TWI726890B - 具有加密的網路可達性上下文的網路架構和安全 - Google Patents
具有加密的網路可達性上下文的網路架構和安全 Download PDFInfo
- Publication number
- TWI726890B TWI726890B TW105118427A TW105118427A TWI726890B TW I726890 B TWI726890 B TW I726890B TW 105118427 A TW105118427 A TW 105118427A TW 105118427 A TW105118427 A TW 105118427A TW I726890 B TWI726890 B TW I726890B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- client device
- context
- encrypted
- message
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/02—Communication route or path selection, e.g. power-based or shortest path routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W68/00—User notification, e.g. alerting and paging, for incoming communication, change of service or the like
- H04W68/005—Transmission of information for alerting of incoming communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/30—Connection release
- H04W76/34—Selective release of ongoing connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/30—Connection release
- H04W76/38—Connection release triggered by timers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在一個態樣,支援數個客戶端設備的網路可以包括建立安全上下文並且產生客戶端設備上下文的網路設備。客戶端設備上下文包括使得網路能夠與客戶端設備進行通訊的網路狀態資訊。網路設備基於客戶端設備上下文來產生一或多個加密的網路可達性上下文,並向網路實體發送一或多個加密的網路可達性上下文。當網路設備從網路實體接收到要發送到客戶端設備的訊息時,該一或多個加密的網路可達性上下文使得網路設備能夠重建針對客戶端設備的上下文。其結果是,網路設備可以減少在網路設備處保持的針對客戶端設備的上下文的量,以便支援更大數量的客戶端設備。
Description
本案內容的各態樣大體而言係關於通訊,並且更特定言之,但不排他地,係關於物聯網路(IoT)網路架構。
電子設備用於收集、處理和交換資料的能力持續增長。另外,越來越多數量的該等電子設備正被提供有網路連接。此種能力和特徵使得許多電子設備進化成物聯網路(IoT)設備。由於該等類型的電子設備的數量持續快速增長,網路可能不具有充分地支援該等電子設備的資源。
客戶端設備上下文可以表示與該客戶端設備相關聯的網路狀態資訊。當客戶端設備處於閒置模式時,網路的行動性管理實體(MME)可以保持針對客戶端設備的上下文,該上下文包括針對該客戶端設備的網路可達性資訊。當客戶端設備處於進化封包系統行動管理(EMM)註冊的狀態下時,可以在MME和服務閘道(S-GW)處保持客戶端設備上下文。
然而,為了支援多個客戶端設備,MME和S-GW可能需要配備大量的儲存,以保持針對可能長時間保持在閒置模式的客戶端設備的上下文。可以理解的是,網路可能需要支援大量(例如,數十億)的客戶端設備,並且由於由網路分配用於IoT目的的資源量(例如,諸如網路功能單元等設備,其不同於正常的客戶端設備)可能是有限的,因此網路功能單元可能無法保持針對可能不經常活動的所有客戶端設備的上下文。
以下呈現了對本案內容的一些態樣的簡要概括,以便提供對該等態樣的基本理解。該概括不是對本案內容的所有預期特徵的詳盡概述,並且既不意欲標識本案內容的所有態樣的關鍵或重要要素亦不意欲圖示本案內容的任意或全部態樣的範圍。其唯一目的是以簡要的形式呈現本案內容的一些態樣的各種概念,作為之後呈現的更為詳細的描述的序言。
在一個態樣,提供了一種用於網路設備的方法。該網路設備進行以下操作:建立針對與客戶端設備的連接的安全上下文,其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰或其組合;產生針對該客戶端設備的上下文,該上下文包括與該客戶端設備相關聯的網路狀態資訊,該網路狀態資訊至少包括該加密演算法、該加密金鑰、該完整性保護演算法、該完整性保護金鑰或其組合;基於該上下文產生一或多個加密的網路可達性上下文;及向網路實體發送該一或多個加密的網路可達性上下文,其中該一或多個加密的網路可達性上下文有助於減少在該網路設備處保持的該上下文的量,並當該網路設備從該網路實體接收到要發送到該客戶端設備的訊息時,使得能夠重建針對該客戶端設備的該上下文。在一個態樣,該網路狀態資訊亦包括使得該網路設備能夠聯絡(reach)該客戶端設備以發送該訊息的資訊。在一個態樣,該網路設備從該網路實體接收要發送至該客戶端設備的控制封包和該一或多個加密的網路可達性上下文;及使用該一或多個加密的網路可達性上下文來重建該上下文。在一個態樣,該網路設備決定用於產生該一或多個加密的網路可達性上下文的金鑰;使用該金鑰來產生第一訊息認證碼;及將該第一訊息認證碼與該一或多個加密的網路可達性上下文中的第二訊息認證碼進行比較,以便驗證該一或多個加密的網路可達性上下文。在一個態樣,該網路設備基於所重建的上下文來傳呼該客戶端設備。在一個態樣,該網路設備從該客戶端設備接收對與網路進行通訊的請求,其中該安全上下文是由於成功的認證和金鑰協商程序而建立的,並且其中該網路實體包括應用伺服器或封包資料網路閘道中的至少一個。在一個態樣,該網路設備藉由加密以下各項中的至少一項來產生該一或多個加密的網路可達性上下文:用於控制資訊的控制平面客戶端設備上下文,或用於下行鏈路封包傳送的使用者平面客戶端設備上下文。在一個態樣,該一或多個加密的網路可達性上下文是基於對該一或多個加密的網路可達性上下文的一或多個相應使用(例如,加密的網路可達性上下文使用資訊)而產生的。在一個態樣,該網路設備使用針對該客戶端設備的該安全上下文來保護控制封包;及發送包括該控制封包的該訊息。在一個態樣,該網路設備藉由基於以下各項中的至少一項保護該控制封包來保護該控制封包:該加密演算法、該加密金鑰、該完整性保護演算法,或該完整性保護金鑰。在一個態樣,該網路設備移除該上下文;從網路實體接收該一或多個加密的網路可達性上下文中的至少一個和資源建立請求;回應於該資源建立請求來獲得針對該客戶端設備的網路位址;及向該客戶端設備和該網路實體發送該網路位址。在一個態樣,該網路設備從該網路實體接收資源釋放請求訊息;及釋放用於該客戶端設備的一或多個資源。在一個態樣,當計時器在從該網路實體至該客戶端設備的傳輸之前或者從該客戶端設備至該網路實體的傳輸之前到期時,該網路設備向封包資料網路閘道發送資源釋放請求訊息,其中該資源釋放請求訊息使得該封包資料網路閘道能夠釋放用於該客戶端設備的一或多個資源。在一個態樣,該網路設備移除該至少一個上下文;從該客戶端設備接收訊息,該訊息包括該一或多個加密的網路可達性上下文中的至少一個,以及與該一或多個加密的網路可達性上下文相關聯的使用資訊;基於該一或多個加密的網路可達性上下文中的至少一個以及該使用資訊來重建上下文的至少一部分。在一個態樣,當該使用資訊指示減少的資料傳輸時,該網路設備在第一閥值時間段內保持上下文的該至少一部分,或當該使用資訊指示短脈衝資料傳輸時,在第二閥值時間段內保持上下文的該至少一部分,該第二閥值時間段大於該第一閥值時間段。在一個態樣,該使用資訊指示對該訊息的傳輸是減少的資料傳輸亦是短脈衝資料傳輸。
在一個態樣,提供了一種網路設備。該網路設備包括以下各項:用於建立針對與客戶端設備的連接的安全上下文的構件,其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰或其組合;用於產生針對該客戶端設備的上下文的構件,該上下文包括與該客戶端設備相關聯的網路狀態資訊,該網路狀態資訊至少包括該加密演算法、該加密金鑰、該完整性保護演算法、該完整性保護金鑰或其組合;用於基於該上下文產生一或多個加密的網路可達性上下文的構件;及用於向網路實體發送該一或多個加密的網路可達性上下文的構件,其中該一或多個加密的網路可達性上下文有助於減少在該網路設備處保持的該上下文的量,並當該網路設備從該網路實體接收到要發送到該客戶端設備的訊息時,使得能夠重建針對該客戶端設備的該上下文。在一個態樣,該網路狀態資訊亦包括使得該網路設備能夠聯絡該客戶端設備以發送該訊息的資訊。在一個態樣,該網路設備包括用於從該網路實體接收要發送至該客戶端設備的控制封包以及該一或多個加密的網路可達性上下文的構件;及用於使用該一或多個加密的網路可達性上下文來重建該上下文的構件。在一個態樣,該網路設備包括用於決定用於產生該加密的網路可達性上下文的金鑰的構件;用於使用該金鑰來產生第一訊息認證碼的構件;及用於將該第一訊息認證碼與該一或多個加密的網路可達性上下文中的第二訊息認證碼進行比較,以便驗證該一或多個加密的網路可達性上下文的構件。在一個態樣,該網路設備包括用於基於所重建的上下文來傳呼該客戶端設備的構件。在一個態樣,該網路設備包括用於從該客戶端設備接收對與網路進行通訊的請求的構件,其中該安全上下文是由於成功的認證和金鑰協商程序而建立的,並且其中該網路實體包括應用伺服器或封包資料網路閘道中的至少一個。在一個態樣,該用於產生該一或多個加密的網路可達性上下文的構件被配置為加密以下各項中的至少一項:控制平面客戶端設備上下文,或用於下行鏈路封包傳送的使用者平面客戶端設備上下文。在一個態樣,該網路設備包括用於使用針對該客戶端設備的該安全上下文來保護控制封包的構件;及用於發送包括該控制封包的該訊息的構件。在一個態樣,該用於保護該控制封包的構件被配置為基於以下各項中的至少一項來保護該控制封包:該加密演算法、該加密金鑰、該完整性保護演算法,或該完整性保護金鑰。在一個態樣,該網路設備包括:用於移除該上下文的構件;用於從網路實體接收該一或多個加密的網路可達性上下文中的至少一個和資源建立請求的構件;用於回應於該資源建立請求來獲得針對該客戶端設備的網路位址的構件;及用於向該客戶端設備和該網路實體發送該網路位址的構件。在一個態樣,該網路設備包括:用於從該網路實體接收資源釋放請求訊息的構件;及用於釋放用於該客戶端設備的一或多個資源的構件。在一個態樣,該網路設備包括用於當計時器在從該網路實體至該客戶端設備的傳輸之前或者從該客戶端設備至該網路實體的傳輸之前到期時,向封包資料網路閘道發送資源釋放請求訊息的構件,其中該資源釋放請求訊息使得該封包資料網路閘道能夠釋放用於該客戶端設備的一或多個資源。在一個態樣,該網路設備包括:用於移除該至少一個上下文的構件;用於從該客戶端設備接收訊息的構件,該訊息包括該一或多個加密的網路可達性上下文中的至少一個以及與該一或多個加密的網路可達性上下文相關聯的使用資訊;用於基於該一或多個加密的網路可達性上下文中的至少一個以及該使用資訊來重建上下文的至少一部分的構件。在一個態樣,該網路設備包括用於當該使用資訊指示減少的資料傳輸時,在第一閥值時間段內保持上下文的該至少一部分,或當該使用資訊指示短脈衝資料傳輸時,在第二閥值時間段內保持上下文的該至少一部分的構件,該第二閥值時間段大於該第一閥值時間段。在一個態樣,該使用資訊指示對該訊息的傳輸是減少的資料傳輸還是短脈衝資料傳輸。
在一個態樣,提供了一種用於網路設備的方法。該網路設備從網路實體接收要發送到客戶端設備的資料封包以及與該客戶端設備相關聯的一或多個加密的網路可達性上下文;獲得針對該加密的網路可達性上下文的金鑰;使用該金鑰來解密該一或多個加密的網路可達性上下文,以獲得包括在該一或多個加密的網路可達性上下文中的網路狀態資訊,該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰,或其組合;基於以下各項中的至少一個來保護該資料封包:該加密演算法、該加密金鑰、該完整性保護演算法、該完整性保護金鑰,或其組合;及向該客戶端設備發送包括該資料封包的訊息。在一個態樣,該網路設備基於包括在該加密的網路可達性上下文中的該網路狀態資訊,來重建針對該客戶端設備的上下文。在一個態樣,該網路狀態資訊亦包括使得該網路設備能夠聯絡該客戶端設備以發送該訊息的資訊。在一個態樣,該網路設備使用該金鑰來產生第一訊息認證碼;及將該第一訊息認證碼與該一或多個加密的網路可達性上下文中的第二訊息認證碼進行比較,以便驗證該加密的網路可達性上下文。
在一個態樣,提供了一種網路設備。該網路設備包括:用於從網路實體接收要發送到客戶端設備的資料封包以及與該客戶端設備相關聯的一或多個加密的網路可達性上下文的構件;用於獲得針對該一或多個加密的網路可達性上下文的金鑰的構件;用於使用該金鑰來解密該一或多個加密的網路可達性上下文,以獲得包括在該一或多個加密的網路可達性上下文中的網路狀態資訊的構件,該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰,或其組合;用於基於以下各項中的至少一個來保護該資料封包的構件:該加密演算法、該加密金鑰、該完整性保護演算法、該完整性保護金鑰,或其組合;及用於向該客戶端設備發送包括該資料封包的訊息的構件。在一個態樣,該網路設備包括用於基於包括在該加密的網路可達性上下文中的該網路狀態資訊,來重建針對該客戶端設備的上下文的構件。在一個態樣,該網路狀態資訊亦包括使得該網路設備能夠聯絡該客戶端設備以發送該訊息的資訊。在一個態樣,該網路設備包括:用於使用該金鑰來產生第一訊息認證碼的構件;及用於將該第一訊息認證碼與該一或多個加密的網路可達性上下文中的第二訊息認證碼進行比較,以便驗證該一或多個加密的網路可達性上下文的構件。
在一個態樣,提供了一種用於網路實體的方法。該網路實體從網路設備接收針對客戶端設備的一或多個加密的網路可達性上下文;產生要傳遞給該客戶端設備的訊息,該訊息包括該一或多個加密的網路可達性上下文;及向該客戶端設備發送包括該一或多個加密的網路可達性上下文的該訊息,其中該一或多個加密的網路可達性上下文包括使得該網路實體能夠聯絡該客戶端設備的網路狀態資訊。在一個態樣,該網路實體是封包資料網路閘道。在此種態樣,網路實體儲存該一或多個加密的網路可達性上下文;將該一或多個加密的網路可達性上下文與該客戶端設備相關聯;接收要發送到該客戶端設備的封包,其中該封包包括在所產生的訊息中;及決定與該客戶端設備相對應的該一或多個加密的網路可達性上下文。在一個態樣,該一或多個加密的網路可達性上下文有助於減少在該網路實體處保持的上下文的量以及使得能夠重建針對該客戶端設備的上下文。在一個態樣,該網路實體至少包括封包資料網路閘道或伺服器。
在一個態樣,提供了一種網路實體。該網路實體包括:用於從網路設備接收針對客戶端設備的一或多個加密的網路可達性上下文的構件;用於產生要傳遞給該客戶端設備的訊息的構件,該訊息包括該一或多個加密的網路可達性上下文;及用於向該客戶端設備發送包括該一或多個加密的網路可達性上下文的該訊息的構件,其中該一或多個加密的網路可達性上下文包括使得該網路實體能夠聯絡該客戶端設備的網路狀態資訊。在一個態樣,該網路實體是封包資料網路閘道。在此種態樣,網路實體包括:用於儲存該一或多個加密的網路可達性上下文的構件;用於將該一或多個加密的網路可達性上下文與該客戶端設備相關聯的構件;用於接收要發送到該客戶端設備的封包的構件,其中該封包包括在所產生的訊息中;用於決定與該客戶端設備相對應的該一或多個加密的網路可達性上下文的構件。在一個態樣,該一或多個加密的網路可達性上下文有助於減少在該網路實體處保持的上下文的量以及使得能夠重建針對該客戶端設備的上下文。在一個態樣,該網路實體至少包括封包資料網路閘道或伺服器。
在一個態樣,提供了一種用於第一網路設備的方法。該第一網路設備進行以下操作:從客戶端設備接收控制封包;從第二網路設備請求針對該客戶端設備的上下文;從該第二網路設備接收針對該客戶端設備的該上下文;基於該上下文,產生一或多個加密的網路可達性上下文;及向網路實體發送該一或多個加密的網路可達性上下文。在一個態樣,該第一網路設備向該客戶端設備發送與該第一網路設備相關聯的全球唯一臨時辨識符。在一個態樣,該一或多個加密的網路可達性上下文包括使得該網路實體能夠聯絡該客戶端設備的網路狀態資訊。在一個態樣,該網路實體是伺服器。在一個態樣,該第一網路設備與相對於該客戶端設備而言新的服務區域相關聯,其中該第二網路設備與相對於該客戶端設備而言舊的服務區域相關聯,並且其中該控制封包包括服務區域更新請求。
在一個態樣,提供了一種第一網路設備。該第一網路設備包括:用於從客戶端設備接收控制封包的構件;用於從第二網路設備請求針對該客戶端設備的上下文的構件;用於從該第二網路設備接收針對該客戶端設備的該上下文的構件;用於基於該上下文,產生一或多個加密的網路可達性上下文的構件;及用於向網路實體發送該一或多個加密的網路可達性上下文的構件。在一個態樣,該第一網路設備包括用於向該客戶端設備發送與該第一網路設備相關聯的全球唯一臨時辨識符的構件。在一個態樣,該一或多個加密的網路可達性上下文包括使得該網路實體能夠聯絡該客戶端設備的網路狀態資訊。在一個態樣,該網路實體是伺服器。在一個態樣,該第一網路設備與相對於該客戶端設備而言新的服務區域相關聯,其中該第二網路設備與相對於該客戶端設備而言舊的服務區域相關聯,並且其中該控制封包包括服務區域更新請求。
在查閱了以下詳細描述時,將更充分地理解本案內容的該等和其他態樣。在連同附圖查閱了以下對本案內容的特定實施的描述時,本案內容的其他態樣、特徵和實施對本領域一般技藝人士而言將變得顯而易見。儘管本案內容的特徵可能是相對於以下某些實施和附圖來論述的,但是本案內容的所有實施可以包括本文所論述的有利特徵中的一或多個。換言之,儘管一或多個實施可能被論述為具有某些有利特徵,但是亦可以根據在本文論述的本案內容的各種實施來使用一或多個此種特徵。以類似的方式,儘管某些實施在以下可能被論述為設備、系統或方法實施方式,應當理解的是,可以以各種設備、系統和方法來實施此種實施方式。
下文結合附圖所闡述的詳細描述意欲作為對各種配置的描述,而不意欲表示可以實踐本文描述的概念的唯一配置。出於提供對各種概念的透徹理解的目的,詳細描述包括特定細節。然而,對於本領域技藝人士將顯而易見的是,可以在不具有該等特定細節的情況下實踐該等概念。在一些實例中,以方塊圖的形式示出公知的結構和部件,以避免模糊該等概念。
由於在網路節點處管理和儲存針對客戶端設備的上下文,因而長期進化(LTE)行動性管理和通信期管理招致了太多的管理負擔而無法為潛在的數十億客戶端設備(亦被稱為物聯網路(IoT)設備)進行縮放。
當客戶端設備從閒置模式轉換到連接模式時,網路可能會招致訊號傳遞管理負擔。例如,客戶端設備可以建立與網路存取節點(例如,進化型節點B(eNB)、基地台或網路存取點)的連接,並且該網路存取節點可以產生針對該客戶端設備的網路狀態資訊(亦稱為「上下文」或「客戶端設備上下文」)。
對於客戶端設備終止的訊務(例如,來自去往該客戶端設備的網路的下行鏈路(DL)資料),可以在該網路處保持客戶端設備上下文,並且可以允許網路聯絡該客戶端設備。例如,若客戶端設備處於連接模式,則客戶端設備上下文可以允許網路的閘道(例如,服務閘道)將DL資料用通道傳至細胞(例如,客戶端設備所連接到的細胞),以將DL資料傳送到客戶端設備。作為另一實例,當客戶端設備處於閒置模式時,網路的行動性管理實體(MME)可以保持針對客戶端設備的上下文,該上下文包括針對該客戶端設備的網路可達性資訊。因此,MME可以使用該客戶端設備上下文來決定在何處(及/或何時)聯絡(例如,傳呼)該客戶端設備,以便向客戶端設備指示來自網路的DL資料是可用的並且觸發服務請求。作為另一實例,當客戶端設備處於進化封包系統行動性管理(EMM)註冊的狀態時,可以在MME和服務閘道(S-GW)處保持客戶端設備上下文。
本文所揭示的各態樣包括針對客戶端設備的IoT網路架構,從上層的角度來看,其用於實現超低的客戶端設備功耗、每細胞大量的客戶端設備,及/或小的頻譜。引入了私人網路功能單元,使得能夠獨立部署和移除可擴展性/網路互通(inter-working)要求。在IoT網路功能單元(亦被稱為IoT功能單元(IoTF))中錨定(anchor)了安全性。根據各個態樣,該架構可以允許針對去往或來自客戶端設備的資料傳送,不在網路存取節點(例如,eNB、基地台、網路存取點)處保持安全上下文。例如,客戶端設備可以被配置為與網路(如LTE網路)進行通訊,而上下文可以表示與客戶端設備相關聯的網路狀態資訊。客戶端設備可以例如是蜂巢式電話(例如,智慧型電話)、個人電腦(例如,膝上型電腦)、遊戲設備、汽車、電器,或者被配置為與網路通訊的任何其他適當的設備。在一些態樣,客戶端設備可以被稱為使用者設備(UE)或存取終端(AT)。在一些態樣,如本文提及的客戶端設備可以是行動設備或靜態設備。
為了避免影響客戶端設備的正常的封包資料網路(PDN)連接/訊務,專用核心網路資源被分配用於較小的資料傳送。該網路可以分配專用實體(PHY)層資源用於存取控制,以亦限制小的資料訊務。客戶端設備上下文可以用於小的資料傳送,以在客戶端設備處於閒置狀態時消除IoTF處的、客戶端設備的半永久上下文。為了實現用於客戶端設備的高效資料傳輸,所揭示的網路架構可以包括在網路設備處實施的IoTF。此種IoTF可以包括控制平面IoTF(IoTF-C)和使用者平面IoTF(IoTF-U)。在本案內容的一個態樣,IoTF-C可以具有類似於行動性管理實體(MME)的功能。在本案內容的一個態樣,IoTF-U可以是用於使用者平面資料訊務的行動性和安全性錨。在本案內容的一個態樣,IoTF-U可以具有類似於服務閘道(S-GW)及/或網路存取節點(例如,進化型節點B(eNB)、基地台,或網路存取點)的功能。
為了允許網路功能單元(例如,IoTF-C、IoTF-U)最佳化客戶端設備的資源使用,所揭示的IoT網路架構的各個態樣可以實施以下設計協定:其中在封包(例如,IP封包)中攜帶針對客戶端設備的上下文,並且IoTF(例如,包括IoTF-C和IoTF-U的IoTF)適時地建立針對客戶端設備的上下文。此使得網路功能單元能夠保持最少量的(minimal to no)針對客戶端設備的網路狀態資訊以及最少量的訊號傳遞管理負擔。但是應當理解,所揭示的IoT網路架構和其中包括的功能單元可以用於任何類型的小的資料傳送。例如,客戶端設備(例如,智慧型電話)可以具有標稱模式,在該標稱模式中,其建立連接並傳送資料,但其仍使用如本文中所揭示的程序來使用客戶端設備上下文傳送資料。IoT 網路架構
圖1是根據本案內容的各個態樣,IoT網路架構100的方塊圖。如圖1所示,IoT網路架構100包括客戶端設備102(亦稱為IoT設備)、網路存取節點104、網路設備105、服務網路110和歸屬用戶伺服器(HSS)/認證、授權和計費(AAA)伺服器112。在一個態樣,網路存取節點104可以是eNB、基地台,或網路存取點。
在一個態樣,網路設備105可以包括被配置為實施IoTF的一或多個處理電路及/或其他適當硬體。在本案內容的一個態樣,IoTF可以包括控制平面IoT功能單元(IoTF-C)106和使用者平面IoT功能單元(IoTF-U)108。例如,IoTF-C 106可以在第一網路節點107處實施而IoTF-U 108可以在第二網路節點109處實施。根據本文所揭示的各個態樣,術語「節點」可以代表實體,例如包括在網路設備105中的處理電路、設備、伺服器或網路實體。因此,例如,網路節點可以例如被稱為網路節點設備。
在一個態樣,IoTF-C 106和IoTF-U 108可以在同一個硬體平臺(例如,處理電路以及其他相關聯的硬體部件,例如記憶體)上實施。在此種態樣中,例如,IoTF-C 106可以在硬體平臺(例如,網路設備105)上提供的第一虛擬機器(例如,第一作業系統)處實施,而IoTF-U 108可以在硬體平臺上提供的第二虛擬機器(例如,第二作業系統)處實施。
如圖1所示,IoTF-C 106經由第一S1連接116與網路存取節點104通訊,而IoTF-U 108經由第二S1連接114與網路存取節點104通訊。在一個態樣,服務網路110可以包括被配置為提供各種類型的服務的數個實體、功能單元、閘道及/或伺服器。例如,服務網路110可以包括簡訊實體(SME)118、機器類型通訊互通功能單元(MTC-IWF)120、IoT伺服器122,及/或封包資料網路(PDN)閘道(P-GW)124。應當理解的是,在圖1中揭示的服務網路110用作一個實例,而在其他態樣中,服務網路110可以包括與圖1中揭示的彼等不同類型的實體、功能單元及/或伺服器。
在本案內容的一個態樣,在網路設備105處實施的IoTF可以提供控制平面和使用者平面功能。在本案內容的一個態樣,IoTF-C 106處理針對客戶端設備的控制平面訊號傳遞(例如,攜帶控制資訊的封包,此處稱為「控制封包」)。例如,IoTF-C 106可以為客戶端設備執行行動性和通信期管理,執行與客戶端設備的認證和金鑰協商(亦稱為AKA程序),及/或可以建立針對客戶端設備的安全上下文。在本案內容的一個態樣,IoTF-C 106可以推導出針對與客戶端設備102相關聯的控制平面訊務的控制平面(CP)金鑰126、針對與客戶端設備102相關聯的使用者平面訊務的使用者平面(UP)金鑰128,及/或用於產生針對客戶端設備102的加密的網路可達性上下文的上下文金鑰130。在本案內容的一個態樣,IoTF-C 106可以向IoTF-U 108提供使用者平面金鑰128及/或上下文金鑰130中的至少一個。因此,在一些態樣,IoTF-U 108可以包括由IoTF-C 106提供的使用者平面金鑰128及/或上下文金鑰131。
在本案內容的一個態樣,IoTF-U 108可以處理針對客戶端設備的使用者平面訊務。例如,IoTF-U 108可以推導出加密金鑰和完整性金鑰(例如,使用UP金鑰128,針對關聯資料的認證加密(AEAD)密碼)、建立動態的(on-the-fly)客戶端設備上下文(亦被稱為IoT設備上下文)、認證和解密由客戶端設備發送的上行鏈路封包並向PDN或P-GW(例如,P-GW 124)轉發該上行鏈路封包、加密和認證針對連接的客戶端設備的下行鏈路(DL)封包並向下一躍點網路存取節點(例如,eNB)轉發該下行鏈路封包,及/或在傳呼期間緩存針對閒置的客戶端設備的下行鏈路封包。在本案內容的一個態樣,IoTF-U 108可以被認為是用於資料訊務的行動性和安全性錨。用於 IoT 網路的示例性金鑰層
圖2是根據本案內容的各態樣,圖示用於IoT網路架構(例如,IoT網路架構100)的金鑰層200的示圖。在圖2中,金鑰KIoT
202可以是永久儲存在客戶端設備(例如,客戶端設備102)的通用行動電信系統(UMTS)用戶標識模組(USIM)和網路的認證中心(AuC))的秘密金鑰。完整性金鑰(IK)和加密金鑰(CK)(在圖2中圖示為IK、CK 204)是在AKA程序期間在AuC和USIM中匯出的一對金鑰。參考圖1,在AKA程序期間,IoTF-C 106可以從HSS/AAA伺服器112接收包含來自存取安全管理實體(ASME)的金鑰(在圖2中圖示為金鑰KASME
206)的認證向量(AV)。IoTF-C 106可以根據金鑰KASME
206來推導出控制平面金鑰(KCP
)208和使用者平面金鑰(KUP
)214。IoTF-C 106可以向IoTF-U 108提供金鑰KUP
214。IoTF-C 106可以根據金鑰KCP
208推導出加密金鑰KIoT-CPenc
210和完整性保護金鑰KIoT-CPint
212。IoTF-U 108可以根據金鑰KUP
214推導出加密金鑰KIoT-UPenc
216和完整性保護金鑰KIoT-UPint
218。
圖3是根據本案內容的各態樣,圖示用於在IoT網路架構(例如,IoT網路架構100)中加密上下文的金鑰層300的示圖。在本案內容的一個態樣,參考圖1,IoTF-C 106可以基於上下文金鑰KNRC-IoTF
302來隨機產生針對控制平面的網路可達性上下文(NRC)加密金鑰(KNRC-IoTF-C
)304。IoTF-C 106亦可以基於上下文金鑰KNRC-IoTF
302來隨機產生針對使用者平面的網路可達性上下文(NRC)加密金鑰(KNRC-IoTF-U
)306。例如,可以針對應用服務或P-GW(例如,P-GW 124)來產生金鑰KNRC-IoTF-C
304和金鑰KNRC-IoTF-U
306。客戶端設備的示例性網路狀態
在無線通訊系統(例如LTE網路)中,針對行動性管理(例如,進化封包系統行動性管理(EMM)),定義針對客戶端設備的網路狀態。此種網路狀態使得在客戶端設備與網路中的其他實體之間能夠高效通訊。在本案內容的一個態樣,客戶端設備(例如,圖1中的客戶端設備102)可能處於登出(deregistered)狀態或註冊狀態。例如,當客戶端設備處於登出狀態時,針對客戶端設備的上下文可以儲存在HSS中。網路未持有針對該客戶端設備的有效位置或路由資訊,並且客戶端設備是不可達的。作為另一實例,客戶端設備可以藉由與網路的成功註冊而進入註冊狀態。在本案內容的一個態樣,客戶端設備可以藉由執行與網路的附著程序來執行此種註冊。在註冊狀態中,客戶端設備具有至少一個活動的PDN連接。客戶端設備亦已經建立了EPS安全上下文。應當指出的是,登出狀態和註冊狀態假定客戶端設備具有針對網路的憑證(例如,在HSS中存在可用的訂閱)。
在本案內容的一個態樣,針對客戶端設備的網路狀態資訊(例如,上下文)可以由一或多個網路實體(例如,P-GW 124)用以聯絡該客戶端設備(例如,客戶端設備102),以便向客戶端設備傳送下行鏈路(DL)資料訊務。針對客戶端設備的此種網路狀態資訊可以被稱為網路可達性上下文。在本案內容的一個態樣,以及如下詳細描述的,網路狀態資訊可以包括由網路用於與客戶端設備進行通訊的各種類型的資訊,例如客戶端設備辨識符、安全資訊,及/或下一躍點(S5/S8)的配置資訊。例如,當客戶端設備與網路之間建立了連接時,網路(例如,IoTF-C 106)可以產生或決定網路狀態資訊。
無線通訊網路(例如,LTE網路)亦可以包括針對進化封包系統連接管理(ECM),為客戶端設備定義的網路狀態。因此,處於註冊狀態的客戶端設備(例如,圖1中的客戶端設備102)可以處於兩個狀態中的一個(亦被稱為註冊狀態的子狀態),其例如閒置狀態或連接狀態。在閒置狀態中,客戶端設備與其他網路實體之間不存在非存取層(NAS)訊號傳遞連接。在閒置狀態中,客戶端設備可以執行細胞選擇/重選擇和公共陸地行動網路(PLMN)選擇。當客戶端設備處於閒置狀態時,在無線電存取網路(RAN)(例如,網路存取節點)中可能不存在針對客戶端設備的上下文。另外,對於處於閒置狀態的客戶端設備而言,可能不具有S1-MME和S1-U連接。在連接狀態中,利用服務存取網路辨識符(例如,eNB辨識符(ID)、基地台ID,或網路存取點ID)的準確度,客戶端設備的位置在MME中是已知的。客戶端設備的行動性由交遞程序來處理。另外,在客戶端設備與MME之間存在訊號傳遞連接。訊號傳遞連接可以由兩部分所組成:無線電資源控制(RRC)連接和S1-MME連接。
圖4是圖示在網路400中的各個網路實體處保持的、客戶端設備的示例性網路狀態的示圖。如圖4中所示,網路400包括客戶端設備402、網路存取節點404和進化封包核心(EPC)。如圖4中進一步圖示的,EPC 406包括歸屬用戶伺服器(HSS)412、行動性管理實體(MME)408和封包資料網路閘道(P-GW)/服務閘道(S-GW)410。在本案內容的一個態樣,網路400可以是4G網路。在其他態樣中,網路400可以是3G網路、LTE網路、5G網路,或其他適當的網路。
例如,參考圖4,當客戶端設備402處於連接狀態時,網路存取節點404可以保持針對客戶端設備402的上下文414(亦被稱為網路狀態資訊)。當客戶端設備402處於連接狀態時,MME 408可以保持針對客戶端設備402的上下文416,且當客戶端設備402處於閒置狀態時,可以保持針對客戶端設備402的上下文418。當客戶端設備402處於連接狀態時,P-GW/S-GW 410可以保持針對客戶端設備402的上下文426,且當客戶端設備402處於閒置狀態時,可以保持針對客戶端設備402的上下文428。當客戶端設備402處於連接狀態時,HSS 412可以保持針對客戶端設備402的上下文420,當客戶端設備402處於閒置狀態時,可以保持針對客戶端設備402的上下文422,而當客戶端設備402處於登出狀態時,可以保持針對客戶端設備402的上下文424。在本案內容的一個態樣,若網路400被實施為3G網路,則當客戶端設備402處於閒置狀態時,P-GW/S-GW 410可以不保持針對客戶端設備402的上下文。加密的網路可達性上下文
可以加密針對客戶端設備的網路可達性上下文,以產生用於下行鏈路(DL)傳輸的加密的網路可達性上下文。在一些態樣,並且如本文所描述的,可以產生一或多個加密的網路可達性上下文。當客戶端設備變為閒置時,加密的網路可達性上下文使得IoTF(例如,IoTF-C 106、IoTF-U 108)移除客戶端設備上下文。例如,參考圖1,可以將加密的網路可達性上下文提供給期望與客戶端設備102進行通訊的IoT伺服器122或P-GW 124。因此,在該實例中,網路100並不需要保持網路狀態資訊或可以減少為客戶端設備102保持的網路狀態資訊的量。當IoT伺服器122或P-GW 124向客戶端設備102發送下行鏈路(DL)資料封包時,其可以提供加密的網路可達性上下文,以允許網路100中的一或多個節點或實體來重建該網路可達性上下文。
加密的網路可達性上下文可以包括以下特徵中的一或多個。在本案內容的一個態樣,加密的網路可達性上下文可以藉由包括以下各項來提供行動性特徵:用於獲取客戶端設備102的網路側網路狀態資訊的辨識符;追蹤區域ID(TAI)列表或其均等物,以決定在何處傳呼客戶端設備102;及時序資訊(例如,以決定何時傳呼客戶端設備102)。在本案內容的一個態樣,加密的網路可達性上下文可以啟用上下文重定位程序(例如,追蹤區域更新(TAU)),以及可選地獲得新的加密的網路可達性上下文和ID。在本案內容的一個態樣,加密的網路可達性上下文可以包括不僅僅是(extending beyond)安全的資訊,並且可以指示如何管理安全上下文。
在本案內容的一個態樣,IoTF-C 106向服務網路110中的一或多個實體(例如,IoT伺服器122或P-GW 124)提供資訊(例如,TAI列表)。隨後,服務網路110中的此種一或多個實體可以向IoT網路架構100中的其他實體發送加密的網路可達性上下文,以重新建立針對客戶端設備102的上下文。可以針對網路發起的訊務來實施加密的網路可達性上下文。然而,在涉及客戶端設備發起的訊務或網路發起的訊務的某些態樣,網路設備105可以保持極少量的針對客戶端設備102的網路狀態資訊。在本案內容的一個態樣,就至少TAI列表而言,IoTF-C 106可以提供客戶端設備102的位置,該TAI列表可以是加密的網路可達性上下文的一部分。初始附著程序
圖5是根據本案內容的各態樣,圖示由IoT網路架構500中的客戶端設備進行的初始附著程序的方塊圖。在一些態樣,如本文描述的附著程序亦被稱為網路附著程序或註冊程序。如圖5所示,IoT網路架構500包括客戶端設備502(亦稱為IoT設備)、網路存取節點504(例如,eNB、基地台、網路存取點)、網路設備505、服務網路510和歸屬用戶伺服器(HSS)/認證、授權和計費(AAA)伺服器512。在一個態樣,網路設備505可以包括被配置為實施IoTF的一或多個處理電路及/或其他適當的硬體。例如,IoTF可以包括控制平面IoT功能單元(IoTF-C)506和使用者平面IoT功能單元(IoTF-U)508。在此種態樣中,IoTF-C 506可以在網路節點507處實施,而IoTF-U 508可以在網路節點509處實施。在一個態樣,IoTF-C 506和IoTF-U 508可以在同一個硬體平臺處實施,使得IoTF-C 506和IoTF-U 508各自代表架構500中的獨立的節點。在此種態樣,例如,IoTF-C 506可以在硬體平臺(例如,網路設備505)上提供的第一虛擬機器(例如,第一作業系統)處實施,而IoTF-U 508可以在硬體平臺上提供的第二虛擬機器(例如,第二作業系統)處實施。
如圖5所示,IoTF-C 506經由第一S1連接516與網路存取節點504通訊,而IoTF-U 508經由第二S1連接514與網路存取節點504通訊。在本案內容的一個態樣,服務網路510可以包括被配置為提供各種類型的服務的數個實體、功能單元、閘道及/或伺服器。例如,服務網路510可以包括簡訊實體(SME)518、機器類型通訊互通功能單元(MTC-IWF)520、IoT伺服器522,及/或封包資料網路(PDN)閘道(P-GW)524。應當理解的是,圖5中揭示的服務網路510用作一個實例,並且在其他態樣中,服務網路510可以包括與圖5中揭示的彼等不同類型的實體、功能單元,及/或伺服器。
如圖5所示,客戶端設備502可以向網路發送附著請求532,其可以由網路存取節點504接收。在本案內容的一個態樣,附著請求532可以指示客戶端設備502是作為IoT設備來附著的(例如,或指示對執行小的(減少的)資料傳送的請求,或指示該客戶端設備以低功耗模式操作),並且可以指示應當從其獲取認證資訊的歸屬域(例如,HPLMN ID或全合格領域名稱(FQDN))。網路存取節點504可以向其所屬於的IoTF-C 506轉發該請求。
IoTF-C 506可以根據由客戶端設備502提供的歸屬域資訊來決定HSS/AAA伺服器512的位址,並且可以向HSS/AAA伺服器512發送對客戶端設備502的認證資訊的請求534。IoTF-C 506可以從HSS/AAA伺服器512接收認證資訊535。
IoTF-C 506可以執行與客戶端設備502的相互認證(例如,AKA程序)。在AKA程序期間,IoTF-C 506可以經由認證資訊535接收來自HSS/AAA伺服器512的AV。例如,該AV可以包含來自存取安全管理實體(ASME)的金鑰(在圖2中圖示為金鑰KASME
206)。例如,IoTF-C 506可以經由信號536向客戶端設備502提供金鑰KASME
206。當AKA程序完成時,IoTF-C 506和客戶端設備502可以根據金鑰KASME
206或根據金鑰KIoT
202來推導CP金鑰526,其例如金鑰KCP
208、金鑰KIoT-CPenc
210及/或金鑰KIoT-CPint
212,以及可以推導UP金鑰528,其例如金鑰KUP
214、金鑰KIoT-UPenc
216及/或金鑰KIoT-UPint
218。在一些態樣,IOTF-C 506可以經由訊息538向IOTF-U 508傳送金鑰KUP
214以及使用者平面加密和完整性保護金鑰(其例如金鑰KIoT-UPenc
216和金鑰KIoT-UPint
218)。
在本案內容的一個態樣,IoTF-C 506可以藉由使用上下文金鑰530來加密網路可達性上下文,來產生用於向客戶端設備502發送下行鏈路(DL)訊務的一或多個加密的網路可達性上下文。隨後,IoTF-C 506可以向IoT伺服器522或P-GW 524發送一或多個加密的網路可達性上下文。在本文中詳細論述了用於產生一或多個加密的網路可達性上下文的示例性方法。IoTF-C 506可以經由訊息538向IoTF-U 508發送金鑰KUP
214、使用者平面加密和完整性保護金鑰(例如,金鑰KIoT-UPenc
216和金鑰KIoT-UPint
218)以及針對使用者平面的網路可達性上下文(NRC)加密金鑰(例如,金鑰KNRC-IoTF-U
306)。因此,在一些態樣,IoTF-U 508可以包括由IoTF-C 506提供的上下文金鑰531(例如,金鑰KNRC-IoTF-U
306)。
圖6是根據本案內容的各態樣,在IoT網路架構(例如,IoT網路架構100、500)中由客戶端設備進行的示例性附著程序的信號流程圖600。如圖6所示,信號流程圖600包括客戶端設備602(亦稱為IoT設備)604、網路存取節點(例如,eNB、基地台,或網路存取點)、在網路節點605處實施的IoTF-C 606、在網路節點607處實施的IoTF-U 608、服務網路609、以及歸屬用戶伺服器(HSS)610。如圖6中所示,客戶端設備602可以向網路存取節點604發送請求612(例如,RRC連接請求)以便與網路進行通訊。客戶端設備602可以接收RRC連接建立訊息614,其可以包括訊號傳遞無線電承載(SRB)配置(例如,用於在專用控制通道(DCCH)上發送NAS訊息的SRB1配置)。客戶端設備602可以向網路存取節點604發送RRC連接建立完成訊息616。例如,RRC連接建立完成訊息616可以指示附著請求。網路存取節點604可以向IoTF-C 606發送初始客戶端設備訊息618。IoTF-C 606可以根據由客戶端設備602提供的歸屬域資訊來決定HSS伺服器610的位址,並且可以與HSS 610進行通訊621。例如,IoTF-C 606可以向HSS伺服器610發送對客戶端設備602的認證資訊的請求,並且可以從HSS伺服器610接收該認證資訊。
如圖6所示,IoTF-C 606可以與客戶端設備602執行相互認證,如AKA程序620。當AKA程序620完成時,IoTF-C 606和客戶端設備602可以根據金鑰KASME
206或根據金鑰KIoT
202來匯出控制平面金鑰,例如金鑰KIoT-CPenc
210及/或金鑰KIoT-CPint
212。IoTF-C 606和客戶端設備602亦可以根據金鑰KASME
206或根據金鑰KIoT
202來匯出使用者平面金鑰,如金鑰KIoT-UPenc
216及/或金鑰KIoT-UPint
218。在本案內容的一個態樣,IoTF-C 606可以經由使用金鑰KNRC-IoTF-C
304加密針對客戶端設備602的控制平面(CP)上下文,來產生控制平面(CP)加密的網路可達性上下文,及/或可以經由使用金鑰KNRC-IoTF-U
306加密針對客戶端設備602的使用者平面(UP)上下文,來產生針對客戶端設備602的使用者平面(UP)加密的網路可達性上下文。IoTF-C 606可以經由訊息622向IoTF-U 608傳送一或多個金鑰(例如,使用者平面金鑰,其例如金鑰KIoT-UPenc
216、金鑰KIoT-UPint
218及/或金鑰KNRC-IoTF-U
306。在本案內容的一個態樣,僅IoTF-U知曉加密金鑰(例如,金鑰KNRC-IoTF-U
306)(例如,網路可達性上下文可以專由IoTF-C 606及/或IoTF-U 608獲取)。在本案內容的一個態樣,IoTF(例如,IoTF-C 606)可以向服務網路609中的IoT伺服器或P-GW分配加密的網路可達性上下文。IoTF-C 606可以向客戶端設備602發送初始上下文建立請求訊息623。在本案內容的一個態樣,IoTF-C 606可以向網路實體發送包括加密的網路可達性上下文的訊息624。因此,在一個實例中,IoTF-C 606可以向服務網路609發送包括加密的網路可達性上下文(例如,CP加密的網路可達性上下文及/或UP加密的網路可達性上下文)的訊息624。因此,該加密的網路可達性上下文可以包括與網路設備處實施的IoTF-C 606及/或IoTF-U 608相關聯的客戶端設備上下文(例如,網路狀態資訊),其中此種客戶端設備上下文可以用於從網路(例如,從服務網路609中的實體)到客戶端設備602的下行鏈路(DL)資料傳輸。
網路存取節點604可以向客戶端設備602發送RRC連接重配置訊息626。客戶端設備602可以向網路存取節點604發送RRC連接重配置完成訊息628。客戶端設備602可以向網路存取節點604發送包括資料封包(例如,UL資料封包)的第一訊息630。網路存取節點604可以經由第二訊息632向服務網路609轉發該資料封包。服務網路609可以向客戶端設備602發送包括資料封包(例如,DL資料封包)的第三訊息634。例如,並且如圖6所示,第三訊息634可以由IoTF-U 608和網路存取節點604轉發至客戶端設備602。隨後,客戶端設備602可以轉換636到閒置模式。網路存取節點604、IoTF-C 606和IoTF-U 608可以繼續移除638客戶端設備上下文。IoT UL 資料傳送
圖7是根據本案內容的各態樣,圖示由IoT網路架構700中的客戶端設備(例如,客戶端設備702)發起的資料傳輸的方塊圖。如圖7所示,IoT網路架構700包括客戶端設備702(亦稱為IoT設備)、網路存取節點704(例如,eNB、基地台、網路存取點)、網路設備705、服務網路710和歸屬用戶伺服器(HSS)/認證、授權和計費(AAA)伺服器712。在一個態樣,網路設備705可以包括被配置為實施IoTF的一或多個處理電路及/或其他適當的硬體。例如,IoTF可以包括控制平面IoT功能單元(IoTF-C)706和使用者平面IoT功能單元(IoTF-U)708。在此種態樣中,IoTF-C 706可以在網路節點707處實施,而IoTF-U 708可以在網路節點709處實施。在一個態樣,IoTF-C 706和IoTF-U 708可以在同一個硬體平臺處實施,使得IoTF-C 706和IoTF-U 708各自代表架構700中的獨立的節點。在此種態樣,例如,IoTF-C 706可以在硬體平臺(例如,網路設備705)上提供的第一虛擬機器(例如,第一作業系統)處實施,而IoTF-U 708可以在硬體平臺上提供的第二虛擬機器(例如,第二作業系統)處實施。
在本案內容的一個態樣,服務網路710可以包括被配置為提供各種類型的服務的數個實體、功能單元、閘道及/或伺服器。例如,服務網路710可以包括簡訊實體(SME)718、機器類型通訊互通功能單元(MTC-IWF)720、IoT伺服器722,及/或封包資料網路(PDN)閘道(P-GW)724。應當理解的是,圖7中揭示的服務網路710用作一個實例,並且在其他態樣中,服務網路710可以包括與圖7中揭示的彼等不同類型的實體、功能單元,及/或伺服器。
在圖7的一個態樣,IoTF-C 706可能已經產生了針對控制平面的加密的網路可達性上下文以及針對使用者平面的加密的網路可達性上下文。在此種態樣中,上下文金鑰730可以包括用於產生針對控制平面的加密的網路可達性上下文的第一上下文金鑰(例如,金鑰KNRC-IoTF-C
304),以及用於產生針對使用者平面的加密的網路可達性上下文的第二上下文金鑰(例如,金鑰KNRC-IoTF-U
306)。例如,IoTF-C 706可能已經向IoTF-U 708發送了用於產生針對使用者平面的加密的網路可達性上下文的第二上下文金鑰(例如,金鑰KNRC-IoTF-U
306)。因此,在此種實例中,如圖7中所示,IoTF-U 708可以包括由IoTF-C 706提供的上下文金鑰731。在圖7的各態樣,客戶端設備702已經以先前論述的方式匯出了CP金鑰726和UP金鑰728。
如圖7所示,客戶端設備702可以向網路存取節點704發送包括資料封包的第一訊息732。網路存取節點704可以根據資料封包中的IoTF-U辨識符來決定IoTF-U 708的位址,並且可以經由第二訊息734將資料封包轉發給IoTF-U 708。隨後,IoTF-U 708可以利用加密和完整性金鑰(例如,UP金鑰728)來解密和驗證資料封包。在本案內容的一個態樣,IoTF-U 708可以基於客戶端設備702的上下文(例如,網路狀態資訊)來產生加密的網路可達性上下文。IoTF-U 708可以利用加密的網路可達性上下文,經由第三訊息736將資料封包轉發至下一躍點(例如,IoT伺服器722或P-GW 724)。客戶端設備終止的資料傳送
圖8是根據本案內容的各態樣,在IoT網路架構(例如,IoT網路架構100)中的示例性客戶端設備終止的資料傳輸的信號流程圖800。如圖8中所示,信號流程圖800包括客戶端設備802(亦稱為IoT設備)、網路存取節點804(例如,eNB、基地台,或網路存取點)、在網路節點805處實施的IoTF-C 806、以及在網路節點807處實施的IoTF-U 808、P-GW 810以及IoT伺服器812。
IoT伺服器812可以向P-GW 810發送包括DL資料封包、全球IoTF辨識符(GIOTFI)和加密的網路可達性上下文(NRC)的下行鏈路(DL)訊息814。P-GW 810可以基於該GIOTFI來定位IoTF-U 808,並可以在訊息816中向IoTF-U 808轉發DL資料封包。在本案內容的一個態樣,IoTF-U 808可以驗證加密的網路可達性上下文。
如圖8所示,IoTF-U 808可以重建817針對客戶端設備802的上下文(例如,包括安全上下文)。例如,IoTF-U 808可以經由使用儲存在IoTF-U 808處的上下文金鑰(例如,金鑰KNRC-IoTF-U
306)解密該加密的網路可達性上下文,來重建針對客戶端設備802的上下文。IoTF-U 808可以向IoTF-C 806發送DL資料通知訊息818。在本案內容的一個態樣,若DL資料封包足夠小到能夠在傳呼訊息中攜帶,則DL資料通知訊息818可以包括DL資料封包。在此種態樣中,IoTF-U 808可以基於針對客戶端設備802的安全上下文的加密演算法、加密金鑰、完整性保護演算法,及/或完整性保護金鑰來保護資料封包。
IoTF-C 806可以向一或多個網路存取節點(例如,網路存取節點804)發送傳呼訊息820。隨後,網路存取節點804可以藉由發送傳呼訊息822來傳呼客戶端設備802。客戶端設備802可以向IoTF-U 808發送包括UL資料封包的RRC連接請求訊息824。在本案內容的一個態樣,由客戶端設備802發送的UL資料封包可能是空的。網路存取節點804決定826臨時辨識符(TID),並在轉發訊息828中向IoTF-U 808轉發UL資料封包。IoTF-U 808可以儲存830網路存取節點804的TID和ID。
IoTF-U 808可以向IoTF-C 806發送客戶端設備回應通知訊息832。在本案內容的一個態樣,若IoTF-U 808不能夠在DL資料通知訊息818中包括DL資料封包,則IoTF-U 808可以向客戶端設備802發送包括針對客戶端設備的DL資料封包和TID的訊息834。網路存取節點804可以在轉發訊息836中向客戶端設備802轉發DL資料封包。隨後,客戶端設備802可以轉換838到閒置模式,並且網路存取節點804和IoTF-C 806可以移除840客戶端設備上下文。
在本案內容的一個態樣,P-GW 810可以儲存針對客戶端設備802的加密的網路可達性上下文,並且可以將加密的網路可達性上下文與客戶端設備802相關聯。在此種態樣中,當P-GW 810隨後接收到要傳送給客戶端設備802的封包(例如,來自IoT伺服器812的下行鏈路(DL)資料封包)時,P-GW 810可以決定與客戶端設備802相對應的加密的網路可達性上下文,並可以在包括該封包的訊息(例如,轉發訊息816)中發送加密的網路可達性上下文。可以理解的是,在該態樣,IoT伺服器812可能不需要將加密的網路可達性上下文與針對客戶端設備802的封包一起發送。IoTF-U 808可以接收加密的網路可達性上下文並可以重建817針對客戶端設備802的上下文。資源建立和釋放
圖9是根據本案內容的各態樣,在IoT網路架構(例如,IoT網路架構100)中的示例性資源建立和釋放的信號流程圖900。如圖9中所示,信號流程圖900包括客戶端設備902(亦稱為IoT設備)、在網路節點904處實施的IoTF-U 906、以及在網路節點906處實施的IoTF-C 912、P-GW 910以及IoT伺服器909。
如圖9所示,IoTF-U 910、IoTF-C 912,及/或P-GW 908可以移除914針對客戶端設備902的上下文。在一個態樣,在IoTF-C 912已經向P-GW 908及/或IoT伺服器909提供了加密的網路可達性上下文之後,IoTF-U 910及/或IoTF-C 912可以移除針對客戶端設備902的上下文。如圖9所示,IoT伺服器909可以向P-GW 908發送資源建立請求訊息916。例如,當IoT伺服器909要向客戶端設備902發送不頻繁的短脈衝資料傳輸時,IoT伺服器909可以發送資源建立請求訊息916。例如,短脈衝資料傳輸可以包括一序列的協定資料單元(PDU),如IP封包。在一個態樣,資源建立請求訊息916可以包括加密的網路可達性上下文(例如,針對控制平面的加密的網路可達性上下文)。
在資源建立操作918期間,IoTF-C 912可以驗證來自IoT伺服器909的加密的網路可達性上下文,並且在成功驗證時,IoTF-C 912可以解密該加密的網路可達性上下文。隨後,IoTF-C 912可以重建針對客戶端設備902的上下文。在一個態樣,IoTF-U 910和P-GW 908亦可以重建針對客戶端設備902的上下文。在一個態樣,IoTF-C 912可以獲得針對客戶端設備902的網路位址(例如,IP位址),並且可以在資源建立操作918期間向客戶端設備902和IoT伺服器909提供該網路位址。如圖9中所示,IoT伺服器909可以經由P-GW 908和IoTF-U 910向客戶端設備902發送下行鏈路(DL)資料920。在一個態樣,IoT伺服器909可以在包括客戶端設備902的網路位址的一或多個PDU中發送DL資料920。
在一個態樣,IoT伺服器909可以決定沒有要向客戶端設備902進行的進一步的資料傳輸。在此種態樣,IoT伺服器909可以可選地向P-GW 908發送資源釋放請求訊息1 922。在一些態樣,並如圖9所示,資源釋放請求訊息1 922可以被轉發到IoTF-C 912、IoTF-U 910、以及客戶端設備902。隨後,客戶端設備902可以進入閒置模式924。
在一個態樣,資源釋放請求訊息1 922使得P-GW 908能夠釋放用於客戶端設備902的一或多個資源。例如,該一或多個資源可以包括指派給客戶端設備902的網路位址(例如,以允許重新分配該網路位址)、針對客戶端設備902的承載,及/或用於客戶端設備902的其他資源。隨後,IoTF-U 910、IoTF-C 912和P-GW 908可以移除934針對客戶端設備902的上下文。在另一個態樣,IoTF-C 912、IoTF-U 910,及/或P-GW 908可以在IoTF-U 910處接收到DL資料920後啟動計時器926。若計時器926在從IoT伺服器909接收到任何新的DL資料(例如,DL資料920之後的額外的DL資料)之前及/或從客戶端設備902接收到任何上行鏈路(UL)資料之前到期,則IoTF-C 912、IoTF-U 910及/或P-GW 908可以決定客戶端設備902處於閒置模式924。
在一種場景中,在計時器926到期時,P-GW 908可以可選地向IoTF-C 912發送資源釋放請求訊息2 928,其可以如圖9所示被轉發到IoTF-U 910。在一個態樣,資源釋放請求訊息2 928使得IoTF-C 912及/或IoTF-U 910能夠釋放用於客戶端設備902的一或多個資源。例如,該一或多個資源可以包括指派給客戶端設備902的網路位址(例如,以允許重新分配該網路位址)、針對客戶端設備902的承載,及/或用於客戶端設備902的其他資源。隨後,P-GW 908、IoTF-C 912和IoTF-U 910可以移除934針對客戶端設備902的上下文。
在另一種場景中,在計時器926到期時,IoTF-U 910可以可選地經由IoTF-C 912向P-GW 908發送資源釋放請求訊息3 930。在一個態樣,該資源釋放請求訊息3 930使得IoTF-C 912及/或P-GW 908能夠釋放用於客戶端設備902的一或多個資源。例如,該一或多個資源可以包括指派給客戶端設備902的網路位址(例如,以允許重新分配該網路位址)、針對客戶端設備902的承載,及/或用於客戶端設備902的其他資源。隨後,P-GW 908、IoTF-C 912和IoTF-U 910可以移除934針對客戶端設備902的上下文。
在又一種場景中,在計時器926到期時,IoTF-C 912可以可選地向P-GW 908發送資源釋放請求訊息4 932。在一個態樣中,該資源釋放請求訊息4 932使得P-GW 908能夠釋放針對客戶端設備902的一或多個資源。例如,該一或多個資源可以包括指派給客戶端設備902的網路位址(例如,以允許重新分配該網路位址)、針對客戶端設備902的承載,及/或用於客戶端設備902的其他資源。隨後,P-GW 908、IoTF-C 912和IoTF-U 910可以移除934針對客戶端設備902的上下文。在一個態樣,當在計時器926到期之前,在IoTF-U 910處接收到來自IoT伺服器909的新的DL資料傳輸(例如,DL資料920之後的額外的DL資料)時,計時器926可以由IoTF-C 912、IoTF-U 910,及/或P-GW 908復位。
圖10是根據本案內容的各個態樣,在IoT中網路架構中的示例性資源建立和釋放的信號流程圖1000。如圖10所示,信號流程圖1000包括客戶端設備1002(亦被稱為IoT設備)、在網路存取節點1004處實施的使用者平面功能單元1010、在網路節點1006處實施的控制平面功能單元1012、P-GW 1008、以及IoT伺服器1009。如圖10所示,使用者平面功能單元1010、控制平面功能單元1012及/或P-GW 1008可以移除1014針對客戶端設備1002的上下文。在一個態樣,在控制平面功能單元1012已經向P-GW 1008及/或IoT伺服器1009提供了加密的網路可達性上下文之後,使用者平面功能單元1010及/或控制平面功能單元1012可以移除針對客戶端設備1002的上下文。如圖10所示,IoT伺服器1009可以向P-GW 1008發送資源建立請求訊息1016。例如,在IoT伺服器1009要向客戶端設備1002發送不經常的短脈衝資料傳輸時,IoT伺服器1009可以發送資源建立請求訊息1016。例如,短脈衝資料傳輸可以包括一序列的協定資料單元(PDU),如IP封包。在一個態樣,資源建立請求訊息1016可以包括一或多個加密的網路可達性上下文(例如,針對控制平面的加密的網路可達性上下文)。
在資源建立操作1018期間,控制平面功能單元1012可以驗證來自IoT伺服器1009的加密的網路可達性上下文,並且在成功驗證時,控制平面功能單元1012可以解密該加密的網路可達性上下文。隨後,控制平面功能單元1012可以重建針對客戶端設備1002的上下文。在一個態樣,使用者平面功能單元1010和P-GW 1008亦可以重建針對客戶端設備1002的上下文。在一個態樣,控制平面功能單元1012可以獲得針對客戶端設備1002的網路位址(例如,IP位址),並且可以在資源建立操作1018期間向客戶端設備1002和IoT伺服器1009提供該網路位址。如圖10中所示,IoT伺服器1009可以經由P-GW 1008和使用者平面功能單元1010向客戶端設備1002發送下行鏈路(DL)資料1020。在一個態樣,IoT伺服器1009可以在包括客戶端設備1002的網路位址的一或多個PDU中發送DL資料1020。
在一個態樣,IoT伺服器1009可以決定沒有要向客戶端設備1002進行的進一步的資料傳輸。在此種態樣,IoT伺服器1009可以可選地向P-GW 1008發送資源釋放請求訊息1 1022。在一些態樣,並如圖10所示,資源釋放請求訊息1 1022可以被轉發到控制平面功能單元1012、使用者平面功能單元1010、以及客戶端設備1002。隨後,客戶端設備1002可以進入閒置模式1024。在一個態樣,資源釋放請求訊息1 1022使得網路實體(例如,P-GW 1008)及/或客戶端設備1002能夠釋放用於客戶端設備1002的一或多個資源。例如,該一或多個資源可以包括指派給客戶端設備1002的網路位址(例如,以允許重新分配該網路位址)、針對客戶端設備1002的承載,及/或用於客戶端設備1002的其他資源。
隨後,使用者平面功能單元1010、控制平面功能單元1012、以及P-GW 1008可以移除1034針對客戶端設備1002的上下文。在另一個態樣,使用者平面功能單元1010、控制平面功能單元1012,及/或P-GW 1008可以在使用者平面功能單元1010處接收到DL資料1020後啟動計時器1026。若計時器1026在從IoT伺服器1009接收到任何新的DL資料(例如,DL資料1020之後的額外的DL資料)之前及/或從客戶端設備1002接收到任何上行鏈路(UL)資料之前到期,則使用者平面功能單元1010、控制平面功能單元1012及/或P-GW 1008可以決定客戶端設備1002處於閒置模式1024。
在一種場景中,在計時器1026到期時,P-GW 1008可以可選地向控制平面功能單元1012發送資源釋放請求訊息2 1028,其可以如圖10所示被轉發到使用者平面功能單元1010。在一個態樣,資源釋放請求訊息2 1028使得控制平面功能單元1012及/或使用者平面功能單元1010能夠釋放針對客戶端設備1002的一或多個資源。例如,該一或多個資源可以包括指派給客戶端設備1002的網路位址(例如,以允許重新分配該網路位址)、針對客戶端設備1002的承載,及/或用於客戶端設備1002的其他資源。隨後,P-GW 1008、使用者平面功能單元1010和控制平面功能單元1012可以移除1034針對客戶端設備1002的上下文。
在另一種場景中,在計時器1026到期時,使用者平面功能單元1010可以可選地經由控制平面功能單元1012向P-GW 1008發送資源釋放請求訊息3 1030。在一個態樣,該資源釋放請求訊息3 1030使得控制平面功能單元1012及/或P-GW 1008能夠釋放針對客戶端設備1002的一或多個資源。例如,該一或多個資源可以包括指派給客戶端設備1002的網路位址(例如,以允許重新分配該網路位址)、針對客戶端設備1002的承載,及/或用於客戶端設備1002的其他資源。隨後,P-GW 1008、使用者平面功能單元1010和控制平面功能單元1012可以移除1034針對客戶端設備1002的上下文。
在又一種場景中,在計時器1026到期時,控制平面功能單元1012可以可選地向P-GW 1008發送資源釋放請求訊息4 1032。在一個態樣中,該資源釋放請求訊息4 1032使得P-GW 1008能夠釋放用於客戶端設備1002的一或多個資源。例如,該一或多個資源可以包括指派給客戶端設備1002的網路位址(例如,以允許重新分配該網路位址)、針對客戶端設備1002的承載,及/或用於客戶端設備1002的其他資源。隨後,P-GW 1008、使用者平面功能單元1010和控制平面功能單元1012可以移除1034針對客戶端設備構件1002的上下文。在一個態樣,當在計時器1026到期之前,在使用者平面功能單元1010處接收到來自IoT伺服器1009的新的DL資料傳輸(例如,DL資料1020之後的額外的DL資料)時,計時器1026可以由控制平面功能單元1012、使用者平面功能單元1010,及/或P-GW 1008復位。控制平面協定堆疊
圖11是根據本案內容的各態樣,圖示用於IoT資料傳輸的控制平面協定堆疊1100的示圖。如圖11中所示,協定堆疊1100可以包括客戶端設備協定堆疊1102(亦被稱為IoT設備協定堆疊)、網路存取節點協定堆疊1104、在網路節點1105處實施的IoTF協定堆疊1106、以及服務網路通訊協定堆疊1108。例如,網路存取節點協定堆疊1104可以在eNB、基地台,或網路存取點中實施。作為另一實例,服務網路通訊協定堆疊1108可以在P-GW中實施。如圖11中所示,客戶端設備協定堆疊1102可以包括實體(PHY)層1110、媒體存取控制(MAC)層1112、無線電鏈路控制(RLC)層1114、封包資料收斂協定(PDCP)層1116、以及控制(Ctrl)層1120。
如圖11所示,網路存取節點協定堆疊1104可以包括PHY層1122、MAC層1124、RLC層1126和PDCP層1128,其分別與客戶端設備協定堆疊1102的PHY層1110、MAC層1112、RLC層1114和PDCP層1116對接。網路存取節點協定堆疊1104亦可以包括乙太網路層1130、MAC層1132、網際網路協定(IP)層1134、使用者資料包通訊協定(UDP)層1136、以及控制平面GPRS隧道協定(GTP-C)層1138。
如圖11所示,IoTF協定堆疊1106可以包括乙太網路層1140、MAC層1142、IP層1144、UDP層1146、GTP-C層1148和控制(Ctrl)層1152。如圖11中進一步圖示的,IoTF協定堆疊1106可以實施用於傳輸控制平面加密的網路可達性上下文(在圖11中簡稱為「NRCCP」)的上下文協定層1150。上下文協定層1150亦可以使得能夠傳輸IoTF ID(IID)及/或安全標頭(在圖11中簡稱為「Sec」),該安全標頭指示加密的網路可達性上下文的存在。
服務網路通訊協定堆疊1108可以包括IP層1154、UDP層1156、GTP-C層1158、以及Ctrl層1162,其分別與IoTF協定堆疊1106的IP層1144、UDP層1146、GTP-C層1148和Ctrl層1152對接。如圖11進一步所示,服務網路通訊協定堆疊1108可以實施用於傳輸控制平面加密的網路可達性上下文(在圖11中簡稱為「NRCCP」)的上下文協定層1160。上下文協定層1160亦可以使得能夠傳輸IoTF ID(IID)及/或安全標頭(在圖11中簡稱為「Sec」),該安全標頭指示加密的網路可達性上下文的存在。如圖11中所示,服務網路通訊協定堆疊1108的上下文協定層1160與IoTF協定堆疊1106的上下文協定層1150通訊。在本案內容的一個態樣,可以根據關於圖11描述的示例性IoT封包格式,在控制平面訊息之外的封包標頭中攜帶加密的網路可達性上下文。在本案內容的一個態樣,若網路架構實施為GSM EDGE無線電存取網路(GERAN),則可以使用與IP協定1166不同的協定。在本案內容的一個態樣,可以省略由區域1164和1168指示的GTP-C和UDP協定。使用者平面協定堆疊
圖12是根據本案內容的各態樣,圖示用於IoT資料傳輸的使用者平面協定堆疊1200的示圖。如圖12所示,協定堆疊1200可以包括客戶端設備協定堆疊1202(亦被稱為IoT設備協定堆疊)、網路存取節點協定堆疊1204、在網路節點1205處實施的IoTF協定堆疊1206、以及服務網路通訊協定堆疊1208。例如,網路存取節點協定堆疊1204可以在eNB、基地台,或網路存取點中實施。作為另一實例,服務網路通訊協定堆疊1208可以在P-GW中實施。如圖12中所示,客戶端設備協定堆疊1202可以包括實體(PHY)層1210、媒體存取控制(MAC)層1212、無線電鏈路控制(RLC)層1214、封包資料收斂協定(PDCP)層1216、以及使用者平面(UP)層1220。
如圖12所示,網路存取節點協定堆疊1204可以包括PHY層1222、MAC層1224、RLC層1226和PDCP層1228,其分別與客戶端設備協定堆疊1202的PHY層1210、MAC層1212、RLC層1214和PDCP層1216對接。網路存取節點協定堆疊1204亦可以包括乙太網路層1230、MAC層1232、網際網路協定(IP)層1234、使用者資料包通訊協定(UDP)層1236、以及使用者平面GPRS隧道協定(GTP-U)層1238。
如圖12所示,IoTF協定堆疊1206可以包括乙太網路層1240、MAC層1242、IP層1244、UDP層1246、GTP-U層1248和使用者平面(UP)層1252。如圖12中進一步所示,IoTF協定堆疊1206可以實施用於傳輸使用者平面加密的網路可達性上下文(在圖12中簡稱為「NRCUP」)的上下文協定層1250。上下文協定層1250亦可以使得能夠傳輸IoTF ID(IID)及/或安全標頭(在圖12中簡稱為「Sec」),該安全標頭指示加密的網路可達性上下文的存在。
服務網路通訊協定堆疊1208可以包括IP層1254、UDP層1256、GTP-U層1258和使用者平面(UP)層1262,其分別與IoTF協定堆疊1206的IP層1244、UDP層1246、GTP-U層1248和UP層1252對接。服務網路通訊協定堆疊1208可以實施用於傳輸使用者平面加密的網路可達性上下文(在圖12中簡稱為「NRCUP」)的上下文協定層1260。如圖12所示,服務網路通訊協定堆疊1208的上下文協定層1260與IoTF協定堆疊1206的上下文協定層1250通訊。在本案內容的一個態樣,可以根據關於圖13描述的示例性IoT封包格式,在使用者平面訊息之外的封包標頭中攜帶加密的網路可達性上下文。在本案內容的一個態樣,若網路架構實施為GSM EDGE無線電存取網路(GERAN),則可以使用與IP協定1266不同的協定。在本案內容的一個態樣,可以省略由區域1264和1268指示的GTP-U和UDP協定。在本案內容的一個態樣,若IP協定用於UP訊息傳遞,則可以在IP選項欄位(IPv4)或IP擴展標頭(IPv6)中攜帶加密的網路可達性上下文。IoT 封包格式
圖13是根據本案內容的各態樣,用於IoT網路架構中的傳輸的封包格式1300的示圖。參考圖13,網路存取節點(例如,eNB、基地台,或網路存取點)可以使用臨時辨識符(TID)欄位1302來本端地辨識客戶端設備(亦被稱為IoT設備)。例如,由網路存取節點指派給用於辨識客戶端設備的TID欄位1302的值可以是C-RNTI或均等物。
在本案內容的一個態樣,IoTF ID(IID)欄位1304可以包括全球唯一臨時辨識符(GUTI)。例如,GUTI可以包括與IoTF相關聯的辨識符以及與客戶端設備相關聯的辨識符(例如,臨時辨識符,其例如行動性管理實體(MME)臨時行動用戶標識(M-TMSI))。例如,GUTI可以由網路存取節點用於辨識IoTF,並且GUTI可以由IoTF用於辨識客戶端設備。在另一個態樣,IID欄位1304可以包括全球IoTF辨識符(GIOTFI)以及與客戶端設備相關聯的辨識符(例如,臨時辨識符,其例如M-TMSI)。例如,該GIOTFI可以等同於用於IoTF的全球唯一行動性管理實體辨識符(GUMMEI)。在本案內容的一個態樣,M-TMSI可以被加密用於客戶端設備的隱私。應當注意的是,使用IoTF IP位址可能洩露網路拓撲。
安全標頭欄位1306可以指示加密的網路可達性上下文的存在、控制平面(CP)/使用者平面(UP)指示、序號、時間戳記值及/或隨機值。例如,該時間戳記值可以基於時間和計數器,其中該時間是網路存取節點的時間或IoTF時間。網路可達性上下文欄位1308可以包括加密的網路可達性上下文。應當指出,若將時間戳記而不是序號用於加密,則IoTF可能不需要保持針對客戶端設備的任何網路狀態資訊。在一個態樣,隨機值可以基於亂數和計數器。隨機值可以由網路存取節點或由客戶端設備,或者其組合來產生。針對每個封包,計數器可以遞增一定的值(例如,1)。若將隨機值而不是序號用於加密,則客戶端設備可以基於安全上下文中的加密金鑰和亂數來產生新的加密金鑰。若將隨機值而不是序號用於完整性保護,則客戶端設備可以基於安全上下文中的完整性保護金鑰和亂數來產生新的完整性保護金鑰,並且可以使用該新的完整性保護金鑰來保護訊息。有效負荷欄位1310可以包括資料或控制資訊(例如,資料封包或控制封包)。
訊息認證碼(MAC)欄位1312可以用於完整性保護。例如,該MAC欄位1312可以包括由發送設備或實體產生的訊息認證碼。隨後,MAC欄位1312中的訊息認證碼可以由接收設備或實體用於驗證該訊息的完整性沒有被破壞(例如,該訊息的內容沒有被改變或操縱)。在一個態樣,可以藉由應用訊息認證碼產生演算法(例如,AEAD cihper),在發送設備或實體處產生MAC欄位1312中的訊息認證碼,其中訊息(例如,封包)和使用者平面金鑰或控制平面金鑰用作訊息認證碼產生演算法的輸入。
該訊息認證碼產生演算法的輸出可以是MAC欄位1312中包括的訊息認證碼。接收設備或實體可以藉由向該訊息應用訊息認證碼產生演算法(例如,AEAD cihper)來驗證所接收的訊息的完整性。例如,所接收的訊息(例如,封包)和使用者平面金鑰或控制平面金鑰可以用作訊息認證碼產生演算法的輸入。隨後,接收設備或實體可以將該訊息認證碼產生演算法的輸出與MAC欄位1312中包括的訊息認證碼進行比較。在此種實例中,當訊息認證碼產生演算法的輸出與MAC欄位1312中包括的訊息認證碼相匹配時,接收設備或實體可以決定該訊息已被成功驗證。加密的網路可達性上下文設計和產生 a )控制平面加密的網路可達性上下文
在本案內容的一個態樣,可以藉由將該一項或多項資訊連結(concatenating)起來,來產生加密的網路可達性上下文。例如,可以基於運算式KeyID||Enc_KNRC-IoTF-C
(CDCCP
)||MAC來產生控制平面(CP)加密的網路可達性上下文。在本案內容的一個態樣,金鑰KNRC-IoTF-C
(例如,圖3中的金鑰KNRC-IoTF-C
304)可以是與金鑰KNRC-IoTF
(例如,圖3中的金鑰KNRC-IoTF
302)是相同的,或者其可以根據金鑰KNRC-IoTF
匯出。術語KeyID可以表示金鑰索引(用於產生網路可達性上下文)。術語CDCCP
可以表示控制平面客戶端設備上下文。例如,控制平面客戶端設備上下文可以包括客戶端設備辨識符、客戶端設備安全上下文(例如,控制平面金鑰,其例如金鑰KIoT
202(KASME
均等物)、金鑰KIoT-CPenc
210、金鑰KIoT-CPint
212)、客戶端設備安全能力(例如,進化封包系統加密演算法(EEA)、進化封包系統完整性演算法(EIA)),及/或下一躍點(S5/S8)配置資訊。例如,下一躍點配置資訊可以包括IoT伺服器位址、P-GW位址,及/或TEID。術語MAC可以指示加密模式及/或訊息認證碼產生演算法(亦稱為MAC演算法),其可以由行動網路服務供應商(MNO)來選擇且針對IoTF進行配置。因此,術語Enc_KNRC-IoTF-C
(CDCCP
)可以表示使用金鑰KNRC-IoTF-C
(例如,圖3中的金鑰KNRC-IoTF-C
304)對控制平面客戶端設備上下文執行的加密操作的結果。b )使用者平面加密的網路可達性上下文
作為另一實例,可以基於運算式KeyID||Enc_KNRC-IoTF-U
(CDCUP
)||MAC來產生加密的網路可達性上下文。術語CDCUP
可以表示使用者平面客戶端設備上下文。例如,使用者平面客戶端設備上下文可以包括客戶端設備辨識符、承載ID、進化的封包系統(EPS)承載服務品質(QoS)、針對使用者平面通用封包式無線電服務(GPRS)隧道協定(GTP-U)的S5隧道端點辨識符(TEID)、IoTF-U 108向其轉發UL資料的P-GW網際網路協定(IP)位址(或等同資訊)、客戶端設備安全上下文(例如,所選擇的加密演算法和使用者平面金鑰,其例如金鑰KIoT-UPenc
216、金鑰KIoT-UPint
218)、客戶端設備安全能力(例如,進化封包系統加密演算法(EEA)、進化封包系統完整性演算法(EIA)),及/或下一躍點(S5/S8)配置資訊。例如,下一躍點配置資訊可以包括IoT伺服器位址、P-GW位址,及/或TEID。因此,術語Enc_KNRC-IoTF-U
(CDCUP
)可以表示使用金鑰KNRC-IoTF-U
(例如,圖3中的金鑰KNRC-IoTF-U
306)對使用者平面客戶端設備上下文執行的加密操作的結果。在本案內容的一個態樣,加密的網路可達性上下文可以僅由客戶端設備所附著/關聯的IoTF(例如,IoTF-C 106及/或IoTF-U 108)來解密。在本案內容的一個態樣,可以在加密之前對網路可達性上下文進行壓縮。
加密的網路可達性上下文可以具有一或多個特性。例如,加密的網路可達性上下文可以包含與特定的客戶端設備相關聯的網路狀態資訊,並且因此,可能無法將其傳送給其他客戶端設備。IoTF-C/U(例如,IoTF-C 106及/或IoTF-U 108)可能不保持客戶端設備的上下文(例如,網路狀態資訊)。因此,此種IoTF-C/U可以藉由使用其自身的秘密金鑰來解密經加密的網路可達性上下文來重建針對客戶端設備的網路可達性上下文,並且因此,IoTF-C/U可能不需要儲存任何額外的資訊來恢復網路可達性上下文。IoTF-C/U可以在一定條件下移除針對客戶端設備的網路可達性上下文(例如,進化封包系統連接管理(ECM)-閒置,或在小的資料傳送之後立即),並且在必要時將其亦原(例如,用於資料傳送)。追蹤區域更新程序
當客戶端設備在閒置模式期間進入新的追蹤區域時,該客戶端設備可以執行追蹤區域更新(TAU)程序。TAU訊息可以包括當前的追蹤區域ID(TAI)和源IoTF-C的GIOTFI或其均等物(例如,全球唯一行動性管理實體辨識符(GUMMEI))。目標IoTF-C可以更新客戶端設備的位置和到一或多個網路實體(例如,P-GW)的行動性錨(例如,IoTF-U ID)以及加密的網路可達性上下文。在本案內容的一個態樣,加密的網路可達性上下文可以使得IoTF-U能夠驗證下行鏈路封包。在本案內容的一個態樣,應用伺服器(例如,IoT伺服器)及/或P-GW可以向IoTF-U/C(由GIOTFI辨識)發送下行鏈路(DL)封包與加密的網路可達性上下文。
圖14是根據本案內容的各態樣,在IoT網路架構(例如,IoT網路架構100)中的TAU程序的信號流程圖1400。如圖14所示,信號流程圖1400包括客戶端設備1402(亦被稱為IoT設備)、網路存取節點1404(例如,eNB、基地台、網路存取點)、在目標網路設備1405處實施的目標IoTF-C 1406、在源網路設備1407處實施的源IoTF-C 1408、P-GW 1410、以及IoT伺服器1412(亦被稱為應用伺服器)。
客戶端設備1402可以向網路存取節點1404發送包括TAU請求的資料傳送請求訊息1414。在本案內容的一個態樣,在不建立RRC連接的情況下,資料傳送請求訊息1414可以由客戶端設備1402發送。網路存取節點1404可以決定1416包括在TAU請求中的目標IoTF-C辨識符。隨後,網路存取節點1404可以決定目標IOTF-C 1406的IP位址,並且可以向目標IoTF-C 1406發送包括與客戶端設備1402相關聯的TID和TAU請求的訊息1418。目標IoTF- C 1406可以向源IoTF-C 1408發送包括對客戶端設備上下文的請求的訊息1420。
源IoTF-C 1408可以向目標IoTF-C 1406發送包括客戶端設備上下文的訊息1422。目標IoTF-C 1406可以儲存1424針對客戶端設備的TID和針對網路存取節點1404的ID,並可以基於所接收的客戶端設備上下文來產生1424新的GUTI和針對客戶端設備1402的新的加密的網路可達性上下文。在本案內容的一個態樣,目標IoTF-C 1406可以產生使用者平面(UP)金鑰和上下文產生金鑰,並可以向IoTF-U提供該金鑰。目標IoTF-C 1406可以向IoT伺服器1412(或P-GW 1410)發送包括追蹤區域ID(TAI)、目標IoTF-C 1406的ID(例如,GIOTFI)、以及新的加密的網路可達性上下文的訊息1426。
目標IoTF-C 1406可以發送包括TID、新的GUTI和對客戶端設備1402的TAU回應的訊息1428。網路存取節點1404可以基於該TID,在訊息1430中轉發該新的GUTI和對客戶端設備1402的TAU回應。
本文揭示的態樣提供了具有新的私人網路功能單元的架構,此啟用獨立的部署並避免可擴展性/互通需求。本文揭示的態樣可以使得網路存取節點(例如,基地台)能夠在不儲存或保持針對客戶端設備的安全上下文的情況下,向客戶端設備傳送資料或傳送來自客戶端設備的資料,從而避免了在網路實體(例如,網路存取節點或其他網路實體)處消耗大量的資源。可以將安全特徵錨定為新的網路功能(被稱為IoT功能(IoTF))。專用資源被分配用於IoT資料傳送,以避免影響正常客戶端設備的PDN連接/訊務。加密的網路可達性上下文可以用於資料傳送,以當客戶端設備處於閒置狀態時,消除在IoTF處的客戶端設備的半永久上下文。因此,MME/S-GW不需要保持不經常發送訊務的客戶端設備的大量網路狀態資訊(亦即,上下文)。客戶端設備可能僅需要成本高效的資料傳送,而不會耗盡寶貴的核心網路資源。加密的網路可達性上下文使用資訊
根據本案內容的各態樣,網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)可以與加密的網路可達性上下文一起發送使用資訊,其中該使用資訊與加密的網路可達性上下文相關聯(亦稱為加密的網路可達性上下文使用資訊)。在一個態樣,加密的網路可達性上下文可以指示要從網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)發送的資料量。例如,可以將資料量指示為減少的資料傳輸(例如,包括單個資料封包的傳輸)或短脈衝資料傳輸(例如,包括若干資料封包的一或多個傳輸)。在一個態樣,可以使用單個位元(例如,作為封包的標頭中資訊單元(IE)的一部分)來指示要從網路實體發送的資料量。在此種態樣中,例如,網路實體可以啟用該位元(例如,設置該位元為「1」)來指示要從網路實體發送的資料量是減少的資料傳輸,或者可以禁用該位元(例如,將位元設置為「0」)來指示要從網路實體發送的資料量是短脈衝資料傳輸。在一個態樣,當網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)指示要發送的資料量是減少的資料傳輸時,其他網路實體(例如,網路節點,其例如網路節點904、906,及/或網路存取節點,其例如網路存取節點1004)可以在從網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)接收到該減少的資料傳輸之後立即移除針對客戶端設備的上下文。在另一個態樣,當網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)指示要發送的資料量是減少的資料傳輸時,其他網路實體可以在第一閥值時間段內保持針對該客戶端設備的上下文。例如,其他網路實體可以實施被配置為量測該第一閥值時間段的第一計時器。在該態樣,其他網路實體可以在第一計時器到期時移除針對客戶端設備的上下文。在一個態樣,若其他網路實體在第一計時器到期之前從網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)接收到資料傳輸(例如,封包),則其他實體網路可以重置第一計時器,並且可以保持針對客戶端設備的上下文,直到第一計時器到期。在另一個態樣,當網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)指示要發送的資料量是短脈衝資料傳輸時,其他網路實體可以在第二閥值時間段內保持針對客戶端設備的上下文。例如,其他網路實體可以實施被配置為量測第二閥值時間段的第二計時器。在該態樣,其他網路實體可以在第二計時器到期時移除針對客戶端設備的上下文。在一個態樣,若其他網路實體在第二計時器到期之前從網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)接收到資料傳輸(例如,封包),則其他實體網路可以重置第二計時器,並且可以保持針對客戶端設備的上下文,直到第二計時器到期。例如,第二閥值時間段可以大於第一閥值時間段。在一個態樣,加密的網路可達性上下文使用資訊可以包括在發送到其他網路實體的封包的標頭中。
在一個態樣,網路實體(例如,圖6中的網路節點605)可以向服務網路(例如,圖6中的服務網路609)中的一或多個網路實體提供多種類型的加密的網路可達性上下文。在此種態樣中,每種類型的加密的網路可達性上下文可以由接收網路實體(例如,圖9中的P-GW 908、網路節點906及/或網路節點904)用於重建針對客戶端設備的上下文的一部分(例如,針對客戶端設備的上下文的子集)。例如,第一類型的加密的網路可達性上下文可以與由網路提供的第一服務(例如,行動寬頻服務)相關聯,其中該第一類型的加密的網路可達性上下文使得網路實體(例如,圖9中的P-GW 908、網路節點906及/或網路節點904)能夠重建需要其來支援該第一服務的、網路可達性上下文的第一部分。在此種實例中,第二類型的加密的網路可達性上下文可以與由網路提供的第二服務(例如,超可靠低延遲通訊(URLLC))相關聯,其中第二類型的加密的網路可達性上下文使得網路實體能夠重建需要其來支援該第二服務的、網路可達性上下文的第二部分。在一個態樣,該網路可達性上下文的第一部分和網路可達性上下文的第二部分可以包括比最初由針對客戶端設備的網路產生的網路可達性上下文要少的上下文資訊。在一個態樣,網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)可以基於要發送到客戶端設備(或從客戶端設備接收)的傳輸的類型,來決定多個類型的加密的網路可達性上下文中要使用的一或多個類型。例如,並且參考以上提供的實例,若網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)要發送與行動寬頻服務相關聯的資料,則該網路實體可以向其他網路實體發送第一類型的加密的網路可達性上下文。作為另一個實例,若網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)要發送與URLLC服務相關聯的資料,則該網路實體可以向其他網路實體發送第二類型的加密的網路可達性上下文。但是應當理解,網路可以提供其他類型的服務,以添加到或者代替以上提供的實例,該其他類型的服務例如高優先順序存取訊務、延遲容忍存取服務,或機器類型通訊(MTC)服務。根據本案內容的各態樣,當網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)向其他網路實體發送加密的網路可達性上下文時,該網路實體可以在先前描述的使用資訊中指示加密的網路可達性上下文的類型。在一個態樣,加密的網路可達性上下文使用資訊可以指示正從網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)發送的資訊的類型。例如,加密的網路可達性上下文使用資訊可以指示正從網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)發送的資訊與使用者平面相關聯(例如,資料)或與控制平面相關聯(例如,控制資訊)。可以理解的是,由於先前論述的不同類型的加密的網路可達性上下文中的每種類型皆可以由網路實體(例如,圖9中的網路節點906處)用於重建針對客戶端設備的上下文的一部分(例如,針對客戶端設備的上下文中的子集),致使相比於使得能夠重建整個(例如,全部)網路可達性上下文的、加密的網路可達性上下文,該不同類型的加密的網路可達性上下文在大小上可能是減小的。
在一個態樣,要由網路實體(例如,圖9中的網路節點906處)針對由網路(圖9中的IoT伺服器909處)提供的服務類型來重建的上下文(或上下文的一部分)可以與一個值相關聯(例如,索引號或其他值)。在此種態樣,網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)可以與加密的網路可達性上下文一起發送該值,以促進在另一網路實體處重建針對特定服務(或其他特定用途或應用)的上下文。例如,索引號「1」可以指示行動寬頻服務的特定服務品質(QoS)以及重建用於支援該QoS的上下文所需的資訊。在此種實例中,網路實體(例如,圖9中的IoT伺服器909或圖10中的IoT伺服器1009)可以發送與行動寬頻服務相關聯的加密的網路可達性上下文和索引號「1」,以促進重建用於支援行動寬頻服務的、網路的達性上下文的一部分。示例性裝置(例如,網路設備)以及其上的方法
圖15是根據本案內容(例如,與以下描述的圖14-16的方法有關的態樣)的一或多個態樣的裝置1500的圖示。裝置1500包括通訊介面(例如,至少一個收發機)1502、儲存媒體1504、使用者介面1506、記憶體設備1508、以及處理電路1510。在一個態樣,裝置1500可以是實施物聯網路(IoT)功能單元的網路設備(例如,網路設備105、505、705)。例如,裝置1500可以實施控制平面IoT功能單元(例如,IoTF-C 106、506、606、706、806、1406)及/或使用者平面IoT功能單元(例如,IoTF-U 108、508、608、708、808)。但是應當理解,此種網路設備可以實施為單個網路實體或多個網路實體。
該等部件可以經由訊號傳遞匯流排或其他適當部件互相耦合及/或被放置為互相電通訊,該訊號傳遞匯流排或其他適當部件在圖15中由連接線整體表示。取決於處理電路1510的特定應用和整體設計約束,訊號傳遞匯流排可以包括任意數量的互連匯流排和橋接器。訊號傳遞匯流排將各種電路連結在一起,使得通訊介面1502、儲存媒體1504、使用者介面1506、以及記憶體設備1508中的每一個耦合到處理電路1510及/或與處理電路1510電通訊。訊號傳遞匯流排亦可以連結各種其他電路(未圖示),其例如時序源、周邊設備、電壓調節器和電源管理電路,其在本領域中是公知的,並因此將不再進一步描述。
通訊介面1502可以適於促進裝置1500的無線通訊。例如,通訊介面1502可以包括適於促進相對於網路中的一或多個通訊設備的雙向地資訊通訊的電路及/或代碼(例如,指令)。通訊介面1502可以耦合到用於無線通訊系統內的無線通訊的一或多個天線1512。通訊介面1502可以被配置具有一或多個獨立的接收器及/或發射器,以及一或多個收發機。在圖示的實例中,通訊介面1502包括發射器1514和接收器1516。
記憶體設備1508可以表示一或多個記憶體設備。如所指示的,記憶體設備1508可以保持與網路相關的資訊/以及由裝置1500所使用的其他資訊。在一些實施中,記憶體設備1508和儲存媒體1504被實施為共用記憶體部件。記憶體設備1508亦可以用於儲存由處理電路1510或裝置1500的一些其他部件所操縱的資料。
儲存媒體1504可以表示用於儲存代碼的一或多個電腦可讀、機器可讀及/或處理器可讀設備,該代碼例如處理器可執行代碼或指令(例如,軟體、韌體)、電子資料、資料庫或其他數位資訊。儲存媒體1504亦可以用於儲存由處理電路1510在執行代碼時所操縱的資料。儲存媒體1504可以是能夠由通用或專用處理器進行存取的任何可用媒體,其包括可攜式或固定的儲存設備、光學儲存設備,以及能夠儲存、包含或攜帶代碼的各種其他媒體。
經由舉例而非限制的方式,儲存媒體1504可以包括磁性儲存設備(例如,硬碟、軟碟、磁帶等)、光碟(例如,壓縮光碟(CD)或數位多功能光碟(DVD))、智慧卡、快閃記憶體設備(例如,卡、棒,或鍵式磁碟)、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可程式設計ROM(PROM)、可抹除PROM(EPROM)、電子可抹除PROM(EEPROM)、暫存器、可移除磁碟、以及用於儲存可由電腦存取和讀取的代碼的任意其他適當媒體。儲存媒體1504可以體現在製品(例如,電腦程式產品)中。舉例而言,電腦程式產品可以包括封裝材料中的電腦可讀取媒體。鑒於上述情況,在一些實施中,儲存媒體1504可以是非暫時性(例如,有形)儲存媒體。
儲存媒體1504可以耦合到處理電路1510,使得處理電路1510可以從儲存媒體1504讀取資訊,以及將資訊寫入儲存媒體1504。亦即,儲存媒體1504可以耦合到處理電路1510,使得儲存媒體1504至少由處理電路1510可存取,此包括至少一個儲存媒體整合到處理電路1510的實例及/或至少一個儲存媒體與處理電路1510分開的實例(例如,常駐在裝置1500中、在裝置1500外部、跨越多個實體分佈等)。
當儲存媒體1504儲存的代碼及/或指令由處理電路1510執行時,使得處理電路1510執行本文中所描述的各種功能及/或處理操作中的一或多個。例如,儲存媒體1504可以包括被配置用於調節在處理電路1510的一或多個硬體模組處的操作的操作,以及利用通訊介面1502來利用其各自的通訊協定進行無線通訊的操作。
處理電路1510通常適於進行處理,其包括對儲存在儲存媒體1504上此種代碼/指令的執行。如本文所使用的,無論被稱為軟體、韌體、仲介軟體、微代碼、硬體描述語言還是其他術語,術語「代碼」或「指令」應當被廣義地解釋為包括但不限於程式設計、指令、指令集、資料、代碼、程式碼片段、程式碼、程式、副程式、軟體模組、應用、軟體應用、套裝軟體、常式、子常式、物件、可執行檔、執行的執行緒、程序、函數等。
處理電路1510被佈置為:獲得、處理及/或發送資料,控制資料存取和儲存,發出命令以及控制其他期望的操作。處理電路1510可以包括被配置為在至少一個實例中實施由適當的媒體提供的期望的代碼的電路。例如,處理電路1510可以被實施為一或多個處理器、一或多個控制器及/或被配置為執行可執行代碼的其他結構。處理電路1510的實例可以包括被設計為執行本文描述的功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或其他可程式設計邏輯部件、個別閘門或電晶體邏輯裝置、個別的硬體部件,或其任意組合。通用處理器可以包括微處理器,以及任何一般處理器、控制器、微控制器,或狀態機。處理電路1510亦可以實施為計算部件的組合,例如DSP和微處理器的組合、多個微處理器、一或多個微處理器與DSP核心的結合、ASIC和微處理器,或者任何其他數量的不同配置。處理電路1510的該等實例是為了說明,並且亦可以考慮本案內容的範疇內的其他適當結構。
根據本案內容的一或多個態樣,處理電路1510可以適於執行針對本文所描述的任意或所有裝置的任意或所有特徵、過程、功能、操作及/或常式。如本文所用的,涉及處理電路1510的術語「適於」可以指的是處理電路1510被執行配置、使用、實施及/或程式設計操作中的一或多個,以根據本文描述的各種特徵來執行特定的過程、功能、操作及/或常式。
根據裝置1500的至少一個實例,處理電路1510可以包括以下各項中的一項或多項:接收電路/模組1520、發送電路/模組1522、安全上下文建立電路/模組1523、上下文產生電路/模組1524、加密的網路可達性上下文產生電路/模組1526、加密的網路可達性上下文驗證電路/模組1528、上下文重建/移除電路/模組1530、客戶端設備傳呼電路/模組1532、封包保護電路/模組1534和客戶端設備上下文請求電路/模組1536,其適於執行本文中所描述的任意或所有特徵、過程、功能、操作及/或常式(例如,關於圖14-16描述的特徵、過程、功能、操作及/或常式)。
接收電路/模組1520可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體1504上的接收指令1540),該等功能例如與以下操作有關:從網路實體接收要發送到客戶端設備的控制封包以及一或多個加密的網路可達性上下文;從客戶端設備接收用於與網路進行通訊的請求;從網路實體接收要發送到客戶端設備的資料封包以及與客戶端設備相關聯的一或多個加密的網路可達性上下文;從客戶端設備接收控制封包;從第二網路設備接收針對客戶端設備的上下文;從網路實體接收資源建立請求以及一或多個加密的網路可達性上下文中的至少一個;從網路實體接收資源釋放請求訊息;及/或從客戶端設備接收訊息,該訊息包括一或多個加密的網路可達性上下文中的至少一個以及與該一或多個網路可達性上下文相關聯的使用資訊。
發送電路/模組1522可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體1504上的發送指令1542),該等功能例如與以下操作有關:向網路實體(例如,服務網路/IoT伺服器/閘道)發送一或多個加密的網路可達性上下文;向網路實體(例如,IoT伺服器)發送新的加密的網路可達性上下文;發送包括控制封包的訊息;發送包括資料封包的訊息;向客戶端設備發送與第一網路設備相關聯的全球唯一臨時辨識符;向客戶端設備及/或網路實體發送網路位址;及/或當計時器在從網路實體至客戶端設備的傳輸之前或者從客戶端設備至網路實體的傳輸之前到期時,向封包資料網路閘道發送資源釋放請求訊息,其中該資源釋放請求訊息使得該封包資料網路閘道能夠釋放用於該客戶端設備的一或多個資源。
安全上下文建立電路/模組1523可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體1504上的安全上下文建立指令1543),該等功能例如與以下操作有關:建立針對與客戶端設備的連接的安全上下文,其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法,或完整性保護金鑰。
上下文產生電路/模組1524可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體1504上的上下文產生指令1544),該等功能例如與以下操作有關:產生針對客戶端設備的上下文,該上下文包括與客戶端設備相關聯的網路狀態資訊。例如,網路狀態資訊可以至少包括加密演算法、加密金鑰、完整性保護演算法,或完整性保護金鑰。
加密的網路可達性上下文產生電路/模組1526可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體1504上的加密的網路可達性上下文產生指令1546),該等功能例如與以下操作有關:基於該上下文來產生一或多個加密的網路可達性上下文,以及基於該上下文來產生新的加密的網路可達性上下文。
加密的網路可達性上下文驗證電路/模組1528可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體1504上的加密的網路可達性上下文驗證指令1548),該等功能例如與以下操作有關:決定用於產生該加密的網路可達性上下文的金鑰,使用該金鑰來產生第一訊息認證碼(MAC),以及將該第一MAC與加密的網路可達性上下文中的第二MAC進行比較,以便驗證該加密的網路可達性上下文。
上下文重建/移除電路/模組1530可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體1504上的上下文重建/移除指令1550),該等功能例如與以下操作有關:獲取針對一或多個加密的網路可達性上下文的金鑰(例如,金鑰KNRC-IoTF-U
);使用該金鑰來解密該一或多個加密的網路可達性上下文,以獲得包括在該一或多個加密的網路可達性上下文中的網路狀態資訊,該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法,或完整性保護金鑰;使用加密的網路可達性上下文來重建該上下文;基於該一或多個加密的網路可達性上下文中的至少一個和使用資訊,來重建上下文的至少一部分及/或移除該上下文;及/或當使用資訊指示減少的資料傳輸時,在第一閥值時間段內保持上下文的至少一部分,或當該使用資訊指示短脈衝資料傳輸時,在第二閥值時間段內保持該上下文的至少一部分,該第二閥值時間段大於該第一閥值時間段。在一個態樣,上下文重建/移除電路/模組1530可以基於包括在一或多個加密的網路可達性上下文中的網路狀態資訊來重建針對客戶端設備的上下文。
客戶端設備傳呼電路/模組1532可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體1504上的客戶端設備傳呼指令1552),該等功能例如與以下操作有關:基於重建的上下文來傳呼客戶端設備。
封包保護電路/模組1534可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體1504上的封包保護指令1554),該等功能例如與以下操作有關:使用針對客戶端設備的安全上下文來保護封包(例如,控制封包或資料封包)。例如,封包保護電路/模組1534可以基於加密演算法、加密金鑰、完整性保護演算法,或完整性保護金鑰中的至少一個來保護控制封包或資料封包。
客戶端設備上下文請求電路/模組1536可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體1504上的客戶端設備上下文請求指令1556),該等功能例如與以下操作有關:從第二網路設備請求針對客戶端設備的上下文。
資源獲得/釋放電路模組1538可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體1504上的資源獲得/釋放指令1558),該等功能例如與以下操作有關:回應於資源建立請求來獲得針對客戶端設備的網路位址在及/或釋放用於客戶端設備的一或多個資源。
圖16(包括圖16A和16B)是根據本案內容的各態樣,圖示用於在IoT網路架構中進行通訊的方法的流程圖1600。該方法可以由諸如實施IoT功能單元(例如,控制平面IoT功能單元,其例如圖1的IoTF-C 106)的網路設備等裝置(例如,圖1中的網路設備105或圖15中的裝置1500)來執行。但是應當理解的是,在圖16中利用虛線表示的動作表示可選的操作。
該裝置從客戶端設備接收對與網路進行通訊的請求1602。該裝置建立針對與客戶端設備的連接的安全上下文,其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法,及/或完整性保護金鑰1603。在一個態樣,該安全上下文是由於成功的認證和金鑰協商程序而建立的。
該裝置產生針對客戶端設備的上下文,該上下文指示與客戶端設備相關聯的網路狀態資訊1604。在一個態樣,該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法及/或完整性保護金鑰。例如,網路狀態資訊可以使得該裝置能夠聯絡客戶端設備以發送訊息。
該裝置基於該上下文來產生一或多個加密的網路可達性上下文1606。在一個態樣,該裝置藉由加密以下各項中的至少一個來產生一或多個加密的網路可達性上下文:控制平面(CP)客戶端設備上下文,及/或用於下行鏈路(DL)封包傳送的使用者平面(UP)客戶端設備上下文。
該裝置向網路實體發送一或多個加密的網路可達性上下文1608。在一個態樣,該一或多個加密的網路可達性上下文有助於減少在該裝置處保持的上下文的量,並當該裝置從網路實體接收到要向客戶端設備發送的訊息時,使得能夠重建針對客戶端設備的上下文。
該裝置從網路實體接收要發送至客戶端設備的控制封包、以及一或多個加密的網路可達性上下文1610。該裝置決定用於產生該一或多個加密的網路可達性上下文的金鑰1612。該裝置使用該金鑰來產生第一訊息認證碼(MAC)1614。該裝置將第一MAC與一或多個加密的網路可達性上下文中的第二MAC進行比較,以便驗證該一或多個加密的網路可達性上下文1616。
該裝置使用一或多個加密的網路可達性上下文來重建該上下文1618。例如,該裝置藉由利用用於產生一或多個加密的網路可達性上下文的金鑰來解密該一或多個加密的網路可達性上下文,以及藉由獲得包括在該一或多個加密的網路可達性上下文中的網路狀態資訊,來重建該上下文。在此種實例中,該裝置基於網路狀態資訊來重建針對客戶端設備的上下文。該裝置基於重建的上下文來傳呼客戶端設備1620。該裝置利用針對客戶端設備的安全上下文來保護控制封包1622。在一個態樣,該裝置基於加密演算法、加密金鑰、完整性保護演算法及/或完整性保護金鑰中的至少一個來保護控制封包。該裝置發送包括控制封包的訊息1624。
圖17是根據本案內容的各態樣,圖示用於在IoT網路架構中進行通訊的方法的流程圖1700。該方法可以由諸如實施IoT功能單元(例如,使用者平面IoT功能單元,其例如圖1的IoTF-U 108)的網路設備等裝置(例如,圖1中的網路設備105或圖15中的裝置1500)來執行。但是應當理解的是,在圖17中利用虛線表示的動作表示可選的操作。
該裝置從網路實體接收要發送到客戶端設備的資料封包以及與該客戶端設備相關聯的一或多個加密的網路可達性上下文1702。例如,網路實體可以包括封包資料網路閘道(P-GW)或物聯網伺服器。在一個態樣,網路實體可以包括一或多個網路節點。該裝置獲得針對該一或多個加密的網路可達性上下文的金鑰(例如,金鑰KNRC-IoTF-U
)1704。
該裝置使用該金鑰來產生第一訊息認證碼1706。該裝置將第一訊息認證碼與一或多個加密的網路可達性上下文中的第二訊息認證碼進行比較,以便驗證該一或多個加密的網路可達性上下文1708。該裝置使用該金鑰來解密一或多個加密的網路可達性上下文,以獲得包括在一或多個加密的網路可達性上下文中的網路狀態資訊,該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法,及/或完整性保護金鑰1710。該裝置基於包括在一或多個加密的網路可達性上下文中的網路狀態資訊來重建針對客戶端設備的上下文1712。在一個態樣,網路狀態資訊亦包括使得網路設備能夠聯絡客戶端設備的資訊,以發送訊息。在一個態樣,使得網路設備能夠聯絡客戶端設備的資訊可以包括客戶端設備位置資訊(例如,服務或追蹤區域辨識符),以傳呼該客戶端設備。
該裝置基於加密演算法、加密金鑰、完整性保護演算法及/或完整性保護金鑰中的至少一個來保護資料封包1714。該裝置向客戶端設備發送包括該資料封包的訊息1716。
圖18是根據本案內容的各態樣,圖示用於在IoT網路架構中進行通訊的方法的流程圖1800。該方法可以由諸如實施IoT功能單元(例如,控制平面IoT功能單元,其例如圖1的IoTF-C 106)的網路設備等裝置(例如,圖1中的網路設備105或圖15中的裝置1500)來執行。但是應當理解的是,在圖18中利用虛線表示的動作表示可選的操作。
該裝置(亦稱為第一網路設備)從客戶端設備接收控制封包1802。該裝置從第二裝置(例如,用於實施源控制平面IoTF-C的第二網路設備)請求客戶端設備上下文1804。在一個態樣,該裝置與相對於客戶端設備而言新的服務區域相關聯,該第二裝置與相對於客戶端設備而言舊的服務區相關聯,並且控制封包包括服務區域更新請求。在一個態樣,服務區域可以被稱為追蹤區域而服務區域更新請求可以被稱為追蹤區域更新(TAU)請求。
該裝置從第二裝置接收客戶端設備上下文1806。該裝置基於該上下文來產生新的加密的網路可達性上下文1808。該裝置向網路實體(例如,IoT伺服器或其他服務網路實體)發送新的加密的網路可達性上下文1810。例如,加密的網路可達性上下文包括使得網路實體能夠聯絡客戶端設備的網路狀態資訊。該裝置向客戶端設備發送與裝置相關聯的全球唯一臨時辨識符1812。
圖19(包括圖19A和19B)是根據本案內容的各態樣,圖示用於在IoT網路架構中進行通訊的方法的流程圖1900。該方法可以由諸如實施IoT功能單元(例如,控制平面IoT功能單元,其例如圖1中的IoTF-C 106)的網路設備等裝置(例如,圖1中的網路設備105或圖15中的裝置1500)來執行。但是應當理解的是,在圖19中利用虛線表示的動作表示可選的操作。
該裝置建立針對與客戶端設備的連接的安全上下文,其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法,及/或完整性保護金鑰1902。在一個態樣,該安全上下文是由於成功的認證和金鑰協商程序而建立的。
該裝置產生針對客戶端設備的上下文,該上下文指示與客戶端設備相關聯的網路狀態資訊1904。在一個態樣,該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法及/或完整性保護金鑰。例如,該網路狀態資訊可以使得該裝置能夠聯絡客戶端設備以發送訊息。
該裝置基於該上下文產生一或多個加密的網路可達性上下文1906。在一個態樣,該裝置經由加密以下各項中的至少一項來產生一或多個加密的網路可達性上下文:控制平面(CP)客戶端設備上下文,及/或用於下行鏈路(DL)封包傳送的使用者平面(UP)客戶端設備上下文。
該裝置向網路實體發送一或多個加密的網路可達性上下文1908。在一個態樣,該一或多個加密的網路可達性上下文有助於減少在該裝置處保持的上下文的量,並當該裝置從網路實體接收到要發送至客戶端設備的訊息時,使得能夠重建針對客戶端設備的上下文。
該裝置移除上下文1910。該裝置從網路實體接收到資源建立請求和一或多個加密的網路可達性上下文中的至少一個1912。該裝置回應於資源建立請求來獲得針對客戶端設備的網路位址1914。該裝置向客戶端設備和網路實體發送該網路位址1916。
在一個態樣,該裝置當計時器在從客戶端設備至網路的傳輸之前或者從網路至客戶端設備的傳輸之前到期時,向閘道發送資源釋放請求訊息1918。在一個態樣,資源釋放請求訊息使得閘道能夠釋放用於客戶端設備的一或多個資源。在另一個態樣,該裝置從網路實體接收資源釋放請求訊息1920。在此種態樣,該裝置將來自網路實體的資源釋放請求訊息發送至閘道1922。在一個態樣,該資源釋放請求訊息使得閘道釋放用於客戶端設備的一或多個資源。在一些態樣,可以替代地執行操作1918和操作1920與1922。例如,若執行了操作1918,則可以不執行操作1920和1922。作為另一個實例,若執行了操作1920和1922,則可以不執行操作1918。
圖20(包括圖20A和20B)是根據本案內容的各態樣,圖示用於在IoT網路架構中進行通訊的方法的流程圖2000。該方法可以由諸如實施IoT功能單元(例如,控制平面IoT功能單元,其例如圖1中的IoTF-C 106)的網路設備等裝置(例如,圖1中的網路設備105或圖15中的裝置1500)來執行。但是應當理解的是,在圖20中利用虛線表示的動作表示可選的操作。
該裝置建立針對與客戶端設備的連接的安全上下文,其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法,及/或完整性保護金鑰2002。在一個態樣,該安全上下文是由於成功的認證和金鑰協商程序而建立的。
該裝置產生針對客戶端設備的上下文,該上下文指示與客戶端設備相關聯的網路狀態資訊2004。在一個態樣,該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法及/或完整性保護金鑰。例如,網路狀態資訊可以使得該裝置能夠聯絡客戶端設備以發送訊息。
該裝置基於該上下文來產生一或多個加密的網路可達性上下文2006。在一個態樣,該裝置經由加密以下各項中的至少一項來產生一或多個加密的網路可達性上下文:控制平面(CP)客戶端設備上下文,及/或用於下行鏈路(DL)封包傳送的使用者平面(UP)客戶端設備上下文。
該裝置向網路實體發送一或多個加密的網路可達性上下文2008。在一個態樣,該一或多個加密的網路可達性上下文有助於減少在該裝置處保持的上下文的量,並當該裝置從網路實體接收到要發送至客戶端設備的訊息時,使得能夠重建針對客戶端設備的上下文。
該裝置移除上下文2010。該裝置接收一或多個加密的網路可達性上下文中的至少一個以及與一或多個加密的網路可達性上下文中的至少一個相關聯的使用資訊2012。在一個態樣,該裝置可以在來自網路實體(例如,IoT伺服器909)的訊息中接收一或多個加密的網路可達性上下文中的至少一個以及與一或多個加密的網路可達性上下文中的至少一個相關聯的使用資訊。該裝置基於一或多個加密的網路可達性上下文中的至少一個與該使用資訊來重建上下文的至少一部分2014。當使用資訊指示減少的資料傳輸時,該裝置在第一閥值時間段內保持上下文的至少一部分,或當使用資訊指示短脈衝資料傳輸時,在第二閥值時間段內保持上下文的至少一部分,該第二閥值時間段大於該第一閥值時間段2016。示例性裝置(例如, P-GW )以及其上的方法
圖21是根據本案內容(例如,與以下描述的圖22的方法有關的態樣)的一或多個態樣的裝置2100的圖示。裝置2100包括通訊介面(例如,至少一個收發機)2102、儲存媒體2104、使用者介面2106、記憶體設備2108、以及處理電路2110。在一個態樣,裝置2100可以是諸如P-GW(例如,至少先前相對於圖8描述的P-GW 810)等包括網路中的一或多個節點的網路實體。但是應當理解,此種網路設備可以實施為單個網路實體或多個網路實體。
該等部件可以經由訊號傳遞匯流排或其他適當部件互相耦合及/或被放置為互相電通訊,該訊號傳遞匯流排或其他適當部件由圖21中的連接線整體表示。取決於處理電路2110的特定應用和整體設計約束,訊號傳遞匯流排可以包括任何數量的互連匯流排和橋接器。訊號傳遞匯流排將各種電路連結在一起,使得通訊介面2102、儲存媒體2104、使用者介面2106、以及記憶體設備2108中的每一個耦合到處理電路2110及/或與處理電路2110電通訊。訊號傳遞匯流排亦可以連結各種其他電路(未圖示),其例如時序源、周邊設備、電壓調節器和電源管理電路,其在本領域中是公知的,並且因此,將不再進一步描述。
通訊介面2102可以適於促進裝置2100的無線通訊。例如,通訊介面2102可以包括電路及/或代碼(例如,指令),其適於促進相對於網路中的一或多個通訊設備的雙向地資訊通訊。通訊介面2102可以耦合到用於無線通訊系統內的無線通訊的一或多個天線2112。通訊介面2102可以被配置具有一或多個獨立的接收器及/或發射器,以及一或多個收發機。在圖示的實例中,通訊介面2102包括發射器2114和接收器2116。
記憶體設備2108可以表示一或多個記憶體設備。如所指示的,記憶體設備2108可以保持與網路相關的資訊/以及由裝置2100所使用的其他資訊。在一些實施中,記憶體設備2108和儲存媒體2104被實施為共用記憶體部件。記憶體設備2108亦可以用於儲存由處理電路2110或裝置2100的一些其他部件所操縱的資料。
儲存媒體2104可以表示用於儲存代碼的一或多個電腦可讀、機器可讀及/或處理器可讀設備,該代碼例如處理器可執行代碼或指令(例如,軟體、韌體)、電子資料、資料庫或其他數位資訊。儲存媒體2104亦可以用於儲存由處理電路2110在執行代碼時所操縱的資料。儲存媒體2104可以是能夠由通用或專用處理器存取的任何可用媒體,其包括可攜式或固定的儲存設備、光學儲存設備,以及能夠儲存、包含或攜帶代碼的各種其他媒體。
經由舉例而非限制的方式,儲存媒體2104可以包括磁儲存設備(例如,硬碟、軟碟、磁帶等)、光碟(例如,壓縮光碟(CD)或數位多功能光碟(DVD))、智慧卡、快閃記憶體設備(例如,卡、棒、鍵式磁碟)、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可程式設計ROM(PROM)、可抹除PROM(EPROM)、電子可抹除PROM(EEPROM)、暫存器、可移除磁碟、以及用於儲存可由電腦存取和讀取的代碼的任意其他適當媒體。儲存媒體2104可以體現在製品(例如,電腦程式產品)中。舉例而言,電腦程式產品可以包括封裝材料中的電腦可讀取媒體。鑒於上述情況,在一些實施中,儲存媒體2104可以是非暫時性(例如,有形)儲存媒體。
儲存媒體2104可以耦合到處理電路2110,使得處理電路2110可以從儲存媒體2104讀取資訊,以及將資訊寫入儲存媒體2104。亦即,儲存媒體2104可以耦合到處理電路2110,使得儲存媒體2104至少由處理電路2110可存取,此包括至少一個儲存媒體整合到處理電路2110的實例及/或至少一個儲存媒體與處理電路2110分開的實例(例如,常駐在裝置2100中、在裝置2100外部、跨越多個實體分佈等)。
當儲存媒體2104儲存的代碼及/或指令由處理電路2110執行時,使得處理電路2110執行本文中所描述的各種功能及/或處理操作中的一或多個。例如,儲存媒體2104可以包括被配置用於調節在處理電路2110中的一或多個硬體模組處的操作的操作,以及利用通訊介面2102來利用其各自的通訊協定進行無線通訊的操作。
處理電路2110通常適於進行處理,其包括對儲存在儲存媒體2104上此種代碼/指令的執行。如本文所使用的,無論被稱為軟體、韌體、中間軟體、微代碼、硬體描述語言還是其他術語,術語「代碼」或「指令」應當被廣義地解釋為包括但不限於程式設計、指令、指令集、資料、代碼、程式碼片段、程式碼、程式、副程式、軟體模組、應用、軟體應用、套裝軟體、常式、子常式、物件、可執行檔、執行的執行緒、程序、函數等。
處理電路2110被佈置為獲得、處理及/或發送資料、控制資料存取和儲存、發出命令以及控制其他期望的操作。處理電路2110可以包括被配置為在至少一個實例中實施由適當的媒體提供的期望的代碼的電路。例如,處理電路2110可以被實施為一或多個處理器、一或多個控制器及/或被配置為執行可執行代碼的其他結構。處理電路2110的實例可以包括被設計為執行本文描述的功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或其他可程式設計邏輯部件、個別閘門或電晶體邏輯裝置、個別的硬體部件,或其任意組合。通用處理器可以包括微處理器,以及任何一般處理器、控制器、微控制器,或狀態機。處理電路2110亦可以實施為計算部件的組合,例如DSP和微處理器的組合、多個微處理器、一或多個微處理器與DSP核心的結合、ASIC和微處理器,或者任何其他數量的不同配置。處理電路2110的該等實例是為了說明,並且亦可以考慮本案內容的範疇內的其他適當的結構。
根據本案內容的一或多個態樣,處理電路2110可以適於執行針對本文所描述的任意或所有裝置的任意或所有特徵、過程、功能、操作及/或常式。如本文所用的,涉及處理電路2110的術語「適於」可以指的是處理電路2110被執行配置、使用、實施及/或程式設計操作中的一或多個,以根據本文描述的各種特徵來執行特定的過程、功能、操作及/或常式。
根據裝置2100的至少一個實例,處理電路2110可以包括以下各項中的一項或多項:發送電路/模組2120、接收電路/模組2122、加密的網路可達性上下文關聯電路/模組2124、加密的網路可達性上下文決定電路/模組2126、訊息產生電路/模組2128和加密的網路可達性上下文儲存電路/模組2130,其適於執行本文中所描述的任意或所有特徵、過程、功能、操作及/或常式(例如,關於圖18描述的特徵、過程、功能、操作及/或常式)。
發送電路/模組2120可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體2104上的發送指令2140),該等功能例如與以下操作有關:向客戶端設備發送包括一或多個加密的網路可達性上下文的訊息,其中該一或多個加密的網路可達性上下文包括使得網路實體(例如,P-GW)能夠聯絡客戶端設備的網路狀態資訊。
接收電路/模組2122可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體2104上的接收指令2142),該等功能例如與以下操作有關:從網路設備接收針對客戶端設備的一或多個加密的網路可達性上下文,及/或接收要發送到客戶端設備的封包(例如,下行鏈路資料封包)。
加密的網路可達性上下文關聯電路/模組2124可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體2104上的加密的網路可達性上下文關聯指令2144),該等功能例如與以下操作有關:將一或多個加密的網路可達性上下文與客戶端設備相關聯。
加密的網路可達性上下文決定電路/模組2126可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體2104上的加密的網路可達性上下文決定指令2146),該等功能例如與以下操作有關:決定與客戶端設備相對應的一或多個加密的網路可達性上下文。
訊息產生電路/模組2128可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體2104上的訊息產生指令2148),該等功能例如與以下操作有關:產生要傳送給客戶端設備的訊息,該訊息包括加密的網路可達性上下文。
加密的網路可達性上下文儲存電路/模組2130可以包括適於執行若干功能的電路及/或指令(例如,儲存在儲存媒體2104上的加密的網路可達性上下文儲存指令2150),該等功能例如與以下操作有關:儲存一或多個加密的網路可達性上下文。
圖22是根據本案內容的各態樣,圖示用於在IoT網路架構中進行通訊的方法的流程圖2200。該方法可以由諸如網路實體(例如P-GW,其例如圖8中的P-GW 810或圖21中的裝置2100)等裝置來執行。但是應當理解的是,在圖22中利用虛線表示的動作表示可選的操作。
該裝置從網路設備接收針對客戶端設備的一或多個加密的網路可達性上下文2202。例如,客戶端設備可以是IoT設備和可以實施使用者平面IoT功能單元的網路設備(例如,圖1中的IoTF-U 108)。在一個態樣,一或多個加密的網路可達性上下文有助於減少在該網路實體處保持的上下文的量,以及使得能夠重建針對客戶端設備的上下文。在一個態樣,該裝置儲存一或多個加密的網路可達性上下文2204,並將該一或多個加密的網路可達性上下文與客戶端設備相關聯2206。在此種態樣,該裝置接收要發送到客戶端設備的封包2208。例如,該封包可以是來自意欲該客戶端設備的IoT伺服器的下行鏈路資料封包。該裝置決定與客戶端設備相對應的一或多個加密的網路可達性上下文2210。
該裝置產生要向客戶端設備傳送的訊息,該訊息包括一或多個加密的網路可達性上下文2212。在一個態樣,該裝置在所產生的訊息中包括所接收的封包。該裝置向客戶端設備發送包括該一或多個加密的網路可達性上下文的訊息2214。在一個態樣,該一或多個加密的網路可達性上下文包括使得該網路實體能夠聯絡客戶端設備的網路狀態資訊。
可以重新安排圖中所示的部件、步驟、特徵及/或功能中的一或多個及/或將其組合成單個部件、步驟、特徵或功能,或在若干個部件、步驟,或功能中體現。亦可以在不脫離本文所揭示的新穎性特徵的情況下添加額外的部件、部件、步驟及/或功能。圖中所示的裝置、設備及/或部件可以被配置為執行本文所描述的方法、特徵,或步驟中的一或多個。亦可以在軟體中有效地實施本文中描述的新穎性演算法及/或將其嵌入在硬體中。
應當理解的是,本文所揭示方法中的步驟的特定次序或層次是對示例性過程的說明。應當理解,根據設計偏好,可以重新排列方法中的步驟的特定次序或層次。所附的方法請求項以示例性次序呈現了多個步驟的要素,並且除非其中明確地記載,否則其並不意味著受限於所呈現的特定次序或層次。在不脫離本案內容的情況下,亦可以添加或者不使用額外的部件、部件、步驟,及/或功能。
儘管已經相對於某些實施和附圖來論述了本案內容的特徵,但本案內容的所有實施可以包括本文所論述的有利特徵中的一或多個。換言之,儘管一或多個實施可能被論述為具有某些有利特徵,但是亦可以根據本文所論述的各種實施中的任意實施來使用一或多個此種特徵。以類似的方式,儘管示例性實施在本文中已被論述為設備、系統,或方法實施,但是應該理解的是,可以在各種設備、系統和方法中實施此種示例性實施。
另外,應當注意的是,至少一些實施已經被描述為過程,該過程被圖示為流程圖、流程圖、結構圖,或方塊圖。儘管流程圖可以將操作描述為順序過程,但是許多操作可以並行或同時執行。此外,可以重新安排操作的次序。當過程的操作完成時,該過程終止。在一些態樣,過程可以對應於方法、函數、程序、子常式、副程式等。當過程對應於函數時,其終止對應於該函數返回到調用函數或主函數。可以藉由儲存在機器可讀、電腦可讀,及/或處理器可讀儲存媒體中並由一或多個處理器、機器及/或設備可執行的程式設計(例如,指令及/或資料)來部分或完全實施本文所描述的各種方法中的一或多個。
本領域技藝人士亦應當明白,結合本文所揭示的實施來描述的各種示例性邏輯區塊、模組、電路和演算法步驟均可以實施成硬體、軟體、韌體、中間軟體、微代碼,或其任意組合。為了清楚地表示此種可交換性,上面對各種示例性的部件、方塊、模組、電路和步驟均圍繞其功能進行了整體描述。至於此種功能是實施成硬體還是實施成軟體,取決於特定的應用和對整個系統所施加的設計約束條件。
在本案內容中,詞語「示例性」用於表示「用作示例、實例或說明」。本文中描述為「示例性」的任何實施或態樣不必解釋為比本案內容的其他態樣更優選或更有優勢。同樣,術語「態樣」不要求本案內容的所有態樣皆包括所論述的特徵、優點或操作模式。本文中使用術語「耦合」來指示兩個物件之間的直接或間接耦合。例如,若物件A實體地接觸物件B,且物件B接觸物件C,則物件A和C可以仍然被認為是互相耦合——即使其不直接實體地互相接觸。例如,第一晶粒可以耦合到封裝中的第二晶粒,即使第一晶粒不直接與第二晶粒實體接觸。廣泛地使用術語「電路」和「電路系統」,並且其意欲包括電子設備和導體的硬體實施(當其被連接和配置時,使得能夠執行在本案內容中描述的功能,而不限制電子電路的類型)以及資訊和指令的軟體實施(當由處理器執行時,使得能夠執行本案內容中描述的功能)該二者。
如本文使用的,術語「決定」涵蓋各種各樣的動作。例如,「決定」可以包括運算、計算、處理、推導、調查、檢視(例如,在表、資料庫或另一資料結構中檢視)、發現等。此外,「決定」可以包括接收(例如,接收資訊)、存取(例如,存取記憶體中的資料)等等。另外,「決定」可以包括解析、選擇、選取、建立等等。
為使本領域任何技藝人士能夠實踐本文中所描述的各個態樣,提供了之前的描述。對於本領域技藝人士而言,對該等態樣的各種修改將是顯而易見的,並且,本文中定義的一般原理可以適用於其他態樣。因此,請求項並不意欲限於本文中所圖示的態樣,而是要符合與請求項語言相一致的最廣範圍,其中以單數形式對要素的引用並不意欲意味著「一個並且僅一個」(除非特別如此說明),而指的是「一或多個」。除非另外特別說明,否則術語「一些」指的是一或多個。代表專案列表「中的至少一個」的用語指的是該等專案的任意組合,包括單個成員。舉例而言,「a、b或c中的至少一個」意欲涵蓋:a;b;c;a和b;a和c;b和c;及a、b和c。貫穿本案內容來描述的各個態樣的要素的所有結構均等物和功能均等物(對於本領域一般技藝人士而言是已知的或稍後要知道的)藉由引用明確地併入本文,並且意欲由請求項所包含。另外,本文中揭示的所有內容均不是要貢獻給公眾的,不論此種揭示內容是否在請求項中進行了明確地陳述。請求項的任何要素皆不應當根據美國專利法施行細則第18條第8項的規定進行解釋,除非該要素明確地使用用語「用於……的構件」來陳述,或者,在方法請求項的情形下,該要素使用用語「用於……的步驟」來陳述。
因此,在不脫離本案內容的範疇的情況下,與本文描述的示例相關聯並在附圖中圖示的各種特徵可以以不同的實例和實施方式來實施。因此,儘管已經描述並在附圖中圖示某些特定的結構和佈置,但此種實施僅是說明性的而不限制本案內容的範疇,此是因為對本領域一般技藝人士而言,對所描述的實施的各種其他添加和修改以及刪除將是顯而易見的。因此,本案內容的保護範疇僅由隨後的請求項的字面語言和法律均等物來決定。
100‧‧‧IoT網路架構
102‧‧‧客戶端設備
104‧‧‧網路存取節點
105‧‧‧網路設備
106‧‧‧控制平面IoT功能單元(IoTF-C)
107‧‧‧第一網路節點
108‧‧‧使用者平面IoT功能單元(IoTF-U)
109‧‧‧第二網路節點
110‧‧‧服務網路
112‧‧‧HSS/AAA伺服器
114‧‧‧第二S1連接
116‧‧‧第一S1連接
118‧‧‧簡訊實體(SME)
120‧‧‧機器類型通訊互通功能單元(MTC-IWF)
122‧‧‧IoT伺服器
124‧‧‧封包資料網路(PDN)閘道(P-GW)
126‧‧‧控制平面(CP)金鑰
128‧‧‧使用者平面(UP)金鑰
130‧‧‧上下文金鑰
131‧‧‧上下文金鑰
200‧‧‧金鑰層
202‧‧‧金鑰KIoT
204‧‧‧IK/CK
206‧‧‧金鑰KASME
208‧‧‧控制平面金鑰(KCP)
210‧‧‧加密金鑰KIoT-CPenc
212‧‧‧完整性保護金鑰KIoT-CPint
214‧‧‧使用者平面金鑰(KUP)
216‧‧‧加密金鑰KIoT-UPenc
218‧‧‧完整性保護金鑰KIoT-UPint
300‧‧‧金鑰層
302‧‧‧上下文金鑰KNRC-IoTF
304‧‧‧網路可達性上下文(NRC)加密金鑰(KNRC-IoTF-C)
306‧‧‧網路可達性上下文(NRC)加密金鑰(KNRC-IoTF-U)
400‧‧‧網路
402‧‧‧客戶端設備
404‧‧‧網路存取節點
406‧‧‧進化封包核心(EPC)
408‧‧‧行動性管理實體(MME)
410‧‧‧封包資料網路閘道(P-GW)/服務閘道(S-GW)
412‧‧‧歸屬用戶伺服器(HSS)
414‧‧‧上下文
416‧‧‧上下文
418‧‧‧上下文
420‧‧‧上下文
422‧‧‧上下文
424‧‧‧上下文
426‧‧‧上下文
428‧‧‧上下文
500‧‧‧IoT網路架構
502‧‧‧客戶端設備
504‧‧‧網路存取節點
505‧‧‧網路設備
506‧‧‧控制平面IoT功能單元(IoTF-C)
507‧‧‧網路節點
508‧‧‧使用者平面IoT功能單元(IoTF-U)
509‧‧‧網路節點
510‧‧‧服務網路
512‧‧‧歸屬用戶伺服器(HSS)/認證、授權和計費(AAA)伺服器
514‧‧‧第二S1連接
516‧‧‧第一S1連接
518‧‧‧簡訊實體(SME)
520‧‧‧機器類型通訊互通功能單元(MTC-IWF)
522‧‧‧IoT伺服器
524‧‧‧封包資料網路(PDN)閘道(P-GW)
526‧‧‧CP金鑰
528‧‧‧UP金鑰
530‧‧‧上下文金鑰
531‧‧‧上下文金鑰
532‧‧‧附著請求
534‧‧‧請求
535‧‧‧認證資訊
536‧‧‧信號
538‧‧‧訊息
600‧‧‧信號流程圖
602‧‧‧客戶端設備
604‧‧‧IoT設備
605‧‧‧網路節點
606‧‧‧IoTF-C
607‧‧‧網路節點
608‧‧‧IoTF-U
609‧‧‧服務網路
610‧‧‧歸屬用戶伺服器(HSS)
612‧‧‧請求
614‧‧‧RRC連接建立訊息
616‧‧‧RRC連接建立完成訊息
618‧‧‧初始客戶端設備訊息
620‧‧‧AKA程序
621‧‧‧通訊
622‧‧‧訊息
623‧‧‧初始上下文建立請求訊息
624‧‧‧訊息
626‧‧‧RRC連接重配置訊息
628‧‧‧RRC連接重配置完成訊息
630‧‧‧第一訊息
632‧‧‧第二訊息
634‧‧‧第三訊息
636‧‧‧轉換
638‧‧‧移除
700‧‧‧IoT網路架構
702‧‧‧客戶端設備
704‧‧‧網路存取節點
705‧‧‧網路設備
706‧‧‧控制平面IoT功能單元(IoTF-C)
707‧‧‧網路節點
708‧‧‧使用者平面IoT功能單元(IoTF-U)
709‧‧‧網路節點
710‧‧‧服務網路
712‧‧‧歸屬用戶伺服器(HSS)/認證、授權和計費(AAA)伺服器
718‧‧‧簡訊實體(SME)
720‧‧‧機器類型通訊互通功能單元(MTC-IWF)
722‧‧‧IoT伺服器
724‧‧‧封包資料網路(PDN)閘道(P-GW)
726‧‧‧CP金鑰
728‧‧‧UP金鑰
730‧‧‧上下文金鑰
731‧‧‧上下文金鑰
732‧‧‧第一訊息
734‧‧‧第二訊息
736‧‧‧第三訊息
800‧‧‧信號流程圖
802‧‧‧客戶端設備
804‧‧‧網路存取節點
805‧‧‧網路節點
806‧‧‧IoTF-C
807‧‧‧網路節點
808‧‧‧IoTF-U
810‧‧‧P-GW
812‧‧‧IoT伺服器
814‧‧‧下行鏈路(DL)訊息
816‧‧‧訊息
817‧‧‧重建
818‧‧‧DL資料通知訊息
820‧‧‧傳呼訊息
822‧‧‧傳呼訊息
824‧‧‧RRC連接請求訊息
826‧‧‧決定
828‧‧‧轉發訊息
830‧‧‧儲存
832‧‧‧客戶端設備回應通知訊息
834‧‧‧訊息
836‧‧‧轉發訊息
838‧‧‧轉換
840‧‧‧移除
900‧‧‧信號流程圖
902‧‧‧客戶端設備
904‧‧‧網路節點
906‧‧‧網路節點
908‧‧‧P-GW
909‧‧‧IoT伺服器
910‧‧‧P-GW
912‧‧‧IoTF-C
914‧‧‧移除
916‧‧‧資源建立請求訊息
918‧‧‧資源建立操作
920‧‧‧DL資料
922‧‧‧資源釋放請求訊息1
924‧‧‧閒置模式
926‧‧‧計時器
928‧‧‧資源釋放請求訊息2
930‧‧‧資源釋放請求訊息3
932‧‧‧資源釋放請求訊息4
934‧‧‧移除
1000‧‧‧信號流程圖
1002‧‧‧客戶端設備
1004‧‧‧網路存取節點
1006‧‧‧網路節點
1008‧‧‧P-GW
1009‧‧‧IoT伺服器
1010‧‧‧使用者平面功能單元
1012‧‧‧控制平面功能單元
1014‧‧‧移除
1016‧‧‧資源建立請求訊息
1018‧‧‧資源建立操作
1020‧‧‧下行鏈路(DL)資料
1022‧‧‧資源釋放請求訊息1
1024‧‧‧閒置模式
1026‧‧‧計時器
1028‧‧‧資源釋放請求訊息2
1030‧‧‧資源釋放請求訊息3
1032‧‧‧資源釋放請求訊息4
1034‧‧‧移除
1100‧‧‧控制平面協定堆疊
1102‧‧‧客戶端設備協定堆疊
1104‧‧‧網路存取節點協定堆疊
1105‧‧‧網路節點
1106‧‧‧IoTF協定堆疊
1108‧‧‧服務網路通訊協定堆疊
1110‧‧‧實體(PHY)層
1112‧‧‧媒體存取控制(MAC)層
1114‧‧‧無線電鏈路控制(RLC)層
1116‧‧‧封包資料收斂協定(PDCP)層
1120‧‧‧控制(Ctrl)層
1122‧‧‧PHY層
1124‧‧‧MAC層
1126‧‧‧RLC層
1128‧‧‧PDCP層
1130‧‧‧乙太網路層
1132‧‧‧MAC層
1134‧‧‧網際網路協定(IP)層
1136‧‧‧使用者資料包通訊協定(UDP)層
1138‧‧‧控制平面GPRS隧道協定(GTP-C)層
1140‧‧‧乙太網路層
1142‧‧‧MAC層
1144‧‧‧IP層
1146‧‧‧UDP層
1148‧‧‧GTP-C層
1150‧‧‧上下文協定層
1152‧‧‧控制(Ctrl)層
1154‧‧‧IP層
1156‧‧‧UDP層
1158‧‧‧、GTP-C層
1160‧‧‧上下文協定層
1162‧‧‧Ctrl層
1200‧‧‧使用者平面協定堆疊
1202‧‧‧客戶端設備協定堆疊
1204‧‧‧網路存取節點協定堆疊
1205‧‧‧網路節點
1206‧‧‧IoTF協定堆疊
1208‧‧‧服務網路通訊協定堆疊
1210‧‧‧實體(PHY)層
1212‧‧‧媒體存取控制(MAC)層
1214‧‧‧無線電鏈路控制(RLC)層
1216‧‧‧封包資料收斂協定(PDCP)層
1220‧‧‧使用者平面(UP)層
1222‧‧‧PHY層
1224‧‧‧MAC層
1226‧‧‧RLC層
1228‧‧‧PDCP層
1230‧‧‧乙太網路層
1232‧‧‧MAC層
1234‧‧‧網際網路協定(IP)層
1236‧‧‧使用者資料包通訊協定(UDP)層
1238‧‧‧使用者平面GPRS隧道協定(GTP-U)層
1240‧‧‧乙太網路層
1242‧‧‧MAC層
1244‧‧‧IP層
1246‧‧‧UDP層
1248‧‧‧GTP-U層
1250‧‧‧上下文協定層
1252‧‧‧使用者平面(UP)層
1254‧‧‧IP層
1256‧‧‧UDP層
1258‧‧‧GTP-U層
1260‧‧‧上下文協定層
1262‧‧‧使用者平面(UP)層
1264‧‧‧區域
1266‧‧‧IP協定
1268‧‧‧區域
1300‧‧‧封包格式
1302‧‧‧臨時辨識符(TID)欄位
1304‧‧‧IoTF ID(IID)欄位
1306‧‧‧安全標頭欄位
1308‧‧‧網路可達性上下文欄位
1310‧‧‧有效負荷欄位
1312‧‧‧MAC欄位
1400‧‧‧信號流程圖
1402‧‧‧客戶端設備
1404‧‧‧網路存取節點
1405‧‧‧目標網路設備
1406‧‧‧目標IoTF-C
1407‧‧‧源網路設備
1408‧‧‧源IoTF-C
1410‧‧‧P-GW
1412‧‧‧IoT伺服器
1414‧‧‧資料傳送請求訊息
1416‧‧‧決定
1418‧‧‧訊息
1420‧‧‧訊息
1422‧‧‧訊息
1424‧‧‧儲存
1426‧‧‧訊息
1428‧‧‧訊息
1430‧‧‧訊息
1500‧‧‧裝置
1502‧‧‧通訊介面
1504‧‧‧儲存媒體
1506‧‧‧使用者介面
1508‧‧‧記憶體設備
1510‧‧‧處理電路
1512‧‧‧天線
1514‧‧‧發射器
1516‧‧‧接收器
1520‧‧‧接收電路/模組
1522‧‧‧發送電路/模組
1523‧‧‧安全上下文建立電路/模組
1524‧‧‧上下文產生電路/模組
1526‧‧‧加密的網路可達性上下文產生電路/模組
1528‧‧‧加密的網路可達性上下文驗證電路/模組
1530‧‧‧上下文重建/移除電路/模組
1532‧‧‧客戶端設備傳呼電路/模組
1534‧‧‧封包保護電路/模組
1536‧‧‧客戶端設備上下文請求電路/模組
1538‧‧‧資源獲得/釋放電路模組
1540‧‧‧接收指令
1542‧‧‧發送指令
1543‧‧‧安全上下文建立指令
1544‧‧‧上下文產生指令
1546‧‧‧加密的網路可達性上下文產生指令
1548‧‧‧加密的網路可達性上下文驗證指令
1550‧‧‧上下文重建/移除指令
1552‧‧‧客戶端設備傳呼指令
1554‧‧‧封包保護指令
1556‧‧‧客戶端設備上下文請求指令
1558‧‧‧資源獲得/釋放指令
1600‧‧‧流程圖
1602‧‧‧方塊
1603‧‧‧方塊
1604‧‧‧方塊
1608‧‧‧方塊
1610‧‧‧方塊
1612‧‧‧方塊
1614‧‧‧方塊
1616‧‧‧方塊
1618‧‧‧方塊
1620‧‧‧方塊
1622‧‧‧方塊
1624‧‧‧方塊
1700‧‧‧流程圖
1702‧‧‧方塊
1704‧‧‧方塊
1706‧‧‧方塊
1708‧‧‧方塊
1710‧‧‧方塊
1712‧‧‧方塊
1714‧‧‧方塊
1716‧‧‧方塊
1800‧‧‧流程圖
1802‧‧‧方塊
1804‧‧‧方塊
1806‧‧‧方塊
1808‧‧‧方塊
1810‧‧‧方塊
1812‧‧‧方塊
1900‧‧‧流程圖
1902‧‧‧方塊
1904‧‧‧方塊
1906‧‧‧方塊
1908‧‧‧方塊
1910‧‧‧方塊
1912‧‧‧方塊
1914‧‧‧方塊
1916‧‧‧方塊
1918‧‧‧方塊
1920‧‧‧方塊
1922‧‧‧方塊
2000‧‧‧流程圖
2002‧‧‧方塊
2004‧‧‧方塊
2006‧‧‧方塊
2008‧‧‧方塊
2010‧‧‧方塊
2012‧‧‧方塊
2014‧‧‧方塊
2016‧‧‧方塊
2100‧‧‧裝置
2102‧‧‧通訊介面
2104‧‧‧儲存媒體
2106‧‧‧使用者介面
2108‧‧‧記憶體設備
2110‧‧‧處理電路
2112‧‧‧天線
2114‧‧‧發射器
2116‧‧‧接收器
2120‧‧‧發送電路/模組
2122‧‧‧接收電路/模組
2124‧‧‧加密的網路可達性上下文關聯電路/模組
2126‧‧‧加密的網路可達性上下文決定電路/模組
2128‧‧‧訊息產生電路/模組
2130‧‧‧加密的網路可達性上下文儲存電路/模組
2140‧‧‧發送指令
2142‧‧‧接收指令
2144‧‧‧加密的網路可達性上下文關聯指令
2146‧‧‧加密的網路可達性上下文決定指令
2148‧‧‧訊息產生指令
2150‧‧‧加密的網路可達性上下文儲存指令
2200‧‧‧流程圖
2202‧‧‧方塊
2204‧‧‧方塊
2206‧‧‧方塊
2208‧‧‧方塊
2210‧‧‧方塊
2212‧‧‧方塊
2214‧‧‧方塊
圖1是根據本案內容的各個態樣,物聯網路(IoT)網路架構的方塊圖。
圖2是根據本案內容的各個態樣,圖示用於IoT網路架構的金鑰層的示圖。
圖3是根據本案內容的各個態樣,圖示用於在IoT網路架構中加密上下文的金鑰層的示圖。
圖4是圖示針對網路中的客戶端設備的各種上下文的示圖。
圖5是根據本案內容的各個態樣,圖示在IoT網路架構中由客戶端設備進行的初始附著程序的方塊圖。
圖6是根據本案內容的各個態樣,在IoT網路架構中由客戶端設備進行的附著程序的信號流程圖。
圖7是根據本案內容的各個態樣,圖示在IoT網路架構中由客戶端設備發起的資料傳輸的方塊圖。
圖8是根據本案內容的各個態樣,在IoT網路架構中的客戶端設備終止的資料傳輸的信號流程圖。
圖9是根據本案內容的各個態樣,在IoT網路架構中的示例性資源建立和釋放的信號流程圖。
圖10是根據本案內容的各個態樣,在IoT網路架構中的示例性資源建立和釋放的信號流程圖。
圖11是根據本案內容的各個態樣,圖示用於IoT資料傳輸的控制平面協定堆疊的示圖。
圖12是根據本案內容的各個態樣,圖示用於IoT資料傳輸的使用者平面協定堆疊的示圖。
圖13是根據本案內容的各個態樣,用於在IoT網路架構中進行傳輸的封包格式的示圖。
圖14是根據本案內容的各個態樣,在IoT網路架構中的追蹤區域更新(TAU)程序的信號流程圖。
圖15是根據本案內容的各個態樣,被配置為支援與IoT網路架構中的通訊有關的操作的裝置的圖示。
圖16(包括圖16A和16B)根據本案內容的各個態樣,圖示用於在IoT網路架構中進行通訊的裝置中可操作的方法。
圖17根據本案內容的各個態樣,圖示用於在IoT網路架構中進行通訊的裝置中可操作的方法。
圖18根據本案內容的各個態樣,圖示用於在IoT網路架構中進行通訊的裝置中可操作的方法。
圖19(包括圖19A和19B)是根據本案內容的各個態樣,圖示用於在IoT網路架構中進行通訊的方法的流程圖。
圖20(包括圖20A和20B)是根據本案內容的各個態樣,圖示用於在IoT網路架構中進行通訊的方法的流程圖。
圖21是根據本案內容的各個態樣,被配置為支援與IoT網路架構中的通訊有關的操作的裝置的圖示。
圖22根據本案內容的各個態樣,圖示用於在IoT網路架構中進行通訊的裝置中可操作的方法。
國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無
國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無
(請換頁單獨記載) 無
800‧‧‧信號流程圖
802‧‧‧客戶端設備
804‧‧‧網路存取節點
805‧‧‧網路節點
806‧‧‧IoTF-C
807‧‧‧網路節點
808‧‧‧IoTF-U
810‧‧‧P-GW
812‧‧‧IoT伺服器
814‧‧‧下行鏈路(DL)訊息
816‧‧‧訊息
817‧‧‧重建
818‧‧‧DL資料通知訊息
820‧‧‧傳呼訊息
822‧‧‧傳呼訊息
824‧‧‧RRC連接請求訊息
826‧‧‧決定
828‧‧‧轉發訊息
830‧‧‧儲存
832‧‧‧客戶端設備回應通知訊息
834‧‧‧訊息
836‧‧‧轉發訊息
838‧‧‧轉換
840‧‧‧移除
Claims (41)
- 一種用於一網路設備的方法,包括以下步驟:建立針對與一客戶端設備的一連接的一安全上下文,其中該安全上下文至少包括一加密演算法、一加密金鑰、一完整性保護演算法、一完整性保護金鑰或其組合;產生針對該客戶端設備的一上下文,該上下文包括與該客戶端設備相關聯的網路狀態資訊,該網路狀態資訊至少包括該加密演算法、該加密金鑰、該完整性保護演算法、該完整性保護金鑰或其組合;基於該上下文產生一或多個加密的網路可達性上下文;及向一網路實體發送該一或多個加密的網路可達性上下文,其中該一或多個加密的網路可達性上下文有助於減少在該網路設備處保持的該上下文的一量,並當該網路設備從該網路實體接收到包括了要傳遞到該客戶端設備的一封包與該一或多個加密的網路可達性上下文兩者的一訊息時,使得能夠重建針對該客戶端設備的該上下文。
- 如請求項1所述之方法,其中該網路狀態資訊亦包括使得該網路設備能夠聯絡該客戶端設備以發送該訊息的資訊。
- 如請求項1所述之方法,亦包括以下步驟:從該網路實體接收要發送至該客戶端設備的以下步驟控制封包、以及該一或多個加密的網路可達性上下文;及使用該一或多個加密的網路可達性上下文來重建該上下文。
- 如請求項3所述之方法,亦包括以下步驟:決定用於產生該一或多個加密的網路可達性上下文的一金鑰;使用該金鑰來產生一第一訊息認證碼;及將該第一訊息認證碼與該一或多個加密的網路可達性上下文中的一第二訊息認證碼進行比較,以便驗證該一或多個加密的網路可達性上下文。
- 如請求項1所述之方法,亦包括以下步驟:基於該所重建的上下文來傳呼該客戶端設備。
- 如請求項1所述之方法,亦包括以下步驟:從該客戶端設備接收對與一網路進行通訊的一請求,其中該安全上下文是由於一成功的認證和金鑰協商程序而建立的,並且其中該網路實體包括一應用伺服器或一封包資料網路閘道中的至少一個。
- 如請求項1所述之方法,其中產生該一或多 個加密的網路可達性上下文之步驟包括以下步驟:加密以下各項中的至少一項:用於控制資訊的一控制平面客戶端設備上下文,或用於下行鏈路封包傳送的一使用者平面客戶端設備上下文。
- 如請求項1所述之方法,其中該一或多個加密的網路可達性上下文是基於對該一或多個加密的網路可達性上下文的一或多個相應使用而產生的。
- 如請求項1所述之方法,亦包括以下步驟:使用針對該客戶端設備的該安全上下文來保護一控制封包;及發送包括該控制封包的該訊息。
- 如請求項9所述之方法,其中保護該控制封包包括基於以下各項中的至少一項來保護該控制封包:該加密演算法、該加密金鑰、該完整性保護演算法,或該完整性保護金鑰。
- 如請求項1所述之方法,亦包括以下步驟:移除該上下文;從一網路實體接收該一或多個加密的網路可達性上下文中的至少一個以及一資源建立請求;回應於該資源建立請求來獲得針對該客戶端設備的一網路位址;及 向該客戶端設備和該網路實體發送該網路位址。
- 如請求項11所述之方法,亦包括以下步驟:從該網路實體接收一資源釋放請求訊息;及釋放用於該客戶端設備的一或多個資源。
- 如請求項11所述之方法,亦包括以下步驟:當一計時器在從該網路實體至該客戶端設備的一傳輸之前或者從該客戶端設備至該網路實體的一傳輸之前到期時,向一封包資料網路閘道發送一資源釋放請求訊息,其中該資源釋放請求訊息使得該封包資料網路閘道能夠釋放用於該客戶端設備的一或多個資源。
- 如請求項1所述之方法,亦包括以下步驟:移除該至少一個上下文;從該網路實體接收一訊息,該訊息包括該一或多個加密的網路可達性上下文中的至少一個、以及與該一或多個加密的網路可達性上下文相關聯的使用資訊;及基於該一或多個加密的網路可達性上下文中的至少一個以及該使用資訊來重建上下文的至少一部分。
- 如請求項14所述之方法,亦包括以下步驟:當該使用資訊指示一減少的資料傳輸時,在一第一閥值時間段內保持一上下文的該至少一部分,或當該使用資訊指示一短脈衝資料傳輸時,在一第二閥值時間段內保持一上下文的該至少一部分,該第二閥值時間段大於該第一閥值時間段。
- 如請求項14所述之方法,其中該使用資訊指示對該訊息的傳輸是一減少的資料傳輸還是一短脈衝資料傳輸。
- 一種網路設備,包括:一通訊電路,其被配置為與一或多個網路實體進行通訊;及一處理電路,其耦合到該通訊電路,該處理電路被配置為進行以下操作:建立針對與客戶端設備的一連接的一安全上下文,其中該安全上下文至少包括一加密演算法、一加密金鑰、一完整性保護演算法,或完整性保護金鑰;產生針對該客戶端設備的一上下文,該上下文包括與該客戶端設備相關聯的網路狀態資訊,該網路狀態資訊至少包括該加密演算法、該加密金鑰、該 完整性保護演算法,或該完整性保護金鑰;基於該上下文來產生一或多個加密的網路可達性上下文;及向一網路實體發送該一或多個加密的網路可達性上下文,其中該一或多個加密的網路可達性上下文有助於減少在該網路設備處保持的該上下文的一量,並當該網路設備從該網路實體接收到包括了要傳遞到該客戶端設備的一封包與該一或多個加密的網路可達性上下文兩者的一訊息時,使得能夠重建針對該客戶端設備的該上下文。
- 如請求項17所述之網路設備,其中該網路狀態資訊亦包括使得該網路設備能夠聯絡該客戶端設備以發送該訊息的資訊。
- 如請求項17所述之網路設備,其中該處理電路亦被配置為進行以下操作:從該網路實體接收要發送至該客戶端設備的一控制封包和該一或多個加密的一網路可達性上下文;及使用該一或多個加密的網路可達性上下文來重建該上下文。
- 如請求項19所述之網路設備,其中該處理電路亦被配置為進行以下操作:決定用於產生該一或多個加密的網路可達性上下 文的一金鑰;使用該金鑰來產生一第一訊息認證碼;及將該第一訊息認證碼與該一或多個加密的網路可達性上下文中的一第二訊息認證碼進行比較,以便驗證該一或多個加密的網路可達性上下文。
- 如請求項17所述之網路設備,其中該處理電路亦被配置為進行以下操作:基於該所重建的上下文來傳呼該客戶端設備。
- 如請求項17所述之網路設備,其中該處理電路亦被配置為進行以下操作:從該客戶端設備接收對與一網路進行通訊的一請求,其中該安全上下文是由於一成功的認證和金鑰協商程序而建立的,並且其中該網路實體包括一應用伺服器或一封包資料網路閘道中的至少一個。
- 如請求項17所述之網路設備,其中被配置為產生該一或多個加密的網路可達性上下文的該處理電路亦被配置為進行以下操作:加密以下各項中的至少一項:用於控制資訊的一控制平面客戶端設備上下文,或用於下行鏈路封包傳送的一使用者平面客戶端設備上下文。
- 如請求項17所述之網路設備,其中該處 理電路亦被配置為進行以下操作:使用針對該客戶端設備的該安全上下文來保護一控制封包;及發送包括該控制封包的該訊息。
- 如請求項24所述之網路設備,其中被配置為保護該控制封包的該處理電路亦被配置為進行以下操作:基於以下各項中的至少一項來保護該控制封包:該加密演算法、該加密金鑰、該完整性保護演算法,或該完整性保護金鑰。
- 一種用於一網路設備的方法,包括以下步驟:從一網路實體接收一訊息,該訊息包括了要傳遞到一客戶端設備的一資料封包以及與該客戶端設備相關聯的一或多個加密的網路可達性上下文兩者;獲得針對該一或多個加密的網路可達性上下文的一金鑰;使用該金鑰來解密該一或多個加密的網路可達性上下文,以獲得包括在該一或多個加密的網路可達性上下文中的網路狀態資訊,該網路狀態資訊至少包括一加密演算法、一加密金鑰、一完整性保護演算法、一完整性保護金鑰,或其組合; 基於以下各項中的至少一個來保護該資料封包:該加密演算法、該加密金鑰、該完整性保護演算法、該完整性保護金鑰,或其組合;及向該客戶端設備發送包括該資料封包的訊息。
- 如請求項26所述之方法,亦包括以下步驟:基於包括在該一或多個加密的網路可達性上下文中的該網路狀態資訊,來重建針對該客戶端設備的一上下文。
- 如請求項26所述之方法,其中該網路狀態資訊亦包括使得該網路設備能夠聯絡該客戶端設備以發送該訊息的資訊。
- 如請求項26所述之方法,亦包括以下步驟:使用該金鑰來產生一第一訊息認證碼;及將該第一訊息認證碼與該一或多個加密的網路可達性上下文中的一第二訊息認證碼進行比較,以便驗證該加密的網路可達性上下文。
- 一種網路設備,包括:一通訊電路,其被配置為與一或多個網路實體進行通訊;及一處理電路,其耦合到該通訊電路,該處理電路被 配置為進行以下操作:從一網路實體接收一訊息,該訊息包括了要傳遞到客戶端設備的一資料封包以及與該客戶端設備相關聯的一或多個加密的網路可達性上下文兩者;獲得針對該一或多個加密的網路可達性上下文的一金鑰;使用該金鑰來解密該一或多個加密的網路可達性上下文,以獲得包括在該一或多個加密的網路可達性上下文中的網路狀態資訊,該網路狀態資訊至少包括一加密演算法、一加密金鑰、一完整性保護演算法或一完整性保護金鑰;基於以下各項中的至少一個來保護該資料封包:該加密演算法、該加密金鑰、該完整性保護演算法,或該完整性保護金鑰;及向該客戶端設備發送包括該資料封包的訊息。
- 如請求項30所述之網路設備,其中該處理電路亦被配置為進行以下操作:基於包括在該一或多個加密的網路可達性上下文中的該網路狀態資訊,來重建針對該客戶端設備的一上下文。
- 如請求項30所述之網路設備,其中該網路狀態資訊亦包括使得該網路設備能夠聯絡用於發 送該訊息的該客戶端設備的資訊。
- 如請求項30所述之網路設備,其中該處理電路亦被配置為進行以下操作:使用該金鑰來產生一第一訊息認證碼;及將該第一訊息認證碼與該一或多個加密的網路可達性上下文中的一第二訊息認證碼進行比較,以便驗證該一或多個加密的網路可達性上下文。
- 一種用於一網路實體的方法,包括以下步驟:從一網路設備接收針對一客戶端設備的一或多個加密的網路可達性上下文;產生針對該客戶端設備的一訊息,該訊息包括了要傳遞給該客戶端設備的一封包以及該一或多個加密的網路可達性上下文兩者;及向該客戶端設備發送該訊息,其中該一或多個加密的網路可達性上下文包括使得該網路實體能夠聯絡該客戶端設備的網路狀態資訊。
- 如請求項34所述之方法,其中該網路實體是一封包資料網路閘道,該方法亦包括以下步驟:儲存該一或多個加密的網路可達性上下文;將該一或多個加密的網路可達性上下文與該客戶端設備相關聯; 接收要發送到該客戶端設備的一封包,其中該封包包括在該所產生的訊息中;及決定與該客戶端設備相對應的該一或多個加密的網路可達性上下文。
- 如請求項35所述之方法,其中該一或多個加密的網路可達性上下文有助於減少在該網路實體處保持的一上下文的一量以及使得能夠重建針對該客戶端設備的一上下文。
- 如請求項34所述之方法,其中該網路實體至少包括一封包資料網路閘道或一伺服器。
- 一種網路實體,包括:一通訊電路,其被配置為與一或多個網路實體進行通訊;及一處理電路,其耦合到該通訊電路,該處理電路被配置為進行以下操作:從一網路設備接收針對客戶端設備的一或多個加密的網路可達性上下文;產生針對該客戶端設備的一訊息,該訊息包括了要傳遞給該客戶端設備的一封包以及該一或多個加密的網路可達性上下文兩者;及向該客戶端設備發送該訊息,其中該一或多個加密的網路可達性上下文包括使得該網路實體能夠 聯絡該客戶端設備的網路狀態資訊。
- 如請求項38所述之網路實體,其中該網路實體是一封包資料網路閘道,其中該處理電路亦被配置為進行以下操作:儲存該一或多個加密的網路可達性上下文;將該一或多個加密的網路可達性上下文與該客戶端設備相關聯;接收要發送到該客戶端設備的一封包,其中該封包包括在該所產生的訊息中;及決定與該客戶端設備相對應的該一或多個加密的網路可達性上下文。
- 如請求項39所述之網路實體,其中該一或多個加密的網路可達性上下文有助於減少在該網路實體處保持的一上下文的一量以及使得能夠重建針對該客戶端設備的一上下文。
- 如請求項38所述之網路實體,其中該網路實體至少包括一封包資料網路閘道或一伺服器。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562191458P | 2015-07-12 | 2015-07-12 | |
| US62/191,458 | 2015-07-12 | ||
| US201662320506P | 2016-04-09 | 2016-04-09 | |
| US62/320,506 | 2016-04-09 | ||
| US15/160,245 US10097995B2 (en) | 2015-07-12 | 2016-05-20 | Network architecture and security with encrypted network reachability contexts |
| US15/160,245 | 2016-05-20 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201705780A TW201705780A (zh) | 2017-02-01 |
| TWI726890B true TWI726890B (zh) | 2021-05-11 |
Family
ID=57731727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105118427A TWI726890B (zh) | 2015-07-12 | 2016-06-13 | 具有加密的網路可達性上下文的網路架構和安全 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10097995B2 (zh) |
| TW (1) | TWI726890B (zh) |
| WO (1) | WO2017011111A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10091649B2 (en) | 2015-07-12 | 2018-10-02 | Qualcomm Incorporated | Network architecture and security with encrypted client device contexts |
| MX2018005020A (es) * | 2015-10-30 | 2018-06-13 | Ericsson Telefon Ab L M | Busqueda en cobertura extendida. |
| CN106961722B (zh) * | 2016-01-12 | 2018-09-11 | 展讯通信(上海)有限公司 | 数据的传输方法及基站 |
| US10432399B2 (en) * | 2016-07-12 | 2019-10-01 | Huawei Technologies Co., Ltd. | Method and apparatus for storing context information in a mobile device |
| CN109586900B (zh) | 2017-09-29 | 2020-08-07 | 华为技术有限公司 | 数据安全处理方法及装置 |
| CN107948972B (zh) * | 2017-12-27 | 2021-03-09 | Oppo广东移动通信有限公司 | 数据业务的恢复方法及相关产品 |
| WO2020073197A1 (en) * | 2018-10-09 | 2020-04-16 | Lenovo (Beijing) Limited | Device information in a context setup request |
| US11477110B2 (en) * | 2019-04-05 | 2022-10-18 | Google Llc | Cloud network reachability analysis for virtual private clouds |
| US11470071B2 (en) * | 2020-04-20 | 2022-10-11 | Vmware, Inc. | Authentication for logical overlay network traffic |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130301611A1 (en) * | 2012-05-10 | 2013-11-14 | Samsung Electronics Co., Ltd. | Method and system for connectionless transmission during uplink and downlink of data packets |
| US20140126448A1 (en) * | 2011-06-22 | 2014-05-08 | Nec Europe Ltd. | Energy awareness in mobile communication user equipment and networks, including optimizations based on state compression |
| EP2757856A1 (en) * | 2013-01-17 | 2014-07-23 | Alcatel-Lucent | Optimization of context and/or connection management in a mobile communication system |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7020645B2 (en) | 2001-04-19 | 2006-03-28 | Eoriginal, Inc. | Systems and methods for state-less authentication |
| GB0619499D0 (en) | 2006-10-03 | 2006-11-08 | Lucent Technologies Inc | Encrypted data in a wireless telecommunications system |
| WO2008152611A1 (en) | 2007-06-15 | 2008-12-18 | Nokia Corporation | Apparatus, method and computer program product providing transparent container |
| EP2317822A1 (en) | 2009-10-29 | 2011-05-04 | Panasonic Corporation | Enhancement of the attachement procedure for re-attaching a UE to a 3GPP access network |
| CN102065417B (zh) | 2009-11-16 | 2014-02-19 | 华为技术有限公司 | 实现安全上下文信息同步的方法、设备及系统 |
| WO2012042041A1 (en) * | 2010-10-01 | 2012-04-05 | Nokia Siemens Networks Oy | Radio resource control connection release message wait timer |
| CN102594555B (zh) | 2011-01-17 | 2015-04-29 | 华为技术有限公司 | 数据的安全保护方法、网络侧实体和通信终端 |
| US9265087B2 (en) | 2011-03-31 | 2016-02-16 | Lg Electronics Inc. | Method for user equipment setting security with network in wireless communication system and apparatus for same |
| US9407616B2 (en) | 2011-04-27 | 2016-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Authenticating a device in a network |
| WO2013024435A1 (en) | 2011-08-15 | 2013-02-21 | Renesas Mobile Corporation | Keeping a security context during mode changes for machine - to -machine communications |
| US8687556B2 (en) | 2011-11-18 | 2014-04-01 | Cisco Technology, Inc. | Method for correlating connection information with mobile device identity |
| JP6209595B2 (ja) | 2012-05-11 | 2017-10-04 | インターデイジタル パテント ホールディングス インコーポレイテッド | コンテキストアウェアピアツーピア通信 |
| US8781502B1 (en) | 2013-02-01 | 2014-07-15 | Swirl Networks, Inc. | Systems and methods for display of supplemental content responsive to location |
| EP2804441A1 (en) | 2013-05-15 | 2014-11-19 | Alcatel Lucent | Network nodes and methods |
| US9444819B2 (en) | 2014-01-16 | 2016-09-13 | International Business Machines Corporation | Providing context-based visibility of cloud resources in a multi-tenant environment |
| US9497624B2 (en) * | 2014-10-30 | 2016-11-15 | Alcatel-Lucent Usa Inc. | Connectionless wireless access |
| US10091649B2 (en) | 2015-07-12 | 2018-10-02 | Qualcomm Incorporated | Network architecture and security with encrypted client device contexts |
-
2016
- 2016-05-20 US US15/160,245 patent/US10097995B2/en active Active
- 2016-06-10 WO PCT/US2016/037061 patent/WO2017011111A1/en active Application Filing
- 2016-06-13 TW TW105118427A patent/TWI726890B/zh not_active IP Right Cessation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140126448A1 (en) * | 2011-06-22 | 2014-05-08 | Nec Europe Ltd. | Energy awareness in mobile communication user equipment and networks, including optimizations based on state compression |
| US20130301611A1 (en) * | 2012-05-10 | 2013-11-14 | Samsung Electronics Co., Ltd. | Method and system for connectionless transmission during uplink and downlink of data packets |
| EP2757856A1 (en) * | 2013-01-17 | 2014-07-23 | Alcatel-Lucent | Optimization of context and/or connection management in a mobile communication system |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201705780A (zh) | 2017-02-01 |
| WO2017011111A1 (en) | 2017-01-19 |
| US20170013454A1 (en) | 2017-01-12 |
| US10097995B2 (en) | 2018-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11172357B2 (en) | Network architecture and security with encrypted client device contexts | |
| US11329969B2 (en) | Network security architecture | |
| US11716615B2 (en) | Network architecture and security with simplified mobility procedure | |
| TWI726890B (zh) | 具有加密的網路可達性上下文的網路架構和安全 | |
| US12010107B2 (en) | Network security architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |