの例示的なネットワーク状態を示す図である。図4に示されるように、ネットワーク400は、クライアントデバイス402、ネットワークアクセスノード404、および発展型パケットコア(EPC)406を含む。図4にさらに示されるように、EPC406は、ホーム加入者サーバ(HSS)412、モビリティ管理エンティティ(MME)408、およびパケットデータネットワークゲートウェイ(P-GW)/サービングゲートウェイ(S-GW)410を含む。本開示のある態様では、ネットワーク400は4Gネットワークであり得る。他の態様では、ネットワーク400は、3Gネットワーク、LTEネットワーク、5Gネットワーク、または他の適切なネットワークであり得る。
たとえば、図4を参照すると、ネットワークアクセスノード404は、クライアントデバイス402が接続状態にあるとき、クライアントデバイス402のコンテキスト414(ネットワーク状態情報とも呼ばれる)を維持し得る。MME408は、クライアントデバイス402が接続状態にあるときはクライアントデバイス402のコンテキスト416を維持し、クライアントデバイス402がアイドル状態にあるときはクライアントデバイス402のコンテキスト418を維持し得る。P-GW/S-GW410は、クライアントデバイス402が接続状態にあるときはクライアントデバイス402のコンテキスト426を維持し、クライアントデバイス402がアイドル状態にあるときはクライアントデバイス402のコンテキスト428を維持し得る。HSS412は、クライアントデバイス402が接続状態にあるときはクライアントデバイス402のコンテキスト420を維持し、クライアントデバイス402がアイドル状態にあるときはクライアントデバイス402のコンテキスト422を維持し、クライアントデバイス402が未登録状態にあるときはクライアントデバイス402のコンテキスト424を維持し得る。本開示のある態様では、ネットワーク400が3Gネットワークとして実装される場合、P-GW/S-GW410は、クライアントデバイス402がアイドル状態にあるときはクライアントデバイス402のコンテキストを維持しないことがある。
本開示のある態様では、クライアントデバイスのコンテキスト(クライアントデバイスコンテキストとも呼ばれる)の機会主義的な再構築を可能にするために、図1のIoTF-C106およびIoTF-U108などのネットワーク機能に対して、暗号化されたクライアントデバイスコンテキストが生成され得る。たとえば、暗号化されたクライアントデバイスコンテキストは、クライアントデバイスのためのネットワーク状態情報を最小限維持しながら、またはまったく維持せずに、ネットワークエンティティがクライアントデバイスコンテキストを再構築することを可能にし得る。したがって、暗号化されたクライアントデバイスコンテキストは、ネットワーク状態情報を何ら記憶またはキャッシュすることなく、ネットワークエンティティがクライアントデバイスコンテキストを再構築することを可能にし得る。トラフィックを頻繁には送信しない、潜在的には数十億個のクライアントデバイスが存在する場合、ネットワーク機能(たとえば、MME408、P-GW/S-GW410)がクライアントデバイスのコンテキスト(セキュリティコンテキストを含む)を維持するのは望ましくないことに留意されたい。また、暗号化されたクライアントデバイスコンテキストは、ハンドオーバーの間に、またはアイドルモードから接続モードへの移行の間に、ネットワークアクセスノード(たとえば、eNB、基地局、またはネットワークアクセスポイント)におけるシグナリングオーバーヘッドを削除し得る。暗号化されたクライアントデバイスコンテキストは、MME/コントローラとの通信が回避され得るので、シグナリングオーバーヘッドをかなり除去し、またはなくすために使用され得る。
ユーザプレーンの暗号化されたクライアントデバイスコンテキスト
本開示のある態様では、ユーザプレーン(UP)の暗号化されたクライアントデバイスコンテキストが、クライアントデバイスのために生成され得る。たとえば、図1を参照すると、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、アップリンク(UL)データ送信のためにIoTF-U108において使用され得る。本開示のある態様では、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、ベアラID、発展型パケットシステム(EPS)ベアラサービス品質(QoS)、ユーザプレーンの汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP-U)のS5トンネルエンドポイント識別子(TEID)、IoTF-U108がULデータを転送するP-GWインターネットプロトコル(IP)アドレス(または等価な情報)、および/またはセキュリティコンテキスト(たとえば、選択された暗号化アルゴリズムおよびユーザプレーン(UP)鍵128)を含み得る。他の態様では、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、クライアントデバイスにサービスを提供するためにネットワークにより必要とされ得る、他のパラメータ、値、設定、または特徴を含み得る。一例では、UL鍵128は鍵KUP214であることがあり、鍵KIoT-UPenc216および鍵KIoT-UPint218は鍵KUP214から導出され得る。ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、図3に示される鍵KCDC-IoTF-U306などの、IoTF-U108の秘密鍵を使用してクライアントデバイスのユーザプレーンコンテキストを暗号化することによって、生成され得る。本開示のある態様では、鍵KCDC-IoTF-U306などのIoTF-U108の秘密鍵は、IoTF-C106によってプロビジョニングされ得る。ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、秘密鍵(たとえば、鍵KCDC-IoTF-U306)を有するIoTFによって復号され得る。したがって、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、ユーザプレーンの暗号化されたクライアントデバイスコンテキストを生成したIoTFによって復号され得る。
制御プレーンの暗号化されたクライアントデバイスコンテキスト
制御プレーン(CP)の暗号化されたクライアントデバイスコンテキストは、制御メッセージ(たとえば、制御パケットまたは制御パケットを含むメッセージ)のための制御プレーンクライアントデバイスコンテキストを暗号化することによって、生成され得る。ある態様では、制御プレーンの暗号化されたクライアントデバイスコンテキストは、クライアントデバイス識別子、クライアントデバイスセキュリティコンテキスト(たとえば、鍵KIoT(KASMEと等価)、鍵KIoT-CPenc210、鍵KIoT-CPint212などの制御プレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA:Evolved Packet System Encryption Algorithm)、発展型パケットシステム完全性アルゴリズム(EIA:Evolved Packet System Integrity Algorithm))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。たとえば、図1を参照すると、制御メッセージのための制御プレーンクライアントデバイスコンテキストは、図3に示される鍵KCDC-IoTF-C304などの、IoTF-C106の秘密鍵を用いて暗号化され得る。制御プレーンの暗号化されたクライアントデバイスコンテキストは、秘密鍵(たとえば、鍵KCDC-IoTF-C304)を有するIoTFによって復号され得る。したがって、暗号化されたクライアントデバイスコンテキストは、制御プレーンの暗号化されたクライアントデバイスコンテキストを生成したIoTFによって復号され得る。
暗号化されたネットワーク到達可能性コンテキスト
クライアントデバイスのネットワーク到達可能性コンテキスト(NRC)は、クライアントデバイスへのダウンリンク(DL)送信のための暗号化されたネットワーク到達可能性コンテキストを生成するために(たとえば、IoTFによって)暗号化され得る。暗号化されたネットワーク到達可能性コンテキストは、クライアントデバイスがアイドル状態になるときにIoTF(たとえば、IoTF-C106、IoTF-U108)がクライアントデバイスコンテキストを除去することを可能にする。たとえば、図1を参照すると、暗号化されたネットワーク到達可能性コンテキストは、クライアントデバイス102と通信することを望むIoTサーバ122またはP-GW124に提供され得る。したがって、この例では、IoTネットワークアーキテクチャ100は、クライアントデバイス102のネットワーク状態情報を維持する必要がなく、または、クライアントデバイス102のために維持されるネットワーク状態情報の量を減らすことができる。IoTサーバ122またはP-GW124は、DLデータパケットをクライアントデバイス102に送信するときに暗号化されたネットワーク到達可能性コンテキストを提供して、IoTネットワークアーキテクチャ100の中の1つまたは複数のノードまたはエンティティ(たとえば、ネットワークアクセスノード104)がネットワーク到達可能性コンテキストを再構築することを可能にし得る。
暗号化されたネットワーク到達可能性コンテキストは、以下の特徴のうちの1つまたは複数を含み得る。本開示のある態様では、暗号化されたネットワーク到達可能性コンテキストは、クライアントデバイス102のネットワーク側ネットワーク状態情報を取り出すための識別子、クライアントデバイス102にどこでページングすべきかを決定するためのトラッキングエリアID(TAI)リストまたはその等価物、およびタイミング情報(たとえば、クライアントデバイス102にいつページングするかを決定するための)を含めることによって、モビリティ機能を提供し得る。本開示のある態様では、暗号化されたネットワーク到達可能性コンテキストは、トラッキングエリア更新(TAU)などのコンテキスト移転手順を可能にし、任意選択で、新しい暗号化されたネットワーク到達可能性コンテキストおよびIDを取得することを可能にし得る。本開示のある態様では、暗号化されたネットワーク到達可能性コンテキストは、セキュリティを超える情報を含むことがあり、セキュリティコンテキストがどのように管理されるかを示すことがある。
本開示のある態様では、IoTF-C106は、情報(たとえば、TAIリスト)をサービスネットワーク110の中の1つまたは複数のエンティティ(たとえば、IoTサーバ122またはP-GW124)に提供する。サービスネットワーク110の中のそのような1つまたは複数のエンティティは次いで、暗号化されたネットワーク到達可能性コンテキストをIoTネットワークアーキテクチャ100の中の他のエンティティに送信し、クライアントデバイス102のコンテキストを再確立し得る。暗号化されたネットワーク到達可能性コンテキストは、ネットワークにより開始されるトラフィックのために実装され得る。しかしながら、クライアントデバイスにより開始されるトラフィックまたはネットワークにより開始されるトラフィックを伴ういくつかの態様では、IoTF105は、クライアントデバイス102のネットワーク状態情報を極めて限られた量だけ維持することがあり、またはそれをまったく維持しないことがある。本開示のある態様では、IoTF-C106は、ネットワーク到達可能性コンテキストの一部分であり得る、少なくともTAIリストに関するクライアントデバイス102の位置を提供し得る。
初期接続手順
図5は、本開示の様々な態様による、IoTネットワークアーキテクチャ500におけるクライアントデバイスによる初期接続手順を示すブロック図である。いくつかの態様では、本明細書において説明されるような接続手順は、ネットワーク接続手順または登録手順とも呼ばれる。
図5に示されるように、IoTネットワークアーキテクチャ500は、クライアントデバイス502(IoTデバイスとも呼ばれる)、ネットワークアクセスノード504(たとえば、eNB、基地局、ネットワークアクセスポイント)、ネットワークデバイス505、サービスネットワーク510、およびホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバ512を含む。一態様では、ネットワークデバイス505は、IoTFを実装するように構成される1つまたは複数の処理回路および/または他の適切なハードウェアを含み得る。たとえば、IoTFは、制御プレーンIoT機能(IoTF-C)506およびユーザプレーンIoT機能(IoTF-U)508を含み得る。そのような態様では、IoTF-C506は第1のネットワークノード507において実装されることがあり、IoTF-U508は第2のネットワークノード509において実装されることがある。一態様では、IoTF-C506およびIoTF-U508は同じハードウェアプラットフォームにおいて実装され得るので、IoTF-C506およびIoTF-U508は各々、アーキテクチャ500の中の独立したノードを表す。そのような態様では、たとえば、IoTF-C506はハードウェアプラットフォーム(たとえば、ネットワークデバイス505)上で提供される第1の仮想機械(たとえば、第1のオペレーティングシステム)において実装されることがあり、IoTF-U508はハードウェアプラットフォーム上で提供される第2の仮想機械(たとえば、第2のオペレーティングシステム)において実装されることがある。
図5に示されるように、IoTF-C506は、第1のS1接続516を介してネットワークアクセスノード504と通信しており、IoTF-U508は、第2のS1接続514を介してネットワークアクセスノード504と通信している。本開示のある態様では、サービスネットワーク510は、様々なタイプのサービスを提供するように構成される、いくつかのエンティティ、機能、ゲートウェイ、および/またはサービスを含み得る。たとえば、サービスネットワーク510は、ショートメッセージエンティティ(SME)518、マシン型通信インターワーキング機能(MTC-IWF)520、IoTサーバ522、および/またはパケットデータネットワーク(PDN)ゲートウェイ(P-GW)524を含み得る。図5において開示されるサービスネットワーク510は一例として機能し、他の態様では、サービスネットワーク510は、図5において開示されたものとは異なるタイプのエンティティ、機能、および/またはサーバを含み得ることを理解されたい。
図5に示されるように、クライアントデバイス502は、ネットワークアクセスノード504によって受信され得る接続要求532をネットワークに送信し得る。本開示のある態様では、接続要求532は、クライアントデバイス502がIoTデバイスとして接続すべきであることを示す(たとえば、または少量の(減らされた)データ移送を実行するための要求を示す、またはクライアントデバイスが低電力消費モードで動作していることを示す)ことができ、認証情報がそこから取り出されるべき、ホームドメイン(たとえば、HPLMN IDまたは完全修飾ドメイン名(FQDN))を示し得る。ネットワークアクセスノード504は、それ自体が属するIoTF-C506へ要求を転送し得る。
IoTF-C506は、クライアントデバイス502によって提供されるホームドメイン情報からHSS/AAAサーバ512のアドレスを決定することができ、クライアントデバイス502の認証情報に対する要求534をHSS/AAAサーバ512に送信することができる。IoTF-C506は、HSS/AAAサーバ512から認証情報535を受信することができる。
IoTF-C506は、クライアントデバイス502との相互認証(たとえば、AKA手順)を実行し得る。AKA手順の間、IoTF-C506は、認証情報535を通じてHSS/AAAサーバ512からAVを受信し得る。たとえば、AVは、アクセスセキュリティ管理エンティティ(ASME)から鍵(鍵KASME206として図2において示されている)を含み得る。たとえば、IoTF-C506は、信号536を通じて鍵KASME206をクライアントデバイス502に提供し得る。AKA手順が完了すると、IoTF-C506およびクライアントデバイス502は、鍵KCP208、鍵KIoT-CPenc210、および/または鍵KIoT-CPint212などのCP鍵526を導出することができ、鍵KASME206または鍵KIoT202から、鍵KUP214、鍵KIoT-UPenc216、および/または鍵KIoT-UPint218などの、UP鍵528を導出することができる。いくつかの態様では、IoTF-C506は、鍵KUP214と、鍵KIoT-UPenc216およびKIoT-UPint218などのユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵とを、メッセージ538を介してIoTF-U508に移送し得る。
本開示のある態様では、IoTF-C506は、クライアントデバイスコンテキストを暗号化するためにコンテキスト鍵530を使用することによって、クライアントデバイス502のための1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成し得る。IoTF-C506は次いで、1つまたは複数の暗号化されたクライアントデバイスコンテキストをクライアントデバイス502に送信し得る。たとえば、IoTF-C506は、制御プレーンのための暗号化されたクライアントデバイスコンテキストと、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストとを生成し得る。そのような例では、コンテキスト鍵530は、制御プレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第1のコンテキスト鍵(たとえば、鍵KCDC-IoTF-C304)と、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第2のコンテキスト鍵(たとえば、鍵KCDC-IoTF-U306)とを含み得る。本開示のある態様では、IoTF-C506は、コンテキスト鍵530のうちの1つまたは複数をIoTF-U508に提供し得る。たとえば、IoTF-C506は、メッセージ538を介して、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第2のコンテキスト鍵(たとえば、鍵KCDC-IoTF-U306)をIoTF-U508に送信し得る。したがって、いくつかの態様では、IoTF-U508は、IoTF-C506によって提供されるコンテキスト鍵531を含み得る。
本開示のある態様では、IoTF-C506は、ネットワーク到達可能性コンテキストを暗号化するためにコンテキスト鍵530を使用して、クライアントデバイス502にダウンリンク(DL)トラフィックを送信するための1つまたは複数の暗号化されたネットワーク到達可能性コンテキストを生成し得る。IoTF-C506は次いで、IoTサーバ522またはP-GW524などのネットワークエンティティに1つまたは複数の暗号化されたネットワーク到達可能性コンテキストを送信し得る。1つまたは複数の暗号化されたネットワーク到達可能性コンテキストを生成するための例示的な手法が、本明細書において詳細に論じられる。IoTF-C506は、鍵KUP214、ユーザプレーン暗号鍵および完全性保護鍵(たとえば、鍵KIoT-UPenc216および鍵KIoT-UPint218)、ならびにユーザプレーンのためのネットワーク到達可能性コンテキスト(NRC)暗号鍵(たとえば、鍵KNRC-IoTF-U312)を、メッセージ538を介してIoTF-U508に送信し得る。したがって、いくつかの態様では、IoTF-U508は、IoTF-C506によって提供されるコンテキスト鍵531(たとえば、鍵KNRC-IoTF-U312)を含み得る。
図6は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100、500)におけるクライアントデバイスによる例示的な接続手順の信号フロー図600である。図6に示されるように、信号フロー図600は、クライアントデバイス602(IoTデバイスとも呼ばれる)、ネットワークアクセスノード604(たとえば、eNB、基地局、またはネットワークアクセスポイント)、ネットワークノード605において実装されるIoTF-C606、ネットワークノード607において実装されるIoTF-U608、サービスネットワーク609、およびホーム加入者サーバ(HSS)610を含む。図6に示されるように、クライアントデバイス602は、ネットワークと通信するために、要求612(たとえば、RRC接続要求)をネットワークアクセスノード604に送信し得る。クライアントデバイス602はRRC接続セットアップメッセージ614を受信することができ、これは、シグナリング無線ベアラ(SRB)構成(たとえば、専用制御チャネル(DCCH)を通じてNASメッセージを送信するためのSRB1構成)を含み得る。クライアントデバイス602は、RRC接続セットアップ完了メッセージ616をネットワークアクセスノード604に送信し得る。たとえば、RRC接続セットアップ完了メッセージ616は接続要求を示し得る。ネットワークアクセスノード604は、初期クライアントデバイスメッセージ618をIoTF-C606に送信し得る。IoTF-C606は、クライアントデバイス602によって提供されるホームドメイン情報からHSSサーバ610のアドレスを決定することができ、HSS610と通信することができる(621)。たとえば、IoTF-C606は、クライアントデバイス602の認証情報に対する要求をHSSサーバ610に送信することができ、HSSサーバ610から認証情報を受信することができる。
図6に示されるように、IoTF-C606は、クライアントデバイス602との、AKA手順620などの相互認証を実行し得る。AKA手順620が完了すると、IoTF-C606およびクライアントデバイス602は、鍵KASME206または鍵KIOT202から、鍵KIoT-CPenc210および/または鍵KIoT-CPint212などの制御プレーン鍵を導出し得る。IoTF-C606およびクライアントデバイス602はさらに、鍵KASME206または鍵KIOT202から、鍵KIoT-UPenc216および/または鍵KIoT-UPint218などのユーザプレーン鍵を導出し得る。本開示のある態様では、IoTF-C606は、鍵KCDC-IoTF-C304を使用してクライアントデバイス602の制御プレーンコンテキストを暗号化することによって、制御プレーンの暗号化されたクライアントデバイスコンテキストを生成することができ、かつ/または、鍵KCDC-IoTF-U306を使用してクライアントデバイス602のユーザプレーンコンテキストを暗号化することによって、ユーザプレーンの暗号化されたクライアントデバイスコンテキストを生成することができる。IoTF-C606は、メッセージ622を介して、1つまたは複数の鍵(たとえば、鍵IoT-UPenc216および/もしくは鍵KIoT-UPint218などのユーザプレーン鍵、ならびに/または鍵KCDC-IoTF-U306)をIoTF-U608に移送し得る。
IoTF-C606は、暗号化されたクライアントデバイスコンテキスト(たとえば、制御プレーンの暗号化されたクライアントデバイスコンテキストおよび/またはユーザプレーンの暗号化されたクライアントデバイスコンテキスト)を有する初期コンテキストセットアップ要求メッセージ624を、クライアントデバイス602に送信し得る。したがって、暗号化されたクライアントデバイスコンテキストは、IoTFのIoTF-C606および/またはIoTF-U608と関連付けられるクライアントデバイスコンテキストを含むことがあり、ここでクライアントデバイスコンテキストは、クライアントデバイス602によるアップリンクデータ送信のために使用されることがある。本開示のある態様によれば、暗号鍵はIoTFにのみ知られている(たとえば、クライアントデバイスセキュリティコンテキストは、IoTFのIoTF-C606および/またはIoTF-U608によって独占的に取り出され得る)。したがって、そのような態様では、暗号鍵はKCDC-IoTF-U306であることがあり、これは、ネットワークアクセスノード604またはクライアントデバイス602などの、IoTF606の外部のネットワークエンティティには知られないことがある。本開示のある態様では、各々の暗号化されたクライアントデバイスコンテキストは、1つのデータ無線ベアラ(DRB)に対応する。
本開示のある態様では、IoTF-C606は、暗号化されたネットワーク到達可能性コンテキストを含むメッセージ625をサービスネットワーク609に送信し得る。本開示のある態様では、IoTF-C606は、鍵KNRC-IoTF-C310を使用してクライアントデバイス602の制御プレーンコンテキストを暗号化することによって、制御プレーン(CP)の暗号化されたネットワーク到達可能性コンテキストを生成することができ、かつ/または、鍵KNRC-IoTF-U312を使用してクライアントデバイス602のユーザプレーンコンテキストを暗号化することによって、クライアントデバイス602のユーザプレーン(UP)の暗号化されたネットワーク到達可能性コンテキストを生成することができる。したがって、一例では、IoTF-C606は、暗号化されたネットワーク到達可能性コンテキスト(たとえば、CPの暗号化されたネットワーク到達可能性コンテキストおよび/またはUPの暗号化されたネットワーク到達可能性コンテキスト)を含むメッセージ625をサービスネットワーク609に送信し得る。したがって、暗号化されたネットワーク到達可能性コンテキストは、IoTFのIoTF-C606および/またはIoTF-U608と関連付けられるクライアントデバイスコンテキスト(たとえば、ネットワーク状態情報)を含むことがあり、そのようなクライアントデバイスコンテキストは、ネットワークから(たとえば、サービスネットワーク609の中のエンティティから)クライアントデバイス602へのダウンリンク(DL)データ送信のために使用され得る。本開示のある態様では、暗号鍵はIoTFにのみ知られている(たとえば、IoTFのIoTF-C606および/またはIoTF-U608によって独占的に取り出され得る)。本開示のある態様では、IoTF-C608は、サービスネットワーク609の中のIoTサーバまたはP-GWなどのネットワークエンティティに、暗号化されたネットワーク到達可能性コンテキストを割り振り得る。
ネットワークアクセスノード604は、RRC接続再構成メッセージ626をクライアントデバイス602に送信し得る。本開示のある態様では、RRC接続再構成メッセージ626は、暗号化されたクライアントデバイスコンテキストを含み得る。クライアントデバイス602は、RRC接続再構成完了メッセージ628をネットワークアクセスノード604に送信し得る。クライアントデバイス602は、データパケット(たとえば、ULデータパケット)を含む第1のメッセージ630をネットワークアクセスノード604に送信し得る。ネットワークアクセスノード604は、第2のメッセージ632を介して、データパケットをサービスネットワーク609に転送し得る。サービスネットワーク609は、データパケット(たとえば、DLデータパケット)を含む第3のメッセージ634をクライアントデバイス602に送信し得る。たとえば、図6に示されるように、第3のメッセージ634は、IoTF-U608およびネットワークアクセスノード604によってクライアントデバイス602に転送され得る。クライアントデバイス602は次いで、アイドルモードに移行し得る(636)。ネットワークアクセスノード604、IoTF-C606、およびIoTF-U608は、クライアントデバイスコンテキストを除去する(638)ことに進み得る。
IoT ULデータ移送
図7は、本開示の様々な態様による、IoTネットワークアーキテクチャ700におけるクライアントデバイスによって開始されるデータ送信を示すブロック図である。図7に示されるように、IoTネットワークアーキテクチャ700は、クライアントデバイス702(IoTデバイスとも呼ばれる)、ネットワークアクセスノード704(たとえば、eNB、基地局、ネットワークアクセスポイント)、ネットワークデバイス705、サービスネットワーク710、およびホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバ712を含む。一態様では、ネットワークデバイス705は、IoTFを実装するように構成される1つまたは複数の処理回路および/または他の適切なハードウェアを含み得る。たとえば、IoTFは、制御プレーンIoT機能(IoTF-C)706およびユーザプレーンIoT機能(IoTF-U)708を含み得る。そのような態様では、IoTF-C706はネットワークノード707において実装されることがあり、IoTF-U708はネットワークノード709において実装されることがある。一態様では、IoTF-C706およびIoTF-U708は同じハードウェアプラットフォームにおいて実装され得るので、IoTF-C706およびIoTF-U708は各々、アーキテクチャ700の中の独立したノードを表す。そのような態様では、たとえば、IoTF-C706はハードウェアプラットフォーム(たとえば、ネットワークデバイス705)上で提供される第1の仮想機械(たとえば、第1のオペレーティングシステム)において実装されることがあり、IoTF-U708はハードウェアプラットフォーム上で提供される第2の仮想機械(たとえば、第2のオペレーティングシステム)において実装されることがある。
本開示のある態様では、サービスネットワーク710は、様々なタイプのサービスを提供するように構成される、いくつかのエンティティ、機能、ゲートウェイ、および/またはサービスを含み得る。たとえば、サービスネットワーク710は、ショートメッセージエンティティ(SME)718、マシン型通信インターワーキング機能(MTC-IWF)720、IoTサーバ722、および/またはパケットデータネットワーク(PDN)ゲートウェイ(P-GW)724を含み得る。図7において開示されるサービスネットワーク710は一例として機能し、他の態様では、サービスネットワーク710は、図7において開示されたものとは異なるタイプのエンティティ、機能、および/またはサーバを含み得ることを理解されたい。
図7の態様では、たとえば、IoTF-C706は、制御プレーンのための暗号化されたクライアントデバイスコンテキストと、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストとを生成した可能性がある。そのような態様では、コンテキスト鍵730は、制御プレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第1のコンテキスト鍵(たとえば、鍵KCDC-IoTF-C304)と、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第2のコンテキスト鍵(たとえば、鍵KCDC-IoTF-U306)とを含み得る。たとえば、IoTF-C706は、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第2のコンテキスト鍵(たとえば、鍵KCDC-IoTF-U306)をIoTF-U708に送信した可能性がある。したがって、そのような例では、IoTF-U708は、図7に示されるように、IoTF-C706によって提供されるコンテキスト鍵731を含み得る。図7の態様では、クライアントデバイス702は、以前に論じられた方式で、CP鍵726およびUP鍵728を導出している。
図7の態様では、IoTF-C706は、制御プレーンのための暗号化されたネットワーク到達可能性コンテキストと、ユーザプレーンのための暗号化されたネットワーク到達可能性コンテキストとを生成した可能性がある。そのような態様では、コンテキスト鍵730は、制御プレーンのための暗号化されたネットワーク到達可能性コンテキストを生成するための第1のコンテキスト鍵(たとえば、鍵KNRC-IoTF-C310)と、ユーザプレーンのための暗号化されたネットワーク到達可能性コンテキストを生成するための第2のコンテキスト鍵(たとえば、鍵KNRC-IoTF-U312)とを含み得る。たとえば、IoTF-C706は、ユーザプレーンのための暗号化されたネットワーク到達可能性コンテキストを生成するための第2のコンテキスト鍵(たとえば、鍵KNRC-IoTF-U312)をIoTF-U708に送信した可能性がある。したがって、そのような例では、IoTF-U708は、図7に示されるように、IoTF-C706によって提供されるコンテキスト鍵731を含み得る。
図7に示されるように、クライアントデバイス702は、IoTF-C706によって提供されるデータパケットと暗号化されたクライアントデバイスコンテキストとを含む第1のメッセージ732を、ネットワークアクセスノード704に送信し得る。第1のメッセージ732の中のデータパケットは、ユーザプレーン(UP)鍵728に基づいて暗号化され完全性保護され得る。ネットワークアクセスノード704は、データパケットの中のIoTF-U識別子からIoTF-U708のアドレスを決定することができ、第2のメッセージ734を介してデータパケットをIoTF-U708に転送することができる。ある態様では、ネットワークアクセスノード704は、パケットを検証することなく、クライアントデバイス702によって示される次のホップのノード(たとえば、IoTF-U708)にデータパケットを転送し得る。IoTF-U708は、暗号化されたクライアントデバイスコンテキストを検証することができ、コンテキスト鍵731(たとえば、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストを生成するための鍵KCDC-IoTF-U306)を使用して、暗号化されたクライアントデバイスコンテキストを復号することができる。IoTF-U708は、復号された情報に基づいてクライアントデバイスを再構築し得る。IoTF-U708は次いで、暗号鍵および完全性鍵(たとえば、UP鍵728)を用いてデータパケットを復号し検証し得る。本開示のある態様では、IoTF-U708は、クライアントデバイス702のコンテキスト(たとえば、ネットワーク状態情報)に基づいて、暗号化されたネットワーク到達可能性コンテキストを生成し得る。IoTF-U708は、暗号化されたネットワーク到達可能性コンテキストとともに、第3のメッセージ736を介してデータパケットを次のホップ(たとえば、IoTサーバ722またはP-GW724)に転送し得る。本開示のある態様では、接続手順の直後のクライアントデバイス702による最初のデータ移送は、暗号化されたクライアントデバイスコンテキストを搬送しないことがある。
図8は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ700)におけるクライアントデバイスにより開始される例示的なデータ送信を示す信号フロー図800である。図8に示されるように、信号フロー図800は、クライアントデバイス802(IoTデバイスとも呼ばれる)、ネットワークアクセスノード804(たとえば、eNB、基地局、またはネットワークアクセスポイント)、ネットワークノード805において実装されるIoTF-U806、およびサービスネットワーク808を含む。クライアントデバイス802は、暗号化されたクライアントデバイスコンテキストとデータパケット(たとえば、ULデータパケット)とを含むデータ移送要求メッセージ810をネットワークアクセスノード804に送信し得る。データパケットは、以前に論じられたユーザプレーン鍵(たとえば、鍵KIoT-UPenc216および/または鍵KIoT-UPint218)に基づいて暗号化され完全性保護され得る。ある態様では、データ移送要求メッセージ810は、ネットワークアクセスノード804とのRRC接続を確立することなくクライアントデバイス802によって送信され得る。ネットワークアクセスノード804は、データ移送要求メッセージ810を受信すると、潜在的なダウンリンク(DL)トラフィックに対してクライアントデバイス802の一時識別子(TID)を割り当て得る(812)。たとえば、TIDは、セル無線ネットワーク一時識別子(C-RNTI)であり得る。ネットワークアクセスノード804は、データパケットのヘッダに含まれるIoTF-U識別子を決定し得る。そのようなヘッダを含むデータパケットの例示的なフォーマットが、図12を参照して本明細書において論じられる。ネットワークアクセスノード804は、IoTF-U806のIPアドレスを決定することができ、第1のメッセージ814を介してデータパケットをIoTF-U806に転送することができる。たとえば、運用および保守(OAM)手順の一部として、ネットワークアクセスノード804は、IoTF-U識別子の集合および対応するIPアドレスを用いて構成されることがあり、または代替的に、ネットワークアクセスノード804は、IoTF-U806のIPアドレスを決定するためにIoTF-U IDに基づくドメイン名システム(DNS)クエリを使用することがある。本開示のある態様によれば、図8に示されるように、ネットワークアクセスノード804は、データパケットとともに、TIDおよび暗号化されたクライアントデバイスコンテキストを第1のメッセージ814に含め得る。本開示のある態様によれば、TIDは、事前に定義された間隔の間、ネットワークアクセスノード804に記憶される。そのような態様では、ネットワークアクセスノード804は、第1のメッセージ814において、TIDとともにIoTF-U806へTID期限切れ時間を送信し得る。IoTF-U806は、暗号化されたクライアントデバイスコンテキストを復号することができ、クライアントデバイスコンテキスト(たとえば、S5ベアラ)を再構築することができる(816)。ある態様では、IoTF-U806は次いで、暗号鍵および完全性鍵(たとえば、UP鍵728)を用いてデータパケットを復号し検証し得る。
IoTF-U806は、第2のメッセージ818を介して、データパケットをサービスネットワーク808(たとえば、サービスネットワーク808の中のP-GWまたはサービスネットワーク808の中の他のエンティティ)に転送し得る。アップリンクデータ(たとえば、第2のメッセージ818の中のULデータパケット)に応答して、IoTF-U806は、第3のメッセージ820を介して、サービスネットワーク808(たとえば、サービスネットワーク808の中のP-GWまたはサービスネットワーク808の中の対応するエンティティ)からデータパケット(たとえば、DLデータパケット)を受信し得る。IoTF-U806は、クライアントデバイス802と関連付けられる1つまたは複数の鍵(たとえば、ユーザプレーン鍵728)を決定し得る。たとえば、IoTF-U806は、クライアントデバイス802と関連付けられる鍵KIoT-UPenc216および/または鍵KIoT-UPint218を用いて、クライアントデバイスのためのデータパケットを暗号化して完全性保護し得る。IoTF-U806は、第4のメッセージ822において、受信されたデータパケットをTIDとともにネットワークアクセスノード804へ送信し得る。ネットワークアクセスノード804は、TIDを使用してクライアントデバイス802を特定することができ、第5のメッセージ824においてデータパケットをクライアントデバイス802に送信することができる。クライアントデバイス802は、事前に設定されたタイマーに基づいてアイドルモードに移行し得る(826)。ネットワークアクセスノード804およびIoTF-U806は、暗号化されたクライアントデバイスコンテキストからオンザフライで作成されたクライアントデバイスコンテキストを除去する(828)ことに進み得る。
クライアントデバイスで終端するデータ移送
図9は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100)における例示的なクライアントデバイスで終端するデータ送信の信号フロー図900である。図9に示されるように、信号フロー図900は、クライアントデバイス902(IoTデバイスとも呼ばれる)、ネットワークアクセスノード904(たとえば、eNB、基地局、ネットワークアクセスポイント)、ネットワークノード905において実装されるIoTF-C906、ネットワークノード907において実装されるIoTF-U908、P-GW910、およびIoTサーバ912を含む。
IoTサーバ912は、DLデータパケットと、グローバルIoTF識別子(GIOTFI)と、暗号化されたネットワーク到達可能性コンテキスト(NRC)とを含むダウンリンク(DL)メッセージ914を、P-GW910に送信し得る。P-GW910は、GIOTFIに基づいてIoTF-U908を位置特定することができ、転送メッセージ916においてDLデータパケットをIoTF-U908に転送することができる。本開示のある態様では、IoTF-U908は、暗号化されたネットワーク到達可能性コンテキストを検証し得る。図9に示されるように、IoTF-U908は、クライアントデバイス902のコンテキストを再構築し得る(917)。たとえば、IoTF-U908は、IoTF-U908に記憶されているコンテキスト鍵(たとえば、鍵KNRC-IoTF-U312)を使用して暗号化されたネットワーク到達可能性コンテキストを復号することによって、クライアントデバイス902のコンテキストを再構築し得る。
IoTF-U908は、DLデータ通知メッセージ918をIoTF-C906に送信し得る。本開示のある態様では、DLデータ通知メッセージ918は、DLデータパケットがページングメッセージにおいて搬送されるのに十分小さい場合、DLデータパケットを含み得る。IoTF-C906は、ページングメッセージ920を1つまたは複数のネットワークアクセスノード(たとえば、ネットワークアクセスノード904)に送信し得る。ネットワークアクセスノード904は次いで、ページメッセージ922を送信することによって、クライアントデバイス902をページングし得る。
クライアントデバイス902は、ULデータパケットを含むRRC接続要求メッセージ924をIoTF-U908に送信し得る。本開示のある態様では、クライアントデバイス902によって送信されるULデータパケットは空であり得る。ネットワークアクセスノード904は、潜在的なダウンリンク(DL)トラフィックに対してクライアントデバイス902の一時識別子(TID)を割り当て得る(926)。たとえば、TIDは、セル無線ネットワーク一時識別子(C-RNTI)であり得る。ネットワークアクセスノード904は次いで、転送メッセージ928において、TIDおよび暗号化されたクライアントデバイスコンテキストを有するULデータパケットをIoTF-U908に転送し得る。IoTF-U908は、ネットワークアクセスノード904のTIDおよびIDを記憶し得る(930)。
IoTF-U908は、クライアントデバイス応答メッセージ932をIoTF-C906に送信し得る。本開示のある態様では、IoTF-U908は、DLデータパケットをDLデータ通知メッセージ918に含めることが可能ではなかった場合、クライアントデバイス902のためのDLデータパケットおよびTIDを含むメッセージ934を、クライアントデバイス902に送信し得る。ネットワークアクセスノード904は、転送メッセージ936において、DLデータパケットをクライアントデバイス902に転送し得る。クライアントデバイス902は次いで、アイドルモードに移行し得る(938)。ネットワークアクセスノード904およびIoTF-C906は、クライアントデバイスコンテキストを除去し得る(940)。
制御プレーンプロトコルスタック
図10は、本開示の様々な態様による、IoTデータ送信のための制御プレーンプロトコルスタック1000を示す図である。図10に示されるように、プロトコルスタック1000は、クライアントデバイスプロトコルスタック1002(IoTデバイスプロトコルスタックとも呼ばれる)、ネットワークアクセスノードプロトコルスタック1004、ネットワークノード1005において実装されるIoTFプロトコルスタック1006、およびサービスネットワークプロトコルスタック1008を含み得る。たとえば、ネットワークアクセスノードプロトコルスタック1004は、eNB、基地局、またはネットワークアクセスポイントにおいて実装され得る。別の例として、サービスネットワークプロトコルスタック1008は、P-GWにおいて実装され得る。図10に示されるように、クライアントデバイスプロトコルスタック1002は、物理(PHY)層1010、媒体アクセス制御(MAC)層1012、無線リンク制御(RLC)層1014、パケットデータコンバージェンスプロトコル(PDCP)層1016、および制御(Ctrl)層1020を含み得る。図10にさらに示されるように、クライアントデバイスプロトコルスタック1002は、制御プレーンの暗号化されたクライアントデバイスコンテキスト(図10では「CDCCP」と省略される)を通信するためのコンテキストプロトコル層1018を実装し得る。コンテキストプロトコル層1018はさらに、暗号化されたクライアントデバイスコンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図10では「Sec」と省略される)の通信を可能にし得る。
図10に示されるように、ネットワークアクセスノードプロトコルスタック1004は、クライアントデバイスプロトコルスタック1002のPHY層1010、MAC層1012、RLC層1014、およびPDCP層1016とそれぞれインターフェースする、PHY層1022、MAC層1024、RLC層1026、およびPDCP層1028を含み得る。ネットワークアクセスノードプロトコルスタック1004はさらに、イーサネット(登録商標)層1030、MAC層1032、インターネットプロトコル(IP)層1034、ユーザデータグラムプロトコル(UDP)層1036、および制御プレーンGPRSトンネリングプロトコル(GTP-C)層1038を含み得る。
図10に示されるように、IoTFプロトコルスタック1006は、イーサネット(登録商標)層1040、MAC層1042、IP層1044、UDP層1046、GTP-C層1048、および制御(Ctrl)層1052を含み得る。図10にさらに示されるように、IoTFプロトコルスタック1006は、制御プレーンの暗号化されたクライアントデバイスコンテキスト(図10では「CDCCP」と省略される)を通信するためのコンテキストプロトコル層1050を実装し得る。コンテキストプロトコル層1050はまた、暗号化されたクライアントデバイスコンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図10では「Sec」と省略される)の通信を可能にし得る。図10に示されるように、クライアントデバイスプロトコルスタック1002のコンテキストプロトコル層1018は、IoTFプロトコルスタック1006のコンテキストプロトコル層1050と通信している。ある態様では、暗号化されたクライアントデバイスコンテキストは、図12に関して説明される例示的なパケットフォーマットに従って、UPメッセージの外側のパケットヘッダにおいて搬送され得る。図10にさらに示されるように、IoTFプロトコルスタック1006はさらに、制御プレーンの暗号化されたネットワーク到達可能性コンテキスト(図10では「NRCCP」と省略される)を通信するためのコンテキストプロトコル層1049を実装し得る。コンテキストプロトコル層1049はまた、暗号化されたネットワーク到達可能性コンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図10では「Sec」と省略される)の通信を可能にし得る。
サービスネットワークプロトコルスタック1008は、IoTFプロトコルスタック1006のIP層1044、UDP層1046、GTP-C層1048、およびCtrl層1052とそれぞれインターフェースする、IP層1054、UDP層1056、GTP-C層1058、およびCtrl層1062を含み得る。図10にさらに示されるように、サービスネットワークプロトコルスタック1008は、制御プレーンの暗号化されたネットワーク到達可能性コンテキスト(図10では「NRCCP」と省略される)を通信するためのコンテキストプロトコル層1059を実装し得る。コンテキストプロトコル層1059はまた、暗号化されたネットワーク到達可能性コンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図10では「Sec」と省略される)の通信を可能にし得る。図10に示されるように、サービスネットワークプロトコルスタック1008のコンテキストプロトコル層1059は、IoTFプロトコルスタック1006のコンテキストプロトコル層1049と通信している。本開示のある態様では、暗号化されたネットワーク到達可能性コンテキストは、図13に関して説明される例示的なパケットフォーマットに従って、ユーザプレーンメッセージの外側のパケットヘッダにおいて搬送され得る。本開示のある態様では、ネットワークアーキテクチャがGSM(登録商標) EDGE無線アクセスネットワーク(GERAN)として実装される場合、IPプロトコル1066とは異なるプロトコルが使用され得る。本開示のある態様では、領域1064および1068により示されるGTP-CプロトコルおよびUDPプロトコルは省略され得る。
ユーザプレーンプロトコルスタック
図11は、本開示の様々な態様による、IoTデータ送信のためのユーザプレーンプロトコルスタック1100を示す図である。図11に示されるように、プロトコルスタック1100は、クライアントデバイスプロトコルスタック1102(IoTデバイスプロトコルスタックとも呼ばれる)、ネットワークアクセスノードプロトコルスタック1104、ネットワークノード1105において実装されるIoTFプロトコルスタック1106、およびサービスネットワークプロトコルスタック1108を含み得る。たとえば、ネットワークアクセスノードプロトコルスタック1104は、eNB、基地局、またはネットワークアクセスポイントにおいて実装され得る。別の例として、サービスネットワークプロトコルスタック1108は、P-GWにおいて実装され得る。図11に示されるように、クライアントデバイスプロトコルスタック1102は、物理(PHY)層1110、媒体アクセス制御(MAC)層1112、無線リンク制御(RLC)層1114、パケットデータコンバージェンスプロトコル(PDCP)層1116、およびユーザプレーン(UP)層1120を含み得る。図11にさらに示されるように、クライアントデバイスプロトコルスタック1102は、ユーザプレーンの暗号化されたクライアントデバイスコンテキスト(図11では「CDCUP」と省略される)を通信するためのコンテキストプロトコル層1118を実装し得る。コンテキストプロトコル層1118はさらに、暗号化されたクライアントデバイスコンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図101では「Sec」と省略される)の通信を可能にし得る。
図11に示されるように、ネットワークアクセスノードプロトコルスタック1104は、クライアントデバイスプロトコルスタック1102のPHY層1110、MAC層1112、RLC層1114、およびPDCP層1116とそれぞれインターフェースする、PHY層1122、MAC層1124、RLC層1126、およびPDCP層1128を含み得る。ネットワークアクセスノードプロトコルスタック1104はさらに、イーサネット(登録商標)層1130、MAC層1132、インターネットプロトコル(IP)層1134、ユーザデータグラムプロトコル(UDP)層1136、およびユーザプレーンGPRSトンネリングプロトコル(GTP-U)層1138を含み得る。
図11に示されるように、IoTFプロトコルスタック1106は、イーサネット(登録商標)層1140、MAC層1142、IP層1144、UDP層1146、GTP-U層1148を含み得る。図11にさらに示されるように、IoTFプロトコルスタック1106は、ユーザプレーンの暗号化されたクライアントデバイスコンテキスト(図11では「CDCUP」と省略される)を通信するためのコンテキストプロトコル層1150を実装し得る。コンテキストプロトコル層1150はまた、暗号化されたクライアントデバイスコンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図11では「Sec」と省略される)の通信を可能にし得る。図11に示されるように、クライアントデバイスプロトコルスタック1102のコンテキストプロトコル層1118は、IoTFプロトコルスタック1106のコンテキストプロトコル層1150と通信している。ある態様では、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、図12に関して説明される例示的なパケットフォーマットに従って、UPメッセージの外側のパケットヘッダにおいて搬送され得る。図11にさらに示されるように、IoTFプロトコルスタック1106はさらに、ユーザプレーンの暗号化されたネットワーク到達可能性コンテキスト(図11では「NRCUP」と省略される)を通信するためのコンテキストプロトコル層1149を実装し得る。コンテキストプロトコル層1149はまた、暗号化されたネットワーク到達可能性コンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図11では「Sec」と省略される)の通信を可能にし得る。
サービスネットワークプロトコルスタック1108は、IoTFプロトコルスタック1106のIP層1144、UDP層1146、GTP-U層1148、およびUP層1152とそれぞれインターフェースする、IP層1154、UDP層1156、GTP-U層1158、およびUP層1162を含み得る。サービスネットワークプロトコルスタック1108は、ユーザプレーンの暗号化されたネットワーク到達可能性コンテキスト(図11では「NRCUP」と省略される)を通信するためのコンテキストプロトコル層1159を実装し得る。図11に示されるように、サービスネットワークプロトコルスタック1108のコンテキストプロトコル層1159は、IoTFプロトコルスタック1106のコンテキストプロトコル層1149と通信している。本開示のある態様では、ユーザプレーンの暗号化されたネットワーク到達可能性コンテキストは、図11に関して説明される例示的なパケットフォーマットに従って、UPメッセージの外側のパケットヘッダにおいて搬送され得る。本開示のある態様では、ネットワークアーキテクチャがGSM(登録商標) EDGE無線アクセスネットワーク(GERAN)として実装される場合、IPプロトコル1166とは異なるプロトコルが使用され得る。本開示のある態様では、領域1164および1168により示されるGTP-UプロトコルおよびUDPプロトコルは省略され得る。本開示のある態様では、IPプロトコルがUPメッセージの配信のために使用される場合、ユーザプレーンの暗号化されたネットワーク到達可能性コンテキストが、IPオプションフィールド(IPv4)またはIP拡張ヘッダ(IPv6)において搬送され得る。
IoTパケットフォーマット
図12は、本開示の様々な態様による、IoTネットワークアーキテクチャにおける送信のためのパケットフォーマット1200の図である。図12を参照すると、一時識別子(TID)フィールド1202は、クライアントデバイス(IoTデバイスとも呼ばれる)をローカルに識別するために、ネットワークアクセスノード(たとえば、eNB、基地局、またはネットワークアクセスポイント)によって使用され得る。たとえば、クライアントデバイスを識別するためのTIDフィールド1202へネットワークアクセスノードにより割り当てられる値は、C-RNTIまたはその等価物であり得る。本開示のある態様では、IoTF ID(IID)フィールド1504は、グローバルに固有の一時識別子(GUTI:globally unique temporary identifier)を含み得る。たとえば、GUTIは、IoTFと関連付けられる識別子およびクライアントデバイスと関連付けられる識別子(たとえば、モビリティ管理エンティティ(MME)一時モバイル加入者識別情報(M-TMSI)などの一時識別子)を含み得る。たとえば、GUTIはIoTFを識別するためにネットワークアクセスノードにより使用されることがあり、GUTIはクライアントデバイスを識別するためにIoTFにより使用されることがある。別の態様では、IIDフィールド1204は、グローバルIoTF識別子(GIOTFI)およびクライアントデバイスと関連付けられる識別子(たとえば、M-TMSIなどの一時識別子)を含み得る。たとえば、GIOTFIは、IoTFのグローバルに固有のモビリティ管理エンティティ識別子(GUMMEI:globally unique mobility management entity identifier)の等価物であり得る。本開示のある態様では、M-TMSIは、クライアントデバイスのプライバシーのために暗号化され得る。IoTF IPアドレスを使用することは、ネットワークトポロジーを公開し得ることに留意されたい。
セキュリティヘッダフィールド1206は、暗号化されたクライアントデバイスコンテキストの存在、制御プレーン(CP)/ユーザプレーン(UP)の指示、シーケンス番号、タイムスタンプ値、および/またはランダム値を示し得る。たとえば、タイムスタンプ値は、時間およびカウンタに基づくことがあり、ここで時間はネットワークアクセスノード時間またはIoTF時間である。クライアントデバイスコンテキストフィールド1208は、暗号化されたクライアントデバイスコンテキストを含み得る。タイムスタンプがシーケンス番号の代わりに暗号化のために使用される場合、IoTFはいずれのクライアントデバイスネットワーク状態も維持する必要がない可能性があることに留意されたい。ある態様では、ランダム値は、乱数およびカウンタに基づき得る。ランダム値は、ネットワークアクセスノードによって、またはクライアントデバイスによって、またはこれらの組合せによって生成され得る。カウンタは、各パケットに対してある値(たとえば、1)だけインクリメントされ得る。ランダム値がシーケンス番号の代わりに暗号化のために使用される場合、クライアントデバイスは、セキュリティコンテキストの中の暗号鍵および乱数に基づいて、新しい暗号鍵を生成し得る。ランダム値がシーケンス番号の代わりに完全性保護のために使用される場合、クライアントデバイスは、セキュリティコンテキストの中の完全性保護鍵および乱数に基づいて、新しい完全性保護鍵を生成することができ、新しい完全性保護鍵を使用してメッセージを保護することができる。ペイロードフィールド1210は、データまたは制御情報(たとえば、データパケットまたは制御パケット)を含み得る。
メッセージ認証符号(MAC)フィールド1212は、完全性保護のために使用され得る。たとえば、MACフィールド1212は、送信デバイスまたは送信エンティティによって生成されるメッセージ認証符号を含み得る。MACフィールド1212の中のメッセージ認証符号は次いで、メッセージの完全性が棄損されていないこと(たとえば、メッセージの内容が変更または操作されていないこと)を検証するために、受信デバイスまたはエンティティによって使用され得る。一態様では、MACフィールド1212の中のメッセージ認証符号は、メッセージ認証符号生成アルゴリズム(たとえば、AEAD暗号)を適用することによって、送信デバイスまたはエンティティにおいて生成されることがあり、ここで、メッセージ(たとえば、パケット)およびユーザプレーン鍵または制御プレーン鍵が、メッセージ認証符号生成アルゴリズムのための入力として使用される。メッセージ認証符号生成アルゴリズムの出力は、MACフィールド1212に含まれるメッセージ認証符号であり得る。受信デバイスまたはエンティティは、メッセージ認証符号生成アルゴリズム(たとえば、AEAD暗号)をメッセージに適用することによって、受信されたメッセージの完全性を検証し得る。たとえば、受信されたメッセージ(たとえば、パケット)およびユーザプレーン鍵または制御プレーン鍵は、メッセージ認証符号生成アルゴリズムのための入力として使用され得る。受信デバイスまたはエンティティは次いで、メッセージ認証符号生成アルゴリズムの出力を、MACフィールド1212に含まれるメッセージ認証符号と比較し得る。そのような例では、メッセージ認証符号生成アルゴリズムの出力がMACフィールド1212に含まれるメッセージ認証符号と一致するとき、受信デバイスまたは受信エンティティは、メッセージの検証が成功したと決定し得る。
図13は、本開示の様々な態様による、IoTネットワークアーキテクチャにおける送信のためのパケットフォーマット1300の図である。図13を参照すると、一時識別子(TID)フィールド1302は、クライアントデバイス(IoTデバイスとも呼ばれる)をローカルに識別するために、ネットワークアクセスノード(たとえば、eNB、基地局、またはネットワークアクセスポイント)によって使用され得る。たとえば、クライアントデバイスを識別するためのTIDフィールド1302へネットワークアクセスノードにより割り当てられる値は、C-RNTIまたはその等価物であり得る。本開示のある態様では、IoTF ID(IID)フィールド1304は、グローバルに固有の一時識別子(GUTI:globally unique temporary identifier)またはグローバルIoTF識別子(GIOTFI)を含み得る。たとえば、GUTIはIoTFを識別するためにネットワークアクセスノードにより使用されることがあり、GUTIはクライアントデバイスを識別するためにIoTFにより使用されることがある。たとえば、GIOTFIは、IoTFのグローバルに固有のモビリティ管理エンティティ識別子(GUMMEI:globally unique mobility management entity identifier)の等価物であり得る。本開示のある態様では、モビリティ管理エンティティ(MME)一時モバイル加入者識別情報(M-TMSI)は、クライアントデバイスのプライバシーのために暗号化され得る。IoTF IPアドレスを使用することは、ネットワークトポロジーを公開し得ることに留意されたい。セキュリティヘッダフィールド1306は、暗号化されたネットワーク到達可能性コンテキストの存在、CP/UPの指示、シーケンス番号、および/またはタイムスタンプ値を示し得る。たとえば、タイムスタンプ値は、時間およびカウンタに基づくことがあり、ここで時間はネットワークアクセスノード時間またはIoTF時間である。ネットワーク到達可能性コンテキストフィールド1308は、暗号化されたネットワーク到達可能性コンテキストを含み得る。ペイロードフィールド1310は、データまたは制御情報(たとえば、データパケットまたは制御パケット)を含み得る。メッセージ認証符号(MAC)フィールド1312は、完全性保護のために使用され得る(たとえば、AEAD暗号が使用され得る)。タイムスタンプがシーケンス番号の代わりに暗号化のために使用される場合、IoTFはクライアントデバイスのいずれのネットワーク状態情報も維持する必要がない可能性があることに留意されたい。
暗号化されたクライアントデバイスコンテキストの設計および生成
本開示のある態様では、暗号化されたクライアントデバイスコンテキストは、AKA手順の間に確立されるクライアントデバイスコンテキストを含み得る。たとえば、クライアントデバイスコンテキストは、セキュリティコンテキスト、ベアラID、発展型パケットシステム(EPS)ベアラサービス品質(QoS)およびS5-TEID、ならびに/または、サービスをクライアントデバイスに提供するためにネットワークによって必要とされ得る他のサービス、パラメータ、値、設定、もしくは特徴を含み得る。
いくつかの態様では、暗号化されたクライアントデバイスコンテキストは、クライアントデバイスコンテキストに加えて1つまたは複数の情報の項目を含み得る。たとえば、暗号化されたクライアントデバイスコンテキストは、IoTF-C106によって設定される(またはクライアントデバイスコンテキストにおいて示される)期限切れ時間を含むことがあり、これは、(たとえば、永続的な再使用を防ぐために)暗号化されたクライアントデバイスコンテキストの寿命を制限する。別の例として、暗号化されたクライアントデバイスコンテキストは、暗号化されたクライアントデバイスコンテキストを生成するために使用される鍵を識別する鍵インデックスを有し得る。
いくつかの態様では、暗号化されたクライアントデバイスコンテキストは、ネットワークの中のあるエンティティにのみ知られている秘密鍵を使用して生成され得るので、クライアントデバイスによって解釈および/または修正されることが可能ではない。たとえば、暗号化されたクライアントデバイスコンテキストは、IoTF-U(たとえば、IoTF-U108)の秘密鍵を使用してクライアントデバイスコンテキストを暗号化することによって生成され得る。いくつかの態様では、暗号化されたクライアントデバイスコンテキストは、IoTF-U(たとえば、IoTF-U108)の秘密鍵を用いて完全性保護され得るので、クライアントデバイスによって操作/修正されることが可能ではない。
ある態様では、暗号化されたクライアントデバイスコンテキストは、認証およびコンテキスト(たとえば、ベアラ)セットアップの完了の成功として、IoTF-C(たとえば、IoTF-C106)によってクライアントデバイス(たとえば、クライアントデバイス102)に提供され得る。ある態様では、クライアントデバイスは、IoTF-U(たとえば、IoTF-U108)がクライアントデバイスコンテキストをオンザフライで再構築することを可能にするために、1つまたは複数のユーザプレーンパケット(たとえば、ULデータパケット)に暗号化されたクライアントデバイスコンテキストを含め得る。たとえば、クライアントデバイスが複数のパケットを連続して送信する必要がある場合、クライアントデバイスは、後続のパケットに暗号化されたクライアントデバイスコンテキストを含めることなく、最初のパケットに暗号化されたクライアントデバイスコンテキストを含め得る。いくつかの態様では、暗号化されたクライアントデバイスコンテキストは、クライアントデバイスに特有であり得るので、クライアントデバイスに出される暗号化されたクライアントデバイスコンテキストは、いずれの他のクライアントデバイスによっても使用され得ない。
a)制御プレーンの暗号化されたクライアントデバイスコンテキスト
本開示のある態様では、IoTF(たとえば、図1のIoTF-C106)は、1つまたは複数の情報の項目を連結することによって、暗号化されたクライアントデバイスコンテキストを生成し得る。たとえば、制御プレーン(CP)の暗号化されたクライアントデバイスコンテキスト(CDCCP)は、式KeyID||Enc_KCDC-IoTF-C(CDCCP)||MACに基づいて生成され得る。本開示のある態様では、鍵KCDC-IoTF-C(たとえば、図3の鍵KCDC-IoTF-C304)は、鍵KCDC-IoTF(たとえば、図3の鍵KCDC-IoTF302)と同じであることがあり、または鍵KCDC-IoTFから導出されることがある。項KeyIDは、(暗号化されたクライアントデバイスコンテキストを生成するために使用される)鍵インデックスを表し得る。
項CDCCPは、制御プレーンクライアントデバイスコンテキストを表し得る。たとえば、制御プレーンクライアントデバイスコンテキストは、クライアントデバイス識別子、クライアントデバイスセキュリティコンテキスト(たとえば、鍵KIoT(KASMEの等価物)、鍵KIoT-CPenc210、鍵KIoT-CPint212などの制御プレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA)、発展型パケットシステム完全性アルゴリズム(EIA))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。項MACは、暗号化モードおよび/またはメッセージ認証符号生成アルゴリズム(MACアルゴリズムとも呼ばれる)を示すことができ、これは、移動体通信事業者(MNO)により選ばれ、IoTFに対して構成され得る。したがって、項Enc_KCDC-IoTF-C(CDCCP)は、鍵KCDC-IoTF-Cを使用して制御プレーンクライアントデバイスコンテキストに対して実行される暗号化動作の結果を表し得る。
b)ユーザプレーンの暗号化されたクライアントデバイスコンテキスト
別の例として、ユーザプレーン(UP)の暗号化されたクライアントデバイスコンテキスト(CDCUP)は、式KeyID||Enc_KCDC-IoTF-U(CDCUP)||MACに基づいて生成され得る。項CDCUPは、ユーザプレーンクライアントデバイスコンテキストを表し得る。たとえば、ユーザプレーンクライアントデバイスコンテキストは、クライアントデバイス識別子、ベアラID、発展型パケットシステム(EPS)ベアラサービス品質(QoS)、ユーザプレーン汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP-U)のS5トンネルエンドポイント識別子、IoTF-U108がULデータを転送するP-GWインターネットプロトコル(IP)アドレス(または等価な情報)、クライアントデバイスのセキュリティコンテキスト(たとえば、鍵KIoT-UPenc216、鍵KIoT-UPint218などの選択された暗号化アルゴリズムおよびユーザプレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA)、発展型パケットシステム完全性アルゴリズム(EIA))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。したがって、項Enc_KCDC-IoTF-U(CDCUP)は、鍵KCDC-IoTF-Uを使用してユーザプレーンクライアントデバイスコンテキストに対して実行される暗号化動作の結果を表し得る。本開示のある態様では、暗号化されたクライアントデバイスコンテキストは、クライアントデバイスが接続される/関連付けられるIoTF(たとえば、IoTF-C106および/またはIoTF-U108)のみによって復号され得る。本開示のある態様では、クライアントデバイスコンテキストは、暗号化される前に圧縮され得る。
暗号化されたクライアントデバイスコンテキストは、1つまたは複数の特性を有し得る。たとえば、暗号化されたクライアントデバイスコンテキストは、特定のクライアントデバイスと関連付けられるネットワーク状態情報を含み得るので、他のクライアントデバイスに移送可能ではないことがある。IoTF-C/U(たとえば、IoTF-C106および/またはIoTF-U108)は、クライアントデバイスのコンテキスト(たとえば、ネットワーク状態情報)を維持しないことがある。したがって、そのようなIoTF-C/Uは、固有の秘密鍵を使用して暗号化されたクライアントデバイスコンテキストからクライアントデバイスコンテキストを復元し得るので、IoTF-C/Uは、クライアントデバイスコンテキストを復元するための追加の情報を何ら記憶する必要がないことがある。IoTF-C/Uは、ある条件(たとえば、発展型パケットシステム接続管理(ECM)-Idleまたは少量のデータ移送の直後)のもとでクライアントデバイスコンテキストを除去し、必要なときに(たとえば、データ移送のために)それを回復することができる。
クライアントデバイスは、高速なULデータの移送/高速な制御プレーンメッセージの移送のためにIoTF-Cによって提供される、暗号化されたクライアントデバイスコンテキストを記憶し得る。クライアントデバイスは、1つまたは複数のデータパケットを送信した直後にスリープモードに入り得る。クライアントデバイスコンテキストを再構築するための、IoTF-Uに対するメッセージ交換のオーバーヘッドがないことがあるので、少量のデータパケットの送信について遅延が生じないことがある。本開示のある態様では、クライアントデバイスがアイドルモードにあるとき、ユーザプレーンのデータ送信のために制御プレーンのメッセージはまったく使用されないことがある。
暗号化されたネットワーク到達可能性コンテキストの設計および生成
a)制御プレーンの暗号化されたネットワーク到達可能性コンテキスト
本開示のある態様では、暗号化されたネットワーク到達可能性コンテキストは、1つまたは複数の情報の項目を連結することによって生成され得る。たとえば、制御プレーン(CP)の暗号化されたネットワーク到達可能性コンテキストは、式KeyID||Enc_KNRC-IoTF-C(CDCCP)||MACに基づいて生成され得る。本開示のある態様では、鍵KNRC-IoTF-C(たとえば、図3の鍵KNRC-IoTF-C310)は、鍵KNRC-IoTF(たとえば、図3の鍵KNRC-IoTF308)と同じであることがあり、または鍵KNRC-IoTFから導出されることがある。項KeyIDは、(ネットワーク到達可能性コンテキストを生成するために使用される)鍵インデックスを表し得る。項CDCCPは、制御プレーンクライアントデバイスコンテキストを表し得る。たとえば、制御プレーンクライアントデバイスコンテキストは、クライアントデバイス識別子、クライアントデバイスセキュリティコンテキスト(たとえば、鍵KIoT202(KASMEの等価物)、鍵KIoT-CPenc210、鍵KIoT-CPint212などの制御プレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA)、発展型パケットシステム完全性アルゴリズム(EIA))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。項MACは、暗号化モードおよび/またはメッセージ認証符号生成アルゴリズム(MACアルゴリズムとも呼ばれる)を示すことができ、これは、移動体通信事業者(MNO)により選ばれ、IoTFに対して構成され得る。したがって、項Enc_KNRC-IoTF-C(CDCCP)は、鍵KNRC-IoTF-C(たとえば、図3の鍵KNRC-IoTF-C310)を使用して制御プレーンクライアントデバイスコンテキストに対して実行される暗号化動作の結果を表し得る。
b)ユーザプレーンの暗号化されたネットワーク到達可能性コンテキスト
別の例として、ユーザプレーン(UP)の暗号化されたネットワーク到達可能性コンテキストは、式KeyID||Enc_KNRC-IoTF-U(CDCUP)||MACに基づいて生成され得る。項CDCUPは、ユーザプレーンクライアントデバイスコンテキストを表し得る。たとえば、ユーザプレーンクライアントデバイスコンテキストは、クライアントデバイス識別子、ベアラID、発展型パケットシステム(EPS)ベアラサービス品質(QoS)、ユーザプレーン汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP-U)のS5トンネルエンドポイント識別子(TEID)、IoTF-U108がULデータを転送するP-GWインターネットプロトコル(IP)アドレス(または等価な情報)、クライアントデバイスのセキュリティコンテキスト(たとえば、鍵KIoT-UPenc216、鍵KIoT-UPint218などの選択された暗号化アルゴリズムおよびユーザプレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA)、発展型パケットシステム完全性アルゴリズム(EIA))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。したがって、項Enc_KNRC-IoTF-U(CDCUP)は、鍵KNRC-IoTF-U(たとえば、図3の鍵KNRC-IoTF-U312)を使用してユーザプレーンクライアントデバイスコンテキストに対して実行される暗号化動作の結果を表し得る。本開示のある態様では、暗号化されたネットワーク到達可能性コンテキストは、クライアントデバイスが接続される/関連付けられるIoTF(たとえば、IoTF-C106および/またはIoTF-U108)のみによって復号され得る。本開示のある態様では、ネットワーク到達可能性コンテキストは、暗号化の前に圧縮され得る。
暗号化されたネットワーク到達可能性コンテキストは、1つまたは複数の特性を有し得る。たとえば、暗号化されたネットワーク到達可能性コンテキストは、特定のクライアントデバイスと関連付けられるネットワーク状態情報を含み得るので、他のクライアントデバイスに移送可能ではないことがある。IoTF-C/U(たとえば、IoTF-C106および/またはIoTF-U108)は、クライアントデバイスのコンテキスト(たとえば、ネットワーク状態情報)を維持しないことがある。したがって、そのようなIoTF-C/Uは、固有の秘密鍵を使用して暗号化されたネットワーク到達可能性コンテキストを復号することによってクライアントデバイスのネットワーク到達可能性コンテキストを再構築し得るので、IoTF-C/Uは、ネットワーク到達可能性コンテキストを復元するための追加の情報を何ら記憶する必要がない。IoTF-C/Uは、ある条件(たとえば、発展型パケットシステム接続管理(ECM)-Idleまたは少量のデータ移送の直後)のもとでクライアントデバイスのネットワーク到達可能性コンテキストを除去し、必要なときに(たとえば、データ移送のために)それを回復することができる。
トラッキングエリア更新手順
クライアントデバイスは、アイドルモードの間に新しいトラッキングエリアに入るとき、トラッキングエリア更新(TAU)手順を実行し得る。TAUメッセージは、ソースIoTF-Cの現在のトラッキングエリアid(TAI)およびGIOTFIまたは等価物(たとえば、グローバルに固有なモバイル管理エンティティ識別子(GUMMEI))を含み得る。ターゲットIoTF-Cは、クライアントデバイスの位置および1つまたは複数のネットワークエンティティ(たとえば、P-GW)に対するモビリティアンカー(たとえば、IoTF-U ID)を、暗号化されたネットワーク到達可能性コンテキストとともに更新し得る。本開示のある態様では、暗号化されたネットワーク到達可能性コンテキストは、IoTF-Uがダウンリンクパケットを検証することを可能にし得る。本開示のある態様では、アプリケーションサーバ(たとえば、IoTサーバ)および/またはP-GWは、暗号化されたネットワーク到達可能性コンテキストを有するダウンリンク(DL)パケットをIoTF-U/C(GIOTFIによって識別される)に送信し得る。
図14は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100)におけるTAU手順の信号フロー図1400である。図14に示されるように、信号フロー図1400は、クライアントデバイス1402(IoTデバイスとも呼ばれる)、ネットワークアクセスノード1404(たとえば、eNB、基地局、ネットワークアクセスポイント)、ターゲットネットワークデバイス1405において実装されるターゲットIoTF-C1406、ソースネットワークデバイス1407において実装されるソースIoTF-C1408、P-GW1410、およびIoTサーバ1412(アプリケーションサーバとも呼ばれる)を含む。クライアントデバイス1402は、暗号化されたクライアントデバイスコンテキスト(たとえば、制御プレーン(CP)の暗号化されたクライアントデバイスコンテキスト)とTAU要求とを含むデータ移送要求メッセージ1414をネットワークアクセスノード1404に送信し得る。本開示のある態様では、データ移送要求メッセージ1414は、RRC接続を確立することなくクライアントデバイス1402によって送信され得る。ネットワークアクセスノード1404は、データ移送要求メッセージ1414を受信すると、潜在的なダウンリンク(DL)トラフィックに対してクライアントデバイス1402の一時識別子(TID)を割り当て得る(1416)。ネットワークアクセスノード1404はさらに、TAU要求に含まれるターゲットIoTF-C識別子を決定し得る。ネットワークアクセスノード1404は次いで、ターゲットIoTF-C1406のIPアドレスを決定することができ、クライアントデバイス1402と関連付けられるTIDと、暗号化されたクライアントデバイスコンテキストと、TAU要求とを含むメッセージ1418を、ターゲットIoTF-C1406に送信し得る。ターゲットIoTF-C1406は、クライアントデバイスコンテキストに対する要求と暗号化されたクライアントデバイスコンテキストとを含むメッセージ1420を、ソースIoTF-C1408に送信し得る。
ソースIoTF-C1408は、暗号化されたクライアントデバイスコンテキストを検証することができ、クライアントデバイスコンテキストを含むメッセージ1422をターゲットIoTF-C1406に送信することができる。ターゲットIoTF-C1406は、クライアントデバイスのTIDおよびネットワークアクセスノード1404のIDを記憶することができ(1424)、受信されたクライアントデバイスコンテキストに基づいて、クライアントデバイス1402の新しいGUTI、新しい暗号化されたネットワーク到達可能性コンテキスト、およびクライアントデバイス1402の新しい暗号化されたクライアントデバイスコンテキストを生成することができる(1424)。ある態様では、ターゲットIoTF-C1406は、ユーザプレーン(UP)鍵およびコンテキスト生成鍵を生成することができ、これらの鍵をIoTF-Uに提供することができる。
ターゲットIoTF-C1406は、トラッキングエリアID(TAI)と、ターゲットIoTF-C1406のID(たとえば、GIOTFI)と、新しい暗号化されたネットワーク到達可能性コンテキストとを含むメッセージ1426を、IoTサーバ1412(またはP-GW1410)に送信し得る。ターゲットIoTF-C1406は、TIDと、新しいGUTIと、新しい暗号化されたクライアントデバイスコンテキストと、TAU応答とを含むメッセージ1428を、クライアントデバイス1402に送信し得る。ネットワークアクセスノード1404は、TIDに基づいて、新しいGUTIと、新しいクライアントデバイスコンテキストと、TAU応答とを、メッセージ1430においてクライアントデバイス1402に(たとえば、TIDを使用して特定されるクライアントデバイス1402に)転送し得る。
本明細書において説明される態様は、独立した展開を可能にし、スケーラビリティ/相互動作の要件を回避する、新しい専用のネットワーク機能を有するアーキテクチャを提供する。本明細書において開示される態様は、ネットワークアクセスノード(たとえば、基地局)が、クライアントデバイスのセキュリティコンテキストを記憶または維持することなく、クライアントデバイスへ、またはクライアントデバイスからデータを移送することを可能にでき、これによって、ネットワークエンティティ(たとえば、ネットワークアクセスノードまたは他のネットワークエンティティ)における大量のリソースの消費を回避する。セキュリティ機能は、新しいネットワーク機能(IoT機能(IoTF)と呼ばれる)においてアンカーされ得る。通常のクライアントデバイスのPDN接続/トラフィックに影響するのを回避するために、IoTデータ移送に対して専用のリソースが割り振られる。クライアントデバイスがアイドル状態にあるときにIoTFにおけるクライアントデバイスの準永続的なコンテキストを削除するために、暗号化されたクライアントデバイスコンテキストおよび暗号化されたネットワーク到達可能性コンテキストがデータ移送のために使用され得る。その結果、ネットワークノード(たとえば、MME/S-GW)は、トラフィックを頻繁には送信しないクライアントデバイスの大量のネットワーク状態情報(すなわち、コンテキスト)を維持する必要がない。クライアントデバイスは、貴重なコアネットワークリソースを消耗させることなく、コスト効率の良いデータ配信を利用することができる。
したがって、本明細書において説明される態様は、クライアントデバイス(たとえば、減らされたデータ移送モードまたは低電力消費モードで動作するクライアントデバイスなどのIoTデバイスとして動作するクライアントデバイス)に対する前述のオーバーヘッドを減らし得る。たとえば、クライアントデバイスは、制御プレーンネットワーク機能(たとえば、IoTF-C)によってクライアントデバイスセキュリティコンテキストを用いてプロビジョニングされるユーザプレーンネットワーク機能(たとえば、IoTF-U)にトラフィックを送信し得る。したがって、ネットワークアクセスノード(たとえば、eNB、基地局、またはネットワークアクセスポイント)は、パケットを検証することなくクライアントデバイスによって示される次のホップのノード(たとえば、IoTF-U)にトラフィック(たとえば、クライアントデバイスからのパケット)を転送し得る。
IoTF-Cは、クライアントデバイスとの認証および鍵共有を実行し、制御プレーンのためのクライアントデバイスセキュリティコンテキストを確立し得る。たとえば、クライアントデバイスセキュリティコンテキストは、制御プレーンシグナリングの保護(たとえば、暗号化および完全性保護)のために使用される制御プレーン鍵を含み得る。さらに、IoTF-Cは、ユーザプレーンパケットの保護(たとえば、暗号化および完全性保護)のためのユーザプレーン鍵を導出することができ、ユーザプレーン鍵をIoTF-Uに提供することができる。
クライアントデバイスは、IoTF-Cと同じ制御プレーン鍵およびユーザプレーン鍵を導出し得る。したがって、クライアントデバイスは、接続を確立することなく、クライアントデバイスが制御プレーンIoTFを用いて通信しているかユーザプレーンIoTFを用いて通信しているかに応じて、制御プレーン鍵またはユーザプレーン鍵を使用してパケットを送信し得る(たとえば、クライアントデバイスが決定を行い得るので、異なるセキュリティ鍵またはコンテキストが適用され得る)。
第1の例示的な装置(たとえば、クライアントデバイス)およびそこでの方法
図15は、本開示の1つまたは複数の態様(たとえば、以下で説明される、図16の方法に関する態様)による、IoTネットワークアーキテクチャに基づいてネットワークと通信するように構成される装置1500の図である。ある態様では、装置1500はクライアントデバイス(たとえば、IoTデバイス)であり得る。装置1500は、通信インターフェース(たとえば、少なくとも1つの送受信機)1502、記憶媒体1504、ユーザインターフェース1506、メモリデバイス1508、および処理回路1510を含む。
これらの構成要素は、図15において接続線によって一般に表される、シグナリングバスまたは他の適切な構成要素を介して互いに結合され、かつ/または互いに電気通信するように配置され得る。シグナリングバスは、処理回路1510の具体的な適用例および全体的な設計制約に応じて、任意の数の相互接続バスおよびブリッジを含み得る。シグナリングバスは、通信インターフェース1502、記憶媒体1504、ユーザインターフェース1506、およびメモリデバイス1508の各々が、処理回路1510に結合され、かつ/または処理回路1510と電気通信するように、様々な回路を一緒につなぐ。シグナリングバスはまた、タイミングソース、周辺装置、電圧調整器、および電力管理回路などの様々な他の回路(図示せず)をつなぎ得るが、これらの回路は当技術分野でよく知られており、したがって、これ以上は説明されない。
通信インターフェース1502は、装置1500のワイヤレス通信を容易にするように適合され得る。たとえば、通信インターフェース1502は、ネットワークの中の1つまたは複数の通信デバイスに関して双方向に情報の通信を容易にするように適合された回路要素および/またはコード(たとえば、命令)を含み得る。通信インターフェース1502は、ワイヤレス通信システム内のワイヤレス通信のための1つまたは複数のアンテナ1512に結合され得る。通信インターフェース1502は、1つまたは複数のスタンドアロンの受信機および/または送信機、ならびに1つまたは複数のトランシーバを用いて構成され得る。図示される例では、通信インターフェース1502は、送信機1514と受信機1516とを含む。
メモリデバイス1508は、1つまたは複数のメモリデバイスを表し得る。示されるように、メモリデバイス1508は、ネットワーク関連情報を、装置1500によって使用される他の情報とともに維持し得る。いくつかの実装形態では、メモリデバイス1508および記憶媒体1504は、共通のメモリ構成要素として実装される。メモリデバイス1508はまた、処理回路1510または装置1500の他の何らかの構成要素によって操作されるデータを記憶するために使用され得る。
記憶媒体1504は、プロセッサ実行可能コードもしくは命令(たとえば、ソフトウェア、ファームウェア)などのコード、電子データ、データベース、または他のデジタル情報を記憶するための1つまたは複数のコンピュータ可読、機械可読、および/またはプロセッサ可読デバイスを表し得る。記憶媒体1504はまた、コードを実行するときに処理回路1510によって操作されるデータを記憶するために使用され得る。記憶媒体1504は、ポータブル記憶デバイスもしくは固定された記憶デバイスと、光記憶デバイスと、コードを記憶し、格納し、または搬送することが可能な様々な他の媒体とを含む、汎用または専用プロセッサによってアクセスされ得る任意の利用可能な媒体であり得る。
限定ではなく例として、記憶媒体1504は、磁気記憶デバイス(たとえば、ハードディスク、フロッピーディスク、磁気ストリップ)、光ディスク(たとえば、コンパクトディスク(CD)またはデジタル多用途ディスク(DVD))、スマートカード、フラッシュメモリデバイス(たとえば、カード、スティック、またはキードライブ)、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、プログラマブルROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、レジスタ、リムーバブルディスク、および、コンピュータによってアクセスされ読み取られ得るコードを記憶するための任意の他の適切な媒体を含み得る。記憶媒体1504は、製造品(たとえば、コンピュータプログラム製品)において具現化され得る。例として、コンピュータプログラム製品は、パッケージング材料の中のコンピュータ可読媒体を含み得る。上記のことに鑑みて、いくつかの実装形態では、記憶媒体1504は、非一時的な(たとえば、有形の)記憶媒体であり得る。
記憶媒体1504は、処理回路1510が記憶媒体1504から情報を読み取り、かつ記憶媒体1504に情報を書き込むことができるように、処理回路1510に結合され得る。すなわち、記憶媒体1504は、少なくとも1つの記憶媒体が処理回路1510と一体である例および/または少なくとも1つの記憶媒体が処理回路1510から分離されている例(たとえば、装置1500内に存在する例、装置1500の外部に存在する例、複数のエンティティにわたって分散される例など)を含め、記憶媒体1504が少なくとも処理回路1510によってアクセス可能であるように処理回路1510に結合され得る。
記憶媒体1504によって記憶されているコードおよび/または命令は、処理回路1510によって実行されると、処理回路1510に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体1504は、処理回路1510の1つまたは複数のハードウェアブロックにおける動作を調整するように、ならびにそれらのそれぞれの通信プロトコルを利用するワイヤレス通信のために通信インターフェース1502を利用するように構成される動作を含み得る。
処理回路1510は、一般に、記憶媒体1504に記憶されたそのようなコード/命令の実行を含む処理のために適合される。本明細書において使用される「コード」または「命令」という用語は、ソフトウェアと呼ばれるか、ファームウェアと呼ばれるか、ミドルウェアと呼ばれるか、マイクロコードと呼ばれるか、ハードウェア記述言語と呼ばれるか、またはそれ以外で呼ばれるかにかかわらず、限定はされないが、プログラミング、命令、命令セット、データ、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行ファイル、実行スレッド、手順、関数などを含むように広く解釈されなければならない。
処理回路1510は、データを取得し、処理し、ならびに/あるいは送信し、データのアクセスおよび記憶を制御し、コマンドを発行し、所望の動作を制御するように構成される。処理回路1510は、少なくとも1つの例において、適切な媒体によって与えられる所望のコードを実装するように構成される回路を含み得る。たとえば、処理回路1510は、1つまたは複数のプロセッサ、1つまたは複数のコントローラ、および/または実行可能なコードを実行するように構成される他の構造として実装され得る。処理回路1510の例は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラマブル論理構成要素、個別ゲートもしくはトランジスタ論理、個別のハードウェア構成要素、または本明細書において説明される機能を実行するように設計されたそれらの任意の組合せを含み得る。汎用プロセッサは、マイクロプロセッサ、ならびに任意の従来のプロセッサ、コントローラ、マイクロコントローラ、または状態機械を含み得る。処理回路1510はまた、DSPおよびマイクロプロセッサの組合せ、いくつかのマイクロプロセッサ、DSPコアと連携する1つもしくは複数のマイクロプロセッサ、ASICおよびマイクロプロセッサ、または任意の他の数の様々な構成などのコンピューティング構成要素の組合せとして実装され得る。処理回路1510のこれらの例は例示のためのものであり、本開示の範囲内の他の適切な構成も企図される。
本開示の1つまたは複数の態様によれば、処理回路1510は、本明細書において説明される装置のいずれかまたはすべてのための特徴、プロセス、機能、動作および/またはルーチンのいずれかまたはすべてを実行するように適合され得る。本明細書において使用される場合、処理回路1510に関して「適合される」という用語は、処理回路1510が、本明細書において説明される様々な特徴に従って、特定のプロセス、機能、動作、および/またはルーチンを実行するように構成されること、利用されること、実装されること、および/またはプログラムされることのうちの1つまたは複数を指し得る。
装置1500の少なくとも1つの例によれば、処理回路1510は、本明細書において説明される特徴、プロセス、機能、動作、および/またはルーチン(たとえば、図16に関して説明された特徴、プロセス、機能、動作、および/またはルーチン)のいずれかまたはすべてを実行するように適合される、送信回路/モジュール1520、受信回路/モジュール1522、セキュリティコンテキスト取得回路/モジュール1524、鍵取得回路/モジュール1526、データパケット保護回路/モジュール1528、パケット決定回路/モジュール1530、パケット復号回路/モジュール1532、および/またはネットワーク登録回路/モジュール1534のうちの1つまたは複数を含み得る。
送信回路/モジュール1520は、たとえば、ネットワークに接続するための要求を送信すること、および/またはデータパケットもしくは制御パケットを送信することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1504に記憶された送信命令1540)を含み得る。たとえば、一態様では、データパケットはユーザプレーン鍵を用いて保護されたデータパケットであることがあり、制御パケットは制御プレーン鍵を用いて保護された制御パケットであることがある。
受信回路/モジュール1522は、たとえば、ネットワークから認証手順と関連付けられるメッセージを受信すること、およびネットワークからパケットを受信することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1504に記憶された受信命令1542)を含み得る。
セキュリティコンテキスト取得回路/モジュール1524は、たとえば、ユーザプレーンに関するクライアントデバイスのネットワーク状態情報を示すユーザプレーンセキュリティコンテキスト、または制御プレーンに関するクライアントデバイスのネットワーク状態情報を示す制御プレーンセキュリティコンテキストのうちの少なくとも1つを取得することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1504に記憶されたセキュリティコンテキスト取得命令1544)を含み得る。
鍵取得回路/モジュール1526は、たとえば、第1のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と共有されるユーザプレーン鍵、または第2のネットワークノードにおいて実装される制御プレーンネットワーク機能と共有される制御プレーン鍵を少なくとも取得することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1504に記憶された鍵取得命令1546)を含み得る。
データパケット保護回路/モジュール1528は、たとえば、ユーザプレーン鍵を用いてデータパケットを保護すること、または制御プレーン鍵を用いて制御パケットを保護することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1504に記憶されたデータパケット保護命令1548)を含み得る。ある態様では、データパケットは、データパケットが第1のネットワークノードにおいて処理されるべきであることを示す第1の宛先情報を含み、第1の宛先情報は、ネットワークアクセスノードがデータパケットを第1のネットワークノードへ転送することを可能にする。ある態様では、制御パケットは、制御パケットが第2のネットワークノードにおいて処理されるべきであることを示す第2の宛先情報を含み、第2の宛先情報は、ネットワークアクセスノードが制御パケットを第2のネットワークノードへ転送することを可能にする。
パケット決定回路/モジュール1530は、たとえば、受信されたパケットがデータを含むか制御情報を含むかを決定することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1504に記憶されたパケット決定命令1550)を含み得る。
パケット復号回路/モジュール1532は、たとえば、ユーザプレーン鍵または制御プレーン鍵を用いて受信されたパケットを復号することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1504に記憶されたパケット復号命令1552)を含み得る。
ネットワーク登録回路/モジュール1534は、たとえば、モノのインターネットデバイスとしてネットワークに登録することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1504に記憶されたネットワーク登録命令1554)を含み得る。
上述のように、記憶媒体1504によって記憶されている命令は、処理回路1510によって実行されると、処理回路1510に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体1504は、送信命令1540、受信命令1542、セキュリティコンテキスト取得命令1544、鍵取得命令1546、データパケット保護命令1548、パケット決定命令1550、パケット復号命令1552、および/またはネットワーク登録命令1554のうちの1つまたは複数を含み得る。
図16は、本開示の様々な態様による、ネットワークと通信するための方法を示すフローチャート1600である。方法は、クライアントデバイス(たとえば、クライアントデバイス102、502、702または装置1500)などの装置によって実行され得る。図16において点線により示される動作は任意選択の動作を表すことを理解されたい。
クライアントデバイスは、ネットワークに登録する(1602)。ある態様では、クライアントデバイスは、ネットワークに接続するための要求を送信することによって、および、ネットワークからその要求に応答した認証手順と関連付けられるメッセージを受信することによって、ネットワークに登録し得る。ある態様では、接続要求は、たとえば、クライアントデバイスがモノのインターネットデバイスとして接続すべきであること、クライアントデバイスが減らされたデータ移送モードで接続すべきであること、および/またはクライアントデバイスが低電力消費モードで接続すべきであることなどの、1つまたは複数の指示を提供し得る。
クライアントデバイスは、ユーザプレーンに関してクライアントデバイスのネットワーク状態情報を示すユーザプレーンセキュリティコンテキスト、または制御プレーンに関してクライアントデバイスのネットワーク状態情報を示す制御プレーンセキュリティコンテキストのうちの少なくとも1つを取得する(1604)。一例では、クライアントデバイスは、ユーザプレーン鍵に基づいて第1の暗合鍵および第1の完全性鍵を導出することによって、ユーザプレーンセキュリティコンテキストを取得し得る。別の例では、クライアントデバイスは、制御プレーン鍵に基づいて第2の暗合鍵および第2の完全性鍵を導出することによって、制御プレーンセキュリティコンテキストを取得し得る。ある態様では、ユーザプレーンセキュリティコンテキストまたは制御プレーンセキュリティコンテキストは、アクセス層セキュリティ保護を含まない。
クライアントデバイスは、第1のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と共有されるユーザプレーン鍵、または第2のネットワークノードにおいて実装される制御プレーンネットワーク機能と共有される制御プレーン鍵を少なくとも取得する(1606)。たとえば、クライアントデバイスは、認証手順と関連付けられるメッセージに基づいて、ユーザプレーン鍵または制御プレーン鍵を取得し得る。
クライアントデバイスは、ユーザプレーン鍵を用いてデータパケットを保護し、制御プレーン鍵を用いて制御パケットを保護する(1608)。一例では、データパケットは、ユーザプレーン鍵に基づいて、暗号化もしくは完全性保護されることがあり、または暗号化と完全性保護の両方が行われることがある。別の例では、制御パケットは、制御プレーン鍵に基づいて、暗号化もしくは完全性保護され、または暗号化と完全性保護の両方が行われる。
ある態様では、データパケットは、データパケットが第1のネットワークノードにおいて処理されるべきであることを示す第1の宛先情報を含み、第1の宛先情報は、ネットワークアクセスノードがデータパケットを第1のネットワークノードへ転送することを可能にする。ある態様では、制御パケットは、制御パケットが第2のネットワークノードにおいて処理されるべきであることを示す第2の宛先情報を含み、第2の宛先情報は、ネットワークアクセスノードが制御パケットを第2のネットワークノードへ転送することを可能にする。
装置は、データパケットまたは制御パケットを送信する(1610)。装置は、ネットワークからパケットを受信する(1612)。ある態様では、ユーザプレーンのモノのインターネット機能識別子(IID)または制御プレーンのモノのインターネット機能識別子(IID)が、1つまたは複数の条件のもとでは受信されたパケットのヘッダに含まれる。その1つまたは複数の条件は、たとえば、クライアントデバイスがモノのインターネットデバイスとしてネットワークに登録されるとき、クライアントデバイスが低電力消費モードで動作するとき、またはクライアントデバイスが減らされた量のデータを移送するように構成されるときを含み得る。
クライアントデバイスは、受信されたパケットがデータを含むか制御情報を含むかを決定する(1614)。クライアントデバイスは、この決定に基づいて、ユーザプレーン鍵または制御プレーン鍵を用いて受信されたパケットを復号する(1616)。ある態様では、クライアントデバイスは、ユーザプレーン鍵または制御プレーン鍵を用いて受信されたパケットを復号し検証することによって、受信されたパケットを復号する。ある態様では、クライアントデバイスは、第1のメッセージ認証符号(MAC)を決定して第1のMACを受信されたパケットと関連付けられる第2のMACと比較することによって、受信されたパケットを検証する。たとえば、第1のMACは、受信されたパケットに基づいて、ユーザプレーン鍵と制御プレーン鍵のいずれかを使用して、メッセージ認証符号生成アルゴリズムを適用することによって、決定され得る。
第2の例示的な装置(たとえば、ネットワークアクセスノード)およびそこでの方法
図17は、本開示の1つまたは複数の態様(たとえば、以下で説明される、図18の方法に関する態様)による、IoTネットワークアーキテクチャに基づいてネットワークと通信するように構成される装置1700の図である。ある態様では、装置1700はネットワークアクセスノード(たとえば、eNB、基地局、またはネットワークアクセスポイント)であり得る。装置1700は、通信インターフェース(たとえば、少なくとも1つのトランシーバ)1702と、ネットワーク通信インターフェース1703と、記憶媒体1704と、ユーザインターフェース1706と、メモリデバイス1708と、処理回路1710とを含む。
これらの構成要素は、図17において接続線によって一般に表される、シグナリングバスまたは他の適切な構成要素を介して互いに結合され、かつ/または互いに電気通信するように配置され得る。シグナリングバスは、処理回路1710の具体的な適用例および全体的な設計制約に応じて、任意の数の相互接続バスおよびブリッジを含み得る。シグナリングバスは、通信インターフェース1702、ネットワーク通信インターフェース1703、記憶媒体1704、ユーザインターフェース1706、およびメモリデバイス1708の各々が、処理回路1710に結合され、かつ/または処理回路1710と電気通信するように、様々な回路を一緒につなぐ。シグナリングバスはまた、タイミングソース、周辺装置、電圧調整器、および電力管理回路などの様々な他の回路(図示せず)をつなぎ得るが、これらの回路は当技術分野でよく知られており、したがって、これ以上は説明されない。
通信インターフェース1702は、装置1700のワイヤレス通信を容易にするように適合され得る。たとえば、通信インターフェース1702は、ネットワークの中の1つまたは複数のクライアントデバイスに関して双方向に情報の通信を容易にするように適合された回路および/またはコード(たとえば、命令)を含み得る。通信インターフェース1702は、ワイヤレス通信システム内のワイヤレス通信のための1つまたは複数のアンテナ1712に結合され得る。通信インターフェース1702は、1つまたは複数のスタンドアロン受信機および/または送信機、ならびに1つまたは複数のトランシーバを用いて構成され得る。図示される例では、通信インターフェース1702は、送信機1714および受信機1716を含む。
ネットワーク通信インターフェース1703は、装置1700の通信を容易にするように適合され得る。たとえば、ネットワーク通信インターフェース1703は、ネットワークの中の1つまたは複数のネットワークエンティティに関して双方向に情報の通信を容易にするように適合された回路および/またはコード(たとえば、命令)を含み得る。ネットワーク通信インターフェース1703は、1つまたは複数のスタンドアロン受信機および/または送信機、ならびに1つまたは複数のトランシーバを用いて構成され得る。
メモリデバイス1708は、1つまたは複数のメモリデバイスを表し得る。示されるように、メモリデバイス1708は、ネットワーク関連情報を、装置1700によって使用される他の情報とともに維持し得る。いくつかの実装形態では、メモリデバイス1708および記憶媒体1704は、共通メモリ構成要素として実装される。メモリデバイス1708はまた、処理回路1710、または装置1700のいくつかの他の構成要素によって操作されるデータを記憶するために使用され得る。
記憶媒体1704はまた、コードを実行するときに処理回路1710によって操作されるデータを記憶するために使用され得る。記憶媒体1704は、ポータブル記憶デバイスもしくは固定された記憶デバイスと、光記憶デバイスと、コードを記憶し、格納し、または搬送することが可能な様々な他の媒体とを含む、汎用または専用プロセッサによってアクセスされ得る任意の利用可能な媒体であり得る。
限定ではなく例として、記憶媒体1704は、磁気記憶デバイス(たとえば、ハードディスク、フロッピーディスク、磁気ストリップ)、光ディスク(たとえば、コンパクトディスク(CD)またはデジタル多用途ディスク(DVD))、スマートカード、フラッシュメモリデバイス(たとえば、カード、スティック、またはキードライブ)、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、プログラマブルROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、レジスタ、リムーバブルディスク、および、コンピュータによってアクセスされ読み取られ得るコードを記憶するための任意の他の適切な媒体を含み得る。
記憶媒体1704は、処理回路1710が記憶媒体1704から情報を読み取り、記憶媒体1704に情報を書き込むことができるように、処理回路1710に結合され得る。すなわち、記憶媒体1704は、少なくとも1つの記憶媒体が処理回路1710と一体である例および/または少なくとも1つの記憶媒体が処理回路1710から分離されている(たとえば、装置1700内にある、装置1700の外部にある、複数のエンティティにわたって分散されている、など)例を含め、記憶媒体1704が少なくとも処理回路1710によってアクセス可能であるように、処理回路1710に結合され得る。
記憶媒体1704によって記憶されているコードおよび/または命令は、処理回路1710によって実行されると、処理回路1710に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体1704は、処理回路1710の1つまたは複数のハードウェアブロックにおける動作を調整するように、ならびにそれらのそれぞれの通信プロトコルを利用するワイヤレス通信に通信インターフェース1702を、ネットワーク通信にネットワーク通信インターフェース1703を利用するように構成された動作を含み得る。
処理回路1710は、一般に、記憶媒体1704上に記憶されたそのようなコード/命令の実行を含む処理のために適合される。本明細書において使用される「コード」または「命令」という用語は、ソフトウェアと呼ばれるか、ファームウェアと呼ばれるか、ミドルウェアと呼ばれるか、マイクロコードと呼ばれるか、ハードウェア記述言語と呼ばれるか、またはそれ以外で呼ばれるかにかかわらず、限定はされないが、プログラミング、命令、命令セット、データ、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行ファイル、実行スレッド、手順、関数などを含むように広く解釈されなければならない。
処理回路1710は、データを取得し、処理し、および/または送信し、データのアクセスおよび記憶を制御し、命令を出し、所望の動作を制御するように構成される。処理回路1710は、少なくとも1つの例において、適切な媒体によって与えられる所望のコードを実装するように構成された回路を含み得る。たとえば、処理回路1710は、1つまたは複数のプロセッサ、1つまたは複数のコントローラ、および/または実行可能なコードを実行するように構成された他の構造として実装され得る。処理回路1710の例は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラマブル論理構成要素、個別ゲートもしくはトランジスタ論理、個別のハードウェア構成要素、または本明細書において説明される機能を実行するように設計されたそれらの任意の組合せを含み得る。汎用プロセッサは、マイクロプロセッサ、ならびに任意の従来のプロセッサ、コントローラ、マイクロコントローラ、または状態機械を含み得る。処理回路1710はまた、DSPとマイクロプロセッサの組合せ、いくつかのマイクロプロセッサ、DSPコアと連携する1つもしくは複数のマイクロプロセッサ、ASICおよびマイクロプロセッサ、または任意の他の数の様々な構成などの、コンピューティング構成要素の組合せとして実装され得る。処理回路1710のこれらの例は例示のためのものであり、本開示の範囲内の他の適切な構成も企図される。
本開示の1つまたは複数の態様によれば、処理回路1710は、本明細書において説明される装置のいずれかもしくはすべてのための、特徴、プロセス、機能、動作、および/またはルーチンのいずれかもしくはすべてを実行するように適合され得る。処理回路1710に関して本明細書において使用される「適合される」という用語は、処理回路1710が、本明細書において説明される様々な特徴に従って、特定のプロセス、機能、動作、および/またはルーチンを実行するように構成されること、利用されること、実装されること、および/またはプログラムされることのうちの1つまたは複数を指し得る。
装置1700の少なくとも1つの例によれば、処理回路1710は、本明細書において説明される特徴、プロセス、機能、動作、および/またはルーチン(たとえば、図18に関して説明された特徴、プロセス、機能、動作、および/またはルーチン)のいずれかまたはすべてを実行するように適合される、受信回路/モジュール1720、データパケット転送回路/モジュール1722、一時識別子追加回路/モジュール1724、記憶回路/モジュール1726、次ホップ決定回路/モジュール1728、クライアントデバイス識別回路/モジュール1730、および一時識別子除去回路/モジュール1732のうちの1つまたは複数を含み得る。
受信回路/モジュール1720は、たとえば、クライアントデバイスから、ネットワーク接続モードを示すものとともにネットワークに接続するための要求を受信することであって、ネットワーク接続モードが減らされたデータ移送モードまたは低電力消費モードである、受信すること、クライアントデバイスから第1のパケットを受信すること、およびネットワークノードから第2のパケットを受信することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶された受信命令1740)を含み得る。
パケット転送回路/モジュール1722は、たとえば、第1のパケットを次のホップのネットワークノードに転送すること、およびネットワークノードから受信された第2のパケットをクライアントデバイスに転送することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶されたパケット転送命令1742)を含み得る。
一時識別子追加回路/モジュール1724は、たとえば、クライアントデバイスと関連付けられる一時識別子を第1のパケットに追加することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶された一時識別子追加命令1744)を含み得る。ある態様では、第1のパケットはデータパケットまたは制御パケットである。ある態様では、一時識別子は、セル無線ネットワーク一時識別子(C-RNTI)である。
記憶回路/モジュール1726は、たとえば、一時識別子を記憶することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶された記憶命令1746)を含み得る。ある態様では、一時識別子は所定の期間記憶される。
次ホップ決定回路/モジュール1728は、たとえば、クライアントデバイスのネットワーク接続モードに基づいて次のホップのネットワークノードを決定することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶された次ホップ決定命令1748)を含み得る。ある態様では、次のホップのネットワークノードの決定は、ネットワークアクセスノードにおける事前に構成された情報に基づき、または、クライアントデバイスのネットワーク接続モードが減らされたデータ移送モードもしくは低電力消費モードであるとき、第1のパケットに含まれる宛先情報に基づく。ある態様では、宛先情報は、ネットワーク機能を実装するネットワークノードまたはネットワークデバイスの識別を可能にするネットワーク機能識別子を含む。ある態様では、ネットワーク機能識別子は、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能または第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と関連付けられる。
クライアントデバイス識別回路/モジュール1730は、たとえば、第2のパケットの中の一時識別子からクライアントデバイスを識別することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶されたクライアントデバイス識別命令1750)を含み得る。ある態様では、第2のパケットはデータパケットまたは制御パケットである。
一時識別子除去回路/モジュール1732は、たとえば、第2のパケットを転送する前に第2のパケットから一時識別子を除去することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶された一時識別子除去命令1752)を含み得る。
上述のように、記憶媒体1704によって記憶されている命令は、処理回路1710によって実行されると、処理回路1710に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体1704は、受信命令1740、パケット転送命令1742、一時識別子追加命令1744、記憶命令1746、次ホップ決定命令1748、クライアントデバイス識別命令1750、および一時識別子除去命令1752のうちの1つまたは複数を含み得る。
図18(図18Aおよび図18Bを含む)は、本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示すフローチャート1800である。方法は、ネットワークアクセスノード(たとえば、図1のネットワークアクセスノード104または図17の装置1700)などの装置によって実行され得る。図18において点線により示される動作は任意選択の動作を表すことを理解されたい。
図18Aを参照すると、ネットワークアクセスノードは、クライアントデバイスから、ネットワーク接続モードを示すものとともにネットワークに接続するための要求を受信し、ネットワーク接続モードは減らされたデータ移送モードである(1802)。他の態様では、ネットワーク接続モードは、モノのインターネット(IoT)デバイスモードまたは低電力消費モードであり得る。ネットワークアクセスノードは、クライアントデバイスから第1のパケットを受信する(1804)。たとえば、第1のパケットはデータパケットまたは制御パケットであり得る。
第1のネットワークノードは、クライアントデバイスと関連付けられる一時識別子を第1のパケットに追加する(1806)。本開示のある態様では、一時識別子は、セル無線ネットワーク一時識別子(C-RNTI)である。ネットワークアクセスノードは、一時識別子を記憶する(1808)。本開示のある態様では、一時識別子は所定の期間記憶される。
ネットワークアクセスノードは、クライアントデバイスのネットワーク接続モードに基づいて、次のホップのネットワークノードを決定する(1810)。本開示のある態様では、次のホップのネットワークノードの決定は、ネットワークアクセスノードにおいて事前に構成される。本開示のある態様では、次のホップのネットワークノードは、クライアントデバイスのネットワーク接続モードがIoTデバイスモード、減らされたデータ移送モード、または低電力消費モードであるとき、第1のパケットに含まれる宛先情報に基づいて決定され得る。たとえば、宛先情報は、ネットワーク機能を実装するネットワークノードの識別を可能にするネットワーク機能識別子を含み得る。ある態様では、ネットワーク機能識別子は、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能または第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と関連付けられる。
ネットワークアクセスノードは、ネットワーク接続モードが減らされたデータ移送モードであるとき、クライアントデバイスから受信された第1のパケットを検証することなく、第1のパケットを次のホップのネットワークノードに転送する(1812)。
図18Bを参照すると、ネットワークアクセスノードは、ネットワークノードから第2のパケットを受信する(1814)。たとえば、第2のパケットはデータパケットまたは制御パケットであり得る。ネットワークアクセスノードは、第2のパケットの中の一時識別子からクライアントデバイスを識別する(1816)。ネットワークアクセスノードは、第2のパケットを転送する前に第2のパケットから一時識別子を除去する(1818)。ネットワークアクセスノードは、クライアントデバイスのネットワーク接続モードが減らされたデータ移送モードであるとき、ネットワークノードから受信された第2のパケットを、保護することなくクライアントデバイスに転送する(1820)。
第3の例示的な装置(たとえば、ネットワークデバイス)およびそこでの方法
図19は、本開示の1つまたは複数の態様(たとえば、以下で説明される、図20〜図22の方法に関する態様)による、装置1900の図である。ある態様では、装置1900は、モノのインターネット(IoT)機能を実装するネットワークデバイス(たとえば、ネットワークデバイス105、505)であり得る。たとえば、IoT機能は、以前に論じられたような、制御プレーンIoT機能(たとえば、IoTF-C106、506、706、606、906、1406)、および/またはユーザプレーンIoT機能(たとえば、IoTF-U108、508、608、708、806、908)を含み得る。いくつかの態様では、装置1900は、図1のIoTF-C106を実装するネットワークノード107または図1のIoTF-U108を実装するネットワークノード109などの、IoT機能を実装するネットワークノードであり得る。装置1900は、ネットワーク通信インターフェース(たとえば、少なくとも1つのトランシーバ)1902と、記憶媒体1904と、ユーザインターフェース1906と、メモリデバイス1908と、処理回路1910とを含む。
これらの構成要素は、図19において接続線によって一般に表される、シグナリングバスまたは他の適切な構成要素を介して互いに結合され、かつ/または互いに電気通信するように配置され得る。シグナリングバスは、処理回路1910の特定の適用例および全体的な設計制約に応じて、任意の数の相互接続バスおよびブリッジを含み得る。シグナリングバスは、ネットワーク通信インターフェース1902、記憶媒体1904、ユーザインターフェース1906、およびメモリデバイス1908の各々が、処理回路1910に結合され、ならびに/または処理回路1910と電気通信するように、様々な回路を一緒につなぐ。シグナリングバスはまた、タイミングソース、周辺装置、電圧調整器、および電力管理回路などの様々な他の回路(図示せず)をつなぎ得るが、それらは当技術分野でよく知られており、したがって、これ以上説明されない。
ネットワーク通信インターフェース1902は、装置1900の通信を容易にするように適合され得る。たとえば、ネットワーク通信インターフェース1902は、ネットワークの中の1つまたは複数のネットワークエンティティに関して双方向に情報の通信を容易にするように適合された回路および/またはコード(たとえば、命令)を含み得る。ネットワーク通信インターフェース1902は、1つまたは複数のスタンドアロン受信機および/または送信機、ならびに1つまたは複数のトランシーバを用いて構成され得る。
メモリデバイス1908は、1つまたは複数のメモリデバイスを表し得る。示されるように、メモリデバイス1908は、ネットワーク関連情報を、装置1900によって使用される他の情報とともに維持し得る。いくつかの実装形態では、メモリデバイス1908および記憶媒体1904は、共通メモリ構成要素として実装される。メモリデバイス1908はまた、処理回路1910または装置1900の何らかの他の構成要素によって処理されるデータを記憶するために使用され得る。
記憶媒体1904は、プロセッサ実行可能コードもしくは命令(たとえば、ソフトウェア、ファームウェア)などのコード、電子データ、データベース、または他のデジタル情報を記憶するための1つまたは複数のコンピュータ可読、機械可読、および/またはプロセッサ可読デバイスを表し得る。記憶媒体1904はまた、コードを実行するときに処理回路1910によって操作されるデータを記憶するために使用され得る。記憶媒体1904は、ポータブル記憶デバイスもしくは固定された記憶デバイスと、光記憶デバイスと、コードを記憶し、格納し、または搬送することが可能な様々な他の媒体とを含む、汎用または専用プロセッサによってアクセスされ得る任意の利用可能な媒体であり得る。
限定ではなく例として、記憶媒体1904は、磁気記憶デバイス(たとえば、ハードディスク、フロッピーディスク、磁気ストリップ)、光ディスク(たとえば、コンパクトディスク(CD)またはデジタル多用途ディスク(DVD))、スマートカード、フラッシュメモリデバイス(たとえば、カード、スティック、またはキードライブ)、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、プログラマブルROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、レジスタ、リムーバブルディスク、および、コンピュータによってアクセスされ読み取られ得るコードを記憶するための任意の他の適切な媒体を含み得る。記憶媒体1904は、製造品(たとえば、コンピュータプログラム製品)において具現化され得る。例として、コンピュータプログラム製品は、パッケージング材料内のコンピュータ可読媒体を含み得る。上記に鑑みて、いくつかの実装形態では、記憶媒体1904は、非一時的な(たとえば、有形の)記憶媒体であり得る。
記憶媒体1904は、処理回路1910が記憶媒体1904から情報を読み取り、記憶媒体1904に情報を書き込むことができるように、処理回路1910に結合され得る。すなわち、記憶媒体1904は、少なくとも1つの記憶媒体が処理回路1910と一体である例および/または少なくとも1つの記憶媒体が処理回路1910から分離されている(たとえば、装置1900内に存在している、装置1900の外部に存在している、複数のエンティティにわたって分散しているなど)例を含め、記憶媒体1904が少なくとも処理回路1910によってアクセス可能であるように、処理回路1910に結合され得る。
記憶媒体1904によって記憶されているコードおよび/または命令は、処理回路1910によって実行されると、処理回路1910に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体1904は、処理回路1910の1つまたは複数のハードウェアブロックにおける動作を調整するように、ならびにそれらのそれぞれの通信プロトコルを利用する通信のためのネットワーク通信インターフェース1902を利用するように構成される動作を含み得る。
処理回路1910は、一般に、記憶媒体1904上に記憶されたそのようなコード/命令の実行を含む処理のために適合される。本明細書において使用される「コード」または「命令」という用語は、ソフトウェアと呼ばれるか、ファームウェアと呼ばれるか、ミドルウェアと呼ばれるか、マイクロコードと呼ばれるか、ハードウェア記述言語と呼ばれるか、またはそれ以外で呼ばれるかにかかわらず、限定はされないが、プログラミング、命令、命令セット、データ、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行ファイル、実行スレッド、手順、関数などを含むように広く解釈されなければならない。
処理回路1910は、データを取得し、処理し、および/または送信し、データのアクセスおよび記憶を制御し、命令を出し、所望の動作を制御するように構成される。処理回路1910は、少なくとも1つの例において、適切な媒体によって与えられる所望のコードを実装するように構成された回路を含み得る。たとえば、処理回路1910は、1つまたは複数のプロセッサ、1つまたは複数のコントローラ、および/または実行可能なコードを実行するように構成された他の構造として実装され得る。処理回路1910の例は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラマブル論理構成要素、個別ゲートもしくはトランジスタ論理、個別のハードウェア構成要素、または本明細書において説明される機能を実行するように設計されたそれらの任意の組合せを含み得る。汎用プロセッサは、マイクロプロセッサ、ならびに任意の従来のプロセッサ、コントローラ、マイクロコントローラ、またはステートマシンを含み得る。処理回路1910はまた、DSPとマイクロプロセッサの組合せ、いくつかのマイクロプロセッサ、DSPコアと連携する1つもしくは複数のマイクロプロセッサ、ASICおよびマイクロプロセッサ、または任意の他の数の様々な構成などの、コンピューティング構成要素の組合せとして実装され得る。処理回路1910のこれらの例は説明のためのものであり、本開示の範囲内の他の適切な構成も企図される。
本開示の1つまたは複数の態様によれば、処理回路1910は、本明細書において説明される装置のいずれかもしくはすべてのための、特徴、プロセス、機能、動作、および/またはルーチンのいずれかもしくはすべてを実行するように適合され得る。処理回路1910に関して本明細書において使用される「適合される」という用語は、処理回路1910が、本明細書において説明される様々な特徴による特定のプロセス、機能、動作および/またはルーチンを実行するように構成されること、利用されること、実装されること、および/またはプログラムされることのうちの1つまたは複数を指し得る。
装置1900の少なくとも1つの例によれば、処理回路1910は、本明細書において説明される特徴、プロセス、機能、動作、および/またはルーチン(たとえば、図20〜図22に関して説明された特徴、プロセス、機能、動作、および/またはルーチン)のいずれかまたはすべてを実行するように適合される、セキュリティコンテキスト確立回路/モジュール1920、制御プレーン鍵およびユーザプレーン鍵取得回路/モジュール1922、鍵移送回路/モジュール1924、セキュリティコンテキスト取得回路/モジュール1926、ユーザプレーン鍵決定回路/モジュール1928、パケット受信回路/モジュール1930、パケット復号および認証回路/モジュール1932、パケット保護回路/モジュール1934、ならびにパケット送信回路/モジュール1936のうちの1つまたは複数を含み得る。
セキュリティコンテキスト確立回路/モジュール1920は、たとえば、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能においてクライアントデバイスのセキュリティコンテキストを確立することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1904に記憶されたセキュリティコンテキスト確立命令1940)を含み得る。
制御プレーン鍵およびユーザプレーン鍵取得回路/モジュール1922は、たとえば、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、制御プレーンネットワーク機能のための制御プレーン鍵を取得すること、および/または、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能のためのユーザプレーン鍵を取得することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1904に記憶された制御プレーン鍵およびユーザプレーン鍵取得命令1942)を含み得る。
鍵移送回路/モジュール1924は、たとえば、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能から、第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能へユーザプレーン鍵を移送することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1904に記憶された鍵移送命令1944)を含み得る。
セキュリティコンテキスト取得回路/モジュール1926は、たとえば、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能においてクライアントデバイスのセキュリティコンテキストを取得することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1904に記憶されたセキュリティコンテキスト取得命令1946)を含み得る。
ユーザプレーン鍵決定回路/モジュール1928は、たとえば、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスからのデータパケットの復号もしくは検証のために少なくとも使用されるべき鍵を決定すること、および/または、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスと関連付けられる少なくとも1つの鍵を決定することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1904に記憶されたユーザプレーン鍵決定命令1948)を含み得る。
パケット受信回路/モジュール1930は、たとえば、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスからデータパケットを受信すること、および/または、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、アプリケーションサーバもしくはゲートウェイからクライアントデバイスのためのデータパケットを受信することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1904に記憶されたパケット受信命令1950)を含み得る。
パケット復号および認証回路/モジュール1932は、たとえば、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、鍵に基づいてクライアントデバイスからのデータパケットを復号して検証することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1904に記憶されたパケット復号および認証命令1952)を含み得る。
パケット保護回路/モジュール1934は、たとえば、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、少なくとも1つの鍵を使用してクライアントデバイスのためのデータパケットを保護することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1904に記憶されたパケット保護命令1954)を含み得る。
パケット送信回路/モジュール1936は、たとえば、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能から、クライアントデバイスのためのデータパケットを次のホップのネットワークノードに送信することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1904に記憶されたパケット送信命令1956)を含み得る。
上述のように、記憶媒体1904によって記憶されている命令は、処理回路1910によって実行されると、処理回路1910に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体1904は、セキュリティコンテキスト確立命令1940、制御プレーン鍵およびユーザプレーン鍵取得命令1942、鍵移送命令1944、セキュリティコンテキスト取得命令1946、ユーザプレーン鍵決定命令1948、パケット受信命令1950、パケット復号および認証命令1952、パケット保護命令1954、ならびにパケット送信命令1956のうちの1つまたは複数を含み得る。
図20は、本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示すフローチャート2000である。方法は、第1のネットワークノードなどの装置によって実行され得る。たとえば、第1のネットワークノード(たとえば、ネットワークノード707)は、制御プレーンネットワーク機能(たとえば、IoTF-C706)を実装し得る。第1のネットワークノードは、ネットワークノードにおいて実装される制御プレーンネットワーク機能において、クライアントデバイスのセキュリティコンテキストを確立する(2002)。ある態様では、第1のネットワークノードは、クライアントデバイスとの相互認証手順を実行することによって、クライアントデバイスのセキュリティコンテキストを確立する。
第1のネットワークノードは、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、制御プレーンネットワーク機能のための制御プレーン鍵を取得する(2004)。第1のネットワークノードは、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能のためのユーザプレーン鍵を取得する(2006)。ある態様では、第1のネットワークノードは、相互認証手順の間に確立されるセッション証明書からユーザプレーン鍵を導出することによって、ユーザプレーン鍵を取得する。第1のネットワークノードは、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能から、第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能にユーザプレーン鍵を移送する(2008)。
図21は、本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示すフローチャート2100である。方法は、ネットワークノードなどの装置によって実行され得る。たとえば、ネットワークノード(たとえば、ネットワークノード707)は、ユーザプレーンネットワーク機能(たとえば、IoTF-U708)を実装し得る。ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスのセキュリティコンテキストを取得する(2102)。ある態様では、ネットワークノードは、ネットワークノードの制御プレーンネットワーク機能からセキュリティコンテキストを受信することによって、セキュリティコンテキストを取得する。ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスからのデータパケットの復号または検証のために少なくとも使用されるべき鍵を決定する(2104)。ネットワークノードは、ネットワークノードのユーザプレーンネットワーク機能において、クライアントデバイスからデータパケットを受信する(2106)。ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、鍵に基づいてクライアントデバイスからのデータパケットを復号して検証する(2108)。
図22は、本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示すフローチャート2200である。方法は、ネットワークノードなどの装置によって実行され得る。たとえば、ネットワークノード(たとえば、ネットワークノード707)は、ユーザプレーンネットワーク機能(たとえば、IoTF-U708)を実装し得る。
ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスのセキュリティコンテキストを取得する(2202)。ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、アプリケーションサーバまたはゲートウェイからクライアントデバイスのためのデータパケットを受信する(2204)。ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスと関連付けられる少なくとも1つの鍵を決定する(2206)。ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、少なくとも1つの鍵を使用してクライアントデバイスのためのデータパケットを保護する(2208)。ネットワークノードは、ネットワークノードにおいて実装されるユーザプレーンネットワーク機能から、クライアントデバイスのためのデータパケットを次のホップのネットワークノードに送信する(2210)。
図に示される構成要素、ステップ、特徴および/または機能のうちの1つまたは複数は、単一の構成要素、ステップ、特徴または機能として再構成されてもよく、かつ/または結合されてもよく、あるいはいくつかの構成要素、ステップ、または機能として具現化されてもよい。追加の要素、構成要素、ステップ、および/または機能もまた、本明細書において開示される新規の特徴から逸脱することなく追加され得る。図に示される装置、デバイス、および/または構成要素は、本明細書において説明された方法、特徴、またはステップの1つまたは複数を実行するように構成され得る。本明細書において説明された新規のアルゴリズムはまた、効率的にソフトウェアで実装されることがあり、かつ/またはハードウェアに埋め込まれることがある。
開示された方法におけるステップの特定の順序または階層は、例示的なプロセスを示すものと理解されたい。設計上の選好に基づき、方法におけるステップの特定の順序または階層は、再配置され得ることを理解されたい。添付の方法クレームは、例示的な順序で様々なステップの要素を提示するものであり、特に記載されない限り、提示された特定の順序または階層に限定されることを意味するものではない。また、本開示から逸脱することなく、追加の要素、構成要素、ステップ、および/または機能が追加されることがあり、または利用されないことがある。
本開示の特徴がいくつかの実装形態および図に対して論じられたが、本開示のすべての実装形態は、本明細書において説明された有利な特徴のうちの1つまたは複数を含み得る。言い換えれば、1つまたは複数の実装形態が、いくつかの有利な特徴を有するものとして論じられることがあったが、そのような特徴のうちの1つまたは複数はまた、本明細書において説明された様々な実装形態のいずれかに従って使用され得る。同様に、例示的な実装形態がデバイス、システム、または方法の実装形態として本明細書において論じられたことがあったが、そのような例示的な実装形態が様々なデバイス、システム、および方法において実装されてもよいことを理解されたい。
また、少なくともいくつかの実装形態がフローチャート、フロー図、構造図、またはブロック図として示されるプロセスとして説明されたことに留意されたい。フローチャートは動作を逐次プロセスとして説明し得るが、動作の多くは並行してまたは同時に実行され得る。加えて、動作の順序は並べ替えられ得る。プロセスは、その動作が完了したときに終了する。いくつかの態様では、プロセスは、方法、関数、プロシージャ、サブルーチン、サブプログラムなどに相当し得る。プロセスが関数に相当するとき、その終了は、関数が呼び出し関数またはメイン関数に戻ることに相当する。本明細書において説明された様々な方法のうちの1つまたは複数は、機械可読記憶媒体、コンピュータ可読記憶媒体、および/またはプロセッサ可読記憶媒体に記憶され得るプログラミング(たとえば、命令および/またはデータ)によって部分的にまたは完全に実装されることがあり、1つまたは複数のプロセッサ、機械、および/またはデバイスによって実行されることがある。
本明細書において開示された実装形態に関して説明された様々な例示的な論理ブロック、モジュール、回路、およびアルゴリズムステップが、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、またはそれらの任意の組合せとして実装され得ることが当業者にはさらに諒解されよう。この互換性を明確に示すために、様々な例示的な構成要素、ブロック、モジュール、回路、およびステップが、概してそれらの観点から上記で説明された。そのような機能がハードウェアとして実装されるのか、それともソフトウェアとして実装されるのかは、具体的な適用例および全体的なシステムに課された設計制約によって決まる。
本開示内で、「例示的」という単語は、「例、事例、または例示の働きをすること」を意味するために使用される。「例示的」として本明細書において説明されるいずれの実装形態または態様も、必ずしも本開示の他の態様よりも好ましいかまたは有利であると解釈されるべきではない。同様に、「態様」という用語は、本開示のすべての態様が、論じられた特徴、利点、または動作モードを含むことを必要としない。「結合される」という用語は、2つの物体間の直接的または間接的結合を指すために本明細書において使用される。たとえば、物体Aが物体Bに物理的に接触し、物体Bが物体Cに接触する場合、物体AとCはやはり、直接的に物理的に互いに接触しない場合であっても、互いに結合されると見なされ得る。たとえば、第1のダイは、第1のダイがパッケージ内の第2のダイに物理的に直接接触していなくても、第2のダイに結合され得る。「回路(circuit)」および「回路(circuitry)」という用語は広く使用され、電子回路のタイプに関する制限なく、接続および構成されたときに本開示において説明された機能の実行を可能にする電気デバイスおよび導体というハードウェア実装形態と、プロセッサによって実行されたときに本開示において説明された機能の実行を可能にする情報および命令というソフトウェア実装形態の両方を含むものとする。
本明細書において使用される「決定すること」という用語は、幅広い様々なアクションを包含する。たとえば、「決定する」ことは、計算すること、算出すること、処理すること、導出すること、調査すること、ルックアップすること(たとえば、テーブル、データベースまたは別のデータ構造においてルックアップすること)、確認することなどを含み得る。また、「決定すること」は、受信すること(たとえば、情報を受信すること)、アクセスすること(たとえば、メモリの中のデータにアクセスすること)などを含み得る。また、「決定すること」は、解決すること、選択すること、選ぶこと、確立することなどを含み得る。本明細書において使用される「取得すること」という用語は、限定はされないが、受信すること、生成すること、決定すること、またはこれらの任意の組合せを含む1つまたは複数のアクションを含み得る。
上述の説明は、当業者が本明細書において説明される様々な態様を実践することを可能にするために提供される。これらの態様への様々な変更が当業者には容易に明らかになり、本明細書において定義された一般原理は他の態様に適用され得る。したがって、特許請求の範囲は本明細書において示された態様に限定されるものではなく、特許請求の範囲の文言と一致する最大限の範囲を与えられるべきであり、単数形の要素への言及は、「唯一の」と明記されていない限り、「唯一の」ではなく、「1つまたは複数の」を意味することを意図している。別段に明記されていない限り、「いくつか」という用語は、1つまたは複数を指す。項目のリストのうちの「少なくとも1つ」に言及する語句は、単一のメンバーを含むそれらの項目の任意の組合せを指す。ある例として、「a、b、またはcのうちの少なくとも1つ」は、a、b、c、aおよびb、aおよびc、bおよびc、ならびにa、bおよびcを包含することを意図している。当業者に知られているか、または後に知られることになる、本開示を通じて説明される様々な態様の要素に対するすべての構造的および機能的同等物は、参照により本明細書に明確に組み込まれ、特許請求の範囲によって包含されることが意図される。その上、本明細書において開示されたものは、そのような開示が特許請求の範囲において明示的に列挙されているかどうかにかかわらず、公に供されるものではない。いかなるクレーム要素も、「のための手段」という句を使用して要素が明確に列挙されていない限り、または方法クレームの場合、「のためのステップ」という句を使用して要素が列挙されていない限り、米国特許法第112条第6項の規定の下で解釈されるべきではない。
したがって、本明細書において説明され添付図面に示された例に関連する様々な特徴は、本開示の範囲から逸脱することなく、異なる例および実装形態で実装され得る。したがって、いくつかの特定の構成および配置が説明され添付の図面において示されたが、説明された実装形態への様々な他の追加および修正、ならびにそうした実装形態からの削除が当業者には明らかになるので、そのような実装形態は例示にすぎず、本開示の範囲を限定するものではない。したがって、本開示の範囲は、以下の特許請求の範囲の文言、および法的均等物によってのみ決定される。
100 IoTネットワークアーキテクチャ
102 クライアントデバイス
104 ネットワークアクセスノード
105 ネットワークデバイス
106 制御プレーンIoT機能、IoTF-C
107 ネットワークノード
108 ユーザプレーンIoT機能、IoTF-U
109 ネットワークノード
110 サービスネットワーク
112 HSS/AAAサーバ
114 第2のS1接続
116 第1のS1接続
118 SME
120 MTC-IWF
122 IoTサーバ
124 P-GW
126 CP鍵
128 UP鍵
130 コンテキスト鍵
131 コンテキスト鍵
200 鍵階層
202 KIOT
204 IK、CK
206 KASME
208 KCP
210 KIoT-CPenc
212 KIoT-CPint
214 KUP
216 KIoT-UPenc
218 KIoT-UPint
300 鍵階層
302 KCDC-IoTF
304 KCDC-IoTF-C
306 KCDC-IoTF-U
308 KNRC-IoTF
310 KNRC-IoTF-C
312 KNRC-IoTF-U
400 ネットワーク
402 クライアントデバイス
404 ネットワークアクセスノード
406 EPC
408 モビリティ管理エンティティ
410 P-GW/S-GW
412 ホーム加入者サーバ
414 コンテキスト
416 コンテキスト
418 コンテキスト
420 コンテキスト
422 コンテキスト
424 コンテキスト
426 コンテキスト
428 コンテキスト
500 IoTネットワークアーキテクチャ
502 クライアントデバイス
504 ネットワークアクセスノード
505 ネットワークデバイス
506 制御プレーンIoT機能、IoTF-C
507 第1のネットワークノード
508 ユーザプレーンIoT機能、IoTF-U
509 第2のネットワークノード
510 サービスネットワーク
512 HSS/AAAサーバ
514 第2のS1接続
516 第1のS1接続
518 SME
520 MTC-IWF
522 IoTサーバ
524 P-GW
526 CP鍵
528 UP鍵
530 コンテキスト鍵
531 コンテキスト鍵
532 接続要求
534 要求
535 認証情報
536 信号
538 メッセージ
600 信号フロー図
602 クライアントデバイス
604 ネットワークアクセスノード
605 ネットワークノード
606 IoTF-C
607 ネットワークノード
608 IoTF-U
609 サービスネットワーク
610 HSS
612 RRC接続要求
614 RRC接続セットアップメッセージ
616 RRC接続セットアップ完了メッセージ
618 初期クライアントデバイスメッセージ
620 AKA手順
622 鍵移送
624 初期コンテキストセットアップ要求メッセージ
625 メッセージ
626 RRC接続再構成メッセージ
628 RRC接続再構成完了メッセージ
630 ULデータパケット
632 ULデータパケット
634 DLデータパケット
700 IoTネットワークアーキテクチャ
702 クライアントデバイス
704 ネットワークアクセスノード
705 ネットワークデバイス
706 制御プレーンIoT機能、IoTF-C
707 ネットワークノード
708 ユーザプレーンIoT機能、IoTF-U
709 ネットワークノード
710 サービスネットワーク
712 HSS/AAAサーバ
714 第2のS1接続
718 SME
720 MTC-IWF
722 IoTサーバ
724 P-GW
726 CP鍵
728 UP鍵
730 コンテキスト鍵
731 コンテキスト鍵
732 接続要求
734 第2のメッセージ
800 信号フロー図
802 クライアントデバイス
804 ネットワークアクセスノード
805 ネットワークノード
806 IoTF-U
808 サービスネットワーク
810 データ移送要求メッセージ
814 第1のメッセージ
818 第2のメッセージ
820 第3のメッセージ
822 第4のメッセージ
824 第5のメッセージ
900 信号フロー図
902 クライアントデバイス
904 ネットワークアクセスノード
905 ネットワークノード
906 IoTF-C
907 ネットワークノード
908 IoTF-U
910 P-GW
912 IoTサーバ
914 DLメッセージ
916 転送メッセージ
918 DLデータ通知メッセージ
920 ページングメッセージ
922 ページングメッセージ
924 RRC接続要求メッセージ
928 転送メッセージ
932 クライアントデバイス応答通知メッセージ
934 メッセージ
936 転送メッセージ
1000 制御プレーンプロトコルスタック
1002 クライアントデバイス
1004 ネットワークアクセスノード
1005 ネットワークノード
1006 IoTFプロトコルスタック
1008 サービスネットワーク
1010 PHY層
1012 MAC層
1014 RLC層
1016 PDCP層
1018 コンテキストプロトコル層
1020 Ctrl層
1022 PHY層
1024 MAC層
1026 RLC層
1028 PDCP層
1030 イーサネット(登録商標)層
1032 MAC層
1034 IP層
1036 UDP層
1038 GTP-C層
1040 イーサネット(登録商標)層
1042 MAC層
1044 IP層
1046 UDP層
1048 GTP-C層
1050 コンテキストプロトコル層
1052 Ctrl層
1054 IP層
1056 UDP層
1058 GTP-C層
1060 Ctrl層
1062 領域
1064 IPプロトコル
1066 領域
1100 プロトコルスタック
1102 クライアントデバイス
1104 ネットワークアクセスノード
1105 ネットワークノード
1106 IoTFプロトコルスタック
1108 サービスネットワーク
1110 PHY層
1112 MAC層
1114 RLC層
1116 PDCP層
1118 コンテキストプロトコル層
1120 UP層
1122 PHY層
1124 MAC層
1126 RLC層
1128 PDCP層
1130 イーサネット(登録商標)層
1132 MAC層
1134 IP層
1136 UDP層
1138 GTP-U層
1140 イーサネット(登録商標)層
1142 MAC層
1144 IP層
1146 UDP層
1148 GTP-U層
1150 コンテキストプロトコル層
1152 UP層
1154 IP層
1156 UDP層
1158 GTP-U層
1160 UP層
1162 領域
1164 IPプロトコル
1166 領域
1200 パケットフォーマット
1202 TIDフィールド
1204 IIDフィールド
1206 セキュリティヘッダフィールド
1208 クライアントデバイスコンテキストフィールド
1210 ペイロードフィールド
1212 MACフィールド
1300 パケットフォーマット
1302 TIDフィールド
1304 IIDフィールド
1306 セキュリティヘッダフィールド
1308 ネットワーク到達可能性コンテキストフィールド
1310 ペイロードフィールド
1312 メッセージ認証符号(MAC)フィールド
1400 信号フロー図
1402 クライアントデバイス
1404 ネットワークアクセスノード
1405 ターゲットネットワークデバイス
1406 ターゲットIoTF-C
1407 ソースネットワークデバイス
1408 ソースIoTF-C
1410 P-GW
1412 IoTサーバ
1414 データ移送要求メッセージ
1418 メッセージ
1420 メッセージ
1422 メッセージ
1426 メッセージ
1428 メッセージ
1430 メッセージ
1500 装置
1502 通信インターフェース
1504 記憶媒体
1506 ユーザインターフェース
1508 メモリデバイス
1510 処理回路
1512 アンテナ
1514 送信機
1516 受信機
1518 ネットワーク関連情報
1520 送信回路/モジュール
1522 受信回路/モジュール
1524 セキュリティコンテキスト取得回路/モジュール
1526 鍵取得回路/モジュール
1528 データパケット保護回路/モジュール
1530 パケット決定回路/モジュール
1532 パケット復号回路/モジュール
1534 ネットワーク登録回路/モジュール
1540 送信命令
1542 受信命令
1544 セキュリティコンテキスト取得命令
1546 鍵取得命令
1548 データパケット保護命令
1550 パケット決定命令
1552 パケット復号命令
1554 ネットワーク登録命令
1600 フローチャート
1700 装置
1702 通信インターフェース
1703 ネットワーク通信インターフェース
1704 記憶媒体
1706 ユーザインターフェース
1708 メモリデバイス
1710 処理回路
1712 アンテナ
1714 送信機
1716 受信機
1718 ネットワーク関連情報
1720 受信回路/モジュール
1722 パケット転送回路/モジュール
1724 一時識別子追加回路/モジュール
1726 記憶回路/モジュール
1728 次ホップ決定回路/モジュール
1730 クライアントデバイス識別回路/モジュール
1732 一時識別子除去回路/モジュール
1740 受信命令
1742 パケット転送命令
1744 一時識別子追加命令
1746 記憶命令
1748 次ホップ決定命令
1750 クライアントデバイス識別命令
1752 一時識別子除去命令
1800 フローチャート
1900 装置
1902 ネットワーク通信インターフェース
1904 記憶媒体
1906 ユーザインターフェース
1908 メモリデバイス
1910 処理回路
1918 ネットワーク関連情報
1920 セキュリティコンテキスト確立回路/モジュール
1922 制御プレーン鍵およびユーザプレーン鍵取得回路/モジュール
1924 鍵移送回路/モジュール
1926 セキュリティコンテキスト取得回路/モジュール
1928 ユーザプレーン鍵決定回路/モジュール
1930 パケット受信回路/モジュール
1932 パケット復号および認証回路/モジュール
1934 パケット保護回路/モジュール
1936 パケット送信回路/モジュール
1940 セキュリティコンテキスト確立命令
1942 制御プレーン鍵およびユーザプレーン鍵取得命令
1944 鍵移送命令
1946 セキュリティコンテキスト取得命令
1948 ユーザプレーン鍵決定命令
1950 パケット受信命令
1952 パケット復号および認証命令
1954 パケット保護命令
1956 パケット送信命令
2000 フローチャート
2100 フローチャート
2200 フローチャート

Claims (48)

  1. ネットワークの中のクライアントデバイスのための方法であって、
    前記ネットワークに登録するステップと、
    第1のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と共有されるユーザプレーン鍵、または第2のネットワークノードにおいて実装される制御プレーンネットワーク機能と共有される制御プレーン鍵を少なくとも取得するステップと、
    前記ユーザプレーン鍵を用いてデータパケットを、または前記制御プレーン鍵を用いて制御パケットを保護するステップであって、前記データパケットが、前記データパケットが前記第1のネットワークノードにおいて処理されるべきであることを示す第1の宛先情報を含み、前記第1の宛先情報が、ネットワークアクセスノードが前記データパケットを前記第1のネットワークノードに転送することを可能にし、前記制御パケットが、前記制御パケットが前記第2のネットワークノードにおいて処理されるべきであることを示す第2の宛先情報を含み、前記第2の宛先情報が、前記ネットワークアクセスノードが前記制御パケットを前記第2のネットワークノードに転送することを可能にする、ステップと、
    前記データパケットまたは前記制御パケットを送信するステップとを備える、方法。
  2. 前記ネットワークからパケットを受信するステップと、
    前記受信されたパケットがデータを含むか制御情報を含むかを決定するステップと、
    前記決定に基づいて、前記ユーザプレーン鍵または前記制御プレーン鍵を用いて前記受信されたパケットを復号するステップとをさらに備える、請求項1に記載の方法。
  3. 前記受信されたパケットを復号するステップが、
    前記ユーザプレーン鍵または前記制御プレーン鍵を用いて前記受信されたパケットを復号して検証するステップを備える、請求項2に記載の方法。
  4. 前記受信されたパケットを検証するステップが、
    前記受信されたパケットに基づいて、前記ユーザプレーン鍵と前記制御プレーン鍵のいずれかを使用して、メッセージ認証符号生成アルゴリズムを適用することによって、第1のメッセージ認証符号を決定するステップと、
    前記第1のメッセージ認証符号を、前記受信されたパケットと関連付けられる第2のメッセージ認証符号と比較するステップとを備える、請求項3に記載の方法。
  5. ユーザプレーンに関して前記クライアントデバイスのネットワーク状態情報を示すユーザプレーンセキュリティコンテキスト、または制御プレーンに関して前記クライアントデバイスのネットワーク状態情報を示す制御プレーンセキュリティコンテキストのうちの少なくとも1つを取得するステップをさらに備える、請求項1に記載の方法。
  6. 前記ユーザプレーンセキュリティコンテキストを取得するステップが、前記ユーザプレーン鍵に基づいて第1の暗号鍵および第1の完全性鍵を導出するステップを備え、前記制御プレーンセキュリティコンテキストを取得するステップが、前記制御プレーン鍵に基づいて第2の暗号鍵および第2の完全性鍵を導出するステップを備える、請求項5に記載の方法。
  7. 前記ユーザプレーンセキュリティコンテキストまたは前記制御プレーンセキュリティコンテキストが、アクセス層セキュリティ保護を含まない、請求項5に記載の方法。
  8. ユーザプレーンネットワーク機能識別子または制御プレーンネットワーク機能識別子が前記受信されたパケットのヘッダに含まれ、前記クライアントデバイスが減らされたデータ移送モードにおいて登録される、請求項2に記載の方法。
  9. 前記データパケットが、前記ユーザプレーン鍵に基づいて、暗号化もしくは完全性保護され、または暗号化と完全性保護の両方が行われ、前記制御パケットが、前記制御プレーン鍵に基づいて、暗号化もしくは完全性保護され、または暗号化と完全性保護の両方が行われる、請求項1に記載の方法。
  10. 前記ネットワークに登録する前記ステップが、
    前記ネットワークに接続するための要求を送信するステップと、
    前記ネットワークから、前記要求に応答して認証手順と関連付けられるメッセージを受信するステップとを備え、
    前記ユーザプレーン鍵または前記制御プレーン鍵が前記メッセージに基づいて取得され、前記接続要求が、前記クライアントデバイスが減らされたデータ移送モードで接続すべきであることを示す、請求項1に記載の方法。
  11. 1つまたは複数のネットワークエンティティと通信するように構成される通信回路と、
    前記通信回路に結合された処理回路とを備え、前記処理回路が、
    前記ネットワークに登録し、
    第1のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と共有されるユーザプレーン鍵、または第2のネットワークノードにおいて実装される制御プレーンネットワーク機能と共有される制御プレーン鍵を少なくとも取得し、
    前記ユーザプレーン鍵を用いてデータパケットを、または前記制御プレーン鍵を用いて制御パケットを保護し、前記データパケットが、前記データパケットが前記第1のネットワークノードにおいて処理されるべきであることを示す第1の宛先情報を含み、前記第1の宛先情報が、ネットワークアクセスノードが前記データパケットを前記第1のネットワークノードに転送することを可能にし、前記制御パケットが、前記制御パケットが前記第2のネットワークノードにおいて処理されるべきであることを示す第2の宛先情報を含み、前記第2の宛先情報が、前記ネットワークアクセスノードが前記制御パケットを前記第2のネットワークノードに転送することを可能にし、
    前記データパケットまたは前記制御パケットを送信する
    ように構成される、クライアントデバイス。
  12. 前記処理回路がさらに、
    前記ネットワークからパケットを受信し、
    前記受信されたパケットがデータを含むか制御情報を含むかを決定し、
    前記決定に基づいて、前記ユーザプレーン鍵または前記制御プレーン鍵を用いて前記受信されたパケットを復号するように構成される、請求項11に記載のクライアントデバイス。
  13. 前記受信されたパケットを復号するように構成される前記処理回路がさらに、
    前記ユーザプレーン鍵または前記制御プレーン鍵を用いて前記受信されたパケットを復号して検証するように構成される、請求項12に記載のクライアントデバイス。
  14. 前記受信されたパケットを検証するように構成される前記処理回路がさらに、
    前記受信されたパケットに基づいて、前記ユーザプレーン鍵と前記制御プレーン鍵のいずれかを使用して、メッセージ認証符号生成アルゴリズムを適用することによって、第1のメッセージ認証符号を決定し、
    前記第1のメッセージ認証符号を、前記受信されたパケットと関連付けられる第2のメッセージ認証符号と比較するように構成される、請求項13に記載のクライアントデバイス。
  15. 前記処理回路がさらに、
    ユーザプレーンに関して前記クライアントデバイスのネットワーク状態情報を示すユーザプレーンセキュリティコンテキスト、または制御プレーンに関して前記クライアントデバイスのネットワーク状態情報を示す制御プレーンセキュリティコンテキストのうちの少なくとも1つを取得するように構成される、請求項11に記載のクライアントデバイス。
  16. ネットワークアクセスノードのための方法であって、
    クライアントデバイスから第1のパケットを受信するステップと、
    前記クライアントデバイスのネットワーク接続モードに基づいて、次のホップのネットワークノードを決定するステップと、
    前記ネットワーク接続モードが減らされたデータ移送モードであるとき、前記クライアントデバイスから受信された前記第1のパケットを検証することなく、前記第1のパケットを前記次のホップのネットワークノードに転送するステップとを備える、方法。
  17. ネットワークノードから第2のパケットを受信するステップと、
    前記クライアントデバイスの前記ネットワーク接続モードが前記減らされたデータ移送モードであるとき、前記ネットワークノードから受信された前記第2のパケットを、保護することなく前記クライアントデバイスに転送するステップとをさらに備える、請求項16に記載の方法。
  18. 前記クライアントデバイスから、前記ネットワーク接続モードを示すものとともにネットワークに接続するための要求を受信するステップをさらに備え、前記ネットワーク接続モードが前記減らされたデータ移送モードである、請求項16に記載の方法。
  19. 前記次のホップのネットワークノードの前記決定が、前記ネットワークアクセスノードにおける事前に構成された情報に基づき、または前記第1のパケットに含まれる宛先情報に基づき、前記ネットワーク接続モードが前記減らされたデータ移送モードである、請求項16に記載の方法。
  20. 前記宛先情報が、ネットワーク機能を実装するネットワークノードの識別を可能にするネットワーク機能識別子を含む、請求項19に記載の方法。
  21. 前記ネットワーク機能識別子が、第1のネットワークノードにおいて実装される制御プレーンネットワーク機能または第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能と関連付けられる、請求項20に記載の方法。
  22. 前記第1のパケットに、前記クライアントデバイスと関連付けられる一時識別子を追加するステップであって、前記第1のパケットがデータパケットまたは制御パケットである、ステップと、
    前記一時識別子を記憶するステップとをさらに備える、請求項16に記載の方法。
  23. 前記一時識別子がセル無線ネットワーク一時識別子(C-RNTI)であり、前記一時識別子が所定の期間記憶される、請求項22に記載の方法。
  24. 前記第2のパケットの中の一時識別子から前記クライアントデバイスを識別するステップをさらに備え、
    前記第2のパケットがデータパケットまたは制御パケットである、請求項17に記載の方法。
  25. 前記第2のパケットを転送する前に前記第2のパケットから前記一時識別子を除去するステップをさらに備える、請求項24に記載の方法。
  26. 1つまたは複数のネットワークエンティティと通信するように構成される通信回路と、
    前記通信回路に結合された処理回路とを備え、前記処理回路が、
    クライアントデバイスから第1のパケットを受信し、
    前記クライアントデバイスのネットワーク接続モードに基づいて、次のホップのネットワークノードを決定し、
    前記ネットワーク接続モードが減らされたデータ移送モードであるとき、前記クライアントデバイスから受信された前記第1のパケットを検証することなく、前記第1のパケットを前記次のホップのネットワークノードに転送する
    ように構成される、ネットワークアクセスノード。
  27. 前記処理回路がさらに、
    ネットワークノードから第2のパケットを受信し、
    前記クライアントデバイスの前記ネットワーク接続モードが前記減らされたデータ移送モードであるとき、前記ネットワークノードから受信された前記第2のパケットを、保護することなく前記クライアントデバイスに転送するように構成される、請求項26に記載のネットワークアクセスノード。
  28. 前記処理回路がさらに、
    前記クライアントデバイスから、前記ネットワーク接続モードを示すものとともにネットワークに接続するための要求を受信するように構成され、前記ネットワーク接続モードが前記減らされたデータ移送モードである、請求項26に記載のネットワークアクセスノード。
  29. 前記処理回路がさらに、
    前記第1のパケットに、前記クライアントデバイスと関連付けられる一時識別子を追加し、前記第1のパケットがデータパケットまたは制御パケットであり、
    前記一時識別子を記憶するように構成される、請求項26に記載のネットワークアクセスノード。
  30. 前記処理回路がさらに、
    前記第2のパケットの中の一時識別子から前記クライアントデバイスを識別するように構成され、前記第2のパケットがデータパケットまたは制御パケットである、請求項27に記載のネットワークアクセスノード。
  31. 第1のネットワークノードのための方法であって、
    前記第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、クライアントデバイスのセキュリティコンテキストを確立するステップと、
    前記第1のネットワークノードにおいて実装される前記制御プレーンネットワーク機能において、第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能のためのユーザプレーン鍵を取得するステップと、
    前記第1のネットワークノードにおいて実装される前記制御プレーンネットワーク機能から、前記第2のネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能に前記ユーザプレーン鍵を移送するステップとを備える、方法。
  32. 前記クライアントデバイスの前記セキュリティコンテキストを確立する前記ステップが、前記クライアントデバイスとの相互認証手順を実行するステップを含む、請求項31に記載の方法。
  33. 前記ユーザプレーン鍵を取得するステップが、前記相互認証手順の間に確立されるセッション証明書から前記ユーザプレーン鍵を導出するステップを含む、請求項32に記載の方法。
  34. 前記第1のネットワークノードにおいて実装される前記制御プレーンネットワーク機能において、前記制御プレーンネットワーク機能のための制御プレーン鍵を取得するステップをさらに備える、請求項31に記載の方法。
  35. 第1のネットワークノードであって、
    1つまたは複数のネットワークエンティティと通信するように構成される通信回路と、
    前記通信回路に結合された処理回路とを備え、前記処理回路が、
    前記第1のネットワークノードにおいて実装される制御プレーンネットワーク機能において、クライアントデバイスのセキュリティコンテキストを確立し、
    前記第1のネットワークノードにおいて実装される前記制御プレーンネットワーク機能において、第2のネットワークノードにおいて実装されるユーザプレーンネットワーク機能のためのユーザプレーン鍵を取得し、
    前記第1のネットワークノードにおいて実装される前記制御プレーンネットワーク機能から、前記第2のネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能に前記ユーザプレーン鍵を移送する
    ように構成される、第1のネットワークノード。
  36. 前記クライアントデバイスの前記セキュリティコンテキストを確立するように構成される前記処理回路がさらに、
    前記クライアントデバイスとの相互認証手順を実行するように構成される、請求項35に記載の第1のネットワークノード。
  37. 前記ユーザプレーン鍵を取得するように構成される前記処理回路がさらに、
    前記相互認証手順の間に確立されるセッション証明書から前記ユーザプレーン鍵を導出するように構成される、請求項36に記載の第1のネットワークノード。
  38. 前記処理回路がさらに、
    前記ネットワークノードの前記制御プレーンネットワーク機能において、前記制御プレーンネットワーク機能のための制御プレーン鍵を取得するように構成される、請求項35に記載の第1のネットワークノード。
  39. ネットワークノードのための方法であって、
    前記ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスのセキュリティコンテキストを取得するステップと、
    前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能において、前記クライアントデバイスからのデータパケットの復号または検証のために少なくとも使用されるべき鍵を決定するステップと、
    前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能において、前記クライアントデバイスから前記データパケットを受信するステップと、
    前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能において、前記鍵に基づいて前記クライアントデバイスからの前記データパケットを復号して検証するステップとを備える、方法。
  40. 前記セキュリティコンテキストを取得する前記ステップが、前記ネットワークノードの制御プレーンネットワーク機能から前記セキュリティコンテキストを受信するステップを含む、請求項39に記載の方法。
  41. 前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能において、アプリケーションサーバまたはゲートウェイから前記クライアントデバイスのためのデータパケットを受信するステップと、
    前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能において、前記クライアントデバイスと関連付けられる少なくとも1つの鍵を決定するステップと、
    前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能において、前記少なくとも1つの鍵を使用して前記クライアントデバイスのための前記データパケットを保護するステップとをさらに備える、請求項39に記載の方法。
  42. 前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能から、前記クライアントデバイスのための前記データパケットを前記次のホップのネットワークノードに送信するステップをさらに備える、請求項41に記載の方法。
  43. 前記クライアントデバイスのための前記データパケットを保護するステップが、前記クライアントデバイスのために、前記データパケットを暗号化もしくは完全性保護するステップ、または、前記データパケットの暗号化と完全性保護の両方を行うステップを含む、請求項41に記載の方法。
  44. ネットワークノードであって、
    1つまたは複数のネットワークエンティティと通信するように構成される通信回路と、
    前記通信回路に結合された処理回路とを備え、前記処理回路が、
    前記ネットワークノードにおいて実装されるユーザプレーンネットワーク機能において、クライアントデバイスのセキュリティコンテキストを取得し、
    前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能において、前記クライアントデバイスからのデータパケットの復号または検証のために少なくとも使用されるべき鍵を決定し、
    前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能において、前記クライアントデバイスから前記データパケットを受信し、
    前記ネットワークノードの前記ユーザプレーンネットワーク機能において、前記鍵に基づいて前記クライアントデバイスからの前記データパケットを復号して検証する
    ように構成される、ネットワークノード。
  45. 前記セキュリティコンテキストを取得するように構成される前記処理回路がさらに、
    前記ネットワークノードにおいて実装される制御プレーンネットワーク機能から前記セキュリティコンテキストを受信するように構成される、請求項44に記載のネットワークノード。
  46. 前記処理回路がさらに、
    前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能において、アプリケーションサーバまたはゲートウェイから前記クライアントデバイスのためのデータパケットを受信し、
    前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能において、前記クライアントデバイスと関連付けられる少なくとも1つの鍵を決定し、
    前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能において、前記少なくとも1つの鍵を使用して前記クライアントデバイスのための前記データパケットを保護する
    ように構成される、請求項44に記載のネットワークノード。
  47. 前記処理回路がさらに、
    前記ネットワークノードにおいて実装される前記ユーザプレーンネットワーク機能から、前記クライアントデバイスのための前記データパケットを前記次のホップのネットワークノードに送信するように構成される、請求項46に記載のネットワークノード。
  48. 前記クライアントデバイスのための前記データパケットを保護するように構成される前記処理回路がさらに、
    前記クライアントデバイスのための前記データパケットを暗号化もしくは完全性保護し、または暗号化と完全性保護の両方を行うように構成される、請求項46に記載のネットワークノード。
JP2018500695A 2015-07-12 2016-06-10 ネットワークセキュリティアーキテクチャ Active JP6882255B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021078681A JP7246430B2 (ja) 2015-07-12 2021-05-06 ネットワークセキュリティアーキテクチャ

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562191459P 2015-07-12 2015-07-12
US62/191,459 2015-07-12
US15/160,326 US10362011B2 (en) 2015-07-12 2016-05-20 Network security architecture
US15/160,326 2016-05-20
PCT/US2016/037068 WO2017011114A1 (en) 2015-07-12 2016-06-10 Network security architecture for cellular internet of things

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2021078681A Division JP7246430B2 (ja) 2015-07-12 2021-05-06 ネットワークセキュリティアーキテクチャ

Publications (3)

Publication Number Publication Date
JP2018528647A true JP2018528647A (ja) 2018-09-27
JP2018528647A5 JP2018528647A5 (ja) 2019-06-27
JP6882255B2 JP6882255B2 (ja) 2021-06-02

Family

ID=57731536

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2018500695A Active JP6882255B2 (ja) 2015-07-12 2016-06-10 ネットワークセキュリティアーキテクチャ
JP2021078681A Active JP7246430B2 (ja) 2015-07-12 2021-05-06 ネットワークセキュリティアーキテクチャ

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2021078681A Active JP7246430B2 (ja) 2015-07-12 2021-05-06 ネットワークセキュリティアーキテクチャ

Country Status (8)

Country Link
US (4) US10362011B2 (ja)
EP (2) EP3320707B1 (ja)
JP (2) JP6882255B2 (ja)
KR (1) KR102447299B1 (ja)
CN (2) CN113329006B (ja)
BR (1) BR112018000644A2 (ja)
TW (1) TWI708513B (ja)
WO (1) WO2017011114A1 (ja)

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10505850B2 (en) 2015-02-24 2019-12-10 Qualcomm Incorporated Efficient policy enforcement using network tokens for services—user-plane approach
US10362011B2 (en) 2015-07-12 2019-07-23 Qualcomm Incorporated Network security architecture
TWI562661B (en) * 2015-08-27 2016-12-11 Ind Tech Res Inst Cell and method and system for bandwidth management of backhaul network of cell
CN106961722B (zh) * 2016-01-12 2018-09-11 展讯通信(上海)有限公司 数据的传输方法及基站
CN107666667B (zh) * 2016-07-29 2019-09-17 电信科学技术研究院 一种数据传输方法、第一设备及第二设备
WO2018037149A1 (en) * 2016-08-22 2018-03-01 Nokia Technologies Oy Security procedure
US20180097807A1 (en) * 2016-09-30 2018-04-05 Lg Electronics Inc. Method and apparatus for performing initial access procedure based on authentication in wireless communication system
WO2018082035A1 (zh) * 2016-11-04 2018-05-11 华为技术有限公司 一种功能调度方法、设备和系统
CN108347416B (zh) 2017-01-24 2021-06-29 华为技术有限公司 一种安全保护协商方法及网元
KR102556491B1 (ko) * 2017-01-27 2023-07-17 삼성전자주식회사 미션 크리티컬 데이터 통신 시스템에서 시그널링 플레인을 통한 엔드-대-엔드 보안을 제공하는 방법
US11558745B2 (en) 2017-01-30 2023-01-17 Telefonaktiebolaget Lm Ericsson (Publ) Methods for integrity protection of user plane data
PL3596953T3 (pl) 2017-03-17 2023-10-09 Telefonaktiebolaget Lm Ericsson (Publ) Rozwiązanie dotyczące bezpieczeństwa włączania i wyłączania zabezpieczeń dla danych up pomiędzy ue a ran w 5g
DE102017208735A1 (de) * 2017-05-23 2018-11-29 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung insbesondere innerhalb eines Kommunikationsnetzwerkes einer industriellen Fertigung und/oder Automatisierung
WO2018222133A2 (zh) * 2017-06-01 2018-12-06 华为国际有限公司 数据保护方法、装置以及系统
US10470042B2 (en) * 2017-07-27 2019-11-05 Nokia Technologies Oy Secure short message service over non-access stratum
US20190089592A1 (en) * 2017-09-20 2019-03-21 Quanta Computer Inc. Role-based automatic configuration system and method for ethernet switches
CA3081114C (en) * 2017-11-08 2023-08-01 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Integrity protection control method, network device and computer storage medium
US10771450B2 (en) * 2018-01-12 2020-09-08 Blackberry Limited Method and system for securely provisioning a remote device
AR115038A1 (es) * 2018-04-06 2020-11-18 Ericsson Telefon Ab L M Manejo controlado por ue de la política de seguridad para protección de plano de usuario en sistemas 5g
CN108833340A (zh) * 2018-04-26 2018-11-16 浙江麦知网络科技有限公司 一种室内网络通信安全保护系统
EP3565191B1 (en) * 2018-04-30 2021-07-07 Hewlett Packard Enterprise Development LP Provisioning and managing internet-of-thing devices over a network
US20220038433A1 (en) * 2018-09-21 2022-02-03 Nokia Technologies Oy Method and apparatus for secure messaging between network functions
WO2020099148A1 (en) * 2018-11-12 2020-05-22 Telefonaktiebolaget Lm Ericsson (Publ) Authentication of a communications device
EP3974986A1 (en) 2018-11-14 2022-03-30 Telefonaktiebolaget LM Ericsson (publ) Nf service consumer restart detection using direct signaling between nfs
US11533613B2 (en) 2019-08-16 2022-12-20 Qualcomm Incorporated Providing secure communications between computing devices
WO2021060855A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 제어 데이터 패킷을 보호하기 위한 시스템 및 그에 관한 방법
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
TWI754950B (zh) * 2020-06-02 2022-02-11 鴻海精密工業股份有限公司 物聯網設備、伺服器及軟體更新方法
CN112188447B (zh) * 2020-08-26 2021-09-14 江苏龙睿物联网科技有限公司 一种物联网移动基站通信保护系统及保护方法
US20220353263A1 (en) * 2021-04-28 2022-11-03 Verizon Patent And Licensing Inc. Systems and methods for securing network function subscribe notification process
US11902260B2 (en) * 2021-08-02 2024-02-13 Cisco Technology, Inc. Securing control/user plane traffic
US11570180B1 (en) * 2021-12-23 2023-01-31 Eque Corporation Systems configured for validation with a dynamic cryptographic code and methods thereof
US11928039B1 (en) * 2022-11-01 2024-03-12 Micron Technologies, Inc. Data-transfer test mode

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8832449B2 (en) * 2006-03-22 2014-09-09 Lg Electronics Inc. Security considerations for the LTE of UMTS
US20080181411A1 (en) 2007-01-26 2008-07-31 Karl Norrman Method and system for protecting signaling information
US8855138B2 (en) * 2008-08-25 2014-10-07 Qualcomm Incorporated Relay architecture framework
WO2010124474A1 (zh) 2009-04-30 2010-11-04 华为技术有限公司 空口链路安全机制建立的方法、设备
CN102036256B (zh) * 2009-09-28 2013-03-20 华为技术有限公司 数据传输方法、装置及系统
US8477724B2 (en) 2010-01-11 2013-07-02 Research In Motion Limited System and method for enabling session context continuity of local service availability in local cellular coverage
US9021072B2 (en) * 2010-01-28 2015-04-28 Verizon Patent And Licensing Inc. Localized media offload
GB201008633D0 (en) * 2010-05-24 2010-07-07 Gigle Networks Iberia Sl Communications apparatus
CN103210627A (zh) 2010-11-15 2013-07-17 交互数字专利控股公司 证书认证和信道绑定
US20120252481A1 (en) * 2011-04-01 2012-10-04 Cisco Technology, Inc. Machine to machine communication in a communication network
WO2012154325A1 (en) * 2011-04-01 2012-11-15 Interdigital Patent Holdings, Inc. Method and apparatus for controlling connectivity to a network
EP2724571A2 (en) 2011-06-22 2014-04-30 NEC Europe Ltd. Energy awareness in mobile communication user equipment and networks, including optimizations based on state compression
WO2013006194A1 (en) 2011-07-01 2013-01-10 Intel Corporation Structured codebook for uniform circular array (uca)
US20130046821A1 (en) * 2011-08-15 2013-02-21 Renasas Mobile Corporation Advanced Machine-To-Machine Communications
KR101935785B1 (ko) * 2011-08-16 2019-04-03 삼성전자 주식회사 무선통신시스템에서 멀티미디어 방송 서비스를 수신하는 방법 및 장치
CN103002428B (zh) * 2011-09-15 2016-08-03 华为技术有限公司 一种物联网终端网络附着的方法及系统
EP2764641B1 (en) * 2011-10-03 2019-12-18 Intel Corporation Device to device (d2d) communication mechanisms
KR20130037481A (ko) * 2011-10-06 2013-04-16 주식회사 케이티 통신망, 개체 및 트리거링 제어 방법
WO2013065996A1 (ko) * 2011-11-03 2013-05-10 주식회사 케이티 기계 형태 통신 단말의 트리거링을 위한 서버 및 방법
AU2013260295B2 (en) * 2012-05-10 2017-05-04 Samsung Electronics Co., Ltd. Method and system for connectionless transmission during uplink and downlink of data packets
EP2693800A1 (en) * 2012-08-03 2014-02-05 Panasonic Corporation Radio Resource Managment for Dual Priority Access
CN103686708B (zh) 2012-09-13 2018-01-19 电信科学技术研究院 一种密钥隔离方法及设备
WO2014109602A1 (en) 2013-01-11 2014-07-17 Lg Electronics Inc. Method and apparatus for applying security information in wireless communication system
GB201306350D0 (en) 2013-04-08 2013-05-22 Gen Dynamics Broadband Inc Apparatus and methods for key generation
US9900772B2 (en) * 2013-05-09 2018-02-20 Intel IP Corporation Small data communications
CN109982440A (zh) * 2013-08-02 2019-07-05 华为技术有限公司 空闲状态随机接入方法及设备
IN2013MU02890A (ja) * 2013-09-05 2015-07-03 Tata Consultancy Services Ltd
US9497673B2 (en) * 2013-11-01 2016-11-15 Blackberry Limited Method and apparatus to enable multiple wireless connections
JP2016540441A (ja) * 2013-12-06 2016-12-22 アイディーエーシー ホールディングス インコーポレイテッド 無線システムにおける階層化された接続性
CN104540107A (zh) * 2014-12-03 2015-04-22 东莞宇龙通信科技有限公司 Mtc终端群组的管理方法、管理系统和网络侧设备
EP3281434B1 (en) 2015-04-08 2020-02-12 Telefonaktiebolaget LM Ericsson (publ) Method, apparatus, and system for providing encryption or integrity protection in a wireless network
JP6677747B2 (ja) * 2015-04-22 2020-04-08 コンヴィーダ ワイヤレス, エルエルシー 3gppネットワークにおけるスモールデータ使用有効化
US10362011B2 (en) 2015-07-12 2019-07-23 Qualcomm Incorporated Network security architecture

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Technical Specification Group Services and System Aspects; Study on Machine-Type Communications (MTC", 3GPP TR 23.887 V12.0.0, JPN6020030342, 20 December 2014 (2014-12-20), pages 1 - 24, ISSN: 0004327401 *
ERICSSON, ET AL.: "More details on fast path security protocol", 3GPP TSG SA WG3 #72 S3-130778, JPN6020030339, 1 July 2013 (2013-07-01), pages 1 - 9, ISSN: 0004327400 *

Also Published As

Publication number Publication date
EP3905744A1 (en) 2021-11-03
TWI708513B (zh) 2020-10-21
EP3320707A1 (en) 2018-05-16
TW201703556A (zh) 2017-01-16
KR102447299B1 (ko) 2022-09-23
US20190306141A1 (en) 2019-10-03
US11329969B2 (en) 2022-05-10
US20220263812A1 (en) 2022-08-18
US20170012956A1 (en) 2017-01-12
JP2021145342A (ja) 2021-09-24
CN107736047A (zh) 2018-02-23
CN107736047B (zh) 2021-06-08
US20190306140A1 (en) 2019-10-03
CN113329006A (zh) 2021-08-31
JP6882255B2 (ja) 2021-06-02
US10362011B2 (en) 2019-07-23
EP3320707B1 (en) 2021-11-17
CN113329006B (zh) 2023-05-26
JP7246430B2 (ja) 2023-03-27
WO2017011114A1 (en) 2017-01-19
BR112018000644A2 (pt) 2018-09-18
KR20180030023A (ko) 2018-03-21

Similar Documents

Publication Publication Date Title
JP7246430B2 (ja) ネットワークセキュリティアーキテクチャ
JP6928143B2 (ja) 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ
US11716615B2 (en) Network architecture and security with simplified mobility procedure
US10097995B2 (en) Network architecture and security with encrypted network reachability contexts

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190524

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190524

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200731

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210405

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210506

R150 Certificate of patent or registration of utility model

Ref document number: 6882255

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150