TW201720216A - 用於使用支援多個連線性和服務上下文的安全模型的無線通訊的方法和裝置 - Google Patents

用於使用支援多個連線性和服務上下文的安全模型的無線通訊的方法和裝置 Download PDF

Info

Publication number
TW201720216A
TW201720216A TW105134715A TW105134715A TW201720216A TW 201720216 A TW201720216 A TW 201720216A TW 105134715 A TW105134715 A TW 105134715A TW 105134715 A TW105134715 A TW 105134715A TW 201720216 A TW201720216 A TW 201720216A
Authority
TW
Taiwan
Prior art keywords
service
context
network
client device
security
Prior art date
Application number
TW105134715A
Other languages
English (en)
Other versions
TWI713614B (zh
Inventor
李秀凡
史帝法諾 法西
蓋文伯納德 霍恩
約翰 納希斯基
雷納吉納維夫 千波寧瑞
Original Assignee
高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 高通公司 filed Critical 高通公司
Publication of TW201720216A publication Critical patent/TW201720216A/zh
Application granted granted Critical
Publication of TWI713614B publication Critical patent/TWI713614B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/15Setup of multiple wireless link connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/02Data link layer protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

本案內容的態樣提供了用於在共享單個連線性上下文時實現多個連線性和服務上下文以建立網路連接的安全模型。上下文(例如,連線性上下文、服務上下文、安全性上下文)是描述在兩個或兩個以上實體之間建立的連線性、服務或安全性的資訊集合。連線性上下文和服務上下文可以在不同的網路節點或實體處建立。在本案內容的一個態樣中,連線性上下文包括進化型封包系統(EPS)行動性管理(EMM)上下文或者EMM上下文和EPS通信期管理(ESM)上下文二者。

Description

用於使用支援多個連線性和服務上下文的安全模型的無線通訊的方法和裝置
概括地說,下文論述的技術係關於無線通訊系統,並且更具體地係關於用於支援多個連線性和服務上下文的安全模型。
當前無線系統典型地工作在封包交換域中。無線系統的一些實例是LTE(長期進化)、LTE-A(改進的LTE)和WLAN(無線區域網路)。此類無線系統典型地經由在使用者設備與網路的連線性管理部分之間使用單個連線性上下文而僅支援單個訂閱及/或單個憑證。在LTE實例中,單個非存取層(NAS)上下文可以被用在使用者裝置(UE)(使用者設備)與行動性管理實體(MME)之間。在LTE中,NAS是被用來在UE與MME之間傳送用於LTE存取的非無線電相關的訊號傳遞的協定集合。連線性上下文一般代表與兩個實體(例如,使用者設備到網路實體或網路實體到網路實體)之間的連接相關聯的或定義該連接的資訊。
在相關領域中,使用者設備(例如,行動設備或UE)一般包括用戶辨識模組(SIM)卡,該SIM卡包括對於該SIM卡唯一的標識資訊和金鑰。使用對由網路服務供應商提供的服務的訂閱的使用者設備能夠憑藉被儲存在該SIM卡上的標識和金鑰(或認證)資訊與該網路建立無線電鏈路或連線性。換句話說,在存取鏈路與連線性上下文的使用之間存在緊密的關係(例如,一對一的關係)。在蜂巢網路的情況下,存取鏈路的實例包括使用者平面和無線電資源控制(RRC)或媒體存取控制(MAC)訊號傳遞連接。在LTE實例中,建立無線電鏈路涉及EMM(進化型封包系統(EPS)行動性管理)上下文和ESM(EPS通信期管理)上下文。此外,在LTE實例中,當UE連接到網路時,在行動性管理實體(MME)處建立行動性管理上下文(EMM上下文)和通信期管理上下文(ESM上下文)。EMM上下文和ESM上下文二者與被儲存在SIM卡中的單個憑證(例如,SIM憑證)相關聯。該憑證允許MME決定該UE是否能夠被認證以建立所請求的連接。在該情況下,該MME向所有可用服務的一個提供者提供一個認證點。在該對上下文與SIM憑證之間存在一對一的關聯。因此,可以說該對相關的上下文被緊密地耦合至該SIM憑證。
下面提出了對本案內容的一或多個態樣的簡要概述,以便提供對此類態樣的基本理解。該概述不是對本案內容的全部預期特徵的泛泛概括,並且既不意欲標識本案內容的全部態樣的關鍵的或決定性的元素亦不意欲圖示本案內容的任意或全部態樣的範疇。其唯一目的在於以簡化的形式提出本案內容的一或多個態樣的一些概念,作為稍後提出的更詳細的描述的序言。
本案內容的態樣揭示一種用於支援多個連線性和服務上下文的安全模型。不同的憑證可以被用來建立連線性上下文和多個服務上下文。
本案內容的一個態樣提供了一種在無線通訊網路中操作客戶端設備的方法。根據該方法,客戶端設備基於第一憑證來與連線性網路建立連接。客戶端設備建立與連接相對應的連線性上下文。客戶端設備辨識與連線性網路相關聯的一或多個服務網路。客戶端設備使用所建立的連接與一或多個服務網路建立一或多個服務連接,其中一或多個服務連接是使用各自的第二憑證建立的。客戶端設備建立分別與服務連接相對應的一或多個服務上下文。一或多個服務上下文分別包括不同的安全性上下文。安全性上下文之每一者安全性上下文包括非存取層(NAS)安全性上下文和存取層(AS)安全性上下文,二者與相同的第二憑證相對應。
本案內容的一個態樣提供了一種操作連線性網路的網路節點的方法。根據該方法,網路節點基於連線性憑證來與客戶端設備建立第一連接。網路節點建立與第一連接相對應的連線性上下文。網路節點接收來自客戶端設備的針對與一或多個服務網路建立連接的請求。網路節點使用網路節點作為代理,為客戶端設備分別建立與服務網路的複數個第二連接。網路節點包括主行動性管理實體(HMME)。
本案內容的一個態樣提供了一種操作服務網路的網路節點的方法。根據該方法,網路節點接收來自客戶端設備的針對建立連接的請求。網路節點經由連線性網路的網路節點來與客戶端設備建立連接。連線性網路的網路節點包括主行動性管理實體(HMME)。網路節點建立與連接相對應的服務上下文,其中服務上下文與安全性上下文相關聯。
本案內容的一個態樣提供了一種無線通訊網路中的客戶端設備。客戶端設備包括被儲存有電腦可執行代碼的記憶體、被配置為與連線性網路通訊的通訊介面、以及被操作地耦合到記憶體和通訊介面的處理器。處理器被電腦可執行代碼配置為基於第一憑證與連線性網路建立連接。處理器亦被配置為建立與連接相對應的連線性上下文。處理器亦被配置為辨識與連線性網路相關聯的一或多個服務網路。處理器亦被配置為使用所建立的連接來與一或多個服務網路建立一或多個服務連接。一或多個服務連接是使用各自的第二憑證建立的。處理器亦被配置為建立分別與服務連接相對應的一或多個服務上下文。一或多個服務上下文分別包括不同的安全性上下文。安全性上下文之每一者安全性上下文包括非存取層(NAS)安全性上下文和存取層(AS)安全性上下文,二者與相同的第二憑證相對應。
本案內容的一個態樣提供了一種連線性網路的網路節點。網路節點包括被儲存有電腦可執行代碼的記憶體、被配置為與客戶端設備通訊的通訊介面、以及被操作地耦合到記憶體和通訊介面的處理器。處理器被電腦可執行代碼配置為基於連線性憑證來與客戶端設備建立第一連接。處理器亦被配置為建立與第一連接相對應的連線性上下文。處理器亦被配置為接收來自客戶端設備的針對與一或多個服務網路建立服務連接的請求。處理器亦被配置為使用網路節點作為代理,為客戶端設備分別建立與服務網路的複數個第二連接。網路節點包括主行動性管理實體(HMME)。
本案內容的一個態樣提供了一種服務網路的網路節點。網路節點包括被儲存有電腦可執行代碼的記憶體、被配置為與客戶端設備通訊的通訊介面、以及被操作地耦合到記憶體和通訊介面的處理器。處理器被可執行代碼配置為接收來自客戶端設備的針對建立連接的請求。處理器亦被配置為經由連線性網路的網路節點來與客戶端設備建立連接。連線性網路的網路節點包括主行動性管理實體(HMME)。處理器亦被配置為建立與連接相對應的服務上下文,其中服務上下文與安全性上下文相關聯。
在審閱下面的具體實施方式時,將會更全面地理解本發明的這些和其他態樣。在結合附圖審閱下面的本發明的具體的、示例性的實施例的描述時,對於本發明所屬領域中具有通常知識者來說,本發明的其他態樣、特徵和實施例將變得顯而易見。儘管可以相對於下文的某些實施例和附圖來論述本發明的特徵,但是本發明的所有實施例可以包括本文論述的有利特性中的一或多個。換句話說,儘管可以將一或多個實施例論述為具有某些有利的特徵,但是此類特徵中的一或多個亦可以根據本文論述的本發明的各個實施例來使用。以類似的方式,儘管下文將示例性實施例論述為設備、系統或方法實施例,但是應當理解的是,此類示例性實施例可以被實現在各種設備、系統和方法中。
下文結合附圖闡述的具體實施方式意欲作為各種配置的描述,並不意欲表示在其中可以實踐本文描述的概念的僅有配置。具體實施方式包括出於提供對各個概念的透徹理解的目的的具體細節。但是,對於本發明所屬領域中具有通常知識者來說顯而易見的是,可以在沒有這些具體細節的情況下實踐這些概念。在一些實例中,為了避免使此類概念模糊,以方塊圖的形式圖示公知的結構和組件。
本案內容的態樣提供了用於在共用單個連線性上下文時實現多個連線性和服務上下文以建立網路連接的安全模型。網路連接可以包括單個無線電或無線鏈路,其可以支援使用多個不同的服務上下文和安全性上下文的多個服務連接。單個無線電或無線鏈路可以包括與單個連線性上下文相對應的一或多個無線通道、頻率或載波。通常,上下文(例如,連線性上下文、服務上下文、安全性上下文)是描述在兩個或兩個以上實體之間建立的連接、服務或安全性的資訊集合。在本案內容的一個態樣中,連線性上下文包括進化型封包系統(EPS)行動性管理(EMM)上下文、或EMM上下文和EPS通信期管理(ESM)上下文二者。
在本案內容的一個態樣中,可以基於單個連線性上下文(例如,EMM上下文)在客戶端設備(例如,UE)與無線存取網路(RAN)之間建立無線電資源控制(RRC)鏈路或媒體存取控制(MAC)鏈路。在一個實例中,RAN可以是蜂巢RAN或包括Wi-Fi存取點的無線電網路,或者蜂巢和Wi-Fi無線電單元的組合。在另一個實例中,RAN可以具有在經許可及/或免許可頻譜中操作的並且由公共無線電資源控制(RRC)或媒體存取控制(MAC)機制控制的一或多個無線電存取節點。在各個實例中,RRC可以包括蜂巢RRC、蜂巢RRM(無線電資源管理)、媒體存取控制(MAC)或用於經由一或多個鏈路控制對無線電資源的存取(包括針對較高層訊號傳遞和使用者資料的傳輸的無線電資源的建立)的任何其他訊號傳遞機制。
在建立了單個連線性上下文(例如,EMM上下文)之後,客戶端設備可以使用受到不同安全性上下文保護的多個不同的服務上下文來在單個鏈路上建立同時的或併發的服務連接。在一個實例中,服務上下文包括ESM上下文。以此方式,共用的單個連線性上下文被用於較低層級的無線鏈路連接,而兩個或兩個以上服務上下文被用來在無線電鏈路上例如與服務提供者建立服務連接。本案內容的態樣提供用於保護服務連接同時共用到RAN的單個鏈路或連接的安全模型。 支援多個服務連接的單個連線性連接
圖1圖示客戶端設備102(例如,UE)與無線電存取網路(RAN)120之間的單個無線電鏈路101,其可以用來將客戶端設備102耦合到兩個或兩個以上服務提供者104或供應功能單元104和106,同時支援與不同服務上下文108、110和112相關聯的多個服務連接114、116、118。在該特定實例中,在客戶端設備102處實現的單個連線性上下文122可以被用來與RAN 120建立無線電鏈路101。無線電鏈路101可以由與不同的服務上下文108、110和112相關聯的多個同時的連接來共用。單個連線性上下文(例如,EMM上下文或EMM/ESM上下文)被用來與網路主行動性管理實體124(HMME)建立連接,該網路HMME提供:安全性、用於承載管理和資料連接管理的訊號傳遞、傳呼、行動性等等。對單個連線性上下文122的使用有助於在同一無線電鏈路101上對具有相應服務連接114、116和118的多個同時的或併發的服務上下文108、110、112的使用。服務連接之每一者服務連接可以利用不同的安全性上下文來保護(例如,在圖4-6和14-18中示出的)。在一個實例中,若客戶端設備102具有三種類型的訂閱(例如,三種服務上下文),則這可以實現用於在客戶端設備102與RAN 120之間的單個(同一個)無線電鏈路101上建立三個同時的服務連接114、116和118的能力:每個訂閱及/或服務上下文108、110和112對應於一個連接。單個無線電鏈路可以包括一或多個無線電承載。同時的服務連接114、116及/或118中的任何一或多個在任何給定的時間可以是閒置的或活動的。
主MME 124(HMME)可以在邏輯上靠近RAN 120來實現並且用來管理連線性上下文(例如,EMM上下文或EMM/ESM上下文)的建立,以及基於共享的連線性上下文122來建立無線電鏈路101。主MME 124可以用來認證客戶端設備102以建立連線性上下文。例如,主MME 124可以在控制平面上執行與客戶端設備102的非存取層(NAS)EPS行動性管理(EMM)以控制客戶端設備102的行動性及/或安全性。主MME 124亦可以在控制平面上與客戶端設備102執行非存取層(NAS)EPS通信期管理(ESM)以支援或配置服務連接114、116、118。主MME 124可以與歸屬授權、認證和計費(H-AAA)伺服器144認證客戶端設備102以基於與客戶端設備102相關聯的憑證和訂閱資訊來決定連線性上下文122是否應當被建立。例如,客戶端設備102可以具有用於儲存憑證和訂閱資訊的SIM卡。因此,連線性上下文122用來建立能夠由客戶端設備102的多個服務連接114、116和118共享的單個無線電鏈路101。 NAS安全性
在本案內容的一個態樣中,修改非存取層(NAS)模型以實現單獨的EMM上下文和ESM上下文。例如,能夠在沒有ESM上下文的情況下利用HMME建立EMM上下文。HMME是可以位於靠近RAN的核心網路實體。客戶端(例如,UE)可以具有用於建立不同上下文的不同憑證。例如,被用來建立EMM上下文的憑證可以不同於被用來建立ESM上下文的憑證。憑證可以是用於決定客戶端是否能夠建立所請求的EMM上下文及/或ESM上下文的資訊,其可以被儲存在客戶端及/或網路節點處。例如,連線性憑證被用來建立EMM上下文,而服務憑證被用來建立ESM上下文。不同的服務憑證可以被用來建立不同的ESM上下文。在一個實例中,NAS模型使用相同的憑證集合在HMME處同時地實現對EMM上下文和一或多個ESM上下文(例如,圖1的連線性上下文122和EMM/ESM上下文126)的建立。
參考圖1,一旦建立了連線性上下文122(亦即,在單個無線電鏈路101上建立到網路的連接),客戶端設備102就可以基於相應的憑證集合(例如,不同的服務憑證)與不同的網路實體建立一或多個ESM上下文,憑證集合允許經由連線性提供者中的可區分的連接管理實體的服務區分。連接管理實體的實例是服務管理實體(SME)。
在本案內容的一個態樣中,RAN 120可以被連接到複數個服務提供者104和106。例如,每個服務提供者104、106可以包括具有服務管理實體(SME)128和130的連線性提供者以及一或多個封包資料網路閘道(P-GW)和一或多個服務閘道(S-GW)132和134。這些SME 128和130之每一者可以維護用於服務連接114和116的各自的ESM上下文136和138,其中服務連接114和116是使用可以由相應的服務AAA(授權、認證和計費)伺服器提供的憑證和訂閱資訊建立的。例如,SME 128和130可以經由各自的服務AAA伺服器140和142或經由其支援認證客戶端設備102,以基於與服務上下文108和110相關聯的並且由AAA伺服器140和142提供的憑證來決定服務連接114及/或116是否應當被建立。成功的認證使得SME能夠為客戶端設備102建立服務上下文108和110(例如,ESM上下文)。相應的服務上下文(ESM上下文136、138)可以在SME 128和130處建立。
在圖1的示例性說明中,客戶端設備102已經建立了第一服務上下文108、第二服務上下文110和第三服務上下文112。但是,可以預期的是客戶端設備102可以建立任何數量的服務上下文。
在圖1中,客戶端設備102和多個服務提供者(例如,服務網路104及/或106)可以建立多個服務上下文108、110和112,其中每個服務上下文108、110和112可以與一或多個憑證集合相對應。憑證集合可以被定義為或者包括使得其他設備(例如,網路設備)能夠向服務或連接辨識客戶端設備102(或者客戶端設備的使用者/用戶)的資訊集合、被用於認證的安全金鑰等等。憑證可以被實現為安全性上下文。例如,被儲存在客戶端設備處的認證資訊和被儲存在網路側的相應的資訊可以被稱為安全性上下文。
在一個實例中,基於多個同時的服務上下文108、110和112的連接114、116和118可以被覆用在與RAN 120的單個連接上,例如,通訊協定堆疊的層2連接(例如,LTE層2)。服務上下文108、110和112是基於由客戶端設備102用於建立每個服務上下文108、110和112的具體的/不同的標識來區分的。例如,客戶端設備102可以被供應有憑證集合,憑證集合提供對與主MME的連線性建立(亦即,至少EMM上下文)的安全存取,該主MME提供到網路的訊號傳遞或連接並且實現行動性管理。此類憑證可以是,例如,開箱即用憑證、服務供應商憑證或由OEM(原始設備製造商)提供的並且在製造時由製造客戶端設備102的實體安裝在客戶端設備102中的憑證。對OEM憑證的使用使得OEM能夠提供憑證並且託管針對此類憑證的認證,從而使得客戶端設備102能夠支援不同的服務提供者,因為服務提供者憑證被用來僅提供ESM上下文而不是EMM上下文或連線性上下文。隨著OEM憑證用於第一(EMM)上下文(例如,連線性上下文)的建立,有可能建立提供訊號傳遞,行動性管理、安全性等等的EMM(連線性)上下文而不給建立此類連線性帶來收費或費用,因為沒有產生關於該上下文的資料傳輸量或訊息。
服務相關的憑證被用來與SME(服務管理實體)建立一或多個ESM上下文(例如,服務上下文)。在各種配置中,SME可以實體地與HMME分開,該SME(或SME功能的軟體版本)可以共置在或者託管在HMME處或者其組合,其中一些SME可以被HMME共置/託管,而其他SME與HMME分開。在一些實例中,UE可以利用連線性憑證來建立ESM上下文。 AS安全性
存取層(AS)是經由RAN 120處理客戶端設備102(例如,UE)與核心網路(CN)之間的活動的功能層和協定集合。例如,CN可以包括HMME 124、一或多個SME 128、130、一或多個S-GW 132、134和一或多個P-GW 132、134。在AS中,可以在CN與客戶端設備102之間建立多個無線電存取承載(RAB)。在本案內容的一個態樣中,每個RAB可以與不同的ESM上下文相關聯,並且每個ESM上下文可以由虛擬ESM(VESM)標籤(或辨識符)來決定。在本案內容的一個態樣中,多個RAB與同一EMM上下文相關聯。在該情況下,RAN 120(例如,進化型節點B或eNB)無法看見多個ESM上下文。亦即,RAN 120可能不能在EMS上下文中區分資料傳輸量。eNB具有RAB集合,例如,一些對應於第一ESM上下文,以及一些對應於第二ESM上下文,並且HMME具有RAB到具體ESM上下文的映射。
在圖1中,RAN 120被描述為存在於存取層內。但是,RAN 120亦提供NAS功能。在由存取層提供的服務之中是NAS實體(例如,客戶端設備和核心網路節點)之間的NAS訊息的傳輸。NAS協定支援客戶端設備的行動性以及用於建立和維護客戶端設備與核心網路之間的連接的程序。例如,NAS協定可以被用來傳輸客戶端設備102與圖1中圖示的服務提供者A的核心網路(CN)及/或服務提供者B的CN之間的NAS訊息。儘管存取層(AS)傳輸NAS訊號傳遞,但是NAS訊號傳遞並不終止於存取層處。在本案內容的一個態樣中,客戶端設備102與RAN 120之間的單個無線電鏈路101(例如,RRC鏈路)可以被邏輯地或者虛擬地分成多個服務連接,例如,服務連接114和116。服務連接是與它們相應的服務上下文(例如,ESM上下文136和138)相關聯地建立的。 設備辨識符
各個客戶端設備辨識符可以被用來在AS及/或NAS中辨識客戶端設備102(例如,UE),以便經由單個鏈路實現多個服務連接。一些非限制性實例包括國際行動用戶標識(IMSI)、全球唯一臨時UE標識(GUTI)、用戶服務標識(SCSI)、臨時SCSI(T-SCSI)、全球唯一臨時通信期標識(GUTSI)和臨時傳輸辨識符(TTI)。例如,在連線性上下文122中,客戶端設備102的GUTI可以被映射到在客戶端設備中活動的每個服務上下文(例如,服務上下文108、110和112)的GUTSI。因此,基於服務上下文到不同服務提供者的連接可以由HMME 124使用適當的客戶端設備辨識符來辨識。
在本案內容的一個態樣中,SCSI可以是客戶端設備(UE)提供給SME用於認證的永久性標識(類似於典型的UE-MME認證中的IMSI)。SCSI可以辨識具體的UE訂閱和相關憑證。SCSI可以被SME用來辨識AAA或認證/授權伺服器,該AAA或認證/授權伺服器被用來取回相應的客戶端訂閱簡檔並且認證客戶端設備。
在本案內容的一個態樣中,T-SCSI可以是臨時辨識符,該臨時辨識符可以被分配以在客戶端設備與SME之間的後續訊號傳遞中辨識該客戶端設備(例如,UE)。在一些實例中,T-SCSI可能不總是被使用及/或可能不總是被分配。若SME向客戶端設備提供T-SCSI,則客戶端設備可以將其用在客戶端設備與SME之間的後續訊號傳遞中。
在本案內容的一個態樣中,在成功的認證時,GUTSI可以由SME分配給客戶端設備。GUTSI可以由客戶端設備用在客戶端設備與相同SME之間交換的所有訊號傳遞或資料中。在一個實例中,客戶端設備在NAS載荷(其包含該客戶端設備與SME之間的實際訊息)之外提供所分配的GUTSI,以辨識在客戶端設備與HMME之間傳輸的NAS載荷屬於哪個客戶端設備。在另一個實例中,客戶端設備可以在NAS載荷之內提供GUTSI。HMME可以使用GUTSI區分及/或辨識從客戶端設備發送的訊號傳遞被指向哪個SME。例如,當UE-SME NAS訊息被封裝在客戶端設備(例如,UE)與HMME之間的NAS訊息中時,該客戶端設備提供與該UE-SME NAS訊息相關聯的GUTSI,以向HMME指示要向哪個SME發送NAS訊息以及UE-SME NAS訊息與哪個客戶端設備相對應。
在本案內容的一個態樣中,臨時傳輸辨識符(TTI)可以被SME分配用於客戶端設備與SME之間的服務上下文,以便在HMME中辨識客戶端設備的ESM上下文與相應的SME之間的關係。在接收到包含TTI的訊號傳遞時,HMME使用TTI來辨識相應的客戶端設備或SME,並且將訊號傳遞轉發給所辨識的客戶端設備或SME。
在本案內容的一個態樣中,客戶端設備可以在針對建立服務連接或服務上下文的請求期間,提供由客戶端設備用來辨識正在針對其請求服務上下文建立的網路或服務的辨識符。這可以是存取點名稱(APN)或服務的任何適當的辨識符。上述設備辨識符在本質上是說明性的而非限制性的。在本案內容的其他態樣中,其他適當的設備辨識符可以被用來有助於客戶端設備與HMME/SME之間的通訊。 示例性客戶端設備
圖2圖示被配置為使用單個無線電鏈路來支援多個同時的服務上下文或連接的示例性客戶端設備202。客戶端設備202可以是與圖1、4-8、10、11和14-18中描述的UE或客戶端設備中的任何UE或客戶端設備相同的UE或客戶端設備。客戶端設備202可以包括被操作地耦合至彼此的無線網路通訊介面204、一或多個處理器206和記憶體/儲存208。客戶端設備202的各種功能可以被實現在軟體、韌體、硬體或其任何組合中。
無線網路通訊介面204可以用來使用有助於建立到其他設備/網路/服務的無線鏈路或連接的一或多個無線電存取技術,經由一或多個無線電存取網路將客戶端設備202連接到一或多個實體或網路。在一個實例中,無線網路通訊介面204可以被配置為有助於客戶端設備202與其他無線實體或網路的無線通訊。無線網路通訊介面204可以包括一或多個接收器模組/電路/功能單元226、一或多個發射器模組/電路/功能單元228及/或一或多個天線模組/電路/功能單元230。接收器226、發射器228和天線230可以被操作地耦合至彼此。一或多個天線230可以有助於與一或多個無線設備、網路及/或服務的無線通訊。
處理器206可以被操作地耦合到無線網路通訊介面204。處理器206可以包括無線電鏈路建立模組/電路/功能單元210、服務上下文建立模組/電路/功能單元212和使用者平面(UP)安全性上下文建立模組/電路/功能單元213。
處理器206可以被配置用於處理,包括對可以被儲存在記憶體/存放裝置208上的電腦可執行代碼或程式編制的執行。記憶體/存放裝置208可以包括無線電鏈路建立指令216、服務上下文建立指令218和安全性上下文建立指令219。在一些實例中,記憶體/存放裝置208亦可以儲存連線性上下文232、一或多個服務上下文234、一或多個安全性上下文235和被處理器206使用的其他資料。
客戶端設備202可以被用來實現圖7-11和19-20中示出的功能及/或程序中的一或多個。 示例性網路節點
圖3圖示被配置為實現用於支援客戶端設備在單個無線電鏈路上操作的HMME及/或SME的示例性網路節點302,該單個無線電鏈路支援多個服務上下文的同時的或併發的操作。網路節點302可以是與圖1、4-8和10-18中描述的網路節點或實體中的任何網路節點或實體相同的網路節點或實體。網路節點302可以包括可以被操作地耦合至彼此的網路通訊介面304、一或多個處理器306和記憶體/儲存308。
網路通訊介面304可以用來使用有助於在客戶端設備與網路節點之間建立鏈路的一或多個有線或無線存取技術,將網路節點302耦合到一或多個網路或客戶端設備。網路通訊介面304可以包括至少一個接收器模組/電路/功能單元326及/或至少一個發射器模組/電路/功能單元328。網路通訊介面304亦可以包括被操作地耦合到至少一個接收器326及/或至少一個發射器328的一或多個天線模組/電路/功能單元330。
處理器306可以被操作地耦合到網路通訊介面304。處理器306可以包括無線電鏈路建立模組/電路/功能單元310和HMME模組/電路/功能單元312。
處理電路306可以被配置用於處理,包括對可以被儲存在記憶體/儲存308上的指令的執行。如本文使用的,無論被稱為軟體、韌體、中介軟體、微代碼、硬體描述語言或者其他術語,術語「指令」可以被廣泛地解釋為包括但不限於指令集合、代碼、程式碼片段、程式碼、程式、副程式、軟體模組、應用、軟體應用、套裝軟體、常式、子常式、物件、可執行檔、執行的執行緒、程序、函數等等。
記憶體/儲存308可以被操作地耦合到處理器306,並且亦可以被操作地耦合到網路通訊介面304。記憶體/儲存308可以包括無線電鏈路建立指令316和HMME/SME指令318。
在一些實例中,記憶體/儲存308可以儲存連線性上下文(或憑證)332、服務上下文(或憑證)334及/或安全性上下文335。另外,在一些實現方式中,處理器306可以在具有或不具有HMMM模組312的情況下實現服務管理實體(SME)模組/電路/功能單元314。
網路節點302可以實現圖7、8、10-13和22-22中示出的功能及/或程序中的一或多個。在一個特定的實例中,網路節點302可以實現關於圖20描述的程序中的一或多個。 HMME控制平面模型
在各個實例中,客戶端設備可以基於HMME處的單個EMM上下文與存取網路(例如,RAN)建立連接或連線性。一旦連線性被建立,客戶端設備就與不同SME建立對應於不同的憑證集合的一或多個ESM上下文。圖4-6是根據本案內容的一些態樣圖示用於有助於EMM上下文和ESM上下文的建立的HMME控制平面模型的一些實例的圖。
在圖4中示出的第一HMME控制平面模型中,客戶端設備402(例如,UE)經由使用例如連線性憑證和歸屬授權、認證和計費(AAA)伺服器407相互認證,與HMME/SME 406建立EMM上下文404(連線性上下文)。單個EMM上下文404有助於客戶端設備402與RAN 403(例如,eNB)之間的單個無線電鏈路的建立。一旦EMM上下文404已經被建立,客戶端設備402就可以使用多個服務憑證和AAA伺服器407、413、415與多個SME(HMME/SME 406、SME 412、SME 414)建立一或多個ESM上下文408(ESM上下文1、2、3)。客戶端設備402與HMME 406之間的NAS訊息(針對HMME功能)可以基於被儲存在HMME 406中的預設的連線性安全性上下文(例如,NAS安全性上下文)來進行加密和完整性保護。客戶端設備402與SME之間的NAS訊息是使用分別被儲存在SME中的不同的安全性上下文410(NAS安全性上下文)來加密和完整性保護的。客戶端設備402和每個SME使用相應的服務憑證來相互認證。在圖4的該實例中,第一ESM上下文(ESM上下文1)是使用第一安全性上下文(安全性上下文1)來保護的,第一安全性上下文被儲存在客戶端設備402和第一SME 406中。第二ESM上下文(ESM上下文2)是使用第二安全性上下文(安全性上下文2)來保護的,該第二安全性上下文被儲存在客戶端設備402和第二SME 412中。第三ESM上下文(ESM上下文3)是使用第三安全性上下文(安全性上下文3)來保護的,該第三安全性上下文被儲存在客戶端設備402和第三SME 414中。
HMME/SME 406被配置為選擇第一服務/封包資料閘道(S/P GW)418,該第一S/P GW 418被連接到第一服務網路420。類似地,第二SME 412被配置為選擇第二S/P GW 422,該第二S/P GW 422被連接到第二服務網路424。同樣地,第三SME 414被配置為選擇第三S/P GW 426,該第三S/P GW 426被連接到第三服務網路428。第一服務網路420、第二服務網路424和第三服務網路428可以由相同的服務提供者或不同的服務提供者運營。在一些實例中,服務閘道(S-GW)的選擇可以由HMME 406來執行。在此類情況下,HMME 406,例如在服務請求期間向該SME通知所選擇的S-GW。
服務網路可以是至少部分地在連線性網路(例如,包括單個無線電鏈路430和RAN 403)中建立的虛擬網路,並且一或多個服務網路與由一或多個服務提供者(例如,服務網路1、2和3)提供的具體的或不同的服務相關聯。在一個特定的實例中,第一虛擬網路包括無線電鏈路430、RAN 403、第一HMME/SME 406、第一S/P GW 418和第一服務網路420。在另一個實例中,第二虛擬網路包括無線電鏈路430、RAN 403、HMME 406、第二SME 412、第二S/P GW 422和第二服務網路424。在另一個實例中,第三虛擬網路包括無線電鏈路430、RAN 403、HMME 406、第三SME 414、第三S/P GW 426和第三服務網路428。
圖5根據本案內容的態樣圖示第二HMME控制平面模型。第一HMME控制平面模型和第二HMME控制平面模型是相似的,並且因此為了簡潔可以省略冗餘的描述。客戶端設備402與HMME 406建立EMM上下文404。一旦EMM上下文404已經被建立,客戶端設備402就可以使用多個服務憑證和AAA伺服器407、413、415與多個SME(HMME/SME 406、SME 412、SME 414)建立一或多個ESM上下文408(ESM上下文1、2、3)。客戶端設備402和每個SME 406、412、414可以使用相應的服務憑證來相互認證。例如,客戶端設備402可以使用針對SME的三個不同的憑證。在圖5的第二HMME控制平面模型中,HMME 406可以直接選擇並且控制服務連接的服務/封包資料閘道(例如,S/P GW 1、2、3)。這不同於圖4的第一HMME控制平面模型,在該模型中SME選擇服務/封包資料閘道。在本案內容的另一個態樣中,SME(例如,SME 412和SME 414)可以選擇S/P GW並且將選擇轉發給HMME 406,該HMME 406選擇所選擇的S/P GW。
圖6根據本案內容的態樣圖示第三HMME控制平面模型。第一HMME控制平面模型和第三HMME控制平面模型是相似的,並且因此為了簡潔可以省略冗餘的描述。客戶端設備402與HMM 406建立EMM上下文404。一旦EMM上下文404已經被建立,客戶端設備402就可以使用多個服務憑證和AAA伺服器407、413、415與多個SME(HMME/SME 406、SME 412、SME 414)建立一或多個ESM上下文408(ESM上下文1、2、3)。客戶端設備402和每個SME可以使用服務憑證來相互認證。例如,客戶端設備402可以具有針對服務連接的不同的服務憑證。在第三HMME控制平面模型中,HMME 406可以基於ESM上下文408(例如,ESM上下文1、2、3)選擇服務閘道(S-GW)431。隨後,S-GW 431基於ESM上下文408選擇封包資料閘道(P-GW 432、434、436)。這不同於圖4的第一HMME控制平面模型,在該模型中SME選擇服務和封包資料閘道。在一些實例中,SME(例如,SME 412和SME 414)可以選擇封包資料閘道(例如,P-GW 1、2、3)並且可以經由HMME 406將選擇轉發給S-GW 431。隨後,S-GW 431選擇相應的封包資料閘道。在圖4-6的HMME控制平面模型中,不同的服務連接可以利用不同的安全性上下文410(例如,安全性上下文1、2、3)來保護。
圖7-8是根據本案內容的態樣圖示用於使用單個連線性上下文建立多個服務上下文的程序的撥叫流程圖500。在一個實例中,程序可以由UE(客戶端設備)502、eNB 504、HMME 506、SME 508、服務閘道(S-GW)510、第一封包資料閘道(P-GW)512、第二P-GW 514、第一歸屬用戶伺服器(HSS)516和第二HSS 518來執行。如撥叫流程圖500中示出的,使用單個連線性上下文(例如,EMM上下文)在UE 502與網路(例如,eNB 504)之間建立無線電鏈路或連接,隨後其被複數個服務上下文(例如,SME上下文)共享。UE 502、eNB 504、HMME 506、SME 508、S-GW 510、第一P-GW 512、第二P-GW 514、第一HSS 516和第二HSS 518可以是與圖1-6和14-18中的任何一個中示出的那些相同的設備。
UE 502嘗試經由向eNB 504發送附著請求520來附著到網路,eNB 504在初始UE訊息522中將該請求發送或轉發給HMME 506。初始UE訊息可以包括UE ID,使得HMME 506可以辨識客戶端設備502。UE ID可以是上文描述的設備辨識符中的任何設備辨識符。HMME 506決定UE 502是否具有針對所請求的連接的恰當的憑證。例如,HMME 506可以經由與第一HSS 516執行進化型封包系統(EPS)認證和金鑰協商(AKA)程序524來檢查UE 502是否被允許附著。例如,第一HSS 516可以經由產生認證向量並且將其發送給HMME 506,隨後HMME 506代表第一HSS 516執行與UE 502的認證來獲得MME基本金鑰。隨後,HMME 506經由交換NAS安全性模式命令(SMC)訊息526與UE 502執行NAS安全性建立程序。若NAS SMC被完成,則UE 502與HMME 506之間的NAS SMC訊息可以例如基於被儲存在HMME 506中的NAS安全性上下文(若被建立)來進行加密和完整性保護。接下來,HMME 506基於S-GW選擇功能來選擇S-GW 510並且為UE 502的預設承載分配EPS承載標識。隨後,HMME 506向所選擇的S-GW 510發送建立通信期請求528。作為回應,S-GW 510在其EPS承載表中建立新的條目並且向第一P-GW 512發送建立通信期請求訊息529。
回應於建立通信期請求訊息529,第一P-GW 512可以在其EPS承載表中建立新的條目並且產生收費ID。隨後,第一P-GW 512向S-GW 510和HMME 506發送建立通信期回應訊息530。接下來,HMME 506向eNB 504提供包含附著接受訊息的初始上下文建立請求訊息532。接下來,eNB 504向UE 502發送RRC連接重新配置訊息534,其包括EPS無線電承載標識和附著接受訊息。作為回應,UE 502向eNB 504發送RRC連接重新配置完成訊息536。作為回應,eNB 504向HMME 506發送初始建立上下文回應訊息538。
使用上述程序,UE 502能夠與HMME 506建立EMM上下文或連線性。例如,程序可以與圖4中示出的第一HMME控制平面模型一起使用。在EMM上下文被建立之後,UE 502可以使用下列關於圖8描述的程序建立一或多個SME上下文。
參考圖8,為了建立服務的ESM上下文或服務連接,UE 502向HMME 506發送包括服務辨識符(服務ID)的服務註冊訊息540。在接收到服務註冊訊息540時,HMME 506基於由UE 502提供的服務ID來選擇SME(例如,SME 508)並且向所選擇的SME 508發送初始UE訊息542。初始UE訊息542可以包括如前述的客戶端設備辨識符(例如,SCSI),使得SME 508可以辨識UE 502。SME 508可以經由與第二HSS 518執行EPS-AKA程序544來檢查UE 502是否具有服務的訂閱。例如,第二HSS 518可以經由產生認證向量並且將其發送給SME 508,隨後SME 508代表第二HSS 518與UE 502執行認證,來獲得金鑰。隨後SME 508經由交換NAS安全性模式命令(SMC)訊息546與UE 502執行NAS安全性建立程序。
UE 502與SME 508之間的NAS訊息可以使用ESM安全性上下文來保護。例如,UE 502可以使用與SME 508建立的ESM安全性上下文來加密並且保護NAS訊息。針對SME 508的NAS訊息被封裝在針對HMME 506的外部NAS訊息中(亦即,封裝的NAS中的NAS訊息)。例如,外部NAS訊息是使用UE 502與HMME 506之間建立的安全性上下文來進行加密和完整性保護的。在一個實例中,參考圖9,針對HMME的封裝的NAS中的NAS訊息600可以包括SME ID 602,用於使得HMME能夠辨識內部NAS訊息604被轉發到的SME 508,以及UE ID 606(其可以由SME來指派)用於使得SME 508能夠辨識UE 502。在一個實例中,UE ID 606可以包括已經被SME分配的GUTI或GUTSI(或其他適當的辨識符)。
類似地,SME 508可以使用ESM安全性上下文來對NAS訊息進行加密和保護。隨後,該NAS訊息(例如,內部NAS訊息604)被封裝在HMME 506的外部NAS訊息(或可以被定義的任何其他適當的容器)中。在一個實例中,外部NAS訊息可以是不受保護的,但是經由安全的通道被傳輸給HMME 506。在一個實例中,HMME 506和SME 508可以為安全的通訊建立IP安全性(IPsec)通道。外部NAS訊息可以包括UE ID,用於使得HMME 506能夠將UE ID映射到S1-AP UE ID。在另一個實例中,外部NAS訊息可以使用HMME 506的EMM安全性上下文來進行加密和完整性保護。
隨後,SME 508向S-GW 510發送建立通信期請求548。作為回應,S-GW 510在其EPS承載表中建立新的條目,並且向第二P-GW 514發送建立通信期請求訊息。回應於建立通信期請求訊息,第二P-GW 514可以在其EPS承載表中建立新的條目並且產生收費ID。隨後,第二P-GW 514向S-GW 510和SME 508發送建立通信期回應訊息550。接下來,SME 508向HMME 506提供包含附著接受訊息的初始上下文建立請求訊息552。HMME 506將初始上下文建立請求訊息554轉發給eNB 504。接下來,eNB 504向UE 502發送包括EPS無線承載標識和附著接受訊息的RRC連接重新配置訊息556。作為回應,UE 502向eNB 504發送RRC連接重新配置完成訊息558。接下來,eNB 504向HMME 506發送初始建立上下文回應訊息560,HMME 506將初始建立上下文回應訊息562轉發給SME 508。利用上文描述的程序,與SME 508建立SME上下文。
此外,AS安全性模式命令(SMC)訊息可以被用來在UE 502與eNB 504之間建立AS安全性上下文。基於AS安全性上下文(例如,圖15-17中示出的AS安全性上下文),UE 502和eNB 504能夠保護空中傳輸量。儘管單個無線電鏈路(例如,圖1的單個鏈路101)被用於多個服務連接,但是每個服務連接可以利於基於相應的AS安全性上下文的單獨的金鑰來保護,並且由相應的虛擬ESM(VESM)標籤來區分。
圖10-11是根據本案內容的態樣圖示用於使用單個連線性上下文來建立多個服務上下文的程序的撥叫流程圖700。在一個實例中,程序可以由UE(客戶端設備)702、eNB 704、HMME 706、SME 708、服務閘道(S-GW)710、第一封包資料閘道(P-GW)712、第二封包資料閘道P-GW 714、第一歸屬使用者伺服器(HSS)716和第二HSS 718來執行,以使用UE 702處的單個連線性上下文(例如,EMM上下文)來建立無線電鏈路或連接,隨後其被複數個服務上下文(例如,SME上下文)或服務連接共享。客戶端設備(UE) 702、eNB 704、HMME 706、SME 708、S-GW 710、第一P-GW 712、第二P-GW 714、第一HSS 716和第二HSS 718可以是與圖1、4-6和14-18中的任何一個中示出的那些相同的設備。
流程圖700基本上類似於圖7-8的流程圖500。因此,為了簡潔可以省略冗餘的描述。例如,圖10中示出的訊號傳遞程序在UE 702與HMME 706之間建立EMM上下文,並且基本上是與圖7中示出的那些相同的程序。
參考圖11,為了建立服務的ESM上下文或服務連接,UE 702向HMME 706發送包括服務辨識符(服務ID)的服務註冊訊息720。在接收到服務註冊訊息720時,HMME 706基於由UE 702提供的服務ID選擇SME(例如,SME 708)並且向所選擇的SME 708發送初始UE訊息722。初始UE訊息722可以包括如前述的客戶端設備辨識符(例如,SCSI),使得SME 708可以辨識UE 702。SME 708可以經由與第二HSS 718執行EPS-AKA程序724來檢查UE 702是否具有服務的訂閱。例如,第二HSS 718可以經由產生認證向量並且將其發送給SME 708,隨後SME 708代表第二HSS 718與UE 702執行認證,來獲得金鑰。隨後SME 708經由交換NAS安全性模式命令(SMC)訊息726與UE 702執行NAS安全性建立程序。
UE 702與SME 708之間的NAS訊息可以使用ESM安全性上下文來保護。例如,UE 702可以使用與SME 708建立的ESM安全性上下文來對NAS訊息進行加密和保護。例如,針對SME 708的NAS訊息被封裝在針對HMME 706的外部NAS訊息中(亦即,封裝的NAS中的NAS訊息)。外部NAS訊息是使用UE 702與HMME 706之間建立的安全性上下文來進行加密和完整性保護的。針對HMME 706的封裝的NAS中的NAS訊息可以包括SME ID,用於使得HMME 706能夠辨識內部NAS訊息被轉發到的SME 708,以及UE ID(其可以由該SME來指派)用於使得SME 708能夠辨識UE 702。在一個實例中,UE ID可以包括已經由SME分配的GUTI或GUTSI(或其他適當的辨識符)。
類似地,SME 708可以使用ESM安全性上下文來對NAS訊息進行加密和保護。隨後,NAS訊息(內部NAS訊息)被封裝在針對HMME 706的外部NAS訊息(或可以被定義的任何其他適當的容器)中。在一個實例中,外部NAS訊息可以是不受保護的,但是經由安全的通道被傳輸給HMME 706。在一個實例中,HMME 706和SME 708可以為安全的通訊建立IP安全性(IPsec)通道。外部NAS訊息可以包括UE ID,用於使得HMME 706能夠將UE ID映射到S1-AP UE ID。在另一個實例中,外部NAS訊息可以使用HMME 706的EMM安全性上下文來進行加密和完整性保護。
UE 702可以使用下列描述的程序來建立一或多個SME上下文。例如,參考圖11,SME 708經由HMME 706向S-GW 710發送建立通信期請求728。作為回應,S-GW 710在其EPS承載表中建立新的條目,並且向第二P-GW 714發送建立通信期請求訊息728。回應於建立通信期請求訊息,第二P-GW 714可以在其EPS承載表中建立新的條目並且產生收費ID。隨後,第二P-GW 714向S-GW 710發送建立通信期回應訊息730,該S-GW 710經由HMME 706將訊息轉發給SME 708。接下來,HMME 706向eNB 704發送初始上下文建立請求訊息732。接下來,eNB 704向UE 702發送包括EPS無線承載標識和附著接受訊息的RRC連接重新配置訊息734。作為回應,UE 702向eNB 704發送RRC連接重新配置完成訊息736。接下來,eNB 704向HMME 706發送初始上下文建立回應訊息738,該HMME 706將該初始上下文建立回應訊息轉發給SME 708。
使用上述程序,UE 702能夠與SME(例如,SME 708)建立一或多個ESM上下文或服務連接。例如,程序可以被用在圖5和6中示出的第二HMME控制平面模型和第三HMME控制平面模型中。
在本案內容的態樣中,eNB與HMME/SME之間的通訊可以使用如3GPP規範中定義的S1AP(S1應用協定)。S1AP的實例在3GPP TS 36.413—進化型通用陸地無線電存取網路(E-UTRAN);S1應用協定(S1AP)第12版中定義。S1AP 訊息可以使用NDS/IP(網路域安全性/網際網路協定)來保護。NDS/IP使用IP安全性(IPSec)來實現安全域服務。例如,IPSec隧道可以被用來保護該eNB與HMME/SME之間的訊息。
在本案內容的態樣中,eNB與HMME之間的訊息可以使用如在LTE標準(例如,3GPP TS 36.413)中定義的S1AP。參考圖12,eNB 802與SME 804之間的訊息可以使用S1AP來傳送,並且HMME 806可以被實現為eNB與SME之間的代理。eNB 802、SME 804和HMME 806可以是與圖4-8、10、11和14-18中描述的那些相同的設備。在該實例中,HMME 806和SME 804可以使用單獨的UE ID。HMME 806將HMME UE ID轉化為SME UE ID,或者反之亦然。在eNB 802與HMME 806之間建立IPSec隧道,並且在HMME 806與SME 804之間建立另一個IPSec隧道。IPSec隧道可以受到NDS/IP的保護。但是,本案內容不被限制到用於eNB與HMME/SME之間的通訊的S1AP。在本案內容的一些態樣中,單獨的通訊協定可以被用在eNB與SME之間、HMME與SME之間、eNB與HMME之間或其組合。
參考圖13,eNB 902與SME 904之間的S1AP可以經由隧道穿越HMME 906來實現。eNB 902、SME 904和HMME 906可以是與圖4-8、10、11和14-18中描述的那些相同的設備。在該實例中,在註冊或服務請求期間,HMME 906向SME 904提供eNB ID和位址。隨後,eNB 902和SME 904可以基於預先安裝的憑證(例如,證書)來建立安全通道908。在一個特定的實例中,安全通道908可以是基於IPSec隧道、TLS(傳輸層安全性)或DTLS(資料包傳輸層安全性)的。在該情況下,eNB 902與SME 904之間的S1AP訊息使用透明容器隧道穿越HMME 906。
除了關於圖4-6描述的控制平面安全性,可以在使用者平面處實現額外的安全性以使客戶端設備與SME之間的通訊安全。圖14是根據本案內容的態樣圖示具有擴展的使用者平面安全性的HMME控制平面模型的圖。擴展的使用者平面安全性可以被實現在圖4-6中示出的所有三個HMME控制平面模型中,或者其他適當的HMME控制平面模型中。例如,客戶端設備1002(例如,UE)可以使用多個使用者平面(UP)安全性上下文1004來執行與多個封包資料閘道(P-GW)的額外的認證。除了由ESM上下文1006和安全性上下文1008提供的那些之外,UP安全性上下文1004允許服務提供者向客戶端設備1002與該服務提供者的網路之間的訊息或通訊提供額外的安全層。此外,UP安全性可以由服務提供者來控制和維護,使得訊息或通訊的資訊和內容可以免遭連線性提供者的網路(例如,RAN 1010和HMME)的破壞。
在本案內容的態樣中,第一P-GW 1014、第二P-GW 1016和第三P-GW 1018分別提供到第一服務網路1020、第二服務網路1022和第三服務網路1024的連接。第一P-GW 1014可以經由基於相應的UP安全性上下文(例如,UP安全性1)與第一HSS/AAA 1026執行認證程序來檢查客戶端設備1002是否具有針對服務的有效訂閱或憑證。第二P-GW 1016可以經由基於相應的UP安全性上下文(例如,UP安全性2)與第二HSS/AAA 1028執行認證程序來檢查客戶端設備1002是否具有針對服務的有效訂閱或憑證。類似地,第三P-GW 1018可以經由基於相應的UP安全性上下文(例如,UP安全性3)與第三HSS/AAA 1030執行認證程序來檢查客戶端設備1002是否具有針對服務的有效訂閱或憑證。
圖15-17是根據本案內容的態樣圖示使用存取層安全性上下文的一些示例性HMME使用者平面模型的圖。在這些實例中,每一客戶端設備使用一個EMM上下文來與存取網路(RAN)建立單個網路連接或鏈路,同時多個ESM上下文和存取層(AS)安全性上下文被用於與不同的服務提供者(服務網路)建立服務連接。EMM上下文和ESM上下文可以使用如上關於圖7-11描述的程序來建立。AS安全性上下文可以被用來使客戶端設備與RAN之間的使用者平面通訊安全並且對其進行保護。這些HMME資料平面模型可以與上文在圖4-6中描述的HMME控制平面模型或其他適當的控制平面模型一起實現。
圖15圖示可以與圖4和5中示出的HMME控制平面模型或其他適當的HMME控制平面模型一起實現的第一HMME資料平面模型1100。在圖15中示出的實例中,針對客戶端設備1102與RAN 1104之間的UE到RAN資料平面傳輸量,客戶端設備1102(例如,UE)根據與去往某個服務網路的訊息相對應的ESM上下文1108決定AS安全性上下文1106。在該實例中,三個AS安全性上下文1106是從三個ESM上下文1108獲得的。客戶端設備1102已經與第一服務網路1110建立了第一ESM上下文(ESM上下文1)、與第二服務網路1112建立了第二ESM上下文(ESM上下文2)以及與第三服務網路1114建立了第三ESM上下文(ESM上下文3)。第一HMME資料平面模型1100針對不同的P-GW 1118使用單獨的S-GW 1116。
對於控制訊息(例如,RRC訊息),客戶端設備1102可以基於AS安全性上下文對該訊息進行加密和完整性保護,並且向訊息添加VESM標籤。對於資料訊息,客戶端設備1102可以基於AS安全性上下文對資料訊息進行加密並且向訊息添加VESM標籤。
對於RAN到UE的資料平面傳輸量,RAN節點1104(例如,eNB)為要被發送給UE或客戶端設備1102的訊息決定AS安全性上下文。在一個實例中,對於控制訊息(例如,RRC訊息),可以使用從HMME的ESM安全性上下文獲得的預設的AS安全性上下文(在圖15中未圖示)。在RAN 1104(例如,eNB)處,通信期上下文1120(例如,通信期上下文1、2、3)提供被用來將來自客戶端1102(例如,UE)的封包轉發給S-GW 1116或者反之亦然的資訊。例如,通信期上下文可以包括承載ID、QoS資訊、隧道端點ID等等。S-GW 1116處的通信期上下文類似於RAN 104的彼等通信期上下文。例如,這些上下文可以提供被用來將從P-GW 1118接收的針對客戶端1102的封包轉發給RAN 1104(例如,eNB)並且反之亦然的資訊。
對於控制訊息(例如,RRC訊息),RAN節點1104可以基於AS安全性上下文對訊息進行加密和完整性保護,並且向訊息添加VESM標籤。對於資料訊息,RAN節點1104可以基於AS安全性上下文對訊息進行加密並且向訊息添加VESM標籤。在一個實例中,可以根據TEID(唯一隧道端點辨識符)和S-GW IP位址來決定VESM標籤。在接收到來自RAN節點1104的訊息時,客戶端設備1102可以決定相應的AS安全性上下文以基於該VESM標籤來驗證該訊息。
圖16圖示可以與圖6中示出的HMME控制平面模型或其他適當的HMME控制平面模型一起實現的第二HMME資料平面模型1200。在第二HMME資料平面模型1200中,對於客戶端設備1202與RAN 1204之間的UE到RAN的資料平面傳輸量,客戶端設備1202(例如,UE)決定與去往某個服務網路的訊息相對應的AS安全性上下文1206。在該實例中,從ESM上下文1208獲得三個AS安全性上下文1206。客戶端設備1202已經與第一服務網路1210建立了第一ESM上下文(ESM上下文1)、與第二服務網路1212建立了第二ESM上下文(ESM上下文2)以及與第三服務網路1214建立了第三ESM上下文(ESM上下文3)。第二HMME資料平面模型1200針對不同的P-GW 1218使用公共的S-GW 1216。第二HMME資料平面模型1200類似於第一HMME資料平面模型1100,並且為了簡潔將不重複對第二HMME資料平面模型1200的冗餘的描述。
圖17圖示可以與圖6中示出的HMME控制平面模型或其他適當的HMME控制平面模型一起實現的第三HMME資料平面模型1300。客戶端設備1302可能已經建立了不同的ESM上下文1308,例如,分別針對第一服務網路1310、第二服務網路1312和第三服務網路1314的第一ESM上下文、第二ESM上下文和第三ESM上下文。在該特定實例中,對於UE到RAN的資料平面傳輸量,客戶端設備1302(例如,UE)可以使用從EMM安全性上下文1309獲得的預設的AS安全性上下文1306。在另一個實例中,從ESM安全性上下文1308獲得的AS安全性上下文可以被設置為預設的AS安全性上下文。對於控制訊息(例如,RRC訊息),客戶端設備1302可以基於AS安全性上下文對訊息進行加密和完整性保護並且向控制訊息添加VESM標籤。對於資料訊息,客戶端設備1302可以基於AS安全性上下文對資料訊息進行加密並且向訊息添加VESM標籤。
在RAN 1304處,通信期上下文1320(例如,通信期上下文1、2、3)提供被用來將來自客戶端1302(例如,UE)的封包轉發給S-GW 1316或者反之亦然的資訊。例如,通信期上下文可以包括承載ID、QoS資訊、隧道端點ID等等。S-GW 1316處的通信期上下文類似於RAN 1304的那些通信期上下文。例如,這些上下文可以包括關於如何將從P-GW 1318接收的針對客戶端1302的封包轉發給RAN 1304(例如,eNB)和反之亦然的資訊。
在上文描述的資料平面模型中,在RAN處,UE上下文包括關於客戶端(例如,UE)的資訊,例如包括通信期上下文、AS安全性上下文和關於該客戶端的其他狀態。類似地,在HMME處,UE上下文包括關於該客戶端的資訊,其包括EMM/ESM上下文、安全性上下文和其他狀態,例如,IMSI、TMSI等等。
對於RAN到UE的資料平面傳輸量,RAN節點1304(例如,eNB)可以使用由HMME提供的預設的AS安全性上下文(在圖17中未圖示)。對於控制訊息(例如,RRC訊息),RAN節點1304(例如,eNB)可以基於AS安全性對訊息進行加密和完整性保護並且向訊息添加VESM標籤。對於資料訊息,RAN節點1304可以基於AS安全性上下文對訊息進行加密並且向訊息添加VESM標籤。例如,VESM標籤可以根據TEID和S-GW IP位址決定。
圖18是根據本案內容的態樣圖示示例性使用者平面安全性終止模型1400的圖。類似於圖15-17中描述的那些的客戶端設備1402具有與RAN 1404建立的單個ESM上下文。RAN 1404被連接到三個S-GW 1406,該三個S-GW 1406被分別連接到不同的封包資料閘道(P-GW)1408。P-GW 1408之每一者P-GW提供到相應的服務網路1410的存取。EMM上下文和多個ESM上下文可以使用上文關於圖7-11描述的程序來建立。在該實例中,使用者平面安全性(UP安全性)終止在封包資料閘道1408(P-GW 1、P-GW 2、P-GW 3)處。該使用者平面安全性終止模型可以被用在圖15-17中示出的資料平面模型中。UP安全性使得服務提供者能夠保護來自存取網路(例如,RAN 1404)的使用者資料傳輸量。在本案內容的各個態樣中,AS安全性上下文可以被用來保護客戶端設備與RAN之間的資料無線電承載(DRB)和訊號傳遞無線電承載(SRB)二者,並且UP安全性是與DRB保護分開應用的。
圖19是根據本案內容的態樣圖示在客戶端設備處可操作以建立多個同時的或併發的服務上下文的示例性方法1500的流程圖。方法1500可以在圖1、2、4-8、10、11及/或14-18中的任何一個中示出的客戶端設備處執行。在方塊1502處,客戶端設備基於第一憑證與連線性網路建立無線鏈路或連接。在方塊1504處,客戶端設備建立與連接相對應的連接上下文。例如,客戶端設備(UE)可以使用連線性憑證附著到存取網路(例如,RAN)並且利用HMME(例如,圖4-6的HMME)建立到RAN的單個連接。在一些實例中,HMME可以常駐在核心網路中。此時,單個EMM上下文或連線性被建立。在一個實例中,客戶端設備可以利用無線電鏈路建立模組210和無線網路通訊介面204(參見圖2)來建立無線鏈路和連線性上下文。
在方塊1506處,客戶端設備辨識與連線性網路相關聯的一或多個服務網路。例如,客戶端設備可以發送去往一或多個服務網路的第一訊息,並且其中第一訊息被封裝在去往存取網路的網路節點(例如,HMME)的第二訊息中。當一個訊息被定址到所去往的網路的具體實體(例如,服務網路的HMME或SME)時,該訊息是去往某個網路的。例如,服務網路可以是圖4-6和14-17中示出的服務網路。客戶端設備可以使用服務上下文建立模組212(參見圖2)執行類似於圖7、8、10和11中示出的那些的程序以辨識服務網路。
在方塊1508處,客戶端設備使用所建立的無線鏈路或連接與服務網路建立一或多個服務連接,其中該一或多個服務連接是使用各自的第二憑證建立的。在方塊1510處,客戶端設備建立分別與服務連接相對應的一或多個服務上下文。服務上下文可以包括不同的安全性上下文。安全性上下文之每一者安全性上下文包括NAS安全性上下文和AS安全性上下文,並且NAS安全性上下文和AS安全性上下文二者與相同的第二憑證相對應。例如,服務上下文可以是圖4-6和14-17中描述的ESM上下文,並且安全性上下文可以是圖4-6和14-17中描述的那些安全性上下文。客戶端設備可以使用服務上下文建立模組212執行類似於圖7、8、10和11中示出的那些的程序以建立服務連接和上下文。服務連接之每一者服務連接可以利用基於相應的AS安全性上下文的單獨的金鑰來保護,並且由相應的VESM標籤來區分。
圖20是根據本案內容的態樣圖示方法1500的額外的程序的流程圖。在方塊1512處,客戶端設備可以利用複數個使用者平面(UP)安全性上下文來保護從分別與一或多個服務網路相關聯的複數個封包資料閘道(P-GW)接收的或向其發送的封包。例如,P-GW可以是圖4-8、10、11和14-18中的任何一個中示出的P-GW。
圖21是根據本案內容的態樣圖示在連線性網路的網路節點處可操作的示例性方法1600的流程圖。方法1600可以在圖1、3、4-8和10-18中的任何一個中示出的網路節點(例如,HMME)處執行。在方塊1602處,連線性網路的網路節點基於連線性憑證與客戶端設備建立無線鏈路或第一連接。在方塊1604處,網路節點建立與第一連接相對應的連線性上下文。例如,網路節點可以是HMME(例如,在圖4-14中示出的HMME),該HMME接收來自客戶端設備(UE)的第一附著請求以使用連線性憑證與該客戶端設備建立單個連接和相應的EMM上下文。網路節點可以利用無線電鏈路建立模組310和網路通訊介面304和HMME模組312,使用圖7-11中描述的程序與客戶端設備(參見圖3)建立單個鏈路和EMM上下文。
在已經與客戶端設備建立了單個無線鏈路之後,在方塊1606處,網路節點可以接收來自客戶端設備的針對與和連線性網路相關聯的一或多個服務網路建立連接的請求。例如,服務網路可以是圖4-6和14-18中示出的服務網路或提供者。請求可以包括針對使用現有的無線鏈路或連線性與服務網路或提供者中的一或多個建立單獨的ESM上下文的第二附著請求。ESM上下文之每一者ESM上下文可以與不同的安全性上下文相對應。該網路節點可以使用網路通訊介面304(參見圖3)接收來自該客戶端設備的該請求。
在方塊1608處,網路節點使用網路節點作為代理,為客戶端設備分別建立與服務網路的一或多個第二連接。在一個實例中,網路節點可以利用SME模組314來使用圖7-11中描述的程序建立第二連接和相應的上下文。
圖22是根據本案內容的態樣圖示方法1600的額外的程序的流程圖。在方塊1610處,網路節點可以接收來自該客戶端設備的訊息,其中訊息封裝去往服務網路的另一個訊息。例如,訊息可以是圖8和11中示出的NAS封裝訊息。
圖23是根據本案內容的態樣圖示在服務網路的網路節點處可操作的示例性方法1700的流程圖。方法1700可以在圖1、3、4-8和10-18中的任何一個中示出的網路節點(例如,SME)處執行。在方塊1702處,網路節點接收來自客戶端設備的針對建立連接的請求。例如,SME可以使用其網路通訊介面304(參見圖3)來接收請求。在方塊1704處,網路節點經由連線性網路的網路節點(例如,HMME)與客戶端設備建立連接。例如,網路節點可以使用服務管理實體模組/電路/功能單元314來建立連接。在方塊1706處,網路節點建立與連接相對應的服務上下文,其中服務上下文與安全性上下文相關聯。例如,服務管理實體模組/電路/功能單元314可以被SME指令318配置為建立服務上下文334(參見圖3)。
應當理解的是,揭示的程序中的步驟的具體順序或層次是對示例性方法的說明。根據設計偏好,應當理解的是可以重新排列程序中的步驟的具體順序或層次。所附方法請求項以作為例子的順序呈現各個步驟的元素,並非意指被限定到所呈現的具體順序或層次。
101‧‧‧無線電鏈路 102‧‧‧客戶端設備 104‧‧‧服務提供者 106‧‧‧供應功能單元 108‧‧‧服務上下文 110‧‧‧服務上下文 112‧‧‧服務上下文 114‧‧‧服務連接 116‧‧‧服務連接 118‧‧‧服務連接 120‧‧‧RAN 122‧‧‧連線性上下文 124‧‧‧主MME(HMME) 126‧‧‧EMM/ESM上下文 128‧‧‧SME 130‧‧‧SME 132‧‧‧服務閘道(S-GW) 134‧‧‧服務閘道(S-GW) 136‧‧‧ESM上下文 138‧‧‧ESM上下文 140‧‧‧AAA伺服器 142‧‧‧AAA伺服器 144‧‧‧歸屬授權、認證和計費(H-AAA)伺服器 202‧‧‧客戶端設備 204‧‧‧無線網路通訊介面 206‧‧‧處理器 208‧‧‧記憶體/儲存 210‧‧‧無線電鏈路建立模組/電路/功能單元 212‧‧‧服務上下文建立模組/電路/功能單元 213‧‧‧使用者平面(UP)安全性上下文建立模組/電路/功能單元 216‧‧‧無線電鏈路建立指令 218‧‧‧服務上下文建立指令 219‧‧‧安全性上下文建立指令 226‧‧‧接收器模組/電路/功能單元 228‧‧‧發射器模組/電路/功能單元 230‧‧‧天線模組/電路/功能單元 232‧‧‧連線性上下文 234‧‧‧服務上下文 235‧‧‧安全性上下文 302‧‧‧網路節點 304‧‧‧網路通訊介面 306‧‧‧處理器 308‧‧‧記憶體/儲存 310‧‧‧無線電鏈路建立模組 312‧‧‧HMME模組 314‧‧‧SME模組 316‧‧‧無線電鏈路建立指令 318‧‧‧HMME/SME指令 326‧‧‧接收器模組/電路/功能單元 328‧‧‧發射器模組/電路/功能單元 330‧‧‧天線模組/電路/功能單元 332‧‧‧儲存連線性上下文(或憑證) 334‧‧‧服務上下文(或憑證) 335‧‧‧安全性上下文 402‧‧‧客戶端設備 403‧‧‧RAN 404‧‧‧EMM上下文 406‧‧‧HMME 407‧‧‧AAA伺服器 408‧‧‧ESM上下文 410‧‧‧安全性上下文 412‧‧‧第二SME 413‧‧‧AAA伺服器 414‧‧‧SME 415‧‧‧AAA伺服器 418‧‧‧第一服務/封包資料閘道(S/P GW) 420‧‧‧第一服務網路 422‧‧‧第二S/P GW 424‧‧‧第二服務網路 426‧‧‧第三S/P GW 428‧‧‧第三服務網路 430‧‧‧無線電鏈路 431‧‧‧服務閘道(S-GW) 432‧‧‧P-GW 434‧‧‧P-GW 436‧‧‧P-GW 500‧‧‧撥叫流程圖 502‧‧‧UE 504‧‧‧eNB 506‧‧‧HMME 508‧‧‧SME 510‧‧‧服務閘道(S-GW) 512‧‧‧第一封包資料閘道(P-GW) 514‧‧‧第二P-GW 516‧‧‧第一歸屬用戶伺服器(HSS) 518‧‧‧第二HSS 520‧‧‧附著請求 522‧‧‧初始UE訊息 524‧‧‧進化型封包系統(EPS)認證和金鑰協商(AKA)程序 526‧‧‧NAS安全性模式命令(SMC)訊息 528‧‧‧建立通信期請求 529‧‧‧建立通信期請求 530‧‧‧建立通信期回應訊息 532‧‧‧初始上下文建立請求訊息 534‧‧‧RRC連接重新配置訊息 536‧‧‧RRC連接重新配置完成訊息 538‧‧‧初始建立上下文回應訊息 540‧‧‧服務註冊訊息 542‧‧‧初始UE訊息 544‧‧‧EPS-AKA程序 546‧‧‧NAS安全性模式命令(SMC)訊息 548‧‧‧建立通信期請求 550‧‧‧建立通信期回應訊息 552‧‧‧初始上下文建立請求訊息 554‧‧‧初始上下文建立請求訊息 556‧‧‧RRC連接重新配置訊息 558‧‧‧RRC連接重新配置完成訊息 560‧‧‧初始建立上下文回應訊息 562‧‧‧初始建立上下文回應訊息 600‧‧‧NAS訊息 602‧‧‧SME ID 604‧‧‧內部NAS訊息 606‧‧‧UE ID 700‧‧‧流程圖 702‧‧‧客戶端設備(UE) 704‧‧‧eNB 706‧‧‧HMME 708‧‧‧SME 710‧‧‧S-GW 712‧‧‧第一P-GW 714‧‧‧第二P-GW 716‧‧‧第一HSS 718‧‧‧第二HSS 720‧‧‧服務註冊訊息 722‧‧‧初始UE訊息 724‧‧‧EPS-AKA程序 726‧‧‧NAS安全性模式命令(SMC)訊息 728‧‧‧建立通信期請求 730‧‧‧建立通信期回應訊息 732‧‧‧初始上下文建立請求訊息 734‧‧‧RRC連接重新配置訊息 736‧‧‧RRC連接重新配置完成訊息 738‧‧‧初始上下文建立回應訊息 740‧‧‧初始上下文建立回應訊息 802‧‧‧eNB 804‧‧‧SME 806‧‧‧HMME 902‧‧‧eNB 904‧‧‧SME 906‧‧‧HMME 908‧‧‧安全通道 1002‧‧‧客戶端設備 1004‧‧‧UP安全性上下文 1006‧‧‧ESM上下文 1008‧‧‧安全性上下文 1010‧‧‧RAN 1014‧‧‧第一P-GW 1016‧‧‧第二P-GW 1018‧‧‧第三P-GW 1020‧‧‧第一服務網路 1022‧‧‧第二服務網路 1024‧‧‧第三服務網路 1026‧‧‧第一HSS/AAA 1028‧‧‧第二HSS/AAA 1030‧‧‧第三HSS/AAA 1100‧‧‧第一HMME資料平面模型 1102‧‧‧客戶端設備 1104‧‧‧RAN 1106‧‧‧AS安全性上下文 1108‧‧‧ESM上下文 1110‧‧‧第一服務網路 1112‧‧‧第二服務網路 1114‧‧‧第三服務網路 1116‧‧‧S-GW 1118‧‧‧P-GW 1120‧‧‧通信期上下文 1200‧‧‧第二HMME資料平面模型 1202‧‧‧客戶端設備 1204‧‧‧RAN 1206‧‧‧AS安全性上下文 1208‧‧‧ESM上下文 1210‧‧‧第一服務網路 1212‧‧‧第二服務網路 1214‧‧‧第三服務網路 1216‧‧‧S-GW 1218‧‧‧P-GW 1300‧‧‧第三HMME資料平面模型 1302‧‧‧客戶端設備 1304‧‧‧RAN 1306‧‧‧AS安全性 1308‧‧‧ESM上下文 1309‧‧‧EMM安全性上下文 1310‧‧‧第一服務網路 1312‧‧‧第二服務網路 1314‧‧‧第三服務網路 1316‧‧‧S-GW 1318‧‧‧P-GW 1320‧‧‧通信期上下文 1400‧‧‧使用者平面安全性終止模型 1402‧‧‧客戶端設備 1404‧‧‧RAN 1406‧‧‧S-GW 1408‧‧‧P-GW 1410‧‧‧服務網路 1500‧‧‧方法 1502‧‧‧方塊 1504‧‧‧方塊 1506‧‧‧方塊 1508‧‧‧方塊 1510‧‧‧方塊 1512‧‧‧方塊 1600‧‧‧方法 1602‧‧‧方塊 1604‧‧‧方塊 1606‧‧‧方塊 1608‧‧‧方塊 1610‧‧‧方塊 1700‧‧‧方法 1702‧‧‧方塊 1704‧‧‧方塊 1706‧‧‧方塊
圖1是根據本案內容的態樣圖示用於支援與不同的服務上下文相關聯的多個服務連接的客戶端設備與無線電存取網路(RAN)之間的單個無線電鏈路的示意圖。
圖2根據本案內容的態樣圖示被配置為使用單個無線電鏈路來支援多個同時的服務上下文的示例性客戶端設備。
圖3根據本案內容的態樣圖示用於實現主行動性管理實體(HMME)及/或服務管理實體(SME)的示例性網路節點,其中HMME及/或SME被配置為在單個無線電鏈路上操作時支援客戶端設備同時支援多個服務上下文的同時操作。
圖4是根據本案內容的態樣圖示HMME控制平面模型的第一實例的示意圖。
圖5是根據本案內容的態樣圖示HMME控制平面模型的第二實例的示意圖。
圖6是根據本案內容的態樣圖示HMME控制平面模型的第三實例的示意圖。
圖7和8是根據本案內容的態樣圖示使用單個連線性上下文在客戶端設備與網路之間執行的用以建立複數個單獨的服務上下文的第一訊號傳遞程序的撥叫流程圖。
圖9是根據本案內容的態樣圖示封裝的非存取層(NAS)訊息的示意圖。
圖10和11是根據本案內容的態樣圖示使用單個連線性上下文在客戶端設備與網路之間執行的用以建立複數個單獨的服務上下文的第二訊號傳遞程序的撥叫流程圖。
圖12是圖示使用作為代理的HMME的eNB與SME之間的S1AP(S1應用協定)通訊的實例的示意圖。
圖13是圖示使用穿過HMME的安全隧道的eNB與SME之間的S1AP通訊的實例的示意圖。
圖14是根據本案內容的態樣圖示具有擴展的使用者平面安全性的HMME控制平面模型的實例的示意圖。
圖15是根據本案內容的態樣圖示HMME資料平面模型的第一實例的示意圖。
圖16是根據本案內容的態樣圖示HMME資料平面模型的第二實例的示意圖。
圖17是根據本案內容的態樣圖示HMME資料平面模型的第三實例的示意圖。
圖18是根據本案內容的態樣圖示使用者平面安全性終止的實例的示意圖。
圖19和20是根據本案內容的態樣圖示在客戶端設備處可操作以利用單個連接來建立多個服務上下文的示例性方法的流程圖。
圖21和22是根據本案內容的態樣圖示在連線性網路的網路節點處可操作以與客戶端建立單個連接用於支援多個服務網路的示例性方法的流程圖。
圖23是根據本案內容的態樣圖示在服務網路的網路節點處可操作以使用與連線性網路的單個連接來與客戶端設備建立多個安全性上下文的示例性方法的流程圖。
國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無
國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無
(請換頁單獨記載) 無
101‧‧‧無線電鏈路
102‧‧‧客戶端設備
104‧‧‧服務提供者
106‧‧‧供應功能單元
108‧‧‧服務上下文
110‧‧‧服務上下文
112‧‧‧服務上下文
114‧‧‧服務連接
116‧‧‧服務連接
118‧‧‧服務連接
120‧‧‧RAN
122‧‧‧連線性上下文
124‧‧‧主MME(HMME)
126‧‧‧EMM/ESM上下文
128‧‧‧SME
130‧‧‧SME
132‧‧‧服務閘道(S-GW)
134‧‧‧服務閘道(S-GW)
136‧‧‧ESM上下文
138‧‧‧ESM上下文
140‧‧‧AAA伺服器
142‧‧‧AAA伺服器
144‧‧‧歸屬授權、認證和計費(H-AAA)伺服器

Claims (30)

  1. 一種在一無線通訊網路中操作一客戶端設備的方法,包括以下步驟: 基於一第一憑證來與一連線性網路建立一連接; 建立與該連接相對應的一連線性上下文; 辨識與該連線性網路相關聯的一或多個服務網路; 使用該所建立的連接來與該一或多個服務網路建立一或多個服務連接,其中該一或多個服務連接是使用各自的第二憑證來建立的;及 建立分別與該等服務連接相對應的一或多個服務上下文, 其中該一或多個服務上下文分別包括不同的安全性上下文,並且 其中該等安全性上下文之每一者安全性上下文包括一非存取層(NAS)安全性上下文和一存取層(AS)安全性上下文,二者與相同的第二憑證相對應。
  2. 如請求項1之方法, 其中該NAS安全性上下文被配置為保護該客戶端設備與下列各項中的至少一項之間的控制訊息:一主行動性管理實體(HMME)或一服務管理實體(SME),並且 其中該AS安全性上下文被配置為保護以下各項中的至少一項:一或多個訊號傳遞無線電承載、一或多個資料無線電承載、或訊號傳遞無線電承載和資料無線電承載的一組合。
  3. 如請求項1之方法,其中建立一或多個服務連接包括發送去往該一或多個服務網路的一訊息,其中該訊息被封裝在去往該連線性網路的一主行動性管理實體(HMME)的一訊息中。
  4. 如請求項1之方法,其中該一或多個服務網路包括至少部分地在該連線性網路中建立的一虛擬網路,並且該一或多個服務網路分別與不同的服務相關聯。
  5. 如請求項1之方法,其中該等服務連接之每一者服務連接是利用基於該相應的AS安全性上下文的一單獨的金鑰來保護的,並且由一相應的虛擬進化型封包系統(EPS)通信期管理標籤來區分的。
  6. 如請求項1之方法,亦包括以下步驟: 使用複數個使用者平面(UP)安全性上下文來保護從複數個封包資料閘道接收的或向其發送的封包,該複數個封包資料閘道分別與該一或多個服務網路相關聯。
  7. 如請求項6之方法,其中保護該等封包包括以下各項中的至少一項: 對該等封包進行加密; 對該等封包進行完整性保護;或 對該等封包進行加密和完整性保護。
  8. 一種操作一連線性網路的一網路節點的方法,包括以下步驟: 基於一連線性憑證來與一客戶端設備建立一第一連接; 建立與該第一連接相對應的一連線性上下文; 接收來自該客戶端設備的針對與一或多個服務網路建立連接的一請求;及 使用該網路節點作為一代理,為該客戶端設備分別建立與該等服務網路的複數個第二連接,其中該網路節點包括一主行動性管理實體(HMME)。
  9. 如請求項8之方法,其中該第二連接包括IP安全性(IPSec)隧道。
  10. 如請求項8之方法,亦包括接收來自該客戶端設備的一訊息,其中該訊息封裝去往該等服務網路的另一個訊息。
  11. 一種操作一服務網路的一網路節點的方法,包括以下步驟: 接收來自一客戶端設備的針對建立一連接的一請求; 經由一連線性網路的一網路節點來與該客戶端設備建立該連接,其中該連線性網路的該網路節點包括一主行動性管理實體(HMME);及 建立與該連接相對應的一服務上下文,其中該服務上下文與一安全性上下文相關聯。
  12. 如請求項11之方法,其中該服務上下文是基於與該連接相關聯的一憑證建立的。
  13. 如請求項11之方法,其中該連接包括經由該連線性網路的該網路節點的一IP安全性(IPSec)隧道。
  14. 如請求項11之方法,其中該連接包括至少部分地在該連線性網路中建立的一虛擬網路。
  15. 如請求項11之方法,其中該服務上下文與一虛擬進化型封包系統(EPS)通信期管理標籤相關聯。
  16. 一種在一無線通訊網路中的客戶端設備,包括: 一記憶體,其包括電腦可執行代碼; 一通訊介面,其被配置為與一連線性網路進行通訊;及 一處理器,其被操作地耦合至該記憶體和該通訊介面, 其中該處理器被該電腦可執行代碼配置為: 基於一第一憑證來與一連線性網路建立一連接; 建立與該連接相對應的一連線性上下文; 辨識與該連線性網路相關聯的一或多個服務網路; 使用該所建立的連接來與該一或多個服務網路建立一或多個服務連接,其中該一或多個服務連接是使用各自的第二憑證建立的;及 建立分別與該等服務連接相對應的一或多個服務上下文, 其中該一或多個服務上下文分別包括不同的安全性上下文,並且 其中該等安全性上下文之每一者安全性上下文包括一非存取層(NAS)安全性上下文和一存取層(AS)安全性上下文,二者與相同的第二憑證相對應。
  17. 如請求項16之客戶端設備, 其中該NAS安全性上下文被配置為保護該客戶端設備與下列各項中的至少一項之間的控制訊息:一主行動性管理實體(HMME)或一服務管理實體(SME),並且 其中該AS安全性上下文被配置為保護以下各項中的至少一項:一或多個訊號傳遞無線電承載、一或多個資料無線電承載、或訊號傳遞無線電承載和資料無線電承載的一組合。
  18. 如請求項16之客戶端設備,其中為了建立該一或多個服務連接,該處理器亦被配置為發送去往該一或多個服務網路的一訊息,其中該訊息被封裝在去往該連線性網路的一主行動性管理實體(HMME)的一訊息中。
  19. 如請求項16之客戶端設備,其中該一或多個服務網路包括至少部分地在該連線性網路中建立的一虛擬網路,並且該一或多個服務網路分別與不同的服務相關聯。
  20. 如請求項16之客戶端設備,其中該等服務連接之每一者服務連接是利用基於該相應的AS安全性上下文的一單獨的金鑰來保護的,並且由一相應的虛擬進化型封包系統(EPS)通信期管理標籤來區分的。
  21. 如請求項16之客戶端設備,其中該處理器亦被配置為: 使用複數個使用者平面(UP)安全性上下文來保護從複數個封包資料閘道接收的或向其發送的封包,該複數個封包資料閘道分別與該一或多個服務網路相關聯。
  22. 如請求項21之客戶端設備,其中該處理器亦被配置為經由以下各項中的至少一項來保護該等封包: 對該等封包進行加密; 對該等封包進行完整性保護;或 對該等封包進行加密和完整性保護。
  23. 一種用於一連線性網路的網路節點,包括: 一記憶體,其包括電腦可執行代碼; 一通訊介面,其被配置為與一客戶端設備進行通訊;及 一處理器,其被操作地耦合到該記憶體和該通訊介面, 其中該處理器被該電腦可執行代碼配置為: 基於一連線性憑證來與該客戶端設備建立一第一連接; 建立與該第一連接相對應的一連線性上下文; 接收來自該客戶端設備的針對與一或多個服務網路建立一連接的一請求;及 使用該網路節點作為一代理,為該客戶端設備分別建立與該等服務網路的複數個第二連接,其中該網路節點包括一主行動性管理實體(HMME)。
  24. 如請求項23之網路節點,其中該第二連接包括IP安全性(IPSec)隧道。
  25. 如請求項23之網路節點,其中該處理器亦被配置為接收來自該客戶端設備的一訊息,其中該訊息封裝去往該等服務網路的另一個訊息。
  26. 一種用於一服務網路的網路節點,包括: 一記憶體,其包括電腦可執行代碼; 一通訊介面,其被配置為與一客戶端設備進行通訊;及 一處理器,其被操作地耦合至該記憶體和該通訊介面, 其中該處理器被該代碼配置為: 接收來自該客戶端設備的針對建立一連接的一請求; 經由一連線性網路的一網路節點來與該客戶端設備建立該連接,其中該連線性網路的該網路節點包括一主行動性管理實體(HMME);及 建立與該連接相對應的一服務上下文,其中該服務上下文與一安全性上下文相關聯。
  27. 如請求項26之網路節點,其中該服務上下文是基於與該連接相關聯的一憑證建立的。
  28. 如請求項26之網路節點,其中該連接包括經由該連線性網路的該網路節點的一IP安全性(IPSec)隧道。
  29. 如請求項26之網路節點,其中該連接包括至少部分地在該連線性網路中建立的一虛擬網路。
  30. 如請求項26之網路,其中該服務上下文與虛擬進化型封包系統(EPS)通信期管理標籤相關聯。
TW105134715A 2015-11-17 2016-10-27 用於使用支援多個連線性和服務上下文的安全模型的無線通訊的方法和裝置 TWI713614B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201562256472P 2015-11-17 2015-11-17
US62/256,472 2015-11-17
US15/048,044 US11234126B2 (en) 2015-11-17 2016-02-19 Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts
US15/048,044 2016-02-19

Publications (2)

Publication Number Publication Date
TW201720216A true TW201720216A (zh) 2017-06-01
TWI713614B TWI713614B (zh) 2020-12-21

Family

ID=58690139

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105134715A TWI713614B (zh) 2015-11-17 2016-10-27 用於使用支援多個連線性和服務上下文的安全模型的無線通訊的方法和裝置

Country Status (9)

Country Link
US (2) US11234126B2 (zh)
EP (1) EP3378248B1 (zh)
JP (1) JP6912470B2 (zh)
KR (1) KR102610951B1 (zh)
CN (1) CN108353282B (zh)
AU (1) AU2016357203B2 (zh)
BR (1) BR112018009990A8 (zh)
TW (1) TWI713614B (zh)
WO (1) WO2017087139A1 (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11234126B2 (en) 2015-11-17 2022-01-25 Qualcomm Incorporated Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts
EP3550780B1 (en) * 2016-12-30 2021-04-14 Huawei Technologies Co., Ltd. Verification method and apparatus for key requester
US10624020B2 (en) * 2017-02-06 2020-04-14 Qualcomm Incorporated Non-access stratum transport for non-mobility management messages
CN117320091A (zh) * 2017-08-15 2023-12-29 华为技术有限公司 会话处理方法及相关设备
US10390383B2 (en) * 2017-12-04 2019-08-20 Telefonaktiebolaget Lm Ericsson (Publ) Timer-based handling of multiple connection requests
US11799878B2 (en) 2020-04-15 2023-10-24 T-Mobile Usa, Inc. On-demand software-defined security service orchestration for a 5G wireless network
US11824881B2 (en) 2020-04-15 2023-11-21 T-Mobile Usa, Inc. On-demand security layer for a 5G wireless network
US11070982B1 (en) 2020-04-15 2021-07-20 T-Mobile Usa, Inc. Self-cleaning function for a network access node of a network
US11444980B2 (en) 2020-04-15 2022-09-13 T-Mobile Usa, Inc. On-demand wireless device centric security for a 5G wireless network
US11115824B1 (en) 2020-05-14 2021-09-07 T-Mobile Usa, Inc. 5G cybersecurity protection system
US11057774B1 (en) 2020-05-14 2021-07-06 T-Mobile Usa, Inc. Intelligent GNODEB cybersecurity protection system
US11206542B2 (en) 2020-05-14 2021-12-21 T-Mobile Usa, Inc. 5G cybersecurity protection system using personalized signatures
US20240098479A1 (en) * 2022-09-19 2024-03-21 Qualcomm Incorporated Service groups in a service-based wireless system
US20240129737A1 (en) * 2022-10-17 2024-04-18 Samsung Electronics Co., Ltd. Method and apparatus for selecting selective security mode and flow management in a wireless communication system

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026861A (zh) 2006-02-23 2007-08-29 华为技术有限公司 一种移动台与演进分组核心网间连接建立的方法
US20070258427A1 (en) 2006-05-03 2007-11-08 Interdigital Technology Corporation Wireless communication method and system for activating multiple service bearers via efficient packet data protocol context activation procedures
CN101242629B (zh) 2007-02-05 2012-02-15 华为技术有限公司 选择用户面算法的方法、系统和设备
EP2028910A1 (en) 2007-08-21 2009-02-25 NEC Corporation Method for allowing a UICC to manage the PDP context parameters
PL2191608T3 (pl) 2007-09-17 2012-01-31 Ericsson Telefon Ab L M Sposób i urządzenie w systemie telekomunikacyjnym
KR20140046076A (ko) * 2008-03-21 2014-04-17 인터디지탈 패튼 홀딩스, 인크 패킷 교환 도메인으로부터 회선 교환 도메인으로의 폴백 방법 및 장치
CN102821382B (zh) 2008-06-18 2015-09-23 上海华为技术有限公司 一种用于接入的装置
US20120033565A1 (en) * 2008-08-15 2012-02-09 Samsung Electronics Co., Ltd. Non-access stratum protocol operation supporting method in a mobile telecommunication system, and the system thereof
US9166875B2 (en) * 2009-06-22 2015-10-20 Qualcomm Incorporated Method and apparatus for network optimization using SON solutions
WO2011043772A1 (en) * 2009-10-07 2011-04-14 Research In Motion Limited System and method for managing security keys for multiple security contexts of a wireless user device to handover communications in a network
KR101268658B1 (ko) 2009-10-12 2013-05-29 한국전자통신연구원 3GPP LTE-Advanced 시스템의 릴레이 노드를 사용한 서비스 제공 방법 및 시스템
US9729314B2 (en) * 2010-06-01 2017-08-08 Samsung Electronics Co., Ltd. Method and system of securing group communication in a machine-to-machine communication environment
EP2695477A1 (en) 2011-04-01 2014-02-12 InterDigital Patent Holdings, Inc. Method and apparatus for controlling connectivity to a network
US9554366B2 (en) * 2012-08-31 2017-01-24 Qualcomm Incorporated Optimized always-on wireless service using network assistance and keep-alives
IN2015DN01110A (zh) * 2012-09-13 2015-06-26 Nec Corp
US9019974B2 (en) 2012-10-26 2015-04-28 Blackberry Limited Multiple access point name and IP service connectivity
JP2016514930A (ja) 2013-04-04 2016-05-23 インターデイジタル パテント ホールディングス インコーポレイテッド オフロードを通じた改善されたwlan使用のための3gppwlan相互作用のための方法
US9084147B2 (en) 2013-05-08 2015-07-14 Qualcomm Incorporated Parallel registration to offload PLMN with single SIM
US9332480B2 (en) 2014-03-28 2016-05-03 Qualcomm Incorporated Decoupling service and network provider identification in wireless communications
EP3152937B1 (en) * 2014-07-03 2021-04-14 Huawei Technologies Co., Ltd. System and method for wireless network access protection and security architecture
JP7097696B2 (ja) * 2015-08-07 2022-07-08 シャープ株式会社 端末装置、コアネットワーク内装置、端末装置の通信制御方法及びコアネットワーク内装置の通信制御方法
US11234126B2 (en) 2015-11-17 2022-01-25 Qualcomm Incorporated Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts

Also Published As

Publication number Publication date
KR102610951B1 (ko) 2023-12-06
BR112018009990A2 (pt) 2018-11-06
JP2018537912A (ja) 2018-12-20
JP6912470B2 (ja) 2021-08-04
CN108353282A (zh) 2018-07-31
AU2016357203A1 (en) 2018-05-10
CN108353282B (zh) 2021-11-19
US20220132313A1 (en) 2022-04-28
AU2016357203B2 (en) 2020-12-24
KR20180084785A (ko) 2018-07-25
US11729619B2 (en) 2023-08-15
US11234126B2 (en) 2022-01-25
US20170142587A1 (en) 2017-05-18
EP3378248A1 (en) 2018-09-26
EP3378248B1 (en) 2021-11-17
WO2017087139A1 (en) 2017-05-26
TWI713614B (zh) 2020-12-21
BR112018009990A8 (pt) 2019-02-26

Similar Documents

Publication Publication Date Title
US11729619B2 (en) Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts
US11818566B2 (en) Unified authentication for integrated small cell and Wi-Fi networks
JP6889263B2 (ja) ユーザ機器の二次認証
US20220360634A1 (en) User plane model for non-3gpp access to fifth generation core network
US20170171752A1 (en) Securing signaling interface between radio access network and a service management entity to support service slicing
US10129235B2 (en) Key hierarchy for network slicing
JP2015173512A (ja) 共通のpdpコンテキストを共有するためのシステムおよび方法
KR20230116943A (ko) 단일 접속성 컨텍스트로 다수의 병행 서비스 컨텍스트들의지원
CN106797560B (zh) 用于配置安全参数的方法、服务器、基站和通信系统
EP3138256B1 (en) Residential local break out in a communication system
US11968529B2 (en) Authentication of a radio communication device to a network