TW201717688A - 不使用核心蜂巢式網路的蜂巢式裝置安全連接技術 - Google Patents

不使用核心蜂巢式網路的蜂巢式裝置安全連接技術 Download PDF

Info

Publication number
TW201717688A
TW201717688A TW105131652A TW105131652A TW201717688A TW 201717688 A TW201717688 A TW 201717688A TW 105131652 A TW105131652 A TW 105131652A TW 105131652 A TW105131652 A TW 105131652A TW 201717688 A TW201717688 A TW 201717688A
Authority
TW
Taiwan
Prior art keywords
key
csp
access
message
secgw
Prior art date
Application number
TW105131652A
Other languages
English (en)
Inventor
法瑞德 亞德蘭吉
馬爾他 馬汀茲泰拉戴爾
山吉薩 班葛利
潘尼特 傑恩
Original Assignee
英特爾Ip公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 英特爾Ip公司 filed Critical 英特爾Ip公司
Publication of TW201717688A publication Critical patent/TW201717688A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本文中所述的技術使服務提供者能夠遠端佈建、連接、及/或管理無線電/網路存取供CIoT裝置(例如:大致不漫遊且大致不動的低功率、靜置CIoT裝置)用,同時有效率使用無線電資源及使用穩固的端對端(E2E)安全性。與一蜂巢式基地台相關聯之一無線電存取網路安全閘道器(RAN-SecGW)可具有連至一雲端服務提供者(CSP)之一應用伺服器(AS)之一網際網路封包(IP)安全隧道,並且可維持一映射表,以便有助於在此AS與一CIoT裝置間建立安全通訊,不用建立一完全的無線電資源控制(RRC)連接,也不用一核心蜂巢式網路輔助。

Description

不使用核心蜂巢式網路的蜂巢式裝置安全連接技術
本發明係有關於不使用核心蜂巢式網路的蜂巢式裝置安全連接技術。
無線行動通訊技術使用各種標準與協定以在一節點(例如一傳輸站)與一無線裝置(例如一行動裝置)之間傳輸資料。使用正交分頻多工(OFDM)用於信號傳輸之標準與協定包括有第三代合夥專案(3GPP)長期演進技術(LTE)、產業群組俗稱為WiMAX (全球互通微波接取)的電機電子工程師學會(IEEE) 802.16標準(例如802.16e、802.16m)、以及產業群組俗稱為WiFi的IEEE 802.11標準。
在3GPP無線電存取網路(RAN) LTE系統中,一演進式通用地面無線電存取網路(E-UTRAN)中之節點乃稱為一eNode B (亦常表示為演進式節點B、增強型節點B、eNodeB或eNB),其與稱為一用戶設備(UE)之無線裝置進行通訊。下行鏈路(DL)傳輸可以是自該節點(例如eNodeB)至該無線裝置(例如UE)之一通訊,而上行鏈路(UL)傳輸可以是自該無線裝置至該節點之一通訊。
在LTE中,資料可經由一實體下行鏈路共享通道(PDSCH)從該eNodeB傳送至此UE。一實體上行鏈路控制通道(PUCCH)可用於確認資料已收到。下行鏈路及上行鏈路或傳輸可使用分時雙工(TDD)或分頻雙工(FDD)。
依據本發明之一實施例,係特地提出一種用戶設備(UE)之裝備,該裝備包含一或多個處理器及記憶體,被組配用以:向該UE處之一收發器傳送信令發送一存取請求訊息至與一無線電存取網路安全閘道器(RAN-SecGW)相關聯之一蜂巢式基地台,該存取請求訊息表明該UE請求與一雲端服務提供者(CSP)建立一安全連接,並且該存取請求訊息包括一指示該CSP之CSP識別符(CSP ID);識別經由該收發器於該UE收到之一存取回應訊息,其中該存取回應包括一鑑別CSP金鑰;使用該鑑別CSP金鑰驗證該CSP之身份;以及向該UE處之該收發器傳送信令發送一存取完成訊息至該蜂巢式基地台以促使在該UE與該CSP之間建立一安全通訊通道。
在揭示並說明一些實施例之前,要瞭解的是,所訴求標的內容並不受限於本文中所述的特定結構、程序運作或材料,而是得以延伸到其均等論述,如所屬技術領域中具有通常知識者將會認知的那樣。亦應瞭解的是,本文中運用的術語只是為了說明特定實例而使用,並非意欲作為限制。不同圖式中相同的參考符號代表相同的元件。流程圖與程序中所提供的數字符號是為了清楚繪示運作而提供,並不必然指出一特定順序或次序。
下文提供技術實施例之一初始概述,並且接著在後面進一步詳細說明特定技術實施例。此初始彙總係意欲輔助讀者更快速理解本技術,但非意欲指認本技術之關鍵特徵或重要特徵,也非意欲限制所訴求標的內容之範疇。
在不久的未來,預期大量(例如數十億個)通常使用低功率且電池容量有限的蜂巢式物聯網(CIoT)裝置將在全球各處連接至蜂巢式網路。這些CIoT裝置中有許多將會進行小型、較不頻繁的無線資料傳輸。可能希望資料是以一安全方式進行傳輸。降低透過空氣信令連接這些CIoT裝置之額外負荷但不損及安全性是一重要目的,為的是要提升網路資源效率及擴縮性,並且使CIoT功率消耗降到最低。
諸如機器間(M2M裝置)及用戶設備(UE)之CIoT裝置可依據各種CIoT使用類別來分類(例如,家庭自動化、工業自動化、以及車間通訊)。這些CIoT裝置可藉由蜂巢式網路營運商或第三方雲端服務提供者(例如Google、Facebook等)來部署及/或管理。「第三方雲端服務提供者」一詞可意指為3GPP範疇外、且部署一或多個應用伺服器之第三方,此應用伺服器典型可駐留於一雲端服務提供者之內部網路裡。此等應用伺服器可經由此第三方雲端服務提供者之一安全閘道器連接至網際網路。對於一蜂巢式網路營運商所部署及/或管理之CIoT裝置(本文中稱為「部署模型A」之一情節),此蜂巢式網路營運商提供對於此等CIoT裝置之無線電/網路存取,並且作為一服務提供者(例如,藉由負責裝置認證及藉由提供訂用為基之服務)。
另一方面,對於一第三方雲端服務提供者所部署及/或管理之CIoT裝置(本文中稱為「部署模型B」之一情節),此蜂巢式網路營運商提供對於此等CIoT裝置之無線電/網路存取,並且此第三方雲端服務提供者大致處理客戶採購、訂用管理、會計、以及為終端客戶提供服務。本文中提供的一些技術適用於部署模型B,其中此第三方服務提供者可向一行動網路營運商(MNO)購買或租賃無線電資源。在部署模型B中,用於與提供此等CIoT裝置用無線電/網路存取之一蜂巢式網路營運商進行通訊之一無線電存取網路可(例如,使用將此MNO之一核心網路旁通之一連接)與此第三方雲端服務提供者直接連接。
本揭露的技術使服務提供者能夠遠端佈建、連接、及/或管理無線電/網路存取供CIoT裝置(例如:大致不漫遊且大致不動的低功率、實質靜置CIoT裝置)用,同時有效率使用無線電資源及使用穩固的端對端(E2E)安全性。具體而言,本技術之技術對於不用建立一完整的無線電資源控制(RRC)連接,而是經由一蜂巢式網路(例如一3GPP網路)在CIoT裝置與應用伺服器之間建立安全連接,提供有效率、低額外負荷機制。這些機制相當適用於小型、不頻繁的資料傳輸,這類資料傳輸在CIoT裝置間與此網路之間出現,並且容許避免傳統的3GPP註冊、附接、及鑑別程序。藉由避免建立一RRC連接,並且限制此傳統用於CIoT裝置之附接及鑑別程序,此核心網路中的網路流量得以降低,且此等CIoT裝置處的功率消耗也得以降低。
圖1為根據一實例繪示一網路結構100之一高階視圖的一簡圖。一UE 102可位於一蜂巢式基地台(BS) 104之一涵蓋區內。UE 102舉例而言,可用於涉及CIoT、機器間(M2M)、以及機器類型通訊(MTC)之通訊。BS 104可與對一服務提供者具有一網際網路封包(IP)安全隧道114之一無線電存取網路安全閘道器(RAN SecGW) 106密切相關聯。在一項實施例中,此服務提供者可以是一雲端服務提供者(CSP) 110。IP安全隧道114不用營運商核心網路108的輔助,也可在UE 102與CSP 110之間實現通訊。RAN SecGW 106可對於UE 102及連接至CSP 110的其他UE維持一映射表。此映射表舉例而言,可包括有UE 102之一UE身份(ID)、CSP 110之一CSP ID、一第2層連接ID、及/或一安全金鑰。BS 104可透過一S1連接112予以連接至一營運商核心網路108。
圖2為根據一實例繪示一網路結構200之另一高階視圖的一簡圖。一UE 202可位於一蜂巢式基地台(BS) 204之一涵蓋區內。UE 202舉例而言,可用於涉及CIoT、機器間(M2M)、以及機器類型通訊(MTC)之通訊。BS 204及一無線電存取網路安全閘道器(RAN SecGW) 206可以是一蜂巢式存取網路236之部分,並且可經由一連接228彼此直接連接。RAN SecGW 206可經由一網際網路封包(IP)安全隧道230連接至一雲端服務提供者(CSP) 238之一服務/安全閘道器(GW) 216。IP安全隧道230不用營運商核心網路234的輔助,也可在UE 202與CSP 238的(多個)應用伺服器218之間實現通訊。由於IP安全隧道230的關係,蜂巢式存取網路236 (其可藉由一行動網路營運商(MNO)來管理)不用營運商核心網路234的輔助,也可直接連接至CSP 238。再者,服務/安全GW 216可具有連至(多個)應用伺服器218之一安全連接232 (例如,IP安全隧道230之一有效延伸)。CSP 238亦可具有一服務訂用管理器220。
BS 204可經由一S1連接224予以連接至蜂巢式核心網路234之一移動性管理實體(MME) 208。MME 208可具有連至歸屬用戶伺服器212之一連接222。蜂巢式核心網路234亦可包含有一鑑別中心(AUC) 210及(多個)應用伺服器(AS) 214。RAN SecGW 206可藉由一IP安全隧道226安全地連接至AS 214。
RAN SecGW 206可用於若干用途。舉例而言,RAN SecGW 206可終止從UE 202送往CSP 238之(多個)應用伺服器218的第2層訊息,然後透過IP安全隧道230將此等訊息轉發至(多個)應用伺服器218。另外,RAN SecGW 206可終止自(多個)應用伺服器218送往UE 202之訊息,並且將這些訊息轉發至BS 204。RAN SecGW 206亦可對於UE 202及連接至CSP 238的其他UE維持一映射表。此映射表舉例而言,可包括有UE 202之一UE身份(ID)、CSP 238之一CSP ID、一第2層連接ID、及/或一安全金鑰。就本揭露的目的而言,「第2層」可意指為開放系統互連(OSI)模型之資料鍵路層,或此資料鍵路層內之一或多個子層,例如媒體存取控制(MAC)層及邏輯鏈路控制(LLC)層。
儘管圖2將RAN SecGW 206展示為位在蜂巢式存取網路236內,其他組態仍是有可能的。舉例而言,一RAN SecGW可運作為由多個蜂巢式基地台所共享之一獨立節點,例如演進式節點B (eNB)。一RAN SecGW亦可運作為連接至一無線電存取網路(RAN)及/或由多個RAN所共享之一獨立節點。一RAN SecGW亦可以是一邏輯實體或功能,用於或界定於一舊有蜂巢式網路節點內,例如一LTE伺服閘道器。若此RAN SecGW相對於與其相關聯之一蜂巢式BS位於遠端處,則可在此蜂巢式BS與此RAN SecGW之間使用一附加連接,但不會脫離本揭露之範疇。然而,本文中包括的圖式為了簡便起見,將此RAN SecGW描繪為與此蜂巢式BS共置。
如圖2所示,蜂巢式核心網路234可託管(多個)應用伺服器214,而雲端服務提供者238可託管(多個)應用伺服器218。UE 202可藉由提供CSP 238之一身份(ID),請求與(多個)應用伺服器218建立一安全通訊通道。在UE 202與(多個)應用伺服器218之間查找一安全通訊通道時,部署模型B適用於使CSP 238控制並授權對於UE 202進行網路存取,藉此使蜂巢式存取網路236及UE 202能夠建立一安全對話(例如,利用適當的鑑別及完整性),不用涉及核心蜂巢式網路234。在UE 202與(多個)應用伺服器214之間查找一安全通訊通道時,可旁通MME 208及歸屬用戶伺服器(HSS) 212。在一些實施例中,(多個)應用伺服器214亦可具有其自有的服務/安全GW。
在本揭露的實例中,當一應用伺服器由一第三方CSP託管時,此CSP可負責鑑別及授權一UE企圖建立與此CSP之一安全連接,不用涉及一核心蜂巢式網路。這與使用一核心蜂巢式網路之一HSS鑑別此UE的舊有機制形成對比。
一蜂巢式無線電存取網路可查找來自此CSP之輸入,以便判斷此蜂巢式無線電存取網路是否容許來自此UE之未來傳入訊息。另外,此蜂巢式無線電存取網路可查找附加資訊,諸如一優先權有關之指示、一訊務/通訊差異化/特性化、或一存取機率,以在此CSP或此UE本身出現網路擁擠套用。此蜂巢式網路可基於接收自此CS之一指示,容許「簡單的」UE存取。
在一項實施例中,此UE可藉由此CSP預組配以經由此安全連接與此CSP進行通訊。替代地,此CSP可藉由此裝置製造商利用安全金鑰及裝置資訊來組配,其可用於形成此CSP、及/或經由此安全連接與此CSP進行通訊。下文將更完整說明這些選項。E2E 及無線電存取安全性的選項1 :UE 未藉由此CSP 預組配
圖3為繪示可用於(例如利用鑑別及機密性)在一UE 302及與一雲端服務提供者(CSP) 310相關聯之一應用伺服器(AS) 304之間建立端對端(E2E)安全性之一例示性程序集合的一高階簡圖。在圖3中,假設UE 302已事先藉由CSP 310預組配而包括有一密鑰(SK)、CSP資訊(例如此CSP之一身份)、裝置資訊、及/或裝置安全資訊。裝置資訊舉例而言,可包括有一裝置模型、一序號、以及一製造商身份(ID)。裝置安全資訊舉例而言,可包括有一公開/私用金鑰對及連至一網站之一統一資源定位符(URL),此網站含有UE 302用之一憑證。另外,在圖3中,假設UE 302為移動性及漫遊支援屬於多餘之相對靜置裝置。
可在一蜂巢式基地台(BS)及RAN SecGW 306與CSP 310之一CSP安全閘道器(CSP SecGW) 308之間預建立一網際網路協定(IP)安全隧道314。箭頭318指出UE 302可切換為接通或進入一作動模式。箭頭320代表CSP 310之應用伺服器(AS) 120可取回並且驗證UE 302用之一憑證。
箭頭322代表一第2層存取請求訊息,其可發送自UE 302,並且可接收於BS及RAN SecGW 306。箭頭322所代表之第2層存取請求訊息可包括有一唯一UE身份(ID)、裝置資訊、以及CSP 310之一CSP ID。此CSP ID之含納可指出UE 302正企圖與CSP 310建立一安全連接。此存取請求訊息可受到一訊息完整性檢查(MIC)法保護,其使用一密鑰(SK)及一隨機數進行新拌(freshness)。
箭頭324代表BS及RAN SecGW 306可新增或更新UE 302在一映射表中之一登入項。舉例而言,UE 302在此映射表中之此登入項將此UE ID映射至一第2層(L2)連接ID。此映射表亦可包括有此存取請求訊息「擱置中」之一連接狀態。
箭頭326代表此存取請求訊息可從該BS及RAN SecGW 306轉發至與CSP 310相關聯之CSP安全閘道器(SecureGW) 308。箭頭328代表此存取請求訊息可轉發自CSP SecureGW 308並可轉發至與CSP 310相關聯之應用伺服器(AS) 304。
此存取請求訊息之評估一成功,AS 304便建立並發送以箭頭332代表之一存取回應訊息(亦即最終送往UE 302)至CSP SecGW 308。此存取回應訊息可包括有一無線電存取金鑰、此無線電存取金鑰用之一隨機數、及端對端(E2E)對話金鑰、以及此E2E對話金鑰用之一隨機數。此無線電存取金鑰可使用此SK、此無線電存取金鑰用之此隨機數、以及當作一金鑰推導函數(KDF)輸入之其他輸入參數來推導。此E2E對話金鑰可使用此SK、此E2E對話金鑰用之此隨機數、以及當作此KDF輸入之其他輸入參數來推導。最後,此無線電存取金鑰用之隨機數、及此E2E對話金鑰用之隨機數將會隨著其他輸入參數予以遞送至UE 302,但不遞送此無線電存取金鑰及此E2E對話金鑰。UE 302已具有此SK,接著可將此無線電存取金鑰與此E2E對話金鑰用之隨機數、及其他輸入參數當作此KDF用之輸入使用,以便推導此無線電存取金鑰及此E2E對話金鑰。另外,此存取回應訊息可包括有一授權CSP金鑰(推導自此CSK),以便鑑別連至UE 302之CSP 310。此存取回應可任選地包括有UE 302用之優先權資訊。
箭頭334代表此存取回應訊息可自CSP SecGW 308轉發至BS及RAN SecGW 306。箭頭336代表BS及RAN SecGW 306可基於此存取回應訊息中包括之任何優先權資訊,更新UE 302在此映射表中之登入項。BS及RAN SecGW 306亦可將一連接ID及/或一第2層ID插入此存取回應訊息以區別從UE 302至AS 304之多個對話。
箭頭338代表BS及RAN SecGW 306可轉發此存取回應訊息至UE 302。箭頭340代表UE 302可驗證此授權CSP金鑰,然後使用此SK、此無線電存取金鑰與此E2E對話金鑰用之隨機數、及其他輸入參數當作此KDF用之輸入,以便推導此無線電存取金鑰及此E2E對話金鑰。
箭頭344代表可將一存取完成訊息從UE 302發送至BS及RAN SecGW 306。此存取完成訊息可受到使用此無線電存取金鑰之一訊息完整性檢查(MIC)法保護。一收到此存取完成訊息,BS及RAN SecGW 306便可更新UE 302在此映射表中之登入項,以指出已授與對UE 302之存取權,並指出此連接狀態不再擱置中。箭頭346代表此存取完成訊息可自BS及RAN SecGW 306轉發至CSP SecGW 308。箭頭348代表此存取完成訊息可自CSP SecGW 308轉發至AS 304。
雙向箭頭350代表一旦在AS 304收到此存取完成訊息,UE 302與BS及RAN SecGW 306之間便已將一雙向安全通道(例如,具有機密性及/或完整性)建立完成。雙向箭頭352代表一旦在AS 304收到此存取完成訊息,UE 302與CSP 310之AS 304之間也已將一雙向安全通道(例如,具有機密性及/或完整性)建立完成。這些雙向安全通道一旦建立,UE 302便可安全地發送通知至AS 304,並且AS 304可安全地發送命令至UE 302。E2E 及無線電存取安全性的選項2 :此CSP 未預組配UE
圖4為繪示可用於(例如利用鑑別及機密性)在一UE 402及與一雲端服務提供者(CSP) 410相關聯之一應用伺服器(AS) 404之間建立端對端(E2E)安全性之另一例示性程序集合的一高階簡圖。在圖4中,假設UE 402已事先藉由一製造商(而不是CSP 410)預組配而包括有一密鑰(SK)、CSP資訊(例如此CSP之一身份)、裝置資訊、及/或裝置安全資訊。裝置資訊舉例而言,可包括有一裝置模型、一序號、以及一製造商身份(ID)。裝置安全資訊舉例而言,可包括有一公開/私用金鑰對及連至一網站之一統一資源定位符(URL),此網站含有UE 402用之一憑證。另外,在圖4中,假設UE 402為移動性及漫遊支援屬於多餘之相對靜置裝置。
可在一蜂巢式基地台(BS)及RAN SecGW 406與CSP 410之一CSP安全閘道器(CSP SecGW) 408之間預建立一網際網路協定(IP)安全隧道414。一CSP行動應用程式412可自UE 402讀取一統一資源定位符(URL) (例如,若CSP行動應用程式412正在此UE附近之一行動裝置上執行,則經由近場通訊(NFC)來讀取)。此URL可含有指向一製造商憑證儲存庫及裝置資訊之一指標。箭頭416指出CSP行動應用程式412可發送此裝置資訊至CSP 410之應用伺服器(AS) 404。箭頭418指出UE 402可切換為接通或進入一作動模式。箭頭420代表CSP 410之應用伺服器(AS) 120可接收一憑證(例如,接收自此製造商之一憑證儲存庫伺服器),並且驗證UE 402用之憑證。
箭頭422代表一第2層存取請求訊息,其可發送自UE 402,並且可接收於BS及RAN SecGW 406。箭頭422所代表之第2層存取請求訊息可包括有一唯一UE身份(ID)、裝置資訊、以及CSP 410之一CSP ID。此CSP ID之含納可指出UE 402正企圖與CSP 410建立一安全連接。此存取請求訊息可受到一訊息完整性檢查(MIC)法保護,其使用一密鑰(SK)及一隨機數進行新拌(freshness)。
箭頭424代表BS及RAN SecGW 406新增或更新UE 402在一映射表中之一登入項。舉例而言,UE 402在此映射表中之此登入項將此UE ID映射至一第2層(L2)連接ID。此映射表亦可包括有此存取請求訊息「擱置中」之一連接狀態。
箭頭426代表此存取請求訊息可從該BS及RAN SecGW 406轉發至與CSP 410相關聯之CSP安全閘道器(SecureGW) 408。箭頭428代表此存取請求訊息可轉發自CSP SecureGW 408並可轉發至與CSP 410相關聯之應用伺服器(AS) 404。箭頭430代表AS 404可透過一安全連接自UE 402之製造商取回此SK。透過介於AS 404與此製造商(例如與此製造商相關聯之一伺服器)之間的安全連接,CSP 410可提供此存取請求訊息(例如,其受MIC保護)之一酬載,以便證實此存取請求訊息源自於UE 402。在一些實例中,CSP行動應用程式412亦可經由一NFC通道將此CSP ID寫入UE 402。
此存取請求訊息之評估一成功,AS 404便建立並發送以箭頭432代表之一存取回應訊息(亦即最終送往UE 402)至CSP SecGW 408。此存取回應訊息可包括有一無線電存取金鑰、此無線電存取金鑰用之一隨機數、及端對端(E2E)對話金鑰、以及此E2E對話金鑰用之一隨機數。此無線電存取金鑰可使用此SK、此無線電存取金鑰用之此隨機數、以及當作一金鑰推導函數(KDF)輸入之其他輸入參數來推導。此E2E對話金鑰可使用此SK、此E2E對話金鑰用之此隨機數、以及當作此KDF輸入之其他輸入參數來推導。最後,此無線電存取金鑰用之隨機數、及此E2E對話金鑰用之隨機數將會隨著其他輸入參數予以遞送至UE 402,但不遞送此無線電存取金鑰及此E2E對話金鑰。UE 402已具有此SK,接著可將此無線電存取金鑰與此E2E對話金鑰用之隨機數、及其他輸入參數當作此KDF用之輸入使用,以便推導此無線電存取金鑰及此E2E對話金鑰。另外,此存取回應訊息可包括有一授權CSP金鑰(推導自此CSK),以便鑑別連至UE 402之CSP 410。此存取回應可任選地包括有UE 402用之優先權資訊。
箭頭434代表此存取回應訊息可自CSP SecGW 408轉發至BS及RAN SecGW 406。箭頭436代表BS及RAN SecGW 406可基於此存取回應訊息中包括之任何優先權資訊,更新UE 402在此映射表中之登入項。BS及RAN SecGW 406亦可將一連接ID及/或一第2層ID插入此存取回應訊息以區別從UE 402至AS 404之多個對話。
箭頭438代表BS及RAN SecGW 406可轉發此存取回應訊息至UE 402。箭頭440代表UE 402可驗證此授權CSP金鑰,然後使用此SK、此無線電存取金鑰與此E2E對話金鑰用之隨機數、及其他輸入參數當作此KDF用之輸入,以便推導此無線電存取金鑰及此E2E對話金鑰。
箭頭444代表可將一存取完成訊息從UE 402發送至BS及RAN SecGW 406。此存取完成訊息可受到使用此無線電存取金鑰之一訊息完整性檢查(MIC)法保護。一收到此存取完成訊息,BS及RAN SecGW 406便可更新UE 402在此映射表中之登入項,以指出已授與對UE 402之存取權,並指出此連接狀態不再擱置中。箭頭446代表此存取完成訊息可自BS及RAN SecGW 406轉發至CSP SecGW 408。箭頭448代表此存取完成訊息可自CSP SecGW 408轉發至AS 404。
雙向箭頭450代表一旦在AS 404收到此存取完成訊息,UE 402與BS及RAN SecGW 406之間便已將一雙向安全通道(例如,具有機密性及/或完整性)建立完成。雙向箭頭452代表一旦在AS 404收到此存取完成訊息,UE 402與CSP 410之AS 404之間也已將一雙向安全通道(例如,具有機密性及/或完整性)建立完成。這些雙向安全通道一旦建立,UE 402便可安全地發送通知至AS 404,並且AS 404可安全地發送命令至UE 402。
在圖1至5中,介於此蜂巢式存取網路與此外部CSP之間的安全鏈路(例如IP安全隧道114、226、230、314、414、及515)可在執行本文中所述之鑑別機制之前先就定位(例如導因於介於此CSP與此蜂巢式存取網路之間的一預協議)。此蜂巢式存取網路可獲悉將會使用此UE之一連接ID (Conn_ID)映射此UE至此CSP應用程式。因此,此蜂巢式存取網路可發送適當的資訊至會在標頭內包括此資訊之一特定CSP SecGW。一「BS+RAN-SecGW位址」可以是此標頭 之部分,或可包括於此訊息之主文內。若一MME未涉及到此架構,可修改閒置模式行為的主要原因在於,此BS及此RAN SecGW或此CSP SecGW可假設適用之播叫功能。
在圖3至4中,一雙向安全通訊一旦建立完成(舉例如雙向箭頭352及452),便可在一UE與一AS之間交換安全通訊。在一上行鏈路通訊中,此UE可建立帶有來源及目的地MAC位址之一封包,並且在完成鑑別之後發送此封包至此AS。為了使此UE接收下行鏈路通訊,若此UE已經移動胞元且處於閒置模式,則此UE可將其位置更新成帶有其舊胞元資訊之新胞元,而伺服此新胞元之一BS可自此胞元之BS接收下行鏈路資料,其中此UE於進行鑑別時遭到定位。替代地,此CSP SecGW亦可跨多個胞元播叫此UE。此UE接著可使用本文中所述的鑑別機制連接以接收下行鏈路資料。金鑰再新政策
圖5為根據一實例繪示一UE 502在一連接模式中進行一金鑰再新協定交換的一高階簡圖。BS及RAN SecGW 506所維持之一映射表可含有諸如UE 502等UE在連接模式中之一或多個記錄。此映射表中之各記錄可包括有當基地台(BS)及RAN SecGW 506與CSP 510之一CSP安全閘道器(CSP SecGW) 508之間建立一網際網路協定(IP)安全隧道514時,雲端服務提供者(CSP) 510所組配之一金鑰安全政策所支配之一金鑰過期時間。
箭頭516代表一金鑰再新請求,其包括有UE 502之一身份(ID),可在與UE 502相關聯之一映射表記錄之一金鑰過期時間之前,予以自基地台(BS)及RAN SecGW 506發送至CSP 510之CSP SecGW 508。箭頭518代表可將此金鑰再新請求轉發至CSP 510之應用伺服器(AS) 504。
箭頭520代表AS 504可發送一金鑰再新回應訊息至CSP SecGW 508。此金鑰再新回應訊息可包括有UE 502之UE身份(ID)、CSP 510之一CSP ID、一無線電存取金鑰、此無線電存取金鑰之一隨機數、一端對端(E2E)對話金鑰、以及此E2E對話金鑰用之一隨機數。箭頭522代表CSP SecGW 508可將此金鑰再新回應訊息轉發至BS及RAN SecGW 506。箭頭524代表BS及RAN SecGW 506可安裝此無線電存取金鑰,並且基於此金鑰再新回應訊息更新UE 502在此映射表中的記錄。
箭頭526代表BS及RAN SecGW 506可發送一金鑰更新訊息至UE 502。此金鑰更新訊息可包括有此UE ID、一第2層連接ID、此無線電存取金鑰用之隨機數、以及此E2E對話金鑰用之隨機數。箭頭528代表UE 502可藉由使用此無線電存取金鑰用之隨機數、及一密鑰(SK)當作一金鑰推導函數(KDF)用之輸入來推導此無線電存取金鑰,並且代表UE 502可藉由使用此E2E對話金鑰用之隨機數及此密鑰(SK)當作此金鑰推導函數(KDF)用之輸入來推導此E2E對話金鑰。
箭頭530代表UE 502可發送一金鑰再新完成訊息至BS及RAN SecGW 506。此金鑰再新完成訊息可受到此無線電存取金鑰及此E2E對話金鑰保護。箭頭532代表BS及RAN SecGW 506可將此金鑰再新完成訊息轉發至CSP SecGW 508。箭頭534代表CSP SecGW 508可驗證UE 502已成功安裝此無線電存取金鑰。
箭頭536代表CSP SecGW 508可將此金鑰再新完成訊息轉發至CSP 510之AS 536。箭頭538代表AS 536可驗證UE 502已成功安裝此E2E對話金鑰。
在其他實例中,一金鑰再新協定交換可藉由一AS來啟動,而不是藉由一RAN SecGW來啟動。然而,由於此RAN SecGW獲悉一UE何時處於連接模式,較佳的情況可以是此金鑰再新協定交換乃藉由此RAN SecGW來啟動(舉例如圖5所示)。附接信令程序以透過空氣在M2M/IoT/UE 裝置與eNB 之間攜載訊息
為了實現本揭露之簡化鑑別機制,可考慮的信令選項有數個。附接時,若一UE感知到待與一應用伺服器建立一直接連接(例如,基於此UE實作態樣或基於一上層指示),則此UE可使用本文中所述的其中一種機制來發送帶有適當資訊元素之一存取請求訊息。此存取請求訊息可當作一訊息已在一現有3GPP長期演進(LTE)架構標準中所界定之部分來發送。
替代地,此存取請求訊息可包括於一專屬訊息中。諸如本文中所述的鑑別機制可在進行附接以存取此網路時使用專屬訊息來支援,並且可後接適用的安全性方法。此等專屬訊息亦可後接傳統的LTE附接交換程序。由於本揭露之機制中並未設定或使用無線電承載體,可在一逐封包基礎上,透過第2層(例如MAC層)交換此資料。此UE可依照與內可包括有一建立原因之一無線電資源控制(RRC)「RRC連接請求」訊息所使用類似的方式來請求存取。另外,此專屬訊息可指出此UE偏好透過此RAN SecGW連接至此應用伺服器(AS)。
此專屬訊息舉例而言,可遵循隨機存取通道(RACH)交換(前序編碼及隨機存取回應(RAR))。為此目的,可界定某些專屬前序編碼。從而可在初始訊息中請求上行鏈路(UL)授與,以支援發送帶有此等資訊元素之附接請求而能夠連接至一CSP內之一AS。初始連接一經設定(使用以上所界定的其中一種機制),便可在原始連接嘗試之後,將一UE ID及/或一第2層連接ID與此UE映射以供後續使用(例如,在此UE造訪另一胞元或進入閒置模式再回到連接模式的情況下)。亦可在此UE與此網路之間界定並且共享界定安全有效性持續時間之有效性計時器。
舉使用專屬訊息之一替代例說明,現有RRC訊息亦可當作使用者平面訊息來發送。由於這些現有RRC訊息終止於此BS,透過第2層(例如MAC層)發送這些現有RRC訊息並不會造成任何困難。當此應用層經由經映射用以使用此網路(舉例如圖1)之某些應用程式發送一觸發時,可套用此替代例。此觸發可包括帶有某些標頭參數之存取請求訊息,接著在此MAC層中利用此等標頭參數進行一授與請求、以及發送此資訊至此BS。
圖6根據一實例繪示一UE或CIoT裝置之功能600。功能600可實施成一種方法,或此功能可當作指令在一機器上執行(例如,藉由一或多個處理器,諸如一基頻處理器),其中此等指令乃包括於至少一個電腦可讀儲存媒體(例如,一非暫時性電腦可讀儲存媒體)上。
如程序塊610所示,功能600可包括有向該UE處之一收發器傳送信令發送一存取請求訊息至與一無線電存取網路安全閘道器(RAN-SecGW)相關聯之一蜂巢式基地台,該存取請求訊息指出該UE請求與一雲端服務提供者(CSP)建立一安全連接,並且該存取請求訊息包括有指出該CSP之一CSP識別符(CSP ID)。
該存取請求訊息可包括有下列一或多者:該UE之一唯一ID、與該UE有關之裝置資訊、或一建立原因。該RAN-SecGW與該CSP可經由一網際網路封包(IP)安全隧道連接。功能600亦可包括有向該收發器傳送信令在一資料鍵路層(第2層)之一媒體存取控制層中、或在一無線電資源控制(RRC)訊息中發送該存取請求訊息。
功能600亦可包括有使用一訊息完整性檢查(MIC)技術、一密鑰(SK)、及一隨機數加密該存取請求訊息,其中該鑑別CSP金鑰乃推導自該SK;以及向該UE處之該收發器傳送信令以一加密形式發送該存取請求訊息至該蜂巢式基地台。
功能600亦可包括有使用一金鑰推導函數(KDF)、並使用該無線電存取金鑰用之該隨機數及該SK當作該KDF用之參數來推導該無線電存取金鑰;以及使用該KDF、並使用該E2E對話金鑰用之該隨機數及該SK當作該KDF用之參數來推導該E2E對話金鑰。
該UE可事先配合下列一或多者藉由該CSP來組配:該SK、裝置資訊、或與該CSP相關聯之網路營運商之一識別符(ID)清單。該UE亦可事先配合下列至少一者藉由一製造商來組配:該SK或裝置資訊。
如程序塊620所示,功能600可包括有識別經由該收發器於該UE收到之一存取回應訊息,其中該存取回應包括有一鑑別CSP金鑰。
如程序塊630所示,功能600可包括有使用該鑑別CSP金鑰驗證該CSP之身份。
如程序塊640所示,功能600可包括有向該UE處之該收發器傳送信令發送一存取完成訊息至該蜂巢式基地台以促進在該UE與該CSP之間建立一安全通訊通道。另外,功能600可包括有使用一訊息完整性檢查(MIC)技術及該無線電存取金鑰加密該存取完成訊息;以及向該UE處之該收發器傳送信令以一加密形式發送該存取完成訊息至該蜂巢式基地台。
圖7根據一實例繪示蜂巢式基地台之功能700。功能700可實施成一種方法,或此功能可當作指令在一機器上執行(例如,藉由一或多個處理器),其中此等指令乃包括於至少一個電腦可讀儲存媒體(例如,一非暫時性電腦可讀儲存媒體)上。
如程序塊710所示,功能700可包括有識別接收自一用戶設備(UE)之一存取請求訊息,該存取請求訊息指出該UE請求與一雲端服務提供者(CSP)建立一安全連接、以及包括有指出該CSP之一CSP識別符(CSP ID)。
如程序塊720所示,功能700可包括有向與該RAN-SecGW相關聯之網路連結電路系統傳送信令經由與該蜂巢式基地台相關聯之一核心網路外之一網際網路封包(IP)安全隧道發送該存取請求訊息至該CSP之一應用伺服器(AS)。
功能700亦可包括有向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由介於該RAN-SecGW及與該CSP相關聯之一CSP安全閘道器(CSP-SecGW)之間的一網際網路封包(IP)安全隧道發送該存取請求訊息至該AS;以及向與該RAN-SecGW相關聯之該網路連結電路系統 傳送信令經由該IP安全隧道發送該存取完成訊息至該AS。
如程序塊730所示,功能700可包括有回應於該UE用之該存取請求訊息識別發送自該AS之一存取回應訊息,其中該存取回應包括有一鑑別CSP金鑰。
如程序塊740所示,功能700可包括有向與該蜂巢式基地台相關聯之一收發器傳送信令發送該存取回應訊息至該UE。
如程序塊750所示,功能700可包括有回應於該存取回應訊息識別發送自該UE之一存取完成訊息。
如程序塊760所示,功能700可包括有基於該存取完成訊息修改該UE用之一映射表,以便指出已在該UE與該AS之間建立一安全通訊對話,其中該RAN-SecGW使用該映射表在該UE與該AS之間路由安排訊息。
功能700亦可包括有基於該存取回應訊息修改該UE用之該映射表以指出介於該UE與該AS之間的安全存取擱置中。該映射表可包括有下列一或多者:該UE之一資料鍵路層(第2層)位址、該CSP ID、或該UE用之一UE識別符(UE ID)。
功能700亦可包括有指定一連接識別符(ID)及一資料鍵路層(第2層)識別符(ID)供該安全通訊對話用;以及向與該蜂巢式基地台相關聯之該收發器傳送信令隨同該存取回應訊息發送該連接ID及該第2層ID至該UE。
功能700亦可包括有識別該安全通訊對話在該映射表中之一金鑰過期時間;向該網路連結電路系統傳送信令在達到該金鑰過期時間之前,發送一金鑰再新請求訊息至該AS供該安全通訊對話用;識別回應於該金鑰再新請求訊息發送自該AS之一金鑰再新回應訊息;基於該金鑰再新回應訊息更新該映射表;向與該蜂巢式基地台相關聯之該收發器傳送信令發送一金鑰更新訊息至該UE;識別回應於該金鑰更新訊息發送自該UE之一金鑰再新完成訊息;以及向該網路電路系統傳送信令發送該金鑰再新完成訊息至該AS。
該金鑰再新回應訊息可包括有一無線電存取金鑰、以及該無線電存取金鑰用之一隨機數。功能700亦可包括有安裝該無線電存取金鑰;以及向與該蜂巢式基地台相關聯之該收發器傳送信令隨同該金鑰更新訊息發送該無線電存取金鑰用之該隨機數至該UE。該金鑰再新回應訊息亦可包括有下列一或多者:該CSP ID、該UE用之一UE識別符(UE ID)、或一端對端(E2E)對話金鑰用之一隨機數。
該金鑰更新訊息可包括有下列一或多者:該UE用之一UE識別符(ID)、或一端對端(E2E)對話金鑰用之一隨機數、或一連接識別符(ID)。
如程序塊770所示,功能700可包括有向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由該IP安全隧道發送該存取完成訊息至該AS。
圖8根據一實例繪示與一雲端服務提供者(CSP)相關聯之一應用伺服器(AS)之功能800。功能800可實施成一種方法,或此功能可當作指令在一機器上執行(例如,藉由一或多個處理器),其中此等指令乃包括於至少一個電腦可讀儲存媒體(例如,一非暫時性電腦可讀儲存媒體)上。
如程序塊810所示,功能800可包括有識別發送自與一蜂巢式基地台相關聯之一無線電存取網路安全閘道器(RAN-SecGW)之一存取請求訊息,該存取請求訊息指出一UE請求與該CSP建立一安全連接。
如程序塊820所示,功能800可包括有使用一金鑰推導函數(KDF)、並使用與該無線電存取金鑰相關聯之一隨機數及一密鑰(SK)當作該KDF用之參數來推導一無線電存取金鑰。
函數800亦可包括有向與該AS相關聯之該網路連結電路系統傳送信令經由一安全網路連接發送該SK用之一請求至與該UE之一製造商相關聯之一伺服器。
如程序塊830所示,功能800可包括有使用該KDF、並使用與該E2E對話金鑰相關聯之一隨機數及該SK當作該KDF用之參數來推導一端對端(E2E)對話金鑰。
如程序塊840所示,功能800可包括有向與該AS相關聯之網路連結電路系統傳送信令回應於該存取請求訊息發送一存取回應訊息至該RAN-SecGW,其中該存取回應包括有該無線電存取金鑰、該無線電存取金鑰用之該隨機數、該E2E對話金鑰、以及該對話金鑰用之該隨機數。
函數800亦可包括有向與該AS相關聯之該網路連結電路系統傳送信令經由介於該AS與該RAN-SecGW之間的一網際網路封包(IP)安全隧道發送該存取回應訊息至該RAN-SecGW。另外,函數800亦可包括有回應於該存取回應訊息識別自該UE發送至該AS之一存取完成訊息;以及向與該AS相關聯之該網路連結電路系統傳送信令使用已基於下列一或多者於該AS與該UE之間建立的一安全連接發送一通訊至該UE:該存取請求訊息、該存取回應訊息、或該存取完成訊息。
圖9提供此行動裝置之一例示圖,例如一用戶設備(UE)、一行動電台(MS)、一行動無線裝置、一行動通訊裝置、一平板電腦、一手持話機、一CIoT裝置、或其他類型之無線裝置。此行動裝置可包括有一或多個天線,其被組配用以與一節點、巨集節點、低功率節點(LPN)、或傳輸站進行通訊,例如一基地台(BS)、一演進式節點B (eNB)、一基頻處理單元(BBU)、一遠距無線電頭端(RRH)、一遠距無線電設備(RRE)、一中繼站(RS)、一無線電設備(RE)、或其他類型之無線廣域網路(WWAN)接取點。此行動裝置可被組配用以使用例如,但不限於3GPP LTE、WiMAX、高速封包接取(HSPA)、藍牙及WiFi之至少一種無線通訊標準來進行通訊。此行動裝置可使用各無線通訊標準之分離天線或多種無線通訊標準之共享天線來進行通訊。此行動裝置可在一無線區域網路(WLAN)、一無線個人區域網路(WPAN)及/或一WWAN中進行通訊。
此行動裝置亦可包含有一無線數據機。此無線數據機舉例而言,可包含有一無線無線電收發器與基頻電路系統(例如一基頻處理器)。在一項實例中,此無線數據機可調變此行動裝置經由此一或多個天線傳送之信號、以及解調變此行動裝置經由此一或多個天線接收之信號。
此行動裝置可包括有一儲存媒體。在一項態樣中,此儲存媒體可與應用處理器、圖形處理器、顯示器、非依電性記憶體連接埠、及/或內部記憶體相關聯及/或進行通訊。在一項態樣中,此應用處理器與圖形處理器為儲存媒體。
圖9亦提供一麥克風及一或多個揚聲器之一例示,其可用於此行動裝置之音訊輸入及輸出。此顯示螢幕可以是一液晶顯示(LCD)螢幕、或其他類型之顯示螢幕,例如一有機發光二極體(OLED)顯示器。此顯示螢幕可組配為一觸控螢幕。此觸控螢幕可使用電容性、電阻性、或另一種類型的觸控螢幕技術。一應用處理器及一圖形處理器可耦合至內部記憶體以提供處理及顯示功能。一非依電性記憶體連接埠亦可用於對一使用者提供資料輸入/輸出。此非依電性記憶體連接埠亦可用於擴充此行動裝置之記憶體功能。一鍵盤可與此行動裝置整合、或以無線方式連接至此無線裝置以提供附加使用者輸入。亦可使用此觸控螢幕提供一虛擬鍵盤。
圖10提供一用戶設備(UE)裝置1000之一例示圖,例如一無線裝置、一行動電台(MS)、一行動無線裝置、一行動通訊裝置、一平板電腦、一手持話機、一CIoT裝置、或其他類型之無線裝置。UE裝置1000可包括有一或多個天線,其被組配用以與一節點或傳輸站進行通訊,例如一基地台(BS)、一演進式節點B (eNB)、一基頻單元(BBU)、一遠距無線電頭端(remote radio head, RRH)、一遠距無線電設備(remote radio equipment, RRE)、一中繼站(RS)、一無線電設備(RE)、一遠距無線電單元(remote radio unit, RRU)、一中央處理模組(CPM)、或其他類型之無線廣域網路(WWAN)接取點。此UE裝置1000可被組配用以使用例如,但不限於3GPP LTE、WiMAX、高速封包接取(HSPA)、藍牙及WiFi之至少一種無線通訊標準來進行通訊。UE裝置1000可使用各無線通訊標準之分離天線或多種無線通訊標準之共享天線來進行通訊。UE裝置1000可在一無線區域網路(WLAN)、一無線個人區域網路(WPAN)及/或一WWAN中進行通訊。
在一些實施例中,UE裝置1000可包括有至少如所示耦合在一起的應用電路系統1002、基頻電路系統1004、射頻(RF)電路系統1006、前端模組(FEM)電路系統1008及一或多個天線1010。
應用電路系統1002可包括有一或多個應用處理器。舉例而言,應用電路系統1002可包括有諸如,但不限於一或多個單核心或多核心處理器之電路系統。此(等)處理器可包括有通用處理器及專屬處理器(圖形處理器、應用處理器等)之任何組合。此等處理器可與記憶體/儲存器(例如儲存媒體1012)耦合及/或可將其包括,並且可被組配用以執行此記憶體/儲存器(例如儲存媒體1012)中所儲存的指令以允許各種應用程式及/或作業系統在此系統上運行。
基頻電路系統1004可包括有諸如,但不限於一或多個單核心或多核心處理器之電路系統。基頻電路系統1004可包括有一或多個基頻處理器及/或控制邏輯以處理從RF電路系統1006之一接收信號路徑收到之基頻信號,並且為RF電路系統1006之一傳送信號路徑產生基頻信號。基頻處理電路系統1004可與應用電路系統1002介接,用於產生並處理此等基頻信號,還用於控制RF電路系統1006之運作。舉例而言,在一些實施例中,基頻電路系統1004可包括有一第二代(2G)基頻處理器1004a、第三代(3G)基頻處理器1004b、第四代(4G)基頻處理器1004c、及/或其他現存世代、開發中或未來待開發世代(例如第五代(5G)、6G等)之(多個)其他基頻處理器1004d。基頻電路系統1004 (例如基頻處理器1004a-d之一或多者)可處理允許經由RF電路系統1006與一或多個無線電網路進行通訊之各種無線電控制功能。此等無線電控制功能可包括有,但不限於信號調變/解調變、編碼/解碼、射頻偏移等。在一些實施例中,基頻電路系統1004的調變/解調變電路系統可包括有快速傅立葉轉換(FFT)、預編碼、及/或星座圖映射/解映射功能。在一些實施例中,基頻電路系統1004的編碼/解碼電路系統可包括有卷積、尾碼消除卷積、渦輪、維特比(Viterbi)、及/或低密度同位檢查(LDPC)編碼器/解碼器功能。調變/解調變及編碼器/解碼器功能的實施例不受限於這些實例,並且可以在其他實施例中包括有其他適合的功能。
在一些實施例中,基頻電路系統1004可包括有一協定堆疊之元素,舉例而言例如一演進式通用地面無線電存取網路(EUTRAN)協定之元素,包括有例如實體(PHY)、媒體存取控制(MAC)、無線電鏈路控制(RLC)、封包資料收斂協定(PDCP)、及/或無線電資源控制(RRC)元素。基頻電路系統1004的中央處理單元(CPU) 1004e可被組配用以運行此協定堆疊的元素以供PHY、MAC、RLC、PDCP及/或RRC傳送信令之用。在一些實施例中,此基頻電路系統可包括有一或多個音訊數位信號處理器(DSP) 1004f。這(多個)音訊DSP 1004f可包括有用於壓縮/解壓縮及回音消除的元件,並且在其他實施例中可包括有其他適合的處理元件。在一些實施例中,此基頻電路系統的組件可適當地組合於一單晶片、一單晶片組中、或設置於同一電路板上。在一些實施例中,基頻電路系統1004及應用電路系統1002的構成組件中有一些或全部可實施在一起,舉例而言例如實施於一晶片上之一系統(SOC)上。
在一些實施例中,基頻電路系統1004可用來進行與一或多種無線電技術相容的通訊。舉例而言,在一些實施例中,基頻電路系統1004可支援與一演進式通用地面無線電存取網路(EUTRAN)及/或其他無線都會區域網路(WMAN)、一無線區域網路(WLAN)、一無線個人區域網路(WPAN)之通訊。基頻電路系統1004被組配用以支援超過一種無線協定之無線電通訊的實施例可稱為多模式基頻電路系統。
RF電路系統1006可允許透過一非固體介質使用已調變電磁輻射與無線網路進行通訊。在各項實施例中,RF電路系統1006可包括有開關、濾波器、放大器等而有助於與此無線網路進行通訊。RF電路系統1006可包括有一接收信號路徑,其可包括有用以將接收自FEM電路系統1008之RF信號降頻轉換並且對基頻電路系統1004提供基頻信號的電路系統。RF電路系統1006亦可包括有一傳送信號路徑,其可包括有用以將基頻電路系統1004所提供之基頻信號升頻轉換並且對FEM電路系統1008提供RF輸出信號以供傳輸之用的電路系統。
在一些實施例中,RF電路系統1006可包括有一接收信號路徑及一傳送信號路徑。RF電路系統1006的接收信號路徑可包括有混頻器電路系統1006a、放大器電路系統1006b及濾波器電路系統1006c。RF電路系統1006的傳送信號路徑可包括有濾波器電路系統1006c及混頻器電路系統1006a。RF電路系統1006亦可包括有用於將一頻率合成以供該接收信號路徑及該傳送信號路徑之混頻器電路系統1006a使用之合成器電路系統1006d。在一些實施例中,該接收信號路徑之混頻器電路系統1006a可被組配用以基於合成器電路系統1006d所提供的已合成頻率,將接收自FEM電路系統1008的RF信號降頻轉換。放大器電路系統1006b可被組配用以放大此等已降頻轉換信號,並且濾波器電路系統1006c可以是被組配用以將不需要的信號從此等已降頻轉換信號移除以產生輸出基頻信號之一低通濾波器(LPF)或帶通濾波器(BPF)。可對基頻電路系統1004提供輸出基頻信號以供進一步處理之用。在一些實施例中,此等輸出基頻信號可以是零頻基頻信號,但也可使用其他類型之基頻信號。在一些實施例中,該接收信號路徑之混頻器電路系統1006a可包含有被動式混頻器,但此等實施例的範疇在這方面並不受限。
在一些實施例中,該傳送信號路徑之混頻器電路系統1006a可被組配用以基於合成器電路系統1006d所提供的已合成頻率而將輸入基頻信號升頻轉換以產生供FEM電路系統1008之用的RF輸出信號。此等基頻信號可藉由基頻電路系統1004來提供,並且可藉由濾波器電路系統1006c來濾波。濾波器電路系統1006c可包括有一低通濾波器(LPF),但此等實施例之範疇在這方面並不受限。
在一些實施例中,該接收信號路徑之混頻器電路系統1006a及該傳送信號路徑之混頻器電路系統1006a可包括有二或更多個混頻器,並且可布置成分別用於正交降頻轉換及/或升頻轉換。在一些實施例中,該接收信號路徑之混頻器電路系統1006a及該傳送信號路徑之混頻器電路系統1006a可包括有二或更多個混頻器,並且可布置成用於影像排斥(例如哈特萊(Hartley)影像排斥)。在一些實施例中,此接收信號路徑之混頻器電路系統1006a、及混頻器電路系統1006a可分別布置成用於直接降頻轉換及/或直接升頻轉換。在一些實施例中,該接收信號路徑之混頻器電路系統1006a及該傳送信號路徑之混頻器電路系統1006a可組配成用於超外差運作。
在一些實施例中,此等輸出基頻信號及此等輸入基頻信號可以是類比基頻信號,但此等實施例的範疇在這方面並不受限。在一些交替實施例中,此等輸出基頻信號及此等輸入基頻信號可以是數位基頻信號。在這些交替實施例中,RF電路系統1006可包括有類比數位轉換器(ADC)及數位類比轉換器(DAC)電路系統,而基頻電路系統1004可包括有一用以與RF電路系統1006進行通訊之數位基頻介面。
在一些雙模實施例中,可為各頻譜提供一用於處理信號的分離無線IC,但此等實施例的範疇在這方面並不受限。
在一些實施例中,合成器電路系統1006d可以是一分數N合成器或一分數N/N+1合成器,但此等實施例的範疇在這方面並無限制,因為可以有其他適合類型的頻率合成器。舉例而言,合成器電路系統1006d可以是一三角積分合成器、一倍頻器、或一包含有具有一除頻器之一鎖相迴路的合成器。
合成器電路系統1006d可被組配用以基於一頻率輸入及一除法器控制輸入而將一輸出頻率合成以供RF電路系統1006之混頻器電路系統1006a使用。在一些實施例中,合成器電路系統1006d可以是一分數N/N+1合成器。
在一些實施例中,頻率輸入可藉由一電壓控制振盪器(VCO)來提供,但其他類型的裝置也可提供此頻率輸入。除法器控制輸入可藉由基頻電路系統1004或應用處理器1002擇一來提供,端視所欲輸出頻率而定。在一些實施例中,一除法器控制輸入(例如N)可基於一由應用處理器1002所指示的通道而經由一查詢表來判定。
RF電路系統1006的合成器電路系統1006d可包括有一除法器、一延遲鎖定迴路(DLL)、一多工器及一相位累加器。在一些實施例中,此除法器可以是一雙模數除法器(DMD)而該相位累加器可以是一數位相位累加器(DPA)。在一些實施例中,該DMD可被組配用以將該輸入信號除以N或N+1 (例如基於一進位輸出)以提供一分數分配比。在一些例示性實施例中,該DLL可包括有一組串級、可調、延遲元件、一檢相器、一電荷泵以及一D型正反器。在這些實施例中,此等延遲元件可被組配用以將一VCO週期分成Nd個相等的相位封包,其中Nd是延遲線中延遲元件的數量。依此作法,此DLL提供負回授而有助於確保經過此延遲線的總延遲為一個VCO週期。
在一些實施例中,合成器電路系統1006d可被組配用以產生一載波頻率作為輸出頻率,而在其他實施例中,此輸出頻率可以是此載波頻率的倍數(例如此載波頻率的兩倍、此載波頻率的四倍),並且可搭配正交產生器及除法器電路系統用於在該載波頻率產生帶有多種彼此不同相位的多個信號。在一些實施例中,此輸出頻率可以是一LO頻率(fLO)。在一些實施例中,RF電路系統1006可包括有一IQ/極性轉換器。
FEM電路系統1008可包括有一接收信號路徑,其可包括有被組配用以在接收自一或多個天線1010之RF信號上運作、將此等已接收信號放大、以及對RF電路系統1006提供此等放大版已接收信號以供進一步處理之用的電路系統。FEM電路系統1008亦可包括有一傳送信號路徑,其可包括有被組配用以將RF電路系統1006所提供傳輸用信號放大以供一或多個天線1010其中一或多者傳輸之用的電路系統。
在一些實施例中,FEM電路系統1008可包括有一用以在傳送模式與接收模式運作之間進行切換的TX/RX開關。此FEM電路系統可包括有一接收信號路徑及一傳送信號路徑。此FEM電路系統之接收信號路徑可包括有一用以將已接收RF信號放大並提供此等經放大已接收RF信號作為一輸出(例如送至RF電路系統1006)的低雜訊放大器(LNA)。FEM電路系統1008之傳送信號路徑可包括有一用以將(例如RF電路系統1006所提供之)輸入RF信號放大的功率放大器(PA)、以及一或多個用以產生RF信號以供(例如藉由一或多個天線1010中一或多者進行)後續傳輸之用的濾波器。
在一些實施例中,UE裝置1000可包括有附加元件,舉例而言例如記憶體/儲存器、顯示器(例如觸控螢幕)、相機、天線、鍵盤、麥克風、揚聲器、感測器、及/或輸入輸出(I/O)介面。
圖11根據一實例,繪示一節點1110 (例如eNB及/或一伺服GPRS支援節點)及一無線裝置1120 (例如UE)的一簡圖1100。此節點可包括有一基地台(BS)、一節點B (NB)、一演進式節點B (eNB)、一基頻單元(BBU)、一遠距無線電頭端(RRH)、一遠距無線電設備(RRE)、一遙控無線電單元(RRU)、或一中央處理模組(CPM)。在一項態樣中,此節點可以是一伺服GPRS支援節點。節點1110可包括有一節點裝置1112。節點裝置1112或節點1110可被組配用以與無線裝置1120通訊。節點裝置1112可被組配用以實施本文中所述的技術。節點裝置1112可包括有一處理模組1114及一收發器模組1116。在一項態樣中節點裝置1112可包括有收發器模組1116及處理模組1114,形成節點1110用之一電路系統。在一項態樣中,收發器模組1116及處理模組1114可形成節點裝置1112之一電路系統。處理模組1114可包括有一或多個處理器及記憶體。在一項實施例中,處理模組1122可包括有一或多個應用處理器。收發器模組1116可包括有一收發器及一或多個處理器與記憶體。在一項實施例中,收發器模組1116可包括有一基頻處理器。在一些實例中,收發器模組1116之組件可包括於不同裝置中。舉例而言,收發器模組1116經選擇之組件可位於一雲端無線電存取網路(C-RAN)中。
無線裝置1120可包括有一收發器模組1124及一處理模組1122。處理模組1122可包括有一或多個處理器及記憶體。在一項實施例中,處理模組1122可包括有一或多個應用處理器。收發器模組1124可包括有一收發器及一或多個處理器與記憶體。在一項實施例中,收發器模組1124可包括有一基頻處理器。無線裝置1120可被組配用以實施本文中所述的技術。節點1110與無線裝置1120亦可包括有一或多個儲存媒體,例如收發器模組1116、1124及/或處理模組1114、1122。實例
以下實例涉及特定實施例並指出特定特徵、元件或步驟,其可經使用或按其他方式組合而獲得此等實施例。
實例1包括有屬於一用戶設備(UE)之裝備,其包含有一或多個處理器及記憶體,被組配用以:向該UE處之一收發器傳送信令發送一存取請求訊息至與一無線電存取網路安全閘道器(RAN-SecGW)相關聯之一蜂巢式基地台,該存取請求訊息指出該UE請求與一雲端服務提供者(CSP)建立一安全連接,並且該存取請求訊息包括有指出該CSP之一CSP識別符(CSP ID);識別經由該收發器於該UE收到之一存取回應訊息,其中該存取回應包括有一鑑別CSP金鑰;使用該鑑別CSP金鑰驗證該CSP之身份;以及向該UE處之該收發器傳送信令發送一存取完成訊息至該蜂巢式基地台以促進在該UE與該CSP之間建立一安全通訊通道。
實例2包括有如實例1之裝備,其中該RAN-SecGW與該CSP乃經由一網際網路封包(IP)安全隧道連接。
實例3包括有如實例1或2之裝備,其中該存取請求訊息包括有下列一或多者:該UE之一唯一ID、與該UE有關之裝置資訊、或一建立原因。
實例4包括有如實例1或2之裝備,其中該一或多個處理器及記憶體更被組配用以向該收發器傳送信令在一資料鍵路層(第2層)之一媒體存取控制層中、或在一無線電資源控制(RRC)訊息中發送該存取請求訊息。
實例5包括有如實例1之裝備,其中該一或多個處理器及記憶體更被組配用以:使用一訊息完整性檢查(MIC)技術、一密鑰(SK)、及一隨機數加密該存取請求訊息,其中該鑑別CSP金鑰乃推導自該SK;以及向該UE處之該收發器傳送信令以一加密形式發送該存取請求訊息至該蜂巢式基地台。
實例6包括有如實例5之裝備,其中該存取回應訊息包括有一無線電存取金鑰用之一隨機數、及一端對端(E2E)對話金鑰用之一隨機數以及其中該一或多個處理器更被組配用以:使用一金鑰推導函數(KDF)、並使用該無線電存取金鑰用之該隨機數及該SK當作該KDF用之參數來推導該無線電存取金鑰;以及使用該KDF、並使用該E2E對話金鑰用之該隨機數及該SK當作該KDF用之參數來推導該E2E對話金鑰。
實例7包括有如實例5或6之裝備,其中該UE已配合下列一或多者藉由該CSP來組配:該SK、裝置資訊、或與該CSP相關聯之網路營運商之一識別符(ID)清單。
實例8包括有如實例5或6之裝備,其中該UE已配合下列至少一者藉由一製造商來組配:該SK或裝置資訊。
實例9包括有如實例6之裝備,其中該一或多個處理器及記憶體更被組配用以:使用一訊息完整性檢查(MIC)技術及該無線電存取金鑰加密該存取完成訊息;以及向該UE處之該收發器傳送信令以一加密形式發送該存取完成訊息至該蜂巢式基地台。
實例10包括有如實例1、2、5、6或9之裝備,其中該一或多個處理器包括有一基頻處理器。
實例11包括有一種屬於與一蜂巢式基地台相關聯之一無線電存取網路安全閘道器(RAN-SecGW)之裝備,其包含有一或多個處理器及記憶體,被組配用以:識別接收自一用戶設備(UE)之一存取請求訊息,該存取請求訊息指出該UE請求與一雲端服務提供者(CSP)建立一安全連接、以及包括有指出該CSP之一CSP識別符(CSP ID);向與該RAN-SecGW相關聯之網路連結電路系統傳送信令經由與該蜂巢式基地台相關聯之一核心網路外之一網際網路封包(IP)安全隧道發送該存取請求訊息至該CSP之一應用伺服器(AS);回應於該UE用之該存取請求訊息識別發送自該AS之一存取回應訊息,其中該存取回應包括有一鑑別CSP金鑰;向與該蜂巢式基地台相關聯之一收發器傳送信令發送該存取回應訊息至該UE;回應於該存取回應訊息識別發送自該UE之一存取完成訊息;基於該存取完成訊息修改該UE用之一映射表,以便指出已在該UE與該AS之間建立一安全通訊對話,其中該RAN-SecGW使用該映射表在該UE與該AS之間路由安排訊息;以及向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由該IP安全隧道發送該存取完成訊息至該AS。
實例12包括有如實例11之裝備,其中該一或多個處理器及記憶體更被組配用以:基於該存取回應訊息修改該UE用之該映射表以指出介於該UE與該AS之間的安全存取擱置中。
實例13包括有如實例11或12之裝備,其中該映射表包括有下列一或多者:該UE之一資料鍵路層(第2層)位址、該CSP ID、或該UE用之一UE識別符(UE ID)。
實例14包括有如實例11或12之裝備,其中該一或多個處理器及記憶體更被組配用以:指定一連接識別符(ID)及一資料鍵路層(第2層)識別符(ID)供該安全通訊對話用;以及向與該蜂巢式基地台相關聯之該收發器傳送信令隨同該存取回應訊息發送該連接ID及該第2層ID至該UE。
實例15包括有如實例11或12之裝備,其中該一或多個處理器及記憶體更被組配用以:識別該安全通訊對話在該映射表中之一金鑰過期時間;向該網路連結電路系統傳送信令在達到該金鑰過期時間之前,發送一金鑰再新請求訊息至該AS供該安全通訊對話用;識別回應於該金鑰再新請求訊息發送自該AS之一金鑰再新回應訊息;基於該金鑰再新回應訊息更新該映射表;向與該蜂巢式基地台相關聯之該收發器傳送信令發送一金鑰更新訊息至該UE;識別回應於該金鑰更新訊息發送自該UE之一金鑰再新完成訊息;以及向該網路電路系統傳送信令發送該金鑰再新完成訊息至該AS。
實例16包括有如實例15之裝備,其中該金鑰再新回應訊息包括有一無線電存取金鑰、及該無線電存取金鑰用之一隨機數,以及其中該一或多個處理器及記憶體更被組配用以:安裝該無線電存取金鑰;以及向與該蜂巢式基地台相關聯之該收發器傳送信令隨同該金鑰更新訊息發送該無線電存取金鑰用之該隨機數至該UE。
實例17包括有如實例15之裝備,其中該金鑰再新回應訊息包括有下列一或多者:該CSP ID、該UE用之一UE識別符(UE ID)、或一端對端(E2E)對話金鑰用之一隨機數。
實例18包括有如實例15之裝備,其中該金鑰更新訊息包括有下列一或多者:該UE用之一UE識別符(ID)、或一端對端(E2E)對話金鑰用之一隨機數、或一連接識別符(ID)。
實例19包括有如實例11之裝備,其中該一或多個處理器及記憶體更被組配用以:向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由介於該RAN-SecGW及與該CSP相關聯之一CSP安全閘道器(CSP-SecGW)之間的一網際網路封包(IP)安全隧道發送該存取請求訊息至該AS;以及向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由該IP安全隧道發送該存取完成訊息至該AS。
實例20包括有屬於與一雲端服務提供者(CSP)相關聯之一應用伺服器(AS)之裝備,其包含有一或多個處理器及記憶體,被組配用以:識別發送自與一蜂巢式基地台相關聯之一無線電存取網路安全閘道器(RAN-SecGW)之一存取請求訊息,該存取請求訊息指出一UE請求與該CSP建立一安全連接;使用一金鑰推導函數(KDF)、並使用與該無線電存取金鑰相關聯之一隨機數及一密鑰(SK)當作該KDF用之參數來推導一無線電存取金鑰;使用該KDF、並使用與該E2E對話金鑰相關聯之一隨機數及該SK當作該KDF用之參數來推導一端對端(E2E)對話金鑰;以及向與該AS相關聯之網路連結電路系統傳送信令回應於該存取請求訊息發送一存取回應訊息至該RAN-SecGW,其中該存取回應包括有該無線電存取金鑰、該無線電存取金鑰用之該隨機數、該E2E對話金鑰、以及該對話金鑰用之該隨機數。
實例21包括有如實例20之裝備,其中該一或多個處理器及記憶體更被組配用以向與該AS相關聯之該網路連結電路系統傳送信令經由介於該AS與該RAN-SecGW之間的一網際網路封包(IP)安全隧道發送該存取回應訊息至該RAN-SecGW。
實例22包括有如實例20或21之裝備,其中該一或多個處理器及記憶體更被組配用以:向與該AS相關聯之該網路連結電路系統傳送信令經由一安全網路連接發送該SK用之一請求至與該UE之一製造商相關聯之一伺服器。
實例23包括有如實例20之裝備,其中該一或多個處理器及記憶體更被組配用以:回應於該存取回應訊息識別自該UE發送至該AS之一存取完成訊息;以及向與該AS相關聯之該網路連結電路系統傳送信令使用已基於下列一或多者於該AS與該UE之間建立的一安全連接發送一通訊至該UE:該存取請求訊息、該存取回應訊息、或該存取完成訊息。
實例24包括有一種屬於一用戶設備(UE)之裝備,其包含有一或多個處理器及記憶體,被組配用以:向該UE處之一收發器傳送信令發送一存取請求訊息至與一無線電存取網路安全閘道器(RAN-SecGW)相關聯之一蜂巢式基地台,該存取請求訊息指出該UE請求與一雲端服務提供者(CSP)建立一安全連接,並且該存取請求訊息包括有指出該CSP之一CSP識別符(CSP ID);識別經由該收發器於該UE收到之一存取回應訊息,其中該存取回應包括有一鑑別CSP金鑰;使用該鑑別CSP金鑰驗證該CSP之身份;以及向該UE處之該收發器傳送信令發送一存取完成訊息至該蜂巢式基地台以促進在該UE與該CSP之間建立一安全通訊通道。
實例25包括有如實例24之裝備,其中該RAN-SecGW與該CSP乃經由一網際網路封包(IP)安全隧道連接。
實例26包括有如實例24之裝備,其中該存取請求訊息包括有下列一或多者:該UE之一唯一ID、與該UE有關之裝置資訊、或一建立原因。
實例27包括有如實例24之裝備,其中該一或多個處理器及記憶體更被組配用以向該收發器傳送信令在一資料鍵路層(第2層)之一媒體存取控制層中、或在一無線電資源控制(RRC)訊息中發送該存取請求訊息。
實例28包括有如實例24之裝備,其中該一或多個處理器及記憶體更被組配用以:使用一訊息完整性檢查(MIC)技術、一密鑰(SK)、及一隨機數加密該存取請求訊息,其中該鑑別CSP金鑰乃推導自該SK;以及向該UE處之該收發器傳送信令以一加密形式發送該存取請求訊息至該蜂巢式基地台。
實例29包括有如實例28之裝備,其中該存取回應訊息包括有一無線電存取金鑰用之一隨機數、及一端對端(E2E)對話金鑰用之一隨機數以及其中該一或多個處理器更被組配用以:使用一金鑰推導函數(KDF)、並使用該無線電存取金鑰用之該隨機數及該SK當作該KDF用之參數來推導該無線電存取金鑰;以及使用該KDF、並使用該E2E對話金鑰用之該隨機數及該SK當作該KDF用之參數來推導該E2E對話金鑰。
實例30包括有如實例29之裝備,其中該UE已配合下列一或多者藉由該CSP來組配:該SK、裝置資訊、或與該CSP相關聯之網路營運商之一識別符(ID)清單。
實例31包括有如實例29之裝備,其中該UE已配合下列至少一者藉由一製造商來組配:該SK或裝置資訊。
實例32包括有如實例29之裝備,其中該一或多個處理器及記憶體更被組配用以:使用一訊息完整性檢查(MIC)技術及該無線電存取金鑰加密該存取完成訊息;以及向該UE處之該收發器傳送信令以一加密形式發送該存取完成訊息至該蜂巢式基地台。
實例33包括有如實例32之裝備,其中該一或多個處理器包括有一基頻處理器。
實例34包括有屬於與一蜂巢式基地台相關聯之一無線電存取網路安全閘道器(RAN-SecGW)之裝備,其包含有一或多個處理器及記憶體,被組配用以:識別接收自一用戶設備(UE)之一存取請求訊息,該存取請求訊息指出該UE請求與一雲端服務提供者(CSP)建立一安全連接、以及包括有指出該CSP之一CSP識別符(CSP ID);向與該RAN-SecGW相關聯之網路連結電路系統傳送信令經由與該蜂巢式基地台相關聯之一核心網路外之一網際網路封包(IP)安全隧道發送該存取請求訊息至該CSP之一應用伺服器(AS);回應於該UE用之該存取請求訊息識別發送自該AS之一存取回應訊息,其中該存取回應包括有一鑑別CSP金鑰;向與該蜂巢式基地台相關聯之一收發器傳送信令發送該存取回應訊息至該UE;回應於該存取回應訊息識別發送自該UE之一存取完成訊息;基於該存取完成訊息修改該UE用之一映射表,以便指出已在該UE與該AS之間建立一安全通訊對話,其中該RAN-SecGW使用該映射表在該UE與該AS之間路由安排訊息;以及向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由該IP安全隧道發送該存取完成訊息至該AS。
實例35包括有如實例34之裝備,其中該一或多個處理器及記憶體更被組配用以:基於該存取回應訊息修改該UE用之該映射表以指出介於該UE與該AS之間的安全存取擱置中。
實例36包括有如實例35之裝備,其中該映射表包括有下列一或多者:該UE之一資料鍵路層(第2層)位址、該CSP ID、或該UE用之一UE識別符(UE ID)。
實例37包括有如實例35之裝備,其中該一或多個處理器及記憶體更被組配用以:指定一連接識別符(ID)及一資料鍵路層(第2層)識別符(ID)供該安全通訊對話用;以及向與該蜂巢式基地台相關聯之該收發器傳送信令隨同該存取回應訊息發送該連接ID及該第2層ID至該UE。
實例38包括有如實例35之裝備,其中該一或多個處理器及記憶體更被組配用以:識別該安全通訊對話在該映射表中之一金鑰過期時間;向該網路連結電路系統傳送信令在達到該金鑰過期時間之前,發送一金鑰再新請求訊息至該AS供該安全通訊對話用;識別回應於該金鑰再新請求訊息發送自該AS之一金鑰再新回應訊息;基於該金鑰再新回應訊息更新該映射表;向與該蜂巢式基地台相關聯之該收發器傳送信令發送一金鑰更新訊息至該UE;識別回應於該金鑰更新訊息發送自該UE之一金鑰再新完成訊息;以及向該網路電路系統傳送信令發送該金鑰再新完成訊息至該AS。
實例39包括有如實例38之裝備,其中該金鑰再新回應訊息包括有一無線電存取金鑰、及該無線電存取金鑰用之一隨機數,以及其中該一或多個處理器及記憶體更被組配用以:安裝該無線電存取金鑰;以及向與該蜂巢式基地台相關聯之該收發器傳送信令隨同該金鑰更新訊息發送該無線電存取金鑰用之該隨機數至該UE。
實例40包括有如實例38之裝備,其中該金鑰再新回應訊息包括有下列一或多者:該CSP ID、該UE用之一UE識別符(UE ID)、或一端對端(E2E)對話金鑰用之一隨機數。
實例41包括有如實例38之裝備,其中該金鑰更新訊息包括有下列一或多者:該UE用之一UE識別符(ID)、或一端對端(E2E)對話金鑰用之一隨機數、或一連接識別符(ID)。
實例42包括有如實例34之裝備,其中該一或多個處理器及記憶體更被組配用以:向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由介於該RAN-SecGW及與該CSP相關聯之一CSP安全閘道器(CSP-SecGW)之間的一網際網路封包(IP)安全隧道發送該存取請求訊息至該AS;以及向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由該IP安全隧道發送該存取完成訊息至該AS。
實例43包括有一種屬於與一雲端服務提供者(CSP)相關聯之一應用伺服器(AS)之裝備,其包含有一或多個處理器及記憶體,被組配用以:識別發送自與一蜂巢式基地台相關聯之一無線電存取網路安全閘道器(RAN-SecGW)之一存取請求訊息,該存取請求訊息指出一UE請求與該CSP建立一安全連接;使用一金鑰推導函數(KDF)、並使用與該無線電存取金鑰相關聯之一隨機數及一密鑰(SK)當作該KDF用之參數來推導一無線電存取金鑰;使用該KDF、並使用與該E2E對話金鑰相關聯之一隨機數及該SK當作該KDF用之參數來推導一端對端(E2E)對話金鑰;以及向與該AS相關聯之網路連結電路系統傳送信令回應於該存取請求訊息發送一存取回應訊息至該RAN-SecGW,其中該存取回應包括有該無線電存取金鑰、該無線電存取金鑰用之該隨機數、該E2E對話金鑰、以及該對話金鑰用之該隨機數。
實例44包括有如實例43之裝備,其中該一或多個處理器及記憶體更被組配用以向與該AS相關聯之該網路連結電路系統傳送信令經由介於該AS與該RAN-SecGW之間的一網際網路封包(IP)安全隧道發送該存取回應訊息至該RAN-SecGW。
實例45包括有如實例44之裝備,其中該一或多個處理器及記憶體更被組配用以:向與該AS相關聯之該網路連結電路系統傳送信令經由一安全網路連接發送該SK用之一請求至與該UE之一製造商相關聯之一伺服器。
實例46包括有如實例43之裝備,其中該一或多個處理器及記憶體更被組配用以:回應於該存取回應訊息識別自該UE發送至該AS之一存取完成訊息;以及向與該AS相關聯之該網路連結電路系統傳送信令使用已基於下列一或多者於該AS與該UE之間建立的一安全連接發送一通訊至該UE:該存取請求訊息、該存取回應訊息、或該存取完成訊息。
實例47包括有一種屬於一用戶設備(UE)之裝備,其包含有一或多個處理器及記憶體,被組配用以:向該UE處之一收發器傳送信令發送一存取請求訊息至與一無線電存取網路安全閘道器(RAN-SecGW)相關聯之一蜂巢式基地台,該存取請求訊息指出該UE請求與一雲端服務提供者(CSP)建立一安全連接,並且該存取請求訊息包括有指出該CSP之一CSP識別符(CSP ID);識別經由該收發器於該UE收到之一存取回應訊息,其中該存取回應包括有一鑑別CSP金鑰;使用該鑑別CSP金鑰驗證該CSP之身份;以及向該UE處之該收發器傳送信令發送一存取完成訊息至該蜂巢式基地台以促進在該UE與該CSP之間建立一安全通訊通道。
實例48包括有如實例47之裝備,其中該RAN-SecGW與該CSP乃經由一網際網路封包(IP)安全隧道連接,其中該存取請求訊息包括有下列一或多者:該UE之一唯一ID、與該UE有關之裝置資訊、或一建立原因。
實例49包括有如實例47或48之裝備,其中該一或多個處理器及記憶體更被組配用以:向該收發器傳送信令在一資料鍵路層(第2層)之一媒體存取控制層中、或在一無線電資源控制(RRC)訊息中發送該存取請求訊息:使用一訊息完整性檢查(MIC)技術、一密鑰(SK)、及一隨機數加密該存取請求訊息,其中該鑑別CSP金鑰乃推導自該SK;以及向該UE處之該收發器傳送信令以一加密形式發送該存取請求訊息至該蜂巢式基地台。
在實例50中,實例47或本文中所述實例中任何一者之標的內容可更包括有,其中該存取回應訊息包括有一無線電存取金鑰用之一隨機數、及一端對端(E2E)對話金鑰用之一隨機數以及其中該一或多個處理器更被組配用以:使用一金鑰推導函數(KDF)、並使用該無線電存取金鑰用之該隨機數及該SK當作該KDF用之參數來推導該無線電存取金鑰;以及使用該KDF、並使用該E2E對話金鑰用之該隨機數及該SK當作該KDF用之參數來推導該E2E對話金鑰。
在實例51中,實例47或本文中所述實例中任何一者之標的內容可更包括有,其中該UE已配合下列一或多者藉由該CSP來組配:該SK、裝置資訊、或與該CSP相關聯之網路營運商之一識別符(ID)清單,以及其中該UE已配合下列至少一者藉由一製造商來組配:該SK或裝置資訊。
在實例51中,實例47或本文中所述實例中任何一者之標的內容可更包括有,其中該一或多個處理器及記憶體更被組配用以:使用一訊息完整性檢查(MIC)技術及該無線電存取金鑰加密該存取完成訊息;以及向該UE處之該收發器傳送信令以一加密形式發送該存取完成訊息至該蜂巢式基地台,其中該一或多個處理器包括有一基頻處理器。
實例53包括有一種屬於與一蜂巢式基地台相關聯之一無線電存取網路安全閘道器(RAN-SecGW)之裝備,其包含有一或多個處理器及記憶體,被組配用以:識別接收自一用戶設備(UE)之一存取請求訊息,該存取請求訊息指出該UE請求與一雲端服務提供者(CSP)建立一安全連接、以及包括有指出該CSP之一CSP識別符(CSP ID);向與該RAN-SecGW相關聯之網路連結電路系統傳送信令經由與該蜂巢式基地台相關聯之一核心網路外之一網際網路封包(IP)安全隧道發送該存取請求訊息至該CSP之一應用伺服器(AS);回應於該UE用之該存取請求訊息識別發送自該AS之一存取回應訊息,其中該存取回應包括有一鑑別CSP金鑰;向與該蜂巢式基地台相關聯之一收發器傳送信令發送該存取回應訊息至該UE;回應於該存取回應訊息識別發送自該UE之一存取完成訊息;基於該存取完成訊息修改該UE用之一映射表,以便指出已在該UE與該AS之間建立一安全通訊對話,其中該RAN-SecGW使用該映射表在該UE與該AS之間路由安排訊息;以及向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由該IP安全隧道發送該存取完成訊息至該AS。
實例54包括有如實例53之裝備,其中該一或多個處理器及記憶體更被組配用以:基於該存取回應訊息修改該UE用之該映射表以指出介於該UE與該AS之間的安全存取擱置中,以及其中該映射表包括有下列一或多者:該UE之一資料鍵路層(第2層)位址、該CSP ID、或該UE用之一UE識別符(UE ID)。
實例55包括有如實例53或54之裝備,其中該一或多個處理器及記憶體更被組配用以:指定一連接識別符(ID)及一資料鍵路層(第2層)識別符(ID)供該安全通訊對話用;向與該蜂巢式基地台相關聯之該收發器傳送信令隨同該存取回應訊息發送該連接ID及該第2層ID至該UE;識別該安全通訊對話在該映射表中之一金鑰過期時間;向該網路連結電路系統傳送信令在達到該金鑰過期時間之前,發送一金鑰再新請求訊息至該AS供該安全通訊對話用;識別回應於該金鑰再新請求訊息發送自該AS之一金鑰再新回應訊息;基於該金鑰再新回應訊息更新該映射表;向與該蜂巢式基地台相關聯之該收發器傳送信令發送一金鑰更新訊息至該UE;識別回應於該金鑰更新訊息發送自該UE之一金鑰再新完成訊息;或向該網路電路系統傳送信令發送該金鑰再新完成訊息至該AS。
在實例56中,實例53或本文中所述實例中任何一者之標的內容可更包括有,其中該金鑰再新回應訊息包括有一無線電存取金鑰、及該無線電存取金鑰用之一隨機數,以及其中該一或多個處理器及記憶體更被組配用以:安裝該無線電存取金鑰;以及向與該蜂巢式基地台相關聯之該收發器傳送信令隨同該金鑰更新訊息發送該無線電存取金鑰用之該隨機數至該UE。
在實例57中,實例53或本文中所述實例中任何一者之標的內容可更包括有,其中該金鑰再新回應訊息包括有下列一或多者:該CSP ID、該UE用之一UE識別符(UE ID)、或一端對端(E2E)對話金鑰用之一隨機數,以及其中該金鑰更新訊息包括有下列一或多者:該UE用之一UE識別符(ID)、或一端對端(E2E)對話金鑰用之一隨機數、或一連接識別符(ID)。
在實例58中,實例53或本文中所述實例中任何一者之標的內容可更包括有,其中該一或多個處理器及記憶體更被組配用以:向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由介於該RAN-SecGW及與該CSP相關聯之一CSP安全閘道器(CSP-SecGW)之間的一網際網路封包(IP)安全隧道發送該存取請求訊息至該AS;以及向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由該IP安全隧道發送該存取完成訊息至該AS。
實例59包括有一種屬於與一雲端服務提供者(CSP)相關聯之一應用伺服器(AS)之裝備,其包含有一或多個處理器及記憶體,被組配用以:識別發送自與一蜂巢式基地台相關聯之一無線電存取網路安全閘道器(RAN-SecGW)之一存取請求訊息,該存取請求訊息指出一UE請求與該CSP建立一安全連接;使用一金鑰推導函數(KDF)、並使用與該無線電存取金鑰相關聯之一隨機數及一密鑰(SK)當作該KDF用之參數來推導一無線電存取金鑰;使用該KDF、並使用與該E2E對話金鑰相關聯之一隨機數及該SK當作該KDF用之參數來推導一端對端(E2E)對話金鑰;以及向與該AS相關聯之網路連結電路系統傳送信令回應於該存取請求訊息發送一存取回應訊息至該RAN-SecGW,其中該存取回應包括有該無線電存取金鑰、該無線電存取金鑰用之該隨機數、該E2E對話金鑰、以及該對話金鑰用之該隨機數。
實例60包括有如實例59之裝備,其中該一或多個處理器及記憶體更被組配用以向與該AS相關聯之該網路連結電路系統傳送信令經由介於該AS與該RAN-SecGW之間的一網際網路封包(IP)安全隧道發送該存取回應訊息至該RAN-SecGW。
實例61包括有如實例59或60之裝備,其中該一或多個處理器及記憶體更被組配用以:向與該AS相關聯之該網路連結電路系統傳送信令經由一安全網路連接發送該SK用之一請求至與該UE之一製造商相關聯之一伺服器;回應於該存取回應訊息識別自該UE發送至該AS之一存取完成訊息;以及向與該AS相關聯之該網路連結電路系統傳送信令使用已基於下列一或多者於該AS與該UE之間建立的一安全連接發送一通訊至該UE:該存取請求訊息、該存取回應訊息、或該存取完成訊息。
實例62包括有一種裝置,其包含有:用於識別發送自與一蜂巢式基地台相關聯之一無線電存取網路安全閘道器(RAN-SecGW)之一存取請求訊息的機構,該存取請求訊息指出一UE請求與該CSP建立一安全連接;用於使用一金鑰推導函數(KDF)、並使用與該無線電存取金鑰相關聯之一隨機數及一密鑰(SK)當作該KDF用之參數來推導一無線電存取金鑰的機構;用於使用該KDF、並使用與該E2E對話金鑰相關聯之一隨機數及該SK當作該KDF用之參數來推導一端對端(E2E)對話金鑰的機構;以及用於向與該AS相關聯之網路連結電路系統傳送信令回應於該存取請求訊息發送一存取回應訊息至該RAN-SecGW的機構,其中該存取回應包括有該無線電存取金鑰、該無線電存取金鑰用之該隨機數、該E2E對話金鑰、以及該對話金鑰用之該隨機數。
實例63包括有如實例62之裝置,其更包含有用於向與該AS相關聯之該網路連結電路系統傳送信令經由介於該AS與該RAN-SecGW之間的一網際網路封包(IP)安全隧道發送該存取回應訊息至該RAN-SecGW的機構。
實例64包括有如實例62之裝置,其更包含有用於向與該AS相關聯之該網路連結電路系統傳送信令經由一安全網路連接發送該SK用之一請求至與該UE之一製造商相關聯之一伺服器的機構
實例65包括有如實例62之裝置,其更包含有用於進行下列動作的機構:回應於該存取回應訊息識別自該UE發送至該AS之一存取完成訊息;以及向與該AS相關聯之該網路連結電路系統傳送信令使用已基於下列一或多者於該AS與該UE之間建立的一安全連接發送一通訊至該UE:該存取請求訊息、該存取回應訊息、或該存取完成訊息。
各種技術、或其某些態樣或部分可採取的形式為諸如軟式磁片、光碟唯讀記憶體(CD-ROMs)、硬碟機、非暫時性電腦可讀儲存媒體、或任何其他機器可讀儲存媒體等有形媒體中具體實現的程式碼(即指令),其中當諸如一電腦之一機器載入並且執行該程式碼時,該機器變為一用於實踐此等各種技術之裝備。一非暫時性電腦可讀儲存媒體可以是一不包括有信號之電腦可讀儲存媒體。程式碼若是在可規劃電腦上執行,則此運算裝置可包括有一處理器、一可由該處理器讀取之儲存媒體(包括有依電性及非依電性記憶體及/或儲存元件)、至少一個輸入裝置、以及至少一個輸出裝置。該依電性及非依電性記憶體及/或儲存元件可以是一隨機存取記憶體(RAM)、可抹除可規劃唯讀記憶體(EPROM)、快閃驅動機、光學驅動機、磁性硬碟機、固態驅動機、或其他用於儲存電子資料之媒體。此節點及無線裝置亦可包括有一收發器模組(即收發器)、一計數器模組(即計數器)、一處理模組(即處理器)、及/或一時脈模組(即時脈)或計時器模組(即計時器)。本文中所述可實施或利用此等各種技術之一或多個程式可使用一應用程式規劃介面(API)、可再用控制、以及類似者。此類程式可實施成用以與一電腦系統進行通訊之一高階程序性或物件導向程式規劃語言。然而,此(等)程式視所欲可實施成組合或機器語言。在任一例中,此語言可為一編譯式或解譯式語言,並且與硬體實作態樣組合。
「電路系統」一詞於本文中使用時,可意指為、屬於部分之、或包括有一特定應用積體電路(ASIC)、一電子電路、一處理器(共享、專屬、或群組)、及/或記憶體(共享、專屬、或群組),其執行提供所述功能之一或多個軟體或韌體程式、一組合邏輯電路、及/或其他適合的硬體組件。在一些實施例中,此電路系統可在一或多個軟體或韌體模組中實施,或與此電路系統相關聯之功能可藉由此一或多個軟體或韌體模組來實施。在一些實施例中,電路系統可包括有至少部分可在硬體中運作的邏輯。
儘管針對本技術所介紹的流程圖可能暗指一特定執行順序,此執行順序仍可與所示不同。舉例而言,二或更多個程序塊之順序可相對於所示順序重新安排。再者,接續的二或更多個程序塊可並行或部分並行執行。在一些組態中,可省略或略過流程圖中所示的一或多個程序塊。可將任意數量的計數器、狀態變數、警告旗號、或訊息加入邏輯流程以增強效用、會計(accounting)、效能、量測、疑難排解、或其他目的。
「或」這個字元於本文中使用時,表示一包含析取。舉例而言,「A或B」於本文中使用時,代表例示性條件A與B之包含析取。因此「A或B」僅在條件A不成立且條件B也不成立時才不成立。當條件A與條件B都成立時,「A或B」也成立。當條件A成立而條件B不成立時,「A或B」成立。當條件B成立而條件A不成立時,「A或B」成立。換句話說,「或」這個用語於本文中使用時,不應該視為一互斥析取。「互斥或」一詞是在意欲一互斥析取時使用。
處理器一詞於本文中使用時,可包括有通用處理器、諸如VLSI、FPGA及其他專用處理器類型之專用處理器、以及收發器中用於發送、接收及處理無線通訊之基頻處理器。
應瞭解的是,本說明書中所述功能單元中有許多已標示為模組,以便更具體強調其實作態樣獨立性。舉例而言,可將一模組實施成一硬體電路(例如一特定應用積體電路(ASIC)),其包含有自訂VLSI電路或閘陣列、諸如邏輯晶片之現成半導體、電晶體、或其他分立組件。一模組亦可實施成諸如可現場規劃閘陣列、可規劃陣列邏輯、可規劃邏輯裝置或類似者等可規劃硬體裝置。
模組亦可實施成供各種類型之處理器執行的軟體。一經識別可執行碼模組舉例來說,可包含有一或多個電腦指令實體或邏輯塊,其舉例來說,可組織成一物件、程序或功能。然而,一經識別模組之執行檔不一定要實體位於一處,而是可包含有儲存於不同位置的不同指令,其邏輯聯結在一起時,包含有此模組並且達成此模組之所述目的。
一可執行碼模組的確可以是單一指令或許多指令,並且甚至可分布於數個不同碼段、不同程式及數個記憶體裝置。類似的是,運算資料在本文中可於模組內指認並說明,並且可具體實現為任何適合的形式並組織於任何適合類型的資料結構內。此運算資料可收集為單一資料集合,或可分布於不同位置,包括有分布於不同儲存裝置,並且可僅作為電子信號至少部分存在於一系統或網路上。此等模組可為被動或主動,包括有可運作以進行所欲功能之代理程式。
處理器一詞於本文中使用時,可包括有通用處理器、諸如VLSI、FPGA及其他專用處理器類型之專用處理器、以及收發器中用於發送、接收及處理無線通訊之基頻處理器。
整篇本說明書對「一實例」之參照意味著至少一項實施例中包括有搭配此實例所述之一特定特徵、結構或特性。因此,「在一實例中」等詞在整篇本說明書各處表達時不必然全都意指為相同的實施例。
複數個項目、結構化元件、組成元件、及/或材料於本文中使用時,可為了便利性而在一共同清單中呈現。然而,這些清單應視為仿彿此清單之各成員被個別指認為一不同且唯一的成員。因此,此清單不應有個別成員只因為其存在於一共同群組中且無相左指示,而被視為相同清單中任何其他成員之一實際均等者。另外,各項實施例和實例在本文中可連同替代例意指為其各種組件。據瞭解,此類實施例、實例及替代例不視為彼此的實際均等例,而是視為有所不同且自主。
再者,所述特徵、結構或特性可在一或多項實施例中以任何適合的方式來組合。前述說明中提供諸如布局、距離、網路實例等用以透徹理解一些實施例的許多特定細節。然而,所屬技術領域中具有通常知識者將會認知的是,一些實施例可以不利用此等特定細節之一或多者、或可利用其他方法、組件、布局等來實踐。在其他例子中,為了避免混淆不同實施例之態樣,並未展示或詳細說明眾所周知的結構、材料或運作。
儘管前述實例說明了各項實施例在一或多種特定應用中所用的原理,所屬技術領域中具有通常知識者將會明白,可按照實作態樣的形式、用法及細節施作許多修改,但不需用到發明功能,也不會脫離此等實施例的原理及概念。因此,無意使所訴求內容受到下文所提申請專利範圍以外的限制。
100、200‧‧‧網路結構
102、202、302、402、502‧‧‧UE
104、204‧‧‧基地台
106、206‧‧‧無線電存取網路安全閘道器
108‧‧‧營運商核心網路
110、410、510‧‧‧CSP
112、224‧‧‧S1連接
114、230、314、414、514‧‧‧IP安全隧道
208‧‧‧移動性管理實體
210‧‧‧鑑別中心
212‧‧‧歸屬用戶伺服器
214、218、304、404‧‧‧應用伺服器
216‧‧‧服務/安全閘道器
220‧‧‧服務訂用管理器
222、228‧‧‧連接
226、306、406、506‧‧‧RAN SecGW
232‧‧‧安全連接
234‧‧‧蜂巢式核心網路
236‧‧‧蜂巢式存取網路
238、310‧‧‧雲端服務提供者
308、408、508‧‧‧CSP安全閘道器
318~352、416~452、516~538‧‧‧箭頭
412‧‧‧CSP行動應用程式
504‧‧‧應用伺服器
600、700、800‧‧‧功能
610~640、710~770、810~840‧‧‧程序塊
1000‧‧‧UE裝置
1002‧‧‧應用電路系統
1004‧‧‧基頻電路系統
1004a‧‧‧第二代(2G)基頻處理器
1004b‧‧‧第三代(3G)基頻處理器
1004c‧‧‧第四代(4G)基頻處理器
1004d‧‧‧其他基頻處理器
1004e‧‧‧中央處理單元
1004f‧‧‧音訊數位信號處理器
1006‧‧‧射頻(RF)電路系統
1006a‧‧‧混頻器電路系統
1006b‧‧‧放大器電路系統
1006c‧‧‧濾波器電路系統
1006d‧‧‧合成器電路系統
1008‧‧‧前端模組(FEM)電路系統
1010‧‧‧天線
1012‧‧‧儲存媒體
1100‧‧‧簡圖
1110‧‧‧節點
1112‧‧‧節點裝置
1114、1122‧‧‧處理模組
1116、1124‧‧‧收發器模組
1120‧‧‧無線裝置
本揭露之特徵與優點在搭配附圖經由以下的詳細說明後將會顯而易見,此等附圖以舉例方式一起繪示本揭露之特徵;以及其中: 圖1為根據一實例繪示一網路結構之一高階視圖的一簡圖; 圖2為根據一實例繪示一網路結構之另一高階視圖的一簡圖; 圖3為根據一實例繪示可用於建立端對端(E2E)安全性之一例示性程序集合的一高階簡圖; 圖4為繪示可用於建立端對端(E2E)安全性之另一例示性程序集合的一高階簡圖; 圖5為根據一實例繪示一UE在一連接模式中進行一金鑰再新協定交換的一高階簡圖; 圖6根據一實例繪示一UE (例如CIoT裝置)之功能; 圖7根據一實例繪示蜂巢式基地台之功能; 圖8根據一實例繪示與一雲端服務提供者(CSP)相關聯之一應用伺服器(AS)之功能; 圖9根據一實例提供一無線裝置之一例示圖; 圖10提供一用戶設備(UE)裝置之一例示圖,例如一無線裝置、一行動電台(MS)、一行動無線裝置、一行動通訊裝置、一平板電腦、一手持話機、或其他類型之無線裝置;以及 圖11根據一實例,繪示一節點(例如eNB及/或一伺服GPRS支援節點)及一無線裝置(例如UE)的一簡圖。
現將參照所示的例示性實施例,並且將會在本文中使用特定語言說明此等實施例。然而,將瞭解的是,並不意欲藉此限制範疇。
302‧‧‧UE
304‧‧‧應用伺服器
306‧‧‧RAN SecGW
308‧‧‧CSP安全閘道器
310‧‧‧雲端服務提供者
314‧‧‧安全隧道
318~352‧‧‧箭頭

Claims (23)

  1. 一種用戶設備(UE)之裝備,該裝備包含一或多個處理器及記憶體,被組配用以: 向該UE處之一收發器傳送信令發送一存取請求訊息至與一無線電存取網路安全閘道器(RAN-SecGW)相關聯之一蜂巢式基地台,該存取請求訊息表明該UE請求與一雲端服務提供者(CSP)建立一安全連接,並且該存取請求訊息包括一指示該CSP之CSP識別符(CSP ID); 識別經由該收發器於該UE收到之一存取回應訊息,其中該存取回應包括一鑑別CSP金鑰; 使用該鑑別CSP金鑰驗證該CSP之身份;以及 向該UE處之該收發器傳送信令發送一存取完成訊息至該蜂巢式基地台以促使在該UE與該CSP之間建立一安全通訊通道。
  2. 如請求項1之裝備,其中該RAN-SecGW與該CSP乃經由一網際網路封包(IP)安全隧道連接。
  3. 如請求項1之裝備,其中該存取請求訊息包括下列一或多者:該UE之一唯一ID、有關該UE之裝置資訊、或一建立原因。
  4. 如請求項1之裝備,其中該一或多個處理器及記憶體更被組配用以向該收發器傳送信令在一資料鍵路層(第2層)之一媒體存取控制層中、或在一無線電資源控制(RRC)訊息中發送該存取請求訊息。
  5. 如請求項1之裝備,其中該一或多個處理器及記憶體更被組配用以: 使用一訊息完整性檢查(MIC)技術、一密鑰(SK)、及一隨機數加密該存取請求訊息,其中該鑑別CSP金鑰乃推導自該SK;以及 向該UE處之該收發器傳送信令以一加密形式發送該存取請求訊息至該蜂巢式基地台。
  6. 如請求項5之裝備,其中該存取回應訊息包括用於一無線電存取金鑰之一隨機數、及用於一端對端(E2E)對話金鑰之一隨機數,以及其中該一或多個處理器更被組配用以: 使用一金鑰推導函數(KDF)、並使用該用於無線電存取金鑰之隨機數及該SK當作該KDF之參數來推導該無線電存取金鑰;以及 使用該KDF、並使用該用於E2E對話金鑰之該隨機數及該SK當作該KDF之參數來推導該E2E對話金鑰。
  7. 如請求項6之裝備,其中該UE已由該CSP使用下列一或多者來組配:該SK、裝置資訊、或與該CSP相關聯之網路營運商之一識別符(ID)清單。
  8. 如請求項6之裝備,其中該UE已由一製造商使用下列至少一者藉來組配:該SK或裝置資訊。
  9. 如請求項6之裝備,其中該一或多個處理器及記憶體更被組配用以: 使用一訊息完整性檢查(MIC)技術及該無線電存取金鑰來加密該存取完成訊息;以及 向該UE處之該收發器傳送信令以一加密形式發送該存取完成訊息至該蜂巢式基地台。
  10. 如請求項9之裝備,其中該一或多個處理器包括一基頻處理器。
  11. 一種與一蜂巢式基地台相關聯之一無線電存取網路安全閘道器(RAN-SecGW)之裝備,該裝備包含一或多個處理器及記憶體,被組配用以: 識別接收自一用戶設備(UE)之一存取請求訊息,該存取請求訊息表明該UE請求與一雲端服務提供者(CSP)建立一安全連接、以及包括指示該CSP之一CSP識別符(CSP ID); 向與該RAN-SecGW相關聯之網路連結電路系統傳送信令經由與該蜂巢式基地台相關聯之一核心網路外之一網際網路封包(IP)安全隧道發送該存取請求訊息至該CSP之一應用伺服器(AS); 回應於該UE之存取請求訊息識別一發送自該AS之存取回應訊息,其中該存取回應包括一鑑別CSP金鑰; 向與該蜂巢式基地台相關聯之一收發器傳送信令發送該存取回應訊息至該UE; 回應於該存取回應訊息識別一發送自該UE之存取完成訊息; 基於該存取完成訊息修改該UE之一映射表,以便指示在該UE與該AS之間已建立一安全通訊對話,其中該RAN-SecGW使用該映射表在該UE與該AS之間路由訊息;以及 向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由該IP安全隧道發送該存取完成訊息至該AS。
  12. 如請求項11之裝備,其中該一或多個處理器及記憶體更被組配用以: 基於該存取回應訊息修改該UE之映射表以指示該UE與該AS之間的安全存取擱置中。
  13. 如請求項12之裝備,其中該映射表包括下列一或多者:該UE之一資料鍵路層(第2層)位址、該CSP ID、或該UE之一UE識別符(UE ID)。
  14. 如請求項12之裝備,其中該一或多個處理器及記憶體更被組配用以: 為該安全通訊對話指定一連接識別符(ID)及一資料鍵路層(第2層)識別符(ID);以及 向與該蜂巢式基地台相關聯之該收發器傳送信令隨同該存取回應訊息發送該連接ID及該第2層ID至該UE。
  15. 如請求項12之裝備,其中該一或多個處理器及記憶體更被組配用以: 識別該安全通訊對話在該映射表中之一金鑰過期時間; 向該網路連結電路系統傳送信令在達到該金鑰過期時間之前,發送一金鑰再新請求訊息至該AS以供該安全通訊對話之用; 識別回應於該金鑰再新請求訊息發送自該AS之一金鑰再新回應訊息; 基於該金鑰再新回應訊息更新該映射表; 向與該蜂巢式基地台相關聯之該收發器傳送信令發送一金鑰更新訊息至該UE; 識別回應於該金鑰更新訊息發送自該UE之一金鑰再新完成訊息;以及 向該網路電路系統傳送信令發送該金鑰再新完成訊息至該AS。
  16. 如請求項15之裝備,其中該金鑰再新回應訊息包括一無線電存取金鑰、及用於該無線電存取金鑰之一隨機數,以及其中該一或多個處理器及記憶體更被組配用以: 安裝該無線電存取金鑰;以及 向與該蜂巢式基地台相關聯之該收發器傳送信令隨同該金鑰更新訊息發送用於該無線電存取金鑰之隨機數至該UE。
  17. 如請求項15之裝備,其中該金鑰再新回應訊息包括下列一或多者:該CSP ID、用於該UE之一UE識別符(UE ID)、或用於一端對端(E2E)對話金鑰之一隨機數。
  18. 如請求項15之裝備,其中該金鑰更新訊息包括下列一或多者:用於該UE之一UE識別符(ID)、或用於一端對端(E2E)對話金鑰之一隨機數、或一連接識別符(ID)。
  19. 如請求項11之裝備,其中該一或多個處理器及記憶體更被組配用以: 向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由該RAN-SecGW及與該CSP相關聯之一CSP安全閘道器(CSP-SecGW)之間的一網際網路封包(IP)安全隧道發送該存取請求訊息至該AS;以及 向與該RAN-SecGW相關聯之該網路連結電路系統傳送信令經由該IP安全隧道發送該存取完成訊息至該AS。
  20. 一種與一雲端服務提供者(CSP)相關聯之一應用伺服器(AS)之裝備,該裝備包含一或多個處理器及記憶體,被組配用以: 識別發送自與一蜂巢式基地台相關聯之一無線電存取網路安全閘道器(RAN-SecGW)之一存取請求訊息,該存取請求訊息表明一UE請求與該CSP建立一安全連接; 使用一金鑰推導函數(KDF)、並使用與該無線電存取金鑰相關聯之一隨機數及一密鑰(SK)當作該KDF用之參數來推導一無線電存取金鑰; 使用該KDF、並使用與該E2E對話金鑰相關聯之一隨機數及該SK當作該KDF之參數來推導一端對端(E2E)對話金鑰;以及 向與該AS相關聯之網路連結電路系統傳送信令回應於該存取請求訊息發送一存取回應訊息至該RAN-SecGW,其中該存取回應包括該無線電存取金鑰、用於該無線電存取金鑰之隨機數、該E2E對話金鑰、以及用於該對話金鑰之隨機數。
  21. 如請求項20之裝備,其中該一或多個處理器及記憶體更被組配用以向與該AS相關聯之該網路連結電路系統傳送信令經由該AS與該RAN-SecGW之間的一網際網路封包(IP)安全隧道發送該存取回應訊息至該RAN-SecGW。
  22. 如請求項21之裝備,其中該一或多個處理器及記憶體更被組配用以: 向與該AS相關聯之該網路連結電路系統傳送信令經由一安全網路連接發送一對於該SK之請求至與該UE之一製造商相關聯之一伺服器。
  23. 如請求項20之裝備,其中該一或多個處理器及記憶體更被組配用以: 回應於該存取回應訊息識別自該UE發送至該AS之一存取完成訊息;以及 向與該AS相關聯之該網路連結電路系統傳送信令使用一安全連接發送一通訊至該UE,該安全連接已基於下列一或多者建立於該AS與該UE之間:該存取請求訊息、該存取回應訊息、或該存取完成訊息。
TW105131652A 2015-11-02 2016-09-30 不使用核心蜂巢式網路的蜂巢式裝置安全連接技術 TW201717688A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201562249824P 2015-11-02 2015-11-02
PCT/US2016/041003 WO2017078804A1 (en) 2015-11-02 2016-07-05 Secure connection of cellular devices without using a core cellular network

Publications (1)

Publication Number Publication Date
TW201717688A true TW201717688A (zh) 2017-05-16

Family

ID=56561451

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105131652A TW201717688A (zh) 2015-11-02 2016-09-30 不使用核心蜂巢式網路的蜂巢式裝置安全連接技術

Country Status (2)

Country Link
TW (1) TW201717688A (zh)
WO (1) WO2017078804A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3432535B1 (en) * 2017-07-18 2021-09-01 Deutsche Telekom AG Applying filter rules in lpwa communication networks
CN111758246B (zh) * 2018-02-20 2023-05-12 瑞典爱立信有限公司 用于小数据用户平面传输的装备、方法和存储介质
US10514893B1 (en) 2018-03-05 2019-12-24 Wells Fargo Bank, N.A. Apparatuses and methods for pseudo-random number generation

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014193278A1 (en) * 2013-05-29 2014-12-04 Telefonaktiebolaget L M Ericsson (Publ) Gateway, client device and methods for facilitating communcation between a client device and an application server
WO2015072899A1 (en) * 2013-11-15 2015-05-21 Telefonaktiebolaget L M Ericsson (Publ) Methods and devices for bootstrapping of resource constrained devices

Also Published As

Publication number Publication date
WO2017078804A1 (en) 2017-05-11

Similar Documents

Publication Publication Date Title
CN110291803B (zh) 蜂窝网络中的隐私保护和可扩展认证协议认证和授权
US11452001B2 (en) Group based context and security for massive internet of things devices
TWI615053B (zh) 用以提供且附加一蜂巢式物聯網裝置至一雲端服務提供者的程序
US11671822B2 (en) UE capabilities provisioning and retrieval in cellular networks
EP3473027B1 (en) Services provisioning for internet-of-things devices in cellular networks
KR101834685B1 (ko) 무선 로컬 영역 네트워크에서 사용자 장비(ue)의 통신을 안전하게 하는 장치, 시스템 및 방법
US11805409B2 (en) System and method for deriving a profile for a target endpoint device
US20230300674A1 (en) Wireless local area network enhancements for access traffic steering switching splitting
CN107925875B (zh) 经由wlan节点在蜂窝管理器和用户设备(ue)之间进行通信的装置、系统和方法
WO2018170617A1 (zh) 一种基于非3gpp网络的入网认证方法、相关设备及系统
EP3834448A1 (en) Delegated data connection
US20220174482A1 (en) Establishing a protocol data unit session
EP3939195B1 (en) Methods of improving the robustness for dci triggered beam update in 5g nr
JP2022535933A (ja) マルチユーザモバイル端末のためのサービス配信を実行するための装置、システム、方法、およびコンピュータ可読媒体
WO2022253083A1 (zh) 一种公私网业务的隔离方法、装置及系统
TW201717688A (zh) 不使用核心蜂巢式網路的蜂巢式裝置安全連接技術
CN116195362A (zh) 通信网络中的认证
CN114600487B (zh) 身份认证方法及通信装置
WO2022031556A1 (en) Computing service enablement for next generation cellular networks
WO2024067619A1 (zh) 通信方法和通信装置
US20240162976A1 (en) Beam failure recovery timing in a nonterrestrial network (ntn)
WO2024069502A1 (en) Providing security keys to a serving network of a user equipment
WO2021069359A1 (en) Cryptographic security mechanism for groupcast communication