JP6928143B2 - 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ - Google Patents

暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ Download PDF

Info

Publication number
JP6928143B2
JP6928143B2 JP2020072817A JP2020072817A JP6928143B2 JP 6928143 B2 JP6928143 B2 JP 6928143B2 JP 2020072817 A JP2020072817 A JP 2020072817A JP 2020072817 A JP2020072817 A JP 2020072817A JP 6928143 B2 JP6928143 B2 JP 6928143B2
Authority
JP
Japan
Prior art keywords
client device
network
context
encrypted
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020072817A
Other languages
English (en)
Other versions
JP2020129805A (ja
Inventor
ス・ボム・イ
ギャヴィン・バーナード・ホーン
アナンド・パラニガウンダー
アドリアン・エドワード・エスコット
ステファノ・ファッチン
Original Assignee
クアルコム,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クアルコム,インコーポレイテッド filed Critical クアルコム,インコーポレイテッド
Publication of JP2020129805A publication Critical patent/JP2020129805A/ja
Application granted granted Critical
Publication of JP6928143B2 publication Critical patent/JP6928143B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0457Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W68/00User notification, e.g. alerting and paging, for incoming communication, change of service or the like
    • H04W68/005Transmission of information for alerting of incoming communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Description

関連出願の相互参照
本出願は、2015年7月12日に米国特許商標庁に出願された仮出願第62/191,457号、2016年4月9日に米国特許商標庁に出願された仮出願第62/320,506号、および2016年5月20日に米国特許商標庁に出願された非仮出願第15/160,198号に対する優先権を主張し、これらの出願の内容全体が、参照により本明細書に組み込まれる。
本開示の態様は全般に、ネットワーク通信に関し、より具体的には、限定はしないが、モノのインターネット(IoT:Internet of Things)ネットワークアーキテクチャに関する。
電子デバイスがデータを収集し、処理し、交換する能力は成長し続けている。その上、ますます多くのこれらの電子デバイスがネットワーク接続性を与えられている。そのような能力および機能は、多くの電子デバイスがモノのインターネット(IoT)デバイスへと進化することを可能にしている。これらのタイプの電子デバイスの数が急速に増え続けているので、ネットワークはこれらの電子デバイスを適切にサポートするためのリソースを有しないことがある。
たとえば、IoT環境においては、ネットワーク(たとえば、LTEネットワーク)は多数の(たとえば、数十億個の)IoTデバイスをサポートする必要があり得る。IoTの目的でネットワークにより割り振られるリソースの量は限られていることがあるので、ネットワークはこれらのタイプのデバイスのすべてのコンテキストを維持することが可能ではないことがある。その上、IoTデバイスは頻繁には活動せずリソースが限られていることがあるので、これらのデバイスは、接続に必要とされる複雑なシグナリングを実行することが可能ではないことがある。
以下では、本開示のいくつかの態様の基本的な理解をもたらすように、そのような態様の簡略化された概要を提示する。この概要は、本開示のすべての企図された特徴の広範な概要ではなく、本開示のすべての態様の主要な要素または重要な要素を特定するものでもなく、本開示のいずれかまたはすべての態様の範囲を定めるものでもない。その唯一の目的は、後で提示されるより詳細な説明の前置きとして、本開示のいくつかの態様の様々な概念を簡略化された形態で提示することである。
ある態様では、ネットワークアクセスノードのための方法が提供される。ネットワークアクセスノードは、クライアントデバイスと関連付けられる暗号化されたクライアントデバイスコンテキストのための鍵を取得し、クライアントデバイスから第1のデータパケットおよび暗号化されたクライアントデバイスコンテキストを受信し、鍵を使用して暗号化されたクライアントデバイスコンテキストからクライアントデバイスのセキュリティコンテキストを取得し、セキュリティコンテキストに基づいて第1のデータパケットを復号および/または検証し、復号および検証が成功するときに第1のデータパケットをサービスネットワークに転送する。ある態様では、ネットワークアクセスノードは、鍵に基づいて暗号化されたクライアントデバイスコンテキストを復号することによってセキュリティコンテキストを取得し、セキュリティコンテキストは少なくとも、ユーザプレーン暗号鍵、ユーザプレーン完全性保護鍵、またはこれらの組合せを含む。ある態様では、第1のデータパケットは、少なくとも、ユーザプレーン完全性保護鍵を用いて検証され、またはユーザプレーン暗号鍵を用いて復号される。ある態様では、セキュリティコンテキストは、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵を含む。そのような態様では、ネットワークアクセスノードは、サーバまたはパケットデータネットワークゲートウェイから第2のデータパケットを受信し、ユーザプレーン暗号鍵またはユーザプレーン完全性保護鍵を使用して第2のデータパケットを暗号化または完全性保護し、第2のデータパケットをクライアントデバイスに転送し得る。ネットワークアクセスノードは少なくとも1つのコンテキストを除去し得る。ネットワークアクセスノードは、リソース確立要求と、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つとを含むメッセージを、クライアントデバイスから受信し得る。ネットワークアクセスノードは、メッセージに応答して、クライアントデバイスのネットワークアドレスを取得し得る。ネットワークアクセスノードは、ネットワークアドレスをクライアントデバイスに送信し得る。ある態様では、ネットワークアクセスノードは、クライアントデバイスからリソース解放要求メッセージを受信することがあり、クライアントデバイスからゲートウェイへリソース解放要求メッセージを送信することがあり、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。ある態様では、1つまたは複数のリソースは少なくとも、クライアントデバイスのネットワークアドレスまたはベアラを備える。別の態様では、ネットワークアクセスノードは、クライアントデバイスからネットワークへの送信の前、またはネットワークからクライアントデバイスへの送信の前にタイマーが満了するときに、リソース解放要求メッセージをゲートウェイに送信することがあり、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。ある態様では、1つまたは複数のリソースは少なくとも、クライアントデバイスのネットワークアドレスまたはベアラを備える。ある態様では、ネットワークアクセスノードは、クライアントデバイスからネットワークへの送信の前、またはネットワークからクライアントデバイスへの送信の前にタイマーが満了するときに、クライアントデバイスのための1つまたは複数のリソースを解放し得る。ある態様では、1つまたは複数のリソースは少なくとも、クライアントデバイスのネットワークアドレスまたはベアラを備える。別の態様では、ネットワークアクセスノードは、クライアントデバイスからリソース解放要求メッセージを受信し得る。そのような態様では、ネットワークアクセスノードは、リソース解放要求メッセージに応答して、クライアントデバイスのための1つまたは複数のリソースを解放し得る。ある態様では、1つまたは複数のリソースは少なくとも、クライアントデバイスのネットワークアドレスまたはベアラを備える。
ある態様では、ネットワークアクセスノードが提供される。ネットワークアクセスノードは、クライアントデバイスと関連付けられる暗号化されたクライアントデバイスコンテキストのための鍵を取得するための手段と、クライアントデバイスから第1のデータパケットおよび暗号化されたクライアントデバイスコンテキストを受信するための手段と、鍵を使用して暗号化されたクライアントデバイスコンテキストからクライアントデバイスのセキュリティコンテキストを取得するための手段と、セキュリティコンテキストに基づいて第1のデータパケットを復号および/または検証するための手段と、復号および検証が成功するときに第1のデータパケットをサービスネットワークに転送するための手段とを含む。ある態様では、セキュリティコンテキストを取得するための手段は、鍵に基づいて暗号化されたクライアントデバイスコンテキストを復号するように構成され、セキュリティコンテキストは少なくとも、ユーザプレーン暗号鍵、ユーザプレーン完全性保護鍵、またはこれらの組合せを含む。ある態様では、第1のデータパケットは、少なくとも、ユーザプレーン完全性保護鍵を用いて検証され、またはユーザプレーン暗号鍵を用いて復号される。ある態様では、セキュリティコンテキストは、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵を含む。そのような態様では、ネットワークアクセスノードは、サーバまたはパケットデータネットワークゲートウェイから第2のデータパケットを受信するための手段と、ユーザプレーン暗号鍵またはユーザプレーン完全性保護鍵を使用して第2のデータパケットを暗号化または完全性保護するための手段と、第2のデータパケットをクライアントデバイスに転送するための手段とを含み得る。ある態様では、ネットワークアクセスノードは、少なくとも1つのコンテキストを除去するための手段を含む。ある態様では、ネットワークアクセスノードは、リソース確立要求と、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つとを含むメッセージを、クライアントデバイスから受信するための手段を含む。ある態様では、ネットワークアクセスノードは、メッセージに応答して、クライアントデバイスのネットワークアドレスを取得するための手段を含む。ある態様では、ネットワークアクセスノードは、クライアントデバイスにネットワークアドレスを送信するための手段を含む。ある態様では、ネットワークアクセスノードは、クライアントデバイスからリソース解放要求メッセージを受信するための手段と、クライアントデバイスからゲートウェイへリソース解放要求メッセージを送信するための手段とを含み、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。ある態様では、1つまたは複数のリソースは少なくとも、クライアントデバイスのネットワークアドレスまたはベアラを備える。別の態様では、ネットワークアクセスノードは、クライアントデバイスからネットワークへの送信の前、またはネットワークからクライアントデバイスへの送信の前にタイマーが満了するときに、リソース解放要求メッセージをゲートウェイに送信するための手段を含み、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。ある態様では、1つまたは複数のリソースは少なくとも、クライアントデバイスのネットワークアドレスまたはベアラを備える。ある態様では、ネットワークアクセスノードは、クライアントデバイスからネットワークへの送信の前、またはネットワークからクライアントデバイスへの送信の前にタイマーが満了するときに、クライアントデバイスのための1つまたは複数のリソースを解放するための手段を含む。ある態様では、1つまたは複数のリソースは少なくとも、クライアントデバイスのネットワークアドレスまたはベアラを備える。別の態様では、ネットワークアクセスノードは、クライアントデバイスからリソース解放要求メッセージを受信するための手段を含む。そのような態様では、ネットワークアクセスノードは、リソース解放要求メッセージに応答して、クライアントデバイスのための1つまたは複数のリソースを解放するための手段を含む。ある態様では、1つまたは複数のリソースは少なくとも、クライアントデバイスのネットワークアドレスまたはベアラを備える。
ある態様では、クライアントデバイスのための方法が提供される。クライアントデバイスは、ネットワークと通信するための要求を送信し、ネットワークとの接続のためのセキュリティコンテキストを確立し、ここでセキュリティコンテキストが少なくとも暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含み、要求に応答してネットワークから1つまたは複数の暗号化されたクライアントデバイスコンテキストを受信する。クライアントデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを含むメッセージをネットワークに送信し、1つまたは複数の暗号化されたクライアントデバイスコンテキストが、クライアントデバイスとの通信のためのネットワークにおけるコンテキストの再構築を可能にし、コンテキストがクライアントデバイスと関連付けられるネットワーク状態情報を含む。ある態様では、コンテキストはネットワークにおいて除去される。ある態様では、クライアントデバイスは、メッセージがデータを含むか制御情報を含むかに基づいて、使用すべき1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを決定する。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとのデータ関連の通信のために使用されるべき第1のコンテキストと、クライアントデバイスとの制御関連の通信のために使用されるべき第2のコンテキストとを含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、セキュリティコンテキスト、ベアラのサービス品質、トンネルエンドポイント識別子、またはこれらの組合せのうちの少なくとも1つを含む。ある態様では、要求は、クライアントデバイスが1つまたは複数の暗号化されたクライアントデバイスコンテキストを要求していることを示すものを備える。ある態様では、要求は、クライアントデバイスが要求しているサービスを示すものを備える。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、ユーザプレーンの暗号化されたクライアントデバイスコンテキストおよび制御プレーンの暗号化されたクライアントデバイスコンテキストを含む。そのような態様では、メッセージは、ユーザプレーンの暗号化されたクライアントデバイスコンテキストを有する第1のデータパケット、または制御プレーンの暗号化されたクライアントデバイスコンテキストを有する制御パケットを含む。ある態様では、暗号鍵はユーザプレーン暗号鍵であり、完全性保護鍵はユーザプレーン完全性保護鍵であり、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵はクライアントデバイスにおいて維持され、第1のデータパケットは少なくとも、ユーザプレーン完全性保護鍵を用いて完全性保護され、またはユーザプレーン暗号鍵を用いて暗号化される。ある態様では、第1のデータパケットを含むメッセージの送信は、ネットワークのネットワークアクセスノードとの無線リソース制御接続を確立しない。ある態様では、クライアントデバイスは、第1のデータパケットを含むメッセージを送信した直後に、アイドルモードに入る。ある態様では、クライアントデバイスは第2のデータパケットを受信し、第2のデータパケットを受信するステップは、ネットワークアクセスノードとの無線リソース制御接続を確立しない。ある態様では、暗号鍵はユーザプレーン暗号鍵であり、完全性保護鍵はユーザプレーン完全性保護鍵であり、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵はクライアントデバイスにおいて維持され、第2のデータパケットを受信するステップは、ユーザプレーン完全性保護鍵を用いて第2のデータパケットを検証するステップまたはユーザプレーン暗号鍵を用いて第2のデータパケットを復号するステップのうちの少なくとも1つを備える。ある態様では、制御パケットはトラッキングエリア更新である。ある態様では、クライアントデバイスは、ネットワークからページメッセージを受信する。ある態様では、クライアントデバイスは、ユーザプレーンの暗号化されたクライアントデバイスコンテキストを有する空のパケットをネットワークに送信する。ある態様では、暗号化されたクライアントデバイスコンテキストは、ネットワークとの認証が成功した結果として、ネットワークから受信される。ある態様では、ネットワークとの認証の成功は、アクセス層セキュリティコンテキストを確立しない。ある態様では、クライアントデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストをローカルの記憶装置に記憶する。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストはクライアントデバイスにおいて復号されず、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成したネットワークデバイスのみによって復号される。ある態様では、メッセージはさらに、リソース確立要求を含む。そのような態様では、クライアントデバイスは、メッセージに応答してクライアントデバイスのネットワークアドレスを受信し、ネットワークアドレスを含む複数のデータパケットをネットワークに送信する。ある態様では、クライアントデバイスは、リソース解放要求メッセージをネットワークに送信し、リソース解放要求メッセージは、ネットワークがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。ある態様では、コンテキストは、ネットワークから1つまたは複数の暗号化されたクライアントデバイスコンテキストを受信した後にネットワークにおいて除去される。
ある態様では、クライアントデバイスが提供される。クライアントデバイスは、ネットワークと通信するための要求を送信するための手段と、ネットワークとの接続のためのセキュリティコンテキストを確立するための手段であって、セキュリティコンテキストが少なくとも暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含む、手段と、要求に応答してネットワークから1つまたは複数の暗号化されたクライアントデバイスコンテキストを受信するための手段と、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを含むメッセージをネットワークに送信するための手段とを含み、1つまたは複数の暗号化されたクライアントデバイスコンテキストが、クライアントデバイスとの通信のためのネットワークにおけるコンテキストの再構築を可能にし、コンテキストがクライアントデバイスと関連付けられるネットワーク状態情報を含む。ある態様では、コンテキストはネットワークにおいて除去される。ある態様では、クライアントデバイスは、メッセージがデータを含むか制御情報を含むかに基づいて、使用すべき1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを決定するための手段を含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとのデータ関連の通信のために使用されるべき第1のコンテキストと、クライアントデバイスとの制御関連の通信のために使用されるべき第2のコンテキストとを含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、セキュリティコンテキスト、ベアラのサービス品質、トンネルエンドポイント識別子、またはこれらの組合せのうちの少なくとも1つを含む。ある態様では、要求は、クライアントデバイスが1つまたは複数の暗号化されたクライアントデバイスコンテキストを要求していることを示すものを備える。ある態様では、要求は、クライアントデバイスが要求しているサービスを示すものを備える。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、ユーザプレーンの暗号化されたクライアントデバイスコンテキストおよび制御プレーンの暗号化されたクライアントデバイスコンテキストを含む。そのような態様では、メッセージは、ユーザプレーンの暗号化されたクライアントデバイスコンテキストを有する第1のデータパケット、または制御プレーンの暗号化されたクライアントデバイスコンテキストを有する制御パケットを含む。ある態様では、暗号鍵はユーザプレーン暗号鍵であり、完全性保護鍵はユーザプレーン完全性保護鍵であり、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵はクライアントデバイスにおいて維持され、第1のデータパケットは少なくとも、ユーザプレーン完全性保護鍵を用いて完全性保護され、またはユーザプレーン暗号鍵を用いて暗号化される。ある態様では、第1のデータパケットを含むメッセージの送信は、ネットワークのネットワークアクセスノードとの無線リソース制御接続を確立しない。ある態様では、クライアントデバイスは、第1のデータパケットを含むメッセージを送信した直後に、アイドルモードに入るための手段を含む。ある態様では、クライアントデバイスは第2のデータパケットを受信するための手段を含み、第2のデータパケットを受信することは、ネットワークアクセスノードとの無線リソース制御接続を確立しない。ある態様では、暗号鍵はユーザプレーン暗号鍵であり、完全性保護鍵はユーザプレーン完全性保護鍵であり、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵はクライアントデバイスにおいて維持され、第2のデータパケットを受信するステップは、ユーザプレーン完全性保護鍵を用いて第2のデータパケットを検証するステップまたはユーザプレーン暗号鍵を用いて第2のデータパケットを復号するステップのうちの少なくとも1つを備える。ある態様では、制御パケットはトラッキングエリア更新である。ある態様では、クライアントデバイスは、ネットワークからページメッセージを受信するための手段を含む。ある態様では、クライアントデバイスは、ユーザプレーンの暗号化されたクライアントデバイスコンテキストを有する空のパケットをネットワークに送信するための手段を含む。ある態様では、暗号化されたクライアントデバイスコンテキストは、ネットワークとの認証が成功した結果として、ネットワークから受信される。ある態様では、ネットワークとの認証の成功は、アクセス層セキュリティコンテキストを確立しない。ある態様では、クライアントデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストをローカルの記憶装置に記憶するための手段を含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストはクライアントデバイスにおいて復号されず、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成したネットワークデバイスのみによって復号される。ある態様では、メッセージはさらに、リソース確立要求を含む。そのような態様では、クライアントデバイスは、メッセージに応答してクライアントデバイスのネットワークアドレスを受信するための手段と、ネットワークアドレスを含む複数のデータパケットをネットワークに送信するための手段とを含む。ある態様では、クライアントデバイスは、リソース解放要求メッセージをネットワークに送信するための手段を含み、リソース解放要求メッセージは、ネットワークがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。ある態様では、コンテキストは、ネットワークから1つまたは複数の暗号化されたクライアントデバイスコンテキストを受信した後にネットワークにおいて除去される。
ある態様では、クライアントデバイスのための方法が提供される。クライアントデバイスは、ネットワークと通信するための要求を送信し、ネットワークとの接続のためのセキュリティコンテキストを確立し、ここでセキュリティコンテキストが少なくとも暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含み、要求に応答してネットワークから1つまたは複数の暗号化されたクライアントデバイスコンテキストを受信する。クライアントデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを含むメッセージをネットワークに送信する。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとの通信のための、ネットワークにおけるコンテキストの少なくとも一部分の再構築を可能にし、コンテキストはクライアントデバイスと関連付けられるネットワーク状態情報を含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストの各々が、ネットワークによって提供される複数のサービスのうちの1つと関連付けられる。ある態様では、クライアントデバイスはメッセージを取得し、メッセージはネットワークによって提供されるサービスと関連付けられる。そのような態様では、クライアントデバイスは、サービスと関連付けられる1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを決定し、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちのその少なくとも1つは、サービスをサポートするクライアントデバイスコンテキストの部分の再構築を可能にする。たとえば、複数のサービスは、モバイルブロードバンドサービス、ultra-reliable low-latency communications(URLLC)サービス、高優先度のアクセスサービス、遅延に耐性のあるアクセスサービス、および/またはマシン型通信(MTC)サービスを含み得る。クライアントデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つと関連付けられる使用情報を取得する。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つと関連付けられる使用情報は、メッセージの送信が減らされたデータ送信であるかバーストデータ送信であるかを示す。ある態様では、使用情報は、ネットワークによって提供されるあるタイプのサービスのためにネットワークによって再構築されるべきコンテキスト(またはコンテキストの部分)と関連付けられる値(たとえば、インデックス数または他の値)を含み得る。ある態様では、コンテキストのその部分は、メッセージの送信が減らされたデータ送信であるかバーストデータ送信であるかに基づいて決定される期間、ネットワークにおいて維持される。ある態様では、メッセージは使用情報を含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、ネットワークの中の第1のエンティティにおけるクライアントデバイスの第1のコンテキストの再構築を可能にする第1のユーザプレーンの暗号化されたクライアントデバイスコンテキストと、ネットワークの中の第2のエンティティにおけるクライアントデバイスの第2のコンテキストの再構築を可能にする第2のユーザプレーンの暗号化されたクライアントデバイスコンテキストとを含む。そのような態様では、メッセージは少なくとも、第1のユーザプレーンの暗号化されたクライアントデバイスコンテキストと、第2のユーザプレーンの暗号化されたクライアントデバイスコンテキストとを含む。
ある態様では、クライアントデバイスが提供される。クライアントデバイスは、ネットワークと通信するための要求を送信するための手段と、ネットワークとの接続のためのセキュリティコンテキストを確立するための手段であって、セキュリティコンテキストが少なくとも暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含む、手段と、要求に応答してネットワークから1つまたは複数の暗号化されたクライアントデバイスコンテキストを受信するための手段とを含む。クライアントデバイスはさらに、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを含むメッセージをネットワークに送信するための手段を含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとの通信のための、ネットワークにおけるコンテキストの少なくとも一部分の再構築を可能にし、コンテキストはクライアントデバイスと関連付けられるネットワーク状態情報を含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストの各々が、ネットワークによって提供される複数のサービスのうちの1つと関連付けられる。ある態様では、クライアントデバイスはメッセージを取得するための手段を含み、メッセージはネットワークによって提供されるサービスと関連付けられる。そのような態様では、クライアントデバイスは、サービスと関連付けられる1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを決定するための手段を含み、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちのその少なくとも1つは、サービスをサポートするクライアントデバイスコンテキストの部分の再構築を可能にする。たとえば、複数のサービスは、モバイルブロードバンドサービス、ultra-reliable low-latency communications(URLLC)サービス、高優先度のアクセスサービス、遅延に耐性のあるアクセスサービス、および/またはマシン型通信(MTC)サービスを含み得る。ある態様では、クライアントデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つと関連付けられる使用情報を取得するための手段を含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つと関連付けられる使用情報は、メッセージの送信が減らされたデータ送信であるかバーストデータ送信であるかを示す。ある態様では、使用情報は、ネットワークによって提供されるあるタイプのサービスのためにネットワークによって再構築されるべきコンテキスト(またはコンテキストの部分)と関連付けられる値(たとえば、インデックス数または他の値)を含み得る。ある態様では、コンテキストのその部分は、メッセージの送信が減らされたデータ送信であるかバーストデータ送信であるかに基づいて決定される期間、ネットワークにおいて維持される。ある態様では、メッセージは使用情報を含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、ネットワークの中の第1のエンティティにおけるクライアントデバイスの第1のコンテキストの再構築を可能にする第1のユーザプレーンの暗号化されたクライアントデバイスコンテキストと、ネットワークの中の第2のエンティティにおけるクライアントデバイスの第2のコンテキストの再構築を可能にする第2のユーザプレーンの暗号化されたクライアントデバイスコンテキストとを含む。そのような態様では、メッセージは少なくとも、第1のユーザプレーンの暗号化されたクライアントデバイスコンテキストと、第2のユーザプレーンの暗号化されたクライアントデバイスコンテキストとを含む。
ある態様では、ネットワークデバイスのための方法が提供される。ネットワークデバイスは、クライアントデバイスから、ネットワークと通信するための要求を受信し、クライアントデバイスとの少なくとも1つのコンテキストを確立し、少なくとも1つのコンテキストがクライアントデバイスとネットワークとの間の接続と関連付けられるネットワーク状態情報を含み、ネットワーク状態情報が少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含み、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成し、1つまたは複数の暗号化されたクライアントデバイスコンテキストが、クライアントデバイスとの通信のための、ネットワークにおける少なくとも1つのコンテキストの再構築を可能にし、1つまたは複数の暗号化されたクライアントデバイスコンテキストをクライアントデバイスに送信する。ある態様では、ネットワークデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成することを決定し、この決定は、要求において示される暗号化されたクライアントデバイスコンテキスト使用情報、クライアントデバイスのサブスクリプション、ポリシー、またはこれらの組合せのうちの少なくとも1つに基づく。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、データ関連の通信のために使用されるべき第1のコンテキストと、制御関連の通信のために使用されるべき第2のコンテキストとを備える。ある態様では、ネットワークデバイスは、ホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバからの認証情報を要求し、クライアントデバイスとの相互認証を実行する。ある態様では、ネットワークデバイスは、クライアントデバイスから制御パケットおよび暗号化されたクライアントデバイスコンテキストを受信し、クライアントデバイスから受信された暗号化されたクライアントデバイスコンテキストを検証し、暗号化されたクライアントデバイスコンテキストから少なくとも1つのコンテキストを再構築し、少なくとも1つのコンテキストを使用して制御パケットを処理し、処理することが、コンテキストを使用して制御パケットを検証すること、復号すること、またはこれらの組合せのうちの少なくとも1つを備え、クライアントデバイスのためのダウンリンクパケットの一時識別子を記憶し、制御パケットのペイロード部分をアプリケーションサーバまたはパケットデータネットワークゲートウェイに転送する。ある態様では、暗号鍵は少なくとも、制御プレーン暗号鍵、ユーザプレーン暗号鍵、またはこれらの組合せを含み、完全性保護鍵は少なくとも、ユーザプレーン完全性保護鍵、制御プレーン完全性保護鍵、またはこれらの組合せを含む。ある態様では、暗号化されたクライアントデバイスコンテキストを検証するステップは、暗号化されたクライアントデバイスコンテキストが期限切れになっているかどうかを決定するステップと、以前に暗号化されたクライアントデバイスコンテキストが期限切れになっているときに1つまたは複数の新しい暗号化されたクライアントデバイスコンテキストを生成するステップと、以前に暗号化されたクライアントデバイスコンテキストが期限切れになっているときに1つまたは複数の新しい暗号化されたクライアントデバイスコンテキストをクライアントデバイスに送信するステップとを含む。ある態様では、ネットワークデバイスは、第2のクライアントデバイスから制御パケットを受信し、第2のネットワークデバイスから第2のクライアントデバイスのコンテキストを要求し、要求が制御プレーンの暗号化されたクライアントデバイスコンテキスト含み、第2のネットワークデバイスから第2のクライアントデバイスのコンテキストを受信し、新しい暗号化されたクライアントデバイスコンテキストを生成し、新しい暗号化されたクライアントデバイスコンテキストを第2のクライアントデバイスに送信する。ある態様では、暗号化されたクライアントデバイスコンテキストを検証するステップは、暗号化されたクライアントデバイスコンテキストを検証するための鍵を決定するステップを含む。ある態様では、ネットワークデバイスは、少なくとも1つのコンテキストを除去し、リソース確立要求と1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つとを含むメッセージをクライアントデバイスから受信し、メッセージに応答してクライアントデバイスのネットワークアドレスを取得し、ネットワークアドレスをクライアントデバイスに送信する。ある態様では、ネットワークデバイスは、クライアントデバイスからリソース解放要求メッセージを受信し、クライアントデバイスからゲートウェイへリソース解放要求メッセージを送信し、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。ある態様では、ネットワークデバイスは、クライアントデバイスからネットワークへの送信の前、またはネットワークからクライアントデバイスへの送信の前にタイマーが満了するときに、リソース解放要求メッセージをゲートウェイに送信し、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。
ある態様では、ネットワークデバイスが提供される。ネットワークデバイスは、クライアントデバイスから、ネットワークと通信するための要求を受信するための手段と、クライアントデバイスとの少なくとも1つのコンテキストを確立するための手段であって、少なくとも1つのコンテキストがクライアントデバイスとネットワークとの間の接続と関連付けられるネットワーク状態情報を含み、ネットワーク状態情報が少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含む、手段と、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成するための手段であって、1つまたは複数の暗号化されたクライアントデバイスコンテキストが、クライアントデバイスとの通信のための、ネットワークにおける少なくとも1つのコンテキストの再構築を可能にする、手段と、1つまたは複数の暗号化されたクライアントデバイスコンテキストをクライアントデバイスに送信するための手段とを含む。ある態様では、ネットワークデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成することを決定するための手段を含み、この決定は、要求において示される暗号化されたクライアントデバイスコンテキスト使用情報、クライアントデバイスのサブスクリプション、ポリシー、またはこれらの組合せのうちの少なくとも1つに基づく。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、データ関連の通信のために使用されるべき第1のコンテキストと、制御関連の通信のために使用されるべき第2のコンテキストとを備える。ある態様では、ネットワークデバイスは、ホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバからの認証情報を要求するための手段と、クライアントデバイスとの相互認証を実行するための手段とを含む。ある態様では、ネットワークデバイスは、クライアントデバイスから制御パケットおよび暗号化されたクライアントデバイスコンテキストを受信するための手段と、クライアントデバイスから受信された暗号化されたクライアントデバイスコンテキストを検証するための手段と、暗号化されたクライアントデバイスコンテキストから少なくとも1つのコンテキストを再構築するための手段と、少なくとも1つのコンテキストを使用して制御パケットを処理するための手段であって、処理することが、コンテキストを使用して制御パケットを検証すること、復号すること、またはこれらの組合せのうちの少なくとも1つを備える、手段と、クライアントデバイスのためのダウンリンクパケットの一時識別子を記憶するための手段と、制御パケットのペイロード部分をアプリケーションサーバまたはパケットデータネットワークゲートウェイに転送するための手段とを含む。ある態様では、暗号鍵は少なくとも、制御プレーン暗号鍵、ユーザプレーン暗号鍵、またはこれらの組合せを含み、完全性保護鍵は少なくとも、ユーザプレーン完全性保護鍵、制御プレーン完全性保護鍵、またはこれらの組合せを含む。ある態様では、暗号化されたクライアントデバイスコンテキストを検証するための手段は、暗号化されたクライアントデバイスコンテキストが期限切れになっているかどうかを決定し、以前に暗号化されたクライアントデバイスコンテキストが期限切れになっているときに1つまたは複数の新しい暗号化されたクライアントデバイスコンテキストを生成し、以前に暗号化されたクライアントデバイスコンテキストが期限切れになっているときに1つまたは複数の新しい暗号化されたクライアントデバイスコンテキストをクライアントデバイスに送信するように構成される。ある態様では、ネットワークデバイスは、第2のクライアントデバイスから制御パケットを受信するための手段と、第2のネットワークデバイスから第2のクライアントデバイスのコンテキストを要求するための手段であって、要求が制御プレーンの暗号化されたクライアントデバイスコンテキストを含む、手段と、第2のネットワークデバイスから第2のクライアントデバイスのコンテキストを受信するための手段と、新しい暗号化されたクライアントデバイスコンテキストを生成するための手段と、新しい暗号化されたクライアントデバイスコンテキストを第2のクライアントデバイスに送信するための手段とを含む。ある態様では、暗号化されたクライアントデバイスコンテキストを検証するための手段は、暗号化されたクライアントデバイスコンテキストを検証するための鍵を決定するように構成される。ある態様では、ネットワークデバイスは、少なくとも1つのコンテキストを除去するための手段と、リソース確立要求と1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つとを含むメッセージをクライアントデバイスから受信するための手段と、メッセージに応答してクライアントデバイスのネットワークアドレスを取得するための手段と、ネットワークアドレスをクライアントデバイスに送信するための手段とを含む。ある態様では、ネットワークデバイスは、クライアントデバイスからリソース解放要求メッセージを受信するための手段と、クライアントデバイスからゲートウェイへリソース解放要求メッセージを送信するための手段とを含み、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。ある態様では、ネットワークデバイスは、クライアントデバイスからネットワークへの送信の前、またはネットワークからクライアントデバイスへの送信の前にタイマーが満了するときに、リソース解放要求メッセージをゲートウェイに送信するための手段を含み、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。
ある態様では、ネットワークデバイスのための方法が提供される。ネットワークデバイスは、クライアントデバイスから、ネットワークと通信するための要求を受信する。ネットワークデバイスは、クライアントデバイスとの少なくとも1つのコンテキストを確立し、少なくとも1つのコンテキストは、クライアントデバイスとネットワークとの間の接続と関連付けられるネットワーク状態情報を含み、ネットワーク状態情報は少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含む。ネットワークデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成し得る。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとの通信のための、ネットワークにおける少なくとも1つのコンテキストの再構築を可能にする。ネットワークデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストをクライアントデバイスに送信し得る。ネットワークデバイスは少なくとも1つのコンテキストを除去する。ネットワークデバイスはクライアントデバイスからメッセージを受信し、メッセージは、1つまたは複数の暗号化されたクライアントデバイスコンテキストと、1つまたは複数の暗号化されたクライアントデバイスコンテキストと関連付けられる使用情報とのうちの少なくとも1つを含む。ある態様では、使用情報は、メッセージの送信が減らされたデータ送信であるかバーストデータ送信であるかを示す。ある態様では、ネットワークデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストおよび使用情報のうちの少なくとも1つに基づいて、コンテキストの少なくとも一部分を再構築し得る。ある態様では、ネットワークデバイスは、使用情報が減らされたデータ送信を示すときには第1の閾値の期間、または使用情報がバーストデータ送信を示すときには第2の閾値の期間、コンテキストの少なくとも一部分を維持し、第2の閾値の期間は第1の閾値の期間より長い。
ある態様では、ネットワークデバイスが提供される。ネットワークデバイスは、クライアントデバイスから、ネットワークと通信するための要求を受信するための手段を含む。ネットワークデバイスはさらに、クライアントデバイスとの少なくとも1つのコンテキストを確立するための手段を含み、少なくとも1つのコンテキストは、クライアントデバイスとネットワークとの間の接続と関連付けられるネットワーク状態情報を含み、ネットワーク状態情報は少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含む。ある態様では、ネットワークデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成するための手段を含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとの通信のための、ネットワークにおける少なくとも1つのコンテキストの再構築を可能にする。ある態様では、ネットワークデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストをクライアントデバイスに送信するための手段を含む。ある態様では、ネットワークデバイスは、少なくとも1つのコンテキストを除去するための手段を含む。ある態様では、ネットワークデバイスはクライアントデバイスからメッセージを受信するための手段を含み、メッセージは、1つまたは複数の暗号化されたクライアントデバイスコンテキストと、1つまたは複数の暗号化されたクライアントデバイスコンテキストと関連付けられる使用情報とのうちの少なくとも1つを含む。ある態様では、使用情報は、メッセージの送信が減らされたデータ送信であるかバーストデータ送信であるかを示す。ある態様では、ネットワークデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストおよび使用情報のうちの少なくとも1つに基づいて、コンテキストの少なくとも一部分を再構築するための手段を含む。ある態様では、ネットワークデバイスは、使用情報が減らされたデータ送信を示すときには第1の閾値の期間、または使用情報がバーストデータ送信を示すときには第2の閾値の期間、コンテキストの少なくとも一部分を維持するための手段を含み、第2の閾値の期間は第1の閾値の期間より長い。
ある態様では、ネットワークデバイスのための方法が提供される。ネットワークデバイスは、クライアントデバイスと関連付けられる暗号化されたクライアントデバイスコンテキストのための鍵を取得し、クライアントデバイスから第1のデータパケットおよび暗号化されたクライアントデバイスコンテキストを受信し、鍵を使用して暗号化されたクライアントデバイスコンテキストからクライアントデバイスのセキュリティコンテキストを取得し、セキュリティコンテキストに基づいて第1のデータパケットを復号および検証し、復号および検証が成功するときに第1のデータパケットをサービスネットワークに転送する。ある態様では、ネットワークデバイスは、鍵に基づいて暗号化されたクライアントデバイスコンテキストを復号することによってセキュリティコンテキストを取得し、セキュリティコンテキストは少なくとも、ユーザプレーン暗号鍵、ユーザプレーン完全性保護鍵、またはこれらの組合せを含む。ある態様では、第1のデータパケットは、少なくとも、ユーザプレーン完全性保護鍵を用いて検証され、またはユーザプレーン暗号鍵を用いて復号される。ある態様では、セキュリティコンテキストは、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵を含む。そのような態様では、ネットワークデバイスは、サーバまたはパケットデータネットワークゲートウェイから第2のデータパケットを受信し、第2のデータパケットが転送されるネットワークアクセスノードを決定し、そのネットワークアクセスノードがクライアントデバイスを決定することを可能にする一時識別子を第2のデータパケットに追加し、ユーザプレーン暗号鍵またはユーザプレーン完全性保護鍵を使用して第2のデータパケットを暗号化または完全性保護し、第2のデータパケットをクライアントデバイスに転送する。
ある態様では、ネットワークデバイスが提供される。ネットワークデバイスは、クライアントデバイスと関連付けられる暗号化されたクライアントデバイスコンテキストのための鍵を取得するための手段と、クライアントデバイスから第1のデータパケットおよび暗号化されたクライアントデバイスコンテキストを受信するための手段と、鍵を使用して暗号化されたクライアントデバイスコンテキストからクライアントデバイスのセキュリティコンテキストを取得するための手段と、セキュリティコンテキストに基づいて第1のデータパケットを復号および検証するための手段と、復号および検証が成功するときに第1のデータパケットをサービスネットワークに転送するための手段とを含む。ある態様では、セキュリティコンテキストを取得するための手段は、鍵に基づいて暗号化されたクライアントデバイスコンテキストを復号するように構成され、セキュリティコンテキストは、少なくともユーザプレーン暗号鍵、ユーザプレーン完全性保護鍵、またはこれらの組合せを含む。ある態様では、第1のデータパケットは、少なくとも、ユーザプレーン完全性保護鍵を用いて検証され、またはユーザプレーン暗号鍵を用いて復号される。ある態様では、セキュリティコンテキストは、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵を含む。そのような態様では、ネットワークデバイスは、サーバまたはパケットデータネットワークゲートウェイから第2のデータパケットを受信するための手段と、第2のデータパケットが転送されるネットワークアクセスノードを決定するための手段と、そのネットワークアクセスノードがクライアントデバイスを決定することを可能にする一時識別子を第2のデータパケットに追加するための手段と、ユーザプレーン暗号鍵またはユーザプレーン完全性保護鍵を使用して第2のデータパケットを暗号化または完全性保護するための手段と、第2のデータパケットをクライアントデバイスに転送するための手段とを含む。
ある態様では、ネットワークアクセスノードのための方法が提供される。ネットワークアクセスノードは、クライアントデバイスから、ネットワークと通信するための要求とともに第1のデータパケットを受信し、第1のデータパケットが宛てられるネットワークノードを決定し、そのネットワークノードにおいて実装されるネットワーク機能から第2のデータパケットを受信し、第2のデータパケットが転送されるべきクライアントデバイスを決定する。ある態様では、ネットワークアクセスノードはクライアントデバイスの一時識別子を記憶し、一時識別子はセル無線ネットワーク一時識別子(C-RNTI)であり、一時識別子は所定の期間記憶される。ある態様では、ネットワークアクセスノードは、一時識別子を第1のデータパケットに追加する。ある態様では、ネットワークアクセスノードは、要求が転送されるべきネットワーク機能を決定し、この決定がネットワークアクセスノードにおいて事前に構成され、第1のデータパケットをネットワーク機能に転送する。ある態様では、ネットワークアクセスノードは、第2のデータパケットの中の一時識別子を除去し、第2のデータパケットをクライアントデバイスに転送する。ある態様では、ネットワークアクセスノードは、第2のデータパケットの中の一時識別子からクライアントデバイスを特定することによって、第2のデータパケットが転送されるべきクライアントデバイスを決定する。
ある態様では、ネットワークアクセスノードが提供される。ネットワークアクセスノードは、クライアントデバイスから、ネットワークと通信するための要求とともに第1のデータパケットを受信するための手段と、第1のデータパケットが宛てられるネットワークノードを決定するための手段と、そのネットワークノードにおいて実装されるネットワーク機能から第2のデータパケットを受信するための手段と、第2のデータパケットが転送されるべきクライアントデバイスを決定するための手段とを含む。ある態様では、ネットワークアクセスノードはクライアントデバイスの一時識別子を記憶するための手段を含み、一時識別子はセル無線ネットワーク一時識別子(C-RNTI)であり、一時識別子は所定の期間記憶される。ある態様では、ネットワークアクセスノードは、一時識別子を第1のデータパケットに追加するための手段を含む。ある態様では、ネットワークアクセスノードは、要求が転送されるべきネットワーク機能を決定するための手段であって、この決定がネットワークアクセスノードにおいて事前に構成される、手段と、第1のデータパケットをネットワーク機能に転送するための手段とを含む。ある態様では、ネットワークアクセスノードは、第2のデータパケットの中の一時識別子を除去するための手段と、第2のデータパケットをクライアントデバイスに転送するための手段とを含む。ある態様では、第2のデータパケットが転送されるべきクライアントデバイスを決定するための手段は、第2のデータパケットの中の一時識別子からクライアントデバイスを特定するように構成される。
本開示のこれらの態様および他の態様は、以下の詳細な説明を検討することにより、より完全に理解されるであろう。本開示の他の態様、特徴、および実装形態は、添付の図とともに本開示の特定の実装形態の以下の説明を検討すれば、当業者に明らかになろう。本開示の特徴が以下のいくつかの実装形態および図に対して論じられ得るが、本開示のすべての実装形態が、本明細書において説明される有利な特徴のうちの1つまたは複数を含み得る。言い換えれば、1つまたは複数の実装形態が、いくつかの有利な特徴を有するものとして論じられ得るが、そのような特徴のうちの1つまたは複数はまた、本明細書において説明される本開示の様々な実装形態に従って使用され得る。同様に、いくつかの実装形態が、デバイス、システム、または方法の実装形態として以下で論じられ得るが、そのような実装形態が様々なデバイス、システム、および方法で実装され得ることを理解されたい。
本開示の様々な態様による、モノのインターネット(IoT)ネットワークアーキテクチャのブロック図である。 本開示の様々な態様による、IoTネットワークアーキテクチャの鍵階層を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるコンテキストを暗号化するための鍵階層を示す図である。 ネットワークの中のクライアントデバイスの様々なコンテキスト(たとえば、ネットワーク状態情報)を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるクライアントデバイスによる初期接続手順を示すブロック図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるクライアントデバイスによる接続手順の信号フロー図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるクライアントデバイスによって開始されるデータ送信を示すブロック図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるクライアントデバイスによって開始されるデータ送信を示す信号フロー図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるクライアントデバイスで終端するデータ送信の信号フロー図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおける例示的なリソースの確立および解放の信号フロー図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるクライアントデバイスによる例示的な接続手順の信号フロー図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおける例示的なリソースの確立および解放の信号フロー図である。 本開示の様々な態様による、IoTデータ送信のための制御プレーンプロトコルスタックである。 本開示の様々な態様による、IoTデータ送信のためのユーザプレーンプロトコルスタックを示す図である。 本開示の様々な態様による、パケットフォーマットの図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおけるトラッキングエリア更新(TAU)手順の信号フロー図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおける通信に関する動作をサポートするように構成される装置の図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、ネットワークと通信するための方法を示す図である。 本開示の様々な態様による、ネットワークと通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおける通信に関する動作をサポートするように構成される装置の図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおける通信のための装置において動作可能な方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおける通信に関する動作をサポートするように構成される装置の図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。 本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示す図である。
添付の図面に関して以下に記載される詳細な説明は、様々な構成の説明として意図されており、本明細書において説明される概念が実践され得る唯一の構成を表すことは意図されていない。詳細な説明は、様々な概念の十分な理解を提供するために、具体的な詳細を含む。しかしながら、これらの概念がこれらの具体的な詳細なしに実践され得ることは、当業者に明らかであろう。いくつかの例では、よく知られている構造および構成要素は、そのような概念を不明瞭にすることを避けるために、ブロック図の形式で示されている。
上で論じられたように、IoT環境においては、ネットワーク(たとえば、LTEネットワーク)は多数の(たとえば、数十億個の)クライアントデバイス(モノのインターネット(IoT)デバイスとも呼ばれる)をサポートする必要があり得る。クライアントデバイスは、携帯電話(たとえば、スマートフォン)、パーソナルコンピュータ(たとえば、ラップトップ)、ゲームデバイス、ユーザ機器(UE)、またはネットワーク(たとえば、LTEネットワーク)と通信するように構成される任意の他の適切なデバイスであり得る。クライアントデバイスは、データ送信およびセキュリティのための異なる要件を有し得る。たとえば、クライアントデバイストラフィック(IoTトラフィックとも呼ばれる)は、遅延に耐性があることがあり、または信頼性のある送信を必要としないことがある。別の例では、クライアントデバイストラフィックは、オーバーヘッドを減らすためにアクセス層(AS)セキュリティを必要としないことがある。
従来、クライアントデバイスがアイドルモードから接続モードに移行するとき、シグナリングのオーバーヘッドを招くことがある。たとえば、クライアントデバイスは、ネットワークアクセスノード(たとえば、発展型ノードB(eNB)、基地局、またはネットワークアクセスポイント)との接続を確立することがあり、ネットワークアクセスノードは、クライアントデバイスのコンテキストを生成することがある。クライアントデバイスがその後でアイドルモードに入るとき、ネットワークアクセスノードはもはやクライアントデバイスコンテキストを維持しないことがある。
クライアントデバイスがネットワークに接続するとき、ネットワークの中のクライアントデバイスのコンテキストは、デバイスがデータを送信するためにより少ないシグナリングを実行することを可能にし得る。たとえば、登録されているクライアントデバイスは、完全な認証手順を実行することは必要とされないことがある。しかしながら、そのような効率性を達成するために、ネットワークは、多数の接続されたクライアントデバイスの各々の1つまたは複数のコンテキストを維持するためにかなりの量のリソースを使用することがある。
本明細書において使用される、クライアントデバイスの「コンテキスト」は、クライアントデバイスと関連付けられるネットワーク状態情報を指し得る。たとえば、コンテキストは、クライアントデバイスのセキュリティコンテキスト、E-UTRAN無線アクセスベアラ(eRAB)と関連付けられるコンテキスト、ならびに/または無線ベアラおよびS1ベアラと関連付けられるコンテキストを指し得る。
IoTの目的でネットワークにより割り振られるリソースの量(たとえば、ネットワーク機能を実装する機器)は限られていることがあるので、ネットワーク機能は、頻繁には活動しないクライアントデバイスのすべてのコンテキスト(たとえば、ネットワーク状態情報)を維持することが可能ではないことがある。たとえば、一部のクライアントデバイスは、10分またはそれより長い時間ごとに起動し、トラフィックをサーバに送信し(たとえば、データを送信し)、直ちにスリープモードに入り得る。別の例として、一部のクライアントデバイスは、予想されないイベントが発生するとサーバに警告を送信し得る。その上、一部のクライアントデバイスは、限られたリソース(たとえば、メモリ、プロセッサ、バッテリ)を有することがあり、複雑なプロトコルスタックおよび/またはシグナリング手順を扱うのに適していないことがある。
ロングタームエボリューション(LTE)のモビリティ管理およびセッション管理は、潜在的には数十億個のクライアントデバイスへと急拡大するために、あまりにも多くのオーバーヘッドを招く。具体的には、ネットワークノードにおけるコンテキストの管理および記憶が課題になることがある。
たとえば、クライアントデバイスがアイドルモードから起動して接続モードに入るとき、ネットワークアクセスノードは、モビリティ管理エンティティ(MME)へのサービス要求を介して新しいクライアントデバイスコンテキストを確立する。クライアントデバイスコンテキストは、クライアントデバイスが発展型パケットシステムモビリティ管理(EMM:Evolved Packet System Mobility Management)登録状態にある間、MMEおよびサービングゲートウェイ(S-GW)において維持され得る。したがって、多数のクライアントデバイスをサポートするために、MMEおよびS-GWは、大半の時間はアイドルモードにとどまり得るクライアントデバイスのコンテキストを維持するために、大量の記憶装置を装備する必要がある。
本明細書において開示される態様は、より上層の観点から、クライアントデバイスの超低消費電力、セルごとの多数のクライアントデバイス、小さいスペクトル、および/またはセルにおけるカバレッジエリアの拡大を達成するための、クライアントデバイス(モノのインターネット(IoT)デバイスとも呼ばれる)のネットワークアーキテクチャを含む。独立した展開を可能にし、スケーラビリティ/相互機能の要件をなくすために、専用のネットワーク機能が導入される。セキュリティは、IoTネットワーク機能(IoT機能(IoTF)とも呼ばれる)においてアンカーされる。
様々な態様によれば、アーキテクチャは、クライアントデバイスからの、またはクライアントデバイスへのデータ移送のために、ネットワークアクセスノード(たとえば、eNB、基地局、ネットワークアクセスポイント)におけるセキュリティコンテキストを許容しないことがある。通常のクライアントデバイスのPDN接続/トラフィックに影響するのを避けるために、少量のデータ移送のために専用のコアネットワークリソースが割り振られる。ネットワークは、少量のデータトラフィックも制限するために、アクセス制御に専用の物理(PHY)層リソースを割り振ることがある。アイドル状態の間のIoTFにおけるクライアントデバイスの準持続的なコンテキストを削除するために、少量のデータ移送のためにクライアントデバイスコンテキストが使用される。IoTデバイスに対する効率的なデータ送信を達成するために、開示されるネットワークアーキテクチャは、ネットワークデバイスにおいて実装されるIoTFを含み得る。そのようなIoTFは、制御プレーンIoTF(IoTF-C)およびユーザプレーンIoTF(IoTF-U)を含み得る。ある態様では、IoTF-Cは、モビリティ管理エンティティと同様の機能を有し得る。ある態様では、IoTF-Uは、ユーザプレーンデータトラフィックのためのモビリティおよびセキュリティのアンカーであり得る。ある態様では、IoTF-Uは、サービングゲートウェイ(S-GW)および/またはネットワークアクセスノード(たとえば、発展型ノードB(eNB)、基地局、またはネットワークアクセスポイント)と同様の機能を有し得る。
ネットワーク機能(たとえば、IoTF-C、IoTF-U)がクライアントデバイスのリソース使用を最適化することを可能にするために、開示されるIoTネットワークアーキテクチャの様々な態様は、クライアントデバイスコンテキストがパケット(たとえば、IPパケット)において搬送されIoTF(たとえば、IoTF-CおよびIoTF-Uを含むIoTF)がクライアントデバイスコンテキストを機会主義的に作成する、設計プロトコルを実装し得る。これにより、ネットワーク機能は、クライアントデバイスのためのネットワーク状態情報を最小限維持すること、またはまったく維持しないことが可能になり、シグナリングオーバーヘッドを最小限にし、またはまったくなくすことが可能になる。たとえば、クライアントデバイスは、携帯電話(たとえば、スマートフォン)、パーソナルコンピュータ(たとえば、ラップトップ)、ゲームデバイス、自動車、家電機器、またはネットワークと通信するように構成される任意の他の適切なデバイスであり得る。いくつかの態様では、クライアントデバイスは、ユーザ機器(UE)またはアクセス端末(AT)と呼ばれ得る。いくつかの態様では、本明細書において言及されるクライアントデバイスは、モバイルデバイスまたは固定デバイスであり得る。開示されるIoTネットワークアーキテクチャおよび本明細書に含まれる機能は、クライアントデバイス以外のデバイスとの少量のデータ移送のために使用され得ることを理解されたい。ある態様では、クライアントデバイスは、接続を確立しデータを移送するノミナルモードを有し得るが、クライアントデバイスコンテキストを使用してデータを移送するための本明細書において開示されるような手順も使用する。
IoTネットワークアーキテクチャ
図1は、本開示の様々な態様による、IoTネットワークアーキテクチャ100のブロック図である。図1に示されるように、IoTネットワークアーキテクチャ100は、クライアントデバイス102(IoTデバイスとも呼ばれる)、ネットワークアクセスノード104、ネットワークデバイス105、サービスネットワーク110、およびホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバ112を含む。一態様では、ネットワークアクセスノード104は、eNB、基地局、またはネットワークアクセスポイントであり得る。
一態様では、ネットワークデバイス105は、IoTFを実装するように構成される1つまたは複数の処理回路および/または他の適切なハードウェアを含み得る。本開示の一態様では、IoTFは、制御プレーンIoT機能(IoTF-C)106およびユーザプレーンIoT機能(IoTF-U)108を含み得る。たとえば、IoTF-C106は第1のネットワークノード107において実装されることがあり、IoTF-U108は第2のネットワークノード109において実装されることがある。本明細書において開示される様々な態様によれば、「ノード」という用語は、処理回路、デバイス、サーバ、またはネットワークエンティティなどの、ネットワークデバイス105に含まれる物理エンティティを表し得る。したがって、たとえば、ネットワークノードはネットワークノードデバイスと呼ばれ得る。
一態様では、IoTF-C106およびIoTF-U108は、同じハードウェアプラットフォーム(たとえば、処理回路およびメモリなどの他の関連するハードウェア構成要素)において実装され得る。そのような態様では、たとえば、IoTF-C106はハードウェアプラットフォーム(たとえば、ネットワークデバイス105)上で提供される第1の仮想機械(たとえば、第1のオペレーティングシステム)において実装されることがあり、IoTF-U108はハードウェアプラットフォーム上で提供される第2の仮想機械(たとえば、第2のオペレーティングシステム)において実装されることがある。
図1に示されるように、IoTF-C106は、第1のS1接続116を介してネットワークアクセスノード104と通信しており、IoTF-U108は、第2のS1接続114を介してネットワークアクセスノード104と通信している。ある態様では、サービスネットワーク110は、様々なタイプのサービスを提供するように構成される、いくつかのエンティティ、機能、ゲートウェイ、および/またはサービスを含み得る。たとえば、サービスネットワーク110は、ショートメッセージエンティティ(SME)118、マシン型通信インターワーキング機能(MTC-IWF:machine type communication interworking function)120、IoTサーバ122、および/またはパケットデータネットワーク(PDN)ゲートウェイ(P-GW)124を含み得る。図1において開示されるサービスネットワーク110は一例として機能し、他の態様では、サービスネットワーク110は、図1において開示されたものとは異なるタイプのエンティティ、機能、および/またはサーバを含み得ることを理解されたい。
本開示のある態様では、ネットワークデバイス105において実装されるIoTFは、制御プレーンおよびユーザプレーンの機能を提供し得る。ある態様では、IoTF-C106は、クライアントデバイスのための制御プレーンシグナリング(たとえば、制御情報を搬送するパケット、本明細書では「制御パケット」と呼ばれる)を扱う。たとえば、IoTF-C106は、クライアントデバイスのためのモビリティおよびセッションの管理を実行し、クライアントデバイスとの認証および鍵共有(AKA手順とも呼ばれる)を実行することができ、かつ/または、クライアントデバイスのセキュリティコンテキストを作成することができる。ある態様では、IoTF-C106は、クライアントデバイス102と関連付けられる制御プレーントラフィックのための制御プレーン(CP)鍵126、クライアントデバイス102と関連付けられるユーザプレーントラフィックのためのユーザプレーン(UP)鍵128、および/または、クライアントデバイス102の暗号化されたコンテキストを生成するためのコンテキスト鍵130を導出し得る。ある態様では、IoTF-C106は、ユーザプレーン鍵128、および/またはコンテキスト鍵130の少なくとも1つを、IoTF-U108に提供し得る。したがって、いくつかの態様では、IoTF-U108は、IoTF-C106によって提供されるユーザプレーン鍵128および/またはコンテキスト鍵131を含み得る。
ある態様では、IoTF-U108は、クライアントデバイスのためのユーザプレーントラフィックを扱い得る。たとえば、IoTF-U108は、暗号鍵および完全性鍵(たとえば、UP鍵128を使用するAuthenticated Encryption with Associated Data(AEAD)暗号)を導出し、オンザフライでクライアントデバイスコンテキストを作成し、クライアントデバイスにより送信されるアップリンクパケットを認証および復号してPDNまたはP-GW(たとえば、P-GW124)にアップリンクパケットを転送し、接続されたクライアントデバイスのためのダウンリンクパケットを暗号化および認証してダウンリンクパケットを次のホップのネットワークアクセスノード(たとえば、eNB)に転送し、かつ/または、ページングの間にアイドル状態のクライアントデバイスのためのダウンリンクパケットをバッファリングすることができる。ある態様では、IoTF-U108は、データトラフィックのためのモビリティおよびセキュリティのアンカーであると見なされ得る。
IoTネットワークのための例示的な鍵階層
図2は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100)の鍵階層200を示す図である。図2では、鍵KIOT202は、クライアントデバイス(たとえば、クライアントデバイス102)のUniversal Mobile Telecommunications System(UMTS)加入者識別モジュール(USIM)およびネットワークの認証センター(AuC)において永続的に記憶される秘密鍵であり得る。完全性鍵(IK)および暗号鍵(CK)(図2においてIK、CK204として示されている)は、AKA手順の間にAuCおよびUSIMにおいて導出される一対の鍵である。図1を参照すると、AKA手順の間、IoTF-C106は、HSS/AAAサーバ112から認証ベクトル(AV)を受信することができ、認証ベクトルはアクセスセキュリティ管理エンティティ(ASME)からの鍵(KASME206として図2に示されている)を含む。IoTF-C106は、鍵KASME206から制御プレーン鍵(KCP)208およびユーザプレーン鍵(KUP)214を導出することができる。IoTF-C106は、鍵KUP214をIoTF-U108に提供することができる。IoTF-C106は、鍵KCP208から暗号鍵KIoT-CPenc210および完全性保護鍵KIoT-CPint212を導出することができる。IoTF-U108は、鍵KUP214から暗号鍵KIoT-UPenc216および完全性保護鍵KIoT-UPint218を導出することができる。
図3は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100)においてコンテキストを暗号化するための鍵階層300を示す図である。本開示のある態様では、図1を参照すると、IoTF-C106は、クライアントデバイスのコンテキスト鍵KCDC-IoTF302に基づいて、クライアントデバイス(たとえば、クライアントデバイス102)の制御プレーンクライアントデバイスコンテキスト暗号鍵(KCDC-IoTF-C)304およびユーザプレーンクライアントデバイスコンテキスト暗号鍵(KCDC-IoTF-U)306をランダムに生成することができる。
クライアントデバイスの例示的なネットワーク状態
ワイヤレス通信システム(たとえば、LTEネットワーク)において、ネットワーク状態は、モビリティ管理(たとえば、発展型パケットシステムモビリティ管理(EMM))のためにクライアントデバイスに対して定義される。そのようなネットワーク状態は、クライアントデバイスとネットワークの中の他のエンティティとの間の効率的な通信を可能にする。
本開示のある態様では、クライアントデバイス(たとえば、図1のクライアントデバイス102)は、未登録状態または登録状態にあり得る。たとえば、クライアントデバイスが未登録状態にあるとき、クライアントデバイスのコンテキストはHSSに記憶され得る。ネットワークはクライアントデバイスについて有効な位置情報またはルーティング情報を保持せず、クライアントデバイスは到達可能ではない。
別の例として、クライアントデバイスは、ネットワークへの登録の成功により登録状態に入り得る。本開示のある態様では、クライアントデバイスは、ネットワークとの接続手順を実行することにより、そのような登録を実行し得る。登録状態において、クライアントデバイスは少なくとも1つの有効なPDN接続を有する。クライアントデバイスはまた、発展型パケットシステム(EPS:Evolved Packet System)セキュリティコンテキストのセットアップを有する。未登録状態および登録状態は、クライアントデバイスがネットワークのための証明書(たとえば、HSSの中に利用可能な署名がある)を有することを仮定していることに留意されたい。
ワイヤレス通信ネットワーク(たとえば、LTEネットワーク)はさらに、発展型パケットシステム接続管理(ECM:Evolved Packet System Connection Management)のためにクライアントデバイスに対して定義されるネットワーク状態を含み得る。したがって、登録状態にあるクライアントデバイス(たとえば、図1のクライアントデバイス102)は、アイドル状態または接続状態などの、2つの状態(登録状態の副状態とも呼ばれる)のうちの1つにあり得る。アイドル状態において、非アクセス層(NAS)シグナリング接続が、クライアントデバイスと他のネットワークエンティティとの間に存在する。加えて、クライアントデバイスは、セルの選択/再選択および公衆交換電話網(PLMN)の選択を実行することができ、RAN(たとえば、ネットワークアクセスノード)の中のクライアントデバイスに対してコンテキストがないことがある。その上、アイドル状態のクライアントデバイスに対して、S1-MME接続およびS1-U接続がないことがある。
接続状態において、クライアントデバイスの位置は、サービングアクセスネットワーク識別子(たとえば、eNB識別子(ID)、基地局ID、またはネットワークアクセスポイントID)の精度で、MMEにおいて知られている。クライアントデバイスのモビリティは、ハンドオーバー手順によって扱われる。接続状態において、クライアントデバイスとMMEとの間にシグナリング接続が存在する。シグナリング接続は、無線リソース制御(RRC)接続およびS1-MME接続という2つの部分からなり得る。
図4は、ネットワーク400の中の様々なエンティティによって維持されるクライアントデバイスの例示的なネットワーク状態を示す図である。図4に示されるように、ネットワーク400は、クライアントデバイス402、ネットワークアクセスノード404、および発展型パケットコア(EPC)406を含む。図4にさらに示されるように、EPC406は、ホーム加入者サーバ(HSS)412、モビリティ管理エンティティ(MME)408、およびパケットデータネットワークゲートウェイ(P-GW)/サービングゲートウェイ(S-GW)410を含む。本開示のある態様では、ネットワーク400は4Gネットワークであり得る。他の態様では、ネットワーク400は、3Gネットワーク、LTEネットワーク、5Gネットワーク、または他の適切なネットワークであり得る。
たとえば、図4を参照すると、ネットワークアクセスノード404は、クライアントデバイス402が接続状態にあるとき、クライアントデバイス402のコンテキスト414(ネットワーク状態情報とも呼ばれる)を維持し得る。MME408は、クライアントデバイス402が接続状態にあるときはクライアントデバイス402のコンテキスト416を維持し、クライアントデバイス402がアイドル状態にあるときはクライアントデバイス402のコンテキスト418を維持し得る。P-GW/S-GW410は、クライアントデバイス402が接続状態にあるときはクライアントデバイス402のコンテキスト426を維持し、クライアントデバイス402がアイドル状態にあるときはクライアントデバイス402のコンテキスト428を維持し得る。HSS412は、クライアントデバイス402が接続状態にあるときはクライアントデバイス402のコンテキスト420を維持し、クライアントデバイス402がアイドル状態にあるときはクライアントデバイス402のコンテキスト422を維持し、クライアントデバイス402が未登録状態にあるときはクライアントデバイス402のコンテキスト424を維持し得る。本開示のある態様では、ネットワーク400が3Gネットワークとして実装される場合、P-GW/S-GW410は、クライアントデバイス402がアイドル状態にあるときはクライアントデバイス402のコンテキストを維持しないことがある。
本開示のある態様では、クライアントデバイスのコンテキスト(クライアントデバイスコンテキストとも呼ばれる)の機会主義的な再構築を可能にするために、図1のIoTF-C106およびIoTF-U108などのネットワーク機能に対して、暗号化されたクライアントデバイスコンテキストが生成され得る。たとえば、暗号化されたクライアントデバイスコンテキストは、クライアントデバイスのためのネットワーク状態情報を最小限維持しながら、またはまったく維持せずに、ネットワークエンティティがクライアントデバイスコンテキストを再構築することを可能にし得る。したがって、暗号化されたクライアントデバイスコンテキストは、ネットワーク状態情報を何ら記憶またはキャッシュすることなく、ネットワークエンティティがクライアントデバイスコンテキストを再構築することを可能にし得る。
トラフィックを頻繁には送信しない、潜在的には数十億個のクライアントデバイスが存在する場合、ネットワーク機能(たとえば、MME408、P-GW/S-GW410)がクライアントデバイスのコンテキスト(セキュリティコンテキストを含む)を維持するのは望ましくないことに留意されたい。また、暗号化されたクライアントデバイスコンテキストは、ハンドオーバーの間に、またはアイドルモードから接続モードへの移行の間に、ネットワークアクセスノード(たとえば、eNB、基地局、またはネットワークアクセスポイント)におけるシグナリングオーバーヘッドを削除し得る。暗号化されたクライアントデバイスコンテキストは、MME/コントローラとの通信が回避され得るので、シグナリングオーバーヘッドをかなり除去し、またはなくすために使用され得る。
ユーザプレーンの暗号化されたクライアントデバイスコンテキスト
本開示のある態様では、ユーザプレーン(UP)の暗号化されたクライアントデバイスコンテキストが、クライアントデバイスのために生成され得る。たとえば、図1を参照すると、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、アップリンク(UL)データ送信のためにIoTF-U108において使用され得る。本開示のある態様では、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、ベアラID、発展型パケットシステム(EPS)ベアラサービス品質(QoS)、ユーザプレーンの汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP-U)のS5トンネルエンドポイント識別子(TEID)、IoTF-U108がULデータを転送するP-GWインターネットプロトコル(IP)アドレス(または等価な情報)、セキュリティコンテキスト(たとえば、選択された暗号化アルゴリズムおよびユーザプレーン(UP)鍵128)、クライアントデバイスにサービスを提供するためにネットワークにより必要とされ得る任意の他のパラメータ、値、設定、または特徴を含み得る。たとえば、UL鍵128は鍵KUP214であることがあり、鍵KIoT-UPenc216および鍵KIoT-UPint218は鍵KUP214から導出され得る。ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、図3に示される鍵KCDC-IoTF-U306などの、IoTF-U108の秘密鍵を使用してクライアントデバイスのユーザプレーンコンテキストを暗号化することによって、生成され得る。本開示のある態様では、鍵KCDC-IoTF-U306などのIoTF-U108の秘密鍵は、IoTF-C106によってプロビジョニングされ得る。ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、秘密鍵(たとえば、鍵KCDC-IoTF-U306)を有するIoTFによって復号され得る。したがって、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、ユーザプレーンの暗号化されたクライアントデバイスコンテキストを生成したIoTFによって復号され得る。
制御プレーンの暗号化されたクライアントデバイスコンテキスト
制御プレーン(CP)の暗号化されたクライアントデバイスコンテキストは、制御メッセージ(たとえば、制御パケットまたは制御パケットを含むメッセージ)のための制御プレーンクライアントデバイスコンテキストを暗号化することによって、生成され得る。ある態様では、制御プレーンの暗号化されたクライアントデバイスコンテキストは、クライアントデバイス識別子、クライアントデバイスセキュリティコンテキスト(たとえば、鍵KIoT(KASMEと等価)、鍵KIoT-CPenc210、鍵KIoT-CPint212などの制御プレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA:Evolved Packet System Encryption Algorithm)、発展型パケットシステム完全性アルゴリズム(EIA:Evolved Packet System Integrity Algorithm))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。たとえば、図1を参照すると、制御メッセージのための制御プレーンクライアントデバイスコンテキストは、図3に示される鍵KCDC-IoTF-C304などの、IoTF-C106の秘密鍵を用いて暗号化され得る。制御プレーンの暗号化されたクライアントデバイスコンテキストは、秘密鍵(たとえば、鍵KCDC-IoTF-C304)を有するIoTFによって復号され得る。したがって、制御プレーンの暗号化されたクライアントデバイスコンテキストは、制御プレーンの暗号化されたクライアントデバイスコンテキストを生成したIoTFによって復号され得る。
初期接続手順
図5は、本開示の様々な態様による、IoTネットワークアーキテクチャ500におけるクライアントデバイスによる初期接続手順を示すブロック図である。いくつかの態様では、本明細書において説明されるような接続手順は、ネットワーク接続手順または登録手順とも呼ばれる。
図5に示されるように、IoTネットワークアーキテクチャ500は、クライアントデバイス502(IoTデバイスとも呼ばれる)、ネットワークアクセスノード504(たとえば、eNB、基地局、ネットワークアクセスポイント)、ネットワークデバイス505、サービスネットワーク510、およびホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバ512を含む。
一態様では、ネットワークデバイス505は、IoTFを実装するように構成される1つまたは複数の処理回路および/または他の適切なハードウェアを含み得る。たとえば、IoTFは、制御プレーンIoT機能(IoTF-C)506およびユーザプレーンIoT機能(IoTF-U)508を含み得る。そのような態様では、IoTF-C506はネットワークノード507において実装されることがあり、IoTF-U508はネットワークノード509において実装されることがある。一態様では、IoTF-C506およびIoTF-U508は同じハードウェアプラットフォームにおいて実装され得るので、IoTF-C506およびIoTF-U508は各々、アーキテクチャ500の中の独立したノードを表す。そのような態様では、たとえば、IoTF-C506はハードウェアプラットフォーム(たとえば、ネットワークデバイス505)上で提供される第1の仮想機械(たとえば、第1のオペレーティングシステム)において実装されることがあり、IoTF-U508はハードウェアプラットフォーム上で提供される第2の仮想機械(たとえば、第2のオペレーティングシステム)において実装されることがある。
図5に示されるように、IoTF-C506は、第1のS1接続516を介してネットワークアクセスノード504と通信しており、IoTF-U508は、第2のS1接続514を介してネットワークアクセスノード504と通信している。本開示のある態様では、サービスネットワーク510は、様々なタイプのサービスを提供するように構成される、いくつかのエンティティ、機能、ゲートウェイ、および/またはサービスを含み得る。たとえば、サービスネットワーク510は、ショートメッセージエンティティ(SME)518、マシン型通信インターワーキング機能(MTC-IWF)520、IoTサーバ522、および/またはパケットデータネットワーク(PDN)ゲートウェイ(P-GW)524を含み得る。図5において開示されるサービスネットワーク510は一例として機能し、他の態様では、サービスネットワーク510は、図5において開示されたものとは異なるタイプのエンティティ、機能、および/またはサーバを含み得ることを理解されたい。
図5に示されるように、クライアントデバイス502は、ネットワークアクセスノード504によって受信され得る接続要求532をネットワークに送信し得る。本開示のある態様では、接続要求532は1つまたは複数の指示を提供し得る。たとえば、接続要求532は、1)クライアントデバイス502がIoTデバイスとして接続すべきであること、2)接続要求532が少量の(減らされた)データ移送を実行するための要求であること、および/または3)クライアントデバイス502が低電力消費モードで動作していることを示し得る。接続要求532はさらに、認証情報がそこから取り出されるべき、ホームドメイン(たとえば、HPLMN IDまたは完全修飾ドメイン名(FQDN))を示し得る。ネットワークアクセスノード504は、それ自体が属するIoTF-C506へ要求を転送し得る。
IoTF-C506は、クライアントデバイス502によって提供されるホームドメイン情報からHSS/AAAサーバ512のアドレスを決定することができ、クライアントデバイス502の認証情報に対する要求534をHSS/AAAサーバ512に送信することができる。IoTF-C506は、HSS/AAAサーバ512から認証情報535を受信することができる。
IoTF-C506は、クライアントデバイス502との相互認証(たとえば、AKA手順)を実行し得る。AKA手順の間、IoTF-C506は、認証情報535を通じてHSS/AAAサーバ512からAVを受信し得る。たとえば、AVは、アクセスセキュリティ管理エンティティ(ASME)から鍵(鍵KASME206として図2において示されている)を含み得る。たとえば、IoTF-C506は、信号536を通じて鍵KASME206をクライアントデバイス502に提供し得る。AKA手順が完了すると、IoTF-C506およびクライアントデバイス502は、鍵KCP208、鍵KIoT-CPenc210、および/または鍵KIoT-CPint212などのCP鍵526を導出することができ、鍵KASME206または鍵KIoT202から、鍵KUP214、鍵KIoT-UPenc216、および/または鍵KIoT-UPint218などの、UP鍵528を導出することができる。
いくつかの態様では、IoTF-C506は、鍵KUP214と、鍵KIoT-UPenc216およびKIoT-UPint218などのユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵とを、メッセージ538を介してIoTF-U508に移送し得る。
本開示のある態様では、IoTF-C506は、クライアントデバイスコンテキストを暗号化するためにコンテキスト鍵530を使用することによって、クライアントデバイス502のための1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成し得る。IoTF-C506は次いで、1つまたは複数の暗号化されたクライアントデバイスコンテキストをクライアントデバイス502に送信し得る。たとえば、IoTF-C506は、制御プレーンのための暗号化されたクライアントデバイスコンテキストと、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストとを生成し得る。そのような例では、コンテキスト鍵530は、制御プレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第1のコンテキスト鍵(たとえば、鍵KCDC-IoTF-C304)と、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第2のコンテキスト鍵(たとえば、鍵KCDC-IoTF-U306)とを含み得る。本開示のある態様では、IoTF-C506は、コンテキスト鍵530のうちの1つまたは複数をIoTF-U508に提供し得る。たとえば、IoTF-C506は、メッセージ538を介して、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第2のコンテキスト鍵(たとえば、鍵KCDC-IoTF-U306)をIoTF-U508に送信し得る。したがって、いくつかの態様では、IoTF-U508は、IoTF-C506によって提供されるコンテキスト鍵531を含み得る。
図6は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100、500)におけるクライアントデバイスによる例示的な接続手順の信号フロー図600である。図6に示されるように、信号フロー図600は、クライアントデバイス602(IoTデバイスとも呼ばれる)、ネットワークアクセスノード604(たとえば、eNB、基地局、またはネットワークアクセスポイント)、ネットワークノード605において実装されるIoTF-C606、ネットワークノード607において実装されるIoTF-U608、サービスネットワーク609、およびホーム加入者サーバ(HSS)610を含む。
図6に示されるように、クライアントデバイス602は、ネットワークと通信するために、要求612(たとえば、RRC接続要求)をネットワークアクセスノード604に送信し得る。クライアントデバイス602はRRC接続セットアップメッセージ614を受信することができ、これは、シグナリング無線ベアラ(SRB)構成(たとえば、専用制御チャネル(DCCH)を通じてNASメッセージを送信するためのSRB1構成)を含み得る。クライアントデバイス602は、RRC接続セットアップ完了メッセージ616をネットワークアクセスノード604に送信し得る。たとえば、RRC接続セットアップ完了メッセージ616は接続要求を示し得る。
ネットワークアクセスノード604は、初期クライアントデバイスメッセージ618をIoTF-C606に送信し得る。IoTF-C606は、クライアントデバイス602によって提供されるホームドメイン情報からHSSサーバ610のアドレスを決定することができ、HSS610と通信することができる(621)。たとえば、IoTF-C606は、クライアントデバイス602の認証情報に対する要求をHSSサーバ610に送信することができ、HSSサーバ610から認証情報を受信することができる。
図6に示されるように、IoTF-C606は、クライアントデバイス602との、AKA手順620などの相互認証を実行し得る。AKA手順620が完了すると、IoTF-C606およびクライアントデバイス602は、鍵KASME206または鍵KIOT202から、鍵KIoT-CPenc210および/または鍵KIoT-CPint212などの制御プレーン鍵を導出し得る。IoTF-C606およびクライアントデバイス602はさらに、鍵KASME206または鍵KIOT202から、鍵KIoT-UPenc216および/または鍵KIoT-UPint218などのユーザプレーン鍵を導出し得る。
本開示のある態様では、IoTF-C606は、鍵KCDC-IoTF-C304を使用してクライアントデバイス602の制御プレーンコンテキストを暗号化することによって、制御プレーンの暗号化されたクライアントデバイスコンテキストを生成することができ、かつ/または、鍵KCDC-IoTF-U306を使用してクライアントデバイス602のユーザプレーンコンテキストを暗号化することによって、ユーザプレーンの暗号化されたクライアントデバイスコンテキストを生成することができる。IoTF-C606は、メッセージ622を介して、1つまたは複数の鍵(たとえば、鍵IoT-UPenc216および/もしくは鍵KIoT-UPint218などのユーザプレーン鍵、ならびに/または鍵KCDC-IoTF-U306)をIoTF-U608に移送し得る。
IoTF-C606は、暗号化されたクライアントデバイスコンテキスト(たとえば、制御プレーンの暗号化されたクライアントデバイスコンテキストおよび/またはユーザプレーンの暗号化されたクライアントデバイスコンテキスト)を有する初期コンテキストセットアップ要求メッセージ623を、クライアントデバイス602に送信し得る。したがって、暗号化されたクライアントデバイスコンテキストは、IoTF-C606および/またはIoTF-U608と関連付けられるクライアントデバイスコンテキストを含むことがあり、ここでクライアントデバイスコンテキストは、クライアントデバイス602によるアップリンクデータ送信のために使用されることがある。
本開示のある態様によれば、暗号鍵はIoTFにのみ知られている(たとえば、クライアントデバイスセキュリティコンテキストは、IoTF-C606および/またはIoTF-U608によって独占的に取り出され得る)。したがって、そのような態様では、暗号鍵はKCDC-IoTF-U306であることがあり、これは、ネットワークアクセスノード604またはクライアントデバイス602などの、IoTFの外部のネットワークエンティティには知られないことがある。本開示のある態様では、各々の暗号化されたクライアントデバイスコンテキストは、1つのデータ無線ベアラ(DRB)に対応する。
ネットワークアクセスノード604は、RRC接続再構成メッセージ626をクライアントデバイス602に送信し得る。本開示のある態様では、RRC接続再構成メッセージ626は、暗号化されたクライアントデバイスコンテキストを含み得る。クライアントデバイス602は、RRC接続再構成完了メッセージ628をネットワークアクセスノード604に送信し得る。
クライアントデバイス602は、データパケット(たとえば、ULデータパケット)を含む第1のメッセージ630をネットワークアクセスノード604に送信し得る。ネットワークアクセスノード604は、第2のメッセージ632を介して、データパケットをサービスネットワーク609に転送し得る。たとえば、図6に示されるように、第2のメッセージ632は、ネットワークアクセスノード604およびIoTF-U608によってサービスネットワーク609に転送され得る。
サービスネットワーク609は、データパケット(たとえば、DLデータパケット)を含む第3のメッセージ634をクライアントデバイス602に送信し得る。たとえば、図6に示されるように、第3のメッセージ634は、IoTF-U608およびネットワークアクセスノード604によってクライアントデバイス602に転送され得る。クライアントデバイス602は次いで、アイドルモードに移行し得る(636)。ネットワークアクセスノード604、IoTF-C606、およびIoTF-U608は、クライアントデバイスコンテキストを除去する(638)ことに進み得る。
IoTアップリンク(UL)データ移送
図7は、本開示の様々な態様による、IoTネットワークアーキテクチャ700におけるクライアントデバイスによって開始されるデータ送信を示すブロック図である。図7に示されるように、IoTネットワークアーキテクチャ700は、クライアントデバイス702(IoTデバイスとも呼ばれる)、ネットワークアクセスノード704(たとえば、eNB、基地局、ネットワークアクセスポイント)、ネットワークデバイス705、サービスネットワーク710、およびホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバ712を含む。
一態様では、ネットワークデバイス705は、IoTFを実装するように構成される1つまたは複数の処理回路および/または他の適切なハードウェアを含み得る。たとえば、IoTFは、制御プレーンIoT機能(IoTF-C)706およびユーザプレーンIoT機能(IoTF-U)708を含み得る。そのような態様では、IoTF-C706はネットワークノード707において実装されることがあり、IoTF-U708はネットワークノード709において実装されることがある。一態様では、IoTF-C706およびIoTF-U708は同じハードウェアプラットフォームにおいて実装され得るので、IoTF-C706およびIoTF-U708は各々、アーキテクチャ700の中の独立したノードを表す。そのような態様では、たとえば、IoTF-C706はハードウェアプラットフォーム(たとえば、ネットワークデバイス705)上で提供される第1の仮想機械(たとえば、第1のオペレーティングシステム)において実装されることがあり、IoTF-U708はハードウェアプラットフォーム上で提供される第2の仮想機械(たとえば、第2のオペレーティングシステム)において実装されることがある。
本開示のある態様では、サービスネットワーク710は、様々なタイプのサービスを提供するように構成される、いくつかのエンティティ、機能、ゲートウェイ、および/またはサービスを含み得る。たとえば、サービスネットワーク710は、ショートメッセージエンティティ(SME)718、マシン型通信インターワーキング機能(MTC-IWF)720、IoTサーバ722、および/またはパケットデータネットワーク(PDN)ゲートウェイ(P-GW)724を含み得る。図7において開示されるサービスネットワーク710は一例として機能し、他の態様では、サービスネットワーク710は、図7において開示されたものとは異なるタイプのエンティティ、機能、および/またはサーバを含み得ることを理解されたい。
図7の態様では、たとえば、IoTF-C706は、制御プレーンのための暗号化されたクライアントデバイスコンテキストと、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストとを生成した可能性がある。そのような態様では、コンテキスト鍵730は、制御プレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第1のコンテキスト鍵(たとえば、鍵KCDC-IoTF-C304)と、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第2のコンテキスト鍵(たとえば、鍵KCDC-IoTF-U306)とを含み得る。たとえば、IoTF-C706は、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストを生成するための第2のコンテキスト鍵(たとえば、鍵KCDC-IoTF-U306)をIoTF-U708に送信した可能性がある。したがって、そのような例では、IoTF-U708は、図7に示されるように、IoTF-C706によって提供されるコンテキスト鍵731を含み得る。図7の態様では、クライアントデバイス702は、以前に論じられた方式で、CP鍵726およびUP鍵728を導出している。
図7に示されるように、クライアントデバイス702は、IoTF-C706によって提供されるデータパケットと暗号化されたクライアントデバイスコンテキストとを含む第1のメッセージ732を、ネットワークアクセスノード704に送信し得る。ネットワークアクセスノード704は、データパケットの中のIoTF-U識別子からIoTF-U708のアドレスを決定することができ、第2のメッセージ734を介してデータパケットをIoTF-U708に転送することができる。ある態様では、ネットワークアクセスノード704は、パケットを検証することなく、クライアントデバイス702によって示される次のホップのノード(たとえば、IoTF-U708)にデータパケットを転送し得る。IoTF-U708は、暗号化されたクライアントデバイスコンテキストを検証することができ、コンテキスト鍵731(たとえば、ユーザプレーンのための暗号化されたクライアントデバイスコンテキストを生成するための鍵KCDC-IoTF-U306)を使用して、暗号化されたクライアントデバイスコンテキストを復号することができる。IoTF-U708は次いで、復号された情報に基づいてクライアントデバイスを再構築し得る。IoTF-U708は次いで、暗号鍵および完全性鍵(たとえば、UP鍵728)を用いてデータパケットを復号し検証し得る。
図8は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ700)におけるクライアントデバイスにより開始される例示的なデータ送信を示す信号フロー図800である。図8に示されるように、信号フロー図800は、クライアントデバイス802(IoTデバイスとも呼ばれる)、ネットワークアクセスノード804(たとえば、eNB、基地局、またはネットワークアクセスポイント)、ネットワークノード805において実装されるIoTF-U806、およびサービスネットワーク808を含む。クライアントデバイス802は、暗号化されたクライアントデバイスコンテキストとデータパケット(たとえば、ULデータパケット)とを含むデータ移送要求メッセージ810をネットワークアクセスノード804に送信し得る。ある態様では、データ移送要求メッセージ810は、ネットワークアクセスノード804とのRRC接続を確立することなくクライアントデバイス802によって送信され得る。
ネットワークアクセスノード804は、データ移送要求メッセージ810を受信すると、潜在的なダウンリンク(DL)トラフィックに対してクライアントデバイス802の一時識別子(TID)を割り当て得る(812)。たとえば、TIDは、セル無線ネットワーク一時識別子(C-RNTI)であり得る。ネットワークアクセスノード804は、データパケットのヘッダに含まれるIoTF-U識別子を決定し得る。そのようなヘッダを含むデータパケットの例示的なフォーマットが、図12を参照して本明細書において論じられる。
ネットワークアクセスノード804は、IoTF-U806のIPアドレスを決定することができ、第1のメッセージ814を介してデータパケットをIoTF-U806に転送することができる。たとえば、運用および保守(OAM)手順の一部として、ネットワークアクセスノード804は、IoTF-U識別子の集合および対応するIPアドレスを用いて構成されることがあり、または代替的に、ネットワークアクセスノード804は、IoTF-U806のIPアドレスを決定するためにIoTF-U IDに基づくドメイン名システム(DNS)クエリを使用することがある。本開示のある態様によれば、図8に示されるように、ネットワークアクセスノード804は、データパケットとともに、TIDおよび暗号化されたクライアントデバイスコンテキストを第1のメッセージ814に含め得る。本開示のある態様によれば、TIDは、事前に定義された間隔の間、ネットワークアクセスノード804に記憶される。そのような態様では、ネットワークアクセスノード804は、第1のメッセージ814において、TIDとともにIoTF-U806へTID期限切れ時間を送信し得る。IoTF-U806は、暗号化されたクライアントデバイスコンテキストを復号することができ、クライアントデバイスコンテキスト(たとえば、S5ベアラ)を再構築することができる(816)。IoTF-U806は、第2のメッセージ818を介して、データパケットをサービスネットワーク808(たとえば、サービスネットワーク808の中のP-GWまたはサービスネットワーク808の中の他のエンティティ)に転送し得る。
アップリンクデータ(たとえば、第2のメッセージ818の中のULデータパケット)に応答して、IoTF-U806は、第3のメッセージ820を介して、サービスネットワーク808(たとえば、サービスネットワーク808の中のP-GWまたはサービスネットワーク808の中の対応するエンティティ)からデータパケット(たとえば、DLデータパケット)を受信し得る。IoTF-U806は、第4のメッセージ822において、受信されたデータパケットをTIDとともにネットワークアクセスノード804へ送信し得る。ネットワークアクセスノード804は、TIDを使用してクライアントデバイス802を特定することができ、第5のメッセージ824においてデータパケットをクライアントデバイス802に送信することができる。クライアントデバイス802は、事前に設定されたタイマーに基づいてアイドルモードに移行し得る(826)。ネットワークアクセスノード804およびIoTF-U806は、暗号化されたクライアントデバイスコンテキストからオンザフライで作成されたクライアントデバイスコンテキストを除去する(828)ことに進み得る。
クライアントデバイスで終端するデータ移送(ページング)
図9は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100)における例示的なクライアントデバイスで終端するデータ送信の信号フロー図900である。図9に示されるように、信号フロー図900は、クライアントデバイス902(IoTデバイスとも呼ばれる)、ネットワークアクセスノード904(たとえば、eNB、基地局、ネットワークアクセスポイント)、ネットワークノード905において実装されるIoTF-C906、ネットワークノード907において実装されるIoTF-U908、P-GW910、およびIoTサーバ912を含む。IoTサーバ912は、DLデータパケットおよびグローバルIoTF識別子(GIOTFI)を含むダウンリンク(DL)メッセージ914をP-GW910に送信し得る。P-GW910は、GIOTFIに基づいてIoTF-U908を位置特定することができ、転送メッセージ916においてDLデータパケットをIoTF-U908に転送することができる。IoTF-U908は、DLデータ通知メッセージ918をIoTF-C906に送信し得る。本開示のある態様では、DLデータ通知メッセージ918は、DLデータパケットがページングメッセージにおいて搬送されるのに十分小さい場合、DLデータパケットを含み得る。IoTF-C906は、ページングメッセージ920を1つまたは複数のネットワークアクセスノード(たとえば、ネットワークアクセスノード904)に送信し得る。ネットワークアクセスノード904は次いで、ページメッセージ922を送信することによって、クライアントデバイス902をページングし得る。
クライアントデバイス902は、ULデータパケットを含むRRC接続要求メッセージ924をIoTF-U908に送信し得る。本開示のある態様では、クライアントデバイス902によって送信されるULデータパケットは空であり得る。ネットワークアクセスノード904は、潜在的なダウンリンク(DL)トラフィックに対してクライアントデバイス902の一時識別子(TID)を割り当て得る(926)。たとえば、TIDは、セル無線ネットワーク一時識別子(C-RNTI)であり得る。ネットワークアクセスノード904は次いで、転送メッセージ928において、TIDおよび暗号化されたクライアントデバイスコンテキストを有するULデータパケットをIoTF-U908に転送し得る。IoTF-U908は、ネットワークアクセスノード904のTIDおよびIDを記憶し得る(930)。
IoTF-U908は、クライアントデバイス応答メッセージ932をIoTF-C906に送信し得る。本開示のある態様では、IoTF-U908は、DLデータパケットをDLデータ通知メッセージ918に含めることが可能ではなかった場合、クライアントデバイス902のためのDLデータパケットおよびTIDを含むメッセージ934を、クライアントデバイス902に送信し得る。ネットワークアクセスノード904は、転送メッセージ936において、DLデータパケットをクライアントデバイス902に転送し得る。クライアントデバイス902は次いで、アイドルモードに移行し得る(938)。ネットワークアクセスノード904およびIoTF-C906は、クライアントデバイスコンテキストを除去し得る(940)。
リソースの確立および解放
図10は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100)における例示的なリソースの確立および解放の信号フロー図1000である。図10に示されるように、信号フロー図1000は、クライアントデバイス1002(IoTデバイスとも呼ばれる)、ネットワークノード1006において実装されるIoTF-C1004、ネットワークノード1010において実装されるIoTF-U1008、およびP-GW1012を含む。
図10に示されるように、IoTF-C1004、IoTF-U1008、および/またはP-GW1012は、クライアントデバイス1002のコンテキストを除去し得る(1014)。一態様では、IoTF-C1004および/またはIoTF-U1008は、IoTF-C1006が暗号化されたクライアントデバイスコンテキストをクライアントデバイス1002に提供した後で、クライアントデバイス1002のコンテキストを除去し得る。図10に示されるように、クライアントデバイス1002は、リソース確立要求メッセージ1016をIoTF-C1004に送信し得る。たとえば、クライアントデバイス1002は、頻繁ではないバーストデータ送信をネットワークに(たとえば、P-GW1012に)送信する予定であるとき、リソース確立要求メッセージ1016を送信し得る。たとえば、バーストデータ送信は、IPパケットなどのプロトコルデータユニット(PDU)のシーケンスを含み得る。ある態様では、リソース確立要求メッセージ1016は、暗号化されたクライアントデバイスコンテキスト(たとえば、制御プレーンのクライアントデバイスコンテキスト)を含み得る。
リソース確立動作1018の間、IoTF-C1004は、クライアントデバイス1002からの暗号化されたクライアントデバイスコンテキストを検証することができ、検証が成功すると、IoTF-C1004は、暗号化されたクライアントデバイスコンテキストを復号することができる。IoTF-C1004は次いで、クライアントデバイス1002のコンテキストを再構築し得る。ある態様では、IoTF-U1008およびP-GW1012はまた、クライアントデバイス1002のコンテキストを再構築し得る。ある態様では、IoTF-C1004は、クライアントデバイス1002のネットワークアドレス(たとえば、IPアドレス)を取得することができ、リソース確立動作1018の間にネットワークアドレスをクライアントデバイス1002に提供することができる。図10に示されるように、クライアントデバイス1002は、IoTF-U1008を介して、アップリンク(UL)データ1020をP-GW1012に送信し得る。ある態様では、クライアントデバイス1002は、クライアントデバイス1002のネットワークアドレスを含む1つまたは複数のPDUにおいてULデータ1020を送信し得る。
一態様では、クライアントデバイス1002は、ネットワークに対して行われるべきさらなるデータ送信がないと決定し得る。そのような態様では、クライアントデバイス1002は任意選択で、リソース解放要求メッセージ1 1022をIoTF-C1004に送信し得る。クライアントデバイス1002は次いで、アイドルモード1024に入り得る。IoTF-C1004は、リソース解放要求メッセージ1 1022をP-GW1012に送信し得る。ある態様では、リソース解放要求メッセージ1 1022は、P-GW1012がクライアントデバイス1002のための1つまたは複数のリソースを解放することを可能にする。たとえば、1つまたは複数のリソースは、クライアントデバイス1002に割り当てられるネットワークアドレス(たとえば、そのネットワークアドレスの再割振りを可能にするための)、クライアントデバイス1002のためのベアラ、および/またはクライアントデバイス1002のための他のリソースを含み得る。IoTF-C1004およびIoTF-U1008は次いで、クライアントデバイス1002のコンテキストを除去し得る(1030)。別の態様では、IoTF-C1004および/またはIoTF-U1008は、ULデータ1020がIoTF-U1008において受信された後でタイマー1026を始動し得る。クライアントデバイス1002から任意の新しいULデータ(たとえば、ULデータ1020に後続する追加のULデータ)を受信する前に、かつ/またはクライアントデバイス1002へ任意のダウンリンク(DL)データを送信する前に、タイマー1026が満了する場合、IoTF-C1004および/またはIoTF-U1008は、クライアントデバイス1002がアイドルモード1024にあると決定し得る。そのような状況では、IoTF-C1004は、リソース解放要求メッセージ2 1028をP-GW1012に送信し得る。ある態様では、リソース解放要求メッセージ2 1028は、P-GW1012がクライアントデバイス1002のための1つまたは複数のリソースを解放することを可能にする。たとえば、1つまたは複数のリソースは、クライアントデバイス1002に割り当てられるネットワークアドレス(たとえば、そのネットワークアドレスの再割振りを可能にするための)、クライアントデバイス1002のためのベアラ、および/またはクライアントデバイス1002のための他のリソースを含み得る。IoTF-C1004およびIoTF-U1008は次いで、クライアントデバイス1002のコンテキストを除去し得る(1030)。一態様では、タイマー1026は、タイマー1026の満了の前に新しいULデータ送信(たとえば、ULデータ1020に後続する追加のULデータ)がクライアントデバイス1002からIoTF-U1008において受信されるとき、IoTF-C1004および/またはIoTF-U1008によってリセットされ得る。
図11は、本開示の様々な態様による、IoTネットワークアーキテクチャにおけるクライアントデバイスによる例示的な接続手順の信号フロー図1100である。図11に示されるように、信号フロー図1100は、クライアントデバイス1102(IoTデバイスとも呼ばれる)、ネットワークアクセスノード1104(たとえば、eNB、基地局、またはネットワークアクセスポイント)において実装されるユーザプレーン機能1112、ネットワークノード1106において実装される制御プレーン機能1114、サービスネットワーク1108、およびホーム加入者サーバ(HSS)1110を含む。
図11に示されるように、クライアントデバイス1102は、ネットワークと通信するために、要求1116(たとえば、RRC接続要求)をネットワークアクセスノード1104に送信し得る。クライアントデバイス1102はRRC接続セットアップメッセージ1118を受信することができ、これは、シグナリング無線ベアラ(SRB)構成(たとえば、専用制御チャネル(DCCH)を通じてNASメッセージを送信するためのSRB1構成)を含み得る。クライアントデバイス1102は、RRC接続セットアップ完了メッセージ1120をネットワークアクセスノード1104に送信し得る。たとえば、RRC接続セットアップ完了メッセージ1120は接続要求を示し得る。
ネットワークアクセスノード1104は、初期クライアントデバイスメッセージ1122をネットワークノード1106に送信し得る。制御プレーン機能1114は、クライアントデバイス1102によって提供されるホームドメイン情報からHSSサーバ1110のアドレスを決定することができ、HSS1110と通信することができる(1126)。たとえば、制御プレーン機能1114は、クライアントデバイス1102の認証情報に対する要求をHSSサーバ1110に送信することができ、HSSサーバ1110から認証情報を受信することができる。
図11に示されるように、制御プレーン機能1114は、クライアントデバイス1102との、AKA手順1124などの相互認証を実行し得る。AKA手順1124が完了すると、制御プレーン機能1114およびクライアントデバイス1102は、鍵KASME206または鍵KIOT202から、鍵KIoT-CPenc210および/または鍵KIoT-CPint212などの制御プレーン鍵を導出し得る。制御プレーン機能1114およびクライアントデバイス1102はさらに、鍵KASME206または鍵KIOT202から、鍵KIoT-UPenc216および/または鍵KIoT-UPint218などのユーザプレーン鍵を導出し得る。
本開示のある態様では、制御プレーン機能1114は、鍵KCDC-IoTF-C304を使用してクライアントデバイス1102の制御プレーンコンテキストを暗号化することによって、制御プレーンの暗号化されたクライアントデバイスコンテキストを生成することができ、かつ/または、鍵KCDC-IoTF-U306を使用してクライアントデバイス1102のユーザプレーンコンテキストを暗号化することによって、ユーザプレーンの暗号化されたクライアントデバイスコンテキストを生成することができる。
制御プレーン機能1114は、暗号化されたクライアントデバイスコンテキスト(たとえば、制御プレーンの暗号化されたクライアントデバイスコンテキストおよび/またはユーザプレーンの暗号化されたクライアントデバイスコンテキスト)を有する初期コンテキストセットアップ要求メッセージ1128を、クライアントデバイス1102に送信し得る。したがって、暗号化されたクライアントデバイスコンテキストは、制御プレーン機能1114および/またはユーザプレーン機能1112と関連付けられるクライアントデバイスコンテキストを含むことがあり、ここでクライアントデバイスコンテキストは、クライアントデバイス1102によるアップリンクデータ送信のために使用されることがある。ある態様では、制御プレーン機能1114は、メッセージ1128を介して、1つまたは複数の鍵(たとえば、鍵IoT-UPenc216および/もしくは鍵KIoT-UPint218などのユーザプレーン鍵、ならびに/または鍵KCDC-IoTF-U306)をユーザプレーン機能1112に移送し得る。
本開示のある態様では、暗号鍵はユーザプレーン機能1112および/または制御プレーン機能1114にのみ知られている(たとえば、クライアントデバイスセキュリティコンテキストは、ユーザプレーン機能1112および/または制御プレーン機能1114によって独占的に取り出され得る)。そのような態様では、たとえば、暗号鍵はKCDC-IoTF-U306であり得る。本開示のある態様では、各々の暗号化されたクライアントデバイスコンテキストは、1つのデータ無線ベアラ(DRB)に対応する。
ネットワークアクセスノード1104は、RRC接続再構成メッセージ1130をクライアントデバイス1102に送信し得る。本開示のある態様では、RRC接続再構成メッセージ1130は、暗号化されたクライアントデバイスコンテキストを含み得る。クライアントデバイス1102は、RRC接続再構成完了メッセージ1132をネットワークアクセスノード1104に送信し得る。
クライアントデバイス1102は、データパケット(たとえば、ULデータパケット)を含む第1のメッセージ1134をネットワークアクセスノード1104に送信し得る。ネットワークアドレスノード1104において実装されるユーザプレーン機能1112は、データパケットをサービスネットワーク1108に転送し得る。サービスネットワーク1108は、データパケット(たとえば、DLデータパケット)を含む第2のメッセージ1136をクライアントデバイス1102に送信し得る。たとえば、図11に示されるように、第2のメッセージ1136は、ネットワークアクセスノード1104におけるユーザプレーン機能1112によってクライアントデバイス1102に転送され得る。クライアントデバイス1102は次いで、アイドルモードに移行し得る(1138)。ネットワークアクセスノード1104およびネットワークノード1106は、クライアントデバイスコンテキストを除去する(1140)ことに進み得る。
図12は、本開示の様々な態様による、IoTネットワークアーキテクチャにおける例示的なリソースの確立および解放の信号フロー図1200である。図12に示されるように、信号フロー図1200は、クライアントデバイス1202(IoTデバイスとも呼ばれる)、ネットワークアクセスノード1204において実装されるユーザプレーン機能1210、ネットワークノード1206において実装される制御プレーン機能1212、およびP-GW1208を含む。ある態様では、図12のネットワークアクセスノード1204、ユーザプレーン機能1210、ネットワークノード1206、および制御プレーン機能1212はそれぞれ、図11のネットワークアクセスノード1104、ユーザプレーン機能1112、ネットワークノード1106、および制御プレーン機能1114に対応し得る。
図12に示されるように、ネットワークアクセスノード1204、ネットワークノード1206、および/またはP-GW1208は、クライアントデバイス1202のコンテキストを除去し得る(1214)。一態様では、ネットワークアクセスノード1204および/またはネットワークノード1206は、制御プレーン機能1212が暗号化されたクライアントデバイスコンテキストをクライアントデバイス1202に提供した後で、クライアントデバイス1202のコンテキストを除去し得る。図12に示されるように、クライアントデバイス1202は、リソース確立要求1216をネットワークアクセスノード1204に送信し得る。たとえば、クライアントデバイス1202は、頻繁ではないバーストデータ送信をネットワークに(たとえば、P-GW1208に)送信する予定であるとき、リソース確立要求1216を送信し得る。たとえば、バーストデータ送信は、IPパケットなどのプロトコルデータユニット(PDU)のシーケンスを含み得る。ある態様では、リソース確立要求1216は、暗号化されたクライアントデバイスコンテキスト(たとえば、制御プレーンのクライアントデバイスコンテキスト)を含み得る。
リソース確立動作1218の間、制御プレーン機能1212は、クライアントデバイス1202からの暗号化されたクライアントデバイスコンテキストを検証することができ、検証が成功すると、制御プレーン機能1212は、暗号化されたクライアントデバイスコンテキストを復号することができる。制御プレーン機能1212は次いで、クライアントデバイス1202のコンテキストを再構築し得る。ある態様では、ユーザプレーン機能1210およびP-GW1208はまた、クライアントデバイス1202のコンテキストを再構築し得る。ある態様では、制御プレーン機能1212は、クライアントデバイス1202のネットワークアドレス(たとえば、IPアドレス)を取得することができ、リソース確立動作1218の間にネットワークアドレスをクライアントデバイス1202に提供することができる。図12に示されるように、クライアントデバイス1202は、ネットワークアクセスノード1204を介して、アップリンク(UL)データ1220をP-GW1208に送信し得る。ある態様では、クライアントデバイス1202は、クライアントデバイス1202のネットワークアドレスを含む1つまたは複数のPDUにおいてULデータ1220を送信し得る。
一態様では、クライアントデバイス1202は、ネットワークに対して行われるべきさらなるデータ送信がないと決定し得る。そのような態様では、クライアントデバイス1202は任意選択で、リソース解放要求メッセージ1 1222をネットワークアクセスノード1204に送信し得る。クライアントデバイス1202は次いで、アイドルモード1224に入り得る。図12に示されるように、ネットワークアクセスノード1204は、ネットワークノード1206を介して、リソース解放要求メッセージ1 1222をP-GW1208に送信し得る。ある態様では、リソース解放要求メッセージ1 1222は、P-GW1208がクライアントデバイス1202のための1つまたは複数のリソースを解放することを可能にする。たとえば、1つまたは複数のリソースは、クライアントデバイス1202に割り当てられるネットワークアドレス(たとえば、そのネットワークアドレスの再割振りを可能にするための)、クライアントデバイス1202のためのベアラ、および/またはクライアントデバイス1202のための他のリソースを含み得る。制御プレーン機能1212およびユーザプレーン機能1210は次いで、クライアントデバイス1202のコンテキストを除去し得る(1232)。別の態様では、ユーザプレーン機能1210および/または制御プレーン機能1212は、ULデータ1220が受信された後でタイマー1226を始動し得る。クライアントデバイス1202から任意の新しいULデータ(たとえば、ULデータ1220に後続する追加のULデータ)を受信する前に、かつ/またはクライアントデバイス1202へ任意のダウンリンク(DL)データを送信する前に、タイマー1226が満了する場合、制御プレーン機能1212および/またはユーザプレーン機能1210は、クライアントデバイス1202がアイドルモード1224にあると決定し得る。そのような状況では、一態様によれば、ユーザプレーン機能1210は、ネットワークノード1206を介して、リソース解放要求メッセージ2 1228をP-GW1208に送信し得る。代替的に、別の態様によれば、制御プレーン機能1212は、リソース解放要求メッセージ3 1230をP-GW1208に送信し得る。ある態様では、リソース解放要求メッセージ2 1228またはリソース解放要求メッセージ3 1230は、P-GW1208がクライアントデバイス1202のための1つまたは複数のリソースを解放することを可能にする。たとえば、1つまたは複数のリソースは、クライアントデバイス1202に割り当てられるネットワークアドレス(たとえば、そのネットワークアドレスの再割振りを可能にするための)、クライアントデバイス1202のためのベアラ、および/またはクライアントデバイス1202のための他のリソースを含み得る。制御プレーン機能1212およびユーザプレーン機能1210は次いで、クライアントデバイス1202のコンテキストを除去し得る(1232)。一態様では、タイマー1226は、タイマー1226の満了の前に新しいULデータ送信(たとえば、ULデータ1220に後続する追加のULデータ)がクライアントデバイス1202からユーザプレーン機能1210において受信されるとき、制御プレーン機能1212および/またはユーザプレーン機能1210によってリセットされ得る。
制御プレーンプロトコルスタック
図13は、本開示の様々な態様による、IoTデータ送信のための制御プレーンプロトコルスタック1300を示す図である。図13に示されるように、プロトコルスタック1300は、クライアントデバイスプロトコルスタック1302(IoTデバイスプロトコルスタックとも呼ばれる)、ネットワークアクセスノードプロトコルスタック1304、ネットワークノード1305において実装されるIoTFプロトコルスタック1306、およびサービスネットワークプロトコルスタック1308を含み得る。たとえば、ネットワークアクセスノードプロトコルスタック1304は、eNB、基地局、またはネットワークアクセスポイントにおいて実装され得る。別の例として、サービスネットワークプロトコルスタック1308は、P-GWにおいて実装され得る。図13に示されるように、クライアントデバイスプロトコルスタック1302は、物理(PHY)層1310、媒体アクセス制御(MAC)層1312、無線リンク制御(RLC)層1314、パケットデータコンバージェンスプロトコル(PDCP)層1316、および制御(Ctrl)層1320を含み得る。図13にさらに示されるように、クライアントデバイスプロトコルスタック1302は、制御プレーンの暗号化されたクライアントデバイスコンテキスト(図13では「CDCCP」と省略される)を通信するためのコンテキストプロトコル層1318を実装し得る。コンテキストプロトコル層1318はさらに、暗号化されたクライアントデバイスコンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図13では「Sec」と省略される)の通信を可能にし得る。
図13に示されるように、ネットワークアクセスノードプロトコルスタック1304は、クライアントデバイスプロトコルスタック1302のPHY層1310、MAC層1312、RLC層1314、およびPDCP層1316とそれぞれインターフェースする、PHY層1322、MAC層1324、RLC層1326、およびPDCP層1328を含み得る。ネットワークアクセスノードプロトコルスタック1304はさらに、イーサネット層1330、MAC層1332、インターネットプロトコル(IP)層1334、ユーザデータグラムプロトコル(UDP)層1336、および制御プレーンGPRSトンネリングプロトコル(GTP-C)層1338を含み得る。
図13に示されるように、IoTFプロトコルスタック1306は、イーサネット層1340、MAC層1342、IP層1344、UDP層1346、GTP-C層1348、および制御(Ctrl)層1352を含み得る。図13にさらに示されるように、IoTFプロトコルスタック1306は、制御プレーンの暗号化されたクライアントデバイスコンテキスト(図13では「CDCCP」と省略される)を通信するためのコンテキストプロトコル層1350を実装し得る。コンテキストプロトコル層1350はまた、暗号化されたクライアントデバイスコンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図13では「Sec」と省略される)の通信を可能にし得る。図13に示されるように、クライアントデバイスプロトコルスタック1302のコンテキストプロトコル層1318は、IoTFプロトコルスタック1306のコンテキストプロトコル層1350と通信している。ある態様では、暗号化されたクライアントデバイスコンテキストは、図15に関して説明される例示的なIoTパケットフォーマットに従って、ユーザプレーンメッセージの外側のパケットヘッダにおいて搬送され得る。
サービスネットワークプロトコルスタック1308は、IoTFプロトコルスタック1306のIP層1344、UDP層1346、GTP-C層1348、およびCtrl層1352とそれぞれインターフェースする、IP層1354、UDP層1356、GTP-C層1358、およびCtrl層1360を含み得る。本開示のある態様では、ネットワークアーキテクチャがGSM EDGE無線アクセスネットワーク(GERAN)として実装される場合、IPプロトコル1364とは異なるプロトコルが使用され得る。本開示のある態様では、領域1362および1366により示されるGTP-CプロトコルおよびUDPプロトコルは省略され得る。
ユーザプレーンプロトコルスタック
図14は、本開示の様々な態様による、IoTデータ送信のためのユーザプレーンプロトコルスタック1400を示す図である。図14に示されるように、プロトコルスタック1400は、クライアントデバイスプロトコルスタック1402(IoTデバイスプロトコルスタックとも呼ばれる)、ネットワークアクセスノードプロトコルスタック1404、ネットワークノード1405において実装されるIoTFプロトコルスタック1406、およびサービスネットワークプロトコルスタック1408を含み得る。たとえば、ネットワークアクセスノードプロトコルスタック1404は、eNB、基地局、またはネットワークアクセスポイントにおいて実装され得る。別の例として、サービスネットワークプロトコルスタック1408は、P-GWにおいて実装され得る。図14に示されるように、クライアントデバイスプロトコルスタック1402は、物理(PHY)層1410、媒体アクセス制御(MAC)層1412、無線リンク制御(RLC)層1414、パケットデータコンバージェンスプロトコル(PDCP)層1416、およびユーザプレーン(UP)層1420を含み得る。図14にさらに示されるように、クライアントデバイスプロトコルスタック1402は、ユーザプレーンの暗号化されたクライアントデバイスコンテキスト(図14では「CDCUP」と省略される)を通信するためのコンテキストプロトコル層1418を実装し得る。コンテキストプロトコル層1418はさらに、暗号化されたクライアントデバイスコンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図14では「Sec」と省略される)の通信を可能にし得る。
図14に示されるように、ネットワークアクセスノードプロトコルスタック1404は、クライアントデバイスプロトコルスタック1402のPHY層1410、MAC層1412、RLC層1414、およびPDCP層1416とそれぞれインターフェースする、PHY層1422、MAC層1424、RLC層1426、およびPDCP層1428を含み得る。ネットワークアクセスノードプロトコルスタック1404はさらに、イーサネット層1430、MAC層1432、インターネットプロトコル(IP)層1434、ユーザデータグラムプロトコル(UDP)層1436、およびユーザプレーンGPRSトンネリングプロトコル(GTP-U)層1438を含み得る。
図14に示されるように、IoTFプロトコルスタック1406は、イーサネット層1440、MAC層1442、IP層1444、UDP層1446、GTP-U層1448を含み得る。図14にさらに示されるように、IoTFプロトコルスタック1406は、ユーザプレーンの暗号化されたクライアントデバイスコンテキスト(図14では「CDCUP」と省略される)を通信するためのコンテキストプロトコル層1450を実装し得る。コンテキストプロトコル層1450はまた、暗号化されたクライアントデバイスコンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図14では「Sec」と省略される)の通信を可能にし得る。図14に示されるように、クライアントデバイスプロトコルスタック1402のコンテキストプロトコル層1418は、IoTFプロトコルスタック1406のコンテキストプロトコル層1450と通信している。ある態様では、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、図15に関して説明される例示的なIoTパケットフォーマットに従って、UPメッセージの外側のパケットヘッダにおいて搬送され得る。
サービスネットワークプロトコルスタック1408は、IoTFプロトコルスタック1406のIP層1444、UDP層1446、GTP-U層1448、およびUP層1452とそれぞれインターフェースする、IP層1454、UDP層1456、GTP-U層1458、およびUP層1460を含み得る。本開示のある態様では、ネットワークアーキテクチャがGSM EDGE無線アクセスネットワーク(GERAN)として実装される場合、IPプロトコル1464とは異なるプロトコルが使用され得る。本開示のある態様では、領域1462および1466により示されるGTP-UプロトコルおよびUDPプロトコルは省略され得る。本開示のある態様では、IPプロトコルがUPメッセージの配信のために使用される場合、ユーザプレーンの暗号化されたネットワーク到達可能性コンテキストが、IPオプションフィールド(IPv4)またはIP拡張ヘッダ(IPv6)において搬送され得る。
IoTパケットフォーマット
図15は、本開示の様々な態様による、IoTネットワークアーキテクチャにおける送信のためのパケットフォーマット1500の図である。図15を参照すると、一時識別子(TID)フィールド1502は、クライアントデバイス(IoTデバイスとも呼ばれる)をローカルに識別するために、ネットワークアクセスノード(たとえば、eNB、基地局、またはネットワークアクセスポイント)によって使用され得る。たとえば、クライアントデバイスを識別するためのTIDフィールド1502へネットワークアクセスノードにより割り当てられる値は、C-RNTIまたはその等価物であり得る。
本開示のある態様では、IoTF ID(IID)フィールド1504は、グローバルに固有の一時識別子(GUTI:globally unique temporary identifier)を含み得る。たとえば、GUTIは、IoTFと関連付けられる識別子およびクライアントデバイスと関連付けられる識別子(たとえば、モビリティ管理エンティティ(MME)一時モバイル加入者識別情報(M-TMSI)などの一時識別子)を含み得る。たとえば、GUTIはIoTFを識別するためにネットワークアクセスノードにより使用されることがあり、GUTIはクライアントデバイスを識別するためにIoTFにより使用されることがある。別の態様では、IIDフィールド1504は、グローバルIoTF識別子(GIOTFI)およびクライアントデバイスと関連付けられる識別子(たとえば、M-TMSIなどの一時識別子)を含み得る。たとえば、GIOTFIは、IoTFのグローバルに固有のモビリティ管理エンティティ識別子(GUMMEI:globally unique mobility management entity identifier)の等価物であり得る。本開示のある態様では、M-TMSIは、クライアントデバイスのプライバシーのために暗号化され得る。IoTF IPアドレスを使用することは、ネットワークトポロジーを公開し得ることに留意されたい。
セキュリティヘッダフィールド1506は、暗号化されたクライアントデバイスコンテキストの存在、制御プレーン(CP)/ユーザプレーン(UP)の指示、シーケンス番号、タイムスタンプ値、および/またはランダム値を示し得る。たとえば、タイムスタンプ値は、時間およびカウンタに基づくことがあり、ここで時間はネットワークアクセスノード時間またはIoTF時間である。クライアントデバイスコンテキストフィールド1508は、暗号化されたクライアントデバイスコンテキストを含み得る。タイムスタンプがシーケンス番号の代わりに暗号化のために使用される場合、IoTFはいずれのクライアントデバイスネットワーク状態も維持する必要がない可能性があることに留意されたい。ランダム値は、乱数およびカウンタに基づき得る。ランダム値は、ネットワークアクセスノードによって、またはクライアントデバイスによって、またはこれらの組合せによって生成される。カウンタは、各パケットに対してある値(たとえば、1)だけインクリメントされ得る。ランダム値がシーケンス番号の代わりに暗号化のために使用される場合、クライアントデバイスは、セキュリティコンテキストの中の暗号鍵および乱数に基づいて、新しい暗号鍵を生成し得る。ランダム値がシーケンス番号の代わりに完全性保護のために使用される場合、クライアントデバイスは、セキュリティコンテキストの中の完全性保護鍵および乱数に基づいて、新しい完全性保護鍵を生成することができ、新しい完全性保護鍵を使用してメッセージを保護することができる。ペイロードフィールド1510は、データまたは制御情報(たとえば、データパケットまたは制御パケット)を含み得る。
メッセージ認証符号(MAC)フィールド1512は、完全性保護のために使用され得る。たとえば、MACフィールド1512は、送信デバイスまたは送信エンティティによって生成されるメッセージ認証符号を含み得る。MACフィールド1512の中のメッセージ認証符号は次いで、メッセージの完全性が棄損されていないこと(たとえば、メッセージの内容が変更または操作されていないこと)を検証するために、受信デバイスまたはエンティティによって使用され得る。一態様では、MACフィールド1512の中のメッセージ認証符号は、メッセージ認証符号生成アルゴリズム(たとえば、AEAD暗号)を適用することによって、送信デバイスまたはエンティティにおいて生成されることがあり、ここで、メッセージ(たとえば、パケット)およびユーザプレーン鍵または制御プレーン鍵が、メッセージ認証符号生成アルゴリズムのための入力として使用される。メッセージ認証符号生成アルゴリズムの出力は、MACフィールド1512に含まれるメッセージ認証符号であり得る。受信デバイスまたはエンティティは、メッセージ認証符号生成アルゴリズム(たとえば、AEAD暗号)をメッセージに適用することによって、受信されたメッセージの完全性を検証し得る。たとえば、受信されたメッセージ(たとえば、パケット)およびユーザプレーン鍵または制御プレーン鍵は、メッセージ認証符号生成アルゴリズムのための入力として使用され得る。受信デバイスまたはエンティティは次いで、メッセージ認証符号生成アルゴリズムの出力を、MACフィールド1512に含まれるメッセージ認証符号と比較し得る。そのような例では、メッセージ認証符号生成アルゴリズムの出力がMACフィールド1512に含まれるメッセージ認証符号と一致するとき、受信デバイスまたは受信エンティティは、メッセージの検証が成功したと決定し得る。
暗号化されたクライアントデバイスコンテキストの設計および生成
本明細書において開示される態様によれば、暗号化されたクライアントデバイスコンテキストは、クライアントデバイスにサービスを提供するためにネットワークによって必要とされ得る情報を含み得る。たとえば、クライアントデバイスコンテキストは、セキュリティコンテキスト、ベアラID、発展型パケットシステム(EPS)ベアラサービス品質(QoS)およびS5-TEID、ならびに/または、サービスをクライアントデバイスに提供するためにネットワークによって必要とされ得る他のサービス、パラメータ、値、設定、もしくは特徴を含み得る。いくつかの態様では、クライアントデバイスコンテキストは、AKA手順の間に確立され得る。
いくつかの態様では、暗号化されたクライアントデバイスコンテキストは、クライアントデバイスコンテキストに加えて1つまたは複数の情報の項目を含み得る。たとえば、暗号化されたクライアントデバイスコンテキストは、IoTF-C106によって設定される(またはクライアントデバイスコンテキストにおいて示される)期限切れ時間を含むことがあり、これは、(たとえば、永続的な再使用を防ぐために)暗号化されたクライアントデバイスコンテキストの寿命を制限する。別の例として、暗号化されたクライアントデバイスコンテキストは、暗号化されたクライアントデバイスコンテキストを生成するために使用される鍵を識別する鍵インデックスを有し得る。
いくつかの態様では、暗号化されたクライアントデバイスコンテキストは、ネットワークの中のあるエンティティにのみ知られている秘密鍵を使用して生成され得るので、クライアントデバイスによって解釈および/または修正されることが可能ではない。たとえば、暗号化されたクライアントデバイスコンテキストは、IoTF-U(たとえば、IoTF-U108)の秘密鍵を使用してクライアントデバイスコンテキストを暗号化することによって生成され得る。いくつかの態様では、暗号化されたクライアントデバイスコンテキストは、IoTF-U(たとえば、IoTF-U108)の秘密鍵を用いて完全性保護され得るので、クライアントデバイスによって操作/修正されることが可能ではない。
ある態様では、暗号化されたクライアントデバイスコンテキストは、認証およびコンテキスト(たとえば、ベアラ)セットアップの完了の成功として、IoTF-C(たとえば、IoTF-C106)によってクライアントデバイス(たとえば、クライアントデバイス102)に提供され得る。ある態様では、クライアントデバイスは、IoTF-U(たとえば、IoTF-U108)がクライアントデバイスコンテキストをオンザフライで再構築することを可能にするために、1つまたは複数のユーザプレーンパケット(たとえば、ULデータパケット)に暗号化されたクライアントデバイスコンテキストを含め得る。たとえば、クライアントデバイスが複数のパケットを連続して送信する必要がある場合、クライアントデバイスは、後続のパケットに暗号化されたクライアントデバイスコンテキストを含めることなく、最初のパケットに暗号化されたクライアントデバイスコンテキストを含め得る。いくつかの態様では、暗号化されたクライアントデバイスコンテキストは、クライアントデバイスに特有であり得るので、クライアントデバイスに出される暗号化されたクライアントデバイスコンテキストは、いずれの他のクライアントデバイスによっても使用され得ない。
a)制御プレーンの暗号化されたクライアントデバイスコンテキスト
本開示のある態様では、IoTF(たとえば、図1のIoTF-C106)は、1つまたは複数の情報の項目を連結することによって、暗号化されたクライアントデバイスコンテキストを生成し得る。たとえば、制御プレーン(CP)の暗号化されたクライアントデバイスコンテキスト(CDCCP)は、式KeyID||Enc_KCDC-IoTF-C(CDCCP)||MACに基づいて生成され得る。本開示のある態様では、鍵KCDC-IoTF-C(たとえば、図3の鍵KCDC-IoTF-C304)は、鍵KCDC-IoTF(たとえば、図3の鍵KCDC-IoTF302)と同じであることがあり、または鍵KCDC-IoTFから導出されることがある。項KeyIDは、(暗号化されたクライアントデバイスコンテキストを生成するために使用される)鍵インデックスを表し得る。項CDCCPは、制御プレーンクライアントデバイスコンテキストを表し得る。たとえば、制御プレーンクライアントデバイスコンテキストは、クライアントデバイス識別子、クライアントデバイスセキュリティコンテキスト(たとえば、鍵KIoT(KASMEの等価物)、鍵KIoT-CPenc210、鍵KIoT-CPint212などの制御プレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA)、発展型パケットシステム完全性アルゴリズム(EIA))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。項MACは、暗号化モードおよび/またはメッセージ認証符号生成アルゴリズム(MACアルゴリズムとも呼ばれる)を示すことができ、これは、移動体通信事業者(MNO)により選ばれ、IoTFに対して構成され得る。したがって、項Enc_KCDC-IoTF-C(CDCCP)は、鍵KCDC-IoTF-Cを使用して制御プレーンクライアントデバイスコンテキストに対して実行される暗号化動作の結果を表し得る。
b)ユーザプレーンの暗号化されたクライアントデバイスコンテキスト
別の例として、ユーザプレーン(UP)の暗号化されたクライアントデバイスコンテキスト(CDCUP)は、式KeyID||Enc_KCDC-IoTF-U(CDCUP)||MACに基づいて生成され得る。項CDCUPは、ユーザプレーンクライアントデバイスコンテキストを表し得る。たとえば、ユーザプレーンクライアントデバイスコンテキストは、クライアントデバイス識別子、ベアラID、発展型パケットシステム(EPS)ベアラサービス品質(QoS)、ユーザプレーン汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP-U)のS5トンネルエンドポイント識別子、IoTF-U108がULデータを転送するP-GWインターネットプロトコル(IP)アドレス(または等価な情報)、クライアントデバイスのセキュリティコンテキスト(たとえば、鍵KIoT-UPenc216、鍵KIoT-UPint218などの選択された暗号化アルゴリズムおよびユーザプレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA)、発展型パケットシステム完全性アルゴリズム(EIA))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。したがって、項Enc_KCDC-IoTF-U(CDCUP)は、鍵KCDC-IoTF-Uを使用してユーザプレーンクライアントデバイスコンテキストに対して実行される暗号化動作の結果を表し得る。本開示のある態様では、暗号化されたクライアントデバイスコンテキストは、クライアントデバイスが接続される/関連付けられるIoTF(たとえば、IoTF-C106および/またはIoTF-U108)のみによって復号され得る。本開示のある態様では、クライアントデバイスコンテキストは、暗号化される前に圧縮され得る。
暗号化されたクライアントデバイスコンテキストは、1つまたは複数の特性を有し得る。たとえば、暗号化されたクライアントデバイスコンテキストは、特定のクライアントデバイスと関連付けられるネットワーク状態情報を含み得るので、他のクライアントデバイスに移送可能ではないことがある。IoTF-C/U(たとえば、IoTF-C106および/またはIoTF-U108)は、クライアントデバイスのコンテキスト(たとえば、ネットワーク状態情報)を維持しない。したがって、そのようなIoTF-C/Uは、固有の秘密鍵を使用して暗号化されたクライアントデバイスコンテキストからクライアントデバイスコンテキストを復元し得るので、IoTF-C/Uは、クライアントデバイスコンテキストを復元するための追加の情報を何ら記憶する必要がない。IoTF-C/Uは、ある条件(たとえば、発展型パケットシステム接続管理(ECM)-Idleまたは少量のデータ移送の直後)のもとでクライアントデバイスコンテキストを除去し、必要なときに(たとえば、データ移送のために)それを回復することができる。
クライアントデバイスは、高速なULデータの移送/高速な制御プレーンメッセージの移送のためにIoTF-Cによって提供される、暗号化されたクライアントデバイスコンテキストを記憶し得る。クライアントデバイスは、1つまたは複数のデータパケットを送信した直後にスリープモードに入り得る。クライアントデバイスコンテキストを再構築するための、IoTF-Uに対するメッセージ交換のオーバーヘッドがないことがあるので、少量のデータパケットの送信について遅延が生じないことがある。本開示のある態様では、クライアントデバイスがアイドルモードにあるとき、ユーザプレーンのデータ送信のために制御プレーンのメッセージはまったく使用されないことがある。
トラッキングエリア更新
クライアントデバイスは、アイドルモードの間に新しいトラッキングエリアに入るとき、トラッキングエリア更新(TAU)手順を実行し得る。TAUメッセージは、ソースIoTF-Cの現在のトラッキングエリアid(TAI)およびGIOTFIまたは等価物(たとえば、グローバルに固有なモバイル管理エンティティ識別子(GUMMEI))を含み得る。ターゲットIoTF-Cは、クライアントデバイスの位置および1つまたは複数のネットワークエンティティ(たとえば、P-GW)に対するモビリティアンカー(たとえば、IoTF-U ID)を、暗号化されたネットワーク到達可能性コンテキストとともに更新し得る。本開示のある態様では、暗号化されたネットワーク到達可能性コンテキストは、IoTF-Uがダウンリンクパケットを検証することを可能にし得る。本開示のある態様では、アプリケーションサーバ(たとえば、IoTサーバ)および/またはP-GWは、暗号化されたネットワーク到達可能性コンテキストを有するダウンリンク(DL)パケットをIoTF-U/C(GIOTFIによって識別される)に送信し得る。
図16は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100)におけるTAU手順の信号フロー図1600である。図16に示されるように、信号フロー図1600は、クライアントデバイス1602(IoTデバイスとも呼ばれる)、ネットワークアクセスノード1604(たとえば、eNB、基地局、ネットワークアクセスポイント)、ターゲットネットワークデバイス1605において実装されるターゲットIoTF-C1606、ソースネットワークデバイス1607において実装されるソースIoTF-C1608、P-GW1610、およびIoTサーバ1612(アプリケーションサーバとも呼ばれる)を含む。クライアントデバイス1602は、暗号化されたクライアントデバイスコンテキスト(たとえば、制御プレーン(CP)の暗号化されたクライアントコンテキスト)とTAU要求とを含むデータ移送要求メッセージ1614をネットワークアクセスノード1604に送信し得る。本開示のある態様では、データ移送要求メッセージ1614は、RRC接続を確立することなくクライアントデバイス1602によって送信され得る。
ネットワークアクセスノード1604は、TAU要求に含まれるターゲットIoTF-C識別子を決定し得る(1616)。ネットワークアクセスノード1604は次いで、ターゲットIoTF-C1606のIPアドレスを決定することができ、クライアントデバイス1602と関連付けられるTIDと、暗号化されたクライアントデバイスコンテキストと、TAU要求とを含むメッセージ1618を、ターゲットIoTF-C1606に送信し得る。ターゲットIoTF-C1606は、クライアントデバイスコンテキストに対する要求と暗号化されたクライアントデバイスコンテキストとを含むメッセージ1620を、ソースIoTF-C1608に送信し得る。
ソースIoTF-C1608は、クライアントデバイスコンテキストを含むメッセージ1622をターゲットIoTF-C1606に送信し得る。ターゲットIoTF-C1606は、クライアントデバイスのTIDおよびネットワークアクセスノード1604のIDを記憶することができ(1624)、受信されたクライアントデバイスコンテキストに基づいて、クライアントデバイス1602のための新しいGUTIおよび新しい暗号化されたクライアントデバイスコンテキストを生成することができる(1624)。本開示のある態様では、ターゲットIoTF-C1606は、ユーザプレーン(UP)鍵およびコンテキスト生成鍵を生成することができ、これらの鍵をIoTF-Uに提供することができる。
ターゲットIoTF-C1606は、トラッキングエリアID(TAI)とターゲットIoTF-C1606のID(たとえば、GIOTFI)とを含むメッセージ1626を、IoTサーバ1612(またはP-GW1610)に送信し得る。ターゲットIoTF-C1606は、TIDと、新しいGUTIと、新しい暗号化されたクライアントデバイスコンテキストと、TAU応答とを含むメッセージ1628を、クライアントデバイス1602に送信し得る。ネットワークアクセスノード1604は、TIDに基づいて、新しいGUTIと、新しい暗号化されたクライアントデバイスコンテキストと、TAU応答とを、メッセージ1630においてクライアントデバイス1602に転送し得る。
本明細書において開示される態様は、独立した展開を可能にし、スケーラビリティ/相互動作の要件を回避する、新しい専用のネットワーク機能を有するアーキテクチャを提供する。本明細書において開示される態様は、ネットワークアクセスノード(たとえば、基地局)が、クライアントデバイスのセキュリティコンテキストを記憶または維持することなく、クライアントデバイスへ、またはクライアントデバイスからデータを移送することを可能にでき、これによって、ネットワークアクセスノード(または他のネットワークエンティティ)における大量のリソースの消費を回避する。セキュリティ機能は、新しいネットワーク機能(IoT機能(IoTF)と呼ばれる)においてアンカーされ得る。通常のクライアントデバイスのPDN接続/トラフィックに影響するのを回避するために、IoTデータ移送に対して専用のリソースが割り振られる。UEがアイドル状態にあるときにIoTFにおけるUEの準永続的なコンテキストを削除するために、暗号化されたUEコンテキストがデータ移送のために使用され得る。MME/S-GWは、トラフィックを頻繁には送信しないIoTデバイスの多数の状態(すなわち、コンテキスト)を維持すべきではない。IoTデバイスは、高価なコアネットワークリソースを消耗させることなく、コスト効率の良いデータ配信を必要とするだけであり得る。
暗号化されたクライアントデバイスコンテキスト使用情報
本開示の様々な態様によれば、クライアントデバイス(たとえば、図7のクライアントデバイス702)は、クライアントデバイスが暗号化されたクライアントデバイスコンテキストをネットワークに送信するとき、暗号化されたクライアントデバイスコンテキストと関連付けられる使用情報(暗号化されたクライアントデバイスコンテキスト使用情報とも呼ばれる)を送信し得る。
一態様では、暗号化されたクライアントデバイスコンテキスト使用情報は、クライアントデバイスから送信されるべきデータの量を示し得る。たとえば、データの量は、減らされたデータ送信(たとえば、単一のデータパケットを含む送信)またはバーストデータ送信(たとえば、いくつかのデータパケットを含む1つまたは複数の送信)として示され得る。ある態様では、クライアントデバイスから送信されるべきデータの量は、単一のビットを使用して(たとえば、パケットのヘッダの中の情報要素(IE)の一部として)示され得る。そのような態様では、たとえば、クライアントデバイスは、クライアントデバイスから送信されることになるデータの量が減らされたデータ送信であることを示すためにビットを有効化する(たとえば、ビットを「1」に設定する)ことができ、クライアントデバイスから送信されることになるデータの量がバーストデータ送信であることを示すためにビットを無効化する(たとえば、ビットを「0」に設定する)ことができる。
一態様では、送信されることになるデータの量が減らされたデータ送信であることをクライアントデバイスが示すとき、ネットワーク(たとえば、ネットワークノード707、709などのネットワークノード、および/またはネットワークアクセスノード704などのネットワークアクセスノード)は、減らされたデータ送信がクライアントデバイスから受信された直後に、クライアントデバイスのコンテキストを除去し得る。別の態様では、送信されることになるデータの量が減らされたデータ送信であることをクライアントデバイスが示すとき、ネットワークは、第1の閾値の期間、クライアントデバイスのコンテキストを維持し得る。たとえば、ネットワークは、第1の閾値の期間を測定するように構成される第1のタイマーを実装し得る。この態様では、ネットワークは、第1のタイマーが満了すると、クライアントデバイスのコンテキストを除去し得る。一態様では、ネットワークが第1のタイマーの満了の前にクライアントデバイスからデータ送信(たとえば、パケット)を受信する場合、ネットワークは、第1のタイマーをリセットすることができ、第1のタイマーが満了するまでクライアントデバイスのコンテキストを維持することができる。
別の態様では、送信されることになるデータの量がバーストデータ送信であることをクライアントデバイスが示すとき、ネットワークは、第2の閾値の期間、クライアントデバイスのコンテキストを維持し得る。たとえば、ネットワークは、第2の閾値の期間を測定するように構成される第2のタイマーを実装し得る。この態様では、ネットワークは、第2のタイマーが満了すると、クライアントデバイスのコンテキストを除去し得る。一態様では、ネットワークが第2のタイマーの満了の前にクライアントデバイスからデータ送信(たとえば、パケット)を受信する場合、ネットワークは、第2のタイマーをリセットすることができ、第2のタイマーが満了するまでクライアントデバイスのコンテキストを維持することができる。たとえば、第2の閾値の期間は第1の閾値の期間より長いことがある。
一態様では、暗号化されたクライアントデバイスコンテキスト使用情報は、ネットワークに送信されるパケットのヘッダに含まれ得る。別の態様では、クライアントデバイスは、RRCシグナリング手順の間に、暗号化されたクライアントデバイスコンテキスト使用情報をネットワークに提供し得る。
一態様では、ネットワーク(たとえば、図6のネットワークノード605)は、複数のタイプの暗号化されたクライアントデバイスコンテキストをクライアントデバイス(たとえば、図6のクライアントデバイス602)に提供し得る。そのような態様では、各タイプの暗号化されたクライアントデバイスコンテキストは、クライアントデバイスのコンテキストの一部分(たとえば、クライアントデバイスのコンテキストの部分集合)を再構築するためにネットワーク(たとえば、図9のネットワークノード907)によって使用され得る。たとえば、第1のタイプの暗号化されたクライアントデバイスコンテキストは、ネットワークによって提供される第1のサービス(たとえば、モバイルブロードバンドサービス)と関連付けられることがあり、ここで、第1のタイプの暗号化されたクライアントデバイスコンテキストは、第1のサービスをサポートすることが必要とされるクライアントデバイスコンテキストの第1の部分をネットワークが再構築することを可能にする。そのような例では、第2のタイプの暗号化されたクライアントデバイスコンテキストは、ネットワークによって提供される第2のサービス(たとえば、ultra-reliable low-latency communications(URLLC))と関連付けられることがあり、ここで、第2のタイプの暗号化されたクライアントデバイスコンテキストは、第2のサービスをサポートすることが必要とされるクライアントデバイスコンテキストの第2の部分をネットワークが再構築することを可能にする。ある態様では、クライアントデバイスコンテキストの第1の部分およびクライアントデバイスコンテキストの第2の部分は、クライアントデバイスのためのネットワークにより当初生成されたクライアントデバイスコンテキストよりも少量のコンテキスト情報を含み得る。
ある態様では、クライアントデバイスは、ネットワークに送信される(またはネットワークから受信される)ことになる送信のタイプに基づいて、使用すべき複数のタイプの暗号化されたクライアントデバイスコンテキストのうちの1つまたは複数を決定し得る。たとえば、上で提供された例に関して、クライアントデバイスがモバイルブロードバンドサービスと関連付けられるデータを送信する予定である場合、クライアントデバイスは、第1のタイプの暗号化されたクライアントデバイスコンテキストをネットワークに送信し得る。別の例として、クライアントデバイスがURLLCサービスと関連付けられるデータを送信すべきである場合、クライアントデバイスは、第2のタイプの暗号化されたクライアントデバイスコンテキストをネットワークに送信し得る。高優先度のアクセスサービス、遅延に耐性のあるアクセスサービス、またはマシン型通信(MTC)サービスなどの上で提供された例に加えて、またはそれらの代わりに、他のタイプのサービスがネットワークによって提供され得ることを理解されたい。
本開示の様々な態様によれば、クライアントデバイスは、クライアントデバイスが暗号化されたクライアントデバイスコンテキストをネットワークに送信するとき、前に説明された使用情報において暗号化されたクライアントデバイスコンテキストのタイプを示し得る。一態様では、暗号化されたクライアントデバイスコンテキスト使用情報は、クライアントデバイスから送信されている情報のタイプを示し得る。たとえば、暗号化されたクライアントデバイスコンテキスト使用情報は、クライアントデバイスから送信されている情報がユーザプレーン(たとえば、データ)または制御プレーン(たとえば、制御情報)と関連付けられることを示し得る。前に論じられた様々なタイプの暗号化されたクライアントデバイスコンテキストの各々がクライアントデバイスのコンテキストの一部分(たとえば、クライアントデバイスのコンテキストの部分集合)を再構築するためにネットワークにより使用され得るので、そのような様々なタイプの暗号化されたクライアントデバイスコンテキストは、全体の(たとえば、完全な)クライアントデバイスコンテキストの再構築を可能にする暗号化されたクライアントデバイスコンテキストと比較すると、サイズが減らされ得ることを理解されたい。
ある態様では、(たとえば、図9のIoTサーバ912において)ネットワークによって提供されるサービスのタイプのために(たとえば、図9のネットワークノード907において)ネットワークによって再構築されるべきコンテキスト(またはコンテキストの部分)は、ある値(たとえば、インデックス番号または他の値)と関連付けられ得る。そのような態様では、クライアントデバイス(たとえば、図9のクライアントデバイス902)は、特定のサービス(または他の特殊な使用法または適用例)のためのネットワークにおけるコンテキストの再構築を容易にするために、暗号化されたクライアントデバイスコンテキストとともにインデックス番号を送信し得る。たとえば、インデックス番号「1」は、モバイルブロードバンドサービスに対する特定のサービス品質(QoS)と、そのQoSをサポートするためのコンテキストを再構築するために必要な情報とを示し得る。そのような例では、クライアントデバイスは、モバイルブロードバンドサービスをサポートするクライアントデバイスコンテキストの一部分の再構築を容易にするために、モバイルブロードバンドサービスと関連付けられる暗号化されたクライアントデバイスコンテキストとインデックス番号「1」とを送信し得る。
複数のユーザプレーンネットワーク機能
本開示の一態様では、ネットワークは、とりわけ、クライアントデバイス、ネットワークアクセスノード(たとえば、eNB、基地局、ネットワークアクセスポイント)、およびネットワークエンティティ(たとえば、サービングゲートウェイ(S-GW)、パケットデータネットワークゲートウェイ(P-GW))を含み得る。そのような態様では、ネットワークアクセスノードは第1のユーザプレーンネットワーク機能を実装することができ、ネットワークエンティティは第2のユーザプレーンネットワーク機能を実装することができる。したがって、ネットワークアクセスノードは第1のユーザプレーンの暗号化されたクライアントデバイスコンテキストを取得してそれをクライアントデバイスに送信することができ、ネットワークエンティティは第2のユーザプレーンの暗号化されたクライアントデバイスコンテキストを取得してそれをクライアントデバイスに送信することができる。ある態様では、第1のユーザプレーンの暗号化されたクライアントデバイスコンテキストは、第1のユーザプレーンネットワーク機能がクライアントデバイスのためのユーザデータトラフィックの処理のための(たとえば、ユーザデータパケットを検証および/または復号するための)クライアントデバイスの第1のコンテキスト(たとえば、第1のセキュリティコンテキスト)を再構築することを可能にでき、第2のユーザプレーンの暗号化されたクライアントデバイスコンテキストは、第2のユーザプレーンネットワーク機能がクライアントデバイスのためのユーザデータトラフィックの処理のための(たとえば、ユーザデータパケットを検証および/または復号するための)クライアントデバイスの第2のコンテキスト(たとえば、第2のセキュリティコンテキスト)を再構築することを可能にできる。一態様では、クライアントデバイスは、ULデータトラフィックとともに、複数の暗号化されたクライアントデバイスコンテキストをネットワークに送信し得る。たとえば、クライアントデバイスは、ULデータトラフィックとともに、第1のユーザプレーンの暗号化されたクライアントデバイスコンテキストと第2のユーザプレーンの暗号化されたクライアントデバイスコンテキストの両方を送信し得る。一態様では、第1および第2のユーザプレーンの暗号化されたクライアントデバイスコンテキストは同時に(たとえば、クライアントデバイスから送信される同じパケットにおいて)送信され得る。したがって、いくつかの態様では、クライアントデバイスから送信される複数の暗号化されたクライアントデバイスコンテキストが、ネットワークの中の異なるエンティティ(たとえば、ネットワークアクセスノード、S-GW)と関連付けられる独立したクライアントデバイスコンテキストの再構築を可能にし得ることが理解され得る。
例示的な装置(たとえば、クライアントデバイス)およびそこでの方法
図17は、本開示の1つまたは複数の態様(たとえば、以下で説明される、図18〜図20の方法に関する態様)による、IoTネットワークアーキテクチャに基づいてネットワークと通信するように構成される装置1700の図である。装置1700は、通信インターフェース(たとえば、少なくとも1つのトランシーバ)1702と、記憶媒体1704と、ユーザインターフェース1706と、メモリデバイス1708と、処理回路1710とを含む。
これらの構成要素は、図17において接続線によって一般に表される、シグナリングバスまたは他の適切な構成要素を介して互いに結合され、かつ/または互いに電気通信するように配置され得る。シグナリングバスは、処理回路1710の具体的な適用例および全体的な設計制約に応じて、任意の数の相互接続バスおよびブリッジを含み得る。シグナリングバスは、通信インターフェース1702、記憶媒体1704、ユーザインターフェース1706、およびメモリデバイス1708の各々が、処理回路1710に結合され、かつ/または処理回路1710と電気通信するように、様々な回路を一緒につなぐ。シグナリングバスはまた、タイミングソース、周辺装置、電圧調整器、および電力管理回路などの様々な他の回路(図示せず)をつなぎ得るが、これらの回路は当技術分野でよく知られており、したがって、これ以上は説明されない。
通信インターフェース1702は、装置1700のワイヤレス通信を容易にするように適合され得る。たとえば、通信インターフェース1702は、ネットワークの中の1つまたは複数の通信デバイスに関して双方向に情報の通信を容易にするように適合された回路および/またはコード(たとえば、命令)を含み得る。通信インターフェース1702は、ワイヤレス通信システム内のワイヤレス通信のための1つまたは複数のアンテナ1712に結合され得る。通信インターフェース1702は、1つまたは複数のスタンドアロン受信機および/または送信機、ならびに1つまたは複数のトランシーバを用いて構成され得る。図示される例では、通信インターフェース1702は、送信機1714および受信機1716を含む。
メモリデバイス1708は、1つまたは複数のメモリデバイスを表し得る。示されるように、メモリデバイス1708は、ネットワーク関連情報を、装置1700によって使用される他の情報とともに維持し得る。いくつかの実装形態では、メモリデバイス1708および記憶媒体1704は、共通メモリ構成要素として実装される。メモリデバイス1708はまた、処理回路1710、または装置1700のいくつかの他の構成要素によって操作されるデータを記憶するために使用され得る。
記憶媒体1704は、プロセッサ実行可能コードもしくは命令(たとえば、ソフトウェア、ファームウェア)などのコード、電子データ、データベース、または他のデジタル情報を記憶するための1つまたは複数のコンピュータ可読、機械可読、および/またはプロセッサ可読デバイスを表し得る。記憶媒体1704はまた、コードを実行するときに処理回路1710によって操作されるデータを記憶するために使用され得る。記憶媒体1704は、ポータブル記憶デバイスもしくは固定された記憶デバイスと、光記憶デバイスと、コードを記憶し、格納し、または搬送することが可能な様々な他の媒体とを含む、汎用または専用プロセッサによってアクセスされ得る任意の利用可能な媒体であり得る。
限定ではなく例として、記憶媒体1704は、磁気記憶デバイス(たとえば、ハードディスク、フロッピーディスク、磁気ストリップ)、光ディスク(たとえば、コンパクトディスク(CD)またはデジタル多用途ディスク(DVD))、スマートカード、フラッシュメモリデバイス(たとえば、カード、スティック、またはキードライブ)、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、プログラマブルROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、レジスタ、リムーバブルディスク、および、コンピュータによってアクセスされ読み取られ得るコードを記憶するための任意の他の適切な媒体を含み得る。記憶媒体1704は、製造品(たとえば、コンピュータプログラム製品)において具現化され得る。例として、コンピュータプログラム製品は、パッケージング材料の中のコンピュータ可読媒体を含み得る。上記のことに鑑みて、いくつかの実装形態では、記憶媒体1704は、非一時的な(たとえば、有形の)記憶媒体であり得る。
記憶媒体1704は、処理回路1710が記憶媒体1704から情報を読み取り、記憶媒体1704に情報を書き込むことができるように、処理回路1710に結合され得る。すなわち、記憶媒体1704は、少なくとも1つの記憶媒体が処理回路1710と一体である例および/または少なくとも1つの記憶媒体が処理回路1710から分離されている(たとえば、装置1700内にある、装置1700の外部にある、複数のエンティティにわたって分散されている、など)例を含め、記憶媒体1704が少なくとも処理回路1710によってアクセス可能であるように、処理回路1710に結合され得る。
記憶媒体1704によって記憶されているコードおよび/または命令は、処理回路1710によって実行されると、処理回路1710に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体1704は、処理回路1710の1つまたは複数のハードウェアブロックにおける動作を調整するように、ならびにそれらのそれぞれの通信プロトコルを利用するワイヤレス通信に通信インターフェース1702を利用するように構成された動作を含み得る。
処理回路1710は、一般に、記憶媒体1704上に記憶されたそのようなコード/命令の実行を含む処理のために適合される。本明細書において使用される「コード」または「命令」という用語は、ソフトウェアと呼ばれるか、ファームウェアと呼ばれるか、ミドルウェアと呼ばれるか、マイクロコードと呼ばれるか、ハードウェア記述言語と呼ばれるか、またはそれ以外で呼ばれるかにかかわらず、限定はされないが、プログラミング、命令、命令セット、データ、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行ファイル、実行スレッド、手順、関数などを含むように広く解釈されなければならない。
処理回路1710は、データを取得し、処理し、および/または送信し、データのアクセスおよび記憶を制御し、命令を出し、所望の動作を制御するように構成される。処理回路1710は、少なくとも1つの例において、適切な媒体によって与えられる所望のコードを実装するように構成された回路を含み得る。たとえば、処理回路1710は、1つまたは複数のプロセッサ、1つまたは複数のコントローラ、および/または実行可能なコードを実行するように構成された他の構造として実装され得る。処理回路1710の例は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラマブル論理構成要素、個別ゲートもしくはトランジスタ論理、個別のハードウェア構成要素、または本明細書において説明される機能を実行するように設計されたそれらの任意の組合せを含み得る。汎用プロセッサは、マイクロプロセッサ、ならびに任意の従来のプロセッサ、コントローラ、マイクロコントローラ、または状態機械を含み得る。処理回路1710はまた、DSPとマイクロプロセッサの組合せ、いくつかのマイクロプロセッサ、DSPコアと連携する1つもしくは複数のマイクロプロセッサ、ASICおよびマイクロプロセッサ、または任意の他の数の様々な構成などの、コンピューティング構成要素の組合せとして実装され得る。処理回路1710のこれらの例は例示のためのものであり、本開示の範囲内の他の適切な構成も企図される。
本開示の1つまたは複数の態様によれば、処理回路1710は、本明細書において説明される装置のいずれかもしくはすべてのための、特徴、プロセス、機能、動作、および/またはルーチンのいずれかもしくはすべてを実行するように適合され得る。処理回路1710に関して本明細書において使用される「適合される」という用語は、処理回路1710が、本明細書において説明される様々な特徴に従って、特定のプロセス、機能、動作、および/またはルーチンを実行するように構成されること、利用されること、実装されること、および/またはプログラムされることのうちの1つまたは複数を指し得る。
装置1700の少なくとも1つの例によれば、処理回路1710は、本明細書において説明される特徴、プロセス、機能、動作、および/またはルーチン(たとえば、図18〜図20に関して説明された特徴、プロセス、機能、動作、および/またはルーチン)のいずれかまたはすべてを実行するように適合される、送信回路/モジュール1720、受信回路/モジュール1722、暗号化されたクライアントデバイスコンテキスト記憶回路/モジュール1724、暗号化されたクライアントデバイスコンテキスト決定回路/モジュール1726、アイドルモード進入回路/モジュール1728、セキュリティコンテキスト確立回路/モジュール1730、メッセージ取得回路/モジュール1732、および使用情報取得回路/モジュール1733のうちの1つまたは複数を含み得る。
送信回路/モジュール1720は、たとえば、ネットワークと通信するための要求を送信すること、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを含むメッセージをネットワークに送信すること、UPの暗号化されたクライアントデバイスコンテキストを有する空のパケットをネットワークに送信すること、ネットワークアドレスを含む複数のデータパケットをネットワークに送信すること、およびリソース解放要求メッセージをネットワークに送信することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶された送信命令1734)を含むことがあり、リソース解放要求メッセージはネットワークがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。
受信回路/モジュール1722は、たとえば、要求に応答してネットワークから1つまたは複数の暗号化されたクライアントデバイスコンテキストを受信すること、第2のデータパケットを受信することであって、第2のデータパケットを受信することがネットワークアクセスノードとの無線リソース制御(RRC)接続を確立しない、受信すること、ネットワークからページメッセージを受信すること、およびメッセージに応答してクライアントデバイスのネットワークアドレスを受信することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶された受信命令1736)を含み得る。
暗号化されたクライアントデバイスコンテキスト記憶回路/モジュール1724は、たとえば、1つまたは複数の暗号化されたクライアントデバイスコンテキストをローカルの記憶装置に記憶することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶された、暗号化されたクライアントデバイスコンテキスト記憶命令1738)を含み得る。
暗号化されたクライアントデバイスコンテキスト決定回路/モジュール1726は、たとえば、通信がデータを備えるか制御情報を備えるかに基づいて使用されるべき1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを決定すること、および1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つがサービスと関連付けられると決定することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶されている暗号化されたクライアントデバイスコンテキスト決定命令1740)を含むことがあり、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つが、サービスをサポートするクライアントデバイスコンテキストの部分の再構築を可能にする。
アイドルモード進入回路/モジュール1728は、たとえば、第1のデータパケットを含むメッセージを送信した直後にアイドルモードに入ることに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶されたアイドルモード進入命令1742)を含み得る。
セキュリティコンテキスト確立回路/モジュール1730は、たとえば、ネットワークとの接続のためのセキュリティコンテキストを確立することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶されたセキュリティコンテキスト確立命令1744)を含むことがあり、セキュリティコンテキストは少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含む。
メッセージ取得回路/モジュール1732は、たとえば、メッセージを取得することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶されたメッセージ取得命令1746)を含むことがあり、メッセージはネットワークにより提供されるサービスと関連付けられる。
使用情報取得回路/モジュール1733は、たとえば、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つと関連付けられる使用情報を取得することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体1704に記憶された使用情報取得命令1747)を含み得る。
上述のように、記憶媒体1704によって記憶されている命令は、処理回路1710によって実行されると、処理回路1710に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体1704は、送信命令1734、受信命令1736、暗号化されたクライアントデバイスコンテキスト記憶命令1738、暗号化されたクライアントデバイスコンテキスト決定命令1740、アイドルモード進入命令1742、セキュリティコンテキスト確立命令1744、メッセージ取得命令1746、およびユーザ情報取得命令1747のうちの1つまたは複数を含み得る。
図18(図18Aおよび図18Bを含む)は、本開示の様々な態様による、ネットワークと通信するための方法を示すフローチャート1800である。方法は、クライアントデバイス(たとえば、クライアントデバイス102、502、または装置1700)などの装置によって実行され得る。図18において点線により示される動作は任意選択の動作を表すことを理解されたい。
クライアントデバイスは、ネットワークと通信するための要求を送信する(1802)。一例では、要求は、図6に関して前に説明された要求612であり得る。ある態様では、要求は、クライアントデバイスが暗号化されたクライアントデバイスコンテキストを要求していることの指示、および/またはクライアントデバイスが要求しているサービスの指示を含み得る。クライアントデバイスは、ネットワークとの接続のためのセキュリティコンテキストを確立し、セキュリティコンテキストは少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、および/または完全性保護鍵を含む(1803)。ある態様では、暗号鍵はユーザプレーン暗号鍵であり、完全性保護鍵はユーザプレーン完全性保護鍵であり、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵はクライアントデバイスにおいて維持され、第1のデータパケットは少なくとも、ユーザプレーン完全性保護鍵を用いて完全性保護され、またはユーザプレーン暗号鍵を用いて暗号化される。
クライアントデバイスは、要求に応答してネットワークから1つまたは複数の暗号化されたクライアントデバイスコンテキストを受信する(1804)。一例では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、図6のクライアントデバイス602によって受信されるRRC接続再構成メッセージ626の中の暗号化されたクライアントデバイスコンテキストであり得る。一態様では、暗号化されたクライアントデバイスコンテキストは、ネットワークとの認証が成功した結果として、ネットワークから受信され得る。そのような態様では、ネットワークとの認証の成功は、アクセス層(AS)セキュリティコンテキストを確立しない。たとえば、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、セキュリティコンテキスト、ベアラのサービス品質(QoS)、および/またはトンネルエンドポイント識別子(TEID)のうちの少なくとも1つを含み得る。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとのデータ関連の通信のために使用されるべき第1のコンテキストと、クライアントデバイスとの制御関連の通信のために使用されるべき第2のコンテキストとを含み得る。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストはクライアントデバイスにおいて復号され得ない。そのような態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成したネットワークデバイスのみによって復号され得る。
クライアントデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストをローカルの記憶装置に記憶する(1806)。クライアントデバイスは、クライアントデバイスから送信されることになるメッセージ(たとえば、パケット)がデータを含むか制御情報を含むかに基づいて、使用されるべき1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを決定する(1808)。たとえば、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、ユーザプレーン(UP)の暗号化されたクライアントデバイスコンテキストおよび制御プレーン(UP)の暗号化されたクライアントデバイスコンテキストを含み得る。そのような例では、クライアントデバイスは、UPの暗号化されたクライアントデバイスコンテキストを有する第1のデータパケット、またはCPの暗号化されたクライアントデバイスコンテキストを有する制御パケットを送信し得る。たとえば、制御パケットは、トラッキングエリア更新(TAU)パケットであり得る。
クライアントデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを含むメッセージをネットワークに送信する(1810)。いくつかの例では、メッセージは、暗号化されたクライアントデバイスコンテキストと図8のネットワークアクセスノード804へクライアントデバイス802によって送信されるデータパケットとを含む、データ移送要求メッセージ810であり得る。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとの通信のための、ネットワークにおけるコンテキストの再構築を可能にし、コンテキストはクライアントデバイスと関連付けられるネットワーク状態情報を含む。ある態様では、コンテキストはネットワークにおいて除去される(たとえば、削除され、またはもはや維持されない)。ある態様では、クライアントデバイスは、ネットワークのネットワークアクセスノードとの無線リソース制御(RRC)接続を確立することなく、第1のデータパケットを含むメッセージを送信し得る。クライアントデバイスは、第1のデータパケットを含むメッセージを送信した直後に、アイドルモードに入る(1812)。
クライアントデバイスは第2のデータパケットを受信し、第2のデータパケットを受信するステップは、ネットワークアクセスノードとのRRC接続を確立しない(1814)。一例では、第2のデータパケットは、図8のネットワークアクセスノード804からクライアントデバイス802へ送信される第5のメッセージ824の中のデータパケットであり得る。ある態様では、暗号鍵はユーザプレーン暗号鍵であり、完全性保護鍵はユーザプレーン完全性保護鍵であり、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵はクライアントデバイスにおいて維持される。そのような態様では、第2のデータパケットを受信するとき、クライアントデバイスは、ユーザプレーン完全性保護鍵を用いて第2のデータパケットを検証し、かつ/または、ユーザプレーン暗号鍵を用いて第2のデータパケットを復号する。クライアントデバイスは、ネットワークからページメッセージを受信する(1816)。クライアントデバイスは、UPの暗号化されたクライアントデバイスコンテキストを有する空のパケットをネットワークに送信する(1818)。
図19は、本開示の様々な態様による、ネットワークと通信するための方法を示すフローチャート1900である。方法は、クライアントデバイス(たとえば、クライアントデバイス102、502、または装置1700)などの装置によって実行され得る。図19において点線により示される動作は任意選択の動作を表すことを理解されたい。
クライアントデバイスは、ネットワークと通信するための要求を送信する(1902)。一例では、要求は、図6に関して前に説明された要求612であり得る。ある態様では、要求は、クライアントデバイスが暗号化されたクライアントデバイスコンテキストを要求していることの指示、および/またはクライアントデバイスが要求しているサービスの指示を含み得る。クライアントデバイスは、ネットワークとの接続のためのセキュリティコンテキストを確立し、セキュリティコンテキストは少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、および/または完全性保護鍵を含む(1904)。ある態様では、暗号鍵はユーザプレーン暗号鍵であり、完全性保護鍵はユーザプレーン完全性保護鍵であり、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵はクライアントデバイスにおいて維持され、第1のデータパケットは少なくとも、ユーザプレーン完全性保護鍵を用いて完全性保護され、またはユーザプレーン暗号鍵を用いて暗号化される。
クライアントデバイスは、要求に応答してネットワークから1つまたは複数の暗号化されたクライアントデバイスコンテキストを受信する(1906)。一例では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、図6のクライアントデバイス602によって受信されるRRC接続再構成メッセージ626の中の暗号化されたクライアントデバイスコンテキストであり得る。一態様では、暗号化されたクライアントデバイスコンテキストは、ネットワークとの認証が成功した結果として、ネットワークから受信され得る。そのような態様では、ネットワークとの認証の成功は、アクセス層(AS)セキュリティコンテキストを確立しない。たとえば、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、セキュリティコンテキスト、ベアラのサービス品質(QoS)、および/またはトンネルエンドポイント識別子(TEID)のうちの少なくとも1つを含み得る。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとのデータ関連の通信のために使用されるべき第1のコンテキストと、クライアントデバイスとの制御関連の通信のために使用されるべき第2のコンテキストとを含み得る。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストはクライアントデバイスにおいて復号され得ない。そのような態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成したネットワークデバイスのみによって復号され得る。ある態様では、コンテキストは、クライアントデバイスがネットワークから1つまたは複数の暗号化されたクライアントデバイスコンテキストを受信した後にネットワークにおいて除去される。クライアントデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを含むメッセージをネットワークに送信する(1908)。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとの通信のための、ネットワークにおけるコンテキストの再構築を可能にし、コンテキストはクライアントデバイスと関連付けられるネットワーク状態情報を含む。ある態様では、メッセージはさらに、リソース確立要求と、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つとを含む。たとえば、メッセージはリソース確立要求メッセージ1016であり得る。クライアントデバイスは、メッセージに応答して、クライアントデバイスのネットワークアドレスを受信する(1910)。クライアントデバイスは、ネットワークアドレスを含む複数のデータパケットをネットワークに送信する(1912)。クライアントデバイスは、リソース解放要求メッセージをネットワークに送信し、リソース解放要求メッセージは、ネットワークがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする(1914)。
図20は、本開示の様々な態様による、ネットワークと通信するための方法を示すフローチャート2000である。方法は、クライアントデバイス(たとえば、クライアントデバイス102、502、または装置1700)などの装置によって実行され得る。図20において点線により示される動作は任意選択の動作を表すことを理解されたい。
ある態様では、クライアントデバイスのための方法が提供される。クライアントデバイスは、ネットワークと通信するための要求を送信する(2002)。クライアントデバイスは、ネットワークとの接続のためのセキュリティコンテキストを確立し、セキュリティコンテキストは少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含む(2004)。クライアントデバイスは、要求に応答してネットワークから1つまたは複数の暗号化されたクライアントデバイスコンテキストを受信する(2006)。
クライアントデバイスはメッセージを取得し、メッセージはネットワークによって提供されるサービスと関連付けられる(2008)。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストの各々が、ネットワークによって提供される複数のサービスのうちの1つと関連付けられる。そのような態様では、クライアントデバイスは、サービスと関連付けられる1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを決定し、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちのその少なくとも1つは、サービスをサポートするクライアントデバイスコンテキストの部分の再構築を可能にする(2010)。たとえば、複数のサービスは、モバイルブロードバンドサービス、ultra-reliable low-latency communications(URLLC)サービス、高優先度のアクセスサービス、遅延に耐性のあるアクセスサービス、および/またはマシン型通信(MTC)サービスを含み得る。
クライアントデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つと関連付けられる使用情報を取得する(2012)。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つと関連付けられる使用情報は、メッセージの送信が減らされたデータ送信であるかバーストデータ送信であるかを示す。ある態様では、使用情報は、ネットワークによって提供されるあるタイプのサービスのためにネットワークによって再構築されるべきコンテキスト(またはコンテキストの部分)と関連付けられる値(たとえば、インデックス数または他の値)を含み得る。
クライアントデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つを含むメッセージをネットワークに送信する(2014)。ある態様では、メッセージは使用情報を含む。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとの通信のための、ネットワークにおけるコンテキストの少なくとも一部分の再構築を可能にし、コンテキストはクライアントデバイスと関連付けられるネットワーク状態情報を含む。ある態様では、コンテキストのその部分は、メッセージの送信が減らされたデータ送信であるかバーストデータ送信であるかに基づいて決定される期間、ネットワークにおいて維持される。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、ネットワークの中の第1のエンティティにおけるクライアントデバイスの第1のコンテキストの再構築を可能にする第1のユーザプレーンの暗号化されたクライアントデバイスコンテキストと、ネットワークの中の第2のエンティティにおけるクライアントデバイスの第2のコンテキストの再構築を可能にする第2のユーザプレーンの暗号化されたクライアントデバイスコンテキストとを含む。そのような態様では、メッセージは少なくとも、第1のユーザプレーンの暗号化されたクライアントデバイスコンテキストと、第2のユーザプレーンの暗号化されたクライアントデバイスコンテキストとを含む。
例示的な装置(たとえば、ネットワークデバイス)およびそこでの方法
図21は、本開示の1つまたは複数の態様(たとえば、以下で説明される、図22〜図26の方法に関する態様)による、装置2100の図である。装置2100は、ネットワーク通信インターフェース(たとえば、少なくとも1つのトランシーバ)2102と、記憶媒体2104と、ユーザインターフェース2106と、メモリデバイス2108と、処理回路2110とを含む。ある態様では、装置2100は、モノのインターネット(IoT)機能を実装するネットワークデバイス(たとえば、ネットワークデバイス105、505、705)であり得る。たとえば、装置2100は、制御プレーンIoT機能(たとえば、IoTF-C106、506、606、706、906、1406)、および/またはユーザプレーンIoT機能(たとえば、IoTF-U108、508、608、708、806、908)を実装し得る。そのようなネットワークデバイスは、単一のネットワークエンティティまたは複数のネットワークエンティティとして実装され得ることを理解されたい。
これらの構成要素は、図21において接続線によって一般に表される、シグナリングバスまたは他の適切な構成要素を介して互いに結合され、かつ/または互いに電気通信するように配置され得る。シグナリングバスは、処理回路2110の特定の適用例および全体的な設計制約に応じて、任意の数の相互接続バスおよびブリッジを含み得る。シグナリングバスは、ネットワーク通信インターフェース2102、記憶媒体2104、ユーザインターフェース2106、およびメモリデバイス2108の各々が、処理回路2110に結合され、ならびに/または処理回路2110と電気通信するように、様々な回路を一緒につなぐ。シグナリングバスはまた、タイミングソース、周辺装置、電圧調整器、および電力管理回路などの様々な他の回路(図示せず)をつなぎ得るが、それらは当技術分野でよく知られており、したがって、これ以上説明されない。
ネットワーク通信インターフェース2102は、装置2100の通信を容易にするように適合され得る。たとえば、ネットワーク通信インターフェース2102は、ネットワークの中の1つまたは複数のネットワークエンティティに関して双方向に情報の通信を容易にするように適合された回路および/またはコード(たとえば、命令)を含み得る。ネットワーク通信インターフェース2102は、1つまたは複数のスタンドアロン受信機および/または送信機、ならびに1つまたは複数のトランシーバを用いて構成され得る。
メモリデバイス2108は、1つまたは複数のメモリデバイスを表し得る。示されるように、メモリデバイス2108は、ネットワーク関連情報を、装置2100によって使用される他の情報とともに維持し得る。いくつかの実装形態では、メモリデバイス2108および記憶媒体2104は、共通メモリ構成要素として実装される。メモリデバイス2108はまた、処理回路2110または装置2100の何らかの他の構成要素によって処理されるデータを記憶するために使用され得る。
記憶媒体2104は、プロセッサ実行可能コードもしくは命令(たとえば、ソフトウェア、ファームウェア)などのコード、電子データ、データベース、または他のデジタル情報を記憶するための1つまたは複数のコンピュータ可読、機械可読、および/またはプロセッサ可読デバイスを表し得る。記憶媒体2104はまた、コードを実行するときに処理回路2110によって操作されるデータを記憶するために使用され得る。記憶媒体2104は、ポータブル記憶デバイスもしくは固定された記憶デバイスと、光記憶デバイスと、コードを記憶し、格納し、または搬送することが可能な様々な他の媒体とを含む、汎用または専用プロセッサによってアクセスされ得る任意の利用可能な媒体であり得る。
限定ではなく例として、記憶媒体2104は、磁気記憶デバイス(たとえば、ハードディスク、フロッピーディスク、磁気ストリップ)、光ディスク(たとえば、コンパクトディスク(CD)またはデジタル多用途ディスク(DVD))、スマートカード、フラッシュメモリデバイス(たとえば、カード、スティック、またはキードライブ)、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、プログラマブルROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、レジスタ、リムーバブルディスク、および、コンピュータによってアクセスされ読み取られ得るコードを記憶するための任意の他の適切な媒体を含み得る。記憶媒体2104は、製造品(たとえば、コンピュータプログラム製品)において具現化され得る。例として、コンピュータプログラム製品は、パッケージング材料内のコンピュータ可読媒体を含み得る。上記に鑑みて、いくつかの実装形態では、記憶媒体2104は、非一時的な(たとえば、有形の)記憶媒体であり得る。
記憶媒体2104は、処理回路2110が記憶媒体2104から情報を読み取り、記憶媒体2104に情報を書き込むことができるように、処理回路2110に結合され得る。すなわち、記憶媒体2104は、少なくとも1つの記憶媒体が処理回路2110と一体である例および/または少なくとも1つの記憶媒体が処理回路2110から分離されている(たとえば、装置2100内に存在している、装置2100の外部に存在している、複数のエンティティにわたって分散しているなど)例を含め、記憶媒体2104が少なくとも処理回路2110によってアクセス可能であるように、処理回路2110に結合され得る。
記憶媒体2104によって記憶されているコードおよび/または命令は、処理回路2110によって実行されると、処理回路2110に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体2104は、処理回路2110の1つまたは複数のハードウェアブロックにおける動作を調整するように、ならびにそれらのそれぞれの通信プロトコルを利用するネットワーク通信のためのネットワーク通信インターフェース2102を利用するように構成される動作を含み得る。
処理回路2110は、一般に、記憶媒体2104上に記憶されたそのようなコード/命令の実行を含む処理のために適合される。本明細書において使用される「コード」または「命令」という用語は、ソフトウェアと呼ばれるか、ファームウェアと呼ばれるか、ミドルウェアと呼ばれるか、マイクロコードと呼ばれるか、ハードウェア記述言語と呼ばれるか、またはそれ以外で呼ばれるかにかかわらず、限定はされないが、プログラミング、命令、命令セット、データ、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行ファイル、実行スレッド、手順、関数などを含むように広く解釈されなければならない。
処理回路2110は、データを取得し、処理し、および/または送信し、データのアクセスおよび記憶を制御し、命令を出し、所望の動作を制御するように構成される。処理回路2110は、少なくとも1つの例において、適切な媒体によって与えられる所望のコードを実装するように構成された回路を含み得る。たとえば、処理回路2110は、1つまたは複数のプロセッサ、1つまたは複数のコントローラ、および/または実行可能なコードを実行するように構成された他の構造として実装され得る。処理回路2110の例は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラマブル論理構成要素、個別ゲートもしくはトランジスタ論理、個別のハードウェア構成要素、または本明細書において説明される機能を実行するように設計されたそれらの任意の組合せを含み得る。汎用プロセッサは、マイクロプロセッサ、ならびに任意の従来のプロセッサ、コントローラ、マイクロコントローラ、またはステートマシンを含み得る。処理回路2110はまた、DSPとマイクロプロセッサの組合せ、いくつかのマイクロプロセッサ、DSPコアと連携する1つもしくは複数のマイクロプロセッサ、ASICおよびマイクロプロセッサ、または任意の他の数の様々な構成などの、コンピューティング構成要素の組合せとして実装され得る。処理回路2110のこれらの例は説明のためのものであり、本開示の範囲内の他の適切な構成も企図される。
本開示の1つまたは複数の態様によれば、処理回路2110は、本明細書において説明される装置のいずれかもしくはすべてのための、特徴、プロセス、機能、動作、および/またはルーチンのいずれかもしくはすべてを実行するように適合され得る。処理回路2110に関して本明細書において使用される「適合される」という用語は、処理回路2110が、本明細書において説明される様々な特徴による特定のプロセス、機能、動作および/またはルーチンを実行するように構成されること、利用されること、実装されること、および/またはプログラムされることのうちの1つまたは複数を指し得る。
装置2100の少なくとも1つの例によれば、処理回路2110は、本明細書において説明される特徴、プロセス、機能、動作、および/またはルーチン(たとえば、図22〜図26に関して説明された特徴、プロセス、機能、動作、および/またはルーチン)のいずれかまたはすべてを実行するように適合される、送信回路/モジュール2120、受信回路/モジュール2122、認証および検証回路/モジュール2124、暗号化されたクライアントデバイスコンテキスト生成回路/モジュール2126、コンテキスト再構築/除去回路/モジュール2128、パケット処理回路/モジュール2130、記憶回路/モジュール2132、ネットワークアクセスノード決定回路/モジュール2134、一時識別子追加回路/モジュール2136、ネットワークアドレス取得/解放回路/モジュール2137、パケット暗号化および保護回路/モジュール2138、およびセキュリティコンテキスト確立回路/モジュール2139のうちの1つまたは複数を含み得る。
送信回路/モジュール2120は、たとえば、1つまたは複数の暗号化されたクライアントデバイスコンテキストをクライアントデバイスに送信すること、新しい暗号化されたクライアントデバイスコンテキストを第2のクライアントデバイスに送信すること、制御パケットのペイロード部分をアプリケーションサーバまたはパケットデータネットワークゲートウェイ(P-GW)に転送すること、制御パケットをクライアントデバイスに転送すること、第1のデータパケットをサービスネットワークに転送すること、第2のデータパケットをクライアントデバイスに転送すること、および/またはネットワークアドレスをクライアントデバイスに送信することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶された送信命令2140)を含み得る。
受信回路/モジュール2122は、たとえば、クライアントデバイスから、ネットワークと通信するための要求を受信すること、クライアントデバイスから制御パケットおよび暗号化されたクライアントデバイスコンテキストを受信すること、クライアントデバイスから第1のデータパケットおよび暗号化されたクライアントデバイスコンテキストを受信すること、サーバまたはパケットデータネットワークゲートウェイ(P-GW)から第2のデータパケットを受信すること、第2のクライアントデバイスから制御パケットを受信すること、第2のネットワークデバイスから第2のクライアントデバイスのコンテキストを受信すること、リソース確立要求と1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つとを含むメッセージをクライアントデバイスから受信すること、クライアントデバイスからメッセージを受信することであって、メッセージが1つまたは複数の暗号化されたクライアントデバイスコンテキストおよび1つまたは複数の暗号化されたクライアントデバイスコンテキストと関連付けられる使用情報のうちの少なくとも1つを含む、受信すること、および/または、クライアントデバイスからリソース解放要求メッセージを受信することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶された受信命令2142)を含み得る。
認証および検証回路/モジュール2124は、たとえば、ホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバから認証情報を要求すること、クライアントデバイスとの相互認証を実行すること、およびクライアントデバイスから受信された暗号化されたクライアントデバイスコンテキストを検証することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶された認証および検証命令2144)を含み得る。
暗号化されたクライアントデバイスコンテキスト生成回路/モジュール2126は、たとえば、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成することであって、1つまたは複数の暗号化されたクライアントデバイスコンテキストがクライアントデバイスとの通信のためのネットワークにおける少なくとも1つのコンテキストの再構築を可能にする、生成すること、暗号化されたクライアントデバイスコンテキストが期限切れになったと決定すること、新しい暗号化されたクライアントデバイスコンテキストを生成すること、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成すると決定することであって、この決定が、要求において示される暗号化されたクライアントデバイスコンテキスト使用情報、デバイスのサブスクリプション、またはポリシーのうちの少なくとも1つに基づく、決定すること、および、第2のネットワークデバイスから第2のクライアントデバイスのクライアントデバイスコンテキストを要求することであって、要求が制御プレーン(CP)の暗号化されたクライアントデバイスコンテキストを含む、要求することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶された暗号化されたクライアントデバイスコンテキスト生成命令2146)を含み得る。たとえば、1つまたは複数の暗号化されたクライアントデバイスコンテキストはデータ関連の通信のために使用されるべき第1のコンテキストと、制御関連の通信のために使用されるべき第2のコンテキストとを含み得る。
コンテキスト再構築/除去回路/モジュール2128は、たとえば、クライアントデバイスと関連付けられる暗号化されたクライアントデバイスコンテキストの鍵(たとえば、鍵KCDC-IoTF-U)を取得すること、その鍵に基づいて暗号化されたクライアントデバイスコンテキストからクライアントデバイスのセキュリティコンテキストを取得すること、暗号化されたクライアントデバイスコンテキストから少なくとも1つのコンテキストを再構築すること、1つまたは複数の暗号化されたクライアントデバイスコンテキストおよび使用情報のうちの少なくとも1つに基づいてコンテキストの少なくとも一部分を再構築すること、少なくとも1つのコンテキストを除去すること、および/または、使用情報が減らされたデータ送信であることを示すときは第1の閾値の期間、もしくは使用情報がバーストデータ送信であることを示すときは第2の閾値の期間、コンテキストの少なくとも一部分を維持することであって、第2の閾値の期間が第1の閾値の期間より長い、維持することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶されたコンテキスト再構築/除去命令2148)を含み得る。
パケット処理回路/モジュール2130は、たとえば、少なくとも1つのコンテキストを使用して制御パケットを処理することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶されたパケット処理令2150)を含むことがあり、この処理することは、コンテキストを使用して制御パケットを検証することまたは復号することのうちの少なくとも1つを含む。
記憶回路/モジュール2132は、たとえば、クライアントデバイスのためのダウンリンクパケットの一時識別子(ID)を記憶することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶された記憶命令2152)を含み得る。
ネットワークアクセスノード決定回路/モジュール2134は、たとえば、第2のデータパケットが転送されるネットワークアクセスノードを決定することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶されたネットワークアクセスノード決定命令2154)を含み得る。
一時識別子追加回路/モジュール2136は、たとえば、ネットワークアクセスノードがクライアントデバイスを決定することを可能にする一時識別子を第2のデータパケットに追加することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶された一時識別子追加命令2156)を含み得る。
ネットワークアドレス取得/解放回路/モジュール2137は、たとえば、メッセージに応答してクライアントデバイスのネットワークアドレスを取得すること、クライアントデバイスからゲートウェイにリソース解放要求メッセージを送信することであって、リソース解放要求メッセージがゲートウェイにクライアントデバイスのネットワークアドレスを解放させる、送信すること、および/または、クライアントデバイスからネットワークへの送信の前、もしくはネットワークからクライアントデバイスへの送信の前にタイマーが満了したときにリソース解放要求メッセージをゲートウェイへ送信することであって、リソース解放要求メッセージが、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする、送信することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶されたネットワークアドレス取得/解放命令2157)を含み得る。
パケット暗号化および保護回路/モジュール2138は、たとえば、ユーザプレーン(UP)クライアントデバイス鍵を使用してパケットを暗号化もしくは完全性保護すること、セキュリティコンテキストに基づいて第1のデータパケットを復号および検証すること、ならびに/または、ユーザプレーン暗号鍵もしくはユーザプレーン完全性保護鍵を使用して第2のデータパケットを暗号化もしくは完全性保護することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶されたパケット暗号化および保護命令2158)を含み得る。
セキュリティコンテキスト確立回路/モジュール2139は、たとえば、クライアントデバイスとの少なくとも1つのコンテキストを確立することであって、少なくとも1つのコンテキストがクライアントデバイスとネットワークとの間の接続と関連付けられるネットワーク状態情報を含む、確立することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2104に記憶されたセキュリティコンテキスト確立命令2159)を含むことがあり、ネットワーク状態情報は少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含む。
上述のように、記憶媒体2104によって記憶されている命令は、処理回路2110によって実行されると、処理回路2110に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体2104は、送信命令2140、受信命令2142、認証および検証命令2144、暗号化されたクライアントデバイスコンテキスト生成命令2146、コンテキスト再構築/除去命令2148、パケット処理命令2150、記憶命令2152、ネットワークアクセスノード決定命令2154、一時識別子追加命令2156、ネットワークアドレス取得/解放命令2157、パケット暗号化および保護命令2158、ならびにセキュリティコンテキスト確立命令2159のうちの1つまたは複数を含み得る。
図22(図22Aおよび図22Bを含む)は、本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示すフローチャート2200である。方法は、IoT機能(たとえば、図1の制御プレーンIoTF106などの制御プレーンIoTF)を実装するネットワークデバイス(たとえば、図1のネットワークデバイス105または図21の装置2100)などの装置によって実行され得る。図22において点線により示される動作は任意選択の動作を表すことを理解されたい。
装置は、クライアントデバイスから、ネットワークと通信するための要求を受信する(2202)。装置は、ホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバからの認証情報を要求する(2204)。装置は、クライアントデバイスとの相互認証を実行する(2206)。
装置は、クライアントデバイスとの少なくとも1つのコンテキストを確立し、少なくとも1つのコンテキストは、クライアントデバイスとネットワークとの間の接続と関連付けられるネットワーク状態情報を含む(2207)。ある態様では、ネットワーク状態情報は少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、および/または完全性保護鍵を含む。装置は、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成することを決定し、この決定は、要求において示される暗号化されたクライアントデバイスコンテキストの使用情報、クライアントデバイスのサブスクリプション、および/またはポリシーのうちの少なくとも1つに基づく(2208)。
装置は、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成する(2210)。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとの通信のための、ネットワークにおけるコンテキストの再構築を可能にする。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストはデータ関連の通信のために使用されるべき第1のコンテキストと、制御関連の通信のために使用されるべき第2のコンテキストとを含む。装置は、1つまたは複数の暗号化されたクライアントデバイスコンテキストをクライアントデバイスに送信する(2212)。
装置は、制御パケットおよび暗号化されたクライアントデバイスコンテキストをクライアントデバイスから受信する(2214)。装置は、クライアントデバイスから受信された暗号化されたクライアントデバイスコンテキストを検証する(2216)。ある態様では、装置は、暗号化されたクライアントデバイスコンテキストが期限切れになっているかどうかを決定することによってクライアントデバイスから受信された暗号化されたクライアントデバイスコンテキストを検証し、以前に暗号化されたクライアントデバイスコンテキストが期限切れになっているときに1つまたは複数の新しい暗号化されたクライアントデバイスコンテキストを生成し、以前に暗号化されたクライアントデバイスコンテキストが期限切れになっているときに1つまたは複数の新しい暗号化されたクライアントデバイスコンテキストをクライアントデバイスに送信する。ある態様では、暗号化されたクライアントデバイスコンテキストを検証するステップは、暗号化されたクライアントデバイスコンテキストを検証するための鍵を決定するステップを含む。
装置は、暗号化されたクライアントデバイスコンテキストから少なくとも1つのコンテキストを再構築する(2218)。装置は、少なくとも1つのコンテキストを使用して制御パケットを処理し、この処理は、少なくとも1つのコンテキストを使用して制御パケットを検証することまたは復号することのうちの少なくとも1つを含む(2220)。装置は、クライアントデバイスのためのダウンリンクパケットの一時識別子(ID)を記憶する(2222)。装置は、制御パケットのペイロード部分をアプリケーションサーバまたはパケットデータネットワークゲートウェイ(P-GW)に転送する(2224)。
図23(図23Aおよび図23Bを含む)は、本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示すフローチャート2300である。方法は、IoT機能(たとえば、図1の制御プレーンIoTF106などの制御プレーンIoTF)を実装するネットワークデバイス(たとえば、図1のネットワークデバイス105または図21の装置2100)などの装置によって実行され得る。図23において点線により示される動作は任意選択の動作を表すことを理解されたい。
装置は、クライアントデバイスから、ネットワークと通信するための要求を受信する(2302)。装置は、クライアントデバイスとの少なくとも1つのコンテキストを確立し、少なくとも1つのコンテキストは、クライアントデバイスとネットワークとの間の接続と関連付けられるネットワーク状態情報を含み、ネットワーク状態情報は少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、および/または完全性保護鍵を含む(2304)。装置は、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成する(2306)。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとの通信のための、ネットワークにおける少なくとも1つのコンテキストの再構築を可能にする。装置は、1つまたは複数の暗号化されたクライアントデバイスコンテキストをクライアントデバイスに送信する(2308)。装置は少なくとも1つのコンテキストを除去する(2310)。装置はクライアントデバイスからメッセージを受信し、メッセージは、1つまたは複数の暗号化されたクライアントデバイスコンテキストと、1つまたは複数の暗号化されたクライアントデバイスコンテキストと関連付けられる使用情報とのうちの少なくとも1つを含む(2312)。ある態様では、使用情報は、メッセージの送信が減らされたデータ送信であるかバーストデータ送信であるかを示す。ある態様では、ネットワークデバイスは、1つまたは複数の暗号化されたクライアントデバイスコンテキストおよび使用情報のうちの少なくとも1つに基づいて、コンテキストの少なくとも一部分を再構築し得る。ある態様では、クライアントデバイスからのメッセージは、リソース確立要求と、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つとを含む。たとえば、メッセージは図10のリソース確立要求メッセージ1016であり得る。装置は、メッセージに応答して、クライアントデバイスのネットワークアドレスを取得する(2314)。装置は、ネットワークアドレスをクライアントデバイスに送信する(2316)。ある態様では、装置は、使用情報が減らされたデータ送信を示すときには第1の閾値の期間、または使用情報がバーストデータ送信を示すときには第2の閾値の期間、コンテキストの少なくとも一部分を維持し、第2の閾値の期間は第1の閾値の期間より長い。一態様では、装置は、クライアントデバイスからネットワークへの送信の前、またはネットワークからクライアントデバイスへの送信の前にタイマーが満了するときに、リソース解放要求メッセージをゲートウェイに送信する(2318)。ある態様では、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。別の態様では、装置は、クライアントデバイスからリソース解放要求メッセージを受信する(2320)。そのような態様では、装置は、クライアントデバイスからゲートウェイにリソース解放要求メッセージを送信する(2322)。ある態様では、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。いくつかの態様では、動作2318ならびに動作2320および2322は、二者択一で実行され得る。たとえば、動作2318が実行される場合、動作2320および2322は実行されないことがある。別の例として、動作2320および2322が実行される場合、動作2318は実行されないことがある。
図24は、本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示すフローチャート2400である。方法は、IoT機能(たとえば、図1の制御プレーンIoTF106などの制御プレーンIoTF)を実装するネットワークデバイス(たとえば、図1のネットワークデバイス105または図21の装置2100)などの装置によって実行され得る。
装置は、第2のクライアントデバイスから制御プレーンパケットを受信する(2402)。ある態様では、第2のクライアントデバイスは、ネットワークと通信するための要求が最初にそこから受信されるクライアントデバイスとは異なる。装置は、第2のネットワークデバイスからの第2のクライアントデバイスのコンテキストを要求し、この要求は制御プレーン(CP)の暗号化されたクライアントデバイスコンテキストを含む(2404)。装置は、第2のネットワークデバイスから第2のクライアントデバイスのコンテキストを受信する(2406)。装置は、新しい暗号化されたクライアントデバイスコンテキストを生成する(2408)。装置は、新しい暗号化されたクライアントデバイスコンテキストを第2のクライアントデバイスに送信する(2410)。
図25(図25Aおよび図25Bを含む)は、本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示すフローチャート2500である。方法は、IoT機能(たとえば、図1のユーザプレーンIoTF108などのユーザプレーンIoTF)を実装するネットワークデバイス(たとえば、図1のネットワークデバイス105または図21の装置2100)などの装置によって実行され得る。図25において点線により示される動作は任意選択の動作を表すことを理解されたい。
装置は、クライアントデバイスと関連付けられる暗号化されたクライアントデバイスコンテキストの鍵(たとえば、鍵KCDC-IoTF-U)を取得する(2502)。装置は、第1のデータパケット(たとえば、ULデータパケット)および暗号化されたクライアントデバイスコンテキストをクライアントデバイスから受信する(2504)。装置は、鍵を使用して、暗号化されたクライアントデバイスコンテキストからクライアントデバイスのセキュリティコンテキストを取得する(2506)。装置は、セキュリティコンテキストに基づいて、第1のデータパケットを復号し検証する(2508)。装置は、復号および検証が成功したとき、第1のデータパケットをサービスネットワークに転送する(2510)。
ある態様では、装置は、サーバまたはパケットデータネットワークゲートウェイから第2のデータパケット(たとえば、図9のメッセージ914の中のDLデータパケット)を受信する(2512)。装置は、第2のデータパケットが転送されるネットワークアクセスノードを決定する(2514)。装置は、ネットワークアクセスノードがクライアントデバイスを決定することを可能にする一時識別子を第2のデータパケットに追加する(2516)。装置は、ユーザプレーン暗号鍵またはユーザプレーン完全性保護鍵を使用して、第2のデータパケットを暗号化または完全性保護する(2518)。装置は、(たとえば、図9のメッセージ934を介して)第2のデータパケットをクライアントデバイス2520に転送する。
図26(図26Aおよび図26Bを含む)は、本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示すフローチャート2600である。方法は、IoT機能(たとえば、図1の制御プレーンIoTF106などの制御プレーンIoTF)を実装するネットワークデバイス(たとえば、図1のネットワークデバイス105または図21の装置2100)などの装置によって実行され得る。図26において点線により示される動作は任意選択の動作を表すことを理解されたい。
装置は、クライアントデバイスから、ネットワークと通信するための要求を受信する(2602)。装置は、ホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバからの認証情報を要求する(2604)。装置は、クライアントデバイスとの相互認証を実行する(2606)。
装置は、クライアントデバイスとの少なくとも1つのコンテキストを確立し、少なくとも1つのコンテキストは、クライアントデバイスとネットワークとの間の接続と関連付けられるネットワーク状態情報を含む(2608)。ある態様では、ネットワーク状態情報は少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、および/または完全性保護鍵を含む。装置は、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成することを決定し、この決定は、要求において示される暗号化されたクライアントデバイスコンテキストの使用情報、クライアントデバイスのサブスクリプション、および/またはポリシーのうちの少なくとも1つに基づく(2610)。
装置は、1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成する(2612)。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストは、クライアントデバイスとの通信のための、ネットワークにおけるコンテキストの再構築を可能にする。ある態様では、1つまたは複数の暗号化されたクライアントデバイスコンテキストはデータ関連の通信のために使用されるべき第1のコンテキストと、制御関連の通信のために使用されるべき第2のコンテキストとを含む。装置は、1つまたは複数の暗号化されたクライアントデバイスコンテキストをクライアントデバイスに送信する(2614)。装置は少なくとも1つのコンテキストを除去する(2616)。装置はクライアントデバイスからメッセージを受信し、メッセージは、1つまたは複数の暗号化されたクライアントデバイスコンテキストと、1つまたは複数の暗号化されたクライアントデバイスコンテキストと関連付けられる使用情報とのうちの少なくとも1つを含む(2618)。装置は、1つまたは複数の暗号化されたクライアントデバイスコンテキストおよび使用情報のうちの少なくとも1つに基づいて、コンテキストの少なくとも一部分を再構築する(2620)。装置は、使用情報が減らされたデータ送信を示すときには第1の閾値の期間、または使用情報がバーストデータ送信を示すときには第2の閾値の期間、コンテキストの少なくとも一部分を維持し、第2の閾値の期間は第1の閾値の期間より長い(2622)。
例示的な装置(たとえば、ネットワークアクセスノード)およびそこでの方法
図27は、本開示の1つまたは複数の態様(たとえば、以下で説明される、図28および図29の方法に関する態様)による、装置2700の図である。装置2700は、通信インターフェース(たとえば、少なくとも1つのトランシーバ)2702と、ネットワーク通信インターフェース2703と、記憶媒体2704と、ユーザインターフェース2706と、メモリデバイス2708と、処理回路2710とを含む。
これらの構成要素は、図27において接続線によって一般に表される、シグナリングバスまたは他の適切な構成要素を介して互いに結合され、かつ/または互いに電気通信するように配置され得る。シグナリングバスは、処理回路2710の具体的な適用例および全体的な設計制約に応じて、任意の数の相互接続バスおよびブリッジを含み得る。シグナリングバスは、通信インターフェース2702、ネットワーク通信インターフェース2703、記憶媒体2704、ユーザインターフェース2706、およびメモリデバイス2708の各々が、処理回路2710に結合され、ならびに/または処理回路2710と電気通信するように、様々な回路を一緒につなぐ。シグナリングバスはまた、タイミングソース、周辺装置、電圧調整器、および電力管理回路などの様々な他の回路(図示せず)をつなぎ得るが、それらは当技術分野でよく知られており、したがって、これ以上説明されない。
通信インターフェース2702は、装置2700のワイヤレス通信を容易にするように適合され得る。たとえば、通信インターフェース2702は、ネットワーク内の1つまたは複数の通信デバイスに関して双方向に情報の通信を容易にするように適合された回路および/またはコード(たとえば、命令)を含み得る。通信インターフェース2702は、ワイヤレス通信システム内のワイヤレス通信のための1つまたは複数のアンテナ2712に結合され得る。通信インターフェース2702は、1つまたは複数のスタンドアロン受信機および/または送信機、ならびに1つまたは複数のトランシーバを用いて構成され得る。図示される例では、通信インターフェース2702は、送信機2714および受信機2716を含む。
ネットワーク通信インターフェース2703は、装置2700の通信を容易にするように適合され得る。たとえば、ネットワーク通信インターフェース2703は、ネットワークの中の1つまたは複数のネットワークエンティティに関して双方向に情報の通信を容易にするように適合された回路および/またはコード(たとえば、命令)を含み得る。ネットワーク通信インターフェース2703は、1つまたは複数のスタンドアロン受信機および/または送信機、ならびに1つまたは複数のトランシーバを用いて構成され得る。
メモリデバイス2708は、1つまたは複数のメモリデバイスを表し得る。示されるように、メモリデバイス2708は、ネットワーク関連情報を、装置2700によって使用される他の情報とともに維持し得る。いくつかの実装形態では、メモリデバイス2708および記憶媒体2704は、共通メモリ構成要素として実装される。メモリデバイス2708はまた、処理回路2710、または装置2700のいくつかの他の構成要素によって操作されるデータを記憶するために使用され得る。
記憶媒体2704は、プロセッサ実行可能コードもしくは命令(たとえば、ソフトウェア、ファームウェア)などのコード、電子データ、データベース、または他のデジタル情報を記憶するための1つまたは複数のコンピュータ可読、機械可読、および/またはプロセッサ可読デバイスを表し得る。記憶媒体2704はまた、コードを実行するときに処理回路2710によって操作されるデータを記憶するために使用され得る。記憶媒体2704は、ポータブル記憶デバイスもしくは固定された記憶デバイスと、光記憶デバイスと、コードを記憶し、格納し、または搬送することが可能な様々な他の媒体とを含む、汎用または専用プロセッサによってアクセスされ得る任意の利用可能な媒体であり得る。
限定ではなく例として、記憶媒体2704は、磁気記憶デバイス(たとえば、ハードディスク、フロッピーディスク、磁気ストリップ)、光ディスク(たとえば、コンパクトディスク(CD)またはデジタル多用途ディスク(DVD))、スマートカード、フラッシュメモリデバイス(たとえば、カード、スティック、またはキードライブ)、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、プログラマブルROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、レジスタ、リムーバブルディスク、および、コンピュータによってアクセスされ読み取られ得るコードを記憶するための任意の他の適切な媒体を含み得る。記憶媒体2704は、製造品(たとえば、コンピュータプログラム製品)において具現化され得る。例として、コンピュータプログラム製品は、パッケージング材料内のコンピュータ可読媒体を含み得る。上記に鑑みて、いくつかの実装形態では、記憶媒体2704は、非一時的な(たとえば、有形の)記憶媒体であり得る。
記憶媒体2704は、処理回路2710が記憶媒体2704から情報を読み取り、記憶媒体2704に情報を書き込むことができるように、処理回路2710に結合され得る。すなわち、記憶媒体2704は、少なくとも1つの記憶媒体が処理回路2710と一体である例および/または少なくとも1つの記憶媒体が処理回路2710から分離されている(たとえば、装置2700内に存在している、装置2700の外部に存在している、複数のエンティティにわたって分散しているなど)例を含め、記憶媒体2704が少なくとも処理回路2710によってアクセス可能であるように、処理回路2710に結合され得る。
記憶媒体2704によって記憶されているコードおよび/または命令は、処理回路2710によって実行されると、処理回路2710に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体2704は、処理回路2710の1つまたは複数のハードウェアブロックにおける動作を調整するように、ならびにそれらのそれぞれの通信プロトコルを利用するワイヤレス通信に通信インターフェース2702を利用するように構成された動作を含み得る。
処理回路2710は、一般に、記憶媒体2704上に記憶されたそのようなコード/命令の実行を含む処理のために適合される。本明細書において使用される「コード」または「命令」という用語は、ソフトウェアと呼ばれるか、ファームウェアと呼ばれるか、ミドルウェアと呼ばれるか、マイクロコードと呼ばれるか、ハードウェア記述言語と呼ばれるか、またはそれ以外で呼ばれるかにかかわらず、限定はされないが、プログラミング、命令、命令セット、データ、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行ファイル、実行スレッド、手順、関数などを含むように広く解釈されなければならない。
処理回路2710は、データを取得し、処理し、および/または送信し、データのアクセスおよび記憶を制御し、命令を出し、所望の動作を制御するように構成される。処理回路2710は、少なくとも1つの例において、適切な媒体によって与えられる所望のコードを実装するように構成された回路を含み得る。たとえば、処理回路2710は、1つまたは複数のプロセッサ、1つまたは複数のコントローラ、および/または実行可能なコードを実行するように構成された他の構造として実装され得る。処理回路2710の例は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラマブル論理構成要素、個別ゲートもしくはトランジスタ論理、個別のハードウェア構成要素、または本明細書において説明される機能を実行するように設計されたそれらの任意の組合せを含み得る。汎用プロセッサは、マイクロプロセッサ、ならびに任意の従来のプロセッサ、コントローラ、マイクロコントローラ、または状態機械を含み得る。処理回路2710はまた、DSPとマイクロプロセッサの組合せ、いくつかのマイクロプロセッサ、DSPコアと連携する1つもしくは複数のマイクロプロセッサ、ASICおよびマイクロプロセッサ、または任意の他の数の様々な構成などの、コンピューティング構成要素の組合せとして実装され得る。処理回路2710のこれらの例は例示のためのものであり、本開示の範囲内の他の適切な構成も企図される。
本開示の1つまたは複数の態様によれば、処理回路2710は、本明細書において説明される装置のいずれかもしくはすべてのための、特徴、プロセス、機能、動作、および/またはルーチンのいずれかもしくはすべてを実行するように適合され得る。処理回路2710に関して本明細書において使用される「適合される」という用語は、処理回路2710が、本明細書において説明される様々な特徴による特定のプロセス、機能、動作および/またはルーチンを実行するように構成されること、利用されること、実装されること、および/またはプログラムされることのうちの1つまたは複数を指し得る。
装置2700の少なくとも1つの例によれば、処理回路2710は、本明細書において説明される特徴、プロセス、機能、動作、および/またはルーチン(たとえば、図28および図29に関して説明された特徴、プロセス、機能、動作、および/またはルーチン)のいずれかまたはすべてを実行するように適合される、受信回路/モジュール2722、一時識別子追加回路/モジュール2724、記憶回路/モジュール2726、一時識別子除去回路/モジュール2728、データパケット転送回路/モジュール2730、パケット処理回路/モジュール2732、パケット暗号化および保護回路/モジュール2734、コンテキスト再構築/除去回路/モジュール2738、ネットワークアドレス取得/解放回路/モジュール2740のうちの1つまたは複数を含み得る。
受信回路/モジュール2722は、たとえば、クライアントデバイスから、ネットワークと通信するための要求とともに第1のデータパケットを受信すること、第1のデータパケットおよび暗号化されたクライアントデバイスコンテキストをクライアントデバイスから受信すること、ネットワークノードにおいて実装されるネットワーク機能から第2のデータパケットを受信すること、および、リソース確立要求と1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つとを含むメッセージをクライアントデバイスから受信することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2704に記憶された受信命令2742)を含み得る。
一時識別子追加回路/モジュール2724は、たとえば、一時識別子を第1のデータパケットに追加することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2704に記憶された一時識別子追加命令2744)を含み得る。
記憶回路/モジュール2726は、たとえば、クライアントデバイスの一時識別子を記憶することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2704に記憶された記憶命令2746)を含み得る。たとえば、一時識別子は、セル無線ネットワーク一時識別子(C-RNTI)であり得る。ある態様では、一時識別子は所定の期間記憶される。
一時識別子除去回路/モジュール2728は、たとえば、第2のデータパケットの中の一時識別子を除去することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2704に記憶された一時識別子除去命令2748)を含み得る。
データパケット転送回路/モジュール2730は、たとえば、第1のデータパケットが宛てられる第1のネットワークノードを決定すること、復号および検証が成功したときに第1のデータパケットをサービスネットワークに転送すること、要求が転送されるべきネットワーク機能を決定することであって、決定がネットワークアクセスノードにおいて事前に構成される、決定すること、第2のデータパケットが転送されるべきクライアントデバイスを決定すること、および第2のデータパケットをクライアントデバイスに転送することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2704に記憶されたデータパケット転送命令2750)を含み得る。
パケット処理回路/モジュール2732は、たとえば、セキュリティコンテキストに基づいて第1のデータパケットを復号および検証することに関するいくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2704に記憶されたパケット処理命令2752)を含み得る。
パケット暗号化および保護回路/モジュール2734は、たとえば、ユーザプレーン(UP)クライアントデバイス鍵を使用してパケットを暗号かもしくは完全性保護すること、セキュリティコンテキストに基づいて第1のデータパケットを復号および検証すること、ならびに/または、ユーザプレーン暗号鍵もしくはユーザプレーン完全性保護鍵を使用して第2のデータパケットを暗号化もしくは完全性保護することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2704に記憶されたパケット暗号化および保護命令2754)を含み得る。
コンテキスト再構築/除去回路/モジュール2738は、たとえば、クライアントデバイスと関連付けられる暗号化されたクライアントデバイスコンテキストの鍵(たとえば、鍵KCDC-IoTF-U)を取得すること、その鍵を使用して暗号化されたクライアントデバイスコンテキストからクライアントデバイスのセキュリティコンテキストを取得すること、暗号化されたクライアントデバイスコンテキストから少なくとも1つのコンテキストを再構築すること、1つまたは複数の暗号化されたクライアントデバイスコンテキストおよび使用情報のうちの少なくとも1つに基づいてコンテキストの少なくとも一部分を再構築すること、少なくとも1つのコンテキストを除去すること、および/または、使用情報が減らされたデータ送信であることを示す第1の閾値の期間、もしくは使用情報がバーストデータ送信であることを示す第2の閾値の期間、コンテキストの少なくとも一部分を維持することであって、第2の閾値の期間が第1の閾値の期間より長い、維持することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2704に記憶されたコンテキスト再構築/除去命令2758)を含み得る。
ネットワークアドレス取得/解放回路/モジュール2740は、たとえば、メッセージに応答してクライアントデバイスのネットワークアドレスを取得すること、ネットワークアドレスをクライアントデバイスに送信すること、クライアントデバイスからゲートウェイにリソース解放要求メッセージを送信することであって、リソース解放要求メッセージが、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする、送信すること、および/または、クライアントデバイスからネットワークへの送信の前、もしくはネットワークからクライアントデバイスへの送信の前にタイマーが満了したときにリソース解放要求メッセージをゲートウェイへ送信することであって、リソース解放要求メッセージが、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする、送信することに関する、いくつかの機能を実行するように適合される回路および/または命令(たとえば、記憶媒体2704に記憶されたネットワークアドレス取得/解放命令2760)を含み得る。
上述のように、記憶媒体2704によって記憶されている命令は、処理回路2710によって実行されると、処理回路2710に、本明細書において説明される様々な機能および/またはプロセス動作のうちの1つまたは複数を実行させる。たとえば、記憶媒体2704は、受信命令2742、一時識別子追加命令2744、記憶命令2746、一時識別子除去命令2748、データパケット転送命令2750、パケット処理命令2752、パケット暗号化および保護命令2754、コンテキスト再構築/除去命令2758、およびネットワークアドレス取得/解放命令2760のうちの1つまたは複数を含み得る。
図28は、本開示の様々な態様による、IoTネットワークアーキテクチャにおいて通信するための方法を示すフローチャート2800である。方法は、ネットワークアクセスノード(たとえば、図1のネットワークアクセスノード104または図27の装置2700)などの装置によって実行され得る。
装置は、クライアントデバイスから、ネットワークと通信するための要求とともに第1のデータパケットを受信する(2802)。装置は、クライアントデバイスの一時識別子を記憶する(2804)。たとえば、一時識別子はセル無線ネットワーク一次識別子(C-RNTI)であることがあり、一次識別子は所定の期間記憶されることがある。装置は、一時識別子を第1のデータパケットに追加する(2806)。
装置は、第1のデータパケットが宛てられる第1のネットワークノードを決定する(2808)。装置は、要求が転送されるべきネットワーク機能を決定し、この決定はネットワークアクセスノードにおいて事前に構成される(2810)。装置は、第1のデータパケットをネットワーク機能に転送する(2812)。
装置は、ネットワークノードにおいて実装されるネットワーク機能から第2のデータパケットを受信する(2814)。装置は、第2のデータパケットが転送されるべきクライアントデバイスを決定する(2816)。ある態様では、装置は、第2のデータパケットの中の一時識別子からクライアントデバイスを特定することによって、第2のデータパケットが転送されるべきクライアントデバイスを決定する。装置は、第2のデータパケットの中の一時識別子を除去する(2818)。装置は、第2のデータパケットをクライアントデバイスに転送する(2820)。
図29(図29Aおよび図29Bを含む)は、本開示の様々な態様による、ネットワークにおいて通信するための方法を示すフローチャート2900である。方法は、ネットワークアクセスノード(たとえば、図12のネットワークアクセスノード1204または図27の装置2700)などの装置によって実行され得る。図27において点線により示される動作は任意選択の動作を表すことを理解されたい。
装置は、クライアントデバイスと関連付けられる暗号化されたクライアントデバイスコンテキストの鍵(たとえば、鍵KCDC-IoTF-U)を取得する(2902)。装置は、第1のデータパケット(たとえば、ULデータパケット)および暗号化されたクライアントデバイスコンテキストをクライアントデバイスから受信する(2904)。装置は、鍵を使用して、暗号化されたクライアントデバイスコンテキストからクライアントデバイスのセキュリティコンテキストを取得する(2906)。装置は、セキュリティコンテキストに基づいて、第1のデータパケットを復号および/または検証する(2908)。装置は、復号および検証が成功したとき、第1のデータパケットをサービスネットワークに転送する(2910)。装置は、サーバまたはパケットデータネットワークゲートウェイから第2のデータパケット(たとえば、DLデータパケット)を受信する(2912)。装置は、ユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵を使用して、第2のデータパケットを暗号化または完全性保護する(2914)。装置は、第2のデータパケットをクライアントデバイスに転送する(2916)。装置は少なくとも1つのコンテキストを除去する(2918)。装置は、リソース確立要求と、1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つとを含むメッセージを、クライアントデバイスから受信する(2920)。装置は、メッセージに応答して、クライアントデバイスのネットワークアドレスを取得する(2922)。装置は、ネットワークアドレスをクライアントデバイスに送信する(2924)。一態様では、装置は、クライアントデバイスからネットワークへの送信の前、またはネットワークからクライアントデバイスへの送信の前にタイマーが満了するときに、リソース解放要求メッセージをゲートウェイに送信する(2926)。ある態様では、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。別の態様では、装置は、クライアントデバイスからリソース解放要求メッセージを受信する(2928)。そのような態様では、装置は、クライアントデバイスからゲートウェイにリソース解放要求メッセージを送信する(2930)。ある態様では、リソース解放要求メッセージは、ゲートウェイがクライアントデバイスのための1つまたは複数のリソースを解放することを可能にする。いくつかの態様では、動作2926ならびに動作2928および2930は、二者択一で実行され得る。たとえば、動作2926が実行される場合、動作2928および2930は実行されないことがある。別の例として、動作2928および2930が実行される場合、動作2926は実行されないことがある。
図に示される構成要素、ステップ、特徴および/または機能のうちの1つまたは複数は、単一の構成要素、ステップ、特徴または機能として再構成されてもよく、かつ/または結合されてもよく、あるいはいくつかの構成要素、ステップ、または機能として具現化されてもよい。追加の要素、構成要素、ステップ、および/または機能もまた、本明細書において開示される新規の特徴から逸脱することなく追加され得る。図に示される装置、デバイス、および/または構成要素は、本明細書において説明された方法、特徴、またはステップの1つまたは複数を実行するように構成され得る。本明細書において説明された新規のアルゴリズムはまた、効率的にソフトウェアで実装されることがあり、かつ/またはハードウェアに埋め込まれることがある。
開示された方法におけるステップの特定の順序または階層は、例示的なプロセスを示すものと理解されたい。設計上の選好に基づき、方法におけるステップの特定の順序または階層は、再配置され得ることを理解されたい。添付の方法クレームは、例示的な順序で様々なステップの要素を提示するものであり、特に記載されない限り、提示された特定の順序または階層に限定されることを意味するものではない。また、本開示から逸脱することなく、追加の要素、構成要素、ステップ、および/または機能が追加されることがあり、または利用されないことがある。
本開示の特徴がいくつかの実装形態および図に対して論じられたが、本開示のすべての実装形態は、本明細書において説明された有利な特徴のうちの1つまたは複数を含み得る。言い換えれば、1つまたは複数の実装形態が、いくつかの有利な特徴を有するものとして論じられることがあったが、そのような特徴のうちの1つまたは複数はまた、本明細書において説明された様々な実装形態のいずれかに従って使用され得る。同様に、例示的な実装形態がデバイス、システム、または方法の実装形態として本明細書において論じられたことがあったが、そのような例示的な実装形態が様々なデバイス、システム、および方法において実装されてもよいことを理解されたい。
また、少なくともいくつかの実装形態がフローチャート、フロー図、構造図、またはブロック図として示されるプロセスとして説明されたことに留意されたい。フローチャートは動作を逐次プロセスとして説明し得るが、動作の多くは並行してまたは同時に実行され得る。加えて、動作の順序は並べ替えられ得る。プロセスは、その動作が完了したときに終了する。いくつかの態様では、プロセスは、方法、関数、プロシージャ、サブルーチン、サブプログラムなどに相当し得る。プロセスが関数に相当するとき、その終了は、関数が呼び出し関数またはメイン関数に戻ることに相当する。本明細書において説明された様々な方法のうちの1つまたは複数は、機械可読記憶媒体、コンピュータ可読記憶媒体、および/またはプロセッサ可読記憶媒体に記憶され得るプログラミング(たとえば、命令および/またはデータ)によって部分的にまたは完全に実装されることがあり、1つまたは複数のプロセッサ、機械、および/またはデバイスによって実行されることがある。
本明細書において開示された実装形態に関して説明された様々な例示的な論理ブロック、モジュール、回路、およびアルゴリズムステップが、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、またはそれらの任意の組合せとして実装され得ることが当業者にはさらに諒解されよう。この互換性を明確に示すために、様々な例示的な構成要素、ブロック、モジュール、回路、およびステップが、概してそれらの観点から上記で説明された。そのような機能がハードウェアとして実装されるのか、それともソフトウェアとして実装されるのかは、具体的な適用例および全体的なシステムに課された設計制約によって決まる。
本開示内で、「例示的」という単語は、「例、事例、または例示の働きをすること」を意味するために使用される。「例示的」として本明細書において説明されるいずれの実装形態または態様も、必ずしも本開示の他の態様よりも好ましいかまたは有利であると解釈されるべきではない。同様に、「態様」という用語は、本開示のすべての態様が、論じられた特徴、利点、または動作モードを含むことを必要としない。「結合される」という用語は、2つの物体間の直接的または間接的結合を指すために本明細書において使用される。たとえば、物体Aが物体Bに物理的に接触し、物体Bが物体Cに接触する場合、物体AとCはやはり、直接的に物理的に互いに接触しない場合であっても、互いに結合されると見なされ得る。たとえば、第1のダイは、第1のダイがパッケージ内の第2のダイに物理的に直接接触していなくても、第2のダイに結合され得る。「回路(circuit)」および「回路(circuitry)」という用語は広く使用され、電子回路のタイプに関する制限なく、接続および構成されたときに本開示において説明された機能の実行を可能にする電気デバイスおよび導体というハードウェア実装形態と、プロセッサによって実行されたときに本開示において説明された機能の実行を可能にする情報および命令というソフトウェア実装形態の両方を含むものとする。
本明細書において使用される「決定すること」という用語は、幅広い様々なアクションを包含する。たとえば、「決定する」ことは、計算すること、算出すること、処理すること、導出すること、調査すること、ルックアップすること(たとえば、テーブル、データベースまたは別のデータ構造においてルックアップすること)、確認することなどを含み得る。また、「決定すること」は、受信すること(たとえば、情報を受信すること)、アクセスすること(たとえば、メモリの中のデータにアクセスすること)などを含み得る。また、「決定すること」は、解決すること、選択すること、選ぶこと、確立することなどを含み得る。本明細書において使用される「取得すること」という用語は、限定はされないが、受信すること、生成すること、決定すること、またはこれらの任意の組合せを含む1つまたは複数のアクションを含み得る。
上述の説明は、当業者が本明細書において説明される様々な態様を実践することを可能にするために提供される。これらの態様への様々な変更が当業者には容易に明らかになり、本明細書において定義された一般原理は他の態様に適用され得る。したがって、特許請求の範囲は本明細書において示された態様に限定されるものではなく、特許請求の範囲の文言と一致する最大限の範囲を与えられるべきであり、単数形の要素への言及は、「唯一の」と明記されていない限り、「唯一の」ではなく、「1つまたは複数の」を意味することを意図している。別段に明記されていない限り、「いくつか」という用語は、1つまたは複数を指す。項目のリストのうちの「少なくとも1つ」に言及する語句は、単一のメンバーを含むそれらの項目の任意の組合せを指す。ある例として、「a、b、またはcのうちの少なくとも1つ」は、a、b、c、aおよびb、aおよびc、bおよびc、ならびにa、bおよびcを包含することを意図している。当業者に知られているか、または後に知られることになる、本開示を通じて説明される様々な態様の要素に対するすべての構造的および機能的同等物は、参照により本明細書に明確に組み込まれ、特許請求の範囲によって包含されることが意図される。その上、本明細書において開示されたものは、そのような開示が特許請求の範囲において明示的に列挙されているかどうかにかかわらず、公に供されるものではない。いかなるクレーム要素も、「のための手段」という句を使用して要素が明確に列挙されていない限り、または方法クレームの場合、「のためのステップ」という句を使用して要素が列挙されていない限り、米国特許法第112条第6項の規定の下で解釈されるべきではない。
したがって、本明細書において説明され添付図面に示された例に関連する様々な特徴は、本開示の範囲から逸脱することなく、異なる例および実装形態で実装され得る。したがって、いくつかの特定の構成および配置が説明され添付の図面において示されたが、説明された実装形態への様々な他の追加および修正、ならびにそうした実装形態からの削除が当業者には明らかになるので、そのような実装形態は例示にすぎず、本開示の範囲を限定するものではない。したがって、本開示の範囲は、以下の特許請求の範囲の文言、および法的均等物によってのみ決定される。
100 IoTネットワークアーキテクチャ
102 クライアントデバイス
104 ネットワークアクセスノード
105 ネットワークデバイス
106 制御プレーンIoT機能、IoTF-C
107 ネットワークノード
108 ユーザプレーンIoT機能、IoTF-U
109 ネットワークノード
110 サービスネットワーク
112 HSS/AAAサーバ
114 第2のS1接続
116 第1のS1接続
118 SME
120 MTC-IWF
122 IoTサーバ
124 P-GW
126 CP鍵
128 UP鍵
130 コンテキスト鍵
131 コンテキスト鍵
200 鍵階層
202 KIOT
204 IK、CK
206 KASME
208 KCP
210 KIoT-CPenc
212 KIoT-CPint
214 KUP
216 KIoT-UPenc
218 KIoT-UPint
300 鍵階層
302 KCDC-IoTF
304 KCDC-IoTF-C
306 KCDC-IoTF-U
400 ネットワーク
402 クライアントデバイス
404 ネットワークアクセスノード
406 EPC
408 モビリティ管理エンティティ
410 P-GW/S-GW
412 ホーム加入者サーバ
414 コンテキスト
416 コンテキスト
418 コンテキスト
420 コンテキスト
422 コンテキスト
424 コンテキスト
426 コンテキスト
428 コンテキスト
500 IoTネットワークアーキテクチャ
502 クライアントデバイス
504 ネットワークアクセスノード
505 ネットワークデバイス
506 制御プレーンIoT機能、IoTF-C
507 ネットワークノード
508 ユーザプレーンIoT機能、IoTF-U
509 ネットワークノード
510 サービスネットワーク
512 HSS/AAAサーバ
514 第2のS1接続
516 第1のS1接続
518 SME
520 MTC-IWF
522 IoTサーバ
524 P-GW
526 CP鍵
528 UP鍵
530 コンテキスト鍵
531 コンテキスト鍵
532 接続要求
534 要求
535 認証情報
536 信号
538 メッセージ
600 信号フロー図
602 クライアントデバイス
604 ネットワークアクセスノード
605 ネットワークノード
606 IoTF-C
607 ネットワークノード
608 IoTF-U
609 サービスネットワーク
610 HSS
612 RRC接続要求
614 RRC接続セットアップメッセージ
616 RRC接続セットアップ完了メッセージ
618 初期クライアントデバイスメッセージ
620 AKA手順
622 鍵移送
623 初期コンテキストセットアップ要求メッセージ
626 RRC接続再構成メッセージ
628 RRC接続再構成完了メッセージ
630 ULデータパケット
632 ULデータパケット
634 DLデータパケット
700 IoTネットワークアーキテクチャ
702 クライアントデバイス
704 ネットワークアクセスノード
705 ネットワークデバイス
706 制御プレーンIoT機能、IoTF-C
707 ネットワークノード
708 ユーザプレーンIoT機能、IoTF-U
709 ネットワークノード
710 サービスネットワーク
712 HSS/AAAサーバ
714 第2のS1接続
718 SME
720 MTC-IWF
722 IoTサーバ
724 P-GW
726 CP鍵
728 UP鍵
730 コンテキスト鍵
731 コンテキスト鍵
732 接続要求
734 第2のメッセージ
800 信号フロー図
802 クライアントデバイス
804 ネットワークアクセスノード
805 ネットワークノード
806 IoTF-U
808 サービスネットワーク
810 データ移送要求メッセージ
814 第1のメッセージ
818 第2のメッセージ
820 第3のメッセージ
822 第4のメッセージ
824 第5のメッセージ
900 信号フロー図
902 クライアントデバイス
904 ネットワークアクセスノード
905 ネットワークノード
906 IoTF-C
907 ネットワークノード
908 IoTF-U
910 P-GW
912 IoTサーバ
914 DLメッセージ
916 転送メッセージ
918 DLデータ通知メッセージ
920 ページングメッセージ
922 ページングメッセージ
924 RRC接続要求メッセージ
928 転送メッセージ
932 クライアントデバイス応答通知メッセージ
934 メッセージ
936 転送メッセージ
1000 信号フロー図
1002 クライアントデバイス
1004 IoTF-C
1006 ネットワークノード
1008 IoTF-U
1010 ネットワークノード
1012 P-GW
1016 リソース確立要求メッセージ
1018 リソース確立動作
1020 ULデータ
1022 リソース解放要求メッセージ1
1024 アイドルモード
1026 タイマー
1028 リソース解放要求メッセージ2
1100 信号フロー図
1102 クライアントデバイス
1104 ネットワークアクセスノード
1106 ネットワークノード
1108 サービスネットワーク
1110 HSS
1112 ユーザプレーン機能
1114 制御プレーン機能
1116 要求
1118 RRC接続セットアップメッセージ
1120 RRC接続セットアップ完了メッセージ
1122 初期クライアントデバイスメッセージ
1124 AKA手順
1128 初期コンテキストセットアップ要求メッセージ
1130 RRC接続再構成メッセージ
1132 RRC接続再構成完了メッセージ
1134 ULデータパケット
1136 ULデータパケット
1200 信号フロー図
1202 クライアントデバイス
1204 ネットワークアクセスノード
1206 ネットワークノード
1208 P-GW
1210 ユーザプレーン機能
1212 制御プレーン機能
1216 リソース確立要求
1218 リソース確立動作
1220 ULデータ
1222 リソース解放要求メッセージ1
1224 アイドルモード
1226 タイマー
1228 リソース解放要求メッセージ2
1230 リソース解放要求メッセージ3
1300 制御プレーンプロトコルスタック
1302 クライアントデバイス
1304 ネットワークアクセスノード
1305 ネットワークノード
1306 IoTFプロトコルスタック
1308 サービスネットワーク
1310 PHY層
1312 MAC層
1314 RLC層
1316 PDCP層
1318 コンテキストプロトコル層
1320 Ctrl層
1322 PHY層
1324 MAC層
1326 RLC層
1328 PDCP層
1330 イーサネット層
1332 MAC層
1334 IP層
1336 UDP層
1338 GTP-C層
1340 イーサネット層
1342 MAC層
1344 IP層
1346 UDP層
1348 GTP-C層
1350 コンテキストプロトコル層
1352 Ctrl層
1354 IP層
1356 UDP層
1358 GTP-C層
1360 Ctrl層
1362 領域
1364 IPプロトコル
1366 領域
1400 プロトコルスタック
1402 クライアントデバイス
1404 ネットワークアクセスノード
1405 ネットワークノード
1406 IoTFプロトコルスタック
1408 サービスネットワーク
1410 PHY層
1412 MAC層
1414 RLC層
1416 PDCP層
1418 コンテキストプロトコル層
1420 UP層
1422 PHY層
1424 MAC層
1426 RLC層
1428 PDCP層
1430 イーサネット層
1432 MAC層
1434 IP層
1436 UDP層
1438 GTP-U層
1440 イーサネット層
1442 MAC層
1444 IP層
1446 UDP層
1448 GTP-U層
1450 コンテキストプロトコル層
1452 UP層
1454 IP層
1456 UDP層
1458 GTP-U層
1460 UP層
1462 領域
1464 IPプロトコル
1466 領域
1500 パケットフォーマット
1502 TIDフィールド
1504 IIDフィールド
1506 セキュリティヘッダフィールド
1508 クライアントデバイスコンテキストフィールド
1510 ペイロードフィールド
1512 MACフィールド
1600 信号フロー図
1602 クライアントデバイス
1604 ネットワークアクセスノード
1605 ターゲットネットワークデバイス
1606 ターゲットIoTF-C
1607 ソースネットワークデバイス
1608 ソースIoTF-C
1610 P-GW
1612 IoTサーバ
1614 データ移送要求メッセージ
1618 メッセージ
1620 メッセージ
1622 メッセージ
1626 メッセージ
1628 メッセージ
1630 メッセージ
1700 装置
1702 通信インターフェース
1704 記憶媒体
1706 ユーザインターフェース
1708 メモリデバイス
1710 処理回路
1712 アンテナ
1714 送信機
1716 受信機
1718 ネットワーク関連情報
1720 送信回路/モジュール
1722 受信回路/モジュール
1724 暗号化されたクライアントデバイスコンテキスト記憶回路/モジュール
1726 暗号化されたクライアントデバイスコンテキスト決定回路/モジュール
1728 アイドルモード進入回路/モジュール
1730 セキュリティコンテキスト確立回路/モジュール
1732 メッセージ取得回路/モジュール
1733 使用情報取得回路/モジュール
1734 送信命令
1736 受信命令
1738 暗号化されたクライアントデバイスコンテキスト記憶命令
1740 暗号化されたクライアントデバイスコンテキスト決定命令
1742 アイドルモード進入命令
1744 セキュリティコンテキスト確立命令
1746 メッセージ取得命令
1747 使用情報取得命令
1800 フローチャート
1900 フローチャート
2000 フローチャート
2100 装置
2102 ネットワーク通信インターフェース
2104 記憶媒体
2106 ユーザインターフェース
2108 メモリデバイス
2110 処理回路
2118 ネットワーク関連情報
2120 送信回路/モジュール
2122 受信回路/モジュール
2124 認証および検証回路/モジュール
2126 暗号化されたクライアントデバイスコンテキスト生成回路/モジュール
2128 コンテキスト再構築/除去回路/モジュール
2130 パケット処理回路/モジュール
2132 記憶回路/モジュール
2134 ネットワークアクセスノード決定回路/モジュール
2136 一時識別子追加回路/モジュール
2137 ネットワークアドレス取得/解放回路/モジュール
2138 パケット暗号化および保護回路/モジュール
2139 セキュリティコンテキスト確立回路/モジュール
2140 送信命令
2142 受信命令
2144 認証および検証命令
2146 暗号化されたクライアントデバイスコンテキスト生成命令
2148 コンテキスト再構築/除去命令
2150 パケット処理命令
2152 記憶命令
2154 ネットワークアクセスノード決定め
2156 一時識別子追加命令
2157 ネットワークアドレス取得/解放命令
2158 パケット暗号化/保護命令
2159 セキュリティコンテキスト確立命令
2200 フローチャート
2300 フローチャート
2400 フローチャート
2500 フローチャート
2600 フローチャート
2700 装置
2702 通信インターフェース
2703 ネットワーク通信インターフェース
2704 記憶媒体
2706 ユーザインターフェース
2708 メモリデバイス
2710 処理回路
2712 アンテナ
2714 送信機
2716 受信機
2718 ネットワーク関連情報
2722 受信回路/モジュール
2724 一時識別子追加回路/モジュール
2726 記憶回路/モジュール
2728 一時識別子除去回路/モジュール
2730 データパケット転送回路/モジュール
2732 パケット処理回路/モジュール
2734 パケット暗号化および保護回路/モジュール
2738 コンテキスト再構築除去回路/モジュール
2740 ネットワークアドレス取得/解放回路/モジュール
2742 受信命令
2744 一時識別子追加命令
2746 記憶命令
2748 一時識別子除去命令
2750 データパケット転送命令
2752 パケット処理命令
2754 パケット暗号化および保護命令
2758 コンテキスト再構築/除去命令
2760 ネットワークアドレス取得/解放命令
2800 フローチャート
2900 フローチャート

Claims (27)

  1. ネットワークデバイスのための方法であって、
    クライアントデバイスから、ネットワークと通信するための要求を受信するステップと、
    前記クライアントデバイスとの少なくとも1つのコンテキストを確立するステップであって、前記少なくとも1つのコンテキストが、前記クライアントデバイスと前記ネットワークとの間の接続と関連付けられるネットワーク状態情報を含み、前記ネットワーク状態情報が少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含む、ステップと
    1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成するステップであって、前記1つまたは複数の暗号化されたクライアントデバイスコンテキストが、前記クライアントデバイスとの通信のための、前記ネットワークにおける前記少なくとも1つのコンテキストの再構築を可能にする、ステップと、
    前記1つまたは複数の暗号化されたクライアントデバイスコンテキストを前記クライアントデバイスに送信するステップと
    を備えることを特徴とするネットワークデバイスのための方法。
  2. 前記1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成することを決定するステップをさらに備え、前記決定が、前記要求において示される暗号化されたクライアントデバイスコンテキストの使用情報、前記クライアントデバイスのサブスクリプション、ポリシー、またはこれらの組合せのうちの少なくとも1つに基づくことを特徴とする請求項1に記載の方法。
  3. 前記1つまたは複数の暗号化されたクライアントデバイスコンテキストが、データ関連の通信のために使用されるべき第1のコンテキストと、制御関連の通信のために使用されるべき第2のコンテキストとを備えることを特徴とする請求項1に記載の方法。
  4. ホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバからの認証情報を要求するステップと、
    前記クライアントデバイスとの相互認証を実行するステップと
    をさらに備えることを特徴とする請求項1に記載の方法。
  5. 制御パケットおよび暗号化されたクライアントデバイスコンテキストを前記クライアントデバイスから受信するステップと、
    前記クライアントデバイスから受信された前記暗号化されたクライアントデバイスコンテキストを検証するステップと、
    前記暗号化されたクライアントデバイスコンテキストから前記少なくとも1つのコンテキストを再構築するステップと、
    前記少なくとも1つのコンテキストを使用して前記制御パケットを処理するステップであって、前記コンテキストを使用して前記制御パケットを検証するステップ、復号するステップ、またはこれらの組合せのうちの少なくとも1つを備える、ステップと、
    前記クライアントデバイスのためのダウンリンクパケットの一時識別子を記憶するステップと、
    前記制御パケットのペイロード部分をアプリケーションサーバまたはパケットデータネットワークゲートウェイに転送するステップと
    をさらに備えることを特徴とする請求項1に記載の方法。
  6. 前記暗号鍵が少なくとも、制御プレーン暗号鍵、ユーザプレーン暗号鍵、またはこれらの組合せを含み、前記完全性保護鍵が少なくとも、ユーザプレーン完全性保護鍵、制御プレーン完全性保護鍵、またはこれらの組合せを含むことを特徴とする請求項5に記載の方法。
  7. 前記暗号化されたクライアントデバイスコンテキストを検証するステップが、
    前記暗号化されたクライアントデバイスコンテキストが期限切れになったかどうかを判定するステップと、
    以前の暗号化されたクライアントデバイスコンテキストが期限切れになっているとき、1つまたは複数の新しい暗号化されたクライアントデバイスコンテキストを生成するステップと、
    前記以前の暗号化されたクライアントデバイスコンテキストが期限切れになっているとき、前記1つまたは複数の新しい暗号化されたクライアントデバイスコンテキストを前記クライアントデバイスに送信するステップと
    を備えることを特徴とする請求項5に記載の方法。
  8. 第2のクライアントデバイスから制御パケットを受信するステップと、
    第2のネットワークデバイスから前記第2のクライアントデバイスのコンテキストを要求するステップであって、前記要求が制御プレーンの暗号化されたクライアントデバイスコンテキストを含む、ステップと、
    前記第2のネットワークデバイスから前記第2のクライアントデバイスの前記コンテキストを受信するステップと、
    新しい暗号化されたクライアントデバイスコンテキストを生成するステップと、
    前記新しい暗号化されたクライアントデバイスコンテキストを前記第2のクライアントデバイスに送信するステップと
    をさらに備えることを特徴とする請求項5に記載の方法。
  9. 前記暗号化されたクライアントデバイスコンテキストを検証するステップが、前記暗号化されたクライアントデバイスコンテキストを検証するための鍵を決定するステップを備えることを特徴とする請求項5に記載の方法。
  10. 前記少なくとも1つのコンテキストを除去するステップと、
    リソース確立要求と、前記1つまたは複数の暗号化されたクライアントデバイスコンテキストのうちの少なくとも1つと、を含むメッセージを前記クライアントデバイスから受信するステップと、
    前記メッセージに応答して前記クライアントデバイスのネットワークアドレスを取得するステップと、
    前記ネットワークアドレスを前記クライアントデバイスに送信するステップと
    をさらに備えることを特徴とする請求項5に記載の方法。
  11. 前記クライアントデバイスからリソース解放要求メッセージを受信するステップと、
    前記リソース解放要求メッセージを前記クライアントデバイスからゲートウェイに送信するステップと
    をさらに備え、
    前記リソース解放要求メッセージが、前記ゲートウェイが前記クライアントデバイスのための1つまたは複数のリソースを解放することを可能にすることを特徴とする請求項10に記載の方法。
  12. 前記クライアントデバイスから前記ネットワークへの送信の前、または前記ネットワークから前記クライアントデバイスへの送信の前にタイマーが満了するときに、リソース解放要求メッセージをゲートウェイに送信するステップをさらに備え、
    前記リソース解放要求メッセージが、前記ゲートウェイが前記クライアントデバイスのための1つまたは複数のリソースを解放することを可能にすることを特徴とする請求項10に記載の方法。
  13. ネットワークデバイスであって、
    1つまたは複数のネットワークエンティティと通信するように構成されるネットワーク通信インターフェースと、
    前記ネットワーク通信インターフェースに結合された処理回路と
    を備え、前記処理回路が、
    クライアントデバイスから、ネットワークと通信するための要求を受信し、
    前記クライアントデバイスとの少なくとも1つのコンテキストを確立し、前記少なくとも1つのコンテキストが、前記クライアントデバイスと前記ネットワークとの間の接続と関連付けられるネットワーク状態情報を含み、前記ネットワーク状態情報が少なくとも、暗号化アルゴリズム、暗号鍵、完全性保護アルゴリズム、完全性保護鍵、またはこれらの組合せを含み、
    1つまたは複数の暗号化されたクライアントデバイスコンテキストを生成し、前記1つまたは複数の暗号化されたクライアントデバイスコンテキストが、前記クライアントデバイスとの通信のための、前記ネットワークにおける前記少なくとも1つのコンテキストの再構築を可能にし、
    前記1つまたは複数の暗号化されたクライアントデバイスコンテキストを前記クライアントデバイスに送信する
    ように構成されることを特徴とするネットワークデバイス。
  14. ネットワークデバイスのための方法であって、
    クライアントデバイスと関連付けられる暗号化されたクライアントデバイスコンテキストのための鍵を取得するステップと、
    第1のデータパケットおよび前記暗号化されたクライアントデバイスコンテキストを前記クライアントデバイスから受信するステップと、
    前記鍵を使用して、前記暗号化されたクライアントデバイスコンテキストから前記クライアントデバイスのセキュリティコンテキストを取得するステップと、
    前記セキュリティコンテキストに基づいて、前記第1のデータパケットを復号し検証するステップと、
    前記復号および検証が成功したとき、前記第1のデータパケットをサービスネットワークに転送するステップと
    を備えることを特徴とするネットワークデバイスのための方法。
  15. 前記セキュリティコンテキストを取得するステップが、前記鍵に基づいて前記暗号化されたクライアントデバイスコンテキストを復号するステップを備え、前記セキュリティコンテキストが少なくとも、ユーザプレーン暗号鍵、ユーザプレーン完全性保護鍵、またはこれらの組合せを含むことを特徴とする請求項14に記載の方法。
  16. 前記第1のデータパケットが少なくとも、前記ユーザプレーン完全性保護鍵を用いて検証され、または前記ユーザプレーン暗号鍵を用いて復号されることを特徴とする請求項15に記載の方法。
  17. 前記セキュリティコンテキストがユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵を含み、
    サーバまたはパケットデータネットワークゲートウェイから第2のデータパケットを受信するステップと、
    前記第2のデータパケットが転送されるネットワークアクセスノードを決定するステップと、
    前記ネットワークアクセスノードが前記クライアントデバイスを決定することを可能にする一時識別子を前記第2のデータパケットに追加するステップと、
    前記ユーザプレーン暗号鍵または前記ユーザプレーン完全性保護鍵を使用して、前記第2のデータパケットを暗号化または完全性保護するステップと、
    前記第2のデータパケットを前記クライアントデバイスに転送するステップと
    をさらに備えることを特徴とする請求項14に記載の方法。
  18. ネットワークデバイスであって、
    1つまたは複数のネットワークエンティティと通信するように構成されるネットワーク通信インターフェースと、
    前記ネットワーク通信インターフェースに結合された処理回路と
    を備え、前記処理回路が、
    クライアントデバイスと関連付けられる暗号化されたクライアントデバイスコンテキストのための鍵を取得し、
    第1のデータパケットおよび前記暗号化されたクライアントデバイスコンテキストを前記クライアントデバイスから受信し、
    前記鍵を使用して、前記暗号化されたクライアントデバイスコンテキストから前記クライアントデバイスのセキュリティコンテキストを取得し、
    前記セキュリティコンテキストに基づいて、前記第1のデータパケットを復号して検証し、
    前記復号および検証が成功したとき、前記第1のデータパケットをサービスネットワークに転送する
    ように構成されることを特徴とするネットワークデバイス。
  19. 前記セキュリティコンテキストを取得するように構成される前記処理回路がさらに、
    前記鍵に基づいて前記暗号化されたクライアントデバイスコンテキストを復号するように構成され、前記セキュリティコンテキストが少なくとも、ユーザプレーン暗号鍵またはユーザプレーン完全性保護鍵を含むことを特徴とする請求項18に記載のネットワークデバイス。
  20. 前記セキュリティコンテキストがユーザプレーン暗号鍵およびユーザプレーン完全性保護鍵を含み、前記処理回路がさらに、
    サーバまたはパケットデータネットワークゲートウェイから第2のデータパケットを受信し、
    前記第2のデータパケットが転送されるネットワークアクセスノードを決定し、
    前記ネットワークアクセスノードが前記クライアントデバイスを決定することを可能にする一時識別子を前記第2のデータパケットに追加し、
    前記ユーザプレーン暗号鍵および前記ユーザプレーン完全性保護鍵を使用して、前記第2のデータパケットを暗号化または完全性保護し、
    前記第2のデータパケットを前記クライアントデバイスに転送する
    ように構成されることを特徴とする請求項18に記載のネットワークデバイス。
  21. ネットワークアクセスノードのための方法であって、
    クライアントデバイスから、ネットワークと通信するための要求とともに第1のデータパケットを受信するステップと、
    前記第1のデータパケットが宛てられるネットワークノードを決定するステップと、
    前記ネットワークノードにおいて実装されるネットワーク機能から第2のデータパケットを受信するステップと、
    前記第2のデータパケットが転送されるべき前記クライアントデバイスを決定するステップと
    を備えることを特徴とするネットワークアクセスノードのための方法。
  22. 前記クライアントデバイスの一時識別子を記憶するステップをさらに備え、前記一時識別子がセル無線ネットワーク一時識別子(C-RNTI)であり、前記一時識別子が所定の期間記憶されることを特徴とする請求項21に記載の方法。
  23. 前記一時識別子を前記第1のデータパケットに追加するステップをさらに備えることを特徴とする請求項22に記載の方法。
  24. 前記要求が転送されるべき前記ネットワーク機能を決定するステップであって、前記決定が前記ネットワークアクセスノードにおいて事前に構成される、ステップと、
    前記第1のデータパケットを前記ネットワーク機能に転送するステップと
    をさらに備えることを特徴とする請求項21に記載の方法。
  25. 前記第2のデータパケットの中の一時識別子を除去するステップと、
    前記第2のデータパケットを前記クライアントデバイスに転送するステップと
    をさらに備えることを特徴とする請求項21に記載の方法。
  26. 前記第2のデータパケットが転送されるべき前記クライアントデバイスを前記決定するステップが、前記第2のデータパケットの中の一時識別子から前記クライアントデバイスを特定するステップを備えることを特徴とする請求項21に記載の方法。
  27. ネットワークアクセスノードであって、
    1つまたは複数のネットワークエンティティと通信するように構成される通信回路と、
    前記通信回路に結合された処理回路と
    を備え、前記処理回路が、
    クライアントデバイスから、ネットワークと通信するための要求とともに第1のデータパケットを受信し、
    前記第1のデータパケットが宛てられるネットワークノードを決定し、
    前記ネットワークノードにおいて実装されるネットワーク機能から第2のデータパケットを受信し、
    前記第2のデータパケットが転送されるべき前記クライアントデバイスを決定する
    ように構成されることを特徴とするネットワークアクセスノード。
JP2020072817A 2015-07-12 2020-04-15 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ Active JP6928143B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201562191457P 2015-07-12 2015-07-12
US62/191,457 2015-07-12
US201662320506P 2016-04-09 2016-04-09
US62/320,506 2016-04-09
US15/160,198 US10091649B2 (en) 2015-07-12 2016-05-20 Network architecture and security with encrypted client device contexts
US15/160,198 2016-05-20
JP2018500713A JP6692886B2 (ja) 2015-07-12 2016-06-13 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2018500713A Division JP6692886B2 (ja) 2015-07-12 2016-06-13 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ

Publications (2)

Publication Number Publication Date
JP2020129805A JP2020129805A (ja) 2020-08-27
JP6928143B2 true JP6928143B2 (ja) 2021-09-01

Family

ID=57731698

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2018500713A Active JP6692886B2 (ja) 2015-07-12 2016-06-13 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ
JP2020072817A Active JP6928143B2 (ja) 2015-07-12 2020-04-15 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2018500713A Active JP6692886B2 (ja) 2015-07-12 2016-06-13 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ

Country Status (10)

Country Link
US (2) US10091649B2 (ja)
EP (2) EP3429246B1 (ja)
JP (2) JP6692886B2 (ja)
KR (1) KR102441359B1 (ja)
CN (2) CN107852601B (ja)
AU (1) AU2016318200B2 (ja)
BR (1) BR112018000640B1 (ja)
ES (2) ES2837845T3 (ja)
TW (1) TWI733675B (ja)
WO (1) WO2017039777A2 (ja)

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10097995B2 (en) 2015-07-12 2018-10-09 Qualcomm Incorporated Network architecture and security with encrypted network reachability contexts
US10091649B2 (en) 2015-07-12 2018-10-02 Qualcomm Incorporated Network architecture and security with encrypted client device contexts
WO2017188392A1 (en) * 2016-04-29 2017-11-02 Nec Corporation Method of enabling slice security separation
US20190199521A1 (en) * 2016-08-11 2019-06-27 Ian L. Sayers Method and apparatus for secure access to a sensor or device network
US11030618B1 (en) 2016-09-30 2021-06-08 Winkk, Inc. Authentication and personal data sharing for partner services using out-of-band optical mark recognition
US20180097807A1 (en) * 2016-09-30 2018-04-05 Lg Electronics Inc. Method and apparatus for performing initial access procedure based on authentication in wireless communication system
KR102215389B1 (ko) * 2016-10-10 2021-02-15 후아웨이 테크놀러지 컴퍼니 리미티드 통신 방법, 보안 노드 네트워크 엘리먼트, 및 단말
CN108024294B (zh) * 2016-11-02 2020-08-07 中兴通讯股份有限公司 切换方法及装置
CN108347416B (zh) * 2017-01-24 2021-06-29 华为技术有限公司 一种安全保护协商方法及网元
US10542463B2 (en) * 2017-02-05 2020-01-21 Nokia Of America Corporation System and method for secure cell redirection in wireless networks
US10687212B2 (en) 2017-04-07 2020-06-16 At&T Mobility Ii Llc Mobile network core component for managing security keys
US10959247B2 (en) * 2017-06-08 2021-03-23 Qualcomm Incorporated Transmission of uplink control information in new radio
CN109391963B (zh) * 2017-08-11 2022-03-11 华为技术有限公司 一种传输方法和网络设备
EP3714652B1 (en) 2017-11-22 2022-11-30 ZTE Corporation An efficient control signaling method and system
CN111971986B (zh) 2018-04-05 2024-03-26 瑞典爱立信有限公司 配置无线电资源
KR102519582B1 (ko) 2018-04-16 2023-04-10 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) 비활성 상태로부터의 rrc 재개를 위한 보안 핸들링
WO2020018454A1 (en) 2018-07-16 2020-01-23 Islamov Rustam Cryptography operations for secure post-quantum communications
EP3609149A1 (en) 2018-08-08 2020-02-12 Nokia Technologies Oy Method and apparatus for security management in 5g networks
EP3864890A4 (en) * 2018-10-09 2022-05-18 Lenovo (Beijing) Limited DEVICE INFORMATION IN A CONTEXT ESTABLISHMENT REQUEST
US11563676B2 (en) * 2019-08-16 2023-01-24 Nokia Technologies Oy Method and apparatus for universal integrated circuit card update via dedicated network function
US20210105612A1 (en) * 2019-10-04 2021-04-08 Qualcomm Incorporated User plane integrity protection (up ip) capability signaling in 5g/4g systems
US11928193B2 (en) 2019-12-10 2024-03-12 Winkk, Inc. Multi-factor authentication using behavior and machine learning
US11588794B2 (en) * 2019-12-10 2023-02-21 Winkk, Inc. Method and apparatus for secure application framework and platform
US11657140B2 (en) 2019-12-10 2023-05-23 Winkk, Inc. Device handoff identification proofing using behavioral analytics
US11652815B2 (en) * 2019-12-10 2023-05-16 Winkk, Inc. Security platform architecture
US11553337B2 (en) 2019-12-10 2023-01-10 Winkk, Inc. Method and apparatus for encryption key exchange with enhanced security through opti-encryption channel
US11574045B2 (en) 2019-12-10 2023-02-07 Winkk, Inc. Automated ID proofing using a random multitude of real-time behavioral biometric samplings
US11563582B2 (en) 2019-12-10 2023-01-24 Winkk, Inc. Method and apparatus for optical encryption communication using a multitude of hardware configurations
US11936787B2 (en) 2019-12-10 2024-03-19 Winkk, Inc. User identification proofing using a combination of user responses to system turing tests using biometric methods
US11328042B2 (en) 2019-12-10 2022-05-10 Winkk, Inc. Automated transparent login without saved credentials or passwords
US11303558B2 (en) * 2020-01-08 2022-04-12 Cisco Technology, Inc. Ultra-reliable low latency communications (URLLC) support for wireless access
TWI754950B (zh) * 2020-06-02 2022-02-11 鴻海精密工業股份有限公司 物聯網設備、伺服器及軟體更新方法
CN113765950B (zh) 2020-06-02 2023-11-14 富泰华工业(深圳)有限公司 物联网设备、服务器及软件更新方法
WO2022045332A1 (ja) * 2020-08-31 2022-03-03 日本電気株式会社 中継装置、端末及び中継方法
TWI760240B (zh) * 2021-05-28 2022-04-01 國立臺灣科技大學 認證授權外掛系統
US11843943B2 (en) 2021-06-04 2023-12-12 Winkk, Inc. Dynamic key exchange for moving target
US11824999B2 (en) 2021-08-13 2023-11-21 Winkk, Inc. Chosen-plaintext secure cryptosystem and authentication
WO2023128723A1 (en) * 2022-01-03 2023-07-06 Samsung Electronics Co., Ltd. Method and device for selective user plane security in wireless communication system

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US136423A (en) * 1873-03-04 Improvement in bottle-washers
US7360075B2 (en) 2001-02-12 2008-04-15 Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols
US6771962B2 (en) * 2001-03-30 2004-08-03 Nokia Corporation Apparatus, and an associated method, by which to provide temporary identifiers to a mobile node involved in a communication handover
US7020645B2 (en) 2001-04-19 2006-03-28 Eoriginal, Inc. Systems and methods for state-less authentication
GB0619499D0 (en) 2006-10-03 2006-11-08 Lucent Technologies Inc Encrypted data in a wireless telecommunications system
WO2008152611A1 (en) 2007-06-15 2008-12-18 Nokia Corporation Apparatus, method and computer program product providing transparent container
US9276909B2 (en) 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
EP2317822A1 (en) 2009-10-29 2011-05-04 Panasonic Corporation Enhancement of the attachement procedure for re-attaching a UE to a 3GPP access network
CN102065417B (zh) 2009-11-16 2014-02-19 华为技术有限公司 实现安全上下文信息同步的方法、设备及系统
KR101474094B1 (ko) * 2010-04-16 2014-12-17 퀄컴 인코포레이티드 강화된 보안 콘텍스트를 지원하는 서빙 네트워크 노드로부터 레거시 서빙 네트워크 노드로 전이하기 위한 장치 및 방법
ES2523891T3 (es) * 2010-10-01 2014-12-02 Nokia Solutions And Networks Oy Temporizador de espera de mensaje de liberación de conexión de control de recursos radio
CN102594555B (zh) 2011-01-17 2015-04-29 华为技术有限公司 数据的安全保护方法、网络侧实体和通信终端
WO2012134218A2 (ko) 2011-03-31 2012-10-04 엘지전자 주식회사 무선 통신 시스템에서 단말이 네트워크와의 보안 설정 방법 및 이를 위한 장치
US9407616B2 (en) 2011-04-27 2016-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Authenticating a device in a network
WO2012175664A2 (en) 2011-06-22 2012-12-27 Nec Europe Ltd. Energy awareness in mobile communication user equipment and networks, including optimizations based on state compression
WO2013024435A1 (en) 2011-08-15 2013-02-21 Renesas Mobile Corporation Keeping a security context during mode changes for machine - to -machine communications
US8687556B2 (en) 2011-11-18 2014-04-01 Cisco Technology, Inc. Method for correlating connection information with mobile device identity
US9276810B2 (en) * 2011-12-16 2016-03-01 Futurewei Technologies, Inc. System and method of radio bearer management for multiple point transmission
CN107071768B (zh) * 2012-02-22 2020-03-20 华为技术有限公司 建立安全上下文的方法、装置及系统
WO2013165605A1 (en) * 2012-05-02 2013-11-07 Interdigital Patent Holdings, Inc. One round trip authentication using single sign-on systems
KR102133785B1 (ko) * 2012-05-10 2020-07-15 삼성전자주식회사 메시지 송수신 방법 및 장치
WO2013169974A1 (en) 2012-05-11 2013-11-14 Interdigital Patent Holdings, Inc. Context-aware peer-to-peer communication
US20150092696A1 (en) * 2012-05-21 2015-04-02 Nokia Corporation Method and apparatus for managing radio bearer for user equipment
CN103929740B (zh) * 2013-01-15 2017-05-10 中兴通讯股份有限公司 数据安全传输方法及lte接入网系统
EP2757856B1 (en) 2013-01-17 2023-11-08 Alcatel Lucent Optimization of context and/or connection management in a mobile communication system
US8781502B1 (en) * 2013-02-01 2014-07-15 Swirl Networks, Inc. Systems and methods for display of supplemental content responsive to location
EP2804441A1 (en) 2013-05-15 2014-11-19 Alcatel Lucent Network nodes and methods
US9585134B2 (en) * 2013-12-13 2017-02-28 Sharp Kabushiki Kaisha Systems and methods for multi-connectivity operation
US9444819B2 (en) 2014-01-16 2016-09-13 International Business Machines Corporation Providing context-based visibility of cloud resources in a multi-tenant environment
US9497624B2 (en) * 2014-10-30 2016-11-15 Alcatel-Lucent Usa Inc. Connectionless wireless access
US10097995B2 (en) 2015-07-12 2018-10-09 Qualcomm Incorporated Network architecture and security with encrypted network reachability contexts
US10091649B2 (en) 2015-07-12 2018-10-02 Qualcomm Incorporated Network architecture and security with encrypted client device contexts

Also Published As

Publication number Publication date
JP2020129805A (ja) 2020-08-27
EP3429246A3 (en) 2019-04-10
JP2018526869A (ja) 2018-09-13
US20180332469A1 (en) 2018-11-15
KR102441359B1 (ko) 2022-09-06
BR112018000640A2 (pt) 2018-09-18
TW201705781A (zh) 2017-02-01
KR20180030034A (ko) 2018-03-21
WO2017039777A3 (en) 2017-06-15
ES2837845T3 (es) 2021-07-01
TWI733675B (zh) 2021-07-21
US10091649B2 (en) 2018-10-02
CN107852601A (zh) 2018-03-27
EP3320710A2 (en) 2018-05-16
EP3320710B1 (en) 2020-09-02
EP3429246A2 (en) 2019-01-16
AU2016318200B2 (en) 2020-09-10
US11172357B2 (en) 2021-11-09
CN107852601B (zh) 2021-05-14
US20170013453A1 (en) 2017-01-12
BR112018000640B1 (pt) 2023-12-19
CN113194467A (zh) 2021-07-30
EP3429246B1 (en) 2020-09-16
WO2017039777A2 (en) 2017-03-09
AU2016318200A1 (en) 2017-12-07
ES2835056T3 (es) 2021-06-21
JP6692886B2 (ja) 2020-05-13

Similar Documents

Publication Publication Date Title
JP6928143B2 (ja) 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ
JP7246430B2 (ja) ネットワークセキュリティアーキテクチャ
US11716615B2 (en) Network architecture and security with simplified mobility procedure
US10097995B2 (en) Network architecture and security with encrypted network reachability contexts

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200514

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210712

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210805

R150 Certificate of patent or registration of utility model

Ref document number: 6928143

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150