TWI708513B - 網路安全架構 - Google Patents

網路安全架構 Download PDF

Info

Publication number
TWI708513B
TWI708513B TW105118428A TW105118428A TWI708513B TW I708513 B TWI708513 B TW I708513B TW 105118428 A TW105118428 A TW 105118428A TW 105118428 A TW105118428 A TW 105118428A TW I708513 B TWI708513 B TW I708513B
Authority
TW
Taiwan
Prior art keywords
network
client device
key
packet
iotf
Prior art date
Application number
TW105118428A
Other languages
English (en)
Other versions
TW201703556A (zh
Inventor
李秀凡
霍恩蓋文伯納德
帕拉尼古德艾納德
Original Assignee
美商高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商高通公司 filed Critical 美商高通公司
Publication of TW201703556A publication Critical patent/TW201703556A/zh
Application granted granted Critical
Publication of TWI708513B publication Critical patent/TWI708513B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

在態樣中,支援客戶端設備的網路包括實施網路功能的一或多個網路節點。此種網路功能使得客戶端設備能夠在客戶端設備不處於連接模式時應用安全上下文來與該網路進行通訊。客戶端設備獲得與第一網路節點處實施的使用者平面網路功能單元共享的使用者平面金鑰,及/或與第二網路節點處實施的控制平面網路功能單元共享的控制平面金鑰。客戶端設備利用使用者平面金鑰來保護資料封包,或者利用控制平面金鑰來保護控制封包。該資料封包包括用於指示第一網路節點的第一目的地資訊以及控制封包包括用於指示第二網路節點的第二目的地資訊。客戶端設備發送該資料封包或者控制封包。

Description

網路安全架構
相關申請案的交叉引用:本專利申請案主張享受於2015年7月12日在美國專利商標局提交的臨時申請第62/191,459號和於2016年5月20日在美國專利商標局提交的非臨時申請第15/160,326號的優先權。
本案內容的態樣大體而言係關於通訊,並且更特定言之,但不唯一地係關於物聯網路(IoT)網路架構。
電子設備收集、處理和交換資料的能力正在持續地增長。此外,正向越來越多的該等電子設備提供網路連接。此種能力和特徵正在使得許多電子設備能夠進化成物聯網路(IoT)設備。隨著該等類型的電子設備的數量持續快速地增長,網路可能不具有足夠地支援該等電子設備的資源。
例如,在IoT環境中,網路(例如,LTE網路)可能需要支援大量(例如,數十億)的IoT設備(例如,以減少資料傳送模式或者低功耗模式附著到網路的客戶端設備)。因為由網路出於IoT目的分配的資源的量可能是受限的,因此網路可能不能夠維持用於該等類型的設備的所有上下文。被用於客戶端設備的使用者平面資料傳輸的上下文,可以減少客戶端設備為了與網路進行通訊而要執行的訊號傳遞的量。鑒於該等情況,網路存取節點通常在客戶端設備進入閒置模式時移除(例如,刪除)該客戶端設備上下文,在客戶端設備進入連接模式(其亦被稱為活動模式)時建立新的客戶端設備上下文。就訊號傳遞訊息而言,此種閒置模式到連接模式的轉換涉及客戶端設備的大量管理負擔。此外,此種閒置模式到連接模式的轉換,可能造成客戶端設備在較長的時段期間保持喚醒,並且因此可能增加客戶端設備的功耗。
下列內容提出了對本案內容的一些態樣的簡單化的概括,以提供對此種態樣的基本的理解。該概括不是對本案內容的所有預期特徵的廣泛的概述,並且既不意欲標識本案內容的所有態樣的關鍵的或者重要的要素,亦不意欲圖示本案內容的任意或者全部態樣的範圍。其唯一目的是用簡化的形式提出本案內容的一些態樣的各種概念,作為對稍後提出的更詳細的描述的序言。
在態樣中,提供了一種用於網路中的客戶端設備的方法。該客戶端設備可以向網路進行註冊,至少獲得與第一網路節點處實施的使用者平面網路功能單元共享的使用者平面金鑰或者與第二網路節點處實施的控制平面網路功能單元共享的控制平面金鑰,利用使用者平面金鑰來保護資料封包,或者利用控制平面金鑰來保護控制封包,以及發送該資料封包或者控制封包。在態樣中,該資料封包包括用於指示將在第一網路節點處處理該資料封包的第一目的地資訊,第一目的地資訊使得網路存取節點能夠將該資料封包轉發給第一網路節點,並且該控制封包包括用於指示將在第二網路節點處處理該控制封包的第二目的地資訊,第二目的地資訊使得該網路存取節點能夠將該控制封包轉發給第二網路節點。在態樣中,客戶端設備可以從網路接收封包,決定所接收的封包是包括資料還是包括控制資訊,以及基於該決定,利用使用者平面金鑰或者控制平面金鑰對所接收的封包進行解碼。在態樣中,客戶端設備可以藉由利用使用者平面金鑰或者控制平面金鑰,對所接收的封包進行解密和驗證,來對所接收的封包進行解碼。在態樣中,客戶端設備可以藉由下列操作來對所接收的封包進行驗證:基於所接收的封包和使用者平面金鑰或者控制平面金鑰二者之一,藉由應用訊息認證碼產生演算法,來決定第一訊息認證碼,以及將第一訊息認證碼和與所接收的封包相關聯的第二訊息認證碼進行比較。在態樣中,客戶端設備可以獲得使用者平面安全上下文或者控制平面安全上下文中的至少一個,其中使用者平面安全上下文指示針對客戶端設備的關於使用者平面的網路狀態資訊,控制平面安全上下文指示針對客戶端設備的關於控制平面的網路狀態資訊。在態樣中,客戶端設備可以基於使用者平面金鑰推導第一加密金鑰和第一完整性金鑰,來獲得使用者平面安全上下文,並且可以基於控制平面金鑰推導第二加密金鑰和第二完整性金鑰,來獲得控制平面安全上下文。在態樣中,使用者平面安全上下文或者控制平面安全上下文不包括存取層安全保護。在態樣中,使用者平面網路功能單元辨識符或者控制平面網路功能單元辨識符被包括在所接收的封包的標頭中,並且其中該客戶端設備是在減少資料傳送模式下註冊的。在態樣中,資料封包是基於使用者平面金鑰來進行加密或者完整性保護的,或者是基於使用者平面金鑰既進行加密又進行完整性保護的,並且其中控制封包是基於控制平面金鑰來進行加密或者完整性保護的,或者是基於控制平面金鑰既進行加密又進行完整性保護的。在態樣中,客戶端設備可以藉由下列操作向網路進行註冊:發送對於附著到網路的請求,以及從網路接收回應於該請求的、與認證程序相關聯的訊息。在此種態樣中,使用者平面金鑰或者控制平面金鑰是基於該訊息獲得的,並且該附著請求指示客戶端設備將在減少資料傳送模式下附著。
在態樣中,提供了一種客戶端設備。該客戶端設備可以包括:用於向網路進行註冊的構件,用於至少獲得與第一網路節點處實施的使用者平面網路功能單元共享的使用者平面金鑰或者與第二網路節點處實施的控制平面網路功能單元共享的控制平面金鑰的構件,用於利用使用者平面金鑰來保護資料封包,或者利用控制平面金鑰來保護控制封包的構件,以及用於發送該資料封包或者控制封包的構件。該資料封包可以包括用於指示將在第一網路節點處處理該資料封包的第一目的地資訊,第一目的地資訊使得網路存取節點能夠將該資料封包轉發給第一網路節點,並且該控制封包可以包括用於指示將在第二網路節點處處理該控制封包的第二目的地資訊,第二目的地資訊使得該網路存取節點能夠將該控制封包轉發給第二網路節點。在態樣中,客戶端設備可以包括:用於從網路接收封包的構件,用於決定所接收的封包是包括資料還是包括控制資訊的構件,以及用於基於該決定,利用使用者平面金鑰或者控制平面金鑰對所接收的封包進行解碼的構件。在態樣中,用於對所接收的封包進行解碼的構件被配置為利用使用者平面金鑰或者控制平面金鑰,對所接收的封包進行解密和驗證。在態樣中,用於對所接收的封包進行驗證的構件可以被配置為:基於所接收的封包和使用者平面金鑰或者控制平面金鑰二者之一,藉由應用訊息認證碼產生演算法,來決定第一訊息認證碼,以及將第一訊息認證碼和與所接收的封包相關聯的第二訊息認證碼進行比較。在態樣中,客戶端設備亦可以包括:用於獲得使用者平面安全上下文或者控制平面安全上下文中的至少一個的構件,其中使用者平面安全上下文指示針對客戶端設備的關於使用者平面的網路狀態資訊,控制平面安全上下文指示針對客戶端設備的關於控制平面的網路狀態資訊。在態樣中,用於獲得使用者平面安全上下文的構件可以被配置為基於使用者平面金鑰來推導第一加密金鑰和第一完整性金鑰,並且其中獲得控制平面安全上下文包括基於控制平面金鑰來推導第二加密金鑰和第二完整性金鑰。在態樣中,使用者平面安全上下文或者控制平面安全上下文不包括存取層安全保護。在態樣中,使用者平面網路功能單元辨識符或者控制平面網路功能單元辨識符被包括在所接收的封包的標頭中,並且其中該客戶端設備是在減少資料傳送模式下註冊的。在態樣中,資料封包是基於使用者平面金鑰來進行加密或者完整性保護的,或者是基於使用者平面金鑰既進行加密又進行完整性保護的,並且其中控制封包是基於控制平面金鑰來進行加密或者完整性保護的,或者是基於控制平面金鑰既進行加密又進行完整性保護的。在態樣中,用於向網路進行註冊的構件可以被配置為:發送對於附著到網路的請求,以及從網路接收回應於該請求的、與認證程序相關聯的訊息。在此種態樣中,使用者平面金鑰或者控制平面金鑰是基於該訊息獲得的,並且其中該附著請求指示該客戶端設備將在減少資料傳送模式下附著。
在態樣中,提供了一種用於網路存取節點的方法。該網路存取節點可以:從客戶端設備接收第一封包,基於客戶端設備的網路附著模式來決定下一躍點網路節點,以及當網路附著模式是減少資料傳送模式時,在無需對從該客戶端設備接收的第一封包進行驗證的情況下,將第一封包轉發給下一躍點網路節點。在態樣中,該網路存取節點可以從網路節點接收第二封包,以及當客戶端設備的網路附著模式是減少資料傳送模式時,在無需對第二封包進行保護的情況下,將從該網路節點接收的第二封包轉發給客戶端設備。在態樣中,該網路存取節點可以從客戶端設備接收對於附著到網路的具有網路附著模式的指示的請求,其中該網路附著模式是減少資料傳送模式。在態樣中,對下一躍點網路節點的決定是基於網路存取節點處的預先配置的資訊的,或者是基於被包括在第一封包中的目的地資訊的,其中網路附著模式是減少資料傳送模式。在態樣中,該目的地資訊包括網路功能單元辨識符,其中該網路功能單元辨識符實施對網路節點(其實施網路功能)的標識。在態樣中,該網路功能單元辨識符與第一網路節點處實施的控制平面網路功能單元相關聯,或者與第二網路節點處實施的使用者平面網路功能單元相關聯。在態樣中,該網路存取節點可以向第一封包添加與客戶端設備相關聯的臨時辨識符,其中第一封包是資料封包或者控制封包,並且可以儲存該臨時辨識符。在態樣中,該臨時辨識符是細胞無線電網路臨時辨識符(C-RNTI),並且其中該臨時辨識符被儲存達預先決定的時段。在態樣中,該網路存取節點可以根據第二封包中的臨時辨識符來辨識客戶端設備,其中第二封包是資料封包或者控制封包。在態樣中,在轉發第二封包之前,網路存取節點可以從第二封包中移除該臨時辨識符。
在態樣中,提供了一種網路存取節點。該網路存取節點可以包括:用於從客戶端設備接收第一封包的構件,用於基於客戶端設備的網路附著模式來決定下一躍點網路節點的構件,以及用於當網路附著模式是減少資料傳送模式時,在無需對從該客戶端設備接收的第一封包進行驗證的情況下,將第一封包轉發給下一躍點網路節點的構件。在態樣中,該網路存取節點亦可以包括:用於從網路節點接收第二封包的構件,以及用於當客戶端設備的網路附著模式是減少資料傳送模式時,在無需對第二封包進行保護的情況下,將從該網路節點接收的第二封包轉發給客戶端設備的構件。在態樣中,該網路存取節點亦可以包括:用於從客戶端設備接收對於附著到網路的具有網路附著模式的指示的請求的構件,其中該網路附著模式是減少資料傳送模式。在態樣中,對下一躍點網路節點的決定是基於網路存取節點處的預先配置的資訊的,或者是基於被包括在第一封包中的目的地資訊的,其中網路附著模式是減少資料傳送模式。在態樣中,該目的地資訊包括網路功能單元辨識符,其中該網路功能單元辨識符實施對網路節點(其實施網路功能)的標識。在態樣中,該網路功能單元辨識符與第一網路節點處實施的控制平面網路功能單元相關聯,或者與第二網路節點處實施的使用者平面網路功能單元相關聯。在態樣中,該網路存取節點可以包括:用於向第一封包添加與客戶端設備相關聯的臨時辨識符的構件,其中第一封包是資料封包或者控制封包,以及用於儲存該臨時辨識符的構件。在態樣中,該臨時辨識符是細胞無線電網路臨時辨識符(C-RNTI),並且其中該臨時辨識符被儲存達預先決定的時段。在態樣中,該網路存取節點亦可以包括:用於根據第二封包中的臨時辨識符來辨識客戶端設備的構件,其中第二封包是資料封包或者控制封包。在態樣中,該網路存取節點亦可以包括:用於在轉發第二封包之前,從第二封包中移除該臨時辨識符的構件。
在態樣中,提供了一種用於第一網路節點的方法。第一網路節點可以在第一網路節點處實施的控制平面網路功能單元處,建立用於客戶端設備的安全上下文,在第一網路節點處實施的控制平面網路功能單元處,獲得用於第二網路節點處實施的使用者平面網路功能單元的使用者平面金鑰,以及從第一網路節點處實施的控制平面網路功能單元,向第二網路節點處實施的使用者平面網路功能單元傳送使用者平面金鑰。在態樣中,第一網路節點可以藉由執行與客戶端設備的相互認證程序,來建立用於客戶端設備的安全上下文。在態樣中,第一網路節點可以藉由根據在相互認證程序期間建立的通信期身份碼推導使用者平面金鑰,來獲得使用者平面金鑰。在態樣中,第一網路節點可以在第一網路節點處實施的控制平面網路功能單元處,獲得用於控制平面網路功能單元的控制平面金鑰。
在態樣中,提供了第一網路節點。第一網路節點可以包括:用於在第一網路節點處實施的控制平面網路功能單元處,建立用於客戶端設備的安全上下文的構件,用於在第一網路節點處實施的控制平面網路功能單元處,獲得用於在第二網路節點處實施的使用者平面網路功能單元的使用者平面金鑰的構件,以及用於從在第一網路節點處實施的控制平面網路功能單元,向在第二網路節點處實施的使用者平面網路功能單元傳送使用者平面金鑰的構件。在態樣中,用於建立用於客戶端設備的安全上下文的構件可以被配置為執行與客戶端設備的相互認證程序。在態樣中,用於獲得使用者平面金鑰的構件可以被配置為根據在相互認證程序期間建立的通信期身份碼來推導使用者平面金鑰。在態樣中,第一網路節點亦可以包括:用於在第一網路節點處實施的控制平面網路功能單元處,獲得用於控制平面網路功能單元的控制平面金鑰的構件。
在態樣中,提供了一種用於網路節點的方法。該網路節點可以在該網路節點處實施的使用者平面網路功能單元處,獲得用於客戶端設備的安全上下文。該網路節點可以在該網路節點處實施的使用者平面網路功能單元處,決定將至少被用於對來自客戶端設備的資料封包進行解密或者驗證的金鑰,在該網路節點處實施的使用者平面網路功能單元處,從客戶端設備接收資料封包,以及在該網路節點處實施的使用者平面網路功能構件處,基於該金鑰,對來自該客戶端設備的資料封包進行解密和驗證。在態樣中,該網路節點可以藉由從該網路節點的控制平面網路功能單元接收安全上下文,來獲得安全上下文。在態樣中,該網路節點可以在該網路節點處實施的使用者平面網路功能單元處,從應用伺服器或者閘道接收針對客戶端設備的資料封包。該網路節點可以在該網路節點處實施的使用者平面網路功能單元處,決定與客戶端設備相關聯的至少一個金鑰,以及在該網路節點處實施的使用者平面網路功能單元處,使用該至少一個金鑰來對針對客戶端設備的資料封包進行保護。在態樣中,該網路節點可以從該網路節點處實施的使用者平面網路功能單元,向下一躍點網路節點發送針對該客戶端設備的資料封包。在態樣中,該網路節點可以藉由對針對客戶端設備的資料封包進行加密或者完整性保護,或者對針對客戶端設備的資料封包既進行加密又進行完整性保護,來對針對該客戶端設備的資料封包進行保護。
在態樣中,提供了一種網路節點。該網路節點可以包括:用於在該網路節點處實施的使用者平面網路功能單元處,獲得用於客戶端設備的安全上下文的構件,用於在該網路節點處實施的使用者平面網路功能單元處,決定將至少被用於對來自客戶端設備的資料封包進行解密或者驗證的金鑰的構件,用於在該網路節點處實施的使用者平面網路功能單元處,從客戶端設備接收資料封包的構件,以及用於在該網路節點處實施的使用者平面網路功能單元處,基於該金鑰,對來自該客戶端設備的資料封包進行解密和驗證的構件。在態樣中,用於獲得安全上下文的構件可以被配置為從該網路節點的控制平面網路功能單元接收安全上下文。在態樣中,網路節點亦可以包括:用於在該網路節點處實施的使用者平面網路功能單元處,從應用伺服器或者閘道接收針對客戶端設備的資料封包的構件,用於在該網路節點處實施的使用者平面網路功能單元處,決定與客戶端設備相關聯的至少一個金鑰的構件,以及用於在該網路節點處實施的使用者平面網路功能單元處,使用該至少一個金鑰來對針對客戶端設備的資料封包進行保護的構件。在態樣中,該網路節點亦可以包括:用於從該網路節點處實施的使用者平面網路功能單元,向下一躍點網路節點發送針對該客戶端設備的資料封包的構件。在態樣中,用於對針對客戶端設備的資料封包進行保護的構件可以被配置為對針對該客戶端設備的資料封包進行加密或者完整性保護,或者對針對該客戶端設備的資料封包既進行加密又進行完整性保護。
在對下文的具體實施方式進行評論時,本案內容的該等和其他態樣將變得更徹底地理解。在結合附圖對下文的本案內容的特定實施方式的描述進行評論時,本案內容的其他態樣、特徵和實施方式對於本領域的一般技藝人士而言將變得顯而易見。儘管可以相對於下文的某些實施方式和附圖論述本案內容的特徵,但是本案內容的所有實施方式可以包括本文論述的優勢特徵中的一或多個。換言之,儘管將一或多個實施方式論述為具有某些優勢特徵,但是根據本文論述的本案內容的各種實施方式,亦可以使用此種特徵中的一或多個。用類似的方式,儘管下文將某些實施方式論述為設備、系統或者方法實施方式,但是應當理解的是,此種實施方式可以用各種設備、系統和方法來實施。
下文結合附圖闡述的具體實施方式,意欲作為對各種配置的描述,而不意欲表示在其中可以實踐本文描述的概念的唯一配置。具體實施方式包括出於提供對各種概念的透徹理解的特定細節。但是,對於本領域的技藝人士而言顯而易見的是,可以在沒有該等特定細節的情況下實踐該等概念。在一些實例中,為了避免使該等概念難理解,以方塊圖形式圖示公知的結構和部件。
在諸如長期進化(LTE)網路之類的網路中,使用者平面安全在網路存取節點(例如,進化型節點B、基地台或者網路存取點)處終止。照此,網路存取節點應當具有用於客戶端設備(其亦被稱為物聯網路(IoT)設備)的上下文,以便進行使用者平面資料傳輸。例如,客戶端設備可以是蜂巢式電話(例如,智慧型電話)、個人電腦(例如,膝上型電腦)、遊戲設備或者被配置為與網路進行通訊的任何其他適當的設備。用於客戶端設備的上下文可以包括與該客戶端設備相關聯的網路狀態資訊,例如,客戶端設備安全上下文及/或進化型通用行動電信系統(UMTS)陸地無線存取網路(E-UTRAN)無線電存取承載(eRAB)(例如,無線電承載和S1承載)。用於客戶端設備的上下文可以減少該客戶端設備為了與網路進行通訊而要執行的訊號傳遞的量。
如前述,網路(例如,LTE網路)可能需要支援大量(例如,數十億)的物聯網路(IoT)設備。例如,IoT設備可以是作為IoT設備附著到網路的客戶端設備(例如,該客戶端設備可以在IoT設備模式下操作)、以低功耗模式附著的客戶端設備,或者出於減少客戶端設備與網路之間的資料傳送的目的附著的客戶端設備。在態樣中,減少的資料傳送模式可以涉及不頻繁的小資料(例如,單個封包或者幾個封包)傳輸或者短的資料短脈衝。因此,在本案內容中,本文使用的術語客戶端設備亦代表IoT設備。客戶端設備例如可以是蜂巢式電話(例如,智慧型電話)、個人電腦(例如,膝上型電腦)、遊戲設備、汽車、電器或者被配置為與網路進行通訊的任何其他適當的設備。在一些態樣中,客戶端設備可以被稱為使用者設備(UE)或者存取終端(AT)。在一些態樣中,如本文代表的客戶端設備可以是行動設備或者靜態設備。
因為由網路出於IoT目的分配的資源的量(例如,IoT網路功能單元和其他與IoT有關的設備)可能是受限的,因此網路功能單元可能不能夠維持用於所有客戶端設備的上下文。此外,IoT設備可能頻繁地是不活動的。例如,客戶端設備可能每10分鐘或者更長時間喚醒一次,向伺服器發送訊務,並且立即地進入休眠模式。
鑒於該等情況,網路存取節點通常在客戶端設備進入閒置模式時移除(例如,刪除)該客戶端設備上下文,並且在客戶端設備進入連接模式(其亦被稱為活動模式)時建立新的客戶端設備上下文。就訊號傳遞訊息而言,此種閒置模式到連接模式的轉換涉及客戶端設備的大量管理負擔。此外,此種閒置模式到連接模式的轉換,可能造成客戶端設備在較長的時段期間保持喚醒,並且因此可能增加客戶端設備的功耗。
從上層的角度來看,本文揭示的態樣包括用於客戶端設備的網路架構,以實現超低客戶端設備功耗、每細胞大量的設備及/或小的頻譜。引入私人網路功能單元以實施獨立的部署,並且移除可擴展性/互通要求。安全被錨定在網路設備處實施的IoT網路功能單元(其亦被稱為IoT功能單元(IoTF))處。IoT網路功能單元可以允許該架構實現客戶端設備的高效資料傳輸。根據各個態樣,該架構可以允許在網路存取節點(例如,eNB、基地台、網路存取點)處不維持用於去往或者來自客戶端設備的資料傳送的安全上下文。
為了避免影響客戶端設備的正常封包資料網路(PDN)連接/訊務,專用核心網路資源被分配用於小量的資料傳送。網路可以分配專用實體(PHY)層資源用於存取控制,以同樣限制小量的資料訊務。客戶端設備上下文可以被用於小量的資料傳送,以當客戶端設備處於閒置模式時,消除IoTF處的客戶端設備的半持久上下文。
在態樣中,IoTF可以包括控制平面IoTF(IoTF-C)和使用者平面IoTF(IoTF-U)。在一些態樣中,可以在單個IoTF中實施此種IoTF-C和IoTF-U。在其他態樣中,可以將此種IoTF-C和IoTF-U實施為單獨的IoTF。在本案內容的態樣中,IoTF-C可以具有類似於行動性管理實體(MME)的功能單元。在本案內容的態樣中,IoTF-U可以是用於使用者平面資料訊務的行動性和安全錨點。在本案內容的態樣中,IoTF-U可以具有類似於服務閘道(S-GW)及/或網路存取節點(例如,進化型節點B(eNB)、基地台或者網路存取點)的功能單元。
為了允許網路功能單元(例如,IoTF-C、IoTF-U)對用於客戶端設備的資源使用進行最佳化,所揭示的IoT網路架構的各個態樣可以實施下文的設計方案協定:其中用於客戶端設備的上下文被攜帶在封包(例如,IP封包)中,並且IoTF(例如,包括IoTF-C和IoTF-U的IoTF)機會性地產生用於該客戶端設備的上下文。此使得網路功能單元能夠針對客戶端設備維持最小的甚至不維持網路狀態資訊,並且維持最小的甚至不維持訊號傳遞管理負擔。應當理解的是,所揭示的IoT網路架構和被包括在其中的功能單元可以被用於任何類型的小量的資料傳送。例如,客戶端設備(例如,智慧型電話)可以具有標稱模式,其中其建立連接並且傳送資料,而且使用如本文揭示的程序,以利用客戶端設備上下文來傳送資料。 IoT網路架構
圖1是根據本案內容的各個態樣的IoT網路架構100的方塊圖。如圖1中圖示的,IoT網路架構100包括客戶端設備102(其亦被稱為IoT設備)、網路存取節點104、網路設備105、服務網路110和歸屬用戶伺服器(HSS)/認證、授權和計費(AAA)伺服器112。在一個態樣中,網路存取節點104可以是eNB、基地台或者網路存取點。在一個態樣中,網路設備105可以包括被配置為實施IoTF的一或多個處理電路及/或其他適當的硬體。在本案內容的一個態樣中,IoTF可以包括控制平面IoT功能單元(IoTF-C)106和使用者平面IoT功能單元(IoTF-U)108。例如,IoTF-C 106可以被實施在第一網路節點107處,並且IoTF-U 108可以被實施在第二網路節點109處。根據本文揭示的各個態樣,術語「節點」可以表示被包括在網路設備105中的實體,例如,處理電路、設備、伺服器或者網路實體。因此,例如,網路節點可以被稱為網路節點設備。
在一個態樣中,IoTF-C 106和IoTF-U 108可以被實施在同一個硬體平臺(例如,一或多個處理電路和其他相關聯的硬體部件(例如,記憶體))處。在此種態樣中,例如,IoTF-C 106可以被實施在硬體平臺(例如,網路設備105)上提供的第一虛擬機器(例如,第一作業系統)處,並且IoTF-U 108可以被實施在該硬體平臺上提供的第二虛擬機器(例如,第二作業系統)處。
如圖1中圖示的,IoTF-C 106經由第一S1連接116,與網路存取節點104相通訊,並且IoTF-U 108經由第二S1連接114,與網路存取節點104相通訊。在本案內容的態樣中,服務網路110可以包括被配置為提供各種類型的服務的多個實體、功能單元、閘道及/或伺服器。例如,服務網路110可以包括簡訊實體(SME)118、機器類型通訊互通功能單元(MTC-IWF)120、IoT伺服器122及/或封包資料網路(PDN)閘道(P-GW)124。應當理解的是,圖1中揭示的服務網路110充當一個實例,而在其他態樣中,與圖1中揭示的彼等相比,服務網路110可以包括不同類型的實體、功能單元及/或伺服器。
在本案內容的態樣中,在網路設備105處實施的IoTF可以提供控制平面和使用者平面功能。在本案內容的態樣中,IoTF-C 106處理用於客戶端設備的控制平面訊號傳遞(例如,攜帶控制資訊的封包,在本文被稱為「控制封包」)。例如,IoTF-C 106可以執行針對客戶端設備的行動性和通信期管理,執行與客戶端設備的認證和金鑰協商(其亦被稱為AKA程序),及/或可以產生用於客戶端設備的安全上下文。在本案內容的態樣中,IoTF-C 106可以推導用於與客戶端設備102相關聯的控制平面訊務的控制平面(CP)金鑰126,推導用於與客戶端設備102相關聯的使用者平面訊務的使用者平面(UP)金鑰128,及/或推導上下文金鑰130以產生用於客戶端設備102的加密的客戶端設備上下文及/或加密的網路可達性上下文。在本案內容的態樣中,IoTF-C 106可以向IoTF-U 108提供使用者平面金鑰128及/或上下文金鑰130中的至少一個上下文金鑰。因此,在一些態樣中,IoTF-U 108可以包括由IoTF-C 106提供的使用者平面金鑰128及/或上下文金鑰131。
在本案內容的態樣中,IoTF-U 108可以處理用於客戶端設備的使用者平面訊務。例如,IoTF-U 108可以推導加密金鑰和完整性金鑰(例如,使用UP金鑰128的帶有關聯資料的認證加密(AEAD)密碼),執行中產生客戶端設備上下文(其亦被稱為IoT設備上下文),對由客戶端設備發送的上行鏈路(UL)封包進行認證和解密,並且將該等上行鏈路封包轉發給PDN或者P-GW(例如,P-GW 124),對用於連接的客戶端設備的下行鏈路(DL)封包進行加密和認證,並且將該等下行鏈路封包轉發給下一躍點網路存取節點(例如,eNB),及/或對於傳呼期間用於閒置客戶端設備的下行鏈路封包進行緩衝。在本案內容的態樣中,IoTF-U 108可以充當資料訊務的行動性和安全錨點。 用於IoT網路的示例性金鑰體系
圖2是圖示根據本案內容的各個態樣的用於IoT網路架構(例如,IoT網路架構100)的金鑰體系200的圖。在圖2中,金鑰KIoT 202可以是被永久地儲存在客戶端設備(例如,客戶端設備102)的通用行動電信系統(UMTS)用戶辨識模組(USIM)和網路的認證中心(AuC)中的秘密金鑰。完整性金鑰(IK)和加密金鑰(CK)(其被示作圖2中的IK、CK 204)是在AKA程序期間,在AuC和USIM中推導出的一對金鑰。參考圖1,在AKA程序期間,IoTF-C 106可以從HSS/AAA伺服器112接收認證向量(AV),該AV包含來自存取安全管理實體(ASME)的金鑰(在圖2中被示作金鑰KASME 206)。IoTF-C 106可以根據金鑰KASME 206推導控制平面金鑰(KCP )208和使用者平面金鑰(KUP )214。IoTF-C 106可以向IoTF-U 108提供金鑰KUP 214。IoTF-C 106可以根據金鑰KCP 208推導加密金鑰KIoT-CPenc 210和完整性保護金鑰KIoT-CPint 212。IoTF-U 108可以根據金鑰KUP 214推導加密金鑰KIoT-UPenc 216和完整性保護金鑰KIoT-UPint 218。
圖3是圖示根據本案內容的各個態樣的用於在IoT網路架構(例如,IoT網路架構100)中對上下文進行加密的金鑰體系300的圖。在本案內容的態樣中,參考圖1,IoTF-C 106可以基於用於客戶端設備的上下文金鑰KCDC-IoTF 302,隨機地產生用於客戶端設備(例如,客戶端設備102)的控制平面客戶端設備上下文加密金鑰(KCDC-IoTF-C )304和使用者平面客戶端設備上下文加密金鑰(KCDC-IoTF-U )306。在本案內容的態樣中,參考圖1,IoTF-C 106可以基於上下文金鑰KNRC-IoTF 308,隨機地產生用於控制平面的網路可達性上下文(NRC)加密金鑰(KNRC-IoTF-C )310。IoTF-C 106亦可以基於上下文金鑰KNRC-IoTF 308,隨機地產生用於使用者平面的網路可達性上下文(NRC)加密金鑰(KNRC-IoTF-U )312。在一個態樣中,金鑰KNRC-IoTF-C 310和金鑰KNRC-IoTF-U 312可以是針對應用服務或者P-GW(例如,P-GW 124)而產生的。 客戶端設備的示例性網路狀態
在無線通訊系統(例如,LTE網路)中,為客戶端設備規定用於行動性管理(例如,進化型封包系統行動性管理(EMM))的網路狀態。此種網路狀態實施網路中的客戶端設備與其他實體之間的高效通訊。在本案內容的態樣中,客戶端設備(例如,圖1中的客戶端設備102)可以處於登出狀態或者註冊狀態。
例如,當客戶端設備處於登出狀態時,可以將用於該客戶端設備的上下文儲存在HSS中。網路不保持用於該客戶端設備的有效位置或者路由資訊,故該客戶端設備是不可達的。
作為另一實例,客戶端設備可以藉由向網路進行成功的註冊來進入註冊狀態。在本案內容的態樣中,客戶端設備可以藉由與網路執行附著程序,來執行此種註冊。在註冊狀態下,客戶端設備具有至少一個活動的PDN連接。客戶端設備亦具有進化型封包系統(EPS)安全上下文建立。應當注意到的是,登出狀態和註冊狀態假定客戶端設備具有用於該網路的身份碼(例如,在HSS中存在可用的訂制)。
無線通訊網路(例如,LTE網路)亦可以包括為客戶端設備規定的用於進化型封包系統連接管理(ECM)的網路狀態。因此,處於註冊狀態的客戶端設備(例如,圖1中的客戶端設備102)可以處於諸如閒置狀態或者連接狀態之類的兩種狀態(其亦被稱為註冊狀態的子狀態)之一。在閒置狀態下,在客戶端設備與其他網路實體之間不存在非存取層(NAS)訊號傳遞連接。此外,客戶端設備可以執行細胞選擇/重新選擇和公共陸地行動網路(PLMN)選擇。在無線電存取網路(例如,網路存取節點)中可能不存在用於該客戶端設備的上下文。此外,可能不存在S1-MME並且不存在S1-U連接用於閒置狀態下的客戶端設備。
在連接狀態下,在MME中知道具有服務存取網路辨識符(例如,eNB辨識符(ID)、基地台ID或者網路存取點ID)的精度的客戶端設備的位置。客戶端設備的行動性是由交遞程序來處理的。此外,在客戶端設備與MME之間存在訊號傳遞連接。該訊號傳遞連接可以由兩部分所組成:無線電資源控制(RRC)連接和S1-MME連接。
圖4是圖示在網路400中的各個實體處維持的客戶端設備的示例性網路狀態的圖。如圖4中圖示的,網路400包括客戶端設備402、網路存取節點404和進化型封包核心(EPC)406。如圖4中進一步圖示的,EPC 406包括歸屬用戶伺服器(HSS)412、行動性管理實體(MME)408和封包資料網路閘道(P-GW)/服務閘道(S-GW)410。在本案內容的態樣中,網路400可以是4G網路。在其他態樣中,網路400可以是3G網路、LTE網路、5G網路或者其他適當的網路。
例如,參考圖4,當客戶端設備402處於連接狀態時,網路存取節點404可以維持用於客戶端設備402的上下文414(其亦被稱為網路狀態資訊)。當客戶端設備402處於連接狀態時,MME 408可以維持用於客戶端設備402的上下文416,以及當客戶端設備402處於閒置狀態時,維持用於客戶端設備402的上下文418。當客戶端設備402處於連接狀態時,P-GW/S-GW 410可以維持用於客戶端設備402的上下文426,以及當客戶端設備402處於閒置狀態時,維持用於客戶端設備402的上下文428。當客戶端設備402處於連接狀態時,HSS 412可以維持用於客戶端設備402的上下文420,當客戶端設備402處於閒置狀態時,維持用於客戶端設備402的上下文422,以及當客戶端設備402處於登出狀態時,維持用於客戶端設備402的上下文424。在本案內容的態樣中,若網路400被實施為3G網路,則當客戶端設備402處於閒置狀態時,P-GW/S-GW 410可以不維持用於客戶端設備402的上下文。
在本案內容的態樣中,可以為諸如圖1中的IoTF-C 106和IoTF-U 108之類的網路功能單元產生加密的客戶端設備上下文,以實施用於客戶端設備的上下文(其亦被稱為客戶端設備上下文)的機會性重建。例如,在維持針對該客戶端設備的最小網路狀態資訊,甚至不維持網路狀態資訊時,加密的客戶端設備上下文可以使得網路實體能夠重建客戶端設備上下文。因此,加密的客戶端設備上下文可以使得網路實體能夠在無需儲存或者快取任何網路狀態資訊的情況下,重建客戶端設備上下文。應當注意到的是,在潛在地存在不頻繁地發送訊務的數十億的客戶端設備的情況下,不期望網路功能單元(例如,MME 408、P-GW/S-GW 410)維持用於客戶端設備的上下文(其包括安全上下文)。此外,加密的客戶端設備上下文可以消除交遞期間或者從閒置模式到連接模式的轉換期間,網路存取節點(例如,eNB、基地台或者網路存取點)處的訊號傳遞管理負擔。由於可以避免與MME/控制器的通訊,所以使用加密的客戶端設備上下文可以大量地減少或者消除訊號傳遞管理負擔。 使用者平面加密的客戶端設備上下文
在本案內容的態樣中,可以為客戶端設備產生使用者平面(UP)加密的客戶端設備上下文。例如,參考圖1,可以在IoTF-U 108處使用使用者平面加密的客戶端設備上下文,來進行上行鏈路(UL)資料傳輸。在本案內容的態樣中,使用者平面加密的客戶端設備上下文可以包括:承載ID、進化型封包系統(EPS)承載服務品質(QoS)、用於使用者平面通用封包式無線電服務(GPRS)隧道協定(GTP-U)的S5隧道端點辨識符(TEID)、IoTF-U 108將UL資料轉發到的P-GW網際網路協定(IP)位址(或者等同資訊),及/或安全上下文(例如,選擇的加密演算法和使用者平面(UP)金鑰128)。在其他態樣中,使用者平面加密的客戶端設備上下文可以包括:可以由網路為了向該客戶端設備提供服務需要的其他參數、值、設置或者特徵。在一個實例中,UP金鑰128可以是金鑰KUP 214,根據該金鑰KUP 214,可以推導出金鑰KIoT-UPenc 216和金鑰KIoT-UPint 218。可以藉由使用IoTF-U 108的秘密金鑰(例如,圖3中圖示的金鑰KCDC-IoTF-U 306),對用於客戶端設備的使用者平面上下文進行加密,來產生該使用者平面加密的客戶端設備上下文。在本案內容的態樣中,IoTF-U 108的秘密金鑰(例如,金鑰KCDC-IoTF-U 306)可以是由IoTF-C 106供應的。該使用者平面加密的客戶端設備上下文可以是由具有該秘密金鑰(例如,金鑰KCDC-IoTF-U 306)的IoTF解密的。因此,使用者平面加密的客戶端設備上下文可以是由產生該使用者平面加密的客戶端設備上下文的IoTF解密的。 控制平面加密的客戶端設備上下文
可以藉由對用於控制訊息(例如,控制封包或者包括控制封包的訊息)的控制平面客戶端設備上下文進行加密,來產生控制平面(CP)加密的客戶端設備上下文。在態樣中,控制平面加密的客戶端設備上下文可以包括:客戶端設備辨識符、客戶端設備安全上下文(例如,諸如金鑰KIoT (KASME 均等物)、金鑰KIoT-CPenc 210、金鑰KIoT-CPint 212之類的控制平面金鑰)、客戶端設備安全能力(例如,進化型封包系統加密演算法(EEA)、進化型封包系統完整性演算法(EIA))及/或下一躍點(S5/S8)配置資訊。例如,下一躍點配置資訊可以包括IoT伺服器位址、P-GW位址及/或TEID。例如,參考圖1,可以利用IoTF-C 106的秘密金鑰(例如,圖3中圖示的金鑰KCDC-IoTF-C 304),對用於控制訊息的控制平面客戶端設備上下文進行加密。該控制平面加密的客戶端設備上下文可以是由具有該秘密金鑰(例如,金鑰KCDC-IoTF-C 304)的IoTF解密的。因此,加密的客戶端設備上下文可以是由產生該控制平面加密的客戶端設備上下文的IoTF解密的。 加密的網路可達性上下文
可以(例如,由IoTF)對用於客戶端設備的網路可達性上下文(NRC)進行加密,以產生加密的網路可達性上下文,用於至該客戶端設備的下行鏈路(DL)傳輸。該加密的網路可達性上下文使得IoTF(例如,IoTF-C 106、IoTF-U 108)能夠在客戶端設備變成閒置時,移除客戶端設備上下文。例如,參考圖1,可以將該加密的網路可達性上下文提供給期望與客戶端設備102進行通訊的IoT伺服器122或者P-GW 124。因此,在該實例中,IoT網路架構100不需要維持針對該客戶端設備102的網路狀態資訊,或者可以減少針對該客戶端設備102維持的網路狀態資訊的量。當IoT伺服器122或者P-GW 124向客戶端設備102發送DL資料封包時,其可以提供該加密的網路可達性上下文,以允許IoT網路架構100中的一或多個節點或者實體(例如,網路存取節點104)重新構建該網路可達性上下文。
加密的網路可達性上下文可以包括下列特徵中的一或多個特徵。在本案內容的態樣中,加密的網路可達性上下文可以藉由包括以下各項來提供行動性特徵:用於取回客戶端設備102的網路側網路狀態資訊的辨識符、用於決定在哪兒對客戶端設備102進行傳呼的追蹤區域ID(TAI)列表或者均等物、以及時序資訊(例如,用於決定何時對客戶端設備102進行傳呼)。在本案內容的態樣中,加密的網路可達性上下文可以實施上下文再定位程序,例如,追蹤區域更新(TAU)和可選地獲得新的加密的網路可達性上下文和ID。在本案內容的態樣中,加密的網路可達性上下文可以包括延伸到安全之外的資訊,並且可以指示如何對安全上下文進行管理。
在本案內容的態樣中,IoTF-C 106向服務網路110中的一或多個實體(例如,IoT伺服器122或者P-GW 124)提供資訊(例如,TAI列表)。隨後,服務網路110中的此種一或多個實體可以向IoT網路架構100中的其他實體發送該加密的網路可達性上下文,以重新建立用於該客戶端設備102的上下文。該加密的網路可達性上下文可以被實施用於網路發起的訊務。但是,在涉及客戶端設備發起的訊務或者網路發起的訊務的一些態樣中,IoTF 105可以維持非常有限的用於客戶端設備102的網路狀態資訊,甚至不維持用於客戶端設備102的網路狀態資訊。在本案內容的態樣中,IoTF-C 106可以依據至少TAI列表來提供客戶端設備102的位置,其中該TAI列表可以是網路可達性上下文的一部分。 初始附著程序
圖5是圖示根據本案內容的各個態樣的IoT網路架構500中的客戶端設備的初始附著程序的方塊圖。在一些態樣中,如本文描述的附著程序亦被稱為網路附著程序或者註冊程序。
如圖5中圖示的,IoT網路架構500包括客戶端設備502(其亦被稱為IoT設備)、網路存取節點504(例如,eNB、基地台、網路存取點)、網路設備505、服務網路510和歸屬用戶伺服器(HSS)/認證、授權和計費(AAA)伺服器512。在一個態樣中,網路設備505可以包括被配置為實施IoTF的一或多個處理電路及/或其他適當的硬體。例如,IoTF可以包括控制平面IoT功能單元(IoTF-C)506和使用者平面IoT功能單元(IoTF-U)508。在此種態樣中,IoTF-C 506可以被實施在第一網路節點507處,以及IoTF-U 508可以被實施在第二網路節點509處。在一個態樣中,IoTF-C 506和IoTF-U 508可以被實施在同一個硬體平臺處,使得IoTF-C 506和IoTF-U 508均表示架構500中的獨立的節點。在此種態樣中,例如,IoTF-C 506可以被實施在硬體平臺(例如,網路設備505)上提供的第一虛擬機器(例如,第一作業系統)處,以及IoTF-U 508可以被實施在該硬體平臺上提供的第二虛擬機器(例如,第二作業系統)處。
如圖5中圖示的,IoTF-C 506經由第一S1連接516,與網路存取節點504相通訊,以及IoTF-U 508經由第二S1連接514,與網路存取節點504相通訊。在本案內容的態樣中,服務網路510可以包括被配置為提供各種類型的服務的多個實體、功能單元、閘道及/或伺服器。例如,服務網路510可以包括簡訊實體(SME)518、機器類型通訊互通功能單元(MTC-IWF)520、IoT伺服器522及/或封包資料網路(PDN)閘道(P-GW)524。應當理解的是,圖5中揭示的服務網路510充當一個實例,而在其他態樣中,與圖5中揭示的彼等相比,服務網路510可以包括不同類型的實體、功能單元及/或伺服器。
如圖5中圖示的,客戶端設備502可以向網路發送附著請求532,其中該附著請求532可以是由網路存取節點504接收的。在本案內容的態樣中,附著請求532可以指示客戶端設備502要作為IoT設備附著(例如,或者指示執行小量(減少的)資料傳送的請求,或者指示該客戶端設備正在低功耗模式下操作),並且可以指示應當從其取回認證資訊的歸屬域(例如,HPLMN ID或者全合格領域名稱(FQDN))。網路存取節點504可以將該請求轉發給其所屬於的IoTF-C 506。
IoTF-C 506可以根據由客戶端設備502提供的歸屬域資訊來決定HSS/AAA伺服器512的位址,並且可以向HSS/AAA伺服器512發送針對該客戶端設備502的認證資訊的請求534。IoTF-C 506可以從HSS/AAA伺服器512接收該認證資訊535。
IoTF-C 506可以執行與客戶端設備502的相互認證(例如,AKA程序)。在AKA程序期間,IoTF-C 506可以經由認證資訊535,從HSS/AAA伺服器512接收AV。例如,該等AV可以包含來自存取安全管理實體(ASME)的金鑰(在圖2中被示作金鑰KASME 206)。例如,IoTF-C 506可以經由信號536,向客戶端設備502提供金鑰KASME 206。當AKA程序被完成時,IoTF-C 506和客戶端設備502可以根據金鑰KASME 206或者根據金鑰KIoT 202,推導諸如金鑰KCP 208、金鑰KIoT-CPenc 210及/或金鑰KIoT-CPint 212之類的CP金鑰526,並且可以推導諸如金鑰KUP 214、金鑰KIoT-UPenc 216及/或金鑰KIoT-UPint 218之類的UP金鑰528。在一些態樣中,IoTF-C 506可以經由訊息538,向IoTF-U 508傳送金鑰KUP 214和使用者平面加密和完整性保護金鑰,例如,金鑰KIoT-UPenc 216和金鑰KIoT-UPint 218。
在本案內容的態樣中,IoTF-C 506可以經由使用上下文金鑰530對客戶端設備上下文進行加密,來產生用於客戶端設備502的一或多個加密的客戶端設備上下文。隨後,IoTF-C 506可以向客戶端設備502發送該一或多個加密的客戶端設備上下文。例如,IoTF-C 506可以產生用於控制平面的加密的客戶端設備上下文和用於使用者平面的加密的客戶端設備上下文。在此種實例中,上下文金鑰530可以包括:用於產生用於控制平面的加密的客戶端設備上下文的第一上下文金鑰(例如,金鑰KCDC-IoTF-C 304),以及用於產生用於使用者平面的加密的客戶端設備上下文的第二上下文金鑰(例如,金鑰KCDC-IoTF-U 306)。在本案內容的態樣中,IoTF-C 506可以向IoTF-U 508提供上下文金鑰530中的一或多個上下文金鑰。例如,IoTF-C 506可以經由訊息538,向IoTF-U 508發送用於產生用於使用者平面的加密的客戶端設備上下文的第二上下文金鑰(例如,金鑰KCDC-IoTF-U 306)。因此,在一些態樣中,IoTF-U 508可以包括由IoTF-C 506提供的上下文金鑰531。
在本案內容的態樣中,IoTF-C 506可以使用上下文金鑰530對網路可達性上下文進行加密,來產生一或多個加密的網路可達性上下文,以便向客戶端設備502發送下行鏈路(DL)訊務。隨後,IoTF-C 506可以向諸如IoT伺服器522或者P-GW 524之類的網路實體發送該一或多個加密的網路可達性上下文。本文詳細地論述了用於產生一或多個加密的網路可達性上下文的示例性方法。IoTF-C 506可以經由訊息538,向IoTF-U 508發送金鑰KUP 214、使用者平面加密和完整性保護金鑰(例如,金鑰KIoT-UPenc 216和金鑰KIoT-UPint 218)、以及用於使用者平面的網路可達性上下文(NRC)加密金鑰(例如,金鑰KNRC-IoTF-U 312)。因此,在一些態樣中,IoTF-U 508可以包括由IoTF-C 506提供的上下文金鑰531(例如,金鑰KNRC-IoTF-U 312)。
圖6是根據本案內容的各個態樣的IoT網路架構(例如,IoT網路架構100、500)中的客戶端設備的示例性附著程序的信號流程圖600。如圖6中圖示的,信號流程圖600包括客戶端設備602(其亦被稱為IoT設備)、網路存取節點604(例如,eNB、基地台或者網路存取點)、在網路節點605處實施的IoTF-C 606、在網路節點607處實施的IoTF-U 608、服務網路609和歸屬用戶伺服器(HSS)610。如圖6中圖示的,客戶端設備602可以向網路存取節點604發送請求612(例如,RRC連接請求),以便與網路進行通訊。客戶端設備602可以接收RRC連接建立訊息614,該RRC連接建立訊息614可以包括訊號傳遞無線電承載(SRB)配置(例如,用於經由專用控制通道(DCCH)發送NAS訊息的SRB1配置)。客戶端設備602可以向網路存取節點604發送RRC連接建立完成訊息616。例如,RRC連接建立完成訊息616可以指示附著請求。網路存取節點604可以向IoTF-C 606發送初始客戶端設備訊息618。IoTF-C 606可以根據由客戶端設備602提供的歸屬域資訊來決定HSS伺服器610的位址,並且可以與HSS 610進行通訊621。例如,IoTF-C 606可以向HSS伺服器610發送針對客戶端設備602的認證資訊的請求,並且可以從HSS伺服器610接收該認證資訊。
如圖6中圖示的,IoTF-C 606可以執行與客戶端設備602的相互認證,例如,AKA程序620。當AKA程序620被完成時,IoTF-C 606和客戶端設備602可以根據金鑰KASME 206或者根據金鑰KIoT 202,推導諸如金鑰KIoT-CPenc 210及/或金鑰KIoT-CPint 212之類的控制平面金鑰。IoTF-C 606和客戶端設備602亦可以根據金鑰KASME 206或者根據金鑰KIoT 202,推導諸如金鑰KIoT-UPenc 216及/或金鑰KIoT-UPint 218之類的使用者平面金鑰。在本案內容的態樣中,IoTF-C 606可以藉由使用金鑰KCDC-IoTF-C 304對用於客戶端設備602的控制平面上下文進行加密,來產生控制平面加密的客戶端設備上下文,及/或可以藉由使用金鑰KCDC-IoTF-U 306對用於客戶端設備602的使用者平面上下文進行加密,來產生使用者平面加密的客戶端設備上下文。IoTF-C 606可以經由訊息622,向IoTF-U 608傳送一或多個金鑰(例如,諸如金鑰KIoT-UPenc 216及/或金鑰KIoT-UPint 218及/或金鑰KCDC-IoTF-U 306之類的使用者平面金鑰)。
IoTF-C 606可以向客戶端設備602發送具有加密的客戶端設備上下文(例如,控制平面加密的客戶端設備上下文及/或使用者平面加密的客戶端設備上下文)的初始上下文建立請求訊息624。因此,加密的客戶端設備上下文可以包括與IoTF的IoTF-C 606及/或IoTF-U 608相關聯的客戶端設備上下文,其中該客戶端設備上下文可以被用於客戶端設備602的上行鏈路資料傳輸。在本案內容的態樣中,加密金鑰僅僅對於IoTF已知(例如,可以由IoTF的IoTF-C 606及/或IoTF-U 608唯一地取回客戶端設備安全上下文)。因此,在此種態樣中,加密金鑰可以是KCDC-IoTF-U 306,該KCDC-IoTF-U 306對於IoTF 606之外的網路實體(例如,網路存取節點604或者客戶端設備602)可以是未知的。在本案內容的態樣中,每個加密的客戶端設備上下文與一個資料無線電承載(DRB)相對應。
在本案內容的態樣中,IoTF-C 606可以向服務網路609發送包括加密的網路可達性上下文的訊息625。在本案內容的態樣中,IoTF-C 606可以藉由使用金鑰KNRC-IoTF-C 310對用於客戶端設備602的控制平面上下文進行加密,來產生控制平面(CP)加密的網路可達性上下文,及/或可以藉由使用金鑰KNRC-IoTF-U 312對用於客戶端設備602的使用者平面上下文進行加密,來產生使用者平面(UP)加密的網路可達性上下文。因此,在一個實例中,IoTF-C 606可以向服務網路609發送包括加密的網路可達性上下文(例如,CP加密的網路可達性上下文及/或UP加密的網路可達性上下文)的訊息625。因此,該加密的網路可達性上下文可以包括與IoTF的IoTF-C 606及/或IoTF-U 608相關聯的客戶端設備上下文(例如,網路狀態資訊),其中此種客戶端設備上下文可以被用於從網路(例如,從服務網路609中的實體)到客戶端設備602的下行鏈路(DL)資料傳輸。在本案內容的態樣中,該加密金鑰僅僅對於IoTF是已知的(例如,可以由IoTF的IoTF-C 606及/或IoTF-U 608唯一地取回)。在本案內容的態樣中,IoTF-C 608可以向網路實體(例如,服務網路609中的IoT伺服器或者P-GW)分配加密的網路可達性上下文。
網路存取節點604可以向客戶端設備602發送RRC連接重新配置訊息626。在本案內容的態樣中,RRC連接重新配置訊息626可以包括加密的客戶端設備上下文。客戶端設備602可以向網路存取節點604發送RRC連接重新配置完成訊息628。客戶端設備602可以向網路存取節點604發送包括資料封包(例如,UL資料封包)的第一訊息630。網路存取節點604可以經由第二訊息632,將該資料封包轉發給服務網路609。服務網路609可以向客戶端設備602發送包括資料封包(例如,DL資料封包)的第三訊息634。例如,並且如圖6中圖示的,第三訊息634可以是由IoTF-U 608和網路存取節點604轉發給客戶端設備602的。隨後,客戶端設備602可以轉換636到閒置模式。網路存取節點604、IoTF-C 606和IoTF-U 608可以繼續進行以移除638該客戶端設備上下文。 IoT UL資料傳送
圖7是圖示根據本案內容的各個態樣的由IoT網路架構700中的客戶端設備發起的資料傳輸的方塊圖。如圖7中圖示的,IoT網路架構700包括客戶端設備702(其亦被稱為IoT設備)、網路存取節點704(例如,eNB、基地台、網路存取點)、網路設備705、服務網路710和歸屬用戶伺服器(HSS)/認證、授權和計費(AAA)伺服器712。在一個態樣中,網路設備705可以包括被配置為實施IoTF的一或多個處理電路及/或其他適當的硬體。例如,IoTF可以包括控制平面IoT功能單元(IoTF-C)706和使用者平面IoT功能單元(IoTF-U)708。在此種態樣中,IoTF-C 706可以被實施在網路節點707處,以及IoTF-U 708可以被實施在網路節點709處。在一個態樣中,IoTF-C 706和IoTF-U 708可以被實施在同一個硬體平臺處,使得IoTF-C 706和IoTF-U 708均表示架構700中的獨立的節點。在此種態樣中,例如,IoTF-C 706可以被實施在硬體平臺(例如,網路設備705)上提供的第一虛擬機器(例如,第一作業系統)處,以及IoTF-U 708可以被實施在該硬體平臺上提供的第二虛擬機器(例如,第二作業系統)處。
在本案內容的態樣中,服務網路710可以包括被配置為提供各種類型的服務的多個實體、功能單元、閘道及/或伺服器。例如,服務網路710可以包括簡訊實體(SME)718、機器類型通訊互通功能單元(MTC-IWF)720、IoT伺服器722及/或封包資料網路(PDN)閘道(P-GW)724。應當理解的是,圖7中揭示的服務網路710充當一個實例,而在其他態樣中,與圖7中揭示的彼等相比,服務網路710可以包括不同類型的實體、功能單元及/或伺服器。
在圖7的態樣中,IoTF-C 706可能已經產生用於控制平面的加密的客戶端設備上下文和用於使用者平面的加密的客戶端設備上下文。在此種態樣中,上下文金鑰730可以包括:用於產生用於控制平面的加密的客戶端設備上下文的第一上下文金鑰(例如,金鑰KCDC-IoTF-C 304)和用於產生用於使用者平面的加密的客戶端設備上下文的第二上下文金鑰(例如,金鑰KCDC-IoTF-U 306)。例如,IoTF-C 706可能已經向IoTF-U 708發送用於產生用於使用者平面的加密的客戶端設備上下文的第二上下文金鑰(例如,金鑰KCDC-IoTF-U 306)。因此,在此種實例中,如圖7中圖示的,IoTF-U 708可以包括由IoTF-C 706提供的上下文金鑰731。在圖7的該態樣中,客戶端設備702以先前論述的方式,已經推導出CP金鑰726和UP金鑰728。
在圖7的該態樣中,IoTF-C 706可能已經產生用於控制平面的加密的網路可達性上下文和用於使用者平面的加密的網路可達性上下文。在此種態樣中,上下文金鑰730可以包括:用於產生用於控制平面的加密的網路可達性上下文的第一上下文金鑰(例如,金鑰KNRC-IoTF-C 310)和用於產生用於使用者平面的加密的網路可達性上下文的第二上下文金鑰(例如,金鑰KNRC-IoTF-U 312)。例如,IoTF-C 706可能已經向IoTF-U 708發送用於產生用於使用者平面的加密的網路可達性上下文的第二上下文金鑰(例如,金鑰KNRC-IoTF-U 312)。因此,如圖7中圖示的,在此種實例中,IoTF-U 708可以包括由IoTF-C 706提供的上下文金鑰731。
如圖7中圖示的,客戶端設備702可以向網路存取節點704發送第一訊息732,其中該第一訊息732包括資料封包和由IoTF-C 706提供的加密的客戶端設備上下文。第一訊息732中的資料封包可以是基於使用者平面(UP)金鑰728來進行加密和完整性保護的。網路存取節點704可以根據資料封包中的IoTF-U辨識符來決定IoTF-U 708的位址,並且可以經由第二訊息734將該資料封包轉發給IoTF-U 708。在態樣中,網路存取節點704可以在無需對封包進行驗證的情況下,將該資料封包轉發給由客戶端設備702指示的下一躍點節點(例如,IoTF-U 708)。IoTF-U 708可以對加密的客戶端設備上下文進行驗證,並且可以使用上下文金鑰731(例如,用於產生用於使用者平面的加密的客戶端設備上下文的金鑰KCDC-IoTF-U 306)對該加密的客戶端設備上下文進行解密。IoTF-U 708可以基於解密後的資訊來重新構建客戶端設備上下文。隨後,IoTF-U 708可以利用加密和完整性金鑰(例如,UP金鑰728),對該資料封包進行解密和驗證。在本案內容的態樣中,IoTF-U 708可以基於客戶端設備702的上下文(例如,網路狀態資訊)來產生加密的網路可達性上下文。IoTF-U 708可以利用加密的網路可達性上下文,經由第三訊息736,將資料封包轉發給下一躍點(例如,IoT伺服器722或者P-GW 724)。在本案內容的態樣中,緊跟著附著程序的客戶端設備702的初始資料傳送,可以不攜帶加密的客戶端設備上下文。
圖8是圖示根據本案內容的各個態樣的由IoT網路架構(例如,IoT網路架構700)中的客戶端設備發起的示例性資料傳輸的信號流程圖800。如圖8中圖示的,信號流程圖800包括客戶端設備802(其亦被稱為IoT設備)、網路存取節點804(例如,eNB、基地台或者網路存取點)、在網路節點805處實施的IoTF-U 806和服務網路808。客戶端設備802可以向網路存取節點804發送資料傳送請求訊息810,該資料傳送請求訊息810包括加密的客戶端設備上下文和資料封包(例如,UL資料封包)。該資料封包可以是基於先前論述的使用者平面金鑰(例如,金鑰KIoT-UPenc 216及/或金鑰KIoT-UPint 218)來進行加密和完整性保護的。在態樣中,資料傳送請求訊息810可以是由客戶端設備802在不與網路存取節點804建立RRC連接的情況下發送的。在接收到資料傳送請求訊息810時,網路存取節點804可以為客戶端設備802指派812臨時辨識符(TID),用於潛在的下行鏈路(DL)訊務。例如,該TID可以是細胞無線電網路臨時辨識符(C-RNTI)。網路存取節點804可以決定被包括在資料封包的標頭中的IoTF-U辨識符。本文參考圖12論述包括此種標頭的資料封包的示例性格式。網路存取節點804可以決定IoTF-U 806的IP位址,並且可以經由第一訊息814,將資料封包轉發給IoTF-U 806。例如,作為操作和維護(OAM)程序的一部分,網路存取節點804可以被配置有一組IoTF-U辨識符和相應的IP位址,或者替代地,網路存取節點804可以基於IoTF-U ID,使用領域名稱系統(DNS)查詢來決定IoTF-U 806的IP位址。在本案內容的態樣中,並且如圖8中圖示的,網路存取節點804可以將TID和加密的客戶端設備上下文連同資料封包一起包括在第一訊息814中。在本案內容的態樣中,TID被儲存在網路存取節點804處達預先規定的時間間隔。在此種態樣中,網路存取節點804可以用第一訊息814,將TID到期時間連同TID一起發送給IoTF-U 806。IoTF-U 806可以對加密的客戶端設備上下文進行解密,並且可以重新構建816客戶端設備上下文(例如,S5承載)。在態樣中,隨後,IoTF-U 806可以利用加密和完整性金鑰(例如,UP金鑰728),對資料封包進行解密和驗證。
IoTF-U 806可以經由第二訊息818,將資料封包轉發給服務網路808(例如,服務網路808中的P-GW或者服務網路808中的其他實體)。回應於該上行鏈路資料(例如,第二訊息818中的UL資料封包),IoTF-U 806可以經由第三訊息820,從服務網路808(例如,服務網路808中的P-GW或者服務網路808中的相應的實體)接收資料封包(例如,DL資料封包)。IoTF-U 806可以決定與客戶端設備802相關聯的一或多個金鑰(例如,使用者平面金鑰728)。例如,IoTF-U 806可以利用與客戶端設備802相關聯的金鑰KIoT-UPenc 216及/或金鑰KIoT-UPint 218,對針對該客戶端設備的資料封包進行加密和完整性保護。IoTF-U 806可以用第四訊息822,向網路存取節點804發送所接收的資料封包與TID。網路存取節點804可以使用TID來辨識客戶端設備802,並且可以用第五訊息824向客戶端設備802發送資料封包。客戶端設備802可以基於預先配置的計時器,轉換826到閒置模式。網路存取節點804和IoTF-U 806可以繼續進行以移除828客戶端設備上下文,該客戶端設備上下文是根據加密的客戶端設備上下文在執行中產生的。 客戶端設備終止的資料傳送
圖9是根據本案內容的各個態樣的在IoT網路架構(例如,IoT網路架構100)中,示例性客戶端設備終止資料傳輸的信號流程圖900。如圖9中圖示的,信號流程圖900包括客戶端設備902(其亦被稱為IoT設備)、網路存取節點904(例如,eNB、基地台、網路存取點)、在網路節點905處實施的IoTF-C 906和在網路節點907處實施的IoTF-U 908、P-GW 910和IoT伺服器912。
IoT伺服器912可以向P-GW 910發送包括DL資料封包、全球IoTF辨識符(GIOTFI)和加密的網路可達性上下文(NRC)的下行鏈路(DL)訊息914。P-GW 910可以基於GIOTFI來定位IoTF-U 908,並且可以用轉發訊息916,將DL資料封包轉發給IoTF-U 908。在本案內容的態樣中,IoTF-U 908可以對該加密的網路可達性上下文進行驗證。如圖9中圖示的,IoTF-U 908可以重新構建917用於客戶端設備902的上下文。例如,IoTF-U 908可以藉由使用被儲存在IoTF-U 908處的上下文金鑰(例如,金鑰KNRC-IoTF-U 312)對加密的網路可達性上下文進行解密,來重新構建用於客戶端設備902的上下文。
IoTF-U 908可以向IoTF-C 906發送DL資料通知訊息918。在本案內容的態樣中,若DL資料封包足夠小以至於能夠被攜帶在傳呼訊息中,則DL資料通知訊息918可以包括該DL資料封包。IoTF-C 906可以向一或多個網路存取節點(例如,網路存取節點904)發送傳呼訊息920。隨後,網路存取節點904可以藉由發送傳呼訊息922,來傳呼客戶端設備902。
客戶端設備902可以向IoTF-U 908發送包括UL資料封包的RRC連接請求訊息924。在本案內容的態樣中,由客戶端設備902發送的UL資料封包可以是空的。網路存取節點904可以為客戶端設備902指派926臨時辨識符(TID),用於潛在的下行鏈路(DL)訊務。例如,該TID可以是細胞無線電網路臨時辨識符(C-RNTI)。隨後,網路存取節點904可以用轉發訊息928,將UL資料封包與TID和加密的客戶端設備上下文轉發給IoTF-U 908。IoTF-U 908可以儲存930 TID和網路存取節點904的ID。
IoTF-U 908可以向IoTF-C 906發送客戶端設備回應通知訊息932。在本案內容的態樣中,若IoTF-U 908不能夠將DL資料封包包括在DL資料通知訊息918中,則IoTF-U 908可以向客戶端設備902發送包括DL資料封包和客戶端設備902的TID的訊息934。網路存取節點904可以用轉發訊息936,將該DL資料封包轉發給客戶端設備902。隨後,客戶端設備902可以轉換938到閒置模式。網路存取節點904和IoTF-C 906可以移除940該客戶端設備上下文。 控制平面協定堆疊
圖10是圖示根據本案內容的各個態樣的用於IoT資料傳輸的控制平面協定堆疊1000的圖。如圖10中圖示的,協定堆疊1000可以包括客戶端設備協定堆疊1002(其亦被稱為IoT設備協定堆疊)、網路存取節點協定堆疊1004、在網路節點1005處實施的IoTF協定堆疊1006、以及服務網路通訊協定堆疊1008。例如,網路存取節點協定堆疊1004可以在eNB、基地台或者網路存取點中實施。作為另一實例,服務網路通訊協定堆疊1008可以在P-GW中實施。如圖10中圖示的,客戶端設備協定堆疊1002可以包括實體(PHY)層1010、媒體存取控制(MAC)層1012、無線電鏈路控制(RLC)層1014、封包資料收斂協定(PDCP)層1016和控制(Ctrl)層1020。如圖10中進一步圖示的,客戶端設備協定堆疊1002可以實施上下文協定層1018,用於傳送控制平面加密的客戶端設備上下文(在圖10中被縮寫為「CDCCP 」)。上下文協定層1018亦可以實施用於指示加密的客戶端設備上下文的存在的IoTF ID(IID)及/或安全標頭(在圖10中被縮寫為「Sec」)的通訊。
如圖10中圖示的,網路存取節點協定堆疊1004可以包括PHY層1022、MAC層1024、RLC層1026和PDCP層1028,其分別與客戶端設備協定堆疊1002的PHY層1010、MAC層1012、RLC層1014和PDCP層1016相連接。網路存取節點協定堆疊1004亦可以包括乙太網路層1030、MAC層1032、網際網路協定(IP)層1034、使用者資料包通訊協定(UDP)層1036和控制平面GPRS隧道協定(GTP-C)層1038。
如圖10中圖示的,IoTF協定堆疊1006可以包括乙太網路層1040、MAC層1042、IP層1044、UDP層1046、GTP-C層1048和控制(Ctrl)層1052。如圖10中進一步圖示的,IoTF協定堆疊1006可以實施上下文協定層1050,用於傳送控制平面加密的客戶端設備上下文(在圖10中被縮寫為「CDCCP 」)。上下文協定層1050亦可以實施用於指示加密的客戶端設備上下文的存在的IoTF ID(IID)及/或安全標頭(在圖10中被縮寫為「Sec」)的通訊。如圖10中圖示的,客戶端設備協定堆疊1002的上下文協定層1018與IoTF協定堆疊1006的上下文協定層1050相通訊。在態樣中,可以根據參考圖12描述的示例性封包格式,將加密的客戶端設備上下文攜帶在UP訊息之外的封包標頭中。如圖10中進一步圖示的,IoTF協定堆疊1006亦可以實施上下文協定層1049,用於傳送控制平面加密的網路可達性上下文(在圖10中被縮寫為「NRCCP 」)。上下文協定層1049亦可以實施用於指示加密的網路可達性上下文的存在的IoTF ID(IID)及/或安全標頭(在圖10中被縮寫為「Sec」)的通訊。
服務網路通訊協定堆疊1008可以包括IP層1054、UDP層1056、GTP-C層1058和Ctrl層1062,其分別與IoTF協定堆疊1006的IP層1044、UDP層1046、GTP-C層1048和Ctrl層1052相連接。如圖10中進一步圖示的,服務網路通訊協定堆疊1008可以實施上下文協定層1059,用於傳送控制平面加密的網路可達性上下文(在圖10中被縮寫為「NRCCP 」)。上下文協定層1059亦可以實施用於指示加密的網路可達性上下文的存在的IoTF ID(IID)及/或安全標頭(在圖10中被縮寫為「Sec」)的通訊。如圖10中圖示的,服務網路通訊協定堆疊1008的上下文協定層1059與IoTF協定堆疊1006的上下文協定層1049相通訊。在本案內容的態樣中,可以根據參考圖13描述的示例性封包格式,將加密的網路可達性上下文攜帶在使用者平面訊息之外的封包標頭中。在本案內容的態樣中,若將網路架構實施為GSM EDGE無線電存取網路(GERAN),則可以使用與IP協定1066不同的協定。在本案內容的態樣中,可以省略由區域1064和1068指示的GTP-C和UDP協定。 使用者平面協定堆疊
圖11是圖示根據本案內容的各個態樣的用於IoT資料傳輸的使用者平面協定堆疊1100的圖。如圖11中圖示的,協定堆疊1100可以包括客戶端設備協定堆疊1102(其亦被稱為IoT設備協定堆疊)、網路存取節點協定堆疊1104、在網路節點1105處實施的IoTF協定堆疊1106、以及服務網路通訊協定堆疊1108。例如,網路存取節點協定堆疊1104可以在eNB、基地台或者網路存取點中實施。作為另一實例,服務網路通訊協定堆疊1108可以在P-GW中實施。如圖11中圖示的,客戶端設備協定堆疊1102可以包括實體(PHY)層1110、媒體存取控制(MAC)層1112、無線電鏈路控制(RLC)層1114、封包資料收斂協定(PDCP)層1116和使用者平面(UP)層1120。如圖11中進一步圖示的,客戶端設備協定堆疊1102可以實施上下文協定層1118,用於傳送使用者平面加密的客戶端設備上下文(在圖11中被縮寫為「CDCUP 」)。上下文協定層1118亦可以實施用於指示加密的客戶端設備上下文的存在的IoTF ID(IID)及/或安全標頭(在圖101中被縮寫為「Sec」)的通訊。
如圖11中圖示的,網路存取節點協定堆疊1104可以包括PHY層1122、MAC層1124、RLC層1126和PDCP層1128,其分別與客戶端設備協定堆疊1102的PHY層1110、MAC層1112、RLC層1114和PDCP層1116相連接。網路存取節點協定堆疊1104亦可以包括乙太網路層1130、MAC層1132、網際網路協定(IP)層1134、使用者資料包通訊協定(UDP)層1136和使用者平面GPRS隧道協定(GTP-U)層1138。
如圖11中圖示的,IoTF協定堆疊1106可以包括乙太網路層1140、MAC層1142、IP層1144、UDP層1146和GTP-U層1148。如圖11中進一步圖示的,IoTF協定堆疊1106可以實施上下文協定層1150,用於傳送使用者平面加密的客戶端設備上下文(在圖11中被縮寫為「CDCUP 」)。上下文協定層1150亦可以實施用於指示加密的客戶端設備上下文的IoTF ID(IID)及/或安全標頭(在圖11中被縮寫為「Sec」)的通訊。如圖11中圖示的,客戶端設備協定堆疊1102的上下文協定層1118與IoTF協定堆疊1106的上下文協定層1150相通訊。在態樣中,可以根據參考圖12描述的示例性封包格式,將使用者平面加密的客戶端設備上下文攜帶在UP訊息之外的封包標頭中。如圖11中進一步圖示的,IoTF協定堆疊1106亦可以實施上下文協定層1149,用於傳送使用者平面加密的網路可達性上下文(在圖11中被縮寫為「NRCUP 」)。上下文協定層1149亦可以實施用於指示加密的網路可達性上下文的存在的IoTF ID(IID)及/或安全標頭(在圖11中被縮寫為「Sec」)的通訊。
服務網路通訊協定堆疊1108可以包括IP層1154、UDP層1156、GTP-U層1158和UP層1162,其分別與IoTF協定堆疊1106的IP層1144、UDP層1146、GTP-U層1148和UP層1152相連接。服務網路通訊協定堆疊1108可以實施上下文協定層1159,用於傳送使用者平面加密的網路可達性上下文(在圖11中被縮寫為「NRCUP 」)。如圖11中圖示的,服務網路通訊協定堆疊1108的上下文協定層1159與IoTF協定堆疊1106的上下文協定層1149相通訊。在本案內容的態樣中,可以根據參考圖11描述的示例性封包格式,將使用者平面加密的網路可達性上下文攜帶在UP訊息之外的封包標頭中。在本案內容的態樣中,若將網路架構實施為GSM EDGE無線電存取網路(GERAN),則可以使用與IP協定1166不同的協定。在本案內容的態樣中,可以省略由區域1164和1168指示的GTP-U和UDP協定。在本案內容的態樣中,若IP協定被用於UP訊息傳遞,則可以在IP選項欄位(IPv4)或者IP擴展標頭(IPv6)中攜帶使用者平面加密的網路可達性上下文。 IoT封包格式
圖12是根據本案內容的各個態樣的用於IoT網路架構中的傳輸的封包格式1200的圖。參考圖12,網路存取節點(例如,eNB、基地台或者網路存取點)可以使用臨時辨識符(TID)欄位1202,來本端地辨識客戶端設備(其亦被稱為IoT設備)。例如,由網路存取節點為用於辨識客戶端設備的TID欄位1202指派的值,可以是C-RNTI或者等同值。在本案內容的態樣中,IoTF ID(IID)欄位1204可以包括全球唯一臨時辨識符(GUTI)。例如,該GUTI可以包括與IoTF相關聯的辨識符和與該客戶端設備相關聯的辨識符(例如,諸如行動性管理實體(MME)臨時行動用戶標識(M-TMSI)之類的臨時辨識符)。例如,網路存取節點可以使用GUTI來辨識IoTF,以及IoTF可以使用GUTI來辨識客戶端設備。在另一態樣中,IID欄位1204可以包括全球IoTF辨識符(GIOTFI)和與客戶端設備相關聯的辨識符(例如,諸如M-TMSI之類的臨時辨識符)。例如,GIOTFI可以是用於IoTF的全球唯一行動性管理實體辨識符(GUMMEI)的均等物。在本案內容的態樣中,為了客戶端設備的隱私,可以對M-TMSI進行加密。應當注意到的是,使用IoTF IP位址可能洩露網路拓撲。
安全標頭欄位1206可以指示加密的客戶端設備上下文、控制平面(CP)/使用者平面(UP)指示、序號、時間戳記值及/或隨機值的存在。例如,時間戳記值可以是基於時間和計數器的,其中該時間是網路存取節點時間或者IoTF時間。客戶端設備上下文欄位1208可以包括加密的客戶端設備上下文。應當注意到的是,若使用時間戳記而不是序號來進行加密,則IoTF可能不需要維持任何客戶端設備網路狀態。在態樣中,隨機值可以是基於亂數和計數器的。該隨機值可以是由網路存取節點產生的,或者是由客戶端設備產生的,或者是經由其組合來產生的。針對每個封包,可以對計數器遞增某個值(例如,一)。若使用隨機值而不是序號來進行加密,則客戶端設備可以基於安全上下文中的加密金鑰和亂數來產生新的加密金鑰。若使用隨機值而不是序號來進行完整性保護,則客戶端設備可以基於安全上下文中的完整性保護金鑰和亂數來產生新的完整性保護金鑰,並且可以使用該新的完整性保護金鑰來保護訊息。有效負荷欄位1210可以包括資料或者控制資訊(例如,資料封包或者控制封包)。
訊息認證碼(MAC)欄位1212可以被用於完整性保護。例如,MAC欄位1212可以包括由發送設備或者實體產生的訊息認證碼。隨後,接收設備或者實體可以使用MAC欄位1212中的訊息認證碼來驗證該訊息的完整性尚未受到損害(例如,該訊息的內容尚未被改變或者被操縱)。在一個態樣中,可以在發送設備或者實體處藉由應用訊息認證碼產生演算法(例如,AEAD密碼),來產生MAC欄位1212中的訊息認證碼,其中將訊息(例如,封包)和使用者平面金鑰或者控制平面金鑰用作該訊息認證碼產生演算法的輸入。該訊息認證碼產生演算法的輸出可以是被包括在MAC欄位1212中的訊息認證碼。接收設備或者實體可以藉由向所接收的訊息應用訊息認證碼產生演算法(例如,AEAD密碼),對該訊息的完整性進行驗證。例如,可以將所接收的訊息(例如,封包)和使用者平面金鑰或者控制平面金鑰用作該訊息認證碼產生演算法的輸入。隨後,接收設備或者實體可以將該訊息認證碼產生演算法的輸出與被包括在MAC欄位1212中的訊息認證碼進行比較。在此種實例中,當該訊息認證碼產生演算法的輸出與被包括在MAC欄位1212中的訊息認證碼相匹配時,接收設備或者實體可以決定已經對該訊息進行了成功地驗證。
圖13是根據本案內容的各個態樣的用於IoT網路架構中的傳輸的封包格式1300的圖。參考圖13,網路存取節點(例如,eNB、基地台或者網路存取點)可以使用臨時辨識符(TID)欄位1302,來本端地辨識客戶端設備(其亦被稱為IoT設備)。例如,由網路存取節點為用於辨識客戶端設備的TID欄位1302指派的值,可以是C-RNTI或者等同值。在本案內容的態樣中,IoTF ID(IID)欄位1304可以包括全球唯一臨時辨識符(GUTI)或者全球IoTF辨識符(GIOTFI)。例如,網路存取節點可以使用GUTI來辨識IoTF,以及IoTF可以使用GUTI來辨識客戶端設備。例如,該GIOTFI可以是用於IoTF的全球唯一行動性管理實體辨識符(GUMMEI)的均等物。在本案內容的態樣中,為了客戶端設備的隱私,可以對行動性管理實體(MME)臨時行動用戶識別符(M-TMSI)進行加密。應當注意到的是,使用IoTF IP位址可能洩露網路拓撲。安全標頭欄位1306可以指示加密的網路可達性上下文、CP/UP指示、序號及/或時間戳記值的存在。例如,時間戳記值可以是基於時間和計數器的,其中該時間是網路存取節點時間或者IoTF時間。網路可達性上下文欄位1308可以包括加密的網路可達性上下文。有效負荷欄位1310可以包括資料或者控制資訊(例如,資料封包或者控制封包)。訊息認證碼(MAC)欄位1312可以被用於完整性保護(例如,可以使用AEAD密碼)。應當注意到的是,若使用時間戳記而不是序號來進行加密,則IoTF可能不需要維護客戶端設備的任何網路狀態資訊。 加密的客戶端設備上下文設計方案和產生
在本案內容的態樣中,該加密的客戶端設備上下文可以包含在AKA程序期間建立的客戶端設備上下文。例如,該客戶端設備上下文可以包括安全上下文、承載ID、進化型封包系統(EPS)承載服務品質(QoS)和S5-TEID,及/或網路為了向客戶端設備提供服務可能需要的其他服務、參數、值、設置或者特徵。
在一些態樣中,除了客戶端設備上下文之外,該加密的客戶端設備上下文可以包括一或多個資訊項。例如,該加密的客戶端設備上下文可以包括由IoTF-C 106設置的(或者在客戶端設備上下文中指示的)到期時間,其限制該加密的客戶端設備上下文的使用期(例如,以防止永久性的再使用)。作為另一實例,該加密的客戶端設備上下文可以具有金鑰索引,該金鑰索引標識被用於產生該加密的客戶端設備上下文的金鑰。
在一些態樣中,該加密的客戶端設備上下文可以是使用僅僅對於網路中的實體已知的秘密金鑰產生的,並且因此可能不被客戶端設備解譯及/或修改。例如,該加密的客戶端設備上下文可以是藉由使用IoTF-U(例如,IoTF-U 108)的秘密金鑰對客戶端設備上下文進行加密產生的。在一些態樣中,該加密的客戶端設備上下文可以是利用IoTF-U(例如,IoTF-U 108)的秘密金鑰來進行完整性保護的,並且因此可以不被客戶端設備操縱/修改。
在態樣中,當成功完成認證和上下文(例如,承載)建立時,IoTF-C(例如,IoTF-C 106)可以將該加密的客戶端設備上下文提供給客戶端設備(例如,客戶端設備102)。在態樣中,客戶端設備可以將該加密的客戶端設備上下文包括在一或多個使用者平面封包(例如,UL資料封包)中,以使得IoTF-U(例如,IoTF-U 108)能夠在執行時重新構建該客戶端設備上下文。例如,若客戶端設備需要按順序排列地發送多個封包,則客戶端設備可以將該加密的客戶端設備上下文包括在第一封包中,而無需將該加密的客戶端設備上下文包括在後續的封包中。在一些態樣中,該加密的客戶端設備上下文可以是特定於客戶端設備的,並且因此向一客戶端設備發出的加密的客戶端設備上下文可以不被任何其他客戶端設備使用。 a)控制平面加密的客戶端設備上下文
在本案內容的態樣中,IoTF(例如,圖1中的IoTF-C 106)可以藉由將一或多個資訊項連接在一起,來產生加密的客戶端設備上下文。例如,控制平面(CP)加密的客戶端設備上下文(CDCCP )可以是基於運算式KeyID || Enc_KCDC-IoTF-C (CDCCP ) || MAC產生的。在本案內容的態樣中,金鑰KCDC-IoTF-C (例如,圖3中的金鑰KCDC-IoTF-C 304)可以與金鑰KCDC-IoTF (例如,圖3中的金鑰KCDC-IoTF 302)相同,或者是根據金鑰KCDC-IoTF 推導出的。KeyID項可以表示金鑰索引(其被用於產生加密的客戶端設備上下文)。
CDCCP 項可以表示控制平面客戶端設備上下文。例如,控制平面客戶端設備上下文可以包括客戶端設備辨識符、客戶端設備安全上下文(例如,諸如金鑰KIoT (KASME 均等物)、金鑰KIoT-CPenc 210、金鑰KIoT-CPint 212之類的控制平面金鑰)、客戶端設備安全能力(例如,進化型封包系統加密演算法(EEA)、進化型封包系統完整性演算法(EIA))及/或下一躍點(S5/S8)配置資訊。例如,下一躍點配置資訊可以包括IoT伺服器位址、P-GW位址及/或TEID。MAC項可以指示加密模式及/或訊息認證碼產生演算法(其亦被稱為MAC演算法),其可以是由行動網路服務供應商(MNO)選擇的並且配置給IoTF的。因此,Enc_KCDC-IoTF-C (CDCCP )項可以表示使用金鑰KCDC-IoTF-C ,關於控制平面客戶端設備上下文執行的加密操作的結果。 b)使用者平面加密的客戶端設備上下文
作為另一實例,使用者平面(UP)加密的客戶端設備上下文(CDCUP )可以是基於運算式KeyID || Enc_KCDC-IoTF-U (CDCUP ) || MAC產生的。CDCUP 項可以表示使用者平面客戶端設備上下文。例如,使用者平面客戶端設備上下文可以包括客戶端設備辨識符、承載ID、進化型封包系統(EPS)承載服務品質(QoS)、用於使用者平面通用封包式無線電服務(GPRS)隧道協定(GTP-U)的S5隧道端點辨識符(TEID)、IoTF-U 108將UL資料轉發到的P-GW網際網路協定(IP)位址(或者等同資訊)、客戶端設備安全上下文(例如,選擇的加密演算法和使用者平面金鑰(例如,金鑰KIoT-UPenc 216、金鑰KIoT-UPint 218))、客戶端設備安全能力(例如,進化型封包系統加密演算法(EEA)、進化型封包系統完整性演算法(EIA))及/或下一躍點(S5/S8)配置資訊。例如,下一躍點配置資訊可以包括IoT伺服器位址、P-GW位址及/或TEID。因此,Enc_KCDC-IoTF-U (CDCUP )項可以表示使用金鑰KCDC-IoTF-U ,關於使用者平面客戶端設備上下文上執行的加密操作的結果。在本案內容的態樣中,該加密的客戶端設備上下文可能僅僅被該客戶端設備所附著/關聯到的IoTF(例如,IoTF-C 106及/或IoTF-U 108)解密。在本案內容的態樣中,可以在對客戶端設備上下文進行加密之前,對其進行壓縮。
該加密的客戶端設備上下文可以具有一或多個特性。例如,加密的客戶端設備上下文可以包含與特定的客戶端設備相關聯的網路狀態資訊,並且因此可能不能傳送到其他客戶端設備。IoTF-C/U(例如,IoTF-C 106及/或IoTF-U 108)可以不維持客戶端設備的上下文(例如,網路狀態資訊)。因此,此種IoTF-C/U可以使用其自己的秘密金鑰,根據加密的客戶端設備上下文來恢復出客戶端設備上下文,並且因此,IoTF-C/U可能不需要儲存任何另外的資訊來恢復客戶端設備上下文。在某些情況下(例如,進化型封包系統連接管理(ECM)閒置或者緊接在小量資料傳送之後),IoTF-C/U可以移除客戶端設備上下文,並且在必要的時候(例如,用於資料傳送)對其進行恢復。
客戶端設備可以儲存由IoTF-C提供的加密的客戶端設備上下文,用於快速UL資料傳送/快速控制平面訊息傳遞。客戶端設備可以在發送一或多個資料封包之後,緊接著進入休眠模式。由於可能不存在IoTF-U為了重新構建客戶端設備上下文的訊息交換管理負擔,因此小量資料封包的傳輸不會經歷延遲。在本案內容的態樣中,當客戶端設備處於閒置模式時,可以不使用控制平面訊息來用於使用者平面資料傳輸。 加密的網路可達性上下文設計方案和產生 a)控制平面加密的網路可達性上下文
在本案內容的態樣中,加密的網路可達性上下文可以是經由將一或多個資訊項連接在一起產生的。例如,控制平面(CP)加密的網路可達性上下文可以是基於運算式KeyID || Enc_KNRC-IoTF-C (CDCCP ) || MAC產生的。在本案內容的態樣中,金鑰KNRC-IoTF-C (例如,圖3中的金鑰KNRC-IoTF-C 310)可以與金鑰KNRC-IoTF (例如,圖3中的金鑰KNRC-IoTF 308)相同,或者可以是根據金鑰KNRC-IoTF 推導出的。KeyID項可以表示金鑰索引(其被用於產生網路可達性上下文)。CDCCP 項可以表示控制平面客戶端設備上下文。例如,控制平面客戶端設備上下文可以包括客戶端設備辨識符、客戶端設備安全上下文(例如,諸如金鑰KIoT 202(KASME 均等物)、金鑰KIoT-CPenc 210、金鑰KIoT-CPint 212之類的控制平面金鑰)、客戶端設備安全能力(例如,進化型封包系統加密演算法(EEA)、進化型封包系統完整性演算法(EIA))及/或下一躍點(S5/S8)配置資訊。例如,下一躍點配置資訊可以包括IoT伺服器位址、P-GW位址及/或TEID。MAC項可以指示加密模式及/或訊息認證碼產生演算法(其亦被稱為MAC演算法),其可以是由行動網路服務供應商(MNO)選擇的並且配置給IoTF的。因此,Enc_KNRC-IoTF-C (CDCCP )項可以表示使用金鑰KNRC-IoTF-C (例如,圖3中的金鑰KNRC-IoTF-C 310),關於控制平面客戶端設備上下文執行的加密操作的結果。 b)使用者平面加密的網路可達性上下文
作為另一實例,使用者平面(UP)加密的網路可達性上下文可以是基於運算式KeyID || Enc_KNRC-IoTF-U (CDCUP ) || MAC產生的。CDCUP 項可以表示使用者平面客戶端設備上下文。例如,使用者平面客戶端設備上下文可以包括客戶端設備辨識符、承載ID、進化型封包系統(EPS)承載服務品質(QoS)、用於使用者平面通用封包式無線電服務(GPRS)隧道協定(GTP-U)的S5隧道端點辨識符(TEID)、IoTF-U 108將UL資料轉發到的P-GW網際網路協定(IP)位址(或者等同資訊)、客戶端設備安全上下文(例如,選擇的加密演算法和使用者平面金鑰(例如,金鑰KIoT-UPenc 216、金鑰KIoT-UPint 218))、客戶端設備安全能力(例如,進化型封包系統加密演算法(EEA)、進化型封包系統完整性演算法(EIA))及/或下一躍點(S5/S8)配置資訊。例如,下一躍點配置資訊可以包括IoT伺服器位址、P-GW位址及/或TEID。因此,Enc_KNRC-IoTF-U (CDCUP )項可以表示使用金鑰KNRC-IoTF-U (例如,圖3中的金鑰KNRC-IoTF-U 312),關於使用者平面客戶端設備上下文執行的加密操作的結果。在本案內容的態樣中,該加密的網路可達性上下文可以僅僅被該客戶端設備所附著/關聯到的IoTF(例如,IoTF-C 106及/或IoTF-U 108)解密。在本案內容的態樣中,可以在加密之前,對網路可達性上下文進行壓縮。
該加密的網路可達性上下文可以具有一或多個特性。例如,加密的網路可達性上下文可以包含與特定的客戶端設備相關聯的網路狀態資訊,並且因此可能不能傳送到其他客戶端設備。IoTF-C/U(例如,IoTF-C 106及/或IoTF-U 108)可以不維持客戶端設備的上下文(例如,網路狀態資訊)。因此,此種IoTF-C/U可以藉由使用其自身的秘密金鑰對加密的網路可達性上下文進行解密來重新構建用於客戶端設備的網路可達性上下文,並且因此,IoTF-C/U不需要儲存任何另外的資訊來恢復網路可達性上下文。在某些情況下(例如,進化型封包系統連接管理(ECM)閒置或者緊接在小量資料傳送之後),IoTF-C/U可以移除用於客戶端設備的網路可達性上下文,並且在必要的時候(例如,用於資料傳送)對其進行恢復。 追蹤區域更新程序
當客戶端設備在閒置模式期間進入新的追蹤區域時,客戶端設備可以執行追蹤區域更新(TAU)程序。TAU訊息可以包括當前追蹤區域ID(TAI)和源IoTF-C的GIOTFI或者均等物(例如,全球唯一行動性管理實體辨識符(GUMMEI))。目標IoTF-C可以更新客戶端設備的位置和針對一或多個網路實體(例如,P-GW)的行動性錨點(例如,IoTF-U ID),以及加密的網路可達性上下文。在本案內容的態樣中,該加密的網路可達性上下文可以使得IoTF-U能夠對下行鏈路封包進行驗證。在本案內容的態樣中,應用伺服器(例如,IoT伺服器)及/或P-GW可以向IoTF-U/C(其經由GIOTFI來辨識)發送下行鏈路(DL)封包與該加密的網路可達性上下文。
圖14是根據本案內容的各個態樣的IoT網路架構(例如,IoT網路架構100)中的TAU程序的信號流程圖1400。如圖14中圖示的,信號流程圖1400包括客戶端設備1402(其亦被稱為IoT設備)、網路存取節點1404(例如,eNB、基地台、網路存取點)、在目標網路設備1405處實施的目標IoTF-C 1406、在源網路設備1407處實施的源IoTF-C 1408、P-GW 1410和IoT伺服器1412(其亦被稱為應用伺服器)。客戶端設備1402可以向網路存取節點1404發送資料傳送請求訊息1414,該資料傳送請求訊息1414包括加密的客戶端設備上下文(例如,控制平面(CP)加密的客戶端設備上下文)和TAU請求。在本案內容的態樣中,客戶端設備1402可以在無需建立RRC連接的情況下,發送資料傳送請求訊息1414。在接收到該資料傳送請求訊息1414時,網路存取節點1404可以為客戶端設備1402指派1416臨時辨識符(TID),用於潛在的下行鏈路(DL)訊務。網路存取節點1404亦可以決定被包括在TAU請求中的目標IoTF-C辨識符。隨後,網路存取節點1404可以決定目標IoTF-C 1406的IP位址,並且可以向目標IoTF-C 1406發送訊息1418,其中該訊息1418包括與客戶端設備1402相關聯的TID、加密的客戶端設備上下文和TAU請求。目標IoTF-C 1406可以向源IoTF-C 1408發送訊息1420,其中該訊息1420包括針對客戶端設備上下文和加密的客戶端設備上下文的請求。
源IoTF-C 1408可以對加密的客戶端設備上下文進行驗證,並且可以向目標IoTF-C 1406發送包括客戶端設備上下文的訊息1422。目標IoTF-C 1406可以儲存1424用於客戶端設備的TID和用於網路存取節點1404的ID,並且可以基於所接收的客戶端設備上下文來產生1424新的GUTI、新的用於客戶端設備1402的加密的網路可達性上下文、以及新的用於客戶端設備1402的加密的客戶端設備上下文。在態樣中,目標IoTF-C 1406可以產生使用者平面(UP)金鑰和上下文產生金鑰,並且可以將該等金鑰提供給IoTF-U。
目標IoTF-C 1406可以向IoT伺服器1412(或者P-GW 1410)發送訊息1426,其中該訊息1426包括追蹤區域ID(TAI)、目標IoTF-C 1406的ID(例如,GIOTFI)和新的加密的網路可達性上下文。目標IoTF-C 1406可以向客戶端設備1402發送訊息1428,其中該訊息1428包括TID、新的GUTI、新的加密的客戶端設備上下文和TAU回應。網路存取節點1404可以基於該TID,用訊息1430向客戶端設備1402(例如,向使用該TID辨識的客戶端設備1402)轉發該新的GUTI、新的客戶端設備上下文和TAU回應。
本文描述的態樣提供了具有新的私人網路功能單元的架構,該新的私人網路功能單元實施獨立的部署,並且避免可擴展性/互通要求。本文揭示的態樣可以使得網路存取節點(例如,基地台)能夠在無需儲存或者維持用於客戶端設備的安全上下文的情況下,向客戶端設備傳送資料或者從客戶端設備傳送資料,從而避免在網路實體(例如,網路存取節點或者其他網路實體)處消耗大量的資源。可以將安全特徵錨定在新的網路功能單元(被稱為IoT功能單元(IoTF))處。為了避免影響正常的客戶端設備的PDN連接/訊務,為IoT資料傳送分配專用資源。加密的客戶端設備上下文和加密的網路可達性上下文可以被用於資料傳送,以當該客戶端設備處於閒置狀態時,消除IoTF處的該客戶端設備的半持久的上下文。因此,網路節點(例如,MME/S-GW)不需要維持大量的客戶端設備(其中該大量的客戶端設備不頻繁地發送訊務)的網路狀態資訊(亦即,上下文)。客戶端設備可以在不耗盡寶貴的核心網路資源的情況下,使用有成本效益的資料傳送。
因此,本文描述的態樣可以減少前述的用於客戶端設備(例如,操作為IoT設備的客戶端設備,例如,在減少資料傳送模式或者低功耗模式下操作的客戶端設備)的管理負擔。例如,客戶端設備可以向使用者平面網路功能單元(例如,IoTF-U)發送訊務,其中控制平面網路功能單元(例如,IoTF-C)向該使用者平面網路功能單元供應客戶端設備安全上下文。照此,網路存取節點(例如,eNB、基地台或者網路存取點)可以將訊務(例如,來自客戶端設備的封包)轉發給由該客戶端設備指示的下一躍點節點(例如,IoTF-U),而無需對該封包進行驗證。
IoTF-C可以與客戶端設備執行認證和金鑰協商,並且建立用於控制平面的客戶端設備安全上下文。例如,該客戶端設備安全上下文可以包括被用於控制平面訊號傳遞保護(例如,加密和完整性保護)的控制平面金鑰。此外,IoTF-C可以推導用於使用者平面封包保護(例如,加密和完整性保護)的使用者平面金鑰,並且可以向IoTF-U提供該使用者平面金鑰。
客戶端設備可以推導與IoTF-C相同的控制平面和使用者平面金鑰。因此,客戶端設備可以使用控制平面金鑰或者使用者平面金鑰來發送封包,此取決於在無需建立連接的情況下客戶端設備是在與控制平面IoTF進行通訊,亦是在與使用者平面IoTF進行通訊(例如,客戶端設備可以作出決定,因此可以應用不同的安全金鑰或者上下文)。 第一示例性裝置(例如,客戶端設備)和其上的方法
圖15是根據本案內容的一或多個態樣(例如,與下文描述的圖16的方法有關的態樣)的被配置為與基於IoT網路架構的網路進行通訊的裝置1500的圖示。在態樣中,裝置1500可以是客戶端設備(例如,IoT設備)。裝置1500包括通訊介面(例如,至少一個收發機)1502、儲存媒體1504、使用者介面1506、記憶體設備1508和處理電路1510。
該等部件可以經由訊號傳遞匯流排或者其他適當的部件被耦合至彼此及/或彼此相電子通訊地放置,其中該訊號傳遞匯流排或者其他適當的部件通常由圖15中的連接線來表示。該訊號傳遞匯流排可以包括任意數量的相互連接的匯流排和橋接器,此取決於處理電路1510的特定應用和整體設計約束。該訊號傳遞匯流排將各種電路連結在一起,使得通訊介面1502、儲存媒體1504、使用者介面1506和記憶體設備1508之每一者被耦合到處理電路1510及/或與處理電路1510相電子通訊。該訊號傳遞匯流排亦可以連結諸如時序源、周邊設備、電壓調節器和功率管理電路之類的各種其他電路(未圖示),其中該各種其他電路在本領域中是公知的,並且因此將不再進一步地描述。
通訊介面1502可以適於促進裝置1500的無線通訊。例如,通訊介面1502可以包括:適於促進關於網路中的一或多個通訊設備的雙向的資訊通訊的電路及/或代碼(例如,指令)。通訊介面1502可以被耦合到一副或多副天線1512,用於無線通訊系統內的無線通訊。通訊介面1502可以被配置有一或多個單獨的接收器及/或發射器,以及一或多個收發機。在所圖示的實例中,通訊介面1502包括發射器1514和接收器1516。
記憶體設備1508可以表示一或多個記憶體設備。如指示的,記憶體設備1508可以維持與網路有關的資訊/連同由裝置1500使用的其他資訊。在一些實施方式中,記憶體設備1508和儲存媒體1504被實施為公共記憶體部件。記憶體設備1508亦可以被用於儲存由處理電路1510或者裝置1500的某個其他部件操縱的資料。
儲存媒體1504可以表示一或多個電腦可讀的、機器可讀取的及/或處理器可讀的設備,用於儲存諸如處理器可執行代碼或者指令(例如,軟體、韌體)之類的代碼、電子資料、資料庫或者其他數位資訊。儲存媒體1504亦可以被用於儲存在執行代碼時由處理電路1510操縱的資料。儲存媒體1504可以是能夠由通用或者專用處理器存取的任何可用的媒體,其包括便攜的或者固定的儲存設備、光學儲存設備、以及能夠儲存、裝有或者攜帶代碼的各種其他媒體。
藉由舉例而非限制的方式,儲存媒體1504可以包括磁性儲存設備(例如,硬碟、軟碟、磁帶)、光碟(例如,壓縮光碟(CD)或者數位多功能光碟(DVD))、智慧卡、快閃記憶體設備(例如,卡、棒或者鍵式磁碟)、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可程式設計ROM(PROM)、可抹除PROM(EPROM)、電子可抹除PROM(EEPROM)、暫存器、可移除磁碟、以及用於儲存可以由電腦存取和讀取的代碼的任何其他適當的媒體。儲存媒體1504可以被體現在製品(例如,電腦程式產品)中。舉例而言,電腦程式產品可以包括封裝材料中的電腦可讀取媒體。鑒於上述內容,在一些實施方式中,儲存媒體1504可以是非暫時性的(例如,有形的)儲存媒體。
儲存媒體1504可以被耦合到處理電路1510,使得處理電路1510可以從儲存媒體1504讀取資訊,以及向儲存媒體1504寫入資訊。亦即,儲存媒體1504可以被耦合到處理電路1510,使得儲存媒體1504至少可被處理電路1510存取,其包括至少一個儲存媒體是處理電路1510的組成部分的實例及/或至少一個儲存媒體與處理電路1510相分離的實例(例如,常駐在裝置1500中、在裝置1500之外、分佈在多個實體之中等等)。
由儲存媒體1504儲存的代碼及/或指令,當被處理電路1510執行時,使得處理電路1510執行本文描述的各種功能及/或過程操作中的一或多個。例如,儲存媒體1504可以包括被配置用於進行下列各項的操作:調節處理電路1510的一或多個硬體模組處的操作,以及利用其各自的通訊協定,利用通訊介面1502進行無線通訊。
處理電路1510通常適於進行處理,其包括對被儲存在儲存媒體1504上的此種代碼/指令的執行。如本文使用的,無論被稱為軟體、韌體、中間軟體、微代碼、硬體描述語言亦是其他術語,術語「代碼」或者「指令」應當被廣義地解釋為包括但不限於:程式編制、指令、指令集、資料、代碼、程式碼片段、程式碼、程式、副程式、軟體模組、應用、軟體應用、套裝軟體、常式、子常式、物件、可執行檔、執行的執行緒、程序、函數等等。
處理電路1510被佈置為獲得、處理及/或發送資料,控制資料存取和儲存,發出命令,以及控制其他期望的操作。在至少一個實例中,處理電路1510可以包括:被配置為實施由適當的媒體提供的期望的代碼的電路。例如,處理電路1510可以被實施為一或多個處理器、一或多個控制器,及/或被配置為執行可執行代碼的其他結構。處理電路1510的實例可以包括被設計為執行本文描述的功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或者其他可程式設計邏輯部件、個別閘門或者電晶體邏輯裝置、個別硬體部件或者其任意組合。通用處理器可以包括微處理器、以及任何一般的處理器、控制器、微控制器或者狀態機。處理電路1510亦可以被實施為計算部件的組合,例如,DSP和微處理器的組合、多個微處理器、結合DSP核心的一或多個微處理器、ASIC和微處理器,或者任何其他數量的不同的配置。處理電路1510的該等實例是出於說明的目的的,並且亦預期在本案內容的範圍之內的其他適當的配置。
根據本案內容的一或多個態樣,處理電路1510可以適於執行本文描述的裝置中的任何或者所有裝置的特徵、過程、函數、操作及/或常式中的任何或者所有特徵、過程、函數、操作及/或常式。如本文使用的,與處理電路1510有關的術語「適於」可以代表:處理電路1510經由被配置、被使用、被實施及/或被程式設計中的一或多個,根據本文描述的各種特徵來執行特定的過程、函數、操作及/或常式。
根據裝置1500的至少一個實例,處理電路1510可以包括下列各項中的一項或多項:適於執行本文描述的特徵、過程、函數、操作及/或常式(例如,關於圖16描述的特徵、過程、函數、操作及/或常式)中的任何或者所有的特徵、過程、函數、操作及/或常式的發送電路/模組1520、接收電路/模組1522、安全上下文獲得電路/模組1524、金鑰獲得電路/模組1526、資料封包保護電路/模組1528、封包決定電路/模組1530、封包解碼電路/模組1532及/或網路註冊電路/模組1534。
發送電路/模組1520可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1504上的發送指令1540):發送對於附著到網路的請求及/或發送資料封包或者控制封包。例如,在一個態樣中,該資料封包可以是已經利用使用者平面金鑰保護的資料封包,並且該控制封包可以是已經利用控制平面金鑰保護的控制封包。
接收電路/模組1522可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1504上的接收指令1542):從網路接收與認證程序相關聯的訊息,以及從網路接收封包。
安全上下文獲得電路/模組1524可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1504上的安全上下文獲得指令1544):獲得使用者平面安全上下文或者控制平面安全上下文中的至少一個,其中該使用者平面安全上下文指示針對該客戶端設備的關於使用者平面的網路狀態資訊,該控制平面安全上下文指示針對該客戶端設備的關於控制平面的網路狀態資訊。
金鑰獲得電路/模組1526可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1504上的金鑰獲得指令1504):至少獲得與第一網路節點處實施的使用者平面網路功能單元共享的使用者平面金鑰或者與第二網路節點處實施的控制平面網路功能單元共享的控制平面金鑰。
資料封包保護電路/模組1528可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1504上的資料封包保護指令1548):利用使用者平面金鑰來保護資料封包,或者利用控制平面金鑰來保護控制封包。在態樣中,該資料封包包括用於指示將在第一網路節點處處理該資料封包的第一目的地資訊,第一目的地資訊使得網路存取節點能夠將該資料封包轉發給第一網路節點。在態樣中,該控制封包包括用於指示將在第二網路節點處處理該控制封包的第二目的地資訊,第二目的地資訊使得網路存取節點能夠將該控制封包轉發給第二網路節點。
封包決定電路/模組1530可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1504上的封包決定指令1550):決定所接收的封包是包括資料亦是包括控制資訊。
封包解碼電路/模組1532可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1504上的封包解碼指令1552):利用使用者平面金鑰或者控制平面金鑰,對所接收的封包進行解碼。
網路註冊電路/模組1534可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1504上的網路註冊指令1554):作為物聯網設備,向網路進行註冊。
如上面提及的,由儲存媒體1504儲存的指令,當被處理電路1510執行時,使得處理電路1510執行本文描述的各種功能及/或程序操作中的一或多個。例如,儲存媒體1504可以包括下列各項中的一項或多項:發送指令1540、接收指令1542、安全上下文獲得指令1544、金鑰獲得指令1546、資料封包保護指令1548、封包決定指令1550、封包解碼指令1552及/或網路註冊指令1554。
圖16是圖示根據本案內容的各個態樣的用於與網路進行通訊的方法的流程圖1600。該方法可以由諸如客戶端設備(例如,客戶端設備102、502、702或者裝置1500)之類的裝置來執行。應當理解的是,由圖16中的虛線指示的動作表示可選的操作。
客戶端設備向網路進行註冊1602。在態樣中,客戶端設備可以藉由下列操作來向網路進行註冊:發送對於附著到網路的請求;及從網路接收回應於該請求的、與認證程序相關聯的訊息。在態樣中,該附著請求可以提供一或多個指示,諸如例如,該客戶端設備將作為物聯網設備附著,該客戶端設備將在減少資料傳送模式下附著,及/或該客戶端設備將在低功耗模式下附著。
客戶端設備獲得使用者平面安全上下文或者控制平面安全上下文中的至少一個1604,其中該使用者平面安全上下文指示針對該客戶端設備的關於使用者平面的網路狀態資訊,該控制平面安全上下文指示針對該客戶端設備的關於控制平面的網路狀態資訊。在一個實例中,客戶端設備可以經由基於使用者平面金鑰來推導第一加密金鑰和第一完整性金鑰,來獲得使用者平面安全上下文。在另一實例中,客戶端設備可以藉由基於控制平面金鑰來推導第二加密金鑰和第二完整性金鑰,來獲得控制平面安全上下文。在態樣中,使用者平面安全上下文或者控制平面安全上下文不包括存取層安全保護。
客戶端設備至少獲得與第一網路節點處實施的使用者平面網路功能單元共享的使用者平面金鑰或者與第二網路節點處實施的控制平面網路功能單元共享的控制平面金鑰1606。例如,客戶端設備可以基於與認證程序相關聯的訊息,來獲得使用者平面金鑰或者控制平面金鑰。
客戶端設備利用使用者平面金鑰來保護資料封包,或者利用控制平面金鑰來保護控制封包1608。在一個實例中,該資料封包可以是基於該使用者平面金鑰來進行加密或者完整性保護的,或者是基於該使用者平面金鑰來既進行加密又進行完整性保護的。在另一實例中,該控制封包是基於控制平面金鑰來進行加密或者完整性保護的,或者是基於控制平面金鑰來既進行加密又進行完整性保護的。
在態樣中,該資料封包包括用於指示將在第一網路節點處處理該資料封包的第一目的地資訊,第一目的地資訊使得網路存取節點能夠將該資料封包轉發給第一網路節點。在態樣中,該控制封包包括用於指示將在第二網路節點處處理該控制封包的第二目的地資訊,第二目的地資訊使得網路存取節點能夠將該控制封包轉發給第二網路節點。
該裝置發送資料封包或者控制封包1610。該裝置從網路接收封包1612。在態樣中,在一或多個情況下,使用者平面物聯網功能辨識符(IID)或者控制平面物聯網功能辨識符(IID)被包括在所接收的封包的標頭中。例如,該一或多個情況可以包括:當該客戶端設備作為物聯網設備來註冊到網路時,當客戶端設備在低功耗模式下操作時,或者當客戶端設備被配置為傳送減少數量的資料時。
客戶端設備決定所接收的封包是包括資料亦是包括控制資訊1614。客戶端設備基於該決定,利用使用者平面金鑰或者控制平面金鑰,對所接收的封包進行解碼1616。在態樣中,客戶端設備藉由利用使用者平面金鑰或者控制平面金鑰,對所接收的封包進行解密和驗證,來對所接收的封包進行解碼。在態樣中,客戶端設備藉由決定第一訊息認證碼(MAC)並且將第一MAC和與所接收的封包相關聯的第二MAC進行比較,對所接收的封包進行驗證。例如,第一MAC可以是藉由基於所接收的封包來應用訊息認證碼產生演算法,並且使用使用者平面金鑰或者控制平面金鑰來決定的。 第二示例性裝置(例如,網路存取節點)和其上的方法
圖17是根據本案內容的一或多個態樣(例如,與下文描述的圖18的方法有關的態樣)的被配置為與基於IoT網路架構的網路進行通訊的裝置1700的圖示。在態樣中,裝置1700可以是網路存取節點(例如,eNB、基地台或者網路存取點)。裝置1700包括通訊介面(例如,至少一個收發機)1702、網路通訊介面1703、儲存媒體1704、使用者介面1706、記憶體設備1708和處理電路1710。
該等部件可以經由訊號傳遞匯流排或者其他適當的部件被耦合至彼此及/或彼此相電子通訊地被放置,其中該訊號傳遞匯流排或者其他適當的部件通常由圖17中的連接線來表示。該訊號傳遞匯流排可以包括任意數量的相互連接的匯流排和橋接器,此取決於處理電路1710的特定應用和整體設計約束。該訊號傳遞匯流排將各種電路連結在一起,使得通訊介面1702、網路通訊介面1703、儲存媒體1704、使用者介面1706和記憶體設備1708之每一者被耦合到處理電路1710及/或與處理電路1710相電子通訊。該訊號傳遞匯流排亦可以連結諸如時序源、周邊設備、電壓調節器和功率管理電路之類的各種其他電路(未圖示),其中該各種其他電路在本領域中是公知的,並且因此將不再進一步地描述。
通訊介面1702可以適於促進裝置1700的無線通訊。例如,通訊介面1702可以包括:適於促進關於網路中的一或多個客戶端設備的雙向的資訊通訊的電路及/或代碼(例如,指令)。通訊介面1702可以被耦合到一副或多副天線1712,用於無線通訊系統內的無線通訊。通訊介面1702可以被配置有一或多個單獨的接收器及/或發射器,以及一或多個收發機。在所圖示的實例中,通訊介面1702包括發射器1714和接收器1716。
網路通訊介面1703可以適於促進裝置1700的通訊。例如,網路通訊介面1703可以包括:適於促進關於網路中的一或多個網路實體的雙向的資訊通訊的電路及/或代碼(例如,指令)。網路通訊介面1703可以被配置有一或多個單獨的接收器及/或發射器,以及一或多個收發機。
記憶體設備1708可以表示一或多個記憶體設備。如指示的,記憶體設備1708可以維持與網路有關的資訊/連同由裝置1700使用的其他資訊。在一些實施方式中,記憶體設備1708和儲存媒體1704被實施為公共記憶體部件。記憶體設備1708亦可以被用於儲存由處理電路1710或者裝置1700的某個其他部件操縱的資料。
儲存媒體1704可以表示一或多個電腦可讀的、機器可讀取的及/或處理器可讀的設備,用於儲存諸如處理器可執行代碼或者指令(例如,軟體、韌體)之類的代碼、電子資料、資料庫或者其他數位資訊。儲存媒體1704亦可以被用於儲存在執行代碼時由處理電路1710操縱的資料。儲存媒體1704可以是能夠由通用或者專用處理器存取的任何可用的媒體,其包括便攜的或者固定的儲存設備、光學儲存設備、以及能夠儲存、裝有或者攜帶代碼的各種其他媒體。
藉由舉例而非限制的方式,儲存媒體1704可以包括磁性儲存設備(例如,硬碟、軟碟、磁帶)、光碟(例如,壓縮光碟(CD)或者數位多功能光碟(DVD))、智慧卡、快閃記憶體設備(例如,卡、棒或者鍵式磁碟)、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可程式設計ROM(PROM)、可抹除PROM(EPROM)、電子可抹除PROM(EEPROM)、暫存器、可移除磁碟、以及用於儲存可以由電腦存取和讀取的代碼的任何其他適當的媒體。儲存媒體1704可以被體現在製品(例如,電腦程式產品)中。舉例而言,電腦程式產品可以包括封裝材料中的電腦可讀取媒體。鑒於上述內容,在一些實施方式中,儲存媒體1704可以是非暫時性的(例如,有形的)儲存媒體。
儲存媒體1704可以被耦合到處理電路1710,使得處理電路1710可以從儲存媒體1704讀取資訊,以及向儲存媒體1704寫入資訊。亦即,儲存媒體1704可以被耦合到處理電路1710,使得儲存媒體1704至少可被處理電路1710存取,其包括至少一個儲存媒體是處理電路1710的組成部分的實例及/或至少一個儲存媒體與處理電路1710相分離的實例(例如,常駐在裝置1700中、在裝置1700之外、分佈在多個實體之中等等)。
由儲存媒體1704儲存的代碼及/或指令,當被處理電路1710執行時,使得處理電路1710執行本文描述的各種功能及/或程序操作中的一或多個。例如,儲存媒體1704可以包括被配置用於進行下列各項的操作:調節處理電路1710的一或多個硬體模組處的操作,以及利用其各自的通訊協定,利用通訊介面1702進行無線通訊和利用網路通訊介面1703進行網路通訊。
處理電路1710通常適於進行處理,其包括對被儲存在儲存媒體1704上的此種代碼/指令的執行。如本文使用的,無論被稱為軟體、韌體、中間軟體、微代碼、硬體描述語言亦是其他術語,術語「代碼」或者「指令」應當被廣義地解釋為包括但不限於:程式編制、指令、指令集、資料、代碼、程式碼片段、程式碼、程式、副程式、軟體模組、應用、軟體應用、套裝軟體、常式、子常式、物件、可執行檔、執行的執行緒、程序、函數等等。
處理電路1710被佈置為獲得、處理及/或發送資料,控制資料存取和儲存,發出命令,以及控制其他期望的操作。在至少一個實例中,處理電路1710可以包括:被配置為實施由適當的媒體提供的期望的代碼的電路。例如,處理電路1710可以被實施為一或多個處理器、一或多個控制器,及/或被配置為執行可執行代碼的其他結構。處理電路1710的示例可以包括被設計為執行本文描述的功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或者其他可程式設計邏輯部件、個別閘門或者電晶體邏輯裝置、個別硬體部件或者其任意組合。通用處理器可以包括微處理器,以及任何一般的處理器、控制器、微控制器或者狀態機。處理電路1710亦可以被實施為計算部件的組合,例如,DSP和微處理器的組合、多個微處理器、結合DSP核心的一或多個微處理器,ASIC和微處理器,或者任何其他數量的不同的配置。處理電路1710的該等實例是出於說明的目的的,並且亦預期在本案內容的範圍之內的其他適當的配置。
根據本案內容的一或多個態樣,處理電路1710可以適於執行本文描述的裝置中的任何或者所有裝置的特徵、過程、函數、操作及/或常式中的任何或者所有特徵、過程、函數、操作及/或常式。如本文使用的,與處理電路1710有關的術語「適於」可以代表:處理電路1710經由被配置、被使用、被實施及/或被程式設計中的一或多個,根據本文描述的各種特徵來執行特定的過程、函數、操作及/或常式。
根據裝置1700的至少一個實例,處理電路1710可以包括下列各項中的一項或多項:適於執行本文描述的特徵、過程、函數、操作及/或常式(例如,關於圖18描述的特徵、過程函數、操作及/或常式)中的任何或者所有特徵、過程、函數、操作及/或常式的接收電路/模組1720、資料封包轉發電路/模組1722、臨時辨識符添加電路/模組1724、儲存電路/模組1726、下一躍點決定電路/模組1728、客戶端設備辨識電路/模組1730和臨時辨識符移除電路/模組1732。
接收電路/模組1720可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1704上的接收指令1740):從客戶端設備接收對於附著到網路的具有網路附著模式的指示的請求,其中該網路附著模式是減少資料傳送模式或者低功耗模式,從客戶端設備接收第一封包,以及從網路節點接收第二封包。
封包轉發電路/模組1722可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1704上的封包轉發指令1742):將第一封包轉發給下一躍點網路節點,以及將從網路節點接收的第二封包轉發給該客戶端設備。
臨時辨識符添加電路/模組1724可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1704上的臨時辨識符添加指令1744):向第一封包添加與該客戶端設備相關聯的臨時辨識符。在態樣中,第一封包是資料封包或者控制封包。在態樣中,該臨時辨識符是細胞無線電網路臨時辨識符(C-RNTI)。
儲存電路/模組1726可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1704上的儲存指令1746):儲存臨時辨識符。在態樣中,該臨時辨識符被儲存達預先決定的時段。
下一躍點決定電路/模組1728可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1704上的下一躍點決定指令1748):基於該客戶端設備的網路附著模式來決定下一躍點網路節點。在態樣中,下一躍點網路節點的決定是基於該網路存取節點處的預先配置的資訊的,或者當該客戶端設備的網路附著模式是減少資料傳送模式或者低功耗模式時,是基於被包括在第一封包中的目的地資訊的。在態樣中,該目的地資訊包括網路功能辨識符,其中該網路功能辨識符用於實施對網路節點或者網路設備(其實施網路功能)的標識。在態樣中,該網路功能辨識符與第一網路節點處實施的控制平面網路功能相關聯,或者與第二網路節點處實施的使用者平面網路功能相關聯。
客戶端設備辨識電路/模組1730可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1704上的客戶端設備辨識指令1750):根據第二封包中的臨時辨識符來辨識客戶端設備。在態樣中,該第二封包是資料封包或者控制封包。
臨時辨識符移除電路/模組1732可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1704上的臨時辨識符移除指令1752):在轉發第二封包之前,從第二封包中移除該臨時辨識符。
如上面提及的,由儲存媒體1704儲存的指令,當被處理電路1710執行時,使得處理電路1710執行本文描述的各種功能及/或程序操作中的一或多個。例如,儲存媒體1704可以包括下列各項中的一項或多項:接收指令1740、封包轉發指令1742、臨時辨識符添加指令1744、儲存指令1746、下一躍點決定指令1748、客戶端設備辨識指令1750和臨時辨識符移除指令1752。
圖18(其包括圖18A和圖18B)是圖示根據本案內容的各個態樣的用於在IoT網路架構中進行通訊的方法的流程圖1800。該方法可以由諸如網路存取節點(例如,圖1的網路存取節點104或者圖17的裝置1700)之類的裝置來執行。應當理解的是,由圖18中的虛線指示的動作表示可選的操作。
參考圖18A,網路存取節點從客戶端設備接收對於附著到網路的具有網路附著模式的指示的請求,其中該網路附著模式是減少資料傳送模式1802。在其他態樣中,該網路附著模式可以是物聯網路(IoT)設備模式或者低功耗模式。網路存取節點從客戶端設備接收第一封包1804。例如,第一封包可以是資料封包或者控制封包。
第一網路節點向第一封包添加與該客戶端設備相關聯的臨時辨識符1806。在本案內容的態樣中,該臨時辨識符是細胞無線電網路臨時辨識符(C-RNTI)。網路存取節點儲存該臨時辨識符1808。在本案內容的態樣中,該臨時辨識符被儲存達預先決定的時段。
網路存取節點基於該客戶端設備的網路附著模式來決定下一躍點網路節點1810。在本案內容的態樣中,下一躍點網路節點的決定被預先配置在該網路存取節點處。在本案內容的態樣中,當該客戶端設備的網路附著模式是IoT設備模式、減少資料傳送模式,或者低功耗模式時,下一躍點網路節點可以是基於被包括在第一封包中的目的地資訊來決定的。例如,該目的地資訊可以包括網路功能辨識符,其中該網路功能辨識符實施對網路節點(其實施網路功能)的標識。在態樣中,該網路功能辨識符與第一網路節點處實施的控制平面網路功能單元相關聯,或者與第二網路節點處實施的使用者平面網路功能單元相關聯。
當網路附著模式是減少資料傳送模式時,網路存取節點在無需對從客戶端設備接收的第一封包進行驗證的情況下,將第一封包轉發給下一躍點網路節點1812。
參考圖18B,網路存取節點從網路節點接收第二封包1814。例如,第二封包可以是資料封包或者控制封包。網路存取節點根據第二封包中的臨時辨識符來辨識客戶端設備1816。網路存取節點在轉發第二封包之前,從第二封包中移除該臨時辨識符1818。當該客戶端設備的網路附著模式是減少資料傳送模式時,網路存取節點在無需對第二封包進行保護的情況下,將從網路節點接收的第二封包轉發給該客戶端設備1820。 第三示例性裝置(例如,網路設備)和其上的方法
圖19是根據本案內容的一或多個態樣(例如,與下文描述的圖20-22的方法有關的態樣)的裝置1900的圖示。在態樣中,裝置1900可以是實施物聯網路(IoT)功能單元的網路設備(例如,網路設備105、505)。例如,IoT功能單元可以包括如先前論述的控制平面IoT功能單元(例如,IoTF-C 106、506、706、606、906、1406)及/或使用者平面IoT功能單元(例如,IoTF-U 108、508、608、708、806、908)。在一些態樣中,裝置1900可以是實施IoT功能單元的網路節點,例如,實施圖1中的IoTF-C 106的網路節點107,或者實施圖1中的IoTF-U 108的網路節點109。裝置1900包括網路通訊介面(例如,至少一個收發機)1902、儲存媒體1904、使用者介面1906、記憶體設備1908和處理電路1910。
該等部件可以經由訊號傳遞匯流排或者其他適當的部件被耦合至彼此及/或彼此相電子通訊地被放置,其中該訊號傳遞匯流排或者其他適當的部件通常由圖19中的連接線來表示。該訊號傳遞匯流排可以包括任意數量的相互連接的匯流排和橋接器,此取決於處理電路1910的特定應用和整體設計約束。該訊號傳遞匯流排將各種電路連結在一起,使得網路通訊介面1902、儲存媒體1904、使用者介面1906和記憶體設備1908之每一者被耦合到處理電路1910及/或與處理電路1910相電子通訊。該訊號傳遞匯流排亦可以連結諸如時序源、周邊設備、電壓調節器和功率管理電路之類的各種其他電路(未圖示),其中該各種其他電路在本領域中是公知的,並且因此將不再進一步地描述。
網路通訊介面1902可以適於促進裝置1900的通訊。例如,網路通訊介面1902可以包括:適於促進關於網路中的一或多個網路實體的雙向的資訊通訊的電路及/或代碼(例如,指令)。網路通訊介面1902可以被配置有一或多個單獨的接收器及/或發射器,以及一或多個收發機。
記憶體設備1908可以表示一或多個記憶體設備。如指示的,記憶體設備1908可以維持與網路有關的資訊連同由裝置1900使用的其他資訊。在一些實施方式中,記憶體設備1908和儲存媒體1904被實施為公共記憶體部件。記憶體設備1908亦可以被用於儲存由處理電路1910或者裝置1900的某個其他部件操縱的資料。
儲存媒體1904可以表示一或多個電腦可讀的、機器可讀取的及/或處理器可讀的設備,用於儲存諸如處理器可執行代碼或者指令(例如,軟體、韌體)之類的代碼、電子資料、資料庫或者其他數位資訊。儲存媒體1904亦可以被用於儲存在執行代碼時由處理電路1910操縱的資料。儲存媒體1904可以是能夠由通用或者專用處理器存取的任何可用的媒體,其包括便攜的或者固定的儲存設備、光學儲存設備、以及能夠儲存、裝有或者攜帶代碼的各種其他媒體。
藉由舉例而非限制的方式,儲存媒體1904可以包括磁性儲存設備(例如,硬碟、軟碟、磁帶)、光碟(例如,壓縮光碟(CD)或者數位多功能光碟(DVD))、智慧卡、快閃記憶體設備(例如,卡、棒或者鍵式磁碟)、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可程式設計ROM(PROM)、可抹除PROM(EPROM)、電子可抹除PROM(EEPROM)、暫存器、可移除磁碟、以及用於儲存可以由電腦存取和讀取的代碼的任何其他適當的媒體。儲存媒體1904可以被體現在製品(例如,電腦程式產品)中。舉例而言,電腦程式產品可以包括封裝材料中的電腦可讀取媒體。鑒於上述內容,在一些實施方式中,儲存媒體1904可以是非暫時性的(例如,有形的)儲存媒體。
儲存媒體1904可以被耦合到處理電路1910,使得處理電路1910可以從儲存媒體1904讀取資訊,以及向儲存媒體1904寫入資訊。亦即,儲存媒體1904可以被耦合到處理電路1910,使得儲存媒體1904至少可被處理電路1910存取,其包括至少一個儲存媒體是處理電路1910的組成部分的實例及/或至少一個儲存媒體與處理電路1910相分離的實例(例如,常駐在裝置1900中、在裝置1900之外、分佈在多個實體之中等等)。
由儲存媒體1904儲存的代碼及/或指令,當被處理電路1910執行時,使得處理電路1910執行本文描述的各種功能及/或過程操作中的一或多個。例如,儲存媒體1904可以包括被配置用於進行下列各項的操作:調節處理電路1910的一或多個硬體模組的操作,以及利用其各自的通訊協定,利用網路通訊介面1902進行通訊。
處理電路1910通常適於進行處理,其包括對被儲存在儲存媒體1904上的此種代碼/指令的執行。如本文使用的,無論被稱為軟體、韌體、仲介軟體、微代碼、硬體描述語言亦是其他術語,術語「代碼」或者「指令」應當被廣義地解釋為包括但不限於:程式編制、指令、指令集、資料、代碼、程式碼片段、程式碼、程式、副程式、軟體模組、應用、軟體應用、套裝軟體、常式、子常式、物件、可執行檔、執行的執行緒、程序、函數等等。
處理電路1910被佈置為獲得、處理及/或發送資料,控制資料存取和儲存,發出命令,以及控制其他期望的操作。在至少一個實例中,處理電路1910可以包括:被配置為實施由適當的媒體提供的期望的代碼的電路。例如,處理電路1910可以被實施為一或多個處理器、一或多個控制器,及/或被配置為執行可執行代碼的其他結構。處理電路1910的示例可以包括被設計為執行本文描述的功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或者其他可程式設計邏輯部件、個別閘門或者電晶體邏輯裝置、個別硬體部件或者其任意組合。通用處理器可以包括微處理器,以及任何一般的處理器、控制器、微控制器或者狀態機。處理電路1910亦可以被實施為計算部件的組合,例如,DSP和微處理器的組合、多個微處理器、結合DSP核心的一或多個微處理器,ASIC和微處理器,或者任何其他數量的不同的配置。處理電路1910的該等示例是出於說明的目的的,並且亦預期在本案內容的範圍之內的其他適當的配置。
根據本案內容的一或多個態樣,處理電路1910可以適於執行本文描述的裝置中的任何或者所有裝置的特徵、過程、函數、操作及/或常式中的任何或者所有特徵、過程、函數、操作及/或常式。如本文使用的,與處理電路1910有關的術語「適於」可以代表:處理電路1910經由被配置、被使用、被實施及/或被程式設計中的一或多個,根據本文描述的各種特徵來執行特定的過程、函數、操作及/或常式。
根據裝置1900的至少一個實例,處理電路1910可以包括下列各項中的一項或多項:適於執行本文描述的特徵、過程、函數、操作及/或常式(例如,關於圖20-22描述的特徵、過程、函數、操作及/或常式)中的任何或者所有特徵、過程、函數、操作及/或常式的安全上下文建立電路/模組1920、控制平面金鑰和使用者平面金鑰獲得電路/模組1922、金鑰傳送電路/模組1924、安全上下文獲得電路/模組1926、使用者平面金鑰決定電路/模組1928、封包接收電路/模組1930、封包解密和認證電路/模組1932、封包保護電路/模組1934和封包發送電路/模組1936。
安全上下文建立電路/模組1920可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1904上的安全上下文建立指令1940):在第一網路節點處實施的控制平面網路功能單元處,建立用於客戶端設備的安全上下文。
控制平面金鑰和使用者平面金鑰獲得電路/模組1922可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1904上的控制平面金鑰和使用者平面金鑰產生獲得1942):在第一網路節點處實施的控制平面網路功能單元處,獲得用於控制平面網路功能單元的控制平面金鑰,及/或在第一網路節點處實施的控制平面網路功能單元處,獲得用於第二網路節點處實施的使用者平面網路功能單元的使用者平面金鑰。
金鑰傳送電路/模組1924可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1904上的金鑰傳送指令1944):從第一網路節點處實施的控制平面網路功能單元,向第二網路節點處實施的使用者平面網路功能單元傳送使用者平面金鑰。
安全上下文獲得電路/模組1926可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1904上的安全上下文獲得指令1946):在該網路節點處實施的使用者平面網路功能單元處,獲得用於客戶端設備的安全上下文。
使用者平面金鑰決定電路/模組1928可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1904上的使用者平面金鑰決定指令1948):在該網路節點處實施的使用者平面網路功能單元處,決定要至少被用於對來自該客戶端設備的資料封包進行解密或者驗證的金鑰,及/或在該網路節點處實施的使用者平面網路功能單元處,決定與該客戶端設備相關聯的至少一個金鑰。
封包接收電路/模組1930可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1904上的封包接收指令1950):在該網路節點處實施的使用者平面網路功能單元處,從該客戶端設備接收資料封包,及/或在該網路節點處實施的使用者平面網路功能單元處,從應用伺服器或者閘道接收針對該客戶端設備的資料封包。
封包解密和認證電路/模組1932可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1904上的封包解密和認證指令1952):在該網路節點處實施的使用者平面網路功能單元處,基於該金鑰,對來自該客戶端設備的資料封包進行解密和驗證。
封包保護電路/模組1934可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1904上的封包保護指令1954):在該網路節點處實施的使用者平面網路功能單元處,使用該至少一個金鑰,對針對該客戶端設備的資料封包進行保護。
封包發送電路/模組1936可以包括適於執行與例如下列有關的若干功能的電路及/或指令(例如,被儲存在儲存媒體1904上的封包發送指令1956):從該網路節點處實施的使用者平面網路功能單元處,向下一躍點網路節點發送針對該客戶端設備的資料封包。
如上面提及的,由儲存媒體1904儲存的指令,當被處理電路1910執行時,使得處理電路1910執行本文描述的各種功能及/或程序操作中的一或多個。例如,儲存媒體1904可以包括下列各項中的一項或多項:安全上下文建立指令1940、控制平面金鑰和使用者平面金鑰獲得指令1942、金鑰傳送指令1944、安全上下文獲得指令1946、使用者平面金鑰決定指令1948、封包接收指令1950、封包解密和認證指令1952、封包保護指令1954和封包發送指令1956。
圖20是圖示根據本案內容的各個態樣的用於在IoT網路架構中進行通訊的方法的流程圖2000。該方法可以由諸如第一網路節點之類的裝置來執行。例如,第一網路節點(例如,網路節點707)可以實施控制平面網路功能單元(例如,IoTF-C 706)。第一網路節點在該網路節點處實施的控制平面網路功能單元處,建立用於客戶端設備的安全上下文2002。在態樣中,第一網路節點藉由與客戶端設備執行相互認證程序,來建立用於客戶端設備的安全上下文。
第一網路節點在該第一網路節點處實施的控制平面網路功能單元處,獲得用於控制平面網路功能單元的控制平面金鑰2004。第一網路節點在該第一網路節點處實施的控制平面網路功能單元處,獲得用於第二網路節點處實施的使用者平面網路功能單元的使用者平面金鑰2006。在態樣中,第一網路節點經由根據在相互認證程序期間建立的通信期身份碼推導使用者平面金鑰,來獲得使用者平面金鑰。第一網路節點從該第一網路節點處實施的控制平面網路功能單元,向第二網路節點處實施的使用者平面網路功能單元傳送該使用者平面金鑰2008。
圖21是圖示根據本案內容的各個態樣的用於在IoT網路架構中進行通訊的方法的流程圖2100。該方法可以由諸如網路節點之類的裝置來執行。例如,該網路節點(例如,網路節點707)可以實施使用者平面網路功能單元(例如,IoTF-U 708)。該網路節點在該網路節點處實施的使用者平面網路功能單元處,獲得用於客戶端設備的安全上下文2102。在態樣中,該網路節點經由從該網路節點的控制平面網路功能單元接收安全上下文,來獲得該安全上下文。該網路節點在該網路節點處實施的使用者平面網路功能單元處,決定要至少被用於對來自客戶端設備的資料封包進行解密或者驗證的金鑰2104。該網路節點在該網路節點的使用者平面網路功能單元處,從客戶端設備接收資料封包2106。該網路節點在該網路節點處實施的使用者平面網路功能單元處,基於該金鑰,對來自客戶端設備的資料封包進行解密和驗證2108。
圖22是圖示根據本案內容的各個態樣的用於在IoT網路架構中進行通訊的方法的流程圖2200。該方法可以由諸如網路節點之類的裝置來執行。例如,該網路節點(例如,網路節點707)可以實施使用者平面網路功能單元(例如,IoTF-U 708)。
該網路節點在該網路節點處實施的使用者平面網路功能單元處,獲得用於客戶端設備的安全上下文2202。該網路節點在該網路節點處實施的使用者平面網路功能單元處,從應用伺服器或者閘道接收針對客戶端設備的資料封包2204。該網路節點在該網路節點處實施的使用者平面網路功能單元處,決定與該客戶端設備相關聯的至少一個金鑰2206。該網路節點在該網路節點處實施的使用者平面網路功能單元處,使用該至少一個金鑰,對針對該客戶端設備的資料封包進行保護2208。該網路節點從該網路節點處實施的使用者平面網路功能單元,向下一躍點網路節點發送針對該客戶端設備的資料封包2210。
附圖中圖示的部件、步驟、特徵及/或功能中的一或多個可以被重新排列及/或組合成單個部件、步驟、特徵或者功能,或者被體現在若干部件、步驟或者功能中。在不背離本文揭示的新穎性特徵的情況下,亦可以添加另外的元件、部件、步驟及/或功能。附圖中圖示的裝置、設備及/或部件可以被配置為執行本文描述的方法、特徵或者步驟中的一或多個。本文描述的新穎性演算法亦可以被高效地實施在軟體中及/或被嵌入到硬體中。
應當理解的是,揭示的方法中的步驟的特定的順序或者層次是對示例性過程的說明。應當理解的是,基於設計偏好,可以重新排列方法中的步驟的特定的順序或者層次。所附方法請求項以作為實例的順序呈現各個步驟的要素,並不意指被限定到呈現的特定的順序或者層次,除非其中明確地記載。在不背離本案內容的情況下,亦可以添加或者不利用另外的元件、部件、步驟及/或功能單元。
儘管已經相對於某些實施方式和附圖論述了本案內容的特徵,但是本案內容的所有實施方式可以包括本文論述的有利特徵中的一或多個。換言之,儘管已經將一或多個實施方式論述為具有某些有利特徵,但是根據本文論述的各種實施方式中的任何實施方式,亦可以使用此種特徵中的一或多個特徵。以類似的方式,儘管本文將示例性的實施方式論述為設備、系統或者方法實施方式,但是應當理解的是,此種示例性實施方式可以被實施在各種設備、系統和方法中。
此外,應當注意到的是,至少一些實施方式已經被描述為過程,該過程被圖示為流程圖、流程示意圖、結構圖或者方塊圖。儘管流程圖可以將操作描述為順序的過程,但是操作中的很多操作可以並行地或者同時地執行。此外,可以重新排列操作的順序。當其操作被完成時,過程亦就終止了。在一些態樣中,過程可以與方法、函數、程序(procedure)、子常式、副程式等相對應。當過程與函數相對應時,其終止與該函數到調用函數或者主函數的返回相對應。本文描述的各種方法中的一或多個方法可以部分地或者全部地藉由編程(例如,指令及/或資料)來實施,其中該編程可以被儲存在機器可讀取的、電腦可讀的及/或處理器可讀的儲存媒體中,並且被一或多個處理器、機器及/或設備執行。
本領域的技藝人士亦應當意識到的是,結合本文揭示的實施方式描述的各種說明性的邏輯區塊、模組、電路和演算法步驟可以被實施為硬體、軟體、韌體、中間軟體、微代碼或者其任意組合。為了清楚地說明此種可互換性,上面已經對各種說明性的部件、方塊、模組、電路和步驟圍繞其功能進行了整體描述。至於此種功能是被實施為硬體亦是軟體,取決於特定的應用和被施加到整個系統上的設計約束。
在本案內容中,使用詞語「示例性」來意指「充當示例、實例或者說明」。本文作為「示例性」描述的任何實施方式或者態樣不必然地被解釋為優選的或者比本案內容的其他態樣具有優勢。同樣地,術語「態樣」並不要求本案內容的所有態樣包括所論述的特徵、優點或者操作的模式。本文使用術語「耦合的」來代表兩個物體之間的直接地或者間接地耦合。例如,若物體A實體地接觸物體B,並且物體B接觸物體C,則物體A和C仍然可以被視為被耦合至彼此——即使其不直接實體地接觸彼此。例如,即使第一晶粒從未與第二晶粒直接實體地接觸,第一晶粒亦可以被耦合到封裝中的第二晶粒。術語「電路」和「電路系統」被廣義地使用,並且意欲包括電子設備和導體的硬體實施方式(當該電子設備和導體被連接和配置時,實施本案內容中描述的功能的效能,而不受限於電子電路的類型)以及資訊和指令的軟體實施方式(當該資訊和指令被處理器執行時,實施本案內容中描述的功能的效能)二者。
如本文使用的,術語「決定」涵蓋各種各樣的動作。例如,「決定」可以包括計算、運算、處理、推導、研究、檢視(例如,在表格、資料庫或者另一資料結構中檢視)、查明等等。此外,「決定」可以包括接收(例如,接收資訊)、存取(例如,存取記憶體中的資料)等等。此外,「決定」可以包括解決、選擇、挑選、建立等等。如本文使用的,術語「獲得」可以包括一或多個動作,其包括但不限於:接收、產生、決定或者其任意組合。
提供先前的描述,以使得本領域的任何技藝人士能夠實踐本文描述的各個態樣。對於本領域的技藝人士而言,對該等態樣的各種修改將是顯而易見的,並且本文定義的一般性原理可以被應用於其他態樣。因此,請求項不意欲被限定到本文圖示的態樣,而是要被授予與請求項所表達的內容相一致的全部範圍,其中除非特別如此說明,否則用單數形式對要素的提及並不意欲意指「一個和僅僅一個」,而是「一或多個」。除非另外特別說明,否則術語「一些」代表一或多個。涉及項目列表「中的至少一個」的短語代表該等項目的任意組合,其包括單個成員。舉例而言,「a、b或c中的至少一個」意欲涵蓋:a;b;c;a和b;a和c;b和c;a、b和c。對貫穿本案內容描述的各個態樣的要素的所有結構的和功能的均等物經由引用方式被明確地併入本文,並且意欲由請求項所包含,該所有結構的和功能的均等物對於本領域的一般技藝人士而言是已知的或者稍後將要已知的。此外,本文揭示的任何內容皆不意欲要奉獻給公眾,不管此種揭示內容是否被明確地記載在請求項中。不應當根據專利法施行細則第18條第8項來解釋任何請求項的要素,除非該要素是使用「用於……的構件」的短語來明確地記載的,或者在方法請求項的情況下,該要素是使用「用於……的步驟」的短語記載的。
因此,在不背離本案內容的範疇的情況下,可以在不同的實例和實施方式中實施與本文描述的以及在附圖中圖示的實例相關聯的各種特徵。因此,儘管已經描述並且在附圖中圖示某些特定的構造和排列,但是此種實施方式僅僅是說明性的,並不限制本案內容的範疇,由於對於本領域的一般技藝人士而言,對所描述的實施方式的各種其他添加和修改以及從其中刪除是顯而易見的。因此,本案內容的範疇僅僅是由所附申請專利範圍的字面語言及法律均等物來決定的。
100‧‧‧IoT網路架構 102‧‧‧客戶端設備 104‧‧‧網路存取節點 105‧‧‧網路設備 106‧‧‧控制平面IoT功能單元(IoTF-C) 107‧‧‧第一網路節點 108‧‧‧使用者平面IoT功能單元(IoTF-U) 109‧‧‧第二網路節點 110‧‧‧服務網路 112‧‧‧授權和計費(AAA)伺服器 114‧‧‧第二S1連接 116‧‧‧第一S1連接 118‧‧‧簡訊實體(SME) 120‧‧‧機器類型通訊互通功能單元(MTC-IWF) 122‧‧‧IoT伺服器 124‧‧‧封包資料網路(PDN)閘道(P-GW) 126‧‧‧控制平面(CP)金鑰 128‧‧‧使用者平面(UP)金鑰 130‧‧‧上下文金鑰 131‧‧‧上下文金鑰 200‧‧‧金鑰體系 202‧‧‧金鑰KIoT 204‧‧‧IK/CK 206‧‧‧金鑰KASME 208‧‧‧控制平面金鑰(KCP) 210‧‧‧加密金鑰KIoT-CPenc 212‧‧‧完整性保護金鑰KIoT-CPint 214‧‧‧使用者平面金鑰(KUP) 216‧‧‧加密金鑰KIoT-UPenc 218‧‧‧完整性保護金鑰KIoT-UPint 300‧‧‧金鑰體系 302‧‧‧上下文金鑰KCDC-IoTF 304‧‧‧控制平面客戶端設備上下文加密金鑰(KCDC-IoTF-C) 306‧‧‧使用者平面客戶端設備上下文加密金鑰(KCDC-IoTF-U) 308‧‧‧上下文金鑰KNRC-IoTF 310‧‧‧網路可達性上下文(NRC)加密金鑰(KNRC-IoTF-C) 312‧‧‧網路可達下文(NRC)加密金鑰(KNRC-IoTF-U) 400‧‧‧網路 402‧‧‧客戶端設備 404‧‧‧網路存取節點 406‧‧‧進化型封包核心(EPC) 408‧‧‧行動性管理實體(MME) 410‧‧‧封包資料網路閘道(P-GW)/服務閘道(S-GW) 412‧‧‧歸屬用戶伺服器(HSS) 414‧‧‧上下文 416‧‧‧上下文 418‧‧‧上下文 420‧‧‧上下文 422‧‧‧上下文 424‧‧‧上下文 426‧‧‧上下文 428‧‧‧上下文 500‧‧‧IoT網路架構 502‧‧‧客戶端設備 504‧‧‧網路存取節點 505‧‧‧網路設備 506‧‧‧控制平面IoT功能單元(IoTF-C) 507‧‧‧第一網路節點 508‧‧‧使用者平面IoT功能單元(IoTF-U) 509‧‧‧第二網路節點 510‧‧‧服務網路 512‧‧‧HSS/AAA伺服器 514‧‧‧第二S1連接 516‧‧‧第一S1連接 518‧‧‧簡訊實體(SME) 520‧‧‧機器類型通訊互通功能單元(MTC-IWF) 522‧‧‧IoT伺服器 524‧‧‧封包資料網路(PDN)閘道(P-GW) 526‧‧‧CP金鑰 528‧‧‧UP金鑰 530‧‧‧上下文金鑰 531‧‧‧上下文金鑰 532‧‧‧附著請求 534‧‧‧請求 535‧‧‧認證資訊 536‧‧‧信號 538‧‧‧訊息 600‧‧‧信號流程圖 602‧‧‧客戶端設備 604‧‧‧網路存取節點 605‧‧‧網路節點 606‧‧‧IoTF-C 607‧‧‧網路節點 608‧‧‧IoTF-U 609‧‧‧服務網路 610‧‧‧歸屬用戶伺服器(HSS) 612‧‧‧請求 614‧‧‧RRC連接建立訊息 616‧‧‧RRC連接建立完成訊息 618‧‧‧初始客戶端設備訊息 620‧‧‧AKA程序 621‧‧‧通訊 622‧‧‧訊息 624‧‧‧初始上下文建立請求訊息 625‧‧‧網路可達性上下文的訊息 626‧‧‧RRC連接重新配置訊息 628‧‧‧RRC連接重新配置完成訊息 630‧‧‧第一訊息 632‧‧‧第二訊息 634‧‧‧第三訊息 636‧‧‧轉換 638‧‧‧移除 700‧‧‧IoT網路架構 702‧‧‧客戶端設備 704‧‧‧網路存取節點 705‧‧‧網路設備 706‧‧‧控制平面IoT功能單元(IoTF-C) 707‧‧‧網路節點 708‧‧‧使用者平面IoT功能單元(IoTF-U) 709‧‧‧網路節點 710‧‧‧服務網路 712‧‧‧授權和計費(AAA)伺服器 718‧‧‧簡訊實體(SME) 720‧‧‧機器類型通訊互通功能單元(MTC-IWF) 722‧‧‧IoT伺服器 724‧‧‧封包資料網路(PDN)閘道(P-GW) 726‧‧‧CP金鑰 728‧‧‧UP金鑰 730‧‧‧上下文金鑰 731‧‧‧上下文金鑰 732‧‧‧第一訊息 734‧‧‧第二訊息 736‧‧‧第三訊息 800‧‧‧信號流程圖 802‧‧‧客戶端設備 804‧‧‧網路存取節點 805‧‧‧網路節點 806‧‧‧IoTF-U 808‧‧‧服務網路 810‧‧‧資料傳送請求訊息 812‧‧‧分配 814‧‧‧第一訊息 816‧‧‧重新構建 818‧‧‧第二訊息 820‧‧‧第三訊息 822‧‧‧第四訊息 824‧‧‧第五訊息 826‧‧‧轉換 828‧‧‧移除 900‧‧‧信號流程圖 902‧‧‧客戶端設備 904‧‧‧網路存取節點 905‧‧‧網路節點 906‧‧‧IoTF-C 907‧‧‧網路節點 908‧‧‧IoTF-U 910‧‧‧P-GW 912‧‧‧IoT伺服器 914‧‧‧下行鏈路(DL)訊息 916‧‧‧訊息 917‧‧‧重新構建 918‧‧‧DL資料通知訊息 920‧‧‧傳呼訊息 922‧‧‧傳呼訊息 924‧‧‧RRC連接請求訊息 926‧‧‧分配 928‧‧‧轉發訊息 930‧‧‧儲存 932‧‧‧客戶端設備回應通知訊息 934‧‧‧訊息 936‧‧‧轉發訊息 938‧‧‧轉換 940‧‧‧移除 1000‧‧‧控制平面協定堆疊 1002‧‧‧客戶端設備協定堆疊 1004‧‧‧網路存取節點協定堆疊 1005‧‧‧網路節點 1006‧‧‧IoTF協定堆疊 1008‧‧‧服務網路通訊協定堆疊 1010‧‧‧實體(PHY)層 1012‧‧‧媒體存取控制(MAC)層 1014‧‧‧無線電鏈路控制(RLC)層 1016‧‧‧封包資料收斂協定(PDCP)層 1018‧‧‧上下文協定層 1020‧‧‧控制(Ctrl)層 1022‧‧‧PHY層 1024‧‧‧MAC層 1026‧‧‧RLC層 1028‧‧‧PDCP層 1030‧‧‧乙太網路層 1032‧‧‧MAC層 1034‧‧‧網際網路協定(IP)層 1036‧‧‧使用者資料包通訊協定(UDP)層 1038‧‧‧控制平面GPRS隧道協定(GTP-C)層 1040‧‧‧乙太網路層 1042‧‧‧MAC層 1044‧‧‧IP層 1046‧‧‧UDP層 1048‧‧‧GTP-C層 1049‧‧‧上下文協定層 1050‧‧‧上下文協定層 1052‧‧‧控制(Ctrl)層 1054‧‧‧IP層1056‧‧‧UDP層 1058‧‧‧GTP-C層 1059‧‧‧上下文協定層 1062‧‧‧Ctrl層 1064‧‧‧區域 1066‧‧‧IP協定 1068‧‧‧區域 1100‧‧‧使用者平面協定堆疊 1102‧‧‧客戶端設備協定堆疊 1104‧‧‧網路存取節點協定堆疊 1105‧‧‧網路節點 1106‧‧‧IoTF協定堆疊 1108‧‧‧服務網路通訊協定堆疊 1110‧‧‧實體(PHY)層 1112‧‧‧媒體存取控制(MAC)層 1114‧‧‧無線電鏈路控制(RLC)層 1116‧‧‧封包資料收斂協定(PDCP)層 1118‧‧‧上下文協定層 1120‧‧‧使用者平面(UP)層 1122‧‧‧PHY層 1124‧‧‧MAC層 1126‧‧‧RLC層 1128‧‧‧PDCP層 1130‧‧‧乙太網路層 1132‧‧‧MAC層 1134‧‧‧網際網路協定(IP)層 1136‧‧‧使用者資料包通訊協定(UDP)層 1138‧‧‧使用者平面GPRS隧道協定(GTP-U)層 1140‧‧‧乙太網路層 1142‧‧‧MAC層 1144‧‧‧IP層 1146‧‧‧UDP層 1148‧‧‧GTP-U層 1149‧‧‧上下文協定層 1150‧‧‧上下文協定層 1152‧‧‧UP層 1154‧‧‧IP層 1156‧‧‧UDP層 1158‧‧‧GTP-U層 1159‧‧‧上下文協定層 1162‧‧‧UP層 1164‧‧‧區域 1166‧‧‧IP協定 1168‧‧‧區域 1200‧‧‧封包格式 1202‧‧‧臨時辨識符(TID)欄位 1204‧‧‧IoTF ID(IID)欄位 1206‧‧‧安全標頭欄位 1208‧‧‧客戶端設備上下文欄位 1210‧‧‧有效負荷欄位 1212‧‧‧訊息認證碼(MAC)欄位 1300‧‧‧封包格式 1302‧‧‧臨時辨識符(TID)欄位 1304‧‧‧IoTF ID(IID)欄位 1306‧‧‧安全標頭欄位 1308‧‧‧網路可達性上下文欄位 1310‧‧‧有效負荷欄位 1312‧‧‧訊息認證碼(MAC)欄位 1400‧‧‧信號流程圖 1402‧‧‧客戶端設備 1404‧‧‧網路存取節點 1405‧‧‧目標網路設備 1406‧‧‧目標IoTF-C 1407‧‧‧源網路設備 1408‧‧‧源IoTF-C 1410‧‧‧P-GW 1412‧‧‧IoT伺服器 1414‧‧‧資料傳送請求訊息 1416‧‧‧分配 1418‧‧‧訊息 1420‧‧‧訊息 1422‧‧‧訊息 1424‧‧‧產生 1426‧‧‧訊息 1428‧‧‧訊息 1430‧‧‧訊息 1500‧‧‧裝置 1502‧‧‧通訊介面 1504‧‧‧儲存媒體 1506‧‧‧使用者介面 1508‧‧‧記憶體設備 1510‧‧‧處理電路 1512‧‧‧天線 1514‧‧‧發射器 1516‧‧‧接收器 1518‧‧‧資訊 1520‧‧‧發送電路/模組 1522‧‧‧接收電路/模組 1524‧‧‧安全上下文獲得電路/模組 1526‧‧‧金鑰獲得電路/模組 1528‧‧‧資料封包保護電路/模組 1530‧‧‧封包決定電路/模組 1532‧‧‧封包解碼電路/模組 1534‧‧‧網路註冊電路/模組 1540‧‧‧發送指令 1542‧‧‧接收指令 1544‧‧‧安全上下文獲得指令 1546‧‧‧金鑰獲得指令 1548‧‧‧資料封包保護指令 1550‧‧‧封包決定指令 1552‧‧‧封包解碼指令 1554‧‧‧網路註冊指令 1600‧‧‧流程圖 1602‧‧‧註冊 1604‧‧‧至少一個安全上下文 1606‧‧‧控制平面金鑰 1608‧‧‧控制封包 1610‧‧‧資料封包/控制封包 1612‧‧‧網路接收封包 1614‧‧‧控制資訊 1616‧‧‧解碼 1700‧‧‧裝置 1702‧‧‧通訊介面 1703‧‧‧網路通訊介面 1704‧‧‧儲存媒體 1706‧‧‧使用者介面 1708‧‧‧記憶體設備 1710‧‧‧處理電路 1712‧‧‧天線 1714‧‧‧發射器 1716‧‧‧接收器 1718‧‧‧資訊 1720‧‧‧接收電路/模組 1722‧‧‧資料封包轉發電路/模組 1724‧‧‧臨時辨識符添加電路/模組 1726‧‧‧儲存電路/模組 1728‧‧‧下一躍點決定電路/模組 1730‧‧‧客戶端設備辨識電路/模組 1732‧‧‧臨時辨識符移除電路/模組 1740‧‧‧接收指令 1742‧‧‧封包轉發指令 1744‧‧‧臨時辨識符添加指令 1746‧‧‧儲存指令 1748‧‧‧下一躍點決定指令 1750‧‧‧客戶端設備辨識指令 1752‧‧‧臨時辨識符移除指令 1800‧‧‧流程圖 1802‧‧‧減少資料傳送模式 1804‧‧‧第一封包 1806‧‧‧臨時辨識符 1808‧‧‧臨時辨識符 1810‧‧‧下一躍點網路節點 1812‧‧‧下一躍點網路節點 1814‧‧‧第二封包 1816‧‧‧客戶端設備 1818‧‧‧臨時辨識符 1820‧‧‧客戶端設備 1900‧‧‧裝置 1902‧‧‧網路通訊介面 1904‧‧‧儲存媒體 1906‧‧‧使用者介面 1908‧‧‧記憶體設備 1910‧‧‧處理電路 1918‧‧‧資訊 1920‧‧‧安全上下文建立電路/模組 1922‧‧‧控制平面金鑰和使用者平面金鑰獲得電路/模組 1924‧‧‧金鑰傳送電路/模組 1926‧‧‧安全上下文獲得電路/模組 1928‧‧‧使用者平面金鑰決定電路/模組 1930‧‧‧封包接收電路/模組 1932‧‧‧封包解密和認證電路/模組 1934‧‧‧封包保護電路/模組 1936‧‧‧封包發送電路/模組 1940‧‧‧安全上下文建立指令 1942‧‧‧獲得 1944‧‧‧金鑰傳送指令 1946‧‧‧安全上下文獲得指令 1948‧‧‧使用者平面金鑰決定指令 1950‧‧‧封包接收指令 1952‧‧‧封包解密和認證指令 1954‧‧‧封包保護指令 1956‧‧‧封包發送指令 2000‧‧‧流程圖 2002‧‧‧安全上下文 2004‧‧‧控制平面金鑰 2006‧‧‧使用者平面金鑰 2008‧‧‧使用者平面金鑰 2100‧‧‧流程圖 2102‧‧‧安全上下文 2104‧‧‧金鑰 2106‧‧‧客戶端設備接收資料封包 2108‧‧‧解密和驗證 2200‧‧‧流程圖 2202‧‧‧安全上下文 2204‧‧‧資料封包 2206‧‧‧金鑰 2208‧‧‧保護 2210‧‧‧資料封包
圖1是根據本案內容的各個態樣的物聯網路(IoT)網路架構的方塊圖。
圖2是圖示根據本案內容的各個態樣的用於IoT網路架構的金鑰體系的圖。
圖3是圖示根據本案內容的各個態樣的用於在IoT網路架構中對上下文進行加密的金鑰體系的圖。
圖4是圖示在網路中的各個實體處維持的客戶端設備的示例性網路狀態的圖。
圖5是圖示根據本案內容的各個態樣的IoT網路架構中的客戶端設備的初始附著程序的方塊圖。
圖6是根據本案內容的各個態樣的IoT網路架構中的客戶端設備的示例性附著程序的信號流程圖。
圖7是圖示根據本案內容的各個態樣的由IoT網路架構中的客戶端設備發起的資料傳輸的方塊圖。
圖8是圖示根據本案內容的各個態樣的由IoT網路架構中的客戶端設備發起的示例性資料傳輸的信號流程圖。
圖9是根據本案內容的各個態樣的示例性客戶端設備在IoT網路架構中終止資料傳輸的信號流程圖。
圖10是圖示根據本案內容的各個態樣的用於IoT資料傳輸的控制平面協定堆疊的圖。
圖11是圖示根據本案內容的各個態樣的用於IoT資料傳輸的使用者平面協定堆疊的圖。
圖12是根據本案內容的各個態樣的用於IoT網路架構中的傳輸的封包格式的圖。
圖13是根據本案內容的各個態樣的用於IoT網路架構中的傳輸的封包格式的圖。
圖14是根據本案內容的各個態樣的IoT網路架構中的追蹤區域更新(TAU)程序的信號流程圖。
圖15是根據本案內容的一或多個態樣的被配置為在IoT網路架構中進行通訊的裝置的圖示。
圖16是圖示根據本案內容的各個態樣的用於在IoT網路架構中進行通訊的裝置的方法的流程圖。
圖17是根據本案內容的一或多個態樣的被配置為在IoT網路架構中進行通訊的裝置的圖示。
圖18(其包括圖18A和圖18B)是圖示根據本案內容的各個態樣的用於在IoT網路架構中進行通訊的裝置的方法的流程圖。
圖19是根據本案內容的一或多個態樣的被配置為在IoT網路架構中進行通訊的裝置的圖示。
圖20是圖示根據本案內容的各個態樣的用於在IoT網路架構中進行通訊的裝置的方法的流程圖。
圖21是圖示根據本案內容的各個態樣的用於在IoT網路架構中進行通訊的裝置的方法的流程圖。
圖22是圖示根據本案內容的各個態樣的用於在IoT網路架構中進行通訊的裝置的方法的流程圖。
國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無
國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無
(請換頁單獨記載) 無
802‧‧‧客戶端設備
804‧‧‧網路存取節點
805‧‧‧網路節點
806‧‧‧IoTF-U
808‧‧‧服務網路
810‧‧‧資料傳送請求訊息
812‧‧‧分配
814‧‧‧第一訊息
816‧‧‧重新構建
818‧‧‧第二訊息
820‧‧‧第三訊息
822‧‧‧第四訊息
824‧‧‧第五訊息
826‧‧‧轉換
828‧‧‧移除

Claims (15)

  1. 一種用於一網路中的一客戶端設備的方法,包括以下步驟:向該網路進行註冊;至少獲得與一第一網路節點處實施的一使用者平面網路功能單元共享的一使用者平面金鑰或者與一第二網路節點處實施的一控制平面網路功能單元共享的一控制平面金鑰;利用該使用者平面金鑰來保護一資料封包,或者利用該控制平面金鑰來保護一控制封包,其中該資料封包包括用於指示將在該第一網路節點處處理該資料封包的第一目的地資訊,該第一目的地資訊使得一網路存取節點能夠將該資料封包轉發給該第一網路節點,並且其中該控制封包包括用於指示將在該第二網路節點處處理該控制封包的第二目的地資訊,該第二目的地資訊使得該網路存取節點能夠將該控制封包轉發給該第二網路節點;向該網路發送經保護的該資料封包或者經保護的該控制封包;及向該網路發送一加密的客戶端設備上下文,其中該加密的客戶端設備上下文包括至少該使用者平面金鑰或該控制平面金鑰,及該加密的客戶端設備上下文 使能夠針對該客戶端設備重建該網路處的至少一安全上下文,該安全上下文致能於該網路對經保護的該資料封包或經保護的該控制封包的處理。
  2. 如請求項1所述之方法,亦包括以下步驟:從該網路接收一封包;決定該所接收的封包是包括資料還是包括控制資訊;及基於該決定,利用該使用者平面金鑰或者該控制平面金鑰對該所接收的封包進行解碼。
  3. 如請求項2所述之方法,其中對該所接收的封包進行解碼之步驟包括以下步驟:利用該使用者平面金鑰或者該控制平面金鑰,對該所接收的封包進行解密和驗證。
  4. 如請求項3所述之方法,其中對該所接收的封包進行驗證之步驟包括以下步驟:基於該所接收的封包和該使用者平面金鑰或者該控制平面金鑰二者之一,藉由應用一訊息認證碼產生演算法,來決定一第一訊息認證碼;及將該第一訊息認證碼和與該所接收的封包相關聯的一第二訊息認證碼進行比較。
  5. 如請求項1所述之方法,亦包括以下步驟:獲得一使用者平面安全上下文或者一控制平面安 全上下文中的至少一個,其中該使用者平面安全上下文指示針對該客戶端設備的關於一使用者平面的網路狀態資訊,該控制平面安全上下文指示針對該客戶端設備的關於一控制平面的網路狀態資訊。
  6. 如請求項5所述之方法,其中獲得該使用者平面安全上下文之步驟包括以下步驟:基於該使用者平面金鑰來推導一第一加密金鑰和一第一完整性金鑰,並且其中獲得該控制平面安全上下文包括:基於該控制平面金鑰來推導一第二加密金鑰和一第二完整性金鑰。
  7. 如請求項5所述之方法,其中該使用者平面安全上下文或者該控制平面安全上下文不包括存取層安全保護。
  8. 如請求項2所述之方法,其中一使用者平面網路功能單元辨識符或者一控制平面網路功能單元辨識符被包括在該所接收的封包的一標頭中,並且其中該客戶端設備被註冊在一減少資料傳送模式下。
  9. 如請求項1所述之方法,其中該資料封包是基於該使用者平面金鑰來進行加密或者完整性保護的,或者是基於該使用者平面金鑰來既進行加密又進行完整性保護的,並且其中該控制封包是基於該控制平面金鑰來進行加密或者完整性保護的,或者是基於 該控制平面金鑰既進行加密又進行完整性保護的。
  10. 如請求項1所述之方法,其中該向該網路進行註冊之步驟包括以下步驟:發送對於附著到該網路的一請求;及從該網路接收回應於該請求的、與一認證程序相關聯的訊息,其中該使用者平面金鑰或者該控制平面金鑰是基於該訊息來獲得的,並且其中該附著請求指示該客戶端設備要在一減少資料傳送模式下附著。
  11. 一種客戶端設備,包括:一通訊電路,其被配置為與一或多個網路實體進行通訊;及一處理電路,其被耦合到該通訊電路,該處理電路被配置為:向一網路進行註冊;至少獲得與一第一網路節點處實施的一使用者平面網路功能單元共享的一使用者平面金鑰或者與一第二網路節點處實施的一控制平面網路功能單元共享的一控制平面金鑰;利用該使用者平面金鑰來保護一資料封包,或者利用該控制平面金鑰來保護一控制封包,其中該資料封包包括用於指示將在該第一網路節點處處理 該資料封包的第一目的地資訊,該第一目的地資訊使得一網路存取節點能夠將該資料封包轉發給該第一網路節點,並且其中該控制封包包括用於指示將在該第二網路節點處處理該控制封包的第二目的地資訊,該第二目的地資訊使得該網路存取節點能夠將該控制封包轉發給該第二網路節點;向該網路發送經保護的該資料封包或者經保護的該控制封包;及向該網路發送一加密的客戶端設備上下文,其中該加密的客戶端設備上下文包括至少該使用者平面金鑰或該控制平面金鑰,及該加密的客戶端設備上下文使能夠針對該客戶端設備重建該網路處的至少一安全上下文,該安全上下文致能於該網路對經保護的該資料封包或經保護的該控制封包的處理。
  12. 如請求項11所述之客戶端設備,其中該處理電路亦被配置為:從該網路接收一封包;決定該所接收的封包是包括資料還是包括控制資訊;及基於該決定,利用該使用者平面金鑰或者該控制平面金鑰對該所接收的封包進行解碼。
  13. 如請求項12所述之客戶端設備,其中被配置為對該所接收的封包進行解碼的該處理電路亦被配置為:利用該使用者平面金鑰或者該控制平面金鑰,對該所接收的封包進行解密和驗證。
  14. 如請求項13所述之客戶端設備,其中被配置為對該所接收的封包進行驗證的該處理電路亦被配置為:基於該所接收的封包和該使用者平面金鑰或者該控制平面金鑰二者之一,藉由應用一訊息認證碼產生演算法,來決定一第一訊息認證碼;及將該第一訊息認證碼和與該所接收的封包相關聯的一第二訊息認證碼進行比較。
  15. 如請求項11所述之客戶端設備,其中該處理電路亦被配置為:獲得一使用者平面安全上下文或者一控制平面安全上下文中的至少一個,其中該使用者平面安全上下文指示針對該客戶端設備的關於一使用者平面的網路狀態資訊,該控制平面安全上下文指示針對該客戶端設備的關於一控制平面的網路狀態資訊。
TW105118428A 2015-07-12 2016-06-13 網路安全架構 TWI708513B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201562191459P 2015-07-12 2015-07-12
US62/191,459 2015-07-12
US15/160,326 2016-05-20
US15/160,326 US10362011B2 (en) 2015-07-12 2016-05-20 Network security architecture

Publications (2)

Publication Number Publication Date
TW201703556A TW201703556A (zh) 2017-01-16
TWI708513B true TWI708513B (zh) 2020-10-21

Family

ID=57731536

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105118428A TWI708513B (zh) 2015-07-12 2016-06-13 網路安全架構

Country Status (8)

Country Link
US (4) US10362011B2 (zh)
EP (2) EP3905744A1 (zh)
JP (2) JP6882255B2 (zh)
KR (1) KR102447299B1 (zh)
CN (2) CN107736047B (zh)
BR (1) BR112018000644A2 (zh)
TW (1) TWI708513B (zh)
WO (1) WO2017011114A1 (zh)

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10505850B2 (en) 2015-02-24 2019-12-10 Qualcomm Incorporated Efficient policy enforcement using network tokens for services—user-plane approach
US10362011B2 (en) 2015-07-12 2019-07-23 Qualcomm Incorporated Network security architecture
TWI562661B (en) * 2015-08-27 2016-12-11 Ind Tech Res Inst Cell and method and system for bandwidth management of backhaul network of cell
CN106961722B (zh) * 2016-01-12 2018-09-11 展讯通信(上海)有限公司 数据的传输方法及基站
CN107666667B (zh) * 2016-07-29 2019-09-17 电信科学技术研究院 一种数据传输方法、第一设备及第二设备
EP3501234A4 (en) * 2016-08-22 2020-04-01 Nokia Technologies Oy SECURITY PROCEDURE
US20180097807A1 (en) * 2016-09-30 2018-04-05 Lg Electronics Inc. Method and apparatus for performing initial access procedure based on authentication in wireless communication system
WO2018082035A1 (zh) * 2016-11-04 2018-05-11 华为技术有限公司 一种功能调度方法、设备和系统
CN108347416B (zh) 2017-01-24 2021-06-29 华为技术有限公司 一种安全保护协商方法及网元
KR102556491B1 (ko) * 2017-01-27 2023-07-17 삼성전자주식회사 미션 크리티컬 데이터 통신 시스템에서 시그널링 플레인을 통한 엔드-대-엔드 보안을 제공하는 방법
RU2744323C2 (ru) 2017-01-30 2021-03-05 Телефонактиеболагет Лм Эрикссон (Пабл) Способы для защиты целостности данных пользовательской плоскости
PL3596953T3 (pl) 2017-03-17 2023-10-09 Telefonaktiebolaget Lm Ericsson (Publ) Rozwiązanie dotyczące bezpieczeństwa włączania i wyłączania zabezpieczeń dla danych up pomiędzy ue a ran w 5g
DE102017208735A1 (de) * 2017-05-23 2018-11-29 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung insbesondere innerhalb eines Kommunikationsnetzwerkes einer industriellen Fertigung und/oder Automatisierung
WO2018222133A2 (zh) * 2017-06-01 2018-12-06 华为国际有限公司 数据保护方法、装置以及系统
US10470042B2 (en) * 2017-07-27 2019-11-05 Nokia Technologies Oy Secure short message service over non-access stratum
US20190089592A1 (en) * 2017-09-20 2019-03-21 Quanta Computer Inc. Role-based automatic configuration system and method for ethernet switches
CN111183663A (zh) * 2017-11-08 2020-05-19 Oppo广东移动通信有限公司 完整性保护的控制方法、网络设备及计算机存储介质
US10771450B2 (en) * 2018-01-12 2020-09-08 Blackberry Limited Method and system for securely provisioning a remote device
AU2019249939B2 (en) * 2018-04-06 2021-09-30 Telefonaktiebolaget Lm Ericsson (Publ) UE controlled handling of the security policy for user plane protection in 5G systems
CN108833340A (zh) * 2018-04-26 2018-11-16 浙江麦知网络科技有限公司 一种室内网络通信安全保护系统
EP3565191B1 (en) * 2018-04-30 2021-07-07 Hewlett Packard Enterprise Development LP Provisioning and managing internet-of-thing devices over a network
CN113039765B (zh) * 2018-09-21 2023-09-12 诺基亚技术有限公司 用于网络功能之间的安全消息收发的方法和装置
US20210400475A1 (en) * 2018-11-12 2021-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Authentication of a Communications Device
ES2885801T3 (es) 2018-11-14 2021-12-15 Ericsson Telefon Ab L M Detección de reinicio de consumidor de servicios de NF utilizando señalización directa entre NF
US11533613B2 (en) 2019-08-16 2022-12-20 Qualcomm Incorporated Providing secure communications between computing devices
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
WO2021060855A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 제어 데이터 패킷을 보호하기 위한 시스템 및 그에 관한 방법
TWI754950B (zh) * 2020-06-02 2022-02-11 鴻海精密工業股份有限公司 物聯網設備、伺服器及軟體更新方法
CN112188447B (zh) * 2020-08-26 2021-09-14 江苏龙睿物联网科技有限公司 一种物联网移动基站通信保护系统及保护方法
US20220353263A1 (en) * 2021-04-28 2022-11-03 Verizon Patent And Licensing Inc. Systems and methods for securing network function subscribe notification process
US11902260B2 (en) * 2021-08-02 2024-02-13 Cisco Technology, Inc. Securing control/user plane traffic
US11570180B1 (en) * 2021-12-23 2023-01-31 Eque Corporation Systems configured for validation with a dynamic cryptographic code and methods thereof
US11928039B1 (en) * 2022-11-01 2024-03-12 Micron Technologies, Inc. Data-transfer test mode

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013006219A1 (en) * 2011-07-01 2013-01-10 Intel Corporation Small data communications in a wireless communication network
KR20130037481A (ko) * 2011-10-06 2013-04-16 주식회사 케이티 통신망, 개체 및 트리거링 제어 방법
WO2013065996A1 (ko) * 2011-11-03 2013-05-10 주식회사 케이티 기계 형태 통신 단말의 트리거링을 위한 서버 및 방법

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1997294A4 (en) * 2006-03-22 2014-08-27 Lg Electronics Inc SECURITY CONSIDERATIONS FOR UMTS LTE
US20080181411A1 (en) 2007-01-26 2008-07-31 Karl Norrman Method and system for protecting signaling information
US8855138B2 (en) * 2008-08-25 2014-10-07 Qualcomm Incorporated Relay architecture framework
CN102090093B (zh) 2009-04-30 2013-04-17 华为技术有限公司 空口链路安全机制建立的方法、设备
CN102036256B (zh) * 2009-09-28 2013-03-20 华为技术有限公司 数据传输方法、装置及系统
US8477724B2 (en) 2010-01-11 2013-07-02 Research In Motion Limited System and method for enabling session context continuity of local service availability in local cellular coverage
US9021072B2 (en) * 2010-01-28 2015-04-28 Verizon Patent And Licensing Inc. Localized media offload
GB201008633D0 (en) * 2010-05-24 2010-07-07 Gigle Networks Iberia Sl Communications apparatus
JP2013544471A (ja) 2010-11-15 2013-12-12 インターデイジタル パテント ホールディングス インコーポレイテッド 証明書検証およびチャネル結合
WO2012154325A1 (en) * 2011-04-01 2012-11-15 Interdigital Patent Holdings, Inc. Method and apparatus for controlling connectivity to a network
US20120252481A1 (en) * 2011-04-01 2012-10-04 Cisco Technology, Inc. Machine to machine communication in a communication network
WO2012175664A2 (en) 2011-06-22 2012-12-27 Nec Europe Ltd. Energy awareness in mobile communication user equipment and networks, including optimizations based on state compression
US20130046821A1 (en) * 2011-08-15 2013-02-21 Renasas Mobile Corporation Advanced Machine-To-Machine Communications
KR101935785B1 (ko) 2011-08-16 2019-04-03 삼성전자 주식회사 무선통신시스템에서 멀티미디어 방송 서비스를 수신하는 방법 및 장치
CN103002428B (zh) * 2011-09-15 2016-08-03 华为技术有限公司 一种物联网终端网络附着的方法及系统
JP5944004B2 (ja) * 2011-10-03 2016-07-05 インテル・コーポレーション デバイスツーデバイス通信(d2d通信)メカニズム
KR102133785B1 (ko) * 2012-05-10 2020-07-15 삼성전자주식회사 메시지 송수신 방법 및 장치
EP2693800A1 (en) * 2012-08-03 2014-02-05 Panasonic Corporation Radio Resource Managment for Dual Priority Access
CN103686708B (zh) 2012-09-13 2018-01-19 电信科学技术研究院 一种密钥隔离方法及设备
US9913136B2 (en) 2013-01-11 2018-03-06 Lg Electronics Inc. Method and apparatus for applying security information in wireless communication system
GB201306350D0 (en) 2013-04-08 2013-05-22 Gen Dynamics Broadband Inc Apparatus and methods for key generation
CN105122672B (zh) * 2013-05-09 2018-11-27 英特尔Ip公司 小数据通信
CN109982440A (zh) * 2013-08-02 2019-07-05 华为技术有限公司 空闲状态随机接入方法及设备
IN2013MU02890A (zh) * 2013-09-05 2015-07-03 Tata Consultancy Services Ltd
US9497673B2 (en) * 2013-11-01 2016-11-15 Blackberry Limited Method and apparatus to enable multiple wireless connections
US10129802B2 (en) * 2013-12-06 2018-11-13 Idac Holdings, Inc. Layered connectivity in wireless systems
CN104540107A (zh) * 2014-12-03 2015-04-22 东莞宇龙通信科技有限公司 Mtc终端群组的管理方法、管理系统和网络侧设备
EP3281434B1 (en) 2015-04-08 2020-02-12 Telefonaktiebolaget LM Ericsson (publ) Method, apparatus, and system for providing encryption or integrity protection in a wireless network
EP3836586A1 (en) * 2015-04-22 2021-06-16 Convida Wireless, LLC Small data usage enablement in 3gpp networks
US10362011B2 (en) 2015-07-12 2019-07-23 Qualcomm Incorporated Network security architecture

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013006219A1 (en) * 2011-07-01 2013-01-10 Intel Corporation Small data communications in a wireless communication network
KR20130037481A (ko) * 2011-10-06 2013-04-16 주식회사 케이티 통신망, 개체 및 트리거링 제어 방법
WO2013065996A1 (ko) * 2011-11-03 2013-05-10 주식회사 케이티 기계 형태 통신 단말의 트리거링을 위한 서버 및 방법

Also Published As

Publication number Publication date
US20220263812A1 (en) 2022-08-18
KR20180030023A (ko) 2018-03-21
US20170012956A1 (en) 2017-01-12
WO2017011114A1 (en) 2017-01-19
JP2021145342A (ja) 2021-09-24
KR102447299B1 (ko) 2022-09-23
JP6882255B2 (ja) 2021-06-02
BR112018000644A2 (pt) 2018-09-18
US20190306141A1 (en) 2019-10-03
CN113329006B (zh) 2023-05-26
TW201703556A (zh) 2017-01-16
EP3320707A1 (en) 2018-05-16
CN107736047B (zh) 2021-06-08
JP7246430B2 (ja) 2023-03-27
CN107736047A (zh) 2018-02-23
US11329969B2 (en) 2022-05-10
US10362011B2 (en) 2019-07-23
US20190306140A1 (en) 2019-10-03
EP3320707B1 (en) 2021-11-17
CN113329006A (zh) 2021-08-31
JP2018528647A (ja) 2018-09-27
EP3905744A1 (en) 2021-11-03

Similar Documents

Publication Publication Date Title
TWI708513B (zh) 網路安全架構
US11172357B2 (en) Network architecture and security with encrypted client device contexts
US11716615B2 (en) Network architecture and security with simplified mobility procedure
TWI726890B (zh) 具有加密的網路可達性上下文的網路架構和安全

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees